Уважаемые коллеги, Я настроил порт тестового коммутатора так, чтобы в качестве первой аутентификации использовался Dot1x, а в качестве резервного варианта на случай сбоя dot1x — аутентификация типа Mab. Всё, похоже, работает правильно. Но у меня есть вопрос: если я подключу новый ПК, которого нет в базе данных ISE Mab, должен ли этот ПК получить доступ к сети? До свидания, JF

Всем привет! В проекте SD-Access с маршрутизацией доступа уровня 3 я заметил, что коммутаторы доступа соединены с коммутаторами распределения, но не напрямую друг с другом. Поэтому я хотел бы узнать, раз решение о маршрутизации принимается непосредственно на коммутаторах доступа, почему бы не соединить их напрямую друг с другом в дополнение к соединению с коммутаторами распределения?

Здравствуйте, В настоящее время я оцениваю SD-Access Transit для развертывания SDA на нескольких площадках. На CLEUR2020 я заметил, что при использовании такого типа транзита многоадресная рассылка между сайтами не поддерживается. Я не могу найти документацию, в которой бы указывалось, поддерживается ли многоадресная рассылка в более новых версиях DNAC. Кто-нибудь располагает этой информацией? С уважением, Сильвен.

Привет Я провожу очень простой тест автоматизации LAN, в котором у меня есть один пограничный узел, настроенный вручную и обнаруженный, который я затем собираюсь использовать в качестве исходного устройства для второго пограничного узла. Когда я запускаю процесс автоматизации LAN, второй пограничный узел обновляется до моего золотого образа. Затем он продолжает процесс автоматизации LAN. Новое устройство без проблем получает свой IP-адрес и опцию 43 от исходного устройства. Получен IPv4-адрес 198.18.0.6 на интерфейсе Vlan1 Получены следующие опции DHCPv4: vendor : 5A1D;B2;K4;Ixxx.xxx.xxx.xxx;J80; Я получаю успешный ответ hello на порту 80 Обнаружение PnP выполнено успешно (PnP-DHCP-IPv4) профиль (pnp-zero-touch) через ( http://xxx.xxx.xxx.xxx:80/pnp/HELLO ) Через некоторое время я вижу %PNP-6-PNP_BACKOFF_NOW: PnP Backoff сейчас на (169200) секунд запрошен (1/3) (profile=pnp-zero-touch, ip=xxx.xxx.xxx.xxx, port=443) Похоже, что происходит переключение на порт 443 и запускается чрезвычайно длинный таймер отката. Если я делаю захват на устройстве-источнике, я вижу обмен данными между моим устройством и DNAC на 443. После этого автоматизация LAN никогда не удается. Я подождал всю ночь, но ситуация не изменилась, поэтому я посмотрел некоторые журналы на новом устройстве и заметил следующее %PNPA-MONITOR: 990 _pmpjne.don: watch_id=[-], pmen_type=[pnp-server-unreachable], pmew_type=[pnp-server-tracking], notified: by=[profile=pnp-zero-touch, ip=xxx.xxx.xxx.xxx, port=443], at=[08:50:48 UTC Tue Mar 19 2024], reason=[pnp-zero-touch], progress=-1% Однако я могу успешно выполнить ping моего DNAC и тест telnet для портов 80 и 443. Но в журналах по-прежнему отображается сообщение pnp-server-unreachable. Кто-нибудь сталкивался с подобным ранее? Кев.

На рисунке ниже узлы контрольной плоскости соединены с пограничными узлами. В документе «Проектирование фабрики SD-Access» упоминается, что промежуточные узлы соединяются между собой и обеспечивают IP-связь между устройствами, которые играют роль в фабрике SD-Access, такими как граничный узел фабрики, пограничный узел фабрики и узел плоскости управления. Поэтому я хотел бы узнать, возможно ли подключить узлы контрольной плоскости напрямую к промежуточным узлам? ![a.png] [image: 25f57613c629e8dc9396500e88dff8c552707350.png]

Здравствуйте, Я пытаюсь настроить работу LAN Automation, но сталкиваюсь с некоторыми проблемами. У меня есть 2 C9500, которые подключены через магистрали к паре C6800 в VSS. У них настроена VLAN с IP-адресом, который используется для управления. Я использую один из C9500 в качестве источника для «LAN Automate» одного C9300. Всё, кажется, идёт хорошо. 9300 обнаруживается процессом автоматизации, и конфигурация передаётся на устройство. Когда статус изменяется на «Provisioned», оно добавляется в инвентарь, и я могу получить к нему доступ по адресу loopback0 (у меня есть статический маршрут для подсети IP Pool на C6800, который указывает на IP-адрес VLAN управления на C9500). Следующим шагом будет остановка процесса автоматизации LAN, чтобы каналы L2 были преобразованы в L3. После остановки процесса автоматизации через некоторое время C9300 становится недоступным, и в журналах сеансов автоматизации LAN я вижу сообщение «Все каналы L3 для устройств уровня 2 не могут быть настроены в течение 900 секунд». Я уверен, что делаю что-то не так, но не могу понять, что именно. Буду благодарен за любую помощь. Спасибо.

Есть ли команда для просмотра размера и емкости базы данных узла Transit Control Plane? Есть ли способ увидеть количество префиксов в базе данных и максимальную емкость данного устройства? Возможно, это не является проблемой, но я хотел бы узнать, есть ли способ проверить эту емкость при внедрении SDA.

Здравствуйте Я вижу в нашем DNAc, что теперь в Inventory можно добавлять устройства FMC. Может ли кто-нибудь сказать мне, можно ли их добавлять, если FMC не входит в SD Access, и если да, то что я могу делать с FMC после добавления, а также не вызовет ли добавление FMC сбоев в работе. Спасибо

Привет В DNAC мы можем определить только один пул точек доступа. Точка доступа либо автоматически назначается этому пулу с помощью макроса на точке доступа, либо мы вручную назначаем порт пулу точек доступа в области назначения портов. Однако это позволяет использовать только один пул. У нас есть сценарий, в котором мы одновременно выполняем замену WLC и AP, а также миграцию SDA. Некоторые AP являются более старыми и должны оставаться на старых контроллерах, а некоторые являются новыми и будут перенесены на новую пару Cat9800. Однако у нас будут оба типа в сети SDA одновременно, так как миграция коммутатора доступа к Edge будет опережать работу по замене AP. Поэтому я не могу поместить старые точки доступа в пул точек доступа, поскольку он указывает на контроллер, который не поддерживает их через опцию 43. Поэтому я подумал, что, возможно, я мог бы определить пул точек доступа, который указывает на новые контроллеры, и поместить в него новые точки доступа. Я подумал, что с помощью старых точек доступа я мог бы создать L2VN и вывести его за пределы своей структуры, поместить на него старые точки доступа, поддерживать внешний шлюз и перенаправлять на старый WLC через опцию 43 в этом пуле. Таким образом, я бы эффективно назначил порты, на которых находятся мои старые точки доступа, как «Пользовательские устройства (IP-телефон, компьютер, ноутбук)» в части DNAC, отвечающей за назначение портов. Я сделал это, и порт действительно поместился в VLAN, связанную с моим l2VN. Однако моя точка доступа так и не получила адрес DHCP. Когда я поместил ноутбук в тот же пул, он получил адрес через адрес помощника на внешнем шлюзе. Есть ли что-то, что устройство Edge делает при идентификации точки доступа, в результате чего оно не пропускает запрос DHCP, если точка доступа не находится в пуле точек доступа? Спасибо, Кев.

