Pierwsze w Polsce wdrożenie Cisco SDA u klienta z branży finansowej - Case Study

1. Pierwsze w Polsce wdrożenie Cisco SDA u
klienta z branży finansowej
Marcel Guzenda
Business Solutions Architect, Sevenet SA
marcel_guzenda@sevenet.pl
linkedin.com/in/marcelguzenda
Case Study

2. Agenda
Czym jest Cisco SDA?
Architektura rozwiązania
Geneza projektu
Założenia techniczne
Napotkane problemy
Co to jest fabryka sieciowa (Network Fabric)?

3. Co to jest fabryka sieciowa
(Network Fabric)?
Protokół kontrolny w sieci nakładkowej
(LISP)
Protokoły kontrolne w sieci podkładowej
(wykorzystanie wszystkich ścieżek)
Sieć podkładowa (underlay)
(Sieć IP – routed access)
Urządzenia brzegowe (Edge)
Fabryka = Sieć nakładkowa (overlay)
Enkapsulacja = VXLAN
Segmentacja (SGT, VRF)

4. Czym jest Cisco SD-Access?
ISE NDP
SDA
Campus
Fabric
C
BB
APIC-EM 1.X
E E E E
Campus Fabric – dotychczasowy model
Podział na underlay i overlay.
Zaimplementowany jest zestaw
protokołów i technologii jednak każde z
zastosowanych narzędzi (ISE, Prime,
NDP czy APIC-EM działa znizależnie

5. Czym jest Cisco SD-Access?
Campus Fabric – dotychczasowy model
Podział na underlay i overlay.
Zaimplementowany jest zestaw
protokołów i technologii jednak każde z
zastosowanych narzędzi (ISE, Prime,
NDP czy APIC-EM działa znizależnie
ISE / AD NDP
SDA
Campus
Fabric
C
BB
DNA
Center
APIC-EM 2.0
E E E E
SD Access – obecny model
DNA Center umożliwia automatyzację i
wsparcie dla konfiguracji całej fabryki i
polityk. Integruje poszczególne
komponenty sieci LAN, WLAN oraz WAN

6. Czym jest Cisco SD-Access?
ISE NDP
C
BB
DNA Center
Repozytorium
użytkowników
Repozytorium
użytkowników
Kontroler SDNKontroler SDN
Silnik
analityczny
Silnik
analityczny
Fabric Border
Nodes
Fabric Edge
Nodes
Fabric Wireless
Controller
Fabric Control
Node
Intermediate
Nodes
E E E E

7. Geneza projektu
• Decyzja o POC SDA. Wykorzystanie sprzętu Sevenet
• Dwa warianty architektury:
- w oparciu o urządzenia C3650 oraz C4500-X i klasyczną sieć
- w oparciu o nowe C9500, C9300 oraz Cisco DNA
• Po zakończeniu POC analiza, wnioski, rozwiązania
• Decyzja wyborze architektury SDA
• Migracja konfiguracji wypracowanych w POC do produkcji

8. Założenia techniczne
• Możliwie prosta implementacja Cisco SDA. Migracja do nowych
funkcjonalności w późniejszym etapie
• Taka sama funkcjonalność w sieci WLAN jak przewodowej
• Upgrade produkcyjnego systemu Cisco ISE oraz jego rekonfiguracja
na potrzeby integracji z DNA-C
• Kilka sieci odseparowanych na poziomie poszczególnych VRF
• Ruch wychodzący ma być szyfrowany z wykorzystaniem MACsec

9. Architekturarozwiązania

10. Napotkane problemy
Problem:
Cykliczne problemy ze stack’iem przełączników 9300
Rozwiązanie:
Założony case w TAC. Tymczasowe rozwiązanie problemu
poprzez wgranie starszej wersji IOS.

11. Napotkane problemy
Problem:
Pojawiający się błąd podczas modyfikacji template 801.1x
Rozwiązanie:
Błędy były widoczne na DNA-C wersji 1.2.5 i 1.2.6.
Na wersji 1.2.8 nie zauważono problemu.

12. Napotkane problemy
Problem:
W konfiguracji WLAN SSID nie widać ustawionych serwerów
radius. Mimo to uwierzytelnianie działa
Rozwiązanie:
Konfiguracja WLAN SSID w kontrolerze dodanym do DNA-C
wykorzystuje globalnie skonfigurowane serwery RADIUS.
Aktualnie nie ma możliwości wskazania zbioru serwerów
RADIUS per WLAN SSID

13. Napotkane problemy
Problem:
Część konfiguracji musi być zrobiona za pomocą
template’ów. W szczególności: ntp, access-list, line vty…
Z poziomu SDA dostępna jest tylko podstawowa
konfiguracja ntp, snmp, syslog.
Rozwiązanie:
Z poziomu DNA-C można konfigurować podstawowe
parametry (dokładnie to, co zostało przewidziane przez
producenta), gdy chcemy zrobić coś więcej lub inaczej,
musimy to zrobić za pomocą template’ów.

14. Napotkane problemy
Problem:
Pomimo ustawienia w profilu RF używania kanałów o
szerokości 40Mhz, AP nadal używają 20Mhz.
Rozwiązanie:
Użycie rekomendowanego przez producenta software
8.5.135 na kontrolerach WLC

15. DZIĘKUJĘ!