SD-Access و ظهور دوره ای جدید در شبکه و اینترنت

Software-Defined Access و ظهور دوره‌ای جدید در شبکه و اینترنت

لزوم توسعه ظرفیت شبکه‌ برای واکنش سریع به نیازها و رشد برنامه‌‌های کاربردی، سازمان‌ها را دائماً دچار چالش می‌کند.

از آنجا کهCampus LAN مکانی است که افراد و تجهیزات از آن برای دسترسی به برنامه‌های کاربردی استفاده می‌کنند، قابلیت‌های LAN سیمی و بی‌سیم باید گسترش یابد تا بتواند از این نیازهای متغیر، پشتیبانی کند. اینجاست که نیاز به دسترسی نرم‌افزار محور (Software-Define Access) احساس می‌شود.

SD-Accessیا Software-Defined Accessدر واقع دسترسی نرم‌افزار محور است که حاصل تکاملِ طراحی‌های قدیمی Campus LAN به شبکه‌هایی است که به صورت مستقیم تصمیمات سازمان را اجرا می‌کنند.

SD-Access سیسکو مجهز به مجموعه برنامه‌های کاربردی است که به عنوان بخشی از نرم‌افزار Cisco Center DNA برای طراحی، آماده‌سازی، اعمال Policy و تسهیل در ایجاد یک Campus هوشمند شبکه‌ سیمی و بی‌سیم اجرا می‌شود.

برای درک چیستی و چرایی استفاده از SD-Access ، با «بهروز همتی» کارشناس امنیت شرکت آلیاسیس ارتباط گفت‌وگو کردیم تا توضیحات مبسوطی مربوط به SD-Access، نحوه پیاده‌سازی این راهکار سیسکو و کاربرد آن در سازمان‌ها یا صنایع مختلف کشور را از زبان این کارشناس شبکه سیسکو بشنویم.

SD-Access چیست و چه نیازی به راه‌اندازی آن وجود دارد؟

در ابتدا لازم است کلیت SD-Access را توضیح دهیم. سیسکو در واقع از حالت command-line interface (CLI) برای اینکه بتواند همه چیز را متمرکز کرده و به سمت graphical user interface (GUI) ببرد، از پلتفرم‌های مختلف (مثل SD-Access , SD-WAN , ACI و…) در حوزه‌های مختلف استفاده کرده است.

SD-Access می‌تواند تمامی commandهایی که تا به حال به صورت دستوری روی یک سوئیچ یا روتر وارد می‌شد را متمرکز کرده و از طریق کلیک روی یک feature ، به CLI تبدیل کرده و وارد دستگاه کند. علاوه بر این، تمام پلتفرم‌های داخل شبکه را به صورت مرکزی در اختیار می‌گیرد تا توسط این سرور، اتوماسیون، پیکربندی و دیگر فعالیت‌ها انجام شود.

از طریق SD-Access امور مربوط به پیکربندی، آپدیت کردن نرم‌افزارها، ارتقای نرم‌افزارها و… بسیار متمرکزتر و راحت‌تر انجام خواهد شد.

همچنین رابطه‌ میان دستگاه‌های یک شبکه، بسیار ساده‌تر قابل مدیریت خواهد بود.

از طریق SD-Access مانیتورینگ تمامی دستگاه‌های شبکه نیز امکان‌پذیر خواهد بود تا بتوان بخش‌های نرم‌افزاری و سخت‌افزاری کل شبکه را عیب‌یابی (troubleshooting) کرد.

برخی از فیچرهای روی SD-Access نیز این امکان را در اختیار کاربر قرار می‌دهد تا بتواند از طریق این نرم‌افزار، عیب‌یابی کرده و درنهایت مشکل را رفع کند.

پیاده‌سازی این راهکار سیسکو، به چه نوع سازمان‌ها یا صنایعی در کشور پیشنهاد می‌شود؟

به هر سازمان یا صنایعی که Campus LAN خود را دارد و از طریق شبکه محلی خود به کاربران سرویس می‌دهد و مخصوصاً در حال حاضر از تجهیزات سیسکو استفاده می‌کند، پیشنهاد می‌شود از تکنولوژی SD-Access بهره ببرد.

دلیل این است که در چند سال آینده این تکنولوژی از طریق سیسکو بومی می‌شود و تمامی دیوایس‌هایی که در حال حاضر مورد استفاده هستند، احتمال دارد غیرقابل فروش یا غیر قابل استفاده شود.

بنابراین هم از لحاظ سخت‌افزار، هم لایسنس و هم تکنولوژی، سیسکو در مسیر متمرکز شدن روی این پلتفرم‌ها و سرویس‌ها حرکت می‌کند.

به طور کلی بانک‌ها، ارگان‌های کوچک و بزرگ، سازمان‌هایی که خواهان تکنولوژی و امنیت بالا هستند، سازمان‌هایی که نیازمند مدیریت تعداد زیاد کاربران خود هستند و… می‌توانند از SD-Access برای دستیابی به اهداف خود استفاده کنند.

آیا ابزاری برای مدیریت SD-Access وجود دارد؟

بله. Cisco SD-Access از طریق DNA Center مدیریت می‌شود. در واقع DNA Center داشبورد مدیریتی متمرکزی را فراهم می‌کند تا از طریق آن بتوان مدیریت شبکه را انجام داد.

