Product van de maand: Extreme Fabric Connect

Traditionele ‘stap-voor-stap’-provisioning werkt, maar kent één zwakte. De provisioning wordt in een traditioneel netwerk exponentieel complexer met elke extra switch en dienst die je toevoegt. Daar is geen ontkomen aan.

Bij elke verandering moet elke switch in het mogelijke pad van het verkeer worden geprovisioned. Dit moet als er extra switches worden toegevoegd of aanvullende diensten moeten worden geïmplementeerd. Naarmate de matrix van switches en diensten dus toeneemt, neemt ook de complexiteit van de configuratie van elke afzonderlijke switch toe. Het aantal diensten en de provisioning hiervan kan dan exponentieel stijgen...

Om het nog lastiger te maken, zijn fouten snel gemaakt bij het inrichten van traditionele netwerken. In het gunstigste geval, zal het netwerk dan deels of zelfs geheel uitvallen. In het ergste geval maakt een hacker misbruik van de verkeerde configuratie van het netwerk.

Om dit op te lossen, moeten we op een andere manier kijken naar netwerken en de functies waarin het netwerk voorziet. In het bijzonder de scheiding van de routering (hoe data van het ene punt naar het andere komt) en de diensten (de logische netwerken die worden gerouteerd en die specifieke zakelijke behoeften invullen). Routering houdt bijvoorbeeld in hoe data van het ene kantoor naar honderd andere kantoren wereldwijd kan gaan. Een voorbeeld kan zijn: video-gesprekken en de netwerkservice, zoals een videonetwerk dat beveiligingscamera's toegang geeft tot een centrale server voor alle camera's.

Wanneer je een nieuwe kantoorlocatie toevoegt, hoef je alleen de routering te updaten. Als er een nieuwe dienst wordt toegevoegd of een bestaande dienst wijzigt, hoeft de dienst alleen aan de rand van het netwerk (edge locatie) te worden verbonden met het netwerk. Deze scheiding is de essentie van het voordeel van Fabric Connect ten opzichte van traditionele stap-voor-stap-provisioning.

Extreme's Fabric Connect is gebaseerd op het protocol SPBm. SPB staat voor ‘Shortest Path Bridging’ en is gebaseerd op de IEEE 802.1q. De standaard beschrijft twee verschillende rollen voor switches (of 'bridges', zoals de IEEE-standaard ze graag noemt) - de Backbone Core Bridge (BCB) die de routeringsfuncties uitvoert en de Backbone Edge Bridge (BEB) die de routering en diensten organiseert.

Laten we hier eens wat dieper induiken en bekijken hoe dat werkt...

De BCB bevindt zich in het centrum (core) van het netwerk en houdt zich enkel bezig met routering. Zijn taak is om er (samen met de andere BCB's in het netwerk, de Fabric genaamd) voor te zorgen dat het verkeer tussen de diensten op de meest efficiënte manier wordt gerouteerd. De term ‘shortest path’ (kortste weg) is er tenslotte niet voor niets.

In tegenstelling tot traditionele netwerken, probeert Fabric Connect geen paden door het netwerk te bepalen door slim te gokken (bijvoorbeeld protocollen zoals Spanning Tree). De term ‘auto-determination’ in traditionele netwerken zorgt ervoor dat uitdrukkingen als ‘network loop’ veel netwerkingenieurs angst inboezemen.

In plaats daarvan maakt Fabric Connect gebruik van IS-IS, wat staat voor 'Intermediate System to Intermediate System'. In feite is dit een mechanisme voor een groep fysiek verbonden SPBm-netwerknodes (ofwel de BCB's) om met elkaar te communiceren en zo de beste route voor data via het netwerk te bepalen. Dit werkt niet alleen automatisch, maar het is ook zelf herstellend. Als een BCB problemen ondervindt, zullen de andere BCB's er gewoon omheen routeren om het netwerk zo draaiend te houden. Meer koppelingen tussen BCB's zijn dus een goede zaak … Dit in tegenstelling tot andere mechanismen zoals in traditionele netwerken die kunnen resulteren in onvermijdelijke ‘loops’ en hiermee storingen en onderbreking van de operationele diensten kunnen betekenen.  

Eenvoudig gezegd, wordt elke BCB 'verteld' welke rechtstreekse koppelingen hij heeft met andere BCB's. Deze koppelingen worden ‘Network to Network Interfaces’ of NNI's genoemd. Het is belangrijk op te merken dat elke BCB alleen wordt geconfigureerd met de NNI’s waarmee hij rechtstreeks is verbonden. Dit voorkomt een grotere complexiteit van de configuratie als een nieuwe BCB wordt toegevoegd. Elke extra BCB heeft alleen invloed op de configuratie van zijn directe peers (aangesloten ‘buren’). De nieuwe BCB 'leert' over alle andere core switches via IS-IS.

Met elke extra BCB en elke extra NNI groeit het Fabric Connect netwerk en, belangrijker, wordt het veerkrachtiger. Hoewel Fabric-netwerken dezelfde topologieën als traditionele netwerken ondersteunen, wordt de toegepaste topologie onbelangrijk en komt continuïteit en de eenvoud van de techniek duidelijk naar voren. Dit omdat Fabric netwerken maar 1 protocol gebruiken, namelijk ISIS, in tegenstelling tot andere meer complexere netwerken zoals MPLS, BGP, OSPF, Spaning-Tree et cetera. Fabric technologie is 1 protocol dat eenvoud en volop redundantie en beveiliging biedt voor klanten.

Wanneer verkeer van diensten aan het core netwerk wordt aangeleverd, berekent Fabric Connect het meest efficiënte pad door het netwerk. Extra paden kunnen worden toegevoegd of paden worden vermeden (opzettelijk of bij een storing) en het core netwerk zal er automatisch omheen werken.

Samenvattend, houdt de BCB-provisioning zich dus alleen bezig met routering. De BCB-switches (of de netwerkingenieurs die ze beheren) hoeven niet naar de bestaande diensten te kijken of deze te configureren en kunnen zich concentreren op de Fabric routerende functies. De diensten aan het Fabric Connect-netwerk toevoegen of verwijderen, is volledig onzichtbaar en geautomatiseerd voor de BCB's, waardoor het netwerk eenvoudig is te beheren.

De BEB is verantwoordelijk voor diensten en routering. De eenvoudigste manier om een ​​dienst te visualiseren, is door een Layer 2-netwerk (lees VLAN’s)  te overwegen die automatisch verbinding maakt tussen twee of meer BEB’s. Elke dienst wordt uniek geïdentificeerd door een I-SID (Service Identifier) ​​en Extreme's Fabric Connect ondersteunt meer dan 16 miljoen diensten per netwerk. De I-SID wordt toegevoegd aan de bestaande data-pakketten waarmee onder andere VLAN-verkeer wordt getransporteerd.

Omdat onze routering wordt ingekapseld door de BCB's, kan het core netwerk worden beschouwd als een bubbel. BEB's worden rond de edges van de bubbel geplaatst en de diensten zijn verbindingen tussen de BEB's. Dit kan een beetje verwarrend zijn, dus laten we proberen het te visualiseren. Als we een dienst willen (bijvoorbeeld de eerdergenoemde beveiligingscamera), moeten we eerst beslissen over de unieke identificatie ervan. In dit geval gebruiken we dus een I-SID van 200. In ons netwerk hebben we twee camera's, elk verbonden met een andere BEB en de cameraserver. We moeten dus 3 BEB-switches vertellen dat ze dezelfde I-SID hebben op bepaalde poorten (dit is eigenlijk te simpel gesteld, maar daar komen we later op terug!)

Hoe de drie BEB's, die met de service zijn geconfigureerd, (dat wil zeggen I-SID) communiceren, is niet van belang voor de edge-switches. Ze zijn met de BCB's verbonden via gedefinieerde NNI-koppelingen, en ze markeren simpelweg het verkeer met de juiste I-SID en geven dat door aan de BCB's. De enige configuratie is het toewijzen van ondersteunde diensten (I-SID's) aan poorten.

Zoals gezegd, is het toewijzen van I-SID's aan poorten te simpel gesteld. Fabric Connect ondersteunt weliswaar het toewijzen van individuele BEB-poorten aan I-SID's, maar het is gebruikelijker om VLAN's aan I-SID's toe te wijzen, omdat dit een flexibele manier is om een ​​traditioneel netwerk te integreren met een Fabric-netwerk. Aangezien de mapping van I-SID naar VLAN ook per BEB gebeurt, is het zelfs mogelijk om verschillende VLAN's over dezelfde I-SID toe te wijzen, zoals weergegeven in het volgende schema:

Er zijn een aantal manieren die nog beter zijn om I-SID-mapping te automatiseren, maar daar komen we zo direct op terug.

Een belangrijk voordeel van Fabric Connect is dat alle communicatie via een I-SID door het core netwerk wordt getunneld. Elk 'elastisch' Layer 2-netwerk is dus secure en privé, waardoor het voor potentiële hackers veel moeilijker wordt om lateraal over het netwerk te bewegen (een veelvoorkomende vorm van aanvallen in traditionele netwerken waarbij je iets eenvoudigs aanvalt, zoals een IoT-sensor en vervolgens van daaruit overspringt naar een belangrijker netwerk).

Dezelfde voordelen gelden ook voor Layer 3. Als je tools zoals trace route vanaf een werkstation zou draaien, zou je netwerktopologie volledig onzichtbaar zijn. Dit wordt vaak ‘hypersegmentatie’ genoemd, omdat elk van de 16 miljoen diensten automatisch van elkaar wordt gesegmenteerd en de tunnels alleen bestaan ​​zolang de dienst wordt gebruikt. Fabric Connect is dus niet alleen eenvoudiger te beheren maar ook veel veiliger als ontwerp.

De voordelen van de BEB- en I-SID-abstractie zijn duidelijk. Je kunt naar hartenlust nieuwe diensten toevoegen en bestaande diensten wijzigen, zonder dat je de distributie en kernconfiguratie hoeft aan te passen. Nieuwe diensten kunnen in prime time worden toegevoegd, zonder de noodzaak van servicevensters of langdurige herconfiguratie en testen. Het netwerk kan met dezelfde snelheid meebewegen met de rest van het bedrijf, in plaats van dat het de snelheid van de organisatie bepaalt.

Nu dat we de routering (in de vorm van onze BCB's) en diensten (geleverd door de BEB's) hebben, is er nog één ontbrekend puzzelstukje: de clients. Onder clients verstaan we alles dat toegang nodig heeft tot de diensten van het Fabric-netwerk: laptops, AP's, sensoren, printers, servers, enz.

Over het algemeen wordt voor veilige netwerken een Network Access Control (NAC) gebruikt, zoals Extreme Control. Wanneer een client probeert verbinding te maken met het netwerk, is de NAC verantwoordelijk voor het verifiëren van de client. Traditioneel netwerken ondersteunen verschillende soorten client autorisatie (dat wil zeggen het specificeren wat een geauthentiseerde client mag doen) via bijvoorbeeld Access Control Lists, firewalls, VLAN's enzovoort. Fabric stelt de NAC in staat om de switch te informeren met welke VLAN/I-SID een client mag communiceren en welke netwerk policy moet worden toegepast. Dit automatiseert de edge van het Fabric-netwerk volledig en centraliseert de configuratie van de edge. Sterker nog, als een client zich in het netwerk verplaatst, kan de Fabric dezelfde diensten vanaf elke BEB uitbreiden naar de client, want NAC automatiseert de provisioning van hele edge.

Wanneer een nieuwe locatie op de Fabric wordt aangesloten, heeft de BEB automatisch toegang tot alle diensten. Op voorwaarde dat de NAC een verbindende client verifieert (en de client de juiste rechten krijgt van de NAC-service), biedt de Fabric de diensten elastisch aan zonder dat configuratie nodig is.

Als het netwerk geen SPBm edge-compatibel device heeft, biedt Extreme ook de functionaliteit ‘Fabric Attach’ in veel Extreme Edge-switches, Extreme AP's en devices van derden, zoals industriële switches en videobewakingscamera's (NEXANS, AXIS, Microsens). Met Fabric Attach kunnen verbindende clients (waarvoor Fabric Attach is ingeschakeld) zich aanmelden bij het netwerk en aangeven welke dienst ze willen gebruiken. Deze clients kunnen edge switches, access points of videocamera’s et cetera zijn. Het Fabric-netwerk helpt vervolgens bij de configuratie van de apparaten, levert service-ID's voor SSID's, beheert VLAN's en meer om zo de netwerk edge aanzienlijk te vereenvoudigen en automatiseren.

Een van de meest voorkomende ‘angsten’ is dat een technologie als Fabric Connect ervoor zorgt dat het huidige netwerk moet worden verwijderd en vervangen door een geheel nieuw netwerk (de zogenaamde 'forklift upgrade'). Fabric Connect ondersteunt Fabric Extend met als enige doel de Fabric uit te breiden via een IP WAN of zelfs via het publieke internet met IPSEC-encryptie.

Met Fabric Extend kunnen Fabric-netwerken (ofwel BCB's) worden uitgebreid in niet-Fabric netwerken. Je kunt bijvoorbeeld een Fabric-netwerk uitrollen in al je kantoren in Stockholm en Tokio en die kantoren met elkaar verbinden via MPLS of een ander traditioneel netwerk dat VLAN's en VRF's kan transporteren.

Fabric Edge switches van Extreme ondersteunen volledige ‘zero-touch’-implementatie. Fabric-switches detecteren aangesloten apparaten automatisch met behulp van de auto-sense-functies van Extreme. Apparaten, zoals andere SPBm-nodes, Fabric Attach apparaten en IP-telefoons, worden automatisch verbonden. 802.1x wordt ook geleverd als standaard back-up en garandeert zo een snelle en veilige uitrol en vervanging van switches in het netwerk.

Hopelijk heeft dit eenvoudige overzicht van Fabric Connect de interesse gewekt om hierover meer te willen weten. Hierbij enkele handige links die het onderwerp Fabric-netwerken verder uitdiepen: