lunedì 20 luglio 2015

Progettazione di una Rete Enterprise (aziendale)

Nel presente Post, vorrei descrivere le architetture di rete, in particolare quella Enterprise. Partiamo però dai concetti basilari.  L'Infrastruttura di Rete èsuddivisa gerarchicamente in 3 principali strati (o Layer oppure Tier di Rete):
  • Accesso, è il “confine ultimo” della Rete. In pratica è il luogo in cui la totalità del traffico “esce” oppure “entra” da/verso la Rete. Quindi il punto della rete dove a livello sia logico che fisico gli Utenti si connettono ed accedono alla Rete stessa. Vengono forniti apparati come Hub o Switch di Livello 2. Da questi apparati ci sarà una connettività verso il livello (Layer) successivo
  • Distribuzione, viene considerato il livello di “aggregazione” per gli Switch del livello (Layer) Accesso. Qui vengono prese le maggiori decisioni su dove “indirizzare” il traffico. Inoltre viene confinata la maggior parte dell’intelligenza di rete (ossia gestione del traffico come l’instradamento). Gli apparati di Rete presenti in questo livello sono ad esempio il Multi Layer Switch (MLS o Switch di livello 3)
  • Core, il punto della Rete che implementa le connessioni più veloci in termini di banda. Consente la connettività “Punto-Punto” (o End-to-End) verso la Rete Enterprise realizzata. Se rimuovo, cioè, il Core Layer avrò comunicazione in un gruppo di apparati del Layer di Distribuzione, ma non posso comunicare tra differenti “gruppi di Apparati” nel Layer di Distribuzione. Essendo il suo scopo il trasporto delle informazioni verso ad esempio altri Campus di Rete, non deve andare “Down”. Gli apparati di rete qui presenti sono Multi Layer Switch e Router.
Questo tipo di struttura gerarchica presenta però delle limitazioni in temini di affidabilità, scalabilità ed adattabilità (qualora nella Rete ad esempio abbia apparati di diversi Vendor). Il progettista può fare riferimento ad una rete suddivisa in 6 Aree specifiche: la Cisco Enterprise Architecture. Per ogni area sono presenti Apparati ed implementati Meccanismi di controllo, Protocolli, Servizi. Nella globalità, questa Rete fa riferimento ad un’architettura logica evoluta suddivisa in livelli: il SONA (Service Oriented Network Architecture), descritta precedentemente.
Le Aree facenti parte del Cisco Enterprise Architecture sono:
  • Enterprise Campus, una porzione di rete Enterprise con apparati ed applicazioni per l’accesso ad altre Sedi Cliente e la rete Internet (o PSTN).
  • Enterprise Edge, l’area di aggregazione che permette in tutta sicurezza di fornire comunicazione tra le aree di Rete WAN, MAN, Internet e l’area di Campus (Enterprise)
  • WAN / Internet, la parte di rete con la relativa tecnologia di trasporto (Ethernet o ATM) fornita generalmente ad un Internet Service Provider.
  • Enterprise Branch, è una porzione di rete più distante (remota) che fornisce connettività da Sedi Cliente dislocate, verso la Sede Centrale (di Campus) attraverso una rete MPLS su Enterprise Edge. Sono previsti meccanismi di Sicurezza avanzati.
  • Enterprise Data Center, un’area di rete dove sono fisicamente ubicati dispositivi come Storage e Server con applicativi per la fruizione dei vari servizi utili al Cliente.
  • Enterprise Teleworker, area utilizzata nel caso in cui il Cliente fruisca di un servizio verso la Sede Enterprise Campus trovandosi in una sede distaccata (in casa). Passa per l’infrastruttura di Rete attraverso un ISP o una Rete Pubblica.

In particolare per la Rete di Campus (Enterprise Campus Network) sono definite 4 Aree funzionali con i loro specifici ruoli:
  1. Building Access, interfacciamento della singola postazione Cliente verso Rete Remota per mezzo di Switch Livello 2
  2. Building Distribution, raccolta del traffico per mezzo di Multi Layer Switch provenienti dall’ Area Accesso per l’indirizzamento in ulteriori Aree Funzionali e quindi in Rete
  3. Campus Core, trasporto delle informazioni in maniera affidabile e ad alta velocità verso Network Management System, Data Center e Rete Remota tramite la porzione di Rete Enterprise Edge
  4. Server Farm e Data Center, con apparati di Rete ed Applicazione per la fruizione di Servizi
Infine nella Rete Enterprise Edge sono presenti le seguenti Aree Funzionali:
  1. Per Servizi di E-Commerce
    1. Per Servizi di Connettività verso Internet, gestiti da specifici Server (come la gestione del Servizio di Posta Elettronica, il Web ed i Servizi di Sicurezza)
  2. VPN per WAN e MAN, con lo scopo di far comunicare più Sedi Clienti (periferiche) verso la Sede Centrale. Possono essere utilizzati i seguenti componenti:
    1. Dial-in access Concentrators
    2. Concentratore VPN
    3. Cisco Adaptive Security Appliance (ASA)
    4. Firewall
    5. Intrusion Detection System (IDS) appliance
  3. WAN ed Internet sui quali però non ci può essere un’attività di progettazione in quanto sono già forniti da un ISP. Per le tecnologie di trasporto di cui si farà uso, sono previste
    1. Frame Relay
    2. ATM
    3. Point to Point
    4. SDH
    5. DSL
Facendo riferimento anche al SONA, i servizi essenziali in una Rete Enterprise sono di Sicurezza e Protezione, Voce, Wireless e di Applicazioni in Rete. NellaSicurezza gli attacchi possono provenire internamente oppure esternamente la Rete, quindi è bene valutare la tipologia di minacce. I più noti attacchi in Rete sono
  1. IP spoofing
  2. Denial of Service (DoS)
Nell’ambito della protezione di rete, invece, introduciamo il concetto di Ridondanza. Dovendo essere la Rete affidabile, è necessario proporre un sistema di ridondanza efficace e contenuto a livello di costi implementativi.  Per questo motivo, un progettista inserisce, in una rete, ridondanza:
  1. Aggiungendo un nuovo apparato di Rete
  2. Aggiungendo una connessione fisica facendo uso di una seconda NIC card. Questa soluzione è più probabile che però si trovi in Server all’interno di Data Center. In questo modo una NIC sarà connessa ad uno Switch, mentre la seconda NIC al secondo Switch
  3. Implementando protocolli di Routing in seguito a ridondanze fisiche, come OSPF o EIGRP
  4. Inserendo un secondo link sul router di modo da determinare il bilanciamento di carico del traffico, migliorando la disponibilità di rete
Nell’ambito della tipologia di traffico, la Rete viene progettata in maniera tale che possa essere trasportata anche la voce. Il traffico voce può transitare da/verso una rete Pubblica o rete IP.  Si parla infatti di VOIP s’intende il trasporto del traffico fonico all’interno della Rete IP per mezzo di apparati chiamati “voice-enabled routers”. Per IP telephony invece si parla dell’uso di telefoni IP e dei Call Processing Server (come Cisco Unified CallManager).
In base alla tecnologia, la scelta del progettista è quella di fornire al Cliente nella Rete Enterprise apparecchiature IP (telefoni IP) oppure Telefoni tradizionali. Per questi ultimi è necessario l’ausilio di Gateways (come i Router Cisco) che convertano il traffico analogico in pacchetti IP. 
Molti utenti in una Rete hanno bisogno di mobilità, quindi di una connettività nella rete Enterprise, senza fili: wireless. In questo caso, la sicurezza è fondamentale. Ad esempio, una progettazione non adeguata può comportare una copertura della connettività anche al di fuori dell’area Enterprise e quindi facilmente attaccabile da utenti esterni. Nella progettazione della rete Wireless LAN Enterprise è bene quindi considerare almeno apparati per il Cliente come Access Point, Access Controller e BYOD (Laptop, Tablet e Smartphone).
E’ bene anche considerare, nell’implementazione della Rete Enterprise, tutti gli applicativi che consentano gli Utenti in remoto (teleworker) di poter accedere in maniera veloce ai contenuti della rete stessa. Un esempio potrebbe essere l’accesso offline, attraverso il caching, di contenuti WEB che un utente utilizza e che possono essere utilizzati successivamente da altri utenti dell’azienda. Questo riduce il consumo di banda nell’area di Rete WAN. Un esempio delle applicazioni che CISCO può fornire nella rete Enterprise, sono:
  • Wide Area Network Engine, un appliance velocità nell’accesso di specifiche applicazioni aziendali come se l’utente remoto fosse connesso ad una rete LAN
  • Wide Area Application Services (WAAS), un software che permette un veloce ed affidabile accesso a server e storage di un azienda, ma soprattutto alle applicazioni
  • Cisco Router Module, un modulo implementato nei Router che consente di ottimizzare la banda della rete WAN
Concludendo, per il Management sulla rete il progettista deve considerare:
  • Network Managemet System: semplicemente un Server che ha al suo interno dei software per la gestione di anomalie o per comunicazioni di servizio (un esempio potrebbe essere il Cisco Works).
  • Protocolli di gestione:
    • Simple Network Management Protocol (SNMP), per la comunicazione tra un entità di manager nel Server NMS ed un “agente” nel Managed Device (router o switch). L’agente raccoglie statistiche ed informazioni generali in una sorta di database chiamato MIB. Delle tre versioni SNMP rilasciate, l’ultima versione 3 introduce anche elementi sulla sicurezza.
    • RMON, Remote Monitoring approfondisce l’analisi rispetto al MIB per il Managed Device. Ad esempio lo stato fisico della rete (RMON 1), della rete e trasporto (RMON 2)
    • Cisco Discovery Protocol (CDP) per rendere noto ad uno specifico apparato quali e quanti apparati presenta vicino ad esso (adiacenze). Lavora a livello 2. Un esempio della sua peculiarità è appunto pensare che un Router può reperire informazioni su Switch che sono connessi ad esso stesso. Lavorando, appunto, a livello 2 non c’è bisogno di definire un indirizzo IP per la comunicazione tra i router e gli switch adiancenti.
  • Applicazioni esterne per monitoring ad alto livello, come Netflow Collection Engine che raccoglie infatti statistiche sul traffico di rete facili da esportare. Essendo specifica la tipologia di analisi, è anche meno pesante l’Overhead dei pacchetti per la gestione che passano nei Router.
  • Log e Reportistica Errori attraverso messaggi di Sistema, comunemente chiamati Syslog. Questi messaggi partono dall’apparato di Rete ed arrivano al manager dell’NMS. Nei messaggi Syslog sono presenti campi come la Severità, ossia il livello di criticità dell’evento (da 0 a 7 dove il livello 0 di emergenza risulta essere il più altro) ed i servizi che sono stati usati e che hanno generato quello specifico evento (esempio IPSec, OSPF protocol).

Nessun commento: