کنترلر vSmart
کنترلر vSmart در راه کار Cisco SD-WAN نقش بسیار مهمی را بازی می کند، از این کنترلر به عنوان Orchestrator یاد می شود.
اگر با تکنولوژی DMVPN (یکی از تکنولوژی های معروف و اختصاصی سیسکو برای شبکه های WAN) آشنایی داشته باشید، می دانید که می توان از پروتکل هایی همچون BGP OSPF و EIGRP به عنوان کنترل پروتکل Overlay استفاده کرد. این پروتکل ها بر خلاف OMP (پروتکل اختصاصی Cisco SD-WAN) به صورت اختصاصی جهت استفاده های WAN امروزی طراحی نشده اند، بنابراین نمی توانند نیازهای کاربر را در مواجهه با نیازهای امروزی شبکه های WAN تامین کنند.
سیسکو با جداسازی Plane های مختلف (Management, Control و Data) که در این مطلب تمرکز ما بر روی Control Plane می باشد، امکاناتی همچون کنترل کامل و متمرکز بر Control Plane کل سیستم SD-WAN، اعمال سیاست های سازمانی در رابطه با اطلاعات مسیریابی و همچنین مقیاس پذیری بسیار بالایی را ارائه می دهد.
برای درک بهتر می توانید vSmart را همچون BGP Route-Reflector در نظر بگیرید، به صورت پیش فرض (بدون هیچ گونه Policy خاصی) شباهت بسیاری با همدیگر داشته با این تفاوت که پروتکل OMP کاملا مستقل و متفاوت بوده و امکانات بسیار زیادی (در کاربرد SD-WAN) دارد.
کنترلر vSmart را همانند vManage و vSmart می توان به صورت ماشین مجازی (Virtual Machine) بر روی بسترهای ESXi و KVM پیاده سازی کرد. همچنین امکان ارائه آن به صورت Container و یا بر روی AWS و Azure نیز وجود دارد.
از وظایف و ویژگی های کنترلر vSmart می توان به موارد زیر اشاره کرد:
- ایجاد همسایگی یا OMP Peering با روترهای لبه شبکه (WAN Edge Devices)، بنابراین تمامی WAN Edge روترها نیاز به حداقل یک vSmart جهت ایجاد همسایگی (Neighborship) دارند.
- دریافت اطلاعات مسیریابی (روت هایOMP) به همراه TLOC (اطلاعات مربوط به نوع اتصال WAN دستگاه های لبه شبکه) و همچنین Service Route ها (برای استفاده در Service Chaining) و ارسال آن ها به WAN Edge روترهای دیگر.
- توزیع Encryption-Key مابین WAN Edge Router ها (کلید رمزنگاری را از هر WAN Edge دریافت کرده و آن را به دیگران ارسال می کند)، توجه کنید که به دلیل ارائه مقیاس پذیری بالا، IPSec استفاده شده در Cisco SD-WAN از IKE یا Internet Key Exchange استفاده نمی کند، در عوض اطلاعات مورد نیاز برای ساخت تانل های امن IPSec توسط OMP و TLOC روت ها و با کمک vSmart بین روترهای لبه شبکه جابجا می شود.
- اعمال سیاست های Control ،Data و همچنین AAR (Application Aware Routing) تعریف شده توسط کاربر به صورت متمرکز، به عنوان مثال: فیلتر کردن اطلاعات مسیریابی، تغییر توپولوژی SD-WAN Fabric، اعمال Traffic-Engineering و... .
- ایجاد همسایگی با دیگر vSmart ها (تمامی vSmart ها باید با همدیگر همسایگی OMP به صورت Full-Mesh داشته باشند تا اطلاعات و دید آن ها نسبت به شبکه یکی باشد).
- به صورت Off-Path یا Out-of-Band بوده و صرفا برای جابجایی اطلاعات مسیریابی بین روترهای لبه شبکه و همچنین اعمال سیاست ها (Policies) روی اطلاعات مسیریابی و روترهای لبه شبکه استفاده می شود. یا به عبارتی: روت های Overlay را در RIB و یا FIB خود وارد نمی کند بنابراین هیچ گاه ترافیک Overlay به سمت vSmart فرستاده نمی شود.
- پشتیبانی از قابلیت Multi-Path (انتخاب و ارسال چند مسیر یکسان به روترهای لبه شبکه)، این قابلیت امکان فعال سازی EMCP و یا Weighted ECMP را برای روترهای لبه شبکه فراهم می سازد، این ویژگی بسیار حائز اهمیت بوده و در BGP و EIGRP از آن به عنوان قابلیت پیشرفته Add-Path یاد می شود.
همان طور که متوجه شدید، vSmart دارای اطلاعات حیاتی همچون اطلاعات مسیریابی و Encryption-Key بوده و پیشنهاد می شود در پیاده سازی های Multi-Tenant به صورت Node اختصاصی به ازای هر Tenant و برای هر سازمان جداگانه ارائه شود.
در راه کار Cisco SD-WAN ارتباطات (Control Connections) بین تمامی کنترلرها و همچنین روترهای لبه شبکه با کنترلرها توسط DTLS و یا TLS ایمن شده و این ارتباطات بر پایه PKI و استفاده از Certificate ها می باشند.
پیشنهادات سیسکو در رابطه با منابع مورد نیاز، تعداد و افزونگی در راه اندازی vSmart
- در پیاده سازی ها با مقاس پایین استفاده از یک vSmart کافی بوده ولی از آنجایی که این نود نقش حیاتی را در جهت ساخت و مدیریت شبکه Fabric بر عهده دارد بهتر است از دو عدد vSmart جهت Redundancy استفاده شود.
- برای توزیع بار بین vSmart ها می توان آن ها را گروه بندی کرده و روترهای لبه شبکه را به گونه ای تنظیم کرد که گروه خاصی را در اولویت OMP Peering قرار دهند.
- روترهای لبه شبکه به صورت پیش فرض با 2 عدد vSmart همسایگی OMP ایجاد می کنند.
- جهت Redundancy، بهتر است ارتباطات کنترلی بین روترهای لبه شبکه و کنترلرها حداقل از 2 عدد ارتباط WAN ایجاد شود (برای مثال ارتباط اینترنت توسط فیبر نوری و شبکه خصوصی MPLS).
نمونه ای از نحوه راه اندازی کنترلرها در مقیاس 2000 دستگاه WAN Edge و کمتر
نمونه ای از نحوه راه اندازی کنترلرها در مقیاس 4000 دستگاه WAN Edge و کمتر
به گروه بندی کنترلرها در تصویر توجه کنید:توجه: به جای قاره ها می توان در ایران، مراکز استان ها را در نظر گرفت.
منابع مورد نیاز ماشین مجازی برای راه اندازی vSmart
توجه: کنترلر vSmart می تواند به عنوان Container Instance در vContainer نیز پیاده سازی شود.
تعداد Control Connection های پشتیبانی شده توسط هر کنترلر و نیز تعداد آن ها (تست شده در لابراتوار سیسکو)
توجه: هر vSmart توانایی مدیریت 5400 ارتباط کنترلی را داشته (با بیشترین میزان منابع) و تا 20 عدد vSmart در یک Fabric توسط سیسکو در لابراتوار اختصاصی راه اندازی و تست شده است.