SD-Access Cisco DNAC Design Steps Configuration Dashboard ver 2.2.3.x

23.06 2023 | by massimiliano

SD-Access Cisco DNAC Design Step Configuration Dashboard ver 2.2.3.x Di seguito un elenco ordinato di steps che prevedono la configurazione […]

https://www.ingegnerianetworking.com/wp-content/uploads/2023/06/dnac1-90b.png

SD-Access Cisco DNAC Design Step Configuration Dashboard ver 2.2.3.x

Di seguito un elenco ordinato di steps che prevedono la configurazione programmata del DNA Center.

DNAC Network Design

Create Network Site

Step-1: navigate to DESIGN > Network Hierarchy

Step-2: click Add Site > Add Area > Area Name and then click Add

Step-3: click Add Site > Add Building > Building Name, select the site created in step-2 as the Parent and complete the wizard to assign a location, and then click Add

Step-4: Repeat the step-3 as required to adds sites and buildings

Step-5: for integrating wireless to a building or require more granularity for network choises within a building, select the building on the map, choose Add Floor and complete the wizard with own details.

Nota:

Floors sono riferiti durante il wireless provisioning dove gli AP sono assegnati al building floor.

dnac1

Network Services: AAA, DHCP, DNS

Step-1: navigate to DESIGN > Network Settings > Network > within the left pane in the site hierarchy, select the appropriate level (ex Global), fill the follow details:

DHCP Server IP address
DNS Server: Domain Name and IP primary address (and any redundant additional server; it is possible leave the default selection to use Cisco DNA Center for the Syslog and SNMP)
Save

dnac2

Step-2: click the Add Servers and select the AAA and NTP check boxes and click OK.

dnac3

Step-3:

under AAA select the Network and Client/Endpoint check boxes
under NETWORK select the Server ISE button
under NETWORK use the pull-down to select the prepolutated ISE server
under NETWORK select the protocol TACACS button
under NETWORK select the IP address primary and additional tacacs server
under CLIENT/ENDPOINT select the Server ISE button
under CLIENT/ENDPOINT select the protocol RADIUS
under CLIENT/ENDPOINT select the IP address primary and additional radius server

Step-4:

Select the NTP server add the IP address and if you have, also the ip address of additional NTP server, then click save

Device Credential

Step-1: navigate to DESIGN > Network Settings > Device Credential > within the left pane in the site hierarchy, select the appropriate level (ex Global), fill the follow details:

Step-2: select the follow detail on CLI

Name/Description: Underlay
Username: dnadmin
Password: password
Enable Password: password

Save

Nota:

Best Practices Cisco indicano, in caso di utilizzo di ISE come server AAA, di evitare “admin” come username perché causa di eventuale conflitto con il login di ISE, rendendo cosi inagibili i devices stessi.

dnac4

Step-3: select la modalità SNMPv3 and then fill the follow details:

Name/Description: Underlay
Username: dnasnmp
Mode: Authentication and Privacy
Auth Type: SHA
Privacy Type: AES128
Auth Password:
Privacy Password:

Save

dnac5

IP Pool Gloabl Address

Le opzioni possibili di settare un IP Pool address è manuale attraverso il DNAC oppure inserire gli IP addressess gestiti attraverso un sistema quale IPAM via API.

In questo ultimo caso è necessario navigare dal menu: Design > Network Settings > IP Address Pool > Import > Import from IPAM server

Step-1: navigate to DESIGN > Network Settings > Device IP Address Pool > within the left pane in the site hierarchy, select the appropriate level (ex Global), click the Add button and fill the follow details:

IP Pool Name:
Type:
IP Address Space: set IPv4
IP Subnet:
Prefix lenght:
Gateway IP Address:
DHCP Server(s):
DNS Server(s):

dnac6

Reserve IP Pool Address

Step-1: navigate to DESIGN > Network Settings > Device IP Address Pool > Reserve within the left pane in the site hierarchy, select the appropriate level (example Global), click the Add button and fill the follow details:

IP Pool Name:
Type:
IP Address Space:
IP Subnet:
Prefix lenght:
Gateway IP Address:
DHCP Server(s):
DNS Server(s):

dnac7

Step-2: Ripetere le operazioni suddette per ogni nuovo blocco di IP address pool da riservare per ciascun sites.

