انتخاب سوییچ و روتر مناسب

سوییچ و روتر از دستگاه های اصلی در زیرساخت شبکه محسوب می شوند. اگر چه مدل های گوناگونِ بسیاری برای سوییچ و روتر وجود دارد، انتخاب این دستگاه ها نسبتا ساده به نظر می رسد. هر مدل تعداد پورت های متنوع، نرخ ارسال متفاوت و مشخصه منحصری را پوشش می دهد.

در ادامه این مقاله خواهیم آموخت که چگونه دستگاه های شبکه را بر پایه تطابق ویژگی های آنها و نیازهای موجودِ خود انتخاب نماییم.

سخت افزار سوییچ

پلتفرم های سوییچ متنوعی برای خرید در بازار IT موجود است. هر پلتفرم از لحاظ تنظیمات فیزیکی و فرم فاکتور، تعداد پورت ها و ویژگی های پشتیبانی شده (شامل PoE و پروتکل های مسیریابی) متفاوت است.

در این بخش تمرکز خود را بر روی چگونگی انتخاب ویژگی های سخت افزاریِ مناسب از سوییچ در شبکه های کوچک تا میان رده خواهیم گذاشت.

پلتفرم های سوییچ

در یک شبکه enterprise هم دستگاه های سوییچ و هم روتر نقش حیاتی را در ارتباطات شبکه ایفا می کنند. در نتیجه به هنگام طراحی شبکه، انتخاب سخت افزار مناسب از مسائل پر اهمیت به شمار می رود، سخت افزاری که نیازهای شبکه را برآورده سازد و در کنار آن، امکان ارتقای شبکه را نیز به ما بدهد.

در شکل زیر پنج دسته بندی برای سوییچ ها در شبکه ای enterprise دیده می شود:

شکل 1) دسته بندی های گوناگون برای سوییچ ها

  • Campus LAN switch ،در یک شبکه lan در محیطی enterprise سوییچ ها در لایه های core ، distribution ، access و compact قرار می گیرند. این پلتفرم ها از سوییچهای بدون fan با هشت پورت تا  13blade با صدها پورت متغیر هستند. پلتفرمهای سوییچِ مورد استفاده در Campus LAN عبارتند از: سری های سوییچ سیسکوی 2960 ، 3560 ، 3650 ، 3850 ، 4500 ، 6500 و 6800 .
  • Cloud-managed switch ،سوییچ های سیسکو Meraki cloud-managed access امکان برقراری virtual stacking را فراهم می کنند. این سوییچ ها هزاران پورت از سوییچ را تحتِ وب، مانیتور و کانفیگ می کنند.
  • Datacenter switch ،یک مرکز داده باید بر مبنای سوییچ هایی ایجاد شود که ارتقای زیرساخت ها، تداوم عملیاتی و قابلیت انعطاف در انتقال را تقویت نمایند. پلتفرم های سوییچِ مورد استفاده در مرکز داده شامل سوییچ های سریِ Nexus و سوئیچ های سری catalyst 6500 می شود.
  • Service provider switch ،سوییچ های SP در دو دسته بندی قرار می گیرند: سوییچهای aggregation و access . سوییچهای aggregation ترافیک را در لایه edge از شبکه تجمیع می کنند. سوییچ های access سرویس های unified ، مجازی سازی، امنیت یکپارچه و تسهیل مدیریت را ارائه می دهند.
  • Virtual networking switch ،امروزه شبکه ها بیش از پیش در حال مجازی شدن هستند. پلتفرم های سوییچ Cisco Nexus virtual networking از طریق افزودنِ تکنولوژی های هوشمندِ مجازی سازی به شبکه ی مراکز داده، سرویس هایی ایمن را برای چندین گروه مختلف از کاربران فراهم می کنند.

ادمین شبکه به هنگام انتخاب سوییچ ها باید فرم فاکتور آنها را در نظر بگیرد. سوییچ ها شامل پلتفرم های Fixed (شکل 2) ، Modular (شکل 3) و یا stackable (شکل 4) می شوند.

شکل 2) سوییچ fixed

شکل 3) سوییچ ماژولار

شکل 4) سوییچ های stackable

یکی از ملاحظات مهم، مقدار فضایی است که دستگاه ها در یک rack شبکه اشغال می کنند. اصطلاح rack unit برای توصیف ضخامت یک دستگاه قابل نصب در rack استفاده می شود. در سندِ EIA-310 ، یک unit

(U) ،دستگاهی با ارتفاع استانداردِ 4.45 cm و عرض 48.26 cm توصیف می شود. به طور مثال سوییچ های Fixed نشان داده شده در شکل 2، همگی فرم فاکتوری برابر با 1U دارند.

علاوه بر فرم فاکتور دستگاه ها، ملاحظات دیگری نیز باید در نظر گرفته شود که در جدول 1 برخی از آنها را مشاهده می کنید.

توصیففاکتورها
هزینه ی سوییچ به تعداد و سرعت اینترفیس ها، ویژگی های پشتیبانی شده و قابلیت توسعه وابسته استهزینه
تراکم پورت، تعداد پورت های موجود بر روی سوییچ را توصیف می کند. سوییچ های شبکه باید از تعداد متناسبی از دستگاه های شبکه پشتیبانی نمایدتراکم پورت
سرعت ارتباط شبکه یکی از نگرانی های کاربران استسرعت پورت
این نرخ قابلیت های پردازش سوییچ را به این واسطه تعیین می کند که چه مقدار داده را در هر ثانیه می تواند پردازش کند. برای نمونه، سوییچ های لایه distribution باید نرخ ارسالِ بیشتری را نسبت به سوییچ های لایه access فراهم نمایندنرخ ارسال
هنگامی که پورت های با ازدحام بالا بر روی سرور و نواحی دیگر شبکه وجود دارند، سوییچ های دارای سایز بالای فریم بافر، توانایی بیشتری در ذخیره فریم ها دارندسایز فریم های بافر
برای دوربین های امنیتی و IP phone هاپشتیبانی از PoE
برخی از سوییچ های modular و stackable از منابع تغذیه افزونه پشتیبانی می کنندافزونگی در power
سوییچ ها باید دسترسی مستمری را برای شبکه فراهم کند. بنابراین سوییچ هایی باید انتخاب شوند که از افزونگی در فن ها، منبع تغذیه و supervisor engine پشتیبانی می کنندقابلیت اطمینان (reliability)
در طول زمان تعداد کاربران بر روی شبکه افزایش می یابد. بنابراین باید سوییچی انتخاب نمود که فرصتی را برای رشد شبکه فراهم نمایدقابلیت مقیاس پذیری

تراکم پورت

در شکل زیر تراکم پورت در سه سوییچ مختلف نشان داده می شود.

شکل 5) سوییچ هایی با پورت های گوناگون

سوییچ های Fixed از پیکربندی هایی با تراکم پورتِ متنوع پشتیبانی می کنند. در شکل بالا سوییچ های cisco catalyst 3850 با 24 عدد و 48 عدد پورت در سمت چپ تصویر دیده می شوند. سوییچِ دارای 48 پورت، 4 پورت اضافی برای دستگاهای دارای SFP دارد. SFP ها فرستنده/گیرنده های hot-pluggable هستند که بر روی برخی از سوییچ ها استفاده می شود تا به هنگام انتخاب مدیای شبکه از انعطاف پذیری پشتیبانی نمایند. ترنسیورهای SFP در  اترنت فیبر و مسی، شبکه های FC و غیره موجود هستند.

سوییچ های Modular به واسطه چندین line card اضافی، تراکم پورت بسیار زیادی را فراهم می کنند. سوییچ ماژولارِ catalyst 6500 در سمت راست شکل بالا نشان داده شده است. این سوییچ می تواند بیش از 1000 عدد پورت را فراهم نماید.

شبکه های بزرگی که از هزاران دستگاه در شبکه پشتیبانی می کنند به  سوییچ های ماژولار با تراکم پورت بالا نیاز دارند تا بهترین استفاده را از فضا و power داشته باشند. در صورت عدم استفاده از سوییچ های ماژولار، شبکه به تعداد بسیاری از سوییچ های Fixed نیاز خواهد داشت تا بتواند دسترسی دستگاه ها به شبکه را فراهم نماید. این روش منجر به مصرف خروجی های توان بسیار و حجم بالایی از فضا خواهد شد.

طراح شبکه باید مسائل مرتبط با تنگناهای سرعت در uplink را در نظر بگیرد: سری سوییچ های Fixed از پورت های بسیاری برای تجمیع (aggregation) پهنای باند میان سوییچ ها استفاده می کنند تا به پرفورمنس موردنظر دست یابند. با استفاده از سوییچ های ماژولار، تجمیع پهنای باند مشکلات کمتری خواهد داشت زیرا backplane شاسی این سوییچ ها می تواند پهنای باند مورد نیاز را برای تطبیق دستگاه های متصل به لاین کارت های سوییچ فراهم کند.

نرخ ارسال

نرخ ارسال، قابلیت های پردازش یک سوییچ را از طریق میزانِ حجم داده ی پردازش شده در هر ثانیه توسط سوییچ تعریف می کند. در شکل 6 دسته بندی سوییچ را به واسطه نرخ ارسال مشاهده می کنید.

نرخ ارسال یکی از مهمترین ملاحظات به هنگام انتخاب یک سوییچ است. اگر نرخ ارسال بسیار پایین باشد، سوییچ نمی تواند ارتباطات را در سراسر پورت های سوییچ با حداکثر سرعت کابل برقرار سازد. سرعت کابل عبارتی است برای توصیف نرخ داده ای که هر پورت اترنت بر روی سوییچ به آن دست می یابد. نرخ داده، 1/10/100Gb/s یا 100Mb/s  می تواند باشد.

به طور مثال، یک سوییچ معمولی با 48 پورت که به صورتِ full wire-speed اجرا می شود، 48 Gb/s ترافیک را بر روی شبکه تولید می کند. اگر سوییچ تنها از نرخ ارسالِ 32 Gb/s پشتیبانی کند، در سراسر پورت ها به صورت همزمان نمی تواند full wire speed را اجرا نماید.

سوییچ های لایه access معمولا از لحاظ فیزیکی توسط پورت های uplink مورد استفاده برای اتصال به سوییچ های لایه distribution ،محدود می شوند. با این حال این سوییچ ها اغلب نیازی به اجرا شدن در سرعت کامل کابل ندارند، بنابراین سوییچ های کم هزینه و با قدرت عملکردِ کمتر در لایه access می توانند استفاده شوند. سوییچ های با هزینه بیشتر و قدرت عملکرد بالاتر در لایه های core و distribution استفاده می شوند، جایی که نرخ ارسال تاثیر بیشتری بر روی عملکرد شبکه خواهد داشت.

شکل 6) نرخ ارسال گوناگون در سوییچ ها

Power over Ethernet

قابلیت PoE به سوییچ اجازه خواهد داد که تحت کابل های اترنت موجود، توان را به دستگاه تحویل دهد. این ویژگی توسط IP Phone و access point وایرلس استفاده می شود. شکل 7 پورت های PoE را بر روی دستگاه های مختلف نشان می دهد.

شکل 7) نمایش پورت PoE بر روی دستگاه های مختلف

PoE قابلیت سازگاری را برای نصب IP Phone و access point افزایش می دهد، چرا که این دستگاه ها می توانند در هر جایی از شبکه که کابل اترنت وجود دارد، نصب شوند. به دلیل هزینه بالایی که سوییچ های پشتیبانی کننده از قابلیت PoE دارند، ادمین شبکه باید اطمینان حاصل نماید که ویژگی PoE برای شبکه اش مورد نیاز است.

سوییچ های compact سیسکو از سری کاتالیستِ 2960-C و 3560-C از قابلیت PoE pass-through پشتیانی می کنند. PoE pass-through به ادمین شبکه اجازه می دهد تا علاوه بر خود سوییچ، به دستگاه های دارای قابلیت PoE متصل به سوییچ نیز از طریق کشیدن توان از سوییچ های بالادستی (upstream) برق رسانی کند. شکل 8 پورت های PoE را بر روی سوییچ سیسکو کاتالیست 2960-C نشان می دهد.

