Внедрение sda для кампусных сетей – r&s · Внедрение sda...
TRANSCRIPT
![Page 1: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/1.jpg)
Внедрение SDAдля кампусных сетей – R&S
Алексей Сажин
Инженер-консультант, Customer Experience
Cisco Systems
![Page 2: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/2.jpg)
Обо мне
© 2019 Cisco and/or its affiliates. All rights reserved.
2009 20142012
Алексей Сажин - инженер-консультант команды внедрения решений Cisco.Занимаюсь внедрением решений SDA, также мне интересно направление «маршрутизация и коммутация» и программирование для решения сетевых задач. В свободное время увлекаюсь серфингом.
2017
![Page 3: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/3.jpg)
Повестка
© 2019 Cisco and/or its affiliates. All rights reserved.
Роли устройств в Фабрике
Компоненты Фабрики
Миграция на SDA
Подводные камни
Заключение
Архитектура SDA
![Page 4: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/4.jpg)
Что пропустим?
© 2019 Cisco and/or its affiliates. All rights reserved.
Синий зал 16:40 – 17:40«Практический опыт внедрения решений по информационной безопасности в архитектуре SDA.»Сергей Сажин, инженер-консультант Cisco Customer Experience
Wireless
Distributed Campus (Multisite)
Assurance
Безопасность в SDA
Multicast
![Page 5: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/5.jpg)
Архитектура SD-Access (SDA)
▪ Кампусная Фабрика
Набор устройств, настроенных определенным образом (LISP + VXLAN + CTS)
APIC-EM
1.X
▪ DNA Center (DNAC)
Сервер для управления сетью с помощью графического интерфейса.
Кампуснаяфабрика
ISE PIISE
DNA Center
B
C
B▪ ISE
Сервер безопасности для аутентификации, авторизации и контроля доступа (ААА)
*LISP - Locator/ID Separation Protocol*VXLAN - Virtual Extensible LAN*CTS – Cisco TrustSec
![Page 6: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/6.jpg)
Cisco ISE 2.4Identity Services Engine
Коммутаторы | Маршрутизаторы| Беспроводная часть
DNA Center
AAA (Radius)
SNMPNetFlow
Syslog
SSH
API/pxGrid
Кампусная Фабрика
DN1-HW-APLСервер DNA
ISE сервер
на выделенном устройстве или VM
Взаимодействие между компонентами решения SDA
Политики безопасности
Собираем статистику
Настраиваем Фабрику
AAA - Authentication Authorization and Accounting
![Page 7: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/7.jpg)
Фабрика состоит из двух уровней:
1. Физический уровень (Underlay)
• Плоская сеть, задача – анонс loopback адресов устройств фабрики (Edge-устройства)
• Control-plane – IS-IS/OSPF
2. Наложенный уровень (Overlay)• Подключение пользователей,
предоставление сервисов
• Control-plane - LISP
Underlay и Overlay в Фабрике
• GRE
• MPLS / VPLS
• OTV
Примеры Overlay в других технологиях
VxLAN «туннели» между Lo0 Edge-устройств
VxLAN «туннели» между Lo0 Edge-устройств
Lo0: 172.16.1.2/32
Lo0: 172.16.1.3/32
Lo0: 172.16.1.1/32
OSPF/IS-IS
![Page 8: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/8.jpg)
Кампусная фабрика – Ключевые моменты
1. Control-Plane для Overlay - LISP
2. Data-Plane - инкапсуляция VXLAN
3. Policy-Plane – CTS (Cisco TrustSec)
На что обратить внимание
• Overlay поддерживает L2 + L3
• Мобильность пользователей с помощью Anycast Gateway
• Информация о SGT теперь в VXLAN заголовке
CB B
![Page 9: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/9.jpg)
Обычный протокол маршрутизации = Большие таблицы маршрутизацииЗнаем о всех подключенных сетях.
Кампусная фабрика – Ключевые моментыLISP
1. Control-Plane для Overlay - LISP
Prefix Next-hop192.168.1.0/24 >R1192.168.0.0/24 >R0192.168.0.0/24 >local
Prefix Next-hop192.168.1.0/24 >R1192.168.0.0/24 >local192.168.2.0/24 >R2
192.168.0.0/24
192.168.1.0/24
R1
R0
R2
Prefix Next-hop192.168.1.0/24 >local192.168.0.0/24 >R0192.168.2.0/24 >R2
Все маршруты
192.168.2.0/24
![Page 10: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/10.jpg)
Мар
шр
уты
пользовате
лей
хр
анятс
я в
Базе L
ISP
LISP – маршрутизация «по запросу»Знаем только о подключенных сетях = Небольшие таблицы маршрутизации.
Кампусная фабрика – Ключевые моментыLISP
МобильностьУстройств
1. Control-Plane для Overlay - LISP
Prefix Underlay Loopback192.168.0.11/32 R0192.168.0.21/32 R0192.168.1.33/32 R1192.168.1.34/32 R1192.168.2.10/32 R2
Prefix Next-hop192.168.0.0/24 >local
Prefix Next-hop192.168.0.0/24 >local
192.168.0.0/24
192.168.1.0/24
R1
R0
R2
Prefix Next-hop192.168.1.0/24 >local
Только локальные маршруты 192.168.2.0/24
C
База соответствий
![Page 11: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/11.jpg)
ИСХОДНЫЙпакет
PAYLOADETHERNET IP
PAYLOADETHERNET IPVXLANUDPIPETHERNETVXLANпакет
Поддерживает L2 и L3 Overlay
8 Bytes
Reserved
VN ID
Segment ID
VXLAN Flags RRRRIRRR 8
16
24
8
VRF ID
Dest. IP
Source IP Lo0 Src Edge
Lo0 Dst Edge
Кампусная фабрика – Ключевые моментыVXLAN
1. Control-Plane для Overlay - LISP
2. Data-Plane - инкапсуляция VXLAN
![Page 12: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/12.jpg)
PAYLOADETHERNET IPVXLANUDPIPETHERNET
VRF + SGT
8 Bytes
Reserved
VN ID
Segment ID
VXLAN Flags RRRRIRRR 8
16
24
8
SGT-метка
Кампусная фабрика – Ключевые моментыTrustSec
1. Control-Plane для Overlay - LISP
2. Data-Plane - инкапсуляция VXLAN
3. Policy-Plane – CTS (Cisco TrustSec)
![Page 13: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/13.jpg)
Роли устройств
![Page 14: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/14.jpg)
Роли устройств в кампусной Фабрике
ISE
▪ Control-Plane Nodes – Хранит базу данных IP Пользователя -> Fabric Edge (Lo0 IP).
▪ Fabric Edge Nodes – Коммутаторы доступа к которым подключаются проводные пользователи и точки доступа (AP).
▪ Identity Services – Сервер безопасности.
• Аутентифицирует пользователей
• Хранит политики контроля доступа для пользователей
▪ Fabric Border Nodes – Стык Фабрики с «Внешним миром». По L2/L3.
Identity Services
Intermediate Nodes (Underlay)
Fabric Border Nodes
Fabric Edge Nodes
▪ DNA Center – сервер управления сетью.
• Настройка устройств Фабрики.
• Сбор мониторинг-информации.
DNA Center
Control-PlaneNodes
▪ Fabric Wireless Controller – Беспроводной контроллер доступа управления беспроводными AP.
