基本知识:
1、SDN的核心理念——转控分离
2、DNAC Fabric的角色包含Border、CP(Control-Plane)和Edge
CP节点:管理终端和网络设备关系的映射系统,和LISP协议有关。
Border节点:一个Fabric设备(类比核心设备),用于连接Fabric和外部的3层网络
Edge节点:一个Fabric设备(类比接入层或者分布层设备)用于连接有线终端。
LISP(ip over ip)
VxLAN(mac in ip)
Scalable Group Tag (SGT,扩展组) 或者ISE上又叫 Security Group Tag (SGT,安全组)
VN(Virtual Network)
一、DNAC的五大功能
1、Design-设计:Global Settings;Site Profiles;DDI、SWIM、PNP;User Access
2、Policy-策略:Virtual Networks(VN);ISE、AAA、RADIUS;Endpoint Groups;Group Policies
3、Provision-部署:Fabric domains;CP、Border、Edge;SDA、OTT WLAN;External Connect
4、ASSURANCE-保障:Health Dashboard;360° Views;Net、Device、Client;Path Traces
5、外加API和其他平台的协作
Underlay——现有传统的L2/L3网络——Underlay设备仅需要配置ISIS(不需要手动配置),配置精简,稳定,快速横向扩展,规避STP风险
Overlay——逻辑的Fabric网络——通过VxLAN代理VLAN,实现大二层技术,与终端接入位置无关,任意漫游(通过Anycast Gateway实现)
Overlay在网络技术领域,指的是一种网络架构上叠加的虚拟化技术模式,其大体框架是对基础网络不进行大规模修改的条件下,实现应用在网络上的承载,并能与其他网络业务分离,并且以基于IP的基础网络技术为主。Overlay技术是在现有的物理网络之上构建一个虚拟网络,上层应用只与虚拟网络相关(比如GRE隧道等技术)。
Overlay网络技术由三部分组成:
-边缘设备:指与虚拟机,终端直接相连的设备
-控制平面:主要负责虚拟隧道的建立维护以及主机可达性信息的通告
-转发平面:承载Overlay报文的物理网络或者VxLAN
Q1:Fabric如何和传统(不支持DNAC管理)的网络联动→L2 Handoff
二、各个层面
控制器层
该层可以进一步分为三个子系统。DNAC中默认就存在的,但是身份和策略服务需要ISE实现。
1、基础和Fabric自动化:包含应用程序设置,协议和表,以支持网络设备(底层和覆盖)和相关服务(Cisco Network Controller Platform【NCP】)的自动化。(先底层网络Underlay,然后再Fabric)
2、保证和分析:包含应用程序设置,协议和表,以支持收集和分析用户,网络和应用程序的状态(Cisco Network Data Platform【NDP】。)。
3、身份和策略服务:包含支持端点标识和策略实施服务的应用程序设置,协议和表(Cisco ISE)
管理层
直接地说,管理层就是DNAC的GUI。
在部署Fabric时没必要理解LISP(控制层面)、VxLAN(数据层面)和TrustSec
Cisco DNAC
SD-Access解决方案自动化的核心就是Cisco DNA Center。
Platform
允许使用API、使用特性集捆绑包、配置、运行时仪表板和开发人员工具包,以编程方式访问网络和与第三方系统的系统集成。
三、SGT和VN
在每隔VN中启用基于组的分段允许简化的分层网络策略。使用VN可以实现隔离控制和数据平面的网络级别策略范围,并可以使用VN内的SGT实现组级别的策略范围,从而实现跨有线和无线结构的通用策略应用。
SGT提高工基于网络中角色或功能标记端点流量的能力,并受ISE集中定义的基于角色的策略或SGACL的约束。在许多部署中,AD用作用户账户,凭据和组成员身份信息的标识存储。成功授权后,可以根据该信息对端点进行分类,并将其分配到适当的SGT。然后,可以使用这些SGT来创建分段策略和VN分配规则。
SGT信息以多种形式通过网络传输:
在SD-Access网络内部:SD-Access Fabric头部传输SGT信息。Fabric Edge节点和Border节点可以强制执行SGACL以强制执行安全策略。(Main,在不同的站点之间在传递策略)
在具有Cisco TrustSec能力的Fabric外部设备上:具有Cisco TrustSec能力的内联设备在二层帧的CMD报头中携带SGT信息。这是SD-Access网络之外的推荐传输模式。(可通过防火墙实现)
在没有Cisco TrustSec能力的Fabric外部设备上:SXP允许通过TCP连接传输SGT。这可用于绕过不支持SGT内联的网络设备。
四、主机上线
Host Onboarding-主机上线
需要选择认证模板(Authentication Template),当选择了默认的主机认证模板后,这将会被应用到所有的Fabric Edge主机端口(有静态的端口分配情况除外)
认证方式:
1、Closed Authentication:要求最严格
2、OPEN Authentication
3、Easy Connect
4、No Authentication:(Unsecure.Optimal for networks that don't support authentication or require static configuration)即当设备不支持认证等情况下或静态配置情况下
Virtual Networks:
选择一个VN,并关联一个或多个IP地址池
之后选择的参数:IP Pool name是什么、Traffic Type(data&voice)、Add pool、L2 Extension、L2 Flooding、Group(扩展组,可选默认未选择)...
基本操作——选择对应的VN、数据类型;也可以基于VN定义SGT,如上所说,默认未选择(如果选择了,该VN就属于特定的组)。
宏观调控基于VN
微观调控基于SGT
关于Host地址池:
-为每隔连接的终端提供基本的IP功能。
-边缘节点(Edge)使用SVI作为终端的网关。
-Fabric使用动态EID(Endpoint Identifier,基于示例)映射来通告主机地址池。
-Fabric动态EID允许特定的主机(如/32,/128或MAC)通告并且形成/32 /128 /MAC作为动态EID,即LISP表
-主机地址池可以动态和/静态分配(静态时针对每个端口,动态时通过主机认证)