این مدیریت شامل تنظیمات تمامی دستگاه‌های زیرساخت شبکه (روتر، سوئیچ، WLC وISE ) است.

از طریق Discovery، سخت‌افزارها شناسایی می‌شوند. Discovery می‌تواند براساس پروتکل CDP و یا تعریف Range و یا حتی یک IP خاص انجام شود.

همچنین سرور DNA به ما این اجازه را می‌دهد که از طریق Import کردن IP‌های سخت‌افزار‌ها یک فایل به صورت Template در اختیار ما قرار گیرد.

سخت‌افزار‌ها را همانند Template موجود تعریف کرده و آنها را داخل DNA Center وارد کنیم.

پروتکل‌هایی که سرور DNA از طریق آنها می‌تواند به سخت افزارها Login کند، شامل SSH, SNMP و HTTP است.

SD-Access چیست

منظور از Network Policy در SD-Access چیست ؟

مجموعه‌ای از قوانین است که توسط آن می‌توانیم Authentication, Authorization و دسترسی به منابع را مشخص کنیم.

پلتفرم مطرحی که در DNA وجود دارد و به عنوان یک Plan به نام Policy Plan استفاده می‌شود، سرور ISE شرکت سیسکو است که با ادغام با سرور DNA می‌تواند به منظور دسته‌بندی و گروه‌بندی کاربران و همچنین اختصاص دسترسی‌ها براساس نیاز کاربران، Policy‌های متفاوتی بر اساس Security Group Tag (SGT) ایجاد کند.

سرور ISE به هر گروه یک TAG اختصاص می‌دهد و بر اساس آن TAG کاربران در گروه شناخته می‌شوند.

دسته‌بندی‌های سخت‌افزاری در زیرساخت به چه شکل است؟

بر اساس طراحی زیرساخت در ساختار SD-Access چهار دسته‌بندی وجود دارد:

۱٫ Edge Node : در لایه Access سوئیچ‌هایی وجود دارد که Endpoint‌هایی نظیر کلاینت‌ها، تلفن‌ها و Access Point‌ها متصل هستند. در ساختار SD-Access به این سوئیچ‌ها Edge Node گفته می‌شود.

۲٫ Intermediate Node : در ساختار SD-Access تجهیزاتی در لایه سوم قرار دارد که وظیفه آنها برقراری ارتباط میان Fabric Component‌هاست.

مانند برقرای ارتباط بین Edge Node و Border Node .

۳٫ Control Plane Node : ساختار متفاوتی در SD-Access ایجاد شده و در لایه Access توسط Edge Node‌ها عمل Routing شکل می‌گیرد.

به همین دلیل یک Node به عنوان یک Database باید از سراسر شبکه اطلاعات جامعی داشته باشد که MAP-Server نامیده می‌شود و عمل MAP Resolver را انجام می‌دهد.

به این معنا که زمانی که Edge Node درخواستی می‌دهد، این درخواست به سمت Control Plane Node رفته و در آنجا پاسخ داده می‌شود.

۴٫ Border Node : Border Node به منظور ارتباط بین تجهیزات Fabric Border و تجهیرات خارج از SD-Access استفاده می‌شود.

در واقع این تجهیز به عنوان Gateway در شبکه قرار دارد. ترافیک‌های داخل به خارج شبکه و بالعکس توسط Fabric Border انجام می‌شود.

در واقع مرز بین Fabric Network و Non Fabric Network توسط Fabric Border شناسایی می‌شود.

مفهوم Fabric in a Box چیست؟

در شبکه‌هایی که ساختار و مقیاس بزرگی ندارند و لزومی برای قرار دادن تجهیزات مجزا برای هرکدام از Fabric Role‌ها نیست، از یک دستگاه به عنوان Fabric in a Box استفاده می‌شود که نقش‌های EdgeNode Control Plane Node, و Border Node را برعهده می‌گیرد.

همانطور که پیش از این گفته شد؛ Fabric Network شاملRole‌های متفاوتی است که هرکدام وظایفی برعهده دارند اما در شبکه‌های کوچکی که تعداد کاربران زیاد نیست و همینطور با هدف کاهش هزینه‌ها، از یک دستگاه برای تمامی Role‌ها استفاده می‌شود.

به نظر شما چه دلایلی برای اعتماد بازار به اجرا یا به‌روزرسانی این محصول از سوی شرکت آلیاسیس وجود دارد؟

علاوه بر کادر مجرب شرکت آلیاسیس و پشتکار همکاران در یادگیری تکنولوژی‌های جدید و پیاده سازی آنها در سازمان‌های بزرگ و کوچک، موفقیت‌هایی که گروه آلیاسیس در این حوزه در طول سالیان به دست آورده، موجب رضایت و اعتماد کارفرمایان شده است.

با توجه به اینکه SD-Access پلتفرم جدیدی است، کارفرمایان با اتکا به سوابق ارزنده آلیاسیس، بهش راحتی می‌توانند به این شرکت و تیم مجرب آن اعتماد کرده و پیاده‌سازی SD-Access در سازمان خود را به این شرکت محول کنند.