شکل 8) نمایش پورت PoE بر روی سوییچ کاتالیستِ 2960-C

سوییچینگ چند لایه (multilayer switching)

سوییچ های multilayer در لایه های core و distribution از شبکه سازمان مستقر می شوند. این سوییچ ها بر اساس قابلیتشان در ایجاد routing table ،پشتیبانی از پروتکل های مسیریابی گوناگون و ارسال بسته های IP دسته بندی می شوند. این سوییچ ها اغلب از سخت افزاری ویژه همچون ASIC پشتیبانی می کنند. ASIC به همراه یک ساختار داده نرم افزاری تخصیص داده شده، ارسال IP packet ها را مستقل از cpu ،تسهیل می سازد.

سوییچ های کاتالیست 2960 با استفاده از نسخه های IOS پیش از 15.x ،تنها از یک SVI) Switched Virtual Interface) فعال پشتیبانی می کردند. در حال حاضر از طریق IOS نسخه 15.x ،این سوییچ ها می توانند از چندین SVI فعال پشتیبانی کنند. این بدین معناست که یک سوییچ کاتالیست 2960 از طریق چندین آدرس IP به صورت ریموت می تواند به شبکه هایی مجزا دسترسی یابد.

سخت افزار router

انواع گوناگونی از پلتفرم های روتر موجود است. همچون سوییچ ها، روترها نیز از لحاظ پیکربندی فیزیکی و فرم فاکتور، تعداد و نوع اینترفیس های پشتیبانی شده و ویژگی ها متفاوتند.

در این بخش تمرکز خود را بر روی چگونگی توصیف انواع روترهای موجود برای پشتیبانی از نیازمندی های شبکه در شبکه های کوچک تا میان رده خواهیم گذاشت.

التزامات روتر

در  لایه distribution از شبکه ای enterprise به مسیریابی نیاز است. بدون فرآیند مسیریابی، بسته ها  نمی توانند از شبکه محلی خارج شوند.

روترها از طریق تعیین بهترین مسیر برای ارسال بسته ها، نقشی حیاتی را در شبکه ایفا می کنند. آنها از طریق اتصال خانه ها و بیزینس ها به اینترنت، چندین شبکه IP را به یکدیگر متصل می کنند. همچنین از آنها برای اتصال داخلی چندین site مختلف درون یک شبکه enterprise استفاده می شود تا مسیرهایی افزونه را به مقصد فراهم کند. روتر می تواند به عنوان یک مترجم میان انواع مختلفی از مدیا و پروتکل ها عمل می کند. به طور مثال، روتر می تواند بسته های یک شبکه اترنت را تحویل گیرد و آنها را پس از encapsulate کردن مجدد برای انتقال تحت یک شبکه سریال آماده سازد.

روترها از بخشی از آدرس های IP مقصدِ شبکه برای مسیریابی بسته ها به مقصد مناسب استفاده می کنند. آنها یک مسیر جایگزین را انتخاب می کنند تا در صورت خرابی یک لینک، از آن استفاده شود. همه هاست های موجود در شبکه محلی، آدرسِ IP مربوط به اینترفیس روتر محلی را در تنظیمات IP خود تعیین می کنند. این اینترفیسِ روتر همان default gateway است. توانایی مسیریابی موثر و بهسازیِ خرابیِ لینک شبکه برای تحویل بسته ها به مقصدشان بسیار مهم است.

همانطور که در شکل 9 دیده می شود، روترها همچنین کارکردهای سودمند دیگری را ارائه می دهند.

  • فراهم سازی محدودیت در broadcast
  • فراهم سازی امنیت پیشرفته
  • برقراری ارتباط میان مکان هایی دور از هم
  • گروه بندی منطقی کاربران

شکل 9) کارکردهای گوناگون در روترها

روترهای سیسکو

هنگامی که شبکه ای در حال رشد است، انتخاب روترهای مناسب برای برآورده سازی الزاماتِ آن ضروری است. همانطور که در شکل 10 دیده می شود، سه دسته بندی از روترها وجود دارد.

شکل 10) روترهای گوناگون از شرکت سیسکو

  • Branch router – روترهای branch سرویس های branch را بر روی پلتفرمی واحد بهینه سازی می کند در حالی که تجربه کار با اپلیکیشنی بهینه را تحت زیرساخت های branch و WAN در اختیار می گذارد. برای بیشینه شدنِ دسترس پذیریِ سرویس در سطح branch ،نیاز به شبکه ای است که برای uptime برابر با 24*7*365 طراحی شده باشد. شبکه های Branch با قابلیت دسترس پذیری بالا، باید بازیابی سریعِ ناشی از خطاهای رایج را تضمین نمایند، در حالی که تاثیر آن را بر روی سرویس کاهش داده و یا حذف می کنند و مدیریت و پیکربندی ساده ای را برای شبکه فراهم می کنند. از پلتفرم روتر ISR (سری 800، 1000 و 4000) و پلتفرم Meraki MX برای خدمات در سطح branch استفاده می شود.
  • Network edge router – با استفاده از این روترها، شبکه قادر خواهد بود در لایه edge ،کارایی بیشتر، امنیتِ بالاتر و سرویس هایی قابل اطمینان را ارائه دهد که شبکه های campus ،مراکز داده و branch را یه یکدیگر متصل می کند. مشتریان انتظار دارند که تجربه کاربری با کیفیت بالا و انواع بیشتری از محتوا را نسبت به قبل داشته باشند. مشتریان نیاز به تعامل، شخصی سازی، قابلیت جابجایی موقعیت جغرافیایی و کنترل تمامیِ انواع محتوا را دارند. مشتریان همچنین توقع دارند که در هر زمان و مکانی و تحت هر دستگاهی به محتوا دسترسی داشته باشند- چه در منزل، چه سرکار و چه در راه. روترهای لایه edge از شبکه باید کیفیت پیشرفته ای از سرویس ها و قابلیت های بی وقفه ای از خدمات موبایل و ویدیو را ارائه دهند. از پلتفرم روتر ASR (سری 1000 یا 9000) در این لایه استفاده می شود.
  • Service provider router – روترهای service provider ،مجموعه سرویس ها را متمایز می سازند و از طریق ارائه راهکارهای end-to-end مقیاس پذیر و خدماتِ subscriber-aware عملکرد را بهبود می دهند. اپراتورها باید کارکرد را بهینه سازند، هزینه ها را کاهش دهند و قابلیت انعطاف پذیری و مقیاس پذیری را برای ارائه تجربه اینترنتِ نسل بعدی در سراسر دستگاه ها و مکان ها فراهم نمایند. این سیستم ها برای ساده سازی و بهبودِ عملکرد و توسعه شبکه های ارائه دهنده خدمات طراحی شده اند. در این لایه پلتفرم های NCS 5000 و NCS 6000 همچنین روتر ASR 9000 به کار گرفته می شوند.

پلتفرم روتر

روترها در فرم فاکتورهای بسیاری موجودند، در شکل 11 انواع آن دیده می شود. ادمین شبکه در یک محیط enterprise باید توانایی پشتیبانی از انواع روترها، از روترهای رومیزی کوچک تا مدل های قابل قرارگیری در rack یا blade را داشته باشد.

شکل 11) روترهایی با فرم فاکتورهای گوناگون

روترها همچون سوییچ ها در دسته های fixed یا ماژولار  قرار می گیرند. در پیکربندی fixed ،اینترفیس های روتر مورد نظر توکار هستند. روترهای ماژولار چندین اسلات دارند که به ادمین شبکه اجازه ی تغییر اینترفیس ها بر روی روتر را می دهند. به طور مثال، روتر Cisco 1941 یک روتر ماژولار کوچک است که دو پورتِ اترنتِ یک گیگابایتی تعبیه شده از نوع RJ-45 دارد و همچنین دو اسلات دارد که بر روی آنها چندین ماژول اینترفیس شبکه گوناگون می تواند قرار گیرد. روترها انواع گوناگونی از اینترفیس ها همچون Fast Ethernet ، Gigabit Ethernet ، serial و fiber-optic را در اختیار می گذارند.

مدیریت دستگاه ها

صرف نظر از فرم فاکتور و ویژگی هایی که IOS مربوط به دستگاه پشتیبانی می کند، دستگاه برای قرارگیری در فاز عملیاتی به IOS نیازمند است. در این بخش به Cisco IOS و چگونگیِ مدیریت آن بر روی روترها و سوییچ ها می پردازیم.

مدیریت فایل های IOS

با توجه به وجود گستره وسیعی از دستگاه های شبکه که می توان از محصولات سیسکو انتخاب نمود، یک سازمان به طور حساب شده می تواند ترکیب ایده آلی را برای پاسخ دهی به نیازهای مشتریان و کارمندان خود تعیین نماید.

به هنگام انتخاب یا ارتقای یک دستگاه دارای Cisco IOS ، انتخاب یک IOS image مناسب با نسخه و مجموعه ویژگی های درست، از اهمیت بالایی برخوردار است. IOS image به مجموعه ای از routing ، switching ، security و دیگر تکنولوژی های میان شبکه ای اشاره دارد که درون یک سیستم عامل چند عملکردیِ واحد یکپارچه شده اند.

سیسکو نسخه های IOS را برای فعالسازی تکنولوژی های جدید درون مجموعه IOS ارتقا می دهد. در شکل 12 خانواده نسخه 15 از IOS عرضه شده را مشاهده می کنید.

شکل 12) سری نسخه 15 از IOS

با توجه به شکل بالا عرضه ی نسخه EM یا همان Extended Maintenance ،تقریبا هر 16 تا 20 ماه صورت گرفته است. نسخه های T میان نسخه های EM عرضه می شوند و برای پشتیبانی از آخرین ویژگی ها و سخت افزارها پیش از عرضه نسخه EM بعدی مناسبند.

برای کسب اطلاعات بیشتر در رابطه با Cisco IOS در سوییچ های کاتالیست به این لینک مراجعه نمایید.

مدیریت In-Band در مقابل Out-of-Band

صرف نظر از نوع دستگاه پیاده سازی شده ای که دارای Cisco IOS است، دو روش برای اتصال یک PC به آن دستگاه شبکه برای کانفیگ و نظارت بر task ها وجود دارد: مدیریت Out of Band و مدیریت In Band .(شکل 13)

شکل 13) کانفیگ کردنِ In-Band و Out-of-Band

مدیریت Out of Band برای کانفیگ اولیه استفاده می شود یا هنگامی که امکان اتصال به شبکه وجود نداشته باشد. برای کانفیگ کردن دستگاه در این روش به موارد زیر نیاز است:

  • اتصال مستقیم از طریق پورت console یا AUX
  • یک کلاینت برای شبیه سازی ترمینال (مانند Putty یا Tera Term)

مدیریت In Band برای نظارت و ایجاد تغییر در کانفیگ دستگاه تحت اتصال شبکه استفاده می شود. برای کانفیگ کردن دستگاه در این روش به موارد زیر نیاز است:

  • حداقل یک اینترفیس شبکه ی عملیاتی بر روی دستگاه
  • Telnet ، SSH ، HTTP یا HTTPS برای دسترسی به دستگاه سیسکو

جمع بندی

شبکه ای که به درستی طراحی شده باشد، ترافیک را به خوبی کنترل می کند و دامنه شکست را محدود می سازد. روترها و سوییچ ها می توانند با افزونگی در شبکه مستقر شوند تا خرابی یک دستگاه باعث اختلال در سرویس دهی نشود.

طرح شبکه باید شامل یک استراتژی برای آدرس دهی IP ،پروتکل های مسیریابی، پروتکل های مخصوصِ لایه 2 باشد و همچنین دستگاه های modular یا clustered که به سادگی برای افزایش ظرفیت، قابل ارتقا باشند.

باید در نظر داشته باشید که برای دستیابی به مجموعه مشخصی از نیازمندی ها، ویژگی ها و جریان ترافیکی مورد انتظار، چگونگی استقرار و انتخاب انواع مناسبی از روترها و سوییچ ها از اهمیت بالایی برخوردار است.

