Implementing Cisco SD-WAN 300-415 ENSDWI

تولید کننده: مهندس مجید اسدپور
ناشر : اندیشه گستر رایکا *** شماره مجوز : 50/708
Implementing Cisco SD-WAN 300-415 ENSDWI
قیمت محصول: 3,200,000 ﷼
بسته بندی Tooltip

سرفصل مطالب و دموی محصول

سرفصل مطالب

1. SD-WAN Architecture_.mp4
2. SD-WAN Implementation Guide_.mp4
3. SD-WAN CA Implementation_.mp4
4. Install vManage_.mp4
5. Install vBond_.mp4
6. Install vSmart_.mp4
7. SD-WAN Prepare WAN Edge List_.mp4
8. WAN Edge Router Installation_.mp4
9. SD-WAN Template Part1_.mp4
10. SD-WAN Template Part2_.mp4
11. SD-WAN Add Second Transport_.mp4
12. SD-WAN Add Service VPN_.mp4
13. SD-WAN Routing Concept and Monitoring_.mp4
14. OSPF in Service VPN in SD-WAN_.mp4
15. Configure BGP in SD-WAN Transport_.mp4
16. SD-WAN Route Manipulation_.mp4
17. SD-WAN Implement Hub_and_Spoke and Mesh Topology_.mp4
18. Implement Custom Topology in SD-WAN_.mp4
19. Implement Traffic Filter in SD-WAN_.mp4
20. SD-WAN Data Plane Traffic Engineering_.mp4
21. SD-WAN Application Aware Routing_.mp4
22. Implement QoS_Policing in SD-WAN_.mp4
23. Bandwidth Guarantee in SD-WAN_.mp4
24. SD-WAN VPN Segmentation_.mp4
25. SD-WAN VPN Label and subinterface_.mp4
26. SD-WAN NAT Implementation_.mp4
27. SD-WAN Security Policy_.mp4

 

معماری SD-WAN

در این بخش معماری SD-WAN وکامپوننت های آن یعنی vManage، vSmart، vBond و Wan Edge معرفی می شود و کاربرد هریک به تفکیک بررسی می شود.

به صورت خلاصه vManage نقش Management Plane را دارد. vSmart نقش control plane را دارد. vBond نقطه اتصال اولیه برای روترهای WAN و authenticate کردن آنها را به عهده دارد و روترهای WAN وظیفه جابجایی داده و یا Data Plane را به عهده دارند.

 مراحل پیاده سازی SD-WAN

در این بخش مراحل پیاده سازی SD-WAN که در ادامه با آن مواجه می شویم، نشان داده می شود و نقشه مسیر را ترسیم می کنیم.

آماده سازی CA برای پیاده سازی SD-WAN

در این بخش آماده سازی Microsoft CA برای پیاده سازی Authentication در محیط SD-WAN نمایش داده می شود.

در این بخش Certificate Template ای را آماده می کنیم که قابلیت Server Authentication و Client Authentication داشته باشد.

نصب vManage در معماری SD-WAN

در این بخش نصب vManage نشان داده می شود.

ممکن است این سوال برای شما پیش آمده باشد که نصب vmanage چرا پیچیده است. در واقع شما می توانید از نسخه cloud کنترلر vManage استفاده کنید و برای مدیریت certificate هم می توانید از نسخه Cisco automated استفاده کنید که در این صورت تقریبا پیکربندی شما به صفر می رسد.

اما ممکن است برای بحث امنیت ترجیح دهید نسخه vManage خود را داشته باشید و از CA سازمانی استفاده کنید.

ضمنا این روال برای همه کنترلها تقریبا یکسان است و مفهوم آن پیچیدگی خاصی ندارد.

نصب vBond در معماری SD-WAN

در این بخش نصب vBond نشان داده می شود.

ضمنا در این بخش اولین تونل DTLS بین vManage و vBond را بالا میاوریم

ممکن است این سوال برای شما پیش آمده باشد که نصب vBond چرا پیچیده است. در واقع شما می توانید از نسخه cloud کنترلر vBond استفاده کنید و برای مدیریت certificate هم می توانید از نسخه Cisco automated استفاده کنید که در این صورت تقریبا پیکربندی شما به صفر می رسد.

