Здравствуйте, у меня есть несколько вопросов по поводу избыточности пограничных узлов SDA. 1. Рекомендуется ли запускать ISIS между двумя избыточными пограничными узлами? Я видел некоторые документы, в которых показаны подключенные узлы, но в них мало говорится о том, какой протокол маршрутизации подстилающей сети используется. 2. Я знаю, что iBGP можно использовать для каждого VN между пограничными узлами, однако следует ли также настраивать iBGP для базовой сети/grt, если между пограничными узлами уже работает IGP, такой как ISIS, и какова будет польза от запуска iBGP в базовой сети/grt? 3. Если запущен lisp pub/sub, я понимаю, что iBGP больше не нужен для каждого из виртуальных сетей, однако DNAC настраивает пиринг iBGP в подстилающем/grt с избыточной границей. По какой причине?

Привет Насколько я понимаю, когда я создаю шлюз Anycast в SDA, он передается на границы в виде SVI для использования клиентами на границе. Я также понимал, что на границе/CP выводился тот же IP-адрес, но на этот раз в качестве адреса обратной связи, где идентификатор обратной связи совпадает с vlanID Edge SVI. Однако в моей сети я вижу некоторые, но не все, адреса шлюза Anycast на моей границе в качестве SVI. Некоторые из них являются обратными связями, а некоторые — SVI. Это нормально? Я думал, что шлюзы были loopback на Border/CP, и это позволяло Border затем объявлять их внешне через BGP. С SVI на Border BGP по-прежнему объявляет маршрут, но я не понимаю, почему некоторые являются Loops, а некоторые — SVI. Спасибо, Кев.

Привет, ребята! У меня есть одно сомнение, но я хотел бы уточнить, пробовал ли кто-нибудь такой способ: Я знаю, что это можно сделать с помощью шаблона, но, кажется, проще сделать это через вход в систему на коммутаторе. 1. Имя хоста коммутатора: если я изменю имя хоста фабричного коммутатора через CLI и пересинхронизирую устройство, это будет нормально? 2. Точки доступа: у меня есть 400 точек доступа, которые я развернул. Можно ли сделать то же самое, изменив имя в WLC и выполнив повторную синхронизацию, чтобы обновить имя? Пожалуйста, поделитесь своим мнением.

Здравствуйте! Я использовал это руководство для настройки нашего SBEN https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/2-3-5/user_guide/b_cisco_dna_center_ug_2_3_5/b_cisco_dna_center_ug_2_3_5_chapter_01110.html#Cisco_Concept.dita_5214333f-f583-4fd1-a3db-093ca3f... . Проблема заключается в том, что DNAC продвигает неверный корневой сертификат для ISE, поэтому коммутатор, в нашем случае C9200CX, отклоняет сертификат ISE во время аутентификации dot1x и в результате попадает в недоступное состояние из-за нашей настройки по умолчанию «запретить». Мне удалось вручную поместить правильный сертификат на коммутатор перед его авторизацией, и все работает отлично, но это сводит на нет смысл автоматической регистрации. Необходимо ли, чтобы корневые сертификаты DNAC и ISE были одинаковыми, чтобы это работало, или DNAC должен передавать пакет trustpoool, в котором находится правильный корневой сертификат? Я также пытался поместить сертификат на коммутатор с помощью шаблона day0, но не удалось из-за ограничений шаблонов day0.

Всем привет, Мы используем DNAC 2.3.5.5-70026. У нас есть пул подсетей (vlan), предназначенный для считывателей карт, которые являются бесшумными хостами. Чтобы решить проблемы, связанные с бесшумными хостами, мы решили включить ip-directed broadcast (и L2 flooding) для конкретного vlan. После включения этих функций мы увидели, что vlan был создан на пограничном/контрольном узле с добавлением команд «ip-directed broadcast» и «no autostate». Я полагаю, что эти команды должны быть переданы на все Fabric Edges сайта. Но ни один из FE не был обновлен с помощью этих команд. Это нормальное поведение? Что я упускаю?

Привет Может ли кто-нибудь подсказать мне а. как добавить PSN в настройки сети в DNAC? Я не вижу PSN в опциях. У нас есть основной PSN, но мы хотим добавить дополнительный. б. какой сертификат использует ISE для интеграции с DNAC, например, узлы pxgrid, узлы psn, узлы pan Спасибо

Здравствуйте, команда! У меня есть опасения по поводу перехода с традиционной сети на SDA, особенно в отношении беспроводной части. Это будет полный переход, так как у нас есть 9 тысяч коммутаторов и 9 тысяч точек доступа, которые мы переведем на SDA. У нас есть 2 пограничных/управляющих узла, работающих параллельно с традиционной сетью. Для беспроводной сети у нас есть кластер из 2 x 9800-40, уже настроенный в режиме SSO и fabric, который также работает параллельно с традиционной сетью. Все точки доступа в настоящее время связаны с другим традиционным 9800-CL. Единственные устройства, которые нам нужно будет перенести, — это коммутаторы доступа к пограничным узлам и точки доступа к точкам доступа фабрики. План состоял в том, чтобы сначала перенести всю проводную часть, сохранив точки доступа в OTT, часть INFRA_VN и связанные с традиционными WLC, что означает, что точки доступа будут связаны с новым пулом IP-адресов точек доступа INFRA_VN с опцией 43 по отношению к традиционным WLC. Я ознакомился со следующим документом: https://www.cisco.com/c/en/us/td/docs/cloud-systems-management/network-automation-and-management/dna-center/tech_notes/b_ap_migration_from_traditional_wireless_to_sda_fabric.html#migrate-local-mode-aps Во втором сценарии упоминается, что необходимо создать 2 временных здания: 1 для OTT и 1 для Fabric. Но я немного запутался: - Должны ли мы настроить все существующие традиционные SSID как OTT в Catalyst Center? - Почему здание Fabric должно быть временным, если цель состоит в том, чтобы работать только с WLAN в Fabric? - Тогда нам следует просто перейти на традиционные WLC, выбрать AP, настроить IP-адрес Fabric WLC и повторить этот процесс для всех остальных AP, этаж за этажом, для целей роуминга? С уважением, AL

Привет всем, Недавно внедрили SD Access. Посоветуйте, пожалуйста, какие меры по усилению безопасности необходимо принять для DNAC. Нижеперечисленные пункты уже выполнены 1. Интеграция Tacacs 2. Настройка Syslog 3. NTP 4. Баннер входа 5. Конфигурация SNMP 6. Настройка резервного сервера

Здравствуйте, Из-за нехватки времени откат был выполнен некорректно. После того как коммутатор был подключен к фабрике через автоматизацию LAN, его конфигурация была удалена в CLI (pnpa service reset). Таким образом, шаги, описанные в руководстве DNAC, НЕ были выполнены: удаление из фабрики и удаление из инвентаря. (версия 2.3.5.5 + 17.9.5) Что необходимо сделать: Убедитесь, что пограничный узел больше не является частью сайта фабрики в DNA-C Удалена конфигурация маршрутизируемого порта на нисходящем канале промежуточного узла/устройства-источника Коммутатор безопасно удален из инвентаря. Кто-нибудь сталкивался с подобной ситуацией? Можно ли просто нажать «Удалить из фабрики», не подключая пограничный узел? С уважением

Здравствуйте, господа ищу в руководствах по SDA место, где описан процесс назначения SGT на основе VLAN (сопоставление VLAN и SGT) на уровне доступа. Говорится, что это находится в разделе «Подключение хоста» руководства пользователя, но либо я слепой, либо... Кто-нибудь может помочь? Заранее спасибо.

Привет, сообщество Cisco! извините за длинное сообщение. Мы работаем над решением SDA для клиента, который планирует сохранить пару сторонний брандмауэров в качестве устройства Fusion. Это полностью новое развертывание. Проект сети предполагает подключение пограничных узлов к брандмауэру Fusion через BGP с использованием VLAN на интерфейсах магистрали (dot1q trunk). Я был бы признателен за ответы сообщества на несколько вопросов, связанных с этой настройкой: Мы будем развертывать Catalyst 9600R в качестве пограничных узлов. Должны ли мы настроить их как пару Stackwise или лучше настроить их как два отдельных пограничных устройства? Если мы будем использовать отдельные границы, а не настройку StackWise, нужно ли будет вручную настраивать IBGP между пограничными узлами, или в последней версии программного обеспечения DNAC есть возможность автоматизировать этот процесс? Учитывая, что брандмауэры находятся в режиме HA (активный и резервный), как будет проходить трафик, если границы настроены в режиме Stackwise или как два отдельных узла? У клиента есть два отдельных брандмауэра: один для границы Интернета (WAN/интернет-трафик), а другой для центра обработки данных (трафик ЦОД). Следует ли установить два отдельных пиринга BGP: один с брандмауэром границы Интернета для трафика, направляемого в Интернет, а другой с брандмауэром ЦОД для трафика, направляемого в центр обработки данных? Это поможет обеспечить маршрутизацию интернет-трафика через брандмауэр границы Интернета, а трафика ЦОД — через брандмауэр ЦОД. Должен ли Cisco WLC подключаться к DC или напрямую к пограничным узлам? Должна ли быть включена функция Fabric? Заранее спасибо.

