Progettazione di una Rete Enterprise (aziendale)

Nel presente Post, vorrei descrivere le architetture di rete, in particolare quella Enterprise. Partiamo però dai concetti basilari.  L'Infrastruttura di Rete èsuddivisa gerarchicamente in 3 principali strati (o Layer oppure Tier di Rete):

• Accesso, è il “confine ultimo” della Rete. In pratica è il luogo in cui la totalità del traffico “esce” oppure “entra” da/verso la Rete. Quindi il punto della rete dove a livello sia logico che fisico gli Utenti si connettono ed accedono alla Rete stessa. Vengono forniti apparati come Hub o Switch di Livello 2. Da questi apparati ci sarà una connettività verso il livello (Layer) successivo
• Distribuzione, viene considerato il livello di “aggregazione” per gli Switch del livello (Layer) Accesso. Qui vengono prese le maggiori decisioni su dove “indirizzare” il traffico. Inoltre viene confinata la maggior parte dell’intelligenza di rete (ossia gestione del traffico come l’instradamento). Gli apparati di Rete presenti in questo livello sono ad esempio il Multi Layer Switch (MLS o Switch di livello 3)
• Core, il punto della Rete che implementa le connessioni più veloci in termini di banda. Consente la connettività “Punto-Punto” (o End-to-End) verso la Rete Enterprise realizzata. Se rimuovo, cioè, il Core Layer avrò comunicazione in un gruppo di apparati del Layer di Distribuzione, ma non posso comunicare tra differenti “gruppi di Apparati” nel Layer di Distribuzione. Essendo il suo scopo il trasporto delle informazioni verso ad esempio altri Campus di Rete, non deve andare “Down”. Gli apparati di rete qui presenti sono Multi Layer Switch e Router.

Questo tipo di struttura gerarchica presenta però delle limitazioni in temini di affidabilità, scalabilità ed adattabilità (qualora nella Rete ad esempio abbia apparati di diversi Vendor). Il progettista può fare riferimento ad una rete suddivisa in 6 Aree specifiche: la Cisco Enterprise Architecture. Per ogni area sono presenti Apparati ed implementati Meccanismi di controllo, Protocolli, Servizi. Nella globalità, questa Rete fa riferimento ad un’architettura logica evoluta suddivisa in livelli: il SONA (Service Oriented Network Architecture), descritta precedentemente.

Le Aree facenti parte del Cisco Enterprise Architecture sono:

• Enterprise Campus, una porzione di rete Enterprise con apparati ed applicazioni per l’accesso ad altre Sedi Cliente e la rete Internet (o PSTN).
• Enterprise Edge, l’area di aggregazione che permette in tutta sicurezza di fornire comunicazione tra le aree di Rete WAN, MAN, Internet e l’area di Campus (Enterprise)
• WAN / Internet, la parte di rete con la relativa tecnologia di trasporto (Ethernet o ATM) fornita generalmente ad un Internet Service Provider.
• Enterprise Branch, è una porzione di rete più distante (remota) che fornisce connettività da Sedi Cliente dislocate, verso la Sede Centrale (di Campus) attraverso una rete MPLS su Enterprise Edge. Sono previsti meccanismi di Sicurezza avanzati.
• Enterprise Data Center, un’area di rete dove sono fisicamente ubicati dispositivi come Storage e Server con applicativi per la fruizione dei vari servizi utili al Cliente.
• Enterprise Teleworker, area utilizzata nel caso in cui il Cliente fruisca di un servizio verso la Sede Enterprise Campus trovandosi in una sede distaccata (in casa). Passa per l’infrastruttura di Rete attraverso un ISP o una Rete Pubblica.

In particolare per la Rete di Campus (Enterprise Campus Network) sono definite 4 Aree funzionali con i loro specifici ruoli:

1. Building Access, interfacciamento della singola postazione Cliente verso Rete Remota per mezzo di Switch Livello 2
2. Building Distribution, raccolta del traffico per mezzo di Multi Layer Switch provenienti dall’ Area Accesso per l’indirizzamento in ulteriori Aree Funzionali e quindi in Rete
3. Campus Core, trasporto delle informazioni in maniera affidabile e ad alta velocità verso Network Management System, Data Center e Rete Remota tramite la porzione di Rete Enterprise Edge
4. Server Farm e Data Center, con apparati di Rete ed Applicazione per la fruizione di Servizi

Infine nella Rete Enterprise Edge sono presenti le seguenti Aree Funzionali:

1. Per Servizi di E-Commerce
   1. Per Servizi di Connettività verso Internet, gestiti da specifici Server (come la gestione del Servizio di Posta Elettronica, il Web ed i Servizi di Sicurezza)
2. VPN per WAN e MAN, con lo scopo di far comunicare più Sedi Clienti (periferiche) verso la Sede Centrale. Possono essere utilizzati i seguenti componenti:
   1. Dial-in access Concentrators
   2. Concentratore VPN
   3. Cisco Adaptive Security Appliance (ASA)
   4. Firewall
   5. Intrusion Detection System (IDS) appliance
3. WAN ed Internet sui quali però non ci può essere un’attività di progettazione in quanto sono già forniti da un ISP. Per le tecnologie di trasporto di cui si farà uso, sono previste
   1. Frame Relay
   2. ATM
   3. Point to Point
   4. SDH
   5. DSL

Facendo riferimento anche al SONA, i servizi essenziali in una Rete Enterprise sono di Sicurezza e Protezione, Voce, Wireless e di Applicazioni in Rete. NellaSicurezza gli attacchi possono provenire internamente oppure esternamente la Rete, quindi è bene valutare la tipologia di minacce. I più noti attacchi in Rete sono

1. IP spoofing
2. Denial of Service (DoS)

Nell’ambito della protezione di rete, invece, introduciamo il concetto di Ridondanza. Dovendo essere la Rete affidabile, è necessario proporre un sistema di ridondanza efficace e contenuto a livello di costi implementativi.  Per questo motivo, un progettista inserisce, in una rete, ridondanza:

1. Aggiungendo un nuovo apparato di Rete
2. Aggiungendo una connessione fisica facendo uso di una seconda NIC card. Questa soluzione è più probabile che però si trovi in Server all’interno di Data Center. In questo modo una NIC sarà connessa ad uno Switch, mentre la seconda NIC al secondo Switch
3. Implementando protocolli di Routing in seguito a ridondanze fisiche, come OSPF o EIGRP
4. Inserendo un secondo link sul router di modo da determinare il bilanciamento di carico del traffico, migliorando la disponibilità di rete

Nell’ambito della tipologia di traffico, la Rete viene progettata in maniera tale che possa essere trasportata anche la voce. Il traffico voce può transitare da/verso una rete Pubblica o rete IP.  Si parla infatti di VOIP s’intende il trasporto del traffico fonico all’interno della Rete IP per mezzo di apparati chiamati “voice-enabled routers”. Per IP telephony invece si parla dell’uso di telefoni IP e dei Call Processing Server (come Cisco Unified CallManager).

In base alla tecnologia, la scelta del progettista è quella di fornire al Cliente nella Rete Enterprise apparecchiature IP (telefoni IP) oppure Telefoni tradizionali. Per questi ultimi è necessario l’ausilio di Gateways (come i Router Cisco) che convertano il traffico analogico in pacchetti IP. 

Molti utenti in una Rete hanno bisogno di mobilità, quindi di una connettività nella rete Enterprise, senza fili: wireless. In questo caso, la sicurezza è fondamentale. Ad esempio, una progettazione non adeguata può comportare una copertura della connettività anche al di fuori dell’area Enterprise e quindi facilmente attaccabile da utenti esterni. Nella progettazione della rete Wireless LAN Enterprise è bene quindi considerare almeno apparati per il Cliente come Access Point, Access Controller e BYOD (Laptop, Tablet e Smartphone).

