НОВИНИ

Навіщо IT і бізнесу мережева фабрика і Cisco SD-Access

2017-11-07
Автор: Телесфера


У статті аналізуються типові проблеми, які стоять сьогодні перед корпоративною службою IT, і пропонується сучасний підхід до їх вирішення на базі мережевої фабрики Cisco Software-Defined Access (SD-Access).

Розглядаються ключові компоненти та технології, що лежать в основі Cisco SD-Access, а також принципи їх роботи.

На прикладі конкретних типових сценаріїв детально аналізуються переваги, пропоновані IT і бізнесу фабрикою SD-Access.

1. Яке завдання вирішується і навіщо?

Корпоративна служба IT знаходиться «між молотом і ковадлом».

З одного боку, бізнес вимагає забезпечити високу доступність мережі і очікує, що мережа повинна працювати завжди - в режимі 24x7, без винятків! Це очевидно. В IT важко знайти те, що турбує бізнес більше, ніж недоступність бізнес-процесів. А адже з розвитком цифрових технологій залежність бізнес-процесів від мережі тільки зростає.

З іншого боку, користувачі (а по суті, той же бізнес) вимагають підтримку нових сервісів, нових типів пристроїв, нових типів користувачів (в тому числі гостей, партнерів) і т.д. Всім їм потрібно забезпечити належну підтримку з боку мережі, причому швидко. Крім того, необхідно врахувати і вимоги служби ІБ.

Але вимоги впровадження нових сервісів і забезпечення високої доступності, як правило, суперечать один одному. Адже висока доступність передбачає перш за все стабільність мережі, що відомо як зі спеціалізованої літератури (наприклад Piedad, Floyd, and Michael Hawkins. High availability: design, techniques, and processes. Upper Saddle River, NJ: Prentice Hall PTR, 2001. Print), так і з загальних принципів, наприклад KISS (Keep it Simple Stupid), «працює - не чіпай» і т.п.

А впровадження нових сервісів мережі по визначенню порушує її стабільність, так як привносить в мережу щось нове, вимагає внесення змін. Ці зміни нерідко виявляються складними і великими - наприклад, впровадження рішень для спільної мультимедійної роботи і механізмів QoS, технологій безпеки і сегментації. Навіть рішення «транспортних» завдань може виявитися непростим, наприклад забезпечення зв'язності на Рівні 2 між точками А і Б в різних частинах кампусової мережі.

В результаті впровадження сервісів ускладнює мережу і вимагає багато часу, а іноді взагалі відбувається не в повному обсязі.

Є й інша сторона протиріччя між забезпеченням високої доступності та рішенням повсякденних бізнес-завдань. Бізнес-завдання зазвичай вимагають від мережі не просто передачу пакетів з точки А в точку Б, а реалізацію різного роду політик. Політики транслюються в конкретні вимоги, наприклад - як забезпечити безпеку, якими шляхами направити трафік різних додатків, як його обробляти і т.п. Будь-яка нетривіальна політика підвищує складність впровадження і експлуатації мережі.

Крім того, політики недостатньо впровадити. Необхідно також підтримувати їх в актуальному стані, вносити в них зміни. Подібні зміни в масштабах корпоративної мережі, особливо виконувані вручну - як правило, ресурсомісткі, довгі і дуже вразливі до помилок. В результаті доступність мережі знову має тенденцію до зниження, а операційні витрати - до підвищення.

Таким чином, в типовій, «класичній» корпоративній мережі

  • вимоги підвищення доступності та впровадження сервісів суперечать один одному;
  • реалізація політик ускладнена;
  • задача впровадження політик і підтримки їх в актуальному стані заважає забезпечити високу доступність мережі.

З цими труднощами служби IT стикаються повсюдно. Але бізнес не цікавлять труднощі IT. Бізнес цікавить, щоб бізнес-процеси працювали надійно, а впроваджувалися - швидко.

2. Мережева фабрика: поєднуючи непоєднуване

Як же вирішити ці суперечливі одне одному складні завдання, що стоять перед IT? Добре зарекомендував себе спосіб вирішення складних завдань - розбити одну задачу на кілька простіших, а далі вирішувати вже їх. Широко відомі приклади - семирівнева модель OSI або чотирирівнева модель DoD в рішенні задачі мережної взаємодії.

Концепція мережевої фабрики (оверлею)
Мал. 1. Концепція мережевої фабрики (оверлею)

У нашому випадку на допомогу приходить концепція мережевої фабрики, або накладення (overlay) (див. Мал. 1). Оверлей - це логічна топологія, побудована поверх деякої низлежачої топології (underlay), опорної мережі. Оверлей використовує будь-який вид інкапсуляції трафіку для передачі поверх опорної мережі. Поняття оверлею добре знайоме мережевим адміністраторам. Прокладаючи будь який тунель в мережі, адміністратор створює оверлей. Типові приклади - IPSec, GRE, CAPWAP, VXLAN, OTV і т.д.

Чому ж мережева фабрика допомагає подолати вищезгадані труднощі, які не виходить вирішити в «класичній мережі»?

У «класичній мережі» ці труднощі не вирішуються за принципової причини - тому що суперечливі вимоги пред'являються до одного і того ж об'єкту.

У разі ж мережевої фабрики об'єкт, до якого пред'являються вимоги, розділяється на два. Одна мережева топологія розділяється на дві.

Перша, низлежача топологія забезпечує надійний транспорт на основі маршрутизуємої мережі. Це її єдине завдання. Вона не реалізує сервіси і політики - вона не призначена для цього.

Завдання реалізації сервісів і політик вирішує друга, оверлейная мережева топологія. Вона відокремлена від низлежачої топології, як, наприклад, відокремлені один від одного протоколи різних рівнів моделі OSI.

Поява двох мережевих топологій і дає розв'язку суперечливим одна одній вимогам. В цьому і полягає принципова різниця між «класичною мережею» і мережевою фабрикою. Саме це і дозволяє мережевій фабриці подолати труднощі, з якими не може впоратися «класична мережі».

3. Що таке Cisco SD-Access?

Реалізації концепції мережевої фабрики вже є в багатьох корпоративних мережах. Наприклад, ідея фабрики на основі тунелів CAPWAP давно реалізована в централізованій архітектурі корпоративних мереж WLAN. Інший приклад - фабрика в мережах ЦОД в рішенні Cisco Application Centric Infrastructure (ACI). Фабрики набувають поширення і в територіально-розподілених мережах у вигляді технологій SD-WAN, зокрема, Cisco IWAN.

Настає час для появи мережевої фабрики і в кампусних мережах (див. Мал. 2).

Архітектура мережевої фабрики Cisco SD-Access
Мал. 2. Архітектура мережевої фабрики Cisco SD-Access

Cisco Software-Defined Access (SD-Access) - це реалізація Cisco концепції мережевої фабрики для кампусової мережі з централізованими засобами управління, автоматизації та оркестрації, а також моніторингу та аналітики.

Ці засоби надає контролер Cisco DNA Center - ключовий компонент рішення. DNA Center забезпечує веб-інтерфейс адміністратора і інтерфейси API.

Крім того, DNA Center реалізує сервіси аналітики, отримуючи і аналізуючи службову інформацію і телеметрію від пристроїв фабрики. DNA Center вирішує завдання перетворення маси розрізнених даних в конкретні висновки і практичні рекомендації. Такі висновки та рекомендації стосуються поточного стану мережі, її сервісів і додатків, поточних інцидентів. На підставі аналізу даних з урахуванням знання контексту DNA Center надає аналітику про ймовірний вплив інцидентів на сервіси мережі, рекомендує конкретні заходи для усунення інцидентів, аналізує тренди, дає рекомендації з планування ємності мережі. Це дуже важливий функціонал для моніторингу, швидкого пошуку та усунення несправностей. В остаточному підсумку він допомагає забезпечити високу доступність бізнес-процесів, що працюють поверх фабрики.

DNA Center працює спільно з сервером контролю доступу Cisco Identity Service Engine (ISE). ISE надає фабриці сервіси аутентифікації, авторизації і контролю доступу (ААА), забезпечує динамічне розміщення користувачів фабрики в групи і засоби управління політиками взаємодії між групами. ISE необхідний для реалізації в фабриці політики безпеки організації.
З точки зору мережевої інфраструктури фабрика складається з пристроїв, що виконують наступні ключові ролі.

Control Plane Nodes ведуть облік поточного місцезнаходження клієнтських пристроїв в межах фабрики. Це необхідно для вільного переміщення користувачів в межах фабрики зі збереженням призначених користувачеві політик і забезпечення їх мобільності.

Fabric Border Nodes необхідні для підключення фабрики до зовнішнього світу, тобто до мереж, які не є частиною фабрики. Наприклад, це можуть бути мережа ЦОД і інші частини корпоративної мережі, побудовані не на основі фабрики SD-Access, Інтернет і т.д.

Fabric Edge Nodes забезпечують підключення до фабрики клієнтських пристроїв, а також точок радіодоступу.

Fabric Wireless Controller являє собою контролер бездротових ЛВС, що працює в складі фабрики.

Intermediate Nodes забезпечують зв'язок між перерахованими вище пристроями. Вони не виконують ніяких функцій оверлею, а тільки реалізують опорну, низлежачу мережеву топологію.

З точки зору технологій, data plane фабрики Cisco SD-Access реалізований на базі інкапсуляції Virtual Extensible LAN (VXLAN). Control plane оверлею використовує протокол Locator/ID Separation Protocol (LISP). Політики реалізуються на базі тегів Scalable Group Tag (SGT) технології Cisco TrustSec. Нарешті, оверлей працює поверх маршрутизуємої опорної мережі. Розглянемо ці технології докладніше.

3.1. Data plane оверлею: VXLAN

Data plane фабрики Cisco SD-Access побудований на базі інкапсуляції VXLAN з Group Policy Option (VXLAN-GPO). Важлива перевага VXLAN полягає в збереженні початкового Ethernet-заголовка фрейму. В результаті забезпечується мобільність хостів фабрики не тільки на Рівні 3, але і на Рівні 2. Це дає гнучкий і універсальний транспорт. Хоч би якими були вимоги додатків, фабрика здатна надати їм будь-який вид транспорту - Рівнів 3 і 2 - незалежно від напрямку взаємодії хостів і їх розташування в фабриці.

Інкапсуляція в мережевий фабриці SD-Access
Мал. 3. Інкапсуляція в мережевій фабриці SD-Access

Трафік data plane фабрики (фрейми Рівня 2) инкапсулируется в пакети VXLAN і відправляється по мережі поверх UDP і IP (див. мал. 3). З точки зору проміжних пристроїв фабрики, це стандартні пакети IP з вкладеними сегментами UDP, адресованими на порт 4789. Номер source-порту UDP визначається хешем заголовків Рівнів 2, 3 і 4 вихідних пакетів і, таким чином, змінюється динамічно. Це важливо для належного розподілу навантаження технологією Cisco Express Forwarding (CEF) в опорній мережі. При розподілі навантаження метод full технології CEF використовує значення хеш-функції від адрес IP і портів транспортного рівня для вибору конкретного каналу зв'язку. Тому змінне значення source-портів UDP призводить до розподілу навантаження між різними каналами зв'язку навіть без застосування додаткових способів боротьби з поляризацією CEF.

VXLAN-тунелі не вимагають попереднього встановлення з'єднання, тобто є stateless тунелями.

Оверлей призводить до появи додаткових заголовків через використання опорної мережі (underlay) для транспорту. Це 8-байтний заголовок VXLAN, 8-байтний заголовок UDP, 20-байтний заголовок IP і 14-байтний заголовок MAC (з опциональнимі додатковими 4 байтами) - разом від 50 до 54 байт.

Інкапсуляцію трафіку в пакети VXLAN і назад в рішенні Cisco SD-Access виконують прикордонні пристрої фабрики. Для трафіку зовнішніх мереж це Fabric Border Nodes, для трафіку дротових клієнтів - Fabric Edge Nodes.

SD-Access також забезпечує інтеграцію бездротових мереж в фабрику (мал. 4). Такий режим роботи називається Fabric Enabled Wireless (FEW). На відміну від централізованої архітектури БЛВС, в режимі FEW трафік користувачів БЛВС тунелюється не на контролер БЛВС в пакетах CAPWAP, а на комутатор доступу Edge Node в пакетах VXLAN. Таким чином, трафік і дротових, і бездротових клієнтів надходить безпосередньо на комутатори Edge Node.

Інтеграція з бездротовою мережею в фабрику Cisco SD-Access (B - Border Node, C - Control Plane Node)
Мал. 4. Інтеграція з бездротовою мережею в фабрику Cisco SD-Access (B - Border Node, C - Control Plane Node)

В результаті забезпечується однакова обробка трафіку дротових і бездротових користувачів, оптимізація шляхів передачі трафіку БЛВС, усунення потенційних «вузьких місць», характерних для стику контролера БЛВС і провідної мережі.

