Дизайн современной корпоративной lan сети, часть...

Дизайн современной корпоративной LAN сети, часть 3Станислав Рыпалов

Системный инженер, Cisco

Дмитрий Демин

Системный инженер, Cisco

Дизайн одной фабрики

Site

DC

ISE2 PAN + PXG

2 PSN

DDI1 DHCP + DNS

1 IPAM

DNAC3 NCP + NDP

ClusterISP

Internet

IP

CP

EB

CP

EB

Дизайн фабрики на одной площадке

© 2019 Cisco and/or its affiliates. All rights reserved.

Как объединить несколько фабрик

Fabric Sites & DomainsПодключение нескольких фабрик

?VRF-LITEMPLS

Fabric

Site 2Fabric

Site 1

SD-Access*

Сегодня вы построили фабрику на одной

площадке

Позже вы добавили другую площадку

Metro Area

Как их соединить?

B B

C C

B B

*Поддерживается с

версии SDA 1.2.5


SD-Access для распределенного кампуса

DNA Center

Analytics

Policy Automation

Автоматизация настройки связности между площадками

Масштабирование100 площадок

ОтказоустойчивостьЛокальные Control Planes, Borders

ПроизводительностьLocal Breakout

Локальные сервисы на площадке

ISE PSN, WLC и пр.

End-to-End Policy & Сегментация

Гибкость50 - 100,000 Users/Site

Transit



Metro MetroHQ

Campus 2 Campus 3

CloudData Center

Metro

Campus 1

Сегментация End-to-end

Централизация Automation & Assurance

Возможности по интеграциис SD-WAN(Viptela SD-WAN в будущих релизах)


Узел SDA BorderSD-Access Distributed

campus (SD-Access Transit) SD-Access Distributed Campus (IP

Transit)

C9K Да Да

ASR1K/ISR4K Да Да

C6K Нет Да

N7K Нет Да

SD-Access для распределенного кампусаМатрица поддержки на устройствах Border

*Поддерживается с

версии SDA 1.2.5


SD-Access для распределенного кампусаFabric Site и Domain

• Fabric Site это независимое пространство фабрики со своим набором сетевых устройств: Control Plane, Border, Edge, WLC, ISE PSN

• Возможно обеспечить разный уровень отказоустойчивости для Site’а с использованием локальных ресурсов: DHCP, AAA, DNS, Internet и пр..

• Fabric Site может соотноситься с одним географическим местом, несколькими илинабором мест

• Single Location ➔ Branch, Campus or Metro Campus

• Multiple Locations ➔ Metro Campus + Multiple Branches

• Subset of a Location ➔ Building or Area within a Campus


SD-Access для распределенного кампусаFabric Site и Domain

• Fabric Domain может состоять из одного или нескольких Fabric Site + Transit

• Несколько Fabric Site’ов соединяются друг с другом через Transit Site

• Есть два типа транзита:

• SD-Access Transit – Возможность создания нативной SD-Access (LISP,VXLAN,CTS) фабрики с узлом Control Plane уровня домена для взаимодействия между site’ами

• IP-Based Transit – Использование для связности традиционных сетей IP (VRF-LITE, MPLS), которые требуют трансляции VRF и SGTs между площадками


SD-Access для распределенного кампусаТипы транзитов

❖ SD-Access Transit :

o Трафик между площадками использует инкапсуляцию VXLAN-GPO и LISP control-plane.

o Узлы Border используют LISP lookup на узлах domain Control Plane (на Transit site).

o Узлы Border обеспечивают инкапсуляцию VXLAN для отправки трафика на удаленные площадки.

o Политики End to End обеспечиваются метками SGT.

o Transit site не поддерживает performance-based routing.

o Автоматизация настройка через DNAC

❖ IP-Based Transit :

o Трафик между площадками использует существующие шины control и data для IP Transit site

o Узлы Border передают трафик напрямую во внешний домен (VRF-LITE с BGP).

o Трафик передается через обычную IP сеть через внешний домен на удаленные площадки.

o Политики End to End требуют ручной конфигурации.

o Если в качестве транзита используется SD-WAN, возможна поддержка performance-based routing, шифрования и пр.


