بررسی معماری و کامپوننت های راهکار Cisco SD-WAN

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

بررسی معماری و کامپوننت های راهکار Cisco SD-WAN

برای سال های متمادی بسیاری از شرکت ها و سازمان های بزرگ که دارای branchهای زیادی در سطح یک شهر یا شهرهای مختلف بودند شبکه گسترده یا Wide Area Network – WAN خود را مبتنی بر راهکارهایی همچون MPLS و یا در سال های گذشته شبکه های 4G/LTE پیاده سازی کرده بودند. هر چند اغلب شبکه های WAN مبتنی بر پروتکل MPLS یا Multiprotocol Label Switching بودند که پروتکلی برای کنترل ترافیک شبکه بوده که برای این منظور از یکسری سوئیچ های خاص بهره در یک MPLS Provider بهره می برد و با تگ زدن بر روی جریان های ترافیکی آنها را بین branchهای یک سازمان منتقل می کند.

SD WAN

شکل 1 نمایی از یک شبکه WAN سنتی مبتنی بر MPLS

پروتکل MPLS که یک پروتکل لایه 2.5 محسوب می شود قادر است از طریق مدارهای MPLS و مسیرهای از پیش تعریف شده ترافیک Real-Time شبکه همچون ترافیک های ویدئویی و یا صوتی را منتقل کند.

بسیاری از سازمان هایی که دارای شبکه های گسترده و توزیع شده ای بوده و شامل تعداد branchهای زیاد هستند، از جمله: بانک ها، اپراتورهای تلفن همراه، ISPها و... معمولاً از شبکه MPLS برای برقراری ارتباط بین شعب خود در یک شبکه WAN سود می برند. اما سرویس MPLS نیز مانند هر تکنولوژی دیگری دارای مزایا و معایبی است:

مزایای MPLS

📌 استفاده از قابلیت Packet Forwarding ساده

📌 قابلیت مقیاس پذیری یا Scalability

📌 قابلیت استفاده از Traffic Engineering

📌 قابلیت استفاده از مسیریابی مبتنی بر QoS

📌 پشتیبانی از فناوری های لایه 2 همچون ATM و Frame Relay

📌 امکان مدیریت ترافیک با توجه به قابلیت label زنی پکت ها در header آنها

📌 استفاده از مسیریابی Explicit به جای مسیریابی Hop by Hop

📌 پشتیبانی از ترافیک های Unicast و Multicast

📌 استفاده از قابلیت Aggregate Forwarding در تجمیع داده ها

📌 و...

معایب MPLS

📌 هزینه بالایی که سرویس MPLS به ازای پهنای باند مصرفی و یا افزایش پهنای باند توسط بر دوش شرکت های استفاده کننده از تکنولوژی MPLS دارد.

📌 وابستگی به سرویس دهنده MPLS Provider که موجب کاهش پویایی شبکه WAN می شود.

📌 افزایش تعداد شعب و branch که باعث گسترده تر شدن شبکه MPLS و در نتیجه پیچیده تر شدن شبکه می شود.

📌 امکان ارائه سرویس های Cloud Computing بر که شبکه WAN را با چالش مواجه می کند.

📌 و...

تکنولوژی SD-WAN چیست؟

امروز با گسترش تجهیزات موبایل، ترافیک تجهیزات Internet-of-Things یا به اختصار IoT، اپلیکیشن های SaaS، سرویس های Cloud و ایجاد زیرساخت های IaaS و PaaS و... همچون Amazon AWS، Google Cloud، Microsoft Azure و... نیاز به امنیت افزایش پیاده کرده تا حدی که امنیت تجهیزات IoT به یکی از چالش های پیش روی متخصصین امنیت تبدیل شده و از طرفی ارائه شده سرویس های Cloud توسط CSPها نیز باعث شده تا شبکه های پیچیده تر شوند. این گستردگی و پیچیدگی روز به روز افزایش پیدا کرده تا حدی که مدیریت شبکه ها و زیرساخت ها را برای ادمین ها و مدیران شبکه ها سخت تر می کنند. با ظهور فناوری Software Defined Network یا SDN بسیاری از این پیچیدگی ها در سطح شبکه های دیتاسنترها با ارائه راهکاری همچون Cisco ACI (یا همان Cisco DNA) و در شبکه های LAN با ارائه راهکارهایی همچون Cisco SD-Access کاهش چشمگیری پیدا کرد.

