SD-ACCSE
SDN的体系架构
DNAC中的角色
1.border
连接fabric外部网络节点的设备
2.control-plane
和lisp协议相关
3.edge
连接终端节点的设备
4.fabric
整个DNAC控制的设备组成的域
5.overlay
逻辑的fabric网络
6.underlay
传统的二、三层网络协议
SD-ACCSE的五大功能
一、design(设计)
该功能用于设计网络,安装管理和底层网络可达性
1设计站点、楼宇和楼层
规划所属区域,所属城市,坐标等网络站点属性
2全局或者特定站点设置
1构建全局通用服务器
2站点从全局设置继承的属性
3站点指定的 不同于全局的设置
3设置IP地址池
1基于站点的IP地址管理
2为特定网络保留的地址
3通过API从IPAM地址池导入的地址
4无线SSID设置
二、policy(策略)
该功能用于网络策略
策略的层次体系
三、VN层次
不转发域之间通信
整个或者多个网络统一管理
扩展组层次
第二级别的分段确保同一个VN中的不同组完成基于角色的接入控制
四、Application 应用策略(QOS)
应用集可以分为,业务相关,默认,业务无关等几个已经定义完毕的流量优先级,这三个组中的QOS参数都基于CVD,可以进行修改
站点范围即应用策略实施的站点。如果配置了一个有线网络的策略,该策略会应用到站点的所有有线设备上
五、provision(部署)
该功能用于部署网络
VN规则
1它为每个业务实例维护了分离的路由交换表
2控制层面实例ID去维护分离的VRF拓扑信息,默认VRF实例为4098
3每个VN通信或者路由一个主机地址(终端ID的前缀)
4随同RD和RT通告到Border设配
VN间通信
SDA 设计应使用具有MP-BGP和VRF导入/导出功能的Fusion路由器连接到现有全局路由表
层次架构
1.assurance(保障)
该功能用于监控网络
2.platform(平台)
该功能用于与其他平台对接
SD-ACCSE的五大层面
一、物理层
包含所有的硬件元素
二、网络层
包含构成network的underlay和fabric的overlay的控制平面,数据层面和策略层面
三、控制器层
软件管理系统(DNAC)
四、管理层面
用户与之交互的元素(GUI、ARI、CLI)
五、合作伙伴生态系统
platform平台的功能
Pxgrid 组件
1.控制器
协调平台间的连接以及授权等工作(由ISE提供)
2.连接代理
连接ISE和第三方平台的通信
3.功能
控制与特定平台(比如DNAC)共享的特定信息
能同时连接到多合作伙伴平台,并定制主题
为生态系统合作伙伴平台通过ISE多思科网络基础设施内的用户和设备执行网络操控 提供了途径
设备凭证
设置网络凭证包括:1CLI凭证 2SNMP凭证 3HTTP凭证(和无线有关)
SGT扩展组策略
1扩展组(或者安全组)是一组用户或者设备的逻辑策略对象
2使用数字给每个终端分配一个唯一的扩展组标记
3增加扩展组标记到Fabric封装
4SGT用于管理地址无关的基于组的策略(GBAC)
5边缘或者边界节点用SGT来增强本地的扩展组策略
GPO
1VN和SGT在VLAN组扩展中封装
2Edge设配把VN和SGT做关联,即VXLAN扩展只吃了VN和SGT
3中间设配承载VXLAN扩展的VN和SGT穿越网络
4增强功能,GBAC规则
fusion
不是Fabric域中的设配,是Fabric连接二层或IP网络的传统网络设配
种子设备
该设配用于上联DNAC获取配置,该设配的VTP模式必修为透明模式,该设备必须和DANC路由可达,必需设置enable密码,该密码为CLI凭证
Fabric
Fabric是一种Overlay网络,是虚拟的,逻辑的设配连接,它基于任意的物理网络连接
border(边界设备)
1、是进出fabric的数据流量的出入口
2、internal border 仅仅连接到公司内部的其他区域
3、external border 仅仅连接到公司外部的未知网络(互联网)
4、interna external border 两者都兼备的类型
主机地址池
1、为每个链接的终端提供基本的ip功能
2、边缘节点会使用SVI作为终端的网关
3、fabric使用动态的EID(基于实例)映射来通告主机地址池
4、会形成32/128/MAC作为动态的EID(即LISP表)
Anycast GW
1、为每个终端提供默认网关功能
2、类似VRRP等共享虚拟IP,可以存在于多个边缘设备
3、每个边缘设备都会用该SVI接口
4、拥有动态EID映射的控制平面维护主机到边缘设备关系
5、主机在边缘设备之间移动时,无需更改默认网关
DNAC的控制平面
一、fabric的关键要素
1、基于LISP的控制平面
2、基于VXLAN的数据平面
3、基于CST的策略平面
二、和传统网络的区别
1、使用L2+L3的overlay网络
2、任意播网关使得主机可以任意移动
3、在数据平面加入了VRF和SGT
4、VXLAN的VTRP自动化
5、基于IP而不受拓扑限制
三、控制平面节点
1、一个简单地主机数据库,可将端点ID(主机)以及其他属性映射到当前位置
2、主机数据库支持多种类型的端点ID查找
3、从边缘和域边界节点接收已知IP前缀的端点ID映射注册
4、解决来自边缘和域边界节点的查找请求,以找到目标的端点ID
LISP转发
1、fabric边缘节点(edge)不是典型的基于路由的决策,而是查询映射服务器以确定与目标的EID相关联的RLOC,并将该信息用做流量的目的地
2、从映射服务器收到的响应存储在LISP映射缓存中,该映射缓存合并到CEF表并安装在硬件中
3、如果fabric边缘设备接收到非本地连接的端点流量,则将一个LISP询问请求发送到fabric边缘以触发新的映射请求,这就解决了端点可能出现不同fabric边缘交换机上的情况
4、去过无法解析目标RLOC,则将流量发送到使用全局路由表进行转发,默认为fabric边界
DNAC的转发层面
1、通过VTEP自动在RLOC之间完成隧道封装
2、通过VXLAN将二层信息封装
3、三层网关的ARP或NDP的学习有RLOC的映射响应触发
L2 overlay
1、非IP终端使用官博或者组播
2、P2MP overlay 功能类似在overlay网络上构建一个点到多点的二层v*n的VPLS
3、fabric nodes 使用一个预先构建的底层组播网络,在所有的fabric节点间构建点到多点的隧道
4、二层广播和组播流量通过隧道在所有fabric节点间转发
5、在请求二层服务的指定主机地址池之间开启
扩展节点
工作在二层模式的连接到fabric域的边缘节点的常规交换机扩展节点的功能
1、使用TRUNK方式连接EDGE
2、通过即插即用发现和部署(需要额外指定)
3、可以选择地址池及使用认证
4、策略由fabric完成
5、依旧可以是基于组的策略