Всем привет, В нашей инфраструктуре реализованы DNAC и Stealthwatch. Мы также включили et-analytcs на наших коммутаторах SDA через DNAC. Я не совсем уверен, какая конфигурация должна быть на коммутаторах, чтобы Stealthwatch отображал информацию как о приложениях, так и о ETA. Например, на наших удаленных филиалах (маршрутизаторы ISR4321) я создал запись потока, монитор потока и экспортер потока, включил nbar на интерфейсах, которые хочу мониторить, применил команду ввода монитора потока, а также включил et-analytics на интерфейсе. Таким образом, я получаю всю нужную мне информацию в Stealthwatch. Как я могу сделать то же самое, чтобы получать трафик с наших коммутаторов SDA? Я понимаю, что если et-analytics включен на интерфейсе, я не могу применить монитор потока на том же интерфейсе. Как я могу получить информацию о приложениях? Должен ли я глобально включить видимость приложений через DNAC? В таком случае, должен ли DNAC быть конечным пунктом сборщика потоков или сборщиком потоков SNA? Будет ли конфликт, если на коммутаторах SDA включены как видимость приложений, так и et-analytics? Я помню, что где-то читал об этом, но могу ошибаться. Извините за все эти вопросы, но я не могу найти документацию, в которой было бы четко описано, что делать, когда включены DNAC/SNA и ETA. Заранее спасибо, Катерина

Здравствуйте Я хочу разрешить доступ одной подсети к хосту на сайте SDA и заблокировать все остальные подсети. Все наши сайты являются SDA. Возможно ли это и, если да, как я могу это сделать? Спасибо

Привет всем, Мы настраиваем Cisco SD-Access для регулируемой среды, соответствующей требованиям HIPAA, и нам нужен совет по сегментации VRF и настройке безопасности. В качестве устройства слияния мы используем брандмауэр. Этот же брандмауэр контролирует доступ к серверам центра обработки данных (восток-запад в ЦОД и север-юг), общим службам и границе Интернета. Мы планируем создать отдельные VRF в структуре SD-Access, чтобы обеспечить изоляцию и соответствие различных сегментов (макросегментация). Вот что мы рассматриваем. Корпоративные пользователи (1 VRF включает все IDF, например IDF VRF) Критические пользователи (например, Finance VRF, IT VRF) Гости CCTV Контроль доступа Система управления зданием HVAC IoT VRF (отдельные VRF для каждой системы IoT) Медицинское оборудование поставщиков VRF (отдельные VRF для каждого поставщика) Любое устройство в VRF, которое необходимо подключить к серверам центра обработки данных или к Интернету, будет проходить через брандмауэр, что обеспечит соблюдение политики безопасности. Мы также будем контролировать любую межсетевую коммуникацию через брандмауэр. Заранее благодарю. Буду признателен за любой совет! Можно ли создать столько VRF (около 20+) в SD-Access для макросегментации? В этой развертке у нас также есть Cisco ISE. Мы знаем, что SGT предназначен для бокового контроля в пределах одного VRF, а не для связи между северной и южной частями, поэтому в нашем случае брандмауэр является лучшим вариантом.

Мы используем конструкцию, аналогичную той, что показана на прилагаемом рисунке (источник: Cisco Live), где коммутатор Nexus vPC выступает в качестве L3-узла между пограничным устройством и брандмауэрами. Сессии BGP будут устанавливаться напрямую между: пограничными узлами и Nexus Nexus и брандмауэрами (активными/резервными) Мне было интересно, какие отношения пиринга BGP будут сформированы между Nexus и брандмауэром (iBGP или eBGP) и должны ли они иметь разные AS, если EBGP. Например Пограничные узлы: AS 65001 Nexus: AS 65002 Брандмауэры: AS 65003 Буду благодарен за любые советы или корректировки проекта. [image: cb29952d0185ffd9856d57450d3e06f5728e2374.jpg]

Мы осуществляем развертывание SDA со следующей конфигурацией 2 пограничных узла Cat 9600 BN/CP 2 коммутатора 9500 Fusion 2 промежуточных узла Cat 9500, настроенных в VSS (здание A) 2 промежуточных узла Cat 9500, настроенных в VSS (здание B) 50+ пограничных узлов Fabric Узлы BN/CP представляют собой два отдельных узла, подключенных к вышестоящим коммутаторам Fusion. Между пограничными узлами нет VSS или SVL У меня есть несколько вопросов по поводу этой топологии: 1- Можно ли выполнить автоматизацию LAN для пограничных узлов Fabric, если они подключены к промежуточным узлам, а не напрямую к пограничным маршрутизаторам? 2- Поскольку промежуточные узлы настроены в VSS, как нам следует настроить связи между: a) промежуточными узлами и BN/CP b) промежуточными узлами и пограничными узлами Fabric? Каналы порта L2 или маршрутизируемые связи L3 через каналы порта L2 3- Помимо пограничных узлов, можно ли настроить соединения пограничных и промежуточных узлов с помощью автоматизации LAN. Граница <---> Промежуточный Промежуточные <---> Крайние узлы фабрики Буду очень благодарен за любой совет.

Здравствуйте, Мы создаем сеть SDA с двумя отдельными пограничными и управляющими узлами (обе роли объединены на одном устройстве), которые подключены по BGP к брандмауэру Fusion (активный/резервный). Когда DNAC настраивает передачу границы L3, я предоставил ручную подсеть /29 между пограничным узлом и внешним устройством. Между пограничными узлами есть магистраль L2, и от каждого пограничного узла есть магистраль L2 к брандмауэру. Я хочу использовать одну и ту же транзитную VLAN на обоих пограничных узлах для подключения к брандмауэру. BN1 и брандмауэр уже имеют настроенную передачу L3 с VLAN 3001 для VRF-X. При попытке создать передачу L3 между BN2 и брандмауэром с использованием той же транзитной VLAN 3001, DNAC выдает сообщение об ошибке « «Передача Layer 3 VLAN 3002 уже используется для другой передачи Layer 3. Измените VLAN и повторите попытку». Есть ли какие-либо предположения, в чем может быть проблема?

Здравствуйте. Могу ли я проверить дизайн небольших сайтов SDA, можно ли напрямую подключить сервер DHCP/DNS к пограничному узлу?

Привет Мы используем FiAB с установленным eWLC, и я хочу обновить образ IOS-XE на наших коммутаторах 9300/9500. 1. Версии образов IOS-XE и eWLC должны совпадать? 2. В репозитории образов DNAC я вижу разные образы, но не вижу загруженных образов eWLC. Мне нужно загрузить их вручную, а после обновления коммутатора вручную обновить eWLC? 3. Я добавил два образа, образ ios-xe в репозитории образов имеет вкладку «Addon 4», а также подпакет, который является образом eWLC для этой версии IOS-XE 17.12.0.4SPA.bin. Означает ли это, что если я обновлю коммутаторы до этой версии IOS-XE, eWLC также будет обновлен из-за подпакета, или мне все равно нужно будет вручную обновить образ eWLC????? Спасибо [image: 967f4494e678b6b2357628dead3fa55788a5e1ee.png] [image: 76a3ca9274232582afa7e0ae1ab8445f326331b7.png]

Пытаюсь развернуть виртуальные сети на устройствах фабрики, но когда дохожу до этапа предварительного просмотра конфигурации, появляется сообщение «устройства не найдены». Виртуальная сеть уже создана и назначена на сайте фабрики. Некоторые быстрые проверки Устройствам Fabric (пограничные узлы, узлы контрольной плоскости и пограничные узлы) правильно назначены их роли Подтверждено, что устройства, на которые я хочу развернуть виртуальные сети, являются частью одного и того же сайта фабрики. Устройства находятся в управляемом состоянии и доступны Прилагаю скриншот. Буду благодарен за любую помощь. [image: 2bd0fbf2168651c528897da3b435ab9fe8a5a676.jpg]