Исследовательская компания Gartner уже шестнадцатый раз подряд включает компанию Aruba, являющуюся частью Hewlett Packard Enterprise, в число лидеров квадранта Enterprise Wired and Wireless LAN Infrastructure.
Aruba HPE регулярно проводит технологические мероприятия Tech Update, где обсуждает состояние и перспективы развития корпоративных сетевых технологий и представляет свои достижения в этой области. Предваряя состоявшуюся в начале декабря зимнюю сессию Tech Update, руководитель департамента сетевых решений Aruba HPE в России Екатерина Пряникова сообщила, что основным трендом развития корпоративных сетевых технологий и сферой своих стратегических усилий на ближайшее времяAruba считает направление «сеть как сервис». По ее словам, ряд продуктов Aruba уже сегодня можно потреблять как сервисы, при этом для их приобретения можно использовать финансовые сервисы компании Hewlett Packard Enterprise.
Архитектура распределенных сетевых сервисов. Технический консультант компании Aruba Арсений Анплеев напомнил, что наряду с экспоненциальным ростом объемов внешнего трафика ЦОДов растет объем внутреннего трафика. По его словам, за пределы ЦОДов не выходит до 70% генерируемого внутри (между виртуальными машинами, серверами, контейнерами, микросервисами рабочих приложений и т. п.) трафика. Фабрики Spine-Leaf научились справляться с этим трафиком, обеспечивая хорошую масштабируемость, производительность и отказоустойчивость внутри ЦОДа.
Однако на фоне роста объема внутреннего трафика задача обеспечения его ИБ фабриками Spine-Leaf не решается в соответствии с растущими требованиями к ИБ. Для ее решения, утверждает Арсений Анплеев, важно обеспечить полную видимость пользователей, устройств, приложений и процессов в сети. Уменьшить области атак можно за счет микросегментации трафика и «белых списков» приложений. Для защиты трафика следует использовать системы быстрого обнаружения, блокировки и реагирования на атаки до того, как данные будут повреждены или похищены.
Коммутаторы Aruba CX10000. Современным требованиям к сетевой ИБ ЦОДа, как подчеркнул Арсений Анплеев, удовлетворяет анонсированная в октябре компанией Aruba HPE архитектура, в которой -сервисы ИБ и балансировки трафика размещаются непосредственно вблизи нагрузки в каждой стойке ЦОДа.
Данная архитектура распределенных сетевых сервисов для внутреннего трафика ЦОДов в решениях компании Aruba строится на основе коммутаторов серии Aruba CX10000 (см. рис. 1), которые, как утверждают в компании, являются первыми в отрасли коммутаторами для построения и эксплуатации инфраструктуры распределенных сервисов Distributed Services Switch. Сервисы поддерживаются не только между коммутаторами Aruba CX10000, находящимися в стойках, но и между портами каждого отдельного коммутатора, к которым могут быть подключены серверы, а также между виртуальными машинами внутри этих серверов. В результате пограничный межсетевой экран (стойка E на рис. 1) обслуживает в основном внешний трафик, обеспечивая периметровую безопасность.
Кроме традиционных функций коммутации внутри ЦОДа коммутатор Aruba CX10000 благодаря двум встроенным процессорам обработки данных (DPU) компании Pensando поддерживает также функции межсетевого экранирования, защиты от DDoS-атак, сбор расширенной сетевой телеметрии (а в скором времени будет обеспечивать трансляцию адресов, шифрование и балансировку трафика) с суммарной производительностью 800 Гбит/с (рис. 2).
Конфигурацию Aruba CX10000, включая сервисы ИБ, удобнее и проще проводить, как рекомендует Арсений Анплеев, используя приложение Aruba Fabric Composer — оно позволяет выполнять все настройки в графическом интерфейсе, следуя пошаговым инструкциям. Как и вся серия коммутаторов CX, устройства CX10000 работают на операционной системе AOS-CX. Выпустить коммутаторы на рынок Aruba обещает в самое ближайшее время.
Среди главных характеристик складывающейся вокруг
- гибкие возможности доступа к устройствам в формате «сеть как услуга» через сервисы HPE GreenLake for Aruba и лизинг на устройства через HPE Financial Services;
- услуги технической поддержки, сервисы по проектированию и внедрению сетей, дополнительные консультации через компанию HPE Pointnext Global Services;
- сообщества профессионалов airheads community и Aruba Solution Exchange, помогающие заказчикам своей экспертизой;
- опубликованные на ресурсе GitHub готовые инструменты для автоматизации использования оборудования и средства создания таковых собственными силами.
SD-WAN. Рынок программно-определяемых глобальных сетей (SD-WAN), по прогнозам аналитиков, вырастет с 1,9 млрд. долл. в 2020 году до более чем 8,4 млрд. долл. в
В числе главных преимуществ решений, реализующих технологию SD-WAN для бизнеса, Михаил Комаров назвал:
- экономию на WAN-каналах связи благодаря возможности отказаться от аренды каналов MPLS и использованию только подключений к интернету без потери скорости и надежности передачи данных;
- высокую степень автоматизации развертывания и поддержки, существенно снижающую требования к квалификации администраторов сети и расходы на обслуживание;
- высокую производительность приложений (в том числе в виде моделей обслуживания SaaS и IaaS).
Современная унифицированная платформа SD-WAN состоит из трех компонентов (рис. 3): оркестратора; устанавливаемых в узлах сети WAN устройств EdgeConnect; опционного компонента оптимизации сегмента WAN.
Оркестратор (отвечающий за централизованные настройки и управление, политики доступа, видимость приложений, детальный мониторинг сети WAN в реальном времени, отчетность, автоматическое устранение неполадок в каналах связи) можно развернуть в собственной инфраструктуре как решение on premise или можно установить в публичном облаке, и получать его функционал в виде сервиса по подписке. В оркестраторе в простом и удобном режиме можно провести все необходимые настройки сети: задать шаблоны конфигурации её топологии, настройки приоритизации трафика и качества обслуживания, безопасности и т. д., а затем с помощью функций интерфейса оркестратора, которые в Aruba называют Business Intent Overlays, в соответствии с заданными шаблонами оперативно ввести в эксплуатацию все филиальные устройства Aruba EdgeConnect.
Устройства EdgeConnect поддерживают широкий спектр каналов связи WAN (широкополосный интернет, MPLS, LTE и др.), реализуют маршрутизацию и оптимизацию WAN-трафика, через функционал поддержки качества QoS для трафика в интернете обеспечивают передачу трафика, чувствительного к качеству, через движок точек на дюйм позволяют с первого пакета определять принадлежность трафика к тому или иному приложению; в сегменте LAN поддерживают LAN-маршрутизацию (OSPF/BGP), протокол DHCP, технологию VLAN, функции межсетевого экранирования.
EdgeConnect могут быть представлены как физическими устройствами (с пропускной способностью от 10 Мбит/с до 10 Гбит/с), так и виртуальными машинами, которые реализуются на наиболее распространенных платформах виртуализации, облачными решениями в инфраструктуре популярных облачных платформ. При вводе устройств EdgeConnect в эксплуатацию применяется двухфакторная аутентификация. Управление этими устройствами осуществляется из оркестратора.
Wi-Fi. Как сообщил архитектор сетевых решений Aruba Алексей Цемарков, при разработке беспроводных решений компания, следуя пожеланиям заказчиков, делает акценты на надежность, пользовательский опыт, простоту в обслуживании, гибкость внедрения, автоматизацию и безопасность.
К серьезным актуальным проблемам сетей Wi-Fi, на преодолении которых сегодня сосредоточена индустрия беспроводной связи, Алексей Цемарков отнес существенное уменьшение эфирного времени на передачу полезных данных с увеличением количества подключенных к соответствующей точке доступа пользователей из-за того, что между пользовательскими устройствами и точкой доступа передаются контрольные пакеты. При подключении сотни клиентов такие потери могут достигать 50%.
