SDN入门_基本概念掌握

部署SDA的链接：https://www.cisco.com/c/en/us/solutions/enterprise-networks/software-defined-access/compatibility-matrix.html

兼容性列表（对于售后部署很重要哦）

一些概念：

DNA（数字网络架构digital network arte）

DNAC（多了一个控制器center，本质上就是控制器，但是习惯性作digital network access center）

SD-Access

       SDN是一个公共的厂家，代表着开源，代码本身是开源的。控制器本身的代码开源一部分。对接的设备也需要开源，开源意味着可编程。大趋势往编程的方向在走。设备越来越多，命令行靠手刷，越来越低效，客户也越来越不喜欢这样。尽量做到标准接口的开发，集中管理，尽可能的可视化。这个趋势肯定是不可逆转的，图形化管理，集中化管理。每个厂商都在做的事情SDN。

VN:virtual network 虚拟网络 也叫宏分段（在这里唯一标识，这个名字比较好）

VN与VN之间默认是deny all，在此基础之内会继续进行细分，微分段（SG，security group，也就是安全组的概念，类似于vrf的概念）。

DNA必须要有一个ISE，要玩SDA的话，在DNA的场景，那么必须要有ISE，ISE是用来锁定你的身份的。身份锁定有很多办法，不管用哪一种，认证流量由ISE来进行识别，归属到哪一个特定的组，这个由ISE说了算的。你属于哪一个组。你因为通过了认证，拿到了这个组，SGT的tac，这个tac相当于你的工卡。你就可以进这个组。

DNA可以免除很多不必要的配置。

ISE认证完了，拿到tac，在数据转发层面通过vxlan，帮你运输出去。重点是：绝大部分的vxlan网络，都具备一个Vni标识符，他是主要功能做一个二层映射。映射到三层网络做一个overlay。vxlan（思科提供的sda的vxlan）是做过优化的，不是原生的vxlan。做了修改vxlan。可以识别sgt，不仅可以识别vni。打了2个tac。（听的还是有点模糊）配置与你无关，你只要会用这个就行。

采用SDA就是因为不想去碰ACL，太麻烦，而且面对那么多条ACL策略，还很容易出错。

传统网络：

1）管理复杂度：配置步骤

2）能够去轻松做权限管理，基于ip和vlan，原来的管理方式，排除等；SDA可以基于应用或者属性进行分组，通过组来控制权限

DNA的三大功能：

1）所有的配置自动下发，automation（DNA从属于SDN的架构，批量化处理）网络自动化

2）所有的策略是基于tac的，policy 策略管理（访问策略只是其中一种，Qos策略管理，）

3）未来的数据是可视化，assurance   这一点也就是DNA报价贵的原因。核多，需要计算，这也就是贵的原因，不是简单的配置下发。这也就是在计算，基于大量数据的，基于模型把他撑起来，肯定对设备资源有巨大的消耗。

呈现给客户的是：网络健康度，客户端健康度，应用健康度，路径追踪（assurance，其实都喜欢看这种，更加直观嘛）

 

上面把概念差不多讲清楚了，讲的挺好的。这些概念基本都讲清楚了。需要自己课后去加强学习的。

DNAC

NCP网络控制平台。用来跟网络设备交互，下发配置。

如有要做policy，需要跟ISE联动。ISE独立于DNA体系的，需要额外购买，可以用虚机版的，也可以用物理机的，需要手动配置DNA里面。如果购买的是虚机版本的话，那么还需要购买相应的license；如果购买的是物理机，那么直接拿来用就好了。

 

需要DNA Controller联网，连接到Cisco的后台云，NDP。ISE是一个独立的软件。NDP没有独立的UI界面。

如果需要复杂的配置下发，需要建立fabric，就是vxlan的网络。

策略：分段策略、Qos策略、流量策略

assruance：健康度、设备明细、故障定位等

Fabric：构建一个vxlan网络，来实现sda。要做sda的话，务必多搞清除几个名词。在一个sda网络中，有一些角色。

sda的fabric角色

这些角色不是用命令行配的，但是自己创建fabric，你把不同的设备拽到fabric里面去。需要管角色。自动会下发配置。

CP（control plain）最重要的，类似于协调器，知道全网的状态。这里面练级了数据库。不参与建隧道。

Edge 边缘设备 这个是建tunnel的。

 

纯二层网络：不好管理，只能依靠vlan和stp来进行管理

纯三层网络：二层的vlan怎么弄。

业界主推overlay，现在的目标就是都用三层组网，但是建一个隧道做二层。overlay，有钱可以上控制器，没钱的最起码配置vxlan。二层透传。overlay具有很多优良特性。

Border 给你去与外部通信，通信不仅仅是edge到edge，有时有需求要访问到外部的网络。内外需要打通，有时对接公共的服务器。做了一个边界。

如果不牵扯无线的话，就是以上三个设备。后期可以讨论无线设备。就三个角色。

所谓的兼容性列表，就是看不同角色支持哪些设备型号，以及设备对应的软件版本。售后务必需要注意这些，否则很可能会不支持的。

隧道也分二层和三层的。

 

工作原理：

1.控制平面 LISP协议：就是cp来主导，他来收集二层的条目协议，远远比vxlan 的另外一种控制协议要简单。

2.转发平面 VXLAN

3.策略平面 CTS（Cisco trustSec，是一个安全组的打标机制 ）

入口打标签，出口匹配SGACL

 

underlay是手工部署的吗？

新建大楼可以做自动化的，underlay可以全自动的。但是现网割接的话，有传统网络的话，underlay是无法自动化的，需要手工配置的。比如不能动中间设备，只能动边缘设备。在这种情况下就只能手工部署underlay。

 

Option82这个概念暂时不是很清楚。

ISE安装手册找官方找。需要买license。相比而言，虚机比较灵活，建议可以使用虚机，但是需要购买相应的license。

DNA的API功能。

 

SGT策略是基于请求的。

两种架构控制器

这两者最后还是要打通的。

如果你要好好管理的API，platform，要用好他的platform，可以自定义的话，那么就需要懂编程语言。

ISE有没有集成

初始化时：端口是2222不是22

PnP

Psn是什么玩意

CP经常会跟border复用。