2.4 网络交换矩阵提供的服务
2.4.1 底层网络
软件定义访问底层网络由物理网络设备(如路由器、交换机和无线控制器加上传统的三层路由协议)组成,这为网络设备之间的通信提供了一个简单、可伸缩和有弹性的基础。底层网络不用于客户端通信(客户端通信使用网络交换矩阵的叠加网络)。
底层网络的所有网络元素必须建立彼此之间的IP连接。这意味着现有的IP网络可以作为底层网络使用。尽管可以在底层网络中使用任何拓扑和路由协议,但强烈建议采用设计良好的三层访问拓扑以确保全网的一致性、可伸缩性和高可用性。这种设计方法消除了对STP、VTP、HSRP、VRRP等的需求。此外,在规范的底层网络上运行逻辑的网络交换矩阵拓扑可以为多路径、优化收敛提供内置功能,并简化网络的部署、故障排除和管理。
DNA中心提供规范的局域网自动化服务,可以根据思科验证的最佳设计实践来实现自动发现、配置和部署网络设备。一旦网络设备被发现,自动底层网络资源调配利用即插即用(PnP)功能对设备应用所需的协议和IP地址进行配置。
DNA中心局域网自动化使用IS-IS路由访问设计的最佳实践,其主要原因为:
(1)协议无关性,支持IPv4和IPv6;
(2)只使用环回接口并且不需要为每个三层链接配置地址;
(3)支持可扩展的TLV格式以便为新出现的用例提供支持。
2.4.2 叠加网络
软件定义访问网络交换矩阵的叠加网络是建立在物理底层网络之上的逻辑的、虚拟化的拓扑结构。软件定义访问网络交换矩阵的叠加网络有3个主要组成部分。
(1)网络交换矩阵数据转发平面:逻辑叠加网络通过使用具有组策略选项(GPO)的虚拟可扩展局域网(VXLAN)封装创建。
(2)网络交换矩阵控制平面:用户和设备(与VXLAN隧道终端关联)的逻辑映射和解析由位置/标识分离协议(LISP)执行。
(3)网络交换矩阵策略平面:将业务意图转换为网络策略,使用地址无关的可扩展组标签(SGT)和基于组的策略实现。
VXLAN-GPO为软件定义访问提供以下优势:支持二层和三层虚拟拓扑(叠加网络),在基于IP的任意网络上操作,内置网络分段(VRF/VN)和基于组的策略。
LISP通过降低每个路由器处理所有可能的IP目标地址和路由的工作量,大大简化了传统的路由环境。它通过将远程目标信息移动到集中式映射数据库来实现此目的,允许每个路由器仅管理其本地路由,并查询映射系统以定位目标终端。
2.4.3 网络策略
软件定义访问的一个基本好处是能够根据网络交换矩阵提供的服务来实例化逻辑网络策略。解决方案提供的一些服务示例包括:
(1)安全分段服务;
(2)服务质量(QoS);
(3)捕获/复制服务;
(4)应用可视化服务。
这些服务在整个网络交换矩阵中独立于设备特定的地址或位置来提供。
2.4.4 网络分段
网络分段是一种将特定组的用户或设备与其他组分开以便实现安全、重叠的IP子网的方法或技术。在软件定义访问网络交换矩阵中,VXLAN数据平面封装通过在报头中使用虚拟网络标识符(VNI)和可扩展组标签(SGT)字段提供网络分段。软件定义访问网络交换矩阵可以实现层次化的网络分段方法:网络宏分段和网络微分段。
软件定义访问网络分段的几个关键概念如下。
宏分段(如图2-14所示):在逻辑上将网络拓扑划分为较小的虚拟网络,使用唯一的网络标识符和单独的转发表。
图2-14 网络宏分段和虚拟网络
虚拟网络是软件定义访问网络交换矩阵中的逻辑网络实例,提供二层或三层服务并定义三层路由域。VXLAN VNI用于提供二层和三层网络分段。
微分段(如图2-15所示):通过执行源到目标的访问控制权限在虚拟网络内部逻辑上分隔用户或设备组。这通常是对访问控制列表(ACL)进行的实例化,也称为访问控制策略。
图2-15 网络微分段和可扩展组
可扩展组是分配给软件定义访问网络交换矩阵中的用户和/或设备的“组”的逻辑对象ID,用作可扩展组访问控制列表(SGACL)中的源和目标的分类器。可扩展组标签用于提供与地址无关的基于组的策略。
2.4.5 与无线局域网络深度融合
目前占据主流的传统的思科统一无线网络(CUWN)提供了一些与软件定义访问相类似的优点:
(1)隧道叠加网络(通过CAPWAP封装和独立控制平面实现);
(2)一定程度的网络基础设施自动化(如无线接入点管理、配置管理等);
(3)简化的无线用户或设备移动性(也称为客户端漫游);
(4)集中式管理无线控制器(WLC)。
但是CUWN也进行了一些权衡和妥协:
(1)只有无线用户才能从CAPWAP叠加网络中受益;
(2)无线通信流量必须通过隧道到达集中式锚点,这对于许多应用程序来说可能不是最佳的转发路径。
软件定义访问对有线用户有以下独特的优点:
(1)有线用户可以从分布式交换数据平面提供的性能和可扩展性中受益;
(2)有线用户得益于高级QoS和创新服务,例如,可在交换机基础架构中使用加密通信流量分析(ETA)。
换言之,每个通信域(有线和无线)都有不同的优点。那么,什么是独特的软件定义访问无线网络?软件定义访问网络交换矩阵提供了分布式有线和集中式无线体系的最佳组合,为有线和无线用户提供通用的叠加平面服务。通过使用软件定义访问网络交换矩阵,客户可以在独立于访问媒体介质的情况下,为所有用户提供通用的策略和一致的体验。