Программно-определяемые сети (SDN)
- Коммутаторы
- 1. В чем основные отличия между коммутаторами серии Cisco Catalyst 2960?
- 2. Какова линейка коммутаторов Cisco Catalyst 1000?
- 3. Какова линейка коммутаторов Cisco Catalyst 9000?
- 4. Какой коммутатор покупать, 2960X или 9200L/9200?
- 5. В чём различие между коммутаторами Cisco Nexus 9300-EX, 9300-FX/FX2/FX3 и 9300-GX?
- 6. Чем отличается LAN Lite от LAN Base для коммутаторов Cisco Catalyst 2960-X?
- 7. Какой набор функций поддерживается на Cisco Catalyst 2960-L?
- 8. Чем отличается IP Lite для 2960-XR от IP Base для остальных моделей 2960?
- 9. Какова схема лицензирования коммутаторов Cisco Catalyst 9000?
- 10. Какова схема лицензирования коммутаторов Cisco Nexus 9300/9500?
- Порты
- 11. Какие варианты соединения на скорости более 1 Гбит/с доступны на оборудовании Cisco для технологии Ethernet?
- 12. Можно ли установить в оборудование Cisco SFP (SFP+) трансиверы других производителей?
- 13. Как подключить сервер к коммутатору Cisco на скорости 10 Гбит/с?
- 14. Какие типы трансиверов формата SFP доступны на оборудовании Cisco?
- Стекирование
- 15. Какие преимущества предоставляет стекирование?
- 16. Какие технологии стекирования/кластеризации коммутаторов поддерживаются на оборудовании Cisco?
- 17. Поддерживается ли стекирование в коммутаторах Cisco Nexus?
- 18. Можно ли агрегировать порты (объединять в один логический канал) подключённые к двум разным коммутаторам Cisco?
- Питание
- 19. Как обеспечить резервное питание для оборудования Cisco?
- 20. Что такое RPS 2300 и XPS 2200?
- 21. Какие технологии передачи питания по Ethernet поддерживаются на оборудовании Cisco?
- Маршрутизаторы
- 22. Можно ли монтировать в стойку маршрутизаторы Cisco 880/890/900/1100/4000?
- 23. Что такое маршрутизаторы Cisco ISR 4000 Series?
- 24. Что такое маршрутизаторы Cisco Catalyst 8000?
- 25. Какой функционал отсутствует в IOS XE для Cisco ISR 4000?
- 26. В чём разница между ISR11xx и ISR4xx?
- 27. Какова схема лицензирования программного обеспечения IOS для маршрутизаторов серии ISR 900?
- 28. Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 1000?
- 29. Какова схема лицензирования программного обеспечения IOS XE для маршрутизаторов серии ISR 4000?
- 30. Какова схема лицензирования маршрутизаторов Cisco на основе подписок DNA?
- 31. Поддерживает ли маршрутизатор Cisco с лицензией IP Base функционал IP SLA?
- Производительность
- 32. Какова производительность маршрутизаторов Cisco ISR G2?
- 33. Какова производительность маршрутизаторов Cisco ISR 1000?
- 34. Какова производительность маршрутизаторов Cisco ISR 4000?
- 35. Какова производительность маршрутизаторов Cisco Catalyst 8000?
- Старые модели устройств
- 36. Чем отличаются коммутаторы Cisco Catalyst 3650 и 3850?
- 37. Как лицензируются коммутаторы серии Cisco Catalyst 3650, 3560X/3750X и 3850?
- 38. Чем отличается LAN Lite от LAN Base для коммутаторов Cisco Catalyst 2960 следующих серий: 2960, 2960-S, 2960-SF, 2960-Plus?
- 39. В чем основные отличия между коммутаторами 3560V2, 3560G, 3560E и 3560X?
- 40. В чем основные отличия между коммутаторами 3750V2, 3750G, 3750E и 3750X?
- 41. Что означает «Standard Image» (IP Base) и «Enhanced Image» (IP Services) в описании коммутаторов серии 3560 и 3750. В чем разница?
