قد تكون على دراية بكلمات “SDN” أو “SD-WAN” أو “SD-Access”. SD تعني “المعرفة بالبرمجيات”. إذن، ما الأمر مع كل هذه التقنيات المعرفة بالبرمجيات؟ ما وظيفتها؟ ما الأجزاء والأجزاء التي تشكل حل Cisco 500-470 ENSDENG SD من Cisco 500-470؟ دعنا نرى.
جدول المحتويات
SDN
دعونا نتخيل بعض أجهزة الشبكات التقليدية مثل أجهزة التوجيه والمحولات، بدءًا من الشبكات المعرفة بالبرمجيات أو 500-470 ENSDENG SDN. لديهم ثلاث مستويات مختلفة من التشغيل. لديهم مستوى البيانات المعني بالحصول على إطار أو حزمة في واجهة واحدة وخروجها من واجهة الخروج بأسرع ما يمكن. مستوى التحكم هو المكان الذي تعمل فيه خوارزمياتنا. على سبيل المثال، سيقوم الموجه بتشغيل OSPF على هذا المستوى. قد يقوم المحول بتشغيل بروتوكول الشجرة الممتدة على هذا المستوى. هذه هي المستويات التي تملأ الجداول التي سيتم استخدامها لإعادة توجيه البيانات بواسطة مستوى البيانات. عندما يذهب المسؤولون لتكوين جهاز توجيه أو محول، فإننا نتعامل مع مستوى الإدارة. يمكننا تأمين الصدفة في المحول للقيام ببعض التهيئة. نحن ندخل على مستوى الإدارة.
والآن، دعونا نلقي نظرة على الشبكات المعرفة بالبرمجيات ونرى كيف يمكن لهذا أن يغير منظورنا اليومي لإدارة أجهزتنا بشكل جذري. النموذج الذي عرفناه للتو باسم مستوى التحكم الموزع. وهذا يعني أن مستويات التحكم في هذه الأجهزة موزعة في الأجهزة. بمعنى آخر، لكل جهاز مستوى تحكم خاص به. ومع ذلك، مع وحدة تحكم الشبكات المعرفة بالبرمجيات أو وحدة تحكم الشبكات المعرفة بالبرمجيات، يمكننا أخذ طائرات التحكم تلك من تلك الأجهزة وتشغيلها داخل وحدة تحكم الشبكات المعرفة بالبرمجيات بحيث يتم دفع الجهاز المسؤول وأي معلومات محدثة من وحدة تحكم الشبكات المعرفة بالبرمجيات إلى تلك الأجهزة. يتم هذا الاتصال باستخدام شيء يسمى واجهة برمجة التطبيقات API أو واجهة برمجة التطبيقات. نقول عادةً أن واجهة برمجة التطبيقات (API) التي تنتقل من وحدة التحكم إلى الجهاز هي واجهة متجهة جنوباً. فكر في البوصلة. عادةً ما يكون الجنوب متجهاً جنوباً، وعندما نرسم شبكة SDN
الآن وقد جعلنا طائرات التحكم لدينا مركزية في وحدة تحكم SDN، فقد انتقلنا من مستوى تحكم موزع إلى مستوى تحكم مركزي. الآن، عندما أقول، “لدينا واجهة برمجة تطبيقات تعمل بين وحدة التحكم والجهاز”، ما هو المثال؟ حسنًا، هناك معيار صناعي يسمى OpenFlow. لدى Cisco 500-470 ENSDENG نسخة خاصة بها تسمى OpFlex. هذه بعض الأمثلة على الواجهات المتجهة جنوباً.
كمسؤولين، تتمثل ميزة ذلك في أنه يمكننا القيام بالشبكات القائمة على النية. التعبير عن نيتنا، مثل أريد معالجة حركة مرور الفيديو بهذه الطريقة، ومعالجة حركة مرور الصوت بهذه الطريقة، وإعطاء هذا التطبيق هذا المستوى من الأمان، وما إلى ذلك. نعبر عن نيتنا من خلال عدم الذهاب إلى كل جهاز وإدخال الأوامر الصحيحة على كل جهاز. نحن نعبر عن مقصدنا من خلال تطبيق. يتحدث هذا التطبيق إلى وحدة التحكم باستخدام NBI أو الواجهة الشمالية لأن التطبيقات التي نرسمها تكون فوق وحدة تحكم SDN أو شمال وحدة التحكم. ستسمى هذه الواجهات NBIs واجهات متجهة شمالاً.
هنا، نحن لا نتحدث هنا عن OpFlex أو OpenFlow. نحن نستخدم شيئًا يسمى REST APIs. REST تعني نقل الحالة التمثيلية. ماذا يعني ذلك بالضبط؟ يعني أننا نستخدم أفعال HTTP مثل التي تستخدمها عند التفاعل مع صفحة ويب لإرسال المعلومات إلى وحدة التحكم لاسترداد البيانات حتى تتمكن من رؤية حالة جهاز التوجيه. يجب تنسيق المعلومات التي يتم إرسالها باستخدام أفعال HTTP هذه بطريقة معينة. أحد التنسيقات الشائعة هو JSON. يرمز JSON إلى Javascript Object Notation.
الشبكة الواسعة
الآن، لنلقِ نظرة على SD-WAN، والتي تعني الشبكة الواسعة المعرفة بالبرمجيات. لفهم فوائد SD-WAN، لننظر أولاً في شبكة WAN التقليدية. يتصل موقع مقرنا الرئيسي بمواقعنا البعيدة عبر شبكة واسعة تقليدية. يوجد عادةً مركز بيانات على الجانب الأساسي. يمكننا استخدام مجموعة متنوعة من تقنيات الشبكة الواسعة النطاق العريضة 500-470 ENSDENG للقيام بذلك. فيما يلي بعض الأمثلة- لدينا شبكات MPL أو إيثرنت المترو، ولأننا كنا ننتقل عبر دائرة واحدة من موقع إلى آخر، كان لدينا أداء يمكن التنبؤ به للغاية. يمكننا تكوين الأمان على أجهزة التوجيه الطرفية تلك. العيب هو أننا إذا أردنا الخروج إلى الإنترنت، فقد نضطر إلى المرور عبر موقع المقر الرئيسي، أو ربما كان علينا إجراء ربط خلفي. ربما كان علينا الذهاب إلى مركز البيانات لإجراء فحص أمني والعودة إلى موقعنا البعيد.
مع الشبكات واسعة النطاق المعرفة بالبرمجيات، تنتقل العديد من التطبيقات إلى السحابة. فلدينا سحابة أمازون، وخدمات أمازون ويب AWS، ومايكروسوفت أزور، وسحابة جوجل، ودروب بوكس. يمكن للتطبيقات المستندة إلى السحابة أن تمنحنا الأمان وجودة الخدمة وتجربة أداء يمكن التنبؤ بها. لا نحتاج إلى إجراء أي نقل خلفي إلى المقر الرئيسي. إذا أراد موقع بعيد الخروج إلى الإنترنت، فيمكنه الخروج مباشرة. يجب أن تفهم هنا أنه قد يكون لدينا تقنيات مختلفة تربط بين مواقعنا. لقد حصلت على ثلاثة أماكن في الصورة أعلاه، ولكن قد تصبح الأمور أكثر تعقيدًا في المؤسسات الكبيرة.
على سبيل المثال، ضع في اعتبارك الطوبولوجيا أعلاه مع بعض المواقع، وسترى كيف تترابط هذه الأجهزة فعليًا. نسمي هذا بالشبكة السفلية، أو قد نشير إلى ذلك بالبنية التحتية المادية. ولكن مع شبكة SD-WAN، يمكننا تحديد طوبولوجيا لدينا. بعبارة أخرى، يمكننا التعبير عن اتصالات شبكة المنطقة الواسعة الخاصة بنا. أريد وصلة من المكتب العلوي الأيسر إلى المكتب الأيمن السفلي الأيمن وزمالة من المكتب الأيسر السفلي إلى مركز البيانات الأيمن العلوي. وما زلت أحدد ما سيكون عليه الأداء لأنني ما زلت أختار المسار الذي سأسلكه. ما يمكننا فعله مع SD-WAN هو وضع طوبولوجيا افتراضية فوق تلك الطوبولوجيا المادية. وهذا ما يسمى بشبكة SD-WAN المتراكبة. هذه هي بنيتنا التحتية الافتراضية حيث، من منظور هذه الموجهات.
في الواقع، قد يمرون عبر عدة موجهات أخرى بينهما. لكن الأمر لا يبدو كذلك بالنسبة لهم. لأن ما يحدث هنا هو أن لدينا أنفاق افتراضية آمنة يتم إعدادها عبر الشبكة الواسعة. نحن لا ننتقل من جهاز توجيه إلى آخر ونقوم بتكوين الأشياء بشكل فردي. هذه إحدى مزايا وظائف مستوى التحكم هذه. لم يعد من الضروري أن تكون موجودة في أجهزة التوجيه. يمكننا تنفيذ هذه المهام داخل وحدة تحكم SD-WAN الخاصة بنا. يمكن أن يكون لدينا العديد من اتصالات wan المادية – الخلوية إلى شبكة إيثرنت المترو، ومودم الكابل، و MPLs، وما إلى ذلك. وطالما أننا نقوم بتثقيف وحدة تحكم SD-WAN الخاصة بنا حول هذه التقنيات، فسوف تتولى الأمر. سوف يرسل أوامر التكوين المناسبة إلى أجهزة التوجيه الخاصة بنا. إنه يعرف ما هو متاح على تلك الموجهات، لذا سيمنحنا جودة الخدمة الأمنية والأداء المتوقع الذي كان لدينا مع تلك الاتصالات التقليدية من نقطة إلى نقطة.
