在这篇博客中,我将对Cisco 脱氧核糖核酸 Center和SD-Access进行测试。不幸的是,我尚未在实验室中设置此功能,因此我将利用dCloud并在撰写本文时撰写此博客文章。向达斯汀大喊“ CDP邻居大师” Schuemann和他的团队对此表示赞同。 如果您不知道什么是DNA,那么我会很快回顾一下历史。思科于去年年初宣布并推出了其数字网络架构(DNA)。对于开发开放,可扩展且由软件驱动的体系结构和平台,通常会有很多嗡嗡声。除了该消息传递和一些关键产品之外,我认为它们在后台正在开发很多东西。
几周前,思科发布了一系列名为Catalyst 9000的交换机,并坚定了他们看到DNA去向的愿景。 脱氧核糖核酸平台旨在以一种相当酷的方式将云服务管理,自动化,分析,安全性和虚拟化整合到同一平台和各种基础架构元素中。显然,我在思科工作,所以我觉得听起来很酷,就像桑德斯上校说他更喜欢肯图基炸鸡。话虽这么说,我认为这些东西非常令人惊奇的是工程师而非思科员工的观点。随便吃一点盐。我还无法访问所有内容,但我想试驾一些我可以玩的东西。
脱氧核糖核酸中心是这一愿景的一部分,它将成为APIC-EM 2.0托管应用程序和功能的中心视图。我认为浏览一些功能和用户界面会很有用。 如果您以前曾经使用过APIC-EM,则它具有一些不错的功能,例如路径跟踪,Easy QoS等,但是最初没有太多功能。 脱氧核糖核酸中心不仅仅如此。
最初登录DNA Center时,会遇到一个中央仪表板,如下所示。
我将通过单击开始 设计 开始设计工具。在此处,我们将指定将应用于网络的属性,例如位置信息,平面图,服务(例如DHCP,IP地址,SSID等)。它还支持预部署功能。
我要点击 建立网站 在此页面上创建一个新站点。由于这是“网络层次结构”选项卡,因此您可以将其构建为USA,然后在其下构建子站点。
我将在下面的美国下创建一个子站点。
接下来,我将在帕萨迪纳(Pasadena)下创建一栋建筑物。
现在,我在DNA中心的网络层次结构中建立了自己美丽的Casa De McNamara大楼!让我们继续,为我的casa添加一个地板!
单击Casa-De-McNamara旁边的齿轮图标,我会出现一个下拉菜单来添加一个地板。
创建楼层后,我们现在可以在此处上传楼层平面图。
我点击了 上传文件 然后上传托管在dCloud上的共享文件,然后单击 救.
那很简单!显然,除了在地图上添加图钉并添加站点地图之外,还有很多其他功能。完成此操作后,我将转到 网络设置 屏幕顶部的标签以选择各种网络服务。我可以在这里建立全球服务或特定于站点的服务。
在 网络 标签,您可以在此处定义AAA服务器,DHCP服务器和DNS服务器,如下图所示。
通过点击 添加服务器, 您还可以定义其他类型的服务器,例如NTP,Syslog,SNMP陷阱和Netflow收集器。
我将为全局层次结构填充以下字段。
您可以具有从网络层次结构继承的全局服务,也可以为一个或多个特定站点创建它们,如上所示。您还可以选择仅继承某些服务(即DHCP),而让其他所有服务都特定于站点。如果服务是从网络层次结构继承的,则服务名称旁边会显示一个橙色的金字塔。如果您对服务进行任何更改,它将覆盖默认值。我已经扩展到Casa De McNamara的级别,并且您可以看到,除非我在此级别进行更改并保存,否则我的全局服务已被继承。
下一张表 网络设置 是 设备凭证 用于将要配置的各种网络设备。这包括CLI,SNMP和HTTP凭据。
下一页标签是 IP地址池 我们可以在其中创建和保留DHCP池。 也可以从IPAM中发现它们。
通过点击 加,将弹出一个弹出窗口,允许您创建DHCP池。
创建完成后,您还可以通过在左侧向下钻取并单击将其分配到站点 保留 在主窗口中。在这里,您可以选择刚刚创建的全局IP池,并将其保留给该站点或楼层。
接下来,我们将转到 无线 标签。在此页面上,我们可以创建无线接口和SSID。
我要做的第一件事是通过单击创建自己的公司SSID 添加SSID
我还将创建一个无线接口。
创建SSID和接口后,您将点击 救 在右上角保存更改。
现在我们完成了 网络设置,我要转到 影像管理 在上面。在这里可以导入图像,以便使站点或整个企业中的图像保持标准化。
我们将转到的下一个标签是 网络资料 标签在顶部。在这里我们可以将SSID,服务等与位置或站点相关联。要添加配置文件,请单击 添加资料。 我将首先选择无线。
对于无线配置文件,我将其命名为SecurityDemoWifi。在这里,我们可以指定先前在“网络设置”下创建的AAA服务器,以及是否将其作为结构或FlexConnect的一部分。
点击后 救,那么您将无法选择将其分配给网站。我将其分配给Casa-De-McNamara的二楼
我们接下来要经历的是 政策 单击顶部的页面。在此定义我们希望网络如何处理应用程序,设备和用户。策略页面可帮助我们创建不同组之间的虚拟网络(VRF),策略管理和合同。这些组来自ISE,通过pxGrid,DNA Center可以从ISE获取安全组标签。在DNA中心在此处创建的SGT策略被推送到ISE,并且ISE实施它。
右侧的组是ISE中当前提供的SGT。 脱氧核糖核酸 Center也将通过ISE与Active Directory集成,其中组可以源自ACI并可以与ACI集成,您还可以从中选择应用程序组。
可以通过ISE通过802.1x,配置文件,PassiveID等为用户和设备静态或动态分配一个组。通过利用这些组(或SGT),我们消除了对IP ACL的依赖,并省去了很多工作维护这些ACL。在创建的SGT和VRF之间,我们添加了两层分段以构建此安全环境。由于主机通常可以在同一VRF内进行通信,如果流量离开边界并返回,则通常可以在另一个VRF中进行通信,因此基于组的策略(SGT)不仅会在VRF之间而且在同一VRF中添加进一步的分段,具体取决于您的选择。
要创建新的虚拟网络(VRF),请点击 + 左上角的按钮。我们将命名该SecurityDemoLAN并将雇员,生产,ACI_App_Servers,ACI_Web和Contractors组添加到此虚拟网络,方法是将组从屏幕的一侧拖放到另一侧,然后单击 救。
接下来,我将创建一个包含来宾,BYOD和未知组的来宾网络。
一旦将组拖放到虚拟网络中,我们就可以防止它们与其他虚拟网络对话并隔离该组。现在,除非我们明确允许他们或在VRF之间配置路由泄漏,否则我们的客人无法与我们的员工和承包商交谈。
现在我们已经创建了虚拟网络,让我们进入 政策管理 标签。在这里,我们可以在虚拟网络中创建微细分。
请点击 新增政策 开始创建策略。这是我们默认的位置,哪些组可以与哪些组交谈,以及它们如何彼此交谈。在这种情况下,我将创建一个策略,声明我不希望承包商与我的ACI_App_Server通信。将组拖放到源或目标中后,它将删除所有其他组,但它们所在的虚拟网络中存在的组除外。请点击 救。
保存后就是这样。
如果我们想定义某些端口和服务以在组之间进行通信而不是仅仅拒绝或允许怎么办?好吧,我们会去 合约 标签并创建该合同。
通过点击 新增合约 按钮,我们可以定义端口,服务等。
前进到 登记处 标签,我们可以查看用户和设备组以及从中学习的位置。我们还可以通过点击 添加用户& Device Group 在上面。
现在,我们已经定义了站点,服务,虚拟网络和分段策略,我们将继续通过单击 规定 标签在顶部。我们将在 设备 标签,我可以看到几个未配置的设备。我要先检查几个设备。
接下来我会选择 新增至网站 从下拉菜单
在这里,我将把设备分配给Casa De McNamara
接下来,我们将选择相同的设备并选择 规定 来自相同的下拉菜单这将使我们进入Provision 设备向导。
我要选中该框 所有同一个网站 然后点击 下一页 (由于这是实验室,因此我没有针对它们的配置)和 下一页。请点击 部署.
此后,设备将其供应状态显示为“已部署”。
转到 网站 标签中,您可以查看该站点的概述,您的站点计划以及添加访问点。
接下来,我们将继续 布 标签,我们将在其中创建一个结构域,该结构域是一个模拟单个交换机的覆盖网络。
我要选择 新法比奇 并命名为Casa McNamara,然后单击我刚刚创建的域。
在下一页上,将引导我完成一个向导,以选择要添加到结构中的设备,该结构的控制平面和边界节点以及拓扑。对于熟悉APIC-EM拓扑创建器的任何人,这是一个更漂亮的版本。
这是您需要了解的有关面料的内容:
- 布 Edge Node-这是端点连接到Fabric的访问层
- 布 Borner节点-这是您的面料进入更广阔世界的“边界”
- 控制平面节点-在结构中传输主机
一个结构必须至少具有一个功能才能运行,并且一台设备可以执行多个角色。为了分配设备角色,必须已经配置它们。
不支持DNA结构的中间设备将在操作中不起作用,只是将来往的流量视为正常IP流量,往来视为正常流量。
通过单击拓扑中的设备,您将获得以下菜单:
选项如下:
- 添加到结构-将设备添加到结构
- 添加为CP-将其添加为控制平面节点
- 添加为边框-将其添加为边框
- 添加为CP +边界-将其同时添加为边界节点和控制平面节点(请记住:我只是说过,您可以在同一主机上使用双重类型)。如果选择此协议,它将要求您选择用于在结构外部通信的路由协议。
- 启用访客-在这里可以启用访客 并具有虚拟网络,以及该网络是否将成为该访客的控制平面节点或边界节点。
- 查看信息-为您提供有关基础设备类型的信息。
接下来我要去 主机入职 标签。
在这一页上,我们可以看到哪些光纤设备将与我们定义的入职方法相关联,设备将收到的IP地址以及与之关联的虚拟网络。
由于我以前创建了一个地址池,因此我将双击该地址池并将其与SecurityDemoLAN虚拟网络关联,并声明该地址池用于数据而不是语音。
您还可以添加SSID,为组,语音和许多其他任务静态配置端口。
在下面 高级 标签,您可以创建mutlicast池并在结构中选择一个集合点。
因此,让我们退后一步,想一想:我们只是通过配置网络,它的服务,网络设备,结构,创建的VRF,通过TrustSec策略进行微分段,然后将其全部推送到几分钟我可以肯定,在与世界上所有咖啡因混在一起的最美好的一天里,我无法像使用此工具的人一样快速,无错误地配置这些东西。请考虑一下。因此,回到我所说的对此印象深刻的地方,您能明白为什么我认为这很酷吗?
当然,DNA还有很多其他方面,一旦我可以动手尝试一下它,我可能会在它们上创建一些博客文章,但到目前为止我想与大家分享。
网络工具
现在,我们已经了解了在DNA中心内创建结构,站点和策略的三个支柱(设计,策略和配置),让我们回到主仪表板以浏览一些各种网络工具。如果您熟悉APIC-EM,则其中一些可能看起来很熟悉。
发现
这是我们可以配置DNA Center来自动发现网络中各种网络设备的方式。在这里,您可以检查CDP或IP地址范围。
您可以为此发现作业添加CLI和SNMP凭据:
在“高级”下,您可以选择“ SSH”和/或“ Telnet”,并选择先尝试的顺序。
这是完成的发现作业的示例:
设备清单
在这里,您可以在DNA Center中很好地运行设备,还可以选择添加设备,批量导入或进行过滤搜索。
拓扑学
您可以在此处查看当前拓扑,自行调整或标记更改。全部都是拖放操作,并且可以使用颜色自定义。
您可以从屏幕底部向上拖动设备清单:
右侧有一个选项可以更改设备清单显示内容的布局。
如果单击清单中的特定设备,则会获得有关IOS版本,MAC地址,设备类型,接口状态等信息。
隐藏设备清单,如果单击右上角的图例,则可以看到设备图例或拓扑。
您可以通过单击图例旁边的磁盘图标来保存拓扑。
如果单击磁盘图标旁边的三个点,将显示拓扑工具,您可以在其中过滤层,颜色等。
影像管理
您可以在此处导入设备映像:
添加了要部署的黄金映像或映像后,您将返回到 规定 菜单,然后选择设备。从下拉菜单中选择 更新操作系统映像
接下来,您将选择要升级到的映像。不幸的是,此演示没有任何图像要更新,但是您可以看到在需要时快速推出图像非常容易。
到此为止,我将结束本文,因为这是我目前可以使用的全部内容。我希望每个人都可以看到我们可以使用DNA Center做的一些很酷的事情,包括使ISE和TrustSec策略易于实施,以及将您的园区网络转变为可作为单个交换机运行的结构。我确信我会在这个肮脏的小手头上玩更多的东西,并在此基础上建立自己的实验室,从而在该主题上添加更多内容。