حتما تا الان در خصوص تکنولوژی SDN مطالبی را شنیدهاید. تکنولوژی SDN با هدف خودکارسازی، سادهسازی و هوشمندسازی در زمینه پیادهسازی و مدیریت شبکه بر مبنای نرمافزار به وجود آمده است. SDN برای رسیدن به این اهداف، شبکه را به planeهای Data ،Control و Management تقسیم کرد، درست مانند یک روتر سختافزاری، اما اینبار در ابعاد گسترده. این تکنولوژی معرف راهکار در شاخههای مرکز داده ( تکنولوژی ACI )، شبکه گسترده ( تکنولوژی SD-WAN ) و شبکه محلی ( تکنولوژی SD-Access) میباشد. در این مقاله به معرفی راهکار SDN در شاخه شبکههای محلی یعنی SD-Access یا همان Software-Defined Access خواهیم پرداخت.
برای آنکه به معرفی راهکار سیسکو SD-Access بپردازیم، ابتدا لازم است تا چالشهای شبکههای محلی سنتی را مورد بررسی قرار دهیم تا مشخص گردد SD-Access قرار است چه چالشهایی را از پیشرو بردارد. بطور خلاصه این چالشها عبارتند از:
چالش امنیت شبکه
چالش پیادهسازی شبکه
چالش مدیریت شبکههای سیمی و بیسیم
چالش عملیاتی شبکه
در شبکههای محلی سنتی به منظور ایجاد امنیت از VLAN و ACL استفاده میشود. به این ترتیب به منظور ایجاد امنیت در ترافیک بین دو VLAN (دو بازه متفاوت آدرس IP)، نیاز به ساخت لیست دسترسی برروی سوئیچ هسته شبکه میباشد. همچنین به منظور سادهسازی در پیادهسازی ، لازم است تا VLANهای ایجاد شده در تمامی سوئیچهای شبکه پیکربندی شوند.
این موضوع شامل سوئیچهای لایه دسترسی که حتی پورت کاربردی در آن VLAN را ندارند نیز میشود. به مرور زمان، گسترش و رشد شبکه موجب میشود که لیستهای کنترلی ایجاد شده بعضا به هزاران خط برسند، دامنه VLAN و Spanning-Tree در شبکه، گسترده شده و در نتیجه با اضافه نمودن سوئیچ یا VLAN جدید، مدیریت و اعمال تغییرات در شبکه دشوار شود. در چالشی دیگر، شما به عنوان کارشناس شبکه میبایست سیاست جدیدی برای کاربران خاص در شبکه پیاده سازی نمایید تا در هر جایی از شبکه قادر به ارتباط با بخشی از شبکه باشند که کاربران دیگر از این ارتباط محروم هستند. چالشی که بسیاری از سازمانها با آن برخورد داشتهاند، جدایی سیاستهای یک سازمان از آدرس IP و اعمال سیاستها به فرد می باشد.
از دیگر چالشهای شبکههای محلی سنتی، مدیریت شبکههای سیمی و بیسیم میباشد. در این گونه شبکهها به منظور مدیریت و ایجاد سیاستها در شبکه سیمی با سوئیچهای شبکه و در بخش بیسیم با کنترلر شبکه بیسیم سروکار دارید. در حقیقت عدم یکپارچگی در مدیریت و اعمال سیاست برای شبکههای سیمی و بیسیم، یکی از چالشهای شبکههای محلی سنتی میباشد.
در شبکههای محلی سنتی، زمان زیادی از وقت کارشناسان شبکه به عیبیابی سپری میشود. شما بعضا برای رفع مشکل سادهی عدم ارتباط کاربران مجبور به بررسی کلیه سوئیچهای مسیر، جداول آدرس Mac و ARP و لیستهای کنترلی میشوید.
تا این لحظه از چالشهای شبکههای سنتی صحبت کردیم، شاید برایتان سوال پیش آمده باشد که هماکنون راهکارهایی برای تمامی این چالشها نیز وجود دارند، پس چرا از SD-Access استفاده کنیم؟ درست است که برای تمامی چالشهای موجود راهکار مناسب وجود دارد اما سیسکو SD-Access به شما اجازه میدهد تا تمامی راهکارها را ترکیب کرده و از یک نقطه مدیریت کنید. سیسکو SD-Access به شما این امکان را میدهد تا پیکربندی شبکه بصورت CLI و خودکار، اعمال سیاستها، مدیریت و پایش شبکه محلی سیمی و بیسیم خود را از طریق تنها یک پنل انجام دهید.
با سیسکو SD-Access شما می توانید چالش اعمال سیاست به فرد بجای آدرس IP را به راحتی با ایجاد تگ برای کاربران و سپس ایجاد یک سیاست ساده مبنی بر دسترسی یا عدم دسترسی تگ ها یا گروه تگها به یکدیگر به اجرا درآورید، این اعمال سیاست می تواند در شبکه سیمی یا بیسیم به صورت خودکار پیاده سازی شود و شما می توانید از طریق پنل مدیریتی، زمان پایش و عیبیابی را به حداقل رسانده و حتی از پیشنهادات SD-Access برای رفع عیوب در شبکه بهره ببرید.
در یک جمعبندی مزایای استفاده از سیسکو SD-Access در شبکه محلی به شرح زیر میباشند:
راهکار دسترسی بر مبنای نرمافزار شرکت سیسکو (سیسکو SD-Access یا همان Software-Defined Access) است که با استفاده از سیسکو DNA Center، اعمال سیاستهای هدفمند و اتوماسیون پیکربندی، دید کاملی را در Fabric Campus شبکه بیسیم و سیمی فراهم میکند.
معماری سیسکو SD-Access از پنج لایه تشکیل شده است:
شامل المانهای سختافزاری شبکه مانند روتر، سوئیچ و پلتفرمهای بیسیم به همراه نرمافزارهای آنها، اینترفیس و لینکهای ارتباطی، سوئیچهای مجازی یا کلاستر، سرورهای سختافزاری و نرمافزارهای آنها میباشد.
شامل المانهای Control plane ،Data plane و Policy plane میباشد که Underlay و Overlay فابریک را تشکیل میدهند.
Underlay شبکه شامل تنظیمات، پروتکلها و جداول تجهیزات سختافزاری هستند که یک لایه انتقال داده در زیر لایه Overlay فابریک را تشکیل میدهند. از طرفی Overlay فابریک شامل تنظیمات، پروتکلهای مربوط به forwarding و سیاستگذاری و جداول تجهیزاتی هستند که یک لایه منطقی از سرویسها را بر روی Underlay شبکه فراهم مینمایند.
در واقع Underlay مشابه لایه دو و سه شبکه شما میباشد که بیشترین ارتباط را با لایه فیزیکی داشته و متمرکز بر انتقال بستههای داده برای شبکه منطقی overlay میباشد. همچنین overlay فابریک، شبکهای منطقی (چیزی مانند تونل های GRE تصور کنید) همراه با ارتباطات مجازی میباشد که عملا کلیه تجهیزات شبکه را به هم متصل کرده ولی پیچیدگیها و محدودیتهای فیزیکی شبکه Underlay را ندارد. در نهایت هر دو زیرلایه با همکاری یکدیگر، انتقال داده در SD-Access را انجام میدهند.
شامل نرمافزار مدیریت سیستم و زیرسیستمهای راهبری مانند اتوماسیون، احراز هویت و تجزیه و تحلیل میباشد. در حقیقت مدیریت لایه شبکه بر عهده لایه کنترل میباشد.
شامل المانهایی میشود که کاربر با آن در ارتباط است، محیط گرافیکی (GUI)، APIها و CLIها. این لایه متشکل از درگاه ارتباطی نرمافزار DNA Center سیسکو و زیر شاخههای نرمافزاری آن میباشد.
شامل کلیه سیستمهای شریک شرکت سیسکو و third-partyهایی است که قادر به افزایش خدمات و یا نفوذ در SD-Access میباشند.
به طور کلی سیسکو SD-Access به سه بخش اصلی تقسیم میشود:
تجهیزات فابریک شبکه دو نقش اصلی را در SD-Access ایفا مینمایند:
سوئیچهای Edge یا لبه: همانند سوئیچهای لایه دسترسی بوده و کابران نهایی به آنها متصل میشوند. از جمله سوئیچهایی که میتوانند در این بخش مورد استفاده قرار گیرند سوئیچهای سری 9000، 3850 و 3650 (مدل نرمافزاری تاثیر دارد) و سوئیچهای سری 4500 میباشند.
سوئیچهای و روترهای Border/Control: این سوئیچها یا روترها وظیفه ردیابی کاربران نهایی در شبکه و برقراری مسیریابی و ارتباطات لایه سه به خارج از شبکه فابریک را بر عهده دارند. از مدلهای مورداستفاده در این بخش میتوان به موارد زیر اشاره کرد:
سوئیچ یا روترهای سری 9000، 3850، 6500 و 6800، نکسوس 7000، ISRهای سری 4300 و 4000، ASRهای سری1000-X و 1000-HX و CSRهای 1000v
کنترلرهای بیسیم و اکسس پوینتها: کنترلرها شامل سری 9000، 3504، 5520 و 8540 بوده و اکسس پوینتها شامل سریهای 4800، 1700، 2700، 3700، 1540، 1560، 1800، 2800، 3800 و سری 9000 با قابلیت WiFi6 میباشند.
لازم بذکر است که از مدلهای قابل پشتیبانی درSD-Access بصورت سری نام برده شده و برای اطلاع دقیق از مدلها و نرمافزارهایی که قابلیت پشتیبانی از سیسکو SD-Access را داشته باشند، به سایت سیسکو مراجعه فرمایید.
DNA Center وظیفه مدیریت فابریک در SD-Access را بر عهده دارد و شامل نرمافزاری است که میبایست برروی یک تجهیز فیزیکی DNA Center که بر مبنای یک سرور از سری UCS-C سیسکو میباشد نصب گردد. لازم بذکر است که SD-Access یکی از برنامههای کاربردی در DNA Center میباشد. DNA Center با توجه به ابعاد شبکه در سه سایز اولیه، متوسط و بزرگ قابل پیادهسازی است که منابع سرور آن با توجه به سایز مورد نظر متفاوت خواهد بود.
در سیسکو SD-Access، راهکار احراز هویت کاربران، اعمال سیاستها بر مبنای کاربر و یا تجهیز، برعهده سیسکو ISE میباشد. اعمال TAG و گروههای TAG با استفاده از TrustSec که بعدا در لیستهای دسترسی مبتنی بر سیاستهای TAG مورد استفاده قرار میگیرند نیز بر عهده ISE میباشد. سیسکو ISE میتواند بصورت نرمافزاری یا سختافزاری در شبکه پیادهسازی شود.