Я изучаю SDA, настраиваю лабораторию и провожу тестирование. Есть сценарий для двух зданий, каждое из которых является FIAB: с использованием Catalyst Center один Fusion три объекта: ЗДАНИЕ-1 Транзит в Fusion BLDG-2 Переход к Fusion через BLDG-1 SDA_Переход Я выполнил большинство шагов на BLDG-1 C9200CX, чтобы сделать его CBE, но когда я перехожу в инфраструктуру Fabric и выбираю коммутатор, единственный доступный вариант — это включить Edge Node! Мне нужно сделать его edge, control и border, но доступен только вариант edge. Что я упускаю? ![NajibAkbari_0-1746735498735.png] [image: 9869c8a6c3341ee2a07e68c20ac6d81cc6b512ed.png]

Здравствуйте, Я хотел бы спросить, какая конфигурация требуется для развертывания коммутатора в режиме Fabric-in-a-Box (FIAB) (только один стек из двух коммутаторов, без подключенных нисходящих каналов). Я вижу, что для того, чтобы объявить его как CP/BN/Edge в графическом интерфейсе Fabric Site Catalyst Center, единственным требованием является создание интерфейса Loopback0 с IP-адресом, доступным для Catalyst Center. После этого Catalyst Center автоматически развертывает полную конфигурацию, и коммутатору назначаются все три роли (CP/BN/Edge). Насколько я понимаю, нет необходимости вручную настраивать что-либо, кроме того, что я упомянул. Однако я заметил, что автономный коммутатор FIAB, использующий IP Loopback0, по-видимому, не имеет объявленного IS-IS, а MTU не установлен на 1492. Это правильно? Спасибо!

Привет, команда! У нас есть шестиузловая развертка с 2 администраторами и 4 PSN. Для интеграции ftd в каком узле нам нужно включить pxgrid persona и почему? Заранее спасибо

Здравствуйте! У меня версия DNAC 2.1.2.5 и структура доступа SD на базе двух коммутаторов C9300-48U: один узел пограничного и управляющего уровня, другой — пограничный узел. Я создаю одну сеть VN USERS с одной IP-сетью и пытаюсь настроить маршрутизацию с сервером вне структуры, но у меня возникла проблема. Пограничный узел получает маршруты через BGP в vrf:USERS (я могу пинговать этот сервер с пограничного узла через vrf USERS), но ПК, подключенный к Edge, не может пинговать этот сервер (ПК может пинговать только шлюз по умолчанию и другой ПК в этой подсети). Я также не могу достичь сервера с коммутатора Edge через VRF:USERS. Маршрутизатор Fusion нормально получает маршрут к сети USERS в фабрике через BGP. Моя фабрика была создана с помощью автоматизации LAN, поэтому я не настраиваю пограничное устройство самостоятельно, вся конфигурация передается на пограничный узел с помощью DNAC. Некоторые выводы с устройства Edge: Switch-10-10-40-132#show ip route vrf USERS -----//--------------------- Шлюз последней инстанции не установлен 10.0.0.0/8 имеет переменную подсеть, 2 подсети, 2 маски C 10.10.52.0/23 подключен напрямую, Vlan1022 L 10.10.52.1/32 подключен напрямую, Vlan1022 Switch-10-10-40-132#show lisp locator-table vrf USERS % Не удалось найти соответствующий маршрутизатор lisp в конфигурации. Switch-10-10-40-132# Все устройства управляются в соответствии с требованиями. Скриншоты конфигурации моего DNAC приведены на прилагаемом изображении. Может быть, кто-нибудь знает, в чем проблема? Я не уверен, но если конфигурация неверна, как ее исправить? Нормально ли для DNAC вручную перенастраивать устройства фабрики? Спасибо! [image: 57df5d601e07f6c47fa60a8a52c2afc0fd6d9fee.png]

Привет всем. Недавно я начал изучать SD-Access, и в моей книге есть следующая информация о плоскости политик (TrustSec). ■ Масштабируемая группа: масштабируемая группа — это группа конечных точек с похожими политиками. Уровень политик SD-Access назначает каждому конечному устройству (хосту) масштабируемую группу с помощью тегов TrustSec SGT. Назначение масштабируемой группы может быть статическим для каждого портового края фабрики или с помощью динамической аутентификации через AAA или RADIUS с использованием Cisco ISE. Одна и та же масштабируемая группа настраивается на всех портовых краях фабрики и пограничных узлах. Масштабируемые группы могут быть определены в Cisco DNA Center и/или Cisco ISE и объявляются через Cisco TrustSec. Что касается масштабируемых групп. Говорится, что это группа конечных точек, которые имеют одинаковые политики, и что группа назначается с помощью тегов. Итак, если я присвою некоторым устройствам тег, например «IT-DEPARTMENT», все ли они будут находиться в одной и той же масштабируемой группе? Могу ли я, с другой стороны, присвоить их разным масштабируемым группам и применять политики, даже если они находятся в одной подсети, без необходимости развертывания VACL, MAC ACL и т. д.? Спасибо. Дэвид

Для одного из наших клиентов мы используем xconnect / Ethernet over MPLS между двумя сайтами, где SVI находится на одном сайте. Клиент хочет перейти на решение SD-доступа, но по-прежнему нуждается в «функции xconnect» между этими двумя сайтами. Если два сайта будут иметь отдельные фабричные сайты в SDA, возможно ли по-прежнему иметь L3 SVI на одном фабричном сайте и сделать расширение L2 на другой фабричный сайт (без использования передачи L2)? С уважением, Паскаль

Здравствуйте, все. Я только начинаю знакомиться с SDN и у меня есть несколько вопросов относительно структуры SD-Access и того, как к ней можно применять политики. Насколько я понимаю, различные политики безопасности в фабрике могут быть настроены статически или динамически с помощью Cisco TrustSec, который, как я полагаю, настраивается на таких платформах, как ISE? Если я правильно понимаю, преимущество TrustSec заключается в том, что мы можем присвоить тег каждому пользователю после его аутентификации и на основе присвоенного тега обрабатывать различные политики безопасности (разрешать/запрещать им доступ к определенным частям сети и т. д.) вместо того, чтобы полагаться на IP-адреса, MAC-адреса и т. д., что проще в управлении, чем традиционный способ применения политик с помощью сегментации ACL/VLAN. Поскольку мы идентифицируем пользователей на основе этих тегов, независимо от того, перемещается ли пользователь где-либо, подключается ли он по беспроводной сети или к другому порту коммутатора, к нему будут применяться те же политики, потому что он был помечен тегом. Как применяется этот тег? Например, как я могу определить, что конкретный пользователь должен быть помечен? Какие параметры я могу использовать для этого? Для меня логично применять его к учетным данным пользователя. Скажем, если кто-то с именем Джон и паролем Cisco присоединяется, к нему должен быть применен тег. Спасибо! Дэвид

Я хочу удалить конфигурацию маршрутизатора Cedge из vmanage. Кто-нибудь знает, как это сделать удаленно? Через vManage или через cli...

Приветствие~~~ Я новичок в Cisco SDA. Чтобы начать изучать SDA, я ищу изображение GNS3. У меня есть следующие образы: NX-OSv 9500v 10.1. 1- Cat 8000V 17.15. 01a- ISE 2.7.0.356 На этих образах я не могу практиковаться в EVPN. Жду вашего ответа.

Здравствуйте, Поддерживается ли такая топология в SDA? Есть ли официальная документация? (Коммутаторы доступа определены как пограничные узлы, а не как расширенные узлы. Все соединения настроены как Layer3). Если да, какие плюсы и минусы вы можете назвать? ![Topology (community).png] Спасибо, Сильвен. [image: f7d69f09b9bb73d060cdb0291c252968a749cb54.png]

Здравствуйте, Я знаю, что существует три типа транзита sd-access: Cisco SD-Access Transit IP-транзит Cisco SD-WAN Transit В Cisco DNA Center я могу найти только нижеуказанную конфигурацию, в которой я могу настроить только SD-Access Transit или IP-Based Transit, но нет возможности настроить SD-WAN в качестве транзитной сети. ![Hamid_0-1751359714165.png] Вопрос в том, как я могу настроить SD-WAN в качестве транзитной сети для SD-Access? [image: d009e2c4a2770a73ae205e2eb8a52e582de07e20.png]

Здравствуйте! Я пытаюсь определить пределы масштабируемости платформы Catalyst 8200/8300 при использовании в качестве узла SD-Access Control Plane. Эти статистические данные, по-видимому, приведены в техническом описании Catalyst Center для платформ Catalyst 9xxx и ASR/ISR, которое можно найти здесь: https://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/dna-center/nb-06-dna-center-data-sheet-cte-en.html#SDAccessplatformscale Однако я не могу найти аналогичную информацию для маршрутизаторов Catalyst 8200/8300. Кто-нибудь знает, где можно найти эту информацию, или могут ли показатели ISR применяться также к платформам C8200/8300?

Здравствуйте, мы планируем развернуть точки доступа 9105 AXW в нашей среде, чтобы улучшить доступность проводных и беспроводных сетей в определенных областях нашей инфраструктуры. Еще давно, когда мы приобретали точки доступа 1815W, нам сказали, что в планах есть функция управления проводными портами на точке доступа как расширенным узлом в DNA Center. Это было почти два года назад. Я надеюсь, что теперь с 9105AXW мы можем приблизиться к этой цели, поскольку 9100 работают под управлением кода IOS и (теоретически) должны быть проще в управлении из DNA Center. Может ли кто-нибудь предоставить информацию о возможности настраивать порты коммутатора на 9105AXW из DNA Center, как это возможно для пограничного или расширенного узла?

Здравствуйте, команда! Я развертываю среду DNAC версии 2.3.7.7-70047. У нас есть 2 C9500 BN/CP в режиме совместного размещения, и мы настраиваем канал L3-Handoff для 2 брандмауэров в активном/пассивном кластере. В соответствии с документацией BRKENS-2824, поскольку оба BN/CP не находятся в VSL и я не могу создать портовый канал между ними, мы подключим их, как показано на прилагаемом изображении 1. Поэтому у меня возникает сомнение, что я не могу настроить более 1 внешнего канала в графическом интерфейсе для одного и того же BN (только 1 физический порт или порт канала, и если я хочу добавить другой внешний интерфейс для того же BN, он должен быть с другими SVI и IP-адресами). Проверяя конфигурацию, установленную dnac для внешней ссылки, я вижу, что она только разрешает все в выбранном порту (кроме всей конфигурации ebgp для каждого VN/VRF). Это правильно? Как показано на приложенном изображении 1, зеленые соединения будут настроены через опцию внешней ссылки GUI, а оранжевые соединения с пассивным FW будут настроены как «ручной режим» switchport trunk через CLI. Кто-нибудь знает, выполняет ли DNAC какую-либо внутреннюю конфигурацию? Поскольку оранжевые ссылки не будут отображаться как «внешние порты» в GUI, это может вызвать какие-либо проблемы? Спасибо [image: 7d08ecb591e5a402fd3afc341c8f07d7b57db245.png]

Всем привет! Моя организация тестировала Bitlocker Network Unlock в нашей среде SDA и столкнулась с проблемами. Мне было интересно, есть ли еще кто-нибудь, кто настроил сетевую разблокировку в своей среде SDA. Я почти уверен, что причина наших проблем заключается в том, что запрос BOOTP от клиента не помечается опцией 82. Я вижу ответ BOOTP от сервера WDS клиенту, но он никогда не доходит до клиента, что заставляет меня думать, что он поступает на пограничный узел и не проходит дальше, поскольку опция 82 не вставляется в пакет BOOTP и используется IP-адрес SVI пограничного узла, который также существует на пограничном узле. Пакеты DHCP получают опцию 82, но не пакеты BOOTP. Если кому-то удалось заставить сетевую разблокировку работать, нужно ли было выполнять какие-либо настройки, кроме установки адресов IP-помощника и настройки порта в режиме с низким воздействием с помощью ACL с предварительной аутентификацией?

Уважаемые, Я знаю, что это, возможно, не самый лучший вариант, но можно ли совместить L2Border с ролью Edge Node? Поддерживается ли это? Спасибо, Сильвен.

Здравствуйте, сообщество. У меня есть сеть SD-Access с примерно 50 коммутаторами Catalyst (C9500, C9300, C9200). Когда эти коммутаторы впервые были подключены к SD-Access с помощью DNA, на них была установлена версия IOS-XE 17.03.03. Теперь из-за требований безопасности мне нужно обновить эти коммутаторы. Сначала я обновил DNA Center до золотой версии (v 2.3.7.9 на момент написания — Catalyst Center), а затем приступил к обновлению коммутаторов. Я могу обновить коммутаторы двумя способами 1) Обновить вручную, загрузив файл bin из TFTP и перезагрузив, а затем повторно настроить с помощью Catalyst Center. 2) Обновление с помощью Catalyst Center, а затем настройка коммутатора. Теперь, независимо от того, какой метод я выбираю и какую версию IOS-XE я выбираю (17.12.05 или 17.15.03, в настоящее время gold), я сталкиваюсь с некоторыми странными проблемами. Коммутатор загружается нормально, без ошибок, и isis и LISP запускаются без проблем. Но, например: 1) Коммутатор обновлен, и после загрузки один клиент в коммутаторе не может видеть другого клиента в том же коммутаторе и той же VLAN. Им необходимо общаться друг с другом. Я могу видеть обоих с моего коммутатора на другом этаже. Переход на версию 17.3.3 решил проблему. 2) После обновления коммутатора и его запуска один VRF полностью перестал работать на коммутаторе. Они просто не могли видеть свой шлюз, который работал без проблем. Все остальные VRF работали без проблем. Переход на более раннюю версию решил проблему. Я очистил кэши LISP, такие как eid-table, и попытался обновить их, но безрезультатно. Я поискал в Интернете, но ничего не нашел. Поэтому, если кто-нибудь может подсказать, что мне следует проверить, или какие-либо требования, о которых я не знаю, буду очень признателен. Спасибо.

Всем привет, VNI (идентификатор сети VXLAN) и VNID (идентификатор виртуальной сети) — эти два термина обозначают одно и то же? Я предполагаю, что при создании новой виртуальной сети она сопоставляется с определенным идентификатором VXLAN, так что идентификатор виртуальной сети и идентификатор сети VXLAN совпадают, верно? 0xD2A6762E

Здравствуйте, кто-нибудь может дать мне подсказку, где найти надежное руководство по обновлению BIOS от dnac? Merci & Thanks ![] [image: b955dc9690d7c3ddf52f0fbb5ddb6065f3303752.png]

Привет, команда! поддерживает ли SDA стекирование? Например, если я хочу использовать несколько коммутаторов 9300 на уровне доступа (край SDA), могу ли я смешивать их и использовать как один логический коммутатор (как в традиционной сети)? HTH, Пожалуйста, оцените и отметьте как принятое решение, если вы нашли какую-либо из предоставленной информации полезной.