作者简介:张磊,思科原厂8年多technical consulting engineer,精通思科数据中心/园区网产品及技术;精通SAN网络架构及产品;熟悉广域网产品及技术。
如今,随着企业越来越多的投资数字技术,不断增大的企业网络规模,经常使得运维团队疲于应对,运维成本增大,运维效率滑坡。为了减轻运维负担,同时提高运维效率,高效管理用户和应用,从而诞生了SD-Access!
SD-Access,全称:SoftwareDefined Access。如同SD-WAN,ACI一样,SDA是通过软件的方式来定义企业网。在一个集成化的控制平台,运维和管理,统一下发策略、网络设备配置等。本篇旨在将SDA介绍、展示给各位对SDA感兴趣的小伙伴~
一、SDA Overview:
SDA架构抽象图
SDA宏观拓扑结构图
DNA Controller – DNA Center通过多个共享服务和App来提供了GUI的管理和功能。如上topo图所示的蓝色图标:
ISE - 用于动态用户或者设备的group映射和策略定义。如上topo图所示的绿色图标:
Control-Plane Nodes – 映射系统,用于Endpoint ID和设备之间的映射关系。如上topo图所示的“C”设备:
Border Nodes – 一个Fabric内的设备,用于连接SDA Fabric和外部三层网络。如上topo图所示的两个“B”设备:SDA Fabric内的寻址使用LISP协议,是基于位置的寻址,CP Nodes存储和记录EID(IP prefix)SDA Fabric内的寻址使用LISP协议,是基于位置的寻址,CP Nodes存储和记录EID(IP prefix)
Edge Nodes – 一个Fabric内的设备,用于连接有线Endpoint和SDA Fabric。如topo图所示的最底下一排的4个设备:
Fabric Wireless Controller – 一个Fabric内的无线控制器(WLC),用于连接无线endpoint和SDA Fabric。如上topo图所示的:
NCP - Network Controller Platform,包含了各种设置、各种协议、和各种表项来实现自动化管理underlay和overlay网络。PS:包括有线和无线。如上topo图显示:
NDP - Network Data Platform,包含了各种设置、各种协议、和各种表项来监控和分析主机,以及underlay、overlay的网络设备的情况。PS:包括有线和无线。如上topo图显示:
接下来,我们逐一的看看这些组件~
1/ Edge Nodes功能:
通常可以使用Cisco Catalyst 3650/3850/4500/9300/9400作为Edge Nodes。PS:本文旨在介绍SDA,设备选型仅做参考!
2/ Control Plane Nodes(CP Nodes)功能:
通常可以使用Cisco Catalyst 3850/9500/6800以及ASR1K, ISR4K & CSRv作为CP Nodes。PS:本文旨在介绍SDA,设备选型仅做参考!
3/ Border Nodes功能:
通常可以使用Cisco Catalyst 3850/9500/6800/以及ASR1K& ISR4K和Nexus 7K。PS:本文旨在介绍SDA,设备选型仅做参考!
4/ Fabric Enabled WLC功能:
通常可以使用:Cisco AIR-CT3504/AIR-CT5520/AIR-CT8540/Wave 1or2 APs。PS:本文旨在介绍SDA,设备选型仅做参考!
5/ NCP功能:
NCP互操作逻辑图
6/ NDP功能:
NDP互操作逻辑图
7/ ISE功能:
ISE互操作逻辑图
二、SDA underlay/overlay
underlay/overlay
1/ Manual Underlay:可以继续使用当前已有的IP网络作为underlay。
2/ Automated Underlay:规范的、完全自动化的、IP underlay。
三、Control-plane & Data-plane:
1/ control-plane:LISP
使用LISP协议,实现基于位置的查表转发。几个角色分工:
EID= End-pointIdentifier,主机地址或子网。
RLOC= Routing Locator,本地路由器地址。
用一句话总结:SDA Fabric内的寻址使用LISP协议,是基于位置的寻址,CP Nodes存储和记录EID(IP prefix)和RLOC(Next-hop路由器地址)!
2/ data-plane:VXLAN
用一句话总结:VXLAN封装,Edge设备负责封装/解封装!
四、Fabric constructs
“VirtualNetwork”≈ “VN” ≈ “VRF” ≈ “LISP Instance”:VRF路由隔离,增加安全性
“VirtualNetwork”≈ “VN” ≈ “VRF” ≈ “LISP Instance”:VRF路由隔离,增加安全性
“HostPool”≈ “Dynamic EID” ≈ “VLAN+ Address”
五、DNA controller:
DNA Center与 Campus Fabric的互操作逻辑图
DNA Web页面:图形化界面的系统,鼠标点点点!PS:并非全部功能页面,仅截取部分进行展示。