Fabric Enterprise Wireless SSID

Step-1: navigate to DESIGN > Network Settings > Wireless > within the left pane in the site hierarchy, select the appropriate level (example Global), click the Add button and fill the follow details:

dnac8

Step-2: create Enterprise wireless network and fill the follow details:

Wireless Network Name (SSID)
Wireless Option (dual-band operation; dual-band operation with band select; 5GH only; 2,4 GHZ only):
Type of Enterprise Network (Voice and Data; Data only):
SSID State (Admin Status; Broadcast SSID)

dnac9

Step-3: click next to continue:

Wireless Profile Name:
Fabric: YES
Choose a site: select the location where the SSID broadcast and include floors to include SSID coverage
SSID State (Admin Status; Broadcast SSID)

Finish

Fabric Guest Wireless SSID

Step-1: navigate to DESIGN > Network Settings > Wireless > within the left pane in the site hierarchy, select the appropriate level (ex Global), click the Add button and fill the follow details:

Step-2: create Guest wireless network and fill the follow details:

Wireless Network Name (SSID)
Wireless Option (dual-band operation; dual-band operation with band select; 5GH only; 2,4 GHZ only):
Type of Enterprise Network (Voice and Data; Data only):
SSID State (Admin Status; Broadcast SSID)

Step-3: click next to continue:

Wireless Profile Name:
Fabric: YES
Choose a site: select the location where the SSID broadcast and include floors to include SSID coverage
SSID State (Admin Status; Broadcast SSID)

Finish

Cisco DNA Center administrative login in ISE

Step-1: Login in ISE platform and navigate in Administration > Identity Management > Identities > Add

Name: (matching quello usato per il DNA Center discovery e differente dall’ISE administration)
Login Password:
Re-Enter Password:
Submit

User login è quindi disponibile da ISE e lo stesso user ID è creato per ogni devices discoverato utilizzando Lan Automation

L’integrazione tra ISE e DNAC deve seguire importanti step quali:

Assicurarsi che le versioni software di entrambi i servizi siano compatibili

Cisco Software-Defined Access Compatibility Matrix

Enable pxGRID almeno in un nodo ISE deployment; si raccomanda si assegnare un pxGrid Persona in deploymen. pxGrid service in connected status tab ISE web interface;
DNAC usa ERS API per write and read policy configuration in ISE; pre-requisito ERS (External RESTful Services) deve essere abilitato su ISE. In un deployment distributed ERS write/read necessità di essere abilitato in un nodo PAN per
configurazione emantenimento del database (altri nodi debbono avere ERS con read-only permission);
Assicurarsi che CLI e web interface username e password in ISE abbiano le stesse credenziali; DNAC utilizza le stesse credenziali per il login in CLI e web interface di ISE.
Assicurarsi che tra il DNAC ed ISE siano aperte le comunicazioni TCP ports 22,443,5222,8910 e 9060.
Dal punto di vista del DNAC, ISE è integrato come un Authentication and Policy Server

Step-2: Login in DNAC e navigate to System > Settings > Authentication and Policy Server > Add

Enter:

Server IP address: ip address of ISE PAN deployment (with must interface Gig0)
Shared Secret: chiave tra network devices e ISE policy server
Username: username to log in ISE with SSH and GUI
Password: password to log in ISE with SSH and GUI
FQDN: fully qualified domain name associated with Gig0 in ISE primary node
Subscriber Name: usato per identificare il DNAC client name in ISE
SSH Key (optional):
Virtual IP address (optional): se ISE policy node dovesse essere dietro Load Balancer

In advanced settings:

Protocol: enable RADIUS or TACACS
Authentication Port: port used for Radius Server (default = 1812)
Accounting Port: port used for Radius Server (default = 1813)
Port: port used for Tacacs Server (default = 49)

DNAC Segmentation and Policy Process.