- Архитектура и технологии
- 1. Какие основные преимущества дает использование контроллера беспроводной сети?
- 2. Что такое Wi-Fi 6? В чем его отличие от других стандартов?
- 3. Что такое Wi-fi 6E?
- 4. В чем основные преимущества использования технологий CleanAir и ClientLink на оборудовании Cisco?
- 5. Как оборудование Cisco помогает бороться с помехами в беспроводной сети?
- Точки доступа
- 6. В чем особенность точек доступа Catalyst 9100? В чем их отличия между собой?
- 7. В чем отличие точек доступа х800 между собой?
- 8. Есть ли у Cisco всепогодные точки доступа корпоративного класса?
- 9. Что означает R в партномере точки доступа C9120AXI-R-K9?
- 10. Какие варианты питания точек доступа Cisco 9100 существуют?
- Контроллеры
- 11. Что представляют собой контроллеры Cisco Catalyst 9800?
- 12. Контроллеры Cisco Catalyst 9800. Какие архитектуры поддерживаются, какие модели бывают?
- 13. Контроллер поддерживает работу точек доступа только в локальной сети?
- 14. Как лицензируются контроллеры Cisco Catalyst 9800?
- 15. Какие точки доступа поддерживаются на контроллерах Cisco Catalyst 9800?
- 16. Каковы особенности использования контроллера на точке доступа?
- 17. Какие решения из линейки 9800 предлагаются на замену устаревшим контроллерам?
- 18. Поддерживаются ли новые точки доступа на старых контроллерах? Как мигрировать старую инфраструктуру на Cisco Catalyst 9800?
- 19. Как резервируется контроллер на базе EWC? Какие варианты резервирования (High-Availability) контроллеров серии 9800 существуют?
- Устаревшие продукты и технологии
- 20. В чем отличие точек доступа Cisco Aironet 1810/1810W?
- 21. Какие архитектуры построения беспроводной сети на базе оборудования Cisco существуют?
- 22. В чем ключевые особенности и преимущества использования стандарта 802.11ac? В чем отличие 802.11ac wave 1 от 802.11ac wave 2?
- 23. Чем отличаются друг от друга контроллеры серий 2500, 3500, 5500, vWLC?
- 24. Какие варианты резервирования контроллеров серии 2500, 3500, 5500, 7500, 8500, vWLC существуют?
- 25. В чем отличие точек доступа x700 и x800?
- 26. Какие варианты питания точек доступа Cisco существуют (серии х700, х800)?
- 27. Какие функции поддерживаются в Mobility Express?
- 28. Какие точки доступа поддерживают работу в режиме Cisco Mobility Express?
- 29. Могу ли я подключить точку доступа с поддержкой Mobility Express к полноценному контроллеру? Можно ли установить на ТД с Mobility Express «автономное» ПО?
- 30. Почему после обновления ПО контроллера точки доступа не могут зарегистрироваться на контроллере?
- 1. Существует два разных решения по IP-телефонии на базе CUCM и CUCMe. Каковы основные различия между решениями?
- 2. Какова схема лицензирования CUCMe (версии 12.0 и выше)?
- 3. На какие серверы можно установить решение Cisco Unified Communication Manager (CUCM)?
- 4. Какова схема лицензирования для решения Cisco Unified Communication Manager (CUCM)?
- 5. Что такое Cisco Business Edition?
- 6. Что такое BE 6000?
- 7. Что такое BE 7000?
- 8. Требуется телефон для возможности совершения видео-звонков. Какие основные варианты существуют?
- 9. Какие существуют способы обеспечить электропитание для IP-телефонов Cisco? В чем преимущество каждого из способов?
- 10. Что такое PVDM?
- 11. Какие модули PVDM можно устанавливать в маршрутизаторы Cisco разных поколений?
- 12. Работают ли 3rd Party SIP телефоны с Cisco CUCM?
- 13. Более выгодная покупка – CUCM Express или BE6000?
- 14. Какие варианты организации автосекретаря (IVR) возможны на базе решений Cisco?
- 15. Какие существуют технологии записи разговоров для IP-телефонии?
- 16. Какие телефоны не поддерживаются в современных версиях Cisco Unified Communication Manager (UCM)?
- Общие вопросы
- 1. Что такое NPE?
- 2. Почему возникли проблемы с поставкой крипто-содержащего оборудования на территорию РФ?
- 3. Что означает категория C1, C2, С3 и С4?
- 4. Можно ли ввезти крипто-содержащее оборудование на территорию РФ?
- 5. Что требуется от заказчика для ввоза криптосодержащего оборудования из категории C3?
- 6. Что означает K7, K8 и K9 в парт-номере ASA5500? Почему можно без проблем заказывать только K7 и K8?
- 7. Как может быть использовано оборудование Cisco совместно с другими производителями при выполнении функций шифрования?
- 8. Какие варианты организации защищенного VPN соединения в центральном офисе на базе маршрутизатора Cisco существуют?
- 9. Требуется решение для подключения дополнительного офиса с поддержкой стойкой шифрации. Какие возможны варианты?
- 10. Какие решения компании Cisco могут использоваться для защиты персональных данных в рамках ФЗ №152 и СТО БР ИББС?
- 11. Можно ли использовать технологию DMVPN совместно с сертифицированными средствами криптозащиты информации (СКЗИ)?
- 12. Можно ли защитить мобильное устройство под управлением Apple iOS или Android, используя технологии Cisco?
- 13. Что такое Advanced Malware Protection (AMP)?
- 14. На что заменить Microsoft ISA/TMG сервер?
- Cisco ASA / IronPort
- 15. В чем отличие устройства безопасности Cisco ASA от маршрутизатора Cisco ISR? В каком случае лучше приобрести маршрутизатор, а в каком – межсетевой экран?
- 16. Какая схема лицензирования устройств Cisco ASA серии 5500?
- 17. Можно ли подключить межсетевой экран ASA к двум или более интернет-провайдерам, используя статическую маршрутизацию?
- 18. Почему не заработал ASDM на ASA?
- 19. Можно ли использовать сервис Cisco AnyConnect SSL VPN на ASA K8?
- 20. Какие варианты VPN Remote Access предоставляет ASA 5500-X
- 21. Каковы особенности моделей Cisco ASA 5506-X, 5508-X и 5516-Х?
- 22. Может ли ASA 5500-X использоваться как средство антивирусной защиты на периметре корпоративной сети?
- 23. Какова схема лицензирования Cisco AnyConnect?
- 24. Каковы основные отличия Next Generation Firewall и Web-шлюза Cisco WSA (Web Security Appliance)?
- 25. Как устройства IronPort обеспечивают высокую доступность?
- Next-Generation Firewall
- 26. Какие решения Next-Generation Firewall (NGFW) предлагает компания Cisco?
- 27. Какие преимущества даёт запуск функций NGFW на Cisco Secure Firewall?
- 28. Какие варианты операционных систем используются в решениях Cisco Secure Firewall?
- 29. Что такое Firewall Threat Defense (FTD)?
- 30. Какие варианты систем управления могут быть использованы для решений Cisco ASA и Cisco Firepower?
- 31. В чём отличие между Firepower Device Management (FDM) и Firewall Management Center (FMC)?
- 32. Что такое Cisco Firepower 1000/2100/3100/4000/9000?
- 33. Cisco Firepower или ASA?
- 34. Firepower Management Center 6.X. Что нового?
- 35. Firewall Management Center 7.X. Что нового?
- 36. Как решение Firepower взаимодействует с облачными сервисами Cisco (Облако AMP, Threat Grid, URL)?
- 37. Что случится если откажет FMC?
- 38. Есть ли у Cisco Secure Firewall (FirePOWER/FTD) ASA55xx-X или FPRxxx сертификаты ФСТЭК?
- Cisco Umbrella
- 39. Как лицензируется Cisco Umbrella?
- 40. Какова схема работы Cisco Umbrella?
- Cisco ISE
- 41. Что умеет решение Cisco ISE?
- 42. Что такое Cisco ISE-PIC?
- Устаревшие решения
- 43. Какие подписки на обновления необходимы, если на ASA 5500-Х реализуется какая-либо антивирусная защита?
- 44. Можно ли считать ASA5506 прямой заменой ASA5505?
- 45. Как запустить сервисы FirePOWER на ASA 5500-X?
- 46. В чём отличие между использованием ASDM и Firepower Management Center (Defence Center, FireSIGHT) для управления сервисами FirePOWER на Cisco ASA?
- Общие сведения
- 1. Какие решения на базе программно-определяемых сетей предлагает компания Cisco?
- SD-WAN
- 2. Что такое SD-WAN?
- 3. Какие преимущества даёт внедрение SD-WAN?
- 4. Какие решения являются обязательными для построения SD-WAN?
- 5. Почему стоит перейти на SD-WAN?
- 6. Что будет, если откажет контроллер SD-WAN?
- 7. Как обеспечивается отказоустойчивость решения SD-WAN?
- 8. Что необходимо для запуска расширенных функций безопасности?
- 9. Что такое OMP?
- SD-Access
- 10. Какие преимущества даёт внедрение SD-Access?
- 11. Какие решения являются обязательными для построения SD-Access?
- ACI
- 12. Какие преимущества даёт внедрение ACI?
- 13. Какие решения являются обязательными для построения фабрики ACI?
- 1. Каковы основные преимущества расширенной гарантии (контракта Cisco SmartNet)?
- 2. Как получить доступ к Вашему сервис-контракту Cisco SmartNet?
- 3. Что такое Cisco Smart Software Licensing?
- 4. Что такое Smart Accounts? И почему необходим Smart Account?
- 5. Управление Smart Accounts.
- 6. Как создать и настроить Smart Account?
- 7. Доступ на портал Cisco Smart Software Manager
- 8. Как правильно задать имя компании на сайте Cisco, при создании нового профиля пользователя?
Какие решения на базе программно-определяемых сетей предлагает компания Cisco?
Компания Cisco предлагает следующие решения на базе SDN:
- SD-Access – решение по построению кампусной сети (проводной и беспроводной). В качестве контролера использует Cisco DNA Center. Контроллер является аплайнсом, который размещается локально на площадке заказчика.
- SD-WAN – решение по построению распределённой WAN сети, работающей поверх любых каналов связи (Интернет, выделенные каналы, пр.). У компании Cisco доступно два решения: SD-WAN Viptela и SD-WAN Meraki. SD-WAN Viptela поддерживает как облачное, так и локальное размещение контроллеров (в виде виртуальных машин). Решение SD-WAN Meraki – только облачный вариант.
- ACI – решение по построению сред для обработки данных (ЦОД). Контроллер - Cisco APIC (Cisco Application Policy Infrastructure Controller). Поддерживает как облачное (Amazon Web Services), так и локальное размещение (в виде аплайнса).
Что такое SD-WAN?
SD-WAN - программно-определяемая WAN-сеть. SD-WAN позволяет связать удалённые в офисы в единую сеть. Ключевое отличие от традиционной WAN сети заключается в наличии централизованного «мозга» (control-plane). В терминах SD-WAN – это контроллер(ы).
Такая централизация обеспечивает упрощение при настройке, мониторинге, а также крайне гибкую функциональность в работе WAN сегмента.
SD-WAN – это общий термин, который не принадлежит контрактному вендору и не является стандартном. Это концепция.
У Cisco SD-WAN представлен двумя решениями: Viptela SD-WAN и Meraki SD-WAN. Каждое из них работает по своим принципам, но со схожей функциональностью. Когда мы говорим про Cisco SD-WAN, чаще всего речь идёт про решение Viptela.
Viptela SD-WAN обладает богатой функциональностью и высокой степенью кастомизации. Контроллеры могут размещаться как в облаке Cisco, так и на площадке/в облаке заказчика (on-premise). Meraki SD-WAN работает только в облаке Cisco и предоставляет интуитивно понятный интерфейс управления.
