Путь к сетевой невиновности

Путь к сетевой невиновности
Современные организации хотят от своей сети надежности, производительности и гибкости. Сеть должна позволять быстро подключать офисы, пользователей, внедрять новые услуги и приложения и одновременно быть бесперебойной и производительной. Однако современные сети не всегда соответствуют этим противоречивым по своей сути требованиям.

Кто виноват и что делать?

Архитектура Cisco Digital Network Architecture использует основные идеи SDN — разделение уровней управления и транспорта и автоматизацию задач, связанных с управлением корпоративной сетью. Однако Cisco вышли за рамки концепции SDN и реализовали сеть на основе намерения (Intent-Based Network), сделав её максимально адаптированной для потребностей современных организаций.

1. Подключение сетевых устройств


Подключение новых сетевых устройств выглядит весьма понятно. Устройство необходимо физически запитать, подключить к СПД и заняться настройками. И так с каждым. В результате задачи расширения сети, перемещения в новый офис, внесения изменений в текущую сеть или замены оборудования требуют выполнения множества рутинных операций. Этот ручной труд не только долог, но и чреват появлением ошибок.

Cisco DNA привносит возможность использования принципа Plug&Play для активации сетевых устройств. В Cisco DNA Center создается дизайн кампусной сети и сетевой фабрики. Роли новых сетевых устройств можно определить на месте при установке в самом DNAC или спланировать заранее и получить в поставке с завода коммутаторы с предустановленными Plug&Play агентами. Останется включить их и далее сетевая фабрика возьмет задачи по конфигурации на себя. Процесс занимает несколько минут и позволяет минимизировать вовлеченность квалифицированного персонала и выезды на места. По оценкам Cisco время подключения нового коммутатора сокращается на 60%.

2. Управление версиями ПО в кампусной сети


Согласование уровня соответствия версий ПО на масштабной сети – рутинная и долгая задача. Процесс включает идентификацию нужных патчей и обновлений, загрузку их на правильные сетевые устройства, тестирование результата и выдачу отчета о статусе обновлений.

Зачем регулярно обновляться?

Для обеспечения информационной безопасности. Ежедневно выходят новые вредоносные коды. Для борьбы с ними появляются патчи и обновления. Быстрое их внедрение непосредственно влияет на уровень защищенности сети.

Для улучшения доступности сетевых сервисов благодаря использованию согласованных версий ПО.

Существуют также требования регулярного согласования версий ПО, например, в требованиях PCI DSS – стандарта безопасности данных индустрии платежных карт.



Cisco DNA Center позволяет хранить библиотеку золотых версий ПО. Администратор определяет алгоритм ее использования — какие сетевые элементы обновляются и с какой регулярностью. Далее сеть будет автоматически обновляться в соответствии с указанными правилам в определенные технологические окна, выдавая отчет о статусе обновлений и возможных ошибках.

3. Масштабируемые политики доступа


Традиционные подходы к управлению политиками доступа не масштабируются. Как только что-то меняется – новые коммутаторы, клиенты, перемещение клиентов – администратор должен вручную отразить эти изменения в настройках сети. Политики доступа реализуются на базе IP адресов и VLAN. Большие пулы IP адресов порождают дополнительную сложность.

Cisco DNA позволяет определить политики доступа и автоматически масштабировать их на всю сеть. Сеть будет меняться — политики останутся неизменными. Изменения политик доступа автоматически отразятся во всей сети. Сеть контролирует применение политик. При передаче информации происходит сверка разрешена ли запрошенная коммуникация.

Политики доступа определяются максимально близко к пользователю – по его роли в организации, а также включают контекст подключения к сети, например известно ли устройство, с которого осуществляется вход в сеть или какой используется способ подключения — провод, WiFi и удаленное подключение.

4. Сегментация в кампусной сети


Эффективный дизайн сети построен на концепции сегментации — не все устройства и пользователи могут взаимодействовать друг с другом. Сегментация — ключевой инструмент для обеспечения информационной безопасности.

