SD-Access基本知识
基本知识:1、SDN的核心理念——转控分离
2、DNAC Fabric的角色包含Border、CP(Control-Plane)和Edge
CP节点:管理终端和网络设备关系的映射系统,和LISP协议有关。
Border节点:一个Fabric设备(类比核心设备),用于连接Fabric和外部的3层网络
Edge节点:一个Fabric设备(类比接入层或者分布层设备)用于连接有线终端。
LISP(ip over ip)
VxLAN(mac in ip)
Scalable Group Tag (SGT,扩展组) 或者ISE上又叫 Security Group Tag (SGT,安全组)
VN(Virtual Network)
一、DNAC的五大功能
1、Design-设计:Global Settings;Site Profiles;DDI、SWIM、PNP;User Access
2、Policy-策略:Virtual Networks(VN);ISE、AAA、RADIUS;Endpoint Groups;Group Policies
3、Provision-部署:Fabric domains;CP、Border、Edge;SDA、OTT WLAN;External Connect
4、ASSURANCE-保障:Health Dashboard;360° Views;Net、Device、Client;Path Traces
5、外加API和其他平台的协作
Underlay——现有传统的L2/L3网络——Underlay设备仅需要配置ISIS(不需要手动配置),配置精简,稳定,快速横向扩展,规避STP风险
Overlay——逻辑的Fabric网络——通过VxLAN代理VLAN,实现大二层技术,与终端接入位置无关,任意漫游(通过Anycast Gateway实现)
Overlay在网络技术领域,指的是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其他网络业务分离,并且以基于IP的基础网络技术为主。Overlay技术是在现有的物理网络之上构建一个虚拟网络,上层应用只与虚拟网络相关(比如GRE隧道等技术)。
Overlay网络技术由三部分组成:
-边缘设备:指与虚拟机,终端直接相连的设备
-控制平面:主要负责虚拟隧道的建立维护以及主机可达性信息的通告
-转发平面:承载Overlay报文的物理网络或者VxLAN
Q1:Fabric如何和传统(不支持DNAC管理)的网络联动→L2 Handoff
二、各个层面
控制器层
该层可以进一步分为三个子系统。DNAC中默认就存在的,但是身份和策略服务需要ISE实现。
1、基础和Fabric自动化:包含应用程序设置,协议和表,以支持网络设备(底层和覆盖)和相关服务(Cisco Network Controller Platform【NCP】)的自动化。(先底层网络Underlay,然后再Fabric)
2、保证和分析:包含应用程序设置,协议和表,以支持收集和分析用户,网络和应用程序的状态(Cisco Network Data Platform【NDP】。)。
3、身份和策略服务:包含支持端点标识和策略实施服务的应用程序设置,协议和表(Cisco ISE)
管理层
直接地说,管理层就是DNAC的GUI。
在部署Fabric时没必要理解LISP(控制层面)、VxLAN(数据层面)和TrustSec
Cisco DNAC
SD-Access解决方案自动化的核心就是Cisco DNA Center。
Platform
允许使用API、使用特性集捆绑包、配置、运行时仪表板和开发人员工具包,以编程方式访问网络和与第三方系统的系统集成。
三、SGT和VN
在每隔VN中启用基于组的分段允许简化的分层网络策略。使用VN可以实现隔离控制和数据平面的网络级别策略范围,并可以使用VN内的SGT实现组级别的策略范围,从而实现跨有线和无线结构的通用策略应用。
SGT提高工基于网络中角色或功能标记端点流量的能力,并受ISE集中定义的基于角色的策略或SGACL的约束。在许多部署中,AD用作用户账户,凭据和组成员身份信息的标识存储。成功授权后,可以根据该信息对端点进行分类,并将其分配到适当的SGT。然后,可以使用这些SGT来创建分段策略和VN分配规则。
SGT信息以多种形式通过网络传输:
在SD-Access网络内部:SD-Access Fabric头部传输SGT信息。Fabric Edge节点和Border节点可以强制执行SGACL以强制执行安全策略。(Main,在不同的站点之间在传递策略)
在具有Cisco TrustSec能力的Fabric外部设备上:具有Cisco TrustSec能力的内联设备在二层帧的CMD报头中携带SGT信息。这是SD-Access网络之外的推荐传输模式。(可通过防火墙实现)
在没有Cisco TrustSec能力的Fabric外部设备上:SXP允许通过TCP连接传输SGT。这可用于绕过不支持SGT内联的网络设备。
四、主机上线
Host Onboarding-主机上线
需要选择认证模板(Authentication Template),当选择了默认的主机认证模板后,这将会被应用到所有的Fabric Edge主机端口(有静态的端口分配情况除外)
认证方式:
1、Closed Authentication:要求最严格
2、OPEN Authentication
3、Easy Connect
4、No Authentication:(Unsecure.Optimal for networks that don't support authentication or require static configuration)即当设备不支持认证等情况下或静态配置情况下
Virtual Networks:
选择一个VN,并关联一个或多个IP地址池
之后选择的参数:IP Pool name是什么、Traffic Type(data&voice)、Add pool、L2 Extension、L2 Flooding、Group(扩展组,可选默认未选择)...
基本操作——选择对应的VN、数据类型;也可以基于VN定义SGT,如上所说,默认未选择(如果选择了,该VN就属于特定的组)。
宏观调控基于VN
微观调控基于SGT
关于Host地址池:
-为每隔连接的终端提供基本的IP功能。
-边缘节点(Edge)使用SVI作为终端的网关。
-Fabric使用动态EID(Endpoint Identifier,基于示例)映射来通告主机地址池。
-Fabric动态EID允许特定的主机(如/32,/128或MAC)通告并且形成/32 /128 /MAC作为动态EID,即LISP表
-主机地址池可以动态和/静态分配(静态时针对每个端口,动态时通过主机认证)
————————————————
版权声明:本文为CSDN博主「剪刀石头布Cheers」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_22763255/article/details/105526518
感谢分享!感谢分享! 谢谢 Thanks for sharing thanks for sharing! thanks for sharing! thanks for sharing! thanks for sharing! thanks for sharing! thanks for sharing! thanks for sharing! thanks for sharing! 谢谢版主分享 666 6666666 对于np这一块知识很关键,收藏了
页:
[1]
2