CCIE理论-第四篇-SDA-1
SDA-software defied Access
SDA-软件定义接入
SDA是被包含在SDN范畴里面的一个架构体系
SDA核心-通过一系列的技术合租,组织到一个平面上
载体:DNA Center
在华为的载体是AC Agile Contro(不是无线AP哈!)
对比传统
传统三层网络
1.要备份,设备多,容易配置错,而且出问题了不好排错
SD-Access
1.可以部署自动化下发配置
2.支持PNP(即插即用)plug and play
3.有模板配置,同样支持自动下发
左边传统网络右边SDA
角色
1.ISE-identity service engine 思科安全设备-思科身份服务服务引擎(制定安全策略,下发策略.类似认证,授权,审计,3A等)
它是一个独立的设备,跟SDA没有任何关系哈!!!
但是为什么要写呢? 他是主要和DNAC做一些联动的(简单的说就是安全功能)
2.NCP-Networkcontrol protocol网络控制平台
他是DNAC里面的一个功能模块-其实他就是一个控制平面
它里面会涉及到,发现设备,设备伤心啊,下发配置等等
3.NDP-network- data-platform 网络数据平台(这个不是IPV6里面的那个NDP哈)
这也是SDA里面的一个模块,这个主要是用来做监控的,assurance-风险保障
针对整个fabric,收集信息,什么接口啊,状态啊,配置啊,CPU等
有点像态势感知的这种,主要是用来做故障排查
也可以理解为DNAC里面的zabbix
他还能预测风险,预测哈!!!
其实很抽象
比如他告诉你下个星期一会被攻击,你是信好呢还是不信好呢?
角色小总结
DNA Center
1.NCP 部署自动化,下发配置
2.NDP 监控
3.ISE 安全功能(非必要)
DNCA简单工作流程
1.DESIGN-类似Autocad-其实就是弄个拓扑图
2.Provision-配置,下发配置,自动化,设备上线等
3.policy-联动ise,配置ise做策略管理
4.assurance-检测故障,风险预警
5.platform-建和第三方的API节哦库,做功能个性化等
所以,其实SDA的解决方案,只是把原有的网络,做了简化,自动化
只需要搞控制层面,数据层面,策略层面,一个设备搞定全网.
角色介绍
Fabric Edge Nodes设备
这个是联动前面讲的Fabricpath网络
这个设备实际上就是接入设备
edge,边缘嘛,其实实际上,他是做网关角色的!!!
后续会称之为Edge nodes设备
这里特别强调一波
这里不是传统看见的汇聚层核心层什么的
它的edge边缘设备实际上就是网关
还是LISP里面的leaf和spine的概念
说到这顺带提一下,在FabricPath的网络中
他是会自动做漫游的,但是专业名词他不叫漫游
什么意思呢?
WIFI都用过吧
你在某公司1楼连接的wifi到了18楼都不会断
IP也不会变,但是实际上无线接入的AP已经变了
这就叫无线漫游
但是在fabricpath中,这个叫Anycast GW
意思就是说,每个edge-nodes设备,都是网关
这样好理解了吧
Controd-Plane-Nodes-一般简称CPnodes
控制层面-但是这个主要启到查询作用(可以虚拟化也可以独立硬件)
Fabric Borede Nodes-边界站点
这个是站点哈!跟起那么的FEnodes不一样
Intermediate Nodes(underlay)
中间系统
为什么I呢?ISIS嘛
其实就是保证中间的底层互通
Fabric Edge Nodes
那么这个Edege主要承载的是什么呢?
1.连接下游的Endpoint和上游的fabricpath网络
2.提供基本的认证服务,类似dot1x,windos server 的AD域
3.建立在隧道的基础上,连接PC的地址
例如EID+RLOC地址,这个叫做register信息
发给谁注册呢?CP Nodes,其实就相当于LSP中的mapping server
4.负责给下游的PC提供Any cast GW=三层网关服务
这个概念类似于VXLAN的分布式网关
5.在所有的连接终端设备,到了Edge後,他会封装和解封装
Controd-Plane-Nodes
这个CP-Nodes是干啥的呢?
1.用于注册EID和RLOC的关系,类似于mapping db
这个叫做HostTracking DB
他是干啥用的呢?用来接收注册的,和查询作用
他是解析edge和Border的查询哦!!!(这个就像LISP中的ETR和ITR了)
Border Nodes
他是啥呢?主要是用来连接外部的网络的
因为在fabricpath网络中,是区分已知网络和未知网络的
啥是未知网络呢?
比如VPN,internet上的网络,都叫未知网络
virtual network
VN的概念
啥意思呢 很明显嘛直接翻译
虚拟网络
这个VN呢,可以理解成VRF
其实这个玩意又有有点像VXLAN了
总体概念呢就是VXLAN+LISP
Scalable Group
扩展组,也可以叫安全组.
这个别去搜翻译哈,他妈的给你翻译成恐怖组织 - - 也是好家伙
这个就是上面讲的扩展的API接口
传统做安全=ACL+QOS,五元组,数量很多
Cisco CTS(Cisco TrustSec)
这是个啥呢?
其中有个功能,是策略