نکاتی برای به روز رسانی به vSphere 6.7 با کمترین Downtime

کمپانی VMware  پیوسته در طول بازه‌های زمانی مختلف، به روز رسانی هایی را برای محصولاتش منتشر می‌کند. یکی از دغدغه های هر سازمانی، به روز بودن در زمینه‌ی نرم افزاری می‌باشد که نسبت به به روز رسانی سخت افزاری، هزینه های کمتری را به همراه دارد. البته به روز رسانی نرم افزاری ممکن است Downtimeهایی داشته باشد که می‌توانند ضررهای مالی زیادی را به سازمان ها وارد کنند. از این رو به روز رسانی با کمترین Downtime و یا حتی بدون Downtime مسئله‌ی مهمی است که باید به آن توجه کرد. به روز بودن در زمینه نرم‌افزار، مزایایی از قبیل امنیت پایدارتر و برخورداری از آخرین امکانات و ویژگی‌های نرم افزارها را شامل می‌شود.

ادامه مطلب …

آشنایی با پروتکل HSRP

در یک شبکه lan، اگر تمامی بسته ها به مقصد سگمنت های دیگر شبکه توسط روتری یکسان فرستاده شوند، هنگامی که gateway از کار بیافتد، همه ی هاست هایی که از آن روتر به عنوان next-hop پیش فرض استفاده می کنند در برقراری ارتباط با شبکه های خارجی موفق نخواهند بود. برای رفع این مشکل، سیسکو پروتکل اختصاصی HSRP را ارائه داده است که برای gateway ها در یک lan ، افزونگی ایجاد می کند تا قابلیت اطمینان شبکه را افزایش دهد.

HSRP

یکی از راه های دستیابی به uptime نزدیک به 100 درصد در شبکه، استفاده از پروتکل HSRP است که افزونگی را در شبکه های IP ، ارائه می دهد. HSRP تضمین خواهد کرد که به هنگام ایجاد خطا در دستگاه ها یا مدارهای دسترسی که در لبه (edge) شبکه قرار دارند، ترافیک های کاربر بلافاصله به بیرون شبکه ارسال شوند.

با به اشتراک گذاشتن یک آدرس IP و آدرس MAC (لایه 2) میان دو یا تعدادی بیشتری از روترها، آنها می توانند به عنوان یک روتر مجازیِ واحد (virtual router) عمل نمایند. روترهای عضو در این گروه، به طور مستمر برای رصد وضعیت روترهای دیگر پیام هایی را با یکدیگر مبادله می نمایند. در نتیجه هر روتر مسئولیت مسیریابی روتری دیگر را نیز بر عهده خواهد گرفت. و بر پایه این پروتکل، هاست ها می توانند بسته های IP را به آدرس MAC و IP پایداری ارسال نمایند.

HSRP

مکانیزم های پویا برای تشخیص روتر

در ادامه مکانیزم های موجود برای تشخیص روتر توسط هاست تشریح می شود. بسیاری از این مکانیزم ها منجر به تاب آوری (resiliency) بیشترِ شبکه نمی شوند. این مسئله به این معنا می تواند باشد که در ابتدا برای پروتکل ها  قابلیت تاب آوریِ شبکه در نظر گرفته نمی شد یا اینکه اجرای پروتکل برای هر هاست از شبکه ممکن نبود. باید این را در نظر داشته باشید که بسیاری از هاست ها، تنها مجوز تنظیمِ default gateway را به شما می دهند.

Proxy Address Resolution Protocol

برخی از هاست ها از پروتکل (proxy Address Resolution Protocol (ARP برای انتخاب یک روتر استفاده می کنند. هنگامی که یک هاست proxy ARP را اجرا می کند، به منظور دستیابی به آدرس IP هاستی که قصد ارتباط با آن را دارد، یک درخواست ARP ارسال می کند. فرض کنید روتر A در شبکه، از طرف هاستِ مقصد پاسخ می دهد و آدرس MAC اش را در اختیار می گذارد. به واسطه ی پروتکل ARP ، هاست مبدا با هاست راه دور به گونه ای برخورد می کند که گویی به همان سگمنت از شبکه متصل است. اگر روتر A از کار بیافتد، هاست مبدا به ارسال بسته ها به هاست مقصد از طریق آدرس MAC مربوط به روتر A ادامه می دهد، با آنکه این بسته ها به مقصدی ارسال نمی شوند و از بین می روند. شما می توانید منتظر بمانید تا پروتکل ARP ، آدرس MAC یک روتر دیگر بر روی همان سگمنت ،به فرض روتر B ، را به دست آورد. آدرس روتر B از طریق ارسال یک درخواستِ دیگر ARP یا راه اندازی مجددِ هاست مبدا برای ارسال درخواست ARP به دست می آید. از طرف دیگر برای مدت زمانی قابل توجه، هاست مبدا نمی تواند با هاست راه دور ارتباط برقرار کند، با وجود اینکه انتقال بسته هایی که پیش از این توسط روتر A ارسال می شدند از طریق روتر B میسر می شود.

Dynamic Routing Protocol

برخی از هاست ها یک پروتکل مسیریابی پویا همچون (Routing Information Protocol (RIP یا (Open Shortest Path First (OSPF را اجرا می کنند تا روترها را بیابند. نقطه ضعفِ پروتکل RIP، سرعتِ کُندِ آن برای به کارگیری تغییرات در توپولوژی است. اجرای یک پروتکل مسیریابی پویا بر روی هر هاست، به دلایلی ممکن است، عملی نباشد. که این دلایل شاملِ administrative overhead ، processing overhead ، مسائل امنیت یا عدم امکانِ پیاده سازی پروتکل بر روی برخی از پلتفرم ها می شود.

(ICMP Router Discovery Protocol (IRDP

به هنگام عدم دسترسی پذیری به یک مسیر، برخی از هاست های جدیدتر از IRDP برای یافتن روتری جدید استفاده می کنند. هاستی که IRDP را اجرا می کند به پیام های multicast دریافت شده از روتر پیش فرضِ خود گوش فرا می دهد و هنگامی که پس از مدتی پیام های hello را دریافت نکند، از یک روتر جایگزین بهره می برد.

Dynamic Host Configuration Protocol

پروتکل DHCP مکانیزمی را برای انتقال اطلاعات کانفیگ به هاست ها بر روی شبکه TCP/IP ارائه می دهد. این اطلاعات کانفیگ معمولا شامل آدرس IP و default gateway می شود. اگر default gateway از کار بیافتد، هیچ مکانیزمی برای تغییر به روتری جایگزین وجود ندارد.

عملیات HSRP

در بسیاری از هاست ها تشخیص پویا پشتیبانی نمی شود. بنا به دلایلی که پیشتر ذکر شد، اجرای یک مکانیزم تشخیص پویای روتر بر روی هر هاست از شبکه نیز ممکن است تحقق پذیر نباشد. در نتیجه پروتکل HSRP برای این هاست ها failover service را فراهم می کند.

با استفاده از HSRP ، مجموعه ای از روترها به صورت همزمان فعالیت می کنند تا به عنوان یک روتر مجازی واحد به هاست های موجود بر روی LAN نشان داده می شوند. این مجموعه به عنوان گروه HSRP یا گروه standby شناخته می شوند. یک روترِ برگزیده از این گروه مسئولیت ارسال بسته هایی را بر عهده دارد که هاست ها به روتر مجازی می فرستند. این روتر به عنوان Active router شناخته می شود و روتر دیگر به عنوان Standby router انتخاب می شود. هنگامی که روتر Active از کار بیافتد، روتر standby وظایفِ ارسال بسته را بر عهده می گیرد. با وجود آنکه تعداد دلخواهی از روترها پروتکل HSRP را می توانند اجرا نمایند، تنها روتر Active ، بسته هایی را ارسال می کند که به روتر مجازی فرستاده شده اند.

برای به حداقل رساندن ترافیک شبکه، به محض اینکه پروتکل فرآیند انتخاب را کامل کرد، تنها روترهای Active و standby پیام های HSRP را به صورت دوره ای می فرستند. اگر روتر Active از کار بیافتد، روتر standby به عنوان روتر Active فعال خواهد شد. اگر یک روتر standby از کار بیافتد یا به یک روتر Active تبدیل شود، سپس روتر دیگری به عنوان روتر standby انتخاب می شود.

بر روی یک LAN مشخص، چندین گروه standby  همزمان می توانند حضور و یا همپوشانی داشته باشند. هر گروه standby یک روتر مجازی را شبیه سازی می کنند. روتری مشخص ممکن است در چندین گروه شرکت داشته باشد. در چنین مواقعی، روتر تایمر و وضعیت هر گروه را به صورت جداگانه نگهداری می کند.

هر گروه standby یک آدرس MAC و یک آدرس IP دارد.

ارتباطات در HSRP

با استفاده از پروتکل HSRP سه نوع از پیام های multicast میان دستگاه ها رد و بدل می شود:

Hello – پیام hello میان دستگاه های Active و Standby ارسال می شود (به صورت پیش فرض هر 3 ثانیه). اگر دستگاه Standby به مدت 10 ثانیه از سمت Active پیامی دریافت نکند، خودش نقش Active را بر عهده خواهد گرفت.

Resign – پیام resign از طرف روترِ active فرستاده می شود، هنگامی که این روتر قرار است آفلاین شود یا به دلایلی از نقش Active صرف نظر کند. این پیام به روتر Standby می گوید که برای نقش Active آماده شود.

Coup – پیام coup هنگامی استفاده می شود که روتر Standby می خواهد به عنوان روتر Active فعال شود (preemption).

وضعیت روترها در HSRP

روترها در پروتکل HSRP در یکی از وضعیت های زیر قرار می گیرند:

Active – حالتی است که ترافیک در حال ارسال است.

Init یا Disabled – حالتی است که روتر آماده نیست یا قادر به شرکت در فرآیند HSRP نیست.

Learn – حالتی است که هنوز آدرس IP مجازی تعیین نشده است و پیام hello از طرف روتر Active دیده نشده است.

Listen – حالتی است که یک روتر پیام های hello را دریافت می کند.

Speak – حالتی است که روتر پیام های hello را می فرستد و دریافت می کند.

Standby – حالتی است که روتر آماده می شود تا وظایف ارسال ترافیکِ مربوط به روتر Active را بر عهده بگیرد.

ویژگی های HSRP

Preemption

ویژگیِ Preemption در HSRP بلافاصله روتری با حداکثر اولویت را به عنوان روتر Active فعال می سازد. اولویت روتر در ابتدا از طریق مقدار priority تعیین می شود که توسط شما تنظیم شده است و سپس به واسطه آدرس IP . هرچه این مقدار بیشتر باشد، اولویت بالاتر است.

وقتی که یک روتر با اولویت بیشتر حق تقدم می یابد، یک پیام coup می فرستد. هنگامی که یک روتر Active با اولویتی کمتر پیامِ coup یا پیامِ hello را از یک روتر با اولویتی بالاتر دریافت کند، به وضعیت speak تغییر می کند و یک پیامِ resign می فرستد.

Preempt Delay

این ویژگی منجر خواهد شد که فرآیند preemption برای مدت زمانی قابل تنظیم به تعویق بیافتد، و در نتیجه روترِ با اولویت بالا اجازه خواهد یافت که پیش از دریافت نقشِ Active، جدول routing خود را پُر نماید.

Interface Tracking

این ویژگی به شما اجازه خواهد داد که اینترفیسی را بر روی روتر، برای نظارت بر فرآیند HSRP تعیین نمایید تا اولویت HSRP را برای گروهی معین تغییر دهد.

اگر line protocol مربوط به اینترفیس مشخص شده down شود، اولویت HSRP مربوط به این روتر کاهش یافته است. در نتیجه به روتر دیگری با اولویت بالاتر اجازه داده می شود تا Active شود. برای اینکه از Interafece Tracking در HSRP استفاده نمایید دستور زیر را به کار برید:

[Standby [group] track interface [priority

Multiple HSRP Group

ویژگی MHSRP به نسخه 10.3 از Cisco IOS اضافه شد. این ویژگی به اشتراک گذاری load و افزونگی در شبکه را در اختیار می گذارد. و اجازه خواهد داد که روترهای افزونه به طور کامل مورد بهره برداری قرار گیرند. در حالی که روتری در نقش Active ترافیکِ یک گروهِ HSRP را ارسال می کند، در همان حال در گروهی دیگر می تواند در وضعیت standby یا listen قرار بگیرد.

