¡Hola Fernando! muy buenas tardes y primeramente gracias por tomarte el tiempo de publicar tus consultas.

DNA Center tiene muchísimos usos en SD-Access, pero el principal es básicamente que toma el rol de "orquestador" dentro de la arquitectura, por lo que puedes usarlo para hacer el provisioning y configuración de todo el fabric SD-Access y a la vez que puedes usarlo para administrar las licencias, las imagenes (IOS), y para recolectar información de telemetría de tu red. Tiene además algunas herramientas como "LAN Automation" que te permitiría agregar un nuevo edge a la red y aprovisionarlo completamente al Fabric sin básicamente tener que tocar el switch por lo que te ahorrarías muchísimo tiempo de aprovisionamiento, por lo que es un elemento fundamental de la arquitectura.

Espero te haya servido esta pequeña respuesta, si tienes mas consultas estoy completamente a disposición. 

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

Saludos,

Hola Javier! buenas tardes, gracias primeramente por sumar tu consulta al foro.

Respecto a tu duda me parece que se esta mezclado un poco el tema, los cEdges forman parte de la arquitectura de SD-WAN, en el caso de la arquitectura de SD-Access la seguridad viene por Macro y Micro segmentación, en el cual la primera es una segmentación por Virtual Networks (VRFs) y la segunda se logra a través de Trustsec usando grupos escalables en cisco ISE (que es un elemento imprescindible en la arquitectura de SD-Access).

Espero te haya servido esta pequeña respuesta, si tienes mas consultas estoy completamente a disposición. 

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

Saludos,

@diana Muchas gracias por la aclaratoria.

Mis mejores deseos para ti !!!

Gracias a ti ☺

Saludos!

Hola dulfranc1 buenos días, gracias por sumar tu consulta al foro.

En SD-Access tienes básicamente 2 capas de seguridad: La macrosegmentación y la microsegmentación. La capa Macro lo que te garantiza es el aislamiento de tablas de ruteo dentro de la arquitectura, por lo que por ejemplo podrías tener a todos los usuarios corporativos en una Virtual Network (que es una VRF), podrías tener otra VN para IOT, otra para los Guest and BYOD, entre otras. y cada una de esas redes virtuales serán instancias independientes de enrutamiento coexistiendo dentro de los mismos equipos al mismo tiempo.

Ya en ese punto estarías garantizando que a nivel de ruteo los usuarios en la VN "Guest" no puedan alcanzar a los dispositivos de la VN "IOT" por ejemplo (a menos que así decidas configurarlo), y podrías manipular los accesos y permisos a nivel de enrutamiento que tiene cada una de estas VNs por separado.

En una segunda etapa tendrías la micro segmentación (Grupos Escalables), esta se alcanza mediante el uso de Trustsec con Cisco ISE. Esto lo que te garantiza es un aislamiento dentro de las Virtual Networks lo que te da una flexibilidad enorme dentro de la arquitectura. Por ejemplo, dentro de la VN "Usuarios" puedes crear un SGT llamado "Cámaras", otro llamado "Usuarios corporativos" y uno adicional llamado "Usuarios Seguridad". En este punto puedes configurar el ISE de tal forma que cuando un usuario o dispositivo se conecte a tu fabric quede marcado con el SGT correspondiente, y con esto puedes crear reglas en la matriz de Trustsec para definir por ejemplo:

Los usuarios corporativos pueden hablar con los usuarios de seguridad.

Los usuarios de seguridad tienen acceso a las cámaras mediante el puerto "X".

Los usuarios corporativos no tienen acceso a las cámaras.

De hecho hasta podrías definir que los usuarios de un mismo SGT queden aislados entre ellos mismos si quisieras.

En el caso de IOT los switches de esta tecnología ahora están aceptados dentro del fabric como un nodo extendido "extended node" por lo que todos los beneficios mencionados anteriormente se trasladan (aplican) a los dispositivos de esta tecnología.

Espero haber clarificado un poco tu duda, si tienes mas consultas quedo a disposición.

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

Saludos,

Hola Diana

Muchas gracias por la amplia respuesta, es muy clara.

Solo una duda, tu mencionas el poder usar Trustsec con ISE, con lo nuevo que da Cisco sería posible considerar otras alternativas como SASE o SecureX para esta parte de seguridad en la microsegmentación que mencionas?

Hola! A menos hasta donde mi conocimiento llega entendería que no, ISE es la única herramienta que en este momento se integra con Cisco DNAC para lograr la microsegmentación, ten en cuenta que si bien esta es una característica de ISE, para SD-Access se orquesta y configura desde DNA Center (por defecto, a menos que otorgues el control de la matriz a Cisco ISE). 

Creo que ninguna de las dos herramientas puede hacer algo como lo hace ISE con Trustsec. Sobre SASE es una aplicación un poco mas orientada a la seguridad de SD-WAN; entiendo que tiene Zero trust, pero al menos de mi parte desconozco que pueda hacer algún tipo de control o segmentación de usuarios o dispositivos en una red LAN. Respecto a SecureX, esa es una solución para unificar la visibilidad de todas tus herramientas y aplicaciones de seguridad, por lo que entiendo tampoco tiene una solución que se solape con la de Trustsec.

Igual entiendo que en algún momento SecureX se va a integrar con DNAC Center (por lo que indica este link: https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2020/pdf/DGTL-PSOSEC-1105.pdf).

Si tienes alguna duda adicional hazme saber.

Saludos,

Diana, muchas gracias como siempre!

Me queda mucho más claro y el link es de gran referencia

¡Que tengas un lindo fin de!

¡Muchas gracias! Igual para ti ☺

Saludos,

Hola Dani buenos días,

Confírmame si te entendí bien o no, entiendo que lo que quieres saber es ¿en qué versión de DNA Center tienes la opción de aprovisionar a los Fusion Routers? Por el momento en ninguna, entiendo que esta en road-map la funcionalidad de LISP Extranet que te permitiría ahorrarte la configuración de los fusions routers pero por el momento no se encuentra disponible, por lo que la configuración de estos equipos debes realizarla a mano como lo indica el CVD de SD-Access o como lo indica la siguiente guía: https://www.cisco.com/c/en/us/support/docs/cloud-systems-management/dna-center/213525-sda-steps-to-configure-fusion-router.html

Espero haber clarificado un poco tu duda, si tienes mas consultas quedo a disposición.

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

Saludos,