SD WAN1

شکل 2

با انتقال برنامه‌های کاربردی به ‌Cloud، افزایش جابه‌جایی کارکنان و اضافه شدن تعداد بسیار زیادی از تجهیزات IoT به شبکه، مدیریت شبکه‌ها نیز پیچیده‌تر می‌شود. این مسأله سازمان‌های مختلف را بر آن می ‌دارد تا نحوه‌ اتصال شعب خود را بهبود بخشند و به استفاده از راهکارهای SD-WAN روی آورند تا به این وسیله بتوانند علاوه بر تسهیل شیوه‌های مدیریت WAN و تنظیم پیاده ‌سازی‌های آن، دسترسی مقرون‌ به ‌صرفه ‌تری نیز به Cloud و شبکه ‌های سازمانی خود ایجاد کنند.

اما در سال های اخیر، در شبکه WAN نیز راهکارهای SD-WAN یا Software Defined in WAN مختلفی ارائه شده اند که باعث تزریق تکنولوژی SDN در شبکه های WAN شده اند. شرکت های مختلفی سعی کرده اند تا در حوزه SD-WAN محصولاتی را ارائه دهند یا این قابلیت را بر روی محصولات پیشین خود به نوعی پیاده سازی نمایند که از جمله این شرکت های مطرح می توان به: شرکت Silver Peak، VMware، Fortinet، Citrix و... اشاره نمود.

چرا باید از SD-WAN استفاده کنیم؟

معماری SD-WAN دارای مزایای زیادی به نسبت شبکه های Traditional WAN یا WANهای سنتی است که لیستی از آنها در جدول زیر آورده شده است. از جمله بعضی از این مزایا می توان به: پشتیبانی از اپلیکیشن ها SaaS، زیرساخت ابری Hybrid Cloud و Multi-Cloud، کاهش زمان provisioning و پیکربندی اتوماتیک از طریق مکانیزمی به نام ZTP (پروسه ای به نام ZTP که در ادامه مقاله به آن خواهیم پرداخت)، ارائه Visibility بیشتر بر روی شبکه های WAN تا نقاط پایانی شبکه WAN و... اشاره نمود.

جدول 1 مقایسه WAN سنتی با SD-WAN

معماری SD-WAN به شرکت ها و سازمان این امکان را می دهد تا علاوه بر اتصالات سنتی موجود، از اتصال اینترنتی برای شبکه گسترده استفاده نموده و از طریق مسیریابی هوشمند، استفاده از این شبکه را بهینه نمایند. SD-WAN نه تنها عملکردهای مربوط به اتصالات معمول شبکه گسترده را انجام می‌دهد، بلکه انتقال امن سرویس‌های برنامه‌های کاربردی را با کارآمدترین روش تضمین می‌نماید. این فناوری به عنوان یک پوشش (Overlay) مجازی به شما این امکان را می‌دهد تا الگوهای مسیریابی را از طریق تنها یک داشبورد تعریف و به صورت خودکار عملیاتی نمایید.

شکل 3 معماری SD-WAN به عنوان یک شبکه Overlay عمل می کند.

اما SD-WAN انعطاف‌پذیری بیشتری به نسبت یک WAN سنتی به مشتریان می‌دهد. اکنون می‌توانید بسته به اولویت‌های کاری و نیازهای پهنای باند و همچنین برنامه‌های مهم کسب و کار، مسیرهای مسیریابی خود را بهینه کنید. SD-WAN کنترل را برای مشتری و شبکه گسترده را برای مدیریت ساده ‌تر می‌کند. سازگاری SD-WAN به معنای مهاجرت از MPLS یا 4G/LTE نمی‌باشد بلکه این بسترها در لایه زیرین یا Underlay شبکه SD-WAN قرار خواهند گرفت. شما می‌توانید ساختار کلاسیک شبکه گسترده برای برنامه‌های کاربردی مهم و تجاری سازمان را از طریق MPLS-VPN حفظ کرده و سپس مابقی ترافیک شبکه سازمان را از طریق اینترنت هدایت کنید تا هزینه‌ها کاهش یابند. در مقایسه SD-WAN و MPLS می­ توان اشاره نمود که: شبکه SD-WAN امنیت را افزایش داده، زمان پروسه Provisioning و همچنین پیکربندی تجهیزات را کمتر کرده، هزینه ها را کاهش داده و قابلیت های بیشتری که برای شما فراهم خواهد کرد.

