让网络更简单:SD-Access 之概览

作者简介:张磊,思科原厂8年多technical consulting engineer,精通思科数据中心/园区网产品及技术;精通SAN网络架构及产品;熟悉广域网产品及技术。

如今,随着企业越来越多的投资数字技术,不断增大的企业网络规模,经常使得运维团队疲于应对,运维成本增大,运维效率滑坡。为了减轻运维负担,同时提高运维效率,高效管理用户和应用,从而诞生了SD-Access!

SD-Access,全称:SoftwareDefined Access。如同SD-WAN,ACI一样,SDA是通过软件的方式来定义企业网。在一个集成化的控制平台,运维和管理,统一下发策略、网络设备配置等。本篇旨在将SDA介绍、展示给各位对SDA感兴趣的小伙伴~

一、SDA Overview:

SDA架构抽象图

SDA宏观拓扑结构图

DNA Controller – DNA Center通过多个共享服务和App来提供了GUI的管理和功能。如上topo图所示的蓝色图标:

ISE - 用于动态用户或者设备的group映射和策略定义。如上topo图所示的绿色图标:

Control-Plane Nodes – 映射系统,用于Endpoint ID和设备之间的映射关系。如上topo图所示的“C”设备:

Border Nodes – 一个Fabric内的设备,用于连接SDA Fabric和外部三层网络。如上topo图所示的两个“B”设备:SDA Fabric内的寻址使用LISP协议,是基于位置的寻址,CP Nodes存储和记录EID(IP prefix)SDA Fabric内的寻址使用LISP协议,是基于位置的寻址,CP Nodes存储和记录EID(IP prefix)

Edge Nodes – 一个Fabric内的设备,用于连接有线Endpoint和SDA Fabric。如topo图所示的最底下一排的4个设备:

Fabric Wireless Controller – 一个Fabric内的无线控制器(WLC),用于连接无线endpoint和SDA Fabric。如上topo图所示的:

NCP - Network Controller Platform,包含了各种设置、各种协议、和各种表项来实现自动化管理underlay和overlay网络。PS:包括有线和无线。如上topo图显示:

NDP - Network Data Platform,包含了各种设置、各种协议、和各种表项来监控和分析主机,以及underlay、overlay的网络设备的情况。PS:包括有线和无线。如上topo图显示:

接下来,我们逐一的看看这些组件~

1/ Edge Nodes功能:

  • 为连接到SDAFabric的用户/设备提供第一跳服务。
  • 负责识别和认证endpoint(802.1X, Active Directory等)。
  • 将特定的endpointID信息注册到control-planenodes。
  • 为所连接的endpoint提供一个Anycast L3网关(所有edge nodes上的IP地址相同)。
  • 为所连接的endpoint提供数据流量的封装/解封装。

通常可以使用Cisco Catalyst 3650/3850/4500/9300/9400作为Edge Nodes。PS:本文旨在介绍SDA,设备选型仅做参考!

2/ Control Plane Nodes(CP Nodes)功能:

  • 运行一个主机跟踪数据库(HostTracking Database)来映射位置信息。
  • 一个简单的主机跟踪数据库映射endpointID和当前位置,以及其他属性信息。
  • 主机数据库支持多种类型的EndpointID查找类型(IPv4、IPv6或MAC)。
  • 针对已知的IP前缀,CP Nodes接收edge and/or border发来的endpoint ID映射注册信息。
  • 解析来自edgeand/or border的查找请求,以定位目标endpointID。

通常可以使用Cisco Catalyst 3850/9500/6800以及ASR1K, ISR4K & CSRv作为CP Nodes。PS:本文旨在介绍SDA,设备选型仅做参考!

3/ Border Nodes功能:

  • 它是一个所有流量进、出Fabric的出入节点。
  • Border又分为:Fabric Border,用于“Known” Routes。Default Border,用于“Unknown” Routes。如上图所示的两个“B”设备。

通常可以使用Cisco Catalyst 3850/9500/6800/以及ASR1K& ISR4K和Nexus 7K。PS:本文旨在介绍SDA,设备选型仅做参考!

4/ Fabric Enabled WLC功能:

  • 为无线终端集成到SDAFabric提供支持。
  • 通过Border连接到Fabric(Underlay)。
  • Fabric Enabled AP连接到WLC(CAPWAP)使用一个专用的主机池(Overlay)。
  • Fabric Enabled AP通过VXLAN连接到Edge节点。
  • 无线客户端(ssid)使用常规的主机池来处理数据流量和策略(与有线endpoint相同)。
  • Fabric Enabled WLC到CP Nodes注册客户端信息。

通常可以使用:Cisco AIR-CT3504/AIR-CT5520/AIR-CT8540/Wave 1or2 APs。PS:本文旨在介绍SDA,设备选型仅做参考!

5/ NCP功能:

NCP互操作逻辑图

  • 发现已存在fabric内的思科路由器、交换机、无线控制器。
  • 维护网络设备和主机的详细信息,比如配置和软件版本。
  • 思科交换机、路由器、无线控制器的自动化部署。
  • 创建可视化数据路径,以加速连接性问题的故障排除。
  • 自动化服务质量(QoS),以对网络中的应用程序进行优先级排序。
  • EN Service Automation (ESA): 自动部署物理和虚拟网络服务。

6/ NDP功能:

NDP互操作逻辑图

  • 为物理层、网络层提供了数据收集、分析、诊断服务。
  • NDP能够以多种形式从网络设备中收集多种类型的信息,包括syslog、SNMP、NetFlow、SPAN、Streaming Telemetry等。
  • NDP也能收集和使用ISE、NCP的信息。
  • NDP分析并关联所有这些不同来源的各种网络事件,了解历史趋势。
  • NDP也会使用这些信息向NCP和ISE提供信息,然后向管理层(management layer)提供网络运行状态和其他信息。

7/ ISE功能:

ISE互操作逻辑图

  • ISE的基本角色是为物理层和网络层提供所有的标识和策略服务。
  • ISE能够识别和分析各种形式的网络设备和终端的认证方式,包括AAA/RADIUS、802.1X、MAC Authentication Bypass (MAB),Web Authentication, EasyConnect等。
  • ISE也会收集和使用NDP和NCP的信息。
  • ISE将终端放置到正确的安全组和主机池。
  • ISE使用这些信息向NCP和NDP提供信息,因此用户可以从管理层(management layer)创建和管理基于组的策略。
  • ISE还负责在网络设备上编写基于组的策略。

二、SDA underlay/overlay

underlay/overlay

1/ Manual Underlay:可以继续使用当前已有的IP网络作为underlay。

  • 要保证Edge to Edge/Border/CP的IP可达。
  • 可以使用L2或者L3,建议L3。
  • 可以使用任何IGP,建议IS-IS。
  • 注意调整MTU,有50字节的外层头封装(VXLAN封装)。
  • 保证RTT的延时小于等于100毫秒。

2/ Automated Underlay:规范的、完全自动化的、IP underlay。

  • 启动引导程序使用标准的PNP。
  • 是空配或可被删除配置的设备。
  • 使用一个全局“underlay”地址池。
  • PNP需要预配置。

三、Control-plane & Data-plane:

1/ control-plane:LISP

使用LISP协议,实现基于位置的查表转发。几个角色分工:

  • Map database:存储EID与RLOC的映射,它可以分布在多个LISP设备上。
  • Tunnel Router - XTR:Edge节点,封装/解封装;XTR又分为:Ingress/Egress (ITR/ETR)。
  • Proxy Tunnel Router -PXTR:连接LISP域与非LISP域;PXTR又分为Ingress/Egress (PITR/PETR)。

EID= End-pointIdentifier,主机地址或子网。
RLOC= Routing Locator,本地路由器地址。

用一句话总结:SDA Fabric内的寻址使用LISP协议,是基于位置的寻址,CP Nodes存储和记录EID(IP prefix)和RLOC(Next-hop路由器地址)!

2/ data-plane:VXLAN

用一句话总结:VXLAN封装,Edge设备负责封装/解封装!

四、Fabric constructs

  • Virtual network: 为基于网络的segment policy提供独立(隔离)的路由转发结构。

“VirtualNetwork”≈ “VN” ≈ “VRF” ≈ “LISP Instance”:VRF路由隔离,增加安全性

  • Security group: 为基于group的segment policy提供一个惟一的(与地址无关的)endpoint分组构造。

“Scalable Group” ≈ “Group” ≈ “SGT” ≈ “Segment”:Group策略隔离,增加安全性

  • Host (address) pool: 提供必要的IP地址/掩码信息。

“HostPool”≈ “Dynamic EID” ≈ “VLAN+ Address”

五、DNA controller:

DNA Center与 Campus Fabric的互操作逻辑图

DNA Web页面:图形化界面的系统,鼠标点点点!PS:并非全部功能页面,仅截取部分进行展示。




例行结束语:如果想要进一步了解SDA,敬请持续关注~


  • 本站原创文章仅代表作者观点,不代表SDNLAB立场。所有原创内容版权均属SDNLAB,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用,转载须注明来自 SDNLAB并附上本文链接。 本站中所有编译类文章仅用于学习和交流目的,编译工作遵照 CC 协议,如果有侵犯到您权益的地方,请及时联系我们。
  • 本文链接https://www.sdnlab.com/23526.html
分享到:
相关文章
条评论

登录后才可以评论

leiz2 发表于19-09-09
1