Cisco Prime Infrastructure

کمپانی سیسکو از دیرباز پلتفرمهای مختلفی را (از جمله WSC، NCS، Cisco Works LMS) جهت پایش و مدیریت تجهیزات (باسیم و بیسیم) و سرویسهای خود ارائه داده است. شرکت سیسکو در نهایت تصمیم گرفت تمامی این محصولات را در قالب یک محصول واحد تحت عنوان Cisco Prime Infrastructure تجمیع نماید.

Cisco Prime Infrastructure یا به اختصار PI آخرین و جامعترین راهکار کمپانی سیسکو برای پایش و مدیریت آسان و خودکار شبکه در بالاترین سطح ممکن است. این محصول برای عیب­یابی و بهینه سازی شبکه بسیار کارآمد می­باشد. پلتفرم PI به دو مدل مجازی و فیزیکی در دسترس میباشد که حالت مجازی قابلیت پیاده سازی روی بستر VMware را داراست.

موارد زیر از جمله قابلیتهای Infrastructure Prime Cisco می­باشند:

  • چرخه پایش و مدیریت دائمی شبکه­ های بیسیم و با سیم (Lifecycle)
  • امکان بررسی کارایی و کیفیت سرویس­دهی نرمافزارهای موجود در شبکه (Assurance)
  • مقایسه پیکربندی تجهیزات، با راهنماها تعریف شده و یا سایر مراجع منتخب از سوی شرکت سیسکو، برای افزایش کارائی و امنیت
  • مشاهده و بررسی مقدار مصرف پهنای باند
  • قابلیت یکپارچه سازی با محصولات دیگر شرکت سیسکو از قبیل ISE و MSE به منظور پایش و مدیریت دقیق تمامی پایانههای کاری باسیم و بیسیم و نیز پشتیبانی از فناوری BYOD
  • امکان تنظیم خودکار تجهیزات خام براساس پیش فرضهای تعریف شده
  • ارائه انواع متنوع گزارشات لحظهای و دورهای از کارکرد شبکه
  • دسترس پذیری بالا (Availability High)
  • قابلیت تعریف کاربران وگروههای مختلف برای مدیریت بخشهای مختلف شبکه
  • قابلیت ارتباط مستقیم با وب سایت سیسکو جهت رفع ایرادات (Bugs) موجود روی تجهیزات و دریافت آخرین نسخه از سیستم عامل آنها
  • قابلیت یکپارچگی با WLC برای مدیریت Access Point ها

چرخه پایش و مدیریت دائمی شبکه (Lifecycle)

در PI مدیریت و پایش شبکه به صورت یک چرخه حیات طراحی شده است. این چرخه همه انواع تجهزات را شامل میشود و خود دارای بخش های مختلفی است که به تفصیل بیان خواهد شد:

۱- طراحی (Design)
این فاز شامل طراحی و تعریف تنظیمات (Configurations)برای تجهیزات شبکه می باشد. برای این کار میتوان تمام تنظیمات را به صورت دستی و یا از طریق CMD (Template Custom) نوشت و یا از میان حدود یکصد تنظیم پیش فرض (Template Feature) را انتخاب کرد.
تنظیمات پیش فرض تقریباً شامل تمامی تنظیمات قابل اعمال روی WLC, Router, Switch و سایر تجهیزات سیسکو می باشند. برای مثال تنظیم ساده VLAN روی Switch تنظیمات پیشرفته Protocol Routing ها بر روی Router و یا تنظیمات پیشرفته.

۲- پیاده سازی (Deploy)
این فاز شامل پیاده سازی و اعمال تنظیمات تعریف شده در مرحله قبل، روی تجهیزات مورد نظر می باشد. در این مرحله میتوان تعریف کرد که یک یا تعدادی از تنظیمات در آن واحد و یا در یک زمان مشخص و یا حتی در بازه های زمانی مشخص روی تمام یا بخشی از تجهیزات اعمال گردند.

۳- عملیات (Operate)
در این فاز تمام تجهیزات شبکه به PI اضافه میشود و قابل مدیریت خواهد بود. این مرحله از سه بخش اصلی تشکیل شده است شامل:

۳-۱ مدیریت داشبوردهای (Monitoring Dashboards)

تعریف صحیح داشبوردها یکی از مهمترین ارکان پایش است. در PI میتوان داشبوردهای متعددی جهت پایش شبکه تعریف کرد. این داشبوردها بر اساس نوع کارکرد به چهار دسته مختلف تقسیم می گردند:

