DNA center SDA 전환 시 망 분리

minhp1 · ‎10-14-2021

DNA Center를 현재는 assurance 용도로 사용을 하고 있는데 SDA로 전환을 해보려고 합니다. 논리적인 망 분리가 가능하다고 하는데 그러면 분리된 망끼리 통신이 필요하면 어떻게 해야되나요?

pjs163001 · ‎10-14-2021

Fusion Router 라는 기능을 하는 장비에서 Leaking 설정을 통해 VN간 특정 네트워크에 대한 통신을 가능하게 합니다.

dyghill · ‎10-26-2021

SDA의 논리적 망 분리(Macro Segmentation)는

VN(Virtual Network)을 통해 구현되며 VN은 곧 개별적인 vrf 형태라고 보시면 됩니다.

SDA fabric 내부에서의 VN 간의 통신은 논리적 망 분리 목적 상 불가하며 반드시 fabric 외부를 통해 제어되어야 합니다.

VN 생성 시 SDA의 Border Node는 해당 vrf의 BGP address-family를 자동으로 생성하며

Border Node와 연결된 SDA fabric 외부 장비(Fusion)에서 이 vrf들을 사용자가 필요한 형태로 leaking을 하거나

필요에 따라 vrf 없이 GRT(Global Routing Table)에 통합할 수도 있습니다.

SDA의 또 다른 형태의 망 분리로는 endpoint 인증을 통해 부여되는 SGT를 활용하여

endpoint 간의 통신을 제어하는 Micro Segmentation이 있습니다.

SDA의 segmentation 관련하여

아래 링크의 동영상을 참고 하시기 바랍니다.