18/06/2022 10:04:39 PM

Bài viết sưu tầm

Introduction to SD-Access

Mạng doanh nghiệp có thể trở nên khá phức tạp. Thường có một campus, vài remote branches, nhân viên làm việc từ xa, và chúng ta muốn kết nối mọi thứ với nhau bằng kết nối WAN. Chúng ta có nhiều thiết bị trên lớp vật lý bao gồm routers, switches, firewalls, wireless LAN controllers, ...

Có rất nhiều điều đang diễn ra trong mô hình logical: chúng ta có các VLANs, VRFs, các giao thức định tuyến, firewall rules, vâng vâng. Chúng ta cấu hình khá nhiều thứ theo cách thủ công, với một chút tự động hóa về mạng sẽ giúp cho cuộc sống của chúng ta dễ dàng hơn.

Trở lại những năm 2007/2008, SDN xuất hiện với lời hứa sẽ tự động hóa mọi thứ và loại bỏ CLI bằng cách định nghĩa mọi thứ trong software.

Tuy nhiên, SDN chủ yếu là về Data center. Trong Data center, mọi thứ đều là về các ứng dụng. Trong một doanh nghiệp, đó là người dùng và thiết bị (di động). Chúng ta có các users làm việc bằng laptops, tablets, và smartphones khắp mọi nơi.

Trong mạng doanh nghiệp sử dụng rất nhiều thiết bị phần cứng. Firewall mới? Đặt một Cisco ASA. Bổ sung Wireless LAN controller (WLC)? Đặt một thiết bị WLC khác.

Sẽ thật tuyệt nếu chúng ta có thể tạo ra các dịch vụ mới cho các mạng doanh nghiệp của mình, tương tự như cách các dịch vụ cloud hoạt động? Nếu bạn cần một firewall mới, chỉ cần click một nút và nó sẽ starts một vASA mới. Cần một WLC khác? Nhấn nút và nó bắt đầu tạo một WLC ảo.

Đây là một trong những lời hứa về SD-Access của Cisco: hoàn toàn tự động mạng doanh nghiệp của bạn, tương tự như các giải pháp SDN/cloud hoạt động. Nó trông tương tự như sau:

Nó có 5 thành phần chính:

1. Fabric
2. APIC-EM Controller
3. Identity Services Engine (ISE)
4. Network Data Platform (NDP)
5. DNA Center

1. Fabric

Hãy bắt đầu với fabric. Đây là nơi bạn tìm thấy tất cả các thành phần phần cứng mà bạn quen thuộc. routers, switches, wireless LAN controllers, access points, ... Bao gồm các thiết bị chạy IOS và IOS XE.

SD-Access sử dụng underlay chịu trách nhiệm chuyển tiếp lưu lượng: nó chỉ có nhiệm vụ duy nhất là cung cấp cơ chế transport. Chúng ta sẽ giữ cho underlay network đơn giản. Chúng ta sử dụng overlay network cho các dịch vụ khác. Overlay network linh hoạt và có thể lập trình được. Tại sao lại có sự tách biệt này?

Bạn không thấy sự tách biệt này trên hầu hết các mạng campus doanh nghiệp nhưng nó có ý nghĩa. Ví dụ: nếu bạn muốn hỗ trợ một ứng dụng mới trên mạng của mình, thì có lẻ bạn phải thay đổi access-list hiện có. Nếu bạn thay đổi access-list này thì nó cũng có thể ảnh hưởng đến các ứng dụng khác trong mạng của bạn. Có thể bạn muốn triển khai access-list trong giờ bảo trì. Nếu bạn làm lộn xộn, bạn luôn luôn có thể rollback.

Với mạng underlay và overlay, thay đổi trên overlay network sẽ không ảnh hưởng đến mạng underlay của bạn. Nó tương tự như việc sử dụng các giao thức tunneling như GRE hoặc DMVPN. Bạn có thể lộn xộn với các tunnels nhưng nó không ảnh hưởng đến mạng underlay.

Chúng ta sử dụng APIs để cấu hình các thiết bị phần cứng và khởi chạy các dịch vụ mới. Nó vẫn có thể sử dụngCLI để khắc phục sự cố.

Fabric bao gồm 3 thành phần chính:

 Control plane: dựa trên Locator Identity Separator Protocol (LISP)
 Data plane: dựa trên Virtual Extensibe LAN (VXLAN)

 Policy plane: dựa trên Cisco TrustSec (CTS)

LISP đơn giản hóa việc định tuyến bằng cách xóa thông tin destination khỏi bảng định tuyến và chuyển nó đến hệ thống mapping tập trung, nó tương tự như DNS, một router gửi một query đến hệ thống mapping LISP trung tâm và hỏi địa chỉ đích ở đâu. Điều này dẫn đến bảng định tuyến nhỏ hơn và ít tốn chu kỳ CPU.

Chúng ta cũng có thể sử dụng LISP trên data plane, nhưng nó chỉ có thể tunnel lưu lượng L3. SD-Access sử dụng một phiên bản biến đổi của VXLAN trên data plane, một trong những lý do là VXLAN hỗ trợ đóng gói L2.

