CCNA Gün 55 - Software-Defined Networking - Networkous

Bu Yazıda SDN (Software-Defined Networking), Cisco SD-Access, Cisco DNA Center Hakkında Bilgi Edinip DNA Center ve Geleneksel Ağ Yönetimini Karşılaştıracağız.

Bu Yazıdan Önce Network Automation, JSON, XML & YAML ve REST APIs Yazılarını okumanızı Tavsiye Ederim.

SDN (Software-Defined Networking)

Control Plane İşlevlerini Controller adı Verilen Uygulamada Merkezileştiren Ağ Oluşturma Yaklaşımıdır.

Wireless Configuration Yazısında WLC'yi Yapılandırırken Buna Benzer Bir Yapı Görmüştük. WLC Kullanırken Birçok İşlev Wireless AP'lerden Kaldırılır ve WLC'de Merkezileştirilir. Bu Nedenle Wireless AP'lerin Öncelikli Rolü Yalnızca Trafiği İletmek olur.

SDN, Software-Defined Arcihecture (SDA) veya Controller-Based Networking olarak da Adlandırılır.

Geleneksel Control Plane, Dağıtılmış Mimari Kullanır.

• Örneğin Her Router OSPF Çalıştırır, Rota Bilgilerini Diğer Router'lar ile Paylaşır ve Ardından Her Bir Hedef için Rotalarını Bağımsız olarak Hesaplar.

SDN Controller, Control Plane İşlevlerini Merkezileştirir.

• Control Plane İşlevlerinin Ne Kadarının Merkezileştirildiği Büyük Ölçüde Değişebilir.

• Farklı Birçok SDN Çözümü Vardır. Controller ve Ağ Cihazlarının Rolü Her Çözümde Farklılık Gösterir.

Controller, API (Application Programming Interface) Kullanarak Ağ Cihazları ile Etkileşime Geçebilir.

• SBI (Southbound Interface), Controller ve Kontrol Ettiği Ağ Cihazları Arasındaki İletişim için Kullanılır.

• NBI (Northbound Interface), Uygulamayı (App) Kullanarak Controller ile Etkileşime Girmemizi Sağlar.

SDN Architecture

App Yukarıda, Controller Ortada ve Ağ Cihazları Alt Tarafta. Aslında Mimarideki Bu Üç Katmanın İsimleri Var.

Application Layer

• SDN Controller ile Etkileşime Giren App / Script İçerir. Bunu OSI Model Application Layer ile Karıştırmayın, Bu Tamamen Farklı Bir Kavramdır.

Control Layer

• Application Layer'dan Talimatları Alan ve İşleyen SDN Controller İçerir.

• Aynı Zamanda Ağın Merkezi Control Plane'inini de İçerir.

Infrastructure Layer

• Mesajları Ağ Üzerinden İletmekten Sorumlu Ağ Cihazlarını İçerir.

Ara Not: Kampüs Ağı (Campus Area Network (CAN))

• Birkaç Yerel Alan Ağı (LAN) Birbirine Bağlayan Büyük Bir Ağdır. Kampüs Ağı, Belirli Bir Alandaki Birden Fazla Binaya Yayılabileceği için Yerel Alan Ağından Daha Büyüktür. Örnek Olarak Üniversite Kampüsleri Verilebilir. Ağa (Kablolu veya Kablosuz) Erişimi olan Kullanıcıların Ağdaki Diğer Sistemlerle Doğrudan İletişim Kurabilmeleri Nedeniyle LAN'lara Benzer Şekilde Çalışırlar.

• Kampüs Ağının İki Temel Faydası Vardır.

• Güvenlik

• Geniş Alan Ağından (WAN) Farklı Olarak CAN, Tek Bir Kuruluş Tarafından Yönetilir. Ağ Yöneticileri, Ağ Erişim Kurallarını Yapılandırabilir ve Ağ Erişimini İzleyebilir. Yetkisiz Ağ Erişimine Karşı Güvenlik Duvarları Genellikle CAN ve İnternet Arasına Yerleştirilir.

• Hız

• CAN İçindeki İletişim Yerel Ağ Üzerinden Gerçekleştiğinden Ağ İçindeki Sistemler Arasındaki Veri Aktarım Hızları Genellikle Tipik İnternet Hızlarından Daha Yüksektir. Bu, Büyük Dosyaları Ağdaki Diğer Kullanıcılar ile Paylaşmayı Kolaylaştırır. Örneğin İnternet Üzerinden İş Arkadaşınıza Uzun Bir Video Göndermek Birkaç Saat Sürebilir Ancak Bu Aktarım CAN Üzerinde Büyük İhtimalle Yalnızca Birkaç Dakika Sürecektir.

• CAN Ayrıca Enterprise Area Network olarak da Bilinir.

SD-Access

Kampüs Ağlarını Otomatikleştirmeye Yönelik Cisco'nun SDN Çözümüdür.

• ACI (Application Centric Infrastructure), Data Center Ağlarını Otomatikleştirmeye Yönelik Cisco'nun SDN Çözümüdür.

• ACI Data Center Ağlarında Yaygın olarak Spine-Leaf Mimarisi Kullanılmaktadır.

• SD-WAN, WAN Ağlarını Otomatikleştirmeye Yönelik Cisco'nun SDN Çözümüdür.

Cisco DNA Center = SD Access Controller

SD-Access Architecture

Merkezde (Control Layer) DNA Center Var. Bunun Altında (Infrastructure Layer) Kampüs Ağındaki Ağ Cihazları Var.

Application Layer, DNA Center ile Etkileşime Giren App / Script İçerir. App / Script Kişisel olarak Geliştirilebilir, Üçüncü Taraf Araçlar Kullanılabilir veya Doğrudan Cisco'dan Araçlar Kullanılabilir. DNA Center'ın Kendisi de Kontrol Etmek için Kullanabileceğimiz GUI'ye Sahiptir.

❗Underlay, Kablolu / Kablosuz Cihazlar ve Bağlantılarından oluşan Temel Fiziksel Ağdır.

❗Overlay, Fiziksel Ağ (Underlay) Üzerinde Oluşturulan Sanal Ağdır.

• SD-Access, Tünel oluşturmak için VXLAN (Virtual Extensible LAN) Kullanır.

❗Fabric, Underlay ve Overlay Birleşimidir. Bir Bütün olarak Fiziksel ve Sanal Ağ.

Örnekler

• Underlay

• Multilayer Switch'ler ve Aralarındaki Bağlantılar Underlay Oluşturur.

• Overlay

• LAN'daki Hostlar Birbirleri ile İletişim Kurmak İstediğinde Trafik VXLAN Tunnel Üzerinden Gönderilir.

• Fabric

• Fabric, Bir Bütün olarak Fiziksel ve Sanal Ağa Atıfta Bulunur (Overlay + Underlay). SD-Access'in Çalışması için Her İkisi de Gereklidir.

SD-Access Underlay

Overlay VXLAN Tünelleri (Sanal Ağ) Oluşturmak için Öncelikle Cihazların Birbirine Bağlı olması ve Diğerlerine Ulaşabilmesi Gerekir.

SD-Access'te Switch için Üç Farklı Rol Vardır:

• Edge Node: Hostlara Bağlanır.

• Border Node: SD-Access Alanı Dışındaki Cihazlara Bağlanır. Örnek: WAN Router.

• Control Node: LISP Protokolü ile Çeşitli Control Plane İşlevlerini Gerçekleştirir.

Ağ Donanımınız ve Yazılımınız Destekliyorsa Mevcut Bir Ağın Üzerine SD-Access Ekleyebilirsiniz.

• Hangi Donanımların Desteklendiğini Merak Ediyorsanız Google'da 'Cisco SD-Access Compatibility Matrix' Araması Yapabilirsiniz.

• Halihazırda Var Olan Bir Ağa SD-Access Eklediğinizde Buna Brownfield Deployment Denir.

• Bu Durumda DNA Center, Underlay Yapılandırmayacaktır. Çünkü Bu, Çalışan Mevcut Ağ için Büyük Risk olabilir. İdeal olarak SD-Access Amacıyla Oluşturulmuş Tamamen Yeni Bir Ağ Kullanılır.

SD-Access Underlay için Sıfırdan Bir Ağ Oluşturulduğunda Buna Greenfield Deployment Denir ve SD-Access Underlay, DNA Center Tarafından Yapılandırılacaktır.

• SD-Access Underlay'deki Tüm Switch'ler Layer 3'tür ve Yönlendirme Protokolü olarak IS-IS Kullanılır.

• Switch'ler Arasındaki Tüm Bağlantılar Routed Port olduğundan Layer 2 Döngülerinden Kaçınmak için STP Kullanmaya Gerek Yoktur.

• Edge Node (Access Switch), Hostlar için Default Gateway olarak Hareket Eder.

• Layer 3'ü Hostların Bağlandığı Access Switch'e Kadar Getirdik. Bu Nedenle Artık Access Layer Yerine Routed Access Layer Terimini Duyabiliriz.

Örnek

STP'nin Layer 2 Döngülerinden Kaçınmak için Kullanıldığına ve Hostlar için Yedekli Default Gateway Sağlamak için Distribution Layer Switch'ler Tarafından FHRP'nin Kullanıldığına Dikkat Edin. Hostlar Trafiği LAN Dışına Göndermek için Sanal IP Adres (192.168.1.1) Kullanacaklardır.

SD-Access Underlay'de Switch'ler Arasındaki Tüm Bağlantılar Layer 3'tür ve Yönlendirme Bilgilerini Değiştirmek için IS-IS Kullanılır. Access Layer Switch'ler, Hostlar için Default Gateway Görevi Görür (Routed Access Layer). STP ve FHRP'nin Artık Gerekli Olmadığına Dikkat Edin.

SD-Access Overlay

LISP Protokolü, SD-Access Control Plane İşlevlerinin Gerçekleştirilmesini Sağlar.

• EID (Endpoint Identifiers): Edge Switch'e Bağlı Hostları Tanımlar. 

• RLOC (Routing Locators): Hostlara Ulaşmak için Kullanılabilecek Edge Switch'i Tanımlar.

EID ile RLOC Eşlemelerinin Listesi Tutulur ve Hedef Hostları Bulmak için Geleneksel Route Tablosu Yerine DNS Benzeri Eşleme Sistemi Kullanılır.

Cisco TrustSec (CTS), QoS, Güvenlik Politikası, vb. Sağlar.

VXLAN, SD-Access Date Plane İşlevlerinin Gerçekleştirilmesini Sağlar. Data Plane'de Trafiği Gerçekten İletmek için Kullanılan Tüneli Oluşturur.

VXLAN Tünellerinin LISP ile Nasıl Çalıştığına Bakalım.

SW3'ün Control Node Olduğuna Dikkat Edin. Bu Nedenle LISP için Önemlidir. SW2, PC2'nin SW2 Aracılığı ile Erişilebilir olduğunu SW3'e (Control Node) Söyler. SW3 Bu Eşlemeyi Oluşturur.

PC1, PC2'ye Trafik Göndermek İstiyor. Bu Nedenle Trafiği Default Gateway, SW1'e Gönderir.

SW1, SW3'e PC2'ye Nasıl Ulaşabilirim? Sorar. SW3, PC2'ye SW2 Aracılığı ile Ulaşılabileceğini Bildirir. PC1'in Mesajı, SW1 ve SW2 Arasında Oluşturulan VXLAN Tunnel Üzerinden İletilir.

Cisco DNA Center

Cisco DNA Center'ın İki Ana Rolü Vardır:

• SD-Access Mimarisinde SDN Controller.

• Geleneksel Ağda (SD Access Olmayan) Ağ Yöneticisi.

• Bu Durumda SD-Access İşlevleri Sağlamasa da Ağı İzlemek, Analiz Etmek ve Yapılandırmak için Yine de Merkezi Bir Nokta Görevi Görür.

DNA Center, Cisco UCS Server Donanımı Üzerinde Kurulu Bir Uygulamadır.

Cisco DNA Center, Kendisi ile İletişim Kurulması için REST API'ye Sahiptir.

SBI, Cihazları Kontrol Etmek / İzlemek için NETCONF ve RESTCONF gibi Protokollerin Yanı Sıra Telnet / SSH, SNMP gibi Geleneksel Protokolleri de Destekler.

DNA Center, Amaca Dayalı Ağ Oluşturma - Intent-Based Networking (IBN) Sağlar.