۳-۱-۱ Overview
ارائه اطلاعات کلی در خصوص وضعیت فعلی شبکه و تجهیزات (مانند تعداد و نوع تجهیزات، میزان استفاده از پردازنده و RAM آنها، تعداد سیستم عاملهای نصب شده روی تجهیزات و نسخه آنها، دمای تجهیزات، وضعیت تجهیزات بیسیم و رخدادهای امنیتی روی بستر بیسیم و …

۳-۱-۲ Incident
ارائه اطلاعات رخدادهای شبکه از جمله از دسترس خارج شدن تجهیزات، قطع یا وصل شدن پورتها، وضعیت هشدارها و پراکندگی آنها و غیره

۳-۱-۳ Performance
ارائه اطلاعات جامع و دقیق درخصوص ترافیک موجود در شبکه به همراه نوع و مقدار آن، وضعیت کارکرد پورتها به همراه تمام جزئیات مربوطه، وضعیت عملکرد نرم افزارها، کیفیت پهنای باند از قبیل Jitter،Delay،Packet

۳-۱-۴ Detail Dashboards:

ارائه اطلاعات جزئی و تفکیکی به ازای هر دستگاه یا هر پورت یا حتی هر پایانه کاری.

۳-۲ مرکز کار تجهیزات (Device Work Center)

این بخش برای اضافه کردن تجهیزات به PI و مدیریت آنهاست. در این قسمت میتوان تمامی تجهیزات را به صورت یکجا مشاهده کرد و بر حسب نیاز آنها را در گروههای مختلف دسته بندی نمود. همچنین میتوان از قابلیت Device 360 برای پایش هر یک از دستگاهای شبکه به صورت مجزا استفاده کرد.

همانطور که در شکل زیر مشخص است در منوی ۳۶۰ Device میتوان تمام جزئیات مربوط به یک تجهیز را بصورت متمرکز مشاهد کرد. این موارد شامل Alarms، Neighbors، Interfaces و Modules نیز میشود.

بهعلاوه در این قسمت میتوان برای هریک از تجهیزات به صورت مستقیم و گرافیکی برخی تنظیمات از قبیل Interface، VPN، ACL، Routing Protocol را اعمال نمود.

Device Work Center به قسمتهای ذیل تقسیم میشود:

۳-۲-۱ Discovery:

کشف تجهیزات مختلف موجود در شبکه و اضافه کردن آنها به PI، جستجوی تجهیزات بر اساس این پارامترها امکان پذیر است: Ping، CDP، LLDP، ARP، Routing Protocol.

۳-۲-۲ Configuration Archive

گرفتن نسخه پشتیبان به صورت دورهای از تنظیمات اعمال شده روی تمامی تجهیزات و امکان مقایسه پیکربندی جدید با تنظیمات قبلی و همچنین قیاس تنظیمات دستگاهای مختلف با یگدیگر و نمایش تفاوتها که در برطرف کردن مشکلات کمک بزرگی خواهد نمود.

پس از گرفتن نسخه پشتیبان دورهای میتوان تنظیمات زمانهای مختلف را باهم مقایسه کرد که در شکل زیر بخشهای مختلف آن مشخص است:

۳-۲-۳ Configuration Archive:

در این قسمت میتوان یک پایگاه داده (DataBase) جامع از سیستم عاملهای (IOS) مختلف برای تجهیزات ایجاد و نگهداری کرد. سیستم عاملهای موجود در این پایگاه از منابع مختلفی قابل بازگذاری است از جمله: دانلود مستقیم از سایت سیسکو، دانلود از روی تجهیزات موجود و آپلود مستقیم از روی رایانه ها تیم فنی.

۳-۲-۴ Alarm and Event

رویت و مدیریت تمامی رخدادهای شبکه مبتنی بر SNMP و Syslog.

از جمله سایر مواردی که در مرحله Operate موجود است میتوان به موارد Application and Services، Operational Tool، Network Physical Map شاره کرد.

در تصویر زیر تمام موارد موجود در این مرحله قابل رویت است:

۴- گزارشگیری (Report)

PI شامل امکانات فراوانی برای تهیه گزارشات دقیق و کامل (به صورت لحظهای و یا دورهای) از وضعیت موجود شبکه و رخداد های مهم در بازههای زمانی مشخص میباشد. این قبیل گزارشات شامل اطلاعات لازم برای بهینه سازی و عیب یابی شبکه بوده و حتی به کمک آن میتوان مشکلات و کاستیهای موجود در شبکه را قبل از مشکل ساز شدن، شناسایی بررسی و در نهایت برطرف نمود.

۵- مدیریت (Administration)

این فاز آخرین مرحله از چرخه Lifecycle و شامل مدیریت و پشتیبانی از خود پلتفرم PI می باشد. از جمله قابلیتهای آن می­توان به موارد زیر اشاره کرد:

  • مدیریت و پایش وضعیت سلامت و کارکرد PI
  • تعریف کاربران و گروههای مختلف
  • تعریف گروههای تجهیزات بسته به مکان جغرافیایی ، واحد سازمانی و اعمال سطح دسترسیهای مختلف به آنها
  • اعمال Patch ها و Package های مختلف روی تجهیزات
  • پشتیبانگیری PI تعریف سیستم پشتیبان Online برای PI اصلی

پایش و مدیریت ترافیک شبکه و کارکرد نرم افزارها (Assurance)

این قابلیت امکان بسیار مفید و کاربردی در PI برای پایش دقیق ترافیک شبکه، ارزیابی عملکرد نرم افزارها به همراه امکان مدیریت آنهاست. این قابلیت را میتوان در دو حالت Netflow و Performance Monitor که کاملا متفاوت از یکدیگر می­باشند استفاده کرد و در ادامه به تفصیل به آنها پرداخته خواهد شد.

Netflow

با استفاده از Netflow می­توان تمام ترافیک شبکه را بر اساس پارامترهای زیر محاسبه کرد:

PI به آسانی به عنوان یک Analyzer Netflow عمل کرده و قابلیت دریافت گزارشات Netflow را از تمامی تجهیزات مبتنی بر استاندارد IPFIX داراست. بعنوان نمونه گزارشات مربوط به Netflow میتواند شامل موارد زیر باشد.

  • نوع و میزان ترافیک عبوری شبکه Source IP ,Source Port ,Destination IP
  • سرورهائی که بیشترین ترافیک را تولید میکنند
  • کلاینتهایی که بیشترین ترافیک را مصرف میکنند

۴-۱ Performance Monitor

روشهای قدیمی پایش ترافیک شبکه از جمله Netflow که به آن پرداخته شد دارای معایب و کاستی­هائی نیز هستند که از مهمترین آنها میتوان به شناسایی ترافیک بر اساس پورت اشاره کرد. برای مثال طرز کار Netflow  به این صورت است که هر ترافیکی که به پورت ۸۰ ارسال میشود را به عنوان HTTP یا ترافیک وِب شناسایی می­کند. در صورتی که امروزه شاید صدها نرم افزار مختلف از این پورت جهت ارسال ترافیک استفاده میکنند و Netflow قادر به شناسایی آنها نیست. جهت رفع این مشکل کمپانی سیسکو روی سری جدید روترها و سوئیچهای خود قالبیت Performance Monitor را افزوده است که امکان پایش و مدیریت دقیق ترافیک را بر اساس نوع نرم­افزار و همچنین ارزیابی کیفیت کارکرد آن نرم­افزار ارائه می­دهد. به زبان ساده­تر Netflow  در لایه ۳ و ۴ شبکه عمل می­کند، در حالی که Performance Monitor در لایه ۷ عمل کرده و ترافیک نرم افزارها را بر اساس رفتار و Payload آنها و بدون توجه به پورت مورد استفاده شناسایی می­کند. در شکل زیر میتوان تفاوت این دو را مشاهده کرد:

Monitor دارای اجزای مختلفی به شرح زیر است:

۴-۲-۱ NBAR2) Network Base Application Recognition)

نسل جدید NBAR شامل لیست کاملی از برنامههای کاربردی (در حدود ۱۴۰۰ نرم ­افزار شناخته شده و حدود ۱۵۰ هزار نرم­افزار متفرقه) است و این لیست به صورت دورهای (حدود ۲ ماه یکبار ) بروز رسانی می­گردد. با استفاده از این تکنیک روترها همانند فایروالها قادر به انجام Deep Packet Inspection) DPI) روی ترافیک عبوری خواهند بود. ضمناً این قابلیت تضمین میکند تا به برنامههای مذکور الزامات مورد نیاز از جمله پهنای باند لازم تخصیص داده شود.

۴-۲-۲ ART) Application Response Time)

با استفاده از ART قادر خواهد بود کارکرد نرم افزارهای مبتنی بر UDP و TCP را بر اساس زمان پاسخدهی به کاربران، و میزان تاخیر یا کندی آن پایش کند. بعلاوه با استفاده از این روش، PI قادر خواهد بود برای نرم­افزارها و سرویسهای مبتنی بر صدا و تصویر (Voice، Video) سنجش دقیقی از میزان Delay، Jitter و Packet Lost بر روی بستر شبکه و تاثیرات آن بر کارکرد این سرویسها داشته باشد. در حالت عادی هنگامی که کندی یک یا چند نرمافزار از سوی کاربر اعلام میشود تیم فنی گزینه­های محدود برای بررسی صحت این ادعا و یافتن مشکلات احتمالی خواهد داشت. در صورتی که کندی نرم افزار کاربر دلایل متعددی دیگری میتواند داشته باشد. طرز کار ART  به این صورت است که تمامی Flow TCP های جابجا شده بین پایانه­کاری و سرور را ردیابی کرده و به این وسیله تشخیص میدهد که کندی نرم افزار مربوط به کدام بخش از شبکه است.

برای مثال در شکل زیر پس از ردیابی تمامی Flow TCP های عبوری مشکل کُندی در ایراد و کارکرد سرور میزبان نرم افزار تعیین شده است و به این ترتیب تیم فنی دید جامع و کاملی نسبت به وضعیت کارکرد نرم افزارهای شبکه خواهند داشت و قادر خواهند بود مشکل را به راحتی شناسایی و برطرف کنند.

با استفاده از قابلیت DPI و NBAR2، علاوه بر امکان پایش نرم افزارها میتوان آنها را کنترل و مدیریت کرد. این کنترل به وسیله اعمال برخی پارامترهای مربوط به QoS از قبیل: Policing و Shaping یا به وسیله اعمال تنظیمات PFR  و هدایت ترافیک نرم افزارهای مختلف از مسیرهای مختلف امکان پذیر خواهد بود.

برای مثال در شکل زیر بستن ترافیک مربوط به Bittorrent با استفاده از PI نشان داده شده است.

لازم به ذکر است در صورتی که نرم افزارهای یک سازمان در لیست از پیش تعیین شده NBAR2 موجود نباشد میتوان به صورت دستی بر اساس نمونه ای از Payload آن رویPI ، نوع و اسم نرم افزار را تعیین و برای موارد پایشی و مدیریتی استفاده کرد. بدین ترتیب در لیست نرم افزارهای نشان داده شده بوسیله PI هیچ نرم افزاری به صورت Unknown وجود نخواهد داشت.

۵- ارزیابی و مقایسه پیکربندی تجهیزات شبکه با مراجع کمپانی سیسکو (Compliance)

با استفاده از این قابلیت میتوان تنظیمات اعمال شده روی تجهیزات با سیم و بی سیم در شبکه را با مراجع و همچنین راهنماهای تعریف شده از جانب کمپانی سیسکو مقایسه و نقاط ضعف را به راحتی پیدا کرد. این راهنماها شامل موارد مختلفی بوده که از جمله مهمترین آنها میتوان به Safe Cisco اشاره کرد. همچنین تیم فنی قادر خواهند بود تنظیمات مورد نظر خود را به این لیست اضافه کنند و تمامی تجهیزاتی را که دچار نقص در پیکربندی هستند را به راحتی پیدا و جهت رفع این نقوص اقدام نماید

مزیتهای PI نسبت به محصولات مشابه طی چند سال گذشته محصولات متعددی جهت انجام پایش و مدیریت شبکه تولید و توسعه داده شده است. از جمله مهمترین آنها میتوان به SolarWinds و WhatsUpGold اشاره کرد. PI مزیتهای عمدهای نسبت به این محصولات داراست که از جمله اصلی­ترین آنها به موارد زیر می­باشد:

  • ارائه محصول به فرم Virtual مبتنی بر سیستم ­عامل RedHat و پایگاه داده Oracle که پایداری و راندمان بسیار بالاتری را نسبت به محصولات رقیب (که مبتنی بر ویندوز و پایگاه داده SQL می­باشند) ارائه میدهد. به همین دلیل  بالاتر رفتن تعداد تجهیزات اضافه شده بر خلاف محصولات رقیب تاثیر اندکی در عملکرد PI خواهد داشت.
  • سازگاری کامل با تجهیزات سیسکو و قابلیت مدیریت صفر تا صد تمامی آنها از طریق رابط گرافیکی
  • قابلیت Application Performance Monitoring) APM) و  Client Monitoring در محصولات مشابه یا موجود نیست یا در صورت وجود، کارایی نسبتا ضعیفی داشته و پیچیده میباشد. مثلاً در خصوص APM در سایر محصولات لازم است از تمامی ترافیک مورد نظر یک کپی جهت پایش و ارسال آن به یک مقصد خاص تهیه گردد و به دلیل این گونه پیچیدگی­ها معمولا استفاده از محصولات ثانوی مانند Riverbed APM جهت این امر توصیه می­شود. در صورتیکه PI به صورتی ذاتی با استفاده از AVC این قابلیت را داراست.

در این ویدئو به صورت خلاصه به معرفی تکنولوژی AVC در محصولات Cisco و نیز امکانات مانیتورینگ آن در نرم افزار Cisco Prime Infrastructure پرداخته می شود: