Větší spolehlivost a bezpečnost, optimalizace přenosů. To jsou důvody, proč zvolit SD-Branch

Představte si následující, celkem běžnou situaci.

Vaše firma má desítky poboček po celé republice a několik v zahraničí. Tuto síť máte na starosti. Síť vypadá po zjednodušení takto:

Vaše síť dnes

Na pobočkách neběží žádné aplikace. Některé jsou v datovém centru umístěném v ústředí firmy, stále více jich přesouváte do cloudu. Z poboček přistupujete k aplikacím, které mohou být vzdálené stovky i tisíce kilometrů. Doba potřebná k přenosu dat na velkou vzdálenost se u některých aplikací již nepříznivě projevuje.

Na pobočkách nemáte kvalifikovaný IT personál. Celkově je vaše IT oddělení podvyživené.

Pro propojení poboček využíváte privátní MPLS síť vašeho poskytovatele. Připojení k internetu máte od téhož poskytovatele v centrále, kvůli zabezpečení a snadnému řízení přístupu. Veškerá komunikace k internetu i ke zmíněným kritickým aplikacím probíhá přes rozlehlou síť i kaskádu síťových a bezpečnostních zařízení v centrále. Přístup k některým cloud aplikacím drhne.

Hromada práce a bezpečnostní rizika 

Na několika kritických aplikacích, které běží v datovém centru i v cloudu, zcela závisí chod firmy. Představa, že nějaká pobočka zůstane na pár hodin bez spojení, vás budí ze spaní.

Přenosové kapacity rozlehlé sítě i připojení k internetu pravidelně navyšujete. Cena spojení za přenesený megabit za sekundu je pro MPLS připojení stále zřetelně vyšší než cena připojení k internetu. Poplatky za provoz rozlehlé sítě zatěžují IT rozpočet.

Na hraničních směrovačích rozlehlé sítě vám postupně bobtnají a zahnívají konfigurace. Hlavně bezpečnostní filtry. Nikdo konfigurace léta nečistí, aby nepřestalo běžet něco, co běžet má, a o čem ani nevíte, že to někde běží.

Ovlivnit tok dat v síti není úplně jednoduché. Dynamické směrování vybírá cestu paketů v síti podle svých představ, ne vašich. Vaše pokusy o zavedení směrování podle vámi definovaných pravidel (policy based routing) nesplnily kvůli statické povaze vaše očekávání. Nastavit v síti potřebné parametry kvality služby pro novou sadu aplikací je úkol na hranici vědy a umění.

Do sítě začínáte připojovat IoT zařízení – senzory, kamery, ovládacích prvky. Jejich počet nekontrolovatelně roste, jsou rozprostřena přes celou síť. Často je připojují kolegové, aniž vám řeknou. Zařízení bývají zranitelná, těžko je v síti automaticky rozpoznáte. To přináší bezpečnostní rizika. Nutí vás to zařízení hledat, ručně segmentovat síť a přidávat do ní další bezpečnostní pravidla či speciální zařízení. To je hromada práce a riziko, že něco přehlédnete nebo uděláte chybu, je velké. O vlastních zařízeních uživatelů, které si nekontrolovaně připojují do sítě, ani nemluvíte, s tím už se potýkáte dlouho.

Vedení na vás naléhá, ať už se sítí něco uděláte. Hlavně, ať:

• Zrychlíte uvádění nových aplikací do provozu a ladění sítě vám netrvá měsíc.
• Posílíte spolehlivost sítě a odstraníte závislost na jediném připojení většiny poboček.
• Snížíte bezpečnostní rizika, s ohledem na pestřejší aplikační prostředí, nová zařízení v síti a rostoucí vnější i vnitřní rizika.
• Zachováte, nebo ještě lépe snížíte, provozní náklady sítě. A rozhodně nepočítejte s posílením týmu.
• Uděláte to rychle, síť v dnešním stavu brzdí firmu.

Trefa do černého

Taková situace vás netěší, a tak přemýšlíte, jak z toho ven. Na reklamy v internetových časopisech normálně neklikáte, ale teď uděláte výjimku, a kliknete na banner „Aruba SD-Branch“.

A s překvapením zjistíte, že jste trefili do černého, protože Aruba SD-Branch:

• Je softwarově definované řešení sjednocující správu a řízení lokálních i rozlehlých sítí.
• Dynamicky segmentuje síť jako celek, podle zařízení, aplikací, i uživatelů, kteří je používají.
• Optimalizuje přístup z poboček ke cloud aplikacím.
• Optimalizuje datový přenos přes rozlehlou síť inteligentním rozkládáním zátěže přes více spojů.
• Zjednodušuje správu prostřednictvím cloud aplikace, která konfiguruje síť jako celek pomocí abstraktních pravidel.

A čtete dál, a podrobněji.

Vlastnosti SD-Branch pod lupou

SD-Branch má dvě základní součásti – SD LAN a SD WAN.

SD LAN připojuje do sítě koncová zařízení přes wi-fi nebo přepínaný ethernet, identifikuje je a zajišťuje dynamickou segmentaci, tedy automatické zařazení připojených stanic do segmentů. Mezi nimi je komunikace řízena podle jednoduše definovaných pravidel.

SD WAN propojuje pobočky vzájemně mezi sebou a centrálou. Data přenáší souběžně přes různé přenosové sítě, vybírá pro ně optimální cestu podle měřeného stavu sítí, zabezpečuje a optimalizuje komunikaci.

Oslovily vás tyto vlastnosti SD WAN:

• Pobočkové směrovače nainstalujete jednoduše, pouhým připojením do sítě, bez zkušené obsluhy. Tato vlastnost se (s trochou nadsázky) označuje jako zero-touch provisioning.
• Pobočku můžete připojit současně k více přenosovým sítím, například k MPLS síti poskytovatele, k rozhraní vedoucímu přímo do internetu, k LTE síti a podobně.
• Po připojení se automaticky sestaví tunely do centra či k dalším pobočkám. Komunikaci chrání IPSec protokol.
• Na pobočkovém směrovači můžete aktivovat stavový firewall, který řídí a chrání komunikaci do internetu podle zjištěného kontextu (uživatele, zařízení, aplikace, místa) a definovaných pravidel.

Výčet výhod je opravdu dlouhý, mezi nimi:

• Směrovače vybírají optimální cestu k aplikaci podle aktuálního stavu sítě. Například, pro kritické SaaS služby zjišťuje pobočkový směrovač, která data ke službě patří, kde cílová aplikace běží (to není u cloud služby jasné na první pohled, aplikace může být rozprostřená), nebo jaká je nejbližší vstupní brána ke službě. Měří pasivně i aktivně přenosové parametry připojených sítí, posuzují a ověřují DNS dotazy a odpovědi. Berou v úvahu roli uživatele a význam aplikace. Podle toho rozhodnou, kterou přenosovou síť použijí. Při výběru trasy zajišťuje síť v maximální možné míře souměrný přenos dat tam a zpět.
• Výběr trasy můžete ovlivnit definovanými pravidly. Můžete například přesunout komunikaci méně důležitých aplikací do levnější přenosové sítě, a tím šetřit náklady.
• Přenášená data směrovače účinně komprimují, tím zkracují dobu přenosu, šetří přenosové pásmo, a v důsledku i náklady.
• Jednoduchou konfigurací kvality služby (QoS) zajistíte kritickým aplikacím potřebné pásmo a přednost na přenosové trase.
• Případné ztráty datových paketů snižuje dopředná oprava chyb (forward error correction). To se hodí hlavně při přenosu dat přes méně spolehlivou přenosovou síť, například přes internet nebo méně kvalitní bezdrátové spoje.
• Centrální směrovače mohou běžet v cloud prostředí. Pobočky tak mohou být vybaveny hardwarovými směrovači, centrální hub může být rozprostřen v cloudu.
• Cloudová aplikace Aruba Central řídí síť, sleduje ji, aktivuje pravidla, která vytvoříte. Zjednodušuje správu prostřednictvím výrobcem připravených nebo správcem vytvořených šablon.
• Funkce SD-WAN můžete rozšířit začleněním řešení třetích stran. Například bezpečnost mohou posílit firewally Check Point, Palo Alto nebo Zscaler.

Jak tedy může vypadat vaše cílové řešení? Zjednodušeně takto:

Zjednodušené schéma SD-Branch

Jak vidíte na obrázku, pobočky jsou propojeny přes více poskytovatelů, směrovače vybírají optimální cestu podle okamžité situace v síti. Ve vašem případě vybral směrovač na pobočce cestu k SaaS aplikaci přes poskytovatele ISP1, nikoliv přes MPLS síť a centrálu, ani přes ISP 2.

Příklad provedení zachycuje obrázek č. 3

Příklad nasazení SD WAN řešení se zdvojenými směrovači na pobočkách

Pokud vás řešení zaujalo a chcete ho vysvětlit, ukázat, posoudit varianty nasazení ve vašem prostředí či ho ověřit v pilotním projektu, kontaktujte nás.