思科软件定义访问(SD-Access)解决方案代表了企业网络设计,配置和故障排除方法的根本变化。
由于手动配置错误,会导致更高的网络风险。现在整个行业中不断增加的数据泄露数量,使网络监管压力增大。由于没有太多的网络可见性和分析能力,因此会有更多时间用于网络故障排除。
思科SD-Access克服了这些挑战,并具有以下优势:
●可减少运营费用并增强业务敏捷性。
●对有线和无线网络提供策略一致管理。
●自动的网络分段和基于组的策略。
●上下文洞察力,可快速解决问题。
●开放的可编程接口,可与第三方解决方案集成。
SD-Access使用了LISP作为控制平面的协议,使用VxLAN作为数据平面的转发技术,并且对标准的VxLAN做了扩展,使SD-Access可以实现新的功能。
我们今天的主题,将讨论它是如何实现的?
上图是个比较图,第一行是原始报文,第二行是LISP作为数据平面的封装,第三行是VxLAN作为数据平面的封装。从中我们可以看到:
l 如果使用LISP作为数据平面,会将原始报文的二层头部拆除,然后将里面的IP包封装进LISP头部,然后前面再封装UDP头,新的IP头(在Underlay中传输用的头部)。可以看到LISP封装是IP-in-IP的格式,所以它仅支持Layer 3的迁移和互通。
l 如果使用VxLAN作为数据平面,可以保留原始报文的二层头部(可以不保留),可以将整个原始报文封装进VxLAN的头部,然后前面再封装UDP头,新的IP头(在Underlay中传输用的头部)。可以看到VxLAN的封装既可以是IP-in-IP,也可以是MAC-in-IP,所以它既可以支持Layer 3,也可以支持Layer 2的迁移和互通。
VxLAN作为一种新的传输技术(也可以成为Overlay技术),可以支持大二层(意思是在Layer 3 (Routed) Access的企业网设计中,支持跨多个接入层交换机的Layer 2 VLAN),并且将VLAN的限制(4000多个VLAN客户)扩展到了1600多万(16M,因为VxLAN的包头中,有24bits表示VNI,在VxLAN网络中传输时,使用VNI来区分客户)。下图是标准VxLAN的包头,可以看到中间Overlay Header中,有24bits表示VNI。
SD-Access作为思科基于意图的网络中的一个应用,所以给VxLAN加入了一些新的能力,叫Group-Based Policy (基于组的策略,简称GBP,在https://tools.ietf.org/html/draft-smith-vxlan-group-policy-05中有定义),实际上就是将标准VxLAN头部中预留bit中的16bits作为Group Policy ID,用于传递SGT (Security Group Tag 安全组标记,类似于ACI中EPG)。这个SGT是在ISE上定义,然后在DNAC上可以对SGT组之间的访问规则进行配置(类似于写ACL,只不过比ACL简单和高级),并返回给ISE,在ISE上形成SGT之间的策略矩阵,来控制设备之间的互访。在SD-Access中,对标准VxLAN的修改如下图所示:
在思科SD-Access中,有两个策略Level,一个叫Macro Level,一个叫Micro Level(又称为Micro-Segment)。Macro Level是使用VN来进行分段(类似于VLAN和VRF),默认VN之间是不能互访的,如果要互访需要通过三层;Micro Level就是用SGT来进行分段,可以对Host设置不同的组,分配不同的SGT,在不同的SGT组之间设置他们互访的策略。
以上就是对SD-Access的数据平面的介绍
总结,为什么要使用VxLAN作为数据平面?
因为它支持大二层。SD-Access对标准VxLAN做了什么扩展?就是在标准VxLAN头部中,使用了保留的16bits作为Group Policy ID,用于实现设备之间的互访策略。
在思科的EI CCIE的技术体系架构中,SDN部分的技术将是要重点普及的全新技能。IE-LAB的SDN系列课程直播教学及视频教学陆续推出,我们做为新一代的网络工程师,跟上时代,走在技术的最前端才能在网络行业中成为领军者。也只有把学习当成是一种习惯,你才会越来越优秀