I dette blogindlæg kigger vi på hvordan Cisco SD-Access kan udbredes til miljøer, hvor der er opkoblet en særlig gruppe af produktionsenheder, som i sig selv ikke er særlig SD-Access-venlige. Der er tale om såkaldte ”silent hosts”, og disse udfordrer to centrale komponenter i SD-Access løsningen, nemlig LISP og ISE.
SD-Access Onboarding
Lad os starte med at kigge på hvordan almindelige endpoints identificeres og onboardes på netværket.
Normal SD-Access onboarding
Denne proces er helt grundlæggende for onboarding af endpoints i et SD-Access netværk, og fungerer normalt udmærket.
Silent Hosts
Men særligt i produktionsvirksomheder ses ofte IOT-enheder, der aldrig går i gang med trin 1 ovenfor. Det kan f.eks. være produktionsrobotter, måleinstrumenter og visse PLC’er. Lad os tage udgangspunkt i en produtionsrobot, som er helt stille i forbindelse med netværksopkobling, og som bliver tilsluttet et SD-Access netværk.
Silent host onboarding failure
Når endpoint’et er helt stille, kan processen med onboarding i ISE og LISP ikke finde sted. Derfor understøttes disse enheder som udgangspunkt ikke i Cisco SD-Access, medmindre man vælger at aktivere Layer-2 flooding og kombinerer dette med statiske VLAN tildelinger på switchporte. Derved forringes den optimerede destinationsbaserede VXLAN fabric forwarding, samt ensartetheden og dynamikken i access-switchporte, som er nogle af de store fordele ved SD-Access. For nuværende er dette desværre Ciscos eneste officielle workaround.
Hvordan kan man opretholde de grundlæggende pricipper i SD-Access omkring ingen flooding, samt ensartet og dynamisk switchportkonfiguration, samtidig med at supportere silent hosts?
Enhanced Onboarding
For at overkomme denne begrænsning i SD-Access, har Wingmen udviklet en app kaldet ”Enhanced Onboarding”, som hostes på de relevante Catalyst 9000-switche i netværket. App’ens rolle er at udføre udvidet detekteringen af endpoints og potentielle silent hosts. Hvis en enhed tilkobles uden at sende trafik, registreres dette automatisk af ”Enhanced Onboarding”, som efterfølgende sørger for at igangsætte onboarding for ISE og LISP, via de indbyggede mekanismer i SDA Edge-noden.
Wingmen Solutions Enhanced Onboarding
Bemærk at de sidste tre trin er magen til standard onboardingprocessen nævnt øverst.
Enhanced Onboarding kører i en Docker-container i Catalyst 9000-switchen, og er tilgængelig for alle Wingmen-kunder. Der er intet krav om tilkøb af hardware, og løsningen er helt transparent for ISE og resten af SD-Access løsningen.
Kontakt din wingman for mere information om hvordan vi kan hjælpe med at udbrede SD-Access i dit produktionsmiljø, eller andre steder med silent hosts.
– Andreas Bækdahl
NIS2 direktivet stiller skarpt på cyberkriminalitet og it-sikkerhed, og tvinger danske virksomheder til stærk digital grænsekontrol…
Kontakt os Segmentering, direkte adgang til cloud, centraliseret management, zero-touch, SaaS (software-as-a-Service) optimering, IaaS (Infrastructure-as-a-Service), Microsoft Azure, Google Cloud, Amazon AWS,
Udviklingen inden for IT går stærkt.
Derfor kan det være svært at skabe sig et overblik over, hvilke tendenser…
Har Tech Tanken gjort dig nysgerrig på at vide mere? Så kan du følge med på hjemmesiden her eller du kan kontakte mig, hvis du har spørgsmål til denne tanke.
Mail: anb@wingmen.dk
Kbh.: Tobaksvejen 23B 1. sal th., 2860 Søborg
Århus: Lyshøjen 2 1. sal tv., 8520 Lystrup
Telefon: 70202110
Mail: info@wingmen.dk
CVR: 36440228