Fabric WirelessController
КампуснаяФабрика
B
C
B
▪ Intermediate Nodes (Underlay) –Промежуточное устройство, агрегирует потоки трафика, участвует только в маршрутизации OSPF/IS-IS
x2
до x4
![Page 15: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/15.jpg)
Роли устройств
1. Control-Plane2. Border3. Fabric Edge
C
![Page 16: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/16.jpg)
Control-Plane Node информация о подключенных к Фабрике сетях
Роли устройствControl-Plane Nodes – Подробнее
ИзвестныеСети
• Ведет базу данных к какому Fabric Edgeподключается EID (Endpoint Identifier) пользователя
• EID пользователя может быть:• IPv4• MAC• IPv6 (планируется с DNAC* 1.3)
• Регистрирует соответствие «Известная» сеть -> Border node
• Предоставляет информацию Fabric Edge, Border устройствам, о EID -> Fabric Edge
B
C
B
POD1-BR-01#show lisp site instance-id 4099
LISP Site Registration Information
Site Name Last Up Who Last Inst EID Prefix
Register Registered ID
site_uci 1d04h yes# 172.16.255.1 4099 172.16.12.11/32
1d04h yes# 172.16.255.2 4099 172.16.12.12/32
POD1-BR-01#
172.16.12.11/32 172.16.12.12/32
172.16.255.1 172.16.255.2
НеизвестныеСети
(Интернет)
*DNAC – DNA Center
![Page 17: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/17.jpg)
Control-Plane NodesПлатформы
Catalyst 9500
• Catalyst 9500
• 10/40G SFP/QSFP
• 10/40G NM Cards
• IOS-XE 16.6.3+
Catalyst 3K
• Catalyst 3850
• 1/10G SFP
• 10/40G NM Cards
• IOS-XE 16.6.3+
Catalyst 6K*
• Catalyst 6800
• Sup2T/6T
• 6840/6880-X
• IOS 15.4.1SY4+
* Wired Only
ASR1K, ISR4K & CSRv
• CSRv
• ASR 1000-X/HX
• ISR 4300/4400
• IOS-XE 16.6.2+
4K Host записей 96K Host записей 25K Host записей 200K Host записей
![Page 18: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/18.jpg)
B
Роли устройств
1. Control-Plane2. Border3. Fabric Edge
![Page 19: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/19.jpg)
Border Node – стык Фабрики с «Внешним миром»
Роли устройствBorder Nodes – Подробнее
Известные сети
B
C
Три типа Border Node:
• Internal Border• Для подключения фабрики к «Известным» сетям.• Основной критерий – количество сетей ограничено
(WAN/DC/Офисы).
• External Border (или Default)• Для подключения к Неизвестному количеству сетей
(Интернет).• Данный Border Node будет использоваться как выход
по умолчанию.
• Anywhere Border• Комбинированный вариант.• Необходим, если есть несколько Internal/External
borders и к одному Border подключаются Известные и Неизвестные сети.
До 4 External Border Node на Сайт Фабрики
НеизвестныеСети
(Интернет)
НеизвестныеСети
(Интернет)
Известные сети
B
B
![Page 20: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/20.jpg)
Internal Border – отправляет маршруты Фабрики во «Внешний мир» и импортирует маршруты «Известных» сетей в Фабрику.
Роли устройствBorder Nodes - Internal
• Стык с «Внешним миром» с помощью BGP/OSPF/Статической маршрутизации
• Отправка маршрутов фабрики «Внешнему миру».
• Прием и регистрация «Известных сетей» на Control-plane node
B
CLISP
POD1-BR-01#show lisp site instance-id 4099
LISP Site Registration Information
* = Some locators are down or unreachable
# = Some registrations are sourced by reliable transport
Site Name Last Up Who Last Inst EID Prefix
Register Registered ID
site_uci 3w5d yes# 172.16.255.3 4099 172.17.0.0/16
3w5d yes# 172.16.255.3 4099 192.168.11.0/24
172.17.0.0/16
192.168.11.0/24
172.16.255.3
BGP/OSPF/Static
172.17.0.0/16
192.168.11.0/24
Маршруты Фабрики
Известные сети
![Page 21: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/21.jpg)
External Border – выход из фабрики по умолчанию
Роли устройствBorder Nodes - External
• Подключение к «Неизвестным» сетям (Интернет).
• Отправка маршрутов фабрики «Внешнему миру».
• Не импортирует неизвестные сети в Фабрику! Используется только если маршрут до сети не зарегистрирован на Control-plane node.
• Если External Border несколько, то трафик балансируется между ними (per-flow).
C
B
Маршруты ФабрикиBGP/OSPF/Static
router lisp
service ipv4
use-petr 172.17.73.1
use-petr 172.17.73.2
B
172.17.73.1 172.17.73.2
1.1.0.0/16
8.8.8.0/24
<…>
<…>
<…>
77.77.0.0/16
НеизвестныеСети
(Интернет)
![Page 22: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/22.jpg)
Anywhere Border – комбинированный вариант (Internal & External)
Роли устройствBorder Nodes - Anywhere
• Подключение к «Неизвестным» сетям (Интернет).
• Прием и регистрация Всех сетей на Control-plane node, кроме маршрута 0.0.0.0/0
• Отправка маршрутов фабрики «Внешнему миру».
• Если маршрут до сети не зарегистрирован на Control-plane Node, то Anywhere Border используется как шлюз по умолчанию.
C
B
Маршруты ФабрикиBGP/OSPF/Static
router lisp
service ipv4
use-petr 172.17.73.1
use-petr 172.17.73.2
172.17.73.1 172.17.73.2
1.1.0.0/16
8.8.8.0/24
<…>
<…>
<…>
77.77.0.0/16
172.17.0.0/16
192.168.11.0/24
B
172.17.0.0/16
192.168.11.0/24
1.1.0.0/16
<…>
POD1-BR-01#show lisp site instance-id 4099
LISP Site Registration Information
* = Some locators are down or unreachable
# = Some registrations are sourced by reliable transport
Site Name Last Up Who Last Inst EID Prefix
Register Registered ID
site_uci 3w5d yes# 172.16.255.3 4099 172.17.0.0/16
3w5d yes# 172.16.255.3 4099 192.168.11.0/24
172.16.255.3 4099 1.1.0.0/16
Необходимо контролировать количество маршрутов, регистрируемых на Control-plane Node
Известные сети Неизвестные
Сети(Интернет)
![Page 23: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/23.jpg)
DNAC:
Роли устройствНастройка Border Node в DNAC
Опция “Connected to the Internet” не используется для случая с одним Сайтом Фабрики(необходима для Сайта с доступом в Интернет, при использовании SDA Transit)
![Page 24: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/24.jpg)
Nexus 7K*
• Nexus 7700• Sup2E
• M3 Cards
• NXOS 8.2.1+
Catalyst 3K
• Catalyst 3850• 1/10G SFP+
• 10/40G NM Cards
• IOS-XE 16.6.3+
Catalyst 6K
• Catalyst 6800• Sup2T/6T
• 6840/6880-X
• IOS 15.4.1SY4+
Border NodesПлатформы
* Только External Border
Catalyst 9K
• Catalyst 9500• 10/40G SFP/QSFP
• 10/40G NM Cards
• IOS-XE 16.6.3+
ASR1K & ISR4K
• ASR 1000-X/HX
• ISR 4300/4400
• 1/10G/40G
• IOS-XE 16.6.3+
• VNs: 64• IPv4 TCAM: 16K/8K
• VNs: 256• IPv4 TCAM: 96K/48K
• VNs: 512• IPv4 TCAM: 256K
• VNs: 4K• IPv4 TCAM: 1M
• VNs: 500• IPv4 TCAM: 1M
![Page 25: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/25.jpg)
E
Роли устройств
1. Control-Plane2. Border3. Fabric Edge
![Page 26: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/26.jpg)
• Edge Node – предоставляет сервисы Фабрики для подключенных пользователей.
