Cisco Türkiye Blog
Share

Kampüs ağlarının dünü, bugünü ve yarını

- July 14, 2017 1:16 pm

Cisco geçtiğimiz ay kampüs ağlarındaki yeni vizyonu olan SDA (Software Defined Access) mimarisini duyurdu. Bunun temelini oluşturan Campus Fabric teknolojisi ise şubat ayından beri mevcut olan bir teknoloji. Bu yeni ve heyecan verici teknolojileri sonraki yazılarda detaylı bir şekilde inceliyor olacağız. Ancak önce kampüs ağlarının dünü, bugünü ve yarınından kısaca bir bahsetmek istiyorum. Böylece bu teknolojilerin hangi sorunlara nasıl çözümler getirdiğini daha iyi anlayabiliriz.

Kampüs ağlarının dünü

Kampüs ağlarını üç kelime ile açıklayın deseler muhtemelen hepimizin aklına aynı kelimeler gelecektir: Access, Distribution ve Core 🙂 Bunlar Cisco’nun Kampüs Ağları için önermiş olduğu ve zaman içerisinde diğer pek çok üretici tarafından da benimsenen ve kendini ispatlamış olan hiyerarşik bir modelin katmanlarıdır.

Access katmanında 802.1x, RADIUS, PoE gibi daha son kullanıcılara/cihazlara yönelik teknolojilere önem verilirken, distribution ve core katmanlarında ileri seviye L3 teknolojilerin desteği önem kazanır. Daha küçük ölçekli ağlarda distribution ve core katmanları birleştirilerek access ve collapsed core katmanlarından oluşan bir model de elde edilebilir.

Bu katmanlı model aslında bize farklı yapılandırma seçenekleri sunan bir tasarım rehberidir. Bu seçenekler arasındaki temel fark ise Layer 2/Layer 3 sınırının hangi katmandaki cihazlarda bulunduğudur. Peki bu nasıl bir fark yaratır? Bunu anlayabilmek için Ethernet Switching (L2) ve IP Routing (L3) çalışma mantıklarını karşılaştıralım.

Anahtarlamak veya yönlendirmek. İşte bütün mesele bu 🙂

Ethernet’te bir control plane protokolü bulunmaz, flood-and-learn yapısındadır. Yani switch’ler hedefini bilmediği paketleri tüm portlarından gönderir, cevap geldiğinde hedefin bulunduğu portu öğrenmiş olur ve ancak bu noktadan sonra o hedefe giden paketleri hangi portundan göndereceğini bilir. Bu Ethernet’in son derece basit bir yapıda olmasını sağlar: Bir switch’te hangi MAC adresinin hangi portta olduğunu yapılandırmak zorunda kalmayız. Tak-çalıştır bir sistemdir.

Fakat bu flooding davranışı ağ büyüdükçe (ağı VLAN’lere bölerek bu flooding domain’leri kısıtlasak bile) performans sorunlarına neden olmaya başlar. Buna ek olarak bu flooding’in L2 loop’lara neden olmaması için STP kullanmak zorunda kalırız. STP pratikte mükemmel çalışmadığı gibi kampüs ağlarında önemli bir CPU tüketimine de neden olur.

IP dünyasında ise durum tam tersidir: Router’lar hedefini bilmediği paketleri çöpe atar, dolayısıyla hangi IP’nin nerde olduğunu bilmek için bir control plane protokolüne ihtiyaç duyulur. Layer 3 protokol çeşitliliği ve yapılandırma seçenekleri olarak son derece zengin olduğundan bu katmanda oldukça ölçeklenebilir yapılar elde etmek mümkündür. Ancak geleneksel routing’de IP adresi aynı zamanda lokasyon da temsil ettiği için, VLAN yapısının sağladığı istediğimiz IP adresini istediğimiz lokasyonda kullanabilme esnekliğini kaybetmiş oluruz.

L2/L3 sınırı hangi katmanda olmalı?

Bu sorunun her ağa uyan tek bir cevabı yok. Ama yukarıdaki bilgiler ışığında üç durumu da yorumlayabiliriz:

L2/L3 sınırının core’da olmasının en önemli faydası basitliktir. Tüm VLAN’lerin SVI’ları (yani tüm istemcilerin varsayılan ağ geçitleri) core olarak konumlandırılan L3 switch’ler üzerinde olur. Core switch’lerin aşağısında tek bir VLAN domain’i bulunur ve bu da istenilen IP subnet’inin istenilen yere uzatılabilmesini sağlar.

Ancak ağ büyüdükçe ölçeklenebilirliği sağlayabilmek adına L2/L3 sınırı genelde distribution katmanına konumlandırılır. Farklı distribution blokları core katmanı üzerinden L3 olarak birbirine bağlanır. Bu noktada IP subnet’lerini uzatma yeteneğimiz bulunulan distribution bloğuyla sınırlanmıştır.

Flooding, L2 loop ve STP kavramlarını tamamen ortadan kaldırmak ve daha verimli yönlendirme sağlayabilmek adına L2/L3 sınırı access katmanına da konumlandırılabilir (Routed Access de denir). Fakat bu, access katmanında dinamik routing destekleyen switch’ler kullanılmasını ve her access switch’te ayrı SVI’lar yapılandırılmasını gerektirir. Bunlar kabul edilebilir, ama bu modelin IP subnet’lerini uzatma yeteneğini tamamen ortadan kaldırması ciddi bir eksidir. O yüzden şu haliyle sık karşımıza çıkmadığını söyleyebiliriz.

Kampüs ağlarının bugünü

Access – distribution – core modeli, katmanlarda kullanılan teknolojiler, uyulacak tavsiyeler vs. konusunda daha pek çok şey yazılabilir. Ama ben bu genel bakıştan sonra bu modelin bugün takılmaya başladığı kısıtlamalardan bahsetmek istiyorum:

Ölçeklenebilirlik ve Esneklik: Bugünkü modelde bu iki kavram aynı spektrumun zıt uçlarında yer alıyor. Birini arttırdıkça diğerinden taviz vermemiz gerekiyor. Yeni nesil kampüs ağlarının bu iki ihtiyacı aynı anda aynı verimlilikle karşılayabilmesi gerekiyor.

  • Bugün ne yapıyoruz: VLAN’lere bölme, VLAN pruning, STP portfast, STP ağaçlarını azaltmak için MST, Etherchannel, VSS, VPC vs. teknolojilerle ölçeklenebilirliği arttırmaya çalışıyoruz.

İzolasyon: Özellikle büyük ağlarda etkili izolasyon sağlayabilmek için VRF kullanımı tercih ediliyor. Bu durumda da bu VRF’lerin bütün ağ boyunca uzatılabilmesi gerekiyor. Bu noktada ek teknolojilerin kullanılması gerekebiliyor.

  • Bugün ne yapıyoruz: Küçük ölçekli ağlarda tüm VRF’ler uçtan-uca uzatılabilir, VNET trunking kullanılarak bu yapılar basitleştirilebilir. Ağ büyüdükçe GRE hatta MPLS VPN gibi daha karmaşık teknolojilerin kullanılması gerekebilir.

Güvenlik: Çoğunlukla Firewall’lar ağı dışardan gelen tehditlere karşı korur. Ayrı olarak LAN trafiğinin de güvenliğinin sağlanması gerekir. Bu noktada sıklıkla ACL’ler kullanılıyor.

  • Bugün ne yapıyoruz: Distribution veya core katmanında VLAN ACL, access katmanında port ACL, RADIUS ile beraber downloadable ACL… Görüldüğü gibi bu yaklaşımda pek çok ACL satırını teker teker yönetmek zorunda kalıyoruz.

Programlanabilirlik: Tüm mimarilerde olduğu gibi Kampüs ağlarında da SDN’den sürekli bahsediyoruz.

  • Bugün ne yapıyoruz: Çoğu kurum python scripting vb. yöntemlerle belli bir düzeyde cihaz bazlı otomasyon sağlıyor. Ancak gerçek bir sıçrama için tüm ağı bir bütün olarak programlayabileceğimiz bir yaklaşıma ihtiyacımız var.

Kampüs ağlarının yarını

Kampüs ağlarının yukarıdaki kısıtlamaları basit bir şekilde çözebilecek yeni bir modele ihtiyacı var. Bir sonraki yazımda Cisco Campus Fabric teknolojisinin nasıl böyle yeni bir modelin temelini attığını inceliyor olacağız.

Tags:
Leave a comment

1 Comments

  1. Emeğiniz için teşekkürler, Bilgilendirici bir yazı olmuş.
    Özellikle büyüten topolojiler de stp nin problem çıkarttığını doğrulamanız güzel olmuş.

Share