Fabric to the Edge oraz Zero Touch Provisining od Extreme Networks

O technologii Fabric Connect pisaliśmy już wielokrotnie, ale jest ona jednak na tyle dynamicznie rozwijana, że warto wspomnieć o zmianach i nowościach. Hasło Fabric to the Edge jest od pewnego czasu aktywnie promowane przez Extreme Networks – przyjrzyjmy się co ono może oznaczać dla użytkowników i administratorów oraz jak dzięki temu może wyglądać bezobsługowy onboarding (Zero Touch Provisioning).

Wprowadzenie do sprzedaży przełączników z serii Universal Hardware (również tych przeznaczonych do warstwy dostępowej), które mogą pracować pod kontrolą systemu Fabric Engine powoduje, że Fabric Connect dociera teraz do samego brzegu sieci. Wcześniejszy koncept zakładał tworzenie rdzenia sieci w oparciu o Fabric Connect i połączenie go ze switchami dostępowymi z systemem Switch Engine/EXOS przy użyciu Fabric Attach. Na nich były konfigurowane tradycyjne VLANy oraz mapowane były do nich usługi I-SID, którymi posługiwał się rdzeń sieci. Zadaniem Fabric Attach było informowanie przełączników rdzeniowych o wytworzonych usługach. Dzięki Universal Hardware na brzegu można budować wspólną dla całej sieci płaszczyznę Fabric Connect i zapomnieć o mapowaniach, VLANach i wielu protokołach tradycyjnych sieci, upraszczając całą koncepcję.

Jakie niesie to ze sobą korzyści?

1. Fabric Edge powoduje, że cała nasza sieć korzysta z usług – pozbywamy się trwale konfigurowanych VLAN-ów na rzecz dynamicznie tworzonych i automatycznie propagowanych serwisów I-SID już od brzegowego przełącznika. Zwiększamy wygodę administrowania oraz bezpieczeństwo, a zmniejszamy ryzyko ludzkiego błędu

2. Konfiguracja sieci odbywa się w większości na switchach dostępowych – liczba operacji na warstwie rdzeniowej i agregacyjnej jest ograniczona do minimum. Ograniczamy ryzyko potencjalnych przerw w działaniu infrastruktury i tym samym wymiernych strat finansowych

3. W całej infrastrukturze redukujemy liczbę używanych protokołów (które odpowiadają m.in. za zapobieganie pętlom, agregowanie łączy, czy sygnalizacje VLAN).

Automatyzacja Level Hard

Dla Fabric Edge kluczowe jest użycie portów auto-sense.
Co ta technologia ma nam do zaoferowania w tym przypadku?
Nowy przełącznik, który zostanie podłączony do infrastruktury Fabric Connect tworzy połączenie NNI (Network to Network Interface) po czym automatycznie skonfiguruje swoje parametry w infrastrukturze Fabric. W tym momencie śmiało można powiedzieć, że nasz Fabric zaczyna konfigurować się sam. Oprócz wykrywania innych przełączników i tworzenia połączeń NNI (Network to Network Interface), umożliwia tworzenie połączeń UNI (User to Network Interface). Switch automatycznie rozpoznaje podłączonego klienta, oraz to, czy wspiera 802.1X, albo czy trzeba autentykować go po adresie MAC. Nad samym procesem autentykacji oraz przydzielenia do właściwej usługi I-SID czuwa system NAC – Extreme Control. Auto-sense może również rozpoznać kamerę lub telefon IP i także wykreować dla nich właściwą usługę. Poza tym wprowadzono obsługę serwisu onboardingowego – tutaj pojawią się nowo podłączane urządzenia.

Zero Touch Provisioning – czyli jak podłączyć przełącznik i móc o nim zapomnieć.

Fabric Edge wraz z portami auto-sense zapewnia również nowe możliwości dla Zero Touch Provisioningu. W rozwiązaniu Extreme, mózgiem ZTP jest Extreme Cloud IQ Site Engine – platforma on-premise zarządzająca przełącznikami oraz Extreme Cloud IQ jako chmurowa platforma zarządcza. W tym wpisie skupmy się jednak na rozwiązaniu on-prem. Chwilę wcześniej wspomniałem o automatycznym skonfigurowaniu Fabric na nowo podłączonym przełączniku. Jest to początek procesu ZTP – kolejnym etapem jest zgłoszenie się przełącznika właśnie do Site Engine (przełącznik w ramach serwisu onboardingowego uzyskuje adresację IP, serwer DNS, oraz prefiks domeny, po czym szuka Site Engine po nazwie domenowej). Dzięki Site Engine automatycznie może być ustawiony szereg konfiguracji – profil dostępowy (poświadczenia CLI oraz SNMP), wszelkie funkcjonalności i protokoły na przełączniku, a na końcu zostanie on również dodany do systemu kontroli dostępu oraz systemu analityki, który działa na podstawie przekazywanych flowów.

Ciekawym elementem procesu jest jednak wykorzystanie skryptów oraz tzw. wokflow. Są to zbiory skryptów oraz akcji, które wykonywane są m.in. podczas ZTP. Jako przykład niech posłuży nam workflow Onboard Mgmt VLAN. Skłąda się na niego skrypt Python, który na bazie dostarczonych danych takich jak np. serial numer switcha oraz pożądana konfiguracja interfejsu MGMT całkowicie automatyzuje tworzenie dedykowanego interfejsu management i umożliwia masowe wdrażanie przełączników. W ramach onboardingu switch zostanie dodany do platformy Site Engine, wytworzony zostanie na nim odpowiedni VLAN Mgmt oraz ustawiona zostanie m.in. brama sieciowa tej podsieci. Liczba workflow jest spora, a Extreme udostępnia kolejne, które automatyzują coraz większą liczbę operacji administracyjnych. Jak zbudowany jest workflow? Poniżej przykład, który odpowiada za automatyzację zmiany systemu operacyjnego z Switch Engine do Fabric Engine:

Dzięki zastosowaniu workflow można zautomatyzować wiele procesów, które towarzyszą dodawaniu nowych urządzeń do naszej infrastruktury, a sam proces ZTP jest naprawdę bezobsługowy. Co ważne – workflow to nie tylko automatyzacja wdrożenia. To automatyzacja dowolnych procesów administracyjnych, które będą wykonywane w sieci.

Nowa koncepcja Fabric Edge umacnia i rozwija dotychczasowe założenia i zalety rozwiązań Extreme Networks. Oprócz wysokiej automatyzacji działania zyskaliśmy bezobsługowe uruchamianie urządzeń. Nasze ostatnie wdrożenia potwierdzają to – po kilkunastu minutach od momentu uruchomienia przełącznika i dopięcia go do istniejącej infrastruktury, mamy w pełni skonfigurowany przełącznik w ramach Fabric Connect i możemy podłączać do niego klientów, którzy są autentykowani w oparciu o system NAC, a to wszystko dzieje się bez ingerencji administratorów.