2.3 网络交换矩阵组件

要了解软件定义访问网络交换矩阵,需要了解组成网络交换矩阵的各种组件及其提供的各项功能,同时了解各个组件之间如何相互作用以提供整体的软件定义访问解决方案。图2-4概述了作为软件定义访问网络交换矩阵部署的主要组件,并指出它们在软件定义访问网络交换矩阵系统中的位置。

图2-4 软件定义访问组件

2.3.1 控制平面节点

网络交换矩阵控制平面节点连接到网络交换矩阵中,作为一个中心数据库跟踪所有用户和终端设备,并支持它们自身具备的漫游性。网络交换矩阵控制平面作为“唯一的可信数据源”提供关于连接到网络交换矩阵上的每个终端在任意时间点的位置。网络交换矩阵控制平面允许网络组件(交换机、路由器、无线控制器等)查询此数据库,以确定连接到该网络交换矩阵的任何用户或终端设备的位置,而无须使用泛洪学习机制。除了跟踪特定终端(32位掩码的IPv4地址和128位掩码的IPv6地址),网络交换矩阵控制平面还可以跟踪更大的汇总路由(IP地址/掩码)。这种灵活性有助于跨网络交换矩阵站点进行总结并提高网络总体的可伸缩性,如图2-5所示。

图2-5 网络交换矩阵控制平面节点

软件定义访问网络交换矩阵控制平面节点基于合并在同一个节点上的LISP映射服务器(MS)和映射解析器(MR)功能来实现。控制平面跟踪网络交换矩阵域内的所有端点并将其与网络交换矩阵的边缘和边界节点关联,从而实现了将端点的IP地址和MAC地址与其所在位置的完全解耦,控制平面节点功能可以在边界节点或专用节点上实例化,实现以下功能。

(1)主机跟踪数据库:主机跟踪数据库(HTDB)是存储终端EID与交换矩阵边缘节点绑定关系的中央存储库。

(2)映射服务器(LISP MS):用于将来自网络交换矩阵边缘设备的注册消息写入HTDB。

(3)映射解析器(LISP MR):用于响应来自网络交换矩阵边缘设备对于终端EID和所在位置RLOC的映射查询。

2.3.2 边缘节点

网络交换矩阵边缘节点(如图2-6所示)负责将终端连接到网络交换矩阵,并封装/解封装和转发从这些终端到网络交换矩阵的通信。网络交换矩阵边缘节点在网络交换矩阵的外围运行,是用户连接和策略实施的所在地。需要注意的是,终端不必直接连接到网络交换矩阵的边缘节点,也可以连接到扩展节点。

图2-6 网络交换矩阵边缘节点

有关网络交换矩阵边缘节点的重要注意事项是它们如何处理用于终端设备的子网。在默认情况下,在软件定义访问网络交换矩阵中承载的所有子网都是在边缘节点上设置的。例如,如果在给定的网络交换矩阵中设置了子网10.10.10.0/24,则该子网将在该网络交换矩阵中的所有边缘节点上进行定义,而位于该子网中的主机可以放在该网络交换矩阵内的任何边缘节点上。这实质上是在该网络交换矩阵的所有边缘节点之间“拉伸”了这些子网,从而简化了IP地址的分配,进而可以部署较少但掩码更大的IP子网。

软件定义访问网络交换矩阵边缘节点相当于传统的园区网络设计中的接入层交换机。边缘节点在实现三层访问设计的同时增加了以下网络交换矩阵功能。

(1)终端注册。交换矩阵边缘节点检测到用户终端后,会将其添加到本地主机跟踪数据库(称为终端EID表)。边缘节点设备还会发出LISP映射注册消息,以便将检测到的终端通知控制平面节点并将其填充到中心主机跟踪数据库(HTDB)。

(2)将用户映射到虚拟网络。通过将终端分配到与LISP实例关联的VLAN,可将该终端放入虚拟网络。可以使用静态或动态802.1x方式将终端映射到VLAN中。同时为其分配SGT以实现在交换矩阵边缘节点为终端提供网络分段和策略执行功能。

