fbpx

Podkast 22T32 5 Trendów Technologicznych w Sieciach w 2022r.

Więcej miejsc do posłuchania:

Spotify

WERSJA TEKSTOWA

Cześć, witam Cię w dzisiejszym moim podkaście. Dzisiejszy temat to pięć najważniejszych technologii sieciowych w 2022 r. Co jest na pierwszym miejscu? SD-WAN. Po co jest w ogóle SD-WAN i dlaczego jest on taki istotny? Celem SD-WAN-u jest przede wszystkim wprowadzenie pewnej automatyzacji w połączeniach niegwarantowanych. Mówimy o przeniesieniu jakości połączeń WAN z połączeń, które dzisiaj są dominujące, czyli jakiś dzierżawionych typu MPLS, typu internet DSL – w Polsce jest bardzo popularny do rozwiązań szerokopasmowych, bez żadnej gwarancji, dedykowanych w zasadzie dla dowolnego klienta. Może to być klient końcowy, indywidualny jak np Neostrada czy inne tego typu usługi. SD-WAN jest też dedykowany dla lokalizacji, gdzie chcemy zagregować użytkowników. Tj. dla scenariusza, gdzie mamy jakąś lokalizację, często jakąś mniejszą, wyniesioną i przez WAN musimy się podłączyć do pewnych zasobów. Oczywiście jeżeli korzystaliśmy w tradycyjnej naszej topologii to mieliśmy jakieś połączenia wykupione najczęściej od operatora, który nam gwarantował jakiś poziom usługi, przepustowości i jakości. Natomiast jeśli korzystamy z zasobów, które nie są w naszej centrali, nie są w naszym Data Center, tylko są gdzieś wyniesione – w rozwiązaniach chmurowych, w serwerowniach trzecich lub mamy duże rozproszenie naszych systemów nad którymi panujemy bądź które są centralne. Wtedy SD-WAN daje wartość. Jego założeniem jest to, że mamy ciągłe mierzenie jakości dla wielu połączeń równoległych. Ponieważ jeśli mamy jedno połączenie i jakość tego połączenia spadnie, niezależnie od tego czy jest gwarantowane, czy szerokopasmowe indywidualne, to po prostu nic z tym nie możemy zrobić. Natomiast jeżeli mamy dwa, trzy, cztery takie połączenia, to wtedy możemy sterować na które połączenie kierujemy dany ruch, tak żeby uzyskać najwyższą jakość. Tutaj oczywiście te rozwiązania SD-WAN mają możliwość definiowania pewnych klas, usług, monitorowania jakości dla klas i wtedy rozdzielania wyjścia do WAN-u w zależności od tego, jaką jakość uzyskujemy. Oczywiście na te połączenia szerokopasmowe, często indywidualne, są nakładane tunele szyfrowane (najczęściej IPsec) i w ramach takiej konstrukcji to programowe sterowanie ruchem jest implementowane. Jest to taka jakby podstawowa idea rozwiązań SD-WAN. Jeżeli chodzi o zarządzanie tym, ponieważ ta koncepcja z natury jest dynamiczna, to musimy mieć odpowiedni software, odpowiednie oprogramowanie, które nam będzie dynamicznie zarządzało tego typu strukturą.