• Mühendisin Ağ Davranışına Yönelik İsteklerini DNA Center'a İletmesine İzin Verir ve Ardından DNA Center, Cihazlardaki Gerçek Yapılandırmaların ve Politikaların Ayrıntılarıyla İlgilenecektir.

• Süreç Basitleşir ve Mühendislerin Cihazlardaki Politikaları Tek Tek Analiz Edip Yapılandırmaktan Daha Önemli Şeylere Zaman Ayırmasına Olanak Tanır.

• Örnek
• ACL Kullanan Geleneksel Güvenlik Politikaları Çok Hantal Hale Gelebilir.

• ACL'lerin Binlerce Girişi Olabilir.
• ACL Girişlerinin Amacı Zamanla ve Mühendisler Ayrılıp Yeni Mühendisler Devraldıkça Unutulur. Başka Bir Mühendisin Yapılandırmalarına Bakmak ve Amacını Anlamaya Çalışmak Genellikle Kolay Bir İş Değildir.
• ACL'leri Ağ Üzerinde Doğru Şekilde Yapılandırmak ve Uygulamak Zahmetlidir, Hataya Yer Bırakır.

• DNA Center, Mühendisin Ağ Üzerindeki Politikaları Belirlemesine İzin Verir (Bu Kullanıcı Grubu Bu Grupla İletişim Kuramaz, Bu Grup Bu Server'a Erişebilir Ancak Diğer Server'a Erişemez, vb.). DNA Center, Politikanın Uygulanması için Tüm Ayrıntılar ile İlgilenecektir.

DNA Center Politika Yapılandırılması Böyle Görünür:

Sol tarafta Kaynak Gruplar (Source Groups) Var. Önce Grupları, Hangi Kullanıcıların Hangi Gruba Ait olduğunu Tanımlamanız Gerekir. Üst Tarafta Hedef Gruplar (Destination Groups) Var.

Yeşil Bölümde Politika Türlerini Belirten Renkler Var. Developers Grubundaki Kullanıcılardan Test_Servers Grubuna Yönelik Tüm Trafiğe İzin Verilmesi Gerektiğini (Permit) Varsayalım.

Guest Grubundan Kaynaklanan Trafik Ne olacak? Server'lara Erişememesi Gerekir, Bu Yüzden Bunu Deny Yapacağız.

Employees Grubundaki Kullanıcılar? Belki Bu Çeşitli Faktörlere Bağlıdır, Tüm Trafiğe İzin Veremeyiz veya Reddedemeyiz, Bu Nedenle Bunun için Custom Bir Politika Yapmak İsteriz.

Politikalar Tanımlamaya Devam Edebiliriz. SD-Access Fabric'de Politikalar Oluşturmak ve Uygulamak Çok Basit / Anlaşılırdır. Cihazlarda Birer Birer Politikaları Yapılandırmanıza Gerek Yok.

Burada Tüm Süreci Göstermiyorum, Ancak Dikkat Edilmesi Gereken Bir Diğer Nokta, Mühendisin Yapılan Her Bir Politika için Açıklama Yazabilmesi ve Böylece Politikaların Amacını Daha Sonra Anlamayı Çok Daha Fazla Kolaylaştırmasıdır.

Şimdi DNA Center'ın Diğer Bazı Özelliklerine Göz Atalım.

Sol Tarafta Menüde Gördüğünüz Gibi Çeşitli Bölümler Var ve Design Bölümünü Açtım. Burada Ağ Hiyerarşisi Oluşturabilir, IP Adres / Subnet Yönetebilir, DHCP / DNS Server, vb. Yapılandırabilirsiniz.

Örneğin Aşağıdaki Resimde Bir Harita Üzerinde SJC-20 Adlı Site Görülüyor.

İşletmenizin Tüm Dünyadaki Sitelerini Haritalandırabilir ve Ülke, Şehir, vb. Bazında Hiyerarşiler oluşturabilirsiniz.

Policy Menüsünde Daha Önce Size Gösterdiğim Örnekte olduğu gibi Politikaları Yapılandırabilirsiniz.

Provision Menüsünde Cihaz Envanterimizi Yönetebilir ve Yeni Cihazlar Ekleyebiliriz. Menüde Görebileceğiniz gibi Diğer Hizmetler de Mevcuttur.

