آشنایی با SD-Access سیسکو و الزامات پیاده‌سازی آن – قسمت دوم

در بخش اول این مقاله به معرفی راهکار دسترسی مبتنی بر نرم‌افزار شرکت سیسکو یا به اختصار SD-Access و تکنولوژی Fabric که جزئی جدایی ناپذیر از راهکار SD-Access است پرداخته شد. همچنین الزامات کلیدی برای تکامل شبکه‌های Campus حاصل از تکنولوژی Fabric، از جمله زیرساخت Ethernet منعطف برای رشد و توسعه و امنیت و سرویس‌های یکپارچه فهرست شدند. در این قسمت اجزای راهکار SD-Access، عملکرد هر نقش، چگونگی Mapشدن نقش‌ها به توپولوژی Campus فیزیکی و اجزای لازم برای مدیریت راهکار، یکپارچه‌سازی بی‌سیم و اعمال سیاست شرح داده می‌شود.

اجزای راهکار SD-Access

راهکار SD-Access، سرویس‌های تشخیص هویت و عملکرد Fabric سیمی و بی‌سیم را با نرم‌افزار Cisco DNA Center ترکیب می‌کند. درون این راهکار، یک سایت Fabric از مجموعه‌ی یکپارچه‌ای از Nodeهای Control plane‌، Edge Nodeها، Nodeهای واسطه (فقط برای جابجایی) و Nodeهای مرزی غیر مرتبط تشکیل می‌شود. یکپارچه‌سازی بی‌سیم، اجزای Fabric WLC و Fabric Mode AP را به سایت Fabric اضافه می‌کند. سایت‌های Fabric می‌توانند با استفاده از انواع مختلف شبکه‌های انتقال مانند IP Transit، SD-WAN Transit (در آینده) و  SD-Acces Transit، به هم متصل بشوند تا ساختار شبکه  Fabric بزرگ‌تری ایجاد کنند.

طرح1. راهکار SD-Access و اجزای Fabric

Control Plane Node

SD-Access Fabric Control Plane Node مبتنی بر عملکرد LISP Map-Server یا به اختصار MS و Map-Resolver یا به اختصار MR است که در Node یکسانی با هم ترکیب‌شده‌اند. دیتابیس Control Plane تمامی Endpointهای درون سایت Fabric را ردیابی کرده، آن‌ها را به Nodeهای Fabric مرتبط می‌سازد و Endpoint IP Address یا MAC Address را از موقعیتش (نزدیک‌ترین Router) در شبکه آگاه می‌کند. قابلیت Control Plane Node می‌تواند در کنار یک Node Edge  قرار گیرد یا از Nodeهای اختصاصی برای توسعه استفاده کند و بین دو تا شش Node تنها در پیاده‌سازی خطی برای انعطاف‌پذیری مورد استفاده قرار می‌گیرند. Nodeهای خارج از شبکه و یا Edge همراه با Nodeهای Control plane ثبت شده و از آنها استفاده می‌کنند، بنابراین Nodeهای جایگزین انتخاب شده باید از یک نوع باشند تا از عملکرد باثبات آن‌ها اطمینان حاصل گردد.

Nodeهای Control plane عملکردهای زیر را ممکن می‌سازند:

• Host Tracking Database– دیتابیس Host Tracking یا HTDB مخزن مرکزی اتصالات EID-to-Fabric-Edge Node است.
• Map server: از LISP MS برای پر کردن HTDB از پیام‌های Registration ارسال شده از سوی تجهیزات Fabric Edge استفاده می‌شود.
• Map resolver: از LISP MR برای پاسخگویی به Queryهای  Map Resolver از سوی تجهیزات Fabric Edge که نیازمند اطلاعات RLOC Mapping برای EIDهای مقصد هستند استفاده می‌شود.

Edge Node

Edge Nodeهای Fabric  در راهکار SD-Access معادل یک سوئیچ لایه Access در یک طراحی Campus LAN قدیمی هستند. این Edge Nodeها یک طراحی دسترسی Layer 3 را به اضافه عملکردهای Fabric زیر را اجرا می‌کنند:

• ثبت Endpoint: هر Edge Node دارای یک LISP Control-Plane Session به تمامی Control Plane Nodeهاست. پس از شناسایی یک Endpoint توسط Fabric Edge، آن Endpoint به دیتابیس ردیابی Host Local به نام EID-Table اضافه می‌شود. دستگاه Edge همچنین یک پیام LISP Map-Register را ارسال می‌کند تا به Control Plane Nodeدرباره Endpoint شناسایی شده اطلاع دهد تا ‌بتواند HTDB را پُر (Populate) کند.
• Mapکردن کاربر به شبکه مجازی: از طریق تخصیص یک Endpoint به یک VLAN و Interface مجازی سوئیچ یا به اختصار SVI مرتبط به یک LISP Instance، می‌توان Endpointها را در شبکه‌های مجازی قرار داد. Map کردن Endpointها به VLANها بطور استاتیک یا دینامیک و با استفاده از 1X. قابل‌ انجام است؛ همچنین یک SGT تخصیص داده شده است که می‌تواند برای فراهم کردن بخش‌بندی و اعمال Policy در Fabric Edge بکار رود.
• Anycast Layer 3 Gateway: یک Gateway رایج (IP و MAC addressها) می‌تواند برای هر Node که یک Subnet EID رایج را به اشتراک می‌گذارد مورد استفاده قرار گیرد و این موجب فراهم شدن Forwarding و تحرک‏پذیری در RLOCهای مختلف است.
• LISP Forwarding – Edge Nodeهای Fabric بجای یک تصمیم عادی مبتنی برRouting ، سرور Map را Query می‌کنند تا RLOC مرتبط با EID مقصد را تعیین کنند و از اطلاعات و ترافیک مقصد استفاده نمایند. درصورت شکست در تعیین مقصد RLOC، ترافیک به مرز Fabric پیش‌فرض ارسال می‌شود که درون آن Routing Table سراسری برای Forwarding مورد استفاده قرار می‌گیرد. پاسخ دریافت‌شده از سرور Map درون LISP Map-Cache ذخیره می‌شود که با Cisco Express Forwarding Table ادغام و در سخت‌افزار نصب می‌شود. اگر ترافیک در Fabric Edge برای Endpointی دریافت شود که به صورت Local متصل نیست، یک درخواست Lisp Solicit-Map به Fabric Edge فرستنده ارسال می‌شود تا یک درخواست Map جدید انجام شود. این امر زمانی کاربرد دارد که Endpoint درون یک Fabric Edge Switch متفاوت وجود داشته باشد.
• VXLAN Encapsulation/De-Encapsulation: Nodeهای Fabric Edge از RLOC مرتبط با IP Address مقصد استفاده می‌کنند تا ترافیک را با VXLAN Headerها Encapsulate کند. به همین شکل، ترافیک VXLANی که در مقصد RLOC دریافت شده است، De-encapsulate می‌شود. Encapsulation و De-encapsulation ترافیک این امکان را فراهم می‌کند که موقعیت یک Endpoint تغییر کند و یا با Node Edge و RLOC متفاوتی درون شبکه Encapsulate شود بدون نیاز به تغییر آدرس Endpoint در Encapsulation.

Node واسطه

‌Nodeهای واسطه‌ی Fabric جزئی از شبکه‌ی Layer 3 استفاده شده برای ارتباطات متقابل میان Edge Nodeها تا Nodeهای مرزی هستند. در مورد طراحی‌های  Campusسه‌لایه‌ای که از لایه‌های Core ،Distribute و دسترسی استفاده می‌کنند، Nodeهای واسطه معادل سوئیچ‌های Distribute هستند، هرچند تعداد Nodeهای واسطه به یک لایه از تجهیزات محدود نیست. Nodeهای واسطه، ترافیک IP درون Fabric را Route کرده و انتقال می‌دهند. هیچ الزامی به VXLAN Encapsulation/De-Encapsulation، پیام‌های LISP Control Plane یا آگاهی SGT درون Nodeهای واسطه وجود ندارد که تنها نیاز به MTU Fabric اضافی دارند تا با Packetهای  IPدارای اندازه‌ی بزرگِ Encapsulate شده با VXLAN تطابق داشته باشد.

Edge Node 

Nodeهای Edge در ساختار Fabric به عنوان Gateway میان سایت SD-Access Fabric و شبکه‌های خارج از Fabric فعالیت می‌کنند. Node مرزی Fabric مسئول پشتیبانی مجازی‌سازی شبکه و انتشار SGT از Fabric برای مابقی شبکه است. بیشتر شبکه‌ها برای یک نقطه خروج مشترک از Fabric از مرزی خارجی استفاده می‌کنند مثلا برای مابقی شبکه سازمانی در اینترنت. مرز خارجی یک مکانیزم کارآمد است که بدون ورود هیچ Route خارجی، یک نقطه خروج پیش‌فرض را برای تمامی شبکه‌های Fabric ارائه می‌دهد. یک Node مرزی Fabric این قابلیت را دارد تا به عنوان مرز داخلی پیکربندی شود و نقش یک Gateway را برای آدرس‌های خاص شبکه مانند سرویس‌های اشتراکی یا شبکه دیتاسنتر ایفا کند که شبکه‌های خارجی به شبکه مجازی درون Fabric در نقطه خروج واضح برای آن شبکه‌ها وارد می‌شود. همچنین یک Node مرزی می‌تواند یک نقش ترکیبی به عنوان مرزی داشته باشد که در هرکجا (چه داخلی چه خارجی) کارآمد است و برای شبکه‌های نیازمند مرز که نمی‌توانند تنها با مرزهای خارجی پشتیبانی شوند مفید می‌باشد، جایی که یکی از مرزهای خارجی همچنین موقعیتی است که Routeهای به‌خصوصی باید با استفاده از قابلیت مرز داخلی Import شوند.

Nodeهای مرزی عملکردهای زیر را اجرا می‌کنند:

• اعلان Subnetهای EID – SD-Access پروتکل Gateway مرزی (BGP) را به عنوان پروتکل Routing ترجیحی مورد استفاده برای اعلان (Advertisement) پیشوندهای EID در خارج از Fabric پیکربندی می‌کند و ترافیکی که مقصدش Subnet EID است و از خارج Fabric می‌آید، از طریق Nodeهای مرزی عبور می‌کند. این پیشوندهای EID تنها روی Routing Tableها در مرز ظاهر می‌شوند- در باقی Fabric، اطلاعات EID با Control Plane Fabric قابل دسترس است.
• نقطه خروج دامین Fabric – شبکه خارجی Fabric برای Nodeهای Fabric Edge، به عنوان Gateway of Last Resort محسوب می‌شود. این امر با استفاده از عملکرد LISP Proxy Tunnel Router انجام می‌شود. همچنین مرزهای داخلی Fabric به شبکه‌ها با مجموعه‌ای IP Subnetها که به‌خوبی تعریف‌شده‌اند متصل است و برای اعلان آن Subnetها به Fabric الزاماتی را اضافه می‌کند.
• Mapکردن LISP Instance به VRF– مرز Fabric می‌تواند با استفاده از Instanceهای خارجی VRF با پروتکل‌های Routing مبتنی بر VRF مجازی‌سازی شبکه را از درون Fabric به بیرون توسعه دهد تا مجازی‌سازی را حفظ کند.
• Policy mapping– همچنین Fabrci Edge Node از درون Fabric، اطلاعات SGT را Map می‌کند تا در زمان خروج از آن Fabric حفظ شوند. اطلاعات SGT از Node مرز Fabric به شبکه خارج Fabric پخش می‌شود؛ این کار یا با جابجایی Tagها به تجهیزات Cisco TrustSec-Aware با استفاده از SGT Exchange Protocol (SXP) و یا با Mapکردن مستقیم SGTها به رشته ابرداده Cisco در یک Packet با استفاده از قابلیت‌های Inline Tagging که برای اتصالات به Nodeهای مرزی مورد استفاده قرار می‌گیرد، انجام می‌شود.

مقاله های مرتبط: