Na styku sieci kampusowej czy budynku obsługiwana jest wymiana ruchu pomiędzy siecią wewnętrzną, a siecią Internet, usługami chmur publicznych, siecią telefoniczną, innymi oddziałami oraz zdalnymi pracownikami. Poprzez to miejsce realizowany jest też dostęp ze świata do znajdującej się wewnątrz organizacji chmury prywatnej i jej usług.
Działanie tego miejsca ma bezpośredni wpływ na dostępność, jakość i bezpieczeństwo komunikacji, wymiany danych oraz używanych usług i aplikacji. Ilość usług i aplikacji działających w sieci, a także realizowanych za jej pośrednictwem zadań ciągle rośnie. Zwiększa się też waga załatwianych za jej pośrednictwem spraw i transakcji. To wszystko powoduje ciągłą potrzebę zwiększania jej szybkości i jednocześnie poprawy bezpieczeństwa.
My do tego miejsca pozycjonujemy głównie serię urządzeń brzegowych Cisco Catalyst 8000, które potrafią zapewnić bezpieczeństwo, usługi Cloud onRamp i SASE, kierować ruchem w oparciu o narzucone wymagania aplikacyjne oraz są bardzo elastyczne w obszarze stosowanych na styku sieci technologii. Należą do nich:
- Cisco Catalyst 8500 (brzeg oddziału głównego, centrum danych i punkt wymiany ruchu),
- Cisco Catalyst 8300 (brzeg średnich i dużych oddziałów oraz średnich organizacji),
- Cisco Catalyst 8000V (brzeg chmur publicznych),
- Cisco Catalyst 8200 (brzeg małych oddziałów oraz małych organizacji),
- Cisco Catalyst 8200 uCPE (brzeg oddziału z obsługą Cisco NFVIS i Catalyst 8000V).
Platformy te często integruje się m.in. z Cisco ISE, Cisco Stealthwatch, Cisco AMP Everywhere, Cisco Threat Grid, Cisco Umbrella czy Cisco SD-WAN. Na brzegu sieci umieszcza się też czasem platformy ukierunkowane na ochronę przed zagrożeniami z rodziny Cisco Firepower, choć powinny one działać za urządzeniem brzegowym.
Seria Cisco Catalyst 8000 łączy w sobie wiele funkcjonalności, których ilość jest dostosowana do miejsca w jakim dana platforma ma działać. Obsługiwane są mechanizmy kierowania ruchem w oparciu o wymagania aplikacyjne, dodatkowe usługi i integracje dla organizacji opierających swój biznes na chmurach publicznych, zaawansowane mechanizmy ochrony oraz funkcje bramy głosowej dla tradycyjnej telefonii, VoIP i usług chmurowych do komunikacji.
Platformy te mogą pełnić funkcję routera obsługującego wiele technologii stosowanych w sieciach WAN, jak m.in. Ethernet, VDSL/ADSL/SHDSL, PPP, PPPoE (PPP over Ethernet), PPPoA (PPP over ATM), Multilink PPP, Frame Relay, Multilink Frame Relay, HDLC, MPLS czy LTE/5G. Obsługa tak różnorodnych technologii jest często niezbędna w oddziałach, które muszą dostosować się do tego co oferuje lokalny dostawca usług internetowych. W przypadku siedziby głównej czy centrum danych taka ilość technologii WAN nie jest potrzebna, stąd modele pozycjonowane do takich miejsc obsługują Ethernet i to co działa na technologii Ethernet, jak MPLS, PPP, PPPoE czy Multilink PPP.


Tradycyjny routing nie zawsze się sprawdza. Szczególnie, gdy jakość używanych łącz zmienia się dynamicznie bez żadnej zapowiedzi. Inteligenta kontrola ścieżek możliwa jest dzięki zastosowaniu PfR (Performance Routing) w ramach DMVPN (Dynamic Multipoint VPN) pomiędzy lokalizacjami oraz na łączach do sieci Internet.

Tunele IPSec VPN oparte na mechanizmie Crypto Map czy Policy-Based Tunnels mają sporo ograniczeń, które wynikają z ich powiązania z jednym interfejsem wyjściowym. Należy do nich m.in. brak możliwości przypisania dla każdego z połączeń VPN oddzielnych parametrów QoS (Quality of Service), ZBF (Zone Based Firewall), VRF (Virtual Routing and Forwarding), ACL (Access Control Lists), czy wielkości MTU (Maximum Transmission Unit). Nie da się używać protokołów routingu i przesyłać ruchu multicast, a też zarządzanie i diagnoza jest bardziej złożona.
Do obsługi połączeń SSL VPN pracowników zdalnych polecamy platformę Cisco Firepower. Platforma ta udostępnia zaawansowane funkcje weryfikacji stanu urządzenia końcowego. Najczęściej taki SSL VPN integrujemy z Cisco ISE i Cisco Duo. Dzięki Cisco ISE i wykorzystaniu DAP (Dynamic Access Policies) możliwe jest różnicowanie polityk dostępu do zasobów organizacji w oparciu o wynik weryfikacji rodzaju i stanu systemu urządzenia końcowego. Dla przykładu, można zastosować inną politykę, jeżeli urządzenie nie należy do organizacji.

Dzięki mechanizmowi RTBH (Remotely Triggered Black Hole), który dostępny jest w platformach Cisco Firepower i urządzeniach brzegowych serii Cisco Catalyst 8000, możliwe jest wdrożenie ochrony przed atakami DDoS (Distributed Denial of Service). Ataki te potrafią unieruchomić całą organizację lub udostępniane przez nią usługi.

Cisco Firepower i urządzenia brzegowe do oddziałów Cisco Catalyst 8300/8200 mają możliwość uruchomienia systemu IPS (Instrusion Prevention System) do ochrony przed znanymi atakami i podatnościami na bazie silnika Snort, ochrony i retrospekcji dla plików z wykrywaniem złośliwego oprogramowania z Cisco Advanced Malware Protection (AMP) i Cisco Threat Grid oraz filtrowania URL (reputacje i kategorie). Rozwiązania te wspierane są danymi na temat inteligencji zagrożeń (ang. Threat Intelligence). Pochodzą one z Cisco Talos, jednego z największych na świecie centrów badań nad zagrożeniami, złośliwym oprogramowaniem i podatnościami.

Pojedyncze urządzenie brzegowe Cisco Catalyst 8000V może obsługiwać wiele VRF (Virtual Routing and Forwarding), a co za tym idzie obsługiwać wielu niezależnych klientów/najemców (ang. tenants) chmury publicznej, dla każdego obsługując m.in. niezależną tablicę routingu, połączenia VPN i reguły Firewall. Oczywiście dla każdego klienta/najemcy (ang. tenant) można też uruchomić oddzielną instancję Cisco Catalyst 8000V. W ten sposób może osiągnąć bardzo dużą elastyczność i skalowalność w udostępnianiu różnych usług.
Bardzo ważne jest zachowanie adresów IP w trakcie przenoszenia aplikacji z centrum danych do chmury zewnętrznej i w drugą stronę. Dzięki temu nie będzie wymagana rekonfiguracja aplikacji czy systemu operacyjnego, w którym ona działa. Zmiana adresacji IP ma też negatywny wpływ na zachowanie ciągłej łączności od strony jej użytkowników. Urządzenia brzegowe Cisco Catalyst 8000, w tym Cisco Catalyst 8000V obsługują protokół LISP (Locator ID Separation Protocol), który umożliwia pełną mobilność adresów IP i zachowanie identyfikatora aplikacji.
Cisco Catalyst 8000V może także pracować jako urządzenie brzegowe OTV (Overlay Transport Virtualization), rozciągając dostępne wewnątrz lokalnego centrum danych sieci VLAN do chmur zewnętrznych.
Z tradycyjnymi VLAN mamy tylko 4094 unikalnych identyfikatorów, a z VXLAN aż 16 milionów. Technologia VXLAN (Virtual Extensible LAN) zwykle stosowana była przez większe przedsiębiorstwa i dostawców usług, którzy potrzebują zapewnić izolację milionom klientów. Obecnie jest też chętnie stosowana przez mniejsze organizacje, które szukają wygodnych i elastycznych metod wirtualizacji swojej infrastruktury sieciowej czy centrum danych. Urządzenia brzegowe Cisco Catalyst 8000V mogą pracować jako VTEP (VXLAN Tunnel Endpoint), łącząc ze sobą na poziomie L2 dostępne sieci VXLAN czy VXLAN i VLAN, a nawet realizując ich obsługę na poziomie L3.
Cisco Catalyst 8000V umożliwiają także rozciągnięcie usługi MPLS z lokalizacji klienta, aż do chmury publicznej.
Cisco Catalyst 8000V także sprawdzają się jako wirtualne reflektory tras (ang. vRR - virtual Route Reflectors), gdzie potrzebna jest duża moc obliczeniowa, a niekoniecznie obsługa dużej ilości ruchu. Dzięki możliwości wirtualizacji, wiele niezależnych vRR może działać w ramach jednego serwera fizycznego.
Wirtualizacja tych wszystkich złożonych funkcji zapewnia dostawcom usług konsolidację wielu instancji na jednym serwerze i łatwe skalowane w miarę pojawiania się nowych klientów czy rozbudowy sieci.
Cisco SD-WAN Cloud OnRamp rozszerza aktualną infrastrukturę o usługi chmur publicznych, zapewniając do nich szybki i bezpieczny dostęp. Pomiędzy lokalizacją główną, oddziałami i usługami chmurowymi można zbudować siatkę VPN, dzięki której ruch do usług chmur publicznych będzie kierowany zawsze najlepszą w danej chwili drogą.

Korzystając z usług chmur publicznych głównie używamy protokołów HTTP/HTTPS i DNS. Stąd Cisco Systems oparło fragment swojej architektury SASE na usłudze chmury publicznej Cisco Umbrella Secure Internet Gateway (SIG). W architekturze tej wykorzystywany jest także Cisco SD-WAN. Do ochrony poczty elektronicznej w ramach usług chmur publicznych lub rozwiązań on-prem pozycjonowana jest Cisco ESA.
Cisco Umbrella Secure Internet Gateway (SIG) zapewnia bardzo kompleksową ochronę. Łączy w sobie technologie i rozwiązania wykorzystywane m.in. w ramach Cisco Cloudlock, Cisco Talos, Cisco Advanced Malware Protection (AMP), Cisco Threat Grid oraz Cisco Umbrella. Wiedza z tych wszystkich obszarów pozwala podejmować bardzo trafne i precyzyjne decyzje.

CASB pośredniczy pomiędzy użytkownikami i usługami chmurowymi. Monitoruje wszelkie aktywności, zgłaszając potencjalne niebezpieczeństwa oraz wymusza przestrzeganie narzuconych zasad bezpieczeństwa. Moduł ten dostępny jest także niezależnie, jako Cisco Cloudlock.
Dostęp VPN czy usług chmurowych organizacji może zostać zabezpieczony z wykorzystaniem MFA (Multi-Factor Authentication), czyli wieloskładnikowego uwierzytelnienia z Cisco Duo. Dzięki temu atakujący musi jednocześnie znać poświadczenia użytkownika i mieć fizyczny dostęp do jego urządzenia, co rzadko jest możliwe. Poza hasłem, najczęściej stosowane jest OTP (One Time Password) w formie jednorazowych kodów otrzymywanych za pomocą wiadomości SMS lub dodatkowego zatwierdzenia logowania w aplikacji telefonu.

Cisco Catalyst 8300 i 8200 są też uzupełnieniem CUCM. Udostępniają funkcje bramy głosowej, za pomocą której możliwa jest komunikacja ze starą siecią PSTN (Public Switched Telephone Network). PSTN obejmuje telefonie analogową POTS (Plain Old Telephone Service) i cyfrową ISDN (Integrated Services Digital Network). Poprzez odpowiednie moduły z portami FXS da się także do nich podłączać stare analogowe telefony i urządzenia typu faks. Mogą one też pełnić funkcję bramy głosowej VoIP (Voice over IP), obsługując połączenia SIP Trunk do operatorów. Za tą część odpowiedzialny jest CUBE/SBC (Cisco Unified Border Element)/(Session Border Controller), który zapewnia bezpieczny punkt demarkacyjny dla protokołu SIP (Session Initiation Protocol).

Za pośrednictwem CUBE/SBC da się też zmieniać kodowanie czy realizować połączenia do różnych usług chmurowych, jak Cisco Webex Cloud Connected Audio (CCA i CCA-SP), Webex Calling Local Gateway Cisco Hosted Collaboration Solution (HCS) czy usługi Direct Routing w Microsoft Phone System (Microsoft Teams).
Dostępny jest też mechanizm Call Admission Control (CAC) dla protokołu SIP, który pozwala kontrolować dozwoloną ilość jednoczesnych rozmów. Ich zbyt duża ilość mogłaby mieć negatywny wpływ na wszystkie rozmowy.
Urządzenia brzegowe Cisco Catalyst 8300/8200 obsługują bezpośrednie połączenia z siecią LTE/5G. Do tego celu stosują moduły w technologii 5G/LTE Cat18, Cat6 lub Cat4. O ile w niektórych lokalizacjach może być to jedyne dostępne łącze do sieci Internet, to w innych może pełnić rolę łącza zapasowego.
W wielu miejscach urządzenia brzegowe otoczone są dużą ilości kabli, znajdują się w metalowych szafach lub są całkiem pod ziemią, gdzie nie ma dobrego sygnału z sieci LTE/5G. Stosowanie dłuższych kabli antenowych nie sprawdza się. Im dłuższy kabel pomiędzy anteną, a interfejsem LTE/5G, tym większa strata sygnału.

Application Aware Routing (AAR) na bieżąco śledzi i bada jakość dostępnych pomiędzy lokalizacjami ścieżek. Bierze pod uwagę ilość zgubionych pakietów, opóźnienia, pojawiające się odchylenia w opóźnieniach, wysycenie, koszt i przepustowość łącz. Na tej podstawie stara się wybrać najlepsze w danej chwili ścieżki dla różnych aplikacji.
Tradycyjny routing oparty na stałych metrykach nie bierze pod uwagę dynamicznej natury sieci. Jeżeli jest połączenie na drugą stronę, to jest ono wykorzystywane. Nie jest weryfikowana jakość tego połączenia.
AAR jest w stanie wykryć chwilowe problemy czy spadek wydajności danego połączenia i stosownie temu zaradzić. Jest świadomy potrzeb aplikacji. Dzięki temu, pomimo ciągłej aktywności i działania problematycznego połączenia, jest w stanie automatycznie wykryć problemy i przekierować wybrany ruch na inne łącza, które w danej chwili spełniają wymagania danej aplikacji. Kiedy problematyczne łącze powróci do normalnego działania, AAR jest w stanie znowu dostosować rozkład ruchu do optymalnego wykorzystania wszystkich łącz.

Packet Duplication wykorzystuje dwa różne tunele pomiędzy tymi samymi lokalizacjami. Wysyła wszystkie pakiety na obu, a druga strona eliminuje duplikaty. Działa to tak, że wykorzystywany jest pakiet z tego tunelu, który pierwszy go dostarczy. Jeżeli pakiet zginie, to automatycznie wykorzystywany jest duplikat z drugiego tunelu. Sprawdza się w miejscach, gdzie mamy dostęp do dwóch niezależnych łącz, których jakość nie zawsze jest taka, jak powinna.
Zarówno Forward Error Correction, jak i Packet Duplication można aktywować dla wszystkich lub tylko wybranych adresów IP, typów ruchu czy aplikacji.

Ma ona przestrzeń wklęsłą (ang. concave - concave downward) i wypukłą (ang. convex - concave upward). Wklęsła daje możliwość szybkiego powrotu rozmiaru okna do stanu bliskiego przed ostatnim wykryciem zatoru w sieci i dalej powolny wzrost do tego miejsca. W ten sposób sieć dostaje czas na ustabilizowanie się. Zaraz po tym przechodzi do części wypukłej, która o ile początkowo rośnie powoli, to przyśpiesza coraz bardziej, jeżeli nie ma oznak zatoru.
Wykorzystanie CUBIC w TCP przyczynia się także do pełnego wysycania buforów interfejsów urządzeń sieciowych i co za tym idzie wzrostu opóźnień. Algorytm CUBIC nie bierze pod uwagę czasu RTT (Round Trip Time), stąd nie są faworyzowane ani połączenia o małych, ani o dużych opóźnieniach. Mają tą samą szansę wzrostu. Nagły wzrost opóźnień dla wszystkich połączeń ma negatywny wpływ na działanie aplikacji wymagających do pracy niskich opóźnień. Im większe są bufory, tym powstają większe opóźnienia.
Bufory obecnych urządzeń sieciowych są coraz większe, stąd proces wykrywaniu zatoru w sieci powinien brać pod uwagę wzrost opóźnień. Z drugiej strony, algorytm bazujący tylko na opóźnieniach nie byłby traktowany w sieci sprawiedliwie. Połączenia TCP stosujące inne algorytmy, jak dla przykładu CUBIC, przejęłyby całkowicie łącze.
- transmisja nie gubi pakietów, przepustowość jest podobna z zachowaniem kilkukrotnie niższych opóźnień,
- transmisja gubi pakiety, przepustowość potrafi być nawet kilkukrotnie większa.
Wykorzystanie nowego algorytmu obsługi zatorów w TCP pozwala utrzymać niską zajętość buforów urządzeń sieciowych i co za tym idzie zachować niskie opóźnienia przesyłanych pakietów, nawet przy dużej ilości ruchu. Dla niektórych usług jest to naprawdę bardzo istotne.
Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.