В конце июня компания Cisco представила обновление своей реализации SDN (Sofware Defined Network) для campus-сетей в рамках свой концепции Cisco Digital Network Architecture (DNA). DNA — программно-аппаратное решение для campus-сетей, основанное на последних поколениях сетевого оборудования, поддерживающего управление через REST API используя YANG модели. Обновления касаются системы управления сетью, мониторинга, аналитики, в том числе обрабатываемой с помощью технологии машинного обучения, и обратных связей между ними, благодаря чему возможна проактивная реакция на возможные неполадки в сети и сетевые угрозы.



Сейчас у бизнеса все чаще появляются запросы на гибкость в изменениях ИТ-инфраструктуры. Внедрение Cisco DNA как раз и означает для компаний переход к более гибкой модели управления сетевой инфраструктурой, понимание в рамках компании: кто, куда, когда, заходил и сколько данных передал или получил.



Архитектура цифровых сетей Cisco Digital Network Architecture (DNA) предоставляет клиентам ряд инструментов и функций, среди которых как программные, так и аппаратные решения. Поговорим о них подробнее.

DNA Center — система управления сетью, основной упор в которой сделан на простоту и легкость обращения. В Cisco решили отказаться от громоздких, многоуровневых меню, отдав предпочтение интуитивному подходу. Система полностью охватывает процессы, связанные с конфигурированием и проектированием сети, а также связанные с разнообразными политиками и исполнениями.

Предоставляемая DNA Center информация позволяет централизованно управлять всеми сетевыми функциями и оптимизировать производительность сети и приложений. Через систему управления можно управлять всеми устройствами (не важно, десять их или сотни), настроить их автоматическую установку, а также существенно снизить количество ошибок при автоматическом обслуживании сети. Достигается это благодаря тому, что система в режиме реального времени получает информацию, в которой содержатся данные о работе сети в целом, подключенных сетевых устройств и запущенных на них приложениях. На основании анализа, в котором применяются методы машинного обучения, пользователь получает информацию о наличии тех или иных проблем, их источниках и способах устранения.

Еще один важный аспект работы с Cisco DNA Center — это применение политик не к сетевым устройствам, а к пользователям и приложениям. Это позволяет существенно сэкономить время (особенно в крупных сетях с тысячами устройств), так как не нужно настраивать политики для конкретных устройств или их групп. Например, можно настроить политику безопасности для определенной группы пользователей, не затрагивая при этом устройства — эта политика будет регулировать доступ пользователей к устройствам и регламентировать, какие операции можно на них совершать. То есть, вместо настройки десятков устройств можно один раз задать настройки для пользователей и все. Это также уменьшает количество ошибок, связанных с человеческим фактором, что в больших сетях тоже немаловажно.

Software-Defined Access (SD-Access, программно-определяемый доступ) — это решение, которое используется для автоматизация применения политик, идентификации пользователей и устройств, а также их мобильности, сегментации сети. Она позволяет существенно упростить доступ пользователей и устройств к сети. SD-Access автоматизирует настройку, конфигурирование и отладку сети, тем самым существенно сокращая время, затрачиваемое на эти процедуры в ручном режиме. Причем выполняется это на любом участке сети — от небольшого департамента до облака. SD-Access предоставляет инструменты для настройки ключевых функций, например доступа сотрудников в сеть из любого места, безопасной сегментации сети, гостевого доступа, интеграции с интернетом вещей (IoT), центрами обработки данных и облаками.

Также эта технология обеспечивает безопасность организации, разделяя трафик, используемый сотрудниками, устройствами и приложениями без необходимости перенастройки сети и обеспечивая выполнение разнообразных политик (в том числе и безопасности) пользователями и устройствами на автоматическом уровне. Это реализовывается благодаря виртуализации оборудования.

В рамках SD-Access, в конце июня компания Cisco представила новое поколение сетевого оборудования доступа, ядра и агрегации оптимизированного под концепцию DNA и задачи SDN. Это Cisco Catalyst серий 9300, 9400, 9500.

Network Data Platform and Assurance (NDP) — аналитическая платформа, отвечающая за сбор данных. Этот инструмент умеет классифицировать и анализировать большие объемы информации, которые передаются по сети. Сюда также входит информация от пользователей, устройств и приложений. На основе обработки этих данных, служба DNA Center Assurance выдает аналитику и оперативную информацию о состоянии сети, а также составляет прогнозы. Для работы с этой информацией предоставляется удобная панель, где можно легко получить доступ ко всем востребованным функциям, например, к управлению аналитическими заданиями.

Приведем пример. Инструмент Cisco Network Data Platform (NDP) собирает записи NetFlow, события Simple Network Management Protocol (SNMP), активности контроллера беспроводной сети и системные логи в реальном времени, чтобы постоянно контролировать, как работают устройства, пользователи и приложения. На основе этих данных инструмент определяет нормальное поведение, а затем отслеживает аномальную активность и необычные всплески трафика. Эта обработанная информация оперативно передается на панель управления, где уже можно определить причину аномального поведения того или иного пользователя или устройства и найти решение этой проблемы.

Один из способов визуализации аналитической информации — выставление «баллов здоровья» компонентов сети. Они показывают места, где присутствуют проблемы с производительностью, а также их наиболее вероятная причина. Система при этом может подсказать способ устранения проблемы. Она также оценивает тенденции в сети и может указать на места, где вероятнее всего проблемы возникнут в будущем. Это позволяет выявить неполадки еще до того, как они повлияют на работоспособность сети.

