企業網路接取環境從早期以有線Ethernet為主,已演進到有線與無線整合運行,現代的無線基地台,上行須先到Edge交換器,再接取到核心控制器,過去的聚合層逐漸成為有線與無線整合運行環境,為發展中的物聯網應用奠定基礎。
對此Aruba交換器產品管理總監Karthik Ramaswamy指出,Aruba交換器的設計理念,不論是否為有線與無線網路整合建構的物聯網應用,考量的重點首要是連接穩定性,其次為基於開放API整合,建立自動化運行流程,以增添安全機制。既有交換器的動態分段(Dynamic Segmentation)能力,可整合Aruba CPPM(ClearPass Policy Manager)系統,辨識接取網路服務的用戶端,並且以角色為基礎套用配置合適的權限規則。整體來看交換器的共通特點,Aruba技術協理陳清淵說明,首先是把原本無線網路運用的機制延伸到交換器設備,讓使用者存取行為設計以通道方式建立,將傳輸封包導向控制器,即可實作動態分段的應用。
Aruba交換器產品管理總監Karthik Ramaswamy建議,人員流動率較高的企業,連網裝置須有能力判斷更新程式安裝狀態,把偵測發現風險較高的裝置配置存取權限低的角色,待安裝後才恢復,以免成為攻擊跳板滲透進入內網。
「在動態分段環境中,使用者彼此之間溝通,必須依據角色族群配置導向控制器,即可透過防火牆建立通道。雖仍無法做到微切分(Micro-segmentation),但基本可達到用戶彼此之間的傳輸分段。除此之外,有線無線整合架構中,無線基地台接取網路服務時必須具備辨識能力,可自動供應電源,同時讓無線基地台建立QoS等相關設定,不須人為介入配置,透過辨識設備即可自動套用存取所需的功能。」陳清淵說。
為了協助IT管理者掌握各式網路應用場域,實體的交換器、無線基地台皆可扮演感知器角色。Karthik Ramaswamy說明,這就是網路即感知器,意即CPPM得以整合連線通道辨識裝置類型,藉由CPPM系統中已內建的描述(Profiling)執行自動辨識,並且蒐集取得裝置產生的日誌,拋送到後端統合分析,就如同感知器的功能。
值得一提的是,整個行動優先產品線中的Aruba 8400所設計提供的自動化機制,可讓IT人員在設定配置時,毋須再以執行指令集操作,改由透過自動化工具來簡化與提高效率。主要是著眼於正在發展中的物聯網應用環境,勢必將部署數量龐大的連網裝置,若非透過自動化機制,恐難以有效率地控管。
至於動態分段技術,重要的關鍵在於免去顏色標籤配置,當用戶端裝置接上網路連接埠時,即可透過CPPM辨識所屬的角色,而非只能遵照連接埠預先設定的規範接取網路,來配置所屬的VLAN編號。該流量亦可導向有線無線整合的控制器,透過防火牆的深度封包檢測建立可視化能力,依據封包表頭來識別連線存取的應用服務,內建二千多種類別,足以準確地判斷後,再針對特定項目設定頻寬的控管。
「若企業只需要單純辨識用戶端的角色,CPPM即可協助;欲進一步做到流量的動態分段,則必須透過CPPM與控制器之間建立傳輸通道來實現。企業可依據網路應用需求選用配置。」陳清淵說。