测试驾驶DNA中心

在这个博客文章中,我将参加思科的DNA中心和SD接入的试驾。不幸的是,我没有在我的实验室中设置了这个设置,所以我将使用DCLOUD以此并在我走的时候写下这个博文。达到尘埃“CDP邻居大师”大喊叫 Schuemann和他的团队站起来。 如果你不知道DNA是什么,我会迅速地走过历史。思科去年初宣布并推动了他们的数字网络建筑(DNA)。在开发开发,可扩展和软件驱动的架构和平台上通常存在大量嗡嗡声。除了那些消息和一些关键产品之外,我认为他们在背景中发展了很多。 

几周前,思科推出了一种名为Catalyst 9000s的新型开关和他们看到DNA的凝固的视觉。 DNA平台将以相当酷的方式将云服务管理,自动化,分析,安全性和虚拟化融入同一平台和各种基础架构元素。显然,我在思科工作,所以说我认为这听起来真的很酷就像上校桑德斯说他更喜欢肯尼克炸鸡。有了这一点,我认为这种东西非常令人惊叹的是工程师,而不是思科员工。用一粒盐而不是你认为适合服用。我还没有进入一切,但我觉得我觉得有一些我可以玩的东西的试驾。

该视觉的一部分是DNA中心,它将是托管应用和来自APIC-EM 2.0的功能的中心视图。我认为走过一些功能和UI是有用的。 如果您之前的任何一个人使用过APIC-EM,则它具有一些良好的功能,如路径跟踪,简单的QoS等,但最初没有太多。 DNA中心超出了这一点。

最初登录DNA中心,您将由中央仪表板打招呼,如下所示。

我打算通过点击开始 设计 启动设计工具。这是我们将指定属性的地方,我们将适用于诸如位置信息,平面图,DHCP,IP寻址,SSID等服务等的网络,它还支持预部署的能力。

我要点击 创建网站 在此页面上创建一个新站点。由于这是网络层次结构选项卡,您可以将其构建为美国,然后在此下构建子站点。

 

我将在下面的美国创建一个儿童网站。 

 

接下来我将在帕萨迪纳创建一个建筑物。 

 

现在我在DNA中心的网络层次结构中建造了我美丽的Casa de McNamara建筑!让我们继续加入我的CASA! 

点击Casa-de-McNamara旁边的齿轮图标,我得出了一个下拉楼。

在创建地板之后,我们现在可以在这里上传楼层。 

我点击了 上传文件 并上传了DCLoud上托管的共享文件,然后单击 保存

 

那很简单!显然,只需将PIN放在地图上并添加站点地图即可。完成后,我将去 网络设置 选项卡在屏幕顶部,以挑选各种网络服务。我可以在这里构建全球服务或站点特定服务。 

 

在这一点 网络 选项卡可以在此处定义AAA服务器,DHCP服务器和DNS服务器如下图所示。

 

通过点击 添加服务器, 您还可以定义其他类型的服务器,例如NTP,Syslog,SNMP陷阱和NetFlow收集器。

 

我将填充下面的字段为全局层次结构。

您可以拥有从网络层次结构继承的全局服务,或者您可以为特定站点或多个站点创建它们,如上所示。您还可以选择仅继承某些服务(即DHCP),但还有其他一切都有特定于网站。如果服务从网络层次结构继承,则会在服务名称旁边看到橙色金字塔。如果对服务进行任何更改,则会覆盖默认值。我已经扩展到Casa de McNamara的级别,如您所见,除非我在此级别进行更改并保存它,否则我的全球服务已被继承。 

 

下一个表 网络设置设备凭据 对于将配置的各种网络设备。这包括CLI,SNMP和HTTP凭据。

 

下一个标签是 IP地址池 我们可以在哪里创建和保留DHCP池。 它们也可以从IPAM中发现。 

 

点击 添加,一个弹出窗口将填满,允许您创建DHCP池。 

 

创建后,您可以通过沿左侧钻井并点击 预订 在主窗口中。从那里,您可以选择刚刚创建的全球IP池并为该网站或地板预订。

 

接下来我们会去 无线的 标签。在此页面上,我们可以创建无线接口和SSID。 

 

我将要做的第一件事是通过点击为自己创建公司SSID 添加SSID.

 

我还将创建一个无线接口。

创建SSID和界面后,您将单击 保存 在右上角,以保存更改。

现在我们完成了 网络设置,我要搬到了 图像管理 在上面。这是您可以导入图像的地方,以便您可以在网站或整个企业中保留您的图像。

 

我们将继续下一个标签是 网络配置文件 顶部的标签。这是我们可以将SSID,服务等关联到位置或站点的地方。要添加个人资料,请单击 添加配置文件。 我将首先选择无线。 

 

对于无线配置文件,我将命名它securityDemowifi。这是我们可以在网络设置下指定我们之前创建的AAA服务器的位置,以及它是否是结构或FlexConnect的一部分。 

点击后 保存,您将不会选择将其分配给站点。我要将它分配给Casa-de-McNamara的二楼

 

我们将经历的下一件事是 政策 页面通过单击顶部。这是我们定义我们希望网络如何处理应用程序,设备和用户的位置。策略页面有助于我们创建虚拟网络(VRF),策略管理和不同组之间的合同。通过PxGrid和DNA中心从ISE中获取来自ISE的安全组标记。此处在DNA中心创建的SGT政策被推到ISE,ISE强制执行。 

右侧的组是ISE目前有规定的SGT。 DNA中心还将通过ISE与Active Directory集成,其中组可以源自且可以与ACI集成,以及您可以选择应用程序组。 

用户和设备可以通过802.1x,分析,passiveID等静态或动态地分配一个组,通过利用这些组(或SGT),我们正在删除对IP ACL的依赖性并删除很多艰难工作维持那些ACL。在创建的SGTS和VRF之间,我们添加了两层分段以构建此安全环境。由于主机通常可以在相同的VRF和潜在的vrf内进行通信,如果流量离开边框并返回,则基于组的策略(SGT)不仅在VRF之间添加了进一步的分段,而且在同一VRF之间也取决于您的poilcy。 

要创建新的虚拟网络(VRF),请单击 左上角的按钮。我们将通过简单地将组从屏幕的一侧拖放到另一个并单击 保存。 

 

接下来,我将使用Guest,Byod和Unknown组创建访客网络。 

将组拖放到虚拟网络后,我们会阻止它们与其他虚拟网络交谈并隔离组。现在,除非我们明确允许它们或在VRF之间配置路由泄漏,否则我们的客人无法与我们的员工和承包商交谈。

 

现在我们创建了虚拟网络,让我们走到了 政策管理 标签。这是我们可以在我们的虚拟网络中创建该微段的地方。

点击 添加政策 开始策略创建。这是我们默认的地方,可以与哪些群体和他们如何相互交谈的群体。在这种情况下,我将创建一个政策,说明我不希望我的承包商与我的ACI_APP_SERVER沟通。将组拖放到源或目标后,它将删除所有其他组,除了它们驻留在该虚拟网络中的存在。点击 保存。

这是它被保存后看起来的样子。

如果我们想定义某些端口和服务,以在组之间谈论而不是只是拒绝或许可?好吧,我们会去 合同 标签并创建该合同。 

点击 添加合同 按钮,我们可以定义端口,服务等。 

搬到了 注册表 选项卡,我们可以看到用户和设备组以及从中学习的地方。我们还可以通过单击定义一个新的 添加用户& Device Group 在上面。 

 

现在我们已经定义了一个站点,服务,虚拟网络和分段策略,我们将通过单击“查看”来查看它 条款 顶部的标签。我们将在 设备 标签在其中我看到几个未经驱动的设备。我要先检查一对夫妻设备。

接下来我会选择 添加到网站 从下拉下来

在这里,我会将设备分配给Casa de McNamara

接下来,我们将选择相同的设备并选择 条款 从同一个下拉。这将使我们带到Provision设备向导。

我打算选中盒子 所有同样的网站 然后点击 下一页 (因为这是一个实验室,我没有他们的配置)和 下一页。点击 部署.

在此之后,设备将其配置状态显示为部署。 

 

走到了 遗址 选项卡,您可以看到网站,您的站点计划和添加访问点的概述。

 

接下来我们将继续前进 织物 选项卡在其中,我们将创建一个结构域,它是模拟单个交换机的叠加网络。 

我要选择 新的Fabic 并调用它Casa McNamara,然后单击我刚刚创建的域。 

在下一页上,它将带​​我通过向导选择要添加到Fabrico的设备,控制平面和该结构的边界节点以及拓扑。对于与APIC-EM拓扑创建者的熟悉的人来说,这是一个更漂亮的版本。 

 

以下是您需要了解的结构: 

  • 织物 Edge节点 - 这是您的访问层,其中端点连接到您的面料
  • 织物罗伯特节点 - 这是你面料的“边境”,以外的广泛世界
  • 控制平面节点 - 此TRAFKCS结构内的主机 

结构必须至少有一次功能,并且您可以具有执行多个角色的单个设备。为了为设备分配一个角色,必须已经配置了它们。 

不支持DNA面料的中间设备在操作中没有角色,只需查看流量即可以正常的IP流量和正常转发。 

通过单击拓扑中的设备,您可以获得以下菜单:

选项如下:

  • 添加到Fabric - 将设备添加到结构上
  • 添加为CP - 将其添加为控制平面节点
  • 添加为边框 - 将其添加为边框镶边
  • 添加为CP +边框 - 这将其添加为边框节点和控制平面节点(请记住:我确实只说您可以在同一主机上具有双重类型)。如果您选择了这一点,它会要求您选择用于在结构外部通信的路由协议。
  • 启用客人 - 这是您可以在哪里启用访客 并具有虚拟网络以及它是否是该访客的控制平面节点或边界节点。 
  • 查看信息 - 为您提供有关底层设备类型的信息。 

 

接下来我要去了 主持onboarding. 标签。 

一个本页,我们可以看到哪些织物设备将与我们定义的onboard方法相关联,IP地址将收到设备,以及它们将与之相关的虚拟网络。  

 

由于我之前创建了一个地址池,我将双击它并将其与我的SecurityDemolan虚拟网络相关联,并说明它是数据,而不是语音。

您还可以添加SSID,静态配置组的组,语音和其他任务的主机。 

在下面 先进的 选项卡,您可以创建伪卡池并在结构中选择一个结合点。 

 

所以暂停一步一步并考虑一下:我们只是通过配置网络,它的服务,网络设备,结构,创建VRF,通过TrustSec策略创建的VRF,并将其全部推出给设备几分钟。我很确定在世界上所有咖啡因的最佳日子,我无法快速配置这个东西,就像使用这个工具的人一样无错误。只是想一想一下。所以回到我对此对此印象深刻的看法,你能看到为什么我认为这很酷吗? 

当然,DNA有很多伟大的方面,我可能会在他们实际上可以掌握它并掌握它并实验到它,但我想和大家一起分享这一点,我可能会在他们身上创造一些博客帖子。 

 

网络工具

既然我们通过三个柱子在DNA中心(设计,政策和规定)内创建了面料,网站和政策的三大支柱,让我们回到主仪表板上,看看一些各种网络工具。如果您熟悉APIC-EM,其中一些可能看起来令人讨厌。 

 

 

发现

这是我们如何配置DNA中心,以便自动发现网络中的各种网络设备。在这里,您可以检查CDP或一系列IP地址。 

您可以为此发现作业添加CLI和SNMP凭据:

在“高级”下,您可以选择SSH和/或Telnet以及订单首先尝试。

 

以下是已完成的发现作业的示例:

 

设备库存

这是您在DNA中心中的设备效果的良好运行,以及添加设备的选项,可以批量导入或进行过滤搜索。

 

拓扑

这是您可以查看当前拓扑的地方,调整它或您自己的更改。它都是拖放和删除和颜色自定义。

您可以从屏幕底部拖动​​设备库存:

有一个选择改变右侧在右侧显示设备清单的布局。 

如果在清单中单击特定设备,则会获取有关IOS版本,MAC地址,设备类型,Inteface状态等的信息。

隐藏设备库存,如果单击右上角的图例,可以看到设备图例或拓扑。

您可以通过单击图例旁边的磁盘图标来保存拓扑。 

如果单击磁盘图标旁边的三个点,您将显示您可以在其中筛选图层,颜色等的拓扑工具。 

 

图像管理

这是您可以导入设备映像的地方:

一旦添加了一个金色的图像或图像,您要部署,您将返回到 条款 菜单并选择设备。从下拉下来,选择 更新操作系统映像

接下来,您将选择图像升级到。不幸的是,这个演示没有任何图像来更新,但您可以看到只需在需要时打开拍摄的图像是多么容易。 

 

 

有了这个,我要结束这篇帖子,因为这就是我现在可以访问的所有帖子。我希望大家看到我们可以用DNA中心做的一些很酷的事情,包括制作ISE和Trustsec政策容易推出,并将校园网转换为作为单个开关的织物。我相信我会在这个主题上添加更多的话题,因为我将我的格鲁比小手放在更多的东西上,并在这个上建立我自己的实验室。