Inventory Sayfası:

Kenar Çubuğundaki Global Sekmesi Altında Üç Adet Atanmamış Cihaz olduğunu Görebilirsiniz. Varsayılan olarak DNA Center'a Cihaz Eklediğinizde Belirli Bir Siteye Atayana Kadar Global Sitenin Altında Olacaktır.

Managebility Sütununda Cihazların Durumlarını Görebilirsiniz. Managed, DNA Center Kontrolünde olduğu, Bağımsız Cihaz olmadığı Anlamına Gelir. Bu Aynı Zamanda DNA Center'a Bir Cihaz Eklediğinizde Varsayılan Ayardır.

Compliance Sütununda En Üstteki Cihazın Politikalarımıza Uygun, Ancak Alttaki İki Cihazın Uygun olmadığını Görüyoruz.

Uyumlu olmayan Cihazlardan Birine Tıkladım ve Neden Uyumsuz olarak Etiketlendiğini Görebiliriz.

Software Image (IOS Version) Güncel Değil. Sürüm 17.03.03 olmalıdır, Ancak Şu Anda 16.11.1c'dir. Güncellemek için DNA Center Kullanabiliriz.

Assurance Menüsünde Ağın Durumunu İzleyebilirsiniz.

DNA Center ile Cihazların Sorunsuz Çalıştığından Emin Olabiliriz. Örneğin Ağdaki Hangi Cihazların DNA Center Tarafından 'Healthy' olarak Değerlendirildiğini Aşağıdaki Resimde Görebilirsiniz.

4 Cihazdan 3'ünün Sağlığı İyi ve 1 Tanesinin Sağlık Verisi Yok.

DNA Center'a Göz Atmak İsterseniz sandboxdnac.cisco.com Adresinden Kullanıcı Adı: devnetuser ve Parola: Cisco123! Bilgileri ile Erişim Sağlayabilirsiniz.

CCNA için DNA Center'ın Tüm İşlevlerine Aşina olmanıza Gerek Yok. Temel olarak SD-Access Mimarisinde Controller olan Rolünü Anlayın ve Ayrıca Geleneksel Ağda Yönetim Platformu olabileceğini Unutmayın.

DNA Center vs Traditional Network Management

• Traditional Network Management

• Cihazlar Kullanılmadan Önce Konsol Bağlantısı Aracılığıyla Manuel olarak Yapılandırılır.

• Cihazlar, Telnet / SSH veya Konsol Bağlantısı Üzerinden Tek Tek Yapılandırılır.

• Yapılandırmalar ve Politikalar, Her Cihazda Ayrı Ayrı Yönetilir (Distributed).

• Ağ Kurulumu, Gereken Manuel İşçilik Nedeniyle Uzun Zaman Alabilir.

• Artan Manuel Çaba Nedeniyle Hatalar ve Arızalar Daha Olasıdır.

• DNA Center-Based Network Management

• Cihazlar, DNA Center GUI'sinden veya REST API Kullanan Diğer Uygulamalardan Merkezi olarak Yönetilir / İzlenir. Bu Yazıda Size DNA Center GUI Gösterdim, Ancak DNA Center ile Etkileşim Kurmak için REST API Kullanan Uygulamalar da Kullanılabilir.

• Yapılandırmalar ve Politikalar Merkezi olarak Yönetilir. Mühendis, Ağ Üzerinde Belirlenen Politikaları Yönetilen Ağ Cihazlarında Yapılandırmalara Dönüştüren DNA Center'a İletir.

• Yazılım Sürümleri de Merkezi olarak Yönetilir. DNA Center, Bulut Sunucularını Yeni Sürümler için İzleyebilir ve Ardından Yönetilen Cihazları Güncelleyebilir. Bu Yazıda Eski Bir Yazılım Sürümüne Sahip Cihaz için Bize Uyarı Gösteren DNA Center Örneğini Gördük.

• Ağ Kurulumu Çok Daha Hızlıdır. Yeni Cihazlar, Yapılandırmalarını Manuel Yapılandırmaya Gerek Kalmadan DNA Center'dan Otomatik olarak Alabilir.

Quizs

Cevaplar (Sırası ile):

• a
• b
• b
• d
• a, c, d

ANKI

Okuduğunuz için Teşekkürler.