اما ممکن است برای بحث امنیت ترجیح دهید نسخه vBond خود را داشته باشید و از CA سازمانی استفاده کنید.

ضمنا این روال برای همه کنترلها تقریبا یکسان است و مفهوم آن پیچیدگی خاصی ندارد.

نصب vSmart

در این بخش نصب vSmart نشان داده می شود.

ممکن است این سوال برای شما پیش آمده باشد که نصب vSamrt چرا پیچیده است. در واقع شما می توانید از نسخه cloud کنترلر vSmart استفاده کنید و برای مدیریت certificate هم می توانید از نسخه Cisco automated استفاده کنید که در این صورت تقریبا پیکربندی شما به صفر می رسد.

اما ممکن است برای بحث امنیت ترجیح دهید نسخه vSmart خود را داشته باشید و از CA سازمانی استفاده کنید.

ضمنا این روال برای همه کنترلها تقریبا یکسان است و مفهوم آن پیچیدگی خاصی ندارد.

آماده سازی لیست WAN Router ها از طریق پورتال سیسکو

در این بخش می بینیم که چگونه لیست WAN Router ها را از طریق پورتال سیسکو آماده کرده و در کنترلرها اضافه کنیم.

برای کنترل کردن Wan Router ها از طریق کنترلرها، اضافه کردن لیست آن به کنترلرها ضروری است. برای آماده سازی این لیست هم داشتن Smart Account در سایت سیسکو ضروری می باشد.

راه اندازی WAN Edge Router و اتصال آن به کنترلرها در محیط SDWAN

در این بخش می بینیم که چگونه یک WAN Router را به SD-WAN اضافه می کنیم.

تغییر پیکربندی روترهای WAN از مد CLI به مد GUI

برای اینکه بتوانید از مزایای محیط GUI در vManage بهرهمند شویم و همچنین برای اینکه بتوانیم یک پیکربندی مشخص را همزمان روی تعداد زیادی روتر ایجاد کند، بهتر است درمحیط SD-WAN از محیط CLI به محیط GUI مهاجرت کنیم. در این محیط فقط امکان پیکربندی تجهیزات فقط از طریق GUI وجود دارد.

این قابلیت با استفاده از Feature Template و Device Template در vManage امکان پذیر است که در این بخش به صورت دقیق شرح داده می شود و پیاده سازی می گردد.

تغییر پیکر بندی کنترلرهای SD-WAN از مد CLI به مد GUI

در این بخش  پیکر بندی کنترلرها از محیط CLI به محیط GUI تغییر داده می شود.

اضافه کردن بستر ارتباطی دوم MPLS به SD-WAN

تاکنون بستر SD-WAN همه اجزا را از طریق بستر اینترنت به یکدیگر متصل می کند. در این بخش  بستر ارتباطی دوم MPLS را به SD-WAN اضافه می کنیم.

اضافه کردن Service VPN به معماری SD-WAN

هر یک از سرویس هایی که قصد دارید روی بستر SD-WAN استفاده کنید تحت عنوان Service VPN نامیده می شود. به عنوان مثال سرویس داده و سرویس Voice معمول ترین سرویس هایی هستند که روی بستر SD-WAN قابل انتقال هستند. در محیط SD-WAN ، سرویس های سازمان در VRF های مجزا نگهداری می شوند که به ایزوله شدن سرویس های مختلف کمک می کند.

بررسی روتینگ و نمایش آن در SD-WAN

در این بخش در خصوص چگونگی پیاده سازی روتینگ در معماری SD-WAN صحبت می شود.

پروتکل OMP بین WAN Router ها و vSMART وظیفه جابجایی ROUTE ها را بین WAN Router ها دارد.

هر مسیری که از طریق OMP یاد گرفته می شود، به location صاحب مسیر اشاره می کند. به عبارتی دیگر آدرس next-hop، آدرس Location است که در معماری SD-WAN، TLOC نامیده می شود.

در این بخش  ساختار TLOC و اینکه نهایتا چکونه منجر به برقراری ارتباط می شود، صحبت می شود.

پیاده سازی OSPF پشت WAN Edge Router ها در SD-WAN

در این بخش پروتکل مسیر یابی OSPF در بخش Service VPN اضافه می شود و هدف این است که مسیرهای OSPF توسط همه WAN Edge Router ها دید شود. برای اینکار باید مسیرها رو بین دو پروتکل مسیر یابی OSPF و OMP بین Service VPN و Transport جابجا کنیم.

پیاده سازی BGP در بستر Transport در SD-WAN

در این سناریو پروتکل مسیریابی BGP روی بستر MPLS Transport پیاده سازی می شود.

دستکاری Route در SD-WAN

در محیط SD-WAN هم همانند روترهای معمولی سیسکو امکان اعمال policy با دستکاری route ها وجود دارد. در روترهای سیسکو، دستکاری route معمولا با نوشتن route-map و سپس اعمال آن به همسایه ها و یا در زمان redistribution امکان پذیر می شود.

در این ویدئو سه policy می نویسم که دو تا از آنها مربوط به BGP است که به همسایه BGP در زمان ورود و یا خروج اعمال می شود. یک policy هم در زمان redistribute کردن route از omp به ospf اعمال می شود.

پیاده سازی توپولوژی Hub-and-Spoke و Mesh در SD-WAN

در شبکه SD-WAN، توپولوژی به صورت پیش فرض Full-Mesh است. بدین معنی که همه سایت ها می توانند مستقیما با هم ارتباط برقرار کنند . در این قسمت قسمت داریم توپولوژی های Hub-and-Spoke و Mesh را پیاده سازی کنیم.

دو نکته جذاب دراین سناریو وجود دارد.

اول اینکه شما می توانید توپولوژی را به ازاء هر سرویس مشخص کنید و نه هر سایت. مثلا اینکه ترافیک voice شما از توپولوژی Full-Mesh استفاده کند و سایت ها با هدف کاهش تاخیر مستقیما با هم ارتباط voice داشته باشند اما در عین حال ترافیک داده از توپولوژی Hub-and-Spoke استفاده کند و ترافیک های داده  فقط اجازه دارند از طریق Hub منتقل شوند.

نکته جذاب دوم اینکه برای پیاده سازی این توپولوژی ها از هیچ مفهوم پیچیده ای بهره نمی بریم و صرفا قصد خود را Intend-based از توپولوژی به SD-WAN اعلام می کنیم . همه پیچیدگی ها از دید مدیر شبکه مخفی می شود. این همان مزیتی است که در SDN همواره از آن یاد می کنیم. پیاده سازی متمرکز و intend-based

پیاده سازی توپولوژی Custom در SD-WAN

در این بخش ترکیبی از دو توپولوژی Hub-and-Spoke و Mesh پیاده سازی می شود

پیاده سازی فیلترینگ ترافیک داده در SD-WAN

در این بخش ابتدا، سرویس اینترنت را از طریق دفتر مرکزی به دفاتر شعب منتقل می دهیم

سپس با استفاده از سیاست متمرکز روی vSmart، ترافیک داده را تا لایه Application کنترل می کنیم.

جهت نمونه در لایه Application، ترافیک vSmart را کنترل می کنیم

پیاده سازی مهندسی ترافیک در Data Plane در SD-WAN

پیاده سازی مهندسی ترافیک هم در Control Plane و هم در Data Plane امکان پذیر است. در Control Plane با دستکاری route امکان تغییر مسیر ترافیک وجود دارد. در Data Plane، هیچ route ای دستکاری نمی شود و زمانی که ترافیک در حال جابجایی است، مسیر ترافیک تغییر داده می شود.

ابزار سنتی پیاده سازی مهندسی ترافیک در Data Plane، استفاده از PBR در روتر های سیسکو است که ترافیک برخلاف مسیرهای جدول مسیریابی، تغییر جهت داده می شوند.

پیاده سازی Application-aware routing در SD-WAN

اینکه بتوانیم برای ترافیک های مهم سازمان، کیفیت مورد نیاز از جمله حداکثر تاخیر مجاز و حداکثر loss قابل تحمل را تعریف کنیم و اینکه روترها با توجه به کیفیت مسیرهای موجود و کیفیت مورد نیاز ترافیک، مسیر خروجی را انتخاب نمایند، Application aware Routing گفته می شود.

