Дизайн современной корпоративной LAN сети, часть 3Станислав Рыпалов
Системный инженер, Cisco
Дмитрий Демин
Системный инженер, Cisco
Дизайн одной фабрики
Site
DC
ISE2 PAN + PXG
2 PSN
DDI1 DHCP + DNS
1 IPAM
DNAC3 NCP + NDP
ClusterISP
Internet
IP
CP
EB
CP
EB
Дизайн фабрики на одной площадке
© 2019 Cisco and/or its affiliates. All rights reserved.
Как объединить несколько фабрик
Fabric Sites & DomainsПодключение нескольких фабрик
?VRF-LITEMPLS
Fabric
Site 2Fabric
Site 1
SD-Access*
Сегодня вы построили фабрику на одной
площадке
Позже вы добавили другую площадку
Metro Area
Как их соединить?
B B
C C
B B
*Поддерживается с
версии SDA 1.2.5
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access для распределенного кампуса
DNA Center
Analytics
Policy Automation
Автоматизация настройки связности между площадками
Масштабирование100 площадок
ОтказоустойчивостьЛокальные Control Planes, Borders
ПроизводительностьLocal Breakout
Локальные сервисы на площадке
ISE PSN, WLC и пр.
End-to-End Policy & Сегментация
Гибкость50 - 100,000 Users/Site
Transit
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access для распределенного кампуса
Metro MetroHQ
Campus 2 Campus 3
CloudData Center
Metro
Campus 1
Сегментация End-to-end
Централизация Automation & Assurance
Возможности по интеграциис SD-WAN(Viptela SD-WAN в будущих релизах)
© 2019 Cisco and/or its affiliates. All rights reserved.
Узел SDA BorderSD-Access Distributed
campus (SD-Access Transit) SD-Access Distributed Campus (IP
Transit)
C9K Да Да
ASR1K/ISR4K Да Да
C6K Нет Да
N7K Нет Да
SD-Access для распределенного кампусаМатрица поддержки на устройствах Border
*Поддерживается с
версии SDA 1.2.5
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access для распределенного кампусаFabric Site и Domain
• Fabric Site это независимое пространство фабрики со своим набором сетевых устройств: Control Plane, Border, Edge, WLC, ISE PSN
• Возможно обеспечить разный уровень отказоустойчивости для Site’а с использованием локальных ресурсов: DHCP, AAA, DNS, Internet и пр..
• Fabric Site может соотноситься с одним географическим местом, несколькими илинабором мест
• Single Location ➔ Branch, Campus or Metro Campus
• Multiple Locations ➔ Metro Campus + Multiple Branches
• Subset of a Location ➔ Building or Area within a Campus
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access для распределенного кампусаFabric Site и Domain
• Fabric Domain может состоять из одного или нескольких Fabric Site + Transit
• Несколько Fabric Site’ов соединяются друг с другом через Transit Site
• Есть два типа транзита:
• SD-Access Transit – Возможность создания нативной SD-Access (LISP,VXLAN,CTS) фабрики с узлом Control Plane уровня домена для взаимодействия между site’ами
• IP-Based Transit – Использование для связности традиционных сетей IP (VRF-LITE, MPLS), которые требуют трансляции VRF и SGTs между площадками
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access для распределенного кампусаТипы транзитов
❖ SD-Access Transit :
o Трафик между площадками использует инкапсуляцию VXLAN-GPO и LISP control-plane.
o Узлы Border используют LISP lookup на узлах domain Control Plane (на Transit site).
o Узлы Border обеспечивают инкапсуляцию VXLAN для отправки трафика на удаленные площадки.
o Политики End to End обеспечиваются метками SGT.
o Transit site не поддерживает performance-based routing.
o Автоматизация настройка через DNAC
❖ IP-Based Transit :
o Трафик между площадками использует существующие шины control и data для IP Transit site
o Узлы Border передают трафик напрямую во внешний домен (VRF-LITE с BGP).
o Трафик передается через обычную IP сеть через внешний домен на удаленные площадки.
o Политики End to End требуют ручной конфигурации.
o Если в качестве транзита используется SD-WAN, возможна поддержка performance-based routing, шифрования и пр.
© 2019 Cisco and/or its affiliates. All rights reserved.
C
BB
SDA Transit Network
LISPLISP LISP
1CONTROL-PLANE
VXLAN+SGTVXLAN+SGT VXLAN+SGT
12DATA+POLICY-PLANE
SDA Fabric Site 1 SDA Fabric Site 2
DNA-Center
C
BB
Border Border
SD-Access для распределенного кампусаSD-Access Transit
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access для распределенного кампусаSD-Access Transit
© 2019 Cisco and/or its affiliates. All rights reserved.
