31 روز قبل آزمون CCNAسیسکو

معرفی SDA و Cisco DNA Center – روز 2

SDA and Cisco DNA Center

3 روز پیش
0 خواندن این مطلب 5 دقیقه زمان میبرد
bohdan orlov vTUevo0WOUM unsplash

امروز به بررسی نقش Cisco DNA Center در دنیای Software-Defined Access (SDA) می‌پردازیم. برای این منظور، لازم است مفهوم Cisco SDA را نیز بررسی کنیم، که رویکردی جدید برای طراحی و پیاده‌سازی شبکه‌های دانشگاهی در مقایسه با روش‌های سنتی ارائه می‌دهد. همچنین پیشنهاد میکنم قبل از مطالعه این مطلب نگاهی به پست قبلی “رایانش ابری، مجازی‌سازی و SDN در سیسکو” داشته باشید.

معماری SDA

SDA از یک کنترلر و Application Programming Interfaces (APIs) برای برقراری ارتباط از طریق Southbound Interfaces (SBIs) با زیرساخت شبکه استفاده می‌کند، همان‌طور که در شکل زیر نشان داده شده است. Cisco DNA Center نمونه‌ای از یک کنترلر است.

SDA Architecture with DNA Center

SBI‌ها شامل موارد زیر هستند:

  • Telnet/SSH
  • SNMP
  • NETCONF
  • RESTCONF

Fabric

زیرساخت شبکه که به آن Fabric گفته می‌شود، به دو بخش تقسیم می‌گردد:

Underlay

  • Underlay ارتباط نزدیکی با شبکه فیزیکی دارد. این لایه، دستگاه‌های اضافی را نمایان می‌سازد و مشخص می‌کند که چگونه این دستگاه‌ها به هم متصل هستند. نقاط پایانی از طریق دستگاه‌های لایه ۲ به شبکه دسترسی پیدا می‌کنند.
  • کنترل پلین Underlay مسئول انجام وظایف مربوط به ارسال ساده بسته‌ها است.

Overlay

  • در این بخش، پروتکل‌های تونل‌زنی مانند Virtual Extensible LAN (VXLAN) پیاده‌سازی می‌شوند تا پروتکل‌های لایه ۳ مانند IP Security (IPsec) و Control and Provisioning of Wireless Access Points (CAPWAP) را انتقال دهند.
  • Overlay محلی برای تعریف سیاست‌ها است و ارتباطی با نحوه اتصال فیزیکی یا منطقی دستگاه‌ها ندارد. هدف آن، انتزاع پیچیدگی‌ها و محدودیت‌های ذاتی زیرساخت است.

مثال: در شکل زیر، دو سوییچ SW1 و SW2 به‌صورت داینامیک یک تونل VXLAN بین نقاط انتهایی در Overlay ایجاد می‌کنند. مسیر دقیق بسته‌ها بین این دو سوییچ توسط فرآیند لایه ۲ و لایه ۳ Underlay تعیین می‌شود.

Overlay and Underlay

Underlay

Underlay شامل سوییچ‌ها، روترها، کابل‌ها و لینک‌های بی‌سیم است که برای ایجاد شبکه فیزیکی به کار می‌روند. همچنین، پیکربندی و عملکرد Underlay به‌گونه‌ای طراحی شده است که از عملکرد Overlay پشتیبانی کند.

پیکربندی Underlay شامل نقش‌های مختلف SDA است که هر دستگاه ایفا می‌کند:

  • Fabric Edge Node: سوییچی که به دستگاه‌های پایانی متصل می‌شود.
  • Fabric Border Node: سوییچی که به دستگاه‌های خارج از کنترل SDA متصل می‌شود، مانند سوییچ‌هایی که ارتباط با WAN را برقرار می‌کنند.
  • Fabric Control Node: سوییچی که وظایف خاص مربوط به کنترل پلین را در Underlay انجام می‌دهد و به پردازش و حافظه بیشتری نیاز دارد.

Overlay

Cisco از پروتکل VXLAN برای ایجاد تونل‌هایی استفاده می‌کند که توسط SDA استفاده می‌شوند. زمانی که یک SDA Endpoint (برای مثال، یک کامپیوتر کاربر نهایی) یک Data Link Frame را به یک SDA Edge Node ارسال می‌کند، نود ورودی Frame را محصور کرده و از طریق یک تونل VXLAN به نود خروجی ارسال می‌کند، همان‌طور که در شکل زیر نشان داده شده است.

VXLAN Tunneling Protocol Operation

عملیات تونل‌زنی VXLAN

تونل VXLAN در Overlay به این صورت عمل می‌کند:

  1. یک نقطه پایانی، فریمی را ارسال می‌کند.
  2. فریم در قالب مشخصات تونل VXLAN محصور می‌شود.
  3. فریم به شبکه Underlay ارسال می‌شود.
  4. سایر نودهای Underlay، فریم را بر اساس جزئیات تونل VXLAN هدایت می‌کنند.
  5. آخرین نود SDA، جزئیات VXLAN را حذف می‌کند.
  6. فریم به نقطه پایانی مقصد ارسال می‌شود.

Cisco DNA Center

Cisco DNA Center دارای دو نقش است:

  • یک کنترلر در شبکه‌ای که از Cisco SDA استفاده می‌کند.
  • یک پلتفرم مدیریت شبکه برای دستگاه‌های سنتی (غیر SDA).

Cisco DNA Center و پشتیبانی از Southbound APIs

Cisco DNA Center از چندین Southbound API پشتیبانی می‌کند تا کنترلر بتواند با دستگاه‌هایی که مدیریت می‌کند ارتباط برقرار کند:

  • Telnet, SSH, و SNMP برای پشتیبانی از دستگاه‌های شبکه سنتی
  • NETCONF و RESTCONF برای پشتیبانی از دستگاه‌های جدیدتر

Cisco DNA Center و SDA

Cisco DNA Center و SDA مدیریت Policy‌هایی مانند Access Control Lists (ACLs) را ساده‌تر می‌کنند.
به عنوان مثال، شکل زیر یک ACL را نشان می‌دهد که در آن هر شماره نشان‌دهنده یک Policy جدید است که در طول چرخه حیات ACL اجرا شده است.

ACEs in an ACL After Six Changes

مدیریت ACEs در یک ACL پس از شش تغییر

Six Policies Implemented by DNA Center

تعیین موقعیت ورودی‌های جدید ACL (ACEs) درون یک ACL موجود می‌تواند یک فرآیند پیچیده و پرریسک باشد. همچنین، مگر اینکه یک ACL به‌طور کامل مستندسازی شود، مشخص نیست که یک Policy جدید چه تأثیری بر Policy‌های موجود دارد یا حتی آیا Policy موجود هنوز معتبر است یا خیر.

با این حال، در SDA Security Groups، شما می‌توانید یک Policy را اجرا کنید بدون نیاز به بررسی محدوده آدرس‌های IP و ACLs. به جای ایجاد ورودی‌های جدید ACE برای هر تغییر Policy، این Policy در DNA Center تعریف می‌شود و در صورت نیاز، DNA Center دستگاه‌ها را برای اجرای سیاست‌های امنیتی پیکربندی می‌کند.

مدل سیاست‌گذاری در SDA

مدل سیاست‌گذاری SDA چالش‌های مربوط به ACLهای سنتی را حل می‌کند:

  • هر نیاز امنیتی جدید می‌تواند به‌صورت مستقل بررسی شود، بدون نیاز به تجزیه‌وتحلیل ACLهای موجود.
  • هر نیاز جدید بدون نیاز به جستجوی تمام ACLها در مسیرهای احتمالی بین نقاط پایانی و تحلیل تک‌تک آنها قابل ارزیابی است.
  • DNA Center سیاست‌ها را از یکدیگر مجزا نگه می‌دارد.
  • هر سیاست را می‌توان بدون تأثیرگذاری بر منطق سایر سیاست‌ها حذف کرد.

اجرای سیاست‌ها در SDA

برای اجرای Policy در SDA، آنها به Security Groups متصل می‌شوند. Security Group با یک برچسب (SGT) شناسایی می‌شود. اگر DNA Center یک عملیات مجاز (Permit Action) بین جفت‌های مبدا و مقصد SGTs شناسایی کند، DNA Center نودهای لبه را هدایت می‌کند تا یک VXLAN Tunnel ایجاد کنند.

SGTهای مربوط به مبدا و مقصد به همراه VXLAN ID (VNID) به هدر VXLAN اضافه می‌شوند، همان‌طور که در شکل زیر نشان داده شده است.

VXLAN Header with SGTs and VNIDs

پلتفرم مدیریت شبکه Cisco DNA Center

Cisco DNA Center از مفهوم Intent-Based Networking برای موارد استفاده مختلف پشتیبانی می‌کند، از جمله:

  • قابلیت‌های اتوماسیون پایه
  • Fabric Provisioning
  • تقسیم‌بندی مبتنی بر Policy (SGT) در شبکه‌های سازمانی

Cisco DNA Center یک مرکز مدیریت و فرمان شبکه برای تخصیص و پیکربندی دستگاه‌های شبکه است. این پلتفرم سخت‌افزاری و نرم‌افزاری، یک “Single Pane of Glass” (داشبورد) ارائه می‌دهد که روی مقایسه، تحلیل و خودکارسازی تمرکز دارد.

صفحه اصلی DNA Center یک نمای کلی از وضعیت سلامت شبکه و Network Snapshot را ارائه می‌دهد، همان‌طور که در شکل زیر نشان داده شده است. از اینجا، مدیر شبکه می‌تواند سریعاً جزئیات بیشتری از قسمت‌های موردنظر را بررسی کند.

Cisco DNA Center Dashboard

بخش‌های اصلی Cisco DNA Center

پنج منوی اصلی در بالای صفحه داشبورد دسترسی به بخش‌های اصلی DNA Center را فراهم می‌کنند:

  • Design: مدل‌سازی کل شبکه، از سایت‌ها و ساختمان‌ها گرفته تا دستگاه‌ها و لینک‌های شبکه، چه فیزیکی و چه مجازی، در سطح شبکه‌های دانشگاهی، شعب، WAN و Cloud.
  • Policy: استفاده از Policy برای خودکارسازی و ساده‌سازی مدیریت شبکه، کاهش هزینه‌ها و ریسک‌ها، و تسریع پیاده‌سازی خدمات جدید.
  • Provision: ارائه خدمات جدید به کاربران با سهولت، سرعت و امنیت در سراسر شبکه سازمانی، بدون توجه به اندازه و پیچیدگی شبکه.
  • Assurance: استفاده از نظارت پیشگیرانه و بینش‌های عملیاتی از شبکه، دستگاه‌ها و برنامه‌های کاربردی برای پیش‌بینی سریع‌تر مشکلات و اطمینان از اینکه تغییرات Policy و پیکربندی مطابق با اهداف تجاری و تجربه کاربری موردنظر اجرا می‌شوند.
  • Platform: استفاده از APIs برای ادغام Cisco DNA Center با سیستم‌های IT دلخواه شما جهت ایجاد راهکارهای End-to-End و پشتیبانی از دستگاه‌های چندتأمینی (Multivendor).

ویژگی‌های منحصربه‌فرد Cisco DNA Center

Cisco DNA Center بر ساده‌سازی عملیات شبکه‌های سازمانی متمرکز است و هدف آن کاهش هزینه‌ها و زمان استقرار است. برخی از ویژگی‌های منحصر‌به‌فرد این پلتفرم شامل موارد زیر است:

  • EasyQoS: امکان استقرار Quality of Service (QoS) تنها با چند انتخاب ساده از داخل Cisco DNA Center.
  • Encrypted Traffic Analysis: استفاده از الگوریتم‌های تحلیل داده‌ها برای تشخیص تهدیدات امنیتی حتی در ترافیک رمزگذاری‌شده.
  • Device 360 و Client 360: ارائه دید 360 درجه از وضعیت سلامت دستگاه‌ها و کلاینت‌ها.
  • Network Time Travel: نمایش عملکرد گذشته کلاینت‌ها در قالب یک جدول زمانی برای مقایسه با وضعیت فعلی شبکه.
  • Path Trace: بررسی مسیر واقعی بسته‌های داده از مبدا تا مقصد، بر اساس جدول مسیریابی و فورواردینگ فعلی.
برچسب ها
3 روز پیش
0 خواندن این مطلب 5 دقیقه زمان میبرد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا