思科DNA架構SD-Access方案淺析

用幾天時間突擊學習了思科的園區網路解決方案，在這裡做個總結。絕大多數的圖片來源於cisco.com。本人並不是思科生態圈的從業者，如果有錯漏的地方，請留言糾正我。謝謝。

據說思科在國內的銷售策略是「3個S」。這幾個S大概指的是：

SDA

Security

Server（指的是超融合伺服器UCS。不確定這個S是否是正確的）

Server主要用在數據中心，和SDA關係不大。Security主要指的是AMP解決方案，核心是文件信譽雲，沙箱雲，Talos，AMP for Endpoint軟體，以及ISE、防火牆、入侵檢測、郵件網關等常規的安全軟硬體。這些組件都能夠聯動運行。因為有了AMP for Endpoint，所以可以實現端到端的安全防護，並且可以追溯惡意文件的傳播路徑和進程調用的過程。有一期思科在線研討會就講的很明白，所以這次就不談了。

但是SDA和DNA相對來說內容比較多，方案也更複雜一些。所以需要梳理一下。

SDA的全稱是SoftwareDefined to theAccessLayer。這個名字有意思，軟體定義的不是網路Network，而是接入層。因為在SDA的架構裡面，整個網路都變成了一台邏輯交換機，這台邏輯交換機直接連接終端設備，自然就是接入層了。下面是整體架構圖：

在上圖中，The Fabric就是一台邏輯三層交換機，過一會兒再講。在上面的管理面，最核心的就是SDN控制器APIC-EM。不過現在它好像已經升級成了DNA Controller或者DNA Center，簡稱DNAC。也就是說，上圖中的DNA Center和APIC-EM其實是一個東西。

Cisco Network Data Platform是可視化平台，現在也應該集成到了DNA的Assurance組件裡面。只有ISE還是一個獨立的組件，用來做認證和安全組標籤。

在我最開始接觸SDN的時候，受OpenFlow的影響很大，認為軟體定義網路的Data Plane和Control Plane應該是完全分開的，而且這種分開，應該是物理上的分開。畢竟OpenDayLight等控制器都是獨立安裝在伺服器或者虛擬機上的軟體系統。但是現在發現，我乃義務了。因為Controller的延時和性能都存在問題，所以很多時候控制面還是留在網路基礎架構的設備上，Controller更多是用來承擔管理面的工作。

APIC-EM的應用有下面這些，可以看到主要是可視化、簡化配置、排錯等功能：

Cisco EasyQoS Application

Cisco Integrity Verification Application----網路設備可視化監控

Cisco Intelligent WAN Application

Cisco Network Plug and Play Application

Cisco Network Visibility Application----Telemetry（使用Syslog/SNMP/SNMPTrap/NetFlow，而不是Broadcom等廠商在宣傳的帶內網路遙測）

Cisco Path Trace Application----監控2個主機或2個L3介面之間的路徑狀態並動態選擇路徑

Cisco Remote Troubleshooter Application

Cisco Wide Area Bonjour Application----Bonjour：Apple發布的服務搜索協議，用於IoT設備

現在升級到DNAC之後，應用和工具更多了，下面的截圖不全，僅僅截到了字母C：

這些應用可以節省很多網路運維工作，比如Path Trace，可以看到源到目的雙向的路徑，經過每個節點時入口和出口信息，使用的協議。如果被ECMP分流了，還能夠看到準確率。這個工具比Linux平台的tracepath強大多了。

下面我們來談談The Fabric。

Fabric

Fabric的意思就是把整個網路抽象成邏輯上的單台交換機，在這個交換機內部，不需要生成樹，不需要路由協議，對終端用戶來說是一個黑盒。在黑盒子裡面，物理線路怎麼接都行，哪怕是全網狀連接都沒關係，所以叫做Fabric。看看下面的圖，是不是很形象呢？

某些廠商的Fabric是直接由物理網路組建的，例如現在被Extreme收購的Brocade數據中心交換機VCS Fabric採用的技術是Trill，被Arris收購的Brocade/Ruckus Campus Fabric本質上是堆疊。但是，思科SDA的Fabric是構建在Overlay網路上的。

