Alla förstår att säkerhet inte kan begränsas till att bara installera enheter som brandväggar eller UTM:er , vilka bara skyddar nätverket vid dess yttre gränser. Nätverket måste vara motståndskraftigt och kunna återhämta sig vid avsiktliga och oavsiktliga problem, även de som orsakas av användarna själva på grund av bristande uppmärksamhet, dålig kännedom om driftprocedurer eller, vilket är än värre, på grund av komplexa och röriga procedurer för åtkomstkontroll.

Tänk till exempel på lösenord. Ju mer komplicerade åtkomstprocedurer och lösenordsregler man har, desto större är risken för att användare skriver ner lösenord på papperslappar eller sparar dem i sin mobiltelefon. Det är jämförbart med att lämna hemnycklarna under dörrmattan, eller i blomkrukan bredvid dörren – det spelar inte längre någon roll hur kraftig och tålig dörr du har.

Därför går det inte att förlita sig enbart på en program- eller maskinvaruprodukt eller en uppsättning produkter i syfte att uppnå en ordentlig säkerhetsnivå. Det handlar inte om hur sofistikerade och välutvecklade produkterna är. Säkerhet är en attityd och en egenskap som måste genomsyra hela nätverket i en serie av enhetliga mekanismer som behöver vara enkla att installera, underhålla, testa och använda.

Enkelhet, klarhet och omedelbarhet – dessa är hörnstenarna i en stark och långsiktigt säker nätverksinfrastruktur. Låt oss börja med återhämtningsförmågan vid fel. Redundant nätverksinfrastruktur som i stor utsträckning utnyttjar flera lager och kombinerar Ethernet och IP-protokoll såsom spanning tree (i dess olika former) och VRRP/HSRP med något routerprotokoll (OSPF, RIP, ISIS och så vidare) kräver koordinerad planering och en extremt komplex konfiguration av de olika mekanismerna. I en sådan komplicerad installation blir felsökning också mycket komplext och tidskrävande. Situationen blir nästan ohållbar om VLAN eller VPN:er kommer in i bilden.

En infrastruktur som i stället kan arbeta i lager två genom hela fabriken, med återhämtningsmekanismer baserade på länkaggregering och EPSR, kombinerar en enkel och tydlig arkitektur med enkel konfiguration och felupptäckt. Det finns inget protokoll att koordinera. Trafiken flödar längs två eller fler parallella vägar genom nätverket på ett balanserat sätt, och virtualisering uppnås enkelt med hjälp av VLAN som sedan kan aggregeras på stamnätsnivån genom att aktivera VLAN i VLAN-mekanismer. Alltihop har en felåterställningstid på mindre än 50 millisekunder, typiskt för EPSR, samt den skalbarhet som länkaggregering ger, vilken möjliggör ökningar av den tillgängliga bandbredden genom att helt enkelt lägga till fler fysiska länkar. Inverkan på konfigurationen är minimal, lägg bara till de nya portarnas ID till de befintliga aggregeringskommandona.

Genom att denna funktion kompletteras med ett par LAN-switchar i VCStack-läge kan nätverket till och med överleva en brand om de två delarna är separerade med en fysisk brandvägg. Denna lösning är inte möjlig med chassin, även om de är redundanta.

En motståndskraftig arkitektur räcker inte för att säkerställa att nätverket fungerar om inte grundläggande kritiska protokoll skyddas mot enkla avsiktliga eller oavsiktliga handlingar som användare kan begå. För det första är det nödvändigt att alla åtkomst-switchar har kapacitet för upptäckt av och skydd mot loopar, så att en kabel, en liten switch eller en konsumentrouter som ansluts mellan två portar inte kan ge upphov till en acceleration av paket, som skulle kunna få hela nätverket att krascha. Likadant skulle en konsumentrouter (till exempel en ADSL-router) som ansluts till företagets nätverk via en av dess LAN-portar kunna svara på DHCP-begäran från någon PC genom att dela ut en IP-adress som inte är kompatibla med nätverket, och på så vis hindra kommunikationen. Alla åtkomst-switchar måste därför ha DHCP-skydd och verifiering av IP-adresser, så att endast officiellt tilldelade IP-adresser kan användas på porten.

Det skyddande ramverket fullbordas av en trefaldig autentisering. Denna funktion är aktiv på varje port och tillåter inte åtkomst till nätverket förrän den anslutna utrustningen framgångsrikt har genomgått en autentiseringsprocess med en av tre metoder: IEEE 802.1x, webb-autentisering eller igenkänning av MAC-adress.

Denna mekanism måste integreras med företagets infrastruktur för säkerhet och åtkomstkontroll, baserat antingen på en RADIUS-server eller på något av branschens vanliga Network Access Control/Protectionsystem från Symantec eller Microsoft. Efter att ha klarat av autentiseringsproceduren förknippas utrustningen automatiskt med ett relevant VLAN så fort användaren loggar in som vanligt.

Enkelt, motståndskraftigt och samtidigt mycket skalbart.