CCIE理論-第四篇-SDA-1

SDA-software defied Access

SDA-軟件定義接入

SDA是被包含在SDN范疇里面的一個架構體系

SDA核心-通過一系列的技術合租,組織到一個平面上
載體:DNA Center
在華為的載體是AC Agile Contro(不是無線AP哈!)

對比傳統

傳統三層網絡
1.要備份,設備多,容易配置錯,而且出問題了不好排錯
SD-Access
1.可以部署自動化下發配置
2.支持PNP(即插即用)plug and play
3.有模板配置,同樣支持自動下發
左邊傳統網絡右邊SDA

角色

1.ISE-identity service engine 思科安全設備-思科身份服務服務引擎(制定安全策略,下發策略.類似認證,授權,審計,3A等)
它是一個獨立的設備,跟SDA沒有任何關系哈!!!
但是為什么要寫呢? 他是主要和DNAC做一些聯動的(簡單的說就是安全功能)

2.NCP-Networkcontrol protocol網絡控制平臺
他是DNAC里面的一個功能模塊-其實他就是一個控制平面
它里面會涉及到,發現設備,設備傷心啊,下發配置等等

3.NDP-network- data-platform 網絡數據平臺(這個不是IPV6里面的那個NDP哈)
這也是SDA里面的一個模塊,這個主要是用來做監控的,assurance-風險保障
針對整個fabric,收集信息,什么接口啊,狀態啊,配置啊,CPU等
有點像態勢感知的這種,主要是用來做故障排查
也可以理解為DNAC里面的zabbix
他還能預測風險,預測哈!!!
其實很抽象
比如他告訴你下個星期一會被攻擊,你是信好呢還是不信好呢?

角色小總結

DNA Center 1.NCP 部署自動化,下發配置 2.NDP 監控 3.ISE 安全功能(非必要)

DNCA簡單工作流程

1.DESIGN-類似Autocad-其實就是弄個拓撲圖
2.Provision-配置,下發配置,自動化,設備上線等
3.policy-聯動ise,配置ise做策略管理
4.assurance-檢測故障,風險預警
5.platform-建和第三方的API節哦庫,做功能個性化等

所以,其實SDA的解決方案,只是把原有的網絡,做了簡化,自動化
只需要搞控制層面,數據層面,策略層面,一個設備搞定全網.

角色介紹

Fabric Edge Nodes設備
這個是聯動前面講的Fabricpath網絡
這個設備實際上就是接入設備
edge,邊緣嘛,其實實際上,他是做網關角色的!!!
后續會稱之為Edge nodes設備

這里特別強調一波 這里不是傳統看見的匯聚層核心層什么的 它的edge邊緣設備實際上就是網關 還是LISP里面的leaf和spine的概念 說到這順帶提一下,在FabricPath的網絡中 他是會自動做漫游的,但是專業名詞他不叫漫游 什么意思呢? WIFI都用過吧 你在某公司1樓連接的wifi到了18樓都不會斷 IP也不會變,但是實際上無線接入的AP已經變了 這就叫無線漫游 但是在fabricpath中,這個叫Anycast GW 意思就是說,每個edge-nodes設備,都是網關 這樣好理解了吧

Controd-Plane-Nodes-一般簡稱CPnodes
控制層面-但是這個主要啟到查詢作用(可以虛擬化也可以獨立硬件)

Fabric Borede Nodes-邊界站點
這個是站點哈!跟起那么的FEnodes不一樣

Intermediate Nodes(underlay)
中間系統
為什么I呢?ISIS嘛
其實就是保證中間的底層互通

Fabric Edge Nodes

那么這個Edege主要承載的是什么呢?
1.連接下游的Endpoint和上游的fabricpath網絡
2.提供基本的認證服務,類似dot1x,windos server 的AD域
3.建立在隧道的基礎上,連接PC的地址
例如EID+RLOC地址,這個叫做register信息
發給誰注冊呢?CP Nodes,其實就相當于LSP中的mapping server
4.負責給下游的PC提供Any cast GW=三層網關服務
這個概念類似于VXLAN的分布式網關
5.在所有的連接終端設備,到了Edge後,他會封裝和解封裝

Controd-Plane-Nodes

這個CP-Nodes是干啥的呢?
1.用于注冊EID和RLOC的關系,類似于mapping db
這個叫做HostTracking DB
他是干啥用的呢?用來接收注冊的,和查詢作用
他是解析edge和Border的查詢哦!!!(這個就像LISP中的ETR和ITR了)

Border Nodes

他是啥呢?主要是用來連接外部的網絡的
因為在fabricpath網絡中,是區分已知網絡和未知網絡的
啥是未知網絡呢?
比如VPN,internet上的網絡,都叫未知網絡

virtual network

VN的概念
啥意思呢 很明顯嘛直接翻譯
虛擬網絡
這個VN呢,可以理解成VRF

其實這個玩意又有有點像VXLAN了
總體概念呢就是VXLAN+LISP

Scalable Group

擴展組,也可以叫安全組.
這個別去搜翻譯哈,他媽的給你翻譯成恐怖組織 - - 也是好家伙
這個就是上面講的擴展的API接口

傳統做安全=ACL+QOS,五元組,數量很多

Cisco CTS(Cisco TrustSec)
這是個啥呢?
其中有個功能,是策略

好的本次到這里就結束了，歡迎觀看我的文章。我是CCIE-Yasuo，喜歡就關注我吧，下一期見。
歡迎新盟教育的同學一起來交流，我是41期的疾風劍豪
同時我也是一名18歲來自大專的學生在學校寫的，如有寫的不對或侵權請及時聯系刪除。

總結

以上是生活随笔為你收集整理的CCIE理论-第四篇-SDA-1的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。