Chapter 1 SD-Access Solution Proposal

1.1 概念引入

SDN三要素：集中控制、转控分离、可编程

DNA
DNA:Digital Network Architecture数字网络架构

• 思科提出的跨园区，分支机构，WAN和扩展企业的企业网络架构
• 它提供了一种开放，可扩展的，软件驱动的方法，是网络更易于管理，更加敏捷和响应满足业务需求
• 是一个智能系统，包含策略、自动化、分析和开放平台功能，以交付基于意图的网络的所有必需方面

北向接口：面向管理员/用户的接口
南向接口：面向设备的接口
东西向接口：用于组件的扩展，如DNS，DHCP等

DNAC - Cisco DNA Center

• 完善的网络管理功能

  • 所有设备的单一控制台
  • 实时端到端健康信息
  • 细粒度可见度
  • 简化的工作流程

• 分析保证

  • 验证网络设置的意图
  • 主动解决问题
  • 减少故障排除时间

• 自动配置

  • 零接触部署（ZTP）
  • 设备声明周期管理
  • 政策执行

• 扩展平台

  • 将API与第三方解决方案集成
  • 立即集成和定制服务
  • 不断发展的运营工具和流程

DNAC的五大功能

1. Design-设计：Global Settings；Site Profiles；DDI、SWIM、PNP；User Access
2. Policy-策略：Virtual Networks（VN）；ISE、AAA、RADIUS；Endpoint Groups；Group Policies
3. Provision-部署：Fabric domains；CP、Border、Edge；SDA、OTT WLAN；External Connect
4. ASSURANCE-保障：Health Dashboard；360° Views；Net、Device、Client；Path Traces
5. 外加API和其他平台的协作

自动化主要应用案例

1. Plug and Play——即插即用

• 有线和无线网络的零接触部署
• 适用于所有部署类型（DHCP，DNS，移动应用，USB）的强大发现机制
• PnP连接云重定向服务
• 与Cisco DNA Center中的通用服务集成，例如SWIM，模板编辑器和只能账户集成

2. Wireless Autotion

• 使用CSV更新简化了AP的批量部署
• WLC支持Brownfield
• WLAN网络的高级配置（SSID，默认RF配置文件）
• 支持来宾锚定

3. Standard Change Automation

• 自动化标准网络更改，例如网络设置和设备凭据

4. Application Policy

• 基于标准的QoS策略部署
• 简化的工作流程-保存，预检查，预览等
• 针对有线和无线基础架构进行了优化

5. Software Image Management

• 过滤过时的设备以轻松升级
• 升级前详细的预验证报告
• SWIN无线增强
• 镜像激活与分配分离
• 滚动AP升级

6. RMA

• 快速回复故障设备
• 恢复进行、配置
• 有线和无线设备更换的统一工作流程
• 同时支持SDA和非SDA设备

---

Underlay——现有传统的L2/L3网络——Underlay设备仅需要配置ISIS（不需要手动配置），配置精简，稳定，快速横向扩展，规避STP风险
Overlay——逻辑的Fabric网络——通过VxLAN代理VLAN，实现大二层技术，与终端接入位置无关，任意漫游（通过Anycast Gateway实现）

Overlay在网络技术领域，指的是一种网络架构上叠加的虚拟化技术模式，其大体框架是对基础网络不进行大规模修改的条件下，实现应用在网络上的承载，并能与其他网络业务分离，并且以基于IP的基础网络技术为主。Overlay技术是在现有的物理网络之上构建一个虚拟网络，上层应用只与虚拟网络相关（比如GRE隧道等技术）。

Overlay网络技术由三部分组成：

• 边缘设备：指与虚拟机，终端直接相连的设备
• 控制平面：主要负责虚拟隧道的建立维护以及主机可达性信息的通告
• 转发平面：承载Overlay报文的物理网络或者VxLAN

1.2 SDA解决方案

SDA的关键技术

---

Fabric：提供一个overlay的网络

• Overlay网络是一种逻辑拓扑，同于虚拟连接设备，建立在某些任意物理底层拓扑之上
• Overlay网络通常使用备用转发属性来提供附加服务，而不是底层提供的服务

SDA Fabric特点

• Control Plane Based on LISP，位置与身份分离，不管终端如何移动，IP地址始终跟随
• Data Plane Based on VXLAN，逻辑拓扑和物理拓扑解耦，屏蔽底层，抽象连接
• Policy Plane with Cisco TrustSec（CTS）

VN（Virtual Network）：一级分段确保转发域之间的零通信

二层次结构-Macro Level（宏观）

---

SG（Scalable Group）：第二级分段课确保虚拟网络中两个组之间基于角色的访问控制

二层次结构-Micro Level（微观）

---

控制器层

该层可以进一步分为三个子系统。DNAC中默认就存在的，但是身份和策略服务需要ISE实现。

1. 基础和Fabric自动化：包含应用程序设置，协议和表，以支持网络设备（底层和覆盖）和相关服务（Cisco Network Controller Platform【NCP】）的自动化。（先底层网络Underlay，然后再Fabric）
2. 保证和分析：包含应用程序设置，协议和表，以支持收集和分析用户，网络和应用程序的状态（Cisco Network Data Platform【NDP】。）。
3. 身份和策略服务：包含支持端点标识和策略实施服务的应用程序设置，协议和表（Cisco ISE）

