作者简介：张磊，思科原厂8年多technical consulting engineer，精通思科数据中心/园区网产品及技术；精通SAN网络架构及产品；熟悉广域网产品及技术。

如今，随着企业越来越多的投资数字技术，不断增大的企业网络规模，经常使得运维团队疲于应对，运维成本增大，运维效率滑坡。为了减轻运维负担，同时提高运维效率，高效管理用户和应用，从而诞生了SD-Access！

SD-Access，全称：SoftwareDefined Access。如同SD-WAN，ACI一样，SDA是通过软件的方式来定义企业网。在一个集成化的控制平台，运维和管理，统一下发策略、网络设备配置等。本篇旨在将SDA介绍、展示给各位对SDA感兴趣的小伙伴～

一、SDA Overview：

SDA架构抽象图

SDA宏观拓扑结构图

DNA Controller – DNA Center通过多个共享服务和App来提供了GUI的管理和功能。如上topo图所示的蓝色图标：

ISE - 用于动态用户或者设备的group映射和策略定义。如上topo图所示的绿色图标：

Control-Plane Nodes – 映射系统，用于Endpoint ID和设备之间的映射关系。如上topo图所示的“C”设备：

Border Nodes – 一个Fabric内的设备，用于连接SDA Fabric和外部三层网络。如上topo图所示的两个“B”设备：SDA Fabric内的寻址使用LISP协议，是基于位置的寻址，CP Nodes存储和记录EID（IP prefix）SDA Fabric内的寻址使用LISP协议，是基于位置的寻址，CP Nodes存储和记录EID（IP prefix）

Edge Nodes – 一个Fabric内的设备，用于连接有线Endpoint和SDA Fabric。如topo图所示的最底下一排的4个设备：

Fabric Wireless Controller – 一个Fabric内的无线控制器（WLC），用于连接无线endpoint和SDA Fabric。如上topo图所示的：

NCP - Network Controller Platform，包含了各种设置、各种协议、和各种表项来实现自动化管理underlay和overlay网络。PS：包括有线和无线。如上topo图显示：

NDP - Network Data Platform，包含了各种设置、各种协议、和各种表项来监控和分析主机，以及underlay、overlay的网络设备的情况。PS：包括有线和无线。如上topo图显示：

接下来，我们逐一的看看这些组件～

1/ Edge Nodes功能：

• 为连接到SDAFabric的用户/设备提供第一跳服务。
• 负责识别和认证endpoint（802.1X, Active Directory等）。
• 将特定的endpointID信息注册到control-planenodes。
• 为所连接的endpoint提供一个Anycast L3网关(所有edge nodes上的IP地址相同)。
• 为所连接的endpoint提供数据流量的封装/解封装。

通常可以使用Cisco Catalyst 3650/3850/4500/9300/9400作为Edge Nodes。PS：本文旨在介绍SDA，设备选型仅做参考！

2/ Control Plane Nodes（CP Nodes）功能：

• 运行一个主机跟踪数据库（HostTracking Database）来映射位置信息。
• 一个简单的主机跟踪数据库映射endpointID和当前位置，以及其他属性信息。
• 主机数据库支持多种类型的EndpointID查找类型(IPv4、IPv6或MAC)。
• 针对已知的IP前缀，CP Nodes接收edge and/or border发来的endpoint ID映射注册信息。
• 解析来自edgeand/or border的查找请求，以定位目标endpointID。

通常可以使用Cisco Catalyst 3850/9500/6800以及ASR1K, ISR4K & CSRv作为CP Nodes。PS：本文旨在介绍SDA，设备选型仅做参考！

3/ Border Nodes功能：

• 它是一个所有流量进、出Fabric的出入节点。
• Border又分为：Fabric Border，用于“Known” Routes。Default Border，用于“Unknown” Routes。如上图所示的两个“B”设备。

通常可以使用Cisco Catalyst 3850/9500/6800/以及ASR1K& ISR4K和Nexus 7K。PS：本文旨在介绍SDA，设备选型仅做参考！

4/ Fabric Enabled WLC功能：

• 为无线终端集成到SDAFabric提供支持。
• 通过Border连接到Fabric（Underlay）。
• Fabric Enabled AP连接到WLC（CAPWAP）使用一个专用的主机池（Overlay）。
• Fabric Enabled AP通过VXLAN连接到Edge节点。
• 无线客户端(ssid)使用常规的主机池来处理数据流量和策略(与有线endpoint相同)。
• Fabric Enabled WLC到CP Nodes注册客户端信息。

通常可以使用：Cisco AIR-CT3504/AIR-CT5520/AIR-CT8540/Wave 1or2 APs。PS：本文旨在介绍SDA，设备选型仅做参考！

5/ NCP功能：

NCP互操作逻辑图

• 发现已存在fabric内的思科路由器、交换机、无线控制器。
• 维护网络设备和主机的详细信息，比如配置和软件版本。
• 思科交换机、路由器、无线控制器的自动化部署。
• 创建可视化数据路径，以加速连接性问题的故障排除。
• 自动化服务质量(QoS)，以对网络中的应用程序进行优先级排序。
• EN Service Automation (ESA): 自动部署物理和虚拟网络服务。

6/ NDP功能：

NDP互操作逻辑图

• 为物理层、网络层提供了数据收集、分析、诊断服务。
• NDP能够以多种形式从网络设备中收集多种类型的信息，包括syslog、SNMP、NetFlow、SPAN、Streaming Telemetry等。
• NDP也能收集和使用ISE、NCP的信息。
• NDP分析并关联所有这些不同来源的各种网络事件，了解历史趋势。
• NDP也会使用这些信息向NCP和ISE提供信息，然后向管理层（management layer）提供网络运行状态和其他信息。

7/ ISE功能：

ISE互操作逻辑图

• ISE的基本角色是为物理层和网络层提供所有的标识和策略服务。
• ISE能够识别和分析各种形式的网络设备和终端的认证方式，包括AAA/RADIUS、802.1X、MAC Authentication Bypass (MAB),Web Authentication, EasyConnect等。
• ISE也会收集和使用NDP和NCP的信息。
• ISE将终端放置到正确的安全组和主机池。
• ISE使用这些信息向NCP和NDP提供信息，因此用户可以从管理层（management layer）创建和管理基于组的策略。
• ISE还负责在网络设备上编写基于组的策略。

二、SDA underlay/overlay

underlay/overlay

1/ Manual Underlay：可以继续使用当前已有的IP网络作为underlay。

• 要保证Edge to Edge/Border/CP的IP可达。
• 可以使用L2或者L3，建议L3。
• 可以使用任何IGP，建议IS-IS。
• 注意调整MTU，有50字节的外层头封装（VXLAN封装）。
• 保证RTT的延时小于等于100毫秒。

2/ Automated Underlay：规范的、完全自动化的、IP underlay。

• 启动引导程序使用标准的PNP。
• 是空配或可被删除配置的设备。
• 使用一个全局“underlay”地址池。
• PNP需要预配置。

三、Control-plane & Data-plane：

1/ control-plane：LISP

使用LISP协议，实现基于位置的查表转发。几个角色分工：

• Map database：存储EID与RLOC的映射，它可以分布在多个LISP设备上。
• Tunnel Router - XTR：Edge节点，封装/解封装；XTR又分为：Ingress/Egress (ITR/ETR)。
• Proxy Tunnel Router -PXTR：连接LISP域与非LISP域；PXTR又分为Ingress/Egress (PITR/PETR)。

EID= End-pointIdentifier，主机地址或子网。
RLOC= Routing Locator，本地路由器地址。

用一句话总结：SDA Fabric内的寻址使用LISP协议，是基于位置的寻址，CP Nodes存储和记录EID（IP prefix）和RLOC（Next-hop路由器地址）！

2/ data-plane：VXLAN

用一句话总结：VXLAN封装，Edge设备负责封装/解封装！

四、Fabric constructs

• Virtual network: 为基于网络的segment policy提供独立（隔离）的路由转发结构。

“VirtualNetwork”≈ “VN” ≈ “VRF” ≈ “LISP Instance”：VRF路由隔离，增加安全性

• Security group: 为基于group的segment policy提供一个惟一的(与地址无关的)endpoint分组构造。

“Scalable Group” ≈ “Group” ≈ “SGT” ≈ “Segment”：Group策略隔离，增加安全性

• Host (address) pool: 提供必要的IP地址/掩码信息。

“HostPool”≈ “Dynamic EID” ≈ “VLAN+ Address”

五、DNA controller：

DNA Center与 Campus Fabric的互操作逻辑图

DNA Web页面：图形化界面的系统，鼠标点点点！PS：并非全部功能页面，仅截取部分进行展示。

例行结束语：如果想要进一步了解SDA，敬请持续关注～