Zmiana architektury sieci na potrzeby modelu BYOD

Opracowanie biznesowe
Zmiana architektury sieci
na potrzeby modelu BYOD
Opracowanie biznesowe
Spis treści
3
4
4
5
5
6
Streszczenie
Czy stara sieć ogranicza Twoje możliwości?
Brak elastyczności
Ograniczone zabezpieczenia
Złożona struktura
Powolna architektura trzywarstwowa
6
6
Zmiana architektury sieci na potrzeby modelu BYOD
Najlepsze rozwiązania dla sieci bezprzewodowych BYOD
7
8
8
Zachowanie bezpieczeństwa sieci
Proste sieci bezprzewodowe
Podsumowanie
Opracowanie biznesowe
Strona 3
Streszczenie
Coraz więcej osób korzysta z sieci firmowych przy użyciu własnych urządzeń przenośnych.
Wielu pracowników używa smartfonów i tabletów w pracy, aby zwiększyć swoją wydajność.
Korporacyjne działy IT nie mają już kontroli nad tym, jakie urządzenia przenośne są używane
przez pracowników w celu uzyskania dostępu do sieci. Strategia korzystania z własnych
urządzeń (BYOD, Bring your own device) przyczynia się do wzrostu zadowolenia i wydajności
pracowników, ale stanowi też obciążenie dla sieci firmowych.
Ograniczenia dotyczą przede wszystkim starszych sieci, zwłaszcza tych, które są powszechnie
stosowane w kampusach i oddziałach terenowych. Są one nieelastyczne i nie pozwalają
na spersonalizowanie sposobu ich użytkowania. Projektanci tych rozwiązań sieciowych
nie przewidywali istnienia urządzeń mobilnych, więc podłączenie takich urządzeń do
sieci powoduje wzrost zagrożeń bezpieczeństwa. Obsługa starszych, złożonych sieci jest
pracochłonna, a podłączanie nowych urządzeń wymaga ręcznych zmian w konfiguracji.
Przestarzała architektura trzywarstwowa dawnych rozwiązań może spowalniać nowoczesne
aplikacje, zwłaszcza te działające w sieciach bezprzewodowych.
Zmiana architektury sieci korporacyjnej ułatwi zarządzanie modelem BYOD i przyczyni się
do wzrostu bezpieczeństwa środowiska sieciowego. Urządzenia sieciowe nowej generacji
umożliwiają łagodzenie skutków spowolnienia transmisji danych. Zmodernizowana sieć
będzie elastyczna i skalowalna. Dzięki udoskonalonym aplikacjom do zarządzania siecią
administratorzy mogą za pomocą jednego interfejsu platformy uzyskiwać dokładne informacje
dotyczące podłączonych urządzeń i ich zabezpieczeń oraz wykorzystywanych zasobów.
Ten dokument zawiera opis ograniczeń, jakim podlegają starsze sieci, ze szczególnym
uwzględnieniem obsługi modelu BYOD. Zrozumienie tych ograniczeń umożliwi pomyślne
wdrożenie zasad zarządzania BYOD w sieciach działających w kampusach i oddziałach firm.
Opracowanie biznesowe
Strona 4
Czy stara sieć ogranicza Twoje możliwości?
Dawniej obowiązek udostępnienia urządzeń i podłączenia ich do sieci przewodowej w miejscu
pracy spoczywał na dziale IT. Obecne użytkownicy często korzystają z kilku urządzeń,
które zwykle nie są dostarczane ani zatwierdzane przez dział IT, i chcą używać ich do obsługi
złożonych aplikacji, takich jak strumieniowe przesyłanie wideo lub komunikowanie się przez
sieć bezprzewodową.
Wymagania dotyczące sieci bezprzewodowych stają się coraz bardziej złożone, a sposób
korzystania z usług zmienia się. To powoduje konieczność przystosowania sieci. W przypadku
przestarzałych rozwiązań mogą pojawić się trudności. Starsze środowiska ograniczają
stosowanie modelu BYOD na cztery sposoby.
1.Brak elastyczności: struktura sieci miała umożliwiać działowi IT zarządzanie
użytkownikami i typami lokalizacji. Pracownicy nie mogą dostosowywać sposobu
używania sieci, co ogranicza wydajność. Personel IT musi zapoznawać się z wieloma
platformami zarządzania obsługującymi poszczególne technologie w sieci.
2.Ograniczone zabezpieczenia: granice sieci zostały ściśle określone podczas ich tworzenia.
Jednak obecnie pojawiają się zagrożenia bezpieczeństwa, ponieważ użytkownicy korzystają
z urządzeń przenośnych, które nie istniały w czasie projektowania danej sieci.
3.Złożona struktura: modyfikowanie konfiguracji sieci bezprzewodowej jest pracochłonne
i zabiera sporo czasu, ponieważ wymaga użycia skryptów i wprowadzania zmian
w interfejsie wiersza poleceń. Sieci są bardziej złożone i wymagają płynnego przesyłania
danych transmisji głosowej i wideo oraz innych informacji — również w środowisku
bezprzewodowym.
4.Powolna architektura trzywarstwowa: tradycyjna sieć oparta na trzech warstwach
była projektowana, gdy większość pracowników używała komputerów stacjonarnych,
a korzystanie z sieci bezprzewodowych było przywilejem nielicznej grupy przedstawicieli
kadry kierowniczej. Zastosowanie trzech warstw zamiast dwóch spowalnia sieć, ponieważ
wymaga dodatkowego przeskoku pakietów przy każdym użyciu sieci.
Przyjrzyjmy się bliżej tym problemom i sposobom ich rozwiązania.
Brak elastyczności
Starsze sieci były projektowane ze stałą konfiguracją. Pracownicy otrzymywali od działu
IT komputery, które za pomocą kabli podłączano do sieci przewodowej. Każde biuro
miało własny punkt połączenia z siecią, a konfiguracja nie podlegała zmianom. Ponieważ
użytkownicy nie mogli dostosowywać środowiska ani przyłączonych urządzeń, personel IT
wiedział, jaki sprzęt jest podłączony do sieci. Przepustowość i pojemność sieci planowano
przy założeniu, że każdy użytkownik może korzystać z jednego urządzenia. Aby ograniczyć
koszty, nie przewidywano dodatkowej wydajności sieci.
Obecnie pracownik może korzystać z komputera, laptopa, tabletu i smartfona, które są
jednocześnie połączone z tą samą siecią. Użytkownicy chcą pracować w środowisku,
które zapewnia stały poziom wydajności, niezależnie od tego, czy oglądają film szkoleniowy
przez sieć Wi-Fi, czy prowadzą rozmowę z użyciem programu Skype zainstalowanego na
komputerze. Model miejsca pracy również się zmienia — personel korzysta z sieci w salach
konferencyjnych i innych współdzielonych obszarach. Stare typy sieci po prostu nie są
w stanie zaspokoić bieżących potrzeb.
Opracowanie biznesowe
Strona 5
Ograniczone zabezpieczenia
Stare sieci pozwalały na ścisłą kontrolę nad zabezpieczeniami. Administratorzy sieci mieli
możliwość decydowania o tym, które urządzenia mogą z niej korzystać. Firmowe dane
były chronione przed nieautoryzowanym dostępem za pomocą zaawansowanych zapór.
Można było łatwo sprawdzić, czy dane urządzenie ma autoryzację, ponieważ cała obsługa
sprzętu z dostępem do sieci była realizowana przez dział IT — zakup podzespołów,
montaż maszyny i świadczenie zdalnej pomocy technicznej.
Ten model już się nie sprawdza. Nawet najlepsza zapora nie zapewni całkowitej ochrony
przed niezaufanymi urządzeniami. Z drugiej strony, zasady zabezpieczeń BYOD w istocie
zachęcają użytkowników do korzystania z takich urządzeń. Działanie zabezpieczeń nie
może polegać jedynie na ochronie granic sieci — zasady muszą obejmować wszystkie
miejsca, w których użytkownicy nawiązują połączenia.
Współcześni administratorzy sieci potrzebują wglądu w informacje dotyczące połączonych
urządzeń: ich typu oraz wykorzystywanych przez nie zasobów i przepustowości. Rozwiązania
muszą być elastyczne, tak aby można było udostępniać usługi bezpośrednio po ich
wdrożeniu. Ograniczenia starych sieci sprawiają, że wprowadzenie odpowiednich zmian
i zapewnienie bezpieczeństwa urządzeniom BYOD odbywa się powoli.
Tradycyjny sposób zmieniania konfiguracji starej sieci polega na ręcznym użyciu interfejsu
wiersza poleceń. Obecnie korzystanie z niego jest niemożliwe ze względu na liczbę nowych
urządzeń oraz fakt, że użytkownicy nie zawsze informują dział IT o nowych smartfonach
lub tabletach, na których chcą pracować w sieci.
Obsługa użytkowników logujących się jako goście to kolejny problem — osoby odwiedzające
biuro firmy na pewno przyniosą ze sobą telefon, tablet lub laptopa, za pomocą którego
będą chciały połączyć się z siecią firmową. Dobrze jest zapewnić gościom dostęp do
bezprzewodowej sieci LAN na terenie kampusu lub oddziału firmy, ale trzeba też mieć
pewność, że poufne dane pozostaną bezpieczne.
Ponadto sami pracownicy domagają się zwiększonego dostępu do sieci bezprzewodowej
i chcą pracować w szybkim, niezawodnym środowisku.
Złożona struktura
W starych sieciach liczba podłączonych urządzeń raczej się nie zmieniała, a administratorzy
IT znali cały sprzęt.
Wraz ze wzrostem liczby funkcji dodawanych do sieci zwiększa się poziom złożoności
zarządzania. W przypadku dodania sieci bezprzewodowej do sieci przewodowej nagle
okazuje się, że mamy dwie sieci oraz dwa zestawy zabezpieczeń i aplikacji do zarządzania.
Poziom złożoności wzrasta zatem kilkukrotnie. W sieci pojawiają się i znikają różne nieznane
urządzenia, a ci sami użytkownicy uzyskują dostęp za pomocą laptopa, a godzinę później
przy użyciu smartfona. W takich warunkach ważne jest, aby dysponować zintegrowanym
systemem, który umożliwia zarządzanie wszystkimi interakcjami. Dalsze używanie interfejsu
wiersza poleceń do definiowania i egzekwowania zasad jest niepraktyczne.
Opracowanie biznesowe
Strona 6
Powolna architektura trzywarstwowa
Rozwiązania o architekturze trzywarstwowej były projektowane dla sieci przewodowych.
Przełączniki dostępowe współpracowały z przełącznikami dystrybucyjnymi, które z kolei
były połączone z szybką siecią szkieletową. Taka struktura dobrze funkcjonowała w czasach,
gdy projektowano starsze sieci, ponieważ nie wszystkie przełączniki dostępowe można
było łączyć bezpośrednio z rdzeniem sieci. Architektura klient/serwer pozwalała na fizyczne
segregowanie ruchu do różnych podsieci.
Obecnie jednak techniki komunikacji stosowane w miejscu pracy wyglądają zupełnie
inaczej. Technologie zapewniające wysoki poziom współpracy, takie jak wirtualizacja,
połączenia VoIP i wideo oraz grupy robocze, wymagają stosowania sieci charakteryzujących
się niewielkimi opóźnieniami. Na przykład w przypadku wirtualizacji pulpitów dane
i aplikacje są przechowywane w chmurze, co oznacza, że urządzenie musi nawiązać
połączenie z serwerem w chmurze za każdym razem, gdy użytkownik chce skorzystać
z aplikacji. W starej architekturze trzywarstwowej następuje dodatkowy przeskok pakietów,
co spowalnia komunikację.
Stare sieci bezprzewodowe nie są również przystosowane do obsługi urządzeń przenośnych
o małej mocy, które muszą znajdować się w pobliżu punktu dostępu, aby zapewnić dobrą
jakość połączenia. Aby zagwarantować odpowiednią obsługę urządzeń przenośnych, należy
przeprojektować sieć pod kątem uzyskania większej gęstości (większej liczby połączonych
urządzeń na mniejszym obszarze oraz bliższej odległości od punktów dostępu).
Zmiana architektury sieci na potrzeby modelu BYOD
Najlepsze rozwiązania dla sieci bezprzewodowych BYOD
Zamiast brnąć w szukanie rozwiązań w odpowiedzi na wzrost złożoności sieci po wdrożeniu
modelu BYOD, warto skorzystać z okazji i uprościć całą strukturę. Trzeba ją przeprojektować
pod kątem modelu dwuwarstwowego, co pozwoli na uzyskanie większej przepustowości
i wydajności. W sieciach definiowanych programowo zmiana konfiguracji jest prosta,
co ułatwia przystosowanie ich do dynamicznych warunków określanych przez użytkowników.
Opracowanie biznesowe
Strona 7
Sieć dwuwarstwowa jest szybsza i wprowadza mniejsze opóźnienia, co sprawia,
że wideokonferencje i podobne zastosowania działają płynnie. Jest wystarczająco elastyczna,
aby zapewnić obsługę nowych typów infrastruktury, takich jak usługi w chmurze, przy
zachowaniu działania istniejących inwestycji, zapory, rutowania oraz strategii optymalizacji
w zakresie dostarczania aplikacji. Jeden interfejs umożliwia wyświetlenie pełnego zakresu
informacji, od danych dotyczących użycia aplikacji do wartości opóźnień w routerach,
dzięki czemu praca personelu IT jest bardziej skuteczna i wydajna.
Elastyczne i skalowalne środowisko pozwala pracownikom korzystać z wielu urządzeń.
Sieć rozrasta się w miarę dodawania nowych urządzeń i wprowadzania nowych potrzeb
biznesowych. Elastyczna sieć ułatwia również dodawanie punktów dostępu w miejscach,
w których zwykle gromadzą się użytkownicy, takich jak sale konferencyjne, stołówki i inne
obszary. Dzięki zastosowaniu kontrolerów sieci WLAN nowej generacji można zarządzać
tysiącami punktów dostępu. To kilkukrotnie więcej niż w przypadku starszych urządzeń.
Ma to kluczowe znaczenie dla zapewnienia dobrej obsługi modelu BYOD.
Zachowanie bezpieczeństwa sieci
Przeprojektowana sieć umożliwia udostępnienie użytkownikom dodatkowych sposobów
na utrzymanie wydajności pracy przy zachowaniu bezpieczeństwa. Poniżej przedstawiono
działania prowadzące do tego celu:
•Podzielenie sieci na segmenty, tak aby jej najbardziej wrażliwe obszary pozostawały
niedostępne dla gości.
•Wdrożenie narzędzia umożliwiającego określenie typu urządzenia nawiązującego
połączenie oraz systemu operacyjnego i przeglądarki, które są na nim zainstalowane.
•Modernizacja sieci pod kątem obsługi uwierzytelniania 802.1X oraz kontroli dostępu do
sieci (NAC). To pozwoli administratorowi sieci ograniczyć dostęp do zasobów firmowych
na podstawie informacji o użytkowniku, urządzeniu lub lokalizacji.
Połączenie sieci przewodowej i bezprzewodowej upraszcza całą strukturę, umożliwiając
udostępnienie użytkownikom spójnego środowiska, niezależnie od tego, czy pracują oni
z aplikacjami biznesowymi przy użyciu komputerów stacjonarnych czy tabletów. W takiej
sieci można wdrożyć automatyczne mechanizmy, które eliminują konieczność ręcznego
wprowadzania zmian w konfiguracji całego sprzętu i poszczególnych platform do zarządzania.
Połączenie środowisk pozwoli na łatwą integrację z istniejącymi inwestycjami w rozwiązania
sieciowe i bezpieczeństwo, umożliwiając zarządzanie elementami infrastruktury od różnych
dostawców za pomocą jednej platformy.
Opracowanie biznesowe
Proste sieci bezprzewodowe
Pracownicy stają się obecnie coraz bardziej mobilni i domagają się możliwości łączenia się
z siecią w każdym czasie i miejscu oraz korzystania z własnych urządzeń. Potrzeba stałego
dostępu do sieci zmienia sposób postrzegania technologii łączności bezprzewodowej.
Nie jest ona już tylko uzupełnieniem sieci przewodowej, ale coraz częściej stanowi dla
pracowników główną metodę dostępu do sieci.
Coraz więcej osób domaga się rozwiązań dostępu bezprzewodowego, które działają tak
samo szybko i płynnie jak aplikacje w sieci przewodowej. W urządzeniach przenośnych są
często używane aplikacje korzystające z technologii ujednoliconej komunikacji i współpracy
(UCC). Ten rodzaj aplikacji wymaga lepszych połączeń radiowych, aby uzyskać wysoką
i stałą jakość transmisji głosu i sygnału wideo. Aby spełnić te wysokie wymagania dotyczące
poziomu usług, konieczne jest zastosowanie wydajnych, nowoczesnych punktów dostępu
obsługujących bezprzewodową sieć LAN w standardzie 802.11ac.
Jeśli obecna sieć bezprzewodowa jest oparta na standardzie starszym od IEEE 802.11n,
użytkownicy zauważą spowolnienie transmisji i dostępu do aplikacji. Nowe punkty
dostępu obsługujące standard 802.11ac pozwalają zapewnić łączność Wi-Fi bez obaw o jej
wydajność i zabezpieczenia. Ponadto są łatwe w konfiguracji i dają dostęp do wielu funkcji
przyspieszających i optymalizujących funkcjonowanie małych i średnich przedsiębiorstw.
Dzięki obsłudze najnowszej technologii 802.11ac punkty dostępu uzyskują nawet
trzykrotnie większą wydajność w porównaniu ze starszymi standardami, mają również
wbudowane pulpity administracyjne. Nowa technologia punktów dostępu optymalizuje
działanie urządzeń, gdy ich użytkownicy przemieszczają się i warunki transmisji radiowej
ulegają zmianie. Punkty dostępu są w stanie:
• przydzielić każde urządzenie przenośne do najlepszego punktu dostępu;
• dynamicznie optymalizować działanie sieci Wi-Fi, gdy użytkownicy przemieszczają się
i zmieniają się warunki transmisji radiowej;
• chronić przed zagrożeniami za pomocą zintegrowanej ochrony przed włamaniami do
sieci bezprzewodowej, eliminując potrzebę stosowania osobnych czujników radiowych
i urządzeń zabezpieczających;
• umożliwić szybsze ładowanie stron internetowych i transmisję strumieniową wideo
wyższej jakości;
• obsłużyć urządzenia przenośne w większym zagęszczeniu.
Z powodu coraz większej mobilności pracowników i klientów przedsiębiorstwa muszą szybko
i bezpiecznie obsługiwać dostarczanie nowoczesnych aplikacji na urządzenia przenośne.
Nowe punkty dostępu obsługujące standard 802.11ac usprawniają dostarczanie ważnych
aplikacji oraz zapewniają klientom, pracownikom i partnerom lepsze połączenie z siecią.
Podsumowanie
Rozwiązanie BYOD firmy HPE ma duży potencjał w zakresie zwiększenia zadowolenia
pracowników i ich wydajności. Nie pozwól, aby stara sieć ograniczała możliwości firmy. Skontaktuj
się z lokalnym partnerem biznesowym lub biurem handlowym HPE, aby uzyskać informacje
na temat utworzenia sieci z obsługą modelu BYOD w Twoim kampusie lub oddziale firmy.
Więcej informacji:
hpe.com/networking/byod
© Copyright 2013–2015 Hewlett Packard Enterprise Development LP. Informacje zawarte w niniejszym dokumencie mogą ulec zmianie
bez uprzedzenia. Jedyne gwarancje na produkty i usługi firmy HPE są określone w wyraźnych warunkach gwarancji towarzyszących
produktom i usługom. Żadne informacje przedstawione w niniejszym dokumencie nie powinny być interpretowane jako dodatkowa
gwarancja. Firma HPE nie ponosi odpowiedzialności za błędy techniczne lub redakcyjne ani za pominięcia w niniejszym dokumencie.
Bluetooth jest znakiem towarowym należącym do odpowiedniego podmiotu i używanym przez firmę Hewlett-Packard Company
w ramach licencji.
4AA4-3882PLE, listopad 2015 r., wersja 1