1- مقدمه

حتما تا الان در خصوص تکنولوژی SDN مطالبی را شنیده­‌اید. تکنولوژی ­SDN با هدف خودکارسازی، ساده‌­سازی و هوشمند­سازی در زمینه پیاده­‌‌سازی و مدیریت شبکه بر مبنای نرم‌افزار به وجود آمده است. SDN برای رسیدن به این اهداف، شبکه را به plane­های Data ،Control و Management تقسیم کرد، درست مانند یک روتر سخت‌افزاری، اما اینبار در ابعاد گسترده. این تکنولوژی معرف راهکار­ در شاخه­‌های مرکز ­داده ( تکنولوژی ACI )، شبکه گسترده ( تکنولوژی SD-WAN ) و شبکه محلی ( تکنولوژی SD-Access) می­‌باشد. در این مقاله به معرفی راهکار SDN در شاخه شبکه­‌های محلی یعنی SD-Access  یا همان Software-Defined Access خواهیم پرداخت.

2- شبکه­‌های محلی سنتی

برای آنکه به معرفی راهکار سیسکو SD-Access بپردازیم، ابتدا لازم است تا چالش­‌های شبکه­‌های محلی سنتی را مورد بررسی قرار دهیم تا مشخص گردد SD-Access قرار است چه چالش‌هایی را از پیش‌رو بردارد. بطور خلاصه این چالش­‌ها عبارتند از:

• چالش امنیت شبکه

• چالش پیاده­‌سازی شبکه

• چالش مدیریت شبکه­‌های سیمی و بی‌سیم

• چالش عملیاتی شبکه

در شبکه­‌های محلی سنتی به منظور ایجاد امنیت از VLAN و ACL استفاده می‌شود. به این ترتیب به منظور ایجاد امنیت در ترافیک بین دو VLAN ( دو بازه متفاوت آدرس IP)، نیاز به ساخت لیست دسترسی برروی سوئیچ هسته شبکه می‌باشد. همچنین به منظور ساده‌سازی در پیاده­‌سازی ، لازم است تا VLAN­­های ایجاد شده در تمامی سوئیچ‌های شبکه پیکربندی شوند. این موضوع شامل سوئیچ­‌های لایه دسترسی که حتی پورت کاربردی در آن VLAN را ندارند نیز می­‌شود. به مرور زمان، گسترش و رشد شبکه موجب می­‌شود که لیست­‌های کنترلی ایجاد شده بعضا به هزاران خط برسند، دامنه VLAN و Spanning-Tree در شبکه، گسترده شده و در نتیجه با اضافه نمودن سوئیچ یا VLAN جدید، مدیریت و اعمال تغییرات در شبکه دشوار شود. در چالشی دیگر، شما به عنوان کارشناس شبکه می­‌بایست سیاست جدیدی برای کاربران خاص در شبکه پیاده سازی نمایید تا در هر جایی از شبکه قادر به ارتباط با بخشی از شبکه باشند که کاربران دیگر از این ارتباط محروم هستند. چالشی که بسیاری از سازمان‌­ها با آن برخورد داشته‌­اند، جدایی سیاست­‌های یک سازمان از آدرس IP و اعمال سیاست­‌ها به فرد می ­باشد.
از دیگر چالش‌های شبکه‌­های محلی سنتی، مدیریت شبکه­‌های سیمی و بیسیم می‌باشد. در این گونه شبکه‌ها به منظور مدیریت و ایجاد سیاست­‌ها در شبکه سیمی با سوئیچ‌های شبکه و در بخش بیسیم با کنترلر شبکه بیسیم سروکار دارید. در حقیقت عدم یکپارچگی در مدیریت و اعمال سیاست برای شبکه‌های سیمی و بیسیم، یکی از چالش‌های شبکه‌های محلی سنتی می‌­باشد.
در شبکه‌­های محلی سنتی، زمان زیادی از وقت کارشناسان شبکه به عیب‌­یابی سپری می‌شود. شما بعضا برای رفع مشکل ساده‌ی عدم ارتباط کاربران مجبور به بررسی کلیه سوئیچ‌های مسیر، جداول آدرس Mac و ARP و لیست­‌های کنترلی می‌شوید.

