Silent Hosts i Cisco SD-Access

I dette blogindlæg kigger vi på hvordan Cisco SD-Access kan udbredes til miljøer, hvor der er opkoblet en særlig gruppe af produktionsenheder, som i sig selv ikke er særlig SD-Access-venlige. Der er tale om såkaldte ”silent hosts”, og disse udfordrer to centrale komponenter i SD-Access løsningen, nemlig LISP og ISE.

SD-Access Onboarding
Lad os starte med at kigge på hvordan almindelige endpoints identificeres og onboardes på netværket.

Normal SD-Access onboarding

Endpoint’et sender netværkstrafik i form af f.eks. 802.1X, DHCP eller ARP
Switchen starter en RADIUS-session med Cisco ISE, som tildeler IP Pool (VLAN) og Scalable Group Tag
Endpoint IP-adressen registreres med LISP i SDA Control Plane-noderne
Cisco ISE kan påbegynde Network Scanning for eventuel profilering af enheden

Denne proces er helt grundlæggende for onboarding af endpoints i et SD-Access netværk, og fungerer normalt udmærket.

Silent Hosts
Men særligt i produktionsvirksomheder ses ofte IOT-enheder, der aldrig går i gang med trin 1 ovenfor. Det kan f.eks. være produktionsrobotter, måleinstrumenter og visse PLC’er. Lad os tage udgangspunkt i en produtionsrobot, som er helt stille i forbindelse med netværksopkobling, og som bliver tilsluttet et SD-Access netværk.

Silent host onboarding failure

Når endpoint’et er helt stille, kan processen med onboarding i ISE og LISP ikke finde sted. Derfor understøttes disse enheder som udgangspunkt ikke i Cisco SD-Access, medmindre man vælger at aktivere Layer-2 flooding og kombinerer dette med statiske VLAN tildelinger på switchporte. Derved forringes den optimerede destinationsbaserede VXLAN fabric forwarding, samt ensartetheden og dynamikken i access-switchporte, som er nogle af de store fordele ved SD-Access. For nuværende er dette desværre Ciscos eneste officielle workaround.

Hvordan kan man opretholde de grundlæggende pricipper i SD-Access omkring ingen flooding, samt ensartet og dynamisk switchportkonfiguration, samtidig med at supportere silent hosts?

Enhanced Onboarding
For at overkomme denne begrænsning i SD-Access, har Wingmen udviklet en app kaldet ”Enhanced Onboarding”, som hostes på de relevante Catalyst 9000-switche i netværket. App’ens rolle er at udføre udvidet detekteringen af endpoints og potentielle silent hosts. Hvis en enhed tilkobles uden at sende trafik, registreres dette automatisk af ”Enhanced Onboarding”, som efterfølgende sørger for at igangsætte onboarding for ISE og LISP, via de indbyggede mekanismer i SDA Edge-noden.

Wingmen Solutions Enhanced Onboarding

Fysisk link-up uden afsendelse netværkstrafik igangsætter udvidet detektering.
Via IOS-XE API’et initieres lokal onboarding af endpointet for MAC og IP
Switchen starter en RADIUS-session med Cisco ISE, som tildeler IP Pool (VLAN) og Scalable Group Tag
Endpoint IP-adressen registreres med LISP i SDA Control Plane noderne
Cisco ISE kan påbegynde Network Scanning for eventuel profilering af enheden

Bemærk at de sidste tre trin er magen til standard onboardingprocessen nævnt øverst.

Enhanced Onboarding kører i en Docker-container i Catalyst 9000-switchen, og er tilgængelig for alle Wingmen-kunder. Der er intet krav om tilkøb af hardware, og løsningen er helt transparent for ISE og resten af SD-Access løsningen.

Kontakt din wingman for mere information om hvordan vi kan hjælpe med at udbrede SD-Access i dit produktionsmiljø, eller andre steder med silent hosts.

– Andreas Bækdahl

Relaterede artikler

AI og kundeservice. 4 trends i 2024 der vil forandre din hverdag

AI i kundeservice

4 trends der vil forandre din hverdag i 2024

Udforsk den revolutionerende verden af Generativ AI, der transformerer arbejdsmetoder og kundeservice. Opdag potentialet for at løse kritiske udfordringer inden for kundeservice og få indblik i, hvordan AI kan inspirere forbedringer på konkrete områder. Men er potentialet større end truslerne? Scan QR-koden for at se, hvordan et forsikringsselskab automatiserer kundeserviceelementer og giver dig et glimt af fremtidens interaktion med AI.

Jesper Gettermann 12. december 2023

Cloud monitoring for catalyst - catraki

meraki

Catraki – Sådan gør du din Catalyst-switch Meraki-monitored

Meraki og Catalyst Nyhed: Vores egen Tech Lead, Thomas Obbekær Thomsen, guider dig i, hvordan du gør din Catalyst-switch Meraki-monitored. Læs guiden her.

Thomas Obbekær Thomsen 10. november 2023

catalyst switch Meraki-managed dashboard

meraki

Catraki – Sådan gør du din Catalyst-switch Meraki-managed

Meraki og Catalyst Nyhed: Vores egen Tech Lead, Thomas Obbekær Thomsen, guider dig i, hvordan du gør din Catalyst-switch Meraki-managed. Læs guiden her.

Thomas Obbekær Thomsen 26. oktober 2023

Indlæs flere artikler

Der findes ikke flere artikler i arkivet

SENIOR NETWORK ARCHITECT

Andreas Bækdahl

Har Tech Tanken gjort dig nysgerrig på at vide mere? Så kan du følge med på hjemmesiden her eller du kan kontakte mig, hvis du har spørgsmål til denne tanke.

Mail: anb@wingmen.dk

Kontakt DIN WINGMAN

Kbh.: Tobaksvejen 23B, 2. sal, 2860 Søborg
Aarhus: Lyshøjen 2, 1. sal tv., 8520 Lystrup
Odense: Stenhuggervej 21, 5230 Odense M

Telefon: 70202110
Mail: info@wingmen.dk

CVR: 36440228

Løsninger og Services

Om Wingmen

Bliv klogere