Bài viết sưu tầm

Có rất nhiều điều đang diễn ra trong mô hình logical: chúng ta có các VLANs, VRFs, các giao thức định tuyến, firewall rules, vâng vâng. Chúng ta cấu hình khá nhiều thứ theo cách thủ công, với một chút tự động hóa về mạng sẽ giúp cho cuộc sống của chúng ta dễ dàng hơn.

Trở lại những năm 2007/2008, SDN xuất hiện với lời hứa sẽ tự động hóa mọi thứ và loại bỏ CLI bằng cách định nghĩa mọi thứ trong software.

Tuy nhiên, SDN chủ yếu là về Data center. Trong Data center, mọi thứ đều là về các ứng dụng. Trong một doanh nghiệp, đó là người dùng và thiết bị (di động). Chúng ta có các users làm việc bằng laptops, tablets, và smartphones khắp mọi nơi.

Trong mạng doanh nghiệp sử dụng rất nhiều thiết bị phần cứng. Firewall mới? Đặt một Cisco ASA. Bổ sung Wireless LAN controller (WLC)? Đặt một thiết bị WLC khác.

Sẽ thật tuyệt nếu chúng ta có thể tạo ra các dịch vụ mới cho các mạng doanh nghiệp của mình, tương tự như cách các dịch vụ cloud hoạt động? Nếu bạn cần một firewall mới, chỉ cần click một nút và nó sẽ starts một vASA mới. Cần một WLC khác? Nhấn nút và nó bắt đầu tạo một WLC ảo.

Đây là một trong những lời hứa về SD-Access của Cisco: hoàn toàn tự động mạng doanh nghiệp của bạn, tương tự như các giải pháp SDN/cloud hoạt động. Nó trông tương tự như sau:

Nó có 5 thành phần chính:

• 1. Fabric

• 2. APIC-EM Controller

• 3. Identity Services Engine (ISE)

• 4. Network Data Platform (NDP)

• 5. DNA Center

​​1. Fabric

Hãy bắt đầu với fabric. Đây là nơi bạn tìm thấy tất cả các thành phần phần cứng mà bạn quen thuộc. routers, switches, wireless LAN controllers, access points, ... Bao gồm các thiết bị chạy IOS và IOS XE.

SD-Access sử dụng underlay chịu trách nhiệm chuyển tiếp lưu lượng: nó chỉ có nhiệm vụ duy nhất là cung cấp cơ chế transport. Chúng ta sẽ giữ cho underlay network đơn giản. Chúng ta sử dụng overlay network cho các dịch vụ khác. Overlay network linh hoạt và có thể lập trình được. Tại sao lại có sự tách biệt này?

Bạn không thấy sự tách biệt này trên hầu hết các mạng campus doanh nghiệp nhưng nó có ý nghĩa. Ví dụ: nếu bạn muốn hỗ trợ một ứng dụng mới trên mạng của mình, thì có lẻ bạn phải thay đổi access-list hiện có. Nếu bạn thay đổi access-list này thì nó cũng có thể ảnh hưởng đến các ứng dụng khác trong mạng của bạn. Có thể bạn muốn triển khai access-list trong giờ bảo trì. Nếu bạn làm lộn xộn, bạn luôn luôn có thể rollback.

Với mạng underlay và overlay, thay đổi trên overlay network sẽ không ảnh hưởng đến mạng underlay của bạn. Nó tương tự như việc sử dụng các giao thức tunneling như GRE hoặc DMVPN. Bạn có thể lộn xộn với các tunnels nhưng nó không ảnh hưởng đến mạng underlay.

Chúng ta sử dụng APIs để cấu hình các thiết bị phần cứng và khởi chạy các dịch vụ mới. Nó vẫn có thể sử dụngCLI để khắc phục sự cố.

Fabric bao gồm 3 thành phần chính:

•   Control plane: dựa trên Locator Identity Separator Protocol (LISP)

•   Data plane: dựa trên Virtual Extensibe LAN (VXLAN)

  Policy plane: dựa trên Cisco TrustSec (CTS)

LISP đơn giản hóa việc định tuyến bằng cách xóa thông tin destination khỏi bảng định tuyến và chuyển nó đến hệ thống mapping tập trung, nó tương tự như DNS, một router gửi một query đến hệ thống mapping LISP trung tâm và hỏi địa chỉ đích ở đâu. Điều này dẫn đến bảng định tuyến nhỏ hơn và ít tốn chu kỳ CPU.

Chúng ta cũng có thể sử dụng LISP trên data plane, nhưng nó chỉ có thể tunnel lưu lượng L3. SD-Access sử dụng một phiên bản biến đổi của VXLAN trên data plane, một trong những lý do là VXLAN hỗ trợ đóng gói L2.

Trên policy plane chúng ta sử dụng Cisco TrustSec, Scalable Group Tags (SGT), và SGT Exchange Protocol (SXP). Chúng ta thêm các endpoints yêu cầu network policy tương tự như các shared group, và chúng ta thêm SGT vào group. SGT là một tag riêng biệt với địa chỉ mạng và bạn có thể đính kèm các network policies (QoS, PBR, ...) vào nó.

Điều này cho phép bạn tạo network policies mà không cần mapping nó vào địa chỉ IP hoặc subnets. SGT được thêm vào trong VXLAN header.

2. APIC-EM Controller

APIC-EM Controller trong Cisco SDN controller cho mạng doanh nghiệp và hỗ trợ thiết bị IOS/ IOS XE. Bạn có thể sử dụng nó như một sản phẩm độc lập.

SD-Access sử dụng APIC-EM controller làm SDN controller để control tất cả các thiết bị trong fabric. APIC- EM controller được điều khiển bởi DNA center.

3. DNA Center

DNA center là một portal nơi bạn quản trị mọi thứ. Nó dựa trên web, và hiện chỉ có sẵn dưới dạng một thiết bị phần cứng. Nếu bạn hỏi tôi, điều đó thật kỳ lạ khi coi SD-Access là tất cả về ảo hóa. Họ có thể sẽ phát hành một phiên bản ảo hóa và một lúc nào đó.

Có 4 thuộc tính chính của DNA center:

•   Design: thiết kế

•   Policy: Chính sách

•   Povision: cung cấp

•   Assurance: đảm bảo

3.1 Design

Đây là nơi bạn thiết kế toàn bộ mạng của mình:

Xây dựng hệ thống phân cấp mạng: thêm các sites, buildings, ...

Địa chỉ IP quản trị: thêm địa chỉ mạng và subnets bạn muốn vào trong mạng của bạn

Cấu hình mạng: cấu hình DHCP, DNS, SNMP, và Syslog servers. Ở đây, bạn cũng có thể tạo QoS và wireless profile.

Kho image: quản lý tất cả các IOS/ IOS XE image của tất cả các thiết bị mạng của bạn trong một nơi.

Đây là nơi chúng ta cấu hình tất cả mọi thứ liên quan đến network policy. Bạn tạo các policies và DNA center sẽ chuyển các policies của bạn thành cấu hình cho các thiết bị phần cứng trong fabric.

3.3 Provision

Đây là nơi chúng ta thêm các thiết bị mới vào trong mạng và nơi chúng ta áp dụng các network policies vào các thiết bị.0.3.4 Assurance

Assurance là nơi bạn monitor toàn bộ mạng. Bạn có thể thấy tổng quan tất cả các thiết bị mạng, (wireless) clients, và các ứng dụng. bạn có thể monitor tình trạng sức khỏe và tổng quan tất cả các vấn đề trong mạng.

4. ISE

ISE là sản phẩn của Cisco AAA và đã ra mắt được một thời gian. ISE áp dụng các policies bạn tạo thông qua DNA center.

5. NDP

Đây là sản phẩm mới của Cisco. NDP là công cụ phân tích, phân tích tất cả các thông tin logging, NetFlow, SNMP, ... Nó thu thập số liệu của mọi thứ trong fabric, bao gồm các thiết bị, các users, và mọi thứ (Internet of Things). Bạn có thể giám sát mọi thứ mà NDP thu thập thông qua DNA center.