思科在2020427进行CCIE考试的大改版,其中CCIE RS将取消,取而代之的是CCIE EI (Enterprise Infrastructure)。在CCIE EI企业基础架构中软定义部分占了20%的考纲,主要添加了SD-WANSD-Access的内容,其中SD-Access主要是用自动化配置管理的方式来对企业网的接入层做更有效的管理和快速部署,是思科DNA一种应用。

 SD-AccessFabirc中以LISP作为控制平面,以VXLAN作为数据平面,以CTS(Cisco Trust-Sec)作为策略平面。我们以这篇文档讨论下标准LISPSD-Access里面的LISP控制平面中设备角色的对应关系。

 LISP(Locator ID Separation Protocol – 名址分离协议)是思科公司在2006年重新投入资源研究的一个路由协议,本身是想环境运营商环境中路由过多的问题LISP路由有两种定义:EIDRLOC

EID(Endpoint ID):实际就是客户站点的路由前缀(主机路由或子网路由都可以)

RLOC(Route Location):路由位置,实际上就封装解封装设备,可以在中间云(SD-Access称为Fabric,当时LISP没有Fabric这个概念)路由的地址,可以是封装路由器的公网地址,或loopback路由等都可以

数据包从客户的一个站点发往另外一个站点的时候(S-EID访问D-EID),在ITR上查找EID-RLOC对应关系(D-EIDD-RLOC对应关系),然后封装一个LISP头部,一个UDP头部,一个新的IP(S-RLOCD-RLOC)然后将数据包发向ETR所以控制平面主要做的事情,如何建立、传递、存储EID-RLOC的对应关系的表项。

  LISP对控制平面设备角色有4个主要的定义MS(Map-Server)MR(Map-Resolver)ITR(Ingress Tunnel Router)ETR(Egress Tunnel Router)



MS(Map-Server):可以理解为是个服务器(DNS服务器)ETREID-RLOC的对应关系注册MS可以理解为MS存储响应查询EID-RLOC功能服务器

MR(Map-Resolver):可以理解是个客服,ITR发送数据包进入中间的云(Fabric)时候,需要查询EID-RLOC映射关系,ITR会向MR发送查询消息,MR再向ALT Topology(查询网络,可以不去理解它)中的MS查询查询映射关系。相当于是客服去Database数据库。LISP部署中,通常将MSMR设置为同一台设备,这样这台设备既可以存储EID-RLOC映射关系,也可以接受查询和响应查询。

ITR(Ingress Tunnel Router)ITRingress,意思是数据包将要ITR进入中间的云(Fabric)根据路由传递方向与数据包传递方向相反的原理,数据包要ITRFabric所以ITR需要获得目的EID目的RLOC对应关系的表项,这样ITR会去MR/MS查询,获得结果以后封装数据包,将其发往Fabric

ETR(Egress Tunnel Router)ETRegress,意思是数据包将要从中间云(Fabric)出去,去往目的站点的话,ETR出口。同样根据路由传递方向与数据包传递方向相反的原理,数据包要从ETR离开FabricETR就需要将EID-RLOC对应关系,告诉(Register)MR/MS同时从Fabric收到数据包后,解封装后根据inner数据包的目的EID数据包发往目的站点。际情况中ITR/ETR是同一台设备,既有封装的功能也有解封装的功能,还可以MS/MR查询注册EID-RLOC映射关系。

以上就是标准LISP对主要设备角色的定义。下面我们来看下SD-Access的。


SD-Access中定义了ISENCPNDPControl-Plane NodesFabric Edge NodesFabric Border NodesFabric Wireless ControllerIntermediate Node(Underlay)其中Intermediate NodeFabric中的设备,只要运行路由协议保证中间云(Fabric)互联互通就行。ISE认证的设备。NCPNDPDNAC自动化(Automation)保障(Assurance)服务应用Fabric Wireless Controller是无线控制器。所以我们主要讨论Control-Plane NodesFabric Edge NodesFabric Border Nodes设备角色与标准LISP设备角色的关系

Control-Plane Nodes实际上与MS/MR功能一样,有存储接受查询、响应查询EID-RLOC对应关系的服务器,与标准LISP区别,标准的LISPEID只能是三的前缀,而CP-NodesEID不仅可以是三层的IP前缀,还可以是二层的MAC

Fabric Edge Nodes:实际上与ITR/ETR功能一样,可以封装封装数据包,还可以向CP-Nodes查询和注册EID-RLOC的映射关系。与标准LISP区别是,标准LISP数据平面封装是LISP封装,而SD-Access中是VXLAN封装

Fabric Border Nodes:实际上与ITR/ETR功能类似也是封装解封装数据包但是设备的定义做了更细化的划分,Fabric Edge Nodes连接是终端,CP-Nodes注册的时候都是/32/128host-EIDMACFabric Border Nodes是用于连接一个internalexternal网络,子网或默认路由这样区分的好处是部署和排错时方便,对整个架构的理解也更加容易。

 

 以上就是标准LISPSD-Access中设备角色定义比较,下一讲我们讨论数据平面的封装。

  

 思科企业基础架构 EI CCIE的新增课程除了SD-Access以外,还有SD-WAN的解决方案,在EI CCIE的课程大纲中我们将按CCIE的考试深度,区别出CCIE课程和专题课程,以便于不同学习目标的同学快速完成学习任务。