部署SDA的链接:https://www.cisco.com/c/en/us/solutions/enterprise-networks/software-defined-access/compatibility-matrix.html
兼容性列表(对于售后部署很重要哦)
一些概念:
DNA(数字网络架构digital network arte)
DNAC(多了一个控制器center,本质上就是控制器,但是习惯性作digital network access center)
SD-Access
SDN是一个公共的厂家,代表着开源,代码本身是开源的。控制器本身的代码开源一部分。对接的设备也需要开源,开源意味着可编程。大趋势往编程的方向在走。设备越来越多,命令行靠手刷,越来越低效,客户也越来越不喜欢这样。尽量做到标准接口的开发,集中管理,尽可能的可视化。这个趋势肯定是不可逆转的,图形化管理,集中化管理。每个厂商都在做的事情SDN。
VN:virtual network 虚拟网络 也叫宏分段(在这里唯一标识,这个名字比较好)
VN与VN之间默认是deny all,在此基础之内会继续进行细分,微分段(SG,security group,也就是安全组的概念,类似于vrf的概念)。
DNA必须要有一个ISE,要玩SDA的话,在DNA的场景,那么必须要有ISE,ISE是用来锁定你的身份的。身份锁定有很多办法,不管用哪一种,认证流量由ISE来进行识别,归属到哪一个特定的组,这个由ISE说了算的。你属于哪一个组。你因为通过了认证,拿到了这个组,SGT的tac,这个tac相当于你的工卡。你就可以进这个组。
DNA可以免除很多不必要的配置。
ISE认证完了,拿到tac,在数据转发层面通过vxlan,帮你运输出去。重点是:绝大部分的vxlan网络,都具备一个Vni标识符,他是主要功能做一个二层映射。映射到三层网络做一个overlay。vxlan(思科提供的sda的vxlan)是做过优化的,不是原生的vxlan。做了修改vxlan。可以识别sgt,不仅可以识别vni。打了2个tac。(听的还是有点模糊)配置与你无关,你只要会用这个就行。
采用SDA就是因为不想去碰ACL,太麻烦,而且面对那么多条ACL策略,还很容易出错。
传统网络:
1)管理复杂度:配置步骤
2)能够去轻松做权限管理,基于ip和vlan,原来的管理方式,排除等;SDA可以基于应用或者属性进行分组,通过组来控制权限
DNA的三大功能:
1)所有的配置自动下发,automation(DNA从属于SDN的架构,批量化处理)网络自动化
2)所有的策略是基于tac的,policy 策略管理(访问策略只是其中一种,Qos策略管理,)
3)未来的数据是可视化,assurance 这一点也就是DNA报价贵的原因。核多,需要计算,这也就是贵的原因,不是简单的配置下发。这也就是在计算,基于大量数据的,基于模型把他撑起来,肯定对设备资源有巨大的消耗。
呈现给客户的是:网络健康度,客户端健康度,应用健康度,路径追踪(assurance,其实都喜欢看这种,更加直观嘛)
上面把概念差不多讲清楚了,讲的挺好的。这些概念基本都讲清楚了。需要自己课后去加强学习的。
DNAC
NCP网络控制平台。用来跟网络设备交互,下发配置。
如有要做policy,需要跟ISE联动。ISE独立于DNA体系的,需要额外购买,可以用虚机版的,也可以用物理机的,需要手动配置DNA里面。如果购买的是虚机版本的话,那么还需要购买相应的license;如果购买的是物理机,那么直接拿来用就好了。
需要DNA Controller联网,连接到Cisco的后台云,NDP。ISE是一个独立的软件。NDP没有独立的UI界面。
如果需要复杂的配置下发,需要建立fabric,就是vxlan的网络。
策略:分段策略、Qos策略、流量策略
assruance:健康度、设备明细、故障定位等
Fabric:构建一个vxlan网络,来实现sda。要做sda的话,务必多搞清除几个名词。在一个sda网络中,有一些角色。
sda的fabric角色
这些角色不是用命令行配的,但是自己创建fabric,你把不同的设备拽到fabric里面去。需要管角色。自动会下发配置。
CP(control plain)最重要的,类似于协调器,知道全网的状态。这里面练级了数据库。不参与建隧道。
Edge 边缘设备 这个是建tunnel的。
纯二层网络:不好管理,只能依靠vlan和stp来进行管理
纯三层网络:二层的vlan怎么弄。
业界主推overlay,现在的目标就是都用三层组网,但是建一个隧道做二层。overlay,有钱可以上控制器,没钱的最起码配置vxlan。二层透传。overlay具有很多优良特性。
Border 给你去与外部通信,通信不仅仅是edge到edge,有时有需求要访问到外部的网络。内外需要打通,有时对接公共的服务器。做了一个边界。
如果不牵扯无线的话,就是以上三个设备。后期可以讨论无线设备。就三个角色。
所谓的兼容性列表,就是看不同角色支持哪些设备型号,以及设备对应的软件版本。售后务必需要注意这些,否则很可能会不支持的。
隧道也分二层和三层的。
工作原理:
1.控制平面 LISP协议:就是cp来主导,他来收集二层的条目协议,远远比vxlan 的另外一种控制协议要简单。
2.转发平面 VXLAN
3.策略平面 CTS(Cisco trustSec,是一个安全组的打标机制 )
入口打标签,出口匹配SGACL
underlay是手工部署的吗?
新建大楼可以做自动化的,underlay可以全自动的。但是现网割接的话,有传统网络的话,underlay是无法自动化的,需要手工配置的。比如不能动中间设备,只能动边缘设备。在这种情况下就只能手工部署underlay。
Option82这个概念暂时不是很清楚。
ISE安装手册找官方找。需要买license。相比而言,虚机比较灵活,建议可以使用虚机,但是需要购买相应的license。
DNA的API功能。
SGT策略是基于请求的。
两种架构控制器
这两者最后还是要打通的。
如果你要好好管理的API,platform,要用好他的platform,可以自定义的话,那么就需要懂编程语言。
ISE有没有集成
初始化时:端口是2222不是22
PnP
Psn是什么玩意
CP经常会跟border复用。
