让网络更简单：SD-Access 之概览

作者简介：张磊，思科原厂8年多technical consulting engineer，精通思科数据中心/园区网产品及技术；精通SAN网络架构及产品；熟悉广域网产品及技术。

如今，随着企业越来越多的投资数字技术，不断增大的企业网络规模，经常使得运维团队疲于应对，运维成本增大，运维效率滑坡。为了减轻运维负担，同时提高运维效率，高效管理用户和应用，从而诞生了SD-Access！

SD-Access，全称：SoftwareDefined Access。如同SD-WAN，ACI一样，SDA是通过软件的方式来定义企业网。在一个集成化的控制平台，运维和管理，统一下发策略、网络设备配置等。本篇旨在将SDA介绍、展示给各位对SDA感兴趣的小伙伴～

一、SDA Overview：

SDA架构抽象图

SDA宏观拓扑结构图

DNA Controller – DNA Center通过多个共享服务和App来提供了GUI的管理和功能。如上topo图所示的蓝色图标：

ISE - 用于动态用户或者设备的group映射和策略定义。如上topo图所示的绿色图标：

Control-Plane Nodes – 映射系统，用于Endpoint ID和设备之间的映射关系。如上topo图所示的“C”设备：

Border Nodes – 一个Fabric内的设备，用于连接SDA Fabric和外部三层网络。如上topo图所示的两个“B”设备：SDA Fabric内的寻址使用LISP协议，是基于位置的寻址，CP Nodes存储和记录EID（IP prefix）SDA Fabric内的寻址使用LISP协议，是基于位置的寻址，CP Nodes存储和记录EID（IP prefix）

Edge Nodes – 一个Fabric内的设备，用于连接有线Endpoint和SDA Fabric。如topo图所示的最底下一排的4个设备：

Fabric Wireless Controller – 一个Fabric内的无线控制器（WLC），用于连接无线endpoint和SDA Fabric。如上topo图所示的：

NCP - Network Controller Platform，包含了各种设置、各种协议、和各种表项来实现自动化管理underlay和overlay网络。PS：包括有线和无线。如上topo图显示：

NDP - Network Data Platform，包含了各种设置、各种协议、和各种表项来监控和分析主机，以及underlay、overlay的网络设备的情况。PS：包括有线和无线。如上topo图显示：

接下来，我们逐一的看看这些组件～

1/ Edge Nodes功能：

为连接到SDAFabric的用户/设备提供第一跳服务。
负责识别和认证endpoint（802.1X, Active Directory等）。
将特定的endpointID信息注册到control-planenodes。
为所连接的endpoint提供一个Anycast L3网关(所有edge nodes上的IP地址相同)。
为所连接的endpoint提供数据流量的封装/解封装。

通常可以使用Cisco Catalyst 3650/3850/4500/9300/9400作为Edge Nodes。PS：本文旨在介绍SDA，设备选型仅做参考！

2/ Control Plane Nodes（CP Nodes）功能：

运行一个主机跟踪数据库（HostTracking Database）来映射位置信息。
一个简单的主机跟踪数据库映射endpointID和当前位置，以及其他属性信息。
主机数据库支持多种类型的EndpointID查找类型(IPv4、IPv6或MAC)。
针对已知的IP前缀，CP Nodes接收edge and/or border发来的endpoint ID映射注册信息。
解析来自edgeand/or border的查找请求，以定位目标endpointID。

通常可以使用Cisco Catalyst 3850/9500/6800以及ASR1K, ISR4K & CSRv作为CP Nodes。PS：本文旨在介绍SDA，设备选型仅做参考！

3/ Border Nodes功能：

它是一个所有流量进、出Fabric的出入节点。
Border又分为：Fabric Border，用于“Known” Routes。Default Border，用于“Unknown” Routes。如上图所示的两个“B”设备。

通常可以使用Cisco Catalyst 3850/9500/6800/以及ASR1K& ISR4K和Nexus 7K。PS：本文旨在介绍SDA，设备选型仅做参考！

4/ Fabric Enabled WLC功能：

为无线终端集成到SDAFabric提供支持。
通过Border连接到Fabric（Underlay）。
Fabric Enabled AP连接到WLC（CAPWAP）使用一个专用的主机池（Overlay）。
Fabric Enabled AP通过VXLAN连接到Edge节点。
无线客户端(ssid)使用常规的主机池来处理数据流量和策略(与有线endpoint相同)。
Fabric Enabled WLC到CP Nodes注册客户端信息。

通常可以使用：Cisco AIR-CT3504/AIR-CT5520/AIR-CT8540/Wave 1or2 APs。PS：本文旨在介绍SDA，设备选型仅做参考！

5/ NCP功能：

NCP互操作逻辑图

发现已存在fabric内的思科路由器、交换机、无线控制器。
维护网络设备和主机的详细信息，比如配置和软件版本。
思科交换机、路由器、无线控制器的自动化部署。
创建可视化数据路径，以加速连接性问题的故障排除。
自动化服务质量(QoS)，以对网络中的应用程序进行优先级排序。
EN Service Automation (ESA): 自动部署物理和虚拟网络服务。

6/ NDP功能：

NDP互操作逻辑图

为物理层、网络层提供了数据收集、分析、诊断服务。
NDP能够以多种形式从网络设备中收集多种类型的信息，包括syslog、SNMP、NetFlow、SPAN、Streaming Telemetry等。
NDP也能收集和使用ISE、NCP的信息。
NDP分析并关联所有这些不同来源的各种网络事件，了解历史趋势。
NDP也会使用这些信息向NCP和ISE提供信息，然后向管理层（management layer）提供网络运行状态和其他信息。

7/ ISE功能：

ISE互操作逻辑图

ISE的基本角色是为物理层和网络层提供所有的标识和策略服务。
ISE能够识别和分析各种形式的网络设备和终端的认证方式，包括AAA/RADIUS、802.1X、MAC Authentication Bypass (MAB),Web Authentication, EasyConnect等。
ISE也会收集和使用NDP和NCP的信息。
ISE将终端放置到正确的安全组和主机池。
ISE使用这些信息向NCP和NDP提供信息，因此用户可以从管理层（management layer）创建和管理基于组的策略。
ISE还负责在网络设备上编写基于组的策略。