管理层

直接地说，管理层就是DNAC的GUI。
在部署Fabric时没必要理解LISP（控制层面）、VxLAN（数据层面）和TrustSec

Cisco DNAC

SD-Access解决方案自动化的核心就是Cisco DNA Center。

Platform

允许使用API、使用特性集捆绑包、配置、运行时仪表板和开发人员工具包，以编程方式访问网络和与第三方系统的系统集成。

SGT和VN

在每隔VN中启用基于组的分段允许简化的分层网络策略。使用VN可以实现隔离控制和数据平面的网络级别策略范围，并可以使用VN内的SGT实现组级别的策略范围，从而实现跨有线和无线结构的通用策略应用。

SGT提高工基于网络中角色或功能标记端点流量的能力，并受ISE集中定义的基于角色的策略或SGACL的约束。在许多部署中，AD用作用户账户，凭据和组成员身份信息的标识存储。成功授权后，可以根据该信息对端点进行分类，并将其分配到适当的SGT。然后，可以使用这些SGT来创建分段策略和VN分配规则。

SGT信息以多种形式通过网络传输：

在SD-Access网络内部：SD-Access Fabric头部传输SGT信息。Fabric Edge节点和Border节点可以强制执行SGACL以强制执行安全策略。（Main，在不同的站点之间在传递策略）
在具有Cisco TrustSec能力的Fabric外部设备上：具有Cisco TrustSec能力的内联设备在二层帧的CMD报头中携带SGT信息。这是SD-Access网络之外的推荐传输模式。（可通过防火墙实现）
在没有Cisco TrustSec能力的Fabric外部设备上：SXP允许通过TCP连接传输SGT。这可用于绕过不支持SGT内联的网络设备。

主机上线

Host Onboarding-主机上线

需要选择认证模板（Authentication Template），当选择了默认的主机认证模板后，这将会被应用到所有的Fabric Edge主机端口（有静态的端口分配情况除外）

认证方式

1. Closed Authentication：要求最严格
2. OPEN Authentication
3. Easy Connect
4. No Authentication：（Unsecure.Optimal for networks that don’t support authentication or require static configuration）即当设备不支持认证等情况下或静态配置情况下

Virtual Networks

选择一个VN，并关联一个或多个IP地址池
之后选择的参数：IP Pool name是什么、Traffic Type（data&voice）、Add pool、L2 Extension、L2 Flooding、Group（扩展组，可选默认未选择）…
基本操作——选择对应的VN、数据类型；也可以基于VN定义SGT，如上所说，默认未选择（如果选择了，该VN就属于特定的组）。

宏观调控基于VN
微观调控基于SGT

关于Host地址池

• 为每隔连接的终端提供基本的IP功能。
• 边缘节点（Edge）使用SVI作为终端的网关。
• Fabric使用动态EID（Endpoint Identifier，基于示例）映射来通告主机地址池。
• Fabric动态EID允许特定的主机（如/32,/128或MAC）通告并且形成/32 /128 /MAC作为动态EID，即LISP表
• 主机地址池可以动态和/静态分配（静态时针对每个端口，动态时通过主机认证）

1.3 SDA三大角色

• Network Automation：简单的图形用户界面和基于意图的自动化设备的用户界面和基于意图的自动化（例如NCP），其实就是管理设备
• Network Assurance：数据收集器（如NDP）分析终端到APP流并监视Fabric状态
• Identity Services：NAC和ID系统（如ISE）用于终端到组的映射和策略定义
• Control-Plane Nodes：管理终端到设备关系的映射系统
• Fabric Border Nodes：将外部L3网络连接到SD-Access Fabric的设备（例如Core）
• Fabric Edge Nodes：将有线终端连接到SD-Access Fabric的设备（例如access或distribution）
• Fabric Wireless Controller：将AP和无线终端连接到SD-Access Fabric的设备（WLC）

1.3.1 Control-Plane Nodes

Control-Plane Node runs a Host Tracking Database to map location information

• 一个简单的主机数据库，可将终端ID以及其他属性映射到当前位置
• 主机数据库支持多种类型的终端ID查找类型（IPv4，IPv6或MAC）
• 从边缘和/或边界节点接受针对“known”IP前缀的终端ID映射注册
• 解决来自边缘和/或边界节点的查找请求，以找到目标终端ID

1.3.2 Edge Nodes

Edge Node provides first-hop services for User/Devices connected to a Fabric

• 负责识别和验证终端（例如：静态，802.1X，Active Directory）
• 向控制平面节点注册特定的终端ID信息（例如32位或128位
• 为连接的终端提供一个Anycast L3网关（所有Edge节点上的IP地址相同）
• 执行往返所有已连接终端的数据流量的封装/解封装

1.3.3 Border Nodes

Border Node is an Entry & Exit point fort data traffic going into & Out of a Fabric

三种Border

• Internal Border(Inside)：仅连接到公司的已知区域，连接内部不支持SDA的网络
• External Border(Outside)：仅连接到公司外部的未知区域，向内部推送默认路由
• Internal + External(Anywhere)：连接transit区域和公司的已知区域

1.3.3.1 Internal Border

向外部通告End Point，向内部通告已知子网

• 连接到外部网络可用的任何“已知”IP子网（例如：DC、WLC、FW等）
• 使用传统的IP路由协议将所有内部IP池导出到外部（作为集合）
• 从外部导入（注册）IP子网并将其注册到Control Plane Map System中
• 交接要求将上下文（VRF和SGT）从一个域映射到另一个域

1.3.3.2 External Border

通往未知目的地的“最后的门户”

• 连接到网络外部的任何“未知”IP子网（例如，Internet，公共云）
• 将所有内部IP池外部（作为集合）导出到传统IP路由协议中
• 不导入未知路线，如果Control Plane中没有可用的条目，则为“默认”出口
• 交接要求将context（VRF和SGT）从一个域映射到另一个域