Aruba 360 Security Exchange Network Quality Analysis Dynamic Path Selection Policy-Based Routing Micro-segmentation Aruba Central SD-Branch ClearPass Headend SD-WAN Aruba 軟體定義 廣域網路 SDN DPS PBR NQA

Wi-Fi控制器多功化 落實軟體定義分支機構

2018-11-01
以有線與無線網路整合為基礎,Aruba日前新提出軟體定義分支機構(SD-Branch)解決方案,主要是延伸無線網路控制器的技術能力,用以提供總部(Headend)與分支機構(Branch)各自佈建閘道器,讓兩地端透過IPSec VPN來建立點對點的傳輸通道,同時搭配Aruba Central雲端控管平台,簡化遠端部署與建立統一控管政策,藉此提升用戶體驗同時降低安全性風險。
針對分支據點數量較多的企業或組織,例如壽險、物流、旅遊等產業,Aruba台灣區資深技術經理陳清淵觀察,目前再精簡仍須建置路由器等IT設備,多數是以成本為主要考量,其中唯一難以避免的昂貴支出主要是線路,即便不是租用MPLS-VPN連回總部而採用較為便宜的Internet線路,也必須建置路由器提供IPSec VPN功能連線回到總部,來確保資料同步的安全性。

近年來為了因應行動化應用普及,無線網路接取服務已成為外點必要的建置,問題是分支據點通常未配置專屬IT人力,對於總部的IT部門而言,維運與確保安全性的負擔日漸沉重。Aruba之所以提出SD-Branch解決方案,即是為了解決分支機構當下面臨的棘手問題。

首先必須提供零接觸配置(ZTP)部署設計,以及自動登錄設備的App,只要簡單地接上電源與網路線即可運行;其次是讓傳統須手動操作的配置設定、依據應用需求調整異動等,可運用Aruba Central雲端平台統一控管處理。

人與設備皆依據角色規範存取資源

▲ Aruba台灣區資深技術經理陳清淵認為,行動化應用帶來的便利性與生產力,使得分支機構應用場景逐漸轉變,不僅無線網路接取服務成為必要的建置,連線回到總部存取資源則須透過IPSec VPN通道,以確保安全性。
在SD-Branch解決方案中,微切分(Micro Segmentation)可說是新納入的技術概念。陳清淵說明,分支機構可能會有印表機、監視器等連網裝置,隨著部署數量增多,必須具備統一管理能力才不至於失控。以前交換器的設定,須依據連接埠來區分應用,網路線至多以不同顏色標籤來標示,根本無法進行彈性化配置。Aruba設計的微切分則是以角色來區隔使用者與連網裝置,只要接取網路服務,透過ClearPass與控制器設備,依據特徵碼辨識使用者或設備歸屬的角色,即可達到自動套用控管政策,不論信任或非信任皆可納管。

「前述作法類似於智慧型邊緣(Intelligence Edge)的概念,在控管平台上先行定義,讓相異的設備皆可套用合適的控管政策,不單純只是提供接取服務,更可藉此協助IT人員進行控管。這正是我們提出軟體定義分支機構的最主要用意。」陳清淵強調。

就微切分定義來看,Aruba的設計較著重於應用層運作模式。陳清淵舉例,交換器可提供不同部門連線存取雲端服務,不同部門只要配置設定於相同的網段即可互通,透過微切分實作,則可建立彼此之間隔絕運行的環境,讓存取資源無法共用,所有人與設備的連線行為,皆依據不同角色規範控管允許或禁止存取資源。

此外,亦可藉由Aruba 360 Security Exchange技術合作夥伴計畫,透過ClearPass平台基於RESTFul API整合Check Point、Palo Alto Networks等資安廠商的偵測技術,一旦發現惡意行為,隨即拋轉資訊通知ClearPass,觸發Adaptive Trust機制採取行動執行隔離機制,以降低危害。

以7000系列控制器為基礎整合架構

過去的分支機構必須建置路由器、交換器、防火牆,甚至是廣域網路優化設備提供壓縮技術來加快傳輸回應的速度,Aruba則設計了分支機構閘道器,即使僅有四個連接埠的最小型號Aruba 7005,也可具備前述所有功能,同時USB連接埠還可搭配4G LTE接收器建立備援線路。

除了已內建的路由器與交換器功能,分支機構閘道器亦包含深度封包檢測(DPI)技術的狀態防火牆(Stateful Firewall),提供2Gbps到8Gbps的吞吐量,以及Aruba設計用來辨識使用者存取網站安全性的WebCC(Web Content Filtering),執行篩選過濾惡意行為。

「其實軟體定義分支機構之所以受到青睞,主要目的大多是為了省錢。根據Gartner於2018年年初發布的市場調查報告中指出,運用軟體定義網域網路的主要驅動力為節省開支,其次才是簡單部署、廣域網路線路彈性配置、改善應用服務問題排除效率等方面。」陳清淵說。

Aruba SD-Branch方案中,總部與分支機構閘道器本就是7000系列的控制器,更新韌體版本即可提供相關功能,只要在Aruba Central平台上輸入分支機構端的MAC位址即可辨識並納管,同時下載安裝更新韌體,以保障現有客戶的投資。

持續偵測、動態切換最佳應用傳輸線路

分支機構通常至少有兩條線路,藉此互為備援與平衡負載,常見的組合是Internet與MPLS,讓重要性較高的應用服務,例如必須確保通話品質的VoIP,透過延遲時間較低的MPLS傳輸,其他非關鍵任務的網路存取行為則透過Internet線路。Aruba軟體定義分支機構解決方案較獨特之處亦包含動態路徑選擇(Dynamic Path Selection,DPS),來取代過去的原則型路由(Policy-Based Routing,PBR)。

陳清淵進一步說明,所謂的原則型路由是指定應用服務傳輸的線路,但萬一此線路發生意外斷線,該服務也將因此被迫中斷,除非手動切換到另一條備援線路才得以恢復。

因此Aruba設計偵測機制,配置完成應用服務優先傳輸的線路之後,仍舊會依據延遲時間等指標來判斷,讓關鍵應用服務優先選用品質最佳的線路傳遞,並且運用動態切換來調整。

偵測方式通常是簡單的Ping指令,取得目的地端的回應延遲時間,但是針對語音、視訊會議等應用,還必須掌握抖動(Jitter)、封包遺失的數據,以及搭配UDP封包的解析,取得更多的資訊,以判別應用服務種類。Aruba稱之為NQA(Network Quality Analysis),過去是內建在交換器設備,如今也運用到控制器平台,同時整合後端應用服務來進行偵測,以實作DPS動態切換線路。

「畢竟現在的網路連線服務愈來愈仰賴無線,尤其外部據點可能是行動化辦公、營業場所,勢必得提供無線接取服務,因此基於無線網路控制器整合其他領域的技術,達到可管理性、安全性、連接性,才可讓軟體定義的作法發揮更高效益。」陳清淵說。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!