شبکه های سازمانی بسیار پیچیده هستند. برای مثال، محوطه یک دانشگاه و یا یک شرکت و یا سازمان با چندین شعبه را می توان از طریق اتصالات WAN به هم متصل کرد. که البته در این شرایط تجهیزات شبکه زیادی در لایه فیزیکی شامل روترها، سوئیچ های شبکه، فایروال ها، سرورها، کنترل کننده های شبکه بی سیم و غیره را خواهیم داشت که این امر مدیریت کل شبکه را سخت می کند.
برای یک کارشناس IT شاید بهترین شرایط داشتن دید کلی و عمیق نسبت به کل شبکه می باشد که همچنین بتواند از این اطلاعات در رابطه با دیگر سیاست های امنیتی استفاده نماید. اما بهترین حالت ممکن اینگونه است که شبکه خود را بخش بندی کرده و اجازه دهید هر بخش به صورت پویا این سیاست های امنیتی را اجرا نماید.
دسترسی نرمافزار محور (Software-Define Access) یا به اختصار SD-Access سیسکو همراه با سیسکو DNA برای مقاصد مشخصی در شبکه طراحی شده اند. ما در این مقاله قصد داریم تا در رابطه با این نرم افزار صحبت کنیم پس با ما همراه باشید.
سیسکو SD-Access چیست؟
SD-Access سیسکو حاصل تکاملِ طراحیهای قدیمی Campus LAN در شبکههایی است که بطور مستقیم تصمیمات سازمان را اجرا میکنند. SD-Access سیسکو مجهز به یک پکیج از برنامههای کاربردی است که به عنوان بخشی از نرمافزار Cisco Center DNA برای طراحی، آمادهسازی، اعمال Policy و تسهیل در ایجاد یک Campus هوشمند شبکهی سیمی و بیسیم، اجرا میشوند.
Cisco SD-Access تقسیم بندی خودکار مبتنی بر قابلیت دید را برای جداسازی کاربر، دستگاه و ترافیک برنامه بدون طراحی فیزیکی مجدد شبکه فراهم می کند. در سیسکو SD-Access خط مشی دسترسی کاربر به صورت خودکار بوده و می توان اطمینان حاصل کرد که آیا این سیاست ها برای کاربران، تجهیزات و برنامه های شبکه به درستی وضع شده اند یا خیر؟
این امر با استفاده از سیاست های دسترسی یکپارچه در سراسر LAN و WLAN محقق می شود و بدون ایجاد خطر در امنیت، یک تجربه کاربری با ثبات را در هر قسمت از شبکه ایجاد می کند.
بررسی راه حل Cisco SD-Access:
Cisco SD-Access با بهبود قابلیت مشاهده، تعریف و بکارگیری سیاستهای دسترسی group-based، تقسیم بندی شبکه برای جداسازی ترافیک، کاهش خطر و تهدیدها و دستیابی به سازگاری در سیاست در کل شرکت از کاربران تا برنامه ها، امکان تبدیل فناوری اطلاعات را فراهم می کند. سیسکو SD-Access شامل برخی عناصر اساسی است ، از جمله:
ـ معماری مبتنی بر کنترل کننده (Controller-based architecture):
در شبکه های سنتی مدیریت هر دستگاه به طور جداگانه صورت می گرفت، که این کار بسیار زمان بر بوده و همچنین خطای انسانی در آن امری اجتناب ناپذیر بوده است. Cisco SD-Access از مرکز سیسکو DNA، به منظور کنترل و اداره اجزای شبکه مبتنی بر DNA سیسکو استفاده می نماید. اجرای سیسکو SD-Access زمان بر نبوده و می توان به سرعت آن را در شبکه پیکربندی کرد.
ـ اساس شبکه (Network fabric):
با استفاده از یک عنصر کنترل کننده، می توانید شبکه را در بلوک های منطقی بنام fabric در نظر بگیرید. Cisco SD-Access Fabric از پوشش های مجازی شبکه استفاده می کند تا در مقیاس بسیار گسترده از پویای ، تقسیم بندی و برنامه ریزی پشتیبانی کند.
