بررسی Cisco Intelligent WAN یا به اختصار Cisco IWAN

در قسمت اول از سری مقالات Cisco Intelligent WAN یا IWAN به معرفی کلی این تکنولوژی و همچنین تا حدودی در مورد Transport-Independent بحث گردید و در این قسمت به تفصیل در مورد انواع مدل های طراحی می پردازیم.

Dynamic Multipoint VPN یا به اختصار DMVPN چیست؟

DMVPN، راهکاری برای ساخت VPNهای مقیاس‌پذیر به صورت Site-to-Site می‌باشد که تعداد زیادی از برنامه‌های کاربردی را پشتیبانی می‌نماید. DMVPN به صورت گسترده برای اتصالات رمزگذاری‌شده‌ی Site-to-Site در شبکه‌های Public یا Private که بر اساس IP کار می‌کنند، مورد استفاده قرار گرفته و بر روی تمامی روترهای WAN به کار رفته در این دستورالعمل طراحی، قابل اجرا می‌باشد.

DMVPN به عنوان روشی امن برای پوشش راهکار‌های WAN انتخاب شده است؛ زیرا با یک پیکربندی Full Mesh بر پایه‌ی Hub-and-Spoke و Tunnelهای داینامیک Spoke-to-Spoke برحسب نیاز، از کلیه اتصالات شبکه در فرآیند انتقال هر یک از Carrierها پشتیبانی می‌نماید. همچنین DMVPN، از روترهای Spoke که به صورت پویا برای آدرس‌های IP تعریف شده‌اند نیز پشتیبانی می‌نماید.

کاربرد Ethernet در WAN

در نقل و انتقالات WAN، از Ethernet به عنوان یک نوع رسانه (Media) استاندارد استفاده می‌گردد. Ethernet در بسیاری از موارد به بستر اصلی تبادل اطلاعات تبدیل شده و به عنوان فضای اولیه در معماری‌های آزمایشی در نظر گرفته می‌شود. بسیاری از مباحث گنجانده شده در این مقاله را می‌توان برای رسانه‌های غیرEthernet‌ی (مانند T1/E1 و DS-3 و غیره) نیز به کار برد؛ اما این موارد به طور واضح و مشخص مورد بررسی قرار نگرفته‌اند.

بررسی مدل طراحی‌ WAN-Aggregation

در این مقاله، دو مدل طراحی برای Intelligent WAN یا به اختصار IWAN ارائه می‌گردد.

اولین مدل طراحی، IWAN Hybrid می‌باشد که از Multiprotocol Label Switching یا به اختصار MPLS، در کنار VPN اینترنتی برای تبادلات WAN استفاده می‌نماید. در این مدل، MPLS WAN پهنای باند بیشتری را برای بعضی سرویس‌های مهم که مورد نیاز برنامه‌های کاربردی کلیدی می‌باشد را ارائه نموده و تامین شرایط SLA برای این برنامه‌ها را تضمین می‌نماید.
مدل طراحی دوم، Dual Internet IWAN می‌باشد که از دو ارائه‌دهنده سرویس اینترنت (ISP) استفاده می‌نماید تا علاوه بر کاهش بیشتر هزینه‌ها، سطح بالایی از قابلیت خودترمیمی (Resiliency) را برای WAN ایجاد نماید.
IWAN Dual MPLS، مدل طراحی سوم می‌باشد که در این مقاله گنجانده نشده است. پیکربندی Dual MPLS مفهومی مشابه Dual Internet دارد که بر خلاف زیر‌ساخت‌های WAN، برای انتقال WAN به جای اینترنت از MPLS استفاده می‌نماید. همچنین اصول CVD را می‌توان برای سایر گزینه‌های انتقال مانند Carrier Ethernet نیز استفاده نمود.

مدل طراحی Cisco Intelligent WAN

لازم به ذکر است که مدل‌های (IWAN) WAN-aggregation (hub)، برای هر دو مدل طراحی شامل دو روتر WAN Edge می‌باشد.

شرکت APK نخستین شرکت دانش محور در اجرای پروژه های انفورماتیکی کشور تماس با کارشناسان 021-88539044-5

وقتی روترهای WAN-Aggregation در وضعیت اتصال به یک Carrier یا ارائه دهنده سرویس در نظر گرفته می‌شوند، تحت عنوان روترهای Customer Edge یا CE شناخته می‌شوند. این روترها ترافیک VPN را از بین برده و به عنوان روترهای VPN Hub در نظر گرفته می‌شوند. در ساختار IWAN نیز روتر MPLS CE به عنوان یک روتر VPN Hub مورد استفاده قرار می‌گیرد. این روترها صرف نظر از مدل طراحی همواره با دو سوییچ از سوییچ‌های لایه Distribution، اتصال برقرار می‌کنند.

مدل‌های طراحی Collapsed Core (در این طراحی لایه‌های Core و Distribution ترکیب می‌شوند) و طراحی اختصاص لایه Distribution به صورت جداگانه، از طریق اتصالات LAN نشان داده می‌شوند. از دیدگاه WAN-Aggregation، هیچ تفاوت کارکردی بین این دو روش وجود ندارد.

در تمامی طراحی‌های WAN-Aggregation، فرآیندهایی همچون خلاصه‌سازی IP Routeها در لایه Distribution انجام می‌شوند. علاوه بر آن، تجهیزات مختلف دیگری نیز وجود دارند که از سرویس‌های WAN Edge پشتیبانی نموده و باید به لایه Distribution متصل گردند.

ویژگی‌های هر یک از این طرح‌ها در ادامه مورد بررسی قرار خواهند گرفت.

مدل طراحی IWAN Hybrid

این مدل از ویژگی‌های زیر برخوردار است:

دارای یک Carrier واحد MPLS VPN
استفاده از یک Carrier اینترنت واحد
استفاده از قابلیت Front-door Virtual Routing and Forwarding یا به اختصار FVRF، با مسیریابی پیش‌فرض Static در FVRF برای هر دو لینک اینترنت و MPLS
جداسازی سطح کنترل در میان ارائه دهندگان و ایجاد یک لایه امنیتی اضافی بین شبکه‌های داخلی و خارجی توسط FVRF‌ها

WAN Aggregation: مدل طراحی IWAN Hybrid

مدل طراحی IWAN Dual Internet

این مدل دارای ویژگی‌های زیر است:

از دو Carrier Internet استفاده می‌نماید.
از FVRF، بر روی هر دو لینک اینترنت همراه با مسیریابی پیش‌فرض Static در داخل FVRF استفاده می‌نماید.

WAN Aggregation: مدل طراحی IWAN Dual Internet

در هر دو مدل طراحی IWAN Hybrid و IWAN Dual Internet، روترهای DMVPN Hub به طور غیرمستقیم و از طریق یک واسط کاربری فایروال در DMZ که در لبه اینترنت قرار دارد، به اینترنت متصل می‌شوند. روترهای VPN Hub بیش از آنکه به طور مستقیم به روترهای ارائه دهنده‌ی سرویس اینترنت وصل شوند، به واسط کاربری فایروال در DMZ متصل می‌گردند. معمولا زمانی که روتر VPN Hub به MPLS Carrier متصل باشد، اتصال فایروال مورد استفاده قرار نمی‌گیرد.

طراحی WAN Remote-Site

در این مقاله، چندین مدل از طراحی‌های WAN Remote-Site بیان می‌شود که بر اساس ترکیب‌های مختلفی از نقل و انتقالات WAN می‌باشد و برای شرایط خاصی از سطح سرویس‌دهی و افزونگی (Redundancy) سایت طراحی شده‌ است.

گزینه‌های طراحی WAN برای Remote-Site

طراحی Remote-Site شامل یک یا دو روتر WAN Edge می‌باشد. این روترها در واقع DMVPN Spokeهایی برای DMVPN Hubهای سایت‌های اولیه می‌باشند. اغلب Remote-Site‌ها تنها با استفاده از یک روتر WAN Edge طراحی شده‌ است، با این وجود انواع خاصی از Remote-Site‌ها نیز نیاز به طراحی Dual Router WAN دارند. سایت‌های انتخاب شده به وسیله‌ی Dual Router که شامل دفتر منطقه‌ای، فضاهای باز Remote با تعداد زیادی کاربر و یا سایت‌هایی با نیازهای مهم کسب‌و‌کار می‌باشد، افزونگی (Redundancy) بیشتر برای حذف Single Points Of Failure را توجیه می‌نماید. صرف نظر از اینکه یک یا دو روتر Spoke در سایت استفاده شده باشد، هر یک از فرآیندهای انتقال جداگانه، دارای اتصالی واحد و مجزا به سایت Spoke می‌باشند.

انتخاب روش مناسب در طراحی کلی WAN، بر اساس طراحی اولیه سایت WAN-Aggregation می‌باشد، که می‌تواند تمامی انواع Remote-Site را تطبیق داده و ترکیب‌های مختلفی از لینک‌ها را مطابق با جدول زیر ارائه نماید.

جدول گزینه‌های انتقال Remote Site WAN

همچنین این مقاله شامل اطلاعاتی در مورد اضافه کردن LTE Fallback DMVPN برای یک سایت Single-Router Remote می‌باشد.

جدول گزینه‌های انتقال WAN Remote Site با LTE Fallback

ماهیت ماژولار طراحی شبکه IWAN این امکان را برای کاربر فراهم می‌نماید تا اجزای طراحی را با قابلیت همسان‌سازی در سراسر شبکه ارائه نماید.

طراحی WAN-Aggregation و تمامی طراحی‌های WAN Remote-Site، از بلوک‌های ساختاری استاندارد در طراحی‌های کلی به شمار می‌روند. همسان‌سازی بلوک‌های ساختاری جداگانه موجب ایجاد روشی آسان برای مقایس‌بندی شبکه شده و یک روش پیاده‌سازی هماهنگ و سازگار را ارائه می‌نماید.

اتصال داخلی WAN/LAN

نقش اصلی WAN، ایجاد اتصال متقابل بین سایت اولیه و LANهای Remote-Site می‌باشد. مبحث LAN در این مقاله به نحوه اتصال‌ LAN‌های سایتWAN-Aggregation با تجهیزات WAN-Aggregation و همچنین نحوه اتصال LANهای Remote-Site با تجهیزات WAN Remote-Site می‌پردازد. توضیحات خاص‌تر در مورد اجزای LAN در این طراحی، در مورد سوییچ‌های Campus LAN که در لایه 2 کار می‌کنند و اصطلاحا به آن‌ها سوییچ‌های لایه Access نیز گفته می شود، همراه با مباحث Simplified Distribution Deployment گنجانده می‌شود.

توپولوژی LAN در Remote-Site به تعداد کاربران متصل و وضعیت جغرافیایی فیزیکی سایت بستگی دارد. سایت‌های بزرگ ممکن است نیاز به استفاده از یک لایه Distribution داشته باشند تا از چندین سوییچ لایه Access پشتیبانی نماید. سایت‌های دیگر ممکن است فقط به یک سوییچ لایه Access نیاز داشته باشند که مستقیما به روترهای Remote-Site WAN متصل می‌گردد. انواع دیگری از توپولوژی‌های مورد بررسی قرار گرفته‌، در جدول زیر نشان داده شده‌ است.