EI CCIE学习笔记-SDAccess之一:SDAccess解决方案

Chapter 1 SD-Access Solution Proposal

1.1 概念引入

SDN三要素:集中控制、转控分离、可编程

DNA
DNA:Digital Network Architecture数字网络架构

  • 思科提出的跨园区,分支机构,WAN和扩展企业的企业网络架构
  • 它提供了一种开放,可扩展的,软件驱动的方法,是网络更易于管理,更加敏捷和响应满足业务需求
  • 是一个智能系统,包含策略、自动化、分析和开放平台功能,以交付基于意图的网络的所有必需方面

北向接口:面向管理员/用户的接口
南向接口:面向设备的接口
东西向接口:用于组件的扩展,如DNS,DHCP等

在这里插入图片描述

DNAC - Cisco DNA Center

  • 完善的网络管理功能

    • 所有设备的单一控制台
    • 实时端到端健康信息
    • 细粒度可见度
    • 简化的工作流程
  • 分析保证

    • 验证网络设置的意图
    • 主动解决问题
    • 减少故障排除时间
  • 自动配置

    • 零接触部署(ZTP)
    • 设备声明周期管理
    • 政策执行
  • 扩展平台

    • 将API与第三方解决方案集成
    • 立即集成和定制服务
    • 不断发展的运营工具和流程

DNAC的五大功能

  1. Design-设计:Global Settings;Site Profiles;DDI、SWIM、PNP;User Access
  2. Policy-策略:Virtual Networks(VN);ISE、AAA、RADIUS;Endpoint Groups;Group Policies
  3. Provision-部署:Fabric domains;CP、Border、Edge;SDA、OTT WLAN;External Connect
  4. ASSURANCE-保障:Health Dashboard;360° Views;Net、Device、Client;Path Traces
  5. 外加API和其他平台的协作

自动化主要应用案例

1. Plug and Play——即插即用

  • 有线和无线网络的零接触部署
  • 适用于所有部署类型(DHCP,DNS,移动应用,USB)的强大发现机制
  • PnP连接云重定向服务
  • 与Cisco DNA Center中的通用服务集成,例如SWIM,模板编辑器和只能账户集成

2. Wireless Autotion

  • 使用CSV更新简化了AP的批量部署
  • WLC支持Brownfield
  • WLAN网络的高级配置(SSID,默认RF配置文件)
  • 支持来宾锚定

3. Standard Change Automation

  • 自动化标准网络更改,例如网络设置和设备凭据

4. Application Policy

  • 基于标准的QoS策略部署
  • 简化的工作流程-保存,预检查,预览等
  • 针对有线和无线基础架构进行了优化

5. Software Image Management

  • 过滤过时的设备以轻松升级
  • 升级前详细的预验证报告
  • SWIN无线增强
  • 镜像激活与分配分离
  • 滚动AP升级

6. RMA

  • 快速回复故障设备
  • 恢复进行、配置
  • 有线和无线设备更换的统一工作流程
  • 同时支持SDA和非SDA设备

Underlay——现有传统的L2/L3网络——Underlay设备仅需要配置ISIS(不需要手动配置),配置精简,稳定,快速横向扩展,规避STP风险
Overlay——逻辑的Fabric网络——通过VxLAN代理VLAN,实现大二层技术,与终端接入位置无关,任意漫游(通过Anycast Gateway实现)

Overlay在网络技术领域,指的是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其他网络业务分离,并且以基于IP的基础网络技术为主。Overlay技术是在现有的物理网络之上构建一个虚拟网络,上层应用只与虚拟网络相关(比如GRE隧道等技术)。

Overlay网络技术由三部分组成:

  • 边缘设备:指与虚拟机,终端直接相连的设备
  • 控制平面:主要负责虚拟隧道的建立维护以及主机可达性信息的通告
  • 转发平面:承载Overlay报文的物理网络或者VxLAN

1.2 SDA解决方案

SDA的关键技术

在这里插入图片描述


Fabric:提供一个overlay的网络

  • Overlay网络是一种逻辑拓扑,同于虚拟连接设备,建立在某些任意物理底层拓扑之上
  • Overlay网络通常使用备用转发属性来提供附加服务,而不是底层提供的服务

SDA Fabric特点

  • Control Plane Based on LISP,位置与身份分离,不管终端如何移动,IP地址始终跟随
  • Data Plane Based on VXLAN,逻辑拓扑和物理拓扑解耦,屏蔽底层,抽象连接
  • Policy Plane with Cisco TrustSec(CTS)

VN(Virtual Network):一级分段确保转发域之间的零通信

二层次结构-Macro Level(宏观)

在这里插入图片描述


SG(Scalable Group):第二级分段课确保虚拟网络中两个组之间基于角色的访问控制

二层次结构-Micro Level(微观)

在这里插入图片描述


控制器层

该层可以进一步分为三个子系统。DNAC中默认就存在的,但是身份和策略服务需要ISE实现。

  1. 基础和Fabric自动化:包含应用程序设置,协议和表,以支持网络设备(底层和覆盖)和相关服务(Cisco Network Controller Platform【NCP】)的自动化。(先底层网络Underlay,然后再Fabric)
  2. 保证和分析:包含应用程序设置,协议和表,以支持收集和分析用户,网络和应用程序的状态(Cisco Network Data Platform【NDP】。)。
  3. 身份和策略服务:包含支持端点标识和策略实施服务的应用程序设置,协议和表(Cisco ISE)
管理层

直接地说,管理层就是DNAC的GUI。
在部署Fabric时没必要理解LISP(控制层面)、VxLAN(数据层面)和TrustSec

Cisco DNAC

SD-Access解决方案自动化的核心就是Cisco DNA Center。

Platform

允许使用API、使用特性集捆绑包、配置、运行时仪表板和开发人员工具包,以编程方式访问网络和与第三方系统的系统集成。

SGT和VN

在每隔VN中启用基于组的分段允许简化的分层网络策略。使用VN可以实现隔离控制和数据平面的网络级别策略范围,并可以使用VN内的SGT实现组级别的策略范围,从而实现跨有线和无线结构的通用策略应用。

SGT提高工基于网络中角色或功能标记端点流量的能力,并受ISE集中定义的基于角色的策略或SGACL的约束。在许多部署中,AD用作用户账户,凭据和组成员身份信息的标识存储。成功授权后,可以根据该信息对端点进行分类,并将其分配到适当的SGT。然后,可以使用这些SGT来创建分段策略和VN分配规则。

SGT信息以多种形式通过网络传输:

在SD-Access网络内部:SD-Access Fabric头部传输SGT信息。Fabric Edge节点和Border节点可以强制执行SGACL以强制执行安全策略。(Main,在不同的站点之间在传递策略)
在具有Cisco TrustSec能力的Fabric外部设备上:具有Cisco TrustSec能力的内联设备在二层帧的CMD报头中携带SGT信息。这是SD-Access网络之外的推荐传输模式。(可通过防火墙实现)
在没有Cisco TrustSec能力的Fabric外部设备上:SXP允许通过TCP连接传输SGT。这可用于绕过不支持SGT内联的网络设备。

主机上线

Host Onboarding-主机上线

需要选择认证模板(Authentication Template),当选择了默认的主机认证模板后,这将会被应用到所有的Fabric Edge主机端口(有静态的端口分配情况除外)

认证方式
  1. Closed Authentication:要求最严格
  2. OPEN Authentication
  3. Easy Connect
  4. No Authentication:(Unsecure.Optimal for networks that don’t support authentication or require static configuration)即当设备不支持认证等情况下或静态配置情况下
Virtual Networks

选择一个VN,并关联一个或多个IP地址池
之后选择的参数:IP Pool name是什么、Traffic Type(data&voice)、Add pool、L2 Extension、L2 Flooding、Group(扩展组,可选默认未选择)…
基本操作——选择对应的VN、数据类型;也可以基于VN定义SGT,如上所说,默认未选择(如果选择了,该VN就属于特定的组)。

宏观调控基于VN
微观调控基于SGT

关于Host地址池
  • 为每隔连接的终端提供基本的IP功能。
  • 边缘节点(Edge)使用SVI作为终端的网关。
  • Fabric使用动态EID(Endpoint Identifier,基于示例)映射来通告主机地址池。
  • Fabric动态EID允许特定的主机(如/32,/128或MAC)通告并且形成/32 /128 /MAC作为动态EID,即LISP表
  • 主机地址池可以动态和/静态分配(静态时针对每个端口,动态时通过主机认证)

1.3 SDA三大角色

在这里插入图片描述

  • Network Automation:简单的图形用户界面和基于意图的自动化设备的用户界面和基于意图的自动化(例如NCP),其实就是管理设备
  • Network Assurance:数据收集器(如NDP)分析终端到APP流并监视Fabric状态
  • Identity Services:NAC和ID系统(如ISE)用于终端到组的映射和策略定义
  • Control-Plane Nodes:管理终端到设备关系的映射系统
  • Fabric Border Nodes:将外部L3网络连接到SD-Access Fabric的设备(例如Core)
  • Fabric Edge Nodes:将有线终端连接到SD-Access Fabric的设备(例如access或distribution)
  • Fabric Wireless Controller:将AP和无线终端连接到SD-Access Fabric的设备(WLC)

