EI CCIE学习笔记-SDAccess之一:SDAccess解决方案

Chapter 1 SD-Access Solution Proposal

1.1 概念引入

SDN三要素:集中控制、转控分离、可编程

DNA
DNA:Digital Network Architecture数字网络架构

  • 思科提出的跨园区,分支机构,WAN和扩展企业的企业网络架构
  • 它提供了一种开放,可扩展的,软件驱动的方法,是网络更易于管理,更加敏捷和响应满足业务需求
  • 是一个智能系统,包含策略、自动化、分析和开放平台功能,以交付基于意图的网络的所有必需方面

北向接口:面向管理员/用户的接口
南向接口:面向设备的接口
东西向接口:用于组件的扩展,如DNS,DHCP等

在这里插入图片描述

DNAC - Cisco DNA Center

  • 完善的网络管理功能

    • 所有设备的单一控制台
    • 实时端到端健康信息
    • 细粒度可见度
    • 简化的工作流程
  • 分析保证

    • 验证网络设置的意图
    • 主动解决问题
    • 减少故障排除时间
  • 自动配置

    • 零接触部署(ZTP)
    • 设备声明周期管理
    • 政策执行
  • 扩展平台

    • 将API与第三方解决方案集成
    • 立即集成和定制服务
    • 不断发展的运营工具和流程

DNAC的五大功能

  1. Design-设计:Global Settings;Site Profiles;DDI、SWIM、PNP;User Access
  2. Policy-策略:Virtual Networks(VN);ISE、AAA、RADIUS;Endpoint Groups;Group Policies
  3. Provision-部署:Fabric domains;CP、Border、Edge;SDA、OTT WLAN;External Connect
  4. ASSURANCE-保障:Health Dashboard;360° Views;Net、Device、Client;Path Traces
  5. 外加API和其他平台的协作

自动化主要应用案例

1. Plug and Play——即插即用

  • 有线和无线网络的零接触部署
  • 适用于所有部署类型(DHCP,DNS,移动应用,USB)的强大发现机制
  • PnP连接云重定向服务
  • 与Cisco DNA Center中的通用服务集成,例如SWIM,模板编辑器和只能账户集成

2. Wireless Autotion

  • 使用CSV更新简化了AP的批量部署
  • WLC支持Brownfield
  • WLAN网络的高级配置(SSID,默认RF配置文件)
  • 支持来宾锚定

3. Standard Change Automation

  • 自动化标准网络更改,例如网络设置和设备凭据

4. Application Policy

  • 基于标准的QoS策略部署
  • 简化的工作流程-保存,预检查,预览等
  • 针对有线和无线基础架构进行了优化

5. Software Image Management

  • 过滤过时的设备以轻松升级
  • 升级前详细的预验证报告
  • SWIN无线增强
  • 镜像激活与分配分离
  • 滚动AP升级

6. RMA

  • 快速回复故障设备
  • 恢复进行、配置
  • 有线和无线设备更换的统一工作流程
  • 同时支持SDA和非SDA设备

Underlay——现有传统的L2/L3网络——Underlay设备仅需要配置ISIS(不需要手动配置),配置精简,稳定,快速横向扩展,规避STP风险
Overlay——逻辑的Fabric网络——通过VxLAN代理VLAN,实现大二层技术,与终端接入位置无关,任意漫游(通过Anycast Gateway实现)

Overlay在网络技术领域,指的是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其他网络业务分离,并且以基于IP的基础网络技术为主。Overlay技术是在现有的物理网络之上构建一个虚拟网络,上层应用只与虚拟网络相关(比如GRE隧道等技术)。

Overlay网络技术由三部分组成:

  • 边缘设备:指与虚拟机,终端直接相连的设备
  • 控制平面:主要负责虚拟隧道的建立维护以及主机可达性信息的通告
  • 转发平面:承载Overlay报文的物理网络或者VxLAN

1.2 SDA解决方案

SDA的关键技术

在这里插入图片描述


Fabric:提供一个overlay的网络

  • Overlay网络是一种逻辑拓扑,同于虚拟连接设备,建立在某些任意物理底层拓扑之上
  • Overlay网络通常使用备用转发属性来提供附加服务,而不是底层提供的服务

SDA Fabric特点

  • Control Plane Based on LISP,位置与身份分离,不管终端如何移动,IP地址始终跟随
  • Data Plane Based on VXLAN,逻辑拓扑和物理拓扑解耦,屏蔽底层,抽象连接
  • Policy Plane with Cisco TrustSec(CTS)

VN(Virtual Network):一级分段确保转发域之间的零通信

二层次结构-Macro Level(宏观)

在这里插入图片描述


SG(Scalable Group):第二级分段课确保虚拟网络中两个组之间基于角色的访问控制

二层次结构-Micro Level(微观)

在这里插入图片描述


控制器层

该层可以进一步分为三个子系统。DNAC中默认就存在的,但是身份和策略服务需要ISE实现。

  1. 基础和Fabric自动化:包含应用程序设置,协议和表,以支持网络设备(底层和覆盖)和相关服务(Cisco Network Controller Platform【NCP】)的自动化。(先底层网络Underlay,然后再Fabric)
  2. 保证和分析:包含应用程序设置,协议和表,以支持收集和分析用户,网络和应用程序的状态(Cisco Network Data Platform【NDP】。)。
  3. 身份和策略服务:包含支持端点标识和策略实施服务的应用程序设置,协议和表(Cisco ISE)
管理层

直接地说,管理层就是DNAC的GUI。
在部署Fabric时没必要理解LISP(控制层面)、VxLAN(数据层面)和TrustSec

Cisco DNAC

SD-Access解决方案自动化的核心就是Cisco DNA Center。

Platform

允许使用API、使用特性集捆绑包、配置、运行时仪表板和开发人员工具包,以编程方式访问网络和与第三方系统的系统集成。

SGT和VN

在每隔VN中启用基于组的分段允许简化的分层网络策略。使用VN可以实现隔离控制和数据平面的网络级别策略范围,并可以使用VN内的SGT实现组级别的策略范围,从而实现跨有线和无线结构的通用策略应用。

SGT提高工基于网络中角色或功能标记端点流量的能力,并受ISE集中定义的基于角色的策略或SGACL的约束。在许多部署中,AD用作用户账户,凭据和组成员身份信息的标识存储。成功授权后,可以根据该信息对端点进行分类,并将其分配到适当的SGT。然后,可以使用这些SGT来创建分段策略和VN分配规则。

SGT信息以多种形式通过网络传输:

在SD-Access网络内部:SD-Access Fabric头部传输SGT信息。Fabric Edge节点和Border节点可以强制执行SGACL以强制执行安全策略。(Main,在不同的站点之间在传递策略)
在具有Cisco TrustSec能力的Fabric外部设备上:具有Cisco TrustSec能力的内联设备在二层帧的CMD报头中携带SGT信息。这是SD-Access网络之外的推荐传输模式。(可通过防火墙实现)
在没有Cisco TrustSec能力的Fabric外部设备上:SXP允许通过TCP连接传输SGT。这可用于绕过不支持SGT内联的网络设备。

主机上线

Host Onboarding-主机上线

需要选择认证模板(Authentication Template),当选择了默认的主机认证模板后,这将会被应用到所有的Fabric Edge主机端口(有静态的端口分配情况除外)

认证方式
  1. Closed Authentication:要求最严格
  2. OPEN Authentication
  3. Easy Connect
  4. No Authentication:(Unsecure.Optimal for networks that don’t support authentication or require static configuration)即当设备不支持认证等情况下或静态配置情况下
Virtual Networks

选择一个VN,并关联一个或多个IP地址池
之后选择的参数:IP Pool name是什么、Traffic Type(data&voice)、Add pool、L2 Extension、L2 Flooding、Group(扩展组,可选默认未选择)…
基本操作——选择对应的VN、数据类型;也可以基于VN定义SGT,如上所说,默认未选择(如果选择了,该VN就属于特定的组)。

宏观调控基于VN
微观调控基于SGT

关于Host地址池
  • 为每隔连接的终端提供基本的IP功能。
  • 边缘节点(Edge)使用SVI作为终端的网关。
  • Fabric使用动态EID(Endpoint Identifier,基于示例)映射来通告主机地址池。
  • Fabric动态EID允许特定的主机(如/32,/128或MAC)通告并且形成/32 /128 /MAC作为动态EID,即LISP表
  • 主机地址池可以动态和/静态分配(静态时针对每个端口,动态时通过主机认证)

1.3 SDA三大角色

在这里插入图片描述

  • Network Automation:简单的图形用户界面和基于意图的自动化设备的用户界面和基于意图的自动化(例如NCP),其实就是管理设备
  • Network Assurance:数据收集器(如NDP)分析终端到APP流并监视Fabric状态
  • Identity Services:NAC和ID系统(如ISE)用于终端到组的映射和策略定义
  • Control-Plane Nodes:管理终端到设备关系的映射系统
  • Fabric Border Nodes:将外部L3网络连接到SD-Access Fabric的设备(例如Core)
  • Fabric Edge Nodes:将有线终端连接到SD-Access Fabric的设备(例如access或distribution)
  • Fabric Wireless Controller:将AP和无线终端连接到SD-Access Fabric的设备(WLC)

1.3.1 Control-Plane Nodes

Control-Plane Node runs a Host Tracking Database to map location information

  • 一个简单的主机数据库,可将终端ID以及其他属性映射到当前位置
  • 主机数据库支持多种类型的终端ID查找类型(IPv4,IPv6或MAC)
  • 从边缘和/或边界节点接受针对“known”IP前缀的终端ID映射注册
  • 解决来自边缘和/或边界节点的查找请求,以找到目标终端ID

1.3.2 Edge Nodes

Edge Node provides first-hop services for User/Devices connected to a Fabric

  • 负责识别和验证终端(例如:静态,802.1X,Active Directory)
  • 向控制平面节点注册特定的终端ID信息(例如32位或128位
  • 为连接的终端提供一个Anycast L3网关(所有Edge节点上的IP地址相同)
  • 执行往返所有已连接终端的数据流量的封装/解封装

1.3.3 Border Nodes

Border Node is an Entry & Exit point fort data traffic going into & Out of a Fabric

三种Border

  • Internal Border(Inside):仅连接到公司的已知区域,连接内部不支持SDA的网络
  • External Border(Outside):仅连接到公司外部的未知区域,向内部推送默认路由
  • Internal + External(Anywhere):连接transit区域和公司的已知区域
1.3.3.1 Internal Border

向外部通告End Point,向内部通告已知子网

  • 连接到外部网络可用的任何“已知”IP子网(例如:DC、WLC、FW等)
  • 使用传统的IP路由协议将所有内部IP池导出到外部(作为集合)
  • 从外部导入(注册)IP子网并将其注册到Control Plane Map System中
  • 交接要求将上下文(VRF和SGT)从一个域映射到另一个域
1.3.3.2 External Border

通往未知目的地的“最后的门户”

  • 连接到网络外部的任何“未知”IP子网(例如,Internet,公共云)
  • 将所有内部IP池外部(作为集合)导出到传统IP路由协议中
  • 不导入未知路线,如果Control Plane中没有可用的条目,则为“默认”出口
  • 交接要求将context(VRF和SGT)从一个域映射到另一个域

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/38117.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C++操作系列(二):VSCode安装和配置C++开发环境

1. VSCode下载 进入VSCode的官网网页:Download Visual Studio Code - Mac, Linux, Windows 下载相应的版本: 2. 安装VSCode 安装到指定位置: 一路下一步,直至安装完成: 3. 安装C插件 3.1. 安装C/C 点击扩展图标&…

微软有哪些大模型Copilot应用?

微软推出了多款基于大模型的Copilot应用,这些应用利用人工智能和自然语言处理技术,旨在提升用户在不同领域的生产力和效率。以下是一些主要的Copilot应用: 1、Microsoft 365 Copilot:集成于Word、Excel、PowerPoint、Outlook和Te…

从头开始构建一个小规模的文生视频模型

OpenAI 的 Sora、Stability AI 的 Stable Video Diffusion 以及许多其他已经发布或未来将出现的文本生成视频模型,是继大语言模型 (LLM) 之后 2024 年最流行的 AI 趋势之一。 在这篇博客中,作者将展示如何将从头开始构建一个小规模的文本生成视频模型&a…

C语言力扣刷题1——最长回文字串[双指针]

力扣算题1——最长回文字串[双指针] 一、博客声明二、题目描述三、解题思路1、思路说明2、知识补充a、malloc动态内存分配b、free释放内存c、strlen求字符数组长度d、strncpy函数 四、解题代码(附注释) 一、博客声明 找工作逃不过刷题,为了更…

Docker配置远程连接

前置条件:docker所在的服务器开放2375端口 文件:/usr/lib/systemd/system/docker.service 节点ExecStart 追加 -H tcp://0.0.0.0:2375

智慧校园变革之路:全平台综合概述与最佳实践

在当今信息化浪潮的推动下,"智慧校园"作为教育创新的前沿阵地,正逐步揭开其神秘面纱,引领一场前所未有的教育转型革命。它远超过单纯技术叠加的传统框架,而是深度融合云计算、大数据、物联网等前沿科技,精心…

【计算机毕业设计】基于Springboot的智能物流管理系统【源码+lw+部署文档】

包含论文源码的压缩包较大,请私信或者加我的绿色小软件获取 免责声明:资料部分来源于合法的互联网渠道收集和整理,部分自己学习积累成果,供大家学习参考与交流。收取的费用仅用于收集和整理资料耗费时间的酬劳。 本人尊重原创作者…

【Mac】Auto Mouse Click for Mac(高效、稳定的鼠标连点器软件)软件介绍

软件介绍 Auto Mouse Click for Mac 是一款专为 macOS 平台设计的自动鼠标点击软件,它可以帮助用户自动化重复的鼠标点击操作,从而提高工作效率。以下是这款软件的主要特点和功能: 1.自动化点击操作:Auto Mouse Click 允许用户录…

等保测评过程中会用到哪些工具或服务

等保测评工具和服务概述 等保测评,即信息安全等级保护测评,是一项重要的信息安全工作,它涉及信息系统的技术和管理两个方面,包括物理安全、网络安全、主机安全、应用安全、数据安全等多个维度。等保测评工具和服务是企业进行信息…

神经网络实战2-损失函数和反向传播

其实就是通过求偏导的方式,求出各个权重大小 loss函数是找最小值的,要求导,在计算机里面计算导数是倒着来的,所以叫反向传播。 import torch from torch.nn import L1Lossinputstorch.tensor([1,2,3],dtypetorch.float32) targe…

使用Llama3/Qwen2等开源大模型,部署团队私有化Code Copilot和使用教程

目前市面上有不少基于大模型的 Code Copilot 产品,部分产品对于个人开发者来说可免费使用,比如阿里的通义灵码、百度的文心快码等。这些免费的产品均通过 API 的方式提供服务,因此调用时均必须联网、同时需要把代码、提示词等内容作为 API 的…

面了英伟达算法岗,被疯狂拷打。。。

节前,我们组织了一场算法岗技术&面试讨论会,邀请了一些互联网大厂朋友、今年参加社招和校招面试的同学。 针对大模型技术趋势、算法项目落地经验分享、新手如何入门算法岗、该如何准备面试攻略、面试常考点等热门话题进行了深入的讨论。 总结链接如…

Python逻辑控制语句 之 循环语句--for循环

1.for 的介绍 for 循环 也称为是 for 遍历, 也可以做指定次数的循环遍历: 是从容器中将数据逐个取出的过程.容器: 字符串/列表/元组/字典 2.for 的语法 (1)for 循环遍历字符串 for 变量 in 字符串: 重复执⾏的代码 字符串中存在多少个字符, 代码就执行…

YOLOv8 的简介 及C#中如何简单应用YOLOv8

YOLOv8 是 YOLO(You Only Look Once)系列中的最新版本,是一种用于目标检测和图像分割的深度学习模型。YOLO模型以其快速和准确的目标检测性能而著称,广泛应用于实时应用程序中。 主要特点 高效性:YOLOv8 在保持高检测…

【HBZ分享】如何实现系统的高可用

如何实现系统的高可用? 高可用架构设计 采用集群,多机房,多副本,负载均衡,热备份等手段,确保系统冗余 与 可恢复能力,避免单点故障。服务容错 与 降级 面对故障时,通常采用合适的…

解决java中时间参数的问题

在java的日常开发中,我们经常需要去接收前端传递过来的时间字符串,同时给前端返回数据时,也会涉及到时间字段的数据传递,那么我们要如何处理这些字段呢? 知识铺垫:java最后返回的时间是时间世界&#xff0…

鲁工小装载机-前后桥传动轴油封更换记录

鲁工装载机 因前后桥大量漏齿轮油,故拆开查看、更换油封 一: 如图圈起来的地方是螺丝和钢板相别,用200的焊接电流用电焊机点开一个豁口后拆除螺丝。 转轴是拆除传动轴后的样子。 这就是拆下来的样子,这玩意插上边那图&…

Python 3 字符串

Python 3 字符串 字符串在Python中是一种基本的数据类型,用于存储文本数据。Python 3中的字符串是由Unicode字符组成的序列,这使得它可以轻松地处理多种语言的文本。在本文中,我们将深入探讨Python 3中字符串的各个方面,包括创建字符串、字符串操作、格式化和常见的方法。…

F12开发者工具怎么用(小白版)

F12开发者工具(也称为浏览器开发者工具)是现代浏览器(如Chrome、Firefox、Edge等)内置的工具集,主要用于网页开发和调试。以下是使用这些工具的一些基本指南: 打开开发者工具 按下 F12 键,或者…

探索Scala在大数据开发中的高级功能

目录 2. Scala的语言特性 2.1 静态类型和类型推断 2.2 面向对象与函数式编程 3. 高级集合操作 3.1 不可变集合 3.2 高阶函数 4. 并发与并行处理 4.1 Future与Promise 4.2 Akka Actor模型 5. Spark与Scala的结合 5.1 RDD和DataFrame 5.2 Spark SQL与数据处理 6. 高…