Embed Size (px)
Citation preview
Cisco Connect DubrovnikHrvatska • 27.-29. Ožujak 2019.
Global vision.
Local knowledge.
Krešimir Pavelin i Denis Gluhak
SEDAM IT d.o.o.
28.03.2019.
Trnoviti put do zvjezdanog rješenja
Implementacija SD Access infrastrukture
Rev: Ožujak 2019.
Agenda
• Tko smo mi (SedamIT)?
• Ukratko o SD Access-u
• Kako podići SD Access
infrastrukturu?
• Q/A
Ili što ćemo proći u 30-ak minuta
Tko smo mi (SedamIT)?
Sedam IT – tko smo mi
Sedam IT – što radimo
Sedam IT softverska rješenja Interni startup-i ICT
infrastruktura
• Snimke stanja, prijedlozi poboljšanja, arhitekture rješenja
• Dizajn, implementacija i održavanje ICT sustava
podrška / održavanje 24x7x365
• Aktivna mrežna oprema
Routeri, Switchevi, WiFi oprema, najnovija SDN (Software Defined Networking) te NFV (Network Function Virtualization) rješenja za Vaš podatkovni centar te za LAN ili WAN okruženja
• Sigurnosna rješenja
NextGen FW i IDS/IPS rješenja, AntiMalware, Email Spam protection, Web ApplicationFirewall, SSL/TLS visibility and control, Application Access…
Sedam IT – ICT infrastruktura
• Objedinjena komunikacijska rješenja
(HW i SW – Unified Communications, sustavi objedinjenih komunikacija, videokonferencijski sustavi, Cisco Spark sustav, WebEx…)
• Sistemska infrastruktura
Storage sustavi za pohranu podataka (Flashsystem, Storwize, Trake), serveri i bladeposlužitelji, virtualizacijske tehnologije, backup podataka…
• Nadzor i upravljanje radom ICT infrastrukture
Open source rješenja, nadzor svega što ima IP adresu
• IoT rješenja
Senzorika, end-to-end komunikacija, središnja IoT platforma (on-premise ili cloud)
Sedam IT – ICT infrastruktura
Sedam IT – ICT infrastruktura
• eŠkole projekt – implementacija Cisco Meraki mrežnog rješenja u 150 škola širom Hrvatske
• Implementacija Cisco ACI datacentar rješenja
• Implementacija Cisco SD Access rješenja
• Stealthwatch implementacija
• AppDynamics implementacija
Ukratko o SD Access-u
Zašto SD-Access?
• Automatizacija mreže kroz središnju točku upravljanja
• Jedna mrežna okosnica s kompletnom mrežnom vidljivošću
• Identity based umjesto IP basedsegmentacije
• Jedna (zajednička) sigurnosna politika za LAN, WLAN i WAN
• Brzo i jednostavno podizanje novih servisa, ubrzavanje operativnih zadataka
• Mobilnost krajnjih uređaja
• IP temeljena jezgra mreže (nema STP-a), distribuirani default gateway
• Ugrađena analitika i telemetrija
Što je SD Access?
SD Access = Campus Fabric + DNA Centar
SD-Access (obavezne) komponente
ISE
DNAC
Border Node
Control Node
Edge Node
• SDA Design
• Network Hierarchy
• Network Settings
• Image Management
• Network Profiles
• SDA Policy
• Virtual Networks
• Access Control
• Application Priority
• Application Registry
Cisco DNA Centar – središnja točka upravljanja mrežom
• SDA Provision
• Device On-Boarding
• Device Inventory
• Fabric Administration
• Host On-Boarding
• SDA Assurance
• Health Scores
• Client 360 & Device 360 & Application 360
• Click to resolve
Cisco DNA Centar – središnja točka upravljanja mrežom
• Use this layout when you have to show six or more bullets
• Text size should be approximately 20 pt
• Use paragraph spacing to clearly separate each point
• Use bold or italic text sparingly
DNA Centar komponente i funkcije
• Središnja sigurnosna platforma – integralni dio SDA arhitekture
• Dinamičko mapiranje korisnika i uređaja u SGT-u (Scalable Group Tag)
• End-to-end implementacija sigurnosnepolitike
• Mapiranje korisnika u SGT grupe
• informacija o grupi se prenosi kroz mrežu unutar VXLAN enkapsulacije
• Sigurnosna pravila (ACL) se primjenjuju u odnosu na SGT (ne više na IP adresu)
• postiže neovisnost identiteta korisnika o IP adresi
• korisnik ima uvijek ista prava neovisno u kojoj mreži se nalazio.
Cisco ISE
• Ključan za stabilnost, performanse i efikasnost SD-A mreže
• L3 to the access design
• Point-to-point links
• Dedicated IGP process for the fabric
• Loopback propagation outside of the fabric(infrastructure services)
SD-Access - Fabric underlay
• Osigurava transport korisničkog prometa kroz Campus fabriku
• Prenosi SGT informacije
• Segmentacija korisničkog prometa
• Smanjuje broj subneta i pojednostavljuje DHCP management
SD-Access - overlay
SD-Access overlay
• Control Plane
• Baziran na LISP-u
• Data Plane
• Baziran na VXLAN-u
• Policy plane
• baziran na Cisco TrustSec-u
* Za deploy SD-Access fabrike nije nužno detaljno poznavanje rada LISP i VXLAN protokola
• Uređaji koji drži bazu podataka o lokaciji IP/MAC adresa end-hostova, točnije na kojem Edge/Border uređaju se nalazi pojedina IP/MAC adresa
• Funkcionalnost je temeljena na LISP (Location Idetity SeparationProtocol) Map-server/resolveru
• Često je dio Border Node-a
Control Plane - Control Plane Node
• Gateway između SD-Access fabrike i eksternih mreža povezanih na fabriku
• Zadužen za network virtualization interworking i za mapiranje te propagaciju SGT politika izvan SD-Access okoline
• Tipovi Fabric Border Node-ova
• internal border - operating as the gateway for specific network addresses such as a shared services or data center network
• external border - useful as a common exit point from a fabric, such as for the rest of an enterprise network along with the Internet.
• anywhere border - both roles - internal and external border
Data Plane - Border Node
• „access switch” – služi za prihvat krajnjih korisnika/uređaja
• Obavlja registraciju endpointova na control plane node i mapiranjekorisnika u VLAN-ove/subnete
• na njima je implementiran distribuirani default gateway i za VXLAN enkaspulaciju/dekapsulaciju.
Data Plane – Edge Node
• Virtual network = VRF
• Onemogućuje komunikaciju između dva različita VN-a – za komunikaciju potrebno osigurati čvor izvan fabrike
• Svaki VN ima vlastitu routingtablicu
Policy Plane – Virtual network
• Scalable Group = VLAN
• Logički objekt koji grupira više korisnika i/ili uređaja sa istim pravima pristupa
• Omogućuje segmentaciju mreže prema logičkim i funkcionalnim blokovima - SG ACL
Policy Plane – Scalable Group
Kako podići SD Access infrastrukturu?
• što više koristite Cisco službenu dokumentaciju
• najbolji linkovi/dokumenti
https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Campus/CVD-Software-Defined-Access-Deployment-Guide-Sol1dot2-2018OCT.pdfhttps://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Campus/CVD-Software-Defined-Access-Design-Sol1dot2-2018DEC.pdfhttps://www.cisco.com/c/en/us/support/cloud-systems-management/dna-center/products-user-guide-list.htmlhttps://www.cisco.com/c/en/us/solutions/enterprise-networks/software-defined-access/index.html
• nadogradite DNA Center softver čim izađe
• trenutna verzija je 1.2.10 (prije 5 mjeseci smo bili na 1.1.x)
• puno se mogućnosti još razvija i ugrađuje u softver
• ispravke bug-ova
Osnovne preporuke
Implementacija u dva koraka
• Instalacija SD-Access
upravljačkih komponenti
• Implementacija SD-Access
opreme*
* svu konfiguraciju SD Access fabrike
moguće je napraviti kroz CLI, što znači
DNA Centar za upravljanje nije nužan
Instalacija SD-Access upravljačkihkomponenti
• Instalacija DNA Centra
• Instalacija ISE-a (opcionalno)
• Integracija ISE s DNA
• Instalacija WLC kontrolera
(opcionalno)
Ponovimo koje su to SD-Access upravljačke komponente: DNA Centar, ISE, WLC kontroler
• to su uređaji i servisi izvan SD-Access fabrike
• pozicioniraju se na dio infrastrukture koji je sigurnosno odvojen i zaštićen, a do kojeg će moći uređaji iz SD-Access fabrike
Instalacija SD-Access upravljačkih komponenti
12
4
3
1. Instalacija DNA Centra (I)
1• DNA Centar
• Cisco UCS server s 44/56 CPU Core-a i 256/384 GB DRAM-a
• samo po jedno sučelje za svaku svrhu
• smanjenja dostupnost
• pozicioniranje
• nije dio SD-Access fabrike
• dio DC-a zajedno s zajedničkim servisima
1. Instalacija DNA Centra (II)
1
• pripremiti IP adrese za data, CIMC/OOB te cluster sučelja
• rezervirati po 4 IP adrese za sučelje - u slučaju podizanja clustera s tri DNA Centra
• za ostala sučelja nije nužno (ni za DNA GUI)
• pripremiti IP adrese za interno servise i cluster servise - /20 segment ukupno
• procedura inicijalne instalacije i podizanja sustava traje i do dva sata
• ovo radimo samo ako dosad u infrastrukturi ne postoji ISE instalacija s Base + Plus licencom
• u našem slučaju postojala je instalacija s Base licencom i morali smo samo aktivirati Plus licencu
2. Instalacija ISE-a (opcionalno)
2
3. Integracija ISE i DNA
3
• kompleksan postupak gdje se lako pogriješi
• pratiti sve točke integracije u dokumentaciji
• dodatno, pripaziti na postavke certifikata na ISE - mora imati uključenu pxGrid funkciju
• ukoliko se želi integrirati bežični dio infrastrukture u SD-Access infrastrukturu potrebno je instalirati WLC kontroler
• u našem slučaju WLC kontroler je već postojao, te se mogla napraviti integracija
• u tu svrhu je potrebno pretvoriti AP licence u WLC-u u DNA licence*
* a to znači da prestaju biti trajne
4. Instalacija WLC-a (opcionalno)
4
Implementacija SD-Access uređaja
• Koristimo DNA Centar za
inicijalni mrežni dizajn i
otkrivanje uređaja
• Stvaranje segmentacije i
politika za SD-Access
infrastrukturu
• Priprema infrastrukture za
automatizaciju
• "Podizanje" SD-Access
underlay infrastrukture
• "Podizanje" SD-Access
overlay infrastrukture
Ponovimo koji to SD-Access uređaji mogu biti: preklopnici, usmjerivači, bežične pristupne točke, krajnji uređaji
Inicijalni mrežni dizajn
DNA Centar
ili
CLI
• Što znači u duhu SD-Access tehnologije?
- VLAN nije mjerilo odvajanja različitih grupa korisnika
- IP adresa nije mjerilo identificiranja pojedinog korisnika
- koriste se novi mehanizmi poput Virtual Networks i Scalable Group Tags
- preporučen L3 pristup (routed access) infrastrukturi
Inicijalni mrežni dizajn - HLD
Dilema – 1:1 kopija postojeće infrastrukture ili ići u duhu SD-A tehnologije
• Koja su nam ograničenja i zahtjevi:
- prelazak na novo rješenje je postepen
- radi se switch-by-switch migracija
- isti logički segmenti postoje i na novoj i staroj infrastrukturi
- da li i kako se mogu iskoristiti legacy preklopnici
• Koliko site-ova?
• Da li nam treba intermediate sloj?
Inicijalni mrežni dizajn - HLD
• Inicijalne odluke
- Collapsed core dizajn
- Boder i Control Node na istom preklopniku
- Edge i Borderi su povezani dvostrukim vezama
- B/C Node: Catalyst C9500-40X
- Edge Node: Catalyst C9400-24/48P
• Jedan site, tri zgrade
• Legacy LAN i SD-Access istovremeni rad
• Koristiti automatizaciju gdje god je moguće
Inicijalni mrežni dizajn - HLD
• L3 povezivanje underlay-a s ostatkom infrastrukture
• na fusion routeru u vrf LAN
Inicijalni mrežni dizajn - LLD
• L3 povezivanje overlay-a s ostatkom infrastrukture u vrf LAN
• na fusion routeru route leaking prefiksa iz vrf SDA_LAN u vrf LAN i obrnuto
. . .. . .
m0
gi0/12
OOB MGMT
DNAC
Cat9540
172.23.13.8/30172.23.10.192/30
vrf LAN global
globalvrf LAN
172.23.13.0/30vrf shared_srv .1 .2
.17
.18
.10.9
.194
.193
172.23.13.8/30
eBGP
eBGP
iBGP
IS-ISL1-L2 domena
. . .. . .
m0
gi0/12
OOB MGMT
DNAC
Cat9540
172.23.13.8/30172.23.10.192/30
vrf LAN global
globalvrf LAN
172.23.13.0/30vrf shared_srv .1 .2
.17
.18
.10.9
.194
.193
172.23.13.8/30
eBGP
eBGP
iBGP
IS-ISL1-L2 domena
. . .. . .
m0
OOB MGMT
DNAC
Cat9540
172.23.13.8/30172.23.10.192/30
vrf LANvrf
SDA_LAN
vrf SDA_LANvrf LAN
172.23.13.0/30vrf shared_srv .1 .2
.17
.18
.10.9
.194
.193
172.23.13.8/30
eBGP
eBGP
iBGP
LISP
vrf SDA_LAN
vrf SDA_LAN
route leaking
route leaking
gi0/12
. . .. . .
m0
OOB MGMT
DNAC
Cat9540
172.23.13.8/30172.23.10.192/30
vrf LANvrf
SDA_LAN
vrf SDA_LANvrf LAN
172.23.13.0/30vrf shared_srv .1 .2
.17
.18
.10.9
.194
.193
172.23.13.8/30
eBGP
eBGP
iBGP
LISP
vrf SDA_LAN
vrf SDA_LAN
route leaking
route leaking
gi0/12
• underlay
• ručno konfiguriranje Border Node-a, a automatsko (kroz LAN Automation proces) Edge Node-a
• overlay
• automatsko konfiguriranje (Provisioning)
• definirani infrastrukturalni IP adresni pool-evi
• jedan za potrebe ručnog konfiguriranja: jedan za P2P i jedan za Loopback
• za potrebe automatizacije: jedan /22 za potrebe P2P, Loopback i DHCP
• definirani Data i Voice LAN IP adresni pool-evi
• jedan /20 za potrebe svih trenutnih korisnika
Inicijalni mrežni dizajn - LLD
• uređaji se ne moraju licencirati unaprijed, ali se moraju licencirati
• 90 dana će raditi u Evaluation načinu rada
• preporuka:
• pripremiti Smart Account i Virtual account prije narudžbe opreme
• pripremiti CCO korisničko ime* i šifru za pristup Smart Account-u i Image Repository-u
• LAN Automation proces automatski registrira uređaj, ali ga je u slučaju ručno konfiguriranog uređaja moguće provesti i kroz CLI
* bit će konfigurirano na DNA Centru, pa neka bude generičko, vezano uz mail adresu koju može čitati više administratora sustava
Smart Licensing
Konfiguracija opreme
GUI vs. CLI
• CLI omogućava i debug i show log i monitor session komande koje još nisu dostupne putem GUI-a
• jedino GUI jamči konzistenciju konfiguracije na uređajima i DNAC inventory-u
• preporuka za promjene konfiguracije koristiti isključivo GUI!!!
Migracija
Opcije:• SD-Access i stari LAN povezani
preko Enterprise infrastrukture
• SD-Access i stari LAN povezani
direktno kao L3 handoff na
Border node-u
• SD-Access i stari LAN povezani
direktno kao L2 handoff na
Border node-u
• SD-Access i stari LAN
međusobno isprepleteni• kako migrirati postojeći LAN
na novo rješenje?
Opcija 1.SD-Access i stari LAN
povezani preko Enterprise
infrastrukture
Plus Minus
jednostavna
implementacija
nema rastezanja
L2
DC, DMZ, WAN,
Branch, Internet
SD-Access
fabrikalegacy LAN
L3
handoff
L2 ili L3
L3 Corenpr
Nexus7k
Bordernpr
Cat9500
L3 Corenpr
Cat6500
Opcija 2.SD-Access i stari LAN
povezani direktno kao L3
Handoff na Border node-u
Plus Minus
jednostavna
implementacija
i integracija
nema rastezanja
L2
DC, DMZ, WAN,
Branch, Internet
SD-Access
fabrika
legacy LAN
L3
handoff
L3
handoff
L3 Corenpr
Nexus7k
Bordernpr
Cat9500
L3 Corenpr
Cat6500
Opcija 3.SD-Access i stari LAN
povezani direktno putem L2
Handoff veze
Plus Minus
potencijalno
rastezanje L2
još ne radi na
stabilnoj razini
DC, DMZ, WAN,
Branch, Internet
SD-Access
fabrika
legacy LAN
L3
handoff
L2
handoff
L3 Corenpr
Nexus7k
Bordernpr
Cat9500
L3 Corenpr
Cat6500
Opcija 4.
SD-Access i stari LAN
međusobno isprepleteni
Plus Minus
lakša integracija u
postojeću okolinu
L3 povezani
preko Enterprise
LAN-a
DC, DMZ, WAN,
Branch, Internet
legacy LAN
L3
handoff
SD-Access
fabrika
legacy LAN
SD-Access
fabrika
L3 Corenpr
Nexus7k
Bordernpr
Cat9500
L3 Corenpr
Cat6500
Naša odluka - opcija 2.
• legacy i SD-Access moraju
koegzistirati
• nova infrastruktura koristi nova
rješenja
• testovi pokazali stabilan rad
Implementacija definiranog mrežnog dizajna
DNA Centar
Network Settings -> Network
• kreirajte mrežne postavke za AAA, DHCP, DNS, NTP, SNMP, SYSLOG i MOTD
- to su postavke kojima će DNA Centar konfigurirati opremu u LAN Automation procesu
Network Settings -> Device Credentials*
• kreirajte korisnička imena** i šifre za SSH (CLI) pristup opremi
• kreirajte SNMPv2 RO i RW* ili SNMPv3 korisničko ime i šifru
• kreirajte HTTPs korisničko ime i šifru
* obavezni podaci jer bez njih neće uspjeti ni Discovery ni LAN Automation proces** koriste se i kao lokalni u/p i kao AAA u/p
Network Settings -> IP Pools
• kreirajte globalne IP pool-ove*
• rezervirajte iz globalnih IP pool-ove po site-u
• jedan infrastrukturalni segment za ručne konfiguracije opreme te jedan infrastrukturani za LAN automatizaciju
• jedan veliki (/16) segment za krajnje uređaje u VN-u
• isti se može segmentirati na manje i povezati sa SGT-ovima
* dobro planirajte količinu i svrhu segmenata
Image Repository• selektirajte željeni image po hardverskoj platformi kao Golden image
• taj će se koristiti za automatsku nadogradnju prilikom LAN automatizacije ili provisioninga
Stvaranje segmentacije i politika za SD-Access infrastrukturu
DNA Centar
+
ISE
DNA Centar
+
ISE
• Virtual Network
• je zapravo VRF i predstavlja osnovu mjeru razdvajanja pojedinih grupa korisnika
• komunikacija između dva VN moguće je samo preko "vanjskog" L3 uređaja
• Scalable Group
• može predstavljati ekvivalent VLAN-a, odnosno IP segmenta, ali zapravo predstavlja oznaku za grupu korisnika na koje se primjenjuju ista sigurnosna pravila
Virtualne mreže i segmentacija
SD Access Legacy LAN
SG VLAN
SG IP segment
VN VRF
IP-SGT mapping VLAN SVI
IP ACL IP ACL
SG ACL N/A
automatizacija N/A
onboarding N/A
• Virtual Network (VN)
• VN kreiramo na DNA Centru, a konfiguracijski je to zapravo VRF i predstavlja osnovu mjeru razdvajanja pojedinih grupa srodnih korisnika
• inicijalno je definiran i konfiguriran VN za LAN korisnike, a naknadno će se dodati VN za goste i vanjske partnere te za zgradne (svjetla, protupozarni aparati) i sigurnosne (kamere, čitači kartica) uređaje
• komunikacija između dva VN-a moguća je samo preko "vanjskog" L3 uređaja (fusion router ili firewall)
• Scalable Group
• kreiramo na ISE te se isti "spusti" na DNA Centar
• bez SGT-a nije moguće napraviti SG ACL ni Host Onboarding i zato je ISE obavezan element
• odluka - SGT je jednak sadašnjem VLAN/IP segmentu
Virtualne mreže i segmentacija
• SD-Access politike
• Access Control politika
• Application politika
• Traffic Copy politika
• konfiguracija se radina DNA
• SG grupe
• konfiguracija na ISE
• statičke - vezane uz sučelje
• dinamičke - vezane uz autentikaciju
Segmentacija i politika
• po defaultu komunikacija između različitih SG-a je dopuštena
nema predefiniranih i primjenjenih politika
Segmentacija i politika
• SG ACL
- između SG-a unutar fabrike radi bez problema
- između SG-a od kojih je jedan izvan fabrike još ne radi
• IP ACL - radi samo za wireless promet !!
"Podizanje" SD-Access underlay infrastrukture
DNA Centar
DNA Centar
+
CLI
Priprema infrastrukture za
overlay i automatizaciju
Underlay - Border Node
• ručna konfiguracija preporučena za Border Node-ove
• osigurava komunikaciju s ostatkom infrastrukture i Shared Services
• konfiguriraju se P2P i Loopback sučelja te eBGP i ISIS usmjerivački protokoli
• provjeriti da li je Loopback segment dostupan iz Shared Services segmenata
! Cat9540 BC 1
!
system mtu 9100
!
ip routing
!
username lokalni_user privilege 15 password *******
snmp-server community ******* ro
snmp-server community ******* rw
int loopback 0
description UNDERLAY
ip address 10.2.248.1 255.255.255.255
ip router isis
!
vlan 601
name BORDER_P2P_1
int vlan 601
description N7k-1-eC-L3
ip address 172.23.13.2 255.255.255.252
no shutdown
!
interface ten1/0/37
switchport
switchport mode trunk
switchport trunk allowed vlan 601
spanning-tree portfast
no shutdown
!
interface FortyGigabitEthernet1/1/2
description Cat9500-2-L3
no switchport
ip address 172.23.13.17 255.255.255.252
logging event link-status
load-interval 30
bfd interval 100 min_rx 100 multiplier 3
no bfd echo
isis network point-to-point
no shutdown
router bgp 65210
bgp router-id 10.2.248.1
bgp log-neighbor-changes
! fusion router is an eBGP neighbor
neighbor 172.23.13.1 remote-as 65200
! redundant border is an iBGP neighbor
neighbor 10.2.248.2 remote-as 65210
neighbor 10.2.248.2 update-source Loopback0
!
address-family ipv4
network 10.2.248.1 mask 255.255.255.255
! advertise underlay IP network summary in global routing table
aggregate-address 172.23.13.0 255.255.255.0 summary-only
redistribute isis level-2
neighbor 172.23.13.1 activate
neighbor 10.2.248.2 activate
maximum-paths 2
exit-address-family
!
ip prefix-list SHARED_SERVICES_NETS seq 5 permit 10.1.250.0/24
ip prefix-list SHARED_SERVICES_NETS seq 10 permit 10.2.252.0/24
ip prefix-list SHARED_SERVICES_NETS seq 15 permit 10.1.192.0/21
route-map GLOBAL_SHARED_SERVICES_NETS permit 10
match ip address prefix-list SHARED_SERVICES_NETS
!
router isis
net 49.0000.0100.0224.8001.00
domain-password ********
ispf level-1-2
metric-style wide
nsf ietf
log-adjacency-changes
bfd all-interfaces
!
redistribute bgp 65210 route-map
GLOBAL_SHARED_SERVICES_NETS
metric-type external
Underlay - Fusion Router
• nije dio SD fabrike, ali je nužan element infrastrukture
• konfigurira se ručno i to eBGP za komunikaciju prema Border Node-ovima
. . .. . .
m0
gi0/12
OOB MGMT
DNAC
Cat9540
172.23.13.8/30172.23.10.192/30
vrf LAN global
globalvrf LAN
172.23.13.0/30vrf shared_srv .1 .2
.17
.18
.10.9
.194
.193
172.23.13.8/30
eBGP
eBGP
iBGP
IS-ISL1-L2 domena
. . .. . .
m0
gi0/12
OOB MGMT
DNAC
Cat9540
172.23.13.8/30172.23.10.192/30
vrf LAN global
globalvrf LAN
172.23.13.0/30vrf shared_srv .1 .2
.17
.18
.10.9
.194
.193
172.23.13.8/30
eBGP
eBGP
iBGP
IS-ISL1-L2 domena
Underlay - Discovery• inicijalno dodavanje uređaja u DNA Centar inventar uređaja
• koristi se i za naknadno dodavanje ručno konfiguriranih uređaja koji su kompatibilni sa SD Access rješenjem
• preporuka: za najbrži Discovery se odabire Range opcija s malim opsegom IP
adresa
LAN automatizacija
Što kada proces ne uspije ili smo nešto pogriješili?
LAN automatizacija - Edge Underlay• LAN Automation detektira uređaje do 2 hop-a od seed uređaja (obično Core uređaj)
• automatski konfigurira underlay i osnove sistemske postavke iz Network Settings->Network tab-a DNA Centra na prepoznatom uređaju
• ukoliko postoji Golden image softvera, a više verzije od postojeće automatski nadograđuje uređaj
• koristi se za Edge uređaje
LAN automatizacija - Edge Underlay
• Ograničite broj sučelja na primarnom uređaju
• Da li IP pool ima dovoljno nezauzetih IP adresa za automatizaciju (minimalno 128)?
• Da li preklopnik ima tvorničku konfiguraciju? "Čišćenje" preklopnika se radi sa sljedećim komandama:
(config)#config-register 0x2102(config)#crypto key zeroize(config)#no pnp profile pnp-zero-touch(config)#no crypto pki certificate pooldelete /force vlan.datdelete /force nvram:*.cerdelete /force nvram:pnp*delete /force flash:pnp*delete /force stby-nvram:*.cerdelete /force stby-nvram:*.pnp*write erasereload
Underlay - Edge Node (opcionalno)
• moguće se odlučiti za ručnu konfiguraciju Edge Node-a
• isti zahtjevi kao i za Border Node (osim eBGP protokola)
• provjeriti da li je Loopback segment dostupan iz Shared Services segmenata
• potreban je Discovery proces da se ručno konfigurirani uređaj ugradi u DNA inventar uređaja
! Cat9300-24P *
!
system mtu 9100
!
hostname ZG_UGV70_C9324_LABOS6
!
service timestamps debug datetime msec localtime year
service timestamps log datetime msec localtime year
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last
Sun Oct 3:00
!
username lokalni_user privilege 15 password ********
enable secret *******
service password-encryption
!
ip ssh version 2
line vty 0 15
login local
transport input ssh
transport prefered none
!
snmp-server community ******* ro
snmp-server community ******* rw
!
ip routing
!
int loopback 0
description UNDERLAY
ip address 10.2.248.14 255.255.255.255
ip router isis
interface TenGigabitEthernet1/1/1
description ->Cat9500-1-L3
no switchport
ip address 172.23.13.22 255.255.255.252
ip router isis
logging event link-status
load-interval 30
bfd interval 100 min_rx 100 multiplier 3
no bfd echo
isis network point-to-point
no shutdown
!
interface TenGigabitEthernet1/1/2
description ->Cat9500-2-L3
no switchport
ip address 172.23.13.26 255.255.255.252
logging event link-status
load-interval 30
bfd interval 100 min_rx 100 multiplier 3
no bfd echo
isis network point-to-point
no shutdown
!
router isis
net 49.0000.0100.0224.8014.00
domain-password *******
ispf level-2
metric-style wide
nsf ietf
log-adjacency-changes
bfd all-interfaces
!metric-type external
"Podizanje" SD-Access overlay infrastrukture
DNA Centar
Provisioning uređaja i fabrike
• provisioning uređaja obavlja konfiguraciju overlay infrastrukture
• selektiraju su svi non-provisioned uređaji i odabere se akcija Provision
Provisioning uređaja i fabrike (Border Node)• Opcije:
• internal (pristup Enterprise IP segmentima)
• external (pristup nepoznatim IP segmentima)
• anywhere gateway (internal + external)
• Prema iskustvu, LAN korisnici trebaju samo anywhere gateway
• Potrebno pripaziti na:• anywhere gateway ne importa default route dok se ne označi "Is this site connected to
Internet?" kućica• ne optimirati (izbaciti specifične route jer postoji default route) Border Node routing tablicu
- pristup Shared Service segmentima ne radi ukoliko za njih ne postoji specifična route
L3 Handoff* L2 Handoff
L3 default
gatewayLegacy L3 preklopnik Border Node
Point-to-point L3 L2 (tagged)
dinamičko
usmjeravanjeobavezno (BGP) nema
pozitivno stabilnost rada olakšana migracija
negativno
nema "rastezanja" L2
između Legacy i SD-
Access infrastrukture
nepouzdano (bug-ovi), nema
komunikacije između istih L3
segmenata na Legacy i SD-
Access infrastrukturi
Provisioning uređaja i fabrike (Lx handoff)
* kreirati Transit objekte za svaki L3Handoff
Provisioning uređaja i fabrike (Host Onboarding)• Definiraju se funkcije sučelja:
• kojem VN-u pripada• koja se autentikacija koristi za pristup
infrastrukturi(no auth, open, closed, easy connect)
• mapira VN, SGT i L3 segment na sučelje
Provisioning uređaja i fabrike (Host Onboarding)• Opcije:
• User Devices• Access Point (AP)• Extended Node• Server
• User Device opcije će biti najčešće korištena
• Također se ista opcija može upotrijebiti u slučaju da se legacy preklopnik poveže na SD fabriku*
* samo jedan VLAN i niz drugih ograničenja
Konačno...SD Access infrastrukura
• ostvareni željeni traffic flow-ovi
• ostvarene funkcionalnosti koje sada
korisnik ima
• dodane nove funkcionalnosti poput
pregleda cijele infrastrukture i
olakšane analize problema
• dodane nove funkcionalnosti poput
pregleda NAC-a i pojednostavljenog
upravljanja infrastrukturom
Konačan rezultatiz prespektive DNA Centra
Konačan rezultatiz prespektive DNA Centra
Konačan rezultatiz prespektive DNA Centra
Konačan rezultatiz prespektive DNA Centra
Bolja SD Access
vidljivostpregledan prikaz topologije i međusobnih veza
uređaja
upravljivostpojednostavljeno konfiguriranje većeg broja
uređaja, masovna nadogradnja softvera
dijagnostikau DNA Centar ugrađen nadzor opreme, prikaz
statusa i alerta na središnjem dashboard-u
skalabilnostlakša primjena site-wide sigurnosti, stabilnija
LAN infrastruktura (nema L2 petlji)
Pozitivni iskoraci u odnosu na legacy LAN
DNA Centar servisi i alati
• Monitoring
dashboard s prikazom zdravlja SD
Access fabrike
grafički prikaz performansi DNA Centra
• Log analiza
alat za pretragu logova na DNA Centru
• CLI komande
pregled i dijagnostika
• Traffic copy
isporuka klijentskog prometa
Mnoštvo korisnih alata za nadzor i dijagnostiku
Monitoring
• Assurance tab - u svakodnevnom radu najčešće korišteni ekran DNA Centra
• prikazuje trenutno stanje SD Access infrastrukture
• prikazuje trenutno stanje i brojnost žičanih i bežičnih klijenata
Monitoring
• Grafana
• open source vizualizacijski alat
• implementiran kao docker
Log analiza
• Kibana
• open source softver za analizu logova
• implementiran kao docker
CLI komande
• mnoštvo CLI komandi vezanih uz funkcioniranje DNA Centra:
maglev service restart/start/stop <ime_servisa>
maglev log <ime_servisa>
maglev package status
• standardni CLI alati za dijagnostiku:
ping
traceroute
tcpdump
• potencijalno izuzetno korisna mogućnost
• putem SPAN ili ERSPAN tehnologije isporučuje kopiju mrežnog prometa sa preklopnika
• trenutno ne radi, alternativa je koristiti CLI monitor session XX type erspan-source
Traffic Copy
Orkestracija i automatizacija
• Template Editor
alat za izradu template-a CLI komandi za
ponovljivu i masovnu primjenu na
uređajima
• Workflow
automatizacija PnP procedure kroz
definiciju radnji nad uređajem prilikom
podizanja ili "utvrđivanja" (claim)
• Wireless
auto capture, sensors
• Platform
programski (API) pristup mrežnoj
infrastrukturi, integracija u IT sistem(e)
Što bi željeli vidjeti u DNA Centru
• brži GUI
• detaljniju dokumentaciju
• robusniji LAN automation mehanizam
kao Meraki ili Cisco ACI
• ispravljeni problemi u mogućnostima
koje su već uključene
IP ACL,
Traffic Copy,
L2 Handoff DHCP relay
• više opcija za pristupna sučelja
Q/A
https://cisco.com/go/sdaccess
https://cisco.com/go/dna
https://cisco.com/go/cvd
https://cisco.com/go/dnacenter
[email protected]@sedamit.hr
Implementacija SD Access infrastrukture - trnoviti put do
zvjezdanog rješenja