Control & management plane бездротової мережі в режимі FEW залишається централізованим на контролері Fabric Wireless. Контролер використовує протокол LISP для обміну даними з Control Plane Nodes про поточне місцезнаходження бездротових клієнтів у фабриці. Точки радіодоступу взаємодіють з контролером по протоколу CAPWAP.

Таким чином, архітектура бездротової мережі при інтеграції в фабрику отримує «найкраще з двох світів».

3.2. Control plane оверлею: LISP

Мобільність хостів на Рівнях 2 і 3 - невід'ємна властивість фабрики. З точки зору data plane мобільність забезпечується технологією VXLAN, а в якості control plane використовується протокол Locator/ID Separation Protocol (LISP).

Щоб забезпечити можливість переміщення хостів в межах фабрики без зміни адрес, фабриці необхідно відстежувати місце розташування кожного окремо взятого хоста. При вирішенні цього завдання з використанням традиційних протоколів маршрутизації потрібна була б робота з host specific маршрутами з префіксами / 32 або / 128 (для IPv4 і IPv6 відповідно). Вимога роботи з host specific маршрутами по визначенню виключає агрегацію маршрутів, що призвело б до підвищеної витрати пам'яті комутаторів фабрики. Крім того, кожне переміщення хоста між комутаторами фабрики породжувало б апдейт протоколу маршрутизації, створюючи додаткове навантаження на CPU всіх комутаторів незалежно від того, чи потрібен на даному комутаторі цей маршрут чи ні.

В результаті реалізація мобільності хостів приводила б до високих вимог до ресурсів control plane. І ці вимоги стосувалися б прикордонних комутаторів фабрики - комутаторів доступу, у яких, як правило, немає потужного control plane.

Для вирішення цієї проблеми фабрика Cisco SD-Access використовує протокол LISP. Це дуже ефективний протокол, оптимізований для мобільності хостів. Фабрика містить централізовану базу даних користувачів Host Tracking Database (HTDB), що працює на пристроях ролі Control Plane Nodes. HTDB зберігає інформацію про відповідність клієнтського хоста (Endpoint ID) поточного розташування в межах фабрики, а також ряд додаткових атрибутів.

Прикордонні пристрої фабрики, використовуючи протокол LISP, запитують базу HTDB, коли їм потрібно передати пакет на клієнтський хост з невідомим місцем розташування, і зберігають цю інформацію в локальному кеші.

Інформація надходить в базу від прикордонних пристроїв фабрики в міру підключення і переміщення клієнтських хостів.

Таким чином, Cisco SD-Access дозволяє хостам вільно переміщатися в межах фабрики без зміни адрес, забезпечує їх мобільність.

3.3. Політики контролю доступу та сегментація: TrustSec

Фабрика пропонує гнучкі і масштабовані засоби для реалізації політик контролю доступу до ресурсів, а також сегментації і мікросегментації користувачів.

Історично для вирішення завдання контролю доступу застосовувалися списки контролю доступу (ACL), засновані на IP-адресах. Відбувалося це через те, що заголовок IP-пакета не містить ніяких інших даних, які могли б використовуватися для встановлення логічного зв'язку між IP-пакетом і користувачем.

Подібне рішення вимагає широкомасштабного впровадження ACL в багатьох місцях мережі, а також підтримання їх в актуальному стані, внесення змін. А можливих причин для таких змін багато - наприклад, нові вимоги політики безпеки, зміни в складі користувачів, ресурсів, топології мережі, мобільність користувачів в дротових і бездротових мережах. Тому такий підхід вимагає значних витрат часу і сил обслуговуючого персоналу. Крім того, він дуже вразливий до помилок. В результаті страждають безпека і масштабованість мережі, швидкість реакції IT на потреби бізнесу, доступність бізнес-процесів.

Сегментація користувачів довгий час реалізовувалася за допомогою віртуальних топологій, що збираються з VLAN'ов, VRF'ов, MPLS VPN'ов, тунелів та інших подібних засобів. Такий підхід також вельми ресурсномісткий і працює тим гірше, чим більше динаміки в середовищі сегментації і чим гранулярніше така сегментація потрібна.

Тому віртуальні топології особливо погано підходять для мікросегментації користувачів, але ж саме вона потрібна все частіше в зв'язку з цифровізацією сучасного бізнесу і еволюцією загроз безпеки (в тому числі масового поширення мережевих черв'яків-шифрувальників).

Для вирішення завдань контролю доступу та сегментації користувачів Cisco розробила технологію TrustSec. TrustSec використовує мітку Scalable Group Tag (SGT) замість IP-адреси в якості критерію приналежності пакета тій чи іншій групі користувачів. Такий підхід дозволяє відокремити адресацію від контролю доступу, використовувати спеціалізовані списки контролю доступу SGACL для реалізації політик контролю доступу, надати мережі гнучкість і автоматизацію застосування політик безпеки.

Базовий метод передачі міток всередині домену TrustSec (метод inline) полягає в інкапсуляції міток в заголовки фреймів або пакетів трафіку (в поле Cisco Meta Data). А в фабриці Cisco SD-Access значення мітки передається в складі заголовків VXLAN оверлею. Тема VXLAN містить поля VN ID і Segment ID (24- і 16-розрядні відповідно), див. мал. 3. Ці поля використовуються для перенесення інформації про приналежність пакету певної віртуальної мережі VN (адресується понад 16 млн. VRF) і групі SGT технології TrustSec (адресується понад 64 тис. міток). Таким чином, TrustSec початково є невід'ємним функціоналом фабрики. Крім того, інкапсуляція мітки SGT в заголовок VXLAN полегшує впровадження TrustSec - адже від проміжних пристроїв опорної мережі не потрібна робота з мітками.

Фабрика Cisco SD-Access дозволяє реалізувати два рівня сегментації користувачів: VRF для грубої сегментації на високому рівні (наприклад, для поділу організацій або їх підрозділів) і групи SGT для тонкої сегментації (наприклад, на рівні від організації до невеликих робочих груп). У першому релізі фабрики SD-Access SGT унікальні в межах VN, але в принципі можливі і так звані VN-Agnostic групи, присутні в різних VN, тому що SGT не залежить ні від IP-адрес, ні від VRF.