下圖綠色的部分就是思科Fabric的架構圖。

其中：

連接終端設備的節點稱為Edge

連接外部網路的稱為Border（很熟悉吧？數據中心網路架構中也有Border的角色，實際上SDA採用的就是數據中心的技術）

控制面被統一上收到核心交換機（控制面採用LISP協議，還留在物理設備上，而不是被完全上收到Controller）

無線控制器和無線AP也可以融入到Fabric，這是有線無線一體化的，很強大

中間的匯聚層設備僅充當Underlay的角色

數據面採用VXLAN協議實現大二層，並且引入了VRF和SGT（安全組標籤）來隔離不同的業務

在進一步探討Overlay Fabric之前，我們先來看看Underlay怎樣設計和部署。因為它是網路的基礎。

Underlay Network

因為SDA的Fabric是抽象的Overlay，所以Underlay怎樣組網其實沒有什麼影響，只需要保證IP可達就行了。但是在設計時也不能瞎搞。前面已經提到SDA採用的是數據中心網路的技術，所以也應該按照數據中心網路的設計方法來設計園區網。簡單地說就是要CLOS架構，全路由，採用IGP協議並且不需要將路由信息泄露到網路外部。全路由CLOS架構的好處就是不需要在Underlay網路中配置生成樹協議，避免BUM的二層廣播問題，而且可以很方便的使用ECMP，並且將網路標準化，模塊化。

注意下圖Overlay and Underlay Network Connectivity的部分。在數據中心超融合網路中，不同租戶之間的通信，以及VM和物理機的通信，都需要通過Border Gateway進行轉發。在SDA網路中自然也存在這樣的機制，這意味著思科SDA可以和傳統的網路，例如其他廠商的網路一起組建園區網路，只不過要把傳統的網路連接到Border Node上面。

既然Underlay網路和數據中心的Underlay網路架構相同，那麼當然也可以用數據中心現在流行的Zero Touch Provisioning技術來簡化網路的部署工作。在DNAC上，這個應用是Plug and Play。

Cisco PnP有幾個特點：

PnP方案覆蓋Switches，Routers，APs ---- 不僅局限於交換機。PnP支持的具體型號可以到官網查一下Matrix

支持交換機堆疊，堆疊組最多可以支持9個成員 ---- 這個厲害了，有些廠商的ZTP方案不支持堆疊，Provisioning之後還需要人工配置堆疊命令

設備可通過DHCP Option 60或43、DNS、Proxy Server、Cloud幾種方式發現Controller，也可以通過Console或者用USB flash進行bootstrap ---- 這意味著遠程分支機構的設備也可以PnP

配置模板功能可以簡化預配置文件的工作 ---- 這就是採用CLOS架構的好處之一，網路模型標準化可以讓很多事情變得簡單

安裝工人可在現場使用Mobile iOS or Android APP連接Network Plug and Play application，對設備的安裝和bootstrap進行監控

PnP採用的協議基於HTTPS，可對設備進行認證，對通信數據進行加密，可以使用數字證書 ---- 不是採用Telnet或TFTP協議，安全性更高

具體的操作過程都大同小異，預先在DNAC上利用模板製作設備的配置文件，指定Firmware鏡像，綁定設備序列號。網路設備發現並註冊到DNAC上之後，就可以下載配置文件並升級鏡像。

分支站點如果不具備DHCP和DNS發現的條件，可以採用Console或USB flash進行bootstrap，然後從總部APIC-EM下載完整的配置文件和升級image。另外，無線AP不支持bootstrap configuration，只能通過DHCP或DNS發現Controller來完成Provisioning。

如果DNAC部署在DMZ區，則需要部署HTTP Proxy，讓網路設備都能夠訪問到它。

網路設備雖然發現並連接了DNAC，但只是與Plug and Play APP發生了聯繫。DNAC還需要將所有的網路設備都添加到Inventory列表中，以便進行後續的管理。有兩種發現方式：

通過CDP協議，指定一個設備的IP作為種子，就可以發現全網的設備，最大跳數是16

指定一個IP範圍，通過遍歷IP地址來發現網段內的設備

發現全網的設備之後，還可以通過「國家」>「區域」>「建築」>「樓層」等層次架構來對網路進行分級分區管理，並且可以在Google地圖上顯示出來。

這對於國內的用戶來說是個問題，不知道在中國區可否採用Bing或者其他地圖數據，否則就要持有VPN執照或者科學上網才行。

Overlay Network

搞清楚Underlay網路之後，Overlay網路就不是很難了。在DNAC上可以指定每台物理交換機在Fabric上充當的角色。

然後我們來看一下數據中心的Overlay網路架構：

思科SDA網路的Overlay也同樣是這些技術：

VXLAN實現大二層通信 ---- 這沒的說，可以讓用戶無論在園區網的哪個位置，都使用相同的二層網路環境

LISP提供IP移動性和Anycast Gateway ---- 園區網裡面基本上沒有虛擬機，都是「實體機」。但無論是虛擬機還是實體機，本質上都是一個OS，都有網卡和IP。它們的移動性就由LISP來提供

DMVPN提供廣域網站點之間的三層通信 ---- 總部和各個分支之間的通信，可以租用MPLS專線，也可以通過Internet搭建DMVPN

OTV提供廣域網站點之間的二層傳輸 ---- 如果總部和各個分支之間需要建立二層連接，當然也可以用OTV來實現

利用Virtual Network實現不同業務之間的隔離，其實就是VRF

利用安全組標籤在Virtual Network內進行不同用戶組之間的隔離和訪問控制 ---- 這是最有意思的地方。在超融合架構中，通常用VM或者VM Group的名稱來進行訪問控制。在SDA架構中，實際上是把用戶當成了VM，所以採用用戶組的名稱進行訪問控制。本質上，是將每個用戶組Map到一個Security Group Tag（在VMWare架構中也稱之為安全組），然後通過SGT來進行訪問控制

Security Group Tag

SGT欄位嵌入在802.1Q和Ethernet Type中間，長度為16bit。

作為思科TrustSec的重要組成部分，SGT可以Map到很多元素上，例如IP、網段、VLAN、物理介面、邏輯介面、L4埠，可以在ISE上進行動態Map，也可以靜態Map。在SDA架構中，則是通過RADIUS協議Map到User Group上面。

在DNAC配置Policy會自動跳轉到ISE的Web UI，可以看到在建立安全組的時候，SGT是動態Map的方式：

建立好安全組就可以回到DNAC來創建虛擬網路（對應數據中心的VPC），然後把安全組（在DNA Center上是另外一個名字，Scalable Group，可擴展群組，似乎是不想和VMware使用同一個名稱？）添加到虛擬網路當中，就可以輕鬆實現不同業務的隔離。

接下來還可以在虛擬網路內部進行微分段，也就是配置不同用戶之間的訪問策略。下面就是一個DNAC配置訪問策略的截圖，我們希望Quarantined_System這個Group不能夠和Employees Group互訪，同時，在Quarantined_System這個Group內部，用戶與用戶之間也是兩兩隔離的。因此我們把Quarantined_System添加到Source，而在Destination則同時添加Quarantined_System和Employees兩個Group，然後選擇Contract為deny。保存即可。比ACL好用多了。

SGT動態Map到User Group是基於RADIUS協議，在思科交換機的埠上可以同時配置3種認證方式：802.1X、MAC認證、Web認證，這三種方式都需要使用RADIUS協議。員工可以沿用現有的802.1X認證，物聯網設備可以使用MAC地址認證，訪客可以使用Web Portal認證。

RADIUS是標準協議，雖然各個廠商都有私有屬性，但兼容起來並不困難。在國內因為有很多場景需要使用動態令牌雙因素認證或者微信認證，所以思科和寧盾合作，將寧盾認證平台融入到SDA網路架構中，ISE會自動將SGT Map到RADIUS的Filter-ID或Login-LAT-Group屬性上。不過這種解決方案需要同時購買思科和寧盾兩套認證平台，只適合不差錢的客戶。

與Non-fabric WLAN和Non-fabric網路集成

在上文我們提到了Border Node這個角色，在SDA架構中，它們可以用來連接Fabric網路和Non-fabric網路。如果網路中使用了x700系列無線AP或者其他廠商的無線AP，就需要使用Border節點進行路由。

在下圖中，我們可以發現無線AP是連接到Edge節點的POE埠上，因為Edge節點不能夠承擔Fabric網路和Non-fabric網路的路由，所以無線網路必須採用集中轉發的方式，將流量都通過CAPWAP隧道發給無線控制器，由無線AC轉發給Border節點，這樣就可以和Fabric網路通信了。

Edge節點將CAPWAP的數據封裝到VXLAN報文中：

Fabric網路和傳統網路的通信都需要經過Border節點。Non-fabric有線網路也是同理，所以在進行網路規劃的時候要做好區域劃分，合理設置Border節點的位置。

