I dette blogindlæg kigger vi på hvordan Cisco SD-Access kan udbredes til miljøer, hvor der er opkoblet en særlig gruppe af produktionsenheder, som i sig selv ikke er særlig SD-Access-venlige. Der er tale om såkaldte ”silent hosts”, og disse udfordrer to centrale komponenter i SD-Access løsningen, nemlig LISP og ISE.
SD-Access Onboarding
Lad os starte med at kigge på hvordan almindelige endpoints identificeres og onboardes på netværket.
Normal SD-Access onboarding
Denne proces er helt grundlæggende for onboarding af endpoints i et SD-Access netværk, og fungerer normalt udmærket.
Silent Hosts
Men særligt i produktionsvirksomheder ses ofte IOT-enheder, der aldrig går i gang med trin 1 ovenfor. Det kan f.eks. være produktionsrobotter, måleinstrumenter og visse PLC’er. Lad os tage udgangspunkt i en produtionsrobot, som er helt stille i forbindelse med netværksopkobling, og som bliver tilsluttet et SD-Access netværk.
Silent host onboarding failure
Når endpoint’et er helt stille, kan processen med onboarding i ISE og LISP ikke finde sted. Derfor understøttes disse enheder som udgangspunkt ikke i Cisco SD-Access, medmindre man vælger at aktivere Layer-2 flooding og kombinerer dette med statiske VLAN tildelinger på switchporte. Derved forringes den optimerede destinationsbaserede VXLAN fabric forwarding, samt ensartetheden og dynamikken i access-switchporte, som er nogle af de store fordele ved SD-Access. For nuværende er dette desværre Ciscos eneste officielle workaround.
Hvordan kan man opretholde de grundlæggende pricipper i SD-Access omkring ingen flooding, samt ensartet og dynamisk switchportkonfiguration, samtidig med at supportere silent hosts?
Enhanced Onboarding
For at overkomme denne begrænsning i SD-Access, har Wingmen udviklet en app kaldet ”Enhanced Onboarding”, som hostes på de relevante Catalyst 9000-switche i netværket. App’ens rolle er at udføre udvidet detekteringen af endpoints og potentielle silent hosts. Hvis en enhed tilkobles uden at sende trafik, registreres dette automatisk af ”Enhanced Onboarding”, som efterfølgende sørger for at igangsætte onboarding for ISE og LISP, via de indbyggede mekanismer i SDA Edge-noden.
Wingmen Solutions Enhanced Onboarding
Bemærk at de sidste tre trin er magen til standard onboardingprocessen nævnt øverst.
Enhanced Onboarding kører i en Docker-container i Catalyst 9000-switchen, og er tilgængelig for alle Wingmen-kunder. Der er intet krav om tilkøb af hardware, og løsningen er helt transparent for ISE og resten af SD-Access løsningen.
Kontakt din wingman for mere information om hvordan vi kan hjælpe med at udbrede SD-Access i dit produktionsmiljø, eller andre steder med silent hosts.
– Andreas Bækdahl
Meraki og Catalyst Nyhed: Vores egen Tech Lead, Thomas Obbekær Thomsen, guider dig i, hvordan du gør din Catalyst-switch Meraki-monitored. Læs guiden her.
Meraki og Catalyst Nyhed: Vores egen Tech Lead, Thomas Obbekær Thomsen, guider dig i, hvordan du gør din Catalyst-switch Meraki-managed. Læs guiden her.
Nyhed – Det er nu officielt, at du kan bruge dine 916x AP i dual persona. Læs mere her, når vores egen Tech Lead giver digindblik i hvad, hvorfor og hvordan bag nyheden.
Har Tech Tanken gjort dig nysgerrig på at vide mere? Så kan du følge med på hjemmesiden her eller du kan kontakte mig, hvis du har spørgsmål til denne tanke.
Mail: anb@wingmen.dk
Kbh.: Tobaksvejen 23B, 2. sal, 2860 Søborg
Aarhus: Lyshøjen 2, 1. sal tv., 8520 Lystrup
Odense: Stenhuggervej 21, 5230 Odense M
Telefon: 70202110
Mail: info@wingmen.dk
CVR: 36440228