كورساتنا ال Online هتبدأ فشهر مايو إن شاء الله ... كل التفاصيل هنا
Wireless in SD-Access
المقال الأول
بسم الله والصلاة والسلام على رسول الله
مقال اليوم هنوضح فيه التغييرات اللى حصلت فجزء ال Wireless لما دخل فال SD-Access
خلينا فالبداية نوضح شويه حاجات مهمه بخصوص ال Wireless
علشان تشغل شبكة Wifi محتاج تعمل على ال Access Point مجموعة من الإعدادات زى مثلا:
- اسم الشبكة إية (SSID)
- طريقة ال Authentication (إنت مين ؟) ..
هل مثلا نعملها ب Password or User & Password
- طريقة ال Encryption (التشفير)
هل مثلا نستخدم DES or 3DES or AES
- ال Frequency (التردد)
هل مثلا 2.4 ولا 5 GHZ
- ال VLAN وال Subnet IP Address
- كمان هنظبط ال Channel علشان ميحصلش Overlap
- كمان مثلا هنحدد ال Access Point تشتغل فأى Mode ؟؟
تعرف إن إحنا عندنا 8 Mode مختلفين زى Local, FlexConnect, Monitor وغيرهم
اللى انا محتاج أوصلهولك إنه فى حاجات كتير إنت محتاج تظبطها على ال AP
ولإن الموضوع صعب تعمله على كل AP لوحدها علشان كده
محتاجين Centeral Location منه نـ Manage كل حاجه وهو طبعا ال Controller
أو كما يسمى ال Wireless LAN Controller (WLC)
فإحنا عندنا طريقتين نشغل بيهم ال AP عندك فالبيت بتشغله بشكل مستقل بعيد عن ال WLC
فبيبقى وصف ال AP ده إنه Autonomous
لكن لو عندنا مكان فيه عدد كبير من ال AP هنتحكم فيهم من ال WLC يبقى ال AP ده بنوصفه إنه Light Weight AP
فبيبقى فيه عندنا بين ال AP وال WLC .. بنبنى Tunnel بينهم إسمه CAPWAP Tunnel
هو فالواقع متقسم ل 2 Tunnels جزء لل Control Traffic وجزء لل Data Traffic
ال Control Traffic هى المعلومات المهمه اللى انا اتكلمت عنها فأول البوست زى:
ٍٍSSID - Authentication - Encryption - VLAN - Subnet Address وغيره
أما ال Data Traffic هى ال User Traffic يعنى مثلا ال Wifi User بيعمل Ping أو أى نوع من أنواع نقل ال Data
تعال دلوقتى نوضح بدون أو مع ال SD-Access :
بدون ال SD-Access:
---------------------
ال AP بيبنى ال CAPWAP Tunnel (Control & Data) مع ال WLC .. يعنى لو فى User-1 هيحرك ترافيك ..
هتوصل لل AP ولازم ال AP يوصلها لل WLC متشفرة وبعدها ال WLC هو يفك التشفير ويشوف انت مين ومحتاج تروح فين ويساعدك
- لكن مع وجود ال SD-Access :
---------------------------------
فى هنا تغيير بسيط هيحصل فال Control Traffic وتغيير كبير هيحصل فال Data Traffic
أولا تغيير بسيط فجزء ال Control :
----------------------------------
مازال ال Tunnel الخاص بال Control Traffic هيتبنى ما بين ال AP وال WLC لكن هيكون داخل Tunnel
آخر وهو ال VX-LAN Tunnel .
ثانيا تغيير كبير فجزء ال Data (User Traffic):
--------------------------------------------
بدل ما كان الأول لازم توصل لحد ال WLC علشان تنقل ال Traffic .. دلوقتى الوضع مختلف بشكل كبير
دلوقتى انت بتعمل Tunneling لل User Traffic داخل ال VX-LAN Tunnel
ما بين ال AP وال Fabric Edge Point اللى هو ال Access Sw اللى متوصل مع ال AP
ولما السويتش يستقبل ال Data من ال AP بيبنى VX-LAN Tunnel جديد مع السويتش اللى بعده
وبعدين السويتش اللى بعده يبنى VX-LAN Tunnel جديد مع ال Destination AP
لحد ما الترافيك توصل لل Destination Wifi User
وبكده يبقى نقلنا الترافيك بشكل أسهل وأسرع داخل ال SD-Access Domain بدون ما نضطر نتنقل لل WLC
WLC : Cisco Wireless LAN Controller
Cisco Access Point
Without SD-Access
With SD-Access
وبكده نكون وصلنا لنهاية المقال الأول .. شكرا إنك كملت المقال للأخر.
Control & DataPlane in SD-Access
المقال الثانى
بسم الله والصلاة والسلام على رسول الله
ده المقال رقم 2 فكلامنا عن ال SD-Access
هنتكلم اليوم عن أول 2 Planes موجودين فال SD-Access وهنوضح كل واحد فيهم
وبكده نكون وصلنا لنهاية المقال الثانى .. شكرا إنك كملت المقال للأخر.
1- DataPlane:
---------------
إزاى ال Data بتتنقل فال SD-Access ؟؟
لو ال PC بعت Frame لل Direct SW اللى بنسميه ال Fabric Edge Node واللى يعتبر ال Gateway بتاعه ...
ال Edge هينقل ال Data داخل VX-LAN Tunnel لحد ما يوصل للسويتش الأخر اللى عنده ال Destination Device
اللى محتاجين نوصله
علشان كده بنقول انه ال DataPlane فال SD-Access باستخدام ال VX-LAN
لكن فى هنا سؤال مهم :
------------------------
إزاى ال Edge Node بيعرف هو المفروض يبنى VX-LAN Tunnel مع انهى Destination Edge ??
هنا يجى دور ال Control Plane :
---------------------------------
السويتش فال SD-Access بيستخدم LISP Protocol ... فلما ال PC بيبعتله ال Frame بيعمل Lookup فال Cache بتاعه .. هل هو عارف ال Destination ??
لو مش عارف بيسأل ال Control Plane Node وده جهاز منفصل بيتسمى فبروتوكول ال LISP ب ال LISP Mapping Server.
ولأن كل ال Fabric Edge Nodes بيعملوا Registration معاه .. فهو بيبقى عارف كل أماكن ال End Devices
وبكده يبقى ال Control Plane اللى بيساعدنا دايما نعمل Tracking لأماكن ال Destination هو ال LISP Protocol
وهنا يجيلك سؤال مهم .. طيب ليه مبنستخدمش ال LISP ك DataPlane ??
هل ال LISP يعتبر Control Plane فقط ؟؟
ونفس السؤال مع ال VX-LAN ... ليه مبنستخدمهاش ك Control Plane
ليه فجزء ال DataPlane بنستخدم حاجه وفجزء ال ControlPlane بنستخدم حاجه تانيه؟
تعالوا نبدأ بال VX-LAN ... هى اصلا DataPlane فقط .. ودايما لو هنستخدمها بنحتاج معاها بروتوكول تاني يساعدها فجزء ال ControlPlane ..
يعنى مثلا فال SD-Access بنساعدها بال LISP
فال DataCenter بنساعدها بال COOP أو بال MBGP
طيب وبالنسبه ل ال LISP ?? ليه مبنستخدمهوش ك DataPlane ??
ال LISP موجود فيه DataPlane لكن هو بيـ tunnel Layer 3 Only
وانا عاوز فال SD-Access أنقل ترافيك Layer 2 نفس ال Subnet
علشان كده بستخدم ال VX-LAN لأنها بتـ tunnel Layer 3 & 2
عندنا كمان ال Policy Plane ودى هنتكلم عنها فالمقال القادم إن شاء الله
Security Plane in SD-Access
المقال الثالث
بسم الله والصلاة والسلام على رسول الله
ده المقال رقم 3 فكلامنا عن ال SD-Access
إتكلمنا سابقا عن ال Data Plane وال Control Plane فال SD-Access
ومقال اليوم إن شاء الله هنتكلم فيه عن ال Security Plane
الجزء ده فال SD-Access بيشتغل بمساعدة ال ISE مع ال DNAc أو كما يعرف حاليا ب Catalyst Center
إحنا هنا تحديدا بنتكلم عن ال TrustSec Feature وال Security Group Tagging وزى ما بنختصره ب SGT
تعالا نحكى مع بعض القصه من أولها ...
لما ال User بتاعك فالشبكة بيعمل Authentication باستخدام ال EAPOL وبيكتب مثلا ال User & Password ... السويتش بيستقبل معلومات ال EAP اللى اقصد بيها ال User Credentials وبيعملها Decapsulation ويـ Re-Encapsulate بال Raduis وبعدين بيعتها لل ISE
ال ISE بيـ Authenticate ال User وكمان بتبدأ عملية ال Authorization
ودلوقتى نقدر باستخدام ال ISE ن Create new Group ونديله رقم بيبعبر عنه وهو ده اللى بنسميه ال SGT ... ونقدر نعمل Matrix نحديد فيه أنهى جروب مسموحله يروح لأنهى جروب ويروح يعمل إيه تحديدا
و بعد ما عمليه ال Authentication بتنجح بيتم تنفيذ وإرسال كل ده للسويتش علشان لما
يـ Authenticate ال User يبقى عارف يتصرف معاه ازاى بسبب ال SG Access-List
اللى هو خدها من ال ISE.
المثال اللى فالصورة تحت هيساعدك تفهم بشكل اسهل ... من الشمال فى user اتعمله Authentication وكمان Authorization وال ISE قال لل Switch انه رقم
ال SGT =4
السويتش نقل الترافيك وضاف عليها رقم ال SGT .. لحد ما وصلنا لل DST SW .. فتح ال Frame وقرأ رقم 4 وبدأ يقرأ ال Matrix او الجدول اللى عنده اللى بيقوله
انه 4 ممنوع يوصل ل 5 .. فكده هيوقع الترافيك
بمساعدة ال DNAc .. إحنا بنحاول ننفذ مبدأ ال Centralization فالشبكة ..
مكان واحد منه تقدر تعمل كل حاجه بأسهل طريقه ممكنه.
فبدل ما تعمل ال Groups على ال ISE ... إنت دلوقتى هتعملها على ال DNAc
وتعمل ال Matrix اللى هتحدد فيه ال Policy
وال DNAc هيبعت الكلام ده كله لل ISE بال API "زى ما واضح فالصورة تحت" وبعدها ال ISE هيبعت الكلام ده لل Switches
طبعا ال SGT بيتفهم من كل الأجهزة زى مثلا:
Switch, Router, Firewall
لكن ال End Device نفسه ملوش علاقه ومبيفهمش ال SGT.
وبكده نكون وصلنا لنهاية المقال الثالث .. شكرا إنك كملت المقال للأخر.
Border Node in SD-Access
المقال الرابع
بسم الله والصلاة والسلام على رسول الله
ده المقال رقم 4 فكلامنا عن ال SD-Access
اليوم هنتكلم عن ال Border Node فال SDA ..
وبكده نكون وصلنا لنهاية المقال الرابع .. شكرا إنك كملت المقال للأخر.
ال Border Node هو الجهاز اللى بيساعدك تخرج بره ال Fabric وفى منه أنواع مختلفة
- ال Default أو نقدر نعتبره ال External وده اللى بيخرجنا بره الشبكة بتاعتنا لأماكن زى الإنترنت أو ال Cloud
- ال Internal Border وده اللى بيوصلنا لأماكن تانية فالشبكة بتاعتنا زى مثلا ال DataCenter
النوع الثالث يعتبر Hyprid ما بينهم .. بيعمل الوظيفتين مع بعض فنفس الوقت وسيسكو بتسميه Any where Border Node
ده الجزء الأول من مقال اليوم وهنركز فيه أكثر على ال External Border Node
الصورة دى هتساعدك بشكل كبير وبخطوات واضحه تفهم أى حاجه أنا هشرحها فالمقال
بسم الله
ال Client تحت عاليمين بعت رساله لل Fabric Edge Node بيطلب منه يطلعه عالانترنت
ال Fabric Edge بيشتغل بال LISP ك Control Plane (شرحنا الجزء ده بتفصيل أكبر فالمقال رقم 2)
ال Fabric Edge مش عارف ال Destination فهيبدأ يسأل ال Control Plane وهيبعتله Map Request
ولإن الهدف اللى محتاجين نوصله خارج ال Fabric .. فال Control Plane Node ميعرفش ... وهيرد عليه ب Negative Map Reply
دلوقتى ال Fabric Edge عرف إنه الهدف بتاعنا خارج ال Fabric
وهيبعت لل External Border Node
وفعلا ال External هيقدر يساعده ويطلع عالانترنت.
ودلوقتى موعدنا مع الجزء الثانى من مقال اليوم وهنركز فيه على ال Internal Border Node
عندنا مثلا شبكة فال DataCenter إسمها 10.1.0.0/16 هيبدأ ال Internal Border يسجلها مع ال Control Plane Node وده بيتم من خلال رسالة ال Map Registration
ال Internal Border Node هو الجهاز اللى بيساعدنا نخرج بره ال SD-Access ونوصل لأماكن تانيه فالشركة بتاعتنا زى مثلا ال DataCenter
يبقى ال Control Plane Node سجل عنده فالجدول إنه Network 10 عند ال Router Locator أو ال RLOC اللى اسمه ال Border بتاعنا
ال PC هيبعت رساله لل Fabric Edge Node يطلب منه يوصل للشبكة 10 ... ال Fabric edge node ميعرفش مكان الشبكة 10 فهيبدأ يسأل ال Control Plane Node لانه الجهاز الوحيد اللى عارف أماكن كل الناس فالشبكة
ال Control Plane نقدر نعمله Configuration علشان يرد بشكل مباشر علي ال Edge ويقوله روح لل Internal Border وهو هيساعدك
وبكده ال Edge هيسجل المعلومه عنده فال Cache بتاعه وهيبعت الرسالة لل Border ويقدر دلوقتى ال PC بتاعنا يوصل للشبكة 10.