Окремої роз'яснення заслуговує і сам термін SGT. Він з'явився в процесі розробки технології TrustSec і спочатку носив назву Source Group Tag. Зусиллями маркетологів з часом термін став означати Security Group Tag. У разі TrustSec це було виправдано, адже SGT використовувалися для реалізації політик безпеки. І все ж, SGT - це всього лише мітка, число, що дозволяє розрізняти пакети. І це число підходить для реалізації будь-яких політик, не тільки безпеки, що і робиться в Cisco SD-Access. В результаті SGT тепер означає Scalable Group Tag.

Контроль доступу, налаштування та впровадження політик доступу проводиться на сервері Cisco ISE, інтегрованому в рішення Cisco SD-Access. В результаті SD-Access пропонує готові автоматизовані засоби реалізації політики контролю доступу організації, а також сегментації і мікросегментації користувачів.

3.4. Опорна мережа

Головне завдання опорної мережі з точки зору фабрики - забезпечити передачу трафіку оверлею. Для оверлею опорна мережа прозора. Тому в якості опорної мережі може підійти будь-яка сучасна корпоративна мережа, що забезпечує адекватний рівень доступності та продуктивності. Вона повинна надати прикордонним пристроям фабрики, таким як Fabric Edge Node, Border Node, Control Plane Node, зв'язок по протоколу IP.

У загальному випадку опорна мережа може бути побудована на базі будь-якого поєднання технологій Рівнів 2 і 3, хоча Cisco рекомендує будувати повністю маршрутизовану мережу (з маршрутизацією до комутаторів доступу) і каналами зв'язку, що мають конфігурацію point-to-point. Протокол маршрутизації теж може бути будь-яким, рекомендований варіант - IS-IS, що став стандартом де-факто в опорних мережах фабрик завдяки своїй незалежності від адрес Рівня 3, швидкої збіжності і наявності параметрів TLV.

У зв'язку з інкапсуляцією VXLAN оверлею Cisco рекомендує забезпечити передачу в опорній мережі jumbo-фреймів зі значенням MTU не менше 9,100 байт. Затримки передачі пакетів (RTT) всередині фабрики повинні не перевищувати 100 мс.

У якості устаткування опорної мережі походить будь яке відповідне цим вимогам обладнання, як від Cisco, так і від інших виробників. Можна використовувати вже наявну корпоративну мережу. Це забезпечує захист інвестицій в обладнання існуючої мережі, навіть якщо воно не підтримується фабрикою. В цьому випадку опорна мережа буде являти собою Manual Underlay, тобто управлятися автономно від фабрики.

Також є можливість автоматизації управління опорної мережі за допомогою інструментарію фабрики в разі використання відповідного обладнання Cisco (рішення Cisco SD-Access 1.0 забезпечує автоматизацію опорної мережі, побудованої на базі комутаторів Catalyst серій 3850/3650 і 9000). Це сценарій Automated Underlay. В цьому випадку провіженінг опорної мережі буде виконуватися функціоналом DNA Center. Контролер завантажить на пристрої опорної мережі попередньо протестовані конфігурації, побудовані на базі рекомендацій Cisco Validated Design. Ручне редагування конфігурацій пристроїв в режимі Automated Underlay на момент написання статті не допускається, але така можливість передбачається в майбутньому.

Крім захисту інвестицій, гнучкість вимог SD-Access до опорної мережі полегшує впровадження - можна почати з пілотного проекту, створення невеликої фабрики, що використовує в якості транспорту існуючу опорну мережу, і поступово провести міграцію на повномасштабне рішення.

4. Навіщо Cisco SD-Access бізнесу: типові сценарії

Ми розглянули ключові компоненти і принципи роботи рішення Cisco SD-Access. Тепер проаналізуємо практичну цінність рішення для IT і бізнесу на прикладі конкретних сценаріїв.

Розглянемо ряд завдань, типових для IT, і порівняємо дві умовних мережі: «класичну» і мережу на основі фабрики SD-Access (далі - мережа SD-Access).

Під класичною мережею в цьому порівнянні будемо розуміти кампусну мережу з комутуємим рівнем доступу і маршрутизованим ядром. Припустимо, що контроль доступу в такій мережі реалізується за допомогою списків контролю доступу (ACL), а більшість операцій з налаштування, усунення несправностей проводиться вручну. Мережа використовує RADIUS-сервер для контролю доступу користувачів.

Під мережею SD-Access будемо розуміти мережу, побудовану на основі фабрики Cisco SD-Access, що включає в себе мережеву інфраструктуру, контролер DNA Center і сервер контролю доступу Cisco ISE.

4.1. Як швидко запустити мережу в експлуатацію?

Одна з типових задач IT пов'язана з запуском в експлуатацію нових частин мережі або мереж на нових майданчиках, а також з модернізацією вже існуючих мереж.

Вирішення цього завдання в разі класичної мережі часто реалізується шляхом складної комбінації ручної праці і різнорідних засобів автоматизації.

З таким підходом важко забезпечити консистентні конфігурації обладнання при впровадженні та особливо в процесі експлуатації, коли неминуче виникають зміни. Процес слабо захищений від помилок внаслідок «людського фактора». І, нарешті, він не дозволяє гнучко адаптуватися до змін бізнесу - в процесі робіт з впровадження, що включають в себе розробку дизайну і конфігурацій, замовлення і фізичне постачання обладнання, стейджінг і впровадження конфігурацій - можуть відбутися зміни в потребах бізнесу і впроваджувана конфігурація виявиться застарілою ще до запуску мережі в експлуатацію!

Здавалося б, достаток засобів централізованого управління та додаткового інструментарію має вирішувати цю проблему. Але дані дослідження Cisco, за якими в корпоративних мережах близько 90% змін до сих пір проводиться вручну, свідчать про протилежне.

Мережа SD-Access пропонує інструментарій для оптимізації та автоматизації процесу. Cisco DNA Center дозволяє централізовано задати ієрархічну структуру майданчиків організації, прив'язаних до географічного місця розташування. Для об'єктів ієрархії можна централізовано вказати значення параметрів, наприклад адреси серверів AAA, NTP, DNS, колекторів даних NetFlow, Syslog і SNMP, паролі і т.п. Ці параметри можуть успадковуватися за ієрархією мережами інших майданчиків, а можуть задаватися індивідуально. Далі, DNA Center дозволяє створити шаблони конфігурацій для подальшого затвердження та впровадження в мережі. Крім того, мережа DNA пропонує інструментарій Plug and Play (PnP) для автоматизованого підключення нових пристроїв в фабрику з можливістю їх прив'язки до майданчиків ієрархії і централізованим розподілом конфігурацій по пристроях мережі.