C

BB

SDA Transit Network

LISPLISP LISP

1CONTROL-PLANE

VXLAN+SGTVXLAN+SGT VXLAN+SGT

12DATA+POLICY-PLANE

SDA Fabric Site 1 SDA Fabric Site 2

DNA-Center

C

BB

Border Border

SD-Access для распределенного кампусаSD-Access Transit


• Fabric Domain может состоять из одного или нескольких Fabric Sites

• Каждый Site – это уникальная фабрика со своими узлами Control Plane и Border

• Fabric Domain может содержать узелTransit Control Plane для взаимодействия между площадками

SD-Access Transit

C

Fabric

Site 1

B

C

B

Fabric

Site 2

B

C

Fabric

Site 3B

C

DNA Center



SD-Access Transit

C

Fabric

Site 1

B

C

B

Fabric

Site 2

B

C

Fabric

Site 3B

C

DNA Center

Host 1

Host 2

• Узел Border обеспечивает через LISP поиск на узле Transit Control Plane

• Узел Border производит инкапсуляцию VXLAN-GPO в сторону другого узла Border

• Политика End to End обеспечивается передачей меткой SGT

• Настройка SD-Access Transit полностью автоматизирована



Transit SiteWest Site

East Site

South Site

• Каждый site содержит состояние только для своих хостов. • Трафик за пределы site использует default для транзита. • Каждый site является автономным доменом сбоя• Каждый site имеет свой уникальный набор подсетей

Control Plane

Border

Edge



• Устройства Border содержат состояния для локальных префиксов• Border переходит в состояние передачи трафика строго по требованию• Control Plane на конечных площадках содержит информацию только о локальных хостах

(не удаленных)• Регистрация суммарных сетей от площадок происходит на Transit Control Plane

Transit SiteWest Site

East Site

West site Prefixes Only

Register west prefixes

Register east prefixes

East site Prefixes Only

BR-W BR-E

East + West

Control Plane

Border

Edge

Масштабирование SD-Access Transit Control Plane


Outside world(External) Подключение к «неизвестным» сетям компании, таким как Интернет – единственная точка выхода из фабрики, подключение к SD-Access Transit

Rest of Company (Internal) Подключение к «известным» сетям компании, таким как DC, WAN и пр.

Anywhere(Internal +External) Подключение к Интернет и «известным» сетям компании DC, WAN и пр., подключение к SD-Access Transit

SD-Access для распределенного кампусаКакой тип узла выбрать?


Transit Site

C

Internet

C

B

SITE 1SITE 2

CC

B

C

SITE 3

Data Center 2

B

Data Center 1

B”



• Выбираем Internal + External border

• Это необходимо для правильного импорта маршрутов из DC1 и регистрации на transit control plane node.

• На слайде приведены настройки на site 1 border для того чтобы site 2 и 3 border могли взаимодействовать с DC1.

SD-Access для распределенного кампусаDC/Internet/SD-Access Transit для Site 1


• Выбираем External border

• Это необходимо для подключения border устройств к SD-Access transit и Интернет.

• На слайде приведены настройки на site 2 и 3 border для подключения кSD-Access Transit.

SD-Access для распределенного кампусаInternet/SD-Access Transit для site 2 и 3


• «Галочка» - Connected to Internet

• Эта опция обязательно должна быть включена на всех border устройствах,используемых для подключения к internet когда SD-Access используется как транзит.

• Необходимо убедиться, что опция включена на border/site устройствах не имеющих прямого доступа к интернет.

• «Галочка» должна быть включена на site 2 и 3 border чтобы site 1 подключился к Интернет через SD-Access transit

SD-Access для распределенного кампусаДоступ в Интернет


• Выбираем Internal border

• Это необходимо для правильного импорта маршрутов из DC2 и регистрации на узле control plane.

• На слайде приведена настройка на site 3 border ( B”) для взаимодействия с DC2.

SD-Access для распределенного кампусаData Center 2 на Site 3


SD-Access @ DNA CenterНастройка распределенного кампуса в SD-Access

• Создаем Fabric Domain

• Получим новый fabric domainк которому сможем добавить новые fabric site



• Добавляем Fabric Site к Fabric Domain

• Получаем новый site в рамках fabric domain

• Используем иерархическую модель –например, странаи локации в рамках страны New York, California, Texas etc.,будут добавлены к fabric site