Значительные улучшения произошли в Wi-Fi с приходом стандарта Wi-Fi 6, предусматривающим использование технологии мультиплексирования с ортогональным частотным разделением (Orthogonal frequency-division multiplexing, OFDM). Это позволяет пускать в эфир одновременно несколько клиентов, правда, с немного уменьшенной полосой пропускания для каждого (что в принципе несущественно для коротких пакетов, которых в сети Wi-Fi до 80%).
На рынке (в Америке, Южной Корее, Саудовской Аравии) уже появились решения, построенные на технологии Wi-Fi 6E, в которой используется диапазон частот 6 ГГц. По оценкам экспертов из IDC, уже в 2022 году Wi-Fi 6E будут поддерживать около 20% пользователей сетей Wi-Fi.
Стандарт Wi-Fi 6 поддерживают все точки доступа серий 5ХХ. Среди них есть модели повышенной защищенности, предназначенные для использования в специальных условиях — на улицах, в больницах, в производственных помещениях повышенной опасности и т. д. Cтандарт Wi-Fi 6E поддерживают точки доступа серий 6ХХ. В России они появятся сразу, как только диапазон 6 ГГц будет разрешен для использования.
Современные решения Wi-Fi для небольших сетей компания HPE Aruba, как сообщил Алексей Цемарков, предлагает строить на основе точек доступа в режиме Instant, в операционной системе которых встроен виртуальный контроллер управления сетью Wi-Fi. На первой развернутой точке доступа такой корпоративной Wi-Fi-сети проводятся все необходимые сетевые настройки, а все последующие точки доступа при включении обнаруживают активный виртуальный контроллер первой точки и начинают работать под его управлением в соответствии с проведенными на контроллере настройками. К настоящему времени Aruba HPE протестировала сеть Wi-Fi со 128 точками доступа с возможностью подключения двух тысяч пользователей. Для наиболее нагруженных сетей Aruba HPE предлагает решения с внешними аппаратными или виртуальными контроллерами. Для больших сетей и поддержки продвинутого функционала при построении сети требуется внедрение оркестратора, который называется Mobility Conductor (см. рис. 4).
Mobility Conductor позволяет строить из внешних контроллеров кластеры, предоставляющие пользователям пул ресурсов. Для каждой точки доступа и каждого клиента в кластере назначается один основной и один резервный контроллеры. Это обеспечивает бесшовный роуминг подключений: клиенты остаются привязанными к своему контроллеру даже при роуминге между точками доступа до тех пор, пока назначенный им контроллер остается в рабочем состоянии, а в случае его отказа клиент автоматически переключается на резервный.
В кластере между контроллерами производится автоматическое перераспределение нагрузки со стороны точек доступа и клиентов. Программное обеспечение контроллеров обновляется без прерывания сервиса. Постоянный контроль за качеством функционирования радиосети, ее оптимизация производятся благодаря реализованной в контроллерах технологии AirMatch, построенной с использованием искусственного интеллекта. С помощью другой технологии — ClientMatch — в Wi-Fi-сети Aruba каждого клиента автоматически подключают к тем точкам доступа, которые обеспечивают для него наивысший уровень сервиса в соответствии с характеристиками подключения и ускоряют работу клиентов и всей сети. Технология AirSlice в свою очередь позволяет распределять радиоресурсы сети Wi-Fi в соответствии с требованиями к ним со стороны приложений (соблюдая приоритеты критических), обеспечивая тем самым необходимую им производительность.
Все подключения к Wi-Fi-сети Aruba (пользовательских устройств, устройств IoT и др.), как сообщил Алексей Цемарков, производятся в соответствии с назначенными подключаемым ресурсам ролями, что упрощает применение всех политик обслуживания, в том числе и политик ИБ.
Для эффективного обслуживания устройств IoT каждая современная точка подключения Aruba поддерживает наиболее распространенные стандарты подключения таких устройств, выполняя тем самым функции IoT-шлюза и предоставляя возможность строить на базе сети Wi-Fi инфраструктуру IoT.