У результаті мережа SD-Access забезпечує:

  • Значне прискорення розгортання мережі за рахунок автоматизації.
  • Зниження ризиків, пов'язаних з «людським фактором», за рахунок автоматизованої підтримки сумісних і актуальних конфігурацій пристроїв.

4.2. Як підключати клієнтські пристрої швидко і безпечно?

Тренд цифровізації призводить до значного зростання кількості і типів пристроїв,що підключаються до мережі. Це настільні комп'ютери і ноутбуки, смартфони і планшети, принтери, камери відеоспостереження, сенсори та інші пристрої Internet of Things (IoT) і т.д.

Необхідно переконатися не тільки в тому, що план IP-адресації мережі готовий до підключення всіх необхідних пристроїв, але і застосувати відповідні політики безпеки.

Традиційна мережа вимагає значних зусиль для вирішення цього завдання. По-перше, оскільки IP-адреси зазвичай використовуються не тільки для адресації, а й як критерій для застосування політик, план адресації ускладнюється, а внесення змін до адресації стає вельми скрутним. По-друге, складність реалізації політик часто призводять до того, що внутрішній периметр провідної мережі не захищений, а політики безпеки до пристроїв,що підключаються, не застосовуються або в кращому випадку застосовується базовий функціонал 802.1x.

Мережа SD-Access має централізований функціонал управління пулами IP-адрес, в т.ч. з інтеграцією з сервісами Infoblox. Це значно спрощує роботу з адресацією мережі. Крім того, і сама архітектура мережевої фабрики сприяє значному спрощенню IP-адресації, тому що дозволяє використовувати адреси тільки за їх цільовим призначенням. Більше немає необхідності «прив'язувати» політики до адрес хостів і підмереж. Крім того, навіть якщо через вимоги додатків або будь-яких клієнтських пристроїв потрібна «розтягнута» по кампусу IP-підмережа, оверлей дозволяє вирішити цю задачу без порушення дизайну маршрутизуюємої опорної мережі, без ризиків широкомовних штормів і інших неприємностей доменів Рівня 2. В внаслідок мережа SD-Access готова до підключення максимальної кількості пристроїв різних типів при мінімальних вимогах до кількості підмереж.

Захист внутрішнього периметра мережі реалізується завдяки інтеграції з сервісом Cisco ISE і службою каталогів Active Directory, що забезпечують динамічне і гранулярне застосування політик безпеки без прив'язки до IP-адрес.

Таким чином, мережа SD-Access пропонує:

  • Готовність до масового підключення пристроїв різних типів за рахунок простоти управління IP-адресацією, ефективності використання адрес і гнучкого транспорту Рівнів 2 і 3.
  • Значну оптимізацію витрат часу і сил на управління IP-адресацією.
  • Безпечне використання механізмів за рахунок простоти застосування динамічних, гранулярних політик безпеки без прив'язки до IP-адрес.

4.3. Як швидко адаптувати існуючі сервіси і політики до нових вимог бізнесу?

Ще зовсім недавно від мережі вимагалося відносно небагато - забезпечити доступ користувачів в Інтернет, до електронної пошти, до набору програм, які працюють в корпоративному ЦОД.

Але вимоги до мережі стрімко ростуть і продовжують зростати. Набирає обертів тренд цифровізації. Зростає кількість елементів мережевої інфраструктури, для яких необхідно проводити провіженінг, настройку, моніторинг, пошук і усунення несправностей. Стрімко зростає кількість підключень до мережі, і за цими підключеннями можуть стояти як користувачі (в разі комп'ютерів, телефонів, планшетів і т.п.), так і «машини» (системи автоматизації, цифрові вивіски, сенсори та інші пристрої Internet of Things ( IoT). Всім цим пристроям потрібно надати доступ в мережу з необхідним рівнем сервісу і правильними повноваженнями безпеки.

Просто забезпечити зв'язок між точками А і Б, як правило, вже недостатньо. Необхідні ще й політики. Політики можна класифікувати як транспортні (що визначають можливості взаємодії між областями мережі, вимоги до шляху передачі), політики безпеки (що визначають контроль доступу, автентичність, цілісність, конфіденційність даних), сервісні політики (що визначають обробку потоків трафіку мережевими функціями).

Наприклад, безпечна робота різних категорій користувачів і пристроїв в корпоративній мережі зазвичай вимагає належного контролю доступу. У ряді випадків взагалі краща ізоляція їх один від одного - наприклад, в разі доступу в мережу гостьових користувачів, впровадження пристроїв IoT і т.п.

Інші приклади - для телефонів або комп'ютерів з мультимедійними додатками, що працюють в бездротовій мережі, може вимагатися роумінг на Рівнях 2 і 3. Міркування вимог додатків або організації доступу до ресурсів можуть призводити до необхідності присутності однієї і тієї ж IP-підмережі в різних частинах корпоративного кампусу .

Повільне впровадження нових сервісів може означати втрачені бізнес-можливості і, в кінцевому рахунку, втрачену частку ринку. Тому мережеві сервіси та політики, важливі для роботи бізнес-процесів, повинні впроваджуватися чим швидше, тим краще. Виникає питання - як забезпечити запуск нових сервісів і політик, що відповідають вимогам бізнесу, причому зробити це швидко і по всій мережі?

Класична мережа в сучасних умовах вимагає все більше часу і зусиль для запуску нових сервісів і адаптації до змін в політиках, тому що вона являє собою набір автономних один від одного пристроїв. Крім того, пристрої класичної мережі можуть мати різні операційні системи, різні способи реалізації потрібного функціоналу, різні способи його налаштування в інтерфейсі командного рядка.

Централізовані засоби управління допомагають далеко не завжди. Хоча вони і дають можливості автоматизації багатьох IT-процесів, але створення єдиної, скоординованої політики вимагає функціоналу оркестрації, який на практиці відсутній в класичній мережі.

Інша обставина - з часом конфігурації пристроїв більшості корпоративних мереж «обростають» додатковими настройками, політиками і стають все більш складними і все менш консистентними. Це, в свою чергу, ускладнює використання засобів централізованого управління. У підсумку, згідно з внутрішнім дослідженням Cisco від 2016 р близько 90% змін в корпоративних мережах досі проводиться вручну. І це, як правило, не тільки довго, але й ризиковано через «людський фактор».

Мережа SD-Access пропонує більш сучасний підхід на основі технології програмно-визначаємої мережі і контролера Cisco DNA Center. Контролер керує як опорною мережею, так і оверлейною топологією і має цілісну картину всієї мережі. Адміністратор може задати політики, використовуючи графічний інтерфейс DNA Center.