جدول 2 مقایسه MPLS در مقابل SD-WAN

راهکار Viptela و SD-WAN به کمک Cisco آمد!!!

شرکت Cisco نیز برای اینکه در رقابت با سایر شرکت های تولید کننده محصولات SD-WAN قافله را به رقبا واگذار نکند، تقریباً در مورخ 1 آگوست 2017 اعلام کرد که شرکت Viptela را که یکی از شرکت های پیشرو در حوزه راهکارهای SD-WAN بود را خریده و به مالکیت خود در آورده است.

شرکت Cisco، اعلام کرد که شرکت Viptela با به کارگیری قابلیت‌های Cloud می‌تواند عملکرد و سادگی را در SD-WAN  متعلق به شرکت Cisco افزایش داده و به این ترتیب موجب توسعه‌ آن گردد.

شرکت Viptela یک راهکار خلاقانه برای SD-WAN ارائه کرده است که مدیریت شبکه را تسهیل و چابکی را افزایش داده و هزینه‌ های لازم برای مرتبط ساختن شبکه ‌های سازمانی پراکنده را کاهش می‌ دهد. این راهکار با استفاده از تکنولوژی Overlay‌ تنظیم می‌گردد و مدیریت شبکه، پیاده‌سازی و مدیریت SD-WAN را تسهیل می‌نماید. همچنین این رویکردِ Cloud-First، با معماری Digital Network Architecture یا به اختصار DNA شرکت Cisco در شبکه‌های خودکار مبتنی بر نرم‌افزار سازگار می‌باشد. بنابراین با توجه به اینکه شبکه‌های مبتنی بر نرم‌افزار‌ به صورت انعطاف‌پذیر، خودکار و Dynamic می‌باشند، سازگاری و همسویی Viptela با این انتقال یک مزیت به شمار می‌رود.

معاون ارشد مدیریت تجهیزات در شرکت Cisco (آقای Scott Harrell) معتقد است که Viptela یک تکنولوژی  Cloud-First‌ محسوب می‌شود که هدف آن سادگی و سهولت در پیاده‌سازی بوده و در عین حال مجموعه کاملی از قابلیت‌ها و مقیاس‌های گوناگون را نیز ارائه می‌کند. این خصوصیات را می‌توان از اصول مورد تقاضای مشتریان امروزی به شمار آورد. همچنین او وعده داده است که با ادغام این دو شرکت به زودی مجموعه‌ جامعی از راهکارهای ‌On-Premise، Hybrid‌ و SD-WAN مبتنی بر Cloud ارائه خواهد گردید.

این صحبت به حقیقت پیوست و Cisco توانست تا قابلیت‌های ‌SD-WAN، سرویس‌ها و پلتفرم‌های Routing پیشروی خود را با تکنولوژی‌های ‌Overlay، تنظیم (Orchestration) و مدیریت شبکه‌‌های Cloud First متعلق به Viptela ترکیب نموده و به این ترتیب حرکت به سمت نسل جدیدی از راهکارهای SD-WAN را سرعت بخشد و راهکار CD-WAN خود را ارائه دهد. با این حال شرکت Cisco به شیوه‌ معماری و عرضه‌ تجهیزات در Viptela متعهد خواهد بود و راهکارهای Meraki SD-WAN‌ و Cisco Intelligent WAN یا IWAN متعلق به خود را نیز حفظ  کرد. مزیت دیگر جذب Viptela توسط Cisco آن است که از انتقال راهبردی Cisco به راهکارهای نرم‌افزار‌محور حوزه SDN پشتیبانی می‌کند.

