cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
Avisos
Ask Me Anything - Webex Bots
7477
Visitas
80
ÚTIL
22
Respuestas
Cisco Moderador
Community Manager

Fundamentos de SD-Access -AMA

ama-dina-adaccess_900x150.png

ATE-Participa

-Este tipo de evento era formalmente conocido como Pregunte al Experto-

En este evento la Cisco Designated VIP Diana Rojas contestará todas su dudas e inquietudes tanto técnicas como básicas de SD- Access; desde su uso, implementación, configuración, diseño y trobleshooting, hasta sus mejores prácticas . 

SD-Access permite brindar acceso a cualquier usuario, dispositivo o aplicación dentro del perímetro de la nube sin comprometer la seguridad. Es una de las soluciones más avanzadas para automatizar la política de usuarios y el suministro de dispositivos.  Además, permite que las operaciones de IT sean más eficientes, seguras y coherentes con la experiencia de los usuarios.

Haga sus preguntas del 19 al 30 de Abril del 2021.

Detalles de la Especialista
Diana.jpgDiana Rojas es una ingeniera de telecomunicaciones especializada en el área de routing y switching, trabaja como ingeniera postventa en el Gold Partner de Cisco BVS Technologhy Solutions en Argentina. Anteriormente ha trabajado como ingeniera de implementación y soporte de proyectos en CPS Latam y Protokol, así como analista de redes en Teleperformance S.A. Diana tiene experiencia como ingeniera de soporte e implementación de redes en sus distintas fases de planeación y diseño -de bajo o alto nivel-, planes de migración, controles de cambio y pruebas de plataformas. Es una ingeniera en telecomunicaciones egresada de la Universidad Nacional Experimental de las Fuerzas Armadas de Venezuela. Diana cuenta con distintas certificaciones de Ciso incluyendo, CCNA, CCNP Enterprise, Cisco SD-WAN Specialist, Cisco CMNA, Cisco SD-Access Specialist, ACI Operations y otras dentro de la industria como PCAP- Phython Essentials, NDG Linux Unhatched y Network Security (IINS) v3.0 entre otras.
Diana es una contribuidora activa de la comunidad y ha sido seleccionada como Cisco Designated VIP en el 2018, 2019 y 2021.

Visite nuestra categoría de Routing y Switching para más información del tema.

** ¡Los puntos de utilidad fomentan la participación! **
Por favor asegúrese de dar unospecial-programs.png a las respuestas a sus preguntas.

22 RESPUESTAS 22

Hola ingeniera

Le comparto una duda básica

¿por qué DNA Center se asocia con SD-Access? En si, cómo se relacionan o cuál es la función de DNA en SD-Accces?

¡Hola Fernando! muy buenas tardes y primeramente gracias por tomarte el tiempo de publicar tus consultas.

 

DNA Center tiene muchísimos usos en SD-Access, pero el principal es básicamente que toma el rol de "orquestador" dentro de la arquitectura, por lo que puedes usarlo para hacer el provisioning y configuración de todo el fabric SD-Access y a la vez que puedes usarlo para administrar las licencias, las imagenes (IOS), y para recolectar información de telemetría de tu red. Tiene además algunas herramientas como "LAN Automation" que te permitiría agregar un nuevo edge a la red y aprovisionarlo completamente al Fabric sin básicamente tener que tocar el switch por lo que te ahorrarías muchísimo tiempo de aprovisionamiento, por lo que es un elemento fundamental de la arquitectura.

 

Espero te haya servido esta pequeña respuesta, si tienes mas consultas estoy completamente a disposición. 

 

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

 

Saludos,

Javier Acuña
VIP Engager

Saludos compañera @diana, gracias por aporta siempre contenido de gran calidad a la comunidad de cisco, actualmente  SD-wan acces esta involucrado en mucha comunicación, para nuestra Organización y efectivamente esta debe estar enlazada a todos los temas de seguridad, 

 

Para implementar políticas de seguridad mediante IPS, es necesario instalar el software del motor UTD en cEdges. ?

 

Saludos cordiales.

 

Hola Javier! buenas tardes, gracias primeramente por sumar tu consulta al foro.

 

Respecto a tu duda me parece que se esta mezclado un poco el tema, los cEdges forman parte de la arquitectura de SD-WAN, en el caso de la arquitectura de SD-Access la seguridad viene por Macro y Micro segmentación, en el cual la primera es una segmentación por Virtual Networks (VRFs) y la segunda se logra a través de Trustsec usando grupos escalables en cisco ISE (que es un elemento imprescindible en la arquitectura de SD-Access).

 

Espero te haya servido esta pequeña respuesta, si tienes mas consultas estoy completamente a disposición. 

 

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

 

Saludos,

@diana Muchas gracias por la aclaratoria.

 

 

Mis mejores deseos para ti !!!

Gracias a ti 

 

Saludos!

dulfranc1
Beginner

Hola Diana

Ver a un chica en los foros es genial, gracias!

Se habla mucho de las mejoras o alternativas que SD-Access pueden dar a nivel seguridad, pero ¿cómo verdaderamente funciona? Además, he leído que puede ayudar a brindar seguridad en Internet de las Cosas (IoT), esa área siempre ha tenido ese punto frágil de seguridad

¿podrías compartir tus comentarios al respecto?

Hola dulfranc1 buenos días, gracias por sumar tu consulta al foro.

 

En SD-Access tienes básicamente 2 capas de seguridad: La macrosegmentación y la microsegmentación. La capa Macro lo que te garantiza es el aislamiento de tablas de ruteo dentro de la arquitectura, por lo que por ejemplo podrías tener a todos los usuarios corporativos en una Virtual Network (que es una VRF), podrías tener otra VN para IOT, otra para los Guest and BYOD, entre otras. y cada una de esas redes virtuales serán instancias independientes de enrutamiento coexistiendo dentro de los mismos equipos al mismo tiempo.

Ya en ese punto estarías garantizando que a nivel de ruteo los usuarios en la VN "Guest" no puedan alcanzar a los dispositivos de la VN "IOT" por ejemplo (a menos que así decidas configurarlo), y podrías manipular los accesos y permisos a nivel de enrutamiento que tiene cada una de estas VNs por separado.

 

En una segunda etapa tendrías la micro segmentación (Grupos Escalables), esta se alcanza mediante el uso de Trustsec con Cisco ISE. Esto lo que te garantiza es un aislamiento dentro de las Virtual Networks lo que te da una flexibilidad enorme dentro de la arquitectura. Por ejemplo, dentro de la VN "Usuarios" puedes crear un SGT llamado "Cámaras", otro llamado "Usuarios corporativos" y uno adicional llamado "Usuarios Seguridad". En este punto puedes configurar el ISE de tal forma que cuando un usuario o dispositivo se conecte a tu fabric quede marcado con el SGT correspondiente, y con esto puedes crear reglas en la matriz de Trustsec para definir por ejemplo:

 

Los usuarios corporativos pueden hablar con los usuarios de seguridad.

Los usuarios de seguridad tienen acceso a las cámaras mediante el puerto "X".

Los usuarios corporativos no tienen acceso a las cámaras.

 

De hecho hasta podrías definir que los usuarios de un mismo SGT queden aislados entre ellos mismos si quisieras.

 

En el caso de IOT los switches de esta tecnología ahora están aceptados dentro del fabric como un nodo extendido "extended node" por lo que todos los beneficios mencionados anteriormente se trasladan (aplican) a los dispositivos de esta tecnología.

 

Espero haber clarificado un poco tu duda, si tienes mas consultas quedo a disposición.

 

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

 

Saludos,

 

 

 

Hola Diana

Muchas gracias por la amplia respuesta, es muy clara.

Solo una duda, tu mencionas el poder usar Trustsec con ISE, con lo nuevo que da Cisco sería posible considerar otras alternativas como SASE o SecureX para esta parte de seguridad en la microsegmentación que mencionas?

Hola! A menos hasta donde mi conocimiento llega entendería que no, ISE es la única herramienta que en este momento se integra con Cisco DNAC para lograr la microsegmentación, ten en cuenta que si bien esta es una característica de ISE, para SD-Access se orquesta y configura desde DNA Center (por defecto, a menos que otorgues el control de la matriz a Cisco ISE). 

 

Creo que ninguna de las dos herramientas puede hacer algo como lo hace ISE con Trustsec. Sobre SASE es una aplicación un poco mas orientada a la seguridad de SD-WAN; entiendo que tiene Zero trust, pero al menos de mi parte desconozco que pueda hacer algún tipo de control o segmentación de usuarios o dispositivos en una red LAN. Respecto a SecureX, esa es una solución para unificar la visibilidad de todas tus herramientas y aplicaciones de seguridad, por lo que entiendo tampoco tiene una solución que se solape con la de Trustsec.

 

Igual entiendo que en algún momento SecureX se va a integrar con DNAC Center (por lo que indica este link: https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2020/pdf/DGTL-PSOSEC-1105.pdf).

 

Si tienes alguna duda adicional hazme saber.

 

Saludos,

 
 
 
 
 
 
 
 
 

Diana, muchas gracias como siempre!

Me queda mucho más claro y el link es de gran referencia

¡Que tengas un lindo fin de!

¡Muchas gracias! Igual para ti 

 

Saludos,

Dani Ma
Beginner

Hola

Diana por favor ayuda a clarificar mi duda. En qué versión están disponibles los Shared Services (Fusion Router), tengo un poco de confusión. He visto que mencionan la 1.4 FCS ¿esto es correcto?

Hola Dani buenos días,

 

Confírmame si te entendí bien o no, entiendo que lo que quieres saber es ¿en qué versión de DNA Center tienes la opción de aprovisionar a los Fusion Routers? Por el momento en ninguna, entiendo que esta en road-map la funcionalidad de LISP Extranet que te permitiría ahorrarte la configuración de los fusions routers pero por el momento no se encuentra disponible, por lo que la configuración de estos equipos debes realizarla a mano como lo indica el CVD de SD-Access o como lo indica la siguiente guía: https://www.cisco.com/c/en/us/support/docs/cloud-systems-management/dna-center/213525-sda-steps-to-configure-fusion-router.html

 

Espero haber clarificado un poco tu duda, si tienes mas consultas quedo a disposición.

 

***Por favor no olvides calificar y/o marcar como solución las respuestas útiles, tu calificación promueve nuestra participación.***

 

Saludos,

Crear
Reconozca a un colega
Content for Community-Ad