Trên policy plane chúng ta sử dụng Cisco TrustSec, Scalable Group Tags (SGT), và SGT Exchange Protocol (SXP). Chúng ta thêm các endpoints yêu cầu network policy tương tự như các shared group, và chúng ta thêm SGT vào group. SGT là một tag riêng biệt với địa chỉ mạng và bạn có thể đính kèm các network policies (QoS, PBR, ...) vào nó.

Điều này cho phép bạn tạo network policies mà không cần mapping nó vào địa chỉ IP hoặc subnets. SGT được thêm vào trong VXLAN header.

2. APIC-EM Controller

APIC-EM Controller trong Cisco SDN controller cho mạng doanh nghiệp và hỗ trợ thiết bị IOS/ IOS XE. Bạn có thể sử dụng nó như một sản phẩm độc lập.

SD-Access sử dụng APIC-EM controller làm SDN controller để control tất cả các thiết bị trong fabric. APIC- EM controller được điều khiển bởi DNA center.

3. DNA Center

DNA center là một portal nơi bạn quản trị mọi thứ. Nó dựa trên web, và hiện chỉ có sẵn dưới dạng một thiết bị phần cứng. Nếu bạn hỏi tôi, điều đó thật kỳ lạ khi coi SD-Access là tất cả về ảo hóa. Họ có thể sẽ phát hành một phiên bản ảo hóa và một lúc nào đó.

Có 4 thuộc tính chính của DNA center:

 Design: thiết kế
 Policy: Chính sách
 Povision: cung cấp
 Assurance: đảm bảo

3.1 Design

Đây là nơi bạn thiết kế toàn bộ mạng của mình:

Xây dựng hệ thống phân cấp mạng: thêm các sites, buildings, ...

Địa chỉ IP quản trị: thêm địa chỉ mạng và subnets bạn muốn vào trong mạng của bạn

Cấu hình mạng: cấu hình DHCP, DNS, SNMP, và Syslog servers. Ở đây, bạn cũng có thể tạo QoS và wireless profile.

Kho image: quản lý tất cả các IOS/ IOS XE image của tất cả các thiết bị mạng của bạn trong một nơi.

3.2 Policy

Đây là nơi chúng ta cấu hình tất cả mọi thứ liên quan đến network policy. Bạn tạo các policies và DNA center sẽ chuyển các policies của bạn thành cấu hình cho các thiết bị phần cứng trong fabric.

3.3 Provision

Đây là nơi chúng ta thêm các thiết bị mới vào trong mạng và nơi chúng ta áp dụng các network policies vào các thiết bị.0.3.4 Assurance

Assurance là nơi bạn monitor toàn bộ mạng. Bạn có thể thấy tổng quan tất cả các thiết bị mạng, (wireless) clients, và các ứng dụng. bạn có thể monitor tình trạng sức khỏe và tổng quan tất cả các vấn đề trong mạng.

4. ISE

ISE là sản phẩn của Cisco AAA và đã ra mắt được một thời gian. ISE áp dụng các policies bạn tạo thông qua DNA center.

5. NDP

Đây là sản phẩm mới của Cisco. NDP là công cụ phân tích, phân tích tất cả các thông tin logging, NetFlow, SNMP, ... Nó thu thập số liệu của mọi thứ trong fabric, bao gồm các thiết bị, các users, và mọi thứ (Internet of Things). Bạn có thể giám sát mọi thứ mà NDP thu thập thông qua DNA center.

» Tin mới nhất:

SUMO phần mềm mô phỏng hệ thống giao thông (15/09/2025)
Vision Transformer (ViT) – Khi Transformer bước vào Thị giác Máy tính (14/09/2025)
Hệ thống quản lý chuỗi cung ứng (10/09/2025)
Việt Nam phấn đấu 80.000 sinh viên công nghệ thông tin mỗi năm (04/09/2025)
Deadlock và phát hiện trong DB2 (26/08/2025)

» Các tin khác:

Định tuyến tĩnh dùng Next-Hop (18/06/2022)
Switch Virtual Interfaces (18/06/2022)
Phân loại thuật toán RL (Reinforcement learning) (18/06/2022)
Các bước thực hiện thuật toán Q_Leaning (18/06/2022)
Thiết bị Chuyển Mạch (switch) của Cisco có những loại nào? (18/06/2022)
Linux: Cài đặt và Cấu hình Dịch vụ DHCP Server (18/06/2022)
Tìm khóa của lược đò (16/06/2022)
Các kỹ sư chế tạo chip trí tuệ nhân tạo (15/06/2022)
Tín hiệu Bluetooth có thể được sử dụng để xác định và theo dõi điện thoại thông minh (15/06/2022)
Công cụ db2look trong DB2 (06/06/2022)

Hôm nay, ngày

16/09/2025

Tuần học:

Sinh viên tiêu biểu

video

Số lượt truy cập: 10353892