با گسترس و پیچیده‌تر شدن شبکه‌های سازمان ها، نیاز به رویکردی ساده‌تر، ایمن‌تر و هوشمند‌تر در مدیریت شبکه بیش از گذشته احساس می‌شود. شرکت سیسکو برای پاسخ به این نیاز، فناوری Cisco Software-Defined Access  یا SD-Access را معرفی کرده است. این فناوری، یکی از سرفصل ها و مباحث مهم در دوره CCNP Enterprise ENCOR (350-401)  به شمار می‌رود و درک صحیح آن برای مهندسان شبکه و امنیت امروزی ضروری است.

SD-Access شبکه را از یک ساختار سنتی مبتنی بر VLAN و ACL به یک معماری مدرن ، مبتنی بر Policy و با امکان Automation تبدیل می‌کند.

Cisco SD-Access چیست؟

Cisco SD-Access یک راهکار شبکه مبتنی بر Software-Defined Networking (SDN) شرکت سیسکو است که مدیریت، اعمال Policy، ایجاد Segmentation و عملیات روزانه شبکه را ساده و خودکار می‌سازد. در SD-Access، کنترل و مدیریت شبکه از حالت سنتی و دستی تغییر می کند و از طربق یک کنترلر مرکزی (Cisco DNA Center) انجام می‌شود.

هدف اصلی SD-Access این است که:

  • طراحی شبکه ساده‌تر شود
  • مدیریت کاربران و دستگاه‌ها آسان شود
  • امنیت و Segmentation در سراسر شبکه به صورت یکپارچه اعمال شود
  • عملیاتDay-0/1/2  به صورت خودکار انجام شود

کاربردهای Cisco SD-Access

SD-Access  در انواع شبکه‌های Enterprise قابل استفاده است، به‌ خصوص:

  • شرکت ها و سازمان های بزرگ
  • سازمان‌های دولتی
  • مجتمع‌های اداری با چندین ساختمان
  • شبکه‌های بیمارستانی
  • سازمان‌هایی که BYOD یا IoT گسترده دارند

چند کاربرد مهم آن:

  1. مدیریت متمرکز کاربران و دستگاه‌ها
  2. افزایش امنیت با  Micro-Segmentation
  3. ایجاد شبکه‌ ای پایدار و قابل پیش بینی
  4. کاهش خطـاهای انسانی در کانفیگ‌ها
  5. پشتیبانی عالی از گسترش شبکه
  6. ارائه‌ی تجربه کاربری یکسان در کل شبکه

مزایای Cisco SD-Access

·         ساده‌سازی عملیات شبکه : بدون SD-Access، اعمال یک Policy در کل شبکه نیاز به تنظیم  VLAN، ACL، VTP، Port Assignment  و دارد. اما در SD-Access، این کار فقط با یک کلیک در DNAC انجام میشود.

·         امنیت بالا Macro و Micro Segmentation: سیسکو SD-Access کمک می‌کند کاربران و دستگاه‌ها در گروه‌های مختلف (SGT) قرار گیرند و دسترسی‌ها کنترل شود؛ بدون اینکه نیاز به ACL های پیچیده داشته باشیم.

·         Automation کامل : از Provisioning سوئیچ‌ها گرفته تا Mapping کاربران و Policyها کاملاً خودکار انجام می‌شود.

·         بهبود  Visibility: با استفاده از Cisco DNA Assurance، امکان مانیتورینگ شبکه و رفتارهای آن، خطایابی خودکار و تحلیل ترافیک فراهم می‌شود

·         مدیریت متمرکز : همه چیز از طریق Cisco DNA Center قابل مدیریت است. دیگر نیازی به کانفیگ تک تک تجهیزات نیست.

·         چابکی در توسعه شبکه : افزودن ساختمان، طبقه یا سایت یا شعبه جدید بسیار سریع‌تر انجام می‌شود.

اجزاء اصلی Cisco SD-Access

معماری SD-Access به نام Campus Fabric  شناخته می‌شود و از اجزاء زیر تشکیل شده است:

·         Cisco DNA Center (DNAC)  مغزمتفکر  SD-Access: این پلتفرم مرکزی موارد زیر را مدیریت می‌کند:

·         اتومیشن کانفیگ‌ها

·         مدیریت کاربران و Policyها

·         طراحی شبکه  (Network Design)

·         پیاده‌سازی  Fabric

·         مانیتورینگ و  Assurance

DNAC  نقش Controller  را در معماری SDN ایفا می‌کند.

·         Fabric Components : شبکه‌ SD-Access از ۴ بخش کلیدی ساخته شده است:

1.      Fabric Edge Nodes : معمولاً سوئیچ‌های Access هستند. این سوئیچ‌ها کاربران، دستگاه‌ها و APها را به Fabric متصل می‌کنند.

2.      Fabric Control-Plane Nodes: مسئولیت دیتابپس (LISP Mapping Server) را بر عهده دارند. وظیفه آنها نگه‌داری اطلاعات Identity و Location کاربران است.

3.      Fabric Border Nodes           : این نودها، Fabric  را به شبکه‌های خارجی مثل Internet یا Data Center متصل می‌کنند.

4.      Intermediate Nodes : وظیفه آنها صرفاً انتقال ترافیک بین Edge و Control Plane است

·         Cisco Identity Services Engine (ISE) :  محصول سیسکو Cisco ISE برای احراز هویت کاربران ، اعمال  پالسی ها ، نقش‌آفرینی در Segmentation بکار می‌رود تگ های SGT نیز توسط ISE و DNAC  مدیریت می‌شوند.

·         VXLAN + LISP Technologies : SD-Access  برای ایجاد Fabric از دو فناوری مهم استفاده می‌کند:

1.      VXLAN : برای Encapsulation  و انتقال ترافیک، مشابه یک شبکه Overlay

2.      LISP : برای مکان‌یابی کاربران و دستگاه‌ها  (Location/ID separation)

نحوه عملکرد SD-Access به زبان ساده

  1. کاربر به Edge به صورت Wired یا Wireless متصل می‌شود.
  2. Edge Node  از طریق ISE هویت کاربر را تایید میکند.
  3. DNAC  و ISE یک Policy برای کاربر اختصاص می‌دهند  (SGT)
  4. ارتباط کاربر با VXLAN با Fabric برقرار می‌شود
  5. هرگونه دسترسی یا محدودیت از طریق پالسی های مرکزی اعمال می‌شود.

نحوه عملکرد SD-Access باعث می‌شود کاربر می تواند با همان Policy ها و شرایط می تواند در هر نقطه از شبکه متصل شود و با همان شرایط از شبکه قابل استفاده کند.

Cisco SD-Access یک تحولی اساسی در شبکه‌های سازمانی ایجاد کرده است. این معماری با فراهم کردن اتومیشن، امنیت یکپارچه، سادگی در مدیریت و قابلیت توسعه بالا، مدیریت شبکه‌ها را ساده‌تر و کارآمدتر کرده است. یادگیری Cisco SD-Access برای مهندسان شبکه که در مسیر حرفه‌ای سیسکو هستند و به دنبال دانش روز هستند ضروری است.

همچنین همان‌طور که اشاره شد، این مفهوم یکی از مباحث مهم دوره  CCNP Enterprise ENCOR است و که در صورت علاقه میتوانید از طریق دوره CCNP Enterprise ENCOR  سایت با مفاهیم Cisco SD-Access بیشتر آشنا شوید.