Fabric Technologies

SD access Cisco'nu bir dizaynı kurumsal networklerde,kampus networkler, banka iç networkler, büyük şirketlerin iç networkleri local area networkleri yönetmeyi otomatikleştiren, yönetimi daha kolaylaştıran bir mimari. Geleneksel bizim kullandığımız VLan'lar, Layer 2 altyapılarının üst tarafta Layer3 ile birleşmesi vs olmayan bir dizayn. Farklı farklı teknolojileri kullanarak network yönetim dizaynı oluşturmuşlar.

Stacking, VSS gibi cihazları tekil hale getirmek kurmak dizaynı şuan yaygın olan bir dizayn. SD access bunlardan daha da öte diye tarif ediliyor.

SD WAN ise her markanın telafuz ettiği alt yapı çözümü. Çok daha faydalı örnek olarak 1000 üzerinde şubesi olan bir banka düşünün. Tek tek konfigure etmek, onu yapılandırmak ,upgrade etmek, yapılandırmak istatistik toplamak ona göre kararlar vermek kolay değil. Bunları merkezileştirecek orchanestration edecek bir çözüm aslında bu SD WAN. Cisconun da kendi çözümü var başka markaların da var.

Control plane, cihazın beyni her kurumsal routerda switchte var burası. Control plane beyinsel kararlar alıyor örneğin routerlar için routing tablosunun oluşması. Ospf vb protokol ile oluşturuyor. Beyin bir paketin nereye gideceği kararını oluşturuyor. Bunun içindeki ASIC tabanlı donanımsal işlemciler tarafından yönetilen Data Plane'nin hafızasına yazıyor. Bütün paketler ise data plane tarafından aktarılıyor. Bu cihazları yönetmek için Management plane yani kullandığımız CLI komut satırı veya grafik arayüzüne deniliyor.

Geleneksel dizayn şuydu. Geleneksel dizaynda switchler layer 2 çalışıyor. Layer2 olarak distribution switchlere bağlanıyor. STP tabanlı. Loop dizayn STP ile kontrol altına alınması lazım. Bunun yerine her şeyi layer 3 yapalım. Kenar switchler bile Layer 3 olsun diye yapılabiliyor. Kenar swithcler Distribution switchler ile layer 3 bağlansın. Layer 3 de routing kullanabiliyoruz. Örneğin bir dinamik routing path kullanıyorsanız equal path söz konusu ise böyle bir case de load balancing yapar. 2 hat load balancing yapar. Bir loop riski yoktur. Hem 2. hattı kullanıyoruz loop riskinden kurtuluyoruz. Ama velakin her switch farklı vlanda olmak zorunda. Burası 10.0.10.0 network vlan 10

burası 10.0.20.0 networkü vlan 20 şeklinde tasarlaman lazım. Burada 500 switchin varsa 500 subnet demektir bu da pek yönetilebilir bir dizayn değil.

Vlanlar extend edilebilsin yani aynı vlanlar başka switchte de gerçekleşebilsin şekinde çalışmışlar. Günümüzde networklerin birebir aynısını sağlıyor tek avantajı layer 2 domaini aradan kaldırıyor. Yani loop riski kalkıyor.

VXLAN bir tünelleme tekniğiydi. Vlan'a göre avantajı 4.katmanda tünelleme yaparak aynı VXLAN'daki işlemcileri konuşturabiliyordu. Yani 2.katmana değil 4.katmana eklenen bir başlık ile sağlanıyordu. Bu sayede bir layer 2 trafiğini yani örnek olarak vlan 2 deki bir vatandaşı alıp bir layer 3 networkünden taşıyıp başka bir layer 3 ten çıkarıp aynı vlandakileri haberleştirebiliyorsunuz. Aynı layer 2 deymiş gibi davranıyorlar. Ama velakin cihazlar layer 3 . Bu nasıl sağlanıyor. Standart Layer 2 paketinin başlığının önüne tünelleme yapıyorsunuz Vxlan yerleştiriyorsunuz. 4.katmanda UDP protokolü koyuyorsunuz. Vxlan udp 4289 kullanıyor. Önüne tekrar bir ip başlığı önüne tekrar bir layer 2 başlığı koyup tünelliyorsunuz. IPSec,Gre yapmaktan hiçbir farkı yok.

Peki bu dizaynda nasıl olacak.

Vlan 10 daki bir vatandaş sağ ve soldaki vlan 10 daki ile haberleşebilecek.

çünkü Bu layer 2 trafiği komple önüne bir layer 3,4 başlığı eklenerek tünellenerek layer 3 networkten buraya taşınıp başlıklar sökülerek aynı vlandaki 2 vatandaş burada da vlan 10 diğerin de vlan 10 olabilecek hale geliyor Vxlan sayesinde.

İçerdeki routing sürecini LISP ile çözmüşler. Bütün cihazlar layer 3 hale geliyor. Bütün cihazlar layer 3 hale geliyorsa bu süreci çözebilecek eigrp ospf vs kullanabilirsiniz ama öyle bir dizayn yapmışlarki routing şöyle oluyor burada vlan 10 tarafına 10.0.0.1 istemcisi eklensin topolojiye Diğer switchte ise 10.0.0.2 istemcisi olsun. birbiriyle haberleşmek istesin.

LISP'i hatırlarsanız LISP şu şekilde çalışıyordu. Layer 3 switch veya routera bir paket geldiği anda örneğin 10.1.1.1. bilgisayarı 20.1.1.1 e gitmek istiyor. Routerlar ne yapıyordu. Routerlar artık routing tablosunda kendi routing tablosunu ospf ,eigrp konuşarak öğrenmiyordu. Bunu gidip Map Server'a soruyordu. Routerlardan birisni Map Server ilan ediyorduk. her cihaz ilk yeni network eklendiğinde bu networkü register ediyordu map servera. Gitmek istediği rota için Map Server'a soruyordu. 20.1.1.1 bilgisayarının Route Locator'ı 2.2.2.2 switchidir. RLOC deniliyordu buna.

Buradaki LISP mekanizmasını routing öğretme mekanizmasını SD-Access de kullanmışlar ve burada bunu kullanmaların sebebi network netwokr öğretmiyorlar. LISP de nasıl oluyordu. Bu cihaz (RLOC2) 20.1.1.1/24 bilgisayar ben de. RLOC1 ise 10.1.1.1/24 bilgisayar bende diye öğretiyordu. SD-Access de ise şöyle öğretiyor 10.1.1.1/32 bende. Yani tek ip'lik bir routing satırı kaydettiriyorlar. Map Server'a durumda eğer 10 bin bilgisayarınız varsa. Sen bunu standart bir routing kullanırsan her routerın routing tablosu 10 bin satır olur. Bu da donanımsal olarak kenara koyacağın cihazların çok kaliteli ve pahalı olmasına sebep olur. Ama LISP kullanırsan ne oluyor ihtiyaç olduğu anda Map servera soruyor. 20.1.1.1'e gidecem. Bunun route locator detaylarını veriyor. 2.2.2.2 diye bunu öğreniyor paketi oraya gönderiyor. Bu sayede bu arkadaşların çok daha basit büyük bir routing tablosu için gerekli hafızaya sahip olmadan çalışması sağlanıyor. Yani noktadan noktaya routing yaptırıyorlar.

Kenar swithclere Fabric Edge Node diyorlar. Yani bunlar bildiğiniz Access Switch. Ama layer 3 çalışıyorlar. Buradaki bağlantılar hepsi layer 3. Layer 2 domaini komple kaldırıyorlar. Bu içerdeki çalışan layer 3 trafiğini sadece yönlendirmek ile uğraşanlara Fabric Intermediate Node deniliyor. Ara cihazlar. Bu Core katmanına oturmuş cihazlar ise Mapping Server'ı hallediyor. Buna Fabric Control Plane Mode deniliyor.

Control plane hatırlayın beyniydi. Hangi networkün hangi interfaceden çıkacağına karar veren katmana control plane deniliyor.

Burada LISP dizaynında control plane cihazın içerisinden sökülüp, farklı bir noktaya konmuş gibi kabul ediliyor. Diyorki şu bilgisayarın ipsine nasıl ulaşırım diye soruyor Fabric Control Node'a. Fabric Control Node ise diyorki onun ipsi şudur. Sen buna VXLAN ile önüne tünelle. Sonrasında haberleşme sağlansın şeklinde dizayn ediyorlar. Fabric Borde Node ise başka bir SD-Access Networkünün dışında vatandaşa gitmek istiyorsanız. geçişi sağlayan cihaz ya da fabric border node deniliyor.

Kısaca tüm cihazlar layer 3 çalışıyor. Aralarında LISP ile routing paylaşım yapıyorlar. Cihazlardan birisi mapping server oluyor. Bir vatandaş diğerine gitmek istiyorsa switch gidip diğerine soruyor. Mapping serverdan hedef switchin ip adresini öğreniyor. VXLAN ile de ona yönelik tünel kuruyor ve buraya ulaşıyor. Avantajı pure layer 3 olması. Her pakete 50 byte Vxlan başlığı ekleniyor. Vlan etiketi eklemiyor cisco ama eklerse 54 byte olur. Cisconun şuanda ürettiği yeni nesil tüm swithcler 9000 serisi diye geçiyor. İsterseniz 9200 alıp (border switch ) kullanabilirsiniz. Ya da isterseniz DNA control centerı alıp bu mekanizmayı da devreye sokabilirsiniz. Cisco switchlere bu DNA center uygulamasını entegre ettiğimiz için lisansa ihtiyaç duyuyor ve bu lisanlar süreli. 3 yıl . Lisansı zorla satıyor cisco :))

Sağladığı yararlar. Network automation sağlıyor. Merkezi bir kontrol noktasından bu DNA Center'ı yönetebiliyorsun bu bir avantaj. Elle gidip vlan ataması vs operasyon değil de onu merkezi bir yerden yapıyorsun. Vlan'lar statiktir genelde çok hareket etmezler. Fiziksel port sürekli vlan 1 den 5e 5 den 3 vs. değişmezler. Genelde standart olarak fixlenir. O departman bellidir. Muhasebe gibi.

Host mobility sağlar. Network assurance sağlar diyor. Identity Serviceler ile entegre oluyor deniliyor.Kimlik denetimi süreci bu kimlik denetimi sonrasında gereken access list verilmesi. Cisconun kimlik denetimi sunucusu ISE diye geçer. Bildiğiniz Radius sunucu. Radius sunucusundan geçtikten sonra bir de kullanıcıya şu access list'i çak.

Bu mimariyi çeşitli katmanlara ayırmışlar. Birinci katmanda fiziksel cihazların bulunduğu katman.

Network layer denilen bu routing operasyonun yürütüldüğü LISP'in VxLan'ın konuştuğu katman. Control Layer bu DNA center'ın bu konfigurasyonu yaptığı katman. Control layer ile control plane karıştırmayın. Control Plane'i LISP yönetiyor. Control Layer da 3 tane unsur var. Yani networkü yöneten katman. En üsteki katman ise grafik arayüzü sağlayan katman.

Network layer ise overlay'i oluşturan katman. Biliyorsunuz networkün birinci olarak fiziksel görüntüsü bir de mantıksal görüntüsü vardı. Bu mantıksal (logical) görüntüyü tüneller ile sağlıyorduk. Arkada bir undelay var üste bir overlay var. Network katmanı ise bu süreci yönlendiren katman. Öncelikle underlayin konfigure edilip ayağa kaldırılması gerekiyor. Undelay de routing tabloların oluşması gerekiyor.(ospf, eigpr vs). Underlay'de temel routing'i çözdükten sonra üstüne Vxlan kullanılarak bunun üzerinden tünelleyerek süreci taşıyorsun.

Underlay kısmını elle de yapabiliriz. DNA center'da kullanabiliriz.

Underlay network kısmı ortada bir ospf ,IS-IS protokolü ya da artı multicast için routing mekanizması çalışıp tüm networkler birbirine öğretiliyor. Overlay ise her networkün birbirine öğretilen dizaynda üzerinden trafiğin akması tünellerin oluşturulması. Tünellerde de açıkçası Vxlan kullanılarak yapıyorlar.

