Strona Główna Wykład 1 Wykład 2 Wykład 3 Wykład 4
1/50
Wprowadzenie: rewolucja w zarządzaniu topologią
Kończymy cykl wykładów spojrzeniem w przyszłość złożonych topologii sieciowych. Przechodzimy od ręcznego zarządzania do programowalnej infrastruktury. To era, w której automatyzacja i sieci definiowane programowo (Software-Defined Networking – SDN) redefiniują sposób, w jaki projektujemy i utrzymujemy sieci. Zmiany te są odpowiedzią na rosnącą skalę, złożoność i dynamikę wymagań biznesowych.
Ilustracja dla slajdu 1
2/50
SDN: koncepcja programowalnej topologii
SDN to kluczowa zmiana paradygmatu, polegająca na separacji płaszczyzny sterowania (Control Plane) i danych (Data Plane). Centralny kontroler SDN jest odpowiedzialny za logikę routingu, topologię i polityki bezpieczeństwa. Fizyczne urządzenia stają się jedynie elementami wykonawczymi, przesyłającymi ruch zgodnie z instrukcjami kontrolera. To znacznie upraszcza zarządzanie złożoną topologią.
Ilustracja dla slajdu 2
3/50
Zastosowanie SDN w topologii kampusowej (SD-Access)
W topologii kampusowej SDN jest wdrażany m.in. jako technologia SD-Access. Kontroler (np. Cisco DNA Center) centralnie zarządza sieciami VLAN, adresacją IP i politykami mikrosegmentacji. Umożliwia to dynamiczne przypisywanie uprawnień na poziomie warstwy dostępu, niezależnie od fizycznego portu, do którego podłączony jest użytkownik.
Ilustracja dla slajdu 3
4/50
NFV (Network Functions Virtualization): wirtualizacja funkcji sieciowych
NFV to technologia, która przenosi funkcje sieciowe (zapory sieciowe, systemy IPS, systemy równoważenia obciążenia) z dedykowanego sprzętu na maszyny wirtualne (VNF). W centrali funkcje te działają na standardowych serwerach. NFV uniezależnia topologię od konkretnego sprzętu, umożliwiając dynamiczne skalowanie usług i optymalizację kosztów.
Ilustracja dla slajdu 4
5/50
Automatyzacja: infrastruktura jako kod (IaC)
Infrastruktura jako kod (Infrastructure as Code – IaC) to zarządzanie konfiguracją topologii za pomocą plików kodu. Zamiast ręcznych zmian w CLI narzędzia używają plików w formacie YAML lub JSON, przechowywanych w systemie kontroli wersji (np. Git). IaC zapewnia spójność konfiguracji, audytowalność oraz możliwość szybkiego wycofania zmian (rollback).
Ilustracja dla slajdu 5
6/50
Narzędzia automatyzacji: Python i Ansible
Python jest podstawowym językiem dla automatyzacji sieci (NetDevOps). Biblioteki takie jak Netmiko pozwalają na programowy dostęp do CLI, a PyEZ czy NAPALM komunikują się za pomocą bardziej nowoczesnych API. Ansible jest narzędziem do zarządzania konfiguracją, które wdraża zmiany na wielu urządzeniach jednocześnie, minimalizując błędy.
Ilustracja dla slajdu 6
7/50
Programowalne API: NETCONF i YANG
W nowoczesnych topologiach, zarządzanie odbywa się poprzez API (Application Programming Interface). NETCONF jest protokołem do zarządzania konfiguracją, a YANG jest modelem danych opisującym konfigurację (np. VLANy, trasy OSPF). To podejście zapewnia, że wdrażana konfiguracja jest strukturalna i poprawna syntaktycznie.
...
Ilustracja dla slajdu 7
8/50
Ewolucja topologii WAN: SD-WAN
Tradycyjna topologia WAN (oparta na BGP i MPLS) jest zastępowana przez SD-WAN (Software-Defined Wide Area Network). Kontroler SD-WAN centralnie zarządza ruchem na krawędzi sieci (Routery brzegowe). Umożliwia to dynamiczny wybór ścieżki (VPN, Internet, MPLS) w zależności od jakości łącza, co jest kluczowe dla usług chmurowych.
Ilustracja dla slajdu 8
9/50
Integracja topologii kampusowej z chmurą (Cloud Networking)
Topologie złożone integrują się z chmurą publiczną (VPC/VNet). Połączenie odbywa się poprzez tunele VPN IPsec lub dedykowane łącza Direct Connect/ExpressRoute. Router brzegowy musi uczestniczyć w routingu chmurowym (BGP) i zapewniać bezpieczną, szybką ścieżkę do zasobów w chmurze, np. serwerów aplikacji.
Ilustracja dla slajdu 9
10/50
Wirtualizacja: funkcje VNF w topologii Data Center
W topologii Leaf-Spine, VNF (np. wirtualne Firewalle, Load Balancery) są dynamicznie umieszczane na ścieżce ruchu East-West. Wymaga to mechanizmów Service Chaining, które programują przełączniki Leaf, aby kierowały ruch do konkretnego VNF przed dostarczeniem do serwera docelowego.
Ilustracja dla slajdu 10
11/50
Telemetria: monitoring topologii w czasie rzeczywistym
Tradycyjny monitoring (SNMP) jest zastępowany przez telemetrię. Urządzenia sieciowe (routery, switche) aktywnie strumieniują dane telemetryczne (statystyki routingu, obciążenie, stan łączy) do centralnego kolektora. Umożliwia to analizę w czasie rzeczywistym i wykrywanie anomalii w topologii z minimalnym opóźnieniem.
Ilustracja dla slajdu 11
12/50
AI/ML w zarządzaniu topologią (sieci predykcyjne)
Sztuczna Inteligencja (AI) i Uczenie Maszynowe (ML) analizują dane telemetryczne i logi. Systemy AI/ML mogą przewidywać awarie łączy (np. na podstawie wzrostu błędów na porcie) lub przeciążenia routerów. Pozwala to na predykcyjne zarządzanie topologią, np. automatyczne przełączenie ruchu przed wystąpieniem awarii.
Ilustracja dla slajdu 12
13/50
Automatyzacja: wdrażanie z Zero Touch Provisioning (ZTP)
ZTP to technologia, która pozwala na automatyczną konfigurację nowo podłączonego urządzenia. W złożonej topologii kampusowej, po podłączeniu nowego switcha dostępowego, ZTP automatycznie pobiera IOS i pełną konfigurację (VLANy, Port Security), minimalizując czas wdrożenia.
Ilustracja dla slajdu 13
14/50
Topologia a bezpieczeństwo zewnętrzne: SASE
SASE (Secure Access Service Edge) to model bezpieczeństwa zorientowany na chmurę. Zastępuje tradycyjny Firewall/VPN na RT Krawędziowym. SASE integruje funkcje sieci (SD-WAN) i bezpieczeństwa (FWaaS, ZTNA, CASB) w globalną usługę chmurową. To upraszcza topologię krawędziową i zapewnia spójną ochronę.
Ilustracja dla slajdu 14
15/50
Automatyzacja: pętla zamknięta (Closed-Loop Automation)
Pętla Zamknięta to najbardziej zaawansowany poziom automatyzacji. System autonomicznie wykonuje cykl: Monitorowanie -> Analiza -> Działanie. Kontroler wykrywa przeciążenie RT Dystrybucji i natychmiast, bez ludzkiej interwencji, zmienia koszt OSPF, przekierowując ruch inną ścieżką.
Ilustracja dla slajdu 15
16/50
Segment Routing (SR): routing oparty na etykietach
Segment Routing (SR) to nowoczesna ewolucja MPLS i routingu. Używa etykiet (Segments), aby kierować ruchem wzdłuż predefiniowanej ścieżki w topologii. Upraszcza to sieć, eliminując potrzebę protokołów takich jak LDP i pozwala Kontrolerowi SDN na precyzyjne programowanie ścieżek ruchu.
Ilustracja dla slajdu 16
17/50
Wirtualizacja: mechanizm łączenia usług (Service Chaining)
Service Chaining to technika programowania topologii w celu wymuszenia, by ruch przechodził przez określoną sekwencję usług sieciowych (VNF), np. IDS -> Firewall -> NAT. Jest to kluczowe w mikrosegmentacji DC, gdzie każda usługa musi być inspekcjonowana, zanim uzyska dostęp do bazy danych.
Ilustracja dla slajdu 17
18/50
Zarządzanie topologią przez deklaratywne API
W zarządzaniu deklaratywnym (np. przez Terraform) inżynier opisuje żądany stan topologii (np. "VLAN 50 ma istnieć na tych switchach"). System automatyzacji samodzielnie oblicza, jakie komendy (CLI/NETCONF) są potrzebne, aby przejść od stanu obecnego do stanu pożądanego. To eliminuje błędy ludzkie.