В организациях обычно множество категорий пользователей. В некоторых сегментах сети обрабатывается и хранится конфиденциальная информация – персональные данные или финансовая отчетность. Важно выделить такие сегменты и изолировать, разрешив доступ ограниченному кругу пользователей.

Современные сети требуют сегментирования с учетом множества факторов, включая местоположение пользователя, тип подключения (проводной, беспроводной, удаленный), роль пользователя в организации и принадлежность к группам. DNAC позволяет описать матрицу доступа всех категорий пользователей между собой с учетом контекста и определить взаимодействие — от запрета до частичного или полного разрешения.

Такая система сегментации позволяет значительно ускорить подключение новых пользователей. Необходимо определить устройство к типу и ему автоматически присваиваются соответствующие политики доступа. Когда требуется подключить сотни датчиков интернета вещей, возможность за минуты определить им категории и получить безопасно подключенные устройства экономит массу времени. Сегментирование пользователей не даст злонамеренному ПО распространиться по сети в случае успешной атаки.

С ростом сложности сети и динамики изменений такая система становится незаменимым инструментом управления сетью.

Механизмы сегментации в сетях Cisco DNA позволяют менеджерам по информационной безопасности согласиться с использованием Wi-Fi в некоторых организациях, где раньше это было невозможно. Сотрудники начинают свободно перемещаться по офису, работать в группах, уединяться для задач, требующих концентрации. Их уровень удовлетворенности рабочим местом повышается, а часто это бывает значимым параметром для менеджмента.

5. Надежность сетевых сервисов


Большая часть рабочего дня в департаменте ИТ уходит на поддержание работоспособности существующей сетевой инфраструктуры и устройств. Часто этот процесс называют поиском неисправностей и их устранением. Сюда же можно отнести работы по оптимизации сети.
По статистике Cisco на такие операции уходит около половины времени службы ИТ.

DNAC Assurance постоянно наблюдает за состоянием проводной и беспроводной сети, пользователями и приложениями, накапливает данные, коррелирует и суммирует для администратора. Такой мониторинг позволяет получить информацию для дальнейшей оптимизации сети, а также упростить и ускорить процесс обнаружения источников неисправностей. Окно 360 градусов о пользователе позволяет за секунды понять на чем надо сфокусировать усилия службы ИТ. В результате мы получаем сеть, источник проблемы в которой можно обнаружить за секунды вместо часов.



Наиболее актуально использование Cisco DNA Assurance с беспроводными сетями, т.к. они обладают высоким уровнем неопределенности, подвержены внешним влияниям и не имеют контроля над пользовательскими устройствами. Пользовательские устройства, с производителями которых у Cisco есть технологическое партнество, отправляют дополнительную статистику непосредственно в DNAC, в результате информация обогащается данными о том, как само устройство видит сеть, как было принято решение о подключении или роуминге, какие показатели сети были в конкретной точке в момент, когда приложение дало сбой.

Что если проблема случилась пару дней назад? В традиционном варианте инженер сядет снимать логфайлы, изучать их и пытаться восстановить события. Cisco DNA Assurance полностью автоматизирует этот творческий процесс, позволяя вернуться в прошедший момент и увидеть статистику сети, уже скоррелированную для анализа. Вернувшись в тот момент, мы сможем выявить нерегулярные проблемы, которые не было возможным повторить, изучить и решить. Из недавно обнаруженных проблем — электромагнитные помехи внешнего оборудования на пачкорд, приводившие к отключению коммутатора.

DNAC Assurance позволяет выявлять проблемные места и проводить осознанную оптимизацию беспроводных сетей, существенно повышая их производительность и стабильность.

Самое важное состоит в том, отдел ИТ переходит на проактивный поиск неисправностей, исправляя проблемы до того, как пользователи начинают жаловаться. Посмотрите как это происходит:



Демонстрация Cisco DNA Assurance
Alt text