Все виртуальные сети из пограничного узла SDA должны подключаться к одному и тому же устройству Fusion? Мы хотим объединить корпоративный трафик с нашим GRT с помощью коммутатора Nexus. Мы хотим пропустить наши виртуальные сети IOT и Guest через брандмауэр для проверки и контроля. Существуют ли какие-либо ограничения на отправку трафика из отдельных виртуальных сетей на разные устройства Fusion?

Здравствуйте Могу ли я управлять коммутаторами, которые не входят в нашу структуру SDA Fabric, они находятся в другой части сети, я хотел бы управлять ими через DNAC, чтобы использовать DNAC для обновления образов и т. д. Если это возможно, кто-нибудь может мне объяснить, как это сделать? Также могу ли я управлять FMC через DNAC, если он не входит в структуру SDA? Спасибо.

Какое оборудование рекомендуется для работы функции Transit Control Plane? У нас может быть несколько сайтов в топологии MAN, и мы хотим подключить их через SD-Access Transit. Интересно, какое оборудование рекомендуется для Transit Control Plane в производственной среде.

Здравствуйте, есть ли какой-нибудь проект SD-Access, в котором брандмауэр расположен внутри фабрики для проверки состояния SGT-SGT? Спасибо

Здравствуйте, У нас возникла ситуация, когда нам нужно подключить расширенный узел к краю фабрики, и у меня есть следующие вопросы: 1- Можно ли подключить коммутатор расширенного узла c3560-CX к краю фабрики C3650? (Насколько я знаю, это должно быть поддерживаемо, но мне нужно двойное подтверждение). 2- Можно ли подключить несколько коммутаторов расширенного узла к одному и тому же коммутатору края фабрики? Спасибо и с уважением Моамен

Привет! В моей тестовой среде я развертываю C9500 в качестве пограничного узла, подключенного к маршрутизатору Fusion (C9300) и C9300 в качестве пограничного устройства. Я выполнил автоматизацию LAN с Fusion Router в качестве источника. Процесс прошел как ожидалось, C9500 и C9300 были обнаружены и настроены. Когда я настраивал роль пограничного узла на C9500 и выбрал ранее созданный IP-транзит, система запросила интерфейс для передачи. Если я выбираю тот же интерфейс, что и для восходящего канала к Fusion Router, появляется ошибка, что интерфейс имеет IP-адрес (как и должно быть). Мой вопрос: нужно ли мне иметь второй восходящий канал между C9500 и Fusion Router? Есть ли другой способ сделать это (порты 100 Гб стоят дорого). Спасибо за любую помощь.

Здравствуйте, В рамках внедрения SD-Access мы хотели сохранить некоторые функции, которые были в нашей старой сети Cisco, где доступ к интерфейсам управления нашими коммутаторами Fabric ограничен определенными удаленными адресами и адресом DNA-C. Мы подумали, что было бы неплохо использовать шаблон, чтобы применить такую конфигурацию CLI ко всем нашим коммутаторам. К сожалению, при применении конфигурации ACL или конфигурации на VTY через шаблонный концентратор возникает конфликт. ![bfbcnet_0-1717416136229.png] ![bfbcnet_2-1717416493862.png] При наведении курсора на знаки Excimation появляется сообщение об ошибке: «Эта команда зарезервирована для Cisco DNA Centre». Похоже, что нельзя применять дополнительную конфигурацию ACL сверх того, что применяет DNA в рамках настройки фабрики SD-A. Есть ли какая-либо документация об этих конфликтах, чтобы я знал, как их избежать в будущем, и есть ли другой способ достичь того, чего я хочу? Настройка в области фабрики или что-то в редакторе конфигурации модели? В данном случае мне не хватает возможности просто ввести конфигурацию CLI... [image: a82c2a81ee0b5f09e7add8d7e6c600edd354c7bb.png] [image: d90484f2ffee6dfb436c149c15d610c5c08b8726.png]

Привет Я тестирую Trustsec в своей лаборатории SD Access. Я могу назначить 2 порта на пограничных коммутаторах разным группам, а затем применить политику, которая блокирует пинги, и это работает нормально. Я не аутентифицирую пользователей, поэтому я статически назначаю SGT через DNAC, когда назначаю порты пулу адресов. Однако я также пытаюсь протестировать защиту трафика к внешнему серверу, который находится в моей области общих служб, которая находится в GRT. Чтобы добраться до сервера, мне нужно оставить мой SD Access vrf на L3 handoff и пройти через устройство fusion, где я маршрутизирую утечку. Поэтому я пытаюсь применить политику на моих границах таким образом, чтобы статически назначить IP-адрес с SGT xx с помощью команд cts role-based sgt-map 10.10.10.10 sgt 10 Затем моя матрица ISE блокирует моих клиентов в SGT 5, которые пингуют сервер в SGT 10. Я вижу, что политика попадает на мои границы с помощью show cts role-based permissions Однако трафик к внешнему устройству не блокируется. Возможно ли это сделать, и если да, то что я упускаю? Я хочу применить политику экстрасети, чтобы поделиться INFRA_VN с VN клиента. Это работает, и трафик не должен проходить через Fusion. Однако это не обеспечивает никакой безопасности. Это все или ничего, потому что когда я назначаю INFRA_VN в качестве провайдера, а VN клиента в качестве подписчика, клиент может получить доступ ко всему в моем INFRA_VN. Я хочу иметь возможность фильтровать трафик на границе с помощью политики SGT. Альтернативный вариант — я отправляю трафик клиента через брандмауэр и обратно через GRT, который подключается к INFRA_VN. Это работает, но неэффективно, поскольку трафик выходит за пределы границ фабрики и снова возвращается обратно. Спасибо за любой вклад, Кев.

![lanautocsnv.png] В файле csv столбец A — это имя хоста? Если я правильно понимаю, вы создали файл CSV с этим правилом, но в Lan automaion имя хоста рандомизировано. Как изменить имя хоста в DNAC Lan Automation с помощью файла CSV [image: b64b5bc0ea49969127ae432ae09079c2011dfb19.png]

Здравствуйте, Я ищу подходящее решение SD-Access для очень небольших сайтов. Например, с 5–15 портами LAN. Рассматриваю вариант развертывания Fabric in a box с прямым подключением хостов. Можно ли в этом сценарии использовать небольшой коммутатор 9200 в качестве FiaB? Или даже 9200CX? В руководстве по заказу SD-Access 9300 упоминается как «самая низкая» платформа FiaB. Кроме того, в матрице совместимости 9200 не указан как Control Plane/Border Node. Коммутаторы 9200 указаны только как Edge Nodes. Могу ли я использовать коммутатор 9200 в качестве FiaB? Если нет, то почему? Какая может быть альтернатива? Коммутатор 9300 с 24 портами? Я знаю, что существуют определенные ограничения для 9200 и Fabric enabled Wireless. Особенно со встроенными WLC. Заранее спасибо , Тони ||| Пожалуйста, оцените полезные сообщения. Спасибо! |||

При исследовании SD-Access наиболее часто упоминаемым руководством является Cisco SD-Access Solution Design Guide (CVD) , которое было издано более 4 лет назад. Это кажется устаревшим для технологии, которая вызывает такой ажиотаж и активно продвигается на рынке. То же самое можно сказать и о руководстве Software-Defined Access for Distributed Campus Deployment Guide , которому уже 5 лет. Почему эти документы не обновляются? Содержат ли они по-прежнему последние рекомендации и подходы к проектированию? Если бы вы начинали с нуля, рекомендовали бы вы эти руководства? Я знаю, что есть новые презентации Cisco Live и некоторые «проверенные профили», но остается ли руководство SD-Access Solution Guide основным источником достоверной информации? С уважением и заранее спасибо , Тони ||| Пожалуйста, оцените полезные сообщения. Спасибо! |||