I dette blogindlæg kigger vi på hvordan Cisco SD-Access kan udbredes til miljøer, hvor der er opkoblet en særlig gruppe af produktionsenheder, som i sig selv ikke er særlig SD-Access-venlige. Der er tale om såkaldte ”silent hosts”, og disse udfordrer to centrale komponenter i SD-Access løsningen, nemlig LISP og ISE.

SD-Access Onboarding

Lad os starte med at kigge på hvordan almindelige endpoints identificeres og onboardes på netværket.

Normal SD-Access onboarding
Normal SD-Access onboarding
  1. Endpoint’et sender netværkstrafik i form af f.eks. 802.1X, DHCP eller ARP
  2. Switchen starter en RADIUS-session med Cisco ISE, som tildeler IP Pool (VLAN) og Scalable Group Tag
  3. Endpoint IP-adressen registreres med LISP i SDA Control Plane-noderne
  4. Cisco ISE kan påbegynde Network Scanning for eventuel profilering af enheden

Denne proces er helt grundlæggende for onboarding af endpoints i et SD-Access netværk, og fungerer normalt udmærket.

Silent Hosts

Men særligt i produktionsvirksomheder ses ofte IOT-enheder, der aldrig går i gang med trin 1 ovenfor. Det kan f.eks. være produktionsrobotter, måleinstrumenter og visse PLC’er.  Lad os tage udgangspunkt i en produtionsrobot, som er helt stille i forbindelse med netværksopkobling, og som bliver tilsluttet et SD-Access netværk.

Silent host onboarding failure
Silent host onboarding failure

Når endpoint’et er helt stille, kan processen med onboarding i ISE og LISP ikke finde sted. Derfor understøttes disse enheder som udgangspunkt ikke i Cisco SD-Access, medmindre man vælger at aktivere Layer-2 flooding og kombinerer dette med statiske VLAN tildelinger på switchporte. Derved forringes den optimerede destinationsbaserede VXLAN fabric forwarding, samt ensartetheden og dynamikken i access-switchporte, som er nogle af de store fordele ved SD-Access. For nuværende er dette desværre Ciscos eneste officielle workaround.

Hvordan kan man opretholde de grundlæggende pricipper i SD-Access omkring ingen flooding, samt ensartet og dynamisk switchportkonfiguration, samtidig med at supportere silent hosts?

Enhanced Onboarding

For at overkomme denne begrænsning i SD-Access, har Wingmen udviklet en app kaldet ”Enhanced Onboarding”, som hostes på de relevante Catalyst 9000-switche i netværket. App’ens rolle er at udføre udvidet detekteringen af endpoints og potentielle silent hosts. Hvis en enhed tilkobles uden at sende trafik, registreres dette automatisk af ”Enhanced Onboarding”, som efterfølgende sørger for at igangsætte onboarding for ISE og LISP, via de indbyggede mekanismer i SDA Edge-noden.

Wingmen Solutions Enhanced Onboarding
Wingmen Solutions Enhanced Onboarding
  1. Fysisk link-up uden afsendelse netværkstrafik igangsætter udvidet detektering.
  2. Via IOS-XE API’et initieres lokal onboarding af endpointet for MAC og IP
  3. Switchen starter en RADIUS-session med Cisco ISE, som tildeler IP Pool (VLAN) og Scalable Group Tag
  4. Endpoint IP-adressen registreres med LISP i SDA Control Plane noderne
  5. Cisco ISE kan påbegynde Network Scanning for eventuel profilering af enheden

Bemærk at de sidste tre trin er magen til standard onboardingprocessen nævnt øverst.

Enhanced Onboarding kører i en Docker-container i Catalyst 9000-switchen, og er tilgængelig for alle Wingmen-kunder. Der er intet krav om tilkøb af hardware, og løsningen er helt transparent for ISE og resten af SD-Access løsningen.

Kontakt din wingman for mere information om hvordan vi kan hjælpe med at udbrede SD-Access i dit produktionsmiljø, eller andre steder med silent hosts.