الوصول إلى SD-Access
بعد ذلك، دعونا نفكر في SD-Access. عند هذه النقطة، يمكننا اعتبار SD-Access تقدماً أو بديلاً لقوائم التحكم في الوصول التقليدية. دعونا نلقي نظرة على بعض ميزاته. تخبرنا Cisco أن SD-Access هو الجيل التالي في تطبيق السياسة. بدلاً من وجود قوائم التحكم في الوصول الفردية التي تنص على أن عنوان IP هذا يمكن أن يذهب إلى عنوان IP الآخر هذا باستخدام رقم منفذ TCP هذا، سنستخدم هنا قوائم التحكم في الوصول لمجموعة الأمان. لذا، بدلاً من تحديد هوية شخص ما بناءً على عنوان IP الذي يستخدمه في الوقت الحالي، سيعتمد الأمر على هويته. ستكون هويتهم معروفة على Cisco 500-470 ENSDENG ISE، محرك خدمات الهوية. مثل تقنياتنا الأخرى المعرفة بالبرمجيات، سنقوم بإضفاء الطابع الافتراضي على الشبكة المادية. يمكن أن يكون لدينا شبكات افتراضية متعددة، وكلها تستخدم نفس الشبكة المادية، ويمكننا منح الشبكات الافتراضية المختلفة سياسات مختلفة.
لنفكر في مثال أساسي لاستخدام ACL تقليدي حيث نقوم بتكوين التحكم في الوصول يدويًا. أولاً، لدينا قائمة التحكم بالوصول التي تنص على أننا نريد السماح للكمبيوتر الشخصي 1 بعنوان IP 192.168.1.100. ثم نريد أن نسمح لعنوان IP هذا بالذهاب إلى الخادم، الذي لديه عنوان IP 192.0.2.3. نريده أن يذهب إلى هذا الخادم باستخدام منفذ TCP 443 منفذ HTTP الآمن. سيسمح ACL الخاص بالموجه R1 بحركة المرور هذه دون أي مشاكل. ولكن ماذا لو أخذ هذا المستخدم حاسوبه الشخصي، أو كان حاسوباً محمولاً أخذه إلى مكان آخر في المبنى أو المؤسسة؟ ماذا لو اتصل فجأة بشبكة فرعية مختلفة بعنوان IP مختلف؟ هنا، عنوان IP هو 203.0.113.125.
هل يمكنك أن ترى أنه مع زيادة عدد القوى العاملة المتنقلة اليوم، سيكون من الصعب أكثر فأكثر تقييد أو منح الوصول إلى الموارد استناداً إلى ACLs؟ بدلاً من ذلك، أدخل الوصول المعرّف بالبرمجيات. مع الوصول المعرّف بالبرمجيات، سيكون لدينا مجموعات أمنية. أعلاه، لدينا مجموعة أمنية تسمى تكنولوجيا المعلومات، مع بعض الأعضاء – كيفن وتشارلز. إن Cisco 500-470 ENSDENG ISE، محرك خدمات التعريف، هو لتحديد هوية كل عضو. بدلًا من وجود ACL عادي يسمح لعنوان IP هذا بالذهاب إلى منفذ HTTPS على الخادم، لدينا هنا ACL مجموعة أمنية ACL تساعد مجموعة أمن تكنولوجيا المعلومات على الذهاب إلى هذا المنفذ. هنا، لقد قمت بتسجيل الدخول إلى جهاز الكمبيوتر 1 بهويتي كيفن، عضو مجموعة تكنولوجيا المعلومات، وسمح لي بالوصول إلى الخادم.
والآن، دعونا نلقي نظرة على بعض أجزاء وأجزاء حل Cisco SD-Access. مرة أخرى، سنقوم بتقسيم هذا إلى طبقات مختلفة، بدءًا من أسفل الطبقة المادية. تتكون معدات البنية التحتية الفعلية لدينا من الطبقة المادية. هنا، قد يكون لدينا هنا موجهات ومبدلات ووحدات تحكم في الخطوط اللاسلكية. أما في أعلى طبقة الشبكة، فلدينا كل من الشبكة السفلية المادية والشبكة الافتراضية التي تقع فوق الشبكة السفلية. الشبكة المتراكبة للوصول إلى SD. نشير إلى هذا على أنه نسيجنا الافتراضي في بعض الأحيان. إذا انتقلنا إلى طبقة وحدة التحكم، فسنرى مركز Cisco DNA، الذي سيرسل التعليمات باستخدام واجهات برمجة التطبيقات المتجهة جنوبًا إلى أجهزتنا. سيعيش ذلك في طبقة وحدة التحكم.
يوجد Cisco ISE، الذي يمنح الإذن للهويات المختلفة، في هذه الطبقة أيضًا. ستكون واجهة المستخدم الرسومية لمركز Cisco DNA بمثابة واجهتنا لإدارة كل شيء. هذا في طبقة الإدارة. وكل هذا يشكل حل Cisco 500-470 ENSDENG SD-Access من Cisco 500-470. آمل أن تكون قد اكتسبت معرفة مفصلة عن شبكات SDN وشبكات SD-WAN و SD-Access ووظائفها وبنيتها. هذا كل شيء بالنسبة لهذا الأمر. شكرًا لك على الانضمام.
فهم SDN و SD-WAN و SD-Access مع 500-470 ENSDENG
About the Author
