SDN – Software Defined Networking, czyli sieci zarządzane centralnie na przykładzie TP-Link Omada

Sieci definiowane programowo (SDN – Software Defined Networking) zmieniają i znacznie ułatwiają sposób zarządzania infrastrukturą sieciową w firmach. Główną ideą jest to, by oddzielić od siebie warstwę transmisji danych (Data Plane) realizowaną przez fizyczne urządzenia sieciowe od warstwy sterowania (Control Plane). Sterowanie przeniesione jest do kontrolera SDN, na którym działa odpowiednie oprogramowanie zarządzające pracą całej sieci. Stąd właśnie nazwa – „definiowana programowo” (Software Defined). Zamiast osobno konfigurować każdy komponent sieciowy (przełącznik, ruter, punkt dostępowy, telefon IP, kamera IP itp.), w sieci SDN wszystkimi urządzeniami zarządza się centralnie z poziomu kontrolera SDN. Administrator z poziomu jednego panelu konfiguruje całą infrastrukturę sieciową, kreuje politykę bezpieczeństwa, konfiguruje VPN-y i VLAN-y, definiuje reguły dostępu do sieci przez Wi-Fi, a nawet aktualizuje grupowo firmware we wszystkich urządzeniach jednym kliknięciem myszy. W naszej redakcji przetestowaliśmy rozwiązanie SDN TP-Link Omada przeznaczone dla małych i średnich firm, a także hoteli, szkół, gastronomii, sklepów, a nawet domów i mieszkań.

Materiał partnerski

Tradycyjne zarządzanie infrastrukturą sieciową jest skomplikowane i czasochłonne. Administrator takiej sieci najpierw musi ją zaprojektować, przewidzieć rozłożenie poszczególnych urządzeń, sposób ich połączenia zapewniający odpowiednią redundancję łącz, zdefiniować sieci wirtualne (VLAN), skonfigurować wirtualne sieci prywatne (VPN), a także polityki bezpieczeństwa i reguły dostępu do sieci tak przewodowo, przez LAN, jak i przez Wi-Fi. W tradycyjnym modelu każde urządzenie trzeba konfigurować niezależnie, każdy przełącznik, ruter czy punkt dostępowy mają własny panel sterujący, indywidualne dane dostępowe i własną konfigurację.

SDN i centralne zarządzanie całą siecią

Programowo definiowane sieci SDN (zwane też programowalnymi sieciami komputerowymi) całkowicie zmieniają tę koncepcję. Z każdego urządzenia sieciowego usunięty jest komponent sterujący. Przełączniki, rutery czy punkty dostępowe mają za zadanie jedynie przesyłać pakietowo dane pomiędzy portami sieci.

Warstwa sterowania przeniesiona jest do kontrolera SDN, którego rolą jest centralne zarządzanie całą infrastrukturą. Kontroler może mieć postać sprzętowego urządzenia (wyspecjalizowanego lub po prostu komputera z zainstalowanym odpowiednim oprogramowaniem), ale może być też rozwiązaniem chmurowym.

Kontroler udostępnia administratorowi jeden spójny interfejs, z poziomu którego ten widzi wszystkie urządzenia składające się na infrastrukturę. Może w bardzo łatwy sposób konfigurować wszystkie te urządzenia bez konieczności logowania się na każde z nich z osobna. Nie musi już pamiętać adresów IP każdego z urządzeń ani loginów i haseł.

Wszelkie zmiany w infrastrukturze zajmują dosłownie chwilę. Powiększanie sieci o nowe urządzenia odbywa się w sposób praktycznie automatyczny. Nowe urządzenie podłączamy do sieci LAN (przewodem miedzianym Ethernet albo światłowodem podłączanym do portu SFP), po czym kontroler je automatycznie wykrywa i informuje o tym administratora. Następnie – pod warunkiem uzyskania akceptacji – dodaje to urządzenie do sieci. W pełni automatycznie je konfiguruje, nadaje mu adres IP i ustawia politykę bezpieczeństwa zgodną ze zdefiniowaną dla całej sieci. Administrator ani razu w trakcie tego procesu nie musi się logować ręcznie na to urządzenie. Proces ten nazywa się adopcją.

Z poziomu panelu sterującego kontrolera administrator może także zarządzać sieciami Wi-Fi (tworzyć nowe sieci, konfigurować reguły dostępu, zarządzać dostępnymi częstotliwościami i pasmem), a także podglądać listę wszystkich klientów sieci (nie tylko urządzeń sieciowych, ale też komputerów, serwerów, smartfonów itp.). Z dokładnością do pojedynczego urządzenia może im przykładowo ograniczyć przepustowość łącza, a nawet – w przypadku wykrycia intruza – całkowicie zablokować dostęp do sieci.

SDN diametralnie zmienia sposób zarządzania sieciami i znacznie ułatwia ich konfigurację. Jest to jednocześnie rozwiązanie w pełni skalowalne. Może być stosowane tak w domu (w którym pracować może pojedynczy ruter, przełącznik i np. dwa punkty dostępowe Wi-Fi), w małych i średnich organizacjach, których infrastruktura sieciowa składa się z kilkudziesięciu  lub kilkuset urządzeń, a nawet w dużych firmach, których sieć komputerowa zbudowana jest z tysięcy komponentów. SDN może rosnąc wraz z organizacją. Możemy rozpocząć od kontrolera, rutera, switcha i punktu dostępowego, a wraz z czasem dokładać kolejne przełączniki i kolejne punkty dostępowe. Pojedynczy kontroler potrafi zarządzać tysiącami urządzeń.

SDN jest idealnym rozwiązaniem dla hoteli, szkół, restauracji, sklepów czy biur, ale także większych domów, w których pojedynczy ruter Wi-Fi nie zapewnia dostępu do internetu we wszystkich pomieszczeniach.

TP-Link Omada SDN w praktyce

Urządzenia SDN oferują czołowi producenci sprzętu sieciowego. W redakcji wypróbowaliśmy to rozwiązanie dzięki uprzejmości firmy TP-Link, która udostępniła nam zestaw urządzeń z rodziny TP-Link Omada. To rozwiązanie o tyle interesujące, że umożliwia zarządzanie siecią zarówno lokalnie, po zalogowaniu się do kontrolera SDN, jak i z poziomu chmury – z dowolnego miejsca na świecie, nawet gdy administrator ma pod ręką tylko smartfon. Sprzęt TP-Link może być zarządzany przez kontroler, ale poszczególne urządzenia mają wciąż własną logikę sterującą, więc jeśli zostaną użyte w sieci bez kontrolera SDN, nadal potrafią pracować samodzielnie i można je też konfigurować w tradycyjny sposób.

Omada obejmuje bogaty zestaw sprzętu sieciowego, takiego jak rutery, punkty dostępowe i przełączniki, a także dwa modele kontrolerów sprzętowych oraz darmowe oprogramowanie pozwalające na konfigurację kontrolera na komputerze z systemem Windows lub Linux (w tej sytuacji nie ma konieczności zakupu sprzętowego kontrolera TP-Link). Kontroler można skonfigurować też na wybranych serwerach NAS (dostępny jest np. kontroler Omada dla serwerów QNAP), a nawet na komputerkach Raspberry Pi.

Dostępny jest też kontroler w chmurze, opłacany w modelu subskrypcyjnym (płatnym za każde urządzenie na okres roku, trzech lat lub pięciu lat). Przy wyborze tego rozwiązania nie trzeba nawet instalować żadnego dodatkowego urządzenia, by zarządzać naszą siecią SDN Omada. Jest to jednak rozwiązanie stosunkowo rzadko wybierane przez użytkowników ze względu na relatywnie niewysoki koszt sprzętowych kontrolerów. Mając taki kontroler można też zarządzać własną siecią na odległość przez internet – za darmo, bez konieczności opłacania comiesięcznej subskrypcji.

Do testów otrzymaliśmy następujący sprzęt:

• TP-Link ER706W (Omada AX3000 Gigabit VPN Router) – ruter z wbudowanym punktem dostępowym Wi-Fi 6 AX3000, pięcioma portami LAN (Gigabit Ethernet) oraz pojedynczym SFP; wszystkie gniazda mogą pełnić rolę portów WAN, czyli agregować np. łącza od sumarycznie sześciu dostawców internetu. Ruter ma też gniazdo USB, do którego można podłączyć modem 4G i tym samym zapewnić siódmy kanał dostępu do internetu, poprzez sieć telefonii komórkowej 4G, na wypadek awarii łącz przewodowych. Ruter oferuje bardzo bogaty zestaw konfiguracji, obejmującą też zaawansowane funkcje dotyczące sieci VPN (co nawet podkreślono w nazwie urządzenia).

• Przełącznik zarządzalny TP-Link TL-SG2210P (JetStream 10-Port Gigabit Smart PoE+ Switch) z 10 portami GbE – ośmioma portami RJ-45 (Gigabit Ethernet) oraz dwoma portami SFP, oferujący ponadto zasilanie urządzeń sieciowych w standardzie PoE+ 802.3af/at (łączna moc 61 W).

• Kontroler SDN TP-Link OC200 Omada Controller – czyli serce całej sieci. Urządzenie jest niewiele większe od pudełka papierosów i ma wytrzymałą, metalową obudowę. Pewnie dla wielu Czytelników zaskoczeniem będzie jego cena – około 400 złotych. Bardziej wymagający użytkownicy mogą wybrać bardziej zaawansowaną odmianę kontrolera, oznaczoną OC300, która obsługuje więcej urządzeń i przystosowana jest do montażu w szafach typu rack.

• Punkt dostępowy TP-Link EAP650 AX3000 montowany na suficie lub ścianie i zasilany przez PoE+ (802.3at), oferujący dostęp do sieci Wi-Fi 6 w standardzie AX3000 (teoretyczna łączna przepustowość maksymalna dochodząca do 3000 Mbit/s – 574 Mbit/s w paśmie 2,4 GHz i 2402 Mbit/s w paśmie 5 GHz)

• Punkt dostępowy TP-Link EAP610 AX1800 – wygląda identycznie jak model EAP650, ale pracuje w standardzie AX1800 (574 Mbit/s w paśmie 2,4 GHz i 1201 Mbit/s w paśmie 5 GHz – łącznie prawie 1800 Mbit/s)

• Punkt dostępowy TP-Link EAP655-Wall AX3000 montowany na ścianie w puszce elektrycznej – zajmuje dzięki temu bardzo mało miejsca. Oferuje dostęp do sieci Wi-Fi 6 AX3000. Zasilany jest poprzez PoE+, a dodatkowo oferuje trzy gniazdka LAN (RJ-45), do których możemy podłączyć urządzenia zlokalizowane w pobliżu, które nie obsługują łączności Wi-Fi. Jedno z gniazd RJ-45 to PoE Out, zatem może zasilać podłączone urządzenie. To idealne rozwiązanie np. do pokoi hotelowych. Urządzenie można zamocować w puszce schowanej za telewizorem, a do gniazd Ethernet podłączyć sam telewizor, dekoder telewizji czy telefon IP.

• Punkt dostępowy TP-Link EAP615-Wall AX1800 – analogiczne rozwiązanie do powyższego, ale znacznie od niego mniejsze (bardziej płaskie), przez co jeszcze mniej rzuca się w oczy. Sprzęt udostępnia sieć Wi-Fi 6 w standardzie AX1800.

• Punkt dostępowy TP-Link EAP650-Outdoor AX3000 – punkt dostępowy Wi-Fi 6 AX3000 przeznaczony do montażu na zewnątrz budynku. Jest odporny na czynniki atmosferyczne, takie jak deszcz czy niska temperatura. Zasilany jest w standardzie PoE+, więc podłączany jest tylko jednym przewodem typu skrętka.

• Punkt dostępowy TP-Link EAP610-Outdoor AX1800 – analogiczny do poprzedniego, ale pracujący w standardzie Wi-Fi 6 AX1800

Wszystkie wymienione wyżej urządzenia są zgodne ze standardem TP-Link Omada i w pełni zarządzalne z poziomu kontrolera Omada SDN, takiego jak OC200 lub OC300.

Instalacja i pierwsza konfiguracja

Testy zestawu TP-Link Omada przeprowadziliśmy w piętrowym domu jednorodzinnym o powierzchni 400 m2. Budynek dobrze odwzorowuje warunki panujące w niewielkim biurze.

Instalacja wszystkich urządzeń okazała się banalnie prosta. Zaczęliśmy ją od podłączenia routera TP-Link ER706W. To jedyny moment, gdy musimy się zalogować do innego urządzenia niż kontroler. To niezbędny krok, by skonfigurować parametry łącza internetowego na gniazdach WAN (IP, maska podsieci, adres bramy), zgodnie z wytycznymi naszego dostawcy. Router powinien też pełnić rolę serwera DHCP i nadawać automatycznie adresy IP nowym urządzeniom w sieci.

Konfiguracja routera ER706W jest bardzo prosta i odbywa się poprzez prostego wizarda, który krok po kroku pozwala ustawić podstawowe opcje.

Już w kolejnym kroku podłączyliśmy przełącznik, a do do niego kontroler OC200. Oba urządzenia otrzymały adres IP od rutera. W panelu rutera, na liście podłączonych klientów odnajdujemy adres IP kontrolera (nazwa urządzenia zaczyna się od OC200).

Od teraz zaczyna się właściwa konfiguracja naszej sieci Omada SDN. Wpisujemy w przeglądarce adres IP kontrolera i przystępujemy do pierwszej konfiguracji. Ma ona postać bardzo prostego wizarda. Ustawiamy podstawowe parametry, takie nazwę użytkownika administrującego siecią i jego hasło (na późniejszym etapie możemy też dodać więcej użytkowników), a także nazwę i hasło do sieci Wi-Fi. Od tego momentu możemy już zacząć adoptować – czyli konfigurować – kolejne urządzenia TP-Link Omada.

Zaczynamy od pierwszego, czyli wcześniej skonfigurowanego rutera. On jako jedyny nie zaadoptuje się automatycznie (czerwony komunikat „Adopt failed” na ilustracji poniżej), ponieważ przy jego pierwszej konfiguracji ustawiliśmy mu login i hasło, którego kontroler nie zna. Wystarczy jednak w panelu kontrolera wpisać te dane dostępowe, a ruter zostanie zaadoptowany i kontroler przejmie nad nim sterowanie. Od tej pory ruterem będziemy już zarządzać wyłącznie z poziomu panelu kontrolera. Nawet po ręcznej próbie zalogowania się do panelu rutera otrzymamy informację, że urządzenie jest zarządzane przez kontroler.

Kolejne urządzenia zgodne z Omada dodają się już w sposób całkowicie automatyczny. Administrator ani razu nie musi się logować do panelu sterującego nowego urządzenia. Po wyciągnięciu sprzętu z pudełka wystarczy podłączyć go do sieci LAN. Po chwili komponent pojawia się na liście nowych urządzeń wykrytych przez kontroler ze statusem „Pending” (oczekujący). Adopcja i dodanie urządzenia do sieci odbywa się po kliknięciu przycisku „Adopt„, co uruchamia procedurę ZTP (Zero-Touch Provisioning – co w wolnym tłumaczeniu można przełożyć na „bezdotykową adaptację urządzenia do sieci”).

W ten właśnie sposób zaadoptowaliśmy przełącznik. Kliknęliśmy „Adopt„, jego status zmienił się z „Pending” na „Provisioning„, a po chwili na „Connected„. To sygnał, że został skonfigurowany i zaadoptowany poprawnie i od tej pory switchem też zarządza kontroler. Proces adopcji zajmuje zaledwie kilkadziesiąt sekund.

W następnej kolejności podłączyliśmy punkty dostępowe EAP. Procedura ich instalacji ograniczyła się jedynie do wyjęcia ich z pudełek i podłączenia przewodem LAN do gniazdek RJ-45 w ścianach poszczególnych pomieszczeń. Ponieważ są zasilane tym samym przewodem (dzięki PoE+), nie trzeba do nich nawet podłączać dodatkowych zasilaczy (aczkolwiek znajdują się w pudełkach, na wypadek gdybyśmy nie dysponowali przełącznikiem z funkcją zasilania PoE+).

Punkty dostępowe pojawiły się na liście nowych urządzeń, wszystkie ze statusem „Pending„. Nie trzeba wcale dodawać ich pojedynczo. Można to również zrobić pojedynczym kliknięciem myszy, po wybraniu opcji „Batch Adopt” (adopcja grupowa). To powoduje ich w pełni automatyczne skonfigurowanie i dodanie do sieci.

Pierwsze, co bardzo nas ucieszyło, to że wszystkie punkty dostępowe EAP rozgłaszały sieć Wi-Fi o tej samej nazwie SSID. Dzięki czemu w całym domu skonfigurowaliśmy tylko jedną sieć Wi-Fi 6, a siła sygnału była maksymalna lub bliska maksymalnej praktycznie w każdym zakątku budynku!

Co więcej, urządzenia TP-Link EAP zarządzane przez kontroler Omada oferują funkcję Wi-Fi Roaming, czyli użytkownik połączony z siecią i przemieszczający się po budynku nie traci ani na moment połączenia z Wi-Fi. Jego urządzenie automatycznie przełącza się do najbliżej znajdującego się punktu dostępowego, oferującego najwyższą moc sygnału. Działa to podobnie jak w przypadku telefonów komórkowych – gdy jedziemy samochodem i rozmawiamy przez telefon, nasze urządzenie także automatycznie przełącza się między mijanymi punktami BTS, a rozmowa nie jest przerywana. Podczas naszych testów uruchomiliśmy na telefonie odtwarzanie filmu, po czym przeszliśmy z parteru na piętro budynku i wideo nawet na moment nie przestało się odtwarzać.

Inną funkcją oferowaną przez punkty dostępowe EAP jest Omada Mesh, który pozwala na przekazywanie sygnału Wi-Fi między poszczególnymi punktami. W efekcie każdy punkt EAP może poszerzyć zasięg sieci bezprzewodowej. To szczególnie przydatne w przypadku konfigurowania punktów dostępowych EAP-Outdoor – na zewnątrz budynku. Przykładowo, jeśli wokół naszego hotelu mamy park, wystarczy w kilku miejscach zainstalować punkty dostępowe i jedynie zapewnić im zasilanie elektryczne. Infrastruktura przewodowa musi być doprowadzona do głównego punktu dostępowego (tzw. root). Kolejne urządzenia EAP muszą mieć jedynie zasilanie, a połączenie ze szkieletem naszej sieci będą realizowane bezprzewodowo (tzw. Wireless Uplink). Każdy kolejny EAP podłączony w trybie Mesh zwiększy zasięg naszej sieci. Należy jednak pamiętać o dobrych praktykach przy tworzeniu sieci Mesh, co jest dokładnie opisane jest w specjalnym FAQ przygotowanym przez TP-Link.

Rozwiązanie to jest także przydatne w sytuacji awarii sieci przewodowej. Gdy punkt dostępowy nagle utraci łączność przewodową (np. w wyniku uszkodzenia przewodu LAN), potrafi automatycznie przełączyć się w tryb Mesh i dalej zapewniać dostęp do sieci Wi-Fi podłączonym do niego klientom.

W ramach naszych testów przeprowadziliśmy też próbę grupowej aktualizacji wewnętrznego oprogramowania (firmware) naszych urządzeń. Kontroler zakomunikował, że dla wszystkich sprzętów dostępna jest nowa wersja firmware. Wybraliśmy opcję „Start rolling update”, po której kontroler rozpoczął automatyczną aktualizację oprogramowania. Nie robił tego jednocześnie we wszystkich urządzeniach, aby zapewnić ciągłość działania sieci. Firmware aktualizował komponentom sieciowym po kolei, począwszy od punktów dostępowych EAP, a skończywszy na ruterze. Dopiero wtedy na kilka minut straciliśmy dostęp do sieci Internet.

Dodatkowe funkcje

Na razie opisaliśmy podstawową konfigurację sieci, ale oczywiście bardziej wymagający użytkownicy mają mnóstwo dodatkowych opcji, które mogą skonfigurować. W bardziej rozbudowanych sieciach wskazana jest konfiguracja odseparowanych sieci wirtualnych (VLAN). Przykładowo, w jednej powinny pracować firmowe serwery, z oddzielnej powinien korzystać dział księgowości, z jeszcze innej zarząd, a z innej – pracownicy firmy. Tak samo w przypadku hoteli pracownicy powinni mieć dostęp do jednej sieci wirtualnej, a goście hotelowi – do zupełnie innej, całkowicie odseparowanej od tej pierwszej.

Sieci wirtualne nie tylko zapewniają większe bezpieczeństwo danych firmowych, do których nie będą mieli wglądu nieautoryzowani użytkownicy, ale także zwiększy bezpieczeństwo na wypadek ataku cyberprzestępców.

Z poziomu kontrolera TP-Link Omada definiujemy także politykę całej firmowej sieci Wi-Fi. Każdy punkt dostępowy EAP może rozgłaszać nawet do 16 odrębnych sieci Wi-Fi (w zależności od modelu) – każda o innej nazwie SSID. Dla każdej możemy zdefiniować oddzielną politykę bezpieczeństwa i inne poziomy dostępu. Przykładowo, jeden SSID dla pracowników hotelu (i dostęp do pracowniczej sieci wirtualnej), drugi dla zameldowanych gości hotelu (z szybkim dostępem do internetu), a trzeci dla gości niezameldowanych (np. łączących się z Wi-FI w hotelowym lobby), którym można mocno ograniczyć przepustowość. Odrębną sieć Wi-Fi możemy utworzyć wyłącznie na potrzeby urządzeń IoT, tak by całkowicie odseparować je od firmowej sieci, a zapewnić im jedynie dostęp do internetu.

Rozwiązaniem stworzonym z myślą o hotelach czy restauracjach jest tworzenie sieci Wi-Fi dla gości, którzy dostęp do sieci otrzymają dopiero po wpisaniu kodu z vouchera (kody te generuje także kontroler Omada), albo po wpisaniu kodu z wiadomości SMS. Z poziomu kontrolera OC200 możemy utworzyć tzw. portal, czyli stronę powitalną, którą zobaczą użytkownicy po zalogowaniu się do sieci dla gości. Stronę powitalną można dowolnie personalizować – zmienić obrazek w tle, dodać logotyp firmy, zdefiniować zasady korzystania z Wi-Fi.

Zarządzanie siecią w chmurze lub… ze smartfona

Administratorów sieci ucieszy na pewno także fakt, że mogą zarządzać całą swoją siecią Omada SDN z dowolnego miejsca na świecie – przez przeglądarkę internetową, a nawet z poziomu smartfona. Wystarczy tylko utworzyć konto TP-Link, a następnie aktywować dostęp w chmurze w ustawieniach kontrolera.

Od teraz możemy panel sterowania siecią możemy uruchomić po zalogowaniu się na swoje konto na stronie omada.tplinkcloud.com. Interfejs wygląda identycznie, jak lokalny wyświetlany przez kontroler OC200. Mamy dostęp do wszystkich funkcji i zdalnie możemy kontrolować pracę całej infrastruktury sieciowej, zmieniać jej konfigurację czy np. przeglądać logi.

Po zainstalowaniu aplikacji Omada na smartfonie większość kluczowych operacji możemy też wykonać z poziomu telefonu. To niezwykle wygodne rozwiązanie, bo pozwala szybko skontrolować stan sieci np. podczas jazdy autobusem.

Podsumowanie

Programowalne sieci komputerowe SDN nie są całkowicie nowym rozwiązaniem, ale wciąż nie wszędzie są powszechnie stosowane. Dzięki przystępnym cenowo rozwiązaniom takim jak TP-Link Omada, na wdrożenie takiej sieci mogą sobie pozwolić także instytucje edukacyjne (szkoły, uniwersytety), a także niewielkie organizacje – małe rodzinne firmy, restauracje czy niewielkie hotele. Rozwiązanie jest w pełni skalowalne, więc w miarę wzrostu biznesu wystarczy tylko dokupić dodatkowe urządzenia (switche, punkty dostępowe), a te zostaną automatycznie i zupełnie bezboleśnie zaadoptowane przez kontroler.  Co więcej, z konfiguracją takiej sieci poradzi sobie niemal każdy – wystarczy znać absolutne podstawy sieci komputerowej (czym jest adres IP, co to jest WAN). Informacja ta ucieszy na pewno wszystkich właścicieli niewielkich firm rodzinnych.

Artykuł powstał we współpracy z firmą TP-Link