Quali vantaggi offrono alle aziende i nuovi gateway SRX e in che modo sono state raggiunte le prestazioni che sembrano essere uno dei loro principali punto di forza?
Solo un anno fa il browser web era la base della maggior parte delle attività di rete. Oggi i sistemi IT stanno rapidamente cambiando. Applicazioni quali il peer to peer networking, il conferencing, la multimedialità e Web 2.0 sono più complesse e sofisticate e richiedono un'interazione migliore basata su una più veloce disponibilità . L'incremento di video-conferenze e contenuti multimediali da soli richiedono alla rete una più bassa latenza in ogni condizione di esercizio e, allo stesso tempo, una banda sempre maggiore. Se l'infrastruttura di rete e di sicurezza non è in grado di fornire alte prestazioni e una disponibilità costante, diventa essa stessa la causa di interruzione dell'offerta di servizi. Allo stesso tempo gli amministratori di rete devono fare i conti con una gamma di attacchi sempre più vasta e più frequenti quindi con rischi crescenti di violazioni, interruzioni di servizio o degrado dei servizi stessi. Inoltre in un economia globalizzata e terzializzata i sistemi IT per poter erogare servizi spesso dipendono da interconnessioni con partner esterni, con il rischio della perdita di riservatezza o compromissione dei dati e della violazione delle norme di sicurezza.Un problema fondamentale per molte organizzazioni è la centralizzazione dei datacenter mediante consolidamento e virtualizzazione dei server, con i benefici economico/organizzativi che questo comporta: la creazione di pochi "mega-datacenter" sta generando una centralizzazione del traffico in pochi punti specifici della rete, la necessità di spostare enormi quantità di dati in poco tempo ed allo stesso tempo la necessità di servire connettività e applicazioni ad un'utenza eterogenea e distribuita; questo implica il bisogno di high performance per i device centrali che ne devono costituire l'infrastruttura ed una velocità di risposta delle applicazioni attraverso le reti geografiche prima sconosciuta. Queste applicazioni sono sempre più spesso vitali per il core business delle aziende: CRM, ERP e relative applicazioni a supporto quali DB, VoIP ecetera.I grossi limiti nei disegni di rete tradizionali sono dovuti principalmente ad una limitata scalabilità delle performance dei device che costringe gli amministratori all'estensione in parallelo dell'infrastruttura (aggiunta devices lineare con la crescita di banda/servizi richiesti) con conseguente aumento della complessità nella topologia delle reti e quindi della loro gestione. La principale conseguenza di questo limite è un incremento lineare degli OPEX dovuta a costi montanti, ad una maggiore instabilità delle reti man mano che la complessità aumenta (maggiore probabilità di errore umano ad esempio) ed una maggiore difficoltà nel preservare la conformità alle norme di sicurezza interne ed agli standard (network visibility). Tradizionalmente le reti aziendali non sono progettate pensando all'impiego di device carrier-class e questo ne limita fortemente la flessibilità e l'introduzione di innovazione e nuovi servizi sempre più necessari ad una realtà di business in continuo mutamento e riorganizzazione.Una soluzione a questi problemi è un nuovo approccio allo sviluppo dei sistemi di rete e di sicurezza, la Dynamic Services Architecture di Juniper Networks. Questo concetto innovativo si discosta radicalmente dai design architetturali odierni, per fornire un nuovo paradigma adatto alle attuali necessità di alte prestazioni delle infrastrutture di rete aziendali. La famiglia di nuovi apparati Juniper SRX 5000 costituisce il primo esempio di sistemi progettati seguendo questa nuova filosofia volta al superamento dei limiti attuali.
[tit:Potrebbe fornirci una overview sulla Dynamic Services Architecture ?]
Per comprendere quanto sia necessario questo approccio rivoluzionario vale la pena analizzare il modello architetturale attuale e come sia limitato nell'impiego delle reti ad alte prestazioni di oggi.
Nonostante i drammatici avanzamenti in velocità , potenza e funzionalità , le architetture dei sistemi di rete e sicurezza attualmente in uso sono disegnate nello stesso modo in cui nel 1970 fu concepito il primo personal computer IBM: al centro del PC c'è una CPU caricata da molteplici task. Nonostante le attuali CPU siano incredibilmente più veloci di quelle di allora il concetto rimane invariato anche nei moderni sistemi attuali. In queste condizioni fare un upgrade significa passare a CPU più veloci (più che implementare nuove funzionalità ) e la scalabilità è ottenuta aggiungendo più memoria o schede di espansione negli slot esistenti. Il numero degli slot è tipicamente limitato e, mentre la velocità e la densità delle schede aumenta le caratteristiche fondamentali del design rimangono inalterate.Questo paradigma architetturale è tutt'ora impiegato nella maggior parte dei dispositivi di rete e sicurezza. Le appliance sono costruite con un numero limitato di CPU, con opzioni limitate per l'espansione di memoria e gli slot di espansione sono tipicamente dedicati alle interfacce di I/O. Pertanto molti device di rete alla fine mostrano le stesse limitazioni di quei PC, specie quando sono impiegate in reti con traffico molto elevato e necessità di servizi complessi quali firewalling e IDS/IPS. Le CPU sono impiegate al limite con poca o nessuna possibilità di aumentare la capacità di processo per i servizi, mentre le interfacce di I/O non offrono sufficiente espandibilità quando le reti richiedono maggiore connettività . Recentemente una generazione di dispositivi costruiti attorno ad uno chassis modulare popolabile con blades ha incontrato un certo successo nel tentativo di sorpassare questi limiti. Consistono tipicamente di un fast backplane in grado di interconnettere blades e schede che forniscono una vasta gamma di servizi di sicurezza. L'idea è quella che quando il dipartimento IT abbia necessità di nuovi servizi semplicemente basta inserire una nuova scheda dedicata.
Tuttavia questo design soffre per alcune delle limitazioni già incontrate nel modello precedente: spesso gli chassis sono progettati per fornire solo un backplane veloce e pochissimi sforzi sono stati profusi per la gestione delle blades e delle schede come fossero un sistema unico. Il risultato è uno chassis che costituisce un guscio vuoto ad una serie di appliances interconnesse ma autonome, spesso non uniformi che a loro volta soffrono per le stesse limitazioni nelle capacità di processo e I/O dei sistemi stand-alone.
Sono stati fatti anche tentativi per fornire scalabilità lavorando sul software ma con scarsissimi risultati: se l'hardware infatti non è disegnato per determinati servizi la realizzazione in software non potrà che penalizzare ulteriormente le prestazioni.
Una volta compresi questi limiti, i dipartimenti IT hanno seguito l'unica strada percorribile: acquistare nuovi dispositivi da affiancare ai precedenti per avere più CPU e più porte, creando così ambienti di rete sempre più complessi e vasti, difficili da mantenere e che richiedono sempre più tempo per la gestione quotidiana.
àˆ chiaramente impossibile per gli amministratori aumentare device per far scalare l'infrastruttura di rete e la sua sicurezza, quindi è divenuto imperativo introdurre una soluzione di continuità nel design degli apparati con un nuovo approccio volto alla possibilità di fornire servizi di sicurezza in modo scalabile e dinamico.
[tit:Non solo un altro tipo di chassis]
La Dynamic Services Architecture è basata su un design di chassis, ma tuttavia è completamente differente da un'architettura a chassis tradizionale. Invece di fornire semplicemente un backplane veloce, la Dynamic Services Architecture include anche il management ed il piano di controllo necessari per incorporare le singole blades in una soluzione unitaria. Invece di impiegare blades e card differenziate, la Dynamic Services Architecture aggiunge ogni nuova scheda in un pool di risorse crescente e queste risorse possono quindi essere utilizzate quando necessario per un processamento ottimale del traffico di rete e dei servizi richiesti.
Il cuore della Dynamic Services Architecture è costituito dal Switch Fabric and Control Board (SCB), che trasforma lo chassis da un semplice guscio per le blades in una rete meshata estremamente potente e racchiusa in un unico sistema. Lo scopo dell'SCB è quello di permettere a tutte le schede nello chassis di trasmettere il traffico a velocità elevatissime. La Route Engine (RE) è strettamente connessa alla funzionalità dell'SCB e può essere considerata il sistema nervoso centrale dell'architettura. La RE costituisce il Piano di Controllo dello chassis e fornisce il management e le comunicazioni da e per gli amministratori di sistema, come anche il calcolo delle tabelle di routing per il traffico di rete. Il sistema operativo (Junos) che include elementi chiave per la funzionalità dello chassis gira sulla RE: le funzionalità di networking e security quali il routing avanzato, lo switching, la sicurezza sui flussi (firewalling), la gestione per zone di sicurezza e screening di traffico etc. sono tutti disponibili attraverso questo sistema operativo con un'unica interfaccia utente.