Мережеві сервіси і політики існують не самі по собі, а для виконання певних вимог бізнесу, або «бізнес-намірів». DNA Center побудований навколо ідеї «бізнес-намірів» - адміністратор спочатку задає високорівневі деталі налаштування, логічні групи користувачів, бажані взаємозв'язки між ними, політики обробки трафіку і т.д., а далі контролер програмує мережеву фабрику з метою досягнення бажаного результату. Контролер взаємодіє з мережевою інфраструктурою через south bound APIs - Netconf/YANG, REST, а також CLI.

Крім того, контролер дозволяє абстрагувати корпоративну мережу за допомогою north bound REST API і застосовувати будь-які засоби програмування мережі, що працюють через ці API.

У результаті мережа SD-Access допомагає забезпечити оперативне впровадження мережевих сервісів і політик і, в кінцевому рахунку, швидко виконувати вимоги бізнесу.

4.4. Як реалізувати універсальний транспорт Рівнів 3 і 2? Як інтегрувати провідні та безпровідні ЛВС?

Багатство додатків і сценаріїв використання мережі в різних областях бізнесу, промисловості і т.д. може призводити до потреби в швидкому і надійному транспорті по всьому кампусу не тільки на Рівні 3, але і на Рівні 2.

Прикладами таких сценаріїв можуть бути:

  • Промислове підприємство, в якому через зміни потреб виробництва потрібно переміщувати обладнання, підключене до провідної мережі, а це обладнання не дозволяє легко змінити використовувану адресацію;
  • Університет, в якому студенти, персонал, дослідники переміщаються по кампусу і їм необхідний дротовий і бездротовий доступ до своїх програм без зміни підмереж;
  • Медичний заклад, в якому необхідно провести фізичну реконфігурацію лабораторного IT-середовища без змін в адресації;
  • Будь-яка організація, в якій вимоги додатків або сценарію використання призводять до необхідності розподілу єдиного домена Рівня 2 по кампусу або фізичного переміщення пристроїв без зміни IP-адрес.

Крім того, клієнтські пристрої стають все більш мобільними, можуть переміщатися і підключатися як до провідних, так і бездротових мереж.

Як же забезпечити універсальний транспорт Рівнів 3 і 2, створити єдину транспортну середу, що охоплює провідні та безпровідні ЛВС?

Вирішити цю задачу в класичній мережі важко. Для цього буде потрібно або прокладати VLAN'и по кампусу, жертвуючи простотою, надійністю і гнучкістю дизайну, або застосовувати традиційні оверлейні топології, наприклад MPLS VPN, що ускладнює мережу і підходить не для всіх організацій.

Інтеграція дротових і бездротових мереж являє собою окремі труднощі. В сучасних кампусних мережах найбільшого поширення набула централізована архітектура бездротових ЛВС, в якій трафік користувачів БЛВС тунелюють від точок радіодоступу на контролер і надходить в дротову мережу вже через нього. Тому трафік дротових і бездротових пристроїв обробляється по-різному, а застосувати до нього єдині політики важко.

Мережа SD-Access вирішує цю задачу завдяки оверлею, невід'ємної властивості фабрики. Інкапсуляція трафіку в пакети VXLAN забезпечує транспорт як Рівня 3, так і Рівня 2. А точки радіодоступу інтегруються в фабрику завдяки технології Fabric Enabled Wireless (FEW). Трафік і дротових, і бездротових користувачів надходить на фабрику через комутатори доступу (Edge Nodes), до нього можна застосовувати однакові, консистентні політики. Кожен комутатор доступу (Edge Node) мережі SD-Access реалізує control plane на базі протоколу LISP і забезпечує L3 Anycast Gateway. В результаті SD-Access дозволяє клієнтським пристроям зберігати одні і ті ж IP-адреси, переміщаючись по всьому кампусу.

Таким чином, мережа SD-Access реалізує:

  • Інтегрований, простий у використанні механізм транспорту на Рівнях 3 і 2.
  • Інтеграцію дротових і бездротових мереж в єдину транспортну середу.
  • Зниження витрат праці та ризиків, пов'язаних із забезпеченням транспорту Рівнів 3 і 2.

4.5. Як сегментувати мережу?

Небувалий зліт активності зловмисників, що спостерігається останнім часом, переводить багато загроз і векторів атак з теоретичної площини в практичну.

Наприклад, зловмисники викрали дані понад 40 млн. платіжних карт у Target, проникнувши в корпоративну мережу через підключену до мережі систему кондиціонування.

Епідемія черв'яків-шифрувальників, таких як WannaCry, Petya і т.п., завдала ще більшої шкоди по всьому світу.

Можна або запобігти, або істотно знизити ефект від подібних інцидентів шляхом впровадження сегментації мережі. Сегментація мережі дозволяє розділити користувачів мережі на відокремлені групи, трафік між якими контролюється або блокується в залежності від вимог політики безпеки і поточних обставин.

Рішення завдання сегментації в класичній мережі зазвичай досягається створенням віртуальних логічних топологій (наприклад, на базі VLAN, VRF, MPLS VPN і т.п.) і / або застосуванням списків контролю доступу (ACL). Обидва методи вимагають серйозних витрат часу і сил і ці витрати тим більше, чим динамічніше середовище сегментації. В результаті зміни політики сегментації реалізуються складно і довго. Крім того, як сегментація за допомогою віртуальних топологій, так і ACL вразлива до проявів «людського фактора», і ця вразливість знову ж тим більше, чим динамічніше вимоги сегментації. У деяких випадках ці обставини можуть взагалі призвести до непрактичності сегментації в класичній мережі.

Мережа SD-Access пропонує більш потужний і гнучкий інструментарій для вирішення завдання сегментації. Вона може виконуватися на двох рівнях. Перший рівень - сегментація на віртуальні мережі (Virtual Networks) за допомогою механізму VRF. Другий рівень - сегментація на групи (Scalable Groups) за допомогою технології Cisco TrustSec.

Сегментація на базі VRF оптимальна для грубого поділу на віртуальні мережі, склад яких відносно статичний. Наприклад, це можуть бути окремі віртуальні мережі для корпоративних співробітників і інженерних підсистем будівель. Інший приклад - окремі мережі для компаній, що входять в одну групу компаній.

Сегментація на базі TrustSec дуже зручна для динамічних середовищ, в яких часто змінюються і склад груп користувачів, і правила їх взаємодії. TrustSec дозволяє задавати групи користувачів і правила взаємодії централізовано на сервері Cisco ISE. Далі ці правила поширюються по мережі автоматично і реалізуються мітками SGT і списками контролю доступу на основі міток SGACL.

TrustSec забезпечує дуже високий ступінь автоматизації. Технологія оптимальна для динамічних середовищ і може успішно використовуватися для мікросегментації користувачів на малі групи.

Технологія TrustSec реалізована в широкому спектрі серій обладнання Cisco і може застосовуватися незалежно від фабрики SD-Access. Але крім цього, TrustSec глибоко інтегрована і в фабрику і є однією з її невід'ємних функцій, якими можна легко скористатися при експлуатації мережі SD-Access.
Крім того, оскільки мітки SGT передаються в складі заголовків VXLAN, немає необхідності підтримки технології TrustSec на кожному проміжному пристрої фабрики або застосування додаткових протоколів control plane, таких як SXP. Досить реалізації TrustSec на прикордонних пристроях фабрики, яка і так присутня в них спочатку.

Таким чином, SD-Access пропонує елегантне рішення задачі сегментації за рахунок інтеграції технології TrustSec в функціонал фабрики.

У результаті мережа SD-Access забезпечує:

  • Значне зниження ризиків ІБ і простою бізнес-процесів через «людський фактор» завдяки інтегрованим і простим у використанні, але дуже потужним засобам сегментації на базі технологій VRF і TrustSec.
  • Значну оптимізацію витрат праці на сегментацію за рахунок автоматизації.
  • Значне прискорення реалізації сегментації за рахунок автоматизації.

4.6. Як реалізувати цілісну, консистентну, динамічну політику по всій мережі?

Практично будь-яка сучасна мережа має ту чи іншу реалізацію політик - політик безпеки, обробки трафіку, якості обслуговування (QoS) і т.п.

Реалізація політик критично важлива, тому що саме вона в кінцевому рахунку і забезпечує транспортне середовище з потрібними бізнесу сервісами і якістю.

У класичній мережі політики реалізуються у вигляді комплексу складних у впровадженні та експлуатації налаштувань мережевої інфраструктури.

Мережа SD-Access пропонує можливість реалізації єдиних, сумісних політик за рахунок коштів оркестрації DNA Center і властивостей фабрики. Крім того, такий функціонал динамічний і тому зручний з точки зору адаптації до мінливих вимог бізнесу.

4.6.1. Політика безпеки

Розглянемо реалізацію політики безпеки на прикладі класичної мережі. Контроль доступу - найважливіший компонент політики безпеки - в класичній мережі часто спирається на IP-адреси хостів і підмереж як критерію для прийняття рішення.

Це відбувається тому, що в заголовку IP-пакета немає даних, що дозволяють ідентифікувати користувача, визначити його приналежність до тієї чи іншої групи. Тому в якості заміни доводиться використовувати IP-адреси хостів і підмереж.

Політика, реалізована на основі IP-адрес, стає не централізованою, а розподіленою по мережі в конфігураціях пристроїв. З'являються ACL довжиною в тисячі рядків. Користувачі і пристрої групуються по VLAN'ам. Підмережі використовуються для групування користувачів і пристроїв з якими-небудь ознаками. Створюються віртуальні мережеві топології для сегментації трафіку. IP-адреси стають просто перевантажені смисловим навантаженням.

В результаті такий підхід до реалізації політики призводить до великих витрат часу і сил, а також підвищену вірогідність помилки.

Крім того, використання IP-адрес в якості критерію для застосування політик позбавляє мережу гнучкості: з'являється взаємозв'язок з адресацією, доводиться створювати більше підмереж і VLAN'ів, ніж це було б необхідно без урахування вимог політики. Внесення змін до мережі стає все довше і ризикованіше, процеси експлуатації, пошуку та усунення несправностей - складніше, а мобільність хостів без застосування додаткових методів, тунелюючих трафік користувача, непрактична, оскільки зміна місця розташування часто призводить до зміни підмережі.

Реалізація політики безпеки на основі IP-адрес працює тим гірше, чим більше динаміки в мережевому середовищі. А такої динаміки зазвичай багато і в сучасних мережах з часом стає все більше.

Мережа SD-Access дає можливість реалізувати єдину цілісну політику, використовуючи як критерій для застосування політики не IP-адрес, а групу SGT (Scalable Group Tag), інформація про яку інкапсулюється в заголовок VXLAN мережевої фабрики. Призначення користувачів в групу SGT можна робити централізовано і динамічно по відношенню до бази даних сервера контролю доступу Cisco Identity Services Engine (ISE), а також Active Directory. Призначення в групу SGT робиться з урахуванням додаткового контексту, такого як профілювання і posture.

В результаті мережа SD-Access забезпечує цілісну, консистентну, динамічну політику по всій мережі, незалежну від IP-адрес.

4.6.2. Політика якості обслуговування (QoS)

Політики якості обслуговування (QoS) в сучасних корпоративних мережах реалізуються, як правило, в рамках моделі DiffServ. Модель передбачає класифікацію і маркування трафіку додатків на кордоні домену DiffServ з подальшим диференційованим обслуговуванням всередині домену на підставі проведених маркувань.

Повномасштабна реалізація політик QoS в умовах класичної мережі дуже складна. До ключових причин можна віднести, як мінімум, наступні:

  • Складність конфігурації функціоналу QoS і налагодження його роботи.
  • Складність внесення змін у реалізацію політики QoS.
  • Неконсистентність функціоналу QoS і (в ряді випадків) помітні відмінності в методах його налаштування на обладнанні, що утворює мережу.
  • Складність належної класифікації трафіку через неефективність наявних коштів класифікації (наприклад, на підставі адрес і портів мережевого і транспортного рівнів) або недоступності на наявному обладнанні ефективних засобів (наприклад, NBAR2, що поєднує механізми DPI, DNS-AS, статистичний і поведінковий аналіз і ряд інших засобів).

На момент написання статті Cisco веде роботу над функціоналом створення політик QoS в інтерфейсі DNA Center. В результаті з'явиться можливість вибору майданчиків мережі і впровадження (push) політики QoS на пристрої фабрики.

Централізована оркестрація і автоматизоване впровадження QoS покликані вирішити проблему складності конфігурації та оновлення політики. Застосування єдиної апаратної бази (наприклад, інтегральних мікросхем UADP) на комутаторах фабрики і єдиного програмного забезпечення IOS-XE на комутаторах і маршрутизаторах фабрики значно підвищують консистентність реалізації QoS. Нарешті, елементна база фабрики підтримує механізми NBAR2 класифікації додатків на додаток до традиційних методів.

Таким чином, мережа SD-Access пропонує інструментарій для ефективного централізованого впровадження політики QoS в корпоративному середовищі.

4.6.3. Політика обробки трафіку

У корпоративної мережі також виникає потреба застосування політик обробки трафіку, наприклад для вибору конкретного шляху проходження трафіку (traffic engineering) і віддзеркалення потрібного трафіку.

В умовах класичної мережі подібні політики можна реалізувати за допомогою статичних і динамічних засобів, наприклад Policy Based Routing (PBR), MPLS Traffic Engineering (MPLS TE), відповідних методів SPAN і т.п.

Мережа SD-Access пропонує інтегрований і набагато простіший у впровадженні та використанні функціонал Path Preference і Traffic Copy Contracts, реалізований засобами DNA Center і фабрики.

4.7. Як ефективно усувати інциденти, які трапилися? Як запобігати майбутнім інцидентам?

З точки зору бізнесу мережа повинна забезпечувати рівень доступності та якості обслуговування, необхідний і достатній для оптимальної роботи бізнес-процесів.

Вирішення цього завдання в ідеалі повинно проводитися проактивно, попереджуючи інциденти ще до їх виникнення. На практиці в класичній мережі це виходить рідко. За даними дослідження Cisco, 85% опитаних компаній практикують реактивний, а не проактивний підхід. Адміністратори перевантажені масою різнорідних даних, що надходять від мережевих пристроїв і оброблюваних різними методами за допомогою різних інструментів, але ці дані не пропонують конкретних керівництв до дії. Важко отримати цілісний погляд на мережу, важко локалізувати корінь проблеми. В результаті навіть реактивне усунення проблем не завжди відбувається оперативно і все рідше влаштовує бізнес.

Мережа SD-Access пропонує розв'язати цю задачу за допомогою функціоналу DNA Center. Він забезпечує цілісний погляд на корпоративну мережу і надає висновки про інциденти, пов'язані з мережею, користувачами і додатками. Ці висновки допомагають зробити конкретні кроки для усунення причини інцидентів.

Також DNA Center проводить аналіз трендів, що відбуваються в мережі, і прогнозує їх наслідки. Ця інформація допомагає впровадити проактивний, а не реактивний підхід до вирішення інцидентів.

Крім того, DNA Center отримує потокову телеметрію від елементів мережевої інфраструктури і надає адміністратору відомості про мережеві події з точністю до секунд.

У результаті мережа SD-Access надає:

  • Ефективну допомогу в рішенні інцидентів.
  • Допомога в переході від реактивного до проактивного підходу в експлуатації мережі.
  • Інструментарій для забезпечення високої доступності бізнес-процесів.
  • Зниження ризиків збоїв бізнес-процесів.

5. Підсумки

Фабрика Cisco Software-Defined Access (SD-Access) являє собою новий підхід до побудови корпоративних мереж і робить великий крок вперед в порівнянні з класичними кампусними мережами. За значущістю цей крок можна порівняти з переходом від комп'ютерів з інтерфейсом командного рядка до комп'ютерів з графічним інтерфейсом користувача.

Фабрика пропонує службі IT нові потужні можливості в області дизайну, впровадження, експлуатації корпоративної мережі, реалізації політик, а також пошуку та усунення несправностей. Ці можливості дозволяють IT виконувати вимоги бізнесу швидко і якісно. З'являється можливість мінімізувати рутинну роботу, виділити більше часу на більш стратегічні, важливі завдання, які мають більш високу цінність для роботодавця, а також дають конкурентні переваги на ринку праці.

Бізнес, в свою чергу, отримує значні переваги в швидкості виконання ініціатив і рішення задач, що спираються на мережу. В кінцевому рахунку це допомагає розширити займану частку ринку, збільшити виручку. Також Cisco SD-Access пропонує бізнесу значно знизити рівень ризиків збоїв бізнес-процесів, пов'язаних з «людським фактором», і принципово новий рівень безпеки інформаційного середовища.

Джерело: https://habrahabr.ru/company/cisco/blog


Про компанію Телесфера Інтеграція.

Телесфера Інтеграція заснована в 2012 році та являється інтегратором новітніх технологічних рішень для бізнесу.  Ми розробляємо рішення, що роблять Ваш бізнес успішним.

Основні напрямки роботи компанії:

  • Побудова локальних обчислювальних мереж;
  • Налаштування мережевого обладнання передових виробників (Cisco Systems, Aruba Networks та інших);
  • Продаж телекомунікаційного обладнання;
  • Аудит локальних обчислювальних мереж;

e-mail: office@telesphera.net
Телефон: (093) 198-11-82

КОММЕНТАРІ ДО СТАТТІ

Cisco Security Cloud, розроблена як найбільш відкрита платформа в галузі

Cisco Security Cloud, розроблена як найбільш відкрита платформа в галузі

Під час конференції RSA, RSAC 2022, Cisco оприлюднила своє бачення глобальної уніфікованої платформи для наскрізної безпеки в мультихмарних середовищах. Cisco Security Cloud створено як відкриту платформу безпеки без публічного блокування, що забезпечує стійкість безпеки та захищає цілісність усієї ІТ-екосистеми.

Cisco SD-WAN з AWS Cloud WAN для глобальної хмарної мережі на вимогу

Cisco SD-WAN з AWS Cloud WAN для глобальної хмарної мережі на вимогу

SD-WAN тепер є основною частиною переходу до хмари для організацій, які впроваджують інфраструктуру як послугу для забезпечення доступності додатків на вимогу. Але цей перехід має тривати постійно. Ручне підключення від філії до хмари або регіон за регіоном більше не є ефективним або масштабованим.

Cisco допоможе підприємствам активізувати перехід на гібридну модель роботи

Cisco допоможе підприємствам активізувати перехід на гібридну модель роботи

Сьогодні всі підприємства змушені адаптуватися до масштабних цифрових трансформацій, що відбулися за останні два роки і докорінно змінили їх технологічні стратегії та характер діяльності, включаючи гібридні хмарні середовища для об'єднання приватних та публічних хмар, штучний інтелект та машинне навчання для прискорення впровадження IoT-рішень, гібридну модель роботи для захищеного підключення всіх працівників та всіх цифрових активів. Успішна організація гібридної роботи не обмежується лише ефективною підтримкою віддалених працівників. Необхідно мати можливість адаптуватися до змін у міру їх виникнення, і це насамперед стосується корпоративних мереж.