بصورت کلی محصول کنترلر سیسکو vManage وظیفه مدیریت شبکه های گسترده مبتنی بر نرم افزار و یا SD-WAN را برعهده دارد و به مدیران این امکان را میدهد که به صورت داینامیک و براساس سیاست های از پیش تعریف شده، ترافیک عبوری بین شعب و نحوه انتخاب مسیر برای انتقال اطلاعات خود را مدیریت کنند.

متأسفانه فناوری WAN به طور کامل نتوانسته است با تغییرات و پیشرفت‌های شبکه‌های مدرن امروزی سازگار شود و با چالش‌های متعددی روبرو شده است. امروزه با توجه به افزایش وابستگی سازمانها به ارتباطات راه دوربا شعب خود در استانها و شهرهای مختلف و به طبع آن و افزایش نوع و تعداد لینک ها ارتباطی بین شعب با دفتر مرکزی، راهکارهای مورد استفاده در گذشته کفایت نخواهد کرد و فناوری‌های سنتی WAN قادر به پرداختن به این محیط‌های پویا و الگوهای جدید ترافیک نیستند. در نتیجه، برآورده سازی نیازها و انتظارات کاربران و مدیران شبکه، از نظر اتصال، عملکرد برنامه‌های کاربردی و امنیت، به طور فزاینده‌ای دشوار شده است. با وجود اینکه در شبکه های WAN سنتی نیز کارشناسان شبکه با تنظیم Control Plane و Data Plane روی روترها و بصورت مجزا، سیاست هایی را برای انتخاب بهترین مسیر بمنظور انتقال اطلاعات مشخص میکردند، اعمال تک به تک این تنظیمات روی تمامی روترها نیازمند وقت و انرژی زیادی بود و حتی علارغم این پیچیدگی ها، نتیجه کار نیز انتظارات را بصورت کامل برآورده نکرده است. همچنین با توجه به اینکه تمامی سازمان های بزرگ شرکت های ارائه دهنده پهنای باند و خطوط ارتباطی (Service Provider) اهمیت بسیاری برای کیفیت سرویس های خود ( QoS ) قائل می باشند، شبکه های آنها نیز نیازمند راهکارهایی هوشمندتر است تا نیازهای مختلف و به روز آنها را برآورده کرده و دید وسیع تری درباره نحوه عملکرد نرم افزار ها و اپلیکیشن های موجود به کارشناس و مدیران شبکه ارائه دهد.

در عصر حاضر، گسترش زیرساخت های ابری و نیازمندی هرچه بیشتر سازمان ها به سرویس های متنوع و گوناگون، سبب شده است تا ساختار و معماری کنونی شبکه های WAN با مشکلات و محدودیت هایی مواجه گردد. تنوع لینک های ارتباطی و پیچیدگی و هزینه بالای راه اندازی سرویس های جدید، دشواری مدیریت تعداد زیاد دستگاه ها و مشکلات امنیتی از جمله چالش هایی هستند که ساختار کنونی شبکه های WAN با آن ها رو به رو است. بر این اساس و با توجه به چالش های موجود، تطبیق راهکار نوین و کاربردیِ شبکه های نرم افزار محور (Software Defined Network-SDN) در ساختار شبکه های WAN می تواند راه حلی مناسبی جهت برطرف ساختن معضلات مذکور باشد.

در این راستا شرکت های بزرگ فناوری اطلاعات با ارائه راهکار (SD-WAN) Software Defined Wide Area Network سعی نموده اند تا امکان مدیریت متمرکز و سهولت در ارائه سرویس های جدید را برای مشتریان خود فراهم آورند. این تکنولوژی با ایجاد شبکه مجازی و خصوصی (Overlay) روی بسترهای مختلف ارتباط فیزیکی نظیر LTE، 4G، Internet و MPLS می تواند مزیت های متعددی را برای ارائه دهندگان خدمات بهمراه داشته باشد و امکان ارائه سرویس های مختلف را فراهم آورد که از جمله آنها میتوان به مدیریت متمرکز مبتنی بر سیاستهای از پیش تعیید شده، ایجاد شبکه امن اختصاصی برای سازمان ها روی انواع بستر های ارتباطی عمومی، بهبود امنیت، اتصال و دسترسی بهینه به راهکارهای ابری و همچنین مدیریت ترافیک شبکه بصورت هوشمند اشاره نمود. همچنین، فناوری SD-WAN علاوه بر کاهش هزینه ها و صرفه جویی در مصرف منابع، می تواند ظرفیت های لازم را برای توسعه زیرساخت های فناوری اطلاعات و ایجاد کسب و کارهای نوین را نیز فراهم کند. با توجه به اهمیت این فناوری ضرورت دارد پیش از بکارگیری در مقیاس وسیع، معماری و کاربردهای آن مورد بررسی دقیق قرار گیرد. براساس تحلیل ها و گزارش های منتشر شده در وبسایت گارتنر (Gartner) می توان به شرکتهای از قبیل:Fortinet VMware, Cisco و Palo Alto به عنوان شرکتهای های پیشتاز در ارائه فناوری SD-WAN در سال 2021 اشاره نمود.

برای سالیان متمادی بسیاری از شرکت ها و سازمان های بزرگی که دارای شعب بسیار در سطح یک شهر یا شهرهای مختلف بودند، شبکه WAN خود را مبتنی بر راهکارهایی همچون STM, E1, Intranet, Satellite Link و LTE/4Gپیاده سازی کرده اند که عموما اکثر این شبکه ها مبتنی بر پروتکل MPLS یا Multi-Protocol Label Switching می باشند. پروتکل MPLS یک پروتکل برای کنترل ترافیک شبکه است که برای این منظور از یکسری سوئیچ های خاص در یک MPLS Provider بهره برده و با تگ زدن روی جریان های ترافیکی آنها را بین شعب یک سازمان منتقل می کند. اکنون تمامی این سازمان ها می توانند از مزایای راهکاری SD-WAN،که در ادامه به آن اشاره شده است، استفاده کنند.

تجربه بهتر:

  • ایجاد دسترسی پذیری و پشتیبانی بالا برای همه برنامه‎‌های حیاتی سازمان
  • چند لینک فعال – فعال (active-active) ترکیبی برای همه سناریوهای شبکه
  • مسیریابی پویای ترافیک برنامه های کاربردی به صورت خودکار و هوشمند
  • جایگزین کردن خدمات گران قیمت MPLS با پهنای باند مقرون به صرفه تر و انعطاف پذیر

امنیت بیشتر:

  • زمر نگاری تمامی ارتباطات عبروی روی بستر SD-WAN
  • سیاست هایApplication-Aware با تقسیم بندی to End End و کنترل دسترسی Real-Time
  • انتقال کامل امن ترافیک بین شعب مختلف حتی روی بستر اینترنت
  • گسترش راهکارها و محصولات امنیت مثلNGFW ، امنیت DNS و NGAV به تمام شعب بدون نیاز به تهیه فایروال برای تک تک آنها

مدیریت ساده:

  • داشبورد مدیریتی واحد، متمرکز و ابری برای پیکربندی و مدیریت کل تجهیزات شبکه WAN
  • کارکرد مبتنی بر الگوهای ترافیکی، امکان افزودن تجهیزات جدید به شبکه به صورت خودکار و Zero-Touch
  • گزارش دقیق برنامه و عملکرد ارتباطات و تجهیزات WAN برای تجزیه و تحلیل برنامه ها و پایش دقیق پهنای باند

شرکت Cisco در سال 2017 با خرید شرکت Viptela، که راهکارهای SD-WAN را ارائه می نمود، نسل جدید از شیوه های مدرن Networking خود را که بر اساس Intent-based networking می باشد را معرفی کرد. منظور از Intent-based networking قابلیت اعمال تغییرات در شبکه با کمترین پیچیدگی و بدون هیچ خللی می باشد که موجب فراهم سازی زیرساختی مورد اعتماد و چابک تر می شود. شرکت سیسکو با تکیه بر محصولات نرم افزاری شرکت Viptela، برای بهبود شبکه های WAN، و با تلفیق آن ها با قابلیت های فوق العاده Cisco Network Architecture که اتومات سازی، مجازی سازی و آنالیز را برای شبکه مهیا می کند، یکی از قدرتمند ترین راهکارهای نسل جدید SD-WAN را بنا نهاد.

در معماری Cisco SD-WAN، وظایف مختلف بروی اجزای متفاوت تقسیم خواهد شد. بخش Control Plane (یا همان کنترلر سیسکو vManage) عهده دار و مسئول مدیریت سیاست ها و rule های مختلف بمنظور اعمال routing میباشد درحالیکه Data Plane ( پلتفرم های لبه شبکه ) وظیفه انتقال داده ها و Packet ها را برروی تجهیزات مختلف بعهده می گیرد.

معماری SD-WAN سیسکو از اجزای زیر تشکیل شده است:

  • Orchestrator: این بخش وظیفه ساماندهی ارتباط بین اجزای مختلف شبکه SD-WAN را برعهده دارد و به آن سیسکو vBond اطلاق میگردد.
  • Management: این بخش داشبوردهای مختلف بمنظور مدیریت و نظارت بر تمامی تجهیزات را در اختیار مدیران قرار می دهد و سیسکو vManage نام دارد.
  • Control: این بخش مسئول اعمال سیاست های گوناگون تعریف شده و یا به اصطلاح Policy Enforcement روی تجهیزات شبکه می باشد و سیسکو vSmart نام دارد.
  • Data: این بخش مسئول انتقال دیتا و اطلاعات اپلیکیشن های گوناگون در بستر شبکه میباشد که به آن vEdge و یا cEdge اطلاق میگردد.

این محصول، که دارای یک پورتال و پنل کاربری تحت وب است، وظیفه مدیریت شبکه SD-WAN را برعهده دارد و دارای داشبوردهای مختلف بمنظور تعریف سیاست ها، مانیتورینگ و آنالیز شبکه می باشد. همچنین تمامی تنظیمات تعریف شده در قالب Template ها از طریق vManage(کنترلر سیسکو vManage) در اختیار تجهیزات لبه شبکه (cEdge) موجود در شعب مختلف قرار می گیرد. برای این کار سرور vManage با استفاده از ارتباط شکل گرفته با روتر مورد نظر، تمامی اطلاعات مورد نیاز را دریافت کرده و پس از تنظیمات مخصوص به هر روتر را در اختیار آن قرار می دهد.

این محصول که مسئول Orchestration و هماهنگ سازی اجزای مختلف معماری SD-WAN می باشد، وظیفه شناسایی و شروع فرآیندها با روترهای لبه شبکه را برعهده دارد. این سرویس در آغاز با روترهای لبه شبکه ارتباطی امن ( Tunnel ) برقرار میکند و سپس vManage و vSmart را در جریان اضافه شدن این روتر جدید به شبکه SD-WAN قرار میدهد.

این محصول نقش کنترلر را درون شبکه SD-WAN ایفا میکند و تمامی سیاست های مربوط به Data و Control را دراختیار روترها قرار میدهد. برای این منظور vSmart از پروتکل مخصوصی بنام Overlay Management Protocol بهره میگیرد. vSmart از طریق ارتباط امن شکل گرفته با روترهای شعبه های گوناگون، تمامی تنظیمات و بروزرسانی های مورد نیاز را برای آنها ارسال میکند. لازم بذکر است میتوان از تعداد زیادی vSmart و بصورت Distributed در سطح شبکه استفاده کرد.

به هر مدل روتری که در لبه شبکه SD-WAN در شعب سازمان قرار گرفته باشد vEdge/cEdge اطلاق میگردد. این روتر در بدو ورود به شبکه SD-WAN تمام اطلاعات و تنظیمات Data Policy و Control Policy را بصورت کامل از vSmart دریافت کرده و میتواند Routing Protocol های متعددی از قبیلEIGRP و OSPF و BGP را به صورت هوشمند بدون نیاز به دخالت کارشناس اجرا نماید تا ارتباط بین شبکه داخلی شعبه با دفتر مرکزی برقرار شود. تمام ارتباطات بین شعب با یکدیگر و با دفتر مرکزی به صورت رمز نگاری شده و IPSec برقرار می شود که مدیریت این ارتباطات و نحوه استفاده از آنها، برای هر ترافیک یا نرم افزار، به عهده سرور vManage می باشد.

برای روتر cEdge میتوان از روترهای متعددی از قبیل ASR 1000 ، ISR 1000 ، ISR 4000 ، CSR1000v ، Catalyst 8000 Edge Platform و روتر Viptela Edge (vEdge) استفاده کرد.

این محصول به منظور جمع آوری و تجزیه و تحلیل داده های شبکه SD-WAN و رفتارهای نرم افزارهای مختلف کاربرد دارد و دید جامعی از قبیل Application Quality of Experience (QoE)، میزان مصرف پهنای باند و اختلالات در بستر سایتها، دستگاه ها، تونل ها و لینک های ارتباطی را در اختیار مدیران قرار می دهد.

به گفته شرکت سیسکو، این سرور قابلیت دید 360 درجه از شبکه SD-WAN را در اختیار مدیران شبکه قرار داده و به آنها اجازه می‌دهد به مدیریت و نظارت مستمر بر تمامی مولفه‌ها و نقاط شبکه بپردازند. از جمله قابلیت‌های مدیریتی و نظارتی ارائه شده می‌توان به موارد زیر اشاره کرد:

  • نظارت مستمر بر اجزای اصلی شبکه SD-WAN
  • نظارت دقیق بر ارتباطات میان شعب مختلف
  • نظارت بر وضعیت لایه Control Plane
  • نظارت بر تجهیزات لبه شبکه SD-WAN
  • نظارت و مدیریت بر پهنای باند مصرفی لینک‌های ارتباطی
  • کنترل مسیریابی مبتنی بر برنامه‌ها و لینک‌های ارتباطی
  • نظارت بر گواهی‌نامه‌هایی که برای برقراری ارتباط به آن‌ها نیاز است

در معماری SD-WAN سیسکو، کارشناسان شبکه می توانند به دو صورت Localized و Centralized، سیاست های مورد نظر خود را روی تجهیزات شبکه WAN اعمال نمایند. در حالت Local میتوان با بهره گیری از محیط CLI در سیستم عامل IOS XE SD-WAN و در حالت Central میتوان با استفاده از Template از پیش تعریف شده در کنترلر سیسکو vManage ، تنظیمات و سیاست های موردنظر را روی تمامی روترهای cEdge اعمال کرد.(اعمال این تنظیمات توسط سرور vSmart انجام می شود) در ادامه به توضیحات بیشتر در مورد سیاست های قابل اعمال در شبکه SD-WANمی پردازیم.

این سیاست ها به منظور بهینه سازی ترتیب مسیرهای مختلف در Routing Table تجهیزات اتخاذ می شوند و عملکرد کلی روترهای لبه شبکه SD-WAN را تعیین می کنند. به کمک Centralized Control Policy میتوان با استفاده از Topology Policyها مسیرها (Route) را بشکل دلخواه تغییر داد و محدودیت های مدنظر را اعمال و ترافیک را مدیریت کرد. همچنین با استفاده از VPN Membership Policy میتوان شعب مختلف را در یک VPN اضافه یا حذف نمود.

این سیاست ها در Data Plane روترهای cEdge تاثیرگذار خواهند بود و شیوه و مسیر انتقال بسته های اطلاعات (Packet) در بستر شبکه SD-WAN را مشخص می کند. لازم بذکر است در این بخش، برخی از سیاست ها از قبیل ACL و QoS را میتوان هم بصورت Centralized و هم بصورت Localized اعمال نمود. همچنین سیاست هایی که بصورت Central تعریف میگردند بین دو Zone قابل استفاده می باشند (مثلا بین شبکه داخلی و خارجی) ولی سیاست هایی که بصورت Local تعریف می گردند را باید روی هر Interface به صورت مجزا تعریف کرد. موارد زیر از مهم ترین و پرکاربردترین Centralized Data Policy ها می باشند:

مسیریابی جداگانه ترافیک برنامه ها

می توان مسیرهای مختلفی را برای عبور ترافیک نرم افزارهای مختلف در نظر گرفت. بدین ترتیب که نرم افزارهای با اولیت و حساسیت بالاتر از مسیر دارای پهنای باند بیشتر و تاخیر کمتر استفاده خواهد کرد و سایر نرم افزار ها از مسیرهای باقی مانده بهره خواهند برد. انتخاب مسیر مناسب به صورت هوشمند و با توجه به وضعیت و کیفیت لینک های ارتباطی در هر لحظه صورت میگیرد.

اعمال قابلیت های فایروال در هر شعبه

بدون نیاز به تهیه و استفاده از فایروال مجزا برای هر شعبه، می توان بوسیله Zone-based Firewall قابلیت ها و ویژگی های امنیتی مختلفی را روی روترهای لبه شبکه شعب (vEdge و cEdge) فعال نمود. سرورvManage میتواند با استفاده از تنظیمات و Template های از پیش تعیین شده، قابلیت های امنیتی متعددی را روی تجهیزات SD-WAN فعال کرده تا آنها همانند یک فایروال سیسکو (Firepower) امنیت این شعب را تامین نمایند. تمامی این ویژگی ها بوسیله vManage مدیریت و بواسطه vSmart برروی cEdge ها اعمال خواهند شد.

به منظور پیاده سازی SD-WAN بایستی دقیقا به تعداد روترهای cEdge لایسنس تهیه شود. این لایسنس ها بر اسای پهنای باند، قابلیتها و زمان دارای حالات مختلفی می باشند که تهیه این لایسنس ها برای تعداد زیادی cEdge های موجود در شعب در سازمان های بزرگ مستلزم پرداخت هزینه چند ده هزار دلاری و بعضا چند صد هزار دلاری خواهد بود که این امر عملا پیاده سازی SD-WAN را به امری غیر ممکن تبدیل خواهد نمود.

بدلیل هزینه های بالا و مشکلات متعدد خرید لایسنس اروجینال سیسکو در ایران، شرکت افزار پرداز هوشمند سورنا اقدام به ارائه یک راهکار جایگزین با هزینه بسیار پایین تر (90 الی 95 درصد کمتر از قیمت لایسنس اورجینال) جهت تهیه لایسنس SD-WAN سیسکو نموده است. این راهکار بدین شرح است که اصلاحاتی روی آخرین نسخه از فایل ova مربوط به سرور مجازی vManage انجام می گردد و پس از آن شرکت سورنا قادر خواهد بود نسبت به فعالسازی تمامی لایسنس ها به صورت فول و دائمی با پهنای باند مجموع 500 مگابایت اقدام نماید. این لایسنس از تمامی روترهای cEdge موجود در شبکه SD-WAN از قبیل ASR 1000 ، ISR 1000 ، ISR 4000 ، CSR1000v ، Catalyst 8000 Edge Platform و روتر Viptela Edge پشتیبانی می کند.

لازم به ذکر است سایر سرورهای مورد نیاز در شبکه SD-WAN مانند vBond و vSmart نیازی به اصلاح نداشته و از نسخه اروجینال موجود روی سایت سیسکو استفاده خواهد شد. همچنین نسخه اصلاح شده سرور vManage عملکری کاملا مشابه با نسخه اروجینال داشته و عملکرد صحیح و امکان بروزرسانی آن طی دوره گارانتی دو ساله تضمین می شود.

اگر دوست داشتی امتیاز دادن یادت نره!