Aki Anttila: Lähiverkon modernit tekniikat

Työssäni ajaudun varsin usein keskusteluihin ja jopa suoranaisiin väittelyihin siitä, miten lähiverkkoja pitäisi nykyisin rakentaa. Tämä johtuu siitä, että jo 90-luvun puolivälissä kehitettyjen “klassisen lähiverkon” tekniikoiden rinnalla on noussut kaksi muutakin varteenotettavaa kokonaisuutta. Toinen on pilvihallitut verkot ja toinen kerrosmaiset verkot (käytän tässä uutta termiä tarkoittamaan overlay/underlay -tekniikoita). Tässä kirjoituksessa koitan ainakin hieman selkeyttää näiden vaihtoehtojen eroja ja käyttökohteita.

Klassisella lähiverkolla tarkoitetaan kokonaisuutta, jossa jokaisen toimipisteen verkko rakennetaan omana L2-tason kokonaisuutena siten, että L2/L3-rajapinta toteutetaan joko lähiverkon runkokytkimessä, tai laajaverkkoa (WAN, Wide Area Network) vasten olevassa reunareitittimessä. Tässä L2-verkossa käytettäviä tekniikoita ovat esimerkiksi VLAN (Virtual LAN), xSTP (Spanning Tree Protocol -variantit), trunk-portit kytkimien välissä, erilaiset STP-laajennukset, sekä FHRP-mekanismit (First Hop Redundancy Protocol) L3-pisteen kahdentamiseen.

Klassisen lähiverkon osalta käyttäjäsegmentointi suunnitellaan ja toteutetaan toimipistekohtaisesti. Käytännössä laaditaan (yleensä Excelin avulla) iso matriisi, jossa riveinä toimivat käyttäjäsegmentit ja sarakkeina esimerkiksi toimipisteen nimi, VLANin (käyttäjäsegmentin) nimi ja numero, käytettävä IP-verkko, hyödynnetäänkö DHCP:tä (Dynamic Host Configuration Protocol), jos hyödynnetään, mitä osoitteita avaruudesta jaetaan, mikä on oletusreitittimen osoite ja miten käyttäjäsegmentti välitetään laajaverkon yli. Tämä suunnitelma, sekä sen toteuttaminen ovat tyypillisesti varsin työläitä harjoituksia, mutta muodostavat keskeisen osan klassisesta toteutuksesta.

Klassisen lähiverkon hallinta tapahtuu yleensä puhtaasti laitekohtaisesti komentorivikäyttöliittymästä (CLI, Command Line Interface). Jos töitä on paljon, tarvitaan myös tekijöitä paljon, joka on johtanut lentävään lauseeseen “Chennai-automaatiosta” (Chennai on Intialainen kaupunki, jossa on paljon IT-ulkoistustoimintaa). Ainoastaan hyvin harvassa tapauksessa käytetään valmistajakohtaisia ohjelmia hallintatyön helpottamiseksi. Vastaavasti klassisen lähiverkon valvonta on yleensä olematonta. Joissain paikoissa on saatettu virittää ilmaisia tai puoli-ilmaisia työkaluja keräämään perusinformaatiota esimerkiksi verkkolaitteiden tilasta, mutta siihen se sitten jääkin. Ainoastaan verkot, jotka ovat jonkun palveluntarjoajan hoidossa, saavat parempaa kohtelua tämän osalta.

Klassisen lähiverkon osalta langattoman ja kiinteän verkon suhde on melkoisen häilyvä. Valmistajakohtaisesti saatetaan saada jonkinasteisia integraatiohyötyjä, mutta suurelta osin langaton verkko hyödyntää kiinteää verkkoa ainoastaan käyttäjäliikenteen tunnelointiin ilman sen suurempaa yhteistoimintaa.

Koska klassinen lähiverkko on…noh…klassinen, soveltuu se periaatteessa minkä tahansa kokoisten, muotoisten tai mallisten lähiverkkotarpeiden tyydyttämiseen. On kuitenkin huomattava, että vanhat tekniikat sekä suunnittelu- ja toimintamallit soveltuvat varsin huonosti digitaalisen aikakauden organisaatioiden verkon perustaksi.

Pilvihallittu lähiverkko on askel modernimpaan suuntaan. Käytännössä pilvihallinnalla tarkoitetaan nimensä mukaisesti, että lähiverkon (tyypillisesti sekä langattoman, että langallisen) hallinta ja valvonta suoritetaan joko julkisessa tai yksityisessä pilvessä olevan ohjelmiston kautta. Markkinoiden ensimmäisiä tähän ajatukseen perustuvista tuotteista on taannoin Ciscon ostama Meraki, joka perustettiin jo 2006.

Pilvihallittu lähiverkko käyttää tyypillisesti samoja perustekniikoita, kuin klassisessa lähiverkossa. Eli edelleenkin käytössä ovat virityspuualgoritmit (STP), VLANit, ensimmäisen hypyn redundanssimenetelmät (FHRP) ja vastaavat tekniikat. Klassisten tekniikoiden käyttämisen myötä myös esimerkiksi toimipisteiden suunnittelu joudutaan tekemään perinteisellä tavalla. Tämän vuoksi pilvihallittua verkkoa voidaankin pitää lähinnä evoluutiona, ei varsinaisena revoluutiona siihen, miten lähiverkkoja voidaan toteuttaa. Suurin muutos tulee siitä, että pääosassa eri valmistajien toteutuksia ei yksittäisiä laitteita enää konfiguroida komentoriviltä, vaan kaikki hoidetaan pilven kautta tuotetun graafisen käyttöliittymän kautta. Tämä koskee myös valvontaa, sillä tyypillisesti pilvihallittujen verkkojen osalta pystytään tuottamaan hyvinkin monipuolisia näkymiä.

Pilvihallittuja verkkoja otettiin ensin käyttöön erityisesti ketjumaisten toimijoiden osalta, koska eräs niiden sisäänrakennetuista piirteistä on uuden toimipisteen (suhteellisen) helppo käyttöönotto nollakosketuksen provisioinnin (Zero Touch Provisioning, ZTP) kautta. Vuosien aikana käytön raja-aita on kuitenkin hämärtynyt ja toisaalta eri valmistajien laitevalikoima on kasvanut, jolloin ollaan päädytty tilanteeseen, missä lähes minkä tahansa kokoisia, muotoisia ja mallisia verkkoja voidaan toteuttaa pilvihallittuina.

Viimeisin lisäys lähiverkkotekniikoiden maailmassa on kerrosmaiset verkot. Näiden osalta kaikilla valmistajilla on sama pohja-ajatus jonka mukaisesti verkko jaetaan kahteen loogiseen kerrokseen – pohjakerros (underlay) ja käyttäjäsegmentit (overlay). Pohjakerros toteutetaan kokonaisuudessaan L3-tasolla, joka tarkoittaa reitityksen ulottamista aina viimeiseenkin kerroskytkimeen asti. Ainoastaan kerroskytkinten päätelaiteportit toteuttavat edelleen L2-mallia, sillä päätelaitteiden toimintaa on vaikea lähteä muuttamaan. Pohjakerroksen tavoitteena on tarjota yhtenäinen L3-tason yhteys kaikkien verkon laitteiden kesken. Tätä hyödynnetään sitten käyttäjäsegmenttien liikenteen välittämisessä, joka tehdään käyttäen VXLAN-tunnelointia (Virtual Extensible LAN).

Kerrosmaisten verkkojen osalta eniten hämmennystä herättää käyttäjäsegmenttien päätelaitteiden lokaatiotietoa välittävä kontrollitason mekanismi. Pääsääntöisesti valmistajat käyttävät alun perin datakeskusverkkoihin tarkoitettua BGP-EVPN -protokollaa (Border Gateway Protocol – Ethernet Virtual Private Network). Tästä poikkeaa ainoastaan Cisco, jonka lähiverkkototeutuksessa kontrollitasolla pyöritetään alun perin Internetin IPv4-maailman laajennukseksi kehitettyä LISPiä (Location/ID Separation Protocol). Tämä johtaa siihen, että periaatteessa muut valmistajat ovat keskenään ainakin jollain tasolla yhteensopivia, Cisco ei.

Yksi kerrosmaisten verkkojen suurimpia hyötyjä on mahdollisuus yksinkertaistaa lähiverkkojen rakennetta radikaalisti. Periaatteessa (ja myös käytännössä) toimipistekohtaisesta käyttäjäsegmentoinnista voidaan luopua ja ne voidaan toteuttaa koko verkon laajuisina. Tämä yksinkertaistaa toimipisteiden suunnittelua ja toteuttamista. Samoin voidaan luopua laajaverkon segmentoinnista, koska kaikki liikenne kuljetetaan pohjakerroksen päällä tunneleiden avulla. Tämä vastaavasti yksinkertaistaa laajaverkon toteuttamista. Myös tietoturvapolitiikoiden teko yksinkertaistuu, koska ei tarvita kymmenien, jopa satojen erillisten IP-verkkojen määrittelyä palomuurille, vaan voidaan hyödyntää isompia osoitekokonaisuuksia. Ja vielä – valmistajasta riippuen – voidaan myös integroida langaton ja langallinen verkko yhdeksi kokonaisuudeksi.

Kerrosmaisiin verkkoihin liittyy tyypillisesti myös jonkinlainen keskitetty hallinta ja valvonta. Tämän toteuttaminen on valmistajariippuvaista siten, että vähimmillään tarjotaan graafinen käyttöliittymä, jonka kautta voidaan antaa komentorivikonfiguraatiota isolle joukolle laitteita, sekä valvoa keskitetysti niiden tilaa. Parhaimmillaan päästään Gartnerin määrittämään “Intent-Based Networking” -malliin, missä graafisen käyttöliittymän kautta määritetään konfiguraation tahtotila ja käyttöliittymän alla oleva moottori huolehtii oikean konfiguraation tekemisestä verkon laitteisiin. Tämä malli on käytössä esimerkiksi Ciscon DNA Center -tuotteessa. Käytännössä keskitetyn hallinnan kautta pystytään radikaalisti nostamaan verkon määrittelyiden automaatioastetta ja sitä kautta nopeuttamaan esimerkiksi uusien käyttäjäsegmenttien käyttöönottoa.

Keskitetyt työkalut tarjoavat myös paremman näkymän verkon tapahtumiin. Tyypillisesti voidaan tarkastella verkon (laitteiden) tilaa, päätelaitteiden liittymistä ja liitoksen tilaa, sekä sovellusten saamaa palvelua verkon näkökulmasta. Valmistajakohtaisesti voi olla lisukkeena myös esimerkiksi näkymä verkkoliikenteen tietoturvaan ja mahdollisuus tarkastella asioita reaaliaikaisesti tai historiatiedon kautta.

Kerrosmaiset verkot ovat iso hyppäys moderniin tapaan toteuttaa lähiverkkoja. Periaatteessa ne soveltuvat minkä tahansa kokoisten, muotoisten ja mallisten verkkojen rakennusaineksiksi, mutta ainakin toistaiseksi optimaalisia ovat vähän isommat verkot, joissa tarvitaan muutosten nopeutta ja tehokkuutta, yksinkertaista ympäristöä ja hyvää näkyvyyttä.

Yhteenvetona voidaan todeta, että kaikilla edellä esitetyillä tavoilla voidaan rakentaa organisaation tarpeita hyvin toteuttava lähiverkko. Jos tausta-ajatuksena on “vanhassa on vara parempi”, klassinen toteutus on täysin toimiva. Jos graafinen kliksuttelu ja perinteiset, hyvin ymmärretyt tekniikat innostavat, voi pilvihallittu olla hyvä vaihtoehto. Ja kun halutaan mennä turbovaihteella ja opetella täysin uusi tapa toteuttaa ja operoida lähiverkkoja, on kerrosmainen toteutus optimaalinen.

Kirjoittanut

Aki Anttila työskentelee Elisa Santa Monicalla infrastruktuurievankelistana.