基本知識:
1、SDN的核心理念——轉控分離
2、DNAC Fabric的角色包含Border、CP(Control-Plane)和Edge
CP節點:管理終端和網絡設備關系的映射系統,和LISP協議有關。
Border節點:一個Fabric設備(類比核心設備),用於連接Fabric和外部的3層網絡
Edge節點:一個Fabric設備(類比接入層或者分布層設備)用於連接有線終端。
LISP(ip over ip)
VxLAN(mac in ip)
Scalable Group Tag (SGT,擴展組) 或者ISE上又叫 Security Group Tag (SGT,安全組)
VN(Virtual Network)
一、DNAC的五大功能
1、Design-設計:Global Settings;Site Profiles;DDI、SWIM、PNP;User Access
2、Policy-策略:Virtual Networks(VN);ISE、AAA、RADIUS;Endpoint Groups;Group Policies
3、Provision-部署:Fabric domains;CP、Border、Edge;SDA、OTT WLAN;External Connect
4、ASSURANCE-保障:Health Dashboard;360° Views;Net、Device、Client;Path Traces
5、外加API和其他平台的協作
Underlay——現有傳統的L2/L3網絡——Underlay設備僅需要配置ISIS(不需要手動配置),配置精簡,穩定,快速橫向擴展,規避STP風險
Overlay——邏輯的Fabric網絡——通過VxLAN代理VLAN,實現大二層技術,與終端接入位置無關,任意漫游(通過Anycast Gateway實現)
Overlay在網絡技術領域,指的是一種網絡架構上疊加的虛擬化技術模式,其大體框架是對基礎網絡不進行大規模修改的條件下,實現應用在網絡上的承載,並能與其他網絡業務分離,並且以基於IP的基礎網絡技術為主。Overlay技術是在現有的物理網絡之上構建一個虛擬網絡,上層應用只與虛擬網絡相關(比如GRE隧道等技術)。
Overlay網絡技術由三部分組成:
-邊緣設備:指與虛擬機,終端直接相連的設備
-控制平面:主要負責虛擬隧道的建立維護以及主機可達性信息的通告
-轉發平面:承載Overlay報文的物理網絡或者VxLAN
Q1:Fabric如何和傳統(不支持DNAC管理)的網絡聯動→L2 Handoff
二、各個層面
控制器層
該層可以進一步分為三個子系統。DNAC中默認就存在的,但是身份和策略服務需要ISE實現。
1、基礎和Fabric自動化:包含應用程序設置,協議和表,以支持網絡設備(底層和覆蓋)和相關服務(Cisco Network Controller Platform【NCP】)的自動化。(先底層網絡Underlay,然后再Fabric)
2、保證和分析:包含應用程序設置,協議和表,以支持收集和分析用戶,網絡和應用程序的狀態(Cisco Network Data Platform【NDP】。)。
3、身份和策略服務:包含支持端點標識和策略實施服務的應用程序設置,協議和表(Cisco ISE)
管理層
直接地說,管理層就是DNAC的GUI。
在部署Fabric時沒必要理解LISP(控制層面)、VxLAN(數據層面)和TrustSec
Cisco DNAC
SD-Access解決方案自動化的核心就是Cisco DNA Center。
Platform
允許使用API、使用特性集捆綁包、配置、運行時儀表板和開發人員工具包,以編程方式訪問網絡和與第三方系統的系統集成。
三、SGT和VN
在每隔VN中啟用基於組的分段允許簡化的分層網絡策略。使用VN可以實現隔離控制和數據平面的網絡級別策略范圍,並可以使用VN內的SGT實現組級別的策略范圍,從而實現跨有線和無線結構的通用策略應用。
SGT提高工基於網絡中角色或功能標記端點流量的能力,並受ISE集中定義的基於角色的策略或SGACL的約束。在許多部署中,AD用作用戶賬戶,憑據和組成員身份信息的標識存儲。成功授權后,可以根據該信息對端點進行分類,並將其分配到適當的SGT。然后,可以使用這些SGT來創建分段策略和VN分配規則。
SGT信息以多種形式通過網絡傳輸:
在SD-Access網絡內部:SD-Access Fabric頭部傳輸SGT信息。Fabric Edge節點和Border節點可以強制執行SGACL以強制執行安全策略。(Main,在不同的站點之間在傳遞策略)
在具有Cisco TrustSec能力的Fabric外部設備上:具有Cisco TrustSec能力的內聯設備在二層幀的CMD報頭中攜帶SGT信息。這是SD-Access網絡之外的推薦傳輸模式。(可通過防火牆實現)
在沒有Cisco TrustSec能力的Fabric外部設備上:SXP允許通過TCP連接傳輸SGT。這可用於繞過不支持SGT內聯的網絡設備。
四、主機上線
Host Onboarding-主機上線
需要選擇認證模板(Authentication Template),當選擇了默認的主機認證模板后,這將會被應用到所有的Fabric Edge主機端口(有靜態的端口分配情況除外)
認證方式:
1、Closed Authentication:要求最嚴格
2、OPEN Authentication
3、Easy Connect
4、No Authentication:(Unsecure.Optimal for networks that don't support authentication or require static configuration)即當設備不支持認證等情況下或靜態配置情況下
Virtual Networks:
選擇一個VN,並關聯一個或多個IP地址池
之后選擇的參數:IP Pool name是什么、Traffic Type(data&voice)、Add pool、L2 Extension、L2 Flooding、Group(擴展組,可選默認未選擇)...
基本操作——選擇對應的VN、數據類型;也可以基於VN定義SGT,如上所說,默認未選擇(如果選擇了,該VN就屬於特定的組)。
宏觀調控基於VN
微觀調控基於SGT
關於Host地址池:
-為每隔連接的終端提供基本的IP功能。
-邊緣節點(Edge)使用SVI作為終端的網關。
-Fabric使用動態EID(Endpoint Identifier,基於示例)映射來通告主機地址池。
-Fabric動態EID允許特定的主機(如/32,/128或MAC)通告並且形成/32 /128 /MAC作為動態EID,即LISP表
-主機地址池可以動態和/靜態分配(靜態時針對每個端口,動態時通過主機認證)