Sieć kampusowa i budynku
 
 

Sieć kampusowa obejmuje swoim zakresem wiele pięter, a także budynków, na których rozpościera się wiele logicznych lokalnych sieci danej organizacji, uczelni czy przedsiębiorstwa. Należy do niej warstwa dostępu, która udostępnia przewodowy i bezprzewodowy dostęp do sieci, warstwa dystrybucji, która zajmuje się agregacją połączeń z warstwy dostępowej oraz warstwa rdzenia, która spaja całość.

Do rdzenia dołączone jest także centrum danych, gdzie składowane są dane i działają aplikacje oraz warstwa brzegowa sieci, poprzez którą odbywa się dostęp do sieci Internet czy innych lokalizacji przedsiębiorstwa.

Nowe sieci kampusowe buduje się już najczęściej z wykorzystaniem Ethernet 2.5G, 5G, 25G i 100G.



My tutaj skupimy się tylko na tej pierwszej części sieci kampusowej, za której obsługę odpowiedzialne są:

Nie są to oczywiście wszystkie składowe całej architektury, gdyż w jej skład często wchodzą też różne systemy bezpieczeństwa, jak Cisco ISE, Cisco Stealthwatch czy Cisco DNA. Niemniej, są one opcjonalne.


Sieć kampusowa obejmuje swoim zakresem wiele budynków i ich pięter, na których rozpościera się wiele logicznych lokalnych sieci danej organizacji. Często też dziś także innych organizacji, które tą sieć w jakimś stopniu dzierżawią czy współużytkują. Dlatego tak ważna jest dziś nie tylko stosowana od dawna tradycyjna segmentacja z wykorzystaniem technologii VLAN, ale makro i mikro segmentacja.

Makro i mikro segmentacja zapewnia nam bardzo elastyczną wirtualizację sieci, w której da się zapewnić wysoki poziom bezpieczeństwa oraz kontrolę dostępu czy kontrolę wymiany ruchu zawsze dostosowaną do scenariusza z którym musimy czy będziemy musieli się zmierzyć.

Makro segmentacja daje możliwość budowania sieci nakładkowych (ang. Overlay Networks). Sieć nakładkowa, to logiczna sieć zbudowana na podwalinie innej sieci, zwanej siecią transportową czy siecią podkładową (ang. Underlay Network). Tą inną siecią jest nasza infrastruktura bazowa w ramach której możemy tworzyć wiele różnych sieci nakładowych o różnych topologiach. Każda dla innej organizacji, wydziału, działu czy specyficznego zastosowania.
 
 
Wszystkie one współdzielą jedną fizyczna sieć. Sieci nakładkowe są w stanie rozciągnąć VLAN nawet poza granicę wielu domen L3. Umożliwia to budowanie bardzo skalowalnych i elastycznych topologii L3 sieci bazowej z możliwością zapewnienia widoczności na poziomie L2. Dzięki temu będąc w innej lokalizacji możemy pracować czy wpiąć coś do tej samej sieci logicznej co reszta osób z którymi kooperuje. Dzięki siecią nakładkowym domeny L2 da się w kontrolowany i skalowalny sposób rozciągać w ramach całej sieci podkładowej.

Za to mikro segmentacja zapewnia możliwość kontrolowania ruchu pomiędzy urządzeniami czy systemami pracującymi w tej samej sieci logicznej. Dzięki temu możemy kontrolować ruch wymieniany nawet pomiędzy systemami wirtualnymi, serwerami, urządzeniami czy pracownikami pracującymi w jednym VLAN i tej samej podsieci. Pozwala to wygodnie różnicować rodzaj wymienianego pomiędzy nimi ruchu i izolować podejrzane urządzenia.

Dziś warstwa dostępu jest też bardzo często odpowiedzialna za dostarczanie zasilania do telefonów, punktów dostępowych sieci Wi-Fi czy nawet całej automatyki budynkowej. Jest to wygodne, gdyż wystarczy do takich komponentów doprowadzić jeden kabel, który i tak byłby niezbędny. Dlatego przy wyborze odpowiedniego rozwiązania warto zwrócić uwagę na obsługę 4PPoE typu 3 i 4, Perpetual PoE, 2-Event Classification czy Fast PoE.
 
Nie można też zapomnieć o typowych dla IoT technologiach, jak protokół CoAP (Constrained Application Protocol), PTP (Precision Time Protocol), możliwość uruchamiania lokalnych oraz globalnych usług Apple Bonjour czy profilowania urządzeń i przydzielania im polityk na podstawie MUD (Manufacturer Usage Description).
 
Bardzo ważna jest też sieć bezprzewodowa. Nowy standard IEEE 802.11ax (Wi-Fi 6) przystosowany jest do obsługi dużej ilości urządzeń IoT oraz do efektywniejszego wykorzystania pasma i równoległej obsługi dużej ilości urządzeń.
 
Sieć bezprzewodowa oparta na Cisco Catalyst 9000 obsługuje zarówno IEEE 802.11ax (Wi-Fi 6), jak i dodatkowe rozszerzenia dla urządzeń IoT. Należy do nich m.in. Bluetooth/BLE (Bluetooth Low Energy) czy IEEE 802.15.4 (LR-WPAN), stosowane m.in. do śledzenia zasobów czy wyszukiwania drogi. Wspiera też stosowane na urządzeniach IoT protokoły, jak Zigbee czy Thread, które używane są w automatyce budynków czy ich oświetleniu. Jest też oczywiście kompatybilna z wcześniejszymi standardami Wi-Fi.

Już spory czas temu do sieci IP trafiła telefonia i wideotelefonia oraz oprzyrządowanie pokoi spotkań. Dziś, dzięki AVB (Audio Video Bridging) zastępuje ona także tworzone wcześniej oddzielne sieci do przesyłania strumieniowego audio i wideo o niskich opóźnieniach, gdzie wpinane są mikrofony, głośniki i ekrany.

Coraz więcej też powstaje inteligentnych budynków, w których do sieci podłączona jest duża ilość sensorów, alarm przeciwpożarowy, różne systemy HVAC (Heating, Ventilation, Air Conditioning), system kontroli dostępu do budynku, oświetlenie, zasłony, tablice komunikacyjne, monitoring bezpieczeństwa czy nawet sterowanie i obsługa wind.
  
 
Niewątpliwą zaletą tego wszystkiego jest wygoda w zarządzaniu, dzięki której tym wszystkim może sprawnie zarządzać jeden zespół. Znika problem z utrzymywaniem oddzielnych zespołów odpowiedzialnych za telefonię, HAVC, sieć danych, sieć do monitoringu bezpieczeństwa, sieć do transmisji audio i wideo oraz wielu innych typów sieci. Wszystko to może działać w ramach jednej sieci i być obsługiwane w ramach tych samych urządzeń.

Daje to oszczędność zarówno przy budowie takiej sieci, gdyż nie trzeba kupować oddzielnych zestawów urządzeń i rozciągać pomiędzy nimi niezależnego okablowania, jak i dalszym jej utrzymaniu. Mniej urządzeń, to najczęściej mniejsze zużycie energii i mniejszy nakład pracy, który potrzebny jest na ich okresową aktualizację oraz obsługę.

Łatwiej jest też rozwiązywać wszelkie problemy, gdyż całość oparta jest na jednej technologii, której popularność niewątpliwie bardzo rośnie i łatwiej dziś do niej znaleść specjalistów.

Jesteśmy partnerem Cisco Systems i za naszym pośrednictwem można zakupić ich rozwiązania na polskim rynku. Zainteresowanych zapraszamy do This email address is being protected from spambots. You need JavaScript enabled to view it.. Z nami masz pewność, że wszystko pochodzi z oficjalnego kanału.

O wiele łatwiejsze też staje się monitorowanie całego systemu oraz spójne zarządzanie politykami dostępu czy elastycznego przydzielania dostępów. W przypadku rozdzielnych sieci często nie jest to w ogóle możliwe, a dzięki nowemu podejściu, wszystko to może być realizowane z jednego miejsca.

Nie jesteśmy tutaj skazani na system danego producenta. Oczywiście możemy wybrać rozwiązanie "pod klucz", jakim jest Cisco DNA i SD-Access. W szczególności tą drogę polecamy organizacjom z mniejszym personalem IT, a także tym, którzy chcą skupić się na prowadzeniu i problematyce swojego biznesu.
 
Nie każdy ma czas na samodzielne tworzenie i potem dalsze utrzymywanie swojego systemu. Warto spojrzeć na to realnie i zastanowić się, czy znajdziemy na to czas. Bo stworzyć system to jedno, a dalej dbać o jego dalszy rozwój, aktualizacje oraz integrację ze zmieniającym się oprogramowaniem różnych innych rozwiązań to drugie. Zwłaszcza, że znalezienie specjalistów do obsługi rozwiązania, które ktoś nam zbudował pod nas "w garażu" nie jest łatwe.
 
 
W przedstawionej przez nas architekturze można stosować własne rozwiązania do zarządzania i monitorowania. Platformy należące do rodziny Cisco Catalyst 9000 wykorzystują otwarty system Cisco IOS XE i model danych YANG. Obsługują także protokół NETCONF i RESTCONF. Dzięki temu można je samodzielnie skonfigurować wedle własnego uznania, czy to ręcznie, czy poprzez inny systemu do automatyzacji czy sterowania budynkiem. Przykładem może być tutaj wykorzystanie Red Hat Ansible Automation, Cisco NSO czy konfiguracja wszystkiego w CLI.

Budując sieć kampusu czy budynku, można zastosować tradycyjną architekturę, który zakłada warstwę dostępu, dystrybucji i rdzenia, gdzie stosowane są tradycyjne protokoły L2 i L3, z jakimi mieliśmy do czynienia od lat.
 
Przy ciągle rosnącej popularności technologii i rozwiązań Internetu Rzeczy i co za tym idzie rosnącej ilości urządzeń IoT (ang. Internet of Things) nie można też zapomnieć o wydajnej obsłudze ruchu grupowego (ang. multicast).
 
 
 
 
W ten sposób transmisja jeden-do-wielu może być realizowana o wiele wydajniej. Wydajna obsługa ruchu multicast jest w szczególności potrzebna, jeżeli w naszej sieci realizowany jest streaming obrazu kamer do wielu rejestratorów, streaming danych do wielu tablic informacyjnych czy w ten sposób wysyłane są alarmy i zdarzenia z sensorów.
 
Cisco Catalyst 9000 obsługują tradycyjne mechanizmy, protokoły i technologie, jakie były stosowane od dawna i mogą mieć dziś zastosowanie. Dzięki REP (Resilient Ethernet Protocol) da się budować złożone topologie pierścieni. Dostępne są też znane wszystkim protokoły STP i RSTP w wersji Per-VLAN (PVST/PVST+) czy MSTP.
 
Oczywiście nie stosuje się ich już w rdzeniu czy nawet warstwie dystrybucji. Zamiast tego najczęściej doprowadza się L3 do przełączników dostępowych, a na tym buduje się sieci nakładkowe (ang. overlay) L2. W ten sposób możemy realizować wygodną makro segmentację. Stąd nawet w najprostszych modelach przełączników Cisco Catalyst 9000 znajdziemy obsługę routingu statycznego, RIP, OSPF, IS-IS czy EIGRP dla IPv4 i IPv6.
 
Makro segmentacja jest dziś czymś nieodzownym i warto o niej myśleć przy budowie każdej nowej sieci. Daje nam ona elastyczność w podłączeniu urządzeń końcowych różnych działów przedsiębiorstwa, wydziałów uczelni czy danych typów urządzeń w ramach całego kampusu, który może swoim obszarem obejmować wiele budynków. Bez względu, gdzie te urządzenia końcowe będą, mogą dzięki makro segmentacji działać jak w jednej sieci L2. Też w ten sposób wygodnie można udostępnią sieć podnajemcą, zachowując pełną izolację.
 
 
Przełączniki Cisco Catalyst 9000 obsługują także BGP EVPN VXLAN. To dzięki temu mogą zapewnić możliwość tworzenia sieci nakładowych, a co za tym idzie zapewnić makro segmentację i związaną z tym mobilność, separację ruchu oraz elastyczną możliwość podłączania do sieci użytkowników i ich usług. Mogą być one podłączane w dowolnym miejscu, a działać jak podłączone do tego samego przełącznika, w jednej logicznej sieci. BGP EVPN VXLAN zapewnia także większą skalowalność, bo aż do 16 milionów logicznych sieci.
 
Obecnie najczęściej L3 doprowadzone jest aż do warstwy dostępowej, stąd też często buduje się nieco prostszą architekturę, w której rdzeń pełni dodatkowo funkcję warstwy dystrybucyjnej. Jest to tak zwany Callapsed Core.
 
 
U dostawców usług internetowych (ISP - Internet Service Provider) do makro segmentacji od lat z powodzeniem stosowany jest MPLS (Multiprotocol Label Switching). Dzięki przełącznikom Cisco Catalyst 9000 można stosować go również wewnątrz sieci kampusowych i sieci budynków. Do makrosegmentacji korzysta on MPLS VPN.
 
W ramach rdzenia MPLS można sterować ruchem z użyciem MPLS TE (Traffic Engineering) i Segment Routing oraz stosować MPLS L3 VPN, VPLS, EoMPLS, MPLS over GRE i mVPN z użyciem MTD (Multicast Distribution Tree). Warto dodać, że obsługa MPLS realizowana jest w Cisco Catalyst 9000 sprzętowo, na poziomie UADP ASIC.
 
Budowa rdzenia kampusu czy budynku z użyciem MPLS może być dobrym pomysłem, kiedy ma on być współdzielony przez wiele różnych wydziałów czy działów lub też nasza sieć ma być udostępniana zewnętrznym podmiotom. MPLS pozwala zapewnić zarówno odpowiednią separację w ramach całej infrastruktury, jak i szybką transmisję danych.

Na pewnym poziomie realizuje się również wymianę ruchu pomiędzy wybranymi segmentami, czy udostępnia im usługi wspólne. Często pomiędzy nimi umieszcza się rozwiązania typu Cisco Firepower.
 
Przełączniki Cisco Catalyst 9000 obsługują również zwykłą segmentację z użyciem klasycznych VLAN. Działa na nich też uwierzytelnienie na bazie IEEE 802.1X oraz tagi SGT (Security Group Tag), które stosowane są w architekturze Cisco TrustSec. W ten sposób są w stanie realizować mikro segmentacje i bardzo granularnie kontrolować dostęp nawet w ramach tej samej sieci wirtualnej. Aby tego było mało, potrafią także wykrywać zagrożenia w ruchu zwykłym i zaszyfrowanym, bez jego deszyfrowania, naruszania prywatności oraz spadku wydajności. Jest to możliwe, dzięki Cisco ETA (Encrypted Traffic Analytics) i Cisco Stealthwatch.
 
Warto też pamiętać, jak wyglądają typowe sieci kampusowe i sieci budynków. Chroniący je Firewall zwykle nie widzi wszystkiego, a właściwie, to biorąc pod uwagę ilość ruchu wymienianego wewnątrz sieci, widzi niewiele. Zwykle Firewall widzi tylko to, co wymieniane jest z siecią zewnętrzną. To co wymieniane jest pomiędzy urządzeniami IoT oraz użytkownikami i różnymi urządzeniami końcowymi pozostaje niewidoczne. Czasem instaluje się też rozwiązania Firewall pomiędzy bardziej krytycznymi segmentami. Niemniej, nigdy nie widzą one wszystkiego co powinny.
 
 
Dlatego dziś tak ważne jest bezpieczeństwo wbudowane w każdy komponent sieci. Dzięki dostępnemu na routerach i przełącznikach firmy Cisco Systems mechanizmowi ETA, jest to możliwe. Oczywiście ważne jest też stosowanie wszelkich mechanizmów IPv4/IPv6 FHS (First Hop Security).

Jesteśmy partnerem Cisco Systems i za naszym pośrednictwem można zakupić ich rozwiązania na polskim rynku. Zainteresowanych zapraszamy do This email address is being protected from spambots. You need JavaScript enabled to view it.. Z nami masz pewność, że wszystko pochodzi z oficjalnego kanału.

Cisco Systems w swoim rozwiązaniu "pod klucz" o nazwie Cisco DNA i SD-Access wykorzystuje protokół LISP (Locator ID Separation Protocol). Zapewnia on izolację pomiędzy tym gdzie znajduje się użytkownik w sieci, a tym kim jest. W tradycyjnej sieci adres IP określa jedno i drugie. LISP rozdziela identyfikator określający kim jest użytkownik (EID - EndPoint Identifier) od identyfikatora określającego lokalizację użytkownika (RLOC - Routing Locator). W obu przypadkach tymi identyfikatorami mogą być adresy IPv4 i IPv6.

Kiedy użytkownik zmienia swoją lokalizację, zmienia się stosowne mapowanie EID na RLOC w rozproszonej bazie danych, która wskazuje jego położenie. Dzięki temu reszta sieci wie jak nadal kierować ruch do danego urządzenia końcowego. To tak w dużym uproszczeniu przedstawia ideę i sposób działania LISP. Dzięki LISP można zapewnić pełną mobilność z zachowaniem adresu IP przy zmianie lokalizacji, co jest kluczowe w coraz większych sieciach przedsiębiorstw czy rozległych sieciach kampusowych i sieciach budynków.

LISP, VXLAN i SGT stosowane są wewnątrz architektury Software-Defined Access, która opiera swoje działanie na Cisco DNA (Digital Network Architecture). W ten sposób rozwiązanie to jest w stanie zapewnić zarówno makro segmentacje, jak i mikro segmentacje (SGT) oraz łatwo integrować się z częścią data centrową sieci organizacji, do której należy m.in. Cisco ACI (Application Centric Infrastructure), które wykorzystuje z BGP EVPN VXLAN.
 
 
Zaletą wykorzystania Cisco DNA i SD-Access jest w pełni intuicyjna sieć. My definiujemy intencję, czy wymagania biznesowe, jak dla przykładu, że pracownicy kontraktowi nie mają mieć dostępu do urządzeń IoT oraz wewnętrznych serwerów z danymi finansowymi, a całą resztą związaną z realizacją naszej intencji zajmuje się inteligentny kontroler Cisco DNA Center. Takie podejście upraszcza wprowadzanie złożonych zmian w ramach dużej ilości urządzeń, co przekłada się na lepsze bezpieczeństwo oraz spójność i porządek w konfiguracji.

W miejscach takich, jak akademik studenckie sieć jest współdzielona przez wiele osób, co sprawia problemy przy używaniu w niej takich protokołów jak m.in. Bonjour, mDNS czy UPnP. Używamy ich najczęściej w domach, aby wygodnie wykrywać różne urządzenia i dostępne na nich usługi, jak dla przykładu Apple TV czy Google Chromecast.

Zwykle w sieci akademickiej oprócz naszych urządzeń widać wiele innych i zwykle jest ich bardzo dużo. Łatwo o pomyłkę i skorzystanie z nie swojego urządzenia, a też nasze urządzenia są narażone na nadużycia od strony innych. Każdy użytkownik powinien móc samodzielnie kontrolować dostęp w tego co jest w jego przestrzeni. Jeżeli nie ma takich możliwości, to zarządzanie i odpowiedzialność z tego tytułu spada na barki działu IT, dla którego nie jest to łatwym zadaniem, a patrząc realnie zwykle niemożliwym do spełnienia.   
 

Dzięki Cisco UDN (User Defined Network) możemy w takich miejscach zaprowadzić porządek i oddać użytkownikom kontrolę nad tym kto ma dostęp do ich prywatnych urządzeń. Zapewnia to wygodną obsługę wszelkich miejsc podobnych do akademików uniwersyteckich. Użytkownicy sieci samodzielnie, z wykorzystaniem aplikacji mobilnej dla systemu Android lub iOS mogą dodawać do prywatnej przestrzeni swoje urządzenia. W ten sposób nie są one widoczne dla innych, choć wszyscy działają w tej samej sieci. Dzięki temu możemy z nich tak samo bezpiecznie korzystać, jak w domu, bez zaprzątania głowy lokalnemu działowi IT. 
 
 
Z użyciem Cisco UDN możemy też je udostępniać w kontrolowany sposób innym. W związku z tym, że wszyscy jesteśmy w tej samej współdzielonej sieci, wystarczy zaprosić sąsiada do swojej prywatnej przestrzeni. Kiedy tylko zaakceptują zaproszenie, będzie mógł korzystać z naszych urządzeń, jednocześnie cały czas będąc w swojej sieci ze swoimi urządzeniami. Oczywiście, równie łatwo można odebrać sąsiadowi taki dostęp. 

Jak widać, budowa sieci z Cisco Catalyst 9000 jest naprawdę bardzo elastyczna. Można korzystać tylko z tradycyjnych i dostępnych w innych rozwiązaniach technologii i protokołów. W niektórych miejscach można dodatkowo wesprzeć sieć tym, co jest unikalne dla Cisco, ale jest czymś kluczowym dla bezpieczeństwa i działania naszego przedsiębiorstwa czy organizacji. Można też w całości skorzystać z rozwiązania "pod klucz".

Korzystać można z tradycyjnych VLAN, protokołów ringowych czy drzew opinających w L2 oraz budować różne topologie L3, z użyciem routingu statycznego, RIP, OSPF, IS-IS, EIGRP czy BGP. Można też korzystać z zaawansowanych rozwiązań do makro i mikro segmentacji czy tworzyć tak zwane fabryki (ang. Fabric).

Budowanie z Cisco, to więcej niż jeden wybór. Lepiej go mieć!

Na rynku jest zbyt dużo sprzętu z szarego kanału, stąd koniecznie sprawdzaj, czy firma sprzedająca produkty Cisco Systems jest na 100% jej partnerem handlowym. Sprawdzić można to w Cisco Partner Locator, gdzie też jesteśmy.

Zapraszamy do kontaktu drogą mailową This email address is being protected from spambots. You need JavaScript enabled to view it. lub telefonicznie +48 797 004 932.