 

آدرس MAC و IP مجازی

آدرس IP مجازی توسط ادمین شبکه کانفیگ می شود. هاست آدرسِ IP مربوط به default gateway خود را برابر با این آدرس IP مجازی خواهد گذاشت و در این حالت روترِ Active به آن پاسخ خواهد داد. آدرس MAC مجازی بر طبق الگوی زیر ایجاد می شود:

##.0000.0C07.AC

بخشِ 0000.0C مربوط به شناسه OUI شرکت Cisco است. بخشِ 07.AC ،شناسه ی اعمال شده برای پروتکلِ HSRP است و ## شناسه ی گروه HSRP است که توسط ادمین شبکه کانفیگ می شود.

**************

برای پروتکل HSRP دو نسخه ارائه شده است که با توجه به نوع سوئیچ لایه 3 یا روتری که در اختیار دارید، می توانید یکی از این دو نسخه را استفاده نمایید. در زیر جدول تفاوت این دو نسخه آورده شده است.

 HSRPv1HSRPv2
Group Numbers0-2550-4095
Virtual MAC address0000.0c07.acXX (XX = group number)0000.0c9f.fxxx (XXX = group number)
Multicast Address224.0.0.2224.0.0.102

برای تنظیمِ پروتکل HSRP بر روی سوئیچ سیسکو لایه 3 و روتر سیسکو می توانید از این لینک کمک بگیرید.

ویژگی های Fast VP (قسمت دوم)

ویژگی های FAST VP

POOL ها

Pool مجموعه ای از درایو ها است که LUN ها در آن ایجاد می شوند. Pool ها را بر روی تمامی سیستم های EMC Unity، از جمله خانواده Unity All Flash ، خانواده Unity Hybrid  یا UnityVSA می توان ایجاد کرد. در سیستم های Unity All Flash و Hybrid، این Pool ها شامل درایوهای فیزیکی موجود روی دستگاه هستند. Pool ها در UnityVSA ، بر روی دیسک هایی مجازی ایجاد شده اند که فضای آن ها توسط هاست VMWare ESXi تامین می گردد و UnityVSA از آن بهره می برد. Pool ها می توانند شامل تعداد کمی از درایو ها و یا تمام درایو ها در یک سیستم باشند. FAST VP یک ویژگی نرم افزاری است که به طور موثری به بهره وری از منابع موجود در یک Pool کمک می کند. یک Pool می تواند حاوی یک نوع درایو یا ترکیبی از انواع درایوها باشد.

یک Pool که تنها شامل یک نوع درایو است،  Single Tier pool نامیده می شود، همچنین با نامِ Homogenous Pool شناخته می شود. Single Tier pool می تواند شامل تمام درایوهای Flash، درایوهای SAS یا تمام درایوهای NL-SAS باشد. از آنجایی که همه درایوهای داخل Pool از یک نوع هستند،  Single Tier poolها عملکرد پیش بینی شده ای را می توانند ارائه دهند. تمام داده های موجود در یک Single Tier pool ، صرف نظر از بازه زمانی ایجاد داده ، پتانسیل عملکرد یکسانی دارند. هنگامی که دسترسی داده در سراسر یک محدوده آدرس دهی بزرگ یکنواخت باشد  Single Tier Pools بهترین بهره وری را داراست.

یک Pool که حاوی مخلوطی از انواع درایوها است، multi-tiered Pool نامیده می شود که همچنین به عنوان Hybrid Pool یا Heterogeneous Pool شناخته می شود.  multi-tiered Pool  می تواند هر ترکیبی از Flash، SAS و NL-SAS را در اختیار داشته باشد. به عنوان مثال، یک Pool ممکن است حاوی هر سه نوع درایو باشد، یا فقط شامل درایوهای Flash و NL-SAS یا تنها درایوهای SAS و NL-SAS باشد. در multi-tiered Pool ، داده های موجود در منابع ذخیره سازی توسط FAST VP در Slice هایی 256 مگابایتی در سراسر Tier ها پخش می شوند. FAST VP بر استفاده از هر Tier نظارت می کند و Slice های داده ی درون Pool را بر اساس درجه حرارت Slice ها و ظرفیتشان مکان بندی می کند.

انواع Tier ها در Fast VP

هنگامی که یک Pool ایجاد می شود، هر نوع درایو درون Pool به یک Tier خاص اختصاص داده می شود. هر Tier سطح عملکردی متفاوت را با توجه به نوع درایو و تعداد درایو های موجود در Tier ارائه می دهد. همچنین هر Tier در یک Pool می تواند ظرفیت ذخیره سازی متفاوتی داشته باشد، در نتیجه به شما این امکان را می دهد تا میزان ذخیره سازی هر نوع درایوِ تخصیص یافته به pool را تنظیم نمایید. FAST VP درایوها را به سه سطح تقسیم می کند. این سطوح عبارتند از:

  • Extreme Performance Tier – شامل درایوهای Flash است
  • Performance Tier – شامل درایوهای Serial Attached SCSI (SAS) (SAS) است
  • Capacity Tier – شامل درایوهای Near-Line SAS (NL-SAS)

FAST VP هر کدام از این Tier ها را بر اساس نوع درایو، و نه سرعت چرخش تفکیک می کند. EMC پیشنهاد می کند درایو های با سرعت چرخش مختلف از یک Tier را در یک Pool با هم ترکیب نکنید. به عنوان مثال، درایوهای 10K RPM و 15K RPM SAS را در یک Pool ترکیب نکنید. همچنین توصیه می شود این درایو ها را به Pool های مختلف اختصاص دهید. لازم به ذکر است که اگر درایوهای 10K RPM SAS در یک Pool با درایوهای  7.2K RPM NL-SAS  ترکیب شوند، مشکلی پیش نخواهد آمد زیرا آنها درایوهایی از انواع متفاوت هستند و در Tier های مختلفی قرار دارند.

FAST VP تمام Tier ها را در یک Pool به کار می برد، چرا که هر Tier مزایای منحصر به فردی در رابطه با عملکرد و هزینه ها ارائه می دهند.

تنظیمات POOL TIER RAID

هنگام ایجاد یک Pool، می توانید انوع مختلف RAID را برای هر یک از Tier ها تنظیم نمایید. هنگامی که یک RAID برای هر Tier انتخاب و Pool ایجاد شده است، RAID  را نمی توان تغییر داد. به هنگام گسترش یک Pool برای افزودن یک نوع درایو جدید، می توانید RAID را انتخاب کنید. جدول زیر انواع تنظیمات RAID را نشان می دهد که برای هر Tier پشتیبانی می شوند. در جدول زیر انواع پیکربندی درایوها در RAID آورده شده است.

هنگام تصمیم گیری در مورد استفاده از پیکربندی RAID، عملکرد، ظرفیت و سطوح حفاظت هر پیکربندی را در نظر بگیرید. RAID 1/0 برای برنامه های کاربردی با مقادیر زیادی از نوشته های تصادفی پیشنهاد می شود، زیرا هیچ parity نوشتنی در این نوع RAID وجود ندارد. هنگامی که نگرانی در مورد هزینه و عملکرد وجود داشته باشد RAID 5 ترجیح داده می شود. RAID 6 بیشترین میزان حفاظت از داده ها در برابر خرابی درایو ها را دارا است. اما باید در نظر داشت که به هنگامِ استفاده از تنظیمات RAID با تعداد درایوهای زیاد (12+1 , 12+2 , 14+2) در مولفه هایی مانند زمان Rebuild کردن درایوها و در هنگام خطا با چالش هایی نظیر افت عملکرد و تاخیر رو به رو خواهیم بود.

 EXTREME PERFORMANCE TIER

Extreme Performance Tier در اغلب موارد برای ذخیره سازی اطلاعاتی استفاده می شود که به زمان پاسخ حساس هستند و نیاز به یک سطح بالایی از عملکرد دارند. درایوهای Flash در Extreme Performance Tier به کار رفته اند زیرا دارای Latency کمی هستند.

هنگام ایجاد یک Pool پیشنهاد می شود که درایوهای Flash را به پیکربندی اضافه کنید. حتی یک مقدار کم از ظرفیت Flash اضافه شده به Pool می تواند توسط FAST VP برای افزایش عملکرد کلی سیستم مورد استفاده قرار گیرد. برای بهترین سرمایه گذاری، از درایوهای Flash برای ذخیره hot data روی منابع ذخیره سازی ای که نیاز به زمان پاسخ سریع و IOPs بالا دارند، استفاده کنید. FAST VP منابع کل Pool را بهینه سازی می کند و در صورت نیاز داده هایی را که کمتر فعال هستند، به طور خودکار به سطوح دیگر انتقال می دهد.

Extreme Performance Tier را می توان با استفاده از درایوهای فلش SAS Flash 2، SAS Flash 3 یا SAS Flash 4 ایجاد کرد. در حالی که توصیه نمی شود درایو های SAS Flash مختلف را در همان Pool ترکیب کنید. در Unity OE نسخه 4.1 و بالاتر، درایوهای SAS Flash 3 می توانند در  Hybrid Pools (mixed drive type) استفاده شوند. درایوهای SAS Flash 4 فقط در  سیستم Unity All-Flash  پشتیبانی می شوند.

PERFORMANCE TIER

Performance Tier عملکرد بالا و همه جانبه ای را از طریق ارائه زمان پاسخ سازگار، I/O بالا و پهنای باند خوب در کنار قیمتی متوسط فراهم می کند. Performance Tier شامل درایوهای SAS است که سطح بالایی از عملکرد، قابلیت اطمینان و ظرفیت را ارائه می دهند. تکنولوژی درایوهای SAS مبتنی بر تکنولوژی چرخش مکانیکی سخت افزاری است که از پلاترهای مغناطیسی برای ذخیره داده ها استفاده می کند. Performance Tier را می توان با استفاده از درایوهای  15K RPM یا 10K RPM SAS ایجاد کرد. اگر چه چنین چیزی امکان پذیر است اما ترکیبِ  درایوهای SAS با سرعت های مختلف، در یک Pool پیشنهاد نمی شود.

CAPACITY TIER

Capacity Tier یک Tier از محدوده ظرفیت ذخیره سازی در یک Pool است که شامل درایو های 7.2K RPM NL-SAS با ظرفیت بسیار و هزینه کم می شود. Capacity Tier با استفاده از درایوهای NL-SAS، به کاهش هزینه در هر GB از Pool کمک می کند. Capacity Tier موجود در FAST VP برای ذخیره داده هایی است که عمدتا استاتیک هستند و اغلب در دسترس نیستند. این بهترین راه برای استفاده ار داده هایی است که کاربرد زیادی ندارند. در نتیجه داده هایی که سطح فعالیت کمتری نسبت به بقیه دارند و به اصطلاح به آن ها cold data می گوییم در دسته سوم Tier بندی یعنی Capacity Tier قرار می گیرند.

توصیه ها :

از آنجایی که FAST VP اداره داده ها در یک Pool را بر اساس الگوهای دسترسی به داده ها و کارایی ذخیره سازی انجام می دهد، بهتر است که تفاوت های بین مقادیر multiple tier  را درک کنید. جدول زیر، تفاوت های اصلی بین Tier ها و درایوهای تشکیل دهنده ی آنها را نمایش می کند.

 

تفاوت های اصلی بین Tier ها و درایوهایی که از آنها تشکیل شده است.

روش های backup گیری از اطلاعات

یکی از اساسی ترین مسایل برای فهم پشتیبان گیری (backup) و بازیابی (recovery) ، مفهومِ سطوح backup است و اینکه هر یک از این سطوح چه معنایی دارند.

فقدانِ درک صحیح از اینکه این سطوح چه هستند و چگونه به کار گرفته می شوند، منجر شده است که سازمان ها تجربه ناخوشایندی از پهنای باند و فضای ذخیره سازی به هدر رفته ای داشته باشند که جهت از دست نرفتن داده های مهم در بکاپ گیری به آنها تحمیل می شود. همچنین درک این مفاهیم به هنگام انتخاب محصولات یا خدمات حفاظت از اطلاعات بسیار ضروری است.

Full backup

پشتیبان گیریِ کامل، شامل همه داده های کل سیستم می شود. بکاپ کامل از Windows system ، باید کپی هر یک از فایل ها بر روی هر درایو از ماشین یا VM را در برگیرد.

تنها چیزی که در پشتیبان گیری کامل حذف می شود، فایل هایی هستند که از طریق پیکربندی مستثنا می شوند. به طور مثال، اکثر ادمین های سیستم تصمیم می گیرند که دایرکتوری هایی را که در طول بازگردانی ارزشی ندارند (به طور مثال، /boot یا /dev) یا دایرکتوری های شامل فایل های موقتی (به طور مثال، C:\Windows\TEMP در ویندوز، یا /tmp در لینوکس) حذف شوند.