與Fabric WLAN集成

如果是x800系列的無線AP，可以直接在AP上封裝VXLAN。Fabric WLC也支持LISP。這種場景就可以採用本地轉發，組成有線無線一體化的Fabric網路。下圖中，紅色曲線是AP和邊緣節點之間使用的VXLAN隧道。由於WLC支持LISP協議，也可以由核心交換機進行控制，實現IP的移動性。

此時，無線用戶可以直接和有線用戶通信，而無需繞行到WLC和Border節點。

Assurance大數據智能運維

微信自動保存的功能不好用，丟了好多字。心塞。下面來談談可視化和智能排錯的部分。Assurance是一個大數據平台，通過Syslog、SNMP、NetFlow等方法收集數據，利用機器監督學習的模型來梳理數據，尋找數據之間的聯繫，數據與網路運行狀況的聯繫，為網路進行評分，自動發現故障，並提供專家解決建議。

在下圖的下半部分，可以看到Assurance組件發現的Issues：

點擊某個Issue，可以看到故障詳情，同時可以看到系統自動提供的解決方案。網路管理員不需要具備很專業的技能，只需要按照步驟去點擊「Run」按鈕，就可以自動執行排錯動作並返回結果。

無線網路也同樣可以評分和排錯，幫助客戶進行無線網路優化，解決煩人的無線干擾問題。另外一個吸引人的地方是可以利用Sensor AP，或者將雙頻AP的某個Radio設置成Sensor模式，利用Sensor模擬用戶行為，這樣一個管理員就可以對全國甚至是全球分支機構的無線網路進行自動化巡檢。

上圖是可以巡檢的內容，包括IP可達性、RADIUS協議、HTTP、FTP等，都可以由Sensor來模擬。實際操作時按照每3台AP部署1個Sensor，同樣適合不差錢的用戶。

基礎網路的部分差不多就是這些，總結一下SDA的優點：

對計算機網路/監控網/信息發布/門禁/智能控制等業務進行隔離，而無需建設多套物理隔離網路。尤其是工業互聯網場景，園區內有數萬甚至十數萬個Sensor，傳統園區網進行業務隔離非常困難，使用SDA/DNA架構則很容易

在虛擬網路內利用SGT，像管理虛擬機一樣管理用戶，靈活部署安全策略，且策略與位置或IP無關

有線和無線的融合Fabric，無線AP進行VXLAN的隧道封裝，安全策略只與用戶有關，而與網路類型無關

Underlay標準化，零接觸配置；Overlay軟體定義；網路可視化，大數據分析故障原因並提供解決方案，幫助網路自動化運維

尤其是第一點。在國內，雖然很多園區都建設了物理隔離的智控網，但是網路內所有交換機都沒有配置VLAN，門禁、人臉識別、燈光、音響、停車場管理等多種業務系統都在同一個廣播域裡面。攻破其中一個點，整個網路就全都暴露了。採用DNA架構的SDA網路可以很好的解決這個問題。

SD-WAN：IWAN

最後談一談IWAN。就像我前面講的，很多SDN網路中，控制面都保留在物理設備上。SD-WAN更是如此，因為廣域網的延時太大了，網路也不可靠。

思科IWAN的控制面是Performance Routing，PfR。由ASR 1K/4K路由器執行。PfR可以實時探測廣域網鏈路的帶寬、延時、抖動、丟包等狀態，實時地進行流量負載均衡和轉發路徑切換。並且PfR的轉發路徑是寫在轉發表裡面，優先於路由協議的路由表。

利用PfR，配合AVC應用可視化和控制技術，可以在MPLS網路和DMVPN網路上實現很多功能，例如：

基於流量類型選路

快速故障切換，無需等待路由收斂

基於路徑質量的智能選路

基於應用類型選路

智能負載均衡

實際上，如果沒有Controller，IWAN也能工作的很好，只不過運維管理會很困難。DNAC提供的IWAN應用就是LiveNX平台，基於NetFlow協議對廣域網的流量進行可視化。

利用DNA Center的IWAN APP，可以把Management Plane收到DNA Center，實現資產管理、鏡像管理、IP Pool管理、VLAN/Routing/QoS等配置的管理、應用的選路策略、網路可視化監控、排錯等功能。在思科的官網有很多Demo視頻，所以就不再廢話了。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！