1.3.1 Control-Plane Nodes

Control-Plane Node runs a Host Tracking Database to map location information

  • 一个简单的主机数据库,可将终端ID以及其他属性映射到当前位置
  • 主机数据库支持多种类型的终端ID查找类型(IPv4,IPv6或MAC)
  • 从边缘和/或边界节点接受针对“known”IP前缀的终端ID映射注册
  • 解决来自边缘和/或边界节点的查找请求,以找到目标终端ID

1.3.2 Edge Nodes

Edge Node provides first-hop services for User/Devices connected to a Fabric

  • 负责识别和验证终端(例如:静态,802.1X,Active Directory)
  • 向控制平面节点注册特定的终端ID信息(例如32位或128位
  • 为连接的终端提供一个Anycast L3网关(所有Edge节点上的IP地址相同)
  • 执行往返所有已连接终端的数据流量的封装/解封装

1.3.3 Border Nodes

Border Node is an Entry & Exit point fort data traffic going into & Out of a Fabric

三种Border

  • Internal Border(Inside):仅连接到公司的已知区域,连接内部不支持SDA的网络
  • External Border(Outside):仅连接到公司外部的未知区域,向内部推送默认路由
  • Internal + External(Anywhere):连接transit区域和公司的已知区域
1.3.3.1 Internal Border

向外部通告End Point,向内部通告已知子网

  • 连接到外部网络可用的任何“已知”IP子网(例如:DC、WLC、FW等)
  • 使用传统的IP路由协议将所有内部IP池导出到外部(作为集合)
  • 从外部导入(注册)IP子网并将其注册到Control Plane Map System中
  • 交接要求将上下文(VRF和SGT)从一个域映射到另一个域
1.3.3.2 External Border

通往未知目的地的“最后的门户”

  • 连接到网络外部的任何“未知”IP子网(例如,Internet,公共云)
  • 将所有内部IP池外部(作为集合)导出到传统IP路由协议中
  • 不导入未知路线,如果Control Plane中没有可用的条目,则为“默认”出口
  • 交接要求将context(VRF和SGT)从一个域映射到另一个域

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/748686.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

win10 C:\Users\Administrator

win10 C:\Users\Administrator C:\Users\Administrator\Documents\ C:\Users\Administrator\Pictures C:\Users\Administrator\Favorites C:\Users\Administrator\Links C:\Users\Administrator\Videos

Shopee API接口——获取商家店铺商品列表

一、引言 在跨境电商领域,Shopee作为东南亚地区领先的电商平台,为众多商家提供了广阔的市场和丰富的销售机会。本文将详细介绍如何通过Shopee API获取商家店铺商品列表,并探讨其应用场景。 二、核心功能介绍 Shopee API获取商家店铺商品列…

数据结构(Java):ArrayList的应用

1、引言 上一篇博客,已经为大家讲解了集合类ArrayList。 这篇博客,就来帮助大家学会使用ArrayList。 2、题1: 删除字符(热身题) 题目:给出str1和str2两个字符串,删除str1中出现的所有的str2…

【线代基础】张宇30讲+300题错题整理

第一章 行列式 1. 2. 第二章 矩阵 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 第三章 向量 1. 2. 3. 第四章 线性方程组 1. 2. 3. 4. 5. 6. 7. 8. 9. 第五章 特征值与特征向量 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 第六章 二次型 1. 2. 3. 4. 5. 终于结束了线性…

【Mysql】多表关系设计

多表关系设计 实际开发中,一个项目通常需要很多张表才能完成。例如:一个商城项目就需要分类表(category)、商品表(products)、订单表(orders)等多张表。且这些表的数据之间存在一定的关系,接下来我们一起学习一下多表关系设计方面的知识 一对…

系统性掌握C++17容器四件套:std::optional, std::any, std::variant, std::tuple

昨天在写《深入探讨C的高级反射机制(2):写个能用的反射库》的时候,正好遇到动态反射需要的类型擦除技术。所谓的类型擦除,就是在两个模块之间的接口层没有任何类型信息,实现两个模块之间安全的通信。可以理…

Unity3D Text使用超链接跳转事件

系列文章目录 Unity工具 文章目录 系列文章目录👉前言👉一、第一种使用TextMeshPro加入超链接👉二、继承Text组件,重载OnPopulateMesh方法👉三.壁纸分享👉总结 👉前言 有时候会用到跳转的问题,所以添加一…

Flutter第十五弹 Flutter插件

目标: 1.Flutter插件是什么?有什么作用? 2.怎么创建Flutter插件? 一、什么是插件 在flutter中,一个插件叫做一个package,使用packages的目的就是为了达到模块化,可以创建出可被复用和共享的代…

关于PX4模拟机型的拓展

#多旋翼 #四旋翼(默认) sudo make px4_sitl gazebo #带光流的四旋翼 sudo make px4_sitl gazebo_iris_opt_flow #3DR Solo(四旋翼) sudo make px4_sitl gazebo_solo #Typhoon H480(六旋翼) sudo make px4_s…

超声波清洗机对眼镜有伤害吗?四大顶尖优品公认力作!

超声波清洗机利用超声波在液体中产生的微小气泡爆炸,产生强大的冲击力,能够深入物品的各个角落,有效去除油污、灰尘和细菌。与传统的手工清洗相比,不仅清洁效率高,而且能够保护眼镜不受损伤,特别适合清洗眼…

海纳斯 hinas 的hi3798mv100 华为悦盒 6108v9 安装wifi模块

hi3798mv100安装wifi模块 1.执行脚本 &#xff0c;执行完毕后重启服务器2. 继续执行脚本3.检查网卡驱动安装是否正确4.查看网卡安装状态5.连接wifi结尾 1.执行脚本 &#xff0c;执行完毕后重启服务器 bash <(curl -sSL https://gitee.com/xjxjin/scripts/raw/main/install_…

7km远距离WiFi实时图传模块,无人机海上无线传输方案,飞睿智能WiFi MESH自组网技术

在浩瀚无垠的海洋上&#xff0c;无人机正在开启一场前所未有的技术创新。它们不再只是天空的舞者&#xff0c;更是海洋的守望者&#xff0c;为我们带来前所未有的视野和数据。而这一切的背后&#xff0c;都离不开一项创新性的技术——飞睿智能远距离WiFi实时图传模块与无线Mesh…

链式队列算法库构建

学习贺利坚老师课程,构建链式队列算法库 数据结构之自建算法库——链队&#xff08;链式队列&#xff09;_数据结构函数链队列的算法框架有哪些-CSDN博客文章浏览阅读6.2k次&#xff0c;点赞3次&#xff0c;收藏9次。本文针对数据结构基础系列网络课程(3)&#xff1a;栈和队列…

机器学习--概念理解

知识点 一、机器学习概述 人工智能 机器学习 深度学习 学习的范围&#xff1a;模式识别、数据挖掘、统计学习、计算机视觉、语音识别、自然语言处理 可以解决的问题&#xff1a;给定数据的预测问题 二、机器学习的类型 监督学习 分类 回归 无监督学习 聚类 降维 强化…

iOS项目开发遇到问题杂项坑点记录

ios17 弹窗UIAlertController展示逻辑变化&#xff0c;单个词一行展示不下不换行&#xff08;这前版本会换行&#xff09;&#xff0c;直接截断超出部分。 UINavigationController push立刻pop会异常&#xff0c;使用用setViewCollerllers可以避免这个问题 键盘切换后立刻切页…

【React Native】measureInWindow在安卓上无法正确获取View在屏幕上的布局信息

问题描述&#xff1a; 在React Native中&#xff0c;我们可以使用measureInWindow的方式去获取一个View在屏幕中的位置信息&#xff1a; 下面这个Demo中&#xff0c;我们写了一个页面HomePage和一个列表项组件ListItemA&#xff0c;我们期望每过5s监测一次列表中每一项在屏幕中…

通过搭建 24 点小游戏应用实战,带你了解 AppBuilder 的技术原理

本文将通过一个 24 点小游戏的案例&#xff0c;详细介绍百度智能云千帆 AppBuilder 的基本技术原理和使用方法&#xff0c;帮助读者快速掌握 AI 原生应用的开发流程。 1 三步构建 AI 原生应用方法论 AI 原生应用与传统应用的最大区别是交互形态彻底的拟人化&#xff0c;通过文…

【Linux学习十八】网站管理:防火墙介绍、静态站点、动态站点、域名

1.Apache Apache官网: www.apache.org 软件包名称: httpd 服务端口:80/tcp(http) 443/tcp(https) 配置文件: /etc/httpd/conf/httpd.conf 子配置文件:/etc/httpd/conf.d/*.conf 查看被占用的端口号 netstat -tuln | grep <端口号> 解哪个程序正在使用端口 80&#xff0…

vue封装原生table表格方法

适用场景&#xff1a;有若干个表格&#xff0c;前面几列格式不一致&#xff0c;但是后面几列格式皆为占一个单元格&#xff0c;所以需要封装表格&#xff0c;表格元素自动根据数据结构生成即可&#xff1b;并且用户可新增列数据。 分类&#xff1a; 固定数据部分 就是根据数据…

docker配置redis主从复制

下载redis,复制redis.conf 主节点(6379) 修改redis.conf # bind 127.0.0.1 # 注释掉这里 protected-mode no # 改为no port 6379从节点(6380) 修改redis.conf bind 127.0.0.1 protected-mode no # 改为no port 6380 replicaof 172.17.0.2 6379 # 这里的ip为主节点容器的i…