如今,随着企业越来越多的投资数字技术,不断增大的企业网络规模,经常使得运维团队疲于应对,运维成本增大,运维效率滑坡。为了减轻运维负担,同时提高运维效率,高效管理用户和应用,从而诞生了SD-Access!
SD-Access,全称:SoftwareDefined Access。如同SD-WAN,ACI一样,SDA是通过软件的方式来定义企业网。在一个集成化的控制平台,运维和管理,统一下发策略、网络设备配置等。本篇旨在将SDA介绍、展示给各位对SDA感兴趣的小伙伴~
一、SDA Overview:
SDA架构抽象图
SDA宏观拓扑结构图
DNA Controller – DNA Center通过多个共享服务和App来提供了GUI的管理和功能。如上topo图所示的蓝色图标:
ISE - 用于动态用户或者设备的group映射和策略定义。如上topo图所示的绿色图标:
Control-Plane Nodes – 映射系统,用于Endpoint ID和设备之间的映射关系。如上topo图所示的“C”设备:
Border Nodes – 一个Fabric内的设备,用于连接SDA Fabric和外部三层网络。如上topo图所示的两个“B”设备:SDA Fabric内的寻址使用LISP协议,是基于位置的寻址,CP Nodes存储和记录EID(IP prefix)SDA Fabric内的寻址使用LISP协议,是基于位置的寻址,CP Nodes存储和记录EID(IP prefix)
Edge Nodes – 一个Fabric内的设备,用于连接有线Endpoint和SDA Fabric。如topo图所示的最底下一排的4个设备:
Fabric Wireless Controller – 一个Fabric内的无线控制器(WLC),用于连接无线endpoint和SDA Fabric。如上topo图所示的:
NCP - Network Controller Platform,包含了各种设置、各种协议、和各种表项来实现自动化管理underlay和overlay网络。PS:包括有线和无线。如上topo图显示:
NDP - Network Data Platform,包含了各种设置、各种协议、和各种表项来监控和分析主机,以及underlay、overlay的网络设备的情况。PS:包括有线和无线。如上topo图显示:
接下来,我们逐一的看看这些组件~
1/ Edge Nodes功能:
- 为连接到SDAFabric的用户/设备提供第一跳服务。
- 负责识别和认证endpoint(802.1X, Active Directory等)。
- 将特定的endpointID信息注册到control-planenodes。
- 为所连接的endpoint提供一个Anycast L3网关(所有edge nodes上的IP地址相同)。
- 为所连接的endpoint提供数据流量的封装/解封装。
通常可以使用Cisco Catalyst 3650/3850/4500/9300/9400作为Edge Nodes。PS:本文旨在介绍SDA,设备选型仅做参考!
2/ Control Plane Nodes(CP Nodes)功能:
- 运行一个主机跟踪数据库(HostTracking Database)来映射位置信息。
- 一个简单的主机跟踪数据库映射endpointID和当前位置,以及其他属性信息。
- 主机数据库支持多种类型的EndpointID查找类型(IPv4、IPv6或MAC)。
- 针对已知的IP前缀,CP Nodes接收edge and/or border发来的endpoint ID映射注册信息。
- 解析来自edgeand/or border的查找请求,以定位目标endpointID。
通常可以使用Cisco Catalyst 3850/9500/6800以及ASR1K, ISR4K & CSRv作为CP Nodes。PS:本文旨在介绍SDA,设备选型仅做参考!
3/ Border Nodes功能:
- 它是一个所有流量进、出Fabric的出入节点。
- Border又分为:Fabric Border,用于“Known” Routes。Default Border,用于“Unknown” Routes。如上图所示的两个“B”设备。
通常可以使用Cisco Catalyst 3850/9500/6800/以及ASR1K& ISR4K和Nexus 7K。PS:本文旨在介绍SDA,设备选型仅做参考!
4/ Fabric Enabled WLC功能:
- 为无线终端集成到SDAFabric提供支持。
- 通过Border连接到Fabric(Underlay)。
- Fabric Enabled AP连接到WLC(CAPWAP)使用一个专用的主机池(Overlay)。
- Fabric Enabled AP通过VXLAN连接到Edge节点。
- 无线客户端(ssid)使用常规的主机池来处理数据流量和策略(与有线endpoint相同)。
- Fabric Enabled WLC到CP Nodes注册客户端信息。
通常可以使用:Cisco AIR-CT3504/AIR-CT5520/AIR-CT8540/Wave 1or2 APs。PS:本文旨在介绍SDA,设备选型仅做参考!
5/ NCP功能:
NCP互操作逻辑图
- 发现已存在fabric内的思科路由器、交换机、无线控制器。
- 维护网络设备和主机的详细信息,比如配置和软件版本。
- 思科交换机、路由器、无线控制器的自动化部署。
- 创建可视化数据路径,以加速连接性问题的故障排除。
- 自动化服务质量(QoS),以对网络中的应用程序进行优先级排序。
- EN Service Automation (ESA): 自动部署物理和虚拟网络服务。
6/ NDP功能:
NDP互操作逻辑图
- 为物理层、网络层提供了数据收集、分析、诊断服务。
- NDP能够以多种形式从网络设备中收集多种类型的信息,包括syslog、SNMP、NetFlow、SPAN、Streaming Telemetry等。
- NDP也能收集和使用ISE、NCP的信息。
- NDP分析并关联所有这些不同来源的各种网络事件,了解历史趋势。
- NDP也会使用这些信息向NCP和ISE提供信息,然后向管理层(management layer)提供网络运行状态和其他信息。
7/ ISE功能:
ISE互操作逻辑图
- ISE的基本角色是为物理层和网络层提供所有的标识和策略服务。
- ISE能够识别和分析各种形式的网络设备和终端的认证方式,包括AAA/RADIUS、802.1X、MAC Authentication Bypass (MAB),Web Authentication, EasyConnect等。
- ISE也会收集和使用NDP和NCP的信息。
- ISE将终端放置到正确的安全组和主机池。
- ISE使用这些信息向NCP和NDP提供信息,因此用户可以从管理层(management layer)创建和管理基于组的策略。
- ISE还负责在网络设备上编写基于组的策略。
二、SDA underlay/overlay
underlay/overlay
1/ Manual Underlay:可以继续使用当前已有的IP网络作为underlay。
- 要保证Edge to Edge/Border/CP的IP可达。
- 可以使用L2或者L3,建议L3。
- 可以使用任何IGP,建议IS-IS。
- 注意调整MTU,有50字节的外层头封装(VXLAN封装)。
- 保证RTT的延时小于等于100毫秒。
2/ Automated Underlay:规范的、完全自动化的、IP underlay。
- 启动引导程序使用标准的PNP。
- 是空配或可被删除配置的设备。
- 使用一个全局“underlay”地址池。
- PNP需要预配置。
三、Control-plane & Data-plane:
1/ control-plane:LISP
使用LISP协议,实现基于位置的查表转发。几个角色分工:
- Map database:存储EID与RLOC的映射,它可以分布在多个LISP设备上。
- Tunnel Router - XTR:Edge节点,封装/解封装;XTR又分为:Ingress/Egress (ITR/ETR)。
- Proxy Tunnel Router -PXTR:连接LISP域与非LISP域;PXTR又分为Ingress/Egress (PITR/PETR)。
EID= End-pointIdentifier,主机地址或子网。RLOC= Routing Locator,本地路由器地址。
用一句话总结:SDA Fabric内的寻址使用LISP协议,是基于位置的寻址,CP Nodes存储和记录EID(IP prefix)和RLOC(Next-hop路由器地址)!
2/ data-plane:VXLAN
用一句话总结:VXLAN封装,Edge设备负责封装/解封装!
四、Fabric constructs
- Virtual network: 为基于网络的segment policy提供独立(隔离)的路由转发结构。
“VirtualNetwork”≈ “VN” ≈ “VRF” ≈ “LISP Instance”:VRF路由隔离,增加安全性
- Security group: 为基于group的segment policy提供一个惟一的(与地址无关的)endpoint分组构造。
“VirtualNetwork”≈ “VN” ≈ “VRF” ≈ “LISP Instance”:VRF路由隔离,增加安全性
- Host (address) pool: 提供必要的IP地址/掩码信息。
“HostPool”≈ “Dynamic EID” ≈ “VLAN+ Address”
五、DNA controller:
DNA Center与 Campus Fabric的互操作逻辑图
DNA Web页面:图形化界面的系统,鼠标点点点!PS:并非全部功能页面,仅截取部分进行展示。
例行结束语:如果想要进一步了解SDA,敬请持续关注~