(3)三层任播网关。在每个边缘节点使用通用网关(具有相同的IP和MAC地址),使终端共享同一个EID子网,实现跨越不同RLOC的最佳转发路径和移动性。

(4)LISP转发。与典型的基于路由的决策不同,网络交换矩阵边缘节点通过查询映射服务器来确定与目标IP关联的RLOC,并使用该信息封装相关流量的VXLAN报头。如果无法解析目标RLOC,流量将被发送到默认的网络交换矩阵边缘节点,并使用边缘节点上的全局路由表来决定如何转发。从映射服务器接收到的响应存储在LISP映射缓存中,它被合并到思科快速转发表中并安装在节点交换机硬件中。如果在网络交换矩阵边缘节点接收到未在本地连接的终端的VXLAN封装流量,接收边缘节点将通过发送LISP征求映射请求到发送该流量的网络交换矩阵边缘节点来触发新的映射请求。这一机制解决了终端可能出现在不同的网络交换矩阵边缘节点交换机上的情况。

(5)VXLAN封装/解封装。网络交换矩阵边缘节点使用与目标IP地址关联的RLOC为流量封装VXLAN报头。类似地,在目的地RLOC处接收的VXLAN流量被解封装。流量的封装和解封装使端点的位置能够改变并且被网络中的不同边缘节点和RLOC封装,而端点本身不必在自身封装内改变其地址。

2.3.3 中间节点

网络交换矩阵的中间节点是纯粹的三层转发设备,属于将边缘节点与边界节点进行互联的三层网络的一部分,连接网络交换矩阵边缘节点和网络交换矩阵边界节点,为转发叠加网络流量提供基于三层的底层网络互联服务。

在使用核心层、分布层和接入层的三层园区设计中,中间节点相当于分布层交换机,但中间节点的数量并不限于单个设备层。中间节点仅在网络交换矩阵内部路由IP流量。中间节点无须参与VXLAN封装/解封装或LISP控制平面消息方面相关的操作,网络交换矩阵对于中间节点的要求仅仅是支持转发大尺寸IP数据报文,以便能够传输内嵌了VXLAN信息的IP数据报文。

2.3.4 边界节点

网络交换矩阵边界节点将软件定义访问网络交换矩阵连接到传统的三层网络或不同的网络交换矩阵站点。网络交换矩阵边界节点负责将网络情境(用户/设备映射和身份标识)从一个网络交换矩阵站点转换到另一个网络交换矩阵站点或传统网络。当封装在不同的网络交换矩阵站点上进行时,网络情境的转换通常是1∶1映射的。网络交换矩阵边界节点是不同网络交换矩阵站点的控制平面交换策略信息的设备,也是软件定义访问网络交换矩阵域和外部网络之间的网关。

网络交换矩阵有两种边界节点(如图2-7所示),实现不同的功能,一个用于内部网络,一个用于外部网络。网络交换矩阵边界节点一方面可配置为特定网络(如共享服务网络)地址的网关,称为内部边界节点,内部边界节点用于通告已定义的子网集,如一组分支站点或数据中心。

图2-7 网络交换矩阵边界节点

另一方面,它也可配置为用于互联网连接或者网络交换矩阵流量出口的默认边界角色,称为外部边界节点。外部边界节点用于通告未知的目标(通常是互联网),类似于默认路由的功能。在软件定义访问网络交换矩阵中,可以存在任意数量的内部边界节点。每个软件定义访问网络交换矩阵所支持的外部边界节点总数为2或4,具体取决于所选边界节点的类型。

边界节点还可以结合上述两种角色作为任意边界节点(同时作为内部边界节点和外部边界节点)。当采用中转过渡区域进行控制平面互联时,软件定义访问可以实现具有本地站点服务的更大规模的分布式园区部署。

边界节点实现以下功能。

(1)终端EID子网通告。软件定义访问将边界网关协议(BGP)配置为首选的路由协议,用于通告网络交换矩阵外部的终端EID前缀并转发从网络交换矩阵外部经边界节点发往内部终端EID子网的流量。这些终端EID前缀只出现在边界节点的路由表中,而在网络交换矩阵的其他各处,则使用网络交换矩阵控制平面节点来访问终端EID信息。

(2)网络交换矩阵流量出口。执行LISP代理隧道路由器功能,默认网络交换矩阵边界节点是网络交换矩阵边缘节点的默认网关。此出口也可以是连接到一组已经明确定义了IP子网的非默认网络交换矩阵的边界节点,此时需要网络交换矩阵边界节点将这些子网信息通告到网络交换矩阵内部。

(3)LISP实例到VRF的映射。网络交换矩阵边界节点可以使用外部VRF实例将网络虚拟化从网络交换矩阵内部扩展到外部。

(4)安全策略映射。网络交换矩阵边界节点还会在流量离开网络交换矩阵时维护可扩展组信息标签。通过使用可扩展组标签交换协议(SXP)将VXLAN报头中的可扩展组标签传输到支持思科TrustSec的设备,或者使用内联标记将可扩展组标签直接映射到数据分组中的思科元数据(CMD)字段,可扩展组标签信息可以从网络交换矩阵边界节点传播到外部网络,反之亦然,从而实现与思科TrustSec解决方案的无缝集成。

2.3.5 扩展节点

软件定义访问网络交换矩阵的扩展节点(如图2-8所示)用于将网络下游的非网络交换矩阵二层网络设备附加到软件定义访问网络交换矩阵(因此称为扩展结构)。扩展节点一般是小型交换机(如紧凑型交换机、工业以太网交换机或楼宇自动化交换机),通过二层网络连接到网络交换矩阵的边缘节点。连接到扩展节点的设备使用网络交换矩阵边缘节点与外部子网进行通信。

图2-8 网络交换矩阵扩展节点

扩展节点是在纯二层模式下运行的小型交换机,本身不支持网络交换矩阵。这些二层交换机通过传统的二层方法连接到网络交换矩阵的边缘节点。在扩展节点交换机上配置的VLAN/IP子网将获得类似于网络交换矩阵提供的策略分段和自动化的好处。网络交换矩阵使用802.1q二层中继链路将子网扩展到软件定义访问扩展节点。这允许扩展节点执行正常的本地转发。当流量离开扩展节点到达其连接的网络交换矩阵边缘节点时,将从网络交换矩阵的集中式策略和可扩展性中受益。

2.3.6 网络交换矩阵模式的无线控制器

网络交换矩阵模式的无线控制器(如图2-9所示)将无线局域网的控制平面集成到网络交换矩阵的控制平面中。交换矩阵模式的无线控制器和非交换矩阵模式的无线控制器都可以为无线接入点提供软件映像和配置管理、客户端会话管理以及移动服务。交换矩阵模式的无线控制器还为无线局域网与交换矩阵集成提供其他服务,例如,在无线客户端加入无线网络期间,交换矩阵模式的无线控制器将无线客户端的MAC地址注册到主机跟踪数据库,以及在客户端漫游事件期间更新其所在的网络交换矩阵边缘节点的RLOC位置信息。

图2-9 网络交换矩阵模式的无线控制器和无线接入点

网络交换矩阵模式的无线控制器与非交换矩阵模式的无线控制器行为的主要区别在于,交换矩阵模式的无线控制器对于支持交换矩阵模式的SSID不会主动参与数据平面流量的转发,这些SSID由交换矩阵模式的无线接入点通过网络交换矩阵为其直接转发流量。

通常,交换矩阵模式的无线控制器连接在网络交换矩阵边缘节点之外的共享服务网络中,这意味着它们的管理IP地址存在于全局路由表中。为了使无线接入点与无线控制器之间建立CAPWAP管理隧道,无线接入点必须位于可以访问外部网络的虚拟网络中。在软件定义访问解决方案中,DNA中心将无线接入点配置为驻留在名为INFRA_VRF的VRF中,它被映射到全局路由表,以避免通过路由泄露或融合路由器(支持多VRF路由器并有选择地共享路由信息)服务与网络交换矩阵以外的外部网络建立连接。

2.3.7 网络交换矩阵模式的无线接入点

网络交换矩阵模式的无线接入点连接到网络交换矩阵边缘节点,并将无线客户端连接到网络交换矩阵中。交换矩阵模式的无线接入点通过将无线用户通信封装到VXLAN叠加网络并在其相邻的网络交换矩阵边缘节点中解封装,应用任何必要的策略,然后重新封装并转发到网络交换矩阵中的最终目的地,在软件定义访问体系中实现分布式转发。

支持连接到该网络交换矩阵的已启用网络交换矩阵模式的无线接入点,不仅处理与无线控制器关联的传统任务,还处理无线客户端与网络交换矩阵的控制平面的交互操作,例如注册和漫游。应该注意的是,启用了网络交换矩阵模式的无线部署将数据平面(VXLAN)从集中位置(与以前的叠加式CAPWAP部署一样)转移到了无线接入点/网络交换矩阵边缘节点。这使得分布式转发和分布式策略应用程序能够实现无线通信,同时保留了集中资源调配和管理的好处。

思科第一代和第二代802.11ac无线接入点支持工作在网络交换矩阵模式并与配置了一个或多个支持网络交换矩阵模式的SSID的交换矩阵模式无线控制器相关联。交换矩阵模式的无线接入点除了继续支持与传统模式的无线接入点相同的802.11ac无线介质服务、应用可视化服务和控制AVC服务、QoS服务和其他无线策略外,还将通过CAPWAP隧道和网络交换矩阵模式的无线控制器建立关联。网络交换矩阵模式的无线接入点以本地模式加入,并且必须直接连接到网络交换矩阵边缘节点交换机才能启用网络交换矩阵注册事件,包括通过交换矩阵模式的无线控制器为其分配RLOC。无线接入点被网络交换矩阵边缘节点识别为特殊的有线主机,并被分配到一个独有的叠加网络中,该叠加网络跨越整个网络交换矩阵并具备共同的EID空间。这一方式允许通过使用单个子网来构建无线接入点的基础结构,以便简化其管理任务。

当无线客户端连接到网络交换矩阵模式的无线接入点且通过成功的身份验证连接到支持交换矩阵模式的无线局域网中时,无线控制器将使用客户端第二层VNID标签信息和ISE提供的SGT标签信息更新交换矩阵模式的无线接入点,无线控制器作为网络交换矩阵边缘节点交换机的代理,将无线客户端第二层EID信息注册到网络交换矩阵控制平面中。建立初始连接后,交换矩阵模式的无线接入点使用第二层VNI信息对无线客户端通信进行VXLAN封装,发往直连的网络交换矩阵边缘交换机。网络交换矩阵边缘交换机将客户端流量映射到与该VNI相关联的VLAN接口,以便在网络交换矩阵中进行转发,并向控制平面主机跟踪数据库注册无线客户端的IP地址。

2.3.8 用户终端

连接到网络交换矩阵边缘节点的设备称为终端(EP)。终端可能是直接连接到网络交换矩阵边缘节点的有线客户端、连接到网络交换矩阵模式的无线接入点的无线客户端,或者是通过软件定义访问扩展节点二层网络连接的客户端。

2.3.9 身份服务引擎

思科ISE(身份服务引擎)作为网络安全访问平台,能够增强用户和终端设备访问网络时的安全管理意识,保证安全策略的控制和一致性。ISE的职责是实施安全策略,是软件定义访问不可或缺的组成部分,它可以将用户和终端设备动态地映射到可扩展组并简化端到端安全策略的实施。通过在ISE上使用思科平台交换架构(pxGrid)和REST API与DNA中心集成,两者互相交换客户端信息并自动完成与网络交换矩阵相关的配置,同时,通过ISE图形化界面,网络用户和终端设备将以简单灵活的形式呈现出来。软件定义访问解决方案集成了思科TrustSec来实现基于组的端到端策略,在支持虚拟网络的同时于VXLAN报头中加入用于数据平面通信的可扩展组信息。组、策略、身份验证、授权和计费(AAA)服务以及终端类型分析都是由ISE驱动并由DNA中心的策略制定工作流程进行编排的。

可扩展组以SGT进行标识,SGT是VXLAN报头中的一个16位字段。SGT由思科ISE集中定义、创建和管理。ISE和DNA中心通过REST API紧密集成,组策略的管理由DNA中心驱动(如图2-10所示)。

图2-10 DNA中心和身份服务引擎集成

ISE支持独立和分布式部署模型。此外,ISE可以将多个分布式节点集成在一起并支持故障失效备援。ISE支持高达几十万客户端和用户的数量,其对于软件定义访问的设备指标将在后面进行介绍。对于软件定义访问最低限度的部署建议是:至少采用双ISE节点,每个ISE节点都运行所有的服务并互相冗余。

软件定义访问网络交换矩阵边缘节点交换机将身份验证请求发送到ISE的策略服务节点(PSN)。在独立部署以及具备或不具备节点冗余的情况下,PSN均由单个IP地址代表。ISE分布式部署模型使用多个活动的PSN,每个PSN都有一个唯一的IP地址。所有的PSN地址都是通过DNA中心学习到的,DNA中心再将网络交换矩阵边缘节点交换机映射到各个PSN。

2.3.10 DNA中心

DNA中心是软件定义访问解决方案的命令和控制系统,并提供部署和管理软件定义访问网络交换矩阵所需的自动化工作流程。DNA中心是一个集中式操作平台,用于企业局域网、无线局域网和广域网环境的端到端自动化和运维保障,以及与外部解决方案和作用域协调。它为网络管理员提供了使用单一界面来管理和自动化操作网络。DNA中心为IT操作员提供了直观的自动化操作和运维工作流程,使网络设置和策略变得简单易用,主动监测、端到端可视性保证了网络运维的一致性和高可靠性,从而为用户提供优质的用户体验。

DNA中心在网络交换矩阵部署中提供了自动化和网络保障的功能。DNA中心也可以为混合网络部署和新建项目的网络部署提供服务。对于软件定义访问网络交换矩阵,思科DNA中心提供了用于建立和操作软件定义访问网络交换矩阵的集中式管理平面。管理平面负责交付配置和策略分发,以及设备的管理和分析。

DNA中心还提供了基于组的策略的定义和管理,以及所有与策略相关的配置的自动化。DNA中心直接与思科ISE集成,以提供终端主机联网和策略执行的能力。

DNA中心的设计原则是可扩展性,以支持大规模的企业网络部署的需求。它由网络控制器和数据分析功能栈组成,为用户提供管理和自动化网络的统一平台。DNA中心使用可扩展性极强的微服务架构来构建,用户可以按需扩展和部署。DNA中心的一些关键亮点包括:

(1)通过在现有的集群中添加更多的DNA中心节点来进行水平扩展;

(2)硬件组件和软件包的高可用性机制;

(3)备份和恢复机制,支持灾难恢复场景;

(4)基于角色的访问控制机制,基于角色和职责范围对用户区分访问;

(5)可编程接口,将生态系统合作伙伴和独立软件开发商的开发人员与DNA中心整合;

(6)DNA中心的更新升级基于云来完成,用户能够无缝地升级现有功能并添加新的功能包和应用程序,而无须手动下载和安装。

思科DNA中心架构如图2-11所示。

图2-11 思科DNA中心架构

DNA中心是软件定义访问解决方案的自动化功能核心,是软件定义访问的控制器,提供网络规划和准备、安装配置和集成,乃至智能运维的全生命周期服务。软件定义访问只是在DNA中心运行的许多软件应用程序包之一。

DNA中心集中化管理包含4个主要工作流程(如图2-12所示)。

图2-12 思科DNA中心工作流程

(1)设计。设备全局设置、物理设备的网络站点配置、DNS、DHCP、IP寻址、软件映像管理、即插即用和用户访问。

(2)策略。定义业务意图以便在网络中进行调配,包括创建虚拟网络,将用户终端分配到虚拟网络,以及为组定义策略合同。

(3)配置部署。对设备进行配置以进行管理,创建网络交换矩阵域,定义控制平面节点、边界节点、边缘节点、交换矩阵模式无线网络、传统无线网络和网络交换矩阵外部连接。

(4)网络保障。启用智能运维手段,包括网络健康评估仪表板、客户端/网络设备/应用的360°全景视图、网络节点、客户端和路径跟踪。

DNA中心支持开放式API,提供一套完整、全面的北向REST API,实现网络的自动化、第三方服务集成和在此之上的其他创新。例如,我们通过DNA中心将Infoblox IP地址的管理和策略实施与ISE集成。

(1)所有控制器功能都可以通过北向REST API获得。

(2)可以与生态系统合作伙伴一起轻松地开发并构建新的应用程序。

(3)所有北向REST API请求都通过控制器的基于角色的访问控制机制进行安全管理。

DNA中心作为平台的扩展能力如图2-13所示。

图2-13 DNA中心作为平台的扩展能力

思科DNA中心控制器软件与软件定义访问应用程序包运行在思科DNA中心物理装置上。该装置具有通用的外形尺寸,不仅可以支持软件定义访问应用程序,还可以提供网络运维保障及更多的创新功能。为了实现高可用性,DNA中心可以组成集群并在集群中使用多个物理装置。

DNA中心是将设备自动部署到网络中的关键要素,还提供了确保运营效率所需的速度和一致性。在部署和维护网络时,DNA中心能够让你从更低的成本和风险中获益。

DNA中心有两个主要功能:自动化和运维保障。

1. 自动化和业务流程编排

自动化一般定义为在没有人工帮助的情况下执行某项操作或任务的技术或系统。单个任务可能需要多个操作来完成,但会有一个预期的结果。业务流程编排对整个工作流或进程进行自动化,可能需要多个相关任务并涉及多个系统,这就是行业术语“软件定义”所讲的对于企业园区“访问”网络环境的自动化和编排,以及将用户的“意图”转换为有意义的配置和验证任务。

那么,它们是如何应用于软件定义访问的呢?思科DNA使用基于控制器的自动化作为主要配置和业务流程编排模型,为网络交换矩阵和非网络交换矩阵的有线和无线网络组件提供设计、部署、验证和优化服务。DNA中心完全管理网络的基础结构,IT团队现在可以在抽象的基于意图的层面上进行操作而不必担心实现细节。这大大简化了IT团队的操作,通过最小化人为错误的概率,更容易实现整个网络设计的标准化。

DNA中心自动化工作流程的主要目标是将网络管理员的业务意图转换为设备特定的网络配置。从控制器的角度来看,DNA中心由网络信息数据库、策略和自动化引擎以及网络编排工具组成。控制器具有发现网络基础结构并周期性地扫描网络以创建网络真实信息源的能力,该信息源不仅包括网络设备细节、在系统上运行的软件映像、网络设置、站点定义、设备到站点的映射信息等,还包括网络设备映射的物理拓扑信息以及详细的设备级数据,所有这些信息都存储在控制器的网络信息数据库中。

策略引擎为服务质量/应用程序体验和访问控制策略提供跨企业网络的各种策略。自动化引擎使用服务和策略框架并利用特定于设备的数据模型等为整个企业网络提供抽象层。网络编排工具最终完成具体设备的配置工作。

2. 运维保障

网络保障根据全面的网络分析,从网络的角度量化可用性和风险。除了一般性网络管理之外,网络保障还会测量网络更改对安全性、可用性和法规遵从性的影响。DNA中心网络保障按照完整的网络管理和操作解决方案来设计和开发,以解决客户面临的最常见的挑战。思科DNA中心为非网络交换矩阵和网络交换矩阵的组件提供多种形式和层次的保障和分析。

DNA网络保障的关键因素是分析部分:不断收集网络数据并将其转化为可操作的洞察力的能力。为了实现这一点,DNA中心采用了各种网络遥测方式收集数据,包括传统的形式(如SNMP、NetFlow、系统日志等)和新兴形式(NETCONG/YANG、流式遥感遥测等)。然后,DNA网络保障执行高级处理以评估和关联事件,持续监视设备、用户和应用程序的执行方式。

数据的相关性在这里是关键,因为它允许在软件定义访问网络交换矩阵的叠加网络和底层网络部分进行故障排除并分析网络性能。其他解决方案缺少这样的相关性,通常无法看到可能影响叠加网络性能的底层网络的通信问题。通过对网络交换矩阵的增强感知,提供对底层网络和叠加网络通信模式和使用的相关可见性,软件定义访问可确保在部署网络交换矩阵时的全网可见性不会受到损害。

DNA中心使用先进的机器学习和分析方法,通过智能学习网络基础设施、连接到网络的客户端和其他情境信息来提供端到端的网络可见性。DNA中心具备内置的数据采集器框架,能够摄取各种信息的源数据。

所有的网络基础设施数据都是通过最新的流式遥测机制获得的,这些机制在设计之初就是为了优化网络负载并减少从网络层接收数据的延迟而进行的。除此之外,数据收集器还可以用来从各种相关系统收集数据,如思科ISE、ITSM和IPAM系统。收集器在网络设备能力的基础上动态部署,并且可以根据需要进行水平扩展。

所有这些数据都使用时间序列分析、复杂事件处理和机器学习算法进行实时处理和情境化关联,然后数据存储在DNA中心内,以便通过保障工作流程提供有意义的保障、故障排除、可视性和趋势信息。