SDA Fabric, Underlay, and Overlay
-
Fabric
- Underlayとoverlayが組み合わさった全体をさす言葉
-
Underlay
- 物理的なL2/L3ネットワーク
-
Overlay
- Underlayの上で構築される論理的なネットワーク
- VXLAN tunnelなど
The SDA Underlay
Using Existing Gear for the SDA Underlay
- brownfield design
-
ノードには役割があり、要求するスペックが公式にまとめられている
- Fabric edge node
- 従来のaccess switchに相当
- Fabric border node
- WAN edgeに相当
- Fabric control node
- 論理と物理の変換を担う (LISP)
- 多くのCPUとメモリを要するので、必要なスペックも高い
- 既存のデバイスを用いる場合、このカタログに照らす必要がある
Using New Gear for the SDA Underlay
- greenfield design
- カタログ通りの製品を買えばいいだけ
-
プロビジョニング自体は依然として必要なことに留意する
- 帯域幅
- PoEの電力供給
- etc.
-
Routed Access Layer Design
- 全SwitchをL3にするすすめ
- STPいらず
- FHRPもいらなくなる
The SDA Overlay
VXLAN Tunnens in the Overlay (Data Plane)
-
VXLAN: Virtual Extensible LAN
- 拡張性の高いトンネリングプロトコル
-
VXLANを用いて、Underlayの物理的なネットワークを隠蔽してOverlay上の論理的なネットワークを構築する
- 論理的なメッセージをVXLANでカプセルし、物理的なUDP,IP,Ethernetで再度包むことになる
LISP For Overlay Discovery and Location (Control Plane)
-
EID: endpoint identifier
- Underlay Network上のサブネット
-
RLOC: Routing Location
- Overlay上のアドレス
-
LISP map server
- EIDとRLOCとの対応を管理する
- Fabric Control Node上で動作する
DNA Center and SDA Operation
Cisco DNA Center
- Cisco DNA Center対応機器を買うとプリインストールされているアプリケーション
Cisco DNA Center and Scalable Groups
Issues with Traditional IP-Based Security
-
従来型のACLのつらみ
- ACE: Access Control Entryが増えてくると収集がつかなくなる
- 複数要件をまたいだACE
- いつなぜ追加されたかわからないACE
- 消すに消せない
SDA Security Based on User Groups
-
SGT: Scalable Group Tag
- Employee, Internet, Partner, Guest といった論理的なタグ付けを行う
- タグ間でアクセス制限を行う
DNA Center as a Network Management Platform
-
Ciscoは他にもネットワーク管理プラットフォームを提供している
- Cisco PI: Prime Infrastructure など
- 従来の管理プラットフォームと比較したときの特徴は
DNA Center Similarities to Traditional Management
- トポロジマップの生成・表示、直感的なGUIなどは従来と差がない
DNA Center Differences with Traditional Management
-
最大の違い
- Cisco DNA CenterはSDAに対応している
- PI等、従来のものは対応していない
-
Cisco DNA Center特有の機能
- EasyQoS
- Encrypted traffic analysis
- 暗号化されたトラフィックでさえセキュリティ脅威を検知できる
- Device 360 and Client 360
- 360 = 包括的なヘルスチェック
- Network time travel
- 機器の、過去のある時点でのパフォーマンスを見られる
- Path trace