Обновление портфеля коммутаторов Aruba

APC

Сегодня мероприятие ведет Федор Скок, архитектор сетевых решений HPE Aruba и речь пойдет о том какие изменения произошли в софте и железе коммутаторов Aruba.


Сети все также, как и всегда, продолжают эволюционировать, появляется все большее количество всевозможных IoT-устройств и датчиков, различных облачных приложений. 

Перед людьми, которые проектируют и эксплуатируют сети появляются все новые вызовы. Управление все больше становится фрагментированным, поскольку на рынке не так много компаний, которые могут предложить полный портфель оборудования, поэтому компания, выстраивая свою корпоративную сеть, может столкнуться с проблемой: коммутаторы одного производителя не совсем сочетаются с системой управления другого производителя.

За счет появления большого количества облачных приложений и в связи с ростом трафика необходимо устанавливать новые все более производительные коммутаторы, которые строятся по принципам облачных сервисов. 

Если сеть у клиента фрагментированная, то невозможно из одной панели системы управления видеть всю сеть, это добавляет проблем для аналитики возникающих в сети проблем.

Операционная система

Операционная система AOS-CX также построена по принципу облачных сервисов. В этот термин входит 4 пункта, изображенных на следующем слайде.

Для отказоустойчивости коммутаторы поддерживают два типа виртуализации: VSX – это, во-первых, технология, позволяющая два коммутатора объединить в один логический с разделенным Control-Plane (трафик, который предназначен самому устройству) и, во-вторых, для коммутаторов доступа поддерживается технология VSF: т.е. используется стекирование и единый Control-Plane, эта технология позволяет настраивать большой объем оборудования.

Во всех коммутаторах Aruba CX, не зависимо от того где их предполагают использовать, либо в ЦОДе, либо в кампусе, используется одна и та же операционная модель, значит администратор может использовать одни и те же консольные команды.

Недавно вышло 6-е мажорное обновление AOS-CX, в котором появилось более 140 новых функций и возможность более тесной интеграции с серверными решениями, с СХД, появились новые технологии для ЦОДов.

Появился VSX Live Upgrades, таким образом сейчас можно обновить программное обеспечение на коммутаторах, которые собраны на VSX без перерыва сервиса, есть поддержка динамической сегментации, она имелась давно для старых моделей коммутаторов, теперь же появилась в коммутаторах Aruba CX. Есть поддержка VXLAN в том числе с MP-BGP EVPN, в том числе VXLAN поддерживаются на коммутаторах доступа, не только в ЦОДовском железе. Для коммутаторов доступа есть поддержка Always-on PoE, что позволяет подавать питание на точки доступа, сенсоры, IoT-устройства до того, как коммутатор полностью загрузит свое ПО.

Что касается виртуализации, то, как было озвучено выше, есть две технологии: VSX – не требует технического окна для обновления, используется постепенная перебалансировка трафика, за счет двойного Control-Plane повышается отказоустойчивость ПО. Также появилась возможность с одной ноды мониторить состояние второй.

Есть возможность гранулярной синхронизации настроек.

Что касается VSF (Virtual Switching Framework), то имеется две линейки коммутаторов. Это коммутаторы 6300 и 6200.

Коммутаторы 6300 делятся на две группы: модульные с возможностью замены блоков вентиляторов и блоков питания (6300M) и фиксированной конфигурации - 6300F. При этом можно объединять коммутаторы из разных линеек в единый стек, данные модели обладают портами 1/10/25/50 GbE SFP56, т.е. поддерживают новый стандарт. Для стекирования используем DAC-кабели, в стеке 6300 может быть до 10 коммутаторов, а в стеке 6200 - до 8 коммутаторов. 

Кабель прямого соединения, сокращенно DAC-кабель, является оконечным на заводе-изготовителе сдвоенным коаксиальным (твинаксиальным) кабелем, используемым для подключения коммутаторов к маршрутизаторам или серверам.

Для быстрой настройки стеков можно использовать приложение Aruba CX Mobile App, которое автоматически обнаруживает коммутаторы и каналы между ними. Есть возможность использования 6300F и 6300F в одном стеке.

В ядре агрегации используется VSX, для коммутаторов доступа используется VSF.

В случае VSF мы имеем единый Control-Plane и довольно легкую настройку, в случае VSX получается лучшая отказоустойчивость, но несколько более трудная настройка, которая требуется либо в ЦОДах, либо на более высоком уровне.

Сейчас появляется колоссальное количество IoT-устройств с различными требованиями по безопасности, по статистике 80% организаций не знают, что за устройства включены в их корпоративную сеть, не управляют ими и не настраивают для них никаких элементов защиты.

При этом более 90% общедоступных IP-камер имеют уязвимости. Поэтому IoT-устройства необходимо сегментировать и обеспечить их безопасное подключение. 

Можно под каждую группу устройств выделить отдельный VLAN, т.е. под телефоны, корпоративную сеть, под пользователей, под камеры и так далее под каждую группу устройств выделяем отдельный VLAN, таким образом мы сегментируем трафик.

Во-первых, это неудобно, можно запутаться или такого количества свободных VLAN просто может не оказаться в сети. И, во-вторых, фактор человеческой ошибки, устройства периодически переключаются между портами коммутаторов и инженер, который будет перенастраивать порт, может банально перепутать VLAN и гостевое устройство может оказаться в корпоративном сегменте и получить доступ к ценной внутренней информации. Поэтому лучше использовать динамическую сегментацию.

За счет этого получаются унифицированные политики безопасности как для проводной сети, так и для беспроводной, появляется автоматизация, поэтому не нужно настраивать каждый коммутатор отдельно, все acsess-листы и роли теперь будут спускаться автоматически из системы контроля доступа.

При этом сохраняется возможность централизованного управления всеми политиками безопасности. Трафик с коммутаторов и точек доступа терминируется на кластере контроллеров либо на кластере шлюзов, внутри этот трафик можно разобрать до уровня приложений, за счет этого получаем возможность блокировать различные неугодные приложения, ограничить доступ к различным корпоративным приложениям и делать это централизованно через ClearPass Policy Manager. Кроме того, есть возможность профилировать устройства, ограничить унифицировано политики безопасности, за счет профилирования можно определить, что за устройства подключено к сети.

Даже на коммутаторах доступа есть поддержка VXLAN. За счет этого есть возможность пробрасывать L2-сети через L3-сегменты, такое может потребоваться в случае каких-то не очень умных датчиков, которые могут работать только по L2. 

За счет наличия Network Analytic Engine можно отслеживать работоспособность данного решения за счет автоматизации NetEdit можно упростить настройку и проброски трафика.

Аналитика и автоматизация

Компания Aruba анонсировала выход новой платформы Aruba Edge Services Platform.

Это унифицированная платформа, которая использует не только стандартные средства управления, но и искусственный интеллект для поиска аномалий в сети, для выдачи рекомендаций по настройкам. На текущий момент заказчики могут использовать либо облачную платформу Aruba Central в качестве системы мониторинга, либо перейти к решению Central of Premises.

На текущий момент чаще всего для поиска и устранения проблем инженеры используют либо системы мониторинга, либо подходят к оборудованию и используют консольные команды. При наличии большого числа устройств, а в конкретном случае на сеть жалуется один пользователь, вам необходимо определить на каком коммутаторе этот пользователь находится. Надо зайти на этот коммутатор ввести соответствующие команды и все проверить, что долго и неудобно, и превращается в поиски иголки в стоге сена. На все это тратится слишком много времени. Сбор телеметрии – это еще одна проблемная часть. Если она собирается централизованно, то есть элемент задержки, т.е. в систему аналитики попадает большой объем нефильтрованных данных не мгновенно, поэтому нужно эту информацию обработать. Кроме того, сторонние системы мониторинга хороши, кроме того необходима ручная корреляция между произошедшим событием и его причиной. Добавляется время на ответную реакцию и если коммутатор стал недоступен, то ничего с ним сделать уже нельзя. В связи с этим компания HPE предлагает использовать в качестве системы автоматизации NetEdit, а в качестве системы сбора телеметрии и аналитики - Network Analytic Engine, которая работает на самих коммутаторах. За счет этого мы получаем в режиме реального времени видимость всей сети с возможностью реакции на сбой. Автоматизация мониторинга для быстрого обнаружения проблем, таким образом мы, как бы получаем не самого умного, но трудолюбивого «инженера», который сидит в каждом коммутаторе и работает в режиме 24 на 7.

В любой корпоративной сети есть люди, которые используют много различного оборудования, это могут быть телефоны, ПК и планшеты, периодически у них есть проблемы с этим оборудованием, например, не работает Интернет, и инженер техподдержки должен совершить определенные шаги для поиска и устранения проблемы. 

Пользователь создает заявку в техподдержку, выделяется инженер для определения причины сбоя, он выдвигает ряд гипотез, определяет что на коммутаторе не работает аплинк, либо потерялось соседство с провайдером, либо критически увеличились задержки до какого-то сервера. Определили причину, изменили настройки и возвращаемся к пассивному мониторингу. 3 пункта из 4-х нам удается автоматизировать с помощью Network Analytic Engine.

Можно мониторить состояние систем и оборудования, можем определить вероятные причины сбоя и можем пассивно мониторить состояние системы за счет различных агентов.

NetEdit – это система автоматизации, которая позволяет упростить настройку при большом объеме оборудования, есть возможность просмотра топологии сети, тут отображаются данные с Network Analytic Engine. Если агенты замечают неполадки, то сразу это будет видно. Возможна интеграция с Slack, TOPdesk, ServiceNow.

Если у вас много оборудования и нужно внести небольшие изменения в настройки, например, поменять номер VLAN или IP-адреса, необходимо написать некоторый скрипт, запустить его и убедиться в том что все сработало правильно, либо необходим инженер, который будет ходить по десяткам коммутаторов и по очереди их перенастраивать, что не очень удобно и может привести к человеческим ошибкам. За счет NetEdit можно делать темплейты с переменными, кроме того у нас происходит многошаговая проверка валидности конфигурации. Проверяется синтаксис, проверяется соответствие корпоративным политикам, например, вы пытаетесь настроить 58-й порт на 48-ми портовом коммутаторе. После проверки первых шагов настроек, переходим к заливке этих настроек на коммутатор и появляется возможность сравнить то, как было с тем что стало. Если что-то пошло не так, есть возможность отката настройки назад. У NetEdit есть возможность интеграции со сторонними системами и за счет этого автоматизировать создание различных кейсов.

Что касается быстрого ввода в эксплуатацию, то есть приложение Aruba CX Mobile App. Оно не требует подписки и доступно в App Store и Google Play. 

В комплекте поставки с коммутаторами идут BlueTooth донглы, можно использовать либо их для первоначального подключения к коммутатору с мобильного телефона или планшета, либо можно использовать подключение через Wi-Fi. Есть возможность задачи базовых настроек, например, IP-адреса для управления, прописать VLAN или что-нибудь еще, есть возможность интеграции с Aruba NetEdit, т.е. подключаемся через приложение к системе автоматизации и через нее все настраиваем. Кроме того, есть возможность быстрой проверки бюджета PoE, утилизации коммутатора и тому подобных вещей. Есть возможность быстрой сборки стека, для этого включаем коммутаторы, соединяем их DAC-кабелями, через BlueTooth подключаемся к ним и собираем стек. 

ASIC для коммутаторов

Компания HPE Aruba выпустила 7-е поколение ASIC для того, чтобы было проще дописывать функционал, если использовать коммерческий силикон, но не всегда пожелания заказчиков и пожелания производителей силикона совпадают. 

За счет того, что мы используем ASIC собственного производства, мы можем не просто дописывать необходимый функционал. ASIC обеспечивает большую производительность, обладает неблокируемой производительностью, при этом даже в кампусном железе поддерживается ЦОДовский функционал. Также обеспечивается гибкая программируемость под конкретные задачи. Начала компания HPE разработку ASIC примерно 25 лет назад.

Недавно выпущено седьмое поколение ASIC.

Портфель коммутаторов

Сейчас на рынке есть достаточно много компаний, которые предлагают для кампусных сетей и для ЦОДов различные линейки коммутаторов, при этом операционные системы на них отличаются. HPE Aruba пошел по другому пути, вендор делает упрощенный дизайн за счет унификации, т.е. на всех коммутаторах Aruba СХ, независимо от того где их предполагают использовать, установлена одна и та же операционная система. Следовательно инженер может использовать одни и те же консольные команды, причем даже на коммутаторах доступа есть ЦОДовский функционал.

HPE Aruba не лицензирует никакой функционал, вы покупаете коммутатор и весь функционал доступен из коробки.

Портфель коммутаторов выглядит следующим образом.