• Fabric Domain может состоять из одного или нескольких Fabric Sites
• Каждый Site – это уникальная фабрика со своими узлами Control Plane и Border
• Fabric Domain может содержать узелTransit Control Plane для взаимодействия между площадками
SD-Access Transit
C
Fabric
Site 1
B
C
B
Fabric
Site 2
B
C
Fabric
Site 3B
C
DNA Center
SD-Access для распределенного кампусаSD-Access Transit
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access Transit
C
Fabric
Site 1
B
C
B
Fabric
Site 2
B
C
Fabric
Site 3B
C
DNA Center
Host 1
Host 2
• Узел Border обеспечивает через LISP поиск на узле Transit Control Plane
• Узел Border производит инкапсуляцию VXLAN-GPO в сторону другого узла Border
• Политика End to End обеспечивается передачей меткой SGT
• Настройка SD-Access Transit полностью автоматизирована
SD-Access для распределенного кампусаSD-Access Transit
© 2019 Cisco and/or its affiliates. All rights reserved.
Transit SiteWest Site
East Site
South Site
• Каждый site содержит состояние только для своих хостов. • Трафик за пределы site использует default для транзита. • Каждый site является автономным доменом сбоя• Каждый site имеет свой уникальный набор подсетей
Control Plane
Border
Edge
SD-Access для распределенного кампуса
© 2019 Cisco and/or its affiliates. All rights reserved.
• Устройства Border содержат состояния для локальных префиксов• Border переходит в состояние передачи трафика строго по требованию• Control Plane на конечных площадках содержит информацию только о локальных хостах
(не удаленных)• Регистрация суммарных сетей от площадок происходит на Transit Control Plane
Transit SiteWest Site
East Site
West site Prefixes Only
Register west prefixes
Register east prefixes
East site Prefixes Only
BR-W BR-E
East + West
Control Plane
Border
Edge
Масштабирование SD-Access Transit Control Plane
© 2019 Cisco and/or its affiliates. All rights reserved.
Outside world(External) Подключение к «неизвестным» сетям компании, таким как Интернет – единственная точка выхода из фабрики, подключение к SD-Access Transit
Rest of Company (Internal) Подключение к «известным» сетям компании, таким как DC, WAN и пр.
Anywhere(Internal +External) Подключение к Интернет и «известным» сетям компании DC, WAN и пр., подключение к SD-Access Transit
SD-Access для распределенного кампусаКакой тип узла выбрать?
© 2019 Cisco and/or its affiliates. All rights reserved.
Transit Site
C
Internet
C
B
SITE 1SITE 2
CC
B
C
SITE 3
Data Center 2
B
Data Center 1
B”
SD-Access для распределенного кампуса
© 2019 Cisco and/or its affiliates. All rights reserved.
• Выбираем Internal + External border
• Это необходимо для правильного импорта маршрутов из DC1 и регистрации на transit control plane node.
• На слайде приведены настройки на site 1 border для того чтобы site 2 и 3 border могли взаимодействовать с DC1.
SD-Access для распределенного кампусаDC/Internet/SD-Access Transit для Site 1
© 2019 Cisco and/or its affiliates. All rights reserved.
• Выбираем External border
• Это необходимо для подключения border устройств к SD-Access transit и Интернет.
• На слайде приведены настройки на site 2 и 3 border для подключения кSD-Access Transit.
SD-Access для распределенного кампусаInternet/SD-Access Transit для site 2 и 3
© 2019 Cisco and/or its affiliates. All rights reserved.
• «Галочка» - Connected to Internet
• Эта опция обязательно должна быть включена на всех border устройствах,используемых для подключения к internet когда SD-Access используется как транзит.
• Необходимо убедиться, что опция включена на border/site устройствах не имеющих прямого доступа к интернет.
• «Галочка» должна быть включена на site 2 и 3 border чтобы site 1 подключился к Интернет через SD-Access transit
SD-Access для распределенного кампусаДоступ в Интернет
© 2019 Cisco and/or its affiliates. All rights reserved.
• Выбираем Internal border
• Это необходимо для правильного импорта маршрутов из DC2 и регистрации на узле control plane.
• На слайде приведена настройка на site 3 border ( B”) для взаимодействия с DC2.
SD-Access для распределенного кампусаData Center 2 на Site 3
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access @ DNA CenterНастройка распределенного кампуса в SD-Access
• Создаем Fabric Domain
• Получим новый fabric domainк которому сможем добавить новые fabric site
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access @ DNA CenterНастройка распределенного кампуса в SD-Access
• Добавляем Fabric Site к Fabric Domain
• Получаем новый site в рамках fabric domain
• Используем иерархическую модель –например, странаи локации в рамках страны New York, California, Texas etc.,будут добавлены к fabric site
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access @ DNA CenterНастройка распределенного кампуса в SD-Access
• Создаем Transit
• Добавляем узлы Transit CP к Transit
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access @ DNA CenterНастройка распределенного кампуса в SD-Access
• Добавляем выбранные узлыBorder к Transit
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access для распределенного кампусаПолитики
• Группы и VN’ы сохраняются между площадками
• Политики End to end применяются на базе меток SGT
ISE
WAN/Metro
SD-Access Transit
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access для распределенного кампусаПолитики
• Разные подсети между площадками могут иметь одинаковые Auth Policy/Vlan
• Общие политики поддерживаются для общего набора пользователей
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access для распределенного кампусаБеспроводная сеть
• Каждый site имеет контроллер WLC ассоциированный с собственной Control Plane
• Небольшие локации в рамках одного сайта могут иметь общий WLC
WLC
WAN/Metro
SD-Access Transit
© 2019 Cisco and/or its affiliates. All rights reserved.
DC 2DC 1
PXGMnT
PAN
PXGMnT
PAN
• Узлы PSN на каждой площадке
• Максимум 2 PSN на площадку
• Узлы PAN в центральном ЦОД
PAN
PSN
WAN/Metro
PSN
PSN
PSN PSNPSN
PSN
ISE распределенное внедрениеВариант 1
© 2019 Cisco and/or its affiliates. All rights reserved.
PSN PSN PSN PSN PSN
DC 2DC 1
PXGMnT
PAN
PXGMnT
PAN
• Узлы PSN за балансировщиками нагрузки
• В интерфейсе DNAC указывается IP на балансировщике нагрузки (VIP)
WAN/Metro
ISE распределенное внедрениеВариант 2
© 2019 Cisco and/or its affiliates. All rights reserved.
Развертывание и планирование миграции
cisco.com/go/cvd/campus
Cisco Validated Designs
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access 1.2.5-6 Software Compatibility
© 2019 Cisco and/or its affiliates. All rights reserved.
DNA Center
ISE
Catalyst 3K/9K
Catalyst 4500
Catalyst 6800
Nexus 7700
ASR1K/ISR4K/CSR
Wireless LAN
DNAC 1.2.5-6
AireOS 8.8
ISE 2.4 Patch 2
15.5(1)SY2
IOS 3.10.1es
IOS-XE 16.9.1s
IOS-XE 16.9.1s
8.2(2) SMU’s CSCvg39911 CSCvh87828 CSCvg09282 CSCvh32898
www.cisco.com/c/en/us/solutions/enterprise-networks/software-defined-access/compatibility-matrix.html
SD-Access: требования к задержке (RTT)
© 2019 Cisco and/or its affiliates. All rights reserved.
Cisco DNAC Nodes PAN PSN PSN WLC Access Points
< 300 ms
< 10 ms< 300 ms
< 20 ms
E BC
< 100 ms
< 100 ms< 100 ms
Edge Border Control
Интеграция с существующей сетью
• Инкапсуляция в VXLAN добавляет 50 байт к оригинальному Ethernet-фрейму в оверлее
• Требуется перенастройка Network MTU для предотвращения фрагментации
• Рекомендуется использовать Jumbo Frame на оборудовании транспортной сети underlay
Underlay Network
MTU 1500
MTU 1500 + Encapsulation
Overlay Network
SD-Access: Требования к Network MTU
© 2019 Cisco and/or its affiliates. All rights reserved.
Фабрика SD-Access fabric может работать поверх произвольной топологии:
• Традиционная 3-уровневая топология• 2-уровневая топология (Collapsed core)• Топология с маршрутизируемым доступом• U-образная топология на уровне доступа• И т.д.
• Использование L2-топологии в Underlay – технически возможно, но не является рекомендуемым.
• Топология с маршрутизируемым доступом позволяет выполнить наиболее простой план миграции!
3-Tier Hierarchical
L2
L3
Routed Access
L3
Collapsed Core
L2
U-Topology
L2
SD-Access: Требования к топологии
© 2019 Cisco and/or its affiliates. All rights reserved.
Знайте используемый в сети план адресации и возможности его масштабирования!
• IPv4 only (на сегодняшний день)
• Фабрика SD-Access использует интерфейсы Loopback 0 в качестве Source-Interface для инкапсуляции
• Рекомендуется использовать отдельные агрегированные подсети для организации сети Underlay и Loopback-интерфейсов (во избежание пересечений с IP-пулами в фабрике)
10.10.10.253/32
10.10.10.252/32
Underlay Network
10.10.10.0/30
10.10.10.4/30
10.10.10.254/32
Overlay Network
192.168.1.1/32
192.168.1.2/32
SD-Access: Требования к IP-адресации
© 2019 Cisco and/or its affiliates. All rights reserved.
На что обратить внимание:
Где расположены инфраструктурные сервисы в Вашей сети по отношению к будущей фабрике SD-Access?
Они находятся в выделенном VRF или в GRT?
• Для развертывания и функционирования фабрики SD-Access требуется обеспечить доступность общих инфраструктурных сервисов всем ее элементам
• Необходима IP-связность с инфраструктурными сервисами как для Undelay-сети, так и для оверлея.
NTPServer
DHCP
Server
SD-Access: Требования к инфраструктурным сервисам
© 2019 Cisco and/or its affiliates. All rights reserved.
• Для крупных сетей характерно размещение инфраструктурных сервисов в ЦОД
• Для сетей меньшего масштаба возможна «гибридная модель», при которой часть сервисов располагается в ЦОД, а другая часть – подключена непосредственно к уровню Ядра/Распределения
При планировании фабрики SD-Access, необходимо переместить все общие инфраструктурные сервисы за ее пределы!
Инфраструктурные
сервисы на уровне
Распределения
Small Commercial / EnterpriseDeployment
Инфраструктурные
сервисы на уровне
Ядра
Large EnterpriseDeployment
Инфраструктурные
сервисы в ЦОД
Расположение общих инфраструктурных сервисов
© 2019 Cisco and/or its affiliates. All rights reserved.
Где применяются политики в Вашей существующей сети?
Например, политики QoS, NetFlow, Policy-based Routing, WCCP, IP ACLs?
При планировании фабрики SD-Access необходимо переместить точки применения политики на уровень Доступа (IP ACLs, QoS, NetFlow) или вынести их за пределы фабрики (PBR, WCCP )!
QoS, NetFlow, WCCP, IP
ACLs
Точки применения политик и дополнительных сервисов
© 2019 Cisco and/or its affiliates. All rights reserved.
▪ Кампусные сети /(Большой масштаб)
▪ Филиальные сети /(Малый масштаб)
Базовая классификация сетей при планировании миграции
© 2019 Cisco and/or its affiliates. All rights reserved.
DDI
Branch IWAN DC IWAN Internet
MPLS MPLS I-NET
Services Block
WAN Block
DC Block
Internet Block
Super Core
Core Core
Aggregation Layer
Aggregation Layer
Aggregation Layer
Layer-2 Link Layer-3 Link
Типовая кампусная сеть
© 2019 Cisco and/or its affiliates. All rights reserved.
DDIBranch IWAN
MPLS I-NET
Collapsed Core
Access Layer
Типовая филиальная сеть
© 2019 Cisco and/or its affiliates. All rights reserved.
▪ Параллельный /(всё сразу)
▪ Инкрементальный /(поэлементно)
Базовые подходы к выполнению миграции
© 2019 Cisco and/or its affiliates. All rights reserved.
Параллельный Инкрементальный
Подходит для небольших сетей Подходит для крупных сетей
Требуется создание параллельной сетевой
инфраструктуры
Требуется организация дополнительных каналов связи
Дополнительные требования к
электропитанию/размещению
Нет дополнительных требований к
электропитанию/размещению
Несовместимое оборудование остается в старой сети Несовместимое оборудование заменяется по ходу
миграции
Не требуется обновление ПО старой сети Требуется обновление ПО по ходу миграции
Возможность построить новую сеть «с чистого листа» Риск переноса существующих проблем/ограничений в
новую сеть
Миграция всех пользователей на новую сеть Постепенная миграция пользователей по ходу работ
План возврата (rollback) к старой сети Простой возврата (rollback) для каждого этапа
Сложность
Ресурсоемкость Сложность
Ресурсоемкость
Сравнение базовых подходов к выполнению миграции
© 2019 Cisco and/or its affiliates. All rights reserved.
DDI
Branch IWAN DC IWAN Internet
MPLS I-NETMPLS
Параллельный подход - не для кампусных сетей
© 2019 Cisco and/or its affiliates. All rights reserved.
DDIBranch IWAN
MPLS I-NET
Параллельный подход – для филиальных сетей
© 2019 Cisco and/or its affiliates. All rights reserved.
Миграция на новые подсети
• Добавление в фабрику Border/Control Plane node и одного Edge node
• Оверлей фабрики с новыми адресами создается поверх существующей сети
• Поэтапная миграция Edge nodes
• Оверлей фабрики подключается к существующей сети через Border/Fusion
Традиционная сеть
СуществующаяСеть/Распределение
(underlay)Border/Control Plane
NodeEdge Nodes
C B
Virtual Network
(новый IP scope)
Существующая сеть
(старый IP scope) Route between IP
scopes
Инкрементальный подход с новыми подсетями
© 2019 Cisco and/or its affiliates. All rights reserved.
• Возможно использование подсетей большого размера (/16 вместо n x /24)
• Необходим масштабируемый план адресации
• Настройка DHCP scopes для новых подсетей
• Настройка правил МСЭ для новых подсетей
• Миграция на новые подсети проста для клиентов, использующих DHCP
10.10.3.0/24
10.10.2.0/24
10.10.1.0/24
10.10.6.0/24
10.10.5.0/24
10.10.4.0/24
10.10.9.0/24
10.10.8.0/24
10.10.7.0/24
10.10.0.0/16
Before After
Рекомендации по планированию новых подсетей доступа
© 2019 Cisco and/or its affiliates. All rights reserved.
External Network
CoreCore
Distribution Distribution
Access Access
WLC
Разбор кейса: пример топологии для миграции
© 2019 Cisco and/or its affiliates. All rights reserved.
External Network
BC
Формирование Border/CP и Edge NodeВариант 1: Перенастройка существующего Ядра
© 2019 Cisco and/or its affiliates. All rights reserved.
External Network
BC
Формирование Border/CP и Edge NodeВариант 2: Подключение нового устройства к Ядру сети
© 2019 Cisco and/or its affiliates. All rights reserved.
Требования к конфигурации для узлов фабрики и оборудования Underlay-сети:
• MTU 9100
• ‘ip routing’
• ‘username’ и ’password’
• VTY и console lines
• NTP
• SNMP, syslog
• Loopback0 (/32) для RLOC и IP-связности с DNAC
External Network
IP NetworkControl Plane +
Border NodeEdge Node
C B
Подготовка Border/CP/Edge и Underlay-сети
© 2019 Cisco and/or its affiliates. All rights reserved.
External Network
IP NetworkControl Plane + Border
NodeEdge Node
C B
router isis
passive-interface Loopback0
net 49.0001.XXXX.XXXX.XXXX.00
is-type level-2-only
ispf level-2
log-adjacency-changes
metric-style wide level-2
no hello padding
authentication mode md5 level-2
authentication key-chain ON
interface GigabitEthernet x/x
ip router isis
isis network point-to-point
isis metric <metric> level-2
isis circuit-type level-2-only
isis authentication mode md5 level-2
isis authentication key-chain ON
carrier-delay ms 0
dampening
Подготовка Border/CP/Edge и Underlay-сетиВыбор IGP
© 2019 Cisco and/or its affiliates. All rights reserved.
External Network
IP NetworkControl Plane + Border
NodeEdge Node
C B
interface GigabitEthernet1/1/1
no switchport
ip address 192.168.22.58 255.255.255.252
!
interface GigabitEthernet1/1/2
no switchport
ip address 192.168.22.38 255.255.255.252
!
interface Loopback0
ip address 192.168.21.9 255.255.255.255
ip ospf network point-to-point
router ospf 1
router-id 192.168.21.9
passive-interface default
no passive-interface GigabitEthernet1/1/1
no passive-interface GigabitEthernet1/1/2
network 192.168.21.9 0.0.0.0 area 0
network 192.168.22.38 0.0.0.0 area 0
network 192.168.22.58 0.0.0.0 area 0
Подготовка Border/CP/Edge и Underlay-сетиВыбор IGP
© 2019 Cisco and/or its affiliates. All rights reserved.
Дальнейшая миграция – через интерфейс DNA Center!
© 2019 Cisco and/or its affiliates. All rights reserved.
Процесс миграции через интерфейс DNAC
• Discover Devices: New Discovery
• Device Inventory: Assign Device Roles
• Network Topology
• Design Module: Network Settings
• Design Module: User Credentials Device Access
• Minimum number of IP Pools: Border Pool, Client Pool, AP Pool, Wireless endpoints (опционально)
• Policy Module
• Provision Network Nodes (только устройства, добавляемые в фабрику)
• Add Fabric Domain
• Add IP Transit
• Add Fabric Site to Fabric Domain
• …
© 2019 Cisco and/or its affiliates. All rights reserved.
Процесс миграции через интерфейс DNAC (продолжение)
• Fabric Pre-Provision Checks
• Add Fabric Border, Co-located Control Plane node
• Select VNs To Extend outside fabric
• Fabric Provisioned at Site
• Fabric Authentication Template
• Select VN for associating IP Pool
• IP Pool association to VN
• IP Pool associated to USERS VN
• Fabric Edge Node: Static Port-to-VN/SGT
© 2019 Cisco and/or its affiliates. All rights reserved.
Border Automation: Интерфейсы, VN, подсети
© 2019 Cisco and/or its affiliates. All rights reserved.
VLAN # VN IP Address Interface (B) Hostname (F) Interface (F)
3001 DEFAULT_VN 172.16.0.1 T1/0/7 POSEIDON G0/0/0
3002 GRT 172.16.0.5 T1/0/7 POSEIDON G0/0/0
3003 USERS 172.16.0.9 T1/0/7 POSEIDON G0/0/0
3004 USERS 172.16.0.13 T1/0/8 MERCURY G0/0/1
3005 DEFAULT_VN 172.16.0.17 T1/0/8 MERCURY G0/0/1
3006 GRT 172.16.0.21 T1/0/8 MERCURY G0/0/1
Border Automation: конфигурация для Fusion Router
© 2019 Cisco and/or its affiliates. All rights reserved.
POSEIDON#s | b 0/0/0
interface GigabitEthernet0/0/0
mtu 9100
no ip address
ip ospf mtu-ignore
load-interval 30
negotiation auto
!
interface GigabitEthernet0/0/0.3004
encapsulation dot1Q 3004
ip address 172.16.0.14 255.255.255.252
!
interface GigabitEthernet0/0/0.3005
encapsulation dot1Q 3005
ip address 172.16.0.18 255.255.255.252
!
interface GigabitEthernet0/0/0.3006
encapsulation dot1Q 3006
ip address 172.16.0.22 255.255.255.252
MERCURY#s | b 0/0/1
interface GigabitEthernet0/0/1
mtu 9100
no ip address
ip ospf mtu-ignore
negotiation auto
ipv6 enable
!
interface GigabitEthernet0/0/1.3001
encapsulation dot1Q 3001
ip address 172.16.0.2 255.255.255.252
!
interface GigabitEthernet0/0/1.3002
encapsulation dot1Q 3002
ip address 172.16.0.6 255.255.255.252
!
interface GigabitEthernet0/0/1.3003
encapsulation dot1Q 3003
ip address 172.16.0.10 255.255.255.252
Border Automation: конфигурация для Fusion Router
© 2019 Cisco and/or its affiliates. All rights reserved.
POSEIDON#s | b er bg
router bgp 65002
bgp log-neighbor-changes
neighbor 172.16.0.13 remote-as 65001
neighbor 172.16.0.13 update-source GigabitEthernet0/0/0.3004
neighbor 172.16.0.17 remote-as 65001
neighbor 172.16.0.17 update-source GigabitEthernet0/0/0.3005
neighbor 172.16.0.21 remote-as 65001
neighbor 172.16.0.21 update-source GigabitEthernet0/0/0.3006
POSEIDON#sh ip bgp su
BGP router identifier 192.168.1.2, local AS number 65002
<snip …. snip>
BGP activity 2/0 prefixes, 2/0 paths, scan interval 60 secs
Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd
172.16.0.13 4 65001 17 16 3 0 0 00:10:32 1
172.16.0.17 4 65001 13 18 3 0 0 00:10:16 0
172.16.0.21 4 65001 16 18 3 0 0 00:09:31 1
SANDY FIDDLER
MERCURY
VAMPIRE-2 VAMPIRE-3VAMPIRE-1
PROWLER INTRUDER
POSEIDON
B C
TACAMO
Текущее состояние сети
© 2019 Cisco and/or its affiliates. All rights reserved.
10.1.51.2
Un-encapsulated packet
VXLAN encapsulated packet
Взаимодействие с традиционной сетью через Fabric Border иFusion Router
© 2019 Cisco and/or its affiliates. All rights reserved.
MERCURY
VAMPIRE-2 VAMPIRE-3VAMPIRE-1
PROWLER INTRUDER
POSEIDON
B C
SANDY FIDDLER
TACAMO
Миграция коммутаторов доступа: Routed Access
© 2019 Cisco and/or its affiliates. All rights reserved.
MERCURY
VAMPIRE-2 VAMPIRE-3VAMPIRE-1
PROWLER INTRUDER
POSEIDON
B C
SANDY FIDDLER
TACAMO
Миграция коммутаторов доступа: Fabric Edge Nodes
© 2019 Cisco and/or its affiliates. All rights reserved.
MERCURY
VAMPIRE-2 VAMPIRE-3VAMPIRE-1
PROWLER INTRUDER
POSEIDON
B C B C
SANDY FIDDLER
TACAMO
Дополнительный узел Fabric Border/Control Plane
© 2019 Cisco and/or its affiliates. All rights reserved.
MERCURY
PROWLER INTRUDER
POSEIDON
B C B C
SANDY FIDDLER
TACAMO
Миграция коммутаторов доступа: Routed Access
© 2019 Cisco and/or its affiliates. All rights reserved.
MERCURY
VAMPIRE-1
PROWLER INTRUDER
POSEIDON
B C B C
SANDY FIDDLER
TACAMO
Миграция коммутаторов доступа: Fabric Edge Nodes
© 2019 Cisco and/or its affiliates. All rights reserved.
MERCURY
VAMPIRE-2 VAMPIRE-3VAMPIRE-1
PROWLER INTRUDER
POSEIDON
B
C
B
C
SANDY FIDDLER
TACAMO
Выделенные узлы Control Plane для масштабируемости
© 2019 Cisco and/or its affiliates. All rights reserved.
Миграция без изменения подсетей
• Добавление в фабрику Border/Control Plane node и одного Edge node
• Оверлей фабрики с сохранением подсетей создается поверх существующей сети
• Поэтапная миграция Edge nodes
• Оверлей фабрики подключается к существующей сети через Border/Fusion
Existing Campus and External
Network
Existing IP Network
(underlay) Border/Control Plane NodeEdge Nodes
C B
Virtual Network
(existing IP scope)
Existing Network
(existing IP scope) Switch between
IP scopes
Инкрементальный подход с сохранением подсетей
© 2019 Cisco and/or its affiliates. All rights reserved.
External Network
BCBC
10.1.1.0/24 VLAN 1021 L2 VNI mapping to VLAN1010.1.1.0/24
VLAN10
Catalyst 9K*/3K для Border Nodes
IOS 16.9.1s, DNAC 1.2.5
Инкрементальный подход с сохранением подсетей
© 2019 Cisco and/or its affiliates. All rights reserved.
External Network
BCBC
10.1.1.0/24
VLAN10
Internal + External
L2 Handoff
In-system redundancy only
10.1.1.0/24 VLAN 1021 L2 VNI mapping to VLAN10
L2
Инкрементальный подход с сохранением подсетей
© 2019 Cisco and/or its affiliates. All rights reserved.
• Local EID scale of 4K Endpoints
• Border can only onboard 4K Endpoints in Legacy Network
External Network
BCBC
10.1.1.0/24
VLAN10
L2 Border (separate) for smaller impact domain, and scale
10.1.1.0/24 VLAN 1021 L2 VNI mapping to VLAN 10
L2
Инкрементальный подход с сохранением подсетей
© 2019 Cisco and/or its affiliates. All rights reserved.
External Network
BCBC
4K EIDs from VLAN10
4K EIDs from VLAN20
L2
L2
Инкрементальный подход с сохранением подсетей
© 2019 Cisco and/or its affiliates. All rights reserved.
VLAN10 VLAN20
External Network
BCBC
L2
PROWLER
INTRUDER
TACAMO
Перенастройка существующих коммутаторов на Fabric Edge
© 2019 Cisco and/or its affiliates. All rights reserved.
External Network
BCBC
Завершение миграции, исключение L2 Border
© 2019 Cisco and/or its affiliates. All rights reserved.
Процесс миграции через интерфейс DNAC
• Design: Define Existing Subnet as an IP Pool
• Design: Reserve the IP Pool at Site Level
• Site-Level IP Pool
• Provision L2 Border
…
© 2019 Cisco and/or its affiliates. All rights reserved.
Внимание, далее наступает перерыв сервиса!
Shutdown Existing SVI on Intermediate Nodes
Дальнейшая миграция проводится в одно окно изменений...
© 2019 Cisco and/or its affiliates. All rights reserved.
Процесс миграции через интерфейс DNAC
• ! Shutdown Existing SVI on Intermediate Nodes !
• Add Existing Subnet to VN
• Add Existing subnet to USERS VN
• Legacy Subnet Provisioning on Fabric Edge
• Add L2 Border into SD-Access fabric
• Layer 2 Handoff on L2 Border (Internal)
• Map Existing VLAN to Subnet in SD-Access
• Configure L2 Border
• Static Port Assignment to Existing Subnet
• (опционально) Enable L2 Flooding between Legacy and Fabric (Multicast in Underlay)
© 2019 Cisco and/or its affiliates. All rights reserved.
10.1.51.2
Un-encapsulated packet
VXLAN encapsulated packet
Bridged packet
East-West: Взаимодействие через L2-Border
© 2019 Cisco and/or its affiliates. All rights reserved.
Миграция без изменения подсетей с Routed Access
External Network
Access
Distribution
Core
Миграция с Routed Access на SD-Access
© 2019 Cisco and/or its affiliates. All rights reserved.
• Shutdown existing SVI (Vlan10 in this case)
• Provision existing subnet from Cisco DNA-Center (10.1.1.0/24 in this case)
• Cisco DNA-Center will provision Vlan1021 with 10.1.1.0/24
• Move hosts to fabric-enabled IP Pool
• Verify connectivity
Migration is One-Switch—At-A-Time –
NOT One-Vlan-At-A-Time
External Network
10.1.1.0/24
VLAN 1021
10.1.2.0/24
VLAN 20
BC
Миграция с Routed Access на SD-Access
© 2019 Cisco and/or its affiliates. All rights reserved.
Миграция беспроводной сети
Начальные условия:
▪ AireOS Centralized wireless (Flex/Autonomous не поддерживается)▪ Миграция осуществляется по-площадке или по SSID за одно окно изменений▪ Не требуется роуминг между традиционным дизайном и SD-Access
WLC
Здание 1
Здание 2
Non Fabric
Non Fabric
DHCP ISE
Cisco Prime
ЦОД
Миграция беспроводной сети в фабрику SD-Access
© 2019 Cisco and/or its affiliates. All rights reserved.
▪ Разверните DNA Center и ISE (в случае нового внедрения)
▪ Выполните миграцию проводной сети в SD-Access
▪ Используйте вначале схему интеграции Wireless Over the Top
Non Fabric
1
SDA FabricB
C
2
3
CAPWAP
CAPWAP
WLC
DHCP ISE
Cisco Prime
Здание 1
Здание 2
Cisco DNA Center
Миграция беспроводной сети в фабрику SD-AccessИнтеграция по схеме Over the Top (OTT)
© 2019 Cisco and/or its affiliates. All rights reserved.
▪ Разверните новый Fabric WLC для SD-Access и настройте в нем аналогичные SSID
▪ В существующем WLC измените настройку AP для подключения к новому Fabric WLC
▪ Трафик беспроводных клиентов нового Fabric WLC идет через фабрику SD-Access
Non Fabric
1
SDA FabricB
C
2
3
SDA WLC
VXLAN (Data)
CAPWAP Cntrl
CAPWAP Control
VXLAN
No seamless roaming
Здание 1
Здание 2
DHCP ISE
Cisco Prime
Cisco DNA Center
Миграция беспроводной сети в фабрику SD-AccessИнтеграция по схеме Fabric Enabled Wireless (FEW)
© 2019 Cisco and/or its affiliates. All rights reserved.
Рекомендации:
▪ Prime для CUWN, DNAC для SDA-Access
▪ Выделенный WLC для SD-Access
▪ Одинаковые SSIDs для Fabric и non-Fabric WLC
Non Fabric
SDA FabricB
C
SDA WLC
VXLAN (Data)
CAPWAP Cntrl
▪ Одинаковые RF Groups для CUWN и SD-Access
▪ WLCs в разных Mobility Group (нет бесшовного роуминга между CUWN и SD-Access)
▪ Возможна миграция OTT->FEW per-SSID!
No seamless roaming
WLC
Здание 1
Здание 2
DHCP ISE
Cisco Prime
Cisco DNA Center
Миграция беспроводной сети в фабрику SD-AccessИнтеграция по схеме Fabric Enabled Wireless (FEW)
© 2019 Cisco and/or its affiliates. All rights reserved.
Заключение
• Большинство традиционных сетей можно мигрировать на SD-Access
• Можно мигрировать на SD-Access с сохранением подсетей
• Поддерживается миграция на SD-Access для:
• Layer-2 топологий
• Routed Access топологий
• Автоматизация процесса миграции с помощью DNA Center
• На что обратить внимание:
• PoC / предварительное тестирование в лаборатории
• Проверка каждого сценария на соответствие требованиям и ограничениям масштабирования
• Начинайте с небольших площадок и пилотных зон
Выводы
© 2019 Cisco and/or its affiliates. All rights reserved.
SD-Access: Дополнительная информацияХотите узнать больше? https://www.cisco.com/
© 2019 Cisco and/or its affiliates. All rights reserved.
cisco.com/go/cvd
• SD-Access Design Guide• SD-Access Deployment Guide• SD-Access Segmentation Guide
cisco.com/go/dnacenter
• Cisco DNA Center At-A-Glance• Cisco DNA ROI Calculator• Cisco DNA Center Data Sheet• Cisco DNA Center 'How To' Video
Resources
cisco.com/go/sdaccess
• SD-Access At-A-Glance• SD-Access Ordering Guide• SD-Access Solution Data Sheet• SD-Access Solution White Paper
cisco.com/go/dna
SD-Access: Дополнительная информацияХотите узнать больше? https://www.ciscolive.com
© 2019 Cisco and/or its affiliates. All rights reserved.
Cisco SD-Access Fabric:
• Cisco SD-Access - A Look Under the Hood - BRKCRS-2810
• Cisco SD-Access - Technology Deep Dive - BRKCRS-3810
• Cisco SD-Access - Connecting Multiple Sites - BRKCRS-2815
• Cisco SD-Access – Assurance and Analytics - BRKCRS-2814
• Cisco SD-Access - Troubleshooting the Fabric - BRKARC-2020
• Cisco SD-Access Campus Cisco Validated Design - BRKCRS-1501
• Cisco SD-Access - 8H Technical Seminar - TECCRS-3810
Cisco SD-Access Wireless:
• How to Setup SD-Access Wireless from Scratch - BRKEWN-2021
• Cisco SD-Access - Wireless Integration - BRKEWN-2020
Cisco SD-Access Integration:
• Cisco SD-Access - Connecting to the DC, Firewall, WAN & More! -BRKCRS-2821
• Cisco SD-Access - Scaling to Hundreds of Sites - BRKCRS-2825
• Cisco SD-Access – Integrating Existing Network - BRKCRS-2812
Cisco SD-Access Policy:
• Simplifying and Securing the Cisco Digital Network Architecture -BRKCRS-1449
• Group-Based Policy for On-Prem, Hybrid & Cloud with Cisco DNA -BRKCLD-2412
• Cisco SD-Access - Policy Driven Manageability - BRKCRS-3811
Вопросы?
Спасибо за внимание!
Оцените данную сессию в мобильном приложении конференции
• www.facebook.com/CiscoRu
• www.instagram.com/ciscoru
• www.youtube.com/user/CiscoRussiaMedia
• www.vk.com/cisco
© 2019 Cisco and/or its affiliates. All rights reserved.