در مورد اینکه فرآیند پشتیبان گیری شامل چه فایل هایی باید شود، دو رویکرد وجود دارد: از همه چیز بکاپ بگیرید و چیزهایی را که می دانید به آنها نیاز ندارید را حذف کنید، یا اینکه تنها چیزی را که می خواهید از آن بکاپ بگیرید، انتخاب کنید. اولین رویکرد گزینه ای امن تر است و رویکرد دوم نیز منجر به صرفه جویی در فضای سیستم بکاپ شما خواهد شد. برخی معتقدند که بکاپ گیری از فایل های اپلیکیشن همچون دایرکتوری های شامل SQL Server یا Oracle ، بیهوده است و به سادگی در طول فرآیند بازگردانی، اپلیکیشن را دوباره بارگذاری می کنند. مشکل رویکرد اخیر این است که احتمال دارد شخصی داده ای ارزشمند را در یک دایرکتوری قرار دهد که برای پشتیبان گیری انتخاب نشده است. به فرض اگر شما تنها دایرکتوریِ home/ یا D:\Data را برای پشتیبان گیری برگزینید، چگونه سیستمِ بکاپ تشخیص خواهد داد که شخصی اطلاعاتی مهم را در دیگر دایرکتورها ذخیره کرده است؟ به همین دلیل، با وجود اینکه رویکرد اول فضای زیادتری را اشغال می کند، پشتیبان گیری از همه چیز روشی امن تر می باشد و تنها فایلهایی که نیازی ندارید، حذف می شوند. البته اگر شما یک محیطِ به شدت کنترل شده داشته باشید که در آن همه داده ها در مکانی مشخص بارگذاری شده باشند و راهکار هماهنگ شده ی مناسبی برای جابجایی سیستم عامل و اپلیکیشن ها در فرآیند بازگردانی داشته باشید، استفاده از راهکار دوم برایتان موثر خواهد بود.

Full Backup

از آنجایی که حجم عظیمی از داده ها باید کپی شوند، در این فرآیند زمان بسیاری صرف خواهد شد (در مقایسه با انواع دیگر از روش های Backup، این روش 10 برابر زمان بیشتری را صرف می کند). در نتیجه در هر نوبتِ پشتیبان گیری، بارکاری قابل ملاحظه ای به شبکه تحمیل می شود و با عملیات روتینِ شبکه شما تداخل پیدا می کند. همچنین بکاپ کامل حجم بالایی از فضای ذخیره سازی را نیز اشغال می کند.

به همین دلیل است که بکاپ کامل تنها به صورت دوره ای گرفته خواهد شد و آن را با انواع دیگر بکاپ ترکیب می کنند.

فواید بکاپ کامل:

  • ریکاوری سریعِ داده ها به هنگام رخدادِ یک disaster
  • مدیریت بهتر ذخیره سازی، از آنجایی که تمام مجموعه داده ها در یک فایل بکاپِ واحد ذخیره می شوند

معایب بکاپ کامل:

با وجود اینکه بکاپ کامل، مزیت های بالا را برای شما به ارمغان می آورد اما شامل نقاط ضعف بسیاری نیز هست:

  • اجرای بکاپِ کامل، زمان بسیاری زیادی را به خود اختصاص می دهد
  • شما نیاز به یک ذخیره ساز با ظرفیت بسیار بالا خواهید داشت تا بتواند همه بکاپ های شما را دربر گیرد
  • از آنجایی که هر فایلِ full backup شامل کل مجموعه داده های شماست (که اغلب محرمانه هستند)، اگر این داده ها به دسترسی شخصی فاقدِ صلاحیت برسند، کسب و کار شما دچار مخاطره می شود. هر چند اگر راهکار بکاپِ شما از ویژگی data protection پشتیبانی نماید، می توان از این خطرات پیشگیری نمود.

incremental backup (بکاپ افزایشی)

بکاپِ افزایشی معمولا از داده هایی پشتیبان می گیرد که از زمان آخرین بکاپِ گرفته شده (هر نوعی از بکاپ که باشد)، تغییری روی آنها صورت گرفته باشد. گرفتن یک بکاپِ کاملِ اولیه از پیش شرط های ایجادِ بکاپِ افزایشی است. و بسته به سیاست های ذخیره سازیِ بکاپ، پس از یک دوره زمانی معین به یک full backup جدید برای تکرار این سیکل نیاز است.

برخی از این نوع بکاپ ها، بکاپ های file-based هستند به این معنا که از همه فایلهایی که نسبت به آخرین زمان بکاپ تغییر کرده باشند، بکاپ تهیه می شود. در حالی که ما به روش های مختلف می کوشیم تا تاثیر I/O ناشی از بکاپها بر روی سرور (به خصوص به هنگام پشتیبان گیری از VM ها) را کاهش دهیم، در این شیوه پشتیبان گیری با چالشی در این مورد مواجه خواهیم شد. چرا که پشتیبان گیری از یک فایل 10GB  که تنها 1 MB از آن تغییر کرده است، چندان کارآمد نیست.

به دلیل ناکارآمدی در شیوه file-based، اکثر کمپانی ها به سمت بکاپ افزایشیِ block-based رفته اند که در آن تنها از بلاک های تغییر یافته، بکاپ گرفته می شود. رایجترین روش برای انجام آن هنگامی است که از محصولات نرم افزاری بکاپ تهیه می شود، به طور مثال از VMware یا Hyper-V با استفاده از API هر یک از آنها، می توان پشتیبان تهیه نمود. هر App یک API مناسب خود را اعلام می کند که بکاپ افزایشیِ block-based را انجام می دهد.

Incremental Backup

بکاپ افزایشی از سرعت بالایی برخوردار است و در مقایسه با full backup، به فضای ذخیره سازیِ بسیار کمتری نیاز دارد. اما از آنجایی که در این شیوه به بازگردانیِ آخرین بکاپِ کامل و علاوه بر آن کل زنجیره بکاپ های افزایشی نیاز است، فرآیند ریکاوریِ آن مدت زمان بیشتری به طول می انجامد. اگر یکی از بکاپ های افزایشی در این زنجیره بکاپ از دست برود یا صدمه ببیند، ریکاوری کامل آن غیر ممکن خواهد شد.

فواید بکاپ افزایشی:

  • از آنجایی که تنها از داده های افزوده شده بکاپ تهیه می شود، فرآیند بکاپ گیری سرعت بسیار بالایی دارد
  • به فضای ذخیره سازی کمتری نیاز است
  • هر کدام از این بکاپ های افزایشی یک نقطه بازیابی مجزا هستند

معایب بکاپ افزایشی:

  • هنگامی که شما نیاز داشته باشید، هم بکاپ کامل و هم همه ی بکاپ های افزایشی متوالی را بازگردانید، سرعت بازگردانیِ کامل داده ها پایین است
  • بازگردانیِ موفق داده ها به عدم نقص در تمامیِ بکاپ های افزایشی موجود در زنجیره وابسته است

Differential backup (بکاپ تفاضلی)

Differential backup راهکاری بینابینِ بکاپ افزایشی و بکاپ کامل است. همچون بکاپ افزایشی، در اینجا نیز نقطه آغاز بکاپ گیری وجود یک بکاپ کامل اولیه است. سپس از همه داده ها که از زمان آخرین بکاپ کامل (full backup) تغییر کرده باشند، بکاپ گرفته می شود. در مقایسه با بکاپ های افزایشی، differential backup اکثر داده هایی که در بکاپ های اخیر تغییر کرده اند را ذخیره نمی کند، تنها داده هایی ذخیره می شوند که نسبت به بکاپ کامل اولیه تغییر کرده اند. بنابراین بکاپ کامل، نقطه مبنا برای بکاپ گیری متوالی است. در نتیجه بکاپ differential در مقایسه با بکاپ افزایشی، سرعت بازگردانی داده را افزایش می دهد چرا که تنها به دو قطعه بکاپ اولیه و آخرین بکاپِ differential نیاز است. این نوع از بکاپ در زمان استفاده از درایوهای tape رواج بسیاری داشت، چرا که تعداد tape های مورد نیاز برای بازگردانی را کاهش می داد. بازگردانی (restore) نیاز به  آخرین بکاپ کامل در کنار آخرین differential backup و incremental backup  دارد.

Differential Backup

ویژگی ها

از لحاظِ سرعتِ پشتیبان گیری/بازگردانی، بکاپ differential به عنوانِ راهکاری است که در میانِ دو راهکار بکاپِ کامل و بکاپ افزایشی قرار می گیرد:

  • عملیات بکاپ گیری در آن کندتر از بکاپ افزایشی اما سریعتر از بکاپ کامل است
  • عملیات بازگردانیِ آن، آهسته تر از بکاپ کامل اما سریع تر از بکاپ افزایشی است

فضای ذخیره سازی لازم برای بکاپِ differential، حداقل در یک دوره مشخص، کمتر از فضای لازم برای بکاپِ کامل و بیشتر از فضای مورد نیاز برای بکاپ افزایشی است.

Mirror backup

این راهکار مشابه با بکاپ کامل است. این نوع بکاپ، کپی دقیقی از مجموعه داده ها ایجاد می کند با این تفاوت که بدون ردیابیِ نسخه های مختلفِ فایل ها، تنها آخرین نسخه از داده در بکاپ ذخیره می شود.

بکاپِ Mirror ، فرآیند ایجاد کپی مستقیمی از فایل ها و فولدرهای انتخاب شده، در زمانی معین است. از آنجایی که فایل ها و فولدرها بدون هیچ گونه فشرده سازی در مقصد کپی می شود، سریع ترین روشِ بکاپ گیری است. با وجود سرعت افزایش یافته در آن، نقاط ضعفی را نیز به همراه خواهد داشت: به فضای ذخیره سازی وسیعتری نیاز دارد و نمی تواند از طریق رمز عبور محافظت شود.

در این نوع از بکاپ گیری، هنگامی که فایل های بی کاربرد حذف می شوند، از روی بکاپِ mirror نیز حذف خواهند شد.  بسیاری از خدماتِ بکاپ ، بکاپِ mirror را با حداقل 30 روز فرصت برای حذف پیشنهاد می کنند. به این معناست که به هنگام حذف یک فایل از منبع، آن فایل حداقل 30 روز بر روی storage server نگهداری می شود.

ویژگی ها

امتیازی که بکاپِ mirror در اختیار شما می گذارد، بکاپی درست است که شامل فایل های منسوخ شده و قدیمی نمی شود.

و اما معایب آن زمانی خود را نشان خواهد داد که فایل ها به صورت تصادفی یا به واسطه ویروس ها از منبع حذف شده باشند.

Reverse Incremental Backup (بکاپ افزایشی معکوس)

در این نوع بکاپ گیری نیز برای شروع به یک بکاپ کامل اولیه نیاز است. پس از ایجاد بکاپِ کامل اولیه، هر بکاپ افزایشیِ موفق تغییرات را به نسخه پیشین اعمال می کند که در نتیجه آن در هر زمان یک بکاپ کاملِ جدید (به صورت مصنوعی) ایجاد می شود. در حالی که کماکان توانایی بازگشت به نسخه های پیشین وجود دارد. هر یک از بکاپ های افزایشیِ اعمال شده به بکاپ کامل، نیز ذخیره می شوند که در زنجیره ای از بکاپ ها، به طور مستمر در پشت سرِ بکاپ کاملِ به روز شده، در جریان هستند.

Reverse Incremental Backup

امتیاز اصلی در این نوع از بکاپ گیری فرآیند بازیابی کارآمدترِ آن است، چرا که بخش زیادی از جدیدترین نسخه های داده به بکاپ کامل اولیه اضافه می شود و  نیازی ندارید بکاپ های افزایشی را در طول بازیابی بکار ببندید. در گیف زیر فرآیند اجرای این نوع بکاپ نشان داده شده است.

Reverse Incremental Backup

 

Smart backup (بکاپ هوشمند)

بکاپ هوشمند، ترکیبی از بکاپ های کامل، افزایشی و تفاضلی است. بسته به هدفی که در پشتیبان گیری در نظر دارید و همچنین فضای ذخیره سازیِ در دسترس، بکاپ هوشمند می تواند راهکاری کارآمد را ارائه دهد. جدول زیر ایده ای در رابطه با چگونگی کارکرد این نوع بکاپ، در اختیار شما می گذارد.

با استفاده از بکاپ هوشمند، همیشه می توانید تضمین نمایید که فضای ذخیره سازیِ کافی برای بکاپ های خود در اختیار دارید.

 Continuous Data Protection (محافظت مستمر از داده)

بر خلاف بکاپ های دیگر که به صورت دوره ای انجام می شوند، CDP از هر تغییری در مجموعه داده های منبع log تهیه می کند که از سویی مشابه با بکاپِ mirror است. اختلاف CDP با mirror در این است که log مربوط به تغییرات برای بازیابیِ نسخه های قدیمی تر از داده می تواند بازیابی شود.

Synthetic Full Backup (بکاپ کامل ساختگی)

این نوع از بکاپ شباهت های بسیاری با بکاپ افزایشی معکوس دارد. اختلافِ آنها در چگونگی مدیریت داده هاست. بکاپ کامل مصنوعی با اجرای بکاپ کاملِ مرسوم آغاز می شود که در ادامه مجموعه ای از بکاپ ها افزایشی را در پی دارد. در زمانی معین، بکاپ های افزایشی هماهنگ می شوند و به بکاپ کاملِ موجود اعمال می شوند تا بکاپ کاملی را به طور مصنوعی و به عنوان یک نقطه شروعِ جدید ایجاد نمایند.

بکاپ کاملِ ساختگی، تمامی امتیازات یک بکاپ کامل را دارد، در حالی که زمان و فضای ذخیره سازیِ کمتری را صرف می کند.

Synthetic Full Backup

از جمله مزایای بهره وری از بکاپ کامل ساختگی عبارتند از:

  • عملیات بازیابی و بکاپ گیریِ سریع
  • مدیریتِ بهترِ ذخیره ساز
  • نیاز کمتر به فضای ذخیره سازی
  • یارهای کاریِ کمتر در شبکه

Forever-Incremental Backup

این راهکار با بکاپ افزایشی عادی متفاوت است. همچون اکثر راهکارهای پیشین برای شروع به یک بکاپ کامل اولیه به عنوان یک نقطه مرجع برای ردگیری تغییرات نیاز دارد. از آن لحظه، تنها بکاپ های افزایشی بدون هیچ گونه بکاپ کاملِ دوره ای ایجاد می شوند.

فرض کنید که شما بکاپ کامل را در روز شنبه ایجاد کردید. با شروع روز بعد، بکاپ های افزایشی به صورت روزانه ایجاد می شوند. در روز یکشنبه دو بلوک جدیدِ A و B در مجموعه داده های منبع ایجاد شده اند. در روز دوشنبه بلوک A حذف و بلوکِ جدید C بر روی منبع ایجاد شده است. در روز سه شنبه بلوک B حذف و بلوک جدید D ایجاد شده است. سیستمِ forever-incremental backup تمامیِ تغییرات روزانه را پیگیری می کند. حذف بلوک های داده تکراری تا فضای ذخیره سازی مورد نیاز برای بکاپ را کاهش دهد.

یا توجه به سیاست های ویژه در زمینه نگهداری بکاپ ها، پس از ایجادِ مجموعه ای از بکاپ های افزایشی، نقاط بکاپ گیری و بازیابیِ منقضی شده حذف می شوند تا فضای ذخیره سازیِ اشغال شده در backup repository آزاد شود.

امتیازاتی که روش بکاپ گیریِ forever-incremental نصیب شما خواهد کرد نیز مشابه با روشِ بکاپ کامل ساختگی است.

جمع بندی

در حقیقت راهکار بکاپ گیریِ خوب یا بد وجود ندارد. باید در نظر بگیرید که چه نوعی از بکاپ گیری برای شما بهترین است و نیازهای ویژه ی سازمانِ شما را بر مبنای سیاست های محافظت از داده، ذخیره سازِ موجود، منابع، پهنای باند شبکه، نواحی داده ای مهم و …. برآورده می سازد.

 

سیسکو ISE چیست؟

شبکه های enterprise امروزی به سرعت در حال تغییرند، به خصوص زمانی که بحث قابلیت جابجایی موقعیت جغرافیایی کارمندان در آن مطرح است. مدت زمانی است که دیگر، کارمندان به دسکتاپ های خود وابسته نیستند بلکه به جای آن برای دسترسی به منابع سازمان از طریق دستگاه های متنوعی چون تبلت ها، تلفن های هوشمند و لپ تاپ های شخصی به شبکه متصل می شوند. توانایی دسترسی به منابع از هر نقطه، بهره وری را به شدت افزایش  می دهد، اما در کنار آن، احتمال نفوذهای داده ای و تهدیدهای امنیتی نیز افزایش می یابد. چرا که ممکن است وضعیت امنیتِ دستگاه هایی که به شبکه دسترسی دارند را نتوانید کنترل کنید. ردیابی همه دستگاه هایی که به شبکه دسترسی دارند در نوع خود وظیفه بسیار سنگینی است. و هنگامی که نیاز به دسترسی های بیشتر افزایش می یابد، مدیریت آنها، ناپایدارتر خواهد شد.

سیسکو (ISE (Identity Service Engine یک سیستم کنترل دسترسی به شبکه بر اساسِ احراز هویت و اجرای policy است. ادمین شبکه با استفاده از سیسکو ISE به طور مرکزی سیاست های دسترسی را برای endpoint های بی سیم و با سیم می تواند کنترل کند که تحت نام Profiling شناخته می شود. این کنترل بر اساس اطلاعات جمع آوری شده از طریق پیام هایی که توسط پروتکل RADIUS (پروتکلی که بر روی پورت 1821 عمل می کند و مدیریتِ متمرکزِ حساب ها، صدور مجوز و تایید هویت کاربران را برای دسترسی به شبکه فراهم می کند) ، بین دستگاه و نود ISE رد و بدل می شود، صورت می گیرد. پایگاه داده Profiling به صورت منظم به روز می شود تا با آخرین دستگاه ها در ارتباط باشد، به طوری که هیچ کاستی در قابلیت رویت دستگاه وجود نداشته باشد.

اساسا، سیسکو ISE هویت را به یک دستگاه بر اساس کاربر، عملکرد یا ویژگی های دیگر ضمیمه می کند تا پیش از اینکه دستگاه مجاز به دسترسی به شبکه باشد، اجرای Policy و تطابق امنیتی را برایش تدارک ببیند. بر اساس نتایج حاصل از متغیرهای مختلف، یک endpoint زمانی به دسترسی به شبکه مجاز است که مجموعه معینی از قوانین دسترسی، به interface که به آن متصل است، اعمال شده باشد. در غیر این صورت یا بکلی اجازه برقراری اتصال، داده نمی شود یا اینکه دسترسی به صورتِ دسترسی مهمان و بر اساس خط مشیِ معین هر شرکت برقرار می شود.

ISE یک دستگاه خودکارِ اجرای Policy است که سرپرستیِ وظایف روزمره معمول همچون معرفی دستگاه BYOD، معرفی مهمان، تغییرات switchport VLAN برای کاربران نهایی، مدیریت لیست دسترسی و موارد بسیار دیگری را بر عهده می گیرد. بنابراین ادمین شبکه بر روی وظایف مهم دیگری می تواند تمرکز نماید.

مبانی ISE

پلت فرم سیسکو ISE عموما یک استقرارِ توزیع شده از نودها است که از سه جز مختلف ایجاد می شود: نود مدیریت PAN) Policy) ، نود نظارت و عیب یابی (MnT)، و نود سرویس های PSN) Policy) . هر سه نقش در کارکردِ سیسکو ISE مورد نیاز هستند.

نود مدیریت PAN) Policy)

PAN رابطی است که مدیر شبکه به منظور کانفیگ سیاست ها وارد آن می شود. این نود، مرکز کنترل استقرار است. PAN به مدیر شبکه اجازه می دهد که در کلِ توپولوژیِ سیسکو ISE تغییراتی را انجام دهد و این تغییرات از نود ادمین به سمت نودهای سرویس های PSN) Policy) خارج می شود.

نود سرویس های PSN) Policy)

نود PSN جایی است که تصمیمات Policy اتخاذ می شود. این ها نودهایی هستند که دستگاه های شبکه همه پیام های شبکه را به آن ارسال می کنند؛ پیام های RADIUS نمونه ای از آنچه هستند که به PSN فرستاده می شود. پیام ها پردازش می شوند و سپس PSN مجوز یا عدم مجوز دسترسی به شبکه را صادر می کند.

نود مانیتور و عیب یابی (MnT)

نود MnT جایی است که ورود به سیستم (login) انجام و گزارش ها تولید می شود. همه log ها به این نود ارسال می شوند و MnT همه آنها را مرتب می کند بنابراین می تواند آنها را در فرمتی خوانا گرد آورد. همچنین از آن برای تولید گزارش های مختلف استفاده می شود.

سیسکو ISE چگونه کار می کند؟

حالا که می دانیم هر نود چه کاری انجام می دهد، بیایید نگاهی بیاندازیم به چگونگی هماهنگ شدن همه چیز به عنوان یک سیستم کامل. نمودار زیر نشان دهنده منطقِ سیسکو ISE است، چرا که نودها ممکن است میان دستگاه های مختلفی توزیع شده باشد.

شکل 1) مدل ارتباط ISE

شکل بالا از جزوه ی  Cisco Trustsec How-To Guide: ISE Deployment Types and Guidelines آورده شده است. اگر شما استقرار سیسکو ISE را در شبکه در نظر دارید، بهتر است که پیش از پیاده سازی آن،  ISE Design Guides را مطالعه نمایید.

  1. ارتباط از طریق endpoint آغاز می شود. این endpoint می تواند یک لپ تاپ، گوشی هوشمند، تبلت، دوربین امنیتی و سیستم ویدئو کنفرانس باشد. و یا هر چیزی که نیاز به دسترسی به شبکه دارد.
  2. کلاینت باید از طریق یک دستگاه دسترسی به شبکه – یک سوئیچ، یک کنترل کننده شبکه بی سیم یا یک کانکتور VPN – به شبکه متصل شود. اینجا است که اجرای همه policy ها رخ می دهد.
  3. از طریق درخواست 802.1X تقاضای احراز هویت برای endpoint می شود و این درخواست به نود PSN فرستاده می شود.
  4. به PSN از پیش یک کانفیگِ خاص از طرف نود ادمین داده شده است. PSN اسناد هویتی را پردازش می کند (ممکن است برای این، نیاز به پرس و جو از یک پایگاه داده خارجی داشته باشد؛ برای مثال، LDAP یا Active Directory)، و بر اساس تنظیماتِ کانفیگ، PSN برای صدور مجوز تصمیم گیری می کند.
  5. PSN تصمیم را به دستگاه دسترسی به شبکه ارسال می کند تا بتواند تصمیم را اجرا نماید. دستگاه دسترسی به شبکه، برای برقراری این session اقدامات خاصی را انجام می دهد. در این مرحله، با توجه به Policy اقدامات بسیاری می تواند انجام شود، اما چند ویژگی مشترک عبارتند از: لیست های دسترسی پویا، تغییر مجوز (به عنوان مثال برای سوئیچ کردن VLAN ها) و Security Group Tags (بخشی از راهکار Cisco TrustSec).
  6. اکنون بر اساس آنچه که PSN به عنوان مجموعه ای از قوانین فرستاده است، کلاینت می تواند به منابع خاص دسترسی یابد. از سوی دیگر کلاینت ممکن است به صفحه لاگین مهمان فرستاده شود یا به طور کامل از دسترسی اش به شبکه خودداری شود.
  7. همه این پیام ها به عقب بر می گردند و log مربوط به آنها، به نود MnT فرستاده می شود، جایی که نود ادمین آنها را در فرمتی سازمان یافته می تواند مشاهده کند.

زمانبرترین بخش در استقرارِ ISE ،تعیین سیاست های شما را برای مجوزدهی است.

پشتیبانی از چندین سناریوی استقرار

سیسکو ISE در سراسر زیرساخت های یک سازمان enterprise می تواند مستقر شود. معماری سیسکو ISE از هر دو استقرارِ standalone و distributed (که به عنوان HA یا redundant شناخته می شوند) پشتیبانی می کند جایی که یک ماشین به عنوان primary role و ماشینِ backup به عنوان secondary role فرض می شود.

فواید سیسکو ISE برای شما

سیسکو ISE رویکردی جامع را برای برقراری امنیت در دسترسی به شبکه در اختیارتان می گذارد. شما مزایای بسیاری را با استقرار سیسکو ISE در شبکه در اختیار خواهید داشت:

محیط کاری امن و دسترسی مبتنی بر شرایط بر اساس سیاست گذاری شرکت شما. ISE با دستگاه های شبکه کار می کند تا هویتی همه جانبه را با مشخصه هایی مانند کاربر، زمان، مکان، تهدید، آسیب پذیری و نوع دسترسی ایجاد کند. این هویت را می توان برای اجرای سیاست های دسترسیِ ایمن استفاده نمود. مدیران فناوری اطلاعات می توانند کنترل های دقیقی را اعمال کنند که چه کسی، چه چیزی، در چه زمانی، چه مکانی و چگونه به شبکه دسترسی یابند. ISE از مکانیزم های متعددی برای اجرای policy ها استفاده می کند، از جمله Cisco TrustSec software-defined segmentation. گروه های امنیتیِ سیسکو TrustSec بر اساس قوانین کسب و کار عمل می کنند، و نه آدرس های IP یا سلسله مراتب شبکه. این گروه های امنیتی به کاربران اجازه دسترسی به شبکه را می دهند به طوری که این دسترسی همواره به هنگام جابجایی منابع در سراسر domain ها، حفظ می شود. و در نتیجه مدیریت سوئیچ، روتر و قوانین فایروال ساده تر خواهد شد.

تسهیل قابلیت رویت شبکه از طریق رابط کاربری ساده و انعطاف پذیر. سیسکو ISE یک تاریخچه‌ی کامل از مشخصه های همه‌ی endpoint ها را ذخیره می کند، یعنی endpoint هایی که به شبکه متصل می شوند همچون کاربران (از جمله انواعِ مهمان، کارمند و پیمانکار).

اعمال سیاست های فراگیر که قوانین دسترسیِ انعطاف پذیر و آسانی را تعیین می کند. همه دستگاه ها از طریقِ یک مکان مرکزی کنترل می شوند که قوانین را درسراسر شبکه و زیرساخت های امنیتی توزیع می کند. مدیران فناوری اطلاعات می توانند به طور مرکزی یک policy را تعریف کنند که مهمان را از کاربران و دستگاه های ثبت شده متمایز سازد. صرف نظر از موقعیت آنها، کاربران و endpoint ها بر اساس role و policy مجاز به دسترسی هستند.

تجربه ای قابل اعتماد برای Guest که چندین سطح از دسترسی به شبکه ی شما را فراهم می کند. شما می توانید دسترسی مهمان را از طریق سه نوعِ دسترسی hotspot (دسترسی به شبکه بدون نیاز به تایید صلاحیت)، دسترسی Self-Registered (مهمان ها می توانند اکانت های شخصی معتبری را ایجاد کنند و ممکن است به تایید اسپانسر پیش از دسترسی به شبکه نیاز داشته باشند) یا دسترسی Sponsored (دسترسی به شبکه از طریق اسپانسری واگذار شده که یک اکانت برای مهمان ایجاد کرده است) برقرار سازید. سیسکو ISE ، قابلیت شخصی سازی پورتال های متنوعی را برای guest در اختیار شما قرار می دهد.

لایسنس در ISE

در شکل 2 چهار لایسنس برای سیسکو ISE دیده می شود. شما می توانید بر اساس ویژگی هایی که به آنها نیازمندید، تعداد و ترکیب های مختلفی از لایسنس را انتخاب نمایید.

شکل 2) پکیج های لایسنس در سیسکو ISE

Fast VP چیست؟ (قسمت اول)

Fast Vp چیست ؟

نرم افزار EMC FAST به محصولات EMC Unity اجازه می دهد تا از درایوهای Flash با کارایی بالا استفاده کنند. نرم افزار FAST شامل Fully Automated Storage Tiering  برای (Virtual Pools (FAST VP و FAST Cache است. این دو ویژگی در کنار هم کار می کنند تا از فضای ذخیره سازی درون سیستم به صورت مؤثر استفاده شود. هر یک از این ویژگی های نرم افزاری تضمین می کند که فعال ترین داده ها از طریق Flash پشتیبانی می شوند.

ادامه مطلب …

معرفی Cisco IOS در سوییچ های کاتالیست سیسکو

Cisco IOS XE الگوی کاملا جدیدی را در پیکربندی، بهره برداری و نظارت بر شبکه از طریق اتوماسیون شبکه ارائه می دهد. راهکار اتوماسیون سیسکو، راهکاری باز، مبتنی بر استانداردها و قابل گسترش است. در زیر مکانیزم‌های مختلف اتوماسیون شرح داده شده است.

ارائه دستگاه اتومات به معنی کسب قابلیتِ خودکارسازی برای فرآیند ارتقادهی image نرم افزاری و همچنین نصب فایل های پیکربندی بر روی سوئیچ های کاتالیست سیسکو است، به هنگامی که آنها برای اولین بار در شبکه مستقر می‌شوند. سیسکو دو راهکار مهم همچون Plug and Play و ابزارهای در دسترسی همچون Zero-Touch Provisioning (ZTP)  و Preboot Execution Environment (PXE) را فراهم می‌‌سازد که استقراری بی دردسر و خودکار را میسر می‌کند.

 

  • پیکربندی مبتنی بر API برای سوئیچ های شبکه جدیدی همچون سری Cisco Catalyst 9300 در دسترس است. طیف گسترده‌ای از ویژگی‌های اتوماسیون را پشتیبانی می‌کند و API های باز را تحت NETCONF با استفاده از زبان مدلسازی داده‌ای YANG فراهم می‌کند تا به صورت خودکار منابع شبکه را تامین کند.
  • Granular visibility امکانِ مسافت سنجی مبتنی بر مدل را برای حرکت جریان داده از سوییچ به مقصد می‌دهد. داده‌های به جریان درآمده از طریق عضویت در یک data set در مدل YANG شناسایی می‌شوند. Data set مشترک در فواصل زمانی مشخص به سمت مقصد به جریان در می‌آید. علاوه بر این، Cisco IOS-XE نظارت بی درنگ بر شبکه را فراهم می‌کند، که منجر به تشخیص سریع و اصلاح نواقص می‌شود.
  • Seamless software upgrades and patching از بهبودپذیری سیستم عامل پشتیبانی می‌کند. Open IOS-XE از پچی پشتیبانی می‌کند، که راهکارهایی را برای باگ های مهم و آسیب پذیری‌های امنیتی در میان نسخه‌های regular maintenance فراهم می‌کند. این پشتیبانی به شما اجازه می‌دهد که پچ ها را اضافه کنید بدون اینکه منتظر نسخه آزمایشی بعدی باشید.

بسته بندی

خانواده سوئیچ‌های سیسکو Catalyst 9000 یک پکیج لایسنس جدید و ساده را به صورت لایسنس های پایه (base) و افزوده شده (add-on) معرفی کرده اند.

  • پکیج لایسنسِ پایه، شامل گزینه‌های لایسنسِ Network Advantage و Network Essential می‌شود که به سخت افزار وابسته هستند. پکیج لایسنس پایه اساس سوئیچینگ، خودکارسازی مدیریت، عیب‌یابی و ویژگی‌های سوئیچینگ پیشرفته را پوشش می‌دهد.
  • پکیج لایسنسِ add-on شامل گزینه‌های Cisco DNA Essentials و Cisco DNA Advantage می‌شود. علاوه بر قابلیت‌های موجود در خود، ویژگی‌های موجود در این بسته، نوآوری‌های بر روی سوئیچ سیسکو، و همچنین در Cisco DNA Center را پشتیبانی می‌کند.

میزانِ استفاده از لایسنس به راحتی توسط نوع پکیج تعیین می شود. لایسنس‌های پایه، دائمی و بدون تاریخ انقضا هستند در حالی که لایسنس‌های add-on باید برای یک دوره 3، 5 یا 7 ساله خریداری شوند. (از اینرو به عنوان لایسنس‌های term-based شناخته می‌شوند)

  • ترکیبی از لایسنس‌های base و add-on

* برای این ترکیب، لایسنس Cisco DNA Essential باید به صورت مجزا از طریق Cisco Smart Soft Manager سفارش داده شود

  • پشتیبانی از لایسنس جدید در هر پلتفرم

  • خلاصه‌ای از ویژگی‌ها در پکیج‌های Essential و Advantage

ویژگی‌های پکیج Essential و Advantage

سوییچ های کاتالیست سیسکو، شامل سیسکو IOS (Internetwork Operating System) است که یک نرم افزار زیرساخت شبکه با عملکرد بالا است. مجموعه ویژگی های LAN Lite و LAN Base ، ویژگی های سطح L2 را فراهم می کند. و مجموعه ویژگی های IP Lite ، IP Base ، IP Service ، Advanced IP Service ، Enterprise Services و Advanced Enterprise Service ویژگی های سطح L3 را فراهم می کند.

سیسکو IOS توسط سری سوییچ های کاتالیست Cisco Catalyst 3560-CX /3650/3850/4500-X /4500E در یک universal image واحد ارائه می شود. universal image شامل همه ی مجموعه ویژگی های سیسکو IOS می شود که می تواند از طریق لایسنس نرم افزاری فعال شود. به منظور استفاده از توابع جدید بر روی سوییچ های کاتالیست سیسکو پیشین، به یک image نرم افزاری برای نصب نیاز است. در سوئیچ های کاتالیست سری 3560-CX /3650/3850/4500-X /4500E ، توابع پیشرفته بلافاصله با استفاده از لایسنسِ ارتقای Cisco IOS می توانند فعال شوند.

  • فعال کردن ویژگی ها از طریق لایسنس (برای سری Catalyst 3650/3850)

  • مقایسه سازگاری سری های گوناگون با لایسنس های مختلف

  • مقایسه مشخصات Cisco IOS (از لحاظ ویژگی های L2)

  • مقایسه مشخصات سیسکو IOS (از لحاظ ویژگی های L3)

  • مقایسه مشخصات Cisco IOS (از لحاظ ویژگی های مدیریتی)

  • مقایسه مشخصات Cisco IOS (از لحاظ ویژگی های امنیت)

  • مقایسه مشخصات Cisco IOS (از لحاظ QoS)

    Cisco IOS Specification Comparision

  • *1 Cisco Catalyst 2960-XR Series
  • *2 Cisco Catalyst 3650/3850 Series are to be supported in future software release.
  • *3 Cisco Catalyst 2960-CX/2960-X Series arenot supported.
  • *4 Cisco Catalyst 3560-CX Series are not supported.
  • *5 Cisco Catalyst 3650/3850 Series arenot supported.
  • *6 Cisco Catalyst 3560/3850 Series only.
  • *7 Cisco Catalyst 4500E Series only.
vmware nsx

معرفی VMware NSX Data Center

شرکت VMware محصولات مختلفی را در زمینه‌ی مجازی سازی ارائه می‌کند به طوریکه می‌توان ادعا کرد که VMware پیشرو در زمینه‌ی مجازی سازی می‌باشد.  VMware NSX محصول این شرکت در زمینه‌ی مجازی سازی شبکه می‌باشد. در این مقاله قصد داریم ویژگی و موارد استفاده‌ی این محصول را بررسی کنیم.

مجازی سازی شبکه

فرایند ایجاد نسخه‌ای مجازی از تجهیزات شبکه (سوئیچ، روتر، فایروال و…) و قابلیت‌های شبکه (load balancing ،QOS ،VPN و …) مجازی سازی شبکه می‌باشد. در این فرایند عملیات‌های شبکه‌ای از تجهیزات مربوطه تجرید (abstract) می‌شوند و روی یک ماشین‌ مجازی داخل سرورها، به فعالیت خود ادامه می‌دهند و ارتباط بین ماشین‌های مجازی موجود در سرور را تضمین می‌کنند.

VMware NSX

VMware NSX

VMware NSX Data Center چیست؟

VMware NSX Data Center پلتفرمی برای امنیت و مجازی سازی شبکه می‌باشد که شبکه‌ی ابری مجازی را فراهم می‌کند. شبکه‌ی ابری مجازی، رویکردی Software-defined یا SD برای شبکه می‌باشد که در دیتاسنتر، فضای ابری، endpointها و … گسترش می‌یابد.

SDDC

SDDC

با استفاده از NSX Data Center، امنیت و عملیات‌های شبکه به برنامه‌های در حال اجرا (در هر جایی که اجرا می‌شوند) نزدیکتر می‌شوند و ارتباط یکپارچه‌تری را با یکدیگر خواهند داشت. همانند ماشین‌های مجازی، شبکه‌ها می‌توانند مستقل از سخت افزار مربوطه، پیاده‌سازی و مدیریت شوند.

NSX Data Center مدل کاملی از شبکه را به صورت نرم‌افزاری بازطراحی می‌کند. بنابراین امکان پیاده سازی هر نوع توپولوژی و مدیریت آن ها (از ساده ترین تا پیچیده ترین توپولوژی)، در چند ثانیه فراهم می‌شود.

کاربران می‌توانند چندین شبکه‌ی مجازی متناسب با نیازهای متنوعشان ایجاد کنند. همچنین می‌توانند به بهترین شکل، از سرویس های ارائه شده توسط NSX و مزایای آن استفاده کنند. فایروال‌های Next Generation، راهکارهای مدیریت عملکرد و پیاده سازی محیطی سریعتر و ایمنتر، بخشی از این مزایا و سرویس‌ها می‌باشند.

NSX Data Center

NSX Data Center

 

مجازی سازی شبکه، امنیت و دیتاسنتر SD

VMware NSX Data Center مدل عملیاتی جدیدی را برای عملیات‌های شبکه‌ای، که به صورت نرم افزاری تعریف شده‌اند، ارائه می‌کند. این مدل، پایه و اساس دیتاسنتر های SD را تشکیل می‌دهد. عملیات‌های دیتاسنتر، حال می‌توانند به سطحی از سرعت، امنیت و صرفه‌ی اقتصادی برسند که قبلا با تجهیزات فیزیکی شبکه دست یافتنی نبود. NSX Data Center مجموعه‌ی کاملی از خدمات و عناصر شبکه را فراهم می‌کند، که شامل عملکرد‌ دیوایس‌های سوئیچ، روتر و فایروال (به صورت منطقی) و قابلیت های load balance، VPN، QOS و مانیتور کردن می‌شود. میتوان گفت که مجازی سازی شبکه، تمام دیوایس های سخت افزاری موجود در شبکه را به صورت نرم افزاری، گسترش داده‌ است.

امکانات  NSX Data Center

در این بخش به برخی از امکانات کلیدی NSX Data Center می‌پردازیم.

NSX Data Center features

NSX Data Center features

Switching

NSX Data Center تمام قابلیت‌های لایه‌ی 2 را در کنار قابلیت‌های لایه‌ی 3 و در تمام سطح شبکه ارائه می‌کند. NSX Data Center از شبکه‌های VXLAN-based هم پشتیبانی می‌کند.

مسیریابی

ارائه‌ی مسیریابی dynamic بین شبکه‌های مجازی موجود در hypervisor، که مسیریابی را با راه‌اندازی active-active failover با روتر‌های فیزیکی، بین منابع توزیع می‌کند. مسیریابی static و مسیریابی dynamic (پروتکل‌های OSPF و BGP) هم پشتیبانی می‌شوند.

Distributed Firewalling

Distributed stateful firewalling داخل کرنل هر hypervisor وجود دارد که تا 20Gbps ظرفیت انتقال اطلاعات را به ازای هر هاست hypervisor، پشتیبانی می‌کند. علاوه بر این‌ها، NSX Data Center می‌تواند قابلیت north-south firewall را از طریق NSX Edge ارائه کند، و از active directory و نظارت بر فعالیت‌ها هم پشتیبانی می‌کند.

Load balancing

ارائه‌ی load balance لایه‌ی 7-4 به همراه SSL offload و pass-through، ارائه‌ی server health checks و قوانین کاربردی برای قابلیت برنامه‌‎ریزی و تنظیم ترافیک شبکه.

VPN

پشتیبانی از VPNهای Site-to-site و remote-access. به علاوه پشتیبانی از unmanaged VPN برای سرویس‌های gateway ابری.

NSX Gateway

پشتیبانی از ایجاد bridge میان VXLAN و VLAN، برای برقراری ارتباط یکپارچه با دیوایس های فیزیکی. این قابلیت هم روی NSX Data Center وجود دارد، هم از طریق سوئیچ‌های موجود در رک ارائه می‌شود.

NSX Data Center API

استفاده از RESTful API برای داشتن پکپارچگی با پلتفرم‌های مدیریت cloud.

Operations

ارائه‌ی قابلیت‌های عملیاتی built-in مانند CLI مرکزی، traceflow ،SPAN و IPFIX برای عیب یابی و بررسی زیرساخت شبکه. یکپارچگی با ابزارهایی مانند VMware vRealize Operations و vRealize Log Insight برای تجزیه و تحلیل و عیب یابی‌های پیشرفته.

 

 

موارد استفاده‌ی NSX Data Center

NSX use cases

NSX use cases

امنیت

NSX Data Center سازمان‌ها را قادر می‌سازد تا دیتاسنتر خود را به بخش‌های امنیتی متفاوت تقسیم کنند. این بخش ها می‌توانند ابعاد مختلفی حتی تا سطح بارهای پردازشی جزئی (جدا از اینکه کجا قرار دارند) باشند. ادمین‌های شبکه می‌توانند با توجه به کاربران و برنامه‌هایی که استفاده می‌کنند، سیاست‌هایی را روی این بارهای پردازشی اعمال کنند، تا واکنش‌هایی فوری نسبت به تهدیدات داخل دیتاسنتر و برنامه‌های مورد استفاده در آن را داشته باشند.

برخلاف شبکه‌های سنتی، حملاتی که به محیط محافظت شده نفوذ می‌کنند، نمی‌توانند وارد دیتاسنترهای مجازی شوند.

اتوماسیون

VMware NSX Data Center نسخه‌ای مجازی از تمام قابلیت‌های شبکه‌ای و امنیتی می‌سازد که امکان گسترش سریعتر و کامل کردن چرخه‌ی اتوماسیون برنامه‌های سنتی و جدید را بر روی زیرساخت‌های محلی و cloud ارائه می‌کند. اتوماسیون کارهای خسته کننده و زمانبر، ارائه‌ی برنامه‌ی جدید cloud-native و اتوماسیون عملیات‌های در حال انجام، سازمان‌های فناوری اطلاعات و توسعه دهندگان را قادر میسازند تا با سرعت در حال افزایش کسب و کارها، حرکت کنند.

شبکه‌های Multi-Cloud

از آنجایی که NSX Data Center عملیات شبکه‌ای را از سخت افزار مربوطه تجرید می‌کند، سیاست‌های شبکه‌ای و امنیتی به بارهای پردازشی مربوط به آنها متصل می‌شوند. سازمان‌ها می‌توانند محیط کاربری را به راحتی در یک دیتاسنتر خارج از سازمان، برای disaster recovery، انتقال بارهای پردازشی از یک دیتاسنتر به دیگری یا گسترش آنها به یک محیط ترکیبی cloud (تمام اینها تنها در چند دقیقه)، بدون هیچ اخلالی در برنامه‌ها یا تماس فیزیکی با تجهیزات شبکه، بازسازی کنند.

 

 

نسخه‌های VMware NSX Data Center

VMware نسخه‌های مختلفی از NSX Data Center را متناسب با نیاز مصرف کنندگان ارائه می‌کند. شما می‌توانید با بررسی این نسخه‌ها و ویژگی‌های آنها که در ادامه مختصرا توضیح داده‌ایم، نسخه‌ی مورد نیاز خود را انتخاب کنید.

Standard

برای سازمان‌هایی که تنها به چابکی و اتوماسیون شبکه نیاز دارند.

Professional

برای سازمان‌هایی که علاوه بر Standard، به micro-segmentation نیاز دارند و ممکن است cloud endpointهای عمومی داشته باشند.

Advanced

برای سازمان‌هایی که علاوه بر Professional، به سرویس‌های پیشرفته‌ی شبکه‌ای و امنیتی، و یک پارچگی با یک اکوسیستم گسترده نیاز دارند، و ممکن است که دیتاسنترهایی در مکان‌های مختلفی داشته باشند.

Enterprise Plus

برای سازمان‌هایی که به بالاترین سطح قابلیت‌هایی که NSX Data Center ارائه می‌کند، به علاوه  vRealize Network Insight و NSX Hybrid Connect نیاز دارند.

ROBO

برای سازمانهایی که به دنبال مجازی سازی قابلیت‌های شبکه‌ای و امنیتی، برای برنامه‌های موجود در شعبه‌های سازمان در مکانی خارج از سازمان هستند.

NSX Data Center Editions

NSX Data Center Editions

 

سخن نهایی

 NSX Data Center محصول شرکت VMware می‌باشد که برای مجازی سازی شبکه طراحی شده است. استفاده از این محصول می‌تواند زمان و هزینه‌ی مورد نیاز برای مدیریت و توسعه‌ی شبکه را کاهش دهد. برای آشنایی بیشتر با مجازی سازی شبکه پیشنهاد می‌کنیم صفحه‌ی مجازی سازی شبکه را مطالعه نمایید.

معرفی VMware Horizon Version 7.6

معرفی  VMware Horizon Version 7.6 :

نسخه 7.4 VMware Horizon در آغاز سال جاری منتشر شد و در حال حاضر VMware نسخه جدیدی از VMware Horizon منتشر کرده است: نسخه 7.6 دارای چندین پیشرفت است که در یاد داشت های منتشر شده مستند شده است و امسال یک سال واقعا فعال برای EUC و VDI بوده است. VMware همچنین VMware User Environment Manager 9.5 و VMware AppVolumes 2.14.2  را منتشر کرده است.

ویژگی های VMware Horizon Version 7.6

  • پشتیبانی از vSphere 6.5 U2
  • اضافه شدن ویژگی جدید در Horizon 7 روی VMware Cloud در AWS
  • قابلیت های جدید در Horizon Client 4.9 : برای اطلاعات در مورد ویژگی های جدید در Horizon Client 4.9، از جمله Horizon Clients Documentation ، HTML Access 4.9 را ببینید.
  • New Horizon Cloud Connector : شما می توانید از VMware Horizon 7 Cloud Connector برای مدیریت اشتراک لایسنس ها به یک گره افقی Cloud Hosted در VMware Horizon Cloud Service استفاده کنید. یک لایسنس مشترک ، نیاز به حفظ، بازیابی، یا وارد کردن دستی کلیدی برای فعال سازی محصول را حذف می کند.
  • قابلیت جدید فوق العاده، از جمله انتقال منطبق با IPv6
  • تغییر مسیر جغرافیایی: در هنگام نصب Horizon Agent روی یک دسکتاپ مجازی یا RDS Host، می توانید گزینه Geolocation Redirection را فعال کنید تا اطلاعات جغرافیایی را از سرویس گیرندگان ویندوز به دسکتاپ مجازی، دسکتاپ منتشر شده یا برنامه های منتشر شده تغییر دهید. این ویژگی همچنین نیاز به Horizon Client 4.9 برای ویندوز دارد.
  • پشتیبانی از GPU جدید : کارتهای گرافیکی NVIDIA V100 و P100 و AMD V340
  • بهبود یافتن Skype for Business
  • ارتقاء در Agent برای VDI لینوکس ، شامل پشتیبانی از Instant-clone برای RHEL 7.1 و نسخه های بعدی

این ویدیو 10 دقیقه ای توسط Hilko Lantinga را در بخش فنی Digital Workspace برای توضیح فنی و ویژگی های VMware Horizon Version 7.6 مشاهده کنید :

اگر قصد دارید محیط خود را ارتقا دهید مطمئن باشید که منابع Horizon 7 Upgrades را خوانده اید، که دستورالعمل هایی برای ارتقا از آخرین نسخه های  (Horizon View 5.3، VMware Horizon™ 6 (with View یا نسخه VMware Horizon 6 نسخه 6.1 یا 6.2 به VMware Horizon 7 را فراهم می کند.