Роли устройствEdge Nodes – Подробнее
• Аутентификация проводных пользователей(MAB, 802.1X).
• Регистрация пользователей (/32) на Control-Plane Node.
• Одинаковый IP шлюза по умолчанию на всех Edge Nodes (L3 Anycast).
• Осуществляет инкапсуляцию / декапсуляциютрафика от всех подключенный устройств.
C
B
*MAB - MAC Authentication Bypass
Известные сети
НеизвестныеСети
(Интернет)B
![Page 27: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/27.jpg)
Fabric Edge NodesПлатформы
Catalyst 9200
• Catalyst 9200/L
• 1/mG RJ45
• 1G SFP (Uplinks)
• IOS-XE 16.10.1s
Catalyst 9400
• Catalyst 9400
• Sup1/XL
• 9400 Cards
• IOS-XE 16.6.3+
Catalyst 9300
• Catalyst 9300
• 1/10G RJ45, SFP
• 10/40/MG NM Cards
• IOS-XE 16.6.3+
![Page 28: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/28.jpg)
Catalyst 4K
• Catalyst 4500
• Sup8E/9E (Uplink)
• 4700 Cards
• IOS-XE 3.10.1E+
Catalyst 3K
• Catalyst 3650/3850
• 1/10G RJ45, SFP
• 10/40G NM Cards
• IOS-XE 16.6.3+
Fabric Edge NodesПлатформы
![Page 29: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/29.jpg)
Компоненты Фабрики
1. Underlay2. Virtual Network3. Host Pool4. Anycast GW5. Layer 3 Overlay6. Layer 2 Overlay
![Page 30: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/30.jpg)
Underlay ФабрикиПоддерживаемые типы топологий
• Дизайн Underlay топологии не ограничен
• Fabric Edge могут подключаться цепочками,
длина цепочки не ограничена
• Рекомендуется использовать топологию из CVD*
для кампусной сети:
© 2019 Cisco and/or its affiliates. All rights reserved.
*CVD – Cisco Validated Design
Pnp Agent Pnp Agent
Pnp Agent Pnp Agent Pnp Agent
Seed Seed
Pnp Agent Pnp Agent Pnp Agent
Seed Seed
3-уровневый дизайн2-уровневый дизайн
Ядро
Распределение
Доступ
B B
![Page 31: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/31.jpg)
Underlay – на что обратить внимание
• Протокол маршрутизации – IS-IS или OSPF.
• VxLAN добавляет 50 Байт нагрузки. Включить “Jumbo Frame” (9100 Байт) внутри Фабрики.
• Рекомендован IS-IS, используется при автоматической начальной настройке (PnP) устройств Фабрики.
• Если впоследствии решим удалить устройства из Фабрики, будет удалена конфигурация, созданная PnP
• PnP поддерживает до трёх уровней иерархии:
© 2019 Cisco and/or its affiliates. All rights reserved.
*PnP – Plug and play
Pnp Agent
Seed
DNAC
Pnp Agent
Pnp Agent
Pnp Agent
Seed
DNAC
Pnp Agent
Pnp Agent
Seed
DNAC
2-уровневый 3-уровневый n-уровневый
![Page 32: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/32.jpg)
• “Virtual Network” ≈ “VN” ≈ “VRF”
• “Host Pool” ≈ “IP подсеть”
• “Fabric Site” ≈ “Набор Control-Plane, Border, Edge nodes”
• “Fabric Domain” ≈ “Набор Fabric Sites” + “Transit”
Новая терминология Фабрики
![Page 33: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/33.jpg)
Компоненты Фабрики
1. Underlay2. Virtual Network3. Host Pool4. Anycast GW5. Layer 3 Overlay6. Layer 2 Overlay
![Page 34: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/34.jpg)
Virtual Network – виртуальная таблица маршрутизации (VRF) на устройствах Фабрики
Компоненты ФабрикиVirtual Network– Подробнее
• Разделяет маршрутную информацию на макро-уровне (разные сущности)
VNCampus
VNGuests
VNPhones
Неизвестные сети
Известные сети
B
C
B
![Page 35: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/35.jpg)
Virtual Network (VN) – виртуальная таблица маршрутизации (VRF) на устройствах Фабрики
Компоненты ФабрикиVirtual Network– Подробнее
• Control-Plane хранит базу сетей отдельно для каждого VN ID
POD1-FE-01#show ip vrf
Name Default RD Interfaces
Campus <not set> Vl1022
Vl1024
Guest <not set> Vl1034
POD1-FE-01#
POD1-BR-01#show lisp site instance-id 4099
Site Name Last Up Who Last Inst EID Prefix
Register Registered ID
site_uci 3w5d yes# 192.168.0.2 4099 172.17.0.0/16
1w5d yes# 192.168.0.2 4099 192.168.10.2/32
3w5d yes# 192.168.0.2 4099 192.168.10.3/32
POD1-BR-01#show lisp site instance-id 4100
Site Name Last Up Who Last Inst EID Prefix
Register Registered ID
site_uci 3w5d yes# 192.168.0.2 4100 172.17.0.0/16
1w5d yes# 192.168.0.2 4100 192.168.5.1/32
3w5d yes# 192.168.0.2 4100 192.168.5.4/24
POD1-BR-01#
VN ID
Segment ID
VXLAN Flags RRRRIRRR
• VN ID передается в заголовке VxLAN• Представлен обычным VRF на устройстве
![Page 36: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/36.jpg)
• Выяснить на этапе проектирования:
• Матрицу взаимодействия между VN.
• Выяснить, для каких VN необходимы стыки с внешними сетями и доступ в Интернет.
• Выяснить в каких VN необходим сервис DHCP.
• Протокол маршрутизации для передачи маршрутной информации из Фабрики.
• Оптимизировать стоимость решения за счет использования Catalyst 9200 vs 9300 (ограничение 4xVN).
• Взаимодействие между VN-только через внешнее устройство, необходимо оценивать потоки трафика при разделении по VN.
• IP Base с DNA Advantage на Catalyst3650/3850 – максимум 3xVN.
Virtual NetworkНа что обратить внимание
![Page 37: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/37.jpg)
Компоненты Фабрики
1. Underlay2. Virtual Network3. Host Pool4. Anycast GW5. Layer 3 Overlay6. Layer 2 Overlay
![Page 38: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/38.jpg)
Компоненты ФабрикиHost Pools – Подробнее
© 2019 Cisco and/or its affiliates. All rights reserved.
• Host Pool – IP подсеть для оконечных устройств, подключаемых к Фабрике.
• Представлена интерфейсом VLAN с IP адресом• Каждый Host Pool принадлежит определенному
VRF (VN).• При подключении пользователя, его адрес
регистрируется на Control Plane Фабрики (per Instance ID).
• Адрес пользователю может назначаться статически или динамически, с помощью DHCP.
Неизвестныесети
Известныесети
B
C
B
Pool.17
Pool.13
Pool.23
Pool.4 Pool
.8
Pool.12
Pool.11
Pool.19
Pool.25
interface Vlan1022
mac-address 0000.0c9f.f45d
vrf forwarding Campus
ip address 172.16.10.1 255.255.255.0
ip helper-address 192.168.11.8
lisp mobility 172_16_10_0-Campus
![Page 39: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/39.jpg)
• “Anycast GW” ≈ “Одинаковый SVI, IP + Mac на всех Fabric Edge”
• “Layer 3 Overlay” ≈ “IP Clients” ≈ “Anycast + Host Pool”
• “Layer 2 Overlay” ≈ ”Non-IP Clients” ≈ “Multipoint Tunnel”
Новая терминология Фабрики
![Page 40: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/40.jpg)
Компоненты Фабрики
1. Underlay2. Virtual Network3. Host Pool4. Anycast GW5. Layer 3 Overlay6. Layer 2 Overlay
![Page 41: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/41.jpg)
Anycast GW - L3 шлюз по умолчанию.
Новая терминология ФабрикиAnycast Gateway– Подробнее
• Тот же принцип, что и у HSRP/VRRP с“Виртульным” IP и MAC адресом.
• SVI настроен на КАЖДОМ Fabric Edge, с одинаковым Virtual IP и MAC.
• Control-Plane хранит базу соответствий IP (Host) -> Fabric Edge.
• При переключении устройства между Fabric Edge Nodes, адрес шлюза не изменяется. GW GW GW
Неизвестныесети
Известныесети
B
C
B
GW GW
interface Vlan1021
mac-address 0000.0c9f.f45c
vrf forwarding Campus
ip address 172.17.0.254 255.255.255.0
ip helper-address 172.17.72.254
<…>
lisp mobility 172_17_0_0-OFFICE
!
![Page 42: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/42.jpg)
Компоненты Фабрики
1. Underlay2. Virtual Network3. Host Pool4. Anycast GW5. Layer 3 Overlay6. Layer 2 Overlay
![Page 43: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/43.jpg)
L3-подсеть «растягивается» на все Fabric Edge коммутаторы Фабрики.
Новая терминология ФабрикиLayer 3 Overlay – Подробнее
43
• Пользователь подключается к SVI на FE-коммутаторе и маршрутизируется через Overlay Фабрики.
• При переключении на новый FE- коммутатор, LISP сообщит Фабрике о новом местонахождении пользователя.
• Пользователи, подключенные к разным FE могут иметь IP-адреса из одной подсети.
• Широковещательный домен ограничен SVI на каждом FE-коммутаторе
• Одинаковый адрес шлюза (Anycast gateway) на каждом коммутаторе
L3 -подсеть
Неизвестныесети
Известныесети
B
C
B
GW GW GW 192.168.1.1192.168.1.1
192.168.1.5 192.168.1.22
![Page 44: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/44.jpg)
Компоненты Фабрики
1. Underlay2. Virtual Network3. Host Pool4. Anycast GW5. Layer 3 Overlay6. Layer 2 Overlay
![Page 45: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/45.jpg)
Два варианта:
1. L2 Overlay без опции Layer-2 Flooding –> передача non-IP трафика, без L2 Broadcast/Multicast.
2. L2 Overlay с опцией Layer-2 Flooding –> поддерживает L2 Broadcast/Multicast.
45
VLAN VLANVLAN
L2 Overlay
C• Поддержка L2 Overlay включается на уровне
подсети (IP Pool).• Каждый Layer-2 Flooding Overlay представлен
Multicast-группой в Underlay.• Layer-2 Flooding следует включать только
если действительно нужно (Silent hosts).
54ee.75cb.222254ee.75cb.1111
Платформы Версия ПО
C3K, C9K 16.9.1s
Layer-2 Flooding поддержка:
VLAN VLAN
Новая терминология ФабрикиL2 Overlay– Подробнее
![Page 46: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/46.jpg)
Размерность подсетей для Фабрики
Для L3/L2 Overlay (без Layer-2 Flooding):
• Широковещательный домен ограничен SVI на каждом FE-коммутаторе
• Количество подсетей (IP Pools) – до 500
➢ Для новых подсетей (Pools), без L2 Flooding, рекомендуется использовать крупные подсети(/22)
Один из подходов по выделению IP адресации:
1. Underlay (крупный блок)• Loopbacks
• P2P
• L3 Handoff
• Lan Automation (минимум /24, чтобы запустить процесс автоматизации больше 1 раза)
2. Overlay (крупный блок)• Новые сети без L2 Flooding (/22)
• Новые сети с L2 Flooding (/24)
• Старые сети – как есть
© 2019 Cisco and/or its affiliates. All rights reserved.
![Page 47: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/47.jpg)
Внешние сервисы для Фабрики
![Page 48: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/48.jpg)
Shared Services
T5/1T1/0/1
T5/1
T5/2
Fusion RouterBorder Node
ASA(ЗащитаShared Services)
Control Plane
Shared Services – сегмент с инфраструктурными сервисами, доступ к которым необходим из всех VN (или из части).Shared Services расположены вне Фабрики.
Включают:• DHCP• ISE (Guest portal, Posture, BYOD, SXP) • DNAC (Admin access)• DNS• NTP• MS AD
B
C
Edge Node КампуснаяФабрика
DHCP
DNAC
ISE
Shared Services
WAN/Интернет
BGP
OSPF
![Page 49: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/49.jpg)
Fusion router
INFRA_VN (GRT*)
BGP
SVI AG0/0/3
T5/1T1/0/1
T5/1
T5/2BGP VRF Phones
BGP VRF Campus
VRF CampusSVI 1021
VRF PhonesSVI 1022
SVI B
SVI C
Ten0/0/0.B
Ten0/0/0.С
Fusion Router
Border Node
Control Plane
ip vrf Campus
rd 1:4099
route-target export 1:4099
route-target import 1:4098
!
ip vrf Phones
rd 1:4098
route-target export 1:4098
route-target import 1:4099
Внешнее устройство, подключается к Border nodes:• Обмен маршрутами между VN (route-leaking).• Связь с Фабрики с Shared Services.• Fusion router настраивается вручную (не с DNAC).Стык на Border node настраивается DNAC (пока только BGP),остальные протоколы: OSPF/EIGRP/Static – вручную.
B
C
VRF Campus
VRF Phones
GRT*
*GRT – Global Routing Table
Ten0/0/0.A
Edge Node
LISP
ip vrf Campus
import ipv4 unicast map RM_FROM_GRT_SHARED
export ipv4 unicast map RM_GRT_TO_CAMPUS
!
ip vrf Phones
import ipv4 unicast map RM_FROM_GRT_SHARED
export ipv4 unicast map RM_GRT_TO_PHONES
!
LAN/WAN
![Page 50: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/50.jpg)
Как быстро настроить Fusion router? (BGP)
INFRA_VN (GRT*)
BGP
Ten0/0/0.ASVI A
BGP VRF Phones
BGP VRF Campus
SVI B
SVI C
Ten0/0/0.B
Ten0/0/0.C
Fusion Router
BGP AS65010
Border Node
2) Создаем IP Transit в DNAC – Стык фабрики с Fusion router по BGP. [Provision -> Fabric]
B
BGP AS65001
VRF Campus
VRF Phones
GRT
*GRT – Global Routing Table
3) Указываем параметры IP Transit (физический интерфейс, BGP AS, VNs)
1) Сохранить текущую конфигурацию Border node: #copy running-config flash:before-vn
![Page 51: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/51.jpg)
Как быстро настроить Fusion router? (BGP)1) Проверить конфигурацию, которая поступила на Border node:#show archive config differences flash:before-vn
POD1-BR-01# show archive config differences
flash:before-vn
router bgp 65001
neighbor 172.17.19.6 remote-as 65010
neighbor 172.17.19.6 update-source Vlan3007
!
address-family ipv4
<...>
neighbor 172.17.19.6 activate
neighbor 172.17.19.6 weight 65535
exit-address-family
!
address-family ipv4 vrf Campus
<...>
neighbor 172.17.19.10 remote-as 65010
neighbor 172.17.19.10 update-source Vlan3008
neighbor 172.17.19.10 activate
neighbor 172.17.19.10 weight 65535
exit-address-family
!
interface Vlan3007
description vrf interface to External router
ip address 172.17.19.5 255.255.255.252
no ip redirects
ip route-cache same-interface
!
<…>
Fusion router:
router bgp 65010
neighbor 172.17.19.5 remote-as 65001
neighbor 172.17.19.5 update-source Vlan3007
!
address-family ipv4
<...>
neighbor 172.17.19.5 activate
neighbor 172.17.19.5 weight 65535
exit-address-family
!
address-family ipv4 vrf Campus
<...>
neighbor 172.17.19.9 remote-as 65010
neighbor 172.17.19.9 update-source Vlan3008
neighbor 172.17.19.9 activate
neighbor 172.17.19.9 weight 65535
exit-address-family
!
interface Vlan3007
description vrf interface to External router
ip address 172.17.19.6 255.255.255.252
no ip redirects
ip route-cache same-interface
!
<…>
2) Чтобы создать конфигурацию для Fusion router достаточно «перевернуть» конфигурацию Border node
3) Добавить BGP allowas-in на Border node.
neighbor 172.17.19.6 allowas-in
neighbor 172.17.19.10 allowas-in
![Page 52: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/52.jpg)
Firewall в качестве Fusion router?
INFRA_VN (GRT*)
BGP
Ten0/0/0.ASVI A
BGP VRF Phones
BGP VRF Campus
SVI B
SVI C
Ten0/0/0.B
Ten0/0/0.C
Fusion ASA
BGP AS65010
Border Node
B
BGP AS65001
GRT
*Рекомендуется использование платформы Cisco Firepower для большей производительности.
1. Плюсы:• Использование stateful правил (ACL) между VN и Shared Services.• Возможность включить передачу тегов (SGT) между Border Node <-> Fusion ASA*.
Нюанс:ASA не поддерживает VRF -> нет возможности контролировать передачу маршрутов между VN (route-leaking).Решение: контроль взаимодействия между VN только с помощью ACL.
2. Рекомендуется использовать BGP:• автоматизация конфигураций на Border Node• поддерживает BFD (Bidirectional Forwarding Detection)
Cisco Catalyst:interface Te1/0/1
cts manual
Cisco Router:interface Te1/0/1.A
cts manual
Включить передачу SGT (Inline-SGT) c Border Node -> Fusion ASA:
Cisco ASA:interface Te1/0/1.A
nameif inside
cts manual
![Page 53: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/53.jpg)
Выбор протокола маршрутизациидля стыка с Fusion router
Для стыка Border Node с Fusion router рекомендуется использовать eBGP:
• Настройка автоматизируется с DNAC
• Простой route-leaking на стороне Fusion router
Остальные протоколы: OSPF/EIGRP/Static – настройка вручную.
• Необходимо увеличить MTU до 9К, между Border Node <-> Fusion
Фабрика
E
B
B
DHCP
DNAC
ISE
Shared Services
E
eBGP
eBGP
Border Node 2
Border Node 1
Fusion router 2
Fusion router 1
iBGPiBGP
LISP
![Page 54: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/54.jpg)
Типовой дизайн Фабрик
![Page 55: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/55.jpg)
© 2019 Cisco and/or its affiliates. All rights reserved.
Обычно необходимо уменьшить количество Сайтов Фабрики
Иногда может потребоваться увеличить количество Сайтов Фабрики
Transit
Small
Medium
Large
S
M
LS
S S
M
Типовые дизайны Фабрик
На что обратить внимание?
Underlay сеть (MTU 9К)
Wireless Client Roaming (< 20ms RTT)
Локальный доступ в Internet (на Удаленных площадках)
Отказоустойчивость Удаленных площадок (Локальные
Control-Planes/Borders)
![Page 56: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/56.jpg)
Поддерживается только на Catalyst 9000*
Оптимизация затрат дляSDA на “mini” Сайтах
Может быть стек C9300
C9800 eWLC с 1.2.8(поддерживается на C9300)
IP
Сайт
DC
ISE1 PAN + PXG
+ PSN
DDI1 DHCP + DNS
+ IPAM
DNAC1 NCP + NDP
ClusterISP
Internet
CP EB
“FABRIC IN A BOX”
Small Site (XS) – “Fabric in a Box”
FE
*кроме C9200L
Типовые дизайны Фабрик
SDA 1.2.6Октябрь 2018
![Page 57: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/57.jpg)
IP
Сайт
DC
ISE1 PAN + PXG
+ PSN
DDI1 DHCP + DNS
+ IPAM
DNAC1 NCP + NDP
ClusterISP
Интернет
CP EB CP EB
Small Site (S) – Небольшой офис или удаленный филиал
Типовые дизайны Фабрик
Параметр Количество
Оконечные устройства < 1К
IP Pools < 100
Control-plane/Border2 Control/Border
(Collocated)
![Page 58: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/58.jpg)
Сайт
DC
ISE2 PAN + PXG
2 PSN
DDI1 DHCP + DNS
1 IPAM
DNAC3 NCP + NDP
ClusterISP
Интернет
IP
CP
EB
CP
EB
Medium Site – Средний офис
Параметр Количество
Оконечные устройства < 10К
IP Pools < 250
Control-plane/Border2 Control2 Border
(Distributed)
Типовые дизайны Фабрик
![Page 59: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/59.jpg)
DC
Сайт
External
WAN
ISE2 PAN 2 PXG
5-10 PSN
DDI1 DHCP 1 DNS
1 IPAM
DNAC5-7 NCP + NDP
ClusterISP
Интернет
CP
IB
CP
IB EB EB
Large Site – Большой кампус
Internal
Параметр Количество
Оконечные устройства < 25К
IP Pools < 500
Control-plane/Border2 Control
2-4 Border (Distributed)
Типовые дизайны Фабрик
![Page 60: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/60.jpg)
Миграция на SDA
![Page 61: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/61.jpg)
Подходы к миграции на SDA
Подходы к миграции
Параллельный Последовательный
Ядро сети
B BBC C
Текущая сетьSDA сегмент
... ...
Underlay
B BC B CB
SDA сегмент
B C B C
Текущая сеть
...
Ядро сети
(По одному коммутатору)
![Page 62: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/62.jpg)
Параллельный подход к миграции
![Page 63: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/63.jpg)
Миграция – параллельный подход
1. Подключить DNAC/ISE в сегмент Shared Services (DC)
Ядро сети
Текущая сеть
...
Основные этапы:
DHCP
DNAC
ISE
Shared Services
2. Подключить оборудование SDA-фабрики
SDA сеть
...
SDA сегмент
![Page 64: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/64.jpg)
SDA сеть
...
Миграция – параллельный подход
1. Подключить DNAC/ISE в сегмент Shared Services (DC)
Ядро сети
Текущая сеть
...
Основные этапы:
DHCP
DNAC
ISE
Shared Services
2. Подключить оборудование SDA-фабрики
3. Настроить связность Underlay Фабрики -> Shared Services
4. Настроить Underlay Фабрики (вручную или PnP)
Underlay
SDA сегмент
![Page 65: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/65.jpg)
Миграция – параллельный подход
1. Подключить DNAC/ISE в сегмент Shared Services (DC)
Ядро сети
Текущая сеть
...
Основные этапы:
DHCP
DNAC
ISE
Shared Services
2. Подключить оборудование SDA-фабрики
3. Настроить связность Underlay Фабрики -> Shared Services
4. Настроить Underlay Фабрики (вручную или PnP)
5. Добавить устройства в DNAC
SDA сеть
...
Underlay
SDA сегмент
![Page 66: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/66.jpg)
SDA сеть
...
Underlay
B BC
SDA сеть
...
B C
Миграция – параллельный подход
1. Подключить DNAC/ISE в сегмент Shared Services (DC)
Ядро сети
Текущая сеть
...
Основные этапы:
DHCP
DNAC
ISE
Shared Services
2. Подключить оборудование SDA-фабрики
3. Настроить связность Underlay Фабрики -> Shared Services
4. Настроить Underlay Фабрики (вручную или PnP)
5. Добавить устройства в DNAC
6. Добавить устройства в Фабрику (Provision)
SDA сегмент
![Page 67: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/67.jpg)
Ядро сети
DHCP
DNAC
ISE
Shared Services
Текущая сетьSDA сеть
...
Underlay
B BC
SDA сеть
B C
Миграция – параллельный подход
1. Подключить DNAC/ISE в сегмент Shared Services (DC)
Основные этапы:
2. Подключить оборудование SDA-фабрики
3. Настроить связность Underlay Фабрики -> Shared Services
4. Настроить Underlay Фабрики (вручную или PnP)
5. Добавить устройства в DNAC
6. Добавить устройства в Фабрику (Provision)
7. Настроить IP Transit для стыка всех VN
SDA сегмент
![Page 68: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/68.jpg)
Ядро сети
B BBC C
DHCP
DNAC
ISE
Shared Services
Текущая сетьSDA сеть
... ...
Миграция – параллельный подход
1. Подключить DNAC/ISE в сегмент Shared Services (DC)
Основные этапы:
2. Подключить оборудование SDA-фабрики
3. Настроить связность Underlay Фабрики -> Shared Services
4. Настроить Underlay Фабрики (вручную или PnP)
5. Добавить устройства в DNAC
6. Добавить устройства в Фабрику (Provision)
7. Настроить IP Transit для стыка всех VN
8. Протестировать взаимодействие SDA сегмент
![Page 69: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/69.jpg)
Текущая сеть
...
Ядро сети
B BBC C
DHCP
DNAC
ISE
Shared Services
SDA сеть
...
Миграция – параллельный подход
Основные этапы (продолжение):
…8. Протестировать взаимодействие
9. Начать перевод пользователей
10. Демонтировать прежнюю сеть
SDA сегмент
![Page 70: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/70.jpg)
Последовательный подход к миграции
![Page 71: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/71.jpg)
SDA сегмент
Миграция – последовательный подход
1. Подключить DNAC/ISE в сегмент Shared Services (DC)
Ядро сети
Текущая сеть
...
Основные этапы:
DHCP
DNAC
ISE
Shared Services
2. Подключить оборудование Control/Border Nodes
SDA сегмент
![Page 72: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/72.jpg)
SDA сеть
Миграция – последовательный подход
1. Подключить DNAC/ISE в сегмент Shared Services (DC)
Ядро сети
Текущая сеть
...
Основные этапы:
DHCP
DNAC
ISE
Shared Services
2. Подключить оборудование Control/Border Nodes
4. Добавить устройства Control/Border Nodes в DNAC
5. Добавить устройства Control/Border Nodes в Фабрику (Provision)
BB C
3. Настроить связность Underlay Фабрики -> Shared Services
BB C
SDA сегмент
![Page 73: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/73.jpg)
Ядро сети
DHCP
DNAC
ISE
Shared Services
Текущая сетьSDA сеть
...
Underlay
B BC
SDA сеть
B C
Миграция – последовательный подход
Основные этапы:
6. Настроить IP Transit для стыка всех VN
7. Настроить L2 Handoff (опция) если переносим сети в SDA «как есть»
L2 Handoff
1. Подключить DNAC/ISE в сегмент Shared Services (DC)
2. Подключить оборудование Control/Border Nodes
4. Добавить устройства Control/Border Nodes в DNAC
5. Добавить устройства Control/Border Nodes в Фабрику (Provision)
3. Настроить связность Underlay Фабрики -> Shared Services
SDA сегмент
![Page 74: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/74.jpg)
Ядро сети
DHCP
DNAC
ISE
Shared Services
Текущая сетьSDA сеть
...
Underlay
B BC
SDA сеть
B C
Ядро сети
DHCP
DNAC
ISE
Shared Services
Текущая сетьSDA сеть
... ...
Underlay
B BC
SDA сеть
B C
Миграция – последовательный подход
Основные этапы:
6. Настроить IP Transit для стыка всех VN
7. Настроить L2 Handoff (опция) если переносим сети в SDA «как есть»
L2 Handoff
1. Подключить DNAC/ISE в сегмент Shared Services (DC)
2. Подключить оборудование Control/Border Nodes
4. Добавить устройства Control/Border Nodes в DNAC
5. Добавить устройства Control/Border Nodes в Фабрику (Provision)
3. Настроить связность Underlay Фабрики -> Shared Services
8. Перенести шлюзы «растянутых» VLAN в Фабрику
SDA сегмент
SVI ASVI B
![Page 75: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/75.jpg)
8. Перенести шлюзы «растянутых» VLAN в Фабрику
Ядро сети
DHCP
DNAC
ISE
Shared Services
Текущая сетьSDA сеть
...
Underlay
B BC
SDA сеть
B C
Ядро сети
DHCP
DNAC
ISE
Shared Services
Текущая сетьSDA сеть
... ...
Underlay
B BC
SDA сеть
B C
Миграция – последовательный подход
Основные этапы:
6. Настроить IP Transit для стыка всех VN
7. Настроить L2 Handoff (опция) если переносим сети в SDA «как есть»
L2 Handoff
1. Подключить DNAC/ISE в сегмент Shared Services (DC)
2. Подключить оборудование Control/Border Nodes
4. Добавить устройства Control/Border Nodes в DNAC
5. Добавить устройства Control/Border Nodes в Фабрику (Provision)
3. Настроить связность Underlay Фабрики -> Shared Services
9. Установить новый FE Node
10. Отключить прежний коммутатор и перевести пользователей в Фабрику
SDA сегмент
![Page 76: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/76.jpg)
Ядро сети
DHCP
DNAC
ISE
Shared Services
Текущая сетьSDA сеть
...
Underlay
B BC
SDA сеть
B C
Ядро сети
DHCP
DNAC
ISE
Shared Services
Текущая сетьSDA сеть
... ...
Underlay
B BC
SDA сеть
B C
Миграция – последовательный подход
Основные этапы (продолжение):
L2 Handoff
…
11. Повторить для остальных коммутаторов
SDA сегмент
![Page 77: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/77.jpg)
Ядро сети
DHCP
DNAC
ISE
Shared Services
Underlay
B BC B C
Ядро сети
DHCP
DNAC
ISE
Shared Services
B
SDA сегмент
B C B C
Миграция – последовательный подход
Основные этапы (продолжение):
L2 Handoff
…
11. Повторить для остальных коммутаторов
SDA сегмент
12. Отключить L2 Handoff
13. Переключить текущий уровень распределения в Border Nodes Фабрики
![Page 78: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/78.jpg)
Подходы к миграции на SDAПараллельный и Последовательный
Параллельный Последовательный
(По одному коммутатору)
Небольшой кампус/филиал Любой размер кампуса
Требует новых кабельных ресурсов Использует текущие кабельные ресурсы
Электропитание и место для
параллельной сети
Незначительное требование к
электропитанию и месту
Замена всех сетевых устройств кампуса Замена части сетевых устройств
кампуса
Возможность полностью протестировать
Фабрику перед миграцией
Частичный тест Фабрики
![Page 79: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/79.jpg)
Какой подход к миграции выбрать?
Условие Параллельный Последовательный (новые сети)
Последовательный (текущие сети)
Имеется дополнительное место, электропитание и кабельные ресурсы
✓
Физическая топология текущей сети соответствует CVD ✓ ✓
Планируете изменить физическую топологию текущего кампуса
✓
Наличие устройств без поддержки DHCP (IOT/камеры)
✓
Быстрая миграция ✓
Текущие сети удовлетворяют потребности дальнейшего роста
✓
Сложность с изменением ACL на межсетевых экранах
✓
![Page 80: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/80.jpg)
Миграция – «растягивание» подсетей между Текущей сетью и Фабрикой
• Layer 2 Border регистрирует устройства из «растянутых» VLAN Текущей сети на Control plane Node
• С помощью функционала Layer2 Handoff, «растягиваем»VLAN между Текущей сетью и Фабрикой
• SVI для VLAN текущей сети, располагается на L2 Border
• Роли Layer 2 и Layer 3 Border могут быть совмещены
SVI300Ядро сети
Пользователь 1IP: 10.2.2.0/24
Пользователь 2IP: 10.2.2.0/24
Layer 2
Border
Устройства в Address Pool (1021)
Устройства вVLAN (300)
E
B Стек или VSS
SDA сегмент Текущая сеть
Фабрика
![Page 81: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/81.jpg)
Миграция – «растягивание» подсетей между Текущей сетью и Фабрикой
• SDA Transit и Layer 2 Handoff не поддерживаются на одном Border Node
• Каждый VLAN из Текущей сети может быть «растянут» только через один Layer 2 Border
• Layer 2 Border поддерживает до 4К устройств суммарно во всех «растянутых» VLAN
• Разные VLAN из текущей сети могут «растягиваться» через разные Layer 2 Border
Layer 2
Border
B Стек или VSS
SDA сегмент Текущая сеть
Фабрика
Layer 2
Border#2
BE
vlan300
vlan300
![Page 82: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/82.jpg)
Миграция – «растягивание» подсетей между Текущей сетью и Фабрикой
Фабрика
Layer 2
Border
B vlan4006
Te1/0/14
Настройка в DNAC:
E
172.16.48.0/24
172.16.48.0/24
L2 Extension должен быть включен для «растягиваемого» IP Pool
![Page 83: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/83.jpg)
Миграция – «растягивание» подсетей между Текущей сетью и Фабрикой
Фабрика(LISP)
Layer 2
Border
B vlan4006
Te1/0/14
Конфигурации на устройстве:
E
172.16.48.0/24 172.16.48.0/24
vlan 4006
name 172_16_48_0-Campus
interface Vlan4006
description Configured from apic-em
mac-address 0000.0c9f.f460
vrf forwarding Campus
ip address 172.16.48.1 255.255.255.0
ip helper-address 192.168.41.8
lisp mobility 172_16_48_0-Campus
router lisp
instance-id 4099
dynamic-eid 172_16_48_0-Campus
database-mapping 172.16.48.0/24
locator-set border
instance-id 8190
service ethernet
eid-table vlan 4006
database-mapping mac locator-set
border
router lisp
instance-id 8190
service ethernet
eid-table vlan 1025
database-mapping mac locator-set
border
!
interface Vlan1025
vrf forwarding Campus
ip address 172.16.48.1
255.255.255.0
ip helper-address 192.168.41.8
<…>
lisp mobility 172_16_48_0-Campus
Vlan1025 vlan4006
![Page 84: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/84.jpg)
Миграция на SDAНа что обратить внимание
© 2019 Cisco and/or its affiliates. All rights reserved.
Нужно ли взаимодействие между Virtual Networks (VN)
Определить количество VN
Определить группы микро-сегментации
Используем новые или текущие сети? DHCP?
PBR, WCCP перенести с Distribution Layer вне Фабрики
Сетевая часть: MTU, топология, IP-адресация для Underlay и Overlay, расположениеShared Services
![Page 85: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/85.jpg)
Подводные камни
![Page 86: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/86.jpg)
Вариант отказа для резервируемых External bordersИ как с ним справиться
Фабрика
E
B B
E
Border Node 2Border Node 1
LISP
• Не импортирует неизвестные сети в Фабрику! Используется только если маршрут до сети не зарегистрирован на Control-plane node.
• Если External Border несколько, то трафик балансируется между ними (per-flow).
router lisp
service ipv4
use-petr 172.17.73.1
use-petr 172.17.73.2
172.17.73.1 172.17.73.2
External border:
Внешние сети
eBGPeBGP
![Page 87: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/87.jpg)
Вариант отказа для резервируемых External bordersИ как с ним справиться
Фабрика
E
B B
E
Border Node 2Border Node 1
eBGP
LISP
eBGP
• Внешний интерфейс на Border Node 2 выходит из строя.
router lisp
service ipv4
use-petr 172.17.73.1
use-petr 172.17.73.2
172.17.73.1 172.17.73.2
Сценарий отказа:
Внешние сети
• С Border Node 2 удаляется маршрутная информация о внешних сетях.
• Fabric Edge коммутаторы продолжают направлять половину потоков на Border Node 2
• Потоки отбрасываются на Border Node 2
![Page 88: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/88.jpg)
Вариант отказа для резервируемых External bordersИ как с ним справиться
Фабрика
E
B B
E
Border Node 2Border Node 1
eBGP
LISP
eBGP
Настроить дополнительные iBGP-сессии в каждом VN, между Border Node.
router lisp
service ipv4
use-petr 172.17.73.1
use-petr 172.17.73.2
172.17.73.1 172.17.73.2
Решение:
Внешние сети
VRF Campus
VRF Phones
iBGP
iBGP
Border Node 1 Border Node 2 interface Vlan2500
vrf forwarding OFFICE
ip address 172.17.12.0 255.255.255.254
bfd interval 100 min_rx 100 multiplier 3
!
router bgp 65001
address-family ipv4 vrf Campus
neighbor 172.17.12.1 remote-as 65001
neighbor 172.17.12.1 update-source Vlan2500
neighbor 172.17.12.1 fall-over bfd
neighbor 172.17.12.1 activate
![Page 89: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/89.jpg)
Вариант отказа для резервируемых External bordersИ как с ним справиться
Фабрика
E
B B
E
Border Node 2Border Node 1
eBGP
LISP
eBGP
• Внешний интерфейс на Border Node 2 выходит из строя.
router lisp
service ipv4
use-petr 172.17.73.1
use-petr 172.17.73.2
172.17.73.1 172.17.73.2
Сценарий отказа после исправления:
Внешние сети
• Border Node 2 начинает использовать iBGP маршруты.
• Fabric Edge коммутаторы продолжают направлять половину потоков на Border Node 2
• Border Node 2 отправляет потоки наBorder Node 1 с помощью iBGPмаршрутов
iBGP
![Page 90: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/90.jpg)
iBGP сессии после перезагрузки External bordersКакой отказ помогают решить
Фабрика
E
B B
E
Border Node 2Border Node 1
eBGP
LISP
eBGP
• Border Node 1 включился
172.17.73.1 172.17.73.2
Сценарий отказа без iBGP-сессий:
Внешние сети
• Border Node 1 установил eBGP-сессию. LISP-сессии с Fabric Edge еще не установлены
• Трафик «север-юг» начинает поступать на Border Node 1
• У Border Node 1 нет LISP записей о маршрутах оконечных устройств. Трафик отбрасывается.
![Page 91: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/91.jpg)
iBGP сессии после перезагрузки External bordersКакой отказ помогают устранить
Фабрика
E
B B
E
Border Node 2Border Node 1
eBGP
LISP
eBGP
• Border Node 1 включился
172.17.73.1 172.17.73.2
Сценарий отказа с iBGP-сессиями:
Внешние сети
• Border Node 1 установил iBGP/eBGP-сессии. LISP-сессии с Fabric Edge еще не установлены
• Трафик «север-юг» начинает поступать на Border Node 1
• У Border Node 1 нет LISP записей о маршрутах оконечных устройств, но есть iBGP маршруты.
Трафик отправляется на Border Node 2.
iBGPB
![Page 92: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/92.jpg)
SVI интерфейсы в сторону Fusion routerДолгое восстановление связи при отказе
Фабрика
E
B B
E
Border Node 2Border Node 1
eBGPeBGP
Исходные данные:В качестве Border Node используются коммутаторы (например Cat9K, Cat3K)
Проблема:Наблюдается долгий перерыв связи, при отключении интерфейса Border Node 1 -> Fusion router
172.17.73.1 172.17.73.2
Внешние сети
iBGP
![Page 93: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/93.jpg)
SVI интерфейсы в сторону Fusion routerПричина долгого восстановления связи при отказе
Фабрика
E
B B
E
Border Node 2Border Node 1
eBGPeBGP
172.17.73.1 172.17.73.2
Внешние сети
iBGP
Причина:Для связности между Border Node 1 -> Fusion используется SVI*
router bgp 65001
address-family ipv4 vrf Campus
neighbor 172.17.14.10 remote-as 65002
neighbor 172.17.14.10 update-source Vlan3003
neighbor 172.17.14.10 activate
neighbor 172.17.14.10 weight 65535
!
interface TenGigabitEthernet1/0/3
description “LINK TO EXT-1”
switchport mode trunk
!
Te1/0/3
SVI* - Switch Virtual Interface
![Page 94: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/94.jpg)
SVI интерфейсы в сторону Fusion routerВарианты устранения долгого перерыва связи
Фабрика
E
B B
E
Border Node 2Border Node 1
eBGPeBGP
172.17.73.1 172.17.73.2
Внешние сети
iBGP
1. Удалить vlan3003 со всех trunk-интерфейсов
Tex/x/x
switchport trunk allowed vlan remove 3003
Te1/0/3
SVI* - Switch Virtual Interface
2. Настроить BFD для SVI интерфейсов
router bgp 65001
address-family ipv4 vrf Campus
neighbor 172.17.14.10 fall-over bfd
!
Варианты устранения:
![Page 95: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/95.jpg)
• Для работы DHCP в SDA Фабрике необходима DHCP опция-82.
• Если сервер возвращает DHCP пакет без опции-82, то такой пакет будет отброшен на входе в Фабрику.
Клиенты не получают адрес по DHCPНа что обратить внимание
4
BE10.1.18.0/24
1 DHCP
Запрос
2
SVI
10.1.18.1
SVI
10.1.18.1
• Опция 82 = “1.1.1.1”(FE loopback) и “10” VN-ID• GIADDR = 10.1.18.1 ( SVI address) 3
192.168.0.1
DHCP запрос
Отправляется
серверу
GIADDR - Gateway IP address – Адрес DHCP relay
B C
![Page 96: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/96.jpg)
Общие рекомендации
![Page 97: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/97.jpg)
Рекомендации по миграции и внедрению
Тестируйте изменения в лаборатории
Используйте временные IP Pools перед вводом в промышленную
эксплуатацию
Следуйте стандартному процессу проектирования
Используйте проактивные сервисные запросы в TAC
Обучайтесь технологии SDA для управления сетью
Используйте рекомендуемые и проверенные версии ПО для SDA:SD-Access Hardware and Software Compatibility Matrix
![Page 98: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/98.jpg)
Процесс проектирования
Проектирование
Настройка
Тестирование
Перевод пользователей
Усиленный мониторинг после внедрения
Сбор требований
Архитектура SDA не меняет стандартного подхода к проектированию:
![Page 99: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/99.jpg)
Заключение
![Page 100: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/100.jpg)
SDA = Кампусная Фабрика + DNAC + ISE
BB
КампуснаяФабрика
C
DESIGN PROVISION POLICY ASSURANCE
DNA Center Простые Процессы
Архитектура SDA
![Page 101: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/101.jpg)
Ключевые моменты Фабрики
1. Control-Plane для Overlay - LISP
2. Data-Plane - инкапсуляция VXLAN
3. Policy-Plane – CTS (Cisco TrustSec)
На что обратить внимание
• Overlay поддерживает L2 + L3
• Мобильность пользователей с помощью Anycast Gateway
• Информация о SGT теперь в VXLAN заголовке
CB B
![Page 102: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/102.jpg)
C
B
Маршруты ФабрикиBGP/OSPF/Static
B
ВнешниеСети
Роли устройств в Фабрике
• Edge Node – предоставляет сервисы Фабрики для подключенных пользователей.
• Control-Plane Node база соответствий “IP -> Loopback” устройства Фабрики.
• Border – Стык Фабрики с внешними
сетями.
![Page 103: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/103.jpg)
Подходы к миграции на SDA
Подходы к миграции
Параллельный Последовательный
Ядро сети
B BBC C
Текущая сетьSDA сегмент
... ...
Underlay
B BC B CB
SDA сегмент
B C B C
Текущая сеть
...
Ядро сети
(По одному коммутатору)
![Page 104: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/104.jpg)
Миграция и внедрение
Следуем рекомендациям по миграции и внедрениюТестирование!!!
Учитываем подводные камни
Выбираем подход к миграции (последовательный или параллельный)
Выбираем один из четырех типовых дизайнов Фабрики (XS, S, M, L, XL)
Скрытые слайды
![Page 105: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/105.jpg)
Поддержка SDA на платформах
ASR-1000-X
ASR-1000-HX
ISR 4430
ISR 4450
МаршрутизаторыКоммутаторы
Catalyst 9400
Catalyst 9300
Catalyst 4500E Catalyst 6800 Nexus 7700
Catalyst 3650 and 3850 ISRv/CSRv
Catalyst 9500
Catalyst 9200NEW
![Page 106: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/106.jpg)
Дальнейшие шаги
106
ИзучитеТехнологию
SDA
И….
Запланируйтемиграцию
Проверьте поддержку
SDA на своих
устройствах
![Page 107: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/107.jpg)
Будьте на волне цифровизации!
![Page 108: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/108.jpg)
Дополнительные ресурсы по SDA
108
cisco.com/go/cvd• SD-Access Design Guide - Dec 2018
• SD-Access Deploy Guide - Oct 2018
cisco.com/go/dnacenter• DNA Center At-A-Glance• DNA Center 'How To' Video Resources• DNA Center Data Sheet
cisco.com/go/sdaccess• SD-Access At-A-Glance• SD-Access Design Guide• SD-Access FAQs• SD-Access Migration Guide• SD-Access Solution Data Sheet• SD-Access Solution White Paper
![Page 109: Внедрение SDA для кампусных сетей – R&S · Внедрение SDA для кампусных сетей –R&S Алексей Сажин Инженер-консультант,](https://reader034.vdocuments.site/reader034/viewer/2022042612/5f45e895db16563e0d72b2c3/html5/thumbnails/109.jpg)
Спасибо за внимание!
www.facebook.com/CiscoRu
© 2019 Cisco and/or its affiliates. All rights reserved.
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia
www.vk.com/cisco
Оцените данную сессию в мобильном приложении конференции
Контакты:
Тел.: +7 495 9611410www.cisco.com