مقدمه

در شبکه ­های نسل گذشته جهت استفاده از تجهیزات لایه 4 تا لایه 7 نظیر فایروال، وب فایروال، لودبالانسر و SSL Offload لازم بود. طراحی و پیکربندی­ های پیچیده ای صورت گیرد تا امکان عبور همزمان جریان ترافیک در یک یا تعدادی از این تجهیزات فراهم شود. همچنین این امر موجب ایجاد اختلال و قطعی سرویس در صورت نیاز به حذف هریک از این تجهیزات نیز خواهد شد. در تکنولوژی Cisco ACI قابلیتی وجود دارد که امکان قرار دادن و عبور جریان ترافیک از هریک از این تجهیزات لایه 4 تا 7 به راحتی فراهم می نماید. به صورتی که نیاز به تغییر ساختار جریان­های ترافیکی نخواهد بود. این قابلیت که با نام Service Graph شناسایی می­شود در ادامه این مقاله به صورت مختصر توضیح داده شده است.

روش­ های اعمال Service Graph در Cisco ACI

عملکرد Service Graph با استفاده از قابلیت Contract در ارتباط بین EPG ها فراهم می­شود. (جهت آشنایی با مفاهیم Contract و EPG این مقالات را مطالعه کنید)

همانگونه که قبلا توضیح داده شد Contract ها با استفاده از لیست پروتکل­های مجاز که بروی آن­ها پیکربندی شده است، امکان برقراری ارتباط بین EPG ها را فراهم می ­نمایند. یکی دیگر از فعالیت­های Contract انجام عملیات Traffic Filtering هست. مطابق شکل زیر با استفاده از ابزار Contract امکان عبور جریان ترافیک از تجهیزات مختلف فراهم خواهد شد و ترافیک توسط Contract به سمت تجهیز مورد نظر هدایت خواهد شد.

پیاده سازی Service Graph در تکنولوژی Cisco ACI به دو صورت زیر امکان پذیر می­ باشد:

• پیاده سازی Service Graph با استفاده از PBR : در این مدل از پیاده سازی جریان ترافیک به صورت مجزا به سمت تجهیزات سرویس هدایت خواهد شد. لازم به ذکر است این مدل از پیاده سازی صرف نظر از جریان عادی مسیریابی، ترافیک را به سمت تجهیز هدایت می­نماید.
• پیاده سازی Service Graph بدون PBR : در این مدل از پیاده سازی عبور جریان ترافیک از تجهیزات مروبط به لایه 4 تا 7 بر اساس جریان نرمال روتینگ و سوئیچ صورت میگیرد و دخالتی در تغییر جریان ترافیک به منظور عبور از تجهیز مورد نظر صورت نخواهد گرفت.

انتخاب هریک از این مدل­های پیاده سازی و کنترل جریان ترافیک وابسته به طراحی­های صورت گرفته در ساختار ارتباطات موجود در مرکز داده می­باشد، که نیازمند شناسایی مزایا و معایب هر یک از این مدل­های می­باشد.

به طور مثال استفاده از قابلیت PBR برای تغییر مسیر جریان ترافیک موجب سهولت در راه اندازی سرویس ­های مورد نظر می شود و همچنین حذف این سرویس از مدار جریان ترافیک را نیز ساده تر می­نماید. اما میزان منابع پردازشی بیشتری را از تجهیزات زیر ساختی درگیر کرده و امکان دارد عیب­ابی ­های آتی را پیچیده تر نماید.

روش ­های مدیریت و کنترل تجهیزات لایه 4 تا 7 در تکنولوژی Cisco ACI

در بسیاری از سازمان­های بزرگ تیم­های گوناگونی جهت انجام فعالیت­های مروبط به IT وجود دارد. به طور مثال واحد شبکه مسئولیت مدیریت زیرساخت ارتباطات را برعهده دارد، واحد امنیت مسئول پیکربندی تجهیزات نظیر فایروال­ها و سایر تجهیزات امنیتی است و تجهیزات نظیر Load Balancer ها نیز معمولا بر عهده­ی واحد سرور سرویس می­ باشد.

در ساختار پیاده سازی قابلیت Service Graph موجود در تکنولوژی Cisco ACI امکان مدیریت تجهیزات سرویس به سه روش مختلف بر اساس نیاز سازمان فراهم می ­باشد:

• وضعیت Network Policy Mode یا Unmanaged Mode : در این مدل پیکربندی و مدیریت تجهیز لایه 4 تا 7 خارج از سیستم ACI صورت گرفته و تنظیمات آن توسط واحد مربوط صورت می گیرد. به طور مثال؛ تجهیز WAF تنظیمات امنیتی مربوط به سیاست­های امنیتی توسط تیم امنیت صورت خواهد گرفت و تیم شبکه با استفاده از قابلیت Service Graph تنها ترافیک را به سمت تجهیز هدایت می ­نماید.
• وضعیت Service Manager Mode یا Managed Mode: در این مدل از پیاده سازی کنترلر APIC علاوه بر مدیریت تجهیزات زیرساختی، تجهیزات سرویسی نظیر فایروال و ... نیز مدیریت و کنترل می­ نماید و پیکربندی­های مربوط به آن نیز توسط کنترلر APIC صورت می گیرد. به منظور استفاده از این قابلیت لازم است تا یک Package نرم­افزاری که توسط شرکت سازنده آن تجهیز ارائه شده بروی کنترلر APIC نصب شود تا امکان شناسایی و پیکربندی­ آن برای کنترلر APIC فراهم شود. این مدل از ساختار مدیریتی امکان پیاده سازی قابلیت End-to-End Automation را فراهم می­ نماید.
• وضعیت ترکیبی یا Hybrid Mode : مکانیزم عملکرد در این روش که تلفیقی از دو روش فوق می­ باشد به این صورت است که تنظیمات مربوط به تجهیز و پیکربندی سیاست­های امنیتی توسط تیم مربوط به آن صورت می گیرد و تنها تنظیمات پایه مانند آدرس دهی اینترفیس­ها توسط کنترلر APIC صورت خواهد گرفت.

پیاده سازی ساختار Service Graph دارای جزئیات بسیاری می­ باشد که در این مقاله به آن اشاره ­ای نشده است.

لازم به ذکر است در ساختار Cisco ACI استفاده از تجهیزات لایه 4 تا 7 همچنان به شکل قدیمی قابل پیاده سازی می ­باشد مطابق شکل زیر به صورت نمونه روش پیاده سازی فایروال به شکل غیر از Service Graph نمایش داده شده است.

مطابق شکل فوق برای تجهیز فایروال یک EPG به عنوان ورودی و یک EPG به عنوان خروجی در نظر گرفته شده است. ترافیک ها ابتدا از EPG بیرونی وارد تجهیز شده و پس از بررسی و اعمال سیاست­ها از EPG Inside وارد مرکز داده می شوند.