In SD-Access Macro-Segmentation è riferita alla configurazione di VN overlay (Virtual Network) mentre Micro-Segmentation è riferita alla configurazione di SGT (Scalable Group Tag) applicate alle policies dedicate per users oppure device profiles.

VNs

Step-1: navigate to Provision > Virtual Networks > Create Virtual Network +

dnac10

L3-VN Overlay to SD-Access Network

Step-1: navigate to Workflows > Create Layer 3 Virtual Networks > and follow the process:

Choose your creation process: how many L3 VNs would you like to create for the fabric? enter a value
Create your Layer 3 Virtual Network
Select your Fabric Sites
Configuring traffic exit behavior

Di default Local Exit è selezionato (questo permette al traffico di uscire attraverso un local border associato a quel fabric site);

choose Remote Exit, in caso di uscita del traffico da un designated border

Summary
To create the context of VN, click Create
To assign the VN to the selected sites, click Deploy
To verify the VN creation, click View All Virtual Networks

VN con associazione ad un determinato gruppo è visto in una lista di virtual networks ed esse sono disponibili per il provisioning fabric

Nota: se le VN non dovessero essere vista nella lista, è probabile un problema tra DNA Center ed ISE; in questo caso rivedere la procedura di integrazione per ISE ed assicurarsi che il pxGrid sia abilitato in ISE per il DNA Center.

In caso di definire più gruppi differenti, rispetto al gruppo di default, è necessario creare gruppi customizzati attraverso la seguente procedura:

Step-2: navigate to Policy > Group-Based Access Control > Security Groups > Create Security Groups

dnac11

Step-3: ripetere i primi due step per ogni overlay network.

Per wireless user che richiedono a “guest service” è necessario creare una Guest VN per supportare questa funzionalità.

L2-VN Overlay to SD-Access Network

Step-1: navigate to Workflows > Create Layer 2 Virtual Networks > and follow the process:

Configure VLANs: how many VLANs would you like to connect to the fabric? enter a value
Configure VLANs

Vlan Name:

Vlan ID:

Traffic Type (Data or Voice):

Select your Fabric Site for each Layer 2 Virtual Network
Summary
Create
Submit
Success! You’ve created a task to deploy a Layer 2 Virtual Network

Micro-Segmentation SGT Policy

ISE Security Groups sono lo stesso di Scalable Groups in DNAC con le seguenti caratteristiche:

Name and SGT value deve essere lo stesso in ISE e DNAC (stesse informazioni coerenti);
Se un ISE security group con SGT value non esiste in DNAC, un nuovo scalable group è creato in DNAC;
In caso di non match del name security group (con stesso SGT value), il nome di ISE security group sostuisce il nome presente in DNAC;
In caso di non match del SGT value (con stesso name) il nome ed il SGT value in DNAC viene rinominato con l’aggiunta di un suffisso “_DNA”;

I contract in ISE sono chiamati SGACLs referenziate da policies, mentre in DNAC sono conosciuti come “Access Contracts” e seguono le seguenti caratteristiche:

SGACLs ed access-contract con stesso nome e contenuto hanno informazioni coerenti
Se SGACLs ed Access-contracts hanno stesso nome ma contenuti differenti, il contenuto del contratto in DNAC viene scartato;
Se il name di un SGACLs non esiste in DNAC, un nuovo access-contracts con lo stesso nome viene creato ed il contenuto viene cosi migrato da ISE a DNAC.

Le policy sono unicamente identificate da la coppia source e destination group.

ISE TrustSec Egress Policy Matrix policies sono comparate con le policies del DNAC e seguono le seguenti caratteristiche:

Situazione coerente con stesse policies source and destination group tra SGACLs ed access-contract
Se una policy per un source-destination group è differente, ISE sovrascrive la propria policy nel access-contract del DNAC;

Create Policy:

Step-1: navigate to Policy > Group-Based Access Control > Policies > Create Policies

dnac12

Set Source to Destination(s) and then from Policies

dnac13

Filter the Source Policies created.

Set Destination to Source(s) and then from Policies

Select the Destinations

dnac14

Enter:

Description
Enable Policy
Enable Bi-directional

Create Contract:

Step-2: navigate to Policy > Group-Based Access Control > Access Contracts > Create Access Contract

dnac15

Enter:

Name:
Description:
Contract Content Action (Permit or Deny):
Contract Content Application:
Transport Protocol:
Source/Destination:
Port
Logging
Action:
Default Action (Permit or Deny):
Logging

La policy è cosi creata ed inserita in una lista con status Created.

In caso di opzione Bi-Directional, la reverse-policy è anche creata.

Select Deploy (selezionare il simbolo dei quattro quadratini bianchi nel rettangolo celeste)

Step-3: selezionare per la policy il Deploy significa rendere questa applicata in SD-Access Fabric e disponibile in ISE, vista utilizzando Cisco TrustSec policy matrix.

dnac16

Step-4: collegarsi ad ISE e navigate to Work Centers > TrustSec > TrustSec Policy and then on the left site select Matrix

Verificare la policy matrix TrustSec se è creata correttamente

Segmentation with third-part Radius

In caso di Radius Server non Cisco, è sempre possibile la gestione delle policies SGT integrate tra ISE e DNAC.

Example Flow Scenario:

dnac17

Secure host onboarding è il processo di onboarding di tutti i sistemi in rete includendo workstation, BYOD, IoT, IP phones, VideoCamera, come pure Access-Point.

L’integrazione in rete di questi devices è possibile attraverso meccanismi di sicurezza basati su 802.1x ed ISE assume un ruolo chiave per questo.

802.1x è un sistema port-based authentication che permette in modo sicuro di autenticare o meno un determinato devices che prova a collegarsi in rete attraverso uno switch.

802.1x utilizza differenti modi di configurazione tra cui:

Single-Host mode: solo un singolo MAC address è permesso ad accedere in rete
Multi-Host mode: il primo MAC address che si connette in rete è autorizzato; una sequenza di ulteriori hosts che si collegano alla porta, bypass l’autenticazione e si pongono in una condizione chiamata “piggyback” dove poggiano sul primo MAC address autenticato (utilizzato quando si gestisce un numero n. di mac-address collegati ad una specifica porta switches
Multi-Domain mode: si riferisce a sistemi di tipo data e voice che si connettono in un MDA authentication; i due sistemi sono autorizzati in modo indipendente assegnando ciascuno il valore di vlan-Voice (voice domain) per il phone ed il valore di vlan-Data per l’host (data domain)
Multi-Auth Mode: come sopra con la differenza che multipli host possono autenticarsi nel dominio data (vlan-Data; è un solo valore di vlan-id). DNAC di default utilizza questa modalità.

DNAC offre quattro classi di authenticazione:

Closed Authentication: molto sicuro è basato su 802.1x, il traffico è permesso solo se l’autenticazione è andata a buon fine;
Open Authentication: moderatamente sicuro
Low Impact: moderatamente sicuro è basato su LDAP in combinazione con il MAC (Mac Address Bypass)
None: insicuro, utilizzato per sistemi che non richiedono autenticazione

STEP-1: navigate to Provision > Fabric Site > Site > Authentication Template > Host Onboarding

dnac18

DNAC Device Discovery

Discovery and Manage Network Devices

Step-1: navigate to Tools > Discovery > Add Discovery

Enter

Discovery Name:
IP Address Range:
Discovery Type (CDP; IP address/range; LLDP)
IP Address:
Subnet Filters:
CDP Level:
Preferred Management IP Address (None; Use Loopback):

dnac19

Step-2: in caso di ulteriori IP ranges, è possibile aggiungerli attraverso il + e ripetere l’operazione.

Step-3: verificare le credenziali utilizzate per il discovery quali CLI e SNMP, impostate per i devices attraverso il DNA-Center ed infine click su Discover.

dnac20

Il Discovery inizia il running operation.

In caso di un qualsiasi discovery failures, è necessario ricontrollare il devices list per risolvere il problema e restartare il discovery per questi devices via qualsiasi add devices to add to the inventory.

Step-4: una volta completato il discovery, navigate to Provision > Inventory > e verificare che i devices scoperti siano presenti nella lista di inventory; ogni devices presenta uno status di Manageability il chè significa che il DNA-Center mantiene una interna copia (mirroring) dell’apparato fisico in questione.

Nota:

Per Catalyst 6800 series switch, Cisco prevede di poter evitare il discovery, inserendo in questi devices il seguente comando, in configuration mode: snmp mib flash cache

In caso il sistema Wireless Lan Controllers non è nella lista Inventory, è possibile aggiungerlo in un secondo momento ripetendo le stesse operazioni previste dallo step precedente, settando il Discovery Name = WLC ed assegnando il range IP Address a loro dedicato.

Best Practices Cisco indicano di utilizzare due WLCs dello stesso tipo e creare un sistema in HA SSO per alta affidabilità e resilienza.

DNAC Device Software Images

Image Repository

Step-1: navigate to Design > Image Repositoty > Family Name

dnac21

Step-2: click on Family Name la serie di devices da aggiornare

Step-3: select Major Version or Golden Images and then importing and tagging images as golden until all devices are marked with the appropriate version.

Major Version: list of cisco software release

Golden Images
- Tagged
- Not Tagged

dnac22

Nota:

in caso di image non ancora importate, è possibile fare un Import Image/Add-on and select Import

dnac23

A questo punto l’image è nel repository e disponibile per essere taggata come Golden per i devices

Step-4: Ripetere le operazioni di cui sopra assegnando per ciascuna famiglia di devices Cisco la corretta e consigliata release da Cisco.

Nota:

I devices che non sono compatibili con le release taggate Golden sono marcate come Outdated in Inventory.

L’inventory, quindi, deve essere una lista di devices che hanno acquisito la corretta release software e marcati come Managed.

Update Devices Software

Step-1: navigate to Provision> Inventory > Select the Device Name > Action > Software Image > Image Update

Una volta aggiornata la release software verificare lo status di update

DNAC Provisioning Underlay with LAN-Automation

Questo parte prevede la procedura basata su Lan Automation.

Lan Automation abilita il discovery dei devices compatibili per mezzo di seed devices (il seed devices è lo switch madre dove tutti i nuovi, ed ancora non gestiti, devices si connettono per la loro automatizzazione in SD-Access).

CLI Credential e SNMP sono creati per mezzo di PnP Agent e la rete IP di management utilizzata come strumento di raggiungibilità dei nodi dal sistema DNA.

Le porte di un seed devices collegate ai nodi da discoverare debbono essere layer 2 mode e non debbono appartenere a reti OOB di management.

Di solito un seed devices ha configurato il vtp mode transparent e MTU = 9100.

Affinchè i devices da discoverare debbono lavorare in PnP agent con nessuna pre-configurazione, qualsiasi precedente configurazione fatta deve essere cancellata (restore) allo stato compatibile con il PnP agent e pertanto Cisco prevede la seguente configurazione in config-mode ed exec-mode:

sw(config)# config-register 0x2102

sw(config)# crypto key zeroize

sw(config)# no crypto pki certificate pool

sw# delete /force vlan.dat

sw# delete /force nvram:*.cer

sw# delete /force nvram:pnp*

sw# delete /force flash:pnp*

sw# delete /force stby-nvram:*.cer

sw# delete /force stby-nvram:*.pnp*

! previous two lines only for HA systems

write erase

reload

Nota by Cisco:

Do not save the configurations for the reload process; to prepare switch stacks for LAN Automation, use the same restoration commands for each switch in the stack.

Switch stacking requirements do not change for LAN Automation—all switches in a stack must be running the same software license and version supporting IP routing features.

If you desire the most control over port numbering and stack behavior, then in advance of starting the LAN Automation process, you can adjust the switch stack numbering and also influence a switch to become the ACTIVE role within a stack through an increased priority by using the following commands in exec mode:

sw [switch stack number] renumber [new stack number]

sw [switch stack number] priority 15

If a golden image has been tagged as described in the previous procedure, image upgrade will occur during LAN Automation if the discovered device is running in INSTALL mode.