На основе информации, которую собрала аналитическая платформа, администраторы могут вносить те или иные изменения в работу сети. Для того, чтобы проверить, как будет работать сеть после внесения изменений, Network Data Platform and Assurance позволяет запустить сценарии формата «что, если». Это позволяет увидеть, как эти потенциальные изменения могут повлиять на производительность сети, прежде чем внедрять их.


Схема работы аналитической платформы

Encrypted Traffic Analytics — система анализа зашифрованного трафика. Ее наличие в Cisco DNA обусловлено тем, что на сегодняшний день около половины кибератак происходят через зашифрованный трафик. И, по мнению многих экспертов, количество подобных атак со временем будет только увеличиваться. Encrypted Traffic Analytics, на основе машинного обучения и статистики, позволяет обнаруживать в зашифрованном трафике разнообразные угрозы, не прибегая к его расшифровке. Как следствие, администраторы получают существенную экономию времени, а конфиденциальность передаваемых данных остается нетронутой. Как это происходит? Система анализирует поток зашифрованных данных при помощи Cisco Talos, а также используя технологии машинного обучения. По словам представителей компании, точность реагирования на угрозы этого решения составляет 99%, а количество ложных срабатываний — менее 0,01%. Таким образом можно обнаружить угрозы в сети, которые могли бы оставаться незамеченными на протяжении более ста дней — именно подобную схему отложенного заражения используют многие шифровальщики, в том числе WannaCry и Petya 2.0.

Коммутаторы серий Catalyst 9000 — это новая линейка коммутаторов, разработанная с учетом самых последних моделей работы — использования мобильных и облачных технологий, интернета вещей, а также с обеспечением высокого уровня безопасности. Построены коммутаторы этих серий на новом Cisco ASIC UADP 2.0. Эта линейка включает в себя такие серии:

Catalyst 9300 — следующее поколение коммутаторов доступа. Эти сетевые коммутаторы обеспечивают до 384 портов Cisco UPOE, PoE+ и PoE, высокий уровень безопасности, интеграцию с облачными сервисами, а также поддерживает набор стандартов IEEE (в том числе 1588), обеспечивающих наилучшую передачи аудио- и видео-контента внутри сети. Всего в линейку входит 14 моделей, ознакомиться с их техническими характеристиками вы можете по ссылке.

Catalyst 9400 — модульные коммутаторы, обеспечивающие пропускную способность до 8 Тбит/с на шасси и до 480 Гбит/с на слот. Они имеют встроенную систему безопасности и систему шифрования MACSEC256, поддерживают большинство возможностей и стандартов, доступных в Catalyst 9300 и поддерживают безопасное сегментирование с помощью инструмента SD-Access. В линейке имеются десяти- и семислотовые модели, более подробно ознакомиться с их функциональностью вы можете по ссылке.

Catalyst 9500 — первые 40-гигабитные коммутаторы для корпоративного сектора. Они поддерживают все основные возможности младших моделей и являются лучшими решениями для построения корпоративной архитектуры Cisco Software-Defined Access. В арсенале производителя присутствует три модели серии Catalyst 9500, с подробными характеристиками которых можно ознакомиться по этой ссылке.

Вместе с новыми коммутаторами серии Catalyst 9000 клиенты могут оформить подписку на то или иное фирменное ПО. Оно помогает решить самые актуальные задачи современного ИТ — обеспечивает возможность построения филиальных сетей, защищенной сети центров обработки данных, которая работает с общими, частными или гибридными облаками, а также передачу потокового (и не только) аудио и видео по всей сети. Лицензирование происходит достаточно гибко, тут все зависит от конкретных потребностей. Можно сразу оформить подписку на полный пакет программного обеспечения Cisco ONE, а можно заказать только те решения, которые необходимы, сэкономив таким образом средства. Приобретая решения Cisco ONE клиенты получают их не зависимо от количества машин, на которых они будут использоваться. Например, при расширении имеющейся инфраструктуры и увеличении количества серверов и виртуальных машин, не потребуется дополнительно приобретать лицензии, можно будет сразу разворачивать на них решения Cisco без дополнительных затрат. Также эти лицензии не привязываются к конкретному оборудованию, их можно использовать и после апгрейда имеющегося железа.

В рамках пакета Cisco ONE предоставляются такие решения:

Cisco ONE for Access — средство управления доступом;

Cisco ONE Subscription for Switching — решение для коммутации;

Cisco ONE for WAN — средство управления глобальными сетями;

Cisco ONE for Data Center Networking — инструмент упрощающий создание масштабируемых, надежных и защищенных центров обработки данных и облачных сетей;

Cisco ONE for Advanced Security — средство управления сетевой безопасностью.

В сухом остатке

Система Cisco Digital Network Architecture предоставляет пользователям широкие возможности постройки интеллектуальной сети с возможностью самообучения и высокой степенью автоматизации. Такой подход позволяет высвободить большое количество ресурсов ИТ-отдела и перенаправить их с выполнения рутинных задач на решение более важных вопросов. Такие возможности обеспечиваются как на аппаратном, так и на программном уровне. Пользователь также получает надежную систему защиты от современных киберугроз и возможность выбирать именно те компоненты, которые необходимы в работе.

Комментарии (0)