مثلا اعلام می کنیم که حداکثر تاخیر قابل تحمل برای ترافیک صدا و تصویر، 40 میلی ثانیه است. سپس SD-WAN ترافیک صدا و تصویر را روی مسیری جابجا می کند که نیاز های او را تامین کند. بدیهی است که این مسیر ممکن است در زمانهای مختلف و بسته به شرایط مسیرها، تغییر نماید.

محدود کردن پهنای باند ترافیک خاص با ابزار QoS Policing در SD-WAN

در بخش قبلی با ابزار application aware routing، توانستیم کیفیت سرویس های مورد نیاز سازمان را از لحاظ Delay، Jitter و Loss تا حدودی گارانتی کنیم. اما یکی از مهمترین پارامتر های QoS، پارامتر پهنای باند است. می توانیم چهنای باند سرویس های سازمانی را محدود و یا گارانتی نماییم.

در این بخش با ابزار policing قصد داریم تا محدود کردن پهنای باند در محیط SDWAN را به شما نشان دهیم.

گارانتی پهنای باند در SD-WAN

یکی از مهمترین قابلیت های QoS، گارانتی پهنای باند و اولویت دادن به ترافیک های مهم سازمانی است که ابزار Queuing over Shaping پیاده سازی می شود. با ابزار Shaping اجازه نمی دهیم ترافیک بیش از پهنای باند اختصاص داده شده توسط ISP از سازمان خارج و توسط ISP، drop شود بلکه ترافیک اضافه توسط خود ما Shape و سپس queue میشود.

سپس با ابزار Queuing می توانیم به ترافیک های مهم اولویت دهیم و پهنای باند کافی در اختیار سرویس های مهم سازمانی قرار دهیم.

در این بخش پیاده سازی Queuing Over Shaping نشان داده می شود.

جدا سازی سرویس ها از طریق VPN در SD-WAN

به صورت پیش فرض در معماری Cisco SD-WAN دو VRF0 (VPN0) و VFR512(VPN512) وجود دارد که اولی برای Transport و دومی هم برای مدیریت استفاده می شود.

به ازاء هر سرویس که پشت WAN Edge Router ها وجود دارد، می توانید VPN مجزایی تعریف کنید. مثلا برای داده و تلفن می توانید، دو VPN مجزا تعریف کنید که ارتباط بین آنها کاملا ایزوله است. اما در عین حال این امکان وجود دارد که ارتباط بخشی از دو سرویس VPN را در صورت لزوم به یکدیگر متصل کنید

چگونگی استفاده از Label برای ارسال ترافیک در SD-WAN

در SD-WAN شما می توانید سرویس های مختلف را در Service VPN های مختلف ایجاد کنید تا ترافیک را کاملا ایزوله کنید. مثلا ترافیک داده و صدا در دو VPN مجزا ارسال شوند.

حال این سوال پیش میاید که وقتی ترافیک از روی اینترنت و یا MPLS دریافت می شود، روتر WAN از کجا متوجه می شود که این ترافیک به کدام VPN تعلق دارد؟ در پاسخ این سوال متوجه خواهید شد که معماری Cisco SD-WAN از شیوه جدیدی از Encapsulation استفاده می کند که در آن با استفاده از Label، مشخص می کند که این ترافیک به کدام VPN تعلق دارد.

در این بخش البته چگونگی ایجاد Sub Interface در روترهای WAN را هم نشان می دهیم.

پیاده سازی NAT در SD-WAN

در این بخش دو سناریوی NAT پیاده سازی می کنیم.

ابتدا دسترسی کاربران با آدرس Private به اینترنت و

سپس دسترسی به سرویس با آدرس private از روی اینترنت

پیاده سازی Security Policy در SD-WAN

یکی از قابلیت های معماری SD-WAN، ویژگی های امنیتی است که روی ترافیک WAN قابل پیاده سازی است. فایروال، سیستم تشخیص و ممانعت از نفوذ، آنتی ویروس، امنیت DNS و SSL Proxy از جمله قابلیت هایی که روی محیط SD-WAN قابل پیاده سازی است. متاسفانه این قابلیت ها فقط روی WAN Router های Viptela قابل پیاده سازی است و هنوز روی روترهای IOS XE پشتیبانی نمی شود.

مشاهده دمو

 

بازنگری ها

هنوز نظری برای این محصول وجود ندارد.