Software-Defined Access و ظهور دورهای جدید در شبکه و اینترنت
لزوم توسعه ظرفیت شبکه برای واکنش سریع به نیازها و رشد برنامههای کاربردی، سازمانها را دائماً دچار چالش میکند.
از آنجا کهCampus LAN مکانی است که افراد و تجهیزات از آن برای دسترسی به برنامههای کاربردی استفاده میکنند، قابلیتهای LAN سیمی و بیسیم باید گسترش یابد تا بتواند از این نیازهای متغیر، پشتیبانی کند. اینجاست که نیاز به دسترسی نرمافزار محور (Software-Define Access) احساس میشود.
SD-Accessیا Software-Defined Accessدر واقع دسترسی نرمافزار محور است که حاصل تکاملِ طراحیهای قدیمی Campus LAN به شبکههایی است که به صورت مستقیم تصمیمات سازمان را اجرا میکنند.
SD-Access سیسکو مجهز به مجموعه برنامههای کاربردی است که به عنوان بخشی از نرمافزار Cisco Center DNA برای طراحی، آمادهسازی، اعمال Policy و تسهیل در ایجاد یک Campus هوشمند شبکه سیمی و بیسیم اجرا میشود.
برای درک چیستی و چرایی استفاده از SD-Access ، با «بهروز همتی» کارشناس امنیت شرکت آلیاسیس ارتباط گفتوگو کردیم تا توضیحات مبسوطی مربوط به SD-Access، نحوه پیادهسازی این راهکار سیسکو و کاربرد آن در سازمانها یا صنایع مختلف کشور را از زبان این کارشناس شبکه سیسکو بشنویم.
SD-Access چیست و چه نیازی به راهاندازی آن وجود دارد؟
در ابتدا لازم است کلیت SD-Access را توضیح دهیم. سیسکو در واقع از حالت command-line interface (CLI) برای اینکه بتواند همه چیز را متمرکز کرده و به سمت graphical user interface (GUI) ببرد، از پلتفرمهای مختلف (مثل SD-Access , SD-WAN , ACI و…) در حوزههای مختلف استفاده کرده است.
SD-Access میتواند تمامی commandهایی که تا به حال به صورت دستوری روی یک سوئیچ یا روتر وارد میشد را متمرکز کرده و از طریق کلیک روی یک feature ، به CLI تبدیل کرده و وارد دستگاه کند. علاوه بر این، تمام پلتفرمهای داخل شبکه را به صورت مرکزی در اختیار میگیرد تا توسط این سرور، اتوماسیون، پیکربندی و دیگر فعالیتها انجام شود.
از طریق SD-Access امور مربوط به پیکربندی، آپدیت کردن نرمافزارها، ارتقای نرمافزارها و… بسیار متمرکزتر و راحتتر انجام خواهد شد.
همچنین رابطه میان دستگاههای یک شبکه، بسیار سادهتر قابل مدیریت خواهد بود.
از طریق SD-Access مانیتورینگ تمامی دستگاههای شبکه نیز امکانپذیر خواهد بود تا بتوان بخشهای نرمافزاری و سختافزاری کل شبکه را عیبیابی (troubleshooting) کرد.
برخی از فیچرهای روی SD-Access نیز این امکان را در اختیار کاربر قرار میدهد تا بتواند از طریق این نرمافزار، عیبیابی کرده و درنهایت مشکل را رفع کند.
پیادهسازی این راهکار سیسکو، به چه نوع سازمانها یا صنایعی در کشور پیشنهاد میشود؟
به هر سازمان یا صنایعی که Campus LAN خود را دارد و از طریق شبکه محلی خود به کاربران سرویس میدهد و مخصوصاً در حال حاضر از تجهیزات سیسکو استفاده میکند، پیشنهاد میشود از تکنولوژی SD-Access بهره ببرد.
دلیل این است که در چند سال آینده این تکنولوژی از طریق سیسکو بومی میشود و تمامی دیوایسهایی که در حال حاضر مورد استفاده هستند، احتمال دارد غیرقابل فروش یا غیر قابل استفاده شود.
بنابراین هم از لحاظ سختافزار، هم لایسنس و هم تکنولوژی، سیسکو در مسیر متمرکز شدن روی این پلتفرمها و سرویسها حرکت میکند.
به طور کلی بانکها، ارگانهای کوچک و بزرگ، سازمانهایی که خواهان تکنولوژی و امنیت بالا هستند، سازمانهایی که نیازمند مدیریت تعداد زیاد کاربران خود هستند و… میتوانند از SD-Access برای دستیابی به اهداف خود استفاده کنند.
آیا ابزاری برای مدیریت SD-Access وجود دارد؟
بله. Cisco SD-Access از طریق DNA Center مدیریت میشود. در واقع DNA Center داشبورد مدیریتی متمرکزی را فراهم میکند تا از طریق آن بتوان مدیریت شبکه را انجام داد.
این مدیریت شامل تنظیمات تمامی دستگاههای زیرساخت شبکه (روتر، سوئیچ، WLC وISE ) است.
از طریق Discovery، سختافزارها شناسایی میشوند. Discovery میتواند براساس پروتکل CDP و یا تعریف Range و یا حتی یک IP خاص انجام شود.
همچنین سرور DNA به ما این اجازه را میدهد که از طریق Import کردن IPهای سختافزارها یک فایل به صورت Template در اختیار ما قرار گیرد.
سختافزارها را همانند Template موجود تعریف کرده و آنها را داخل DNA Center وارد کنیم.
پروتکلهایی که سرور DNA از طریق آنها میتواند به سخت افزارها Login کند، شامل SSH, SNMP و HTTP است.

SD-Access چیست
منظور از Network Policy در SD-Access چیست ؟
مجموعهای از قوانین است که توسط آن میتوانیم Authentication, Authorization و دسترسی به منابع را مشخص کنیم.
پلتفرم مطرحی که در DNA وجود دارد و به عنوان یک Plan به نام Policy Plan استفاده میشود، سرور ISE شرکت سیسکو است که با ادغام با سرور DNA میتواند به منظور دستهبندی و گروهبندی کاربران و همچنین اختصاص دسترسیها براساس نیاز کاربران، Policyهای متفاوتی بر اساس Security Group Tag (SGT) ایجاد کند.
سرور ISE به هر گروه یک TAG اختصاص میدهد و بر اساس آن TAG کاربران در گروه شناخته میشوند.
دستهبندیهای سختافزاری در زیرساخت به چه شکل است؟
بر اساس طراحی زیرساخت در ساختار SD-Access چهار دستهبندی وجود دارد:
۱٫ Edge Node : در لایه Access سوئیچهایی وجود دارد که Endpointهایی نظیر کلاینتها، تلفنها و Access Pointها متصل هستند. در ساختار SD-Access به این سوئیچها Edge Node گفته میشود.
۲٫ Intermediate Node : در ساختار SD-Access تجهیزاتی در لایه سوم قرار دارد که وظیفه آنها برقراری ارتباط میان Fabric Componentهاست.
مانند برقرای ارتباط بین Edge Node و Border Node .
۳٫ Control Plane Node : ساختار متفاوتی در SD-Access ایجاد شده و در لایه Access توسط Edge Nodeها عمل Routing شکل میگیرد.
به همین دلیل یک Node به عنوان یک Database باید از سراسر شبکه اطلاعات جامعی داشته باشد که MAP-Server نامیده میشود و عمل MAP Resolver را انجام میدهد.
به این معنا که زمانی که Edge Node درخواستی میدهد، این درخواست به سمت Control Plane Node رفته و در آنجا پاسخ داده میشود.
۴٫ Border Node : Border Node به منظور ارتباط بین تجهیزات Fabric Border و تجهیرات خارج از SD-Access استفاده میشود.
در واقع این تجهیز به عنوان Gateway در شبکه قرار دارد. ترافیکهای داخل به خارج شبکه و بالعکس توسط Fabric Border انجام میشود.

در واقع مرز بین Fabric Network و Non Fabric Network توسط Fabric Border شناسایی میشود.
مفهوم Fabric in a Box چیست؟
در شبکههایی که ساختار و مقیاس بزرگی ندارند و لزومی برای قرار دادن تجهیزات مجزا برای هرکدام از Fabric Roleها نیست، از یک دستگاه به عنوان Fabric in a Box استفاده میشود که نقشهای EdgeNode Control Plane Node, و Border Node را برعهده میگیرد.
همانطور که پیش از این گفته شد؛ Fabric Network شاملRoleهای متفاوتی است که هرکدام وظایفی برعهده دارند اما در شبکههای کوچکی که تعداد کاربران زیاد نیست و همینطور با هدف کاهش هزینهها، از یک دستگاه برای تمامی Roleها استفاده میشود.
به نظر شما چه دلایلی برای اعتماد بازار به اجرا یا بهروزرسانی این محصول از سوی شرکت آلیاسیس وجود دارد؟
علاوه بر کادر مجرب شرکت آلیاسیس و پشتکار همکاران در یادگیری تکنولوژیهای جدید و پیاده سازی آنها در سازمانهای بزرگ و کوچک، موفقیتهایی که گروه آلیاسیس در این حوزه در طول سالیان به دست آورده، موجب رضایت و اعتماد کارفرمایان شده است.
با توجه به اینکه SD-Access پلتفرم جدیدی است، کارفرمایان با اتکا به سوابق ارزنده آلیاسیس، بهش راحتی میتوانند به این شرکت و تیم مجرب آن اعتماد کرده و پیادهسازی SD-Access در سازمان خود را به این شرکت محول کنند.