E’ bene anche considerare, nell’implementazione della Rete Enterprise, tutti gli applicativi che consentano gli Utenti in remoto (teleworker) di poter accedere in maniera veloce ai contenuti della rete stessa. Un esempio potrebbe essere l’accesso offline, attraverso il caching, di contenuti WEB che un utente utilizza e che possono essere utilizzati successivamente da altri utenti dell’azienda. Questo riduce il consumo di banda nell’area di Rete WAN. Un esempio delle applicazioni che CISCO può fornire nella rete Enterprise, sono:

• Wide Area Network Engine, un appliance velocità nell’accesso di specifiche applicazioni aziendali come se l’utente remoto fosse connesso ad una rete LAN
• Wide Area Application Services (WAAS), un software che permette un veloce ed affidabile accesso a server e storage di un azienda, ma soprattutto alle applicazioni
• Cisco Router Module, un modulo implementato nei Router che consente di ottimizzare la banda della rete WAN

Concludendo, per il Management sulla rete il progettista deve considerare:

• Network Managemet System: semplicemente un Server che ha al suo interno dei software per la gestione di anomalie o per comunicazioni di servizio (un esempio potrebbe essere il Cisco Works).
• Protocolli di gestione:
  • Simple Network Management Protocol (SNMP), per la comunicazione tra un entità di manager nel Server NMS ed un “agente” nel Managed Device (router o switch). L’agente raccoglie statistiche ed informazioni generali in una sorta di database chiamato MIB. Delle tre versioni SNMP rilasciate, l’ultima versione 3 introduce anche elementi sulla sicurezza.
  • RMON, Remote Monitoring approfondisce l’analisi rispetto al MIB per il Managed Device. Ad esempio lo stato fisico della rete (RMON 1), della rete e trasporto (RMON 2)
  • Cisco Discovery Protocol (CDP) per rendere noto ad uno specifico apparato quali e quanti apparati presenta vicino ad esso (adiacenze). Lavora a livello 2. Un esempio della sua peculiarità è appunto pensare che un Router può reperire informazioni su Switch che sono connessi ad esso stesso. Lavorando, appunto, a livello 2 non c’è bisogno di definire un indirizzo IP per la comunicazione tra i router e gli switch adiancenti.
• Applicazioni esterne per monitoring ad alto livello, come Netflow Collection Engine che raccoglie infatti statistiche sul traffico di rete facili da esportare. Essendo specifica la tipologia di analisi, è anche meno pesante l’Overhead dei pacchetti per la gestione che passano nei Router.
• Log e Reportistica Errori attraverso messaggi di Sistema, comunemente chiamati Syslog. Questi messaggi partono dall’apparato di Rete ed arrivano al manager dell’NMS. Nei messaggi Syslog sono presenti campi come la Severità, ossia il livello di criticità dell’evento (da 0 a 7 dove il livello 0 di emergenza risulta essere il più altro) ed i servizi che sono stati usati e che hanno generato quello specifico evento (esempio IPSec, OSPF protocol).

Lezione di Reti di Telecomunicazioni: gli Switch e le sue funzionalità

Nel contesto odierno, la maggior parte dei vendor presente sul mercato degli switch propone un portafoglio prodotto molto vasto, costituito spesso da svariate decine di modelli di switch. È quindi importante capire quali sono gli elementi principali che differenziano i diversi modelli, per comprenderne il posizionamento. Inoltre, questi stessi elementi possono fare da linee guida per individuare le esigenze dei clienti.

Di seguito, vengono riportati i principali elementi da tenere in considerazione nella scelta di uno switch:

• Numero di porte: è l’elemento basilare da considerare nella scelta di un modello di switch piuttosto di un altro. A volte, nella descrizione del dispositivo, i produttori distinguono tra:

1. Downlink ports: si intendono le porte sulle quali verranno collegati gli endpoint quali pc, telefoni, stampanti, ecc…Vengono anche definite porte utente, proprio per il fatto che sono predisposte a fornire connettività agli utenti della LAN. Tipicamente, gli switch sono dotati di 8, 16, 24, 48 porte di down link, a 100 o 1000 Mbps.
2. Uplink ports: si intendono le interfacce che trasportano il traffico generato dalle porte utente verso il backbone della rete, il data center che ospita i server e i relativi servizi forniti agli utenti della LAN. Tipicamente, gli switch sono dotati di 2 o 4 porte di uplink, che possono essere on-board oppure installabili attraverso schede di espansione in alloggiamenti predisposti, con connettività a 1, 10, 40 Gbps in rame (solo nel caso di 1Gbps) o in fibra.

• Gestibilità: si tratta di un altro elemento molto importante in quanto determina il grado di “controllabilità e configurabilità” di uno switch da parte dell’amministratore di rete. Esistono sostanzialmente tre tipologie di switch:

1. Unmanaged (o non gestiti): questi switch non possono essere configurati nè monitorati da parte dell’amministratore di rete. Il fatto che non siano configurabili non permette di assegnare loro un indirizzo IP, di configurare VLAN per distinguere, ad esempio, tra traffico voce e traffico dati, e così via. La mancanza di monitoraggio impedisce all’amministratore di rete di verificare se lo switch è effettivamente operativo o meno. Questi svantaggi portano gli switch unmanaged ad avere un posizionamento molto basso rispetto a modelli simili ma gestibili.
2. Web-managed (o smart switches): questi switch sono configurabili in maniera piuttosto semplice (da qui il termine smart) attraverso un’interfaccia web. Molto spesso però, le caratteristiche configurabili sono limitate rispetto a quanto si può fare con gli switch completamente gestibili. Non è possibile accedere all’apparato attraverso riga di comando (CLI, command line interface). Gli apparati web-managed sono in genere monitorabili in maniera standard attraverso l’attivazione del protocollo SNMP.
3. Fully managed (o gestibili): questi switch, come suggerisce il nome stesso, sono completamente monitorabili e configurabili (ovviamente nei limiti delle funzionalità consentite dal software). La maggior parte delle configurazioni, soprattutto se complesse, viene eseguita attraverso CLI; molto spesso, comunque, anche gli apparati completamente gestibili sono dotati di un’interfaccia web per facilitare il compito di configurazione. Il fatto che siano completamente gestibili, permette di attivare (attraverso il protocollo SNMP) una serie di monitoraggi sullo stato dell’apparato: non solo se l’apparato è funzionante o meno, ma anche, per esempio, se CPU e memoria sono utilizzate oltre limiti prefissati, se parti hardware come ventole o alimentatori non stanno funzionando correttamente, e così via.

• Layer 2, 2+, 3: si tratta di un altro elemento decisivo nella scelta dello switch più adatto, legato a un aspetto esclusivamente software che indica se lo switch è in grado di gestire indirizzi IP e di fare routing (instradamento di pacchetti) tra reti diverse ad esso connesse. A grandi linee (l’argomento verrà approfondito più avanti), le differenze sostanziali tra le diverse tipologie di switch sono:

1. Layer 2: uno switch di questo tipo gestisce l’instradamento dei frame su base MAC address, quindi senza “guardare” l’indirizzo IP sorgente e destinazione della comunicazione. Questo comporta che lo switch non sia in grado di instradare pacchetti tra reti diverse (o tra VLAN diverse), perché non ha capacità di routing. Tipicamente, gli switch di accesso (cioè quelli che collegano gli endpoint della LAN: pc, telefoni, e così via) sono di livello 2, perché il loro compito è semplicemente quello di inviare le richieste degli utenti verso un livello superiore, che invece si occuperà d gestire anche la parte di instradamento
2. Layer 3: gli switch di livello 3 sono paragonabili ai router, in quanto sono in grado di gestire i pacchetti fino ad analizzarne l’indirizzo IP e prendendo decisioni di routing sulla base di questa informazione. Queste decisioni sono prese consultando le cosidette tabelle di routing che vengono costruite attraverso l’attivazione di protocolli di routing, come ad esempio OSPF, RIP, BGP (nel caso di collegamenti verso reti esterne come Internet), ecc…Questa capacità permette allo switch di instradare i pacchetti da una rete all’altra, o da una VLAN all’altra. Tipicamente, gli switch di livello 3 si trovano a livello di distribuzione, dove arriva il traffico proveniente dal livello di accesso che deve essere instradato all’interno o all’esterno della LAN.
3. Layer 2+ (o Layer 3 Lite): si tratta di switch molto simili a switch di livello 3, ma con caratteristiche di routing limitate rispetto a questi. Ad esempio, di solito gli switch Layer 2+ supportano solamente rotte statiche piuttosto che tutti i protocolli di routing sopra citati dei Layer 3 “puri”.

• Capacità di stacking: il fatto che uno switch supporti funzionalità di stacking è un elemento importante nella scelta del modello da considerare. Lo stacking (nelle macchine di fascia alta a chassis, spesso definito clustering) permette di “impilare” più switch tra di loro in modo che gli n switch impilati risultino all’amministratore come un’unica entità, e quindi configurabili e gestibili come se fossero un unico switch. Ad esempio, mettendo in stack due switch da 48 porte, l’amministratore non dovrà preoccuparsi di gestirli e configurarli separatamente, ma si troverà a gestire e configurare un solo switch da 96 porte. Lo stack può essere fatto attraverso le stesse porte dello switch (a 1 o 10Gbps) con un cavo dedicato, oppure attraverso schede apposite da installare su quei modelli di switch che dispongono di slot di espansione. Riassumendo, le caratteristiche significative delle macchine stackable sono:

1. La possibilità di “impilare” varie macchine.
2. La possibilità di gestirle assieme come fossero una.
3. La possibilità di realizzare sistemi tolleranti ai guasti (se si rompe una macchina, le altre continuano a funzionare e allo stesso modo se una porta non funziona se ne collega un’altra).

• Prestazioni: le prestazioni di uno switch vengono tipicamente misurate attraverso due parametri, che sono:

1. Switching capacity: si tratta della capacità complessiva dello switch di trasferire dati e la si misura in termini di Gigabit per secondo (Gbps). Tale capacità è influenzata dal numero di porte e dalla velocità di trasferimento dati di queste porte. Ad esempio, uno switch da 24 porte Gigabit avrà una switching capacity di 48Gbps, calcolata in questo modo: ogni porta ha una velocità di trasferimento dati pari a 1Gbps bidirezionali (ricezione e trasmissione); considerando tutte le 24 porte, lo switch ha una capacità pari a (1Gbps+1Gbps)*24 = 48Gbps. In altre parole, la switching capacity è calcolata considerando la capacità di tutte le porte di trasmettere in wire speed bidirezionalmente.
2. Forwarding rate: indica il numero di frame che uno switch è in grado di instradare al secondo (viene infatti misurato in termini di Mpps – Mega packet per second). È un parametro fortemente influenzato dalla capacità di calcolo del dispositivo e quindi, a differenza della switching capacity che è calcolabile a partire dal numero e dal tipo di porte, deve essere dichiarato dal produttore come frutto di test di misurazioni di laboratorio con switch “scarico” (senza alcun servizio attivo).

• Caratteristiche di ridondanza: oltre alla capacità di stacking, che di per sé rappresenta un elemento di affidabilità e resilienza, altre caratteristiche che possono garantire ridondanza a uno switch sono:

1. Alimentatori ridondati: uno degli elementi che può essere ridondato è l’alimentazione elettrica. Avere due o più alimentatori consente allo switch, in caso di guasto di uno degli stessi, di continuare ad essere operativo.
2. Ventole ridondate: anche il sistema di ventilazione può essere ridondato, inserendo una serie di ventole aggiuntive per garantire un maggiore livello di raffreddamento, ma anche ridondanza nel caso uno o più ventole si guastino.
3. Processori ridondati: tipicamente le macchine di fascia medio-alta (soprattutto chassis) sono dotati di alloggiamenti per ospitare schede di processamento aggiuntive, che aumentino le capacità di forwarding dello switch e che garantiscano ridondanza in caso di fault.

• Hot-swap: molto spesso, soprattutto quando si parla di apparati di fascia medio-alta (in particolare chassis), viene richiesto che le parti di ricambio siano hot-swappable, cioè che sia possibile inserire una nuova scheda/componente o sostituirne una esistente senza dover necessariamente spegnere l’apparato. La motivazione è piuttosto evidente: essendo macchine particolarmente critiche per l’attività della LAN, potrebbero essere operative anche nelle ore notturne, quando di solito si eseguono interventi di manutenzione di questo tipo, e quindi si rende necessaria la possibilità di cambiare componenti senza dover spegnere l’apparato.

Lezione di Reti di Telecomunicazioni: i Router e le sue funzionalità

Rispetto alla complessità che spesso accompagna la scelta degli switch, i router sono caratterizzati da un numero inferiore di variabili da considerare al momento della selezione. 

Di seguito, vengono riportati i principali elementi da tenere in considerazione nella scelta di un router:

• Modularità: è possibile distinguere tra router a configurazione fissa e router modulari. Tipicamente, i primi sono router entry-level che forniscono una singola tipologia di connettività; di solito, all’aumentare della modularità del router, aumenta anche il suo prezzo. Scegliere un router modulare garantisce scalabilità e flessibilità, in quanto l’aggiunta di un nuovo elemento (come, ad esempio, una nuova connettività) potrebbe non richiedere il cambio di apparato (se l’apparato non è già “saturo”, con tutti gli slot occupati).

• Connettività: la funzione principale di un router è quella di fornire connettività WAN. È quindi importante conoscere a priori quali sono le connettività supportate da un apparato. La connettività può essere fornita attraverso un’interfaccia installata on-board sul router, oppure attraverso schede esterne da installare su router modulari.

• Backup e load balancing: il backup può essere fornito sullo stesso apparato della connettività principale oppure su un secondo apparato, a seconda dei requisiti di ridondanza espressi dal cliente. Infatti, nel primo caso, in caso di guasto del dispositivo, entrambe le connessioni non saranno operative (ed è richiesto l’utilizzo di un router modulare per supportare entrambe le connessioni sullo stesso apparato); nel secondo caso, invece, oltre a garantire una ridondanza in termini di link, viene fornita ridondanza anche in termini di apparato. Quando si parla di connettività di backup si intende un link tipicamente con bandwidth inferiore rispetto a quello primario (ad esempio: hdsl primario, adsl backup; adsl primario, isdn backup) che viene utilizzato (o attivato nel caso di collegamenti dial-up come isdn) solamente nel momento in cui il link primario non è più disponibile.
Diverso è il discorso relativo al load balancing: fisicamente occorre ancora prevedere due connettività sullo stesso apparato oppure due apparati distinti, ma in questo caso i due link lavorano insieme, e non in modo mutuamente esclusivo come succede per il backup. Chiaramente, questo permette di aumentare la banda, arrivando a sommare le bandwidth dei due (o più) collegamenti. Di solito, il load balancing è una caratteristica abilitabile via software, e va quindi verificato che la versione di software installato sul router supporti tale funzionalità.

• Prestazioni: le prestazioni di un router vengono tipicamente misurate attraverso il forwarding rate, cioè quel parametro che indica il numero di pacchetti che un router è in grado di instradare al secondo (viene infatti misurato in termini di Kpps – Kilo packet per second).

• Interfacce LAN: sebbene sia concepito per fare altro (fornire connettività e collegare diverse reti tra loro), un router è in grado di svolgere le stesse funzioni che caratterizzano uno switch (con prestazioni molto inferiori). Per questo motivo, molto spesso i router sono dotati di interfacce LAN (on-board o su schede aggiuntive), cioè porte Ethernet in rame o fibra a 100/1000Mbps, sulle quali è possibile collegare apparati LAN quali pc e telefoni. In ogni caso, proprio perché le prestazioni di switching sono nettamente inferiori rispetto a uno switch vero e proprio, di solito il router viene utilizzato esclusivamente per fornire connettività; la LAN viene poi collegata a una o più porte Ethernet presenti sul router per garantire accesso alla rete a tutti gli utenti.

• Funzionalità software: ad oggi, è raro trovare un apparato che faccia solamente routing. Molto spesso, invece, tali dispositivi sono in grado di operare anche a mo di firewall (seppure con funzionalità limitate rispetto a firewall dedicati) e/o di centralino. È quindi importante identificare se il router richiesto debba implementare anche tali funzionalità aggiuntive, che spesso vengono abilitate via licenza software.