در قسمت اول مقاله به معرفی راهکار دسترسی مبتنی بر نرمافزار شرکت سیسکو یا به اختصار SD-Access و تکنولوژی Fabric، همچنین الزامات کلیدی برای توسعه و امنیت سرویسهای یکپارچه پرداخته شد. سپس درقسمت دوم برخی از اجزای راهکار SD-Access بررسی شد. در این قسمت به معرفی سایر اجزا خواهیم پرداخت.
Extended Node
میتوان قابلیتهای Fabric را در سوییچهای Cisco Industrial Ethernet مانند سری Cisco Catalyst Digital Building و سریهای Industrial Ethernet 3000 و 4000 و یا 5000 گسترش داد. این امر با اتصال آنها به یک Cisco Catalyst 9000 Series SD-Access Fabric Edge Node و بخشبندی برای Endpointهای کاربر و تجهیزات IoT امکانپذیر است.
با استفاده از خودکارسازی Cisco DNA Center، سوئیچهایی که نقش Extended Node را ایفا میکنند با استفاده از Trunk 802.1Q بر یک EtherChannel با یک یا چند عضو فیزیکی به Fabric Edge متصل شده و با استفاده از Zero-Touch Plug-And-Play شناسایی میگردند. Endpointهایی مانند APهای Fabric-mode، به سوئیچ Extended Node وصل میشوند. VLANها و SGTها به استفاده از میزبان راهاندازیشده به عنوان بخشی از آمادهسازی Fabric اختصاص داده شدهاند. پالیسی Tag گروهی مقیاسپذیر نیز در Edge Fabric اعمال شدهاست.
مزایای گسترش قابلیتهای Fabric با استفاده از Extended Nodeها عبارت است از سادگی IoT عملیاتی با استفاده از خودکارسازی متمرکز Cisco DNA، پالیسی مداوم در سرتاسر IT وOT و قابلیت دید وسیعتر شبکهی تجهیزات IoT.
کنترلر LAN بیسیم Fabric
Fabric WLC با Fabric Control Plane یکپارچه میشود. هردو نوع WLCهای Fabric و غیر Fabric، مدیریت پیکربندی و AP Image، مدیریت Client Session و سرویسهای سیار را ارائه میدهند. WLCهای Fabric با ثبت کردن آدرسهای MAC مشتریان بیسیم در دیتابیس ردیابی میزبان Fabric Control Plane در طی رویدادهای وصل شدن مشتری بیسیم و با تامین بروزرسانیهای موقعیت Fabric Edge RLOC در طی رویدادهای Client Roam، سرویسهای مضاعفی برای یکپارچهسازی Fabric فراهم میکنند. یک Active نیستند در حالیکه APها ترافیک را برای آن SSIDها مستقیما به Fabric Edge ارسال میکنند. معمولا، تجهیزات Fabric WLC به توزیع سرویسهای مشترک با دیتاسنتر خارج از Fabric و مرز آن وصل میشوند که این بدان معناست که IP مدیریت آنها در یک جدول Routing جهانی وجود دارد. برای APهای بیسیم که یک تونل CAPWAP برای مدیریت WLC ایجاد میکنند، APها باید درون یک VN باشند که به تجهیزات خارجی دسترسی داشته باشد. در راهکار SD-Access نیز Cisco DNA Center به پیکربندی APهای بیسیم میپردازد تا درون VRF به نام INFRA_VRF قرار گیرد که به جدول Routing جهانی Map شده و نیازی به سرویسهای نشت Route یا Fusion Router ندارد. multi-VRF router که بطور انتخابی اطلاعات Routing را به اشتراک میگذارد تا اتصال را برقرار کند. هر سایت Fabric باید یک WLC منحصر به آن سایت داشته باشد. توصیه میشود که WLC را به خاطر تاخیر مورد نیاز برای SD-Access در سایت محلی خودش قرار داد. پیادهسازیهای مقیاس کوچک تا بزرگ Cisco SD-Access میتواند از Cisco Catalyst 9800 Embedded Wireless Controller استفاده کند. این کنترلر برای Catalyst 9300 Switch در دسترس است و به عنوان یک بروزرسانی بستهی نرمافزاری برای فراهم کردن زیرساخت سیمی و غیرسیمی (تنها برای Fabric) با پالیسی هماهنگ، بخشبندی، امنیت و سیار بودن یکپارچه درحین حفظ سهولت عملیات Cisco Unified Wireless Network، در نظر گرفته میشود. Control Plane بیسیم بدون تغییر باقی میماند و این امر با استفاده از تونلهای CAPWAP که از APها آغاز شده و در Cisco Catalyst 9800 Embedded Wireless Controller خاتمه مییابند، صورت میگیرد. Data Plane از VXLAN Encapsulation برای ترافیک Overlay میان APها و Fabric Edge استفاده میکند.
The Catalyst 9800 Embedded Wireless Controller برای بستهی نرمافزاری Catalyst 9300 Series عملکرد بیسیم را تنها برای پیادهسازی Cisco SD-Access با دو توپولوژی پشتیبانیشده، فعال میکند:
- سوئیچهای Cisco Catalyst 9300 Series که به عنوان مرز جابجایی و Control Plane کار میکنند.
- سوئیچهای Cisco Catalyst 9300 Series که به عنوان یک Fabric در بدنه کار میکنند.
کنترلرهای تعبیهشده تنها نقاط دسترسی حالت Fabric را پشتیبانی میکنند.
Acces point حالت Fabric
APهای Fabric شامل Cisco WiFi6 (802.11ax) و 802.11ac Wave 2 و Wave 1 هستند و با WLC ساختار مرتبطاند که با یک یا چند Fabric-enabled SSID پیکربندی شده است. APهای Fabric به پشتیبانی از سرویسهای واسطهای بیسیم که APهای قدیمی پشتیبانی میکنند، بهکارگیری AVC، کیفیت سرویس (QoS) و پالیسیهای بیسیم دیگر و ایجاد CAPWAP Control Plane برای Fabric WLC ادامه میدهد. APهای Fabric به عنوان APهای حالت Local عضو میشوند و باید مستقیما به سوئیچ Fabric Edge Node متصل شوند تا رویدادهای Fabric Registeration را فعال کنند که شامل تعیین RLOC از طریق WLC Fabric هستند. Nodeهای Fabric Edge از CDP استفاده میکنند تا APها را به عنوان Special Wired Host شناسایی کنند و پیکربندیهای Port ویژه را اعمال کنند و APها را برای شبکهی Overlay درون یک فضای EID مرسوم در تمامی Fabric تعیین کنند. این امر سهولت مدیریت را با استفاده از یک Subnet برای پوشش زیرساخت در یک سایت Fabric ممکن میسازد.
زمانی . سپس WLC Layer 2 EID مشتری بیسیم را در Control Plane ثبت میکند و به عنوان پروکسی برای سوئیچ Fabric Edge Node خروجی عمل میکند. پس از ایجاد اتصال اولیه، AP از اطلاعات Layer 2 VNI برای ارتباط مشتری بیسیم VXLAN-encapsulate به اتصال Ethernet برای سوئیچ Fabric Edge اتصال مستقیم استفاده میکند. سوئیچ Fabric Edge ترافیک مشتری را به Interface VLAN مناسب Map میکند که با VNI برای ارسال در تمامی ساختار مرتبط است و IPهای مشتریان بیسیم را با دیتابیس Control Plane تعیین میکند.
Identity Services Engine
Cisco ISE یک پلتفرم دسترسی ایمن به شبکه است که افزایش آگاهی مدیریت، کنترل و ثبات کاربران و تجهیزاتی که به شبکه سازمان دسترسی دارند را قادر میسازد. ISE یک بخش کامل SD-Access برای اجرای پالیسی، فعالسازی Map کردن پویای کاربران و تجهیزات به گروههای مقیاسپذیر و تسهیل اعمال پالیسی امنیت End-to-End است. درون ISE، کاربران و تجهیزات درون یک Interface منعطف نمایش داده میشوند. ISE با Cisco DNA Center یکپارچه میشود و این امر با استفاده از Cisco Platform Exchange Grid یا pxGrid و REST APIها برای تبادل اطلاعات مشتری و خودکارسازی پیکربندیهای مرتبط با ساختار در ISE صورت میگیرد. راهکار SD-Access با پشتیبانی End-to-End پالیسی مبتنی بر گروه، Cisco TrustSec را یکپارچه میکند که شامل اطلاعات SGT در Headerهای VXLAN برای ترافیک Data Plane میشود درحالی که چندین VN را که از ثبت انحصاری VNI استفاده میکنند، پشتیبانی میکند. گروهها، پالیسی، سرویسهای AAA (احراز هویت، حق دسترسی و بررسی)، و پروفایلبندی Endpointها توسط ISE انجام و توسط گردشکارهای پالیسی Cisco DNA Center هدایت میشود.
گروههای مقیاسپذیر توسط SGT، یک منبع 16-bit که به VXLAN Header منتقل شده، شناسایی میشوند. SGTها به طور متمرکز توسط Cisco ISE تعریف، مدیریت و اداره میگردند. ISE و Cisco DNA Center بطور مستحکمی از طریق REST APIها با مدیریت پالیسیهایی با محوریت Cisco DNA Center یکپارچه شدهاند.