• Создаем Transit

• Добавляем узлы Transit CP к Transit



• Добавляем выбранные узлыBorder к Transit


SD-Access для распределенного кампусаПолитики

• Группы и VN’ы сохраняются между площадками

• Политики End to end применяются на базе меток SGT

ISE

WAN/Metro

SD-Access Transit


SD-Access для распределенного кампусаПолитики

• Разные подсети между площадками могут иметь одинаковые Auth Policy/Vlan

• Общие политики поддерживаются для общего набора пользователей


SD-Access для распределенного кампусаБеспроводная сеть

• Каждый site имеет контроллер WLC ассоциированный с собственной Control Plane

• Небольшие локации в рамках одного сайта могут иметь общий WLC

WLC

WAN/Metro

SD-Access Transit


DC 2DC 1

PXGMnT

PAN

PXGMnT

PAN

• Узлы PSN на каждой площадке

• Максимум 2 PSN на площадку

• Узлы PAN в центральном ЦОД

PAN

PSN

WAN/Metro

PSN

PSN

PSN PSNPSN

PSN

ISE распределенное внедрениеВариант 1


PSN PSN PSN PSN PSN

DC 2DC 1

PXGMnT

PAN

PXGMnT

PAN

• Узлы PSN за балансировщиками нагрузки

• В интерфейсе DNAC указывается IP на балансировщике нагрузки (VIP)

WAN/Metro

ISE распределенное внедрениеВариант 2


Развертывание и планирование миграции

cisco.com/go/cvd/campus

Cisco Validated Designs


http://www.cisco.com/go/cvd/campus

SD-Access 1.2.5-6 Software Compatibility


DNA Center

ISE

Catalyst 3K/9K

Catalyst 4500

Catalyst 6800

Nexus 7700

ASR1K/ISR4K/CSR

Wireless LAN

DNAC 1.2.5-6

AireOS 8.8

ISE 2.4 Patch 2

15.5(1)SY2

IOS 3.10.1es

IOS-XE 16.9.1s

IOS-XE 16.9.1s

8.2(2) SMU’s CSCvg39911 CSCvh87828 CSCvg09282 CSCvh32898

www.cisco.com/c/en/us/solutions/enterprise-networks/software-defined-access/compatibility-matrix.html

https://www.cisco.com/c/en/us/solutions/enterprise-networks/software-defined-access/compatibility-matrix.html

SD-Access: требования к задержке (RTT)


Cisco DNAC Nodes PAN PSN PSN WLC Access Points

< 300 ms

< 10 ms< 300 ms

< 20 ms

E BC

< 100 ms

< 100 ms< 100 ms

Edge Border Control

Интеграция с существующей сетью

• Инкапсуляция в VXLAN добавляет 50 байт к оригинальному Ethernet-фрейму в оверлее

• Требуется перенастройка Network MTU для предотвращения фрагментации

• Рекомендуется использовать Jumbo Frame на оборудовании транспортной сети underlay

Underlay Network

MTU 1500

MTU 1500 + Encapsulation

Overlay Network

SD-Access: Требования к Network MTU


Фабрика SD-Access fabric может работать поверх произвольной топологии:

• Традиционная 3-уровневая топология• 2-уровневая топология (Collapsed core)• Топология с маршрутизируемым доступом• U-образная топология на уровне доступа• И т.д.

• Использование L2-топологии в Underlay – технически возможно, но не является рекомендуемым.

• Топология с маршрутизируемым доступом позволяет выполнить наиболее простой план миграции!

3-Tier Hierarchical

L2

L3

Routed Access

L3

Collapsed Core

L2

U-Topology

L2

SD-Access: Требования к топологии


Знайте используемый в сети план адресации и возможности его масштабирования!

• IPv4 only (на сегодняшний день)

• Фабрика SD-Access использует интерфейсы Loopback 0 в качестве Source-Interface для инкапсуляции

• Рекомендуется использовать отдельные агрегированные подсети для организации сети Underlay и Loopback-интерфейсов (во избежание пересечений с IP-пулами в фабрике)

10.10.10.253/32

10.10.10.252/32

Underlay Network

10.10.10.0/30

10.10.10.4/30

10.10.10.254/32

Overlay Network

192.168.1.1/32

192.168.1.2/32

SD-Access: Требования к IP-адресации


На что обратить внимание:

Где расположены инфраструктурные сервисы в Вашей сети по отношению к будущей фабрике SD-Access?

Они находятся в выделенном VRF или в GRT?

• Для развертывания и функционирования фабрики SD-Access требуется обеспечить доступность общих инфраструктурных сервисов всем ее элементам

• Необходима IP-связность с инфраструктурными сервисами как для Undelay-сети, так и для оверлея.

NTPServer

DHCP

Server

SD-Access: Требования к инфраструктурным сервисам


• Для крупных сетей характерно размещение инфраструктурных сервисов в ЦОД

• Для сетей меньшего масштаба возможна «гибридная модель», при которой часть сервисов располагается в ЦОД, а другая часть – подключена непосредственно к уровню Ядра/Распределения

При планировании фабрики SD-Access, необходимо переместить все общие инфраструктурные сервисы за ее пределы!

Инфраструктурные

сервисы на уровне

Распределения

Small Commercial / EnterpriseDeployment


сервисы на уровне

Ядра

Large EnterpriseDeployment


сервисы в ЦОД

Расположение общих инфраструктурных сервисов


Где применяются политики в Вашей существующей сети?

Например, политики QoS, NetFlow, Policy-based Routing, WCCP, IP ACLs?

При планировании фабрики SD-Access необходимо переместить точки применения политики на уровень Доступа (IP ACLs, QoS, NetFlow) или вынести их за пределы фабрики (PBR, WCCP )!

QoS, NetFlow, WCCP, IP

ACLs

Точки применения политик и дополнительных сервисов


▪ Кампусные сети /(Большой масштаб)

▪ Филиальные сети /(Малый масштаб)

Базовая классификация сетей при планировании миграции


DDI

Branch IWAN DC IWAN Internet

MPLS MPLS I-NET

Services Block

WAN Block

DC Block

Internet Block

Super Core

Core Core

Aggregation Layer

Aggregation Layer

Aggregation Layer

Layer-2 Link Layer-3 Link

Типовая кампусная сеть


DDIBranch IWAN

MPLS I-NET

Collapsed Core

Access Layer

Типовая филиальная сеть


▪ Параллельный /(всё сразу)

▪ Инкрементальный /(поэлементно)

Базовые подходы к выполнению миграции


Параллельный Инкрементальный

Подходит для небольших сетей Подходит для крупных сетей

Требуется создание параллельной сетевой

инфраструктуры

Требуется организация дополнительных каналов связи

Дополнительные требования к

электропитанию/размещению

Нет дополнительных требований к

электропитанию/размещению

Несовместимое оборудование остается в старой сети Несовместимое оборудование заменяется по ходу

миграции

Не требуется обновление ПО старой сети Требуется обновление ПО по ходу миграции

Возможность построить новую сеть «с чистого листа» Риск переноса существующих проблем/ограничений в

новую сеть

Миграция всех пользователей на новую сеть Постепенная миграция пользователей по ходу работ

План возврата (rollback) к старой сети Простой возврата (rollback) для каждого этапа

Сложность

Ресурсоемкость Сложность

Ресурсоемкость

Сравнение базовых подходов к выполнению миграции


DDI

Branch IWAN DC IWAN Internet

MPLS I-NETMPLS

Параллельный подход - не для кампусных сетей


DDIBranch IWAN

MPLS I-NET

Параллельный подход – для филиальных сетей


Миграция на новые подсети

• Добавление в фабрику Border/Control Plane node и одного Edge node

• Оверлей фабрики с новыми адресами создается поверх существующей сети

• Поэтапная миграция Edge nodes

• Оверлей фабрики подключается к существующей сети через Border/Fusion

Традиционная сеть

СуществующаяСеть/Распределение

(underlay)Border/Control Plane

NodeEdge Nodes

C B

Virtual Network

(новый IP scope)

Существующая сеть

(старый IP scope) Route between IP

scopes

Инкрементальный подход с новыми подсетями


• Возможно использование подсетей большого размера (/16 вместо n x /24)

• Необходим масштабируемый план адресации

• Настройка DHCP scopes для новых подсетей

• Настройка правил МСЭ для новых подсетей

• Миграция на новые подсети проста для клиентов, использующих DHCP

10.10.3.0/24

10.10.2.0/24

10.10.1.0/24

10.10.6.0/24

10.10.5.0/24

10.10.4.0/24

10.10.9.0/24

10.10.8.0/24

10.10.7.0/24

10.10.0.0/16

Before After

Рекомендации по планированию новых подсетей доступа


External Network

CoreCore

Distribution Distribution

Access Access

WLC

Разбор кейса: пример топологии для миграции


External Network

BC

Формирование Border/CP и Edge NodeВариант 1: Перенастройка существующего Ядра


External Network

BC

Формирование Border/CP и Edge NodeВариант 2: Подключение нового устройства к Ядру сети


Требования к конфигурации для узлов фабрики и оборудования Underlay-сети:

• MTU 9100

• ‘ip routing’

• ‘username’ и ’password’

• VTY и console lines

• NTP

• SNMP, syslog

• Loopback0 (/32) для RLOC и IP-связности с DNAC

External Network

IP NetworkControl Plane +

Border NodeEdge Node

C B

Подготовка Border/CP/Edge и Underlay-сети


External Network

IP NetworkControl Plane + Border

NodeEdge Node

C B

router isis

passive-interface Loopback0

net 49.0001.XXXX.XXXX.XXXX.00

is-type level-2-only

ispf level-2

log-adjacency-changes

metric-style wide level-2

no hello padding

authentication mode md5 level-2

authentication key-chain ON

interface GigabitEthernet x/x

ip router isis

isis network point-to-point

isis metric <metric> level-2

isis circuit-type level-2-only

isis authentication mode md5 level-2

isis authentication key-chain ON

carrier-delay ms 0

dampening

Подготовка Border/CP/Edge и Underlay-сетиВыбор IGP


External Network

IP NetworkControl Plane + Border

NodeEdge Node

C B

interface GigabitEthernet1/1/1

no switchport

ip address 192.168.22.58 255.255.255.252

!


no switchport

ip address 192.168.22.38 255.255.255.252

!

interface Loopback0

ip address 192.168.21.9 255.255.255.255

ip ospf network point-to-point

router ospf 1

router-id 192.168.21.9

passive-interface default

no passive-interface GigabitEthernet1/1/1

no passive-interface GigabitEthernet1/1/2

network 192.168.21.9 0.0.0.0 area 0

network 192.168.22.38 0.0.0.0 area 0

network 192.168.22.58 0.0.0.0 area 0

Подготовка Border/CP/Edge и Underlay-сетиВыбор IGP


Дальнейшая миграция – через интерфейс DNA Center!


Процесс миграции через интерфейс DNAC

• Discover Devices: New Discovery

• Device Inventory: Assign Device Roles

• Network Topology

• Design Module: Network Settings

• Design Module: User Credentials Device Access

• Minimum number of IP Pools: Border Pool, Client Pool, AP Pool, Wireless endpoints (опционально)

• Policy Module

• Provision Network Nodes (только устройства, добавляемые в фабрику)

• Add Fabric Domain

• Add IP Transit

• Add Fabric Site to Fabric Domain

• …


Процесс миграции через интерфейс DNAC (продолжение)

• Fabric Pre-Provision Checks

• Add Fabric Border, Co-located Control Plane node

• Select VNs To Extend outside fabric

• Fabric Provisioned at Site

• Fabric Authentication Template

• Select VN for associating IP Pool

• IP Pool association to VN

• IP Pool associated to USERS VN

• Fabric Edge Node: Static Port-to-VN/SGT


Border Automation: Интерфейсы, VN, подсети


VLAN # VN IP Address Interface (B) Hostname (F) Interface (F)

3001 DEFAULT_VN 172.16.0.1 T1/0/7 POSEIDON G0/0/0

3002 GRT 172.16.0.5 T1/0/7 POSEIDON G0/0/0

3003 USERS 172.16.0.9 T1/0/7 POSEIDON G0/0/0

3004 USERS 172.16.0.13 T1/0/8 MERCURY G0/0/1

3005 DEFAULT_VN 172.16.0.17 T1/0/8 MERCURY G0/0/1

3006 GRT 172.16.0.21 T1/0/8 MERCURY G0/0/1

Border Automation: конфигурация для Fusion Router


POSEIDON#s | b 0/0/0


mtu 9100

no ip address

ip ospf mtu-ignore

load-interval 30

negotiation auto

!

interface GigabitEthernet0/0/0.3004

encapsulation dot1Q 3004

ip address 172.16.0.14 255.255.255.252

!



ip address 172.16.0.18 255.255.255.252

!



ip address 172.16.0.22 255.255.255.252

MERCURY#s | b 0/0/1


mtu 9100

no ip address

ip ospf mtu-ignore

negotiation auto

ipv6 enable

!



ip address 172.16.0.2 255.255.255.252

!



ip address 172.16.0.6 255.255.255.252

!



ip address 172.16.0.10 255.255.255.252

Border Automation: конфигурация для Fusion Router


POSEIDON#s | b er bg

router bgp 65002

bgp log-neighbor-changes

neighbor 172.16.0.13 remote-as 65001

neighbor 172.16.0.13 update-source GigabitEthernet0/0/0.3004





POSEIDON#sh ip bgp su

BGP router identifier 192.168.1.2, local AS number 65002

<snip …. snip>

BGP activity 2/0 prefixes, 2/0 paths, scan interval 60 secs

Neighbor V AS MsgRcvd MsgSent TblVer InQ OutQ Up/Down State/PfxRcd

172.16.0.13 4 65001 17 16 3 0 0 00:10:32 1

172.16.0.17 4 65001 13 18 3 0 0 00:10:16 0

172.16.0.21 4 65001 16 18 3 0 0 00:09:31 1

SANDY FIDDLER

MERCURY

VAMPIRE-2 VAMPIRE-3VAMPIRE-1

PROWLER INTRUDER

POSEIDON

B C

TACAMO

Текущее состояние сети


10.1.51.2

Un-encapsulated packet

VXLAN encapsulated packet

Взаимодействие с традиционной сетью через Fabric Border иFusion Router


MERCURY


PROWLER INTRUDER

POSEIDON

B C

SANDY FIDDLER

TACAMO

Миграция коммутаторов доступа: Routed Access


MERCURY


PROWLER INTRUDER

POSEIDON

B C

SANDY FIDDLER

TACAMO

Миграция коммутаторов доступа: Fabric Edge Nodes


MERCURY


PROWLER INTRUDER

POSEIDON

B C B C

SANDY FIDDLER

TACAMO

Дополнительный узел Fabric Border/Control Plane


MERCURY

PROWLER INTRUDER

POSEIDON

B C B C

SANDY FIDDLER

TACAMO

Миграция коммутаторов доступа: Routed Access


MERCURY

VAMPIRE-1

PROWLER INTRUDER

POSEIDON

B C B C

SANDY FIDDLER

TACAMO

Миграция коммутаторов доступа: Fabric Edge Nodes


MERCURY


PROWLER INTRUDER

POSEIDON

B

C

B

C

SANDY FIDDLER

TACAMO

Выделенные узлы Control Plane для масштабируемости


Миграция без изменения подсетей

• Добавление в фабрику Border/Control Plane node и одного Edge node

• Оверлей фабрики с сохранением подсетей создается поверх существующей сети

• Поэтапная миграция Edge nodes

• Оверлей фабрики подключается к существующей сети через Border/Fusion

Existing Campus and External

Network

Existing IP Network

(underlay) Border/Control Plane NodeEdge Nodes

C B

Virtual Network

(existing IP scope)

Existing Network

(existing IP scope) Switch between

IP scopes

Инкрементальный подход с сохранением подсетей


External Network

BCBC

10.1.1.0/24 VLAN 1021 L2 VNI mapping to VLAN1010.1.1.0/24

VLAN10

Catalyst 9K*/3K для Border Nodes

IOS 16.9.1s, DNAC 1.2.5



External Network

BCBC

10.1.1.0/24

VLAN10

Internal + External

L2 Handoff

In-system redundancy only

10.1.1.0/24 VLAN 1021 L2 VNI mapping to VLAN10

L2



• Local EID scale of 4K Endpoints

• Border can only onboard 4K Endpoints in Legacy Network

External Network

BCBC

10.1.1.0/24

VLAN10

L2 Border (separate) for smaller impact domain, and scale

10.1.1.0/24 VLAN 1021 L2 VNI mapping to VLAN 10

L2



External Network

BCBC

4K EIDs from VLAN10

4K EIDs from VLAN20

L2

L2



VLAN10 VLAN20

External Network

BCBC

L2

PROWLER

INTRUDER

TACAMO

Перенастройка существующих коммутаторов на Fabric Edge


External Network

BCBC

Завершение миграции, исключение L2 Border



• Design: Define Existing Subnet as an IP Pool

• Design: Reserve the IP Pool at Site Level

• Site-Level IP Pool

• Provision L2 Border

…


Внимание, далее наступает перерыв сервиса!

Shutdown Existing SVI on Intermediate Nodes

Дальнейшая миграция проводится в одно окно изменений...



• ! Shutdown Existing SVI on Intermediate Nodes !

• Add Existing Subnet to VN

• Add Existing subnet to USERS VN

• Legacy Subnet Provisioning on Fabric Edge

• Add L2 Border into SD-Access fabric

• Layer 2 Handoff on L2 Border (Internal)

• Map Existing VLAN to Subnet in SD-Access

• Configure L2 Border

• Static Port Assignment to Existing Subnet

• (опционально) Enable L2 Flooding between Legacy and Fabric (Multicast in Underlay)


10.1.51.2

Un-encapsulated packet

VXLAN encapsulated packet

Bridged packet

East-West: Взаимодействие через L2-Border


Миграция без изменения подсетей с Routed Access

External Network

Access

Distribution

Core

Миграция с Routed Access на SD-Access


• Shutdown existing SVI (Vlan10 in this case)

• Provision existing subnet from Cisco DNA-Center (10.1.1.0/24 in this case)

• Cisco DNA-Center will provision Vlan1021 with 10.1.1.0/24

• Move hosts to fabric-enabled IP Pool

• Verify connectivity

Migration is One-Switch—At-A-Time –

NOT One-Vlan-At-A-Time

External Network

10.1.1.0/24

VLAN 1021

10.1.2.0/24

VLAN 20

BC

Миграция с Routed Access на SD-Access


Миграция беспроводной сети

Начальные условия:

▪ AireOS Centralized wireless (Flex/Autonomous не поддерживается)▪ Миграция осуществляется по-площадке или по SSID за одно окно изменений▪ Не требуется роуминг между традиционным дизайном и SD-Access

WLC

Здание 1

Здание 2

Non Fabric

Non Fabric

DHCP ISE

Cisco Prime

ЦОД

Миграция беспроводной сети в фабрику SD-Access


▪ Разверните DNA Center и ISE (в случае нового внедрения)

▪ Выполните миграцию проводной сети в SD-Access

▪ Используйте вначале схему интеграции Wireless Over the Top

Non Fabric

1

SDA FabricB

C

2

3

CAPWAP

CAPWAP

WLC

DHCP ISE

Cisco Prime

Здание 1

Здание 2

Cisco DNA Center

Миграция беспроводной сети в фабрику SD-AccessИнтеграция по схеме Over the Top (OTT)


▪ Разверните новый Fabric WLC для SD-Access и настройте в нем аналогичные SSID

▪ В существующем WLC измените настройку AP для подключения к новому Fabric WLC

▪ Трафик беспроводных клиентов нового Fabric WLC идет через фабрику SD-Access

Non Fabric

1

SDA FabricB

C

2

3

SDA WLC

VXLAN (Data)

CAPWAP Cntrl

CAPWAP Control

VXLAN

No seamless roaming

Здание 1

Здание 2

DHCP ISE

Cisco Prime

Cisco DNA Center

Миграция беспроводной сети в фабрику SD-AccessИнтеграция по схеме Fabric Enabled Wireless (FEW)


Рекомендации:

▪ Prime для CUWN, DNAC для SDA-Access

▪ Выделенный WLC для SD-Access

▪ Одинаковые SSIDs для Fabric и non-Fabric WLC

Non Fabric

SDA FabricB

C

SDA WLC

VXLAN (Data)

CAPWAP Cntrl

▪ Одинаковые RF Groups для CUWN и SD-Access

▪ WLCs в разных Mobility Group (нет бесшовного роуминга между CUWN и SD-Access)

▪ Возможна миграция OTT->FEW per-SSID!

No seamless roaming

WLC

Здание 1

Здание 2

DHCP ISE

Cisco Prime

Cisco DNA Center

Миграция беспроводной сети в фабрику SD-AccessИнтеграция по схеме Fabric Enabled Wireless (FEW)


Заключение

• Большинство традиционных сетей можно мигрировать на SD-Access

• Можно мигрировать на SD-Access с сохранением подсетей

• Поддерживается миграция на SD-Access для:

• Layer-2 топологий

• Routed Access топологий

• Автоматизация процесса миграции с помощью DNA Center

• На что обратить внимание:

• PoC / предварительное тестирование в лаборатории

• Проверка каждого сценария на соответствие требованиям и ограничениям масштабирования

• Начинайте с небольших площадок и пилотных зон

Выводы


SD-Access: Дополнительная информацияХотите узнать больше? https://www.cisco.com/


cisco.com/go/cvd

• SD-Access Design Guide• SD-Access Deployment Guide• SD-Access Segmentation Guide

cisco.com/go/dnacenter

• Cisco DNA Center At-A-Glance• Cisco DNA ROI Calculator• Cisco DNA Center Data Sheet• Cisco DNA Center 'How To' Video

Resources

cisco.com/go/sdaccess

• SD-Access At-A-Glance• SD-Access Ordering Guide• SD-Access Solution Data Sheet• SD-Access Solution White Paper

cisco.com/go/dna

https://www.cisco.com/

https://cisco.com/go/cvd

https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Campus/CVD-Software-Defined-Access-Design-Guide-2018APR.pdf

https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Campus/CVD-Software-Defined-Access-Deployment-Guide-2018APR.pdf

https://www.cisco.com/c/dam/en/us/td/docs/solutions/CVD/Campus/CVD-Software-Defined-Access-Segmentation-Design-Guide-2018MAY.pdf

https://cisco.com/go/dnacenter

https://www.cisco.com/c/dam/en/us/products/collateral/cloud-systems-management/dna-center/at-a-glance-c45-739010.pdf?oid=aagen000249

https://dnaroi.cisco.com/go/cisco/dnaroi/index.html?lang=en-us&ccid=cc000006&oid=caten000241

https://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/application-policy-infrastructure-controller-enterprise-module/datasheet-c78-739052.html

https://www.cisco.com/c/en/us/support/cloud-systems-management/dna-center/video-resources.html

https://cisco.com/go/sdaccess

https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/software-defined-access/at-a-glance-c45-738181.pdf?oid=aagen000292

https://www.cisco.com/c/en/us/solutions/collateral/enterprise-networks/software-defined-access/guide-c07-739242.html

https://www.cisco.com/c/dam/en/us/solutions/collateral/enterprise-networks/software-defined-access/solution-overview-c22-739012.pdf?oid=sowen000311

https://www.cisco.com/c/en/us/solutions/collateral/enterprise-networks/software-defined-access/white-paper-c11-739642.html

https://cisco.com/go/dna

SD-Access: Дополнительная информацияХотите узнать больше? https://www.ciscolive.com


Cisco SD-Access Fabric:

• Cisco SD-Access - A Look Under the Hood - BRKCRS-2810

• Cisco SD-Access - Technology Deep Dive - BRKCRS-3810

• Cisco SD-Access - Connecting Multiple Sites - BRKCRS-2815

• Cisco SD-Access – Assurance and Analytics - BRKCRS-2814

• Cisco SD-Access - Troubleshooting the Fabric - BRKARC-2020

• Cisco SD-Access Campus Cisco Validated Design - BRKCRS-1501

• Cisco SD-Access - 8H Technical Seminar - TECCRS-3810

Cisco SD-Access Wireless:

• How to Setup SD-Access Wireless from Scratch - BRKEWN-2021

• Cisco SD-Access - Wireless Integration - BRKEWN-2020

Cisco SD-Access Integration:

• Cisco SD-Access - Connecting to the DC, Firewall, WAN & More! -BRKCRS-2821

• Cisco SD-Access - Scaling to Hundreds of Sites - BRKCRS-2825

• Cisco SD-Access – Integrating Existing Network - BRKCRS-2812

Cisco SD-Access Policy:

• Simplifying and Securing the Cisco Digital Network Architecture -BRKCRS-1449

• Group-Based Policy for On-Prem, Hybrid & Cloud with Cisco DNA -BRKCLD-2412

• Cisco SD-Access - Policy Driven Manageability - BRKCRS-3811

https://www.ciscolive.com/

Вопросы?

Спасибо за внимание!

Оцените данную сессию в мобильном приложении конференции

• www.facebook.com/CiscoRu

• www.instagram.com/ciscoru

• www.youtube.com/user/CiscoRussiaMedia

• www.vk.com/cisco


http://www.facebook.com/CiscoRu

http://www.instagram.com/ciscoru

http://www.youtube.com/user/CiscoRussiaMedia

http://www.vk.com/cisco

Дизайн современной корпоративной lan сети, часть...

Documents