Cisco Software-Defined Access (SD-Access)

راهکار Cisco SD-Access مبتنی بر Digital Network Architecture می باشد که بر روی مفهوم Intent-based Networking ساخته می شود. Cisco SD-Access یک انقلابی در بحث فناوری اطلاعات می باشد که امکان دید وسیعتر و تعریف و اعمال کردن پالسی ها بر اساس نیازهای کاربران در شبکه را فراهم می کند. ایزوله کردن و دسته بندی کردن شبکه که نتایج آن ، کم کردن ریسک هایی که می تواند در خود تهدیداتی را داشته باشد را در بر دارد . از این راهکار به عنوان Next-generation  استفاده می شود که شامل برخی از عناصر اساسی و مهم را در بر میگیرد :

Controller-based architecture

در شبکه های قدیمی تمرکز بر روی مدیریت Per-Device  وجود داشت که خود این موضوع زمان زیادی را از Admin  میگرفت و حتی پیچیدگی هایی نیز به همراه داشت که بعضا Admin  دچار اشتباه می شد. Cisco SD-Access  از DNA به منظور اجرای دستورات که در اختصار Command and Control نامیده می شود استفاده می کند . که شرکت سیسکو از این راهکار به عنوان Day0 Configuration  نام میبرد که در آن تمامی Device  ها و پالسی هایی که به کابران و Endpoint ها اعمال می شود را در بر میگیرد .

Network fabric

قلب تپنده و اصلی راهکار SD-Access کنترلر مرکزی می باشد که به منظور پیکربندی و مانیتورینگ و عیب یابی در شبکه استفاده می شود . با وجود این کنترلر ما می توانیم یک شبکه در قالب Logical-Blocks  ایجاد کنیم که در واقع به نام Fabric  نامیده می شود. Fabric  از Virtual Network  که در واقع همان مفهوم Virtual Routing and Forwarding ( VRF )  می باشد را استفاده می کند که بتواند دسته بندی یا Segmentation را برای ما فراهم کند. Virtual Network    یا به اختصار VN از Control Plane  به منظور نگهداری کردن از Database  یک به یک Endpoint  ها استفاده می شود. Database  فوق شامل اطلاعاتی نظیر Endpoint ID و Endpoint Location  می باشد . از مزیت های Cisco SD-Access  جداسازی Control Plane  از Data Plane می باشد که از پیچیدگی کم می کند . در Control Plane  از پروتکل Locator ID Separation Protocol (LISP) استفاده می کند و در Data Plane  از پروتکل Virtual Extensible LAN (VXLAN) به منظور Encapsulation  استفاده می شود . در مفاهیم شبکه همیشه از سه مبحث Control Plane , Data Plane  و Management Plane  صحبت می کردیم اما در Cisco SD-Access  علاوه بر این سه Plane  از Policy Plane  نیز استفاده می کنیم که وظیفه این Plane  به عهده Cisco ISE  می باشد و دسترسی ها را بر اساس SGACL فراهم می کند

Programmable infrastructure

به منظور ایجاد یک زیر ساخت مدرن ، شرکت سیسکو تجهیزات فعلی و آینده خود را به یک سری توانایی های پیشرفته مجهز کرده تا بتواند full lifecycle management را در حالی که به صورت متن باز و مبتنی بر استاندارد و قابل توسعه است را پیشتبانی کند . تکولوژی های کلیدی شامل : automated device provisioning که قابلیت zero-touch provisioning و Plug and Play را برای ما فراهم می کند . این اصطلاحات به این منظور می باشد که  زیر ساخت شبکه که شامل روترها و سوییچ ها به عنوان مثال می باشد نیاز به مداخله پیکیربندی به صورت Manual  وجود ندارد وتمامی پیکیربندی توسط SD-Access  انجام می شود .

open API interface:   در واقع یک رابط کاربردی می باشد که به Customer ها این اجازه را می دهد که به صورت کاربردی ، ایمن وهمچنین مقیاس پذیری به داده ها دسترسی داشته باشند و ازآنها استفاده کنند. ما بعنوان مهندس شبکه معمولاً از رابط خط فرمان (CLI) یا GUI برای پیکربندی یا نظارت بر دستگاههای شبکه خود استفاده می کنیم. تجزیه و تحلیل دستورات نمایش و اشکال زدایی با اسکریپت ها دشوار است. برای تعامل با برنامه ها یا دستگاه های شبکه ، می توانیم از یک رابط برنامه نویسی برنامه (API) استفاده کنیم. در واقع API یک رابط نرم افزاری است که به برنامه های دیگر اجازه می دهد تا با برنامه ما ارتباط برقرار کنند.

granular visibility که از عناصر توانمندی مانند NetFlow به منظور پایش و مانیتور کردن شبکه استفاده می کند و همچنین seamless software upgrades  که به منظور آپدیت کردن تجهیزات شبکه از طریق Cisco SD-Access  انجام می شود را برای ما به ارمغان می آورد

Cisco SD-Access enefits

  • دید وسیع بر روی شبکه و کاربران و Endpoint ها  با استفاده از توانایی های advanced analytics  و compliance از جمله قابلیت های SD-Access می باشد. به کار گرفتن هوش مصنوعی و استفاده از قابلیت machine learning  به منظور دسته بندی Endpoint  ها داخل Logical Group ها نیز از مزیت های این پلتفرم می باشد.
  • استفاده از تجزیه و تحلیل سیاست با تجزیه و تحلیل کامل جریان های ترافیکی بین گروه های مختلف و استفاده از آن برای تعریف سیاست های دسترسی مبتنی بر Group Base Endpoint ها، که این سیاست ها را با استفاده از یک رابط گرافیکی ساده تعریف ، تنظیم و اجرا می کنیم .
  • به منظور برقراری امنیت از روش های Micro segmentation و Macro segmentation  بر روی بستر های Wired  و Wireless  استفاده می کنیم. که با استفاده از قابلیت Virtual Network  و Identity Service Engine  روش های فوق قابل انجام و پیاده سازی می باشند.

تقسیم بندی شبکه یا همان Network Segmentation  بر این اساس شکل میگیرد که چه Device هایی داخل شبکه وجود دارد. اما با گسترش روز افزون و رشد سریع انواع مختلفی از دستگاه ها و سخت افزار ها این امر می تواند چالش برانگیز و بسیار سخت باشد. از قابلیت های Cisco SD-Access  به AI endpoint analytics اشاره کرد . این قابلیت از چندین منبع اطلاعات یا همان multiple data sources  به منظور شناختن unknown devices بر اساس State  آنها در شبکه استفاده می کند سپس از تکنیک های AI / ML برای نظارت هوشمندانه بر ویژگی های رفتاری و گروه بندی دستگاه های مشابه استفاده می کند تا بتوان سیاست را برای گروه اعمال کند. این اولین مانع بسیاری از پروژه های تقسیم بندی مشتریان را کاهش می دهد یا از بین می برد. تقسیم بندی شبکه مستلزم آگاهی از رفتار مناسب و مورد انتظار دستگاهها در شبکه است. تجزیه و تحلیل سیاست مبتنی بر گروه ، یکی دیگر از ویژگی های مرکز DNA سیسکو ، جریان های ترافیک شبکه را جمع آوری و تحلیل می کند ، رفتارهای مشاهده شده را بر اساس انواع دستگاه دسته بندی می کند و سپس سیاست های تقسیم بندی کلی را پیشنهاد می دهد.