Какие преимущества даёт внедрение SD-WAN?
SD-WAN пришёл на смену таким технологиям как DMVPN и iWAN. Данное решение используется для построения защищённой распределённой сети поверх любых каналов связи.
SD-WAN использует три контроллера, отвечающие за работу всего решения, - это vSmart, vManage и vBond. Каждый из них является обязательным элементом. Контроллер vSmart отвечает за распространение политик на устройства. Через vManage осуществляется управление решением. vBond отвечает за связность устройств (аутентификацию, авторизацию, списки устройств и пр.).
Основные преимущества SD-WAN:
- Автоматизация процессов настройки (Zero Touch Provisioning): новые устройства автоматически загружают на себя конфигурацию, что существенно уменьшает время запуска новых офисов.
- Упрощение администрирования оборудования: централизация настроек – единый портал для всех устройств, гибкая схема шаблонов.
- Всестороння аналитика работы WAN сети: телеметрия оборудования, загрузка каналов, качество каналов, разбор трафика по приложениям и пр.
- Сегментация и гибкая схема топологий: решение нативно поддерживает сегментацию трафика внутри VPN. На логическом уровне возможно использовать различные топологии VPN: полно связную (Full-mesh), централизованную (Hub-and-Spoke), частично связанную (Partial Mesh) и точка-точка (Point-to-Point).
-
Интеллектуальная маршрутизация трафика: для разного типа трафика мы можем задать свои критерии маршрутизации, принимая во внимание различные параметры сети.
- Маршрутизация трафика с учетом качества каналов связи: потери пакетов, задержки, джиттер.
- Гибкая схема маршрутизации: фильтрация маршрутов, подстановка next-hop’ов, маршрутизация на основе L3/L4/L7 параметров трафика и пр.
- Выстраивание сервисных цепочек: принудительная маршрутизация трафика через сервисные узлы (МСЭ, балансировщики и пр.).
- Встроенные средства безопасности: FW, IPS, AMP, URL-фильтрация.
- Оптимизация трафика.
- Высокий уровень масштабируемости и отказоустойчивости.
Какие решения являются обязательными для построения SD-WAN?
- Контролеры vManage, vBond и vSmart. Поддерживают как облачное (AWS, Azure, Google Cloud Platform), так и локальное размещение (ESXi или KVM).
- Сетевые устройства: Cisco ISR 1100 и 4000, Catalyst 8000, ASR 1000, vEdge, ISRv, CRS 1000v.
- Подписка на каждое сетевое устройство: Cisco DNA Essentials, Advantage или Premier. Набор поддерживаемых сервисов определяется типом подписки.
До версии Cisco IOS XE 17.2.1 для работы в экосистеме SD-WAN на сетевом устройстве устанавливается специализированная прошивка (SD-WAN Integrated IOS XE). Начиная с версии 17.2.1 образ операционной системы единый, как для независимого режима работы, так и в составе SD-WAN.
Почему стоит перейти на SD-WAN?
Централизация управления и минимизация времени внедрения новых офисов позволяет существенно сократить временные затраты на администрирование WAN-сети.
Больше не нужно заходить на каждое устройство в отдельности. Все устройства настраиваются через шаблоны, а политики применяются централизовано. Это обеспечивает автоматизацию выполнения рутинных операций.
Для подключения нового офиса достаточно загрузить его уникальные атрибуты (IP-адреса, названия и пр.) и применить нужные шаблоны. Далее подключив устройство к сети с минимальными настройками, оно устанавливает связь с контроллерами и автоматически загружает конфигурацию.
Интеллектуальная маршрутизация трафика и защита от потерь пакетов существенно повышает качество работы сети.
Система фиксирует не просто отказ канала связи, а даже незначительную деградацию качества его работы. И далее при необходимости может переключить трафик на другой канал или использовать корректирую потерю пактов технологию (дублирование трафика или внесение избыточности для восстановления потерь).
Централизованный всесторонний мониторинг позволяет повысить надёжность работы сети.
В режиме реального времени мы видим состояние устройств, качество каналов связи, их загрузку и пр. информацию.
Встроенные средства безопасности снижает риски со стороны информационной безопасности без затрат на установку и обслуживания дополнительного оборудования. Кроме полного шифрования всех передаваемых данных в WAN сети, каждый WAN Edge маршрутизатор можно превратить в полноценный NGFW.
Что будет, если откажет контроллер SD-WAN?
В первую очередь данный вопрос актуален при размещении контроллеров SD-WAN на площадке/в облаке у заказчика.
Так как типов контроллеров несколько, последствия будут разными. Но во всех случаях сеть продолжит передавать трафик.
vManage – потеряется возможность управления сетью и станет недоступен мониторинг.
vSmart – перестанут обновляться маршруты, политики, ключи шифрования. Т.е. сеть будет работать в том состоянии, к-е было на момент отказа как минимум 24 часа (этот период можно увеличить до 14 дней).
vBond – к сети невозможно будет подключить, как новые устройства, так и текущие в случае их перезагрузки.
Если используются контроллеры в облаке Cisco, то вероятность их отказа крайне низка. Но есть шанс полной потери связи с облаком, что будет эквивалентно отказу всех контроллеров. Соответственно и последствия будут идентичными.
Как обеспечивается отказоустойчивость решения SD-WAN?
Если контроллеры размещены в облаке Cisco, то все вопросы обеспечения отказоустойчивости контролёров SD-WAN находятся в ведении вендора и конечному пользователю задумывать об этом не нужно.
При размещении контроллеров SD-WAN на площадке/в облаке у заказчика (так называемый on-premise вариант), вся ответственность за обеспечение отказоустойчивости контроллеров SD-WAN ложится на плечи заказчика.
Для каждого контроллера схема реализации отказоустойчивости своя:
- vManage.
- Если у нас относительно небольшое количество пограничных маршрутизаторов (WAN Edge router), то рекомендованная схема – Active/Cold Standby. В этом случае поднимается резервный vManage с выключенными интерфейсами. Далее на него с некой периодичностью с активной ноды копируется база данных (вручную или через скрипт).
- Если наша сеть включает большое количество пограничных маршрутизаторов, то рекомендованная схема – кластер из vManage (минимум 3 шт.). vManage в рамках кластера полностью синхронизируют данные между собой. WAN Edge получает информацию обо всех vManage через vBond и подключается к одному из них.
- vSmart. Поднимается два или более независимых узла vSmart. Данные между ними синхронизируются через протокол OMP. WAN Edge получает информацию обо всех vSmart через vBond и подключается к одному из них.
- vBond. Поднимается два или более независимых узла vBond. Они никак не синхронизируют информацию между собой. Это им и не требуется. Всё данные для работы они получают с vManage. В DNS для одной A-записи прописываются IP-адреса всех vBond. Далее благодаря механизму round-robin в DNS WAN Edge подключается к одному из vBond.
Кроме встроенных средств обеспечения отказоустойчивости можно использовать средства, предоставляемые платформой виртуализации. Но в этом случае мы не получаем гарантии, что после нештатного отключения контроллер поднимется корректно.
Отказоустойчивость маршрутизаторов WAN Edge в сторону локальной сети обеспечивается динамической маршрутизацией (BGP/OSPF/EIGRP) или протоколом VRRP. В сторону WAN – динамической маршрутизацией на базе протокола OMP.
Что необходимо для запуска расширенных функций безопасности?
Расширенные функции безопасности это:
- URL-фильтрация,
- ретроспективный анализ файлов на базе Cisco AMP,
- IPS.
Для их запуска необходима подписка DNA и аппаратные ресурсы на маршрутизаторе.
С точки зрения подписок для работы IPS достаточно DNA Essentials. Для URL/AMP – DNA Advantage/Premier.
Так как данные функции запускаются в отдельном контейнере (LxC), на маршрутизаторе минимально должно быть 8 GB RAM и 8 GB Flash.