Для кампусных сетей, для уровня доступа подойдут 6200 и 6300, иногда 6400, для агрегации - 6400 и 8320, и больше для ЦОДов – 8325 и 8400.

С появлением Wi-Fi 6 точек доступа более актуальными стали требования к поддержке двух важных стандартов – это 802.3bt и 802.3bz. 802.3bt – это новый стандарт PoE, позволяющий выдавать мощность до 65 Вт, и поскольку Wi-Fi 6 более требователен к ресурсам, соответственно возросли требования и к электропитанию. Флагманские точки доступа требуют обязательно 802.3bt питания на порту. 

Кроме того, возросли требования к скорости, стандарт 802.3bz позволяет использовать существующие СКС 5е либо 6-й категории для подключения оборудования на скоростях 1/2,5/5 GbE.

Весь портфель теперь выглядит так, как это изображено на следующем слайде.

Aruba CX 6400

На следующем слайде представлен коммутатор Aruba CX 6400.

У него довольно большой набор интерфейсных модулей от простых гигабитных портов до 100 гигабитных, поддерживается технология VSX, есть возможность установить резервный модуль управления, можно установить до 480 портов с поддержкой HPE Smart Rate и 60 Вт always-on PoE. На следующем слайде – вид на коммутатор сзади.

Здесь две модели: на 5 интерфейсных модулей и на 10 интерфейсных модулей. Обеспечена горячей замены блоков вентиляторов, есть возможность резервирования блоков питания. Можно заказать 3 кВт блоки питания для обеспечения большого бюджета PoE.

Aruba CX 6300

Здесь две линейки: фиксированной конфигурации и модульные, стекируются с помощью DAC-кабелей, есть модели с поддержкой HPE Smart Rate и 60 Вт always-on PoE. Аплинки 1/10/25/50GbE, отличие двух моделей можно наблюдать, если посмотреть на коммутаторы сзади.

У фиксированных конфигураций коммутаторов встроенные блоки вентиляторов и блоки питания, у модульной конфигурации – они съемные. Появилась новая модель с возможностью выдува горячего воздуха со стороны портов, что зачастую требуется в ЦОДах для сети управления.

Aruba CX 6200

Это простые коммутаторы доступа фиксированной конфигурации, в качестве аплинк-портов используется SFP и SFP+, т.е. можно установить трансиверы 1G либо 10G, встроенные блоки вентиляторов и блоки питания, есть возможность выбора модели с бюджетом PoE до 740 Вт.

Aruba CX 8320

Это уже более производительные линейки, которые предполагаются использовать в агрегации и в том числе в ЦОДах. Есть поддержка технологии VSX, модели с медными либо оптическим «десятками», в качестве аплинк-портов - SFP+. Есть модель с 32-мя 40 GbE портами. Съемные блоки вентиляторов и блоки питания, есть USB-порт для заливки софта, есть консольный сериальный порт, есть возможность посмотреть MAC-адрес и серийный номер оборудования.

Aruba CX 8325

Это уже железо для ЦОДов, есть модели с поддержкой скоростей 1/10/25GbE и 40/100GbE. Есть модель со стогигабитными портами, есть поддержка VSX в том числе с Live Upgrade. Горячая замена блоков вентиляторов и питания.

Aruba CX 8400

Это устройство обеспечивает отказоустойчивость операторского класса за счет резервирования всех аппаратных элементов, здесь большой выбор интерфейсных модулей, в этой устройстве они расположены вертикально, можно получить до 512 SFP+-портов либо до 96 100 гигабитных портов, дублируются блоки питания и блоки вентиляторов, коммутационные фабрики, модули управления, все это с горячей заменой, здесь обеспечивается максимальная отказоустойчивость.

На следующем слайде представлено сравнение коммутаторов Aruba с конкурентами.

Что касается гарантийных обязательств для данных линеек оборудования, то на коммутаторы действует ограниченная пожизненная гарантия, это означает что в рамках такой гарантии вы можете менять оборудование в течение пяти лет после ЕОS с заменой на следующий рабочий день.

Базовая гарантия включает в себя 90 дней взаимодействия с инженерным подразделением техподдержки в рабочее время, если этого недостаточно, есть возможность докупить дополнительные сервисные контракты. По ссылке снизу слайда можно более подробно почитать про гарантии.