วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

วสยทศนเกยวกบสถาปตยกรรมเครอขายดจทลของ Cisco – ภาพรวม

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

เนอหา หนา

I. บทน�า 3

II. ขอก�าหนดส�าหรบเครอขายขององคกรในยคดจทล 4

III. หลกการของ DNA 6

IV. ภาพรวมของสถาปตยกรรมเครอขายดจทล 9

V. สงทตองค�านงถงดานความทนทานและความปลอดภย 19

VI. บทสรป 21

ภาคผนวก A: อภธานศพท 21

รายการอางอง 25

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

เมอกระบวนการการท�าธรกจขององคกรไดกลายเปนรปแบบดจทลมากขน ความตองการใหมๆ ทมตอสถาปตยกรรมเครอขายส�าหรบองคกรกเตบโตขน

เนอหาในภาพรวมนจะกลาวถงวสยทศนของ Digital Network Architecture (DNA) จาก Cisco® สถาปตยกรรมถกสรางขนเพอเออตอการใหบรการเครอขายทสนบสนนกระบวนการการท�าธรกจทเปนรปแบบดจทลไดเรวและยดหยน DNA จะเปนศนยกลางของโครงสรางพนฐานเครอขาย ทไมเพยงแตสามารถปรบแตงไดเตมทและเปดกวางตอนวตกรรมของบคคลทสาม แตยงสามารถ ผสานเขากบระบบคลาวดไดเตมทเปนสวนประกอบของโครงสรางพนฐานไดอยางไรรอยตอ คอนโทรลเลอรของ DNA จะใหความสะดวกในการลงระบบการใหบรการเครอขายทเรยบงาย เปนระบบอตโนมตและสามารถปรบแตงได เปนการน�าเอาแนวคดของนโยบายการรบรผใชและ แอพพลเคชนเขามาเปนแนวหนาของการปฏบตการทางเครอขาย ดวย DNA เครอขายสามารถใหฟดแบก ทตอเนองเพอปรบปรงการท�างานของเครอขายใหเหมาะสมและเรยบงายขน และยงสนบสนนแอพพลเคชนรปแบบดจทลใหสามารถรบรตวเครอขายได

ค�าคนหา—บรการรปแบบดจทล ระบบคลาวด การจ�าลองเสมอน คอนโทรลเลอร แฟบรค นโยบาย GBP ระบบเครอขายทมความสามารถในการรบรแอพพลเคชน ความเรยบงาย ออรเคสเตรชน หนวยวเคราะห ระบบโทรมาตร การรกษาความปลอดภย ดานปองกนภยคกคาม ระบบอตโนมต ความเปดกวาง

I. บทน�า สถาปตยกรรมเครอขายขององคกรก�าลงเผชญหนากบการววฒนาการของธรกจดจทลทเปดรบเทคโนโลยเชนเทคโนโลยโทรศพทเคลอนท ระบบคลาวด วดโอ และอนเทอรเนตของสรรพ สง (IoT) เขามา การน�าเอาเทคโนโลยเหลานมาใชเปนกระบวนการ ทมกจะเรยกวาการแปรรปธรกจใหเปนดจทล ซงสามารถสงผล กระทบตอชวตของเราไดมากพอๆ กบการเขามาของอนเทอรเนตและ เวรลไวดเวบเมอ 20 ปทแลว (อางอง [1] [2] ส�าหรบรายละเอยด) การมาของอภมหาขอมล (Big Data) และหนวยวเคราะหชวยใหการ ตดสนใจแบบ real-time ระบบอตโนมต และประสทธภาพทจ�าเปน ตอการสงมอบแอพพลเคชนรปแบบดจทลไดทดเทยมคแขง นอกจากน ความพรอมทกวางขวางของบรการระบบคลาวดกสนบสนนไอเดยนดวย ระบบคลาวดเปดโอกาสใหบรษททงขนาดเลกและขนาดกลางสามารถเขาถงบรการ IT ขนสงไดอยางรวดเรวและคมคาทกอนหนานมเพยงองคกรทกอตงมาอยางมนคงแลวเทานนทสามารถเออมถง

อยางไรกตาม การววฒนาการสธรกจดจทลทมไดนามกและเปนสากลยงคงมความเสยง การเชอมตอทเปนสากลจะเปดทางใหกบ ความเสยงดานความปลอดภยทมกจะเปนอนตรายอยางยง เปนทคาดการณวาความซบซอนของการท�างานของเครอขายจะเพมสงขนเมอการปฏบตการดงกลาวมความเปนไดนามกมากขน และสรางอเวนทและขอมลมากขนใหกบจ�านวนของผใชและแอพพลเคชนทเตบโตขน นอกเสยจากวาจะรบมอไดทน การจดการ และใชงานเครอขายจะยากยงขนทกเวลา

แนวโนมเหลานเรยกรองใหตองมการเปลยนแปลงครงใหญในระบบสถาปตยกรรมเครอขายขององคกร แมวาคณสมบตหลกๆ ของเครอขายแบบดงเดมเชนความพรอมในการใชงานและประสทธภาพการท�างานไมหายไปไหน เครอขายของธรกจดจทอล จะเปนตองววฒนาการอยางรวดเรวเพอรองรบรปแบบการตอบสนองของการปฏสมพนธระหวางลกคาและพนกงานทมากกวาเดม รวมทงใหการท�างานของเครอขายมความเรยบงายและเปนระบบ อตโนมตดวย

สถาปตยกรรมเครอขายดจทล (DNA) ของ Cisco มอบพมพเขยวใหมใหแกองคกรดจทล เครอขายมการขยายเพอรองรบศนยขอมล ระบบคลาวด และโครงสรางพนฐานของ IoT ในขณะทยงคงรกษาความพรอมใชงาน ความสามารถในการปรบขยายได และ ประสทธภาพการท�างานในระดบสงไว สถาปตยกรรมของ DNA ถกออกแบบ มาเพอใหการบรการตางๆ เชนบรการเครอขายเพอเปดการเชอมตอในวงกวาง บรการการรกษาความปลอดภยเพอปกปองขอมลและตวตนของผใช และบรการทางดจทลเพอปรบปรงประสทธภาพ ของแอพพลเคชนทางธรกจ ดงนน Cisco DNA ใหแพลตฟอรมในการมอบโซลชนทางดจทลเพ อประสบการณของลกคาและพนกงานทเหนอชน ในขณะทท�าใหกระบวนการท�าธรกจเรยบงาย ยงขน รปท 1 แสดงใหเหนถงภาพรวมของสถาปตยกรรมเครอขาย ดจทล Cisco

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

รปท 1 วสยทศนของสถาปตยกรรมเครอขายดจทล Cisco

บทความฉบบนเขยนขนส�าหรบเหลา CXO สถาปนกเครอขาย และ วศวกรเครอขายทตองการจะท�าความเขาใจรายละเอยดทางเทคนคทเกยวของกบ DNA ผมอ�านาจตดสนใจทมความคดทางวศวกรรมและตองการเขาใจวาสถาปตยกรรมนสามารถสนบสนนประโยชนทางธรกจของ DNA อยางไรกจะไดประโยชนจากบทความนดวย ผอานจะเรยนรแนวคดพนฐานของ DNA บทท II จะเปนการสรปขอก�าหนดทเครอขายองคกรทววฒนาการแลว จะตองตอบโจทยใหไดเพอรองรบกระบวนการทางธรกจทอยในรปแบบดจทล บทท III จะกลาวถงกรอบปรชญาหลกของ DNA นน กคอเครอขายทสามารถท�าใหบรการตางๆ กลายเปนระบบอตโนมต ไดอยางงายดาย ซงจะใหขอมลเชงลกทสามารถน�าไปปฏบตจรงไดแกผใหบรการและนกพฒนาแอพพลเคชน และเปนเครอขายทใหความปลอดภยทสมบรณและเปนไปตามขอก�าหนด รายละเอยด ของสถาปตยกรรมเครอขายจะกลาวถงในบทท 4 อภธานศพทใน ภาคผนวก A จะระบค�าจ�ากดความของแนวคดหลกๆ ทกลาวถงในบทความน

II. ความตองการส�าหรบเครอขายขององคกรในยค ดจทล ในชวงไมกปทผานมา ความตองการในคณสมบตของเครอขายไดมการเตบโตขนอยางมนยส�าคญ ระบบไรสายเปนวธในการ เชอมตอทแพรหลายในเครอขายองคกร สงผลใหเกดการเตบโตของ ประเภทอปกรณปลายทาง ตามรายงาน [3] และ [4] เมอไมนานมาน มากกวา 40% ของการรบสงขอมลผานเครอขายมาจากอปกรณ ทไมใช PC ในป 2014 ในปจจบน พนกงานจ�านวนมากสามารถน�าอปกรณของตนเองมายงทท�างาน ซงเปนททจ�าเปนตองมคณ สมบตในการตรวจสอบและควบคมอปกรณเหลานน อกทงยงตง ปองกนขอมลขององคกรจากการเชอมตอทไมพงประสงค การสอสารมลตมเดยกเพมขนอยางมากเชนกน วดโอกลายเปนรปแบบการสอสารมาตรฐาน ไมวาจะเปนการสอสารโดยตรงหรอส�าหรบการประชม

ยงไปกวานน ธรกจจ�านวนมากก�าลงใชประโยชนจากการแปรรปดจ ทล เพ อว วฒนาการกระบวนการท� างานของตนเอง กระบวนการทางธรกจทเปนรปแบบดจทลตองมการใหบรการทรวดเรวเพอตอบสนองตอความตองการ ความคาดหวง ของลกคา บรษทคคาและพนกงานทเพมขนเรอยๆ องคกรสามารถระบโอกาส ทางการตลาดใหบรการทางธรกจแกลกคาเพอใหใชประโยชนจากโอกาสเหลานดวยการใชการพฒนาแอพพลเคชนทรวดเรวและคลองตว ระบบคอมพวเตอรแบบคลาวดท�าใหสามารถใหบรการ ใหมๆ ดงกลาวโดยทไมตองใชการลงทนกบโครงสรางพนฐานหรอ เซฟเวอรทยาวนานและมราคาแพงได การสงมอบแอพพลเคชนกถกเรงความเรวมากขนดวยการใชกลมขอมลซอฟทแวรทมอยแลว และดงเอาขอมลเพมเตมมาจากแหลงขอมลอกหลายแหง ระบบคอมพวเตอรแบบคลาวดถกน�ามาใชเพอรวบรวมฟดแบคจากลกคาในจ�านวนมากดวยใชการแปรรปใหเปนรปแบบดจทล (เชนแบบส�ารวจรปแบบอเลคทรอนกส หนวยวเคราะหทางธรกจ) และเพอสรางความผกพนธในวงจรพฒนาทรนเวลาลงส�าหรบบรการรปแบบดจทลเพอปรบบรการทางธรกจตามฟดแบคของลกคา

แนวโนมดงกลาวไมเพยงน�าไปสปรมาณการรบสงของมล IP โดย รวยใหสงขนอยางมนยส�าคญ แตยงเพมความซบซอนของเครอขายอกดวย ยกตวอยางเชน ผใหบรการเนตเวรคจ�าเปนตองจดการ อปกรณปลายทางทเพมจ�านวนขนเร อยๆ รบประกนความ ปลอดภยของเครอขาย ลดเวลาในการเปดใชแอพพลเคชนดจทลใหมๆ บนเครอขาย ปฏบตตามขอตกลงระดบบรการ (SLA) ของแอพพล เคชน และใหรายงานดานการท�างานของแอพพลเคชนทละเอยด มากขนเรอยๆ ผลทตามมาคอขอก�าหนดของสถาปตยกรรม เครอขายองคกรไดเปลยนแปลงไปอยางมากตามหมวดหมทง 4 หมวด ดงตอไปน

IoT

เครอขาย

คลาวด

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

1) ขอก�าหนดทางนวตกรรมทรวดเรวขน · ความยดหยน: เปนทคาดการณกนวาจ�านวนและประเภทของ

อปกรณปลายทางทตองใชบรการขนสงจากเครอขายองคกรจะยงคงเตบโตขนเรอยๆ ขอก�าหนดพนฐานส�าหรบสถาปตยกรรม เครอขายทพฒนาแลวจงเปนการตอบสนองอปกรณปลาย ทางทแตกตางหลากหลายประเภท ไมวาวธในการเชอมตอของ อปกรณแตละประเภทนนจะเปนอยางไรกตาม บรการเครอขาย และความปลอดภยทเปนประเภทเดยวกนจะตองพรอมใหบรการไมวากบโฮสตประเภทมสาย ไรสาย หรอแบบโทรศพทเคลอนท ความยดหยนเปนอกหนงความตองการในการสนบสนน แอพพลเคชนทางธรกจและเครอขายอนหลากหลายทม ความไดนามกมากขน และไมจ�าเปนตองผกตดกบสถานททาง ภมศาสตรอกตอไป เปนผลใหเครอขายตองรองรบบรการ เครอขายและแอพพลเคชนทสามารถท�างานไดทกททกเวลา

· กลไกฟดแบคอนชาญฉลาด: การปรบปรงกลไกการใหฟดแบค ดานสถานะของเครอขายใหดขนไดกลายมาเปนขอก�าหนดหลกดวยเชนกน กลไกแบบดงเดมตามโปรโตคอลการจดการเครอขายแบบงาย (SNMP) และการใชโปรแกรมเพอดงเอาขอมล ออกมา (Screen Scraping) ไมใชวธทเหมาะสมอกตอไป เนองจาก เปนวธทตองประท�าโดยมนษยและเกดความผดพลาดไดงายมาก1 เปนทคาดหวงกนวาเครอขายนนจะสามารถใหเมตรกทถกตองในการสนบสนนการตดสนใจทจ�าเปนอยางยงตอธ ร ก จ แ ล ะ เ ก ย ว ข อ ง ก บ น โ ย บ า ย ข น ส ง ท ร ะ ด บ ข อ งแอพพลเคชน ขอมลดงกลาวจะตองสนบสนนระบบการแกไขปญหาเชงรก เอออ�านวยตอการหาแนวโนมและการเฝาสงเกตขอม ล ส ขภ าพของ ส วนประกอบของ เคร อข า ยและแอพพลเคชน อกทงตองสามารถขยายตวไดงาย ความสามารถ ของหนวยวเคราะหส�าหรบเครอขายองคกรจ�าเปนตองด�าเนนการทความละเอยดของผใชและแอพพลเคชน และแนนอนตอง รองรบประเภทของอปกรณอนหลากหลายทคาดการณวาจะอยในเครอขายทสนบสนน IoT

· ความสามารถในการรบรแอพพลเคชนและผใช: เนองจาก เครอขายองคกรกลายเปนสวนส�าคญของทก ๆดานของกระบวนการ ทางธรกจ ผใหบรการจงมองหาความสามารถในการรบร แอพพลเคชนเพอจดล�าดบความส�าคญและด�าเนนการกบโฟลว ของการสงขอมลหรอใชนโยบายขนสงทตองการไดอยางถกตองเหมาะสม เครอขายตองสามารถระบแอพพลเคชนได แมวา แอพพลเคชนดงกลาวมการเขารหสอย นอกจากนน เครอขายจ�าเปนตองตามความเรวของวฏจกรการพฒนาแอพพลเคชนใหทน และมอบความยดหยนในการน�าเอาบรการขนสงส�าหรบ แอพพลเคชนใหมๆ ภายในเวลาอนสนมาใช ซงมกจะหมายถงความตองการทจะสนบสนนการพฒนาแอพพลเคชนของบคคลท 3 หรอมความสามารถในการจบกลมแอพพลเคชนตาม นโยบายขนสงรวม

2) ขอก�าหนดในการลดความซบซอน และตนทนลง· ความเรยบงาย: การท�าใหการปฏบตการทางเครอขายและการ

ลงระบบของบรการขนสงเครอขายใหมเปนสงทงายขนไดกลายเปนขอก�าหนดหลกทจะชดเชยความซบซอนทเพมมากขนอนเปนสาเหตจากแนวโนมตางๆ ทเกยวของกบอปกรณ แอพพลเคชน การกระจายตว และการตอบสนอง ความเรยบงาย จะครอบคลมทววงจรชวตของบรการเครอขาย ตงแตในวนท 0 ซงเปนการออกแบบและตดตงสวนประกอบของโครงสรางพนฐาน ไปจนถงวนท 1 ซงเปนการเปดใหบรการ และวนท 2 ซงเปนการจดการและการด�าเนนการ ความตองการของเครอขาย องคกรทพฒนาแลวยงรวมไปถงการลงระบบทรวดเรวและปราศจากขอผดพลาด การด�าเนนการทตอเนองขององคประกอบ ประเภทตางๆ (เราทเตอร สวตช จดเชอมตอ เปนตน) ระบบการท�าบทสแตรป (Bootstrapping)อตโนมตและการตงคา ระบบ การท�าสญญาอนญาตและการตรวจสอบตวตนอตโนมต และการท�ารายงาน เกยวกบกรณความลมเหลวโดยละเอยด

· ระบบอตโนมต: เมอความซบซอนของการปฏบตการเครอขาย เพมขนพรอมกบอปกรณและผใชปลายทางทเพมจ�านวนขน คาใชจายในการด�าเนนงานกเพมขนดวยเชนกน ระบบอตโนมต คอขอก�าหนดหลกในการทจะจ�ากดหรอแมกระทงลดคาใชจายในการด�าเนนการเครอขาย (OpEx) ขอก�าหนดของระบบอตโนมตคอการรองรบแนวโนมทน� าไปสความสามารถในการปรบแตงได (Programmability) ระบบ API แบบเปด โปรโต คอลตามแบบมาตรฐาน และการปฏบตการของเครอขายทเรยบ งายขน

3) ขอก�าหนดดานขอตกลงและเทคโนโลย · ระบบการรกษาความปลอดภย: การรกษาความปลอดภยจะตอง

ตามสภาวะของแอพพลเคชนทมการตอบสนองสงและการเพมขนของจ�านวนอปกรณปลายทาง ความสามารถในการแบง เซกเมนตของการสงขอมลและผใชออกจากกนคอความทาทายของสถาปตยกรรมเครอขายองคกรทกประเภท เครอขายควรจะมกลยทธในการแบงเซกเมนตทสามารถน�ามา ประยกตใชกบกลมผใชและแอพพลเคชนทแตกตางกนได รวมทงเปนสวนหนงของขอบเขตนโยบายของผใหบรการเครอขายนนๆ คณสมบตของเครอขายในการแบงเซกเมนตควรจะสอดคลองกบขอก�าหนดอนๆ ทกลาวกอนหนา นนกคอความเรยบงาย ความสามารถในการรบรแอพพลเคชน และ ความยดหยนของอปกรณปลายทาง อยางไรกตาม การแบงเซกเมนตนนจะตองเสรมดวยเครองมอทสามารถตอบสนองตอการเจาะระบบความปลอดภยไดแบบ real-time โดยการตรวจจบความผดปกตในสถานะของเครอขายในขณะทปฏบตตามขอก�าหนดดานความปลอดของผควบคมระบบ

1 ตวอยางเชน การเปลยนแปลงเพยงเลกนอยจากผใหบรการในหนาจอเอาทพตอาจกระตนใหเกดความเปลยนแปลงอยางใหญหลวงในการท�างานภายในเครอขายได เทคนคเหลานจะเปนรปแบบเฉพาะของผใหบรการดวย

ระบบคลาวดทเปดใชงาน

ความรวมมอ | การสอสารเคลอนท | IoT | การรกษาความปลอดภย

API แบบเปด | สงแวดลอมสำหรบ Developer

เปด | ไดมาตรฐาน

แอพพลเคชนทใชไดกบเครอขาย

การควบคมทางนามธรรมและนโยบายจากแกนกลางถงขอบนอก

ระบบอตโนมต

ขอมลเชงโครงสรางขอมลเชงลกตามบรบบท

การวเคราะห

โครงสรางพนฐานทงแบบกายภาพและแบบเสมอน | การโฮสตของแอพ | การแบงเซกเมนท

ความสามารถในการปรบแตงและการจำลองเสมอน

IOS ASIC

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

· ความพรอมในการใชงานระดบสง: อนดบสดทาย การรบประกน ความพรอมการใหบรการเครอขายยงคงเปนขอก�าหนด พนฐาน เปนทคาดวากลไกความพรอมในการใชงานระดบสงแบบ ดงเดมจะพฒนาเพอใหมความสามารถในการคาดการณและการตดสนทดขน ความลมเหลวใดๆ ของบรการขนสงจะตองเปนไปตามขนตอน ดวยล�าดบการปฏบตการทก�าหนดไดในการจดล�าดบความส�าคญของแอพพลเคชนตามความส�าคญทางธรกจ ในท�านองเดยวกน ความตองการดานความเรยบงาย ความสามารถในการรบรแอพพลเคชน และความยดหยน ทมตออปกรณปลายทางจะตองไดการสนบสนนดวยความพรอมในการใชงานระดบสง

4) ขอก�าหนดดานความสามารถในการใชระบบคลาวดเครอขายองคกรจ�าเปนตองบรณาการใหเขากบระบบคลาวดอยางสมบรณเพอรองรบการพฒนาแอพพลเคชนใหมๆ การพฒนา ตวตนแบบ (Prototyping) และการโอสตแอพพลเคชนรปแบบดจทล โครงสรางพนฐานระบบคลาวดจะตองผสมผสานเขากบเครอขายทเหลอทงในดานผใหบรการและการเคลอยายอยางไรรอยตอ ผด�าเนนการเครอขายองคกรไมจ�าเปนตองจ�าแนกแอพพล เคชนทโฮสตอยในศนยของมลของตนเอง และแอพพลเคชนทโฮสต อยในระบบคลาวดอกตอไป การปฏบตการทางเครอขาย หนวยวเคราะห และนโยบายควรจะน�ามาประยกตใชไมวากบแอพพล เคชนทโอสตในองคกรหรอในระบบคลาวดดวยความเรยบงายท เทยบเทากน เครอขายองคกรทเปนรปแบบดจทลสามารถใช ประโยชนจากพลงงานของระบบคลาวดไดอยางเตมทเพอเรง ความเรวในการสงมอบนวตกรรมและการพฒนาบรการทเพมมากขน นอกจากน เครอขายดงกลาวยงสามารถใชการวเคราะหเกยวกบขอมลทไดจากผใชจ�านวนมาก (ระบบโทรมาตร สถตดาน การใชงาน เปนตน) จากหนวยวเคราะหในระบบคลาวดเพอเอออ�านวยการพฒนาประสทธภาพและการเพมประสทธภาพการบรการ ("เรารวาสงใดดและสงใดทไมด และสามารถใชขอมลนน เพ อคดคนนวตกรรมและสงมอบไดอยางรวดเรวในระดบซอฟทแวร")

III. หลกการของ DNA สถาปตยกรรมเครอขายดจทลของ Cisco ถกออกแบบมาเพอตอบ โจทยขอก�าหนดตางๆ ทไดกลาวมา ปรชญาการออกแบบทอยเบองหลง DNA จะอยกงกลางแนวคดของการสงมอบบรการ ความ เปดกวาง และระบบทมซอฟทแวรเปนศนยกลาง (Software Centricity) ประเภทของบรการตางๆ ใน Cisco DNA จะอยใน 3 หมวดหมตอไปน:

1. บรการเครอขายจะสงการขนสงเพอใหผใชปลายทางและแอพพลเคชนสามารถสอสารกนตามเครอขายได บรการเครอ ขายใน DNA ถกออกแบบใหมความเรยบงายและรวดเรวในการ สรางวตถ (Instantiate) ในตวเองโดยไมสญเสยการท�างานใดๆ

รปท 2 หลกการของสถาปตยกรรมเครอขายดจทลของ Cisco

2. DNA จะเปดรบเอาบรการดจทลเพอสนบสนนแอพพลเคชนทางธรกจทเปนรปแบบดจทล เครอขายนสามารถชวยในการเพมระบบอจฉรยะใหแกแอพพลเคชน ตวอยางเชน ดวยการปอนขอมลโลเคชนทนอกเหนอไปจากเครองมอพนฐานและระบบโทคมาตรของเครอขาย (ตวนบ NetFlow แอพพลเคชน สถานะการมองเหนและการควบคมแอพพลเคชน ตวนบการตรวจสอบระบบ (Perfmon) เปนตน) หรอรปแบบระบบโทรมาตรอนๆ

3. บรการรกษาความปลอดภยจะท�าใหแนใจวาเนอหาของความสมพนธการสอสารระหวางผใชปลายทางและแอพพลเคชน หรอขอมลทเดนทางภายในเครอขายจะไดรบการปกปองตลอดเวลาและไมมการบกพรอง

โครงสรางพนฐานตาม DNA ของ Cisco เปนรปแบบเปด ความเปดกวางในบรบทนคอความสามารถส�าหรบลกคาและบรษท คคาในการน�าและก�าหนดการท�างานของเครอขาย โดยการ:

· อนญาตใหผด�าเนนการเครอขายผสานรวมกบระบบ OSS (การ จดการแบบเปด) ทมอยเดมหรอของบคคลท 3 ตวอยางของการจดการแบบเปดคอตวควบคม DNA ซงมอบความสามารถในการพฒนาแอพพลเคชนแบบเฉพาะของตนเองใหแกลกคาหรอบรษทคคา

· อนญาตให Virtualized Network Functions (VNF) บรณาการเขากบสถาปตยกรรม DNA (คณสมบตทเปดกวาง)

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

· จากการอาศยโปรโตคอลทเปนมาตรฐานส�าหรบการปฏบตการของแฟบรคและเครอขายพนฐาน จงท�าใหองคประกอบ เครอขายของบคคลทสามหรอเซรฟเวอรส�าหรบการโฮสตสามารถ อยรวมกบผลตภณฑของ Cisco ได (ความสามารถในการปฏบต การรวมกนแบบเปดกวาง หรอ Open Interoperatibiliyu)

· ให API ระบบเปดและทเปนมาตรฐานเพอใหสามารถควบคมสวนประกอบของเครอขายในรปแบบทสามารถปรบแตงได (ความสามารถในการปรบแตงทเปดกวาง)

ฟงกชนสวนใหญของ Cisco DNA ขบเคลอนดวยซอฟทแวร ฟงกชน ทสงตอและจดการกบโฟลวของการสงขอมล IP กมเปนในรปของ ฟอรมแฟคเตอรเสมอนมากขนเรอยๆ ซงจะแยกซอฟทแวรท ประมวลแพคเกตจากฮารดแวรพนฐาน (เราทเตอร สวตช) การควบคม สวนประกอบเครอขายนน ดงเดมแลวจะเปนประบวนการทขบเคลอนดวยซอฟทแวร แตขณะนมการยกระดบความส�าคญมากขนดวยการปรบปรงแผงควบคมนดวยระบบตวควบคมแบบรวมศนย โดยจะถกแยกออกมาจากฮารดแวรตงตน เนองจากจด ควบคมแบบรวมศนยของสวนประกอบเครอขายแบบนจะท�าหนาทรบผดชอบโครงสรางพนฐานของเครอขายทงหมด (อาจจะเปนแบบโดเมน) อาจพฒนาอลกอรทมอจฉรยะเพมขนเพอปรบปรง การท�างานของเครอขายใหเหมาะสมได อลกอรทมดงกลาวอาจ สามารถแทนทการปฏสมพนธของโปรโตคอลทซบซอนระหวางสวนประกอบเครอขายและจงน�าไปสการท�าใหการท�างานของเครอขายเรยบงายขน2. ซอฟทแวรกมบทบาททส�าคญมากขนดวย ในการรวบรวมขอมลโทรมาตรจากเครอขาย ท�าการประมวลผล และน�าเสนอตอผด�าเนนการเครอขายหรอแอพพลเคชนทางธรกจในรปแบบทถกตองและในเวลาทเหมาะสม

สถาปตยกรรม DNA ถกชน�าดวยหลกการของการเปดใชระบบคลาวด แอพพลเคชนทใชกบเครอขาย ระบบอตโนมต หนวยวเคราะห ระบบโทรมาตร และการจ�าลองเสมอน เนอหาทเหลอของบทนจะขยายความเรองหลกการดงกลาว

A. การเปดใชงานระบบคลาวด แพลตฟอรมของ DNA ผสานเขากบโมเดลของระบบคลาวดแบบตางๆ อยางสมบรณ ซงรวมถงระบบคลาวดสวนบคคล ระบบคลาวด เสมอนสวนบคคล ระบบคลาวดไฮบรด หรอสภาวะของระบบคลาวด แบบสาธารณะ การบรณาการนถกออกแบบทงทชนของสวนขนสง และทสวนควบคมของเครอขาย ทชนสวนขนสง สภาวะระบบคลาวดตางๆ สามารถถกจบรวมกนในเครอขายองคกรไดอยางไร รอยตอดวยการใชเทคนคสรางอโมงค (Tunneling Techniques)

ตวอยางเชน เกตเวย IPSec เสมอนสามารถถกสรางไดในคลาวดเสมอนสวนบคคล (VPC) และเชอมตอกบแฟบรคทด�าเนนการโดย องคกรผานอโมงค IPsec การปรบแตงเราเตอรเสมอนโดยใชนโยบาย และฟงกชนทคลายคลงกบสภาวะของสาขาทควบคมโดยองคกรจะท�าให VPN มพฤตกรรมแบบเดยวกนกบสาขาอนๆ ทเปนสวนประกอบของโครงสรางพนฐานเครอขาย ทชนสวนควบคม เครองมอ การจดการและออรเคสเตรชนสามารถใชในการด�าเนนการ เครอขายได หนวยวเคราะหและหนวยระบบโทรมาตรทเชอมตอและเกบขอมลไวในระบบคลาวดกเปนสวนหนงของการเปดใชระบบคลาวดของ DNA ดวย ดวยการท�าใหระบบคลาวดเปนสวนบรณาการของเครอขายองคกร DNA จะตอบความตองการส�าหรบ การเปดใชระบบคลาวดในการขบเคลอนการท�าโปรโคไทปของ แอพพลเคชนและการตดตงระบบแอพพลเคชนทรวดเรว และ ฟดแบคลปทตอเนองเพอเพมความเรวใหกบกระบวนการทางธรกจทเปนรปแบบดจทล

B. แอพพลเคชนทเปดใชผานทางเครอขาย การเสรมแอพพลเคชนดวยการสนบสนนจากโครงสรางพนฐานเครอขายคอหลกการส�าคญของ DNA เพราะวาแอพพลเคชนทางธรกจในรปแบบดจทลนนมความไดนามกมากขน เนองจากถก พฒนาขนมาในลกษณะทมความคลองตว เครอขายจงตองใหควา มสามารถทยดหยนในการเปดเสนทางการสอสารระหวางผใชปลายทางและแอพพลเคชนขณะทสนบสนนคณลกษณะส�าคญๆ ของการขนสงเชนความปลอดภย ความพรอมในการใชงาน ระดบสง และคณภาพของบรการ ซงจะใหความละเอยดและสเกล ส�าหรบการสรางบรการเครอขายไปยงอปกรณปลายทางหรอกลม อปกรณปลายทางทเปนรปแบบดจทลในระดบแอพพลเคชนและตวตนของผใช การยดนโยบายบรการโดยองจากประเภทของ แอพพลเคชนหรอตวตนของผใช จะท�าใหบรการธรกจสามารถถก จดล�าดบความส�าคญไดอยางเหมาะสมทวเครอขาย ใน DNA แอพพลเคชนจะสนบสนนโดยกลไกฟดแบคของเครอขายดวย ซงจะ ใหแอพพลเคชนไดรบการปรบปรงใหดขนจากรปแบบการใชงานหรอการสอสาร ตวอยางเชน เครอขายสามารถใหฟดแบคทตอเนองส�าหรบแอพพลเคชนทใชเสยงไปยงคอนโทรลเลอร ซง ตอมาจะกระตนใหเกดการสรางนโยบาย QoS ทอพเดทแลวเพอ การนตคณภาพของเสยง เครอขายทใช DNA อยางตอเนองจะรวบ รวมขอมลทสามารถน�ามาท�าเหมอง (Data Mining) เพอปรบปรงการปฏบตการเครอขายหรอเพ อรองรบแอพพลเคชนทเปน รปแบบดจทล คอนเซปทของคอนโทรลเลอร DNA ทจะกลาวภาย หลงในบทความนจะมบทบาทส�าคญในฟงกชน

2 ตวอยางเชน สามารถก�าหนดเสนทางทเหมาะสมส�าหรบอปกรณปลายทางบางกลมโดยการค�านวณอลกอรทมจากซอฟทแวรตามมมมองทงหมดทมตอสถานะของเครอขาย วธนสามารถแทนทการปฏสมพนธของโปรโตคอลเปนการแลกเปลยนสถานะระหวางองคประกอบของเครอขายและการจดการของอลกอรทมเพมประ สทธภาพเสนทางการกระจายตว

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

การท�าใหแอพพลเคชนมความสามารถในการรบรเครอขายไดดวยตนเองนนมความเกยวพนกบ:

· การท�างานรวมกน: แอพพลเคชนการท�างานรวมกนในเครอขาย จะท�าใหพนกงานและบรษทคคาสามารถสอสารกนไดอยางมประสทธภาพโดยไมค�านงถงสถานท DNA สนบสนนการท�างา นรวมกนดวยระบบเสยงและวดโอ (เชนการสงขอความทนท TelePresence® ของ Cisco) แบบ real-time ทมคณภาพสง ซงจะชวยใหแนใจวาจะเปนไปตามขอก�าหนด SLA ทเขมงวด ทงหมด ยงไปกวานน แอพพลเคชนการท�างานรวมกนเหลานจะ ผกตดกบอปกรณปลายทางอปกรณใดอปกรณหนงนอยครงกวา และสามารถเเปดใชงานไดกบหลายโฮสตปลายทางได แอพพลเคชนทไมใชระบบ real-time เชนการแชรเอกสารกมเปน แบบใชเครอขายมากขน โดยมกจะใชประโยชนจากระบบ คลาวดเพอสนบสนนการท�างานรวมกน (เชน การแชรไฟลโดยใช SmartSheets หรอ Box)

· ความสามารถในการเชอมตอระยะไกล: การเชอมตอไปยง แอพพลเคชนรปแบบดจทลโดยพนกงาน บรษทคคา และลกคา นนกระท�าจากระยะไกลมากขน DNA ของ Cisco ไมเพยงรอง รบการเชอมตอดวยอปกรณเคลอนทเทานน แตยงท�าหนาทเปน เซนเซอรท จะให ฟดแบคในการสนบสนนและพฒนาแอพพลเคชนดงกลาวดวย การรางรปแบบการเคลอนไหว ของผใชระยะไกลหรอรวบรวมขอมลของประเภทอปกรณและ โลเคชนคอตวอยางทวาเครอขายสามารถชวยเหลอเพอเพมประสทธภาพใหกบแอพพลเคชนระยะไกลได

· IoT: แอพพลเคชนทางธรกจจ�านวนมากขนมการใชงานบน อปกรณมากกวาเครองประมวลผลแบบดงเดม โครงสรางพนฐาน DNA ของ Cisco จะขยายเครอขายอยางไรรอยตอใหรวมทกๆ ประเภทของอปกรณทเชอมตออยและทใชในอตสาหกรรมแนวดงหลายๆ ประเภท (เชน อตสาหกรรมดแลสขภาพ การ ขนสง คาปลก เปนตน) แอพพลเคชนทควบคมอปกรณเหลานน หรอขอมลโทรมาตรทถกรวบรวมมาสามารถน�ามาท�าเปนเครอขายเพ อใชงานในศนยขอมลขององคกร หรอระบบ คลาวด หรอแมกระทงกระจายไปตามองคประกอบเครอขายดวย ทรพยากรในการประมวลผล

· การรกษาความปลอดภย: แอพพลเคชนทางธรกจทอยในรปดจทลจะไดการสนบสนนจากบรการการรกษาความปลอดภยทางเครอขาย สามารถเขารหสโฟลวของการสงขอมลแอพพล เคชนเมอผานโดเมนทไมนาไวใจในเสนทางการสอสารแบบปลายทางสปลายทางได ยงไปกวานน เครอขายสามารถตรวจจบความปดปกตในการสอสารหรออนญาตใหนโยบายเชอมโยงกบแอพพลเคชนนนเพอจ�ากดผใชทงแบบเดยวหรอแบบกลมในการเขาถง

C. ระบบอตโนมต การท�าใหเครอขายเปนระบบอตโนมตไมเพยงแตส�าคญในการลดตนทน OpEx ดงทกลาวขางตน แตยงเปนสงจ�าเปนในการ มอบบรการเครอขาย บรการดจทล และบรการการรกษาความปลอ

ดภยภายในไกนาท แทนทจะเปนสปดาหหรอเดอนแบบทเปนแตเดม ศนยกลางของระบบอตโนมตคอคอนเซปทของคอนโทรล เลอร DNA เมอมการกระตนจากแอพพลเคชนออรเคสเตรชน บรการทางดจทลใหมๆ จะถกวางระบบโดยคอนโทรลเลอรไปท องคประกอบเครอข ายท เ กยวของในเวลาท เหมาะสม คอนโทรลเลอรมชนแอบสแตรกชนของเครอขายทจะก�าหนดจดเฉพาะขององคประกอบเครอขายตางๆ ในระบบอตโนมตน และมงสหนวยออรเคสเตรชนและหนวยวเคราะห อนเทอรเฟสทตอเนองและแบบทเปนเครองจกรก�าลงไดรบการพฒนาใหเปนสวนทส�าคญของ DNA เพอเพมประสทธภาพใหกบเทคนค ระบบอตโนมต อนเทอรเฟสเหลานจะถกใชโดยคอนโทรลเลอร DNA เพอมอบสงทเหนอล�าไปกวาของปจจบน ความเรวและความ คลองตวเปนขอก�าหนดทส�าคญส�าหรบการเปดใหบรการ และการ ปฏบตการเครอขาย รวมทงระบบทใชคอนโทรลเลอรจะชวยเออ อ�านวยในจดน คอนโทรลเลอรกสามารถสรางฟงกชนเครอขายได ดวยเชนกน

คอนโทรลเลอร DNA เปนหวใจทจะขบเคลอนนโยบายทเกยวพน กบบรการทเปนรปแบบดจทลอยางตอเนองไปตามโครงสรางพนฐานของเครอขาย โดยจะเปลยนเจตนารมณทางธรกจส�าหรบ บรการดจทลใหเปนนโยบายเครอขายทสามารถปฏบตไดจรงและตรวจสอบได เจตนารมณทางธรกจดงกลาวของบรการดจทล อาจสงผลใหเกดนโยบายเครอขายจ�านวนมาก (อาจจะเปนแบ บทเฉพาะตอโดเมน) ทจ�าเปนตองสรางขนและตรวจสอบเพอด�า เนนการบรการ ดงนน คอนโทรลเลอร DNA จะใชนโยบายใน สวนใดๆ ของเครอขายทอนสแตนซของบรการจะไปถง เชนระบบ คลาวดหรอแคมปส WAN หรอโดเมนศนยขอมลส�าหรบประเภทของนโยบายตางๆ เชนประเภททก�ากบการเพมประสทธภาพการเชอมตอ การขนสง หรอเสนทาง (โปรดดดานลาง)

D. หนวยวเคราะหและระบบโทรมาตร ความสามารถของเครอขายในการชวยเหลอในลปฟดแบคไปยงแอพพลเคชนคอการเพมประสทธภาพแบบใหมตอโครงสรางพนฐานของเครอขายเม อเปรยบเทยบกบเครอขายองคกรแบบดงเดม

ระบบโทรมาตรจะใหกระบวนการทเปนอตโนมตสอสารมาตรวดตางๆ เกยวกบสถานะของบรการและเครอขายใหกบหนวยวเคราะห การสนบสนนตอระบบโทรมาตรและหนวยวเคราะหจะมาในรปแบบตอไปนพรอมกบโครงสรางพนฐาน DNA

· เซนเซอรเครอขาย: เพมประสทธภาพของเครอขายในแฟบรคของ DNA ดวยกลไกทจะตรวจสอบและรวบรวมขอมลส�าหรบสถานะสงมอบของเหตการณและบรการในโครงสรางพนฐานเพ อใหมการจดคณลกษณะตามประเภททถกตอง เปนท คาดการณวาองคประกอบเครอขายส�าหรบเครอขายทเปดใช ระบบโทรมาตรจะสรางขอมลจ�านวนมหาศาลโดยขนอยกบนโยบายสงเกตการณของผปฏบตการ

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

· โครงสรางพนฐานของการสอสาร: สนบสนนการขนสงทม ประสทธภาพของขอมลโทรมาตรส�าหรบการวเคราะหโดยหนวย วเคราะหในเครอขาย ขนอยกบความละเอยดของหนวยวเคราะห ทตองการ วธนอาจจะตองการปรมาณแบนวธและ SLA ท เกยวของมากพอสมควร

· หนวยวเคราะห: หนวยวเคราะหกเปนอกสวนหนงของ DNA ของ Cisco ซงมกจะอยทศนยขอมลองคกร หรอแมกระทงในระบบคลาวด ดงนน ระบบโทรมาตรและหนวยวเคราะหของ DNA จงเปนหลกการส�าคญในการตอบสนองความตองการในการสนบสนนลปฟดแบคเชงรก

E. การจ�าลองเหมอน ในการสนบสนนความตองการส�าหรบความยดหยน หนวยวเคราะห และระบบโทรมาตร หรอความเปนอสระทางภมประเทศของฟงกชน เครอขาย DNA รบเอาระบบการจ�าลองเสมอนเขามาอยางเตมท การจ�าลองเสมอนใหความสามารถในการสรางเครอขายแบบ โลจคลทชนขนสงทาง VLAN การเราทตงแบบเสมอนและการสงตอ (VRF) หรอเทคนคการสรางอโมงคแบบโลจคล ซงจะชวยใหเกดการแยกโฟลวของบรการทแตกตางกนตรง Layer 2 และ Layer 33 ได การจ�าลองเสมอนการขนสงถกเพมประสทธภาพใน DNA จากการใชการจ�าลองเสมอนของฟงกชนเครอขาย (NFV) ซงจะใหฟงกชนเครอขายเชนการแปลงทอยเครอขาย (NAT) ไฟรวอลล การตรวจสอบแพคเกตเชงลก (DPI) เปนตน ใหสามารถท�างานในจกรกลเหมอนได ความส�าคญของการจ�าลองเสมอนคอการแยกสถาปตยกรรมขนสงบรการส�าหรบทงฟงกชนการสงตอแพคเกต IP และเครอขายจ�าลองเสมอนจากฮารดแวรพนฐาน (ลงค/โฮสตทเปนกายภาพ) สงผลใหผด�าเนนการเครอขายมความ ยดหยนทจะลงระบบฟงกชนไดอยางรวดเรว ไมวาจะเปนทใดใน เครอขายโดยองจากปจจยอนนอกเหนอไปจากสถานททางกายภาพ และเพมความเรวในการลงระบบไดอยางมาก ตวอยางเชน ฟงกชรไฟรวอลทนโยบายบรการตองการอาจจะสรางขนไดในสาขา แทนทจะเปนทศนยขอมลขององคกรภายในไมกนาท จากนน VLAN การเราทตงแบบเสมอน หรอเครอขายเชงซอนจงสามารถตดตงเพอน�าโฟลวของบรการเดนทางผานไฟรวอล จะแตกตางกบการลงระบบฟงกชนไฟรวอลทเปนกายภาพ ซงใน ปจจบนตองใชเวลาเปนสปดาหหรอแมกระทงเปนเดอนเพอตดตงในสภาวะสาขาองคกร

รปท 3 แสดงรายละเอยดเพมเตมเกยวกบหลกการหลกของ สถาปตยกรรม จะแสดงใหเหนวาแอพพลเคชนทใชเปดใชเงนโดย ผใชหรอสงอนๆ จะเชอมตอกบบรการดจทลในรปแบบทยด

เจตนารมณของบรการ (และน�านโยบายไปบงคบใช) แสดงใหเหน วาระบบคลาวดสามารถเปดใชแอพพลเคชนสถาปตยกรรมหลากหลายดานได ซงจะผลกดนกระบวนการธรกจทางดจทลใหสามารถใชงานบนระบบคลาวดในรปแบบลองหนได ฟงกชน เครอขายเชนความปลอดภยบนเวบ การเพมประสทธภาพ WAN หรอการปองกนการบกรก หรอระบบตรวจจบ (IPS/IDS) หรอ แอพพลเคชนจดการระบบคลาวดสามารถใชงานบนสถาปตยกรรม ระบบคลาวดไดดวย แอพพลเคชนหนวยวเคราะหจะเปนระบบคลาวดในการประมวลระบบโทรมาตรของเครอขาย และสง ผลลพทเปนฟดแบคเขาไปในวฏจกรการพฒนาแอพพลเคชน

รปท 3 ยงแสดงใหเหนหนาทรบผดชอบของคอนโทรลเลอรในการท�าใหทงสถาปตยกรรมเครอขายและอนสแตนซของบรการทางดจทลเปนระบบอตโนมต รปดงกลาวชใหเหนวาหนวยวเคราะห มชนแอบสแตรกชนของเครอขายในการก�าหนดจดเฉพาะขององคประกอบเครอขายตางๆ ในระบบอตโนมตน และมงสหนวยออรเคสเตรชนและหนวยวเคราะห

สดทาย ชนสถาปตยกรรมของเครอขายจะแสดงใหเหนในรปท 3 ดวย โดยการแสดงทงองคประกอบของเครอขายทเปนรปแบบกายภาพและฟงกชนเครอขายจ�าลองเสมอน ส�าหรบฟงกชนท ตองการอตราความเรวในระดบสง และทปอนทรพยากรทางสถต ในระยะยาว องคประกอบทเปนแบบกายภาพอาจคมคากวา ฟงกชนอนๆ อาจมใหในรปแบบฟอรมแฟคเตอรเสมอน เชน ส�าหรบการลงระบบทรวดเรวและยดหยน ความละเอยดของบรการท มากขน หรอการผลตโปรโตไทปทรวดเรว หรอในกรณทตองใชทรพยากรในเวลาทจ�ากด องคประกอบของสถาปตยกรรมทง แบบกายภาพและเสมอนเปนสวนหนงของแฟบรคขนสงในการ เชอมตอกยแอพพลเคชนทใชงานในโฮสตทเปนแบบอปกรณ-ผใชและศนยขอมลหรอในระบบคลาวด

IV. ภาพรวมของสถาปตยกรรมเครอขายดจทล มมมองแบบสถาปตยกรรมเครอขายคอศนยกลางของ Cisco DNA จะแสดงอยในรปท 4 ในสถาปตยกรรมน อปกรณปลายทาง4ซงรวมถงแอพพลเคชน จะเชอมตอกบเครอขายเพอคนหาบรการ ขนสง อปกรณปลายทางทกๆชน จะอยนอกโดเมนของเครอขาย และจะผานอนเทอรเฟสเครอขายผใช (UNI) บรการขนสงใน DNA คอการสงขอมลของโฟลว IP จากทางเขาหนงไปยงทางเขาของ UNI ซงหมายถงเปนการขนสงของแพคเกต IP ทจะประกอบเปนโฟลวระหวางแอพพลเคชนทก�าลงท�างานอยในอปกรณของผใชปลายทางหรอโฮสต5.

3 การสรางแบบจ�าลองเสมอนการขนสงมกจะเรยกคลายกนกบการแบงเซกเมนท 4 โปรดดอภธานศพทในสวน A ส�าหรบความหมาย 5 สงผลใหบรการเครอขายมกจะแตะสวนประกอบเครอขายหลายๆ จดในฟงกชนของสถาปตยกรรมทตองมการปรบแตงคาในสวนของการสนบสนนการ

บรการ นอกจากน บรการเครอขายมกจะเปนแบบทศทางค

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

รปท 3 แนวคดของ DNA โดยละเอยด

โฟลวของ IP เหลานอาจถกปรบแแตงโดยเครอขายดวยการน�าเอา Layer 4 ของเครอขายไปใชกบ Layer 7 ของบรการ โฮสตหรอแอพพลเคชนใดๆ ทตองการใชบรการจากเครอขายจะ ควบคมดวยจดบงคบใชนโยบาย (PEP) โดยจะชเฉพาะลงไปวาบรการ ใดทโฮสต แอพพลเคชน หรอความสมพนธดานการสอสารท ใกลเคยงกนจะไดรบจากเครอขาย จากนน ระบบ DNA จะใหการ เชอมตอและบรการขนสง ซงจะอนญาตใหอปกรณปลายทาง หรอแอพพลเคชนท�าการสอสาร ไมวาอปกรณ หรอแอพพลเคชน เหลานนจะอยภายในโครงสรางพนฐานขององคกรหรอในระบบคลาวดกตาม

หนวยโครงสรางหลกๆ ของโครงสรางพนฐาน DNA ของ Cisco ไดแก:

A. แฟบรคเครอขาย

B. การจ�าลองเหมอน

C. การเปดใชงานระบบคลาวด

D. คอนโทรลเลอรเครอขาย

6 โปรดดภาคผนวก A ส�าหรบความหมายของค�าศพท “underlay” และ “overlay”

E. การก�าหนดและการออรเคสเตรชนของการบรการ

F. แอพพลเคชนหนวยวเคราะหและระบบโทรมาตร

จะกลาวถงแนวคดเหลานในสวนทเหลอของบทน และจะกลาว อยางละเอยดในบท IV-C IV-D และ IV-B

A. แฟบรคเครอขาย โครงสรางพนฐานการขนสงจะใชแนวคดของแฟบรค IP องคกร ซงก�าหนดใหเปนเครอขายทแสดงคณลกษณะดงน:

· การเชอมตอแบบถงกนและกน (Any-to-any) ทไดจากโครง สรางพนฐานรอง6ทเปนแบบ IP

· การสงบรการตอทยดหยนไปยงอปกรณปลายทาง (ผใช อปกรณ แอพพลเคชน) โดยองจากระบบพนฐานทสามารถประบแตงได

· การบงคบใชนโยบายทระดบแอพพลเคชนหรอผใชตรงขอบของเครอขายองคกร และสามารถเลอกใหเปนระหวางโดเมนได

คลาวดโมเดลธรกจทยดหยน

ระบบโทรมาตรเพอเปดใชการปรบปรงทกำหนดนวตกรรมทตอเนอง

ความโปรงใส

นำโดยคอนโทรลเลอรนโยบายทขบเคลอนโดย

เจตนารมณ ระบบอตโนมตและออรเคสเตรชน จาก

ปลายทางสปลายทาง

โครงสรางพนฐานทเปนรปแบบกายภาพหรอแบบเสมอนทปรบแตง

ไดตามกำหนดขบเคลอนดวยนโยบายและเปนรปแบบดจทล

การเปดใชงานแบบทขบเคลอนโดย

เจตนารมณ (นโยบาย)

แอพดจทล แอพดจทล แอพดจทล

บรการดจทล (ประสบการณ)

ผใชและสงตางๆ

แอพดจทล

การจดการระบบเปนกลม

ระบบอตโนมต

แฟบรค IP

การบงคบใชนโยบายมราขบเคลอนโดยเจตนารมณ (จากปลายทางสปลายทาง)

การควบคมและการแอบสแตรกชนของเครอขาย

การวเคราะหแบบขอมลไปยงแบบคลาวด

ความสามารถในการปรบแตงของบรการ(API ทเปดกวาง)

ขอมลเชงลกตามบรบท (การวเคราะห)

ความสามารถในการปรบแตงของอปกรณ(API แบบเปดและแบบเกาทมอย)

P P P V V Vมคาอยในฮารดแวร

(แพลตฟอรม หรอ AISC เปนตน)เปดรบการจำลองเสมอน

เพอความยดหยของซอฟทแวร = การลดตนทน opEx

ระบบปฏบตการเครอขายทมAPI แบบเปดกวาง

ฟงกชนเครอขายทมAPI แบบเปดกวาง

ระบบ

คลาวด

ต

ามสญ

ญา

บรการทระบบ

คลาวดสงมา

คอนโทรลเลอรของโดเมน

โครงสรางพนฐานทพฒนาแลว

VNFVNF

VNFแอพสำหรบเครอขาย

แอพสำหรบเครอขาย

แอพสำหรบเครอขาย

ขอม

ล

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

· การหอหมขอมล (Encapsulation) เฉพาะจดเพออนญาตให โฮสตและแอพพลเคชนเช อมตอไปยงเครอขายโดยใช โปรโตคอลตางๆ ของ Layer ท 2 (เชน ประเภทการหอหมแบบ Ethernet ทแตกตางกน)

· ระบบการสงตอทไมขนกบสถานทในการชวยเปดใชโฮสตและแอพพล เคชนให เคล อนท โดยไมตองการความเปลยนแปลงในโครงสรางพนฐาน

· การจดการแบบคอนโทรลเลอรเพ อท�าใหการท�างานของ เครอขายเรยบงายขน โดยเฉพาะท�าใหเปนแบบองคประกอบ ครอบคลมทวเครอขายแทนทจะเปนแบบใชองคประกอบเดยวๆ

· ความพรอมในการใชงานระดบสงเพ อรบประกนความทนทานของเครอขายตอความลมเหลวของสวนประกอบของเครอขายเอง หรอจากการท�างานซอฟทแวร

สามารถจดกลมแฟบรคออกเปนโดเมนตางๆ ไดเพอก�าหนด ขอบเขตการปฏบตการรอบๆ กลมของสวนประกอบเครอขาย ดวย วธน เสนทางการสอสารการขนสงแบบถงกนและกนทเกยวของกบบรการใน DNA สามารถก�าหนดคาใหอยเหนอหลายๆ โดเมนได ซงแตละโดเมนจะมขาแยกและมนโยบายทเปนแบบเฉพาะของโดเมน โดเมนทเกยวของใน DNA ไดแกแคมปส ศนยขอมล ระบบคลาวด และระบบ WAN (ซงรวมไปถง WAN aggregation และสาขา) ดงทแสดงใหเหนในรปท 5 ในแคมปส อปกรณปลายทางหลายจดจะตอเขากบเครอขายโดยใชทงการเชอมตอแบบมสายหรอไรสาย แคมปสอาจใหการเชอมตอไปยงศนยขอมล

หรอโดเมน WAN ดวย ซงจะชวยใหอปกรณปลายทางไปถง แอพพลเคชนทอยภายในศนยขอมล หรอไปถงโฮสตทอยภายในเครอ ขายตามล�าดบ โดเมน WAN มกจะประกอบไปดวยสาขาตางๆ ทรวมกนทวทงระบบ WAN ทบรหารจดการโดยองคกรหรอผให บรการกลายเปนไซตทม WAN หลากหลายรวมตวกน จดท WAN รวมตวกนจะเชอมตอเขากบโดเมนแคมปส โดเมนของศนยขอ มลจะใหโครงสรางพนฐานเชอมตอเซรฟเวอรทเปนโฮสตใหแอพพลเคชนขององคกรเขากบเครอขาย ค�าอธบายโดยละเอยด เกยวกบสถาปตยกรรมแฟบรคของ DNA จะกลาวอยใน [5]

สวนประกอบของเครอขายทอยในแฟบรคสวนใหญจะเปนประเภทแบบฮารดแวรเพอใหการขนสงความเรวสงทก�าหนด การดแลใหมคาหนวงต�าระหวางการขนสงแพคเกตหรอคณภาพการบรการ (QoS) ดวยความเรวสงมกจะตองตดตง ASIC ทมความซบซอนลงในองคประกอบเครอขาย เชน Cisco Unified AccessTM Data Plane [6] หรอ Cisco QuantumFlow ProcessorTM [7] การใหระบบการรกษาความปลอดภยภายในแฟบรคดวย การเขารหสหรอการใช Tag ส�าหรบการรกษาความปลอดภยเปน อกหนงเหตผลส�าหรบการสนบสนนในองคประกอบเครอขาย DNA ยงไปกวานน เพอใหเปนไปตามขอก�าหนดส�าหรบการสรางบรการทรวดเรวและมความไดนามก ASIC เหลานจงมความ สามารถปรบแตงไดเตมทในแฟบรคของ DNA สดทายน ขอก�าหนด ในการรวบรวมและสงไปยงสวนวเคราะหส�าหรบขอมลโทรมาตรปรมาณสงๆ กเปนอกหนงเหตผลในการใช ASIC ความเรวสงภายในแฟบรค ส�าหรบภาพรวมของเทคโนโลย ASIC ท ละเอยดยงขน โปรดดท [8]

SP

แฟบรค DC

ระบบโทรมาตร เจตนารมณ

APIs

แฟบรค WAN แฟบรคแคมปส

Int. Acc

WANAgg

สาขา

สาขา

PEP

PEPPEP

WAN VNFs VNF แฟบรค DC VN VNF คลาวด

SPSP

แฟบรค DCแฟบรค WAN แฟบรคแคมปส

Int. Intn AAcccc

WWWWANWWAAAAAggggg

สาขา

สาขาาาาา

PEPP

PEPP PPEPP

APIs

PEP

PEP

PEP

PEP

แฟบรคองคกร

UNI

UNIUNI

คลาวด

อนเทอรเนต

PEP

PEP

PEP แอพ

แอพ

แอพ

WAN VNWW Fs VNF แฟบรค DC VN VNF คลาวดการจำลองเสมอนของฟงกชนเครอขาย

การสรางบรการ โทโปโลย การรกษาความ

ปลอดภย QoS

แบบงายการ

วเคราะหPlug&Play Pathการปรบปรงประสทธภาพ

การสรางบรการ โทโปโลย การรกษาความ

ปลอดภยQoS

แบบงายการ

วเคราะหPlug&Play การปรบปรงPPathath

ประสทธภาพคอนโทรลเลอรขององคกร (การกำหนดนโยบาย)

GUI ตามทกำหนด ทกำหนดเอง ตามโมเดลGUI ตามทกำหนด ทกำหนดเอง ตามโมเดล

อนเทอรเฟสเครอขาย (UNI) PEP: จดบงคบใชนโยบาย

การกำหนดและการออรเคสเตรชนบรการ

รปท 4 ภาพรวมของ DNA

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

รปท 5 แฟบรคของเครอขายใน DNA

B. สถาปตยกรรมการจ�าลองเสมอน การจ�าลองเสมอนมบทบาทส�าคญอกอยางหนงใน DNA เนองจากเปนกลไกส�าคญในการลงระบบการบรการทรวดเรวโดยพงพาโครงสรางพนฐานทเปนฮารดแวรใหนอยทสด สถาปตยกรรมการ จ�าเลองเสมอนทเปนสวนหนงของ DNA สามารถแยกออกไดเปน 2 สวน:

· การจ�าลองเสมอนของการขนสง:การแยกการสงขอมลแบบ โลจคลดวย VLAN หรอ VRF นนเปนเครองมอมาตรฐานในสถา ปตยกรรมเครอขายองคกรอยแลว สวนประกอบของเครอขาย ทประกอบดวยแฟบรคองคกรจะสามารถแยกการสงขอมลแบบโลจคลไดทงท Layer 2 และ Layer 3 [9] คอนเซปทเหลานอาจตอไปกบ DNA แตจะมความส�าคญมากยงขนเพอใหแน ใจวาบรการจะเชอมโยงกบนโยบายการเซกเมนททเหมาะสมภายในเครอขาย โปรดตระหนกวาบรการจะเชอมตอกบอปกรณ ปลายทางหรอกลมอปกรณปลายทาง ดงนน บรการอาจจะ ไมเพยงแตมความสามารถในการรบรแอพพลเคชน แตม ความสามารถรบรผใช (ตวตน) ไดอกดวย การแบงเซกเมนตแบบ โลจคลของกลมของผใชและแอพพลเคชนจงเปนสวนส�าคญตอสถาปตยกรรมทเปนพนฐานใหกบแฟบรคองคกร [10] จะอธบายเกยวกบรายละเอยดทางเทคนคของการจ�าลองเสมอนการขนสง

· การจ�าลองเสมอนของฟงกชนเครอขาย: การจ�าลองเสมอน ของฟงกชนเครอขาย (NFV) คอสวนของสถาปตยกรรมทสามารถ เปดใชงานฟงกชนของเครอขายไมวาทใดในโครงสรางพนฐานของเครอขายตามความพรอมในการใชงานของทรพยากรการประมวลผม x86 การจ�าลองเสมอนของฟงกชนเครอขายทจดการโฟลวการสงขอมล IP ตามนโยบายเปนสงส�าคญใน DNA ทจะใหสภาวะจ�าลองเสมอนทสมบรณ การจ�าลองเสมอนการขน สงครอบคลมไปถง DNA โดยการอนญาตใหฟงกชนเครอขายเหลานท�างานในจกรกลเสมอน (Virtual Machine) หรอในคอน เทนเนอร (เชน LXC หรอ Docker) บนทรพยากร x86 ใดๆ ทพรอมใชงานตามนโยบายของผใหบรการ องคประกอบของ

7 เชน องตามตนทนหรอหลกเกณฑ SLA

เครอขายใหทรพยากรประมวลผลแบบ x86 มากขนส�าหรบจด ประสงคน ในกรณททรพยากรดงกลาวไมเพยงพอ อาจจะทการคน หาเซรฟเวอร x86 นอกภายในโคงสรางพนฐาน DNA ตามทแสดง ในรปท 6 ระบบปฏบตการขององคประกอบเครอขายใน DNA จะพฒนาขนเพอรองรบการจ�าลองเสมอนน โดยจะใหความ สามารถในการตดตงหรอลบลางฟงกชนเครอขายไดภายในเวลาไมก นาท เพอตรวจสอบสถานะ ตดตงใหม รสตารต หรอแมกระทงใหการสนบสนนการเคลอนทจากเซรฟเวอรหนงไปอกทหนง

ดวยวธน NFV จะอนญาตใหสามารถใชวธดานสถาปตยกรรมแบบใหม ซงฟงกชนทเหมาะสมกบโฟลวของบรการสามารถกระจายไปตามโครงสรางพนฐานตามนโยบายการจดวางทเหมาะสม ฟงกชนดงกลาวจะไมไดผกตดอยกบองคประกอบของเครอขายในรปแบบกายภาพ หรอจ�าเปนตอการเปดใชกระบวนการเดยวในองคประกอบ ของเครอขายอกตอไป แนวคดของการเชอมโยงโฟลวของบรการเปนทอดๆ ผานทางฟงกชนเครอขายเสมอนอนหลากหลายตาม นโยบายกรองรบโดยสถาปตยกรรมของ DNA ดวยเชนกน โปรดทราบ วาการจ�าลองเสมอนใน DNA จงไดไรรอยตอระหวางโดเมนแฟบ รคตางๆ ฟงกชนเครอขายจ�าลองเสมอนเชน DPI หรอไฟรวอลอาจลงไวในจกรกลเสมอน (VM) บนโฮสตทเชอมตอเขากบแคมปส หรออาจลงไวใน VPC สวนขยายไรรอยตอของสถาปตยกรรมแฟบรค องคกรตอไปยงระบบคลาวดผานอโมงคทเขารหสไวส VNF และใหความยดหยนแกผปฏบตการในการตดสนใจวาจดใดเปนจดทดทสดในการสรางฟงกชนเครอขาย7

การตอฟงกชนบรการเปนทอดๆ [11] ดงทระบไวโดย IETF จะใหกลไกทเปดกวางในการน� าเอาการตอเปนทอดๆ ของฟงกชน เครอขายจ�าลองเสมอนนนมาใช ดงในกรณของอนเทอรเฟสทเปน มาตรฐานทงแบบ northbound และ southbound วธนจะอนญาตใหผให บรการบคคลทสามเขามามสวนรวมกบ DNA ได รปท 6 แสดงการจ�าลองเสมอน 2 แงมม ไดแกการจ�าลองเสมอนการขนสง และการจ�าลองเสมอนฟงกชนเครอขาย ภายใตบรบทของ DNA รายละเอยดทางเทคนคเกยวกบสถาปตยกรรม DNA และ NFV จะกลาวไวใน [10]

SP

แฟบรค DC

Int. Acc

WANAgg

สาขา

สาขา

PEP

PEPPEPPEP

PEP

PEP

UNIUNI

คลาวด

อนเทอรเนต

PEP

PEP

PEP แอพ

แอพ

แอพแฟบรค WAN แฟบรคแคมปส

PEP

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

รปท 6 การจ�าลองเหมอนใน DNA

C. สถาปตยกรรมในการเปดใชงานระบบคลาวด การผสานระบบคลาวดเขากบโครงสรางพนฐานทด�าเนนการโดยองคกรคอสวนทส�าคญของ DNA การบรณาการระบบ คลาวดนมความส�าคญอยางยงในการมอบผลประโยชนหลาย ประการ ประการแรก ระบบคลาวดจะใหทรพยากรในการโฮสตแอพพลเคชนทเปนรปแบบดจทลส�าหรบด�าเนนการกระบวนการทางธรกจเหมอนกบวาแอพพลเคชนดงกลาวนนโฮสตอยในโครงสรางพนฐานทองคกรเปนเจาของ ในกรณของของคลาวดสวนบคคล เชนการใชประโยชนจากเกตเวย IPSec เสมอน8จะท�าใหมการสรางอโมงคทปลอดภยส VPC ซงกเหมอนกบท�าใหเปนอกสาขาหนง ผใหบรการ VPC ตางๆ สามารถผสานรวมเขากบเครอขายองคกรไดพรอมๆ กน และฟงกชนเครอขายเดยว กนทสามารถน� ามาใชในฟอรมแฟคเตอรเสมอนในสาขาก สามารถท�างานไดใน VPC ดวย ซงจะใหความตอเนองในแงของการปฏบตการระหวางโครงสรางพนฐานทมองคกรเปนโฮสตและระบบคลาวด ความตอเนองดงกลาวจะเปนดงทแสดงให เหนในรปท 7a จากตวอยางของไฟรวอล Wide Area Application Service (WAAS) ของ Cisco และ IPS ส�าหรบกรณของคลาวดสาธารณะนน สามารถเช อมตอเขากบแอพพลเคชนโดยใช อปกรณทอยในเครอขายองคกรผานเกตเวยของคลาวดสาธารณะ ซ งจะเปนขอบเขตระหวางโดเมนขององคกรและโดเมนสาธารณะ เกตเวยคลาวดสาธารณะจะบงคบใชนโยบายทเกยว ของกบแอพพลเคชนทโฮสตอยในคลาวดสาธารณะ รปท 7c แสดงใหเหนถงววฒนาการของสถาปตกรรมทแสดงอยในรปท 7a ในจดน ฟงกชนของการสรางเครอขายสามารถรวมกนเปน หนวยเดยวและน�ามาลงกบโฮสต x86 ทเปนมาตรฐานในสาขา หรอใน VPC ใดๆ กได การรวมกนเปนหนวยเดยวนจะชวยท�าให ความตอเนองในการปฏบตการระหวางสภาวะทองคกรเปนเจาของและระบบคลาวดเรยบงายขน เพราะวาปฏสมพนธ ระหวางฟงกชนเครอขายทน�ามาใชกบบรการนนสามารถรวมกน เพยงครงเดยวแตสามารถน�าไปตดตงไดในสภาวะทหลากหลาย รป 7a, 7b และ 7c แสดงสถาปตยกรรมประเภทตางๆ ทโฮสตแอพพลเคชนระบบคลาวด

8 เชน ดวยการตดตง CSR 1000v ของ Cisco

แอพพลเคชนเหลานอาจเปนแอพพลเคชนเพอการจดการและการออรเคสเตรชนทจะใชในเครอขายองคกรได แทนทจะเปนแอพพลเคชนทจะมาสนบสนนกระบวนการทางธรกจดจทล ขอดของระบบคลาวด ไดแกความสามารถในการจดสรรทรพยากร แบบไดนามก มความทนทาน และมความสามารถทจะครอบ คลมแบบสากล จะรวมไวในเครองมอการจดการและออรเคส เตรชนของ DNA

· ทรพยากรส�าหรบการประมวลผลและเกบรกษาสามารถเพมหรอลดไดแบบไดนามก ขนอยกบขอก�าหนดของเครองมอ การออรเคสเตรชนและการจดการ องคกรไมจ�าเปนตองค�านง ถงการลงทนในการซอและการด�าเนนการเซรฟเวอรส�าหรบ เครองมอในการจดการและปฏบตการ

· เคร องมอในการปฏบตงานและบรหารจดการจะได รบประโยชนจากความพรอมในการท�างานและความยดหยนของสถาปตยกรรมระบบคลาวด ผด�าเนนการเครอขาย องคกรไมจ�าเปนตองกอตงโครงสรางพนฐานทมความพรอมระดบ สง (และกระจดกระจายไปตามภมประเทศ) ในการด�าเนน การเครอขายอกตอไป

· จากการเปดใชงานเกตเวยคลาวดสาธารณะใน VPC (ดรปท 8) ฟงกชนการจดการและการออรเคสเตรชนจงสามารถเชอมตอไดจากทกท ซงจะท�าใหผด�าเนนการสามารถปฏบตหนาทไดไมวาอยทใด

คณสมบตท 3 ส�าหรบการบรณาการของระบบคลาวดเขากบ แพลตฟอรม DNA ทสมบรณคอการปอนระบบโทคมาตรและหนวย วเคราะหเพอใหฟดแบคลปทเปนแบบ real-time กบนกพฒนาแอพพลเคชนและผด�าเนนการเครอขาย คอนเซฟทนจะกลาว โดยละเอยดในบทท IV-F

รายละเอยดของการผสานระบบคลาวดเขากบสถาปตยกรรมเครอขายดจทลของ Cisco จะกลาวไวใน [12]

PEP

PEP

PEP

PEP

แฟบรคองคกร

UNIUNI

คลาวด

อนเทอรเนต

PEP

PEP

PEP แอพ

แอพ

แอพ

การแบงเซกเมนท 1

การแบงเซกเมนท 2

การแบงเซกเมนท 3

WAN VNFs VNF แคมปส DC VNFs VNF คลาวด

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

VPC

แฟบรคองคกร

vBranch

การเขารหสIPS

WAAS

UNI

แอพ

แอพ

VPC

IPS WAAS

AWS

VPC

การเขารหสMicrosoft

Azure

WAN Agg

NFVIS

IPS WAAS

vSwitch

vBranch

NFVIS

IPS WAAS

vSwitch

แฟบรคองคกร

vBranch

UNI

NFVIS

IPS WAAS

vSwitch

NFVIS

IPS WAAS

vSwitch

PEP

vBranch

แอพ คลาวดสาธารณะ

สาธารณะCloud GW

VPC

WAN

vBranch

การเขารหส แอพ

แอพ

VPC

AWS

VPC

การเขารหสMicrosoft

Azure

WAN Agg

ENFV

IPS WAAS

vSwitch

ENFV

IPS WAAS

vSwitch

ENFV

IPS WAAS

vSwitch

vBranch

ENFV

IPS WAAS

vSwitch

รปท 7 สถาปตยกรรมทโฮสตแอพพลเคชนทเปนระบบคลาวด

(a) การขยาย DNA ไปยง VPC

(a) การขยาย DNA ไปยงระบบคลาวดสาธารณะ

(c) ฟงกชนของการรวม NFV องคกรส�าหรบความตอเนองของระบบคลาวดและสาขา

คลาวดสาธารณะ

VPC

แฟบรคองคกร

vBranch

การเขารหส

NFVIS

IPS WAAS

EMS.

Orches.

AWS

VPCWAN AggIPS

WAAS

vSwitch

NFVIS

IPS WAAS

vSwitch

vBranch PEP

การเขารหส

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

รปท 8 การจดการและการออรเคสเตรชนของระบบคลาวด

D. สถาปตยกรรมระบบอตโนมตของการท�า เครอขายทใชคอนโทรลเลอร แฟบรค IP ขององคกรใน DNA ของ Cisco จะควบคมโดย คอนโทรลเลอรทก�ากบการตงคาและการปฏบตการขององคประกอบ เครอขายของตนเอง ดงนน คอนโทรลเลอรจะมมมมองทงโดเมน ของสถานะและการปฏบตงานขององคประกอบเครอขายท เกยวของ (รปท 9) คอนโทรลเลอร DNA จะรบผดชอบดานการตงคาแฟบรคของเครอขาย การส อสารพนฐานและสถาปตย กรรมบรการแบบทบซอน จะตงคาบรการเครอขายทสามารถมองเหน ไดโดยผใชหรอแอพพลเคชน (ตวอยางเชนการน�าเอานโยบายบรการมาใชกบโฟลว IP ใดโฟลวหนง หรอน�าเอาฟงกชนบรการ Layer 4-7 มาใชกบรปแบบการสอสารของระหวางผใชกบแอพ พลเคชน) สงส�าคญทสดคอคอนโทรลเลอรจะเปนองคประกอบใน สถาปตยกรรมทจะบงคบใชนโยบาย

น โยบายและ เจตนารมณค อห น ง ปจจ ยส� าคญของการเปลยนแปลงทางสถาปตยกรรมทสนบสนนโดย DNA โปรด ตระหนกวาแตละบรการทไดจาก DNA จะบงคบใชเจตนารมณทาง ธรกจและจะน�าไปปฏบตดวยการเสนทางขนสงพรอมกบนโยบาย อนๆ ทเกยวของ นโยบายจะเชอมโยงกนกบบรการ และน�าเอาเจตนารมณของบรการทางธรกจมาใช นโยบายส�าหรบบรการเครอขายอาจแบงไดตามหมวดหมตอไปน:

· นโยบายขนสงเครอขายจะควบคมความสมพนธของโฟลวการสงขอมลระหวางผใช แอพพลเคชน หรอโฮสต นโยบายขนสงจะก�าหนดวาผใดสามารถสอสารกบผใดได รวมทงรายละเอยด เกยวกบการขนสงนนๆ ดวย (เชน VPN ใดทโฟลวของบรการควรจะเชอมโยงดวย) นโยบายเครอขายมกจะน�ามาใชท UNI ไปยงเครอขาย

· นโยบายการรกษาความปลอดภยและการเขารหสจะชวยเพอใหแนใจวาบรการนนๆ มการปลอดภยทถกตองตามจดตางๆ ของเครอขาย ตวอยางเชน เมอบรการเดนทางผานโดเมน เครอขายทไมปลอดภย การสงถายขอมลของแอพพลเคชนอาจ ตองมการเขารหส นโยบายการรกษาความปลอดภยอาจรวมไปถงการน�าเอาฟงกชนเพมเตมเชนการเปดไฟรวอล การ ตรวจจบสงผดปกต การขนบญชด�าและขาวมาใชกบบรการ

· นโยบายวศวกรรมทางการรบสงขอมลจะก�าหนดเสนทางทดทสดทโฟลวของบรการควรจะเดนทางไปตามเครอขายกบระดบความละเอยดของแอพพลเคชน

· นโยบายฟงกชนเครอขาย นอกจากโฟลวบรการการขนสง ระหวางอปกรณปลายทางและแอพพชเคชนแลว เครอขายอาจ มบรการเครอขายเพมเตมทจดการแพคเกต IP ดวย ตวอยางเชน โฟลวอาจเพมประสทธภาพโดยการใชฟงกชนเพม ประสทธภาพระบบ WAN หรออาจถกบงคบใชจากบรการ IPD หรอ IDS หรออาจจะถกท�าเครองหมายใหตรวจสอบทระดบของ เพยโหลด (DPI) นโยบายบรการเครอขายจะตดสนวาบรการเคร อขายเพมเตมใดทควรจะน�ามาใชกบโฟลว IP และนโยบาย นนๆ อาจะตองพงการเชอมตอเปนทอดๆ ของฟงกชนบรการ (SFC) แบบ NSH เพอบงคบใหไหลผานบรการทก�าหนด

การก�าหนดนโยบายเปนล�าดบชน (Policy Layer) เปดโอกาสใหก�าหนดวาบรการเครอขายทก�าหนดขางตนนนจะไดรบการปฏบตจากเครอขายอยางไร การก�าหนดนโยบายจะกระท�าโดยมการชวยเหลอจากหนวยนโยบายและแอพพลเคชนทเกยวของ ค�าอธบายเกยวกบนโยบายตามแบบมาตรฐาน เชนการองจากนโยบายทเปนแบบกลม [13] หรอ [14]

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

ขอดของคณสมบตนโยบายของคอนโทรลเลอร DNA สามารถแสดงใหเหนภาพไดโดยใชตวอยางของบรการทมความสามารถในการรบรแอพพลเคชน ผด�าเนนการเครอขายอาจก�าหนดไวในแอพพลเคชนนโยบายวาบรการนจะน�ามาใชกบเฉพาะกบหนงแอพพลเคชนตอครงเทานน คอนโทรลเลอรจะตองเปลยน นโยบายบรการนเปนนโยบายการเชอมตอทจะน�าไปใชกบจดบงคบ ใชนโยบาย (PEP) เพอใหแนใจวาแอพพลเคชนทถกตองถกกรอง ออกท UNI ตวกรองนอาจเปนไปตามเทคนค DPI มาตรฐาน เชน Application Visibility and Control ของ Cisco [15] หรออกทางหนง กลไกเชน DNS เปนแหลงทมาอนไวใจได (DNS-AS) [16] สามารถน�ามาตดตงเพอสรางตวกรองดงกลาว DNS–AS ชวยจ�าแนกแอพพลเคชนดวยความชวยเหลอของเซรฟเวอร DNS ทสามารถก�าหนดประเภทของแอพพลเคชนใหเปนสวนหนงของบนทก DNS และกลบไปยงผรองขอในการตอบสนองของ DNS9 คอนโทรลเลอรอาจจ�าเปนตองตดตงนโยบายระหวางโดเมนหรอภายในโดเมนแฟบรคเฉพาะเพอใหมผลกบการปฏบตทถกตองตอการบรการ เชนการรางแผนบรการไปสประเภทขนสง QoS ดงนน มมมองทงโดเมนของคอนโทรลเลอรจะชวยสรางนโยบาย ทเหมาะสมในจดทถกตองของเครอขาย และมอบบรการตาม นโยบายในทสด รปท 9 แสดงใหเหนถงคณสมบตหลกของ คอนโทรลเลอร ซงจะน�าเอาเจตนารมณมาเปนขอมลปอนมาจาก หนวยออรเคสเตรเตอร จากนนประมวลนโยบายและบรการท เหมาะสม รวมทงสรางและผลกดนนโยบายและบรการดงกลาวไป ยงแฟบรค DNA และสวนประกอบ NFV โดยใช API

ความสามารถในการปรบแตงคอคณสมบตดานการสนบสนนทส�าคญของคอนโทรลเลอร DNA การตงคาเครอขายพนฐาน สถาปตยกรรมเชงซอน หรอแมกระทงบรการเฉพาะจะด�าเนนการ โดยอนเทอรเฟสแบบเซาทบาวดระหวางคอนโทรลเลอรและองค ประกอบเครอขายและฟงกชน อนเทอรเฟสเซาทบาวดนอาจจะพงพาอนเทอรเฟสแบบคอมมานดไลน (CLI) หรอกลไกตาม มาตรฐานอนๆ เชน YANG [17] representational state transfer (REST) [18] หรอ โปรโตคอลการตงคา REST (RESTCONF) [19] การรองรบอนเทอรเฟสเซาทเบาวดตามแบบมาตรฐานจะน�าไปสความสามารถการเปดกวางของ DNA และอนญาตใหผใหบรการบคคลทสามเขามามสวนรวมในโครงสรางพนฐาน เครอขาย เมอมงหนาสชนออรเคสเตรชน คอนโทรลเลอรจะใหระดบ ของแอบสแตรกชนเครอขายโดยการเปด API ทเปนนอรทบาวด ซงกอาจจะเปนแบบมาตรฐาน คอนโทรลเลอรสามารถเปดใช การปฏบตการแบบงายของแฟบรคโดเมนและรองรบการท�างานท รวดเรวและยดหยนของบรการเครอขายได ความสามารถใน การปรบแตงของคอนโทรลเลอร DNA เปนสวนส�าคญในการท�า ระบบอตโนมต รวมทงการตงคาทรวดเรวและยดหยนของ DNA ดวย

จากมมมองของสถาปตยกรรมแลว ทงเครอขายองคกรจะถก ก�ากบดแลโดยคอนโทรลเลอร DNA ซงจะควบคมการปฏบตการ ขององคประกอบเครอขายทงหมดโดยใช API แบบเซาทบาวด คอนโทรลเลอร DNA จงขยายองคประกอบเครอขายไปตามสาขา ขององคกร แคมปส WAN ศนยขอมล หรอระบบคลาวด

9 เราสามารถสบคนค�าขอ DNS จากลกคาเพอเรกค�าขอ DNA ขององคประกอบเครอขายเอง จากนนจงไดรบประเภทของแอพพลเคชนส�าหรบการจ�าแนกประเภท

รปท 9 คอนโทรลเลอรใน DNA

PEP

PEP

PEP

PEP

การจำลองเสมอของฟงกชนเครอขาย

RESTNetconf/YANGCLI

UNI

คลาวด

อนเทอรเนต

PEP

PEP

PEP แอพ

แอพ

แอพ

คอนโทรลเลอรขององคกร (การกำหนดนโยบาย)

เจตนารมณ

การสรางบรการ

การพฒนาประสทธภาพ

เสนทางโทโปโลย

การรกษาความ

ปลอดภย

QoSแบบงาย Plug&Play

UNIการวเคราะห

แฟบรคองคกร

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

โปรดทราบอกครงวาหลายๆ โดเมนอาจถกก�ากบดแลโดย อนแสตนซของคอนโทรลเลอรเพยงหนงเดยว ตวอยางเชน Application Policy Infrastructure Controller Enterprise Module (APIC-EM) ของ Cisco [20] อาจท�าหนาทเปนคอนโทรลเลอรของทงโดเมน WAN และแคมปส ในท�านองเดยวกน คอนโทรลเลอรอาจแบงตอไปเปนคอนโทรลเลอรยอยหลายๆ หนวย โดยทแตละหนวยจะท�าหนาทเฉพาะของตนเองส�าหรบโดเมนแตละตว

รายละเอยดเกยวกบสถาปตยกรรมคอนโทรลเลอรของ DNA จะกลาวไวใน [21]

E. สถาปตยกรรมดานการก�าหนดและการออรเคส เตอรชนของการบรการ การออรเคสเตรชนใน DNA มบทบาทส�าคญทจะอนญาตใหผ ด�าเนนเครอขายก�าหนดบรการทมใหไปสแอพพลเคชนและ อปกรณปลายทาง และเพอเชอมโยงลกษณะทตองการใหเขากบบรการนนๆ (เชนนโยบายการขนสงหรอการรกษาความปลอดภย) ออรเคสเตรเตอรจงพฒนาแนวคดของแอบสแตรกชนเครอขายทไดจากคอนโทรลเลอร ซงการการแอบสแตรกจากรายละเอยดขององคประกอบเครอขายหรอฟงกชนเครอขายเสมอน และใหจดโฟกสในบรการนนๆ นเปนสงส�าคญส�าหรบเครอขายในการ มอบเจตนารมณทางธรกจ หนวยจดการเปนกลมจะเนนไปทการ ก�าหนดรายละเอยดของบรการจากผบรโภคการบรการ (เชน แอพพลเคชนหรออปกรณปลายทาง) มมมอง และแสดงออกถง เจตนารมณของการบรการดงกลาว หนวยออรเคสเตรเตอรจงท�า การอนเทอรเฟสกบคอนโทรลเลอรโดยใช API มาตรฐานเพอสราง บรการทก�าหนดในเวลาและในองคประกอบเครอขาย รวมทงในขนตอนของการปฏบตการทถกตอง

การก�าหนดบรการเครอขายและลกษณะทเกยวของสามารถกระท�าไดใน DNA ดวยหลายวธ ผด�าเนนการอาจสรางเทมเพลตมาตรฐานส�าหรบบรการโดยใชสวนตดตอผใชแบบกราฟก หรอในอกทางหนง บรการอาจแบงลกษณะไดโดยใชเครองมอเชง กราฟก ตวอยางเชน เครองมอ Enterprise Services Automation (ESA) ของ Cisco จะท�าใหสามารถก�าหนดคาโปรไฟลของสาขาองคกรท เ ปนรปแบบเฉพาะได บรการสวนตอขยายของ เครอขาย (การเพมสาขาใหมเพอขยายขอบเขตของเครอขาย) สามารถ ก�าหนดไดโดยใช ESA โดยจะใหอ�านาจผด�าเนนการเพยงแต ในการท�ารายการฟงกชนทตองการส�าหรบสาขานนๆ แตยงสามารถ ก�าหนดดบและนโยบายทเกยวของส�าหรบบรการไดดวย วธเชงโมเดลในการประกาศบรการกเปนสวนหนงของสถาปตยกรรมออร เคสเตรชนใน DNA ส� าหรบ ผด� า เ นนการทตองการ แอบสแตรกชนทเหนอขนไป รปท 10 แสดงความสมพนธระหวาง นโยบายและการออรเคสเตรชน

โปรดทราบวาในรปท 10 ไดแสดงใหเหนถงลปฟดแบคจาก คอนโทรลเลอรไปยงหนวยออรเคสเตรเตอรดวย ขอมลทรวบรวม โดยองคประกอบของเครอขายและถกผลกกลบเขาไปใน คอนโทรลเลอรจะสามารถน� ามาว เคราะหและเสนอตอคอนโทรลเลอรในรปแบบทกระชบและเขมขน โดยจะเนนไปทกลมขอมลทมความส�าคญทจ�าเปนตอการปรบปรงหรอแกไขการปฏบตการของเครอขายใหดขน รปท 10 จะกลาวถงความส�าคญของ API ใน DNA ซงจะชวยเปดการใชแพลตฟอรมท สามารถปรบแตงและขยายไดเพอสรางปรบปงบรการใหดขนอยาง ตอเนอง

รายละเอยดเกยวกบสถาปตยกรรมออรเคสเตรชนของ DNA จะกลาวไวใน [21]

รปท 10 ความสมพนธระหวางนโยบายและการออรเคสเตรชน

การกำหนดและการออรเคสเตรชนบรการ

คอนโทรลเลอรขององคกร (การกำหนดนโยบาย)

APIs

ระบบโทรมาตร เจตนารมณ

GUI ตามทกำหนด ทกำหนดเอง ตามโมเดล

คอนโทรลเลอรขององคกร (การกำหนดนโยบาย)

APIsNetflow ทยดหยน

การวเคราะห

PEP

PEP

PEP

PEP

การจำลองเสมอของฟงกชนเครอขาย

UNIUNI ระบบโทรมาตร

คลาวด

อนเทอรเนต

PEP

PEP

PEP แอพ

แอพ

แอพ

แฟบรคองคกร

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

F. แอพพลเคชนของหนวยวเคราะหและระบบโทรมาตร โครงสรางพนฐานของหนวยวเคราะหและระบบโทรมาตรเปนสวนประกอบส�าคญอกสวนหนงใน DNA กลไกการฟดแบคสรางรวมเขาไปในสถาปตยกรรมเพอใหขอมลทตอเนองและตอเนองเกยวกบสถานะการปฏบตงานของเครอขาย สถานะดงกลาวจะสามารถเกบเกยวรวบรวมเพอปรบปรงบรการเครอขายและการรกษาความปลอดภย (ทจะสงไปยงผใชและแอพพลเคชนปลายทาง) กลไกการฟดแบคใน DNA สามารถเขาถงแอพพลเคชนทางธรกจไดดวย ซงจะสนบสนนสภาวะแบบไดนามกทแอพพลเคชนเหลานตองการ และพฒนาวงจรการปรบปรงพฒนาแอพพลเคชนทตอเนอง

จะใหการสนบสนนดานหนวยวเคราะหและระบบโทรมาตรใน 3 แบบดงตอไปน:

· การรวบรวมขอมล

· การวเคราะหขอมล

· การฟดแบคและควบคม

อนดบแรก องคประกอบของเครอขาย DNA ไดรบการพฒนาเพอรวบรวมขอมลทเกยวของกบทกดานของเครอขาย ซงรวมถงสถานะ ขององคประกอบของเครอขาย และโฟลวของการสงขอมลท เกยวของกบบรการทไดจากเครอขาย การรวบรวมขอมลนไมเพยง แตจ�ากดเพยงองคประกอบของเครอขายขนสง (เราเตอร สวตช จดเชอมตอ เปนตน) แตยงขยายไปถงฟงกชนเครอขายสวน สนบสนน เชนเซรฟเวอร AAA และฟงกชน 4-7 ทงในรปแบบจ�าลอง เสมอนหรอแบบกายภาพ องคประกอบเครอขายและฟงกชน เครอขายจ�าลองเสมอนใน DNA นนโดยแทจรงแลวถกออกแบบมา เพอรวบรวมขอมลจ�านวนมาก ตวอยางเชน กลไกทสรางอยางอยควดแลวเชน SNMP และ Flexible NetFlow จะไดรบการพฒนา

10 ตวอยางเชนแทกของ TrustSec®

ในโครงสรางพนฐาน DNA เพอใหขอมลทางสถตเกยวกบกลมผใช10นอกเหนอไปจากจากขอมลมาตรฐานเกยวกบแหลงทมา ทหมาย ทอย IP และพอรต ประเภทโปรโตคอล จ�านวนไบท หรอแพคเกตทสงไป หรอ TCP flag ยงไปกวานน ไฟรวอลลเชน Adaptive Security Appliance (ASA) ของ Cisco เซรฟเวอรการยนยนตวตน เชน Identity Services Engine (ISE) ของ Cisco [22] หรอฟงกชนกรอง URL จะรวบรวมขอมลในระดบความละเอยดทคลายคลงกน การรวบรวมขอมลโทรมาตรประเภทนทตอเนองจะรวมแสตมปเวลา (Timestamp) เสมอ ท�าใหสามารถท�าการวเคราะหตามล�าดบเวลา ของอเวนททงหมดได

ประการท 2 หนวยวเคราะหใน DNA สามารถวเคราะหและเชอมโยงขอมลทรวบรวมจากองคประกอบและฟงกชนเครอขายไดทงหมด แสดงไวในรปท 12 ดวยตวอยาง Stealthwatch ของ Lancope [23] ในโซลชนน เครอขายจะท�าหนาทเปนเซนเซอรรกษาความปลอดภยและใหบรการการตรวจจบความผดปกตในเครอขายกบผด�าเนนการ ขอมลจากหลายแหลงทมาจะถกน�ามาเชอมโยงกนเพอหาขอสรปในแงของความปลอดภยของเครอขาย หนวยวเคราะหภายใน DNA ใหความสามารถไมเพยงแตวเคราะหเหตการณตางๆ ภายในชวงเวลา แตยงมความสามารถในการคดกรองขอมลทเกยว ของทไดจากขนตอนท 1 ตามความละเอยดทถกตองหรอดวยการเชอมโยงโฟลวของการสงขอมล (เชนตามทศทาง) จากการพจารณา เหตการณและขอมลตางๆ ภายในระยะเวลาหนง จะสามารถสรางขอสนนษฐานอนชาญฉลาดทเกยวกบสถานะของเครอขายและแอพพลเคชนในแงของทงผใชและแอพพลเคชนขนได

ความสามารถในการวเคราะหเชนนสามารถใชไดกบฟอรมแฟคเตอรจ�าลองเสมอนภายใน DNA ไดดวย และสงผลใหสามารถ กระจายการวเคราะหดงกลาวไปตามโครงสรางพนฐานในจดทม ทรพยากรทตองใชในการประมวลผลอย โปรดดท [10] ส�าหรบ รายละเอยดของคอนเซปทน

รปท 11 หนวยวเคราะหและระบบโทรมาตรใน DNA

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

รปท 12 การสนบสนนหนวยวเคราะหใน DNA

ประการท 3 ขอสนนษฐานทไดจากหนวยวเคราะหสามารถน�ามาใชเพอผลกดนอเวนทหรอการด�าเนนการได บรการเครอขายหรอการรกษาความปลอดภยสามารถเพมประสทธภาพไดโดยใชผลจากการวเคราะหนน ตวอยางเชน โดยการสรางนโยบายใหมส�าหรบแอพพลเคชนหรอผใชใดๆ หรอดวยการแกไขเปลย นแปลงอนทมอยเดม ในตวอยางทแสดงใหเหนในรปท 12 ฟงกชนของเครอขายจะท�างานรวมกบหนวยตรวจสอบตวตน ไฟรวอลล และหนวย Lancope Stealthwatch Analytics จะ ด�าเนนการปรบเปลยนนโยบายการรกษาความปลอดภยทตอเนอง

ระบบโทรมาตรและสถาปตยกรรมหนวยวเคราะหของ DNA ไมเพยงแตเพมประสทธภาพใหแกบรการเครอขายและการปฏบตการทพรอมใชงาน หนวยวเคราะหยงสามารถน�าไปใชไดกบ แอพพลเคชนทเปนรปแบบดจทลเพอเพมประสทธภาพในการ ท�างานและพฤตกรรม ขอมลเกยวกบพฤตกรรมของผใชใน เครอขาย เชนการสอสารหรอรปแบบของสถานทสามารถเพม ประสทธภาพใหแกแอพพลเคชนทก�าลงใชงานอยในเครอขายเอง สง ผลใหมการพฒนาเพมประสทธภาพประสบการณของลกคาไดอยางดเยยม

V. ขอพจารณาเกยวกบการรกษาความปลอดภยและความทนทาน ดงทไดกลาวไวในบทท II สถาปตยกรรมเครอขายใดๆ ท สนบสนนแอพพลเคชนทอยในรปแบบดจทลและมความส�าคญตอ ธรกจจะตองทนทานตอความลมเหลวของซอฟทแวรและฮารดแวร รวมทงมความปลอดภยและบรการทมคณภาพ ขอมลดานเทคนคของ DNA เกยวกบความพรอมใชงานและความ ปลอดภยจะกลาวในสวนนอยางละเอยดขน

A. ความปลอดภย

1) การบรการโซลชนรกษาความปลอดภยของอปกรณปลายทาง

บรการทางเครอขายทใหกบอปกรณปลายทางหรอกลมอปกรณปลายทางสามารถเพมประสทธภาพไดดวยฟงกชนรกษาความปลอดภยและการเขารหส ประการแรก ความสามารถตงตนของ DNA ในการสรางนโยบายทมความละเอยดระดบผใชและ แอพพลเคชนจะรบประกนดานความปลอดภยในเครอขายได เมอน�า เอาจดบงคบใชนโยบายทจ�าเปนตรงทกๆ ขอบของเครอขายกบโดเมน DNA เครอขายจะก�ากบดแลวาแอพพลเคชนหรอผใชใดจะไดเชอมตอกบเครอขาย ดงทแสดงไวในรปท 3 ความสมพนธของการสอสารระหวางอปกรณปลายทางสามารถก�ากบควบคมโดยใชการแบงเซกเมนททไดจากการจ�าลองเสมอนการขนสงได

ประการท 2 ฟงกชนการรกษาความปลอดภยเชนการเขารหสหรอ IPS และ IDS นนสามารถก�าหนดใหกบโฟลวของบรการในฐานะเปนสวนหนงของการก�าหนดการบรการตอไปได สวน ประกอบของหนวยออรเคสเตรเตอรและคอนโทรลเลอรของ DNA สามารถท�าใหแนใจวาฟงกชนความปลอดภยถกน� ามาใชกบโดเมนทถกตองเพอใหมการใชงานการรกษาความปลอดภย ตวอยางเชน หากโฟลวของ IP บรการเดนทางผานโดเมนทไมนาไวใจ (เชนผใหบรการ WAN อนเทอรเนต หรอระบบคลาวดสาธารณะ) ฟงกชนการเขารหสสามารถน�ามาใชกบบรการท ขอบของโดเมน (ทไมนาไวใจ) ได ท�านองเดยวกน บรการการตรวจ จบความผดปกตหรอการปองกนการบกรกสามารถเปดการใชงานท VNF และโฟลวบรการทรองขอฟงกชนดงกลาวกสามารถน�ามาเชอมโยงกนตอกนเพอผกกบฟงกชนเหลาน

นโยบาย• คนพบและจำแนกประเภทสนทรพย• สรางนโยบาย• บงคบใชนโยบาย• การควบคมเครอขายแบบ ปรบเปลยนได

การวเคราะห ระบสนทรพยและกจกรรม นโยบายรปแบบ นโยบายและกจกรรมการตรวจสอบ การจำแนกประเภทอกครงอจฉรยะ

เซนเซอรและตวบงคบใชเครอขาย

ผใช สนทรพยและอปกรณ

NetFlowและ

TrustSec

การวเคราะหและนโยบาย

LancopeStealthWatchไอเดนตต

การจำแนกประเภท/การแกไขปญหา

ไอเดนตต ขอมลการทำธรกรรม

การจำแนกประเภทอกครง/การแกไขปญหา

นโยบาย

Routers NGFWสวตช

กกกน/จบ

CiscoISE

แอพ

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

รปท 13 การบงคบใชนโยบายใน DNA ในฐานะกลไกการรกษาความปลอดภย

2) การรกษาความปลอดภยของแผงควบคม DNA

การรกษาความปลอดภยทแผงควบคมของ DNA ตองพงพากลไก ทหลากหลาย อนดบแรก การเชอมตอเขากบสวนประกอบของแผงควบคมตองมการยนยนตวตนอยางเขมงวด ผด�าเนนการ เครอขายตองสงชอขอมลผใชและรหสผานไปยงทกๆ ฟงกชนของ แผงควบคม กลมผด�าเนนการเครอขายจะไดการสนบสนนโดยใชกลไกสทธเขาแบบแบงตามบทบาท ซงจะชวยท�าใหผด�าเนนการทระดบแตกตางกนสามารถปฏบตงานตามหนาททก�าหนดและเกยวของกบกลมนนๆ ไดเทานน11

อนดบท 2 การสอสารระหวางสวนประกอบในแผงควบคมใน DNA และองคประกอบของเครอขาย และ VNF จะผานชองทางทมความปลอดภย (เชน HTTPS) ค�าสงเรยก API ระหวางสวน ประกอบจะอยภายใตกลไกตรวจสอบตวตน ตวอยางเชน การ ปฏสมพนธ REST ทงหมดระหวางคอนโทรลเลอรและองคประ กอบเครอขายจะถกเชอมโยงกบโทเคนความปลอดภยทสรางขนเมอการยนยนตวตนส�าเรจในตอนเรมตนการท�างานของ REST

B. ความพรอมใชงานระดบสง 1) ความพรอมใชงานระดบสงของสวนประกอบคอนโทรลเลอรและออรเคสเตอรชน

สวนประกอบของคอนโทรลเลอรและออรเคสเตรชนใน DNA มฟงกชนทส�าคญในการด�าเนนงาน การใหสวนประกอบเหลานมความ พรอมใชงานทตอเนองกลายเปนสงจ�าเปน ทงซอฟทแวร คอนโทรลเลอรและออรเคสเตรชนไดการสนบสนนในการตงคาแบบ เปนกลมเพอปองกนไฟดบในเซรฟเวอรพนฐาน สถานะใดๆ ทไดจากสวนประกอบเหลานจะถกเกบไวในฐานขอมลทตอเนองและกระจายเปนวงกวาง

2) ความพรอมใชงานระดบสงของบรการและฟงกชนของเครอขาย

กลไกความทนทานทตดตงมาอยางดส�าหรบเครอขาย IP จะถกน�ามาใชเพอใหความทนทานส�าหรบโฟลวของ IP เซรฟเวอรใน DNA องคประกอบการขนสงใดๆ ในแฟบรค DNA สามารถน�ามาใชกบขอมลทเปนรดนแดนทและกบแผงควบคม ลงครดนแดนซ (Link Redundancy) ในแฟบรคจะใหการปองกนตอความ ลมเหลวของลงค และสามารถเพมประสทธภาพไดดวยเทคนคควา มพรอมใชงานระดบสงของ IP เชนโปรโตคอล Hot-Stanby Router (HSRP) การพฒนาประสทธภาพการหลอมรวมแบบเรวของ IP หรอการท�าเสนทางใหมทสนบสนนโดย Bi-Directional Forwarding Detection (BFD)

ฟงกชนสเตทฟล Layer 4-7 ทมใหเปนสวนหนงของบรการ เครอขายมกจะน�ามาใชโดยการใช VNF ใน DNA กลไกความพรอมใช งานระดบสงส�าหรบการจ�าลองเสมอนสามารถน� ามาใชตอกบกลไกรดนแดนซสเตตฟลแบบดงเดมส�าหรบบรการดงกลาวได ส�าหรบตวอยางของแบบแรก ฟงกชนการจ�าลองเสมอนเชนการคงทนตอความเสยหาย (Fault Tolerance) และความพรอมในกา รใชงานระดบสงของ VM จะสามารถน� ามาใชประโยชนได ตวอยางส�าหรบแบบหลงคอฟเจอรรดนแดนซระหวางแชสซสทเปน สเตตฟลส�าหรบ IOS® –XE และ virtual Adaptive Security Appliance (ASAv) ของ Cisco ซงสามารถก�าหนดคาใหท�าการ ซงคสถานะของไฟรวอลลระหวาง VNF ไฟรวอลทท�างานอยและท แบบสแตนดบาย

11 ตวอยางเชน ผบรหารระบบ (Super User) อาจสามารถเขาถงทกการปฏบตการไดอยางเตมท ในขณะทผด�าเนนการกลมอนสามารถปฏบตหนาทไดเฉพาะเพยงสวนหนงของฟงกชนควบคม

สนทรพยทไดรบการคมครอง

แหลง

ทม

า

พนกงาน (สนทรพยทมการจดการ)

เซรฟเวอรการผลต

อนญาต

อนญาต

อนญาต อนญาต

อนญาต

อนญาต

อนญาตปฏเสธ

ปฏเสธ

ปฏเสธปฏเสธ

ปฏเสธ

เซรฟเวอรการพฒนา การเขาถงอนเทอรเนต

พนกงาน(BYOD ทไดลงทะเบยน)

พนกงาน(BYOD ทไมทราบ)

ระบบ ENG VDI

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

โปรดทราบวาโครงสรางพนฐานในระบบคลาวดจะอยบนการสนนษฐานวามความพรอมใชงานระดบสง หนงในประโยชน หลกของการบรณาการระบบคอมพวเตอรแบบคลาวดและบรการ คลาวดคอการเอาทซอรสและปอนขอมลโครงสรางพนฐานไปยงผใหบรการคลาวด ซงจะรบรองความพรอมในการประมวลผลและทรพยากรการขนสงภายในระบบคลาวด ดงนนจะเปนหนาทของผใหบรการนนๆ

มลตคาสต (Multicast) มความส�าคญมากขนเรอยตอแอพพลเคชน ทางธรกจในวนน ซงน� ามาใชส�าหรบแอพพลเคชนทหลากห ลายในฐานะการสงตอวดโอแบบหลายจด (Multipoint) การ อพเดทและการท�าอมเมจซอฟทแวร การคนพบอปกรณและบรการ และแอพพลเคชนทางการเงนแบบ real-time คณลกษณะความพรอมระดบสงของ DNA มผลกบโฟลวของมลตคาสตเหมอนกบทมผลตอการสงขอมลยนคาสต เครอขาย DNA จะใหการปองกนทแขงแกรงส�าหรบโฟลวของการสงขอมลแบบมลตคาสต พรอมการกคนทรวดเรวของการสงขอมลระหวางปลายทางหนงไปยงอกปลายทางหนงเ มอเผชญกบความลมเหลวของโหนด เครอขายหรอลงค ดงนน จงสามารถปกปองกระบวนการทางธรกจ ส�าคญ ทสตรมการสงขอมลมลตคาสตเหลานรองรบ

VI. บทสรป เครอขายองคกรก�าลงววฒนาการอยางรวดเรวเพอรองรบความตองการตางๆ ทเกขนจากการแปรรปกระบวนการธรกจใหเปน รปแบบดจทล สถาปตยกรรมเครอขายดจทลของ Cisco ให โครงสรางพนฐานเครอขายในการสนบสนนววฒนาการน สถาปตยกรรมดงกลาวจะประกบไปดวยหนวยกอสรางหลกๆ หลายสวน แฟบรคขนสงจะเชอมตอผใช แอพพลเคชนและสงตางๆ ไดอยางไรรอยตอเพอท�าใหการปฏบตการของเครอขาย เรยบงายขนไดอยามาก การจ�าลองเสมอนใน DNA ชวยใหสามารถ แยกฟงกชนเครอขายหรอขนสงจากสวนประกอบฮารดแวรพนฐาน และใหความยดหยนและความเรวทจ�าเปนตอการสราง บรการในเครอขาย ระบบคลาวดกลายเปนสวนส�าคญของสถาปตย กรรม DNA ของ Cisco ผด�าเนนการเครอขายจะมความสามารถในการใชงานแอพพลเคชนในจดทเหมาะสมจากมมมองของธรกจ และสามารถใชประโยชนไดจากโครงสรางพนฐานระบบ คลาวดไดอยางเตมทในการด�าเนนการระบบ DNA หรอมอบบรการ หนวยวเคราะหขนสง คอนโทรลเลอร DNA ท�าใหแผงควบคมเครอขายเปนศนยกลางของโครงสรางพนฐาน และมบทบาทท ส�าคญอยางยงในการท�าใหการปฏบตการเปนระบบอตโนมต โดย จะตงคานโยบายทก�ากบดแลการเชอมตอและการขนสงทางเครอขายเพอสรางเจตนารมณของบรการเครอขายทสงตอไปยงแอพพลเคชนทางธรกจ หนวยวเคราะหและระบบโทรมาตรม กลไกฟดแบคในการสนบสนนแอพพลเคชนทใชงานบนเครอขาย ซงจะใหขอมลแบบ real-time แกผพฒนาแอพพลเคชนส�าหรบวงจรการพฒนาทตอเนอง

จากหนวยกอสรางเหลาน สถาปตยกรรมเครอขายดจทลของ Cisco มอบสภาวะทเปนนวตกรรมและยดหยนทจะใหบรการขนสง

บรการรกษาความปลอดภย บรการดจทล และบรการเครอขาย จากการทโดยพนฐานแลวเปนสภาวะทขบเคลอนดวยซอฟทแวรและเปดกวางอยางเตมทพรอม API ความสามารถในการปรบแตง และการจ�าลองเสมอน แพลตฟอรมสถาปตยกรรมเครอขาย ดจทลท�าใหผด�าเนนการเครอขาย บรษทคคา หรอผใหบรการ ฟงกชนเครอขายในการผลกดนนวตกรรมทตองการในเครอขายใหสามารถตามความเรวของการพฒนาในการแปรรปการปฏบตการทางธรกจใหเปนรปแบบดจทลในอนาคต

ภาคผนวก A: อภธานศพท · API: ชองทางเชอมตอการแลกเปลยนขอมลของแอพพลเคชน

(Application Programming Interfaces) ชวยเอออ�านวยความ สะดวกส�าหรบการควบคมองคประกอบเครอขายหรอฟงกชน ดวยแอพพลเคชนภายนอก โดยปกตแลว จะเปนกลมของฟง กชนทสามารถเรยกใหเขามาอยในโปรแกรมซอฟทแวรทมตวแปรและรปแบบทก�าหนด เพอใหขอมลอนพตหรอรบ ขอมลเอาทพตจากฟงกชนนนๆ API สามารถเปดใชงานความเปด กวางและความยดหยนใน DNA ดวยการอนญาตใหผใหบรการ บคคลทสามสามารถเขามามสวนรวมกบการปฏบตการ เครอขาย และเพอเพมความเรวของการลงระบบบรการใหมๆ ดวย

· ระบบคลาวด: ระบบคลาวดคอโครงสรางพนฐานทสามารถ ประมวลผล เกบขอมล และท�าหนาทเปนเครอขายซงมาจากกลม ของผใหบรการคลาวดทเชอมตอกนเปนบรการเพอด�าเนน การแอพพลเคชนองคกร ระบบคลาวดประกอบดวยศนย ขอมลทงหมดของผใหบรการคลาวดในการเปนโฮสตใหกบ แอพพลเคชน ขอดของระบบคอมพวเตอรแบบคลาวดคอ บรการเหลานสามารถไดมาทนทตามความตองการ เพอทองคกร จะไดไมจ�าเปนตองลงทนในโครงสรางพนฐานของศนย ขอมล (ทงจากมมมองของ CapEx และ OpEx) ผใหบรการระบบคลาวดจะใหบรการดานทรพยากรเพ อใหแนใจวามความจทเพยงพอกบความตองการ และบรการคลาวดจะให ความปลอดภยและระบบรดนแดนซ ระบบคอมพวเตอรแบบค ลาวดจะมโมเดลการบรโภคทแตกตางกนส�าหรบการประมวลผล (การก�าหนดราคาสครสมาชก)

· คอนโทรลเลอร: คอนโทรลเลอรคอสวนประกอบในเครอขายทจดการองคประกอบของเครอขายใน DNA ตามนโยบาย (เพอสรางบรการ) คอนโทรลเลอรจะมสถานะปจจบนของ เครอขายแบบภาพรวม นนคอ มนจะเกบสถานะเครอขาย แอบสแตรก อนเทอรเฟสของคอนโทรลเลอรพรอมกบ ออรเคสเตรชนระบบ และการก�าหนดนโยบายเปนล�าดบขนผาน อนเทอรเฟสแบบนอรทบาวด คอนโทรลเลอรจะสรางเอนทรส�าหรบ ตงคาเขาไปในเครอขายเพอสรางเสนทางสนบสนน หรอเพอใช บรการทใหกบอปกรณปลายทางโดยใชอนเทอรเฟสแบบ เซาทบาวด ใน DNA คอนโทรลเลอรเพยงหนงเดยวอาจครอบ คลมถงหลายโดเมน (ระบบคลาวด WAN แคมปส ศนยขอมล) อกทางหนง คอนโทรลเลอรหลายหนวยอาจท�างานรวมกน โดยแตละหนวยจะท�าหนาททเฉพาะตอโดเมนของตนเอง

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

ฟงกชนทด�าเนนการโดยคอนโทรลเลอรอาจจะแบงออกเปนซบคอนโทรลเลอรยอยหลายหนวย โดยแตละหนวยจะม ความเชยวชาญในหนาทการควบคมแบบเฉพาะ เชนการสงเกต การณและจดการสถานะ QoS ของเครอขาย

· อปกรณ: อปกรณคอระบบกายภาพทมความสามารถในการด�าเนนแอพพลเคชนและสงหรอรบการรบสงขอมลทาง เครอขาย

· การแปรรประบบดจทล: การแปรรประบบดจทลคอกระบวน การทจะน�าเอาเทคโนโลยดจลเขามาสทกๆ ดานของธรกจอง คกร และเสนอใหบรการทเปนรปดจทลแกผบรโถคของธรกจนนๆ การแปรรประบบดจทลย งหมายถงการเปล ยน กระบวนการทางธรกจใหเปนรปแบบดจทล และใชประโยชนจาก อลกอรทมและกระบวนการทเปนอตโนมตในการเพม ประสทธภาพและท�าใหทงการปฏบตการภายในหรอการปฏสมพนธกบลกคาไดดและเรยบงายขน โปรดดท [24].

· DPI: การตรวจสอบแพคเกตเชงลกคอเทคนคทใชเพอตดสนประเภทของแอพพลเคชนทอยในโฟลว IP โดยการตรวจสอบเพยโหลด มกจะเปนของแพคเกตจ�านวนมาก และตงขอ สนนษฐานจากเพยโหลดดงกลาว วธนจะตรงขามกบการจ�าแนก แอพพลเคชนตามเลขพอรต TCP หรอเขตขอมลประเภทของเพยโหลด ซ งมกจะไม เพยงพอในการจ�าแนกประเภท แอพพลเคชน

· อปกรณปลายทาง: อปกรณปลายทางคอผบรโภคบรการ เครอขายซงก�าหนดไวทระดบแอพพลเคชน อปกรณเหลาน สามารถใชงานบนโฮสตดงเดมเชน PC โนตบค และโทรศพท IP และสามารถใชงานมากไดมากขนบนอปกรณทเปดใชงาน IP ทขบเคลอนกระบวนการทางธรกจทเปนรปแบบดจทลเชน หนยนต point-of-sale (POS) เครองสแกน อปกรณตดตามคลงสนคา ยานพาหนะ และอนๆ มากมาย แอพพลเคชนทท�างานบนเซรฟเวอรในศนยขอมลจะถอวาเปนผบรโภคบรการทางเครอข าย และงเปนอปกรณปลายทางใน สถาปตยกรรมน

· กลมอปกรณปลายทาง: คอการจดหมวดหมของอปกรณ ปลายทางจ�านวนมากเขามาเปนหนวยโลจคลเพยงหนงเดยวทจะ รบบรการจากเครอขาย ตวอยางเชน กลมอปกรณปลายทางสามารถรวมเอาอปกรณปลายทางท งหมดจากอปกรณ ปลายทางอนใดอนหนงโดยเฉพาะได อกทางหนง กลมอาจจะรวม เอาอปกรณปลายทางจากผใชปลายทางโดยเฉพาะท ทอปกรณปลายทางเหลานนอยในอปกรณทเปนกายภาพ หลายๆ เครอง ค�าวา อปกรณปลายทาง ใชในบทความนคราวๆ จะหมายถงทงอปกรณปลายทางทงแบบเดยวและทงเปนกลมดวย

· แฟบรค: แฟบรคคอกลมขององคประกอบเครอขายทใหเสนทางการสอสารระหวางพอรตของตนเองทหนไปทางเซาท

บาวด ซงจะใหการเชอมตอแบบตดตอถงกนไดโดยใชอโมงคททบซอนกน แฟบรคจะถกก�ากบควบคมโดยคอนโทรเลอรเพอท�าใหการปฏบตการเรยบงายขน สามารถสรางบรการขนไดโดยการน� าเอาการบงคบใชนโยบายทจ�าแนกประเภท อนแสตนซของบรการทเหมาะสม และใชประโยชนจากการเชอม ตอแบบตดตอถงกนของแฟบรคเพอใหถงปลายทางรโมตของบรการ

· เจตนารมณ: เจตนารมณคอการเชอมโยงของกระบวนการ ทางธรกจกบบรการ จดประสงคหรอเจตนารมณของบรการทได จากเครอขายคอเพอเตมเตมระบวนการทางธรกจทเกยวของกบองคกร ดงนน บรการจะน�าเอาเจตนารมณทางธรกจขององคกรมาใชงาน และนโยบายคอการก�าหนดวาจะน�าเอาบรการ ดงกลาวมาใช รวมถงบงคบใชอยางไร

· อนเทอรเนตของสรรพสง (IoT): IoT คอสวนขยายของ อนเทอรเนตทไมเพยงแตครอบคลมเครองประมวลผลดงเดม เชน PC โนตบค และเซรฟเวอร แตรวมไปถงอปกรณทกๆ ชน กลาวไดวาอปกรณ IoT ไดกลายเปนเครอขาย นนคอไดขยาย ออกไปเพอใหมทรพยากรในการประมวลผลททแสตกของซอฟทแวรเครอขายสามารถท�างานได มกจะเปนการกลาว โดยนยวาอปกรณทเปดใช IoT สามารถใชงานแอพพลเคชนทาง ธรกจทเปนรปแบบดจทลเพอใหไดรบประโยชนจากการเชอมตออนเทอรเนต ตวอยางของอปกรณ IoT สามารถเปนตเยน กลองถายรป ยานพาหนะ เครองคดเงนคาทจอดรถ หนยนตเพองานผลต ลฟท ฮารดแวรทม RFID เซนเซอร และอนๆ ขอดของวตถทอยในเครอขายและมแสตกซอฟทแวรคอวตถเหลานสามารถควบคมระยะไกลได ดงนนจะชวยในการแป รรปบรการและกระบวนการทางธรกจใหเปนดจทล

· ระบบปองกนการบกรกและระบบตรวจจบการบกรก (IPS และ IDS): IPS และ IDS คอกลมของฟงกชนเครอขายทสงเกต การณเครอขายเปนเวลาทตอเนอง ระบบนจะมองหาความผด ปกตในพฤตกรรมหรอกจกรรมทประสงคราย และด�าเนนการต อบโตอยางเหมาะสม (เชนการบลอก หรอรายงาน) เมอตรวจพบเจอ IPS และ IDS มกจะตองใหมการจ�าแนกประเภท พฤตกรรมใสจรฐาน (signatures) และเมอเทยบกบความผดปกต แลว จงจะสามารถก�าหนดได อาจใชวธการทางสถตดวย

· ระบบเครอขายแบบเปดกวาง: ระบบเครอขายแบบเปดกวางจะท�าใหการปฏบตการของสถาปตยกรรมเครอขายไดรบผล กระทบจากซอฟทแวรหรอฮารแวรทมาจากบคคลทสาม ซงจะ ตองพงพา API ทเปนมาตรฐานและมการเผยแพรเพอเออ อ�านวยตอการบรณาการดงกลาว ระบบเครอขายแบบเปดกวาง จะใหกลมนกพฒนาทอยนอก Cisco เขามามสวนรวมตอการปฏบตการและคณสมบตของเครอขาย ระบบเครอขายแบบเปดกวางจะเพมความเรวของการคดคนนวตกรรมและน�าความยดหยนเขามาสเครอขายมากขน

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

· ออรเคสเตรเตอร: สวนประกอบนในเครอขายจะท�าใหสามาร ถก�าหนด บรการการเรมตนการสราง หรอการเปลยนแปลงแกไขทด�าเนนอยของบรการนนๆ ในรปแบบทมการควบคมได ออรเคสเตรเตอรใน DNA จะมงเนนการก�าหนดบรการจาก มมมองของผบรโภคเครอขาย ดงนนจงท�าการแอบสแตรกทกๆ รายละเอยดระดบลางทวาบรการเหลานนควรจะปรบแตงอยางไร หรอทใดส�าหรบบางครง ออรเคสเตรเตอรจะก�าหนดเจตนารมณของบรการและสอสารไปยงคอนโทรเลอร จาก นนคอนโทรลเลอรจะจดการองคประกอบเครอขายใหมการ ขนสงระหวาง PEP ทเกยวของ เพอสรางนโยบายทตองการ (การขนสง การรกษาความปลอดภย เปนตน) และเพอใหแน ใจวาบรการจะถกเฝาตรวจสอบอยางตอเนอง

· เครอขายเชงซอน: เครอขายประเภทนมาจากการวางอโมงคเครอขายทตงอยเหนอเครอขายพนฐาน เทคนคการวางอโมงค (Tunneling Techniques) น�ามาใชเพอแยกบรการเครอขาย ออกจากโครงสรางพนฐานการขนสง สถานะของบรการจะเกบ อยเพยงทขอบของเครอขาย ส�าหรบองคประกอบเครอขายทง หมดทประกอบเปนเครอขายพนฐาน การรบสงขอมลบรการทผานอโมงคจะปรากฎเปนการรบสงขอมลเปนอโมงคแคปซล เครอขายเชงซอนจะจ�าแนกไดเปน [25] โดย

- การตอขยายการสงขอมลระหวางผใช

- การสนบสนนพนทวาง (Address Space) ทแตกตาง

- การสนบสนนอปกรณทมความไดนามกหรอการจดวาง VM (โดยจะเปนเอกเทศตอโทโปโลยและการวางต�าแหนงท อยของสถาปตยกรรมพนฐาน)

- การสนบสนนสเกลขนาดใหญ

เครอขายจะกลายเปนรปแบบจ�าลองเหมอนอยงสมบรณหากฟงกชนเครอขายเสมอนเชนเราทเตอรหรอไฟรวอลมการเชอมตอกนและกนอยโดยใช VLAN หรอ VRF

· นโยบาย: นโยบายจะน�ามาใชกบ บรการแตละประเถทเพอก�า กบวาเครอขายควรจะมปฏกรยาตอนโยบายนนๆ อยางไร นโยบายคอคณสมบตของแตละบรการ และนโยบายเหลานนถ กสรางขนในเครอขาย โดยอาจเปนจดเดยวหรอหลายจดกได นโยบายจะแบงไดตามหมวดหมยอยตอไปน:

- นโยบายการเชอมตอจะก�าหนดวาอปกรณปลายทางใดไดรบอนญาตใหเขาเพอใชบรการ และก�าหนดความสมพนธของการสอสารระหวางอปกรณปลายทางตางๆ นโยบายการ เชอมตอจะควบคมความสมพนธของการสอสารส�าหรบอปกรณปลายทางเดยวๆ หรอระหวางอปกรณปลายทาง ดวยกน

- นโยบายขนสงเปนการก�าหนดวาเครอขายควรจะม ปฏกรยาตอโฟลวของ IP ทใชบรการอยางไร ตวอยางเชนน โยบายการเขารหสเพอเดนทางผานสวนทไมนาไวใจของเครอขาย นโยบายเพมประสทธภาพเสนทาง (เชนวศวกร รมการรบสงขอมล) หรอนโยบายแบงเซกเมนท

· จดบงคบใชนโยบาย (PEP): PEP หมายถงฟงกชนในเครอขาย ทจะสรางและก�าหนดใชนโยบายท เกยวของกบบรการ แตละบรการตองมการเชอมตอกบ PEP แมวามนจะก�าหนดวา "ขนสงทงหมด" PEP อาจก�าหนดนโยบายขนสงเพมเตมดวยหากบรการไดก�าหนดนโยบายนนๆ ดวย PEP อาจถก สรางขนระหวางโดเมนในเครอขาย (ตวอยางเชน เพอใชการ เขารหสหรอถอดรหสเมอโฟลวของบรการเดนทางผานสวนทไมนาไวใจของเครอขาย) ดงนน ผด�าเนนการเครอขายอาจสราง PEP เมอบรการเดนทางผานอนเทอรเฟสระหวาง เครอขายตอเครอขาย

· ระบบ WAN ทก�าหนดโดยซอฟทแวร (SD–WAN): SD–WAN คอการใชระบบเครอขายทก�าหนดโดยซอฟทแวรเพอควบคม และสรางระบบ WAN ขององคกร วธนเปนวธทนยมโดย เฉพาะกบเครอขายสาขาทกระจดกระจายไปตามภมประเทศ ซง SD-WAN สามารถชวยก�าหนดการขนสงทมประสทธภาพสงท สดระหวางโลเคชนตางๆ จากการใชอโมงค ระบบอจฉรยะ รวมศนยโดยใชคอนโทรลเลอร และ API ในการท�าใหการตงคา เครอขายเปนระบบอตโนมต ท�าใหเครอขายเชงซอนจ�าลองเสมอนกลายเปนสวนหนงของ SD-WAN โปรดดท [26] ส�าหรบค�าอธบายทละเอยดขน

· บรการ: บรการหมายถงการขนสงการรบสงขอมล IP ระหวางอปกรณปลายทางจ�านวนหนงหรอสองเคร อง หรอกลม อปกรณปลายทางทมาจากเครอขาย DNA บรการนไดจากเครอขาย และสงไปใหอปกรณปลายทางหรอกลมอปกรณปลายทาง หมายความวา บรการจะถกสงไปตาม UNI อปกรณปลายทางคอผบรโภคของบรการ เครอขายจะท�าใหบรการเกดขนดวยการสรางการเช อมตอการขนสงทถกตองเพ อเช อมตออปกรณปลายทางทเกยวของกบบรการเขากบกนและกน เครอขายจะเชอมโยงกบ PEP เสมอ และบรการจะจดการโฟลวของ IP flows (เชน การใช NAT DPI หรอการเพม ประสทธภาพ WAN) ในทกๆ ทตามเสนทางทระบไวในค�าอธบาย บรการ บรการจะเสนอเพอก�าหนดใชเจตนารมณทางธรกจ ขององคกร ค�าวา "บรการ" ใน DNA สอถงหนวยทพบปะกบ ลกคา ซงตรงกนขามกบหนวยทด�าเนนงานกบทรพยากรหรอเครอขาย ใน DNA ฟงกชนทท�างานกบทรพยากรจะไมเรยกวาเปน "บรการ" แตจะเรยกวาเปน "ฟงกชน" แทนเพอหลกเลยงความสบสน ตวอยางของฟงกชน หรอทอนจะเรยกวาเปน "บรการทางเครอขาย" ไดแก NAT ไฟรวอลล และ เซรฟเวอรชอโดเมน (DNS)

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

· ขอตกลงระดบบรการ (SLA): เครอขายจะให SLA ตอโฟลวการรบสงขอมลทสงเพอก�าหนดประเภทขอบเขตบนของความลาชาในการขนสง ความผดพลาดในการสงชอมล หรอการ สญเสยแพคเกต อาจน�ามาตรวดอนๆ มารวมกบ SLA ไดดวย ใน DNA บรการจะเชอมโยงกบ SLA เสมอ ระบบโทรมาตร: ในบรบทของ DNA ระบบโทรมาตรคอกลมของมาตรวดหรอ ขอมลอนๆ ทเกยวกบสถานะของเครอขาย เชนองคประกอบของ เครอขาย และฟงกชนทก�าหนดการปฏบตงาน การรวบรวมและวดขอมลสามารถน�ามาใชทระดบผใชและแอพพลเคชนได ขอมลและมาตรวดจะถกสงไปยงระบบตรวจสอบ (หนวยวเคราะห) ส�าหรบการประมวลผล การวดนจะเสรจสนในระยะไกลจากมมมองของหนวยวเคราะหโดยไมตองประมวลผล ดงนนจงใชค�าวา "ระบบโทรมาตร" ในบรบทของระบบเครอขาย

· วศวกรรมการรบสงขอมล: วศวกรรมการรบสงขอมลคอการ ก�าหนดเสนทางทเหมาะสมทสดในเครอขาย และการสรางตวมน เองขนมาจากการใชกลไกตามโปรโตคอลเชน DiffServ–TE หรอ Performance Routing

· เครอขายพนฐาน: เครอขายพนฐานคอเครอขายขนสงทสามา รถเปดใชการเชอมตอ IP ระหวางองคประกอบทเกยวของ เครอขายพนฐานถกสรางขนโดยใชเทคนคเราทตงแบบดงเดม

· อนเทอรเฟสระหวางเครอขายกบผใช (UNI): UNI คอจดการแบงเขต (Demarcation) ระหวางโดเมนเครอขายองคกรและแอพพลเคชนและอปกรณปลายทางทใชบรการเครอขาย ใน DNA ทกๆ องคประกอบเครอขายและฟงกชนระหวาง UNI สอง หนวยจะอยภายใตหนาทรบผดชอบของผด�าเนนการเครอขาย UNI ก�าหนดเครอขายวาองคประกอบทอยนอกเครอขายจะใชบรการอยางไร และการใชบรการนนจะเกดขนไดอยางไร PEP จะเชอมโยงกบอปกรณปลายทางทกๆ จดทผาน UNI และ DNA

· การจ�าลองเสมอน:ใน DNA การจ�าลองเสมอนสอถงคอนเซป ทของการสรางเครอขายเสมอนทแยกออกจากระบบฮารดแวรพนฐาน การจ�าลองเสมอนสามารถจดหมวดหมเปนฟงกชนเครอขายและการจ�าลองการขนสง

- ฟงกชนเครอขาย: การลงระบบฟงกชนในซอฟทแวรเพมไปกบโฮสตฮารดแวรแบบมาตรฐาน x86 ซงอาจจะใช จกรกลเสมอนหรอคอนเทอเนอรฟงกชนเครอขาย

- การขนสง: การลงระบบ VLAN หรอหรอคอนเซปทเราทตงแบบเสมอนเพอสราง Layer 2 หรอ 3 แบบโลจคล

· VRF: การเรทตงและการสงตอแบบเสมอนคอการแยกแบบ โลจคลของตารางเราทตงเพอแบงเซกเมนทการสงตอการรบสง ขอมลท Layer 3 VRF คอสวนกอสรางทส�าคญใน DNA ทจะสรางเครอขายสวนบคคลเสมnอนท Layer 3

· WAAS: บรการแอพพลเคชนพนทวงกวาง การใชงานการเพมประสทธภาพ WAN ของ Cisco

· การเพมประสทธภาพ WAN: การเพมประสทธภาพ WAN คอการลงเทคนคตางๆ เพอเพมประสทธภาพของโฟลวการรบสงขอมลตามเครอขายวงกวาง ตวอยางของเทคนคเชน:

- การบบอดของ IP payloads

- การเพมประสทธภาพการควบคมการโฟลวของ TCP/IP

- การขจดขอมลซ�าซอนและแคชชง

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ

ขอมลอางอง 1. การวจย IMS. ตลาดโลกส�าหรบอปกรณทเชอมตออนเทอรเนต, ฉบบ 2012 [Online]. Available:

http://www.iot-now.com/wp-content/uploads/2012/07/Internet-Connected-Devices-World-2012-Proposal.pdf2. S. Brennen and D. Kreiss. ระบบดจตอลและระบบแปลง [Online]. Available: http://culturedigitally.org/2014/09/

digitalization-and-digitization/3. Cisco ดชนเครอขายภาพ [Online]. Available: http://www.cisco.com/c/en/us/solutions/collateral/service-provider/

ip-ngn-ip-next-generation-network/white_paper_c11-481360.html4. ยค Zettabyte - แนวโนมและการวเคราะห [Online]. Available: http://www.cisco.com/c/en/us/solutions/collateral/

service-provider/visual-networking-index-vni/VNI HyperconnectivityWP.html5. Zacks, D. และ Montañez, M. วสยทศนสถาปตยกรรมเครอขายดจทลของ Cisco - รายละเอยดเกยวกบผา เขาถงไดเมอมการ

ขอใช Cisco 6. ภาพรวมการเขาถงเทคโนโลยของ Cisco: การบรรจบการเขาถง [Online]. Available: http://www.cisco.com/c/en/us/

products/collateral/switches/catalyst-3850-series-switches/white paper c11-726107.pdf7. ตวประมวลผลของซสโกโฟลว: ภาพรวมโซลชนการประมวลผลเครอขายรนถดไปของซสโก [Online]. Available: http://www.

cisco.com/c/en/us/products/collateral/routers/asr-1000-series-aggregation-services-routers/solution overview c22-448936.html

8. D. Zacks. (2015) Cisco Enterprise Silicon - การสงมอบนวตกรรมเราทตงขนสงเตอรและสวตชชง [Online]. Available: https://www.ciscolive.com/online/connect/sessionDetail.ww?SESSION ID=8181&backBtn=true

9. (2015) กรณศกษาในภาพเสมอนของเครอขายโครงสรางพนฐาน [Online]. Available: https://www.ciscolive.com/online/connect/sessionDetail.ww?SESSION ID=81846&backBtn=true

10. Falkner, M. และ Arena, S., “วสยทศนสถาปตยกรรมเครอขายดจทลของ Cisco - รายละเอยดในภาพเสมอน”.เขาถงไดเมอมการขอใช

11. J. Halpern and C. Pignataro. สถาปตยกรรม Service Function Chaining (SFC) [Online]. Available: https://datatracker.ietf.org/doc/rfc7665/

12. Falkner, M. และ Montañez, M. วสยทศนสถาปตยกรรมเครอขายดจทลของ Cisco - รายละเอยดเกยวกบคลาวด เขาถงไดเมอมการขอใช

13. Openstack. นโยบายกลม [Online]. Available: https://wiki.openstack.org/wiki/GroupBasedPolicy14. O. Daylight. คมอการใชงานจากนโยบายกลม [Online]. Available: https://wiki.opendaylight.org/images/9/90/Gbp-lithium-

user-guide.pdf15. Cisco คมอโซลชน Cisco AVC ส�าหรบr IOS XE. [On- line]. Available: http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/

avc/configuration/xe-3s/asr1000/avc-xe-3s-asr1000-book.html16. W. Riedel. BRKCRS-2321 DNS-AS:เสรจสนกบ SDN และเหนอยกบการจดการกบความซบซอนของเครอขายเกลดหมะ?

เปลยนกลวธดวยสตรง TXT อยางงาย [Online]. Available: https://www.ciscolivelatam.com/connect/sessionDetail.ww?SESSION ID=3157

17. M. Bjorklund. RFC 6020, YANG -แบบจ�าลองขอมลภาษาส�าหรบพธการก�าหนดคาเครอขาย (NETCONF). [Online]. Available: https://tools.ietf.org/html/rfc6020

18. R. Fielding. รปแบบสถาปตยกรรมและการออกแบบเครอขาย -รากฐานจากสถาปตยกรรมซอฟตแวร [Online]. Available: http://www.ics.uci.edu/%7Efielding/pubs/dissertation/top.htm

19. A. Bierman, M. Bjorklund, และ K. Watsen. RESTCONF Protocol. [On- line]. Available: https://tools.ietf.org/html/draft-ietf-netconf-restconf-05

วสยทศนเกยวกบสถาปตยกรรม เครอขายดจทลของ Cisco – ภาพรวม

White Paper

20. Cisco โมดลโครงสรางพนฐานการควบคมองคกรจากนโยบายการประยกตใชของ Cisco [Online]. Available: http://www.cisco.com/c/en/us/products/cloud-systems-management/application-policy-infrastructure-controller-enterprise-module/index.html

21. Riedel, W. และ Zacks, D. และ Falkner, M. วสยทศนสถาปตยกรรมเครอขายดจทลของ Cisco - รายละเอยดในการควบคมและการประสาน เขาถงไดเมอมการขอใช. Cisco

22. Cisco Identity Services Engine. [Online]. Available: http://www.cisco.com/c/en/us/products/security/identity-services-engine/index.html

23. D. Miller และ M. Robertson. Cisco Live BRKSEC-2026: เครอขายทเปนเซนเซอรและผใหค�าสง [Online]. Available: https://www.ciscolive.com/online/connect/sessionDetail.ww?SESSION ID=83690&tclass=popup

24. BusinessDictionary.com. นยามระบบดจตอล [Online]. Available: http://www.businessdictionary.com/definition/digitalization.html

25. S. Salam. การซอนทบ การหนน และล�าดบโลกใหม [Online]. Available: http://blogs.cisco.com/getyourbuildon/overlays-underlays-and-the-new-world-order

26. TechTarget. SD-WAN (software-defined WAN). [Online]. Available: http://searchsdn.techtarget.com/definition/SD-WAN-software-defined-WAN

© 2016 Cisco และ/หรอบรษทในเครอ สงวนลขสทธ Cisco และโลโก Cisco เปนเครองหมายการคาหรอเครองหมายการคาจดทะเบยนของ Cisco และ/หรอบรษทในเครอในสหรฐฯ และประเทศอน ๆ หากตองการดรายการเครองหมายการคาของ Cisco ใหไปท www.cisco.com/go/trademarks เครองหมายการคาของบคคลทสามทกลาวมาเปนกรรมสทธของเจาของเครองหมายการคานน ๆ การใชค�าวา บรษทคคา มไดหมายความถงความสมพนธเชงหนสวนระหวาง Cisco กบบรษทอนใด (1110R)

C11-736842-00 03/16