در نهایت نیز تیم مهندسان Viptela به تیم Routing شرکت Cisco در واحد Networking and Security Business به سرپرستی David Goeckler معاون ارشد این واحد پیوست. پس از پایان روند خرید این شرکت، تیم‌های‌ مهندسی Cisco و Viptela به همکاری نزدیکی برای ارتقای محصولات Cisco در حوزه ‌  SD-WANپرداختند  تا پشتیبانی مداوم از مشتریان را تضمین نمایند.

سهم بازار SD-WAN و جایگاه شرکت Cisco

تنها یک سال بعد از اینکه شرکت Cisco، شرکت Viptela را خرید، موسسه IDC در سال 2018 دو گزارش پژوهشی مهم در مورد بازار زیرساخت SD-WAN منتشر کرد. براساس پیش بینی IDC زیرساخت های SD-WAN، این بخش مهم از بازار شبکه های سازمانی، با رشد 30.8٪ سالانه از سال 2018 تا 2023 پیشرفت خواهد کرد تا به 5.25 میلیارد دلار برسد.

در واقع SD-WAN همچنان یکی از سریعترین بخش های رشد بازار زیرساخت شبکه است که توسط عوامل مختلفی هدایت می شود. اول اینکه WAN های سنتی به طور فزاینده ای نیازهای مشاغل مدرن دیجیتال امروزی را برآورده نمی کنند، به خصوص عدم پشتیبانی از اپلیکیشن های SaaS، Hybrid Cloudها و Multi-cloudها. دوم، شرکت ها علاقه مند به مدیریت آسان تر انواع اتصالات WAN برای بهبود عملکرد و تجربه end-user هستند.

بازار زیرساخت SD-WAN همچنان با رقم 64.9٪ افزایش در فروش در سال 2018 به 1.37 میلیارد دلار، روند رو به رشد دارد. IDC اعلام کرد که سیسکو بیشترین سهم بازار زیرساخت های SD-WAN را به کمک راه¬کارهای گسترده مسیریابی که در استقرار SD-WAN استفاده می شود، همچنین راه کار Meraki و پلتفرم مدیریتی SD-WAN خود توسط Viptela (که سیسکو در آگوست 2017 آن را خریده است)، در اختیار دارد. VMware با ارائه خدمات SD-WAN خود توسط VeloCloud (که در دسامبر 2017 خریداری کرده است) دومین بازار بزرگ را در بازار زیرساخت های SD-WAN به خود اختصاص داده است و پس از آن Silver Peak، Nokia-Nuage و Riverbed قرار دارند

شکل 4 سهم شرکت Cisco از بازار محصولات و راهکارهای SD-WAN در سال 2018

بررسی معماری راهکار Cisco SD-WAN

پس از اینکه Viptela به Cisco پیوست، مهندسین این دو محصولی را تحت عنوان Cisco SD-WAN ارائه نمودند. در این راهکار همچون سایر راهکارهای از 3 لایه اصلی استفاده می شود:

  1. لایه Data Plane: که شامل تجهیزات فیزیکی و مجازی همچون روترها و سوئیچ های در شبکه های WAN می باشد.
  2. لایه Control Plane: که شامل SDN Controller(ها)ست که می توانند به صورت ماشین های مجازی (VM) یا Containerها ارائه شوند.
  3. لایه Management Plane: که در واقع شامل یک Network Management Server یا به اختصار NMS است. سروری که وظیفه مدیریت، نظارت، پایش و... را در زیرساخت مبتنی بر SDN دارد.

و البته یک لایه چهارمی به نام:

  1. لایه Orchestration Plane: که بطور کلی وظیفه هماهنگی و اتوماسیون زیرساخت SD-WAN را برعهده دارد.

شکل 5 نمایی از معماری شبکه Cisco SD-WAN

لایه فوقانی (Overlay) و لایه زیرین (Underlay) در شبکه SD-WAN

لازم به ذکر است که معماری شبکه Cisco SD-WAN بطور کلی از دو شبکه یا بستر منطبق بر هم تشکیل شده است. چهار لایه ای که پیشتر عنوان شد همگی در واقع در لایه فوقانی یا Overlay در شبکه SD-WAN قرار دارند و یک شبکه گسترده مبتنی بر SDN را پیاده سازی و مدیریت می نمایند. اما شبکه SD-WAN دارای یک لایه زیرین یا Underlay نیز می باشد که در واقع همان شبکه های WAN سنتی همچون MPLS، 4G/LTE (و در آینده 5G/LTE) و شبکه اینترنت هستند که خود بر بستری از سخت افزارهای زیرساختی بنا نهاده شده اند.

کامپوننت های شبکه Cisco SD-WAN

همانطور که در تصویر معماری شبکه Cisco SD-WAN مشاهده می کنید، در هر لایه از 4 لایه Overlay، کامپوننت ها یا المان هایی قرار دارند که در ارتباط با یکدیگر می باشند. این کامپوننت عبارتند از:

شکل 6 کامپوننت های شبکه Cisco SD-WAN

⭕️ کامپوننت vManage:

این کامپوننت در واقع یک سرور مدیریتی شبکه یا NMS است که وظیفه مدیریت، نظارت، مانیتورینگ و اعمال تغییرات پیکربندی در شبکه SD-WAN را با به صورت متمرکز برعهده دارد. vManage در واقع یک ماشین مجازی با فرمت ova می باشد که شما می توانید آن را بر روی یک بستر VMware ESXi یا KVM نصب و راه اندازی نمایید. سپس یک اینترفیس گرافیکی تحت وب در اختیار شما قرار خواهد داد که از طریق این کنسول وب قادر خواهید بود تا مدیریت و پایش بستر SD-WAN خود بپردازید. ضمن اینکه می بایست اشاره نمایم که علاوه بر رابط GUI، راهکار vManage از CLI یا رابط دستوری خط فرمان و RESTful APIها نیز به جهت فراهم سازی اتوماسیون جهت یکپارچه شدن با لایه Orchestration Plane استفاده می نماید. همچنین محصول vManage از پروتکل های SNMP، Syslog و همچنین Netconf (که در دوره های Cisco DevNet بسیار از آن استفاده می شود) نیز استفاده و پشتیبانی می نماید.

شکل 7 نمایی از کنسول گرافیکی vManage

همانطور که در شکل فوق مشاهده می کنید، توسط vManage شما قادر به مدیریت و نظارت و پایش تمامی المان ها و نقاط پایانی شبکه SD-WAN خواهید بود و یک دید 360 در با Visibility بالا در اختیار خواهید داشت. از جمله مدیریت و مانیتورینگ:

📌 وضعیت کامپوننت های اصلی Cisco SD-WAN

📌 وضعیت ارتباط بین سایت ها یا branchها

📌 وضعیت Control Plane شبکه

📌 وضعیت WAN Edgeها

📌 وضعیت پهنای باند مصرفی لینک های ارتباطی

📌 وضعیت مسیریابی مبتنی بر اپلیکیشن ها و لینک های ارتباطی

📌 وضعیت Certificateها (توجه: کامپوننت های SD-WAN برای داشتن ارتباطی ایمن با یکدیگر از یکسری گواهینامه های دیجیتالی استفاده می کنند)

📌 و...

شکل 8 نمایی از مکانیزم Whitelisting و استفاده از Certificateها در بین کامپوننت های Cisco SD-WAN

کامپوننت vManage در Cisco SD-WAN معادل کامپوننت NSX Manager در زیرساخت VMware می باشد.  

⭕️ کامپوننت vSmart Controller

در شبکه Cisco SD-WAN وظیفه اجرای سیاست ها همانند سایبر شبکه های SDN برعهده یک کنترولر مرکزی می باشد که در این ساختار اصطلاحاً vSmart Controller نام دارد. شما می توانید از یک، دو و یا سه عدد از این کنترولرها در داخل یک Cluster استفاده نمایید. در واقع vSmart Controllerها نیز یکسری ماشین مجازی با فرمت ova می باشند که وظیفه اجرای سیاست هایی همچون مهندسی ترافیک و تقسیم بندی ها به ازای هر توپولوژی VPN را برعهده دارند. ضمن اینکه موجب کاهش پیچیدگی های درون شبکه شده و همگام سازی اتصالات میان تمام WAN edgeها را نیز مدیریت و کنترل می کنند. کامپوننت vSmart Controller در Cisco SD-WAN معادل کامپوننت NSX Controller می باشد.  

شکل 9

⭕️ کامپوننت vEdge:

کامپوننت های vEdge، در واقع همان روترهای فیزیکی یا مجازی موجود در edge یا لبه شعب یا branchهای سازمان، مراکز داده، remote siteها، شبکه های Cloud و همچنین headquarter می باشند. بطور کلی وظیفه همگام سازی امن Control Plane از طریق ارتباط با vSmart Controllerها و اجرای سیاست های مسیریابی برنامه های کاربردی در Data Plane برعهده vEdgeها می باشد.

⭕️ کامپوننت vBond:

این کامپوننت همان رهبر orchestration بوده که در واقع ارتباط بین 3 لایه اصلی SD-WAN یعنی Data Plane، Control Plane و Management Plane را برعهده دارد. vBond اولین نقطه احراز هویت بوده و مجوز تمامی ارتباطات کنترلی را از طریق whitelist صادر می کند. بعلاوه vBond وظیفه load balance کردن ارتباطات Control Plane، تهسیلات NAT و کنترل/مدیریت اطلاعات توزیع شده را نیز برعهده دارد. زمانیکه یک روتر در حالت unconfigured برای اولین بار boot می شود، کامپوننت vBond مسئولیت onboarding این device را در فبریک SD-WAN برعهده دارد. به عبارت دیگر یکی از کارهای vBond این است که از چگونگی ساختار شبکه اطلاع پیدا کرده و سپس این اطلاعات را در بین کامپوننت های دیگر به اشتراک بگذارد. کامپوننت vBond در Cisco SD-WAN معادل کامپوننت vRealize Orchestrator یا vRO در زیرساخت VMware vCloud می باشد.

⭕️ پروسه ZTP یا Zero-Touch Provisioning process چیست؟

پروسه ZTP یک پروسه اتوماسیون است که در آن vEdge Routerها برای اولین بار از طریق این پروسه به صورت خودکار vBond شبکه SD-WAN خود را پیدا کرده و در نتیجه برای پیکربندی تجهیز با تنظیمات کارخانه، تنها نیاز به اتصال تجهیز به اینترنت می باشد. در این پروسه vEdgeها تلاش می کنند تا به یک ZTP server با hostnameی معادل ztp.viptela.com متصل شوند که این سرور ZTP نیز خود اطلاعاتش را از vBond Orchestrator می گیرد. هنگامیکه اطلاعات از vBond Orchestrator بدست آمد، ZTP می تواند به vManage و کنترولرهای vSmart متصل شده و پیکربندی کامل خودش را از آنها بدست آورد و سپس به شبکه Overlay ما join شود.

شکل 10 نمایی از پروسه ZTP یا Zero-Trust Provisioning process

بستر ارتباطی:

حکم Switch Fabric را داشته و می‌تواند هر بستری شامل MPLS ،4G/LTE، فیبر خصوصی و اینترنت باشد که ارتباط میان ماژول‌های Management، Control Plane و Data Plane در معماری SD-WAN را برقرار می‌نماید.

توجه: پیاده‌سازی کامپوننت هایvBond ، vSmart و vManage می‌تواند تحت سرویس ابری شرکت Cisco و یا در مرکز داده خصوصی و بر روی بسترهای مجازی‌ سازی همچون VMware ESXi یا KVM انجام شود.

شکل 11

نویسنده: میثم ناظمی

@iranopensource 🐧

  

تهران - بلوار كشاورز، خيابان شهيد نادري پائين تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵
۷۳ ۴۲۲ (۰۲۱)
۴۲۲۳۸۰۰۰ (۰۲۱)
۱۴۱۶۶۱۳۶۶۹
info{at}apk-group.net
یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان
۳۶۲۹۰۹۹۰ (۰۳۵)
۸۹۱۶۷۱۵۹۵۷

 امن پردازان کویر