Security artırabiliyor. Cisconun security çözümü var TrustSec diye. Cihaz içinde barındırıyor.

Cihazlarda control plane, data plane ve policy plane vardı. Data Plane , trafiğin nereden çıkacağının karar verilmesiydi. Yani trafik routera giriyor ve nerden çıkacak. Bunu Vxlan yönetiyor diyor. Control plane, Çıkacağı cihazın öğrenilmesini sağlayan katman yani routing protokolünün çalıştığı katman. LISP yönetiyor. Policy plane ise A kullanıcı B kullanıcısı ile haberleşecek mi habberleşmeyecek mi kurallarının olduğu TrustSec mekanizmanın çalıştığı plane.

Control plane de LISP kullanılıyor. LISP bir IETF standartı ve EID ve RLOC denilen tabloların oluşturulması ile oluşturuluyor. Bir mapping server var. bu mapping server ile tablolar oluşturuluyor. EID, hedefin network adresi. Ya da ip adresi. RLOC ise bu networkün bulunduğu switchin ip adresi

Yani günün sonunda 10.0.0.1 e gitmek istiyorum nereden gideceğim diye mapping servera soruyorum. O da diyorki Switch 1 den. ip adresi ise 2.2.2.2 . Buradan gidebilirsin şeklinde tablo oluşturup vatandaşın bu türden sorgularına cevap veren bir mekanizma.

Routerların routing tablosunu küçültüyor. Yani tüm routerlar tüm networkleri öğrenmek zorunda kalmıyor sadece gerekenleri mapping servera sorup oradan öğrenmesi yeterli oluyor. Dinamik bir şekilde host mobility sağlıyor. çünkü bir vatandaş bir yerden başka bir yere taşındığı anda bir edge switche bağlandığı anda map servera update gidiyor.

LISP bu routing tablosunun oluşmasıki, routing tablosu pc başında düşmüş durumda 10.0.0.0 ip adresi nerede 10.0.0.2 ip'si hangi switchte diye oturtan bir mekanizma iken ve bunu sen sorguladıktan sonra tünelleyerek oraya taşıyorsun. Çünkü bir layer 2 trafiğini layer 3 cihazlar üzerinden taşıyıp başka bir layer 2 domainine bağlamak istiyorsun bunu da yapacağın tek bir teknik vardır. O da tünelleme teknikleri burada LISP kullanılarak routing tablosunun öğrenilmesi sağlanıyor. Ama paketler networke dahil olurken LISP'in başlığı ile encapsule edilmiyorda Vxlan'ın başlığı ile encapsule ediliyor. Sonuçta router buna karışmaz, kenar (edge) cihaz ne ile encapsule ediyorsa routerın bakacağı günün sonunda nedir ? Hedef ip adresidir. hedef ip adrese bakıp bu trafiği çevirme şansına sahip.

İnsanlar kimlik denetiminden geçtikten sonra bir gruba ait olarak atama yapılabiliyor. Personel grubu, misafir grubu ,IT grubu gibi bunların eşleniğinde merkezi bizim ISE sunucumuz bunlara bağlı politikaları cihazlara öğretebiliyor. Bunlara göre access-list'ler nelerdir. Bunlara göre QoS nasıl yapılacak.

Özetlersek, Bütün networkü layer 3 yapmak istediğimizde , kenar switchler dahil layer 3 çalışacak. Ama bu sonuçta bir kampüs networkü aynı networkte aynı vlan da vatandaşlar olacak ve onların da birbirleriyle haberleşmesini istiyorsunuz aynı vlandaymış gibi vs . Burası pure layer 3 olunca, bunu yapmak çok zor. Onun yerine vlan yerine vxlan kullanacağım. vxlan etiketi ile Fabric Edge Node dan Intermediate Node'a vatandaşı taşıyıp karşıya ulaştıracağım. Intermediate Node (distribution) switch gibi Mapping servera taşıma yapıyor. Mapping servera ise control plane mode deniliyor.

AMP ==>Anti Malware Protection

1.46