Kolejnym trendem są sieci 5G. W ich przypadku podstawowym powodem rozbudowy tej koncepcji 4G, oprócz tego, żeby oczywiście zwiększać przepustowość, zwiększać możliwości np. kodowania, to jest przede wszystkim powód pt. podłączenie urządzeń IoT. Tu mam na myśli pod kątem sieci 5G urządzenia IoT w kontekście takiego zewnętrznego podłączenia. Mówimy tutaj o miastach, mówimy o jakiś skupiskach urządzeń, które agregują te najczęściej małe czujniki IoT realizujące jakąś funkcję. Jest ich bardzo dużo. Tutaj, jeśli chodzi o koncepcję, to jeżeli mniej więcej się orientujesz, przepustowość jest zależna od z grubsza dwóch czynników. Szerokości pasma, którą przydzielimy dla danego użytkownika – szerokość pasma radiowego (mówimy tu najczęściej o połączeniach radiowych) i drugi czynnik jest to jakość sygnału, czyli odległość od nadajnika, do naszego urządzenia. Teraz jeżeli dla urządzeń typu telefony komórkowe chcemy dostarczyć najczęściej sporą prędkość typu kilkadziesiąt mega na sekundę, to szacujemy sobie jaka musi być średnia odległość pomiędzy tym urządzeniem mobilnym a stacją bazową. Natomiast z punktu widzenia urządzeń IoT (tutaj jest duża zmiana, jeśli chodzi o 5G) założenie jest takie, że one transmitują bardzo niedużo danych, ale może tych urządzeń być dużo. W związku z tym chodzi o to, żeby móc przydzielić dużo węższe pasmo dla takiego urządzenia, ale jednocześnie móc obsłużyć takich urządzeń dużo. Oprócz tego oczywiście wprowadzając 5G w ramach współpracy z regulatorami, którzy najczęściej są agencjami rządowymi uwalniane są kolejne pasma częstotliwości umożliwiające rozszerzenie ilości kanałów, które mogą być świadczone w ramach tej usługi 5G. Podobnie zresztą było dla 4G, też były odpowiednie pasma częstotliwości sprzedawane na aukcjach dla poszczególnych operatorów. Więc oprócz tego, że zwiększamy prędkość, co jest zupełnie naturalne z jednej kategorii tego połączenia GSM do kolejnej, to tutaj akurat w piątej generacji sieci telefonii komórkowej nacisk jest położony przede wszystkim na obsługę małych urządzeń w kontekście takim, aby było to jak najtańsze. Oczywiście nie ma żadnego problemu, aby zwiększyć gęstość stacji bazowych nawet w technologii 4G i tam była też taka koncepcja, zbudowana już lata temu np picostacji, które możemy montować do pojazdów typu autobus. Już w koncepcji 4G była przewidziana taka możliwość, jednak ja nie widziałem w swoim doświadczeniu zawodowym ani jednej implementacji takiej małej picostacji w jakiejś konkretnie większej skali. Widziałem, że pojawiły się już jakiś czas temu takie opcje mini stacji bazowych np. do obszarów domowych, które miały problem z zasięgiem, ale umówmy się, to nie była implementacja operatora. Mam na myśli głównie taką koncepcję, że operator typu Orange, T-Mobile lub inny implementuje dużą ilość małych stacji BTS-owych w danej lokalizacji. Więc jest to coś co już wcześniej było, 5G jest to tylko kwestia optymalizacji i obsługiwania ilości urządzeń z małym zakresem kanału.

Trzeci trend to implementacja sieci Wi-Fi 6. Wi-Fi 6 podobnie jak sieci c z założenia w kolejnej generacji ma dostarczyć oprócz tego, że większą przepustowość, czyli zwiększono m.in. poziom kodowania to ma umożliwić połączenie większej ilości urządzeń IoT. Oczywiście nie jest to zaskoczenie, bo tak samo urządzenia IoT już się pojawiają w dużo większej ilości dla sieci GSM. Mają jakby taki interfejs GSM wbudowany w siebie, np. jakiś licznik energii, ale również są urządzenia IoT, które się mają komunikować z lokalną siecią Wi-Fi i to Wi-Fi 6 temu właśnie ma służyć. Koncepcja bardzo podobna, czyli też mamy możliwość podzielenia z tradycyjnego kanału dla jednego użytkownika na wiele mniejszych części i obsłużenia większej ilości czujników o małej przepustowości w ramach tego jednego kanału wykorzystując oczywiście to co do tej pory w Wi-Fi jest również dostępne, czyli równoległą transmisję Multi User MIMO. Mamy tu też możliwość optymalizowania wiązki radiowej. To zostało też dodane do standardu Wi-Fi 6. Tzw. Wi-Fi 6 bo tak naprawdę Wi-Fi 6 to jest rozszerzenie ax, ale trzymajmy się tego Wi-Fi 6 i dzięki temu można bardziej modulować kształt tej wiązki bazując na standardzie. Tego typu rozwiązania niektórzy producenci mieli wcześniej, ale były one zupełnie niestandardowe dedykowane do jednego producenta, takim przykładem był Ruckus, które było znane z tego, że ma bardziej rozbudowaną tą część radiową i ma możliwość kreowania czy formowania bardziej zaawansowaną tą wiązkę radiową, optymalizując połączenie radiowe. Natomiast tak jak wspominałem w poprzednim punkcie tutaj oczywiście mają też zastosowanie te dwie rzeczy, czyli siła sygnału i oczekiwana przepustowość. W Wi-FI 6 podobnie zresztą jak w poprzednim standardzie AC, również dodano taką możliwość kompatybilności. Możemy podłączyć urządzenie z generacji AC do AX, tylko oczywiście będzie ono pracowało z mniejszą prędkością. Ale też, jeżeli będziemy mieli sytuację taką, że mamy punkt dostępowy do którego jesteśmy w technologii Wi-Fi 6 podłączeni i mam wysoką wydajność, zaczynamy się od tego punktu odsuwać. Pogarszają się nam parametry radiowe i negocjacja pomiędzy urządzeniem końcowym a punktem dostępowym pozwoli na zmniejszenie poziomu kodowania, ale to jednocześnie oznacza, że będzie mniejsza prędkość.

Czwartym trendem jest zaangażowanie sztucznej inteligencji i Machine Learning do rozwiązań sieciowych. To widać wyraźnie, że jest to rekomendacja Gartnera, która się nazywa CARTA (Continuous Adaptive Risk and Trust Assessment). Tutaj chodzi o to, że mamy jakąś infrastrukturę, którą monitorujemy i badamy sobie anomalie czy pewne wskaźniki, które powinny być dalej analizowane, które mogą świadczyć o zagrożeniu. Czyli np mamy użytkownika, który jest w jednej lokalizacji i za 30 sekund jest na drugim końcu świata. Fizycznie niemożliwe. W związku z tym wygeneruje to pewien incydent, który może mieć prawidłowy charakter. Może być taki scenariusz, że w naszej sytuacji, w naszej firmie może się ten użytkownik się łączyć VPN-em do różnych gateway i wtedy się pojawi w różnych miejscach i jest to zupełnie naturalne. Ale może być to też oznaka, że ktoś przejął komuś konto i łączy się po VPN-ie np z zupełnie innego miejsca. Jest to element, który zawiera uczenie maszynowe i implementacje tej sztucznej inteligencji tzw. AI. Aczkolwiek ja to traktuję w dużej mierze w cudzysłowu, ponieważ w praktyce, jeśli chodzi o sztuczną inteligencję to jest już pewna grupa scenariuszy, gdzie ta sztuczna inteligencja, jak się nauczy ta sieć neuronowa, to daje dobre efekty. Jednak w większości tych publikacji, które ja widzę zwłaszcza tych marketingowych, to AI jest to bardziej Machine Learning, czyli pewne profilowanie, tworzenie jakiś pewnie odstępstw od tych heurystycznych profili i pewne oznaczanie anomalii. Więc to jest w większości przypadków. Natomiast faktycznie ten trend dotyczący sztucznej inteligencji gdzieś tam zaczyna się rozwijać i pewnie będziemy go widzieć mocniej w kolejnych latach.

Na koniec piąty trend – technologia network information, czyli automatyzacja tego naszego świata sieciowego. Przechodzimy od strony manualnej konfiguracji przez command line i poszczególne urządzenia do systemów automatycznych tj. oczywiście proces dzieje się już od jakiegoś czasu, natomiast on zyskuje na popularności i nasze otoczenie go wymusza. Mamy teraz sytuację taką, że z powodu COVIDa mocno zmienił się charakter naszego funkcjonowania, naszych użytkowników, sposobu zarządzania tym dostępem, monitorowania bezpieczeństwa tych użytkowników. W związku z tym potrzebujemy nowych narzędzi, potrzebujemy tej automatyzacji by informację dotyczącą tego, gdzie użytkownik jest podłączony, w jakim profilu jest podłączony, czy też na urządzeniach bezpieczeństwa jak wygląda, czy pojawiają się tam jakieś wskaźniki dotyczące tego, że jest niebezpiecznie, czy powinniśmy coś w tym zakresie zrobić. Więc jeżeli patrzymy na automatyzację to przede wszystkim chodzi tutaj o odciążenie administratorów od typowych zadań, takich które zabierają im czas. Jeśli natomiast chodzi o aspekt bezpieczeństwa i połączenie tego z naszą rzeczywistością sieciową to połączenie informacji pomiędzy różnymi urządzeniami. Gdy mamy dostęp do sieci i do tej sieci mamy uwierzytelnianie 802.1x i mamy za tym zapewne jakiegoś Firewalla, to między innymi chodzi o to, aby była wymiana informacji pomiędzy Firewallem a systemem RADIUS, który uwierzytelnia użytkowników do sieci. Abyśmy na Firewallu widzieli użytkowników w postaci loginu tego użytkownika a nie tylko adres IP lub MAC address ponieważ to nam niewiele mówi. W przypadku, gdy dochodzimy do etapu, że chcielibyśmy analizować jakieś problemy, to wtedy mamy kłopot, bo musimy sobie sami tłumaczyć ręcznie – w różnych systemach oraz różnym czasie – kto to jest. To też jest problematyczne, a jeżeli mamy na bieżąco tą informację w urządzeniach bezpieczeństwa, dotyczącą tej podstawowej danej, jaką jest nazwa użytkownika to wtedy mamy łatwiej i w zarządzaniu i w analizowaniu. Co więcej możemy też sobie ustanowić pewne reguły. Jeśli użytkownik z danej grupy łączy się z danymi atrybutami, to wpada do odpowiedniej polityki na Firewallu. Tak samo możemy tą integrację przeprowadzić w drugą stronę. Jeżeli na Firewallu zostanie wykryty jakieś zdarzenie, jakiś czynnik, który powoduje, że chcemy przenieść, izolować tego użytkownika do jakiejś innej podsieci, do kwarantanny lub całkowicie go rozłączyć, to wysyłamy od strony Firewalla taką informację do systemu RADIUSowego i dzięki temu mamy możliwość integracji automatycznej tych dwóch elementów. Oczywiście tych scenariuszów tej automatyzacji jest dużo więcej, zważywszy na to, że mamy wiele informacji o użytkowniku i endpointach w różnych miejscach. Np. użytkownik może mieć urządzenie mobilne, ale ma ono swoje atrybuty zapisane w systemie MDM-owym więc trzeba się do tego systemu jakoś odnieść, żeby pobrać tą informację. Mamy możliwość oczywiście sprawdzenia użytkownika i jego hasła (tak najczęściej robimy) w domenie, więc musimy się w inną stronę zintegrować, z domeną.

Mamy tutaj wiele innych różnych możliwości w zależności od scenariusza danego klienta. Część informacji np. o jakiś drukarkach będzie w jakimś innym systemie, część będzie w jakiejś bazie SQL, część będzie w jakimś zasobie chmurowym i żeby te wszystkie elementy ze sobą połączyć to właśnie ta automatyzacja w postacie wymiany informacji jest kluczowa. To co dzisiaj widzę, to bardzo często są dwa modele podejścia do tego tematu. Pierwszy jest taki, że dany produkt, który kupujemy ma już wbudowaną integracje z innym produktem, najczęściej są to popularne produkty chmurowe, ale nie tylko. To jest jeden model. Drugi model jest taki, że mamy klienta, który ma zasoby i sam sobie integruje te informacje. Ma swoich programistów, wyciąga dane z jednego systemu, puszcza te dane do drugiego systemu i na tej podstawie buduje sobie jakąś politykę.

Są oczywiście też rozwiązania gotowe, na zasadzie, że kupujemy gotowe rozwiązanie automatyzacyjne i w tym rozwiązaniu mamy różne wtyczki do różnych systemów API. Możemy sobie odpytywać różne systemy i wysyłać, odbierać dane zgodnie z tym, co potrzebujemy. To jest pewna optymalizacja całego konceptu automatyzacji w zakresie m.in. zadań sieciowych.

Jeżeli chciałbyś się dowiedzieć coś więcej na temat dowolnego z tych zagadnień to zachęcam Cię do zadania pytań a ja rozważę to przez robieniu kolejnych odcinków. Za dziś Ci dziękuję za uwagę i do usłyszenia już za tydzień.


Kliknij w obrazek, aby przejść do zapisu na warsztaty

Autor: Darek Koralewski

Od początku swojej kariery, czyli od 2004 roku, zajmuję się sieciami komputerowymi ze szczególnym uwzględnieniem ich bezpieczeństwa oraz sieciami programowalnymi. Mam na swoim koncie całą listę certyfikatów różnych producentów, dwa najważniejsze to te poświadczające najwyższy poziom wiedzy eksperckiej z zakresu rozwiązań Aruba ClearPass ACCX#901 oraz z projektowania sieci opartych o rozwiązania Aruba ACDX#1255. Więcej informacji możesz znaleźć na moich portalach społecznościowych.