Cisco Türkiye Blog
Share

Cisco Campus Fabric nedir?

- September 4, 2017 8:10 pm

Önceki yazımda kampüs ağlarındaki tasarım ilkelerini anlatıp, kampüs ağlarının bugün karşılaşmakta olduğu kısıtlamalardan bahsetmiştim. Cisco Campus Fabric teknolojisi, kampüs ağları için bu bahsettiğimiz kısıtlamaları ortadan kaldırmayı amaçlayan SDA (Software Defined Access) mimarisinin temelini oluşturmaktadır. Bu yazıda bu teknolojiye bir giriş yapıyor olacağız. Öncelikle Fabric kavramını inceleyerek başlayalım, sonrasında Cisco Campus Fabric teknolojisinin detaylarını inceleyebiliriz.

Fabric nedir?

Fabric dediğimiz şey aslında bir tür VPN’dir. Yani ağ cihazlarının oluşturduğu fiziksel topolojiden (underlay) bağımsız olarak çalışabilen mantıksal bir topolojidir (overlay).

Dolayısıyla overlay’in underlay’den ayrı bir control plane ve data plane ihtiyacı vardır:

Overlay Control Plane: Mantıksal topolojinin düzgün bir şekilde çalışabilmesi için bu topolojideki cihazların birbirleriyle erişilebilirlik bilgisi (IP, MAC, Label vs.) paylaşması gerekir. Bu bilgiyi paylaşmaya yarayan protokoller bu düzlemde çalışır. Örnekler: Dinamik routing protokolleri, NHRP, IKE, CAPWAP, LDP, MP-BGP, RSVP, LISP, COOP vb.

Overlay Data Plane: Underlay’deki cihazların, overlay’deki trafiğin detaylarını bilmeden bu trafiği iletebilmesi için, ikinci bir encapsulation yapılması gerekir. Bütün VPN teknolojileri bu mantık üzerine kuruludur. Bu düzlemde kullanılan protokol de bu encapsulation’ın ne şekilde olacağını (Örneğin Layer 2 mi yoksa Layer 3 mü?) belirler. Örnekler: GRE, IPSec, CAPWAP, MPLS, VXLAN, LISP, L2TPv3 vb.

Çeşitli data plane teknolojilerinin encapsulation örnekleri

Doğal olarak, kullanılan Control Plane ve Data Plane protokolleri Overlay’in yeteneklerini belirler. Örneğin bir overlay:

  • Noktadan-noktaya veya çok-noktalı olabilir.
  • IP veya MPLS tabanlı olabilir.
  • Şifreleme desteği olabilir veya olmayabilir.
  • L2 veya L3 destekliyor olabilir.

L2 overlay’ler bir L2 switch gibi davranırken L3 overlay’ler bir router gibi davranır

Gerçekten, Fabric nedir? 🙂

Tamam, daha tatmin edici bir tanım yapalım 🙂  Öyle bir overlay düşünün ki, bir ağ topolojisinin doğrudan istemcilerin bağlandığı devasa bir L3 switch gibi çalışmasını sağlasın. İşte bu amaçla kullanılan overlay’leri fabric olarak tanımlıyoruz.

Dolayısıyla bir fabric aşağıdaki overlay özelliklerine sahip olmalıdır:

  • Çok-noktalı olmalıdır, çünkü çok sayıda ağ cihazı içeren topolojiler söz konusu.
  • Tercihen IP tabanlı olmalıdır, böylece underlay’de MPLS kullanmak gerekmez.
  • Esas kullanım alanı WAN değil LAN veya DC olacağı için şifreleme desteği ilk etapta çok kritik değildir.
  • L2+L3 desteklemelidir, çünkü iki istemci arasında hem L2 hem de L3 bağlantı sağlayabilmelidir. Bu sayede IP subnet’lerinin istenilen yere uzatılabilmesini de desteklemiş olur.

Bunlara ek olarak bir fabric’in kullanışlı olması için aşağıdaki yetenekleri olmalıdır:

  • Flooding, L2 loop ve STP kavramlarını ortadan kaldırarak ölçeklenebilirlik sağlamalıdır. Topoloji büyüdükçe performans da benzer oranda artmalıdır.
  • Her bir istemcinin lokasyonunu (fabric’e bağlantı noktasını) dinamik olarak takip edebilmelidir. Bunu yaparken aşırı CPU veya RAM tüketimine sebep olmamalıdır.
  • VRF’lerle basit bir şekilde izolasyon sağlayabilmelidir.
  • Güvenlik politikaları, IP ve MAC adreslerinden bağımsız, grup bazlı olarak uygulanabilmelidir. Hangi istemci gruplarının hangileriyle konuşabileceği basit bir şekilde tanımlanabilmelidir.
  • İstemci, lokasyonundan bağımsız olarak aynı default gateway’i kullanabilmelidir.

Özetle bir Fabric L2 ve L3’ün en iyi yanlarını, güvenliği de ihmal etmeden bir araya getirmelidir.

Cisco Campus Fabric bunları nasıl sağlıyor?

L3 Underlay: Campus Fabric aslında Routed Access modelinin bir evrimi. Routed Access modeli de switch’leri routed link’ler üzerinden L3 konuşturarak en yüksek ölçeklenebilirliği hedefleyen bir model. Yani Campus Fabric zaten daha çıkış noktasında ölçeklenebilir bir model oluyor.

Overlay Control Plane –> LISP: LISP ile ilgili önceki yazılarıma bu ve bu link’lerden ulaşabilirsiniz. LISP IP tabanlı, çok-noktalı bir overlay teknolojisidir. Ayrıca basit yapısı, VRF’leri kolayca desteklemesi, bir pull model olarak çalışıp CPU ve RAM tüketiminde hafif olması gibi özellikler LISP’in Campus Fabric’te kullanılan Control Plane protokolü olmasını sağlamıştır.

Campus Fabric söz konusu olduğunda EID uzaylarını daha önce bahsettiğim gibi statik olarak tanımlamıyoruz, dynamic EID özelliğini kullanıyoruz. Böylece Fabric kendisine bağlı istemcileri otomatik olarak tespit edip (örneğin istemcilerin ARP sorguları aracılığıyla) LISP database’ine ekliyor.

Overlay Data Plane –> VXLAN: Campus Fabric’te Data Plane’de LISP değil de VXLAN kullanılıyor (UDP 4789). İki protokolün başlığı aslında çok benzer ama payload’ları farklı:

VXLAN’in payload olarak tüm Ethernet frame’ini alması, LISP’in de tüm istemcileri database’e ekliyor olması Campus Fabric’e L3’e ek olarak L2 overlay yeteneği de kazandırmış oluyor. Ayrıca trafiğin hangi VRF’e ait olduğu bilgisi de VXLAN başlığında bulunmaktadır.

Not: VXLAN’in doğrudan değil de UDP üzerinden taşınması underlay’de daha verimli bir yük paylaşımı (ECMP) olmasını sağlar: Bu UDP başlığında destination port sabitken source port orjinal frame’deki başlıkların hash’inden türetilir yani değişkendir. Underlay’deki cihazlar farklı L4 port kombinasyonuna sahip trafikleri farklı yollardan ileterek yük paylaşımı sağlayabilir.

Cisco TrustSec (CTS) LAN trafiğine ilişkin güvenlik politikalarının basit bir şekilde, grup bazlı ve dinamik olarak yönetilebilmesini sağlayan bir teknolojidir. Böylece adres bazlı, statik ve karmaşık ACL yapılandırmalarını ortadan kaldırmayı amaçlar. Bunun için RADIUS protokolünden faydalanır. Campus Fabric, TrustSec ile tamamen entegre çalışır.

Cisco ISE (Identity Services Engine) bu teknolojinin en önemli bileşenidir. ISE üzerinde:

  • Kampüsteki istemci grupları (çalışanlar, misafirler, IOT cihazları gibi) ve bu gruplara karşılık gelen nümerik değerler (SGT – Scalable Group Tag) tanımlanır.
  • İstemcilerin yetkilendirmeden geçerken hangi SGT’yi alacağı tanımlanır.
  • Hangi grupların hangi gruplarla iletişim kurabileceği bir politika matrisi şeklinde tanımlanır.

Sonrasında bu bilgilerin ağ cihazlarıyla paylaşılması gerekir. Ağ cihazları:

  • Kendisine bağlanan istemciyi yetkilendirmeden geçirirken, onun grup bilgisini ve SGT değerini de öğrenir.
  • Sonra da politika matrisinden sadece kendi üzerinde bulunan gruplara ait sütunları üstüne alır.

Böylece güvenlik politikası tüm ağ cihazlarına dağıtılmış olur. Bu noktadan sonra bir switch’e bir paket geldiğinde:

  • Encapsulation sırasında SGT bilgisi VXLAN başlığına eklenir (Ingress Classification).
  • Decapsulation sırasında switch SGT bilgisinden kaynak grubu öğrenir, hedef portundaki grupla konuşma yetkisi yoksa da paketi çöpe atar (Egress Enforcement).

Bu sayede Campus Fabric, adres bilgileri üzerinden değil grup bilgileri üzerinden, basit, dinamik ve merkezi bir LAN güvenliği sağlar.

Anycast Gateway kullanılarak bir VLAN’in varsayılan ağ geçidinin tüm switch’lerde aynı olması sağlanır. Böylece istemciler hangi switch’in altında olursa olsun aynı ağ geçidini kullanabilir. Dolayısıyla IP bilgilerini değiştirmelerine gerek kalmaz.

Yeni model, yeni terminoloji

Aşağıda geleneksel model ve Campus Fabric arasındaki yaklaşık bir eşleştirmeyi görebiliriz.

Edge Node: Geleneksel modeldeki access cihazlarına karşılık gelir. Aslında dynamic EID yapılandırılması olan bir XTR olarak çalışır. Kendisine bağlanan istemcileri MS/MR’daki LISP database’ine ekler, bilmediği istemcileri (o istemciye bir trafik oluştuğunda) LISP database’ine sorar.

Intermediate Node: Yaklaşık olarak geleneksel modeldeki distribution cihazlarına karşılık gelir. Bu cihazlar underlay’de yer alır yani aslında Campus Fabric’in üstünde çalıştığı ağı oluşturur. O yüzden sadece bir dinamik routing protokolü çalıştırıp (OSPF, IS-IS gibi) XTR’ların birbirleriyle haberleşmesini sağlar. LISP, VXLAN, CTS gibi teknolojilerle alakaları yoktur.

Border Node: Geleneksel modeldeki Core cihazlarına karşılık gelir. Aslında bir PXTR olarak çalışır (Bazı durumlarda statik EID yapılandırması olan bir XTR olarak da çalışabilir). Bir anlamda fabric için bir varsayılan ağ geçidi görevi yapar: Fabric dışına çıkacak olan trafik Border cihaz üzerinden geçer.

Control Node: Şekilde gösterilmese de underlay’de bir de Control Node olması gerekmektedir. Control Node aslında bir MS/MR olarak çalışır. Genelde Border node’a aynı zamanda Control node rolü de verilir ama underlay’deki ayrı bir cihaz da Control Node olarak çalışabilir.

Cisco Campus Fabric yapısının özellikleri ve temel bileşenleri genel olarak bu şekilde. Bu yazıda Campus Fabric’in geleneksel modelin kısıtlamalarının üstesinden nasıl gelmeyi hedeflediğinden bahsetmiş olduk. Bir sonraki yazıda ise biraz CLI kurcalayıp bu işi gerçekten nasıl yaptığını inceliyor olacağız.

 

Tags:
Leave a comment

Share