3- چرا سیسکو SD-Access ؟

تا این لحظه از چالش­‌های شبکه‌های سنتی صحبت کردیم، شاید برایتان سوال پیش آمده باشد که هم‌اکنون راهکارهایی برای تمامی این چالش­‌ها نیز وجود دارند، پس چرا از SD-Access استفاده کنیم؟ درست است که برای تمامی چالش‌های موجود راهکار مناسب وجود دارد اما سیسکو SD-Access به شما اجازه می­‌دهد تا تمامی راهکارها را ترکیب کرده و از یک نقطه مدیریت کنید. سیسکو SD-Access به شما این امکان را می‌دهد تا پیکربندی­‌ شبکه بصورت CLI و خودکار، اعمال سیاست­‌ها، مدیریت و پایش شبکه محلی سیمی و بیسیم خود را از طریق تنها یک پنل انجام دهید.
با سیسکو SD-Access شما می­ توانید چالش اعمال سیاست به فرد بجای آدرس IP را به راحتی با ایجاد تگ برای کاربران و سپس ایجاد یک سیاست ساده مبنی بر دسترسی یا عدم دسترسی تگ ­ها یا گروه تگ­‌ها به یکدیگر به اجرا درآورید، این اعمال سیاست می­ تواند در شبکه سیمی یا بیسیم به صورت خودکار پیاده­ سازی شود و شما می ­توانید از طریق پنل مدیریتی، زمان پایش و عیب‌یابی را به حداقل رسانده و حتی از پیشنهادات SD-Access برای رفع عیوب در شبکه بهره ببرید.
در یک جمع‌بندی مزایای استفاده از سیسکو SD-Access در شبکه محلی به شرح زیر می‌­باشند:

• ثبات و تمرکز در مدیریت و پیاده‌­سازی سیاست‌­های سازمان در شبکه‌­های سیمی و بیسیم

• ایجاد امنیت توسط خودکارسازی بخش‌­بندی و سیاست­‌های مبتنی بر گروه­‌ها در شبکه

• کاهش زمان و هزینه بابت گسترش، مدیریت و عیب‌­یابی شبکه

• رابط‌­های باز و قابل برنامه‌­ریزی جهت ادغام با راهکارهای third-party

4- سیسکو SD-Access چیست؟

راهکار دسترسی بر مبنای نرم‌­افزار شرکت سیسکو (سیسکو SD-Access یا همان Software-Defined Access) است که با استفاده از سیسکو DNA Center، اعمال سیاست­‌های هدفمند و اتوماسیون پیکربندی، دید کاملی را در Fabric Campus شبکه بیسیم و سیمی فراهم می­‌کند.

4-1- معماری راهکار سیسکو SD-Access

معماری سیسکو SD-Access از پنج لایه تشکیل شده است:

4-1-1- لایه فیزیکی:

شامل المان­‌های سخت‌افزاری شبکه مانند روتر، سوئیچ و پلتفرم‌های بیسیم به همراه نرم‌افزار­های آنها، اینترفیس و لینک‌های ارتباطی، سوئیچ‌­های مجازی یا کلاستر، سرورهای سخت‌افزاری و نرم‌­افزار­های آن‌ها می‌­باشد.

4-1-2- لایه شبکه:

شامل المان­‌های Control plane ،Data plane و Policy plane می‌­باشد که Underlay و Overlay  فابریک را تشکیل می‌دهند. 
Underlay شبکه شامل تنظیمات، پروتکل­ها و جداول تجهیزات سخت‌­افزاری هستند که یک لایه انتقال داده در زیر لایه Overlay فابریک را تشکیل می‌‌دهند. از طرفی Overlay فابریک شامل تنظیمات، پروتکل­‌های مربوط به forwarding و سیاست­‌گذاری و جداول تجهیزاتی هستند که یک لایه منطقی از سرویس‌ها را بر روی Underlay شبکه فراهم می­‌نمایند.

در واقع Underlay مشابه لایه دو و سه شبکه شما می­‌باشد که بیشترین ارتباط را با لایه فیزیکی داشته و متمرکز بر انتقال بسته‌های داده برای شبکه منطقی overlay می‌باشد. همچنین overlay فابریک، شبکه‌ای منطقی (چیزی مانند تونل ­های GRE تصور کنید) همراه با ارتباطات مجازی می­‌باشد که عملا کلیه تجهیزات شبکه را به هم متصل کرده ولی پیچیدگی­‌ها و محدودیت­‌های فیزیکی شبکه Underlay را ندارد. در نهایت هر دو زیرلایه با همکاری یکدیگر، انتقال داده در SD-Access را انجام می‌دهند. 

4-1-3- لایه کنترل:

شامل نرم‌­افزار مدیریت سیستم و زیرسیستم‌­های راهبری مانند اتوماسیون، احراز هویت و تجزیه و تحلیل می‌­باشد. در حقیقت مدیریت لایه شبکه بر عهده لایه کنترل می­‌باشد.

4-1-4- لایه مدیریت:

شامل المان­‌هایی می­‌شود که کاربر با آن در ارتباط است، محیط گرافیکی (GUI)، APIها و CLI­ها. این لایه متشکل از درگاه ارتباطی نرم‌افزار DNA Center سیسکو و زیر شاخه­‌های نرم‌­افزاری آن می‌­باشد.

4-1-5- اکوسیستم شریک (Partner ecosystem):

شامل کلیه سیستم‌­های شریک شرکت سیسکو و third-party­هایی است که قادر به افزایش خدمات و یا نفوذ در SD-Access می­‌باشند.

4-2- اجزای تشکیل‌دهنده سیسکو SD-Access

به طور کلی سیسکو SD-Access به سه بخش اصلی تقسیم می‌شود:

• فابریک شبکه شامل تجهیزاتی نظیر روتر، سوئیچ، کنترلر بیسیم و اکسس پوینت­‌ها که Control plane و Data plane شبکه را تشکیل می‌­دهند.

• سیسکو DNA Center

• سیستم احراز هویت سیسکو ISE

تجهیزات فابریک شبکه دو نقش اصلی را در SD-Access ایفا می­‌نمایند:

• سوئیچ­‌های Edge یا لبه: همانند سوئیچ­‌های لایه دسترسی بوده و کابران نهایی به آنها متصل می­‌شوند. از جمله سوئیچ‌هایی که می‌توانند در این بخش مورد استفاده قرار گیرند سوئیچ­‌های سری 9000، 3850 و 3650 (مدل نرم­‌افزاری تاثیر دارد) و سوئیچ­‌های سری 4500 می­‌باشند.

• سوئیچ­‌های و روترهای Border/Control: این سوئیچ­‌ها یا روترها وظیفه ردیابی کاربران نهایی در شبکه و برقراری مسیریابی و ارتباطات لایه سه به خارج از شبکه فابریک را بر عهده دارند. از مدل­‌های مورداستفاده در این بخش می­‌توان به موارد زیر اشاره کرد:

سوئیچ­ یا روترهای سری 9000، 3850، 6500 و 6800، نکسوس 7000، ISRهای سری 4300 و 4000، ASRهای سری1000-X و 1000-HX و CSRهای 1000v

• کنترلرهای بیسیم و اکسس پوینت­‌ها: کنترلرها شامل سری 9000، 3504، 5520 و 8540 بوده و اکسس پوینت‌­ها شامل سری­‌های 4800، 1700، 2700، 3700، 1540، 1560، 1800، 2800، 3800 و سری 9000 با قابلیت WiFi6 می­‌باشند.

لازم بذکر است که از مدل­‌های قابل پشتیبانی درSD-Access بصورت سری نام برده شده و برای اطلاع دقیق از مدل‌ها و نرم‌­افزارهایی که قابلیت پشتیبانی از سیسکو SD-Access را داشته باشند، به سایت سیسکو مراجعه فرمایید.
DNA Center وظیفه مدیریت فابریک در SD-Access را بر عهده دارد و شامل نرم­‌افزاری است که می‌­بایست برروی یک تجهیز فیزیکی DNA Center که بر مبنای یک سرور از سری UCS-C سیسکو می­‌باشد نصب گردد. لازم بذکر است که SD-Access یکی از برنامه­‌های کاربردی در DNA Center می‌باشد. DNA Center با توجه به ابعاد شبکه در سه سایز اولیه، متوسط و بزرگ قابل پیاده‌­سازی است که منابع سرور آن با توجه به سایز مورد نظر متفاوت خواهد بود.
 

در سیسکو SD-Access، راهکار احراز هویت کاربران، اعمال سیاست­‌ها بر مبنای کاربر و یا تجهیز، برعهده سیسکو ISE می‌­باشد. اعمال TAG و گروه‌های TAG با استفاده از TrustSec که بعدا در لیست­‌های دسترسی مبتنی بر سیاست­‌های TAG مورد استفاده قرار می­‌گیرند نیز بر عهده ISE می­‌باشد. سیسکو ISE می‌تواند بصورت نرم‌افزاری یا سخت­‌افزاری در شبکه پیاده­‌سازی شود.