我的笔记本

Cisco SDA介绍

SD-Acess简介
1.什么是SDA
 软件定义接入,主要用于内网,SD-WAN用于外网,通过隧道在外网建立网路互访,而SDA主要用于内网访问控制,优势:自动化、大二层虚拟网络管理、监控和故障处理
 组建:DNAC、Cisco ISE【权限控制】、APIC-EM【SDN. Controller】、NDP network data platform【自能分析 】
2.打破ip地址和策略之间的依赖关系
 什么是Fabric
 Fabric提供了一个Overlay网络
 Overlay网络是一种逻辑拓扑,用于 虚拟连接设备,底层的是underlay,抽象出来的是Overlay
 控制层面:
 LISP:传统网络ip地址代表我们的地址也代表我们的权限,location与identity是合并的,Overlay行为是location与identity分离,设备移动时,将保留相同的ipv4或ipv6地址,具有相同的身份,Rloc:路由位置信息用户位置信息,地址对应交换机地址,EID:认证通过之后获取到的地址;
 数据层面:
 data plane based on vxlan:最终只需要两台交换机之间的隧道
 可控层面:
 使用vxlan中的两个字段,vrf+sgt,两个不同的用户组划分在不同的vn下时不通,同一个vn下是可以通的
 数据转发:vxlan封装中的vn和sgt,属于哪个vn和哪个sgt,从查询ISE获得,然后转发大目标网络,目标网路获取数据包后做准入,是不是同一个vn,sgt id 是否允许进
 策略执行:入方向分类,出方向执行
 control-plane nodes:主机数据库,设备catalyst 9300/9400/9500
 Edge Nodes:负责识别和验证终端 ,SDA每台交换机上都所有vlan的网关,为连接的终端提供一个Anycast l3 网关
 SDA部署步骤
 Border Nodes:internal border、external border【连接公司未知网路】、internal+external border 【连接transit和公司已知网路】
 Design -> discover -> create vn -> assign sg to vn. -> create fabric -> create transit/peer network -> set authentication method -> set roles -> configure fusion -> policy ->host on-border 

3.DNAC操作
 3.1 创建地址规划,创建地址池
 3.2 discover:发现交换机,基础配置是DNAC要访问到交换机,交换机管理用环回口-> New discover:命名、发现方式(cdp、地址、lldp)、凭证(账号密码)、管理方式(ssh、telnet)-> start




 同时可以做资产管理:


 3.3 create vn


 Vn分组:


 4.创建虚拟层create frabic


 创建transit【配置BGP连通外部网络】




 设置角色【border node比较麻烦】,选完一堆就可以推送到设备-> provision推送
 5.Set role
 设置交换机的角色


 edge nodo 和 contrl plane比较简单,点上就可以
 border node需要配置内部或外部,or 内外部三种,需要配置 bgp as 号、地址池【border和fusion之间的】、需要通信的vn,单臂路由需要svi接口
 6.配置fusion
 Fusion配置子接口与border node相连,配置子接口和绑定vlan,配置bgp。
 7.配置pc机连接 访问
 交换机底下连接PC,PC通过 802.1x认证联通网路,在DNAC中配置分组的可达性控制访问。
 8.ISE:identity services engine 身份服务引擎
 创建组、创建用户、授权关联信息、policy【认证信息】,然后关联组
 9.单站点和多站点的区别在于创建transit network的时候选择SD-Access【多站点】和 IP-base【单站点】

4.Lisp【控制层面,相当于路协议】
 4.1.详解:
 1.lisp:loaction identity separate protocol位置身份分离技术,控制使用lisp、数据传输使用vxlan
 1.1. Control plane:lisp map server / resolver
 * EID(host address Or subnet) TO RLOC(Routing locater-local. Router address) mappings
 1.2.Edge&internal border:lisp tunnel router
 搭建隧道的设备
 * register EID with map server
 * Ingress / egress(ITR/ETR)
 1.3 LISP Proxy tunnel router
 * Provides a default gateway when