Virtual Network Overlay از یک سطح کنترل استفاده می کند تا نقاط انتهایی را در مکان شبکه خود به روز نگه دارد، زیرا نقاط انتهایی در شبکه همواره تغییر می کنند. به طور کلی با جدا سازی ترافیک شبکه، پیچیدگی ها را کاهش و مقیاس پذیری و همگرایی را بهبود می بخشد.
Cisco SD-Access Fabric چندین قابلیت کلیدی را ، از جمله پویایی میزبان بدون در نظر گرفتن حجم دیتا و اندازه شبکه ، تقسیم بندی لایه 2 و لایه 3 و یکپارچه سازی بی سیم فراهم می کند. از دیگر قابلیت ها می توان به سرویس های هوشمند برای شناسایی برنامه، تجزیه و تحلیل ترافیک، اولویت بندی ترافیک و دستور عملکرد بهینه و اثربخشی عملیاتی اشاره کرد.
ـ زیرساخت قابل برنامه ریزی (Programmable infrastructure):
برای ایجاد زیرساخت های مدرن، همواره کمپانی سیسکو دستگاه های تولید خود را تجهیز کرده و آنها را به روز رسانی می کند و همواره این تولیدات جدید همسو با قابلیت های پیشرفته مبتنی بر استاندارد و قابل توسعه هستند.
صرفه جویی در زمان با استفاده از سیسکو SD-Access:
با استفاده از سیسکو SD-Access می توانید زمان لازم برای مدیریت و بهبود امنیت شبکه را به شدت کاهش دهید.
معماری سیسکو SD-Access:
سیسکو SD-Access از پنج لایه اساسی تشکیل شده است که شامل:
1ـ لایه فیزیکی:
این لایه شامل عناصر سخت افزاری، مانند روترها ، سوئیچ ها و سیستم عامل های بی سیم، اینترفیس و لینکهای ارتباطی، سوئیچ های مجازی (کلاستر) و همچنین سرورهای سخت افزاری و نرم افزاری های آن است.
2ـ لایه شبکه:
در زمان اجرا لایه شبکه در بالای لایه فیزیکی قرار دارد. این لایه را می توان به دو زیر مجموعه تقسیم کرد:
- Network underlay:
شامل تنظیمات، پروتکل ها و جداول و همچنین Stacking یا مجازی سازی دستگاه برای دستگاه هایی که یک لایه انتقال را فراهم می کنند.
- Fabric overlay:
شامل تنظیمات، پروتکل های حمل، سیاست ها و جداول مربوط به تجهیزاتی است که یک لایه منطقی را بر روی Network underlay ارائه می دهند.
Network underlay مشابه لایه 2 و 3 بوده و بیشترین ارتباط را با لایه فیزیکی دارد اما تمرکز آن انتقال بسته های داده به دستگاه های موجود در شبکه می باشد. Fabric overlay عمدتا یک شبکه منطقی (تونل شده) است که تقریباً تمام دستگاه های شبکه را بهم متصل می کند و پیچیدگی ها و محدودیت های ذاتی لایه (فیزیکی) را خلاصه می کند. این دو لایه بخش مهمی از راه حل سیسکو SD-Access را تشکیل می دهند به طوری که با همکاری هم بسته های دیتا را به تجهیزات شرکت کننده در SD-Access انتقال می دهند.
3ـ لایه کنترل:
شامل نرمافزار مدیریت سیستم و زیرسیستمهای راهبردی مانند اتوماسیون، احراز هویت و تجزیه و تحلیل میباشد. در حقیقت مدیریت لایه شبکه بر عهده لایه کنترل میباشد.
این لایه به سه دسته تقسیم می شود که شامل:
ـ اتوماسیون پایه و فابریک:
شامل تنظیمات، پروتکل ها و جداول برنامه برای پشتیبانی از اتوماسیون دستگاه های شبکه و خدمات مربوطه Cisco Network Controller Platform (NCP).
ـ اطمینان و تجزیه و تحلیل:
شامل تنظیمات، پروتکل ها و جداول برنامه برای پشتیبانی از جمع آوری و تجزیه و تحلیل وضعیت های کاربر، شبکه و برنامه Cisco Network Data Platform (NDP).
ـ خدمات هویت و سیاست:
شامل تنظیمات، پروتکل ها و جداول برنامه برای پشتیبانی از خدمات شناسایی و شناسایی خط نهایی Cisco Identity Services Engine (ISE).
این زیر دسته های لایه کنترل کننده یک لایه abstraction تشکیل می دهند تا پیچیدگی ها و وابستگی های مدیریت بسیاری از دستگاه ها و پروتکل های شبکه را پنهان کنند. به عنوان مثال ، هر زمان که چیزی را در ساختار SD-Access اضافه، حذف یا به روز کنید، این زیر دسته مسئولیت اطمینان از افزودن، حذف یا به روزرسانی صحیح آن ها را دارند.
کلیه خدمات اتوماسیون “پایه” و “فابریک” توسط Cisco NCP و کلیه خدمات “تجزیه و تحلیل” و “اطمینان” توسط CDP NDP ارائه می شوند. هر دو این زیر سیستم ها با هم در یک دستگاه فیزیکی (های) یکسان کار می کنند. تمام خدمات “هویت” و “خط مشی” توسط Cisco ISE ارائه می شود که با یک یا چند دستگاه جداگانه کار می کند.
این زیر سیستم های کنترل کننده ممکن است در یک یا چند دستگاه در یک مدل مستقل، در محل کار شما و به عنوان سرویس های مبتنی بر ابر کار کنند.
قسمت مهم این لایه (از منظر معماری) این است که این سه زیر دسته راه حل کلی SD-Access را تشکیل می دهند. هر زیر دسته وظیفه مدیریت بخشی از راه حل و تبادل اطلاعات متنی با سایرین را بر عهده دارد. آنها با هم کار می کنند تا یک سیستم مدیریت بسته کاملاً خودکار برای دستگاه های شرکت کننده در Cisco SD-Access را ارائه دهند.
4ـ لایه مدیریت:
شامل عناصری است که کاربران با آن ارتباط برقرار می کنند، به ویژه رابط کاربری گرافیکی (GUI)، همچنین API ها و رابط های (CommandLine (CLI در صورت لزوم کاربران از طریق لایه مدیریت با لایه کنترل کننده ارتباط برقرار می کنند، این لایه همچنین می تواند به لایه های بیشتری تقسیم شود، اگرچه به روشی متغیر، زیرا گردش کارهای مختلف کاربر می تواند به عنوان برنامه های جداگانه (کوچکتر) در معرض دید قرار گیرد یا به عنوان مراحل جداگانه در یک برنامه واحد (بزرگتر) با هم ادغام شود.
دو نوع برنامه وجود دارد:
- ـ تنظیمات مرکز سیسکو DNA:
حاوی تنظیمات کنترل کننده ، API ها و جداول برای پشتیبانی از ارتباطات بین سیستم های فرعی و همچنین ادغام سرویس های مشترک.
- برنامه های مرکز سیسکو DNA:
ابزارهای گردش کار و داده های برنامه زمینه ای را برای پشتیبانی از گردش کارهای مختلف کاربر (مانند طراحی ، سیاست ، تهیه و اطمینان) می باشد. تنظیمات Cisco DNA Center مشابه تنظیمات موجود در سایر سیستم های مدیریت شبکه هستند اما همچنین شامل ابزارها و تنظیمات خاصی برای ادغام بین سیستم های فرعی کنترل کننده و همچنین API ها برای ادغام با سیستم های مختلف خارجی هستند.
برنامه های کاربردی Cisco DNA Center برای سادگی طراحی شده اند و براساس گردش کار کاربر اصلی تعریف شده توسط Cisco DNA مانند طراحی، سیاست، تهیه و اطمینان اقدامات لازم را انجام می دهند.
بخش مهم این لایه (از منظر معماری) این است که این دو نوع برنامه نحوه تعامل کاربر با راه حل SD Access، نحوه تعامل Cisco DNA Center با سیستم های شریک و intent-based را تشکیل می دهد. این یک رابط کاربری قابل انعطاف و قابل تنظیم و سیستم تجربه کاربر (UI / UX) است که امکان تکامل راه حل را در آینده فراهم می کند.
5ـ لایه پارتنر:
شامل همه سیستم های سیسکو و third-party partner است که توانایی افزایش خدمات و یا نفوذ در SD-Access را دارند. با توسعه بیشتر سیستم های مبتنی بر کنترل کننده و پیشرفتهای در زمینه سخت افزاری و نرم افزاری دستگاههای شبکه دارای Fabric، اکنون می توان اطلاعات متنی در زمان واقعی را بین مرکز DNA سیسکو و سیستم های مختلف به اشتراک گذاشت.
در حالی که ممکن است این لیست کامل نبوده و مدام به آن افزوده شود در اینجا تعدادی از آنها را مثال می زنیم:
- فایروال ها: محتوای هویت و سیاست را برای قوانین فایروال group-based اشتراک بگذارید.
- DNS ، DHCP و IPAM: تخصیص IP و نام آدرس را به اشتراک بگذارید.
- خدمات نام دامنه (DNS)
- پروتکل پیکربندی میزبان پویا (DHCP)
- مدیریت آدرس (IP (IPAM
- Cloud Services: هویت ، سیاست و زمینه حمل و نقل را برای برنامه های مبتنی بر cloud به اشتراک بگذارید.
- NaaS و ETA: شناسه و ویژگی های سیاست را برای کاهش تهدیدات به اشتراک بگذارید.
- شبکه به عنوان حسگر (NaaS)
- تجزیه و تحلیل تهدید رمزگذاری شده (ETA)
- توابع شبکه مجازی (VNF): هویت ، سیاست و زمینه حمل و نقل را برای برنامه های مبتنی بر کانتینر به اشتراک بگذارید.
مثالها و احتمالات بسیار دیگری وجود دارد. با ادامه تکامل اکوسیستم شریک Cisco SD-Access، ما روش های جدیدی را برای اشتراک و استفاده از داده های متنی با شرکای خود اضافه خواهیم کرد.
سوئیچ های شبکه ای که از راه حل سیسکو SD-Access پشتیبانی می کنند:
انواع سوئیچ سیسکو زیر از قابلیت سیسکو SD-Access پشتیبانی می کنند:
ـ سوئیچ سیسکو سری 4500E
ـ سوئیچ سیسکو سری 6880X
ـ سوئیچ سیسکو سری 6840X
ـ سوئیچ سیسکو سری 6807XL
ـ سوئیچ سیسکو سری 6500E
ـ سوئیچ سیسکو سری 7700
این سوئیچ ها به عنوان گره های داخلی SD-Access پشتیبانی می شوند:
ـ Cisco Catalyst 3560-CX Series
ـ Cisco Catalyst Digital Building Series
ـ Cisco Industrial Ethernet 4000 and 5000 Series
روترهای شبکه ای که از راه حل سیسکو SD-Access پشتیبانی می کنند:
ـ Cisco ASR 1000-X Series
ـ Cisco ASR 1000-HX Series
ـ Cisco ISR 4300 Series
ـ Cisco ISR 4400 Series
ـ (Cisco Integrated Services Virtual Router (ISRv
ـ (Cisco Cloud Services Virtual Router (CSRv
دستگاه های وایرلسی که از راه حل سیسکو SD-Access پشتیبانی می کنند:
ـ 3504 Wireless Controller
ـ 5520 Wireless Controller
ـ 8510 Wireless Controller
ـ 8540 Wireless Controller
اکسس پوینت هایی که از راه حل سیسکو SD-Access پشتیبانی می کنند:
ـ Aironet® 1700 Series
ـ Aironet 2700 Series
ـ Aironet 3700 Series
ـ Aironet 3700 Series
ـ Aironet 1800 Series
ـ Aironet 2800 Series
ـ Aironet 3800 Series
اکنون شما درک خوبی از کل راه حل Cisco SD-Access، در سطح فنی متوسط دارید و باید بتوانید همه 5 لایه اصلی سیسکو SD-Access (فیزیکی ، شبکه ، کنترل کننده ، مدیریت و شریک) را شناخته و نقش اساسی آنها را توصیف کنید. Cisco SD-Access قابلیت های جدیدی را در شبکه سازمانی نشان می دهد.
بیشتر بدانید: