Introduction to SD-Access

Mạng doanh nghiệp có thể trở nên khá phức tạp. Thường có một campus, vài remote branches, nhân viên làm việc từ xa, và chúng ta muốn kết nối mọi thứ với nhau bằng kết nối WAN. Chúng ta có nhiều thiết bị trên lớp vật lý bao gồm routers, switches, firewalls, wireless LAN controllers, ...

Có rất nhiều điều đang diễn ra trong mô hình logical: chúng ta có các VLANs, VRFs, các giao thức định tuyến, firewall rules, vâng vâng. Chúng ta cấu hình khá nhiều thứ theo cách thủ công, với một chút tự động hóa về mạng sẽ giúp cho cuộc sống của chúng ta dễ dàng hơn.

Trở lại những năm 2007/2008, SDN xuất hiện với lời hứa sẽ tự động hóa mọi thứ và loại bỏ CLI bằng cách định nghĩa mọi thứ trong software.

Tuy nhiên, SDN chủ yếu là về Data center. Trong Data center, mọi thứ đều là về các ứng dụng. Trong một doanh nghiệp, đó là người dùng và thiết bị (di động). Chúng ta có các users làm việc bằng laptops, tablets, và smartphones khắp mọi nơi.

Trong mạng doanh nghiệp sử dụng rất nhiều thiết bị phần cứng. Firewall mới? Đặt một Cisco ASA. Bổ sung Wireless LAN controller (WLC)? Đặt một thiết bị WLC khác.

Sẽ thật tuyệt nếu chúng ta có thể tạo ra các dịch vụ mới cho các mạng doanh nghiệp của mình, tương tự như cách các dịch vụ cloud hoạt động? Nếu bạn cần một firewall mới, chỉ cần click một nút và nó sẽ starts một vASA mới. Cần một WLC khác? Nhấn nút và nó bắt đầu tạo một WLC ảo.

Đây là một trong những lời hứa về SD-Access của Cisco: hoàn toàn tự động mạng doanh nghiệp của bạn, tương tự như các giải pháp SDN/cloud hoạt động. Nó trông tương tự như sau:

Nó có 5 thành phần chính:

1. Fabric
2. APIC-EM Controller
3. Identity Services Engine (ISE)
4. Network Data Platform (NDP)
5. DNA Center

1. Fabric

Hãy bắt đầu với fabric. Đây là nơi bạn tìm thấy tất cả các thành phần phần cứng mà bạn quen thuộc. routers, switches, wireless LAN controllers, access points, ... Bao gồm các thiết bị chạy IOS và IOS XE.

SD-Access sử dụng underlay chịu trách nhiệm chuyển tiếp lưu lượng: nó chỉ có nhiệm vụ duy nhất là cung cấp cơ chế transport. Chúng ta sẽ giữ cho underlay network đơn giản. Chúng ta sử dụng overlay network cho các dịch vụ khác. Overlay network linh hoạt và có thể lập trình được. Tại sao lại có sự tách biệt này?

Bạn không thấy sự tách biệt này trên hầu hết các mạng campus doanh nghiệp nhưng nó có ý nghĩa. Ví dụ: nếu bạn muốn hỗ trợ một ứng dụng mới trên mạng của mình, thì có lẻ bạn phải thay đổi access-list hiện có. Nếu bạn thay đổi access-list này thì nó cũng có thể ảnh hưởng đến các ứng dụng khác trong mạng của bạn. Có thể bạn muốn triển khai access-list trong giờ bảo trì. Nếu bạn làm lộn xộn, bạn luôn luôn có thể rollback.

Với mạng underlay và overlay, thay đổi trên overlay network sẽ không ảnh hưởng đến mạng underlay của bạn. Nó tương tự như việc sử dụng các giao thức tunneling như GRE hoặc DMVPN. Bạn có thể lộn xộn với các tunnels nhưng nó không ảnh hưởng đến mạng underlay.

Chúng ta sử dụng APIs để cấu hình các thiết bị phần cứng và khởi chạy các dịch vụ mới. Nó vẫn có thể sử dụngCLI để khắc phục sự cố.

Fabric bao gồm 3 thành phần chính:

 Control plane: dựa trên Locator Identity Separator Protocol (LISP)
 Data plane: dựa trên Virtual Extensibe LAN (VXLAN)

 Policy plane: dựa trên Cisco TrustSec (CTS)

LISP đơn giản hóa việc định tuyến bằng cách xóa thông tin destination khỏi bảng định tuyến và chuyển nó đến hệ thống mapping tập trung, nó tương tự như DNS, một router gửi một query đến hệ thống mapping LISP trung tâm và hỏi địa chỉ đích ở đâu. Điều này dẫn đến bảng định tuyến nhỏ hơn và ít tốn chu kỳ CPU.

Chúng ta cũng có thể sử dụng LISP trên data plane, nhưng nó chỉ có thể tunnel lưu lượng L3. SD-Access sử dụng một phiên bản biến đổi của VXLAN trên data plane, một trong những lý do là VXLAN hỗ trợ đóng gói L2.

Trên policy plane chúng ta sử dụng Cisco TrustSec, Scalable Group Tags (SGT), và SGT Exchange Protocol (SXP). Chúng ta thêm các endpoints yêu cầu network policy tương tự như các shared group, và chúng ta thêm SGT vào group. SGT là một tag riêng biệt với địa chỉ mạng và bạn có thể đính kèm các network policies (QoS, PBR, ...) vào nó.

Điều này cho phép bạn tạo network policies mà không cần mapping nó vào địa chỉ IP hoặc subnets. SGT được thêm vào trong VXLAN header.

2. APIC-EM Controller

APIC-EM Controller trong Cisco SDN controller cho mạng doanh nghiệp và hỗ trợ thiết bị IOS/ IOS XE. Bạn có thể sử dụng nó như một sản phẩm độc lập.

SD-Access sử dụng APIC-EM controller làm SDN controller để control tất cả các thiết bị trong fabric. APIC- EM controller được điều khiển bởi DNA center.

3. DNA Center

DNA center là một portal nơi bạn quản trị mọi thứ. Nó dựa trên web, và hiện chỉ có sẵn dưới dạng một thiết bị phần cứng. Nếu bạn hỏi tôi, điều đó thật kỳ lạ khi coi SD-Access là tất cả về ảo hóa. Họ có thể sẽ phát hành một phiên bản ảo hóa và một lúc nào đó.

Có 4 thuộc tính chính của DNA center:

 Design: thiết kế
 Policy: Chính sách
 Povision: cung cấp
 Assurance: đảm bảo

3.1 Design

Đây là nơi bạn thiết kế toàn bộ mạng của mình:

Xây dựng hệ thống phân cấp mạng: thêm các sites, buildings, ...

Địa chỉ IP quản trị: thêm địa chỉ mạng và subnets bạn muốn vào trong mạng của bạn

Cấu hình mạng: cấu hình DHCP, DNS, SNMP, và Syslog servers. Ở đây, bạn cũng có thể tạo QoS và wireless profile.

Kho image: quản lý tất cả các IOS/ IOS XE image của tất cả các thiết bị mạng của bạn trong một nơi.

3.2 Policy

Đây là nơi chúng ta cấu hình tất cả mọi thứ liên quan đến network policy. Bạn tạo các policies và DNA center sẽ chuyển các policies của bạn thành cấu hình cho các thiết bị phần cứng trong fabric.

3.3 Provision

Đây là nơi chúng ta thêm các thiết bị mới vào trong mạng và nơi chúng ta áp dụng các network policies vào các thiết bị.0.3.4 Assurance

Assurance là nơi bạn monitor toàn bộ mạng. Bạn có thể thấy tổng quan tất cả các thiết bị mạng, (wireless) clients, và các ứng dụng. bạn có thể monitor tình trạng sức khỏe và tổng quan tất cả các vấn đề trong mạng.

4. ISE

ISE là sản phẩn của Cisco AAA và đã ra mắt được một thời gian. ISE áp dụng các policies bạn tạo thông qua DNA center.

5. NDP

Đây là sản phẩm mới của Cisco. NDP là công cụ phân tích, phân tích tất cả các thông tin logging, NetFlow, SNMP, ... Nó thu thập số liệu của mọi thứ trong fabric, bao gồm các thiết bị, các users, và mọi thứ (Internet of Things). Bạn có thể giám sát mọi thứ mà NDP thu thập thông qua DNA center.

Tin khác:

Trường Khoa Học Máy Tính & Trí Tuệ Nhân Tạo

Khoa Công Nghệ Thông Tin

Introduction to SD-Access