Cisco se centra en las denominadas 'redes basadas en la intención'

Lanzado en el verano de 2017, el plan de IBN para construir una red intuitiva tiene una variedad de componentes que incluyen DNA Center. El plan también incluye SD-Access, que utiliza un enfoque centrado en la identidad para administrar a los usuarios y dispositivos que ingresan y operan en la red; Network Data Platform (NDP) y Assurance, que categorizarán los datos de tráfico de red y proporcionarán análisis predictivos; y Encrypted Traffic Analytics (ETA), que usa metadatos de tráfico para identificar amenazas.

Uno de los primeros aspectos de esta estrategia que ha llegado al mercado es DNA Center para controlar SD-Access. DNA Center se ejecuta en un dispositivo local para el cliente conocido como Application Policy Infrastructure Controller - Enterprise Module (APIC-EM) que se paga a través de una suscripción según el tamaño de la implementación. (Cisco podría ofrecer una versión alojada en la nube en el futuro).

"Cuando implementa SD-Access, en realidad está creando una red superpuesta", explica Carl Solder, director sénior de marketing técnico de conmutación empresarial en Cisco. Todavía hay una red física compuesta por conmutadores, enrutadores y puntos de acceso inalámbrico, pero DNA Center crea una capa de abstracción que permite que toda la estructura sea tratada como un conmutador virtual. Este tejido se puede manipular para crear redes virtuales que segmentan la red y cada una tiene políticas específicas que se administran centralmente.

Convencionalmente, la creación y administración de estas redes virtuales se ha realizado utilizando una combinación de VPN, vLANS y reglas de segmentación. "Pero aplicarlo consistentemente a través de conmutación, enrutamiento e inalámbrico puede llevar tiempo", dice Solder. "La idea es simplificar todo ese proceso creando redes virtuales con unos pocos clics y aplicando políticas de forma coherente. Expresamos nuestra intención y permitimos que el controlador, el Centro de ADN, descubra cómo implementar esa configuración en todos los dispositivos bajo su control ".

La pantalla de bienvenida del Centro de ADN de Cisco es una interfaz de software para administrar una red basada en el acceso definido por software (SD-Access). Al controlar SD-Access, DNA Center tiene cuatro componentes principales: diseño de la red, establecimiento de políticas, aprovisionamiento de la política y aseguramiento de las políticas. Cisco dice que esta es la promesa de su estrategia de IBN: los usuarios expresan su intención de lo que quieren que haga la red y la plataforma de automatización de software lo implementa.

Diseño

Aquí es donde los administradores de red administran todas las configuraciones que se aplican a los nuevos dispositivos incluidos en la red. Los usuarios pueden definir sitios en el Centro de ADN, por ejemplo, una sede o sucursal, o una ubicación geográfica específica. En el portal de diseño, los usuarios definen cómo se debe configurar el equipo, dependiendo de su dominio. Las funciones tales como establecer un protocolo de host, establecer el nombre de dominio, establecer archivos syslog y configurar protocolos de administración se definen aquí. Luego, cuando se implementa un dispositivo en un sitio, DNA Center automáticamente toma las configuraciones de ese sitio y las instala en el dispositivo. "Puedo definir una jerarquía de configuraciones una vez y todo lo que está debajo de ese dominio heredará esas configuraciones", explica Solder.

Aquí se gestionan las credenciales de hardware, los nombres de usuario, las contraseñas y las direcciones IP. DNA Center se puede configurar para asignar automáticamente direcciones IP al integrarse con administradores externos de direcciones IP como Infoblox.

El portal de diseño también administra imágenes de dispositivos. Los administradores pueden establecer imágenes doradas y, cuando se agreguen nuevos dispositivos, DNA Center verificará qué imágenes se están ejecutando y, si no coincide con la imagen dorada predefinida, solicitará a los administradores que actualicen la imagen.

Política

La administración de políticas es el verdadero nucleo del Centro de ADN. Es el portal donde los administradores crean y administran perfiles de redes virtuales. Cuando los usuarios o dispositivos están asignados a una red virtual, están lógicamente confinados a ella. El acceso a una red virtual diferente debería, en la mejor práctica, requerir pasar por un firewall. Se podrían ejecutar controles de política similares usando una combinación de firewalls, implementaciones MPLS y estaciones de referencia virtuales. Sin embargo, implementarlos en diferentes clases de dispositivos (enrutadores, conmutadores y puntos de acceso) en un entorno distribuido requiere mucho trabajo manual, dice Solder.

Dentro de estos segmentos de red virtual, DNA Center permite una microsegmentación aún más granular. Por ejemplo, diferentes equipos dentro de estos segmentos de red virtual, DNA Center permiten una microsegmentación aún más granular. Diferentes equipos de una empresa pueden tener sus propios segmentos de red virtual: una red virtual para empleados, otra para instalaciones y una tercera para usuarios externos. DNA Center puede crear políticas que eviten que los usuarios externos se comuniquen con la red de las instalaciones, por ejemplo.

La microsegmentación permite una aplicación de políticas aún más granular. Por ejemplo, dentro de la red virtual de empleados, el equipo de finanzas puede tener diferentes políticas de acceso y uso que el equipo de marketing. Solder señala que la creación de estas redes virtuales limita el alcance de las amenazas de seguridad: si un ataque de ransomware entra en un área de la empresa, lógicamente se le niega el acceso a otras áreas.

Esta gestión de políticas está diseñada para reemplazar listas de control de acceso basadas en direcciones IP e IP de origen. El Centro de ADN adopta un enfoque basado en la identidad utilizando lo que se denomina Motor de Servicios de Identidad (ISE), un software que debe funcionar junto con el Centro de ADN. Se puede integrar con Active Directory u otras plataformas de administración de identidades para aplicar políticas basadas en identidad dentro de la red. Provisión

Si bien el paso de diseño garantiza que la nueva infraestructura de red esté configurada correctamente y el paso de política establezca reglas, la función de provisión es donde se implementan esas reglas.

Los administradores usan interfaces de arrastrar y soltar basadas en gráficos y plantillas codificadas por colores en DNA Center para administrar qué dispositivos deben ser específicos para qué dominio y qué políticas se aplicarán en esos dispositivos. A medida que los usuarios y los dispositivos se unen a la red, los equipos de hardware (enrutadores, conmutadores y puntos de acceso) utilizan su identidad, a través de ISE, para hacer cumplir estas políticas.

Garantía

El componente final de DNA Center - assurance - se ocupa de la gestión continua de la estructura. El componente de aseguramiento utiliza software que se incluye con DNA Center llamado Network Data Platform (NDP), que recopila datos de operación de la red. El Centro de ADN utiliza esta información para crear puntajes de salud que muestran puntos problemáticos dentro de la red, como una aplicación que no funciona correctamente, un mal funcionamiento de la infraestructura o usuarios que se conectan a la red en dispositivos desconocidos. DNA Center incluso recomendará algunos pasos para solucionar problemas.

Una de las principales diferencias entre la administración de operaciones de red existente y la nueva ola de redes basadas en la intención que Cisco ha prometido es la idea de usar software para garantizar que las políticas que se han creado se apliquen correctamente dentro de la red. Cisco planea usar algoritmos para monitorear la actividad de la red y probar que las políticas se están aplicando. Algunas de esas funcionalidades, como los mapas de calor, las estadísticas de uso y la solución de problemas de las áreas problemáticas, estarán disponibles en la versión 1.1 del Centro de ADN en enero de 2018; otros aspectos están en los planes de trabajo futuros para DNA Center.