Ilustracja dla slajdu 18
19/50
Wyzwania: zgodność sprzętu z SDN/NFV
Głównym wyzwaniem jest to, że starszy sprzęt (np. routery RT Dystrybucji) może nie obsługiwać protokołów SDN (NETCONF/YANG) ani nie mieć wystarczającej mocy do hostowania VNF. Migracja do SDN/NFV często wiąże się z koniecznością modernizacji lub wymiany sprzętu, aby wspierał programowalne API.
Ilustracja dla slajdu 19
20/50
Automatyzacja: audyt topologii (Compliance Check)
Skrypty automatyzacji mogą być używane do regularnego audytu topologii pod kątem zgodności z politykami bezpieczeństwa (Compliance). System automatycznie sprawdza, czy na wszystkich portach dostępowych jest włączony Port Security i czy nie ma nieautoryzowanych trunków. Zapewnia to utrzymanie ustalonego stanu bezpieczeństwa.
Ilustracja dla slajdu 20
21/50
Chmura: routing hybrydowy (Routing as a Service)
W chmurze, routing jest często świadczony jako usługa (Routing as a Service). Zamiast BGP na fizycznym routerze, używa się wirtualnych bramek routingu chmurowego. Inżynier musi zintegrować protokoły routingu wewnętrznego (OSPF) z routingiem chmurowym (VPC/VNet).
Ilustracja dla slajdu 21
22/50
SDN: kontrola dostępu oparta na rolach (RBAC)
SDN umożliwia wdrożenie RBAC (Role-Based Access Control) na dużą skalę. Kontroler identyfikuje użytkownika i przypisuje mu dynamiczny segment sieci (VLAN, VRF), niezależnie od lokalizacji. Jest to znacznie bardziej elastyczne i bezpieczne niż statyczne przypisania.
Ilustracja dla slajdu 22
23/50
Wirtualizacja: konteneryzacja (Docker, Kubernetes)
Oprócz VM (NFV), funkcje sieciowe są coraz częściej wdrażane jako kontenery. Kontenery są lżejsze i szybciej się skalują. W topologii DC, usługi takie jak DNS Caching czy logowanie mogą być uruchamiane w kontenerach na przełącznikach Leaf, blisko hostów.
Ilustracja dla slajdu 23
24/50
Automatyzacja: zarządzanie tożsamością (IDM)
Automatyzacja obejmuje również zarządzanie kontami administratorów (AAA). Skrypty Pythona mogą automatycznie rotować hasła na routerach i switchach, tworzyć i usuwać konta, synchronizując je z systemem IDM (np. Active Directory). To poprawia higienę bezpieczeństwa.
Ilustracja dla slajdu 24
25/50
Wyzwania: debugowanie w środowisku SDN
Debugowanie topologii w SDN jest inne niż w CLI. Ponieważ logika jest scentralizowana, problemy mogą być trudniejsze do zdiagnozowania, jeśli Kontroler ma błędne informacje o stanie sieci. Wymaga to nowych narzędzi do monitorowania komunikacji między C-Plane a D-Plane.
Ilustracja dla slajdu 25
26/50
Automatyzacja: metodyka CI/CD (Continuous Integration/Delivery)
Podejście CI/CD z DevOps jest stosowane do topologii sieci. Zmiany w kodzie IaC (np. nowy ACL) są automatycznie testowane w środowisku wirtualnym (CI) przed wdrożeniem na produkcyjny sprzęt (CD). To zapewnia, że każda zmiana jest przetestowana i bezpieczna.
Ilustracja dla slajdu 26
27/50
Mikrosegmentacja: topologia wirtualna a fizyczna
ZTA i mikrosegmentacja zamazują granice między topologią wirtualną a fizyczną. Użytkownik może być w tym samym VLANie, ale być przypisany do różnych polityk dostępu, co jest niewidoczne w tradycyjnym mapowaniu topologii L2.
Ilustracja dla slajdu 27
28/50
Topologia a dostęp do urządzeń IoT (Internet of Things)
Urządzenia IoT wymagają specjalnych VLANów/segmentów. Kontroler SDN automatycznie identyfikuje i izoluje urządzenia IoT, stosując restrykcyjne ACL na Warstwie Dystrybucji. To jest kluczowe, ponieważ urządzenia IoT są często podatne na ataki.
Ilustracja dla slajdu 28
29/50
Ewolucja vPC: routing w środowisku wielu chmur (Multicloud)
W przyszłości, mechanizmy takie jak vPC/MLAG będą rozszerzone do środowisk Multicloud. Oznacza to logiczne połączenie przełączników kampusowych z wirtualnymi przełącznikami w różnych chmurach (AWS, Azure), co wymaga ujednolicenia topologii L2/L3.
Ilustracja dla slajdu 29
30/50
Podsumowanie: Konieczność Zmiany Kompetencji
Złożone topologie wymagają inżynierów z nowym zestawem umiejętności. Konieczna jest znajomość Pythona, Ansible, zasad IaC oraz protokołów SDN/NFV. Umiejętność pracy z CLI staje się drugorzędna wobec umiejętności programowania infrastruktury.
Ilustracja dla slajdu 30
31/50
Automatyzacja Zmian Routingu w Czasie Rzeczywistym
Kontroler SDN może dynamicznie zmieniać metryki OSPF lub atrybuty BGP w odpowiedzi na warunki sieciowe. Na przykład, w przypadku przeciążenia łącza, automatycznie zwiększa jego koszt, co wymusza na routerach użycie trasy zapasowej.
Ilustracja dla slajdu 31
32/50
Wirtualizacja: Oszczędność Zasobów dzięki NFV
NFV pozwala na konsolidację sprzętu. Zamiast wielu dedykowanych urządzeń (FW, IPS), jedna platforma sprzętowa w Centrali może hostować wiele VNF. To zwiększa wykorzystanie zasobów i zmniejsza koszty energii.
Ilustracja dla slajdu 32
33/50
Topologia a Drony i Sieci 5G/6G
Przyszłe topologie kampusowe będą musiały uwzględniać integrację z technologiami takimi jak 5G/6G. Sieci te wymagają niskich opóźnień i wysokiej przepustowości. Topologia L3 Everywhere (Leaf-Spine) jest najlepiej przystosowana do tych wymagań ze względu na stałe, niskie opóźnienia.
Ilustracja dla slajdu 33
34/50
Automatyzacja: Git jako Źródło Prawdy (Source of Truth)
W IaC, repozytorium Git jest traktowane jako Źródło Prawdy (Source of Truth) dla konfiguracji topologii. Stan zapisany w Git jest stanem pożądanym. Wszelkie zmiany powinny przechodzić przez Git, co zapewnia, że konfiguracje są zawsze zgodne z projektem.
Ilustracja dla slajdu 34
35/50
SD-WAN: Routing Oparty na Aplikacjach (Application-Aware)
SD-WAN w routerach brzegowych potrafi identyfikować aplikacje (np. VoIP, Office 365) i automatycznie wybierać dla nich najlepszą ścieżkę w topologii WAN. VoIP jest kierowany przez łącze o najniższym opóźnieniu, a backup danych przez łącze o najwyższej przepustowości.
Ilustracja dla slajdu 35
36/50
Wirtualizacja: Eliminacja STP za Pomocą VNF
VXLAN/EVPN z wirtualnym routingiem (VNF) całkowicie eliminuje potrzebę STP w topologii DC. Ruch L2 jest enkapsulowany w L3 i routowany, co pozwala na pełne wykorzystanie wszystkich łączy i upraszcza konwergencję po awarii.
Ilustracja dla slajdu 36
37/50
Automatyzacja: Raportowanie Zmian (Audit Trail)
Każda zmiana wprowadzona przez Kontroler lub skrypt IaC jest rejestrowana (Audit Trail). Zapewnia to pełną kontrolę nad tym, co, kiedy i dlaczego zostało zmienione w topologii. Jest to kluczowy element bezpieczeństwa i zarządzania zgodnością.
Ilustracja dla slajdu 37
38/50
Topologia a Dostępność Usług: Self-Healing Networks
Self-Healing Networks to przyszłość zarządzania topologią. Systemy AI/ML wykrywają problemy, diagnozują je i automatycznie wdrażają poprawki (np. odcinają uszkodzone łącze, zmieniają koszt OSPF) bez interwencji człowieka. To minimalizuje czas przestoju.
Ilustracja dla slajdu 38
39/50
Bezpieczeństwo: Automatyczne Przełączanie na Zapasowe Zasoby
W przypadku awarii Firewall VNF, system Service Chaining automatycznie przekierowuje ruch do zapasowego VNF. Automatyzacja zapewnia, że polityki bezpieczeństwa są utrzymane nawet po awarii, co jest kluczowe w modelu Zero Trust.
Ilustracja dla slajdu 39
40/50
Wyzwania: Integracja Starzych Systemów (Brownfield)
Integracja nowoczesnych technologii (SDN) ze starszymi segmentami sieci (Brownfield) to ogromne wyzwanie. Wymaga to użycia translatorów protokołów (np. między CLI a NETCONF) oraz utrzymania dwóch systemów zarządzania jednocześnie.
Ilustracja dla slajdu 40
41/50
Topologia L3: Migracja BGP do BGP-LS (Link-State)
BGP-LS to rozszerzenie BGP, które umożliwia rozgłaszanie pełnych informacji o topologii (Link-State) do Kontrolera SDN. Kontroler wykorzystuje te dane do centralnego obliczania najlepszych tras i programowania urządzeń.
Ilustracja dla slajdu 41
42/50
Automatyzacja: Wdrażanie Zmian Konfiguracji w Trybie Transakcyjnym
Automatyzacja powinna używać trybu transakcyjnego (NETCONF). Jeśli zmiana konfiguracji nie powiedzie się na którymkolwiek z urządzeń, cała zmiana jest cofana (rollback) na wszystkich urządzeniach. To chroni topologię przed niespójnościami.
Ilustracja dla slajdu 42
43/50
Wirtualizacja: Kontrola Nad Zasobami Chmurowymi
W scenariuszu hybrydowym, IaC (np. Terraform) jest używany do zarządzania wirtualną topologią w chmurze (np. tworzenie VPC, tras routingu, Firewall ACL) i integrowania jej z topologią lokalną.
Ilustracja dla slajdu 43
44/50
Ewolucja vPC: Multicloud Networking i VXLAN Gateway
Przełączniki Leaf (vPC) mogą działać jako VXLAN Gateway, łącząc segmenty L2 z fizycznej topologii DC z tunelami VXLAN, które rozciągają topologię do chmury publicznej.
Ilustracja dla slajdu 44
45/50
Automatyzacja: Zarządzanie Lifecycle'm Urządzeń
Automatyzacja może zarządzać całym cyklem życia urządzenia w topologii: od ZTP, przez wdrożenie, aktualizację IOS, aż po wycofanie z użytku (decommissioning). Minimalizuje to ryzyko utrzymywania przestarzałego lub niebezpiecznego sprzętu.
Ilustracja dla slajdu 45
46/50
Topologia L3: Ochrona Przed Pętlami BGP (Loop Prevention)
BGP jest protokołem podatnym na pętle. Wewnętrzne BGP (iBGP) wymaga pełnej siatki lub użycia Route Reflectorów. W eBGP, ochrona opiera się na atrybucie AS_Path (odrzucenie tras z własnym AS).
Ilustracja dla slajdu 46
47/50
Wpływ Metryki Routingu na Kontrolę SDN
W SDN, Kontroler może dynamicznie zmieniać metryki OSPF/EIGRP, aby sterować ruchem w topologii. Robi to na podstawie danych telemetrycznych o obciążeniu, opóźnieniu i utracie pakietów, co jest znacznie lepsze niż statyczne metryki.
Ilustracja dla slajdu 47
48/50
Topologia a Dostęp do Chmury: Bezpieczeństwo ZTNA
ZTNA (Zero Trust Network Access) to nowoczesny VPN dla zdalnego dostępu. Daje on dostęp tylko do konkretnej aplikacji w chmurze, a nie do całej sieci. Topologia musi wspierać ten granularny dostęp poprzez odpowiednią segmentację na krawędzi.
Ilustracja dla slajdu 48
49/50
Pytania i Dyskusja - Przyszłość Topologii
Zakończyliśmy cykl. Pamiętajcie, że przyszły inżynier sieci to programista infrastruktury. Konieczna jest ciągła nauka Python, SDN i zasad bezpieczeństwa ZTA, aby zarządzać dynamicznymi, złożonymi topologiami.
Ilustracja dla slajdu 49
50/50
Zakończenie Cyklu Wykładów
Topologia złożonej sieci komputerowej to dziś połączenie fizycznych ram z programowalną logiką. Mam nadzieję, że ten cykl wykładów dostarczył solidnych podstaw do projektowania, implementacji i utrzymania nowoczesnych sieci. Powodzenia w praktyce!
Ilustracja dla slajdu 50