Что такое OMP?
OMP (Overlay Management Protocol) – протокол динамической маршрутизации созданный на базе протокола BGP. Данный протокол используется между контроллерами vSmart, а также между vSmart и маршрутизаторами WAN Edge.
OMP работает поверх DTLS. Также, как и другие протоколы динамической маршрутизации OMP имеет Administrative Distance, которая для OMP равна 250.
OMP используется для передачи информации о:
- префиксах (маршрутах),
- ключах шифрования,
- сервисных маршрутах (например, до FW/IPS/пр.),
- TLOC*-адресах,
- политиках (application-routing, cflow, data policy).
* TLOC состоит из системного IP-адреса маршрутизатора (system IP), типа интерфейса (link color) и типа инкапсуляции (IPSec или GRE).
Какие преимущества даёт внедрение SD-Access?
SD-Access – программно-определяемая сеть. Ключевым элементом которой является контроллер Cisco DNA Center. Именно он отвечает за работу сети. SD-Access позволяет сетевому администратору абстрагироваться от конкретных технологий и полностью сфокусироваться на настройке сети под требования бизнеса через user-friendly интерфейс. Администратор теперь оперирует абстракциями. А уже контроллер переводит их в машинный язык, т.е. набор команд на сетевом оборудовании.
Основными преимуществами SD-Access являются:
- Автоматизация процессов настройки и администрирования оборудования. Это позволяет снизить временные издержки, а также минимизировать сбои в сети, связанные с человеческим фактором. Автоматизация достигается за счёт контроллера Cisco DNA Center. Именно он выполняет все функции автоматизации и оркестрации.
- Полная сегментация сети. При подключении устройств к сети происходит их аутентификация и авторизация (802.1x, Active Directory и пр.). Применение политик позволяет гранулярно предоставить доступ к сетевым ресурсам и обеспечить высокий уровень локализации трафика. Для решения данной задачи используются технологии Cisco TrustSec, VRF и пр.
- Прозрачность работы сети:
- единые политики для проводной и беспородной сети,
- единая точка контроля за сетью (Cisco DNA Center) и визуализация её работы,
- глубокий мониторинг в связке с машинным обучением позволяет обеспечить преактивную работу сети; минимизация времени на решение инцидентов в сети.
Какие решения являются обязательными для построения SD-Access?
- DNA Center на базе физического сервера Cisco (аплайнс),
- Решение ISE (в виде аплайнса или виртуальной машины) с необходимым набором лицензий (Basic и Plus),
- Сетевая инфраструктура: коммутаторы, маршрутизаторы (опц.), точки доступа с контроллерами (опц.).
- Подписка на каждое сетевое устройство: Cisco DNA Advantage или Cisco DNA Premier.
Основными коммутаторами инфраструктуры SD-Access являются Cisco Catalyst 9000. Также могут быть использованы коммутаторы Cisco Catalyst 3850, 4500e, 6500, 6800 и Nexus 7700.
Маршрутизаторы – Cisco ISR 4000, ASR 1000 и CRS 1000v.
Беспроводная инфраструктура: точки доступа x700, x800, 9100; котроллеры 3504, 5520, 8540, 9800.
Так называемая underlay-сеть (транзитная сеть, связывающая между собой fabric edge, fabric border и control plane устройств) может быть построена на любом коммутационном оборудовании. Однако, эта сеть должна быть L3, т.е. обеспечивать маршрутизацию трафика между устройствами SD-Access фабрики. В идеале она должна поддерживать работу протокола IS-IS, что позволить автоматизировать настройку данного оборудования с помощью DNA Center.
Какие преимущества даёт внедрение ACI?
Фабрика ACI используется для построения сети ЦОД.
Основные преимущества фабрики ACI:
- Автоматизация процессов настройки и администрирования.
- Всестороння аналитика работы сети ЦОД.
- Сегментация на всех уровнях работы сети позволяет строить многопользовательскую среду.
- Интеграция со сторонними системами: поддержка различных API-интерфейсов.