ساختار فابریک SD-WAN سیسکو یک زیرساخت امن و رمزنگاری و برپایه وجود حداقل یک کنترلر و یا سیسکو vSmart میباشد. بر ایجاد این فابریک ابتدا روتر vEdge یک ارتباط امن بین خودش و vSmart و بر مبنای TLS و براساس Certificate تشکیل میدهد. در داخل این ارتباط، با استفاده از OMP و یا پروتکل مدیریتی Overlay تمامی اطلاعات مربوط مانند شبکه های LAN متصل به روتر، VPN Segments (VRFs) و لینک های Transport به vSmart انتقال میابد. نتیجه این اتفاق فراهم آمدن دید کامل برای کنترلر میباشد و بوسیله این Visibility، امکان برقراری سایت به سایت (شعبه های مختلف) و بر بستر IPSec ایجاد میشود.
در این روش مشخصه های لینک های مختلف از قبیل Latency ،Bandwidth و Jitter نیز در نظر گرفته شده و برحسب نیاز اپلیکیشن های مختلف و سیاست های تعریف شده در پنل vManage بهترین مسیر در اختیار ترافیک مختص به هر اپلیکیشن آنها قرار داده میشود.
ترمینولوژی SD-WAN سیسکو
ابتدا برای پی بردن به نحوه ارتباط کنترلرها و تجهیزات در ساختار فابریکSD-WAN سیسکو دانستن موارد زیر ضروری میباشد:
OMP: یک پروتکل Data Plane میباشد، Overlay Management Protocol، که وظیفه انتقال اطلاعات در مورد دسترسی، امنیت و سیاست های فابریک را برعهده دارد. این پروتکل اطلاعات مورد نظر را بین vBond و vEdge ها منتقل مینماید.
Color: تگ Control Plane است که برای ایجاد تونل های IPSec تعریف میشود.
Site ID: شاخصه منحصر بفرد برای هر سایت و شعبه میباشد که درون کنترلرها و روترهای لبه شبکه تعریف میگردد.
System IP: شاخصه منحصر بفرد برای کنترلرها و تجهیزات لبه شبکه میباشد و مانند یک Loopback IP برای ارتباطات دستگاه ها درون شبکه SD-WAN کاربرد دارد. همچنین از آن برای Router ID برای پروتکل های مسیریابی BGP و OSPF استفاده میشود.
TLOC: این شاخصه وظیفه انتقال اطلاعات در مورد نقطه دسترسی ( Attachment Point ) و Next Hop Route را درون فابریک عهده دار است.
مسیریابی در ساختار فابریک SD-WAN سیسکو
در حالت کلی در ساختار SD-WAN سه مدل مسیریابی OMP Route ،TLOC Route و Service Route وجود دارد. OMP Route شامل Prefix های موجود در شبکه، TLOC، که همانند Next-hop IP Address در پروتکل BGP میباشد، و ویژگی های لینک ها، که برروی انتخاب مسیرها تاثیرگذار است، میشود.
TLOC Route وظیفه Map کردن TLOCهای موجود به IP Address درون WAN و فراهم کردن اطلاعاتی در مورد نحوه دسترسی به آنها را دارد. برای انتقال بسته ها درون شبکه WAN، ابتدا باید OMP Route، برای مشخص شدن دستگاه مقصد، و سپس TLOC Route، برای ایجاد تونل IPSec برروی لینک ها، بررسی شود. در آخر میتوان بر اساس نوع سرویس های موجود در نقاط مختلف شبکه SD-WAN، مسیریابی های مختلفی (Service Route) اختصاص داد.
ساختار Data Plane Cisco SD-WAN
ساختار Data Plane شبکه SD-WAN کاملا بر اساس VPN و VRFها است. VRF و یا Virtual Routing Forwarding یک سیستم منطقی برای جداسازی Routing Table میباشد. در تجهیزات SD-WAN تمامی اینترفیس ها درون VPN ها بمنظور قسمت بندی (Segmentation)، در سطح تجهیزات و شبکه، تعریف میگردند. تنها تفاوت موجود بین VRF و VPN در این ساختار این است که نام VPN نمیتواند کلمه باشد و تنها بصورت عددی معرفی میگردد.
