思科在2020年4月27日进行CCIE考试的大改版,其中CCIE RS将取消,取而代之的是CCIE EI (Enterprise Infrastructure)。在CCIE EI企业基础架构中软定义部分占了20%的考纲,主要添加了SD-WAN和SD-Access的内容,其中SD-Access主要是用自动化配置管理的方式来对企业网的接入层做更有效的管理和快速部署,是思科DNA的一种应用。
SD-Access是在Fabirc中以LISP作为控制平面,以VXLAN作为数据平面,以CTS(Cisco Trust-Sec)作为策略平面。我们以这篇文档讨论下标准LISP与SD-Access里面的LISP控制平面中设备角色的对应关系。
LISP(Locator ID Separation Protocol – 名址分离协议)是思科公司在2006年重新投入资源研究的一个路由协议,本身是想环境运营商环境中路由过多的问题。LISP对路由有两种定义:EID和RLOC:
l EID(Endpoint ID):实际就是客户站点的路由前缀(主机路由或子网路由都可以)
l RLOC(Route Location):路由位置,实际上就封装解封装设备,可以在中间云(SD-Access称为Fabric,当时LISP没有Fabric这个概念)中路由的地址,可以是封装路由器的公网地址,或loopback路由等都可以
数据包从客户的一个站点发往另外一个站点的时候(S-EID访问D-EID),在ITR上查找EID-RLOC的对应关系(D-EID和D-RLOC的对应关系),然后封装一个LISP头部,一个UDP头部,一个新的IP头(S-RLOC到D-RLOC),然后将数据包发向ETR。所以控制平面主要做的事情,如何建立、传递、存储EID-RLOC的对应关系的表项。
LISP对控制平面设备角色有4个主要的定义:MS(Map-Server),MR(Map-Resolver),ITR(Ingress Tunnel Router),ETR(Egress Tunnel Router)。
l MS(Map-Server):可以理解为是个服务器(DNS服务器),ETR会将EID-RLOC的对应关系注册到MS,可以理解为MS有存储和响应查询EID-RLOC功能的服务器。
l MR(Map-Resolver):可以理解是个客服,ITR在发送数据包进入中间的云(Fabric)的时候,需要查询EID-RLOC的映射关系,ITR会向MR发送查询消息,MR再向ALT Topology(查询网络,可以不去理解它)中的MS查询查询映射关系。相当于是客服去查Database数据库。在LISP部署中,通常将MS和MR设置为同一台设备,这样这台设备既可以存储EID-RLOC的映射关系,也可以接受查询和响应查询。
l ITR(Ingress Tunnel Router):ITR有个ingress,意思是数据包将要从ITR进入中间的云(Fabric)。根据路由传递方向与数据包传递方向相反的原理,数据包要从ITR进入Fabric,所以ITR需要获得目的EID和目的RLOC的对应关系的表项,这样ITR就会去MR/MS上查询,获得结果以后封装数据包,将其发往Fabric。
l ETR(Egress Tunnel Router):ETR有个egress,意思是数据包将要从中间云(Fabric)出去,去往目的站点的话,ETR是出口。同样根据路由传递方向与数据包传递方向相反的原理,数据包要从ETR离开Fabric,ETR就需要将EID-RLOC的对应关系,告诉(Register)给MR/MS,同时从Fabric收到数据包后,解封装后根据inner数据包的目的EID将数据包发往目的站点。实际情况中ITR/ETR是同一台设备,既有封装的功能也有解封装的功能,还可以向MS/MR查询和注册EID-RLOC的映射关系。
以上就是标准LISP对主要设备角色的定义。下面我们来看下SD-Access的。
在SD-Access中定义了ISE,NCP,NDP,Control-Plane Nodes,Fabric Edge Nodes,Fabric Border Nodes,Fabric Wireless Controller,Intermediate Node(Underlay)。其中Intermediate Node是Fabric中的设备,只要运行路由协议保证中间云(Fabric)的互联互通就行。ISE是认证的设备。NCP和NDP是DNAC的自动化(Automation)和保障(Assurance)的服务应用。Fabric Wireless Controller是无线控制器。所以我们主要讨论Control-Plane Nodes,Fabric Edge Nodes,Fabric Border Nodes的设备角色与标准LISP中设备角色的关系。
l Control-Plane Nodes:实际上与MS/MR的功能一样,有存储、接受查询、响应查询EID-RLOC对应关系的服务器,与标准LISP的区别是,标准的LISP中EID只能是三层的前缀,而CP-Nodes中的EID不仅可以是三层的IP前缀,还可以是二层的MAC。
l Fabric Edge Nodes:实际上与ITR/ETR的功能一样,可以封装解封装数据包,还可以向CP-Nodes查询和注册EID-RLOC的映射关系。与标准LISP的区别是,标准LISP的数据平面封装是LISP封装,而SD-Access中是VXLAN封装。
l Fabric Border Nodes:实际上与ITR/ETR的功能类似,也是封装解封装数据包,但是对设备的定义做了更细化的划分,Fabric Edge Nodes连接的是终端,向CP-Nodes注册的时候都是/32和/128的host-EID或MAC,而Fabric Border Nodes是用于连接一个internal或external网络,是子网或默认路由。这样区分的好处是部署和排错时更方便,对整个架构的理解也更加容易。
以上就是标准LISP与SD-Access中设备角色定义的比较,下一讲我们讨论数据平面的封装。
思科企业基础架构 EI CCIE的新增课程除了SD-Access以外,还有SD-WAN的解决方案,在EI CCIE的课程大纲中我们将按CCIE的考试深度,区别出CCIE课程和专题课程,以便于不同学习目标的同学快速完成学习任务。