網工基礎 | SDN（1）思科SD-Access
SD-Access是什麼？
SD-Access（SoftwareDefined Access）軟體定義的接入，如同SD-WAN，ACI一樣，SDA是透過軟體的方式來定義企業網路。
在一個整合化的控制平台，運作維與管理，統一下發策略、網路設備配置等。
透過將網路功能與硬體分離，SD-Access 可實現開放性和可擴展性並降低營運成本，並在此基礎上確保策略一致性，促進更快速啟動新業務服務，顯著加快問題解決速度。
SDN的核心理念是轉控分離，而SD-Access Fabric的角色包含Border、CP（Control-Plane）和Edge。
CP節點：管理終端和網路設備關係的映射系統，和LISP協定有關。
Border節點：一個Fabric設備（類比核心設備），用於連接Fabric和外部的3層網路。
Edge節點：一個Fabric設備（類比接取層或分佈層設備）用來連接有線終端。

思科SD-Access優勢

1. 幫助組織獲得安全保護並滿足合規要求：透過端對端分段方法，確保無需重新設計網路即可將使用者、裝置和應用程式流量分開來
2. 改善員工體驗：自動實施使用者存取策略，並對網路中存取任何應用程式的使用者或裝置設定正確的策略
3. 提升營運效率：借助全面整合的單一網路交換矩陣，在任何位置提供一致且不折扣的使用者體驗

SD-Access的五大功能

1. Design-設計
   Global Settings；Site Profiles；DDI、SWIM、PNP；User Access
2. Policy-策略
   Virtual Networks（VN）；ISE、AAA、RADIUS；Endpoint Groups；Group Policies
3. Provision-部署
   Fabric domains；CP、Border、Edge；SDA、OTT WLAN；External Connect
4. ASSURANCE-保障
   Health Dashboard；360° Views；Net、Device、Client；Path Traces
5. 外加API及其他平台的協作
   Underlay－現有傳統的L2/L3網路－Underlay設備僅需配置ISIS（不需要手動設定），配置精簡，穩定，快速橫向擴展，規避STP風險.
   Overlay－邏輯的Fabric網路－透過VxLAN代理VLAN，實現大二層技術，與終端存取位置無關，任意漫遊（透過Anycast Gateway實現）.
   Overlay在網路技術領域，指的是一種網路架構上疊加的虛擬化技術模式，其大體框架是對基礎網路不進行大規模修改的條件下，實現應用在網路上的承載，並能與其他網路業務分離，並以基於IP的基礎網路技術為主。
   Overlay技術是在現有的實體網路之上建立一個虛擬網絡，上層應用只與虛擬網路相關（例如GRE隧道等技術）。
   Overlay網路技術由三個部分組成：
   -邊緣設備：指與虛擬機，終端直接連接的設備
   -控制平面：主要負責虛擬隧道的建立維護以及主機可達性資訊的通告
   -轉送平面：承載Overlay封包的實體網路或VxLAN
   Q1：Fabric如何與傳統（不支援DNAC管理）的網絡連結→L2 Handoff

網工基礎 | SDN（2）思科SD-WAN
什麼是SD-WAN?
SD-WAN 是一種管理 WAN 的軟體定義方法。主要優勢包括：
透過MPLS、4G/5G LTE 和其他連接類型的傳輸獨立性降低成本 。提高應用程式效能並提高敏捷性。優化軟體即服務 ( SaaS ) 和公有雲應用程式的使用者體驗和效率。透過自動化和基於雲端的管理簡化操作。

為什麼現在要使用 SD-WAN？
傳統廣域網
傳統的 WAN（廣域網路）功能是將分行或園區的使用者連接到託管在資料中心伺服器上的應用程式。
通常，使用專用 MPLS 電路來幫助確保安全和可靠的連接。這在以雲端為中心的世界中是行不通的。

當今的 IT 挑戰時代改變了。隨著企業在多個雲端中採用 SaaS 和基礎架構即服務 (IaaS) 應用程序，IT 意識到用戶應用程式體驗很差。
這是因為為不同時代設計的 WAN 還沒有為雲端採用帶來的 WAN 流量的空前爆炸做好準備。此流量導致管理複雜性、應用程式效能不可預測性和資料漏洞。

此外，將企業開放給 Internet 和雲端會暴露出重大的威脅和合規性問題。當包括員工、合作夥伴、承包商、供應商和客人在內的各種員工存取應用程式時，保護企業的關鍵資產極具挑戰性。
在 WAN 上啟用寬頻使安全要求更加嚴格，這給 IT 在平衡使用者體驗、安全性和複雜性方面帶來了挑戰。
新廣域網
新的商業模式推動了對新網路模式的需求。
SD-WAN 解決了目前的 IT 挑戰。這種新的網路連接方法可以降低營運成本並提高多站點部署的資源使用率。
網路管理員可以更有效地使用頻寬，並且可以幫助確保關鍵應用程式的高效能，而不會犧牲安全性或資料隱私。

SD-WAN 有什麼好處？
統的 WAN 架構僅限於企業、分公司和資料中心。一旦組織採用 SaaS 和 IaaS 形式的基於雲端的應用程序，其 WAN 架構就會經歷訪問分佈在全球各地的應用程式的流量爆炸式增長。
這些變化對 IT 有多重影響。 SaaS 應用程式效能問題可能會影響員工的工作效率。
WAN 費用會隨著專用和備用電路的低效率使用而增加。 IT 部門每天都在進行一場複雜的戰鬥，將具有多種類型設備的多種類型的使用者連接到多個雲端環境。
借助 SD-WAN，IT 可以提供路由、威脅防護、高效卸載昂貴的電路以及簡化 WAN 網路管理。商業利益可以包括以下內容：
更好的應用體驗
適用於所有關鍵企業應用程式的高可用性和可預測的服務
適用於所有網路場景的多條雙活混合連結。
透過應用感知路由動態路由應用流量，以實現高效交付和改善用戶體驗。
改善了營運支出，以更經濟、更靈活的寬頻（包括安全的 VPN 連線）取代了昂貴的多協定標籤交換 (MPLS) 服務
更安全
具有端到端分段和即時存取控制的應用感知策略
在正確的地方實施整合威脅防護
跨寬頻網路和進入雲端的安全流量
使用 NGFW、DNS 安全性和 NGAV 向分公司和遠端端點分發安全性
優化的雲端連接
將 WAN 無縫擴展到多個公有雲
針對 Microsoft Office 365、Salesforce 和其他主要 SaaS 應用程式的即時最佳化效能
針對 Amazon Web Services (AWS) 和 Microsoft Azure 等雲端平台的最佳化工作流程
簡化管理
用於設定和管理 WAN、雲端和安全性的單一集中式雲端交付管理儀表板
適用於所有位置的基於模板的零接觸配置：分支機構、園區和雲
用於業務分析和頻寬預測的應用程式和 WAN 效能的詳細報告

MPLS 與 SD-WAN
SD-WAN 是從 MPLS 技術演變而來的，該技術為私有連接提供了二十多年的動力。
在許多方面，SD-WAN 可以被視為適用於更廣泛場景的 MPLS 技術的軟體抽象：它帶來了與各種鏈路和提供者無關的安全、私有連接，並且是雲端感知的。
MPLS 透過備份連結處理故障場景，而 SD-WAN 則透過基於集中策略的即時流量控制來處理它們。此外，由於 SD-WAN 統一了整個 WAN 骨幹網，它可以在全球範圍內提供全面的網路分析。
這在以前是不可能的，因為基礎設施和政策各不相同。

SDN 與 SD-WAN
SD-WAN 可以看作是WAN的 SDN 。可以說，它代表了 SDN 中最受歡迎和最廣泛部署的用例。
SDN 模型在資料中心和企業邊界內的其他部分抽象網路基礎設施而變得流行。
SD-WAN 發揮了類似的作用，但需要抽像出在連結類型、提供者和地理位置方面多種多樣的基礎設施元素。由於它跨越了企業邊界，它還需要一個強大的安全組件。
■文章來源：本文素材整理參考自思科官網文件&網絡，由網絡工程師俱樂部排版匯總.