If the golden image has been tagged and the discovered device is running in BUNDLE mode, LAN Automation will fail for the device.

Lan-Automation Provision

Identify one or two devices that are in the inventory and managed by Cisco DNA Center to assign to the seed device role at a site. The same seeds can be used for multiple runs of the LAN Automation feature, allowing the discovered devices to be assigned to different buildings or floors for each run.

Identificare uno o più devices in Inventory ed assegnare loro il ruolo di SEED per site; questo stesso seed devices può essere usato per multipli Lan Automation scope, permettendo ai devices rilevati di essere assegnati a differenti building.

Step-1: navigate to Provision > Inventory > select the devices > Action > Provision > Assign Device to Site > Apply

Step-2: navigate to Provision > Inventory > Action > Provision > Lan Automation

Enter:

Primary Site:
Primary Devices:
Peer Site:
Peer Devices:

dnac24

SELECTED PORTS OF PRIMAR DEVICE (0)

dnac25

Discovered Device Configuration

Discovered Device Site:
Main IP Pool: (the main ip pool is used for the devices management IP and DHCP server; it is also used for links and if the a link overlapping IP pool is not provisioned)
Link Overlapping IP Pool: (provide this pool if you want to use the same IP pool at different site)
IS-IS Domain Password: (lan automation use this password if it is used by seed devices)
Advertise Lan Automation summary route into BGP: (if BGP is operational on the primary device and peer devices, then add a summary route for the selected main IP pool into BGP on the primary and peer device)
Enable Multicast: enable underlay native multicast, configure seed devices as RP and configure discovered devices as subscriber to multicast traffic

dnac26

Lan-Automation Status

Step-3: navigate to Provision > Inventory > Action > Provision > Lan Automation Status

Verifica Summary

Verifica Devices

Verifica Logs

Nota:

LAN Automation realizza il discovery dei devices attraverso la Vlan di default VLAN1 ed il protocollo ISIS underlay per la raggiungibilità dei devices da scoprire. Quest’ultimi sono inseriti e gestiti nella lista di Inventory.

LAN-Automation Topology

Step-1: navigate to Tools > Topology > Global

Step-2: navigate to Tools > Topology > Hierarchy sites

Selezionare ogni singolo site per Verificare la topologia di dettaglio:

dnac27

Provision Devices Role and Assign Site

Step-1: navigate to Tools > Topology > select each site > select each node > Network Role

Step-2: navigate to Provision > Inventory > select (filter) the devices > Action > Provision > Assign Devices to Site

Enter

Choose a floor

Step-3: click next and skip on Configuration > Advanced Configuration > Summary

Verifica la configurazione per ciascun devices
Click Deploy
Apply

Il Provisioning comincia a lavorare.

Step-3: Ripetere l’operazione per ogni devices che è stato aggiunto; DNA-Center pxGrid integration aggiorna, quindi, i devices in ISE.

Step-4: verificare che i devices sono stati aggiunti ad ISE, andando su ISE to Administration > Network Resources > Network Devices.

Provisioning WLC Integration

Step-1: navigate to Provision > Inventory > select (filter) the WLC > Action > Provision > Configure WLC HA

Nota:

in HA mode, il WLC è visto come una singola entità logica in SD-Access; verifica la configurazione in HA SSO andando a cliccare il device name eppoi High Availability tab.

Step-2: Assign the site e ripetere quindi l’operazione vista in precedenza per questo punto.

Il WLC è assegnato to the site ed il provisioning comincia a lavorare; utilizza il Refresh button sino a che il Provision Status mostra il Success prima di procedere.

DNAC Provisioning Overlay

SD-Access supporta la seguente orchestrazione:

Fabric Site: significa una Fabric indipendente che include dei Control-Plane Node, Edge Node per le funzionalità di accesso, Border Node per funzionalità di Egress Fabric Site ed infine sistemi quali ISE e WLC fabric mode.
Transit Site or Network: riferito a collegamenti tra la Fabric ed External Domain (conosciuti come IP-based transit) oppure tra uno o più Fabric Site preservando comunque tra questi le policy di segmentazione (conosciuti come SD-Access transit)
Fabric Domain: riguarda un unico dominio di amministrazione che abbraccia uno o piu site ed i corrispondenti transit network.

IP-based transit di solito utilizza sistemi con VRF-lite per la connettività verso external networks.

SD-Access transit trasporta SGT (micro-segmentation) e VNs information (macro-segmentation) tra Fabric site, creando di fatto un campus distribuito.

Network Transit

Step-1: navigate to Provision > Transit > Create Transit

Enter

Transit Name:
Transit Type (SD-Access LISP/BGP; SD-Access LISP Pub/Sub); IP-Based):
Transit Control Plane Nodes Sites – Transit Control Plane Node
Protocol: BGP
Autonomous System Number:

dnac28

Fabric Domain, Fabric Site

Step-1: navigate to Provision > Fabric Site > Create Fabric Sites and Fabric Zone

A sinistra del menu la Fabric Enabled Sites hierarchy, selezionata e creata attraverso lo step-1

La Fabric Infrastructure mostra un’architettura a due livelli (access-distribution) oppure a tre livelli (access-distribution-core).

La Host Onboarding evidenzia le seguenti funzionalità:

Authentication Template
- Virtual Networks
- Wireless SSIDs
- Port Assignment

Fabric Control Plane Node Roles

I nodi con funzionalità di Control Plane Node (senza il ruolo di Border Node), necessitano di essere assegnati come CP (Control Plane).

Per questo è sufficiente selezionare il nodo (hostname), click su esso eppoi nel popup box, click su Add as CP.

Fabric Border Node Roles

I nodi con funzionalità di Border Node hanno necessità di assegnare ad essi differenti funzionalità, quali:

Step-1:

click sul nodo hostname

Add as Border or Add as CP+Border

Under Layer 3 Handoff

Select Border
Supply BGP Local Autonomous Number

Under Select IP Address Pool

Choose the global IP pool configured previously for border connectivity

For External Border

Click Is this site connected to Internet?

Transit

Select the transit

Add button

Step-2:

Click IP Transit text

Click + Add Interface (in the box select the interface for the connection to the fusion router outside Fabric

Below the BGP ASn expand the Virtual Network and select each VN used in the Fabric to include in the Layer 3 Handoff outside the Fabric

Click Save

Click Add

In caso di più Fabric Border Node, ripetere i precedenti due steps.

Dopo che tutti i roles sono stati assegnati, click Save, use the default choise Now, and then click Apply.

Il Fabric Domain è creato.

Fabric Layer 2 Border Node Migration Process

Per processi di migrazione tra una architettura ASIS verso SDA Fabric, vengono utilizzati dedicati Fabric Layer 2 Border per semplificare la transizione layer 2 da vlan tradizionali a fabric-enabled vlan.

Questi nodi, difatti, traducono la vlan tradizionale in una fabric-enabled vlan all’interno della Fabric.

dnac30

Example Configuration Fabric Edge Node (VL1024)

Example Configuration Fabric L2 Border Node (VL300)

instance-id 8188

remote-rloc-probe on-route-change

service ethernet

eid-table vlan 1024

broadcast-underlay 239.0.0.1

database-mapping mac locator-set xxx

exit service-ethernet

exit instance-id

interface vlan 1024

description mapping vlans1024-300

mac-address 0000.0c9f.f45c

vrf forwarding Migration

ip address 10.10.10.1 255.255.255.0

ip helper-address 10.100.100.101

no ip redirects

ip route-cache same-interface

no lisp mobility liveness test

lisp mobility 1024_300_MIGRATION

instance-id 8188

remote-rloc-probe on-route-change

service ethernet

eid-table vlan 300

broadcast-underlay 239.0.0.1

database-mapping mac locator-set xxx

exit service-ethernet

exit instance-id

interface vlan 300

description mapping vlans1024-300

mac-address 0000.0c9f.f45c

vrf forwarding Migration

ip address 10.10.10.1 255.255.255.0

ip helper-address 10.100.100.101

no ip redirects

ip route-cache same-interface

no lisp mobility liveness test

lisp mobility 1024_300_MIGRATION

Nota:

Layer 2 Border Node non supporta configurazioni multihomed; permette solo collegamenti verso switch non-fabric in access mode oppure trunk mode per singolo external devices.

Extended Node

Extended Node sono particolari nodi layer 2 connessi sempre ad un Fabric Edge node, che collegano sistemi quali IoT e/o altri, performano 802.1x oppure MAB authentication.

Asegnazione di vlans sono possibili attraverso ISE, ma un SGT value non può essere assegnato ad un extended node; gli end-user connessi ad un extended node sono comunque gestiti da DNAC attraverso una policy statica VLAN-to-SGT configurata e mappata su un Edge Node, il quale node performa i protocolli LISP (rloc-ied), VXLAN e SGT (scalable group access control).

Un extended node può gestire traffico multicast per la sola ricezione dei pacchetti per receiver ad esso collegati.

La modalità di collegare un extended node alla Fabric SDA sono via un port-channel connesso ad un singolo Fabric Edge.

Il port-channel supporta PAgP (Port Aggregation Protocol).

Un altro metodo è riferito al ring REP (Resilient Ethernet Protocol) molto usato per fast convergence, resiliency and HA.

dnac31

STEP-1: apply device credential (CLI and SNMP settings) at site level whee the extended node need to be provisioned from DNAC (Design > Network Hierarchy);

STEP-2: add an IP address pool for the extended node management; if the extended node is provisioned via PnP automatically onbording, configure an IP pool for DNAC to assign a loopback interface address for the discovery process;

STEP-3: Reserve an IP pool for the IoT client connected to extented node at fabric site level where the extended node is assigned;

STEP-4: create a VN (virtual network) for pool IoT devices for security reason if required; VN creation is not necessary if the IoT devices will be part of the existing VN as the campus users (SGTs leverage to apply segmentation policies if the IoT devices are in the same VN as campus user);

STEP-5: configure a port-channel on Fabric Edge for th extended node link;

STEP-6: assign the extended node management IP address pool (created in step-2) under Privision > Fabric Sites > Host Onboarding > Virtual Network section and click INFRA_VN

Click Pool Type and choose Extended.

Questa operazione permette l’inserimento dell’extended node come device di infrastruttura e posizionato nella INFRA_VN (simile a quanto succede per gli AP) e risulterà una SVI creata per l’IP pool stesso.

DNAC Enable Multicast

Questa procedura prevede la configurazione del native-multicast:

Assumption:

SD-Access supporta ASM e SSM
Sources possono essere all’interno delle VN oppure fuori Fabric
Rendezvous Point dovrebbero essere configurati a livello di Border Node
PIM messages sono unicast tra Border ed Edge node
I pacchetti multicast sono replicati a livello di head-end Border devices verso la parte di Edge nodes.

Step-1: navigate to Design > Network Settings > IP address pool

Create a pool under the global site hierarchy and reserve the pool in the respective site

Un global pool è dedicato per unicast IP loopback interfaces in overlay VN con multicast enabled per la trasmissione di PIM Join

Step-2: navigate to: Provision > Fabric Site > click on Fabric Border Node > select Enable Rendezvous Point.

Step-3: all’interno del match Associate Multicast Pool to VNs, sotto Associate Virtual Networks, scegliere la VN e sotto Select IP Pool, scegliere il pool creato per il Muslticast, click Next eppoi Enable.

Step-4: ripetere i precedenti steps per eventuali altri Fabric Node; click Save eppoi Apply.

DNA-Center prevede la configurazione per il Multicast sui Border Node, crea le loopback con MSDP peering attivo per il Rendezvous Point state communication tra Border Node.

Step-5: in caso di multicast MSDP peering all’esterno rispetto ai Border Node verso il Fusion Router, settare la seguente configurazione per ogni Border Node:

Global level:

ip multicast-routing

ip pim rp address < RP address >

ip pim register-source loopback0

ip pim ssm default

Interface level:

ip pim sparse-mode

Step-6: enable Native Multicast for IPv4 > Save > leave the default selection of Now > click Apply.