ساختار فابریک SD-WAN سیسکو

ساختار فابریکSD-WAN سیسکو

 

ساختار فابریک تکنولوژی SD-WAN سیسکو یک زیرساخت امن و رمزنگاری و  برپایه وجود حداقل یک کنترلر و یا سیسکو vSmart میباشد. بر ایجاد این فابریک ابتدا روتر vEdge یک ارتباط امن بین خودش و vSmart و بر مبنای TLS و براساس Certificate تشکیل میدهد. در داخل این ارتباط، با استفاده از OMP و یا پروتکل مدیریتی Overlay تمامی اطلاعات مربوط مانند شبکه های LAN متصل به روتر، VPN Segments (VRFs) و لینک های Transport به vSmart انتقال میابد. نتیجه این اتفاق فراهم آمدن دید کامل برای کنترلر میباشد و بوسیله این Visibility ، امکان برقراری سایت به سایت ( شعبه های مختلف ) و بر بستر IPSec ایجاد میشود.

در این روش مشخصه های لینک های مختلف از قبیل Latency ، Bandwidth و Jitter نیز در نظر گرفته شده و برحسب نیاز اپلیکیشن های مختلف و سیاست های تعریف شده در پنل vManage بهترین مسیر در اختیار ترافیک مختص به هر اپلیکیشن آنها قرار داده میشود.

 

ترمینولوژی SD-WAN سیسکو

ابتدا برای پی بردن به نحوه ارتباط کنترلرها و تجهیزات در ساختار فابریکSD-WAN  سیسکو دانستن موارد زیر ضروری میباشد:

OMP: یک پروتکل Data Plane میباشد، Overlay Management Protocol، که وظیفه انتقال اطلاعات در مورد دسترسی، امنیت و سیاست های فابریک را برعهده دارد. این پروتکل اطلاعات مورد نظر را بین vBond و vEdge ها منتقل مینماید.

Color: تگ Control Plane است که برای ایجاد تونل های IPSec تعریف میشود.

Site ID: شاخصه منحصر بفرد برای هر سایت و شعبه میباشد که درون کنترلرها و روترهای لبه شبکه تعریف میگردد.

System IP: شاخصه منحصر بفرد برای کنترلرها و تجهیزات لبه شبکه میباشد و مانند یک Loopback IP برای ارتباطات دستگاه ها درون شبکه SD-WAN کاربرد دارد. همچنین از آن برای Router ID برای پروتکل های مسیریابی BGP و OSPF استفاده میشود.

TLOC: این شاخصه وظیفه انتقال اطلاعات در مورد نقطه دسترسی ( Attachment Point ) و Next Hop Route را درون فابریک عهده دار است.

SD-WAN سیسکو

مسیریابی در Cisco SD-WAN

در حالت کلی در ساختار SD-WAN سه مدل مسیریابی OMP Route ، TLOC  Route و Service Route وجود دارد. OMP Route شامل Prefix های موجود در شبکه، TLOC ،که همانند Next-hop IP Address در پروتکل BGP میباشد، و ویژگی های لینک ها، که برروی انتخاب مسیرها تاثیرگذار است، میشود.

TLOC Route وظیفه Map کردن TLOCهای موجود به IP Address درون WAN و فراهم کردن اطلاعاتی در مورد نحوه دسترسی به آنها را دارد. برای انتقال بسته ها درون شبکه WAN ، ابتدا باید OMP Route، برای مشخص شدن دستگاه مقصد، و سپس TLOC Route، برای ایجاد تونل IPSec برروی لینک ها، بررسی شود. در آخر میتوان بر اساس نوع سرویس های موجود در نقاط مختلف شبکه SD-WAN، مسیریابی های مختلفی (Service Route) اختصاص داد.

 

برای کسب اطلاعات بیش تر در خصوص لایسنس سیسکو اینجا کلیک کنید

ساختار Data Plane Cisco SD-WAN

ساختار Data Plane شبکه SD-WAN کاملا بر اساس VPN و VRFها است. VRF و یا Virtual Routing Forwarding یک سیستم منطقی برای جداسازی Routing Table میباشد. در تجهیزات SD-WAN تمامی اینترفیس ها درون VPN ها بمنظور قسمت بندی (Segmentation)، در سطح تجهیزات و شبکه، تعریف میگردند. تنها تفاوت موجود بین VRF و VPN در این ساختار این است که نام VPN نمیتواند کلمه باشد و تنها بصورت عددی معرفی میگردد.

در این شیوه VPN512 به منظور اعمال تنظیمات ( Out-of-band-Management VPN) و VPN0 و یا Transport VPN برای ایجاد تونل IPSec بکار گرفته شده و برروی تمامی اینترفیس ها موجود میباشد. استفاده دیگر VPN0 برای ایجاد ارتباطات مدیریتی با کنترلرها، مانند VPN512، است. مابقی VPNها بعنوان Service VPN و بمنظور انتقال امن سرویس های شبکه داخلی برروی Overlay و بواسطه IPSec  کاربرد دارد. در واقع این طراحی جدید موجب میشود تا با استفاده از تگ های VPN، از ایجاد تونل های متعدد برروی شبکه WAN جلوگیری شود و تمامی ارتباطات با استفاده از یک تونل واحد برقرار گردد.

همچنین در طراحی SD-WAN بازای هر تونل IPSec یک Bidirectional Forwarding Detection (BFD) موجود است که  مسئول بررسی وجود داشتن (liveliness) و چگونگی کیفیت ارتباطات بین vEdge ها میباشد و شاخص های مختلفی را از قبیل Up/Down ، loss/jitter ، IPSec tunnel MTU را بررسی مینماید.

ساختار Multi-Topology در SD-WAN

در SD-WAN هر VPN ساختار و توپولوژی منحصر به خود را دارا میباشد و Routing Table درون هر vEdge براساس VPN ها مجزا میشوند. این ویژگی موجب قدرت گرفتن سیاست ها کنترلی میشوند و اپلیکیشن ها میتوانند بهترین، کوتاه ترین و باکیفیت ترین مسیر را انتخاب نمایند. برای مثال صداها ( Voice ) میتوانند از توپولوژی فول مش برای انتقال سریع تر بهره ببرند در حالی که PCI Data از توپولوژی hub-and-spoke استفاده نماید.

ساختار فابریک SD-WAN سیسکو
ساختار فابریک SD-WAN سیسکو

 

پشتیبانی از High Availability و Redundancy

تمامی تجهیزات و کنترلرهای شبکه Cisco SD-WAN، به منظور فراهم اوردن اطمینان خاطر مدیران شبکه، از HA پشتیبانی میکنند. مدیران و طراحان شبکه SD-WAN میتوانند با بهره گیری از چندین vSmart، اعمال سیاست های خود را مدیریت و همچنین به منظور قابل اطمینان شدن هرچه بیشتر شبکه، از دو vBond استفاده نمایند.

لازم بذکر است در این حالت، برای معرفی vBondها به vSmart و vEdgeها، باید آدرس DNS سرور شبکه اعلام گردد و سپس IP تنظیم شده برای vBondها در آن تعریف و ترجمه ( Resolve ) گردد. علاوه بر موارد بالا، برای مدیریت پایدار شبکه SD-WAN، مدیران میتوانند از حداقل سه vManage برای هر Domain و بصورت Cluster بهره ببرند.

در این حالت هر vManage توانایی مدیریت کردن تا 2000 پلتفرم را دارا میباشد و بصورت Active-Active و با استفاده از Load-Balancing پلتفرم ها و کنترلرها را مدیریت میکند.  در آخر، تمامی پلتفرم های لبه شبکه (vEdge یا cEdgeها ) نیز میتوانند بصورت Redundant راه اندازی گردند و همچنین با بکارگیری قابلیت BFD که پیشتر توضیح داده شد، از صحت لینک های ارتباطی خود اطمینان پیدا کرده و بهترین مسیر را برای ارسال داده ها انتخاب کنند.

 

پشتیبانی ازConfiguration Template

استفاده از قالب های آماده و پیش فرض درون پنل مدیریتی vManage این امکان را برای مدیران شبکه فراهم میکند تا اقدام به راه اندازی تمامی تجهیزات جدید خود در کمترین زمان و در بهینه ترین حالت نمایند. مدیران میتوانند بر اساس نوع پلتفرم های مورد استفاده، ورژن نرم افزار و سیستم عامل آنها تنظیمات پیش فرضی را تهیه کنند تا بصورت اتومات برروی آنها اعمال شده و این تجهیزات را با استانداردهای موردنظر آنها در Overlay خود رجیستر نمایند. همچنین میتوان این Template ها را به همراه لایسنس SD-WAN محصول برروی فایل Bootstrap را برروی حافظه پلتفرم قرار داد تا آن پس از قرارگرفتن در حالت کنترلر بصورت خودکار درون Overlay شبکه SD-WAN رجیستر شوند.

جهت اطلاع بیشتر درباره ی پیاده سازی SD-WAN سیسکو اینجا کلیک کنید