Extreme Networks台灣首席技術顧問陳瑞建指出,Extreme積極整合陸續收購取得的Avaya、Aerohive、Infovista的Ipanema SD-WAN等技術,從有線無線LAN擴展到廣域網路環境,基於單一雲端管理平台ExtremeCloud IQ簡化設定配置、調度與維運的複雜程序,實踐「One Network、One Cloud」願景。
他進一步說明,Extreme具備有線無線區域網路、SD-WAN相關技術,可讓外部營運據點、分公司、總公司統整為單一架構。過去Extreme提供的SD-WAN是由雲端平台提供路由服務,現在則已具備完整的SD-WAN方案,並整合到ExtremeCloud IQ管理平台,讓IT管理者登入即可監看所有連線資訊。 近幾年來Extreme研發團隊秉持初始設計安全(Secure by Design)原則,陸續獲得許多國際驗證,例如ExtremeCloud IQ雲端管理平台不僅取得ISO 27001、ISO 27017認證,同時符合CSA(雲端安全聯盟)Star Level 1、美國註冊會計師協會(AICPA)制定的SOC 2 Type 2等規範,相對於同類型的技術供應商,安全更有保障。
內建存取政策規則引擎建立微分段
面對各產業正在推行零信任控管模式,就網路層而言,無線網路原生設計就已具備身分辨識與授權的特性,本就符合零信任原則。主要須調整因應的是有線網路設備,多數採取預設為信任,讓各種功能的裝置接取網路連接埠立即開通。欲改以零信任控管,首先得具備身分識別機制,其次是判斷連網裝置類型,才有能力依據角色套用合適的控管政策。陳瑞建指出,除了基於台灣企業已普遍部署的Active Directory伺服器輔助建立基本管控,亦可增添ExtremeControl持續地監控與偵測接取網路的裝置流量狀態,以及掌握驗證、授權、存取行為的完整資料。
ExtremeControl適用於物聯網應用場域、微分段架構。ExtremeControl內建存取政策規則引擎,設計理念採KISS(Keep It Simple and Stupid)原則,把網路專業知識經過整理與歸納,轉化為引擎運作邏輯,讓IT人員便於預先設定控管措施,依據角色類別指定分發的微分段。該微分段是基於網路層的VLAN編號,搭配應用層服務個體標籤(ISID)執行配置。
陳瑞建說明,實際上辨識連網設備身分的方法有許多種,例如透過物聯網裝置的MAC位址可得知製造商,配置到特定編號的微分段,而非VLAN設定,讓不同連網裝置獨立運行,並且限制僅開放物聯網管理平台系統可雙向互通,不允許裝置彼此之間連線行為,避免惡意程式成功滲透後橫向感染。
已部署Extreme交換器的企業,內建即可實作微分段,落實零信任控管措施。若為異質技術的網路環境,亦可運用Extreme Defender for IoT解決方案實作微分段。亦即不論任何技術廠商建置的有線無線區域網路環境,皆可運用Defender方案,在連網裝置接取口增設Adaptor,即可統一蒐集與監看運行數據,以及套用安全控管措施。他強調,Defender for IoT解決方案相當適用於高機敏性的物聯網場域,例如製造業的特定產線若須增設防護措施,未必只能仰仗防火牆,也可選用Defender for IoT方案,讓不懂IT的現場工程師更易於實作配置。
雲端管理平台實現AIOps輔助維運
近三年來以防疫為優先考量,即便是IT部門也得居家辦公或混合辦公,推升了Extreme旗下的ExtremeCloud IQ雲端管理平台採用數量大幅增長,以便支援分散各處員工連網存取應用,讓雲端平台順勢扮演控制器的角色,整合配置分公司、外部據點、異地工作環境的SD-WAN與無線基地台設備。
Extreme無線產品相當多樣,除了以自建部署WiNG控制器設備為核心的架構,搭配相同韌體版本的無線基地台,演進到ExtremeCloud IQ雲端控管平台則無須額外部署控制器,藉此突破以往控制器與無線基地台的韌體版本須一致才可運行的侷限。同時設計提供通用型基地台,適用於控制器、雲端控管平台的架構,可依據應用需求彈性調整。
Extreme設計提供Connect、Pilot、Co-Pilot等不同層級的授權模式,最基本是免費版的Connect,著重於設備控管。Pilot主要是針對基礎架構控管的自動化部署,例如網路設備架構轉換成Fabric,不需要逐台下指令執行,可透過雲端平台控管操作。企業須實作微分段,基於SPB(最短路徑橋接)標準協定發展Fabric Connect動態微分段,除了可協助資料中心建立多租戶架構,如今Fabric Connect亦可擴展到園區網路環境,藉此實作微分段,應用範疇更為廣泛,甚至可實現跨區域連通。
「去年(2022)正式推出Co-Pilot授權模式,可運用AIOps輔助維運,除了日常維運須監看的狀態指標數據,發生故障時可調整設定配置或直接汰換硬體。」陳瑞建說。Co-Pilot主要用於客戶發現問題時,藉由ExtremeCloud IQ內建的ML Insights功能,輔助快速地排除故障點。ExtremeCloud IQ內建的機器學習演算模型,可運用交換器、路由器、無線基地台設備蒐集的資料運行分析,建立自動化機制。IT管理者只要在拓樸圖上呈現紅色的節點,拖拉移到標籤樣式區域,即可自動釐清並產生故障排除程序。
整合SD-WAN打造單一網路
過去多租戶架構藉由Extreme SLX交換器具備的Insight Architecture機制來啟用虛擬主機,亦可遷移到外部虛擬環境,主要偏重於Layer 2。陳瑞建進一步說明,微分段則是透過Layer 3的VXLAN協議建構Overlay架構,Fabric Connect具備Fabric Extend技術可支援VXLAN協議,透過專線、VPN或寬頻網路將Fabric延伸至分公司、外部據點、異地辦公室。Fabric Extend技術主要是基於相同ISID編號,實現跨任何型態的電路,建構單一Fabric網路架構,讓微分段的應用服務跨區連通。
日前Extreme最新發布ExtremeCloud SD-WAN平台,整合有線無線、SD-WAN的Fabric架構,不僅具備自動發現首次接入連接設備的特性,簡化IT管理者設定配置操作流程,並且ExtremeCloud SD-WAN平台提供透過IPSec連接到AWS、Azure等公有雲的機制,讓用戶存取分散部署的應用服務行為資料藉此完整蒐集,彙整到統一控管平台運行演算分析,快速地釐清影響用戶存取體驗的根本因素。