در این شیوه VPN512 به منظور اعمال تنظیمات (Out-of-band-Management VPN) و VPN0 و یا Transport VPN برای ایجاد تونل IPSec بکار گرفته شده و برروی تمامی اینترفیس ها موجود میباشد. استفاده دیگر VPN0 برای ایجاد ارتباطات مدیریتی با کنترلرها، مانند VPN512، است. مابقی VPNها بعنوان Service VPN و بمنظور انتقال امن سرویس های شبکه داخلی برروی Overlay و بواسطه IPSec کاربرد دارد. در واقع این طراحی جدید موجب میشود تا با استفاده از تگ های VPN، از ایجاد تونل های متعدد برروی شبکه WAN جلوگیری شود و تمامی ارتباطات با استفاده از یک تونل واحد برقرار گردد.
همچنین در طراحی SD-WAN بازای هر تونل IPSec یک Bidirectional Forwarding Detection (BFD) موجود است که مسئول بررسی وجود داشتن (liveliness) و چگونگی کیفیت ارتباطات بین vEdge ها میباشد و شاخص های مختلفی را از قبیل Up/Down ،loss/jitter ، IPSec tunnel MTU را بررسی مینماید. شما باید برای استفاده از قابلیتهای مختلف محصولات سیسکو لایسنسهای Cisco را خریداری کنید.
ساختار Multi-Topology در SD-WAN
در SD-WAN هر VPN ساختار و توپولوژی منحصر به خود را دارا میباشد و Routing Table درون هر vEdge براساس VPN ها مجزا میشوند. این ویژگی موجب قدرت گرفتن سیاست ها کنترلی میشوند و اپلیکیشن ها میتوانند بهترین، کوتاه ترین و باکیفیت ترین مسیر را انتخاب نمایند. برای مثال صداها (Voice) میتوانند از توپولوژی فول مش برای انتقال سریع تر بهره ببرند در حالی که PCI Data از توپولوژی hub-and-spoke استفاده نماید.
ساختار فابریک SD-WAN سیسکو
پشتیبانی از High Availability و Redundancy
تمامی تجهیزات و کنترلرهای شبکه Cisco SD-WAN، به منظور فراهم اوردن اطمینان خاطر مدیران شبکه، از HA پشتیبانی میکنند. مدیران و طراحان شبکه SD-WAN میتوانند با بهره گیری از چندین vSmart، اعمال سیاست های خود را مدیریت و همچنین به منظور قابل اطمینان شدن هرچه بیشتر شبکه، از دو vBond استفاده نمایند.
لازم بذکر است در این حالت، برای معرفی vBondها به vSmart و vEdgeها، باید آدرس DNS سرور شبکه اعلام گردد و سپس IP تنظیم شده برای vBondها در آن تعریف و ترجمه ( Resolve ) گردد. علاوه بر موارد بالا، برای مدیریت پایدار شبکه SD-WAN، مدیران میتوانند از حداقل سه vManage برای هر Domain و بصورت Cluster بهره ببرند.
در این حالت هر vManage توانایی مدیریت کردن تا 2000 پلتفرم را دارا میباشد و بصورت Active-Active و با استفاده از Load-Balancing پلتفرم ها و کنترلرها را مدیریت میکند. در آخر، تمامی پلتفرم های لبه شبکه (vEdge یا cEdgeها ) نیز میتوانند بصورت Redundant راه اندازی گردند و همچنین با بکارگیری قابلیت BFD که پیشتر توضیح داده شد، از صحت لینک های ارتباطی خود اطمینان پیدا کرده و بهترین مسیر را برای ارسال داده ها انتخاب کنند.
پشتیبانی ازConfiguration Template
استفاده از قالب های آماده و پیش فرض درون پنل مدیریتی vManage این امکان را برای مدیران شبکه فراهم میکند تا اقدام به راه اندازی تمامی تجهیزات جدید خود در کمترین زمان و در بهینه ترین حالت نمایند. مدیران میتوانند بر اساس نوع پلتفرم های مورد استفاده، ورژن نرم افزار و سیستم عامل آنها تنظیمات پیش فرضی را تهیه کنند تا بصورت اتومات برروی آنها اعمال شده و این تجهیزات را با استانداردهای موردنظر آنها در Overlay خود رجیستر نمایند. همچنین میتوان این Template ها را به همراه لایسنس SD-WAN محصول برروی فایل Bootstrap را برروی حافظه پلتفرم قرار داد تا آن پس از قرارگرفتن در حالت کنترلر بصورت خودکار درون Overlay شبکه SD-WAN رجیستر شوند.
