Cisco Prime Infrastructure
کمپانی سیسکو از دیرباز پلتفرمهای مختلفی را (از جمله WSC، NCS، Cisco Works LMS) جهت پایش و مدیریت تجهیزات (باسیم و بیسیم) و سرویسهای خود ارائه داده است. شرکت سیسکو در نهایت تصمیم گرفت تمامی این محصولات را در قالب یک محصول واحد تحت عنوان Cisco Prime Infrastructure تجمیع نماید.
Cisco Prime Infrastructure یا به اختصار PI آخرین و جامعترین راهکار کمپانی سیسکو برای پایش و مدیریت آسان و خودکار شبکه در بالاترین سطح ممکن است. این محصول برای عیبیابی و بهینه سازی شبکه بسیار کارآمد میباشد. پلتفرم PI به دو مدل مجازی و فیزیکی در دسترس میباشد که حالت مجازی قابلیت پیاده سازی روی بستر VMware را داراست.
موارد زیر از جمله قابلیتهای Infrastructure Prime Cisco میباشند:
- چرخه پایش و مدیریت دائمی شبکه های بیسیم و با سیم (Lifecycle)
- امکان بررسی کارایی و کیفیت سرویسدهی نرمافزارهای موجود در شبکه (Assurance)
- مقایسه پیکربندی تجهیزات، با راهنماها تعریف شده و یا سایر مراجع منتخب از سوی شرکت سیسکو، برای افزایش کارائی و امنیت
- مشاهده و بررسی مقدار مصرف پهنای باند
- قابلیت یکپارچه سازی با محصولات دیگر شرکت سیسکو از قبیل ISE و MSE به منظور پایش و مدیریت دقیق تمامی پایانههای کاری باسیم و بیسیم و نیز پشتیبانی از فناوری BYOD
- امکان تنظیم خودکار تجهیزات خام براساس پیش فرضهای تعریف شده
- ارائه انواع متنوع گزارشات لحظهای و دورهای از کارکرد شبکه
- دسترس پذیری بالا (Availability High)
- قابلیت تعریف کاربران وگروههای مختلف برای مدیریت بخشهای مختلف شبکه
- قابلیت ارتباط مستقیم با وب سایت سیسکو جهت رفع ایرادات (Bugs) موجود روی تجهیزات و دریافت آخرین نسخه از سیستم عامل آنها
- قابلیت یکپارچگی با WLC برای مدیریت Access Point ها
چرخه پایش و مدیریت دائمی شبکه (Lifecycle)
در PI مدیریت و پایش شبکه به صورت یک چرخه حیات طراحی شده است. این چرخه همه انواع تجهزات را شامل میشود و خود دارای بخش های مختلفی است که به تفصیل بیان خواهد شد:

۱- طراحی (Design)
این فاز شامل طراحی و تعریف تنظیمات (Configurations)برای تجهیزات شبکه می باشد. برای این کار میتوان تمام تنظیمات را به صورت دستی و یا از طریق CMD (Template Custom) نوشت و یا از میان حدود یکصد تنظیم پیش فرض (Template Feature) را انتخاب کرد.
تنظیمات پیش فرض تقریباً شامل تمامی تنظیمات قابل اعمال روی WLC, Router, Switch و سایر تجهیزات سیسکو می باشند. برای مثال تنظیم ساده VLAN روی Switch تنظیمات پیشرفته Protocol Routing ها بر روی Router و یا تنظیمات پیشرفته.
۲- پیاده سازی (Deploy)
این فاز شامل پیاده سازی و اعمال تنظیمات تعریف شده در مرحله قبل، روی تجهیزات مورد نظر می باشد. در این مرحله میتوان تعریف کرد که یک یا تعدادی از تنظیمات در آن واحد و یا در یک زمان مشخص و یا حتی در بازه های زمانی مشخص روی تمام یا بخشی از تجهیزات اعمال گردند.
۳- عملیات (Operate)
در این فاز تمام تجهیزات شبکه به PI اضافه میشود و قابل مدیریت خواهد بود. این مرحله از سه بخش اصلی تشکیل شده است شامل:
۳-۱ مدیریت داشبوردهای (Monitoring Dashboards)
تعریف صحیح داشبوردها یکی از مهمترین ارکان پایش است. در PI میتوان داشبوردهای متعددی جهت پایش شبکه تعریف کرد. این داشبوردها بر اساس نوع کارکرد به چهار دسته مختلف تقسیم می گردند:
۳-۱-۱ Overview
ارائه اطلاعات کلی در خصوص وضعیت فعلی شبکه و تجهیزات (مانند تعداد و نوع تجهیزات، میزان استفاده از پردازنده و RAM آنها، تعداد سیستم عاملهای نصب شده روی تجهیزات و نسخه آنها، دمای تجهیزات، وضعیت تجهیزات بیسیم و رخدادهای امنیتی روی بستر بیسیم و …
۳-۱-۲ Incident
ارائه اطلاعات رخدادهای شبکه از جمله از دسترس خارج شدن تجهیزات، قطع یا وصل شدن پورتها، وضعیت هشدارها و پراکندگی آنها و غیره
۳-۱-۳ Performance
ارائه اطلاعات جامع و دقیق درخصوص ترافیک موجود در شبکه به همراه نوع و مقدار آن، وضعیت کارکرد پورتها به همراه تمام جزئیات مربوطه، وضعیت عملکرد نرم افزارها، کیفیت پهنای باند از قبیل Jitter،Delay،Packet

۳-۱-۴ Detail Dashboards:
ارائه اطلاعات جزئی و تفکیکی به ازای هر دستگاه یا هر پورت یا حتی هر پایانه کاری.
۳-۲ مرکز کار تجهیزات (Device Work Center)
این بخش برای اضافه کردن تجهیزات به PI و مدیریت آنهاست. در این قسمت میتوان تمامی تجهیزات را به صورت یکجا مشاهده کرد و بر حسب نیاز آنها را در گروههای مختلف دسته بندی نمود. همچنین میتوان از قابلیت Device 360 برای پایش هر یک از دستگاهای شبکه به صورت مجزا استفاده کرد.
همانطور که در شکل زیر مشخص است در منوی ۳۶۰ Device میتوان تمام جزئیات مربوط به یک تجهیز را بصورت متمرکز مشاهد کرد. این موارد شامل Alarms، Neighbors، Interfaces و Modules نیز میشود.

بهعلاوه در این قسمت میتوان برای هریک از تجهیزات به صورت مستقیم و گرافیکی برخی تنظیمات از قبیل Interface، VPN، ACL، Routing Protocol را اعمال نمود.

Device Work Center به قسمتهای ذیل تقسیم میشود:
۳-۲-۱ Discovery:
کشف تجهیزات مختلف موجود در شبکه و اضافه کردن آنها به PI، جستجوی تجهیزات بر اساس این پارامترها امکان پذیر است: Ping، CDP، LLDP، ARP، Routing Protocol.

۳-۲-۲ Configuration Archive
گرفتن نسخه پشتیبان به صورت دورهای از تنظیمات اعمال شده روی تمامی تجهیزات و امکان مقایسه پیکربندی جدید با تنظیمات قبلی و همچنین قیاس تنظیمات دستگاهای مختلف با یگدیگر و نمایش تفاوتها که در برطرف کردن مشکلات کمک بزرگی خواهد نمود.

پس از گرفتن نسخه پشتیبان دورهای میتوان تنظیمات زمانهای مختلف را باهم مقایسه کرد که در شکل زیر بخشهای مختلف آن مشخص است:

۳-۲-۳ Configuration Archive:
در این قسمت میتوان یک پایگاه داده (DataBase) جامع از سیستم عاملهای (IOS) مختلف برای تجهیزات ایجاد و نگهداری کرد. سیستم عاملهای موجود در این پایگاه از منابع مختلفی قابل بازگذاری است از جمله: دانلود مستقیم از سایت سیسکو، دانلود از روی تجهیزات موجود و آپلود مستقیم از روی رایانه ها تیم فنی.
۳-۲-۴ Alarm and Event
رویت و مدیریت تمامی رخدادهای شبکه مبتنی بر SNMP و Syslog.
از جمله سایر مواردی که در مرحله Operate موجود است میتوان به موارد Application and Services، Operational Tool، Network Physical Map شاره کرد.
در تصویر زیر تمام موارد موجود در این مرحله قابل رویت است:

PI شامل امکانات فراوانی برای تهیه گزارشات دقیق و کامل (به صورت لحظهای و یا دورهای) از وضعیت موجود شبکه و رخداد های مهم در بازههای زمانی مشخص میباشد. این قبیل گزارشات شامل اطلاعات لازم برای بهینه سازی و عیب یابی شبکه بوده و حتی به کمک آن میتوان مشکلات و کاستیهای موجود در شبکه را قبل از مشکل ساز شدن، شناسایی بررسی و در نهایت برطرف نمود.
این فاز آخرین مرحله از چرخه Lifecycle و شامل مدیریت و پشتیبانی از خود پلتفرم PI می باشد. از جمله قابلیتهای آن میتوان به موارد زیر اشاره کرد:
- مدیریت و پایش وضعیت سلامت و کارکرد PI
- تعریف کاربران و گروههای مختلف
- تعریف گروههای تجهیزات بسته به مکان جغرافیایی ، واحد سازمانی و اعمال سطح دسترسیهای مختلف به آنها
- اعمال Patch ها و Package های مختلف روی تجهیزات
- پشتیبانگیری PI تعریف سیستم پشتیبان Online برای PI اصلی

پایش و مدیریت ترافیک شبکه و کارکرد نرم افزارها (Assurance)
این قابلیت امکان بسیار مفید و کاربردی در PI برای پایش دقیق ترافیک شبکه، ارزیابی عملکرد نرم افزارها به همراه امکان مدیریت آنهاست. این قابلیت را میتوان در دو حالت Netflow و Performance Monitor که کاملا متفاوت از یکدیگر میباشند استفاده کرد و در ادامه به تفصیل به آنها پرداخته خواهد شد.
با استفاده از Netflow میتوان تمام ترافیک شبکه را بر اساس پارامترهای زیر محاسبه کرد:
PI به آسانی به عنوان یک Analyzer Netflow عمل کرده و قابلیت دریافت گزارشات Netflow را از تمامی تجهیزات مبتنی بر استاندارد IPFIX داراست. بعنوان نمونه گزارشات مربوط به Netflow میتواند شامل موارد زیر باشد.
- نوع و میزان ترافیک عبوری شبکه Source IP ,Source Port ,Destination IP
- سرورهائی که بیشترین ترافیک را تولید میکنند
- کلاینتهایی که بیشترین ترافیک را مصرف میکنند
۴-۱ Performance Monitor
روشهای قدیمی پایش ترافیک شبکه از جمله Netflow که به آن پرداخته شد دارای معایب و کاستیهائی نیز هستند که از مهمترین آنها میتوان به شناسایی ترافیک بر اساس پورت اشاره کرد. برای مثال طرز کار Netflow به این صورت است که هر ترافیکی که به پورت ۸۰ ارسال میشود را به عنوان HTTP یا ترافیک وِب شناسایی میکند. در صورتی که امروزه شاید صدها نرم افزار مختلف از این پورت جهت ارسال ترافیک استفاده میکنند و Netflow قادر به شناسایی آنها نیست. جهت رفع این مشکل کمپانی سیسکو روی سری جدید روترها و سوئیچهای خود قالبیت Performance Monitor را افزوده است که امکان پایش و مدیریت دقیق ترافیک را بر اساس نوع نرمافزار و همچنین ارزیابی کیفیت کارکرد آن نرمافزار ارائه میدهد. به زبان سادهتر Netflow در لایه ۳ و ۴ شبکه عمل میکند، در حالی که Performance Monitor در لایه ۷ عمل کرده و ترافیک نرم افزارها را بر اساس رفتار و Payload آنها و بدون توجه به پورت مورد استفاده شناسایی میکند. در شکل زیر میتوان تفاوت این دو را مشاهده کرد:

Monitor دارای اجزای مختلفی به شرح زیر است:
۴-۲-۱ NBAR2) Network Base Application Recognition)
نسل جدید NBAR شامل لیست کاملی از برنامههای کاربردی (در حدود ۱۴۰۰ نرم افزار شناخته شده و حدود ۱۵۰ هزار نرمافزار متفرقه) است و این لیست به صورت دورهای (حدود ۲ ماه یکبار ) بروز رسانی میگردد. با استفاده از این تکنیک روترها همانند فایروالها قادر به انجام Deep Packet Inspection) DPI) روی ترافیک عبوری خواهند بود. ضمناً این قابلیت تضمین میکند تا به برنامههای مذکور الزامات مورد نیاز از جمله پهنای باند لازم تخصیص داده شود.


۴-۲-۲ ART) Application Response Time)
با استفاده از ART قادر خواهد بود کارکرد نرم افزارهای مبتنی بر UDP و TCP را بر اساس زمان پاسخدهی به کاربران، و میزان تاخیر یا کندی آن پایش کند. بعلاوه با استفاده از این روش، PI قادر خواهد بود برای نرمافزارها و سرویسهای مبتنی بر صدا و تصویر (Voice، Video) سنجش دقیقی از میزان Delay، Jitter و Packet Lost بر روی بستر شبکه و تاثیرات آن بر کارکرد این سرویسها داشته باشد. در حالت عادی هنگامی که کندی یک یا چند نرمافزار از سوی کاربر اعلام میشود تیم فنی گزینههای محدود برای بررسی صحت این ادعا و یافتن مشکلات احتمالی خواهد داشت. در صورتی که کندی نرم افزار کاربر دلایل متعددی دیگری میتواند داشته باشد. طرز کار ART به این صورت است که تمامی Flow TCP های جابجا شده بین پایانهکاری و سرور را ردیابی کرده و به این وسیله تشخیص میدهد که کندی نرم افزار مربوط به کدام بخش از شبکه است.

برای مثال در شکل زیر پس از ردیابی تمامی Flow TCP های عبوری مشکل کُندی در ایراد و کارکرد سرور میزبان نرم افزار تعیین شده است و به این ترتیب تیم فنی دید جامع و کاملی نسبت به وضعیت کارکرد نرم افزارهای شبکه خواهند داشت و قادر خواهند بود مشکل را به راحتی شناسایی و برطرف کنند.

با استفاده از قابلیت DPI و NBAR2، علاوه بر امکان پایش نرم افزارها میتوان آنها را کنترل و مدیریت کرد. این کنترل به وسیله اعمال برخی پارامترهای مربوط به QoS از قبیل: Policing و Shaping یا به وسیله اعمال تنظیمات PFR و هدایت ترافیک نرم افزارهای مختلف از مسیرهای مختلف امکان پذیر خواهد بود.
برای مثال در شکل زیر بستن ترافیک مربوط به Bittorrent با استفاده از PI نشان داده شده است.

لازم به ذکر است در صورتی که نرم افزارهای یک سازمان در لیست از پیش تعیین شده NBAR2 موجود نباشد میتوان به صورت دستی بر اساس نمونه ای از Payload آن رویPI ، نوع و اسم نرم افزار را تعیین و برای موارد پایشی و مدیریتی استفاده کرد. بدین ترتیب در لیست نرم افزارهای نشان داده شده بوسیله PI هیچ نرم افزاری به صورت Unknown وجود نخواهد داشت.
۵- ارزیابی و مقایسه پیکربندی تجهیزات شبکه با مراجع کمپانی سیسکو (Compliance)
با استفاده از این قابلیت میتوان تنظیمات اعمال شده روی تجهیزات با سیم و بی سیم در شبکه را با مراجع و همچنین راهنماهای تعریف شده از جانب کمپانی سیسکو مقایسه و نقاط ضعف را به راحتی پیدا کرد. این راهنماها شامل موارد مختلفی بوده که از جمله مهمترین آنها میتوان به Safe Cisco اشاره کرد. همچنین تیم فنی قادر خواهند بود تنظیمات مورد نظر خود را به این لیست اضافه کنند و تمامی تجهیزاتی را که دچار نقص در پیکربندی هستند را به راحتی پیدا و جهت رفع این نقوص اقدام نماید
مزیتهای PI نسبت به محصولات مشابه طی چند سال گذشته محصولات متعددی جهت انجام پایش و مدیریت شبکه تولید و توسعه داده شده است. از جمله مهمترین آنها میتوان به SolarWinds و WhatsUpGold اشاره کرد. PI مزیتهای عمدهای نسبت به این محصولات داراست که از جمله اصلیترین آنها به موارد زیر میباشد:
- ارائه محصول به فرم Virtual مبتنی بر سیستم عامل RedHat و پایگاه داده Oracle که پایداری و راندمان بسیار بالاتری را نسبت به محصولات رقیب (که مبتنی بر ویندوز و پایگاه داده SQL میباشند) ارائه میدهد. به همین دلیل بالاتر رفتن تعداد تجهیزات اضافه شده بر خلاف محصولات رقیب تاثیر اندکی در عملکرد PI خواهد داشت.
- سازگاری کامل با تجهیزات سیسکو و قابلیت مدیریت صفر تا صد تمامی آنها از طریق رابط گرافیکی
- قابلیت Application Performance Monitoring) APM) و Client Monitoring در محصولات مشابه یا موجود نیست یا در صورت وجود، کارایی نسبتا ضعیفی داشته و پیچیده میباشد. مثلاً در خصوص APM در سایر محصولات لازم است از تمامی ترافیک مورد نظر یک کپی جهت پایش و ارسال آن به یک مقصد خاص تهیه گردد و به دلیل این گونه پیچیدگیها معمولا استفاده از محصولات ثانوی مانند Riverbed APM جهت این امر توصیه میشود. در صورتیکه PI به صورتی ذاتی با استفاده از AVC این قابلیت را داراست.
در این ویدئو به صورت خلاصه به معرفی تکنولوژی AVC در محصولات Cisco و نیز امکانات مانیتورینگ آن در نرم افزار Cisco Prime Infrastructure پرداخته می شود: