CASE STUDY

Mi interessava fare un approfondimento più tecnico sul progetto di migrazione in tecnologia Fabric Connect dell’ASST di Mantova per dare anche più significato , per un tecnico , alle parole Flessibilità ,Sicurezza,Visibilità  e Semplicità che si sono utilizzate nei vari articoli e nel case study che vi riporto qui:

CASE STUDY

https://www.naes.it/wp-content/uploads/2022/12/47104-ASST-Mantova-South-Italy-CS-FINAL.pdf

ARTICOLI

https://www.tecnomedicina.it/asst-mantova-affida-a-extreme-fabricconnect-levoluzione-della-propria-rete-geografica/

https://www.sanita-digitale.com/in-evidenza/asst-mantova-garantiscela-continuita-dei-servizi-socio-sanitari-con-extreme-networks/

https://www.mantovanotizie.com/cronaca/20221129-asst-mantovaextreme-networks.php

https://247.libero.it/lfocus/49885770/1/asst-mantova-garantisce-lacontinuit-dei-servizi-socio-sanitari-con-extreme-networks/

https://udite-udite.it/2022/11/asst-mantova-garantisce-la-continuitadei-servizi-socio-sanitari-con-extreme-networks/

https://www.datamanager.it/2022/11/asst-mantova-affida-a-extremefabric-connect-levoluzione-della-propria-rete-geografica-pergarantire-continuita-nellerogazione-dei-servizi-socio-sanitari/

https://www.connessioni.biz/asst-mantova-affida-a-extreme-fabricconnect-levoluzione-della-propria-rete-geografica-per-garantirecontinuita-nellerogazione-dei-servizi-socio-sanitari/

https://www.ilcorrieredellasicurezza.it/asst-mantova-garantisce-lacontinuita-dei-servizi-socio-sanitari-con-extreme-networks/

https://techfromthenet.it/2022/12/05/extreme-networks-supporta-asstmantova-nei-servizi-socio-sanitari/

https://elettronica-plus.it/extreme-networks-garantisce-la-continuitadei-servizi-socio-sanitari-a-asst-mantova_124428/

E’ stato il progetto più grande che ho seguito in prima persona dalle configurazioni all’installazione fino alla validazione e alla stesura delle documentazioni. Il progetto era mirato a sostituire un backbone ospf che topologicamente era una stella , ovvero tutti gli ospedali erano collegati con una sola fibra ottica all’ospedale centrale su un unica vlan. 

Con questa architettura vi erano diversi punti deboli:

• Possibilità di movimenti laterali tra ospedali: L’unico modo per impedirli erano delle ACL che però risultano difficili da mantenere e non danno piena visibilità ( limitata possibilità di logging)
• Bassa Affibabilità: La ridondanza per ogni ospedale era garantita con un backup con MPLS che era costoso e lento. Un altro aspetto è che non tutte le topologie di rete sono “permesse” con un unica vlan OSPF (spanning tree) e fare tante punto-punto è molto oneroso dal punto di vista delle configurazioni da immettere sugli apparati.
• Flessibilità: Non c’era la possibilità di trasportare un L2 sul backbone L3. 

UTILIZZO DELLE L2 VSN

Le L2 Virtual Service Network sono dei “tubi” che permettono di mappare delle vlan e trasportarle all’interno di un backbone Fabric ( SPBm). Di seguito in figura un esempio in cui si trasporta la vlan 20 tramite I-SID 100:

Il primo aspetto da sottolineare è la Semplicità di configurazione basta un comando su i due BEB ( Backbone Edge Bridge – sono due nodi della fabric) per trasportare una vlan da un punto all’altro di un fabric : vlan i-sid <vlan-id> <i-sid> . E’ l’i-sid ( o Service instance ID) è ciò che viene realmente trasportato all’interno della fabric , facciamo un esempio:

Vogliamo trasportare la vlan 20 dal router 1 al router 3 e i due sono raggiungibili tramite il router 2 tramite i-sid 100:

ROUTER 1

vlan i-sid 20 100

ROUTER 2 

NESSUNA CONFIGURAZIONE

ROUTER 3 

vlan i-sid 20 100

Voglio sottolineare tre situazioni in cui ho utilizzato le L2VSN per evidenziare la Flessibilità delle soluzione Fabric e la maggiore Sicurezza e Visibilità che ho potuto ottenere:

• Centralizzazione del controllo delle  Vlan critiche: Si è deciso di eliminare il  Layer 3 (L3)  di queste vlan nei rispettivi ospedali e trasportare Layer 2 (L2) all’interno della Fabric verso l’ospedale centrale. Il L3 è stato configurato sul Firewall dell’ospedale centrale atto a fare segmentazione orizzontale.  Nota : Siccome queste vlan critiche nei vari ospedali avevano stesso VLAN-ID si è dovuto fare un re-mapping nella sede centrale ( ciò che conta è I-SID nella fabric):
• OSPEDALE 1

vlan i-sid 50 200002

OSPEDALE 2

vlan i-sid 50 200003

OSPEDALE N

vlan i-sid 50 20000n

OSPEDALE CENTRALE

vlan i-sid 51 200002 (è la vlan 50 dell’ospedale 1)

 vlan i-sid 52 200003 (è la vlan 50 dell’ospedale 2)

 vlan i-sid 53 20000n ( (è la vlan 50 dell’ospedale n)

• Uniformare la VLAN degli ospiti : Abbiamo uniformato la vlan degli ospiti per tutti gli ospedali, centralizzando il captive portal. Questa scelta è più semplice rispetto ad un captive portal out of band. 
•  “Tunnellizzare” OSPF: In un ospedale c’era una terminazione di linee mpls che utilizzavano  ospf con i router di sede. Avendo io sostituito il router di sede, avevo due scenari per imparare le rotte che arrivavano dalle linee mpls:
• 1. Attivare OSPF anche io , redistribuire le rotte OSPF nell ISIS ( Fabric) e poi fare l’inverso nella sede centrale. Quando ci sono due protocolli di routing di dinamici da dover interconnettere ci possono essere diverse complicazioni , dalle rotte riflesse, a router che installano rotte native ISIS che però imparano via ospf ect…. 
• 2. La seconda possibilità era quella di incapsulare il traffico ospf della sede periferica e portarlo alla sede centrale tramite una L2VSN . Questo approccio è stato quello che abbiamo seguito nell’implementazione che ci ha portato velocemente a conseguire il risultato .

UTILIZZO DI DIFFERENTI VRF e  L3VSN

Senza entrare troppo nello specifico si sono utilizzati diversi VRF e le relative L3VSN per l’interconnessione tra di essi , per ottenere una segmentazione ancora più spinta e limitare al minimo i possibili movimenti laterali . I vari VRF sono stati messi in comunicazione tramite uno strato di “Firewalling” esterno alla fabric .

Questo approccio ha migliorato la Sicurezza e la Visibilità.

In conclusione la Fabric SPBm di Extreme networks permette l’implementazione di una rete davvero più Sicura e Flessibile configurabile con Semplicità rispetto per esempio ad una rete OSPF + MPLS . 

Per ulteriori approfondimenti vi rimando qui: https://www.extremenetworks.com/solution/fabric-connect/