Se la RE è il sistema nervoso centrale, le Service Processing Cards (SPC) sono il cervello del sistema. Le SPC sono schede che forniscono la capacità di operare pesantemente sui pacchetti e sui flussi di rete: lo chassis SRX deve avere almeno una SPC installata per poter funzionare.L'eleganza di questo tipo di design viene percepita quando si installa più di una SPC: piuttosto che avere uno chassis dotato di 2 o più cervelli come nelle architetture tradizionali, il risultato ora è quello di avere un sistema unico più grosso che può lavorare ad un maggior numero di task contemporaneamente.
Questa importante distinzione è una delle caratteristiche chiave della Dynamic Services Architecture rispetto ai design tradizionali. Gli amministratori non devono più configurare le schede aggiuntive per attivare nuovi servizi. Aumentando la capacità computazionale del sistema si mantiene lo stato di sistema unico, quindi l'architettura consente un'espansione delle funzionalità di rete e sicurezza senza alcun overhead amministrativo.
L'importanza di questo concetto si vede altrettanto bene in situazioni critiche di sicurezza quali gli attacchi di tipo Denial of Service (DoS). Quando un attacco è lanciato, il tentativo di un amministratore di connettersi al device non diventa semplicemente parte del traffico di rete: non entra quindi in competizione con gli storm a cui è sottoposto il sistema in caso di DoS attach con conseguenti problemi di gestione proprio in un momento critico in cui le risposte tempestive sono cruciali. Poichà© in questa architettura il piano di controllo rimane completamente separato dal piano di forwarding dove avviene il traffic flow, gli amministratori di rete o i sistemi automatici di gestione possono rispondere immediatamente agli attacchi di rete mentre le SPC continuano a processare il traffico e a mitigare l'attacco.
Gli slot di espansione disponibili sugli SRX sono unici in quanto "agnostici" rispetto al tipo di schede allocabili, consentendo quindi agli amministratori la configurazione degli chassis in base ai propri requisiti specifici. Ad esempio un'organizzazione che richiede maggior capacità di processamento come ad esempio un'istituzione militare, può includere un maggior numero di SPC e meno I/O cards (IOC), mentre un service provider può scegliere di avere un altissimo numero di porte e quindi un alto numero di IOC e meno capacità di calcolo. Quando il business - e quindi i servizi - cambiano, gli amministratori possono facilmente aggiungere e/o togliere schede SPC e IOC se necessario. La scalabilità delle schede IOC è autonoma, come pure quella delle SPC: a patto di avere almeno una SPC installata si può pensare di avere uno chassis completamente popolato da schede I/O: la Dynamic Services Architecture provvede a mappare automaticamente ogni nuova sessione di traffico su una qualunque delle SPC disponibili in tempo reale non appena la sessione è ricevuta per essere processata.
La Dynamic Services Architecture supporta anche un load balancing automatico con performance e capacità avanzate proprio grazie al suo peculiare design per la distribuzione delle sessioni. Questo è gestito dai processori intelligenti sulle IOC che distribuiscono automaticamente le sessioni sul pool delle SPC disponibili (il "cervello" descritto in precedenza). Questo è possibile perchà© tutte le SPC in un sistema gestiscono gli stessi servizi e hanno la stessa configurazione. Non c'è una mappatura specifica o univoca tra IOC e SPC, ma piuttosto ogni flusso è mappato dinamicamente alla creazione della sessione che lo rappresenta.Infatti se è installata una sola SPC gli amministratori possono ancora erogare tutti i servizi disponibili quali firewalling, VPN, IDS/IPS, routing, QOS, NAT etc. Si possono installare SPC addizionali per aumentare le performance e le capacità senza dover cambiare la configurazione dell'apparato.
Ad esempio nella figura sopra vediamo nella prima colonna una situazione di one to one, un'unica SPC che server il traffico da e per una singola IOC. Nella seconda colonna (many to one) è mostrata la condizione in cui più IOC sono connesse a livello logico con un'unica SPC: il traffico può fluire da e per porte differenti. Nell'ultima colonna infine (Many to Many) differenti IOC sono connesse logicamente a numerose SPC e le sessioni provenienti da ciascuna porta possono essere inoltrate su una qualunque delle SPC presenti.Questo meccanismo di load balancing è fatto automaticamente senza alcuna configurazione richiesta all'amministratore.
Allo stesso modo il packet flow all'interno del sistema con la Dynamic Services Architecture diviene completamente integrato e molto più semplice da gestire. Non è più necessario fornire istruzioni a ciascuna delle blades per istruirle sulla gestione del traffico. Ogni pacchetto che attraversi il sistema compie lo stesso percorso base:- il pacchetto entra nella porta su una IOC- è processato dalla IOC e passato alla Switch Fabric- una SPC riceve il pacchetto e lo processa per il firewalling, l'IPSEC e l'IPS: se il pacchetto deve essere "droppato" l'SPC provvederà a scartarlo e a generare un evento di log se richiesto.- se il pacchetto deve passare viene rimandato alla switch fabric e quindi all'IOC dove è eventualmente processato per la QOS.- il pacchetto viene quindi inoltrato fuori dalla porta ethernet corretta.Ogni componente hardware è ottimizzato per il proprio compito mediante impiego di ASIC specifici.
La flessibilità della Dynamic Services Architecture è dovuta al fatto che non c'è una relazione fissa tra porte e dati, consentendo quindi al traffico legittimo di fluire attraverso il sistema in modo continuativo molto più velocemente. Ancora più importante è forse il fatto che quando vengono aggiunte nuove SPC le configurazioni inerenti al traffico non devono essere cambiate consentendo così un deployment più rapido con meno lavoro di gestione e nessun impatto sulla funzionalità della rete.
[tit:In che modo le aziende possono ottenere dei vantaggi competitivi sostenibili usando i nuovi prodotti?]
I benefici immediati derivanti dall'impiego dei sistemi SRX 5000 possono essere riassunti nei seguenti punti:- Scalabilità e performance di nuova generazione (fino a 120 Gbps di firewalling, 30 Gbps di IDS/IPS, 4 M di sessioni contemporanee e 350.000 nuove sessioni al secondo). Questo consente la messa in sicurezza delle applicazioni più "demanding" e i datacenter maggiori con benefici sull'alta disponibilità e la protezione dei dati.- Flessibilità basata su Dynamic Services Architecture, più facile da utilizzare e ridotto impegno da parte delle strutture IT- Performance delle applicazioni migliorate con impatto diretto sull'esperienza degli utenti- riduzione del Total Cost of Ownership impiegando una singola architettura con un singolo sistema operativo.
Tutto questo si traduce in un'immediata protezione degli investimenti grazie ad una scalabilità mai sperimentata in precedenza. Un nuovo livello di performance consente un effettivo consolidamento di strutture complesse e ad alte prestazioni con impatti rilevanti sugli opex di strutture complesse quali datacenter e mega-datacenter.
In particolare le nuove macchine della serie SRX impiegano il sistema operativo Junos già utilizzato nei router e negli switch ad alte prestazioni di Juniper Networks, ereditandone i benefici storici: Junos è un sistema operativo modulare per dispositivi di rete nato più di 10 anni fa e presente da anni nelle reti dei top 30 service providers a livello mondiale. àˆ un sistema operativo consolidato che nasce per la massima semplificazione delle operation e il massimo livello di high availability, essendosi sviluppato nell'ambiente più demanding da questo punto di vista, ovvero i Service Providers.Junos è sviluppato all'interno di un processo altamente disciplinato e controllato con rilasci rigidamente predeterminati e rispettati (da 10 anni consecutivi di rilascio di nuove versioni nella seconda settimana del secondo mese di ogni trimestre) ed è basato su un'unica immagine binaria impiegata su tutti i sistemi Juniper di routing, switching e ora firewalling di nuova generazione. Quindi un unico sistema operativo sviluppato in unico treno di sviluppo con un'unica architettura modulare: i clienti che impiegano sistemi basati su Junos beneficiano dei vantaggi strategici di un sistema operativo che permette un notevole contenimento dei costi operativi. "Comparato a soluzioni di altri vendor, i clienti Juniper riportano che il software Junos riduce la frequenza di eventi non pianificati in media del 24% e riduce la gestione degli eventi non pianificati del 30%. Inoltre gli stessi utenti dicono che l'impiego di Junos consente una riduzione di tutte le fasi di troubleshooting del 30%". La "scriptabilità " di Junos e le funzioni di automazione consentono una riduzione del tempo impiegato per il monitoraggio del 24% e una riduzione dei tempi per realizzare un upgrade di core del 23%. Infine l'introduzione di nuovi sistemi sulla rete grazie alla flessibilità e l'adozione di standard aperti consente una sensibile riduzione dei tempi di deployment in media del 29% e del 28% il tempo necessario ad implementare nuovi servizi.*
* dati Lake Partners 2007 sull'efficienza operativa di Junos