ترافیک رمزگذاریشده و قابلیت AVC چیست؟ قابلیت همکاری Cisco AVC و WAAS، با استفاده از تشخیص برنامه کاربردی NBAR2، امکان اجرای پالیسیهای ترافیک و مانیتورینگ را روی ترافیک بهینهسازیشده فراهم میسازد.
ترافیک رمزگذاریشده و قابلیت NBAR
پیش از انتشار نسخهی 3.11S از IOS XE برای ترافیک رمزگذاریشده، جزء NBAR به شکل رمزگذاریشده روی ترافیک عمل میکرد. درنتیجه NBAR نمیتوانست بررسی عمیق Packet را از ترافیک GET VPN فراهم نماید.
با انتشار 3.11S، NBAR روی ترافیک شفاف پس از رمزگشایی برای Ingress و پیش از رمزگذاری برای Egress کار میکند. این امر امکان اجرای QoS خروجی را روی برنامههای کاربردی بررسیشده فراهم مینماید. در این نسخه، گزارشگیری و QoS ورودی همچنان روی ترافیک رمزگذاریشده عمل میکنند.
محدودیتهای زیر به قابلیت NBAR interoperability با GET VPN اعمال میشود:
- مثل نسخههای گذشته، QoS همچنان روی ترافیک Ingress در شکل رمزگذاریشدهی خود کار میکند و از اطلاعات شناسایی برنامه کاربردی که توسط جزء قدیمی NBAR فراهم میشود، استفاده مینماید.
- در این نسخه، فقط عملیات خروجی QoS و NBAR تغییر کردهاند. قابلیت دید AVC برای ترافیک رمزگذاریشدهی GET VPN تحت پشتیبانی نیست.
منظور از رابطهای کاربری ورودی/خروجی گزارششده چیست؟
مقادیر بخشهای ورودی و خروجی رابط کاربری را که وقتی یک مانیتور به WAN، LAN یا یک رابط کاربری مجازی AppNav متصل میشود، توسط AppNav مورداستفاده قرار میگیرند، توصیف میکند. جدول زیر رابطهای کاربری Exportشدهی AppNav را نمایش می دهد.
| رابط کاربری | جهت | مقدار ورودی رابط کاربری | مقدار خروجی رابط کاربری |
| WAN | Ingress | WAN | LAN |
| WAN | Egress | LAN | WAN |
| VI بهینهسازیشده | Ingress | VI بهینهسازیشده | LAN |
| VI بهینهسازیشده | Egress | WAN | VI بهینهسازیشده |
| VI بهینهسازینشده | Ingress | VI بهینهسازینشده | LAN |
| VI بهینهسازینشده | Egress | LAN | VI بهینهسازینشده |
| LAN | Ingress | LAN | WAN |
| LAN | Egress | WAN | LAN |
بررسی قابلیت AppNav با NAT و VRF
| پلتفرمهای Cisco IOS | پلتفرمهای Cisco IOS XE |
| غیرقابل دسترسی | اضافه شده به نسخهی 3.8S |
وقتی AppNav فعال میگردد، از پیکربندی Routing و Forwarding مجازی یا همان VRF در رابط کاربری LAN استفاده میکند، بااینکه روی رابط کاربری WAN نصب شده است. AppNav از LAN VRF استفاده میکند تا براساس آدرسهای Local، ترافیک را به WAAS منتقل کند.
حداکثر سه Tuple میتواند به ازای هر Flow مورداستفاده قرار گیرد. شکل 2-5 مثالی از این امر را نشان میدهد. به دلیل پیکربندیهای VRF مختلف و یا ترجمهی NAT، استفاده از بیش از یک Tuple میتواند ضروری باشد. ویژگیهای NBAR/FNF/AppNav در مسیر، با استفاده از Flow یکسانی با هم تعامل میکنند.
قابلیت همکاری NBAR با Cisco GET VPN
| پلتفرمهای Cisco IOS | پلتفرمهای Cisco IOS XE |
| غیرقابل دسترسی | اضافه شده به نسخهی 3.11S |
Cisco Group Encrypted Transport VPN یا GET VPN یک تکنولوژی VPN بدون Tunnel است که برای ارائهی امنیت ارتباطات رمزگذاریشده با عملکرد رسانهای بالا مثل میزان تأخیر صوتی و تصویری پایین و قابلیتهای آمادهسازی و مدیریت پیشرفته طراحی شده است. وقتی از GET VPN استفاده میشود، روتر رمزگذاری و رمزگشایی ترافیک VPN را انجام میدهد.
قابلیت AVC Interoperability با Cisco GET VPN
| پلتفرمهای Cisco IOS | پلتفرمهای Cisco IOS XE |
| غیرقابل دسترسی | اضافه شده به نسخهی 3.12S |
Cisco Group Encrypted Transport VPN یا GET VPN یک تکنولوژی VPN بدون Tunnel است که برای ارائهی امنیت ارتباطات رمزگذاریشده با عملکرد رسانهای بالا مثل میزان تأخیر صوتی و تصویری پایین و قابلیتهای آمادهسازی و مدیریت پیشرفته طراحی شده است. وقتی از GET VPN استفاده میشود، روتر رمزگذاری و رمزگشایی ترافیک VPN را انجام میدهد.
ترافیک رمزگذاریشده و قابلیت AVC
از Cisco IOS XE 3.12S به بعد، وقتی GET VPN پیکربندی شود، AVC روی ترافیک با متن واضح عمل میکند یعنی پس از رمزگشایی برای Ingress به رابط کاربری، پیش از رمزگذاری برای Egress از رابط کاربری.
عملکرد clear text به انواع ترافیک زیر اعمال میشود:
- IPv4 Unicast
- IPv4 Multicast
- IPv6 Unicast
- IPv6 multicast
این ویژگی به موارد زیر اعمال نمیشود:
- رابطهای کاربری Tunnel مجازی
- مانیتورهای FNF Native که به رابط کاربری یکسانی متصل هستند
مانیتورهای FNF Native در بررسی قابلیت AVC
مانیتورهای FNF Native مشابه با زمان پیش از انتشار 3.12S کار میکنند و روی ترافیک در سمت رمزگذاریشده فعالیت مینمایند.
Override کردن عملیات AVC روی clear text
رفتار پیشفرض در هنگام استفاده از GET VPN این است که AVC روی AVC روی clear text عملیات انجام دهد. در شرایطی ویژه، ممکن است مفید باشد که ویژگی مربوط به عملیات AVC روی AVC روی clear text غیرفعال گردد.
بیشتر بخوانید: Cisco Application Visibility and Control یا AVC چیست؟ قابلیت ها و ویژگی های آن
محدودیتهای زیر به قابلیت AVC Operation با GET VPN اعمال میشود:
- برای مانیتورهای عملکرد، FNF در سمت Egress روی ترافیک پیش از رمزگذاری عملیات انجام میدهد. در نتیجه، حسابرسی شامل ترافیک Egress میباشد که ممکن است در آینده توسط ویژگیهای دیگر مثل QoS و ACL کنار گذاشته شود.
- برای مانیتورهای عملکرد، FNF در سمت Egress پیش از QoS عملیات انجام میدهد. در نتیجه، سلسلهمراتب دستههای QoS و QoS Queue ID را نمیتوان جمعآوری کرد.
گزارشگیری AVC تطبیقپذیر
| پلتفرمهای Cisco IOS | پلتفرمهای Cisco IOS XE |
| گزارشگیری Coarse-grain در نسخهی 15.4(3)T اضافه شد | گزارشگیری Coarse-grain در نسخهی 3.13S اضافه شد |
راهکار Cisco AVC میتواند در حالتهای مختلفی Working Pointها عملیات انجام دهد تا پیادهسازیها و موارد کاربرد مختلف را تطبیق دهد. این ویژگی که تحت عنوان گزارشگیری AVC تطبیقپذیر یا Adaptive AVC Reporting شناخته میشود گزینههایی را برای انجام عملیات در حالت Fine Grain قدرتمندتر با گزارشگیری گستردهتر و جزئیتر و دقیقتر یا در حالت Coarse Grain با گزارشگیری آماری در سطح برنامه کاربردی به جای معیارهای سنجش دقیق در سطح جریان Flow-Level Metrics فراهم مینماید.
انتخاب حالت AVC برای استفاده بستگی به اهداف و موارد کاربرد دارد. Easy Performance Monitor یا ezPM یک روش Express را برای پیکربندی AVC در یکی از حالتهای زیر فراهم میکند.
- حالت Fine-Grain: پروفایل Application Experience مربوط به ezPM گزارشگیری گسترده و Fine-Grain را فراهم مینماید که شامل معیارهای سنجش مانیتورینگ عملکرد در سطح جریان است.
- حالت Coarse-Grain: پروفایل Application Statistics مربوط به ezPM سطح سادهتری از عملکرد AVC را فراهم مینماید که بهخصوص برای موارد کاربرد متداول برنامهریزی ظرفیت و عیبیابی Congestion شبکه مناسب است. این حالت بیشترین استفاده از برنامه کاربردی و پهنای باند مورداستفاده توسط هر برنامه کاربردی را گزارش میدهد.
مقایسهی عملکرد Fine-Grain و Coarse-Grain در AVC
جدول زیر مقایسه عملکرد Fine-Grain و Coarse-Grain را نشان می دهد.
|
پروفایل ezPM عملکرد Fine-Grain AVC Application Experience |
پروفایل ezPM عملکرد Coarse-Grain AVC Application Statistics |
|
|
موارد کاربردی |
||
|
|
تمام موارد کاربرد AVC شامل گزارشگیری پرجزئیات از تمام Flowها. شامل: · معیارهای سنجش عملکرد به ازای هر برنامه کاربردی · Field Extraction (Host/URL) |
بهینهسازیشده برای موارد کاربرد متداول، مثل برنامهریزی ظرفیت یا عیبیابی ازدحام شبکه. اطلاعاتی را در مورد برنامههای کاربردی برتر در شبکه و پهنای باند مورداستفاده توسط آن برنامههای کاربردی فراهم میکند. معیارهای سنجش پرجزئیات در سطح جریان یا معیارهای سنجش عملکرد در حوزهی گزارشگیری Coarse-Grain نیستند. شامل: · برنامهریزی شبکه/سایت/دستگاه/لینک · برنامههای کاربردی برتر · سرورها/Clientها |
|
گزارشگیری |
||
|
عملکرد |
گزارشگیری شامل موارد زیر است: · ART و معیارهای سنجش عملکرد رسانه · URK و Field Extractionهای دیگر · توانایی فیلتر کردن یک زیرمجموعه از ترافیک اینترفیس و استفاده از گزارشهای متفاوت برای انواع مختلف ترافیک · Account-On-Resolution یا AOR |
گزارشگیری شامل موارد زیر است: · بایتها، Packetها، جریانهای گزارششده به ازای هر برنامه کاربردی، رابط کاربری، جهت، پروتکل و نسخهی IP · Clientها و سرورهای برتر به ازای هر برنامه کاربردی (اختیاری) · کل ترافیک رابط کاربری؛ بدون گزینهای برای فیلتر کردن ترافیک مانیتورشده |
ترکیب Coarse-Grain Working Pointیا Coarse-Grainها
برخی از مورد کاربرد ممکن است نیازمند ترکیبی از نقاط کاری Fine-Grain یا Coarse-Grain باشند. برای مثال ممکن است لازم باشد که مانیتورینگ Coarse-Grain برای مانیتورینگ کل ترافیک رابط کاربری پیکربندی گردد و مانیتورینگ Fine-Grain برای زیرمجموعهی کوچکی از ترافیک پیکربندی شود.
بهعنوان مثالی از موارد کاربرد ممکن است ضروری باشد که یک پیکربندی تعریف گردد که:
- مانیتورینگ Coarse-Grain را برای کل ترافیک روی یک رابط کاربری فراهم میکند.
- معیارهای سنجش عملکرد را برای برنامههای کاربردی حیاتی بهخصوصی گزارش نماید. این امر نیازمند تعریف مانیتورینگ Fine-Grain برای ترافیک آن برنامه کاربردی است.
