Ebook SD Access For Industry Verticals From Design To Migration

Ci c
S f a e-Defi ed
Acce f I d
Ve ica
Ic ed i hi b 6
Preface 11
A h 12
Ac edg e 14
Feedbac 15
Introduction 17
E ec i e S a 18
Wha i Ci c S f a e-Defi ed Acce ? 19
Wh Ci c SD-Acce ? 20
Ci c SD-Acce f I d Ve ica 25
Architecture Overview 27
S i C e 29
Fab ic O e ie 31
Fab ic Ne O e ie 33
Fab ic C e 36
Fab ic Fea e a d Ca abi i ie 40
Ec e 48
3 d-Pa I eg a i 51
OT Integration with Cisco SD-Access 53

I d ci 54
Cha e ge 62
C e S i 67
De e O i 86
S a 91
Cisco SD-Access for Healthcare 93
I d ci 94
Cha e ge 95
S i 98
De e O i 117
S a 123
Cisco SD-Access for Large Enterprises and Governments 125

I d ci 126
Cha e ge 127
C e S i 129
De e O i 143
S a 151
Cisco SD-Access in Universities 153

I d ci 154
Cha e ge 159
C e S i 163
De e O i 183
S a 185
Cisco SD-Access for Financial Customers 187

I d ci 188
Cha e ge 189
C e S i 194
De e O i 219
S a 224
Migration to Cisco SD-Access 225
C ide a i 227
A ache Mig a i 228
Ma i Ta i i U i (MTU) 230
U de a T a f ai i R ed Acce 232
S f Diffe e T gie 233
IP Add e i gi he U de a a d O e a 234
M e e f Fea eA ica i 235
Mig a i g a La e 2 Acce Ne i h Ne S b e 236
Mig a i g a La e 2 Acce ihE i i gS b e i h Edge
N de a Di ib i 244
Mig a i g La e 2 Acce i g La e 2 Ha d ff 251
Mig a i g E i i g R ed Acce De e 257
I eg a i g Ci c Wi e e i Ci c SD-Acce Ne 260
Wha Ne ? 264
S a 266
Appendi 267
F he Re ce a d Ma e ia 268
Ac 272
Icons used in this book
Preface
12 P eface
Authors
Thi b e e e a i e e c ab a i be ee Tech ica Ma e i g,

E gi ee i g, Sa e , a d CX d i g a ee - g c ehe i e e i a
Ci c Head a e i Sa J e, CA.
Devi Bellamkonda CCIE (DC, SP)

Tech ica Ma e i g Tech ica Leade , Ci c SD-Acce
Dhrumil Prajapati CCIE (R&S, SP), CCDE

Se i M i-D ai A chi ec CX GES A chi ec e
Jonathan Cuthbert
Tech ica Ma e i g E gi ee , Ci c SD-Acce CVD A h , UI A chi ec e
Kedar Karmarkar
P i ci a , SD-Acce Tech ica Ma e i g E gi ee
Keith Bald in CCIE (R&S, Wireless), CCDE

Se i Tech ica S i A chi ec , Ca A ai Ce e f E ce e ce
Mahesh Nagiredd CCIE (R&S)

Parthiv Shah
P i ci a E gi ee , Ci c SD-Acce E e i e Ne i g E gi ee i g
Pete Kavanagh
S i A chi ec , I d ia I T
Prakash Jain
P i ci a E gi ee , Ci c SD-Acce E e i e Ne i g E gi ee i g
Prashanth Kumar Davanager Honneshappa

Tech ica Ma e i g E gi ee i g, Ci c SD-Acce SD-WAN CVD A h
P eface 13
Raja Janardanan
P i ci a E gi ee , Ci c E e i eS i E gi ee i g
Sanja Hooda
Di i g i hed E gi ee , Ci c SD-Acce De ig a d A chi ec e
Scott Hodgdon
14 P eface
Acknowledgment
A e e d ha Ci c E e i e Ne i g Tech ica
Ma e i g, P d c Ma age e , E gi ee i g, Sa e , a d C e
E e ie ce ea h ec g i ed he eed f hi b a d ed i
de e e . A ecia ha Jeff Scheaffe , Jeff McLa gh i , a d Pa
Ng e f i g he eff f he a h i g ea . We da i e
ha Sha Cha e f he i c edib e e ce ga i a i h gh
hi ce , a d he a a a i g Ci c e ce h ided
i f a i a d c a ifica i h gh he ce .
We da i e e e d i ce e a ecia i B S i
ea ( .b
.b kk ii .. ee ):
Ka i a Pie ig B S i Faci i a
Rae Wh e C Edi
Ch i i e Da i C Edi
Le a W fe I a
He i a Lee e I a
Ma Va e B De ig e
Ka i a a d he ea ee a di g i c ea i g a e i e ha
a ed h gh a d idea c ab a i e f i h hich e ed i
d ci g hi b ica i .
P eface 15
Feedback
The ea i d ha e c e ge he f hi ecia cca i ha e

c ec i e e e ie ce i h he Ci c SD-Acce i ih . Thi
ea ca e f a di e e bac g di ech ica a e i g, de e e ,
de ig , a e , i e e ai ,a d .
We a e a ead i g f ad i i g he e b a d d e
c ab a e i h he e ic !
Y feedbac i he d i e he igh f c a d di ec i he i ,
d c,a d f i .
We e c age ha e h gh , idea , a d ge e a c e
ab hi b a he f i g i :
hh ::/
:///cc .c
.c // da
da_b
da_b kk_feedback
k_feedback
Introduction
18 I d ci
E ecutive Summar
Digi a a f ai i c ea i g e i ie i e e i d . I
hea hca e, d c ca i a ie e e a d e e age edica
a a ic edic hea h i e . I ed ca i , ech g i e ab i g
c ec ed ca e , idi g e a i ed a d e a acce ea i g
e ce . I e ai , h ca ide a ea e , e gagi g e e ie ce i -
e a d i e i g ca i a ae e . I he d f a ce, digi a
ech g e ab e e ec e ba a he e, a i e, i g he
de ice f hei ch ice. I da d, digi a a f ai i e e ia f
b i e e a ee a .
F a ga i a i cce f a ii a digi a d, i e e
i i e i c i ica . The e c ec a hi g a d i he
c e e he e digi a cce i ea i ed . The e i he
ah a f d ci i ,c ab a i , a d a e ab e f i ed e d e
e e ie ce. A d he e i a he i e f defe e i ec i g
e e i ea e a d i e ec a e .
I d ci 19
What is Cisco Software-

Defined Access?
Ci c S f a e-Defi ed Acce (SD-Acce ), a i i hi he Ci c

Digi a Ne A chi ec e (Ci c DNA), i b i I e -ba ed
e i g i ci e . Thi i ide i ibi i -ba ed, a a ed
e d- -e d eg e a i e aae e , de ice, a d a ica i affic
ih ede ig i g he de i g h ica e .
Ci c SD-Acce a ae e acce ic ga i a i ca e e
he igh icie a e e ab i hed f a e , de ice, a ica i ac
he e . Wi h ified acce icie ac LAN a d WLAN, a
c i e e e e ie ce i c ea ed ih c i i g ec i . B
c bi i g ec i a d e i g eai , SD-Acce e ha ce
i ibi i b defi i g acce icie a d a ai g e c fig a i
i e e he e icie .
20 I d ci
Wh Cisco SD-Access?
Challenges in Traditional Networks

O ga i a i de i g adi i a e a chi ec e ae faci g
i g cha e ge a he be f e , de ice , a d e f de ice
c i e ife a e. The e cha e ge bega i h he i d ci f
Bi gY O De ice (BYOD) e a d ha acce e a ed a he I e e
f Thi g (I T) e d ha bee ad ed b i c ea i g e ga i a i .
Ide if i g, g i g, a d a a i g he affic f a f he e e a d
de ice i a ig ifica c ce f ga i a i ha a e e ha
he d i ac hei c ae i fa c e h d a BYOD de ice
bec e c i ed. The abi i defi e a d e f ce g a a acce
icie i a a a ed a i ea i ib e if he e de ice ca be
ca ified.
I d ci 21
Figure 1.1: Traditional network challenges
I adi i a e , he eed f a ig ifica be f VLAN a d

a a Acce C Li (ACL ) ac i e a d fe di aae
de ice bec e a eci e f a a i c fig a i di a e . A i e
g e a d he b i e e a d , e de ice a d ca i a e added,
i c ea i g c e i a d he ibi i f e . Ne a d ec e
ec i e be a a da ed ac he e e i e.
F e a e, c ide ACL 2 i Fig e 1.2. Whe he ga i a i add

B a ch A he e e i e, he e eai ea a eed da e
he ACL i b h he HQ a d B a ch 1 ca i . If a a a i a e i ade
d i g ha da e, he he ec i ic i be i c i e a d c d
e i a ec i b each.
22 I d ci
Figure 1.2: Traditional network securit challenges
Fig e 1.2 a i e h ee f he ai ec i b ac e ha c e
face he ii i g adi i a e i g eh d gie i da digi a
d:
Se i g e d- -e d ec i
E ab i g ea e ec i ic bi i
U e , de ice, a d I T eg e a i
Se i g e d- -e d ec i i a cha e ge a he e g . A
e e a ge i e i e i g ha ec i ic f a e de ice
f ca i ca i . I he adi i a e i g d, ec i icie
a e ba ed IP add e e . If a e de ice e f e ca i
a he , he ec i icie e i ba ed a f he diffe e IP
add e e ha he e de ice i e i he diffe e ca i . Thi
bec e e e e diffic a age a he e e e .
I d ci 23
Ne ca c ai c ae e a d de ice , e BYOD de ice , a d

I T de ice . Wi h a d a ic e h d ide if , b a d, a d ec e
e a d de ice , e ad i i a e d ig ifica a d
ad i e a i ga dc fig i g e cha ge e e ha e e
de ice i ec e b a ded he e i g he e e
eg e . If he e a d de ice e, h e cha ge be a a
ade i a ici a i f he e.
How Cisco SD-Access Resolves These

Challenges
Ci c SD-Acce i b i a I e -ba ed Ne i g f da i ha
e c a e i ibi i , a ai , ec i , a d i ifica i . U i g Ci c
DNA Ce e a ai a d che a i , e ad i i a ca
i e e cha ge ac he e i e e e i e e i e h gh a
i i i e, GUI-ba ed i e face. U i g ha a e c e , he ca b id
e e i e- ide Fab ic a chi ec e , c a if e d i f ec i
g i g, c ea e a d di ib e ec i icie , a d i e
ef a ce a d a ai abi i .
SD-Acce ec e he e a he ac - a d ic - eg e a i
e e i g Vi a R i g a d F a di g (VRF) ab e a d Sec i G
Tag (SGT ), e ec i e . Thi i ca ed M i-Tie Seg e a i , hich i
i a i adi i a e . Wi h hi SD-Acce , hi eg e a i
ha e a he acce e e . Thi ea he ec i b da i
hed he e edge f he e i fa c e f b h i ed a d
i ee c ie .
Wi h M i-Tie Seg e a i , e ad i i a ge ha e
de a e c fig a i i a ici a i fa e de ice i g ca i
a a f he ec i c e a cia ed ih a e de ice a e
d a ica a ig ed he he a he ica e hei e c ec i . SD-
Acce ide he a e ec i ic ca abi i ie he he he e
24 I d ci
de ice i a ached ia a i ed i ee edi , ec e ic

c i e c i ai ai ed a he e de ice cha ge a ach e e.
I ead f e i g IP-Ba ed ec i e a i a adi i a e , SD-

Acce e ie ce a i ed g -ba ed ec i e i i i g SGT ha
a e IP add e -ag ic. Thi ea ha a a e de ice e f
ca i ca i a d cha ge IP add e e , hei ec i ic i
e ai he a e beca e hei g e be hi i cha ged ega d e
f he e he acce he e . Thi ed ce e e e
ad i i a i ce he d ha e c ea e a a e a a
da e he diffe e de ice . Thi , i , ead a ed a ic a d
ab e e i e f e c e .
H ca a e be b h d a ic a d ab e a he a e i e? Whe a
e d e ha e be c ea ed cha ged, i ca be d e f a e f a
g i Ci c DNA Ce e . Th e e a e he d a ica a ed
a ee a e de ice ha eed ha e, e i g b h acc ac a d
eed f he da e.
L i g bac a he igi a e i f Wh Ci c SD-Acce ? The e a e

h ee i a ea hich a e i ei adi i a e
de e :
C e i ed c i a d eai a c i e c h gh
che ai a da ai
M i-Tie Seg e a i hich i c de g -ba ed icie
D a ic ic bi i f i ed a d i ee c ie
I d ci 25
Cisco SD-Access for Industr

Verticals
Ci c SD-Acce ha bee de ed i h a d f c e e
ac a aj i d e ica . Thi b f c e fi e f h e ecific
e ica : O e a i a Tech g (OT), Hea hca e, La ge E e i e,
Fi a ce, a d U i e i ie .
The b ide a b ief e ie f he c e f he SD-Acce

a chi ec ea d i i d ce c ed fea e f he e e ica .
The fi a ec i f c e ig a i , a d ide he e e e e
f he adi i a e a chi ec e he SD-Acce a chi ec e.
Thi b i i e ded f ac i i e f a a chi ec a e e . The

ech ica a e f hi b i be i ed f e a chi ec i
c e a d a e c i .
Chapter 2: Architecture Overvie
Thi cha e ide a e ie f he Fab ic c e a d fea e

i f ai ha i eeded de a d he de ig a d ic di c ed i
a e cha e . I a c e c Ci c a d hi d- a a ica i
i eg a i ed i SD-Acce de e .
Chapter 3: OT Integration ith Cisco SD-Access
Thi cha e f c e de e f Ci c SD-Acce i O eai

Tech g (OT) e i e . A OT e i ica a dedica ed a d
h ica e aae e f a e e i e e . OT e ae
f e de ed b a fac i g, i d ia , a d i i ga i a i .
26 I d ci
Chapter 4: Cisco SD-Access in Healthcare
Sig ifica cha ge ha e bee a i g ace i he Hea hca e i d , ch

a e e ia g h i e ehea h a d i a ca e, dde i c ea e i
e e f ce , a d fa -e i g i a ca e de . The e f
hi cha e i ide de ig g ida ce f a ica hea hca e
de e fi e i g Ci c DNA Ce e a d SD-Acce .
Chapter 5: Cisco SD-Access for Large Enterprises and Government
E e i e Ne ed b i ai a c ai a d g e e
ae e f he a ge e i e i e ce. Thi cha e e ai h
Ci c SD-Acce add e e he i e ca e a d c ec i i e ie e
faced b ga i a i i h he e a ge- ca e e .
Chapter 6: Cisco SD-Access in Universities
U i e i e ae i e beca e he a e b i ide he i ae
ha i g a d c ab a i e e e ie ce i he i f ea i g. Thi cha e
e e ica de ig ca ea ha i e i e ec e
he ad i g e ech g a d eh d i hich SD-Acce de ig
i he e ec e he e cha e ge .
Chapter 7: Cisco SD-Access in Financial Verticals
Thi cha e add e e c SD-Acce e ca e i Fi a cia e ica .

Thi e ica face i e cha e ge i he a ea f eg a c ia ce,
e ice a i , i e ca e, a d e i ie c , j a e a fe .
Chapter 8: Migration to Cisco SD-Access
Thi cha e f c e ig a i i , h ig a e e i i g
e , a d e e e a adi i a e i a SD-Acce
e .
Architecture
Overview
28 A chi ec e O e ie
If a e eadi g hi b , he e i a g d cha ce a ead ha e e

edge ab Ci c SD-Acce f a a chi ec a de ig
e ec i e. The e f hi cha e i ide iha e ie
f he Fab ic c e , de ig , a d fea ei f ai ha i eed
de a d he de ig a d ic di c ed i a e cha e .
A e e eade i ha e a diffe e e e f e e ie ce i h Ci c SD-

Acce , he cha e c ai i f ai f e ad a ced e . We
ha e ied ide if c c e ac a e ica ha d
ha e ee he e ea ed i e i e .
We ec e d ha efe he Tab e f C e de e i e he
a ia e a i g i f fi d a ecific ic fea e f
i ee .
A chi ec e O e ie 29
Solution Components
The e a e h ee f da e a i a f he Ci c SD-Acce i . The e

i a a e Ci c DNA Ce e , he Ci c Ide i Se ice E gi e, a d he
i ed a d i ee de ice af ha Fab ic f ci ai .
Cisco DNA Center

Ci c DNA Ce e i a f da i a c e f Ci c SD-Acce ,
e ab i g a ai f de ice de e a d c fig a i i he
e ide eai a efficie c a d he eed a d c i e c
e i ed. Th gh i a ai ca abi i ie , he c a e, da a a e,
a d ic a e f he e de ice a e ea i , ea e , a d
c i e de ed. I addi i , Ci c DNA Ce e A a ce ide
i ibi i a d c e i he a aged i f a c e de ice a d c ec ed
e d i .
Identit Services Engine

Ci c Ide i Se ice E gi e (ISE) i a ec e e acce af
e ab i g i c ea ed a age e a ae e , c , a d c i e c f
e a d de ice acce i g a ga i a i ' e . ISE i a i eg a
c e f Ci c SD-Acce f i e e i ga e acce c
ic . ISE ef ic i e e ai , e ab i g d a ic a i g f
e a d de ice ec i g a d i if i g e d- -e d ec i
ic e f ce e .
Network Infrastructure
The Ci c SD-Acce i i fa c e i c de e , i che ,
acce i , a d Wi e e LAN C e . O he e de ice , Ci c DNA
Ce e i de he ai Fab ic Si e e ba ed he e
ad i i a ' ch ice i he U e I e face (UI).
Fabric Overview
A Fab ic i i a O e a e . O e a a e c ea ed h gh
e ca ai , hich add e e addi i a heade he igi a
ac e f a e. A O e a e c ea e a gica g hich
i a c ec de ice b i e a a bi a h ica U de a g .
I a idea i ed, he e ica e , e e de ice d be c ec ed

e e he de ice. I hi a ,a c ec i i g i agi ed c d
be c ea ed. Whi e hi he e ica e d e e i , he e i i a
ech ica de i e c ec a he e de ice i a f e h. Thi i he e he
e Fab ic c e f : i i a c h b hich e e hi g i c ec ed. A
O e a ( e) ide hi gica f - e hc ec i i e i g.
Underla
The U de a e i defi ed b he h ica i che a d e ha
a e ed de he Ci c SD-Acce e . A e ee e f
he U de a e ab i h IP c ec i i ia he e f a i g c .
I ead f i g a bi a e gie a d c , he U de a
i e e ai f Ci c SD-Acce e a e -de ig ed, La e 3
f da i i c i e f he Acce La e i che , a a La
La ee 33
RR ed
ed Acce
Acce de ig . Thi e e ef a ce, ca abi i , e i ie c , a d
de e i i ic c e ge ce f he e .
I Ci c SD-Acce , he U de a de ice he h ica c ec i i

f e a de d i .H e e , e d- e b e a de d i ae
a f he U de a e a d bec e a f he a a ed O e a
e .
Overla
A O e a e i a gica g ed i a c ec de ice
a d i b i e a a bi a h ica U de a g . The Ci c SD-
Acce O e a e i c ea ed f he U de a e h gh
i a i a i , c ea i g Vi a Ne (VN ). Da a, affic, a d c a e
ig a i g a e c ai ed i hi each Vi a Ne , ai ai i g i ai
a g he e a d i de e de ce f he U de a e .M i e
O e a e ca ac he a e U de a e h gh
i ai a i .
Fabric Network Overview
Fabric Site
A Fab ic Si e i c ed f a i e e f de ice e a i g i a Fab ic
e a g i h he i e edia e de ha c ec h e de ice . A a
i i , a Fab ic Si e ha e a B de N de a d a C P a e N de,
b fe ,i i a ha e Edge N de . A Fab ic Si e ha a a cia ed
Fab ic Wi e e LAN C e (WLC) a d e ia a ISE P ic Se ice
N de (PSN).
Transits
Ta i ca c ec i e Fab ic Si e ca c ec a Fab ic Si e
-Fab ic d ai ch a a da a ce e he I e e . T a i a e a
Ci c SD-Acce c c ha defi e h Ci c DNA Ce e i
a a e he B de N de c fig a i f he c ec i be ee Fab ic
Si e be ee a Fab ic Si e a d a e e a d ai . The e a e e
fTa i : IP-Ba ed a d SD-Acce .
IP-Based Transit
Wi h IP-Ba ed T a i , he Fab ic VXLAN heade i e ed, ea i g he
igi a a i e IP ac e . O ce i a i e IP, ac e ae f a ded i g
adi i a i g a d i chi g c be ee Fab ic Si e . U i e a
IP-Ba ed T a i , a SD-Acce T a i i a O e a ha ide fa
WAN/MAN e ch i e SD-WAN a d DMVPN d . IP-Ba ed T a i
ae i i ed i h VRF-Li e c ec i a ea ee de ice. IP-
Ba ed T a i fe c ec a da a ce e , WAN, I e e . A IP-
Ba ed T a i ca a be ed c ec ha ed e ice i g a VRF
VRF A
A
aa ee Pee
Pee .
SD-Access Transit
A SD-Acce Ta i e VXLAN e ca ai a d d e e a
VRF-Li e c ec i a ea ee . Li e a IP-Ba ed T a i , ac e
ae f a ded i g adi i a i g a d i chi g c be ee
Fab ic Si e . U i e a IP-Ba ed T a i , a SD-Acce T a i i a O e a
ha ide f a WAN/MAN e ch i e SD-WAN a d DMVPN.
The e a e e c ide a i he i g a SD-Acce Ta i:
C ec i h d acc da e he ec e ded MTU e i g

ed f Ci c SD-Acce i he Ca Ne .
IP eachabi i e i be ee Fab ic Si e . S ecifica , he e
be a U de a e be ee a Fab ic N de ( he
defa e ca be ed f hi e).
Virtual Networks
Ci c SD-Acce ide La e 3 a d La e 2 c ec i i ac he
O e a i g Vi a Ne .
La e 3 O e a e ae a i a ed i g ab e a d a La e 3
fa e e he La e 3 e . Thi e f O e a i ca ed a La e 3
Vi a Ne . A La e 3 Vi a Ne i a i a i g d ai ha i
a a g a Vi a R i g a d F a di g (VRF) ab e i a adi i a
e .
La e 2 O e a e a e a LAN eg e a d a La e 2 f a e e
he La e 3 e . Thi e f O e a i ca ed a La e 2 Vi a Ne .
La e 2 Vi a Ne ae i a i chi g d ai ha a e a a g
a VLAN i a adi i a e .
Securit Group Tags (SGTs)

Sec i G Tag (SGT ) a e e ada a a e ha i dica e he i i ege
f he ce i hi he e i e e . The e a e e e a eh d
aga e SGT . Wi hi he SD-Acce Fab ic, SGT a e aga ed i he
heade f he VXLAN e ca a ed ac e .
Wi h ide i e ice ided h gh ISE, e a d de ice c ec ed

he Fab ic a e d a ica a ed a SGT. Thi i ifie e d- -e d
ec i ic a age e a d e f ce e a a g ea e ca e ha
adi i a e ic i e e ai , hich e IP acce i .
Segmentation Capabilities
Ci c SD-Acce c ea e a e f eg e a i . The fi a e f
eg e a i i efe ed a ac - eg e a i a d i achie ed h gh
he e f Vi a Ne . U e , de ice , a d a ica i ca be i
diffe e O e a e , e ab i g i ai be ee he .
The ec d a e f eg e a i i efe ed a ic - eg e a i a d
i achie ed h gh he e f SGT . SGT a e ed eg e i ide he
Vi a Ne . B defa , e a d de ice i he a e Vi a Ne
ca c ica e i h each he . SGT ca be ed e i de
c ica i i hi a gi e Vi a Ne .
Fabric Components
Control Plane Node

A SD-Acce C P a e N de he L ca ID Se a a i P c
(LISP) egi e e d i a d ide e -h f a di g i f ai f
affic ge e a ed b h e e d i .
Border Node
A SD-Acce B de N de i a e a de i i he Fab ic Si e. I
effec , i ea a g age : SD-Acce Fab ic e i a d adi i a
i ga d i chi g a he .
Edge Node
A SD-Acce Edge N de ide fi -h e ice a d h he A ca
La e 3 Ga e a eeded f e , de ice , a d a ica i c ec
he e .
Transit Control Plane Node

The e f a Ta i C P a e N de i ea hich efi e ae
a cia ed i h each Fab ic Si e a d di ec affic he e i e ac a
SD-Acce T a i i gc a e ig a i g.
Whe affic f a e d i i e ie eed e d affic a

e d i i a he i e, he T a i C P a e N de i e ied
de e i e hich i e B de N de hi affic h d be e .
Fabric Access Point

Fab ic-M de Acce P i (AP ) a e AP a cia ed i h a Fab ic Wi e e
LAN C e (WLC) ha ha e bee c fig ed i h Fab ic-e ab ed SSID .
Fabric Wireless LAN Controller

A Fab ic Wi e e LAN C e c ec Fab ic AP a d Wi e e
e d i he SD-Acce Fab ic. The Fab ic WLC egi e i ee
c ie i h he C P a e N de.
Embedded Wireless LAN Controller

The E bedded Wi e e LAN C e Ca a 9000 Se ie i che
a ea de e f i ee i he SD-Acce e ih
ha i g a age de a e aae h ica de ice.
Fab ic-M de AP c i e he a e i e e edia e ice ha

adi i a AP , ch a a i g A ica i Vi ibi i a d C
(AVC), Q a i f Se ice (Q S), a d he i ee icie .
E tended Node
E e ded N de ffe a La e 2 e e i a Edge N de hi e
idi g eg e a i a dg -ba ed ic he e d i c ec ed
he e i che . E d i , i c di g Fab ic AP , ca c ec di ec
he E e ded N de. VLAN a d SGT a e a ig ed i gh b a di g a
a f Fab ic i i i g.
Polic E tended Node

A P ic E e ded N de e ha ced ec i ca abi i ie c a ed
a E e ded N de. I addi i he e a i a d a age e ided
b a c a ic E e ded N de, P ic E e ded N de di ec SGT .
Thi ca SGT ide di ec ea - e affic e f ce e he
de ice.
Intermediate Node
A I e edia e N de i a f he La e 3 U de a e ed f
i ec ec i a g he de ice e a i g i a Fab ic Si e. F e a e,
if a Th ee-Tie Ca de e i i he C e i che a he
B de N de a d he Acce i che a he Edge N de , he Di ib i
i che a e he I e edia e N de . I e edia e N de a e i i ed a
i g e a e f de ice .
Fabric in a Bo
Fab ic i a B i a SD-Acce c c he e he B de N de, C
P a e N de, a d Edge N de he a e Fab ic N de. Thi a be a
i ge i ch, i ch i h ha d a e ac i g, S ac Wi e Vi a
de e .
Peer Device (Fusion)

B de N de a e c ec ed e -h de ice , idi g acce he
e ide he Fab ic Si e. The e a e e e a c c fig a i
i f he e -h ee de ice. Thi de ice a ee (ha e IP
c ec i i a d i g adjace c ) i h he B de N de i g VRF . Thi
e -h de ice a e e c i e he VRF eg e a i e e i i
e h . Thi e -h a be VRF-a a e a d ee he B de N de
i g he g ba i g ab e. The e F i ha c bee ed i
e i i g c aea f each f he e e -h de ice de e e .
Th gh he b , Pee i be ed i ace f F i .
Fabric Features and Capabilities
LISP Publisher/Subscriber (Pub/Sub)

LISP P b/S b a e-b i f SD-Acce a d i e e ib e, a d
ada ab e. I a i ifie e eai b ai e b i hi g a
Fab ic Si e efi e b c ibed B de N de , i i i g a i e LISP a he
BGP. Thi i ifica i i a e he de e a d ai e a ce f a
SD-Acce i e c e f eai a d ea .
LISP P b/S b e ab e e e a e ca abi i ie ha i c ea e a SD-Acce

de e ' e i ie c a d f e ibi i , i c di g D a ic Defa B de ,
Bac I e e , a d SD-Acce E a e.
D namic Default Border

Wi h he SD-Acce D a ic Defa B de , he Fab ic O e a c e ge
ic i he e e f i fai e ea de ice fai e B de
N de hich e i he f he defa e.
SD-Access Backup Internet

I i i e SD-Acce Ta i de e , e e a Fab ic Si e a ha e
acce he I e e . U i g he SD-Acce Bac I e e f c i ai ,
Fab ic Si e ca e each he a a bac ah he I e e if hei i e-
ca I e e acce i .
Cisco SD-Access E tranet

Wi h Ci c SD-Acce , e , de ice , a d a ica i ae b a ded
j i a Vi a Ne i he Fab ic. Whi e he e Vi a Ne a e i a ed
f e a he , e , de ice , a d a ica i e i e ha ed e ice
ch a DHCP, DNS, Ac i e Di ec , a d ISE. Acce he I e e i
a eeded a e . H e e , ha ed e ice a d he I e e a e f e
i dedica ed VRF i he G ba R i g Tab e (GRT).
U i g SD-Acce E a e , Ci c DNA Ce e a a e he c fig a i

ece a ide ec e c ica i be ee Fab ic Vi a
Ne ha ed e ice a d he I e e . SD-Acce E a e d e
eed addi i a ha d a e, ch a a Pee (F i ) de ice, ide hi
ca abi i .
Wireless in Cisco SD-Access Fabric

Ci c SD-Acce ide a i e diffe e ia b i eg a i g he i e e
c a e i h he O e a c a e f he i ed d. Ci c SD-
Acce Wi e e ffe a ce a i ed c a d a age e a e ia he
WLC i h a di ib ed da a a e idi g he be f b h d
ce a i ed a d di ib ed i e e de ig . The WLC i eg a e i h he
C P a e N de, egi e i g e d i a he ae b a ded a d
da i g hei ca i a he a . Thi i he fi i a ce he e he e i
e g be ee he i e e a d he i ed c a e .
Thi i e i eg a i f i ed a d i ee bi g e e a be efi
e e a d he eai ea ha he :
Si ifica i e ca ha e a i ge b e f b h i ed
a d i ee c ie
C i e c f P ic he ich e f i ed icie a e e e ded
i ee affic, a d he a e b h a ied a he Edge N de
I ed ef a ce i ee a a e La e 2 a d d
e iea f f a ch i g
Wireless Over-the-Top
Ci c SD-Acce ha he f e ibi i a ce a i ed i ee
de e ca ed Wi e e O e - he-T (OTT). Wi e e OTT i
c cia beca e he e a e e e a i a i he e i c d be e i ed:
E i i g Ci c WLC a d AP a e SD-Acce Wi e e -ca ab e

Thi d- a i ee e e ce i he e
Wi ed a d i ee a e ic ig a i ace
I Wi e e OTT de e , i ee c , a age e , a d da a a e
affic a e e he Fab ic i a C a d P i i i g f Wi e e Acce
P i (CAPWAP) e be ee he AP a d WLC. Thi CAPWAP e
e he Ci c SD-Acce Fab ic a a a . O he e d ' i ee
e i e a e a diffe e ei g c he ha CAPWAP, b
he c ce f i g he SD-Acce Fab ic a a a i he a e.
Fle Connect Over-the-Top

Ci c SD-Acce a Ci c Fe C ec di ib ed i ee
de e . I he e de e , AP i ch da a affic ca he
Edge N de hich he a e c ec ed.
End-to-End Segmentation
P e e d- -e d e eg e a i i a f da i a ea e
add e ai ec i a d ca abi i i e ha a e ee i e
da . Ci c SD-Acce ide he abi i f e a chi ec c ea e
a d de ec e, e - ide eg e a i f hei e , de ice , a d
a ica i ac hei e , a i g e e b a d
ca ab e. Mac - a d ic - eg e a i c e a e ca ied ac he
SD-Acce Fab ic a d ca be f he e e ded be d he Fab ic e
i g e h d de c ibed i hi b ai e ica cha e .
Multisite Remote Border

The M i i e Re e B de fea e e ab e he c fig a i f a i g e IP
Add e P ac i e Fab ic Si e . I a he a e IP Add e
P e i a i e Fab ic Si e b a ch i g he IP Add e P
ecific B de N de( ) a d C P a e N de( ). P e e i g he b e
ac i e ie ide a ca ab e a eg f c e i g add e
ace.
M i i e Re e B de ecifie ha a de ig a ed Fab ic Si e i be he
i ge a d eg e ca i f a affic i a de ig a ed Vi a Ne
e e h gh ha Vi a Ne e che ac i e Fab ic Si e . A
c e ca e f M i i e Re e B de i G e affic i ai .
I a adi i a e ,a i ee G e A ch C e i a ca ed
i he DMZ. M i i e Re e B de ide he a e ca abi i ie hi e
a idi g he eg e a i a d a ai be efi f a SD-Acce
e .
Fabric Zones
T ica , i Ci c SD-Acce de e , a he O e a b e ae
a ai ab e ac a he Edge N de i ha Si e. Fab ic Z e a e a a
ca i e ce ai b e ce ai ec i f he Fab ic Si e. F e a e, a
Fab ic Si e a i c de e b i di g . The e a be a eed ha e a
he b e ac a he e b i di g . Fab ic Z e e e ha e IP
b e ae a ai ab e i e b i di g a d he e i e Ca .
Critical VLAN
The C i ica VLAN f c i a i a e acce e , de ice , a d
a ica i i g a ecific VLAN if he ISE PSN i eachab e f he
SD-Acce e . I addi i ,c e , a he ica i e , de ice , a d
a ica i i e ai i hei e e a ig ed VLAN , a e i dic e-
a he ica i i a ed i he ISE PSN i eachab e agai .
Gatewa Outside of the Fabric

I SD-Acce , a defa ga e a i e e a Edge N de f each
b e i a Vi a Ne i hi a gi e Fab ic Si e. T affic de i ed a
e e b e i ce ed b he defa ga e a he Edge N de a d
he ed he a ia e de i a i .
I a OT e , he e i a eed f he defa ga e a be a
e e a fi e a a d he ca Edge N de. Fi e a affic i ec i i
ac ec i a dc ia ce e ie e i a e .
B e ab i g Ga e a O ide f he Fab ic f ci a i , he defa ga e a

i i i ed he Edge N de . The ga e a ca be i i ed
a e e a de ice ch a a fi e a , he e affic ha ga e a ca be
i ec ed.
La er 2 Flooding
B defa , he e i f di g f affic i he Ci c SD-Acce e .
ARP e i i d ei a i i ed fa hi b defa i Fab ic. H e e ,
ee d i eed b adca , a ic a ie h .
La e 2 F di g i a fea e ha e ab e he f di g f b adca , i -
ca ica , a d ARP affic f a gi e O e a b e . La e 2 F di g
e ie he f ai e ica i he Fab ic U de a e .
LAN Automation
LAN A ai he e e i e IT ad i i a e a e, a , a d
a a e SD-Acce U de a e . Thi i ifie e eai ,
f ee IT aff f i e-c i g a d e eii e e c fig a i
a , a d c ea e a a da d e -f ee U de a e .
Multicast in Fabric
M ica i ed i b h he O e a Vi a Ne a d he h ica
U de a e i SD-Acce , each achie i g diffe e e .
The ica ce ca ei he be ide he Fab ic Si e (c i he

da a ce e ) ca be i he Fab ic O e a , di ec c ec ed a Edge
N de, E e ded N de, a cia ed i h a Fab ic AP. M ica ecei e
ae c di ec c ec ed Edge N de E e ded N de ,
a h gh ica ecei e ca a be ide f he Fab ic Si e if he
ce i i he O e a .
PIM A -S ce M ica (PIM-ASM) a d PIM S ce-S ecific M ica

(PIM-SSM) a e ed.
Multicast Forwarding in SD-Access

SD-Acce diffe e a eh d f f a di g
ica . O e e he O e a , efe ed a Head-E d Re ica i , a d
he he e he U de a a d i ca ed Na i e M ica .
Head-End Replication
Head-E d Re ica i ( I ge Re ica i ) i ef ed ei he b he

ica fi -h e (FHR) he he ica ce i i he Fab ic
O e a , b he B de N de he he ce i ide he Fab ic Si e.
Native Multicast
Na i e ica d e e i e he i g e Fab ic N de d ica

e ica i . Ra he , he h e U de a i c di g I e edia e N de i ed
d he e ica i . T Na i e ica , he FHR , La -H
R e (LHR ), a d a e i fa c e be ee he be
e ab ed f ica .
Qualit of Service (QoS) in Cisco SD-Access

Fabric
Ci c SD-Acce Fab ic e ca ai e e e he Diffe e ia ed Se ice
C de P i (DSCP) a e i he IP heade f he i c i g ac e b c i g
he a e he DSCP i he e IP ac e . Th , Q S DSCP a e a e
e e ed e d- -e d ac he O e a .
Multiple Cisco DNA Center to Single ISE

The i e Ci c DNA Ce e ca abi i a i e Ci c DNA Ce e
c e i eg a e i h he a e i g e ISE de e . U i g he c ce
f A h c e a d Reade c e , hi fea e c ea e a i ge
a age e i f ic defi i i i he de e . Re ica i f
he e defi i i i he aga ed f he A h N de he Reade
N de .
Figure 2.1: Multiple Cisco DNA Center architecture

Ecos stem
Ci c DNA Ce e ha a ec e i h a a ie f aa e i a d
hi d- a a . Thi ec i de c ibe h e ec e i i he
c e f Ci c SD-Acce .
Wide Area Bonjour

B j i a e -c fig a i i ha i ifie e c fig a i
a d e ab e c ica i be ee c ec ed de ice , e ice , a d
a ica i .B j i de ig ed f i g e La e 2 d ai ch a a ,
fa e .
The Ci c Wide A ea B j a ica i Ci c DNA Ce e e i i a e

he i g e La e 2 d ai c ai a d e a d he c e a ge La e
3 d ai hich a e ed i SD-Acce i ed a d i e e e .
Cisco Secure Network Anal tics

(StealthWatch)
J a i i i a ec e e d i i he e , i i j a
i a ha e i ibi i i he affic he e a d a eh d b
hich a di i . Ci c Sec e Ne A a ic (S ea hWa ch) e e age
Ne F da a f e de ice h gh a a ea f he e
ide a c ci e ie f affic a e . Thi i ibi i a a
S ea hWa ch da aba e ec d be ai ai ed f e e c ica i
ha a e e a e de ice.
The S ea hWa ch Sec i A a ic a ica i Ci c DNA Ce e

a a e he i i i g f e de ice he e d Ne F da a
S ea hWa ch. Thi ide i ibi i a d ea - i e i i g fa e
affic f he Ci c Sec e Ne A a ic Ma age .
ThousandE es
The Th a dE e a ica i i h ed Ca a 9000 Se ie S i che
a d i i i ed h gh a f i Ci c DNA Ce e . Th a dE e
ide a a i a d b e e de ice a d a ica i i he
e .
Th a dE e Age Edge N de ide e a d a ica i

i ibi i f c ie b e e ice . Th a dE e Age B de
N de ide e a d a ica i i ibi i f he B de N de
e ice ide f he Fab ic.
Cisco DNA Center Plug-and-Pla

Ci c DNA Ce e he a aea d b a d Ci c e de ice ih
b i -i P g-a d-P a (P P) f ci a i . P g-a d-P a i a f a e age
he e de ice ha ca h e Ci c DNA Ce e a d d ad
he e i ed f a e a d de ice c fig a i .
Return Material Authori ation (RMA) Workflow

Ci c DNA Ce e RMA f a e e aci g de ice a i e a d
e - ch ce . C e f ag a fai ed de ice i Ci c DNA Ce e ,
h ica i a he e de ice, a d he ba ic e - ch f
bi g he de ice h gh he P g-a d-P a ce . U i g hi ce ,
Ci c DNA Ce e a ae f a e i age g ade , i a a ia e
ice e a d ce ifica e , a d a ie he ba ic c fig a i . O ce a de ice
i de ec ed b Ci c DNA Ce e , i i c fig e he e ace e de ice

i h he d de ice c fig a i . Ci c DNA Ce e RMA f
i chi g de ice a f i b h Fab ic a d -Fab ic De ice .
Cisco AI Endpoint Anal tics

Ci c AI E d i A a ic i a i ha de ec a d c a ifie
e d i a d I T de ice i diffe e ca eg ie ba ed E d i T e,
Ha d a e M de , Ma fac e, a d O eai g S e e. The Ci c AI
E d i A a ic e gi e a d e i e face Ci c DNA Ce e a d
a ig abe e d i b ecei i g ee e f he e
i fa c e.
Fabric Assurance
Ci c SD-Acce A a ce ide i ibi i i he U de a a d
O e a , a d i e ab e eachabi i i c i ica e e ice i he Fab ic
I fa c e. Fab ic e de ice a e i i ed ih de -d i e
ea i g e e e hich i he a f ce ai c ae .A
cha ge i he c aei e ed b he e de ice Ci c DNA
Ce e . I he A a ce da hb a d, gge i e ac i he e
ea a d he i e d ai a d e e a e edia e he
i e.
SD-Acce A a ce ide i ibi i i he hea h a d ae f he

Fab ic Si e, Vi a Ne , a d SD-Acce Ta i.
3rd-Part Integrations
Ci c DNA Ce e i eg a e ih ai he IT a ica i ch a IPAM

e ice a d Se iceN IT Se ice Ma age e (ITSM) i e. T
i eg a i aee ai ed be .
IP Address Management s stems (IPAM)

Wi h hi d- a IPAM i eg a i ,a a ec f IPAM a age e , ch a
DNS a d DHCP, ca be d e i g e i eg a ed af . Thi i eg a i
ei i a e a a ce e a d a ch , i c ea i g IP add e
a age e efficie c . Ci c DNA Ce e he abi i i eg a e
hi d- a IPAM e I f b a d B eCa .
Service Now
The Ci c SD-Acce i eg a i i h Se iceN i a d b i he
Fab ic e e ha i c de Fab ic R e da e . Thi ide ec i a d
he eai a igge he IT Se ice Ma age e e .
OT Integration with
Cisco SD-Access
54 OT I eg a i i h Ci c SD-Acce
Introduction
Chapter Overview
The P d e M de a e ea ed i 1990, a d i i he a da d b hich
O eai a Tech g (OT) e ha e de ig ed hei e .
H e e , ig ifica cha ge ha e cc ed i he e i gi d e
he a 30 ea . The e i ai a e bei g e e aged i he OT i d
da .
Thi cha e ide de ig g ida ce f he a fac i g ace,

f c i g h he e i ai i Ci c SD-Acce a e bei g i i ed
c ea e i e, ec e, a d f e ib e OT e . The cha e a ih
he de c i i f he OT Ne a d f ih e ie e a d
i f he OT ace. Fi a , he cha e e d i h de e
i .
What is an OT Network?
A OT e i ica a h ica e aae e f ac e
IT C ae e . I ca be ied a di i i de a e i hi he
ga i a i a d i f e i di ec f he c e i e fb i e .
OT e a e be de c ibed a a ec f ech gie , he e he
ec i c de affic e , f , g a da e / e ic i ,
eg e a i , a d . The e c e ca be i d ced if he
ga i a i i a f a eg a ed i d if he e a e e i i g
i hi ce ai i d ie ha ha e bee i ace f a ea .
F e a e, a E ec ica U i i High-V age S b a i c d be a e

e d f he ec . I hi ca e, a da d ch a IEEE 1613 a d IEC
61850 be ad ed. O he i e e ie e i c de e LAN
OT I eg a i i h Ci c SD-Acce 55
d ica i , S e i C , a d Da a Ac i ii (SCADA) c ,
a d ha i g e e e i - c a b- ic ec d acc ac .
S e he e i he idd e f he ec c d be Ma fac i g, hich

i c de I d ia A a i . He e e ica ee he P fi e c
a d a g eg e ed hie a chica a ach, a i i e i h IEC
62443.
R ad a c d be a he ea ic e d f he ec . He e e ee
acce ab e ec e i e f e ha 500 i i ec d ( ) a d
eg a IP 4 TCP a d UDP ica affic.
Diffe e OT e ca be ca eg i ed i he ec f ad a a a
high e e a h i he f i g cha . G ba , i e eai igh
a ,b he cha de c ibe h he e i e eai a e ca eg i ed.
Figure 3.1: Traffic t pes, resilienc requirements, and industr framework adherence across
various OT e amples
A f he e OT e a ha e a f diffe e ce , b he a ha e
e c a i ie . We i di c h Ci c SD-Acce he i he
i e e ai a d i eg a i f OT e i h IT e a d h
Ci c SD-Acce ca be ed b i d OT e .
Organi ation and Infrastructural Separation

IT a d OT a e f e diffe e de a e i hi a i g e ga i a i .
OT e f e ha e hei IT i f a c e a d, de e di g he
i e f he OT de a e , aff a ha e a i g e i g i e .I
ca e , OT a d IT e a a i ae d e ec i c ia ce
e i e e , a d he e i e a e e a a ed b a fi e a .
Fi e a e aai i c be ee IT a d OT e . Thi fi e a
e aai ha e e a be efi i he OT/IT e i e :
P ic e f ce e
U e c
Th ea c ai e
Cha ge c
Ha i g hi fi e a e aai e e ha e e ch a a accide a
cha ge he IT OT e h d i ac he e .
Figure 3.2: IT and OT networks separated b a firewall
The OT Ne fe e he IT Ne a a bac b e a e e he
I e e a d acce e e a e ce . Thi c ec i i e i e a fi e a
be ee he IT Ne a d he ide d e e a h i ed
e a da ica i aea ed acce OT e .
The P d e M de , i ed i Fig e 3.3, h h he e diffe e e

aec ec ed a d e a a ed i g fi e a .
Figure 3.3: Purdue Model
Traditional Deplo ment Environment and Environmental

Conditions
OT e ca be i d , d , b h. Whe i d , hi i f e
i a ca e ed ace. Whe d , he a e ei he i a e a ea i h
IP67- a ed c di i h ed i e c e ih e i e a
ec i .
F b hi d a d d de , ea e ha he ca i i be
e ea e-c ed, a d , ica , e ee he eed f i d ia -
g ade e de ice . De e di g he ecific i d , e ie e
a d a da d a he i c e e e a e a ge , abi i
i h a d ib a i , a i e c i g, a d . Ci c E e i e f i
i fe ecifica i f ch ha h e i e . T add e
he e ha h e i e , Ci c ha he Ci c I d ia E he e (IE) fa i
f i che c e i g 19 ac a d DIN- ai f -fac .
I i a c i OT e ha e e e e fa e ge g a hica
di ib ed c a ed i h IT e , a he e ca be e e a ie
be ee eighb i g i che . D e he e ge g a hica di e ed
i a ai , i bec e i ac ica c f c e ea a
g i ce he a e ab e h e e e acce i ch bac
he Di ib i La e .
Whi e OT e fe c ai e ihSa T g , ea ee
he ch a :
Linear dais chain: He e, i che a e a a ged i ea d e a ac f

a ai ab e fibe c e . T a e a chi ec hi a i e a bad de ig ,
ihac ded e f i g e- i - f-fai e. Thi igh be he i e
a c e f e d hei be i h hei fibe e ce a d he h ica
d he a e i gi .
Figure 3.4: Linear dais chain of La er 2 Access switches
Ring: He e, i e he i ea dai chai , he a Acce i ch effec i e

c ec bac he Di ib i i ch, f i g a i g. Thi ide a
ad a age f a a e a e a h i he e e fc ec i i e i e
fai e. Thi g e ie a ida ce ech g , ch a Re i ie
E he e P c (REP), hich i c i ica f i f c i .
Figure 3.5: Ring of La er 2 Access switches
Resilienc and Uptime

I OT e i g, i g a fe c e a ge di a ce , b he ca a
be ed i hi e a i e h di a ce ch a 100 fee . E ecia i hi
I d ia A ai a d U i i ie , he e i fe he e ie e f a
e La e 2 echa i .P c ch a Pa a e Red da c P c
(PRP) High-a ai abi i Sea e Red da c (HSR) a e f e ed
ge he . If a fai e cc i e f he a h , affic c i e f e
he he ah i e ed, a d e ec e i ei e i ed.
U i e i i c edib i a f a fac i g c e , i i ie , a d
he c i ica e . P eci i Ti e P c (PTP) c he i h OT
de ice e cha gi g da a i a P g a ab e L gic C e (PLC) c
, idi g a high ch i ed e i e d a b-
ic ec d e e. P d c i i e h d if a a f da a a e
de ice bec e f c. A idi g he e h d i e e ia i
ee i g he a i a i f a c e i g h a he ac -ec ic
e e a d, f c e, f afe .
A a ge e a e f a fac i g, e - a d c a e e i ed f
i a ica i . The a e e i ge f a ica i ch a I/O,
hich c d ih a d 100 f La e 2 c e ge ce i e . I
a fac i g i d ie , hi e e f e i ie ce a d eci i ae
a da ed. He e, OT e aec de ed i h REP i g , ih
a ia he S a i g T ee P c (STP) i idi g e i ie c a
e e .
B i gi g a hi bac i e- f-b i e , eed hi ab c i ica

da a a d a ica i f be ee Ce /A ea Z e a d bac e d
c e i he I d ia Si e O e a i a d E e i e Z e .
Ma i i e i eeded ac a f he e, a d if i e- f-b i e
e i e SAP ca c ica e a d f ci c ec , hi i e
ea ha a fac i g e he i d ia ce eed be
ha ed. C ia ce i h he ISO 9000 fa i f a da d i c ide ed
a da b c e ac he OT a d ca e, e ecia i
Ma fac i g. Thi i c de ac i g c e f he chai
d ci a d a he fac ha g i a ai a age e e .
Ne a chi ec e ha add e he ece a e i ie c e ie e
a db i e i e a e c i ica OT c e bei g cce f .
Challenges
Wi h he e i f IT e ada i g e e ech g , he OT
e ha he i i i e he f e ibi i ided b he
e ha ce e i IT e i g. Bef e de i g i h he OT e ca
e e age he e f c i a i ided i, e a he ai i
f he e ec i e f b h b i e a d ech ica e ie e .
Business Requirements
Critical Business Continuit , Resilienc , and High Availabilit
Rega d e f i e i d , c a ie ha e c ea -defi ed ce e
a d h d be ab e c i e ee he e ec a i f hei c e .
T ce if he ai fa d c , OT e a ai a age e e
ai ai a d ac he d ci f each c e a d a i he
a fac i g ce . A ISO 9001 i a g ba ec g i ed a
de a e he i e e ai f a i a a da d f ai i
c a , he a ica i ie hich ac hi i a da b
a a c i ica b i e a ica i .
Business Agilit
Thi i he e i e e f i c ea ed efficie c d i g de e a d
g ade f he e a d e d i , ch ha he OT ea ca add e
e ha d a e ea i a d RMA e ha d a e, he e i ed, i h
i i a b i e di i . M e f a d- i g i d ia a ai
c e ae i gi ech g cha ge ha a he i ai e
P ga ab e L gica C e (PLC), hich i gai he a be e e e
f agi i .
Net ork Performance and Agilit
Wi h a e a chi ec e, ea e ef a ce h d be he a e
be e , b he eed f eai cha ge h d be e ha ced.
Pe f a ce i hi c e i ea ed a a i c ea e i d ci i a d
e /e d i e e ie ce. Agi e eh d gie cha ge di e e
cha ge a e c cia . I a Ma fac i g a , i e i c i ica .
Organi ation Considerations
P idi g a i eg a i i be ee IT a d OT ea a d e i
c i ica , idea i h a ha ed ie f ic b iha e aai f d ie .
Ne de ice f a e/fi a e f OT de ice i g aded a diffe e
cade ce ha he IT e . Of e OT e e d ha e acce IT
ch a Ide i Se ice E gi e (ISE), a d ica he e i a e a a e
P ic Se ice N de (PSN) f he ISE c e i hi he OT ace. Thi
PSN c ica e h gh he fi e a he IT e ' da a ce e .
Th , he e i a a a de e de c IT f e cha ge .
Purdue Model Alignment
T add e a d i i i e c be ec i e e f i d ia c a d
a ai e , a c e a ig a OT a chi ec e ba ed
he P d e M de .
Thi de a ic a e he a e a d e f e aai f ISA99,

ecifica e e 0, 1, 2, 3, 3.5, 4, a d 5.
Technical Requirements
Resilienc and Redundanc and High Availabilit
A OT e ha e bec e e e e c i ica f he f c i i g f a
ga i a i , a d i a ca e a OT e i he c e f a c a
a di g, i i c i ica ide e i ie c a he a f ed da c
i f ch e . If he ai a age e e i e SAP f a
a fac i g f i d , a e he he ha i Tie -1, Tie -2,

Tie -3 a fac i g, he he a fac i g i e i d . Th , if he
e i i ac ed, cha ce a e e e e high ha he a i be d ,
c i g i i fd a e ec d.
Replication Requirements
A a fai e i OT e ca ead big e .F e a e, i g

a a a fac i g i e ca i i i f d a e ec d e
age. A a e , i ca be a da ha e e i ie c i he f f
ac e e ica i i he OT e e e ha ac e fai e i
i i i ed e e e .
Segmentation
T da ' OT e cca i a ide i i ed eg e a i ca abi i ie .

M he e e a e VLAN ba ed. Whe dee e eg e a i i
eeded, a ga i a i c ea e h ica e a a e OT e .
The e i a eed e hi b idi g gica eg e a i i h he

e g h f h ica e aai b he i ici fa i ge e .
Seg e a i i ei e ed a a ea he add e c be ec i .
If eg e a i i i a ia ed b IP ACL , i ca bec e diffic ca e,
be h , a d ai ai e i ei a b he i e de e .
Securit on Host Ports of OT Net ork
I f he OT de e , he h -faci g ae e . Thi i a
ec i i a a e acce i g he h ica ca ge i he e
a d c ea e ha c.
T i i i e he da age d e hi , a OT e ae i g a fi e a
a he Edge, b i i a a e igh i . F ea - e affic, he e i
ec i , eadi g a e ha ced ec i i f OT a e . If
c e a add e hi a d e f defa - e defa -
c ed, i i a e e e a ge de a i g f a gh i h cha e ge .
D e he e a e f he OT e , he e a e a f ca e
he e hi d- a a aged h b / i che a d he ed de ice
ae c ec ed he OT e , h i c ea i g he a ac face. The
e a e f ca ead ai fai e i OT e f b h
he ec i a d e e i ie c e ec i e . O e h ica ca
acce he de ice a e a e , a i g a i de e i a
e abi i ie a d/ a ch a ac .
Visibilit
O e f he bigge be i he OT e i he a ie fe d i
he a fac i g f . The e i i i ed i ibi i i he c ec ed de ice .
S e de ice a e a aged, e e ai ched f ea , a d he
ca be ge g a hica fa a a .
Silent Hosts
OT e ha e diffe e e f de ice (h )c ec ed he , ch
a :
D a ica add e ed h hich ge hei IP add e e f a

DHCP e e
H ih a ica a ig ed IP
H ha d ea i e he h ie each he
(Si e H )
H ha d e d i g a d he e igge a d
e d ecific ac e de i ed f he (Si e H )
H ha c e i eb he g ee if ei ea i g
he (Si e H )
E e h ha a e La e 2- , ha i g IP ac
The ef e, i e f be h i g a d ge e a i ibi i , i e h ca
be b e a ic a OT e .
Environmental Factors
De e di g he ca i f OT e i e bei g c ec ed he
e , he eed f ggedi ed e de ice i i c ea ed c a ed
IT e .
Large La er 2 Net orks
OT e a e i e a ge La e 2 e f ecific e ca e
b i e ea . The c e e i i he i e f he La e 2 d ai
d e he i e i h STP a d he La e 2 c . The e i a
e ie e e hi La e 2 e i e i e hi e a i g he
f e ibi i f he OT de ice be a f he a e La e 2 i h he
d ide f La e 2 c ch a STP.
Ring Topologies
Ri g gie ae e ae i OT e , e e i g La e 2
a ida ce c cha e ge .
La er 2 Net ork Address Translation
Machi e b i de a e e he a e IP add e che e he de i e i g

a ce a a fac e, La e 2 Ne Add e Ta ai
(L2NAT) i e i ed he addi g ha ce he a e .
Customer Solutions
The b i e a d ech ica e i e e f OT e bei g agi e,

e aai g a e i h he P d e M de , i g ea i a d c ed
de a he ica i , e c., ca be e b i d ci g he Ci c SD-Acce
Fab ic i he OT e . The f i g ec i i h h
Ci c SD-Acce i ca ee he e b i e a d ech ica
e ie e .
Thi ec i i e ie i a dh he add e he e i a ed
e ie e . Each i i be ba ed ea c e OT
e i e . I each e ca e, e i ca he e ie e i he e
ec i f he cha e .
Ba ed h he OT e i de ed a d h Ci c SD-Acce Fab ic
ca he ee he e i e e , e e he f i g f i
e a e . The e e a e ca be ed i he OT ace e ha ce
ec i , eg e a i , a ai abi i , a d i c ea e OT e de e
agi i . The ae de ed f ea i e f eg e a i
ca abi i , b i e , a d ech ica e i ie c :
A ha ed IT-OT Ci c SD-Acce Fab ic, ih e e Vi a

Ne c ea ed f OT, ac - eg e a i , ic - eg e a i ,
a d a Pee (F i ) fi e a (f i e, - eg a ed de e ).
A dedica ed OT Ci c SD-Acce Fab ic Si e, i addi i he IT
Ci c SD-Acce Fab ic Si e, e a a ed b a Pee (F i ) fi e a
b ih a ha ed Ci c DNA Ce e /Ci c ISE i a ce (f e
c e , de a e a e a a i , e.g., ad a , b i -
eg a ed de e ) (Se a a e OT a d IT).
I d ia de i i a i ed e a d I d ia ec i e ha e hei
Ci c SD-Acce Fab ic Si e. Each f he OT i e i c ec ed
he IT Fab ic i g a c Pee (F i ) fi e a de ice i h a
dedica ed Ci c ISE P ic Se ice N de (PSN), e ab i g i abi i
e . A Ci c DNA Ce e de e i ha ed ih i e-ba ed
RBAC ( diffe e OT Z e ).
Dedica ed OT Ci c SD-Acce Fab ic Si e i h dedica ed SD-
Acce T a i ( i e, dedica ed SD-Acce T a i ).
Shared IT-OT Cisco SD-Access Fabric

Thi i he aigh f ad a d i i ic de ig he e he E e i e
Ci c SD-Acce IT e ha e e dedica ed Vi a Ne f
OT e . F hi e a e, e a e hi Vi a Ne VN-OT. I
hi de ig , he fi e a f c i be ee he IT a d OT e i e ed b
he C E e i e fi e a , he e he i a e VN-OT i ha ded
ff he Pee (F i ) de ice a a fi e a Z ef OT. The affic be ee
he VN-OT a d c a e Vi a Ne i i ec ed b he Pee (F i )
fi e a de ice a d ba ed he ic , he affic a be:
D ed b he fi e a
Pe i ed b he fi e a
Se ec i e f a ded b he fi e a . ba ed he L4-L7 i ec i
e
Figure 3.6: Shared IT/OT Cisco SD-Access Fabric Logical view
Fig e 3.6 de ic he g f Vi a Ne i he IT-OT ha ed

Fab ic Si e
OT Vi a Ne (VN-OT#1 VN-OT# ) i IT/OT Sha ed Fab ic

IT Vi a Ne (VN-IT#1 T VN-IT# ) i IT/OT Sha ed Fab ic
The IT/OT Sha ed Fab ic Si e ha d ff he IT a d OT Vi a Ne he

Pee N de fi e a . Fi e a ba ed he e a /de c ica i
ac he e Vi a Ne . Addi i a , he fi e a a ide ha ed
e ice acce he da a ce e a d he e ice , i c di g DHCP, DNS,
I e e , e c.
N ha e de a d he gica g f hi de ig e a he
h ica g . Fig e 3.7 de ic he h ica g f he de ig .
Figure 3.7: Shared IT/OT Cisco SD-Access Fabric Ph sical view plus logical Virtual
Network mapping
Y ca ee ha b h IT a d OT de ice ca c ec Acce P f
ei he E e ded N de Edge N de , hich a e a ed e ec i e
Vi a Ne . De ice/h b a di g ca be achie ed i h ee a :
P Edge N de a d E e ded N de ca be a ig ed a
a ic a VLAN f a Vi a Ne i g he H O b a di g
f i Ci c DNA Ce e ( -a h ca e).
P Edge N de a d E e ded N de ca be e f d a ic
a he ica i , he e he e d i ca be ad i ed he e e a
Vi a Ne /VLAN ba ed defi ed a he ica i eh d
(O e A h a d C ed A h).
P Edge N de a d E e ded N de ca be a ig ed a
a ic a Vi a Ne ia SD-Acce REST API . Thi ca be
e ecia ef he di e f a Li e- f-B i e (L B)
ce .
Gi e OT de ice ae i e be i -ca e ed/ gged ca i ,

d e Ci c I d ia E he e (IE) i che a E e ded N de . P ea e
efe d c da a hee a d he Ci c SD-Acce C a ibi i
Ma i Ci c eb i e ee e e a Ci c IE i che a d he Ci c
SD-Acce Fab ic e he ca ef .
A a e i de , Edge N de a e c ec ed he e f he Ci c SD-
Acce Fab ic ia a ed La e 3 U de a e . E e ded N de a e
c ec ed ia a La e 2 802.1Q , hich i a a f a PAgP
cha e (e e if he g ha e e be / i ).
The b a di g f E e ded N de de ice i OT-f ie d . The i che ca

be b ed, a ched i , e ed ,a da -c fig ed if he de ice
ha he N A he ica i Te a e e ab ed f he Fab ic Si e. If e ab e
a he e a e, c ea e a cha e a a , i g he Ci c DNA
Ce e GUI f he E e ded N de he P ic E e ded N de hich he
e N de i c ec ed f b a di g.
E e ded N de c ec bac a i g e Edge N de. F be e

ed da c , E e ded N de h d be c ec ed a Edge N de ac
(ei he h ica S ac Wi e ce ai Ci c Ca a 9000 fa i e be
S ac Wi e Vi a ca ab e i che ). Thi he ai ai he ea
c ec i i e e d i g he fai e f he ea i ch i .
Figure 3.8: E tended Node via Cisco Catal st 9000 StackWise
Ci c SD-Acce i a effec i e i i hi ca e beca e a e ie

a a e OT e i e i ed. IT a d OT ha e a h ica e b
ae gica e a a ed a d eg e ed.
I i i a de a d ha hi e hi e e be ,f a
OT e ec i e, addi i a ca ea a e ie a e a diffe e
a ach f e e ice . Whe c ide i g ha ed e ice , a a
c ide f c i e f . I OT, f c i ha e ha ed e ice ha
c d a e d he e i e , he he i hi a ea ac he WAN,
h d be ea a ea dc ide a e a i e a ache .
Dedicated OT Cisco SD-Access Fabric Site

I hi de ig , he OT e ha a dedica ed OT Fab ic Si e i addi i
he E e i e Ci c SD-Acce IT e . The OT Fab ic Si e i e a a ed
f he E e i e Ci c SD-Acce Fab ic Si e i h a fi e a . The fi e a
ha a ea e , e c ec i g he OT Fab ic Si e a d a he
ec ec i g he E e i e Ci c SD-Acce Fab ic Si e. The fi e a
ca be a La e 2 ( a a e ) fi e a a La e 3 ( ed) fi e a . If
eeded, he fi e a c d NAT he affic c i gf he OT i e ad
he E e i e Ci c SD-Acce i e.
Ha i g e a a e Fab ic Si e f IT a d OT igh be a ga i a i a
deci i di e d e ec i icie de a e a b da ie . Thi
de ig ha a aj ad a age f b h IT a d OT e , a a cha ge
he i e e e ide i i ac he he . Thi i a ic a
ef he he OT e e hi g ch a a S a Ci
C ec ed R ad a . E a i i g he ca e f a ad a c e , he d
a ee e affic e a a e be ee de ice e ch a :
Vi a Ne f ad e i e
Vi a Ne f ca e a
Vi a Ne f i e ec i
SGT f T affic Sig a C e
SGT f LiDAR
SGT f Edge C e
SGT f V2X adi
Vi a Ne f ea he ai
A a i e ec i , e ca a OT de ice c ica e a La e 2, ih
e ae c , ih hai i i g he affic ia a Pee (F i )
e /fi e a . U i g SGT , e ca i e f ce ia ic -
eg e a i i ce Ci c SD-Acce gi e a high a a ed a
de a ic - eg e a i ic .
Ci c C be Vi i i a ef i OT e . Ha i g he ca abi i f
i g he E e ded N de a d P ic E e ded N de , C be Vi i
he ide if a d c a if OT de ice i c j c i i h Ci c ISE. Ci c
C be Vi i i a ic a i a beca e Ci c E d i A a ic f e
ca be e e aged ec g i e e d i c ec ed Ci c IE i che .
A he ad a age f hi de ig i ha he E e i e Ci c SD-Acce ie
a d dedica ed OT Ci c SD-Acce i e ha e c c e ch
a Ci c DNA Ce e a d ISE. B i g i e-ba ed RBAC, hi de ig
ide a e e aai f he gica e ec i e b d e ha e he
h ica Ci c DNA Ce e a ia ce/c e be ee IT a d OT Ci c SD-

Acce ie .
Figure 3.9: Dedicated OT Cisco SD-Access Fabric
The gica g de ic ed i Fig e 3.10 a ie Vi a Ne i

diffe e Fab ic Si e
OT Vi a Ne (Vi a Ne -OT#1 Vi a Ne -
OT# ) i OT Fab ic Si e
IT Vi a Ne (Vi a Ne -IT#1 T Vi a Ne -IT# ) i
he IT Fab ic Si e
Each i e ha d ff i e ec i e Vi a Ne he fi e a . The
fi e a i a /de c ica i ac he e Vi a Ne ba ed
he fi e a e . Addi i a , he fi e a ide ha ed e ice
acce he da a ce e a d he e ice , i c di g DHCP, DNS, I e e ,
e c.
N ha e de a d hi de ig ' gica g e a he
h ica g f he de ig , h i Fig e 3.10.
Figure 3.10: Dedicated OT Cisco SD-Access Fabric Ph sical view plus logical Virtual
Network mapping
A h i Fig e 3.10:
IT de ice c ec acce f he Edge N de a d

E e ded N de , hich a e a f he IT Ci c SD-Acce Fab ic
Si e (IT Fab ic) h he diag a .
OT de ice c ec acce b h he Edge N de a d
E e ded N de , hich a e a f he OT Ci c SD-Acce Fab ic
Si e (OT Fab ic).
Thi de ig ide f h ica e aai be ee he IT a d OT

e hi e ai ai i g c eg e a i c c ch a Vi a
Ne a d Sec i G P ic c c ac IT a d OT Fab ic
Si e .
A i g g f IE i che ca be a a ed i Ci c DNA Ce e ,
c e i g a RSTP i g Re i ie E he e P c (REP). Thi ica
e i a a i ae 50% i e e i La e 2 ec e i e i he
e e f a fai e. A , ca ee ha i i ib e ff a i g iha
i ea dai chai .
F he ch ice f a ia e e e i e i che , ea e efe d c

da a hee a d he Ci c SD-Acce C a ibi i Ma i he Ci c
eb i e ee e e a Ci c E e i e i che a d he Ci c SD-Acce
Fab ic e he ca e f .
F OT de ice ha a e i e be i -ca e ed/ gged ca i , he IE

i ch af a e he a e a i e a e #1.
I i i a e ha he B de N de a d C P a e N de i he
OT Fab ic a e i -ca e ed/ gged ca i . The a e a f he
C di i ed ace, he a e a he E e i e IT i che a d e
ed b B de N de a d C P a e N de .
Industrial DMZ and Industrial Securit Zone

with Dedicated Fabric Sites
Thi de ig e a a e he OT Fab ic i Fab ic Si e , he fi f he
I d ia De i i a i ed Z e (DMZ) a d he ec d f he I d ia Sec i
Z e. The OT Fab ic Si e ae c ec ed he Pee fi e a . The Pee
fi e a ha i e fi e a e , e f each OT Fab ic Si e a d a he
c ec i g he E e i e SD-Acce Fab ic. The OT Fab ic Si e b i g a
he affic a d he Pee (F i ) fi e a de ice. The Pee fi e a ca be
a La e 2 a a e fi e a a La e 3 ed fi e a .
Thi de i d i e b ai ai i g e a a i be ee he P d e e e
hi e a i g c b i g a c i- e fi e a be ee he
diffe e a e e i g dedica ed fi e a . Thi a chi ec e a he
ai ai e aae ic - eg e a i a d ac - eg e a i i hi
he a e hi e a i g fi e a d a a ef i ec i f a c -
a e affic. Thi de ig ha he be efi f i d ci g eg e a i
de a d a e a he abi i de d a ic a he ica i a e ec i e
e f OT c ec i g he h . I OT e , I T de ice ch a
b , ea i g i e , ce ai PLC a e fe ed. Whe ch
e d i a e ie , e ca e e age he La e 2 F di g f ci ai i
Ci c SD-Acce ide c ec i i i he e . Thi fea e ca
a c e La e 2- c .
I hi de , a c Ci c DNA Ce e i ed f he OT a d IT SD-
Acce Fab ic b dedica ed ISE PSN a e ed f OT a d IT Fab ic Si e ,
e ec i e .
Figure 3.11: Industrial DMZ and Industrial Securit Zone with dedicated Fabric Site
Fig e 3.11 de ic he gica g f he f i g Vi a Ne i

diffe e Fab ic Si e
OT Vi a Ne (VN-OT#1 VN-OT# ) i OT I d ia DMZ

Fab ic Si e
OT Vi a Ne (VN-DMZ#1 VN-DMZ#1 ) i OT I d ia
Fab ic Si e
IT Vi a Ne (VN-IT#1 T VN-IT# ) i he IT Fab ic Si e
Each f he e i e ha d ff hei e ec i e Vi a Ne he
fi e a . Ba ed he fi e a e , he fi e a a /de ie
c ica i ac he e Vi a Ne . The fi e a a ide

ha ed e ice acce he da a ce e a d he e ice , i c di g
DHCP, DNS, I e e , e c.
The Pee fi e a c d NAT he affic f he OT ie ad he

E e i e SD-Acce i e, a e i ed, b La e 2 NAT i fe d e a he
edge f he Ce /A ea Z e. Y h da hi ca ef he de i g
fi e a i a d be ee he ai e . E ab i g fea e ch a
i ec i a d he a ha e a e f a ce/ a e c i ac ,
h d c ide h e ab i g he e fea e c d i ac a I d ia
A ai e .
O e f he e e ie e f he I d ia DMZ (IDMZ) i ha affic

f di ec be ee E e i e a d I d ia e . Fi e a e ae e
e e E e i e Z e affic ca each he IDMZ, a d he IDMZ ca
be ed acce he I d ia e, a d ice- e a.
The IDMZ a ecific a d i i ed acce i he I d ia Si e

O eai Z e a d he Ce /A ea Z e. Acce i ica e e e
i i ed, c ed-d , a d a di ed, i h SGT a ied a d e f ced b Ci c
SD-Acce bec i g a effec i e eh d he e ec i
e ie e .
N ha e de a d hi de ig ' gica g e a he
h ica g f he de ig , de ic ed i Fig e 3.1.
Figure: 3.12: Dedicated OT Cisco SD-Access Fabric Site with dedicated Industrial DMZ
Fabric Site Ph sical view
Y igh ha e a ead g e ed beca e f he e efe e ced i Fig e

3.12, b hi i a ie Ma fac i g a d I d ia A ai ,
i h Fab ic e a a i a ig ed he P d e M de . F he c
he e e ( e e 0 2), e a e ee i g hi ide f he Fab ic a a
E e a La e 2 S i chi g D ai . The Edge N de, be ee he Ce /A ea
Z e a d he I d ia Si e O e a i Z e, ca e i e a e he ace
fa I d ia Fi e a , i h e f ce e i i i g b h ac - eg e a i
a d ic - eg e a i hi ca i if ec i a he Ce /A ea Z e
e e.
SD-Acce ca be ed a a a e,a d hi e he e i e a
c c a eg e a i che e f I d ia A ai , e ee de ig
a e ihc e :
C i g eg e a i i hi a Ce /A ea Z e
C i g eg e a i ac e ha e Ce /A ea Z e
Seg e a i de a d he e OT a e e e ed c ea e, da e
a d de i a e i a ea diffe e ia f SD-Acce e
adi i a LAN i .A f hi c i a ai ab e ia REST API , ea i g
i ca be f i eg a ed i he OT i e- f-b i e ce e a d
a ica i , e ec i g b i e i e .
Dedicated OT Cisco SD-Access Fabric Sites

with Dedicated SD-Access Transit
Thi de ig bi g c c f e a a e SD-Acce Ta i f he OT
SD-Acce i e f IDMZ a d I d ia ec i e , i h he Pee fi e a
ha i g a ea h ee e . The fi ec ec he IDMZ Fab ic, he
ec d e c ec he I d ia ec i e Fab ic, a d he hi d
ec ec he E e i e SD-Acce Fab ic. The Pee fi e a di ec
affic be ee he e a d a fi e he affic ba ed he fi e a
e . The Pee fi e a ca be a La e 2 ( a a e ) fi e a a La e 3
( ed) fi e a . The Pee fi e a c d NAT he affic be ee diffe e
Ci c SD-Acce e .
Figure 3.13: Dedicated OT Cisco SD-Access Fabric Sites with dedicated SD-Access Transit
Fig e 3.13 gica g de ic he f i g Vi a Ne i

diffe e Fab ic Si e :
OT Vi a Ne (VN-OT#1 VN-OT# ) i OT I d ia Fab ic

Si e . T ee he c i e c f he Vi a Ne i he I d ia
Si e O e a i e, he OT Vi a Ne ca be c i e
ac he i e Ci c SD-Acce OT I d ia Fab ic Si e .
OT Vi a Ne (VN-DMZ#1 VN-DMZ# ) i OT I d ia DMZ
Fab ic Si e
IT Vi a Ne (VN-IT#1 T VN-IT# ) i he IT Fab ic Si e
Each i e ha d ff i e ec i e Vi a Ne he fi e a . Ba ed
he fi e a e , he fi e a a /de ie c ica i ac he e
Vi a Ne . Addi i a , he fi e a a ide ha ed e ice
acce he da a ce e a d he e ice , i c di g DHCP, DNS, I e e ,
e c.
N ha e de a d hi de ig ' gica g , e a he
h ica g .
Fig e 3.14 de ic he h ica g f hi de ig .

Figure 3.14: Dedicated OT Cisco SD-Access Fabric Sites with dedicated SD-Access Transit
Ph sical view
Ci c SD-Acce Fab ic i a B ca be a ef b i di g b c he e a
a e ca e i e i ed, a d e i ie c de i ed f ac i g i fficie .
He e e ha e ed a Fab ic i a B i he IDMZ, a hi ica h e a
de be f e e a d e ice . Si i a ,f Si e N, e ca a e
hi i a a e i e, a d a Edge N de c ec ed Fab ic i a B i
a ia e. F Si e 1, e ha e de ed i h C ca ed Fab ic B de
N de a d C P a e N de, i h e a a e Edge N de .
Si e 1 h gh Si e N c d be diffe e ec i f he a e h ica fac

diffe e fac ie ead ac ge g a h . S ch i he f e ibi i f i g
i e Fab ic Si e .
We a e ha e aai gi i e Fab ic Si e aff d ei ai

a d be e ie i abi i . F e a e, if he Fab ic a Si e 1 i eh
i ac ed h gh ea e i c fig a i , Si e N i affec ed.
A e f a d- i g i d ia a ai c e i
ech g cha ge ha a he i a i e PLC , Ci c SD-Acce ca
ide a f a e hi i a adi i a a d a ic e i g
d e . SGT-ba ed ic ac i d ia e a d i e , SDN
ec fig e he e a i g he c e be agi e a d e i e
cha ge i de a d he e hi g ca he e ac e' eai a
c a d i c ea e d ci i .
Deplo ment Options
Fabric Site Si es Design Strateg

I a Ci c SD-Acce de e de ig , ca c ea e fe e , a ge
Fab ic Si e a he ha i e, a e Fab ic Si e . The de ig a eg i
ha e a a ge Fab ic Si e i e hi e i i i i g a iec , hich ca
he ed ce a age e e head. La ge Fab ic Si e ca a he i
de i gc ic ac he Fab ic. Th gh ha i g a La ge Si e ha
i e be efi , b i e e ie e a ece i a e ha i g a
S a /Medi Si e. The i-di e i a fac f i abi i , high
a ai abi i , e d i c , e ice , a d ge g a h a e a fac ha a
d i e he eed f i e, a e Fab ic Si e i ead f a i g e La ge
Si e. The f i g efe e ce de ca be ed he de ig Fab ic
Si e f diffe e i e .
Fabric Site Reference Models

I de e ih h ica ca i , c e e diffe e e ae
f each i e e, ch a a a ge b a ch, a egi a h b, head a e , a
a e e ffice. The de i g de ig cha e ge i a he
e i i g e , i i g, a d de e a d e a eh d a e
SD-Acce Fab ic Si e i he e a ea . Thi ce ca be i ified a d
ea i ed b e a i g de ig i efe e ce de . The e ae
di e de a di g f c i e de ig b ffe i g efe e ce
ca eg ie ba ed he i-di e i a de ig ee e i e e d i
c , be f Fab ic De ice , a d be f e ide g ide i e
f i ia i e i e de ig .
The be ae ed a g ide i e a d d ece ai a ch

a i ecific ca e a d ef a ce i i f de ice i hi a
efe e ce de ig .
Each Fab ic Si e i c de a e f Wi e e LAN C e , B de N de ,

C P a e N de , a d Edge N de , i ed a ia e f he i ed
ca eg ie . The ISE PSN ae a di ib ed ac he ie ee
i abi i e i e e .
The de hich a e de ed ide i he OT e i e a e:
1 Ve S a Si e (Fab ic i a B )
2 S a Si e
3 Medi Si e
4 La ge Si e
5 E a-La ge Si e
Ver Small Site (Fabric in a Bo Site)

Y ca e Fab ic i a B c e a i g e Fab ic Si e, i h e i ie ce
ed b i ch ac i g S ac Wi e Vi a 200
e d i a d 40 AP .
F Fab ic i a B de e , SD-Acce E bedded Wi e e ide

i e- ca WLC f c i a i . The OT i che ca be c ec ed i a Fab ic
i a B i e a E e ded N de a i g c ec ed a SVL ac
i ch. The ie a c ai a ISE PSN de e di g he e i ie c
e ie e f he OT ce .
Small Site
The S a Si e Refe e ce M de c e a i g e ffice b i di g i h i ge
ii g c e , a 4,000 a d 100 AP . The B de N de
f ci i c ca ed i h he C P a e N de f c i e
de ice a d a e e bedded i ee i h he i f ha d a e
WLC .
Medium Site
The Medi Si e Refe e ce M de a c e a OT e ih
i e ii g c e i h a h ica g c i i g f a T -Tie
C a ed C e/Di ib i i h a Acce La e .
The Medi Si e i de ig ed e ha 25,000 e d i a d e

ha 2,000 AP . The B de N de f ci i c ca ed i h he C
P a e N de f c i e de ice a high - e i ie i ge
de ice, a d a e aae i ee c e i idea de ed i a HA
c fig a i .
Large OT Site
Figure 3.15: Large OT Site design
The La ge Si e Refe e ce M de c e a fac f i h a a ge I d ia

ec i e e ched ac a a ge a fac i gf b i di g .
The h ica e c dc i e i e ie , i ch i g , dai
chai f i che a d i de ig ed e ha 100,000 e d i .
Thi e i a ge e gh e i e dedica ed e ice , i c di g
dedica ed ISE PSN i h a ISE c e dedica ed hi a ge OT e .
M i e B de N de a e di ib ed f he C P a e N de f ci
ed da de ice f he OT e a d he Pee (F i )
fi e a E e i e IT SD-Acce e ; a e a a e i ee c e
ha a HA c fig a i .
E tra-Large Site
The E a-La ge Si e Refe e ce M de c e a OT e ih i e
ii g c e i e faci i ie e ched ac a a ge Ca . The
h ica e i a Th ee-Tie e i h C e, Di ib i , a d Acce
La e a d a e i e ha e a S e C e i a F h-Tie . A E a-
La ge e e i e dedica ed e ice e i i ch a a dedica ed
da a ce e , ha ed e ice b c , a d I e e e ice .
The E a-La ge Si e 200,000 e d i a d 10,000 AP

M i e B de N de a e di ib ed f he C P a e N de f c i
ed da de ice , a d a e a a e i ee c e i a HA
c fig a i .
Summar
We ea ed f hi cha e ha E e i e OT Ne aee a i ea d
c e . We a h Ci c SD-Acce ca he e he e c e
cha e ge a d a e a ga i a i OT e he digi a
a f ai j e . We ea ed h SD-Acce e ab ed OT E e i e
e a f a ic OT e ih ec i a d eg e a i
i a high agi e OT e i h f e ib e de ig i d ce ec i f
he OT e . We a e f a ha ed IT-OT eg e ed e
i e e f dedica ed IT-OT e f i g he P d e M de f
c e i eg a ed a fac i g, idi g e aai f a e a d
a he ica ed acce f he e ha ce ec i . Wi h he i d ci
f SD-Acce a OT e , he abi i d eg e a i de a d,
a d i abi i be i eg a ed i he OT i e- f-b i e ce e a d
a ica i i g REST API , i a ga e-cha gi g i ai ha ca be
i i ed b OT e .
T d he c e ai a d e ie , he e h d ab eae ai
i ha he e be , b i i i a a a e e be
ha i e i c i ica f ha i a e e i e i he ca e f
I d ia A ai ga i a i .U i e he e ica , age he e
ca ha e ca a hic c e e ce . Re ia ce i e- f-b i e e
i e SAP f c ia ce i h he ISO 9000 fa i f a da d i a da ,
a d h a i ac he ac i g f a fac ed c e i hi he
d ci chai i hea . D i g hi cha e , e ha ed a i
eh d a d e ca e a d h he a i he a fac i g ace.
The ai a ea a f he cha e i ha Ci c SD-Acce he

i e e a d i eg a e OT e i h IT e . Addi i a , Ci c
SD-Acce ca be ed b i d dedica ed OT e . I i i a
e e be ha a a ache ae i ab e f a OT e ica . F
e a e, U i i S b ai a d Rai Sig a i g a e add e ed b a f

he f e a e , a d f e ee e f Ma fac i g/I d ia
A ai , i i i ab e b i g Ci c SD-Acce igh d he
a f a e h ed i e a e 3 a d 4. Fi a , e di c ed S a
a d La ge de e de f he OT e i h M i-Tie , i g, a d
dai chai h ica gie . La , e e be ha OT e ae
a a d a ied, a d he f diffe e i e a e a e be a ied
diffe e i d ie .
Cisco SD-Access for
Healthcare
94 Ci c SD-Acce f Hea hca e
Introduction
Chapter Overview
Sig ifica cha ge ha e bee a i g ace i he hea hca e i d , ch
a e e ia g h i e ehea h a d i a ca e, dde i c ea e i
e e f ce , i c ea ed ec i c ce , fa -e i g i a ca e
de , hif i ca e de i e i e , a d he i ii ai f e afe
a d e e .
Thi cha e ide de ig g ida ce f a ica hea hca e de e

i g Ci c DNA Ce e a d Ci c SD-Acce . The f i g ec i
de c ibe he e c ide a i f a a ge, e i g hea hca e e ha
eed ee da ' hea hca e e ie e .
Traditional Network Architecture for Healthcare

Hea hca e e ae fe c i ed f i e ie f a i g i e
a d eed . The ca a f i-h d ed-bed faci i ie i h c i ica a d
e e ge c ca e i d a bi e c i ic e ici g a i g e
ecia ge e a ca e.
Rega d e f hei i e, ce ai e ie e ch a ec i , bi i ,
e i ie c , a d de ice a d a ie ac i g a e c cia . The e e ice
be a ai ab e e a d de ice ega d e f he he he c ec he
e ia i ed i ee edia.
Ci c SD-Acce f Hea hca e 95
Challenges
Gi e he c i ica a e f he e ice de i e ed b hea hca e ide ,

he e a chi ec e cha e ge he face a e f e ie i e
c a ed c e i he e ica . The f i g ec i i e
e e a f he c i ica ca abi i ie e i ed b hea hca e ide
he de i ga e .
Securit Compliance Mandates

Hea hca e e eed ec high e ii e edica ec d a d
fi a cia i f ai f a ie a d ae ic b d b g e e
eg a i (f e a e, HIPAA i he U i ed S a e a d GDPR i he
E ea U i ). H i a , c i ic , d c ffice , a d he hea hca e-
e a ed e i ie ide eg a i -c ia i ed a d i ee
e . The e e ide c eea dc a i ibi i f
e a age e a d i i g. Se i i e da a a d edica de ice
ch a E ec ic Medica Rec d (EMR) e e a d i a ig i
be ec ed ha a ici de ice ca c i e he
e .
The ife a i f he I e e f Thi g (I T) de ice a d B i g Y O

De ice (BYOD) icie i addi g he eed f eg e a i be ee
diffe e g a da i hi he g be ee diffe e e f e
a d de ice . Thi ea ha ac - eg e a i a d ic - eg e a i
ca abi i ie be i i ie f a hea hca e e a chi ec e.
Fi a , gi e ha aff, edica de ice , a d i i affic a ha e he a e

e i fa c e, e e g be i a ed f e a he a d
e ic ed he e ce he a e e i ed acce .
Mobilit of Staff and Devices

Wi hi he hea hca e e i e , aff a d e i e fe e
be ee , f , a d b i di g i a a id a f i e. I i
e i a ed ha , a e age, a e a a he e be ee 4-5 h i a
hif . I i a iec f de ice ha e a ic IP add e e e i g
i b e be e ched ac he faci i a he e i e
ea he e i i eeded.
T i c ea e e a i a efficie c , de ice a d aff bi i h d be

c ee d a ic i h eedi g e aff c a ec fig e
e i g i fa c e. M bi i be a ai ab e f de ice a d e
he he he a ach he e ia i ed i ee edia.
Increased Reliance on IoT Endpoints

Hea hca e e ae a ed b a ide a ie f de ice i i e
ca i . Thi a e ca i g a d ide if i g a f he de ice i a e
i e-c i g a d edi .I e ca e , he e de ice i i ie
he e a d i e d a affic e he a e fi c ac ed b
a he de ice. I he ca e , he e aff a e e a f
he e f de ice i hei e hich a e b a di g a e e e
diffic a .
M de ec i h ea ee e ab e i fe , ch a de ec ed
ie h , e i he e ' a ab e e ce . The e de ice
be ide ified a d ac ed ee he ec e f a e f he e .
Resilienc and High Availabilit

Hea hca e ide de a d e e f high a ai abi i a d e i ie c be d
he e e i e . The e i a e c e i de i e i g acce
e i f ai a d e ice , ch a a ie ec d a ai abi i , a d i
be a fa ide e i ie c a d high a ai abi i a eg ac IT.
A e i ide e a d de ice acce c i ica

e ce i he e e f f c ica i he a he ica i
i fa c e. T i i i e e ice i ac , ic e -e e a d
a ica i - e e e i ie c e i .
Patient Safet and Asset Tracking

Gi e he eadi i c ea i g e ia ce I T e d i i hea hca e
ide , a e a age e i bec i g e diffic a i c ea i g
e di e e de ice bec e bi e a d a e ha ed ac ca i .I i
e i a ed ha 20-30% f i e e b e i ea chi g f e i e
a d e e. Addi i a , he e a e i e he a ie ac i g i c cia
e e ha a a ie ha ef a ecific a ea f e a e, e b
f he e . The abi i ac b h a ie a d de ice i a i ge
e i a c i ica e ie e f e e de hea hca e ide .
IT Network Operational Challenges

The c bi a i f e e -i c ea i g de ice a d ec i e ie e
he e i i gi e e eai a e e hea hca e IT aff.
The e a e a ife ed i he c e i f adi i a IP-Ba ed e
a age e a d he gg e f a agi g h e icie ac a ge
e e i e f i . Ti e be h i g i bec i g e c i ica a d
diffic ,e ecia i a e a d/ bi e c i ic ih ie aff.
Faster Response Times to Attend Patients

H ia eed ide a ie i h he abi i c ec ih e a d
d c a d f i edia e eed , i c di g e e ge cie . The ef e,
hea hca e e eed faci i a e e di g a a a d ae e ei
hei i i .
Solutions
Ci c SD-Acce ca add e a d e e he cha e ge i ed i he

e i ec i . SD-Acce ca be i e e ed ac a a ea f
hea hca e, idi g c i e c ac he e e i e.
Securit and Compliance

Macro-segmentation
O e f he efe ed eg e a i eh d f hea hca e c e i
i a e he a ie e e d i ( ch a PC , Tab e , IP Ph e ,
e c.) f he d c , e, a d e e i eI Te d i b aci g he i
diffe e i a i g a d f a di g i a ce (VRF ). SD-Acce ffe
he f e ibi i f ac - eg e a i f e d i i diffe e VRF , a f
hich ca be i i ed i he e f Ci c DNA Ce e .
Micro-segmentation
Wi hi he c e f a i g e VRF, c e e d ha e f he
eg e a i eed f e ca e ch a :
P aci g edica de ice a d ide ei a ce f a ie f i

diffe e g
P aci g i i i g d c a d e ide d c i diffe e g
F ch e ie e , i he adi i a e a chi ec e, he
ea eg e a b aci g g i diffe e b e e f ced b IP
ACL . I Ci c SD-Acce , i addi i idi g he f e ibi i f i g
diffe e b e , e ide he f e ibi i f ic - eg e a i , i.e., i g
he a e b e i a e e a de d i -ce ic a ach.
Refe i g he i i i g a d e ide d c e a e, each g ca i be

aced i he a e b e . H e e , b e e agi g d a ic a h i a i ,
he ca be a ig ed diffe e Sec i G Tag (SGT ) b ISE ba ed
hei a he ica i c ede ia . The e SGT-ba ed e ca he be
e f ced b Sec i -G Acce C Li (SGACL ).
MACsec
Media Acce C ec i (MAC ec) i a a da di ed i ba ed
IEEE 802.1AE a d MKA ba ed 802.1X ha ca add a he a e f
ec i a Ci c SD-Acce Fab ic-ba ed a chi ec e. C e ca
ch e de MAC ec i 3 diffe e ace i hi he Fab ic:
E d i Edge N de
I he U de a c ec i g diffe e Fab ic De ice
A a a IP ha d ff f he B de N de c ec ed WAN/Pee
de ice
Ci c SD-Acce ffe he f e ibi i e ab e MAC ec i a f he

i ab e b i g he Te a e Edi a ica i i hi Ci c DNA
Ce e i i he e c fig a i he e de ice .
Separation of Guest Endpoints

Ci c DNA Ce e a d SD-Acce ide a i e e f f e ibi i i he
e aai f a ie a d i i e d i c ec i g he e d e
ec i ea b idi g:
Se a a e B de N de a d C P a e N de ca ed i he
DMZ b i g he M i i e Re e B de f ci ai
Se a a e ISE P ic Se ice N de (PSN) a age G e e
A Vi a Ne i aeG e e affic, eg ega i g he f
he VRF e i g hea hca e ide a d he c i ica I T
e d i i he hea hca e e .
Staff and Device Mobilit

An cast Gatewa
The Ci c SD-Acce Fab ic a chi ec e i b i he e a e ce f he
a e A ca Ga e a b e e e Edge N de i hi a Fab ic Si e. Thi
faci i a e ea e a i g f i ed a d i ee e d i . C ie
a i g be ee AP c ec ed diffe e Edge N de ef a La e 2
a i ead f a La e 3 a . Thi i achie ed b ha i g i e e da a
a e affic di ib ed i he Fab ic O e a i ead f e ca ai g a
affic be di a ched a ce a i ed i ee c e.
Fig e 4.1 i ae h a i e Ci c SD-Acce Fab ic ca be e

i hi a h i a b i di g. Whe i ee c ie a f a Fab ic AP
c ec ed e Edge N de a Fab ic AP c ec ed a diffe e Edge
N de, he i e ai hei IP add e a d d a ea e La e 2 a
ha he e e ce f he A ca Ga e a .
Figure 4.1: Cisco SD-Access Fabric wireless architecture

F hea hca e c e h e ie a i g f hei ide be ee
diffe e b i di g , Ci c SD-Acce ide he f e ibi i a ch ch
e i a e a a e Vi a Ne ha ca be ce a a aged b a
c B de N de a d C P a e N de. Thi fea ei efe ed a
M i i e Re e B de , a d a e a ei h i Fig e 4.2.
Figure 4.2: A depiction of seamless roaming using Multisite Remote Border
The M i i e Re e B de fea e e ab e he c fig a i f a i g e IP

Add e P ac i e Fab ic Si e , a h i Fig e 4.2. I a
he a e IP Add e P e i a i e Fab ic Si e b a ch i g he IP
Add e P ecific B de N de( ) a d C P a e N de( ).
P e e i g he b e ac i e ie ide a ca ab e a eg f
c e i g add e ace.
A e ca ee he e, he h ia b i di g a e c fig ed a
i de e de Fab ic Si e . The Vi a Ne ha c ai he e d i , i
a ch ed a c M i i e Re e B de N de a he A ch Si e.
Thi a e a chi ec e edica de ice , ch a i f i
hea i , hich eed be ed i e e be ee b i di g a
a ie ae ed.
Ha i g a c B de a d C P a e N de e e ha e d i
a e a ch ed he c i e a he a be ee he b i di g ,
ac Fab ic Si e . The WLC ha i ca each i e da e he A ch ed
i e' C P a e ega di g he ca i f he e i ee e d i .
N e The a i gi hi ce a i i ea e .
Automated Mobilit Groups

A he ea f de e f hea hca e c e i he abi i
ide ea e a i g he a ge b i di g a e a aged b i e
WLC i hi a gi e Fab ic Si e. Thi i c he a ge hea hca e
e e i e ha e diffe e f i a b i di g e c i e a aged b a
ecific WLC. Ci c DNA Ce e he a a ed de e f
Wi e e M bi i G he c e c fig e i e WLC i a
gi e Fab ic Si e.
Fig e 4.3 h h ch a h i a b i di g a d h a Ci c SD-

Acce a chi ec e ca be ca ed f ch b i di g :
Figure 4.3: Multiple WLCs managing different floors in a single Fabric Site
Figure 4.4: Large Hospital Fabric Site

H ia ha e I T e d i i e hea i c ec ed he e a
i ed a d i e e de ice . I he a ie , he e hea i aea
i ed e d i , b he i g he a ie a d f he e , he e
i ae i ee e d i . F he , he e i ai ai he
a e IP add e i he a e La e 2 eg e ega d e f he he he
a e i ed i e e . SD-Acce ide he f e ibi i e he a e
b e f i ed a d i ee c ie , a i g a gi e e d i a a
e ai i IP add e i e ec i e f h i i c ec ed he e .
Onboarding IoT Endpoints

Faster Onboarding Using Micro-Segmentation
Ci c SD-Acce e ab e acce e a ed de e f e e d i
c ec i g a e i i g Fab ic e . A hea hca e e i e ha
e c i ica I T e d i ha a c a eed ge ef e hed
e e de ed a he h ia ca e i eed . I a adi i a e ,
bef e he e d i ca c ec he e ,ac e ha a g i
f a a e ha be c e ed a b -b -b ba i . The e
i c de a ig i g e acce c fig a i , a he ica i e ,
acce c i , a d e. Ci c DNA Ce e a ai i he SD-
Acce a chi ec e ide a ched f e ibi i f e e d i
b a di g i e ea a :
Si e a e a ead e-c fig ed i h A he ica i Te ae a

e c ibed b he c e
Ci c E d i A a ic ha a ead faci i a ed he c a ifica i f
i ia e d i i he e
SGT a ig e i e i h Ci c DNA Ce e , ih he
c e di g a h i a i e bei g c ea ed a a ica i
Ci c ISE.
U i g hi e d i b a di g eh d g , a e e d i ca be
b a ded i b c ec i g i he e a d e i g he e d i
be a a ica aced i he igh b e a d ec i g . The
c e di g acce icie a e a a ica d aded a e i e
e de ice a he e d i c e i e.
Endpoint and Polic Anal tics

Hea hca e c e be efi i e e f he abi i c a if a
i e ab e be f I T de ice ba ed he i d f da a affic ha
a e h gh he e . O ce he e d i i b a ded, c e
ca he g he i ai ec i g . F e a e, i f i
f diffe e e d i i ha e he a e a ib e be
g ed i he a e ec i g .
Whe i g f a adi i a e SD-Acce , a hea hca e

c e ca e e age he i igh E d i A a ic ide fi e
e, ca ified de ice i ecific e d i g . The e e d i
g ca be f he e a a ed i ea i gf ec i g ba ed
he c a ifica i .
F e a e, a c e a ch e g i f i a d hea
i i h a i i a ec i g beca e he ha e a i i a ec i
fi e. Thi faci i a e a h a ii e b ace a g -ba ed ic
e f ce e a eg ha i ac i e i e . Thi ca e ic
a d e acc a e ha i i i g a adi i a b -b -b acce c i
a eg .
I addi i E d i A a ic ha he ca if , G -Ba ed P ic
A a ic he c e ide if he igh ec i g icie ha eed
be c fig ed i he e . GBPA a i he c e he ig a i g
f c be e IP-add e -ba ed e a age e e f e ib e
g -ba ed a age e .
Figure 4.5: Cisco DNA Center Group Based Polic Anal tics (GBPA)
I Fig e 4.5 he e a e e e a f f a gi e ec i g
de i a i f h a ec i g ha bee a ig ed e
(U ). F e a e, he Ca e a g a d E ee g b h
ha e eb-ba ed f he U de i a i g . D b e-c ic i g
i ha h e f a e ca he ide if h e U de i a i a d
ca faci i a e g i g he i c IP-SGT a i g i Ci c ISE.
The e eai ea , i c ai i h he I T ea , ide ifie

he ba i f he e f a d ca e f ce he f i g c e a a e
f he e a di :
B c i egi i a e f ha ee e i a ed i he e
F egi i a e f , g h e ih i ia a e a d a ig
acce icie he c e ig a e hei adi i a e
a ic - eg e a i -ba ed e .
Silent Hosts
S e I T e d i hea hca e e e hibi i e c ica i
ai . The e e f de ice a e ei e efe ed a Si e H d e
hei i e c ica i . The a e b ad ca eg i ed i
ca eg ie ba ed hei c ica i cha ac e i ic :
O ce he e d i ae b a ded he e , he d
e d a f he ac e f a e . The e e d i ae e e ia
hibe a i g a d e d ecific f a e ac e di ec
add e ed he . The e de ice a be DHCP-ca ab e
a ica add e ed.
E d i ha a e cab ed a d ha e egi e ed he Fab ic
O e a beca e fa a ic IP add e
F he fi e f e d i , e e h gh he e d i i ac i e, he Edge
N de ha i c ec ed ha e d i a ha e e ed ha e d i
f he Edge N de h da aba e. Si ce he e d i i hibe a i g, he
Edge N de i ecei i g a e e e i dic I e e C
Me age P c (ICMP) be , he h i c ide ed a ge
e e he Edge N de. A he e d i i he e ih a
e i ec d f c ica i g i h he ie h i c i e
c ica e i g he Si e H MAC add e .
Ci c SD-Acce ha d i g ica f a e b f di g
he e e Edge N de i hi a IP Add e P ha i e ab ed f La e
2 F di g i he Fab ic Si e. Whi e e di g ICMP, hibe a i g
de ice i e d ecific a ad f affic ha a e e di ec
ee a . A a e , he Si e H i e d a d ej i he Fab ic
e if he ica fa e a e ee a i. F di g he
e d i i a ha e if he e d i i a f a La e 2 VNI, hich
e ie he La e 2 F di g fea e be e ab ed. O ce he e d i i
egi e ed i he C P a e N de, a f he c ica i he
e d i ca c i e ih c ce .
The ha e e e egi e ed i h he C P a e N de f he ec d e
f e d i . The a he Fab ic ca e e f he e e ce f
ch a e d i i b c fig i g a a a IP De ice T ac i g (IPDT) e
he Edge N de hich ch a Si e H i c ec ed. Thi a
a i g e a e ie he h ' MAC add e he De ice T ac i g
da aba e. O ce c fig ed, ch h i e e e ac i f he
C P a e a d ca c i e a ac affic.
High Availabilit Capabilities

Critical VLAN
C i ica ca e i be a ed f i e ed c ec i i he a ge
e e i e e . F c ie ha a e a ead b a ded, if c ec i i
he ISE P ic Se ice N de i , e i dic e-a h i a i i a ed
e e di i i he a he ica i ahd i ac he da a a e.
F c ie ha a e e b a ded i he e , he C i ica VLAN

fea e ace he c ie a a ic a VLAN if c ec i i ISE i .
Thi VLAN ide i i ed acce he e . C i ica VLAN ca ii e
a ic ic - eg e a i e f ce he ic i he ab e ce f ISE.
Rolling AP Upgrades
Hea hca e c e ca g ade i ee e ih e
d i e. U i g he R i g AP U g ade fea e, AP ca be g aded i a
agge ed a e hi e i bei g c ec ed he a e c e . Thi
e h d ca be ed a id g ade d i e e e f N+1 e b
i g he N+1 Hi e R i g AP U g ade fea e a d a a e c e.
Hospitals with Server Nodes on Campus

Hea hca e e a e faced i h he cha e ge f h i g c fide ia
a ie ec d - e i e e e he e i i abi i a d acce
ch ec d i ca e f fibe c be ee b i di g . H ia ica
eed acce Pic e A chi i g a d C ica i S e (PACS)
i fa c e, hich c ai i a i agi g ec d f a ie .S i g he e
ec d ca he ca , a he ha fe chi g a f he da a f a
e e da a ce e , ig ifica e he ibi i f c ica i
di i be ee he PACS age a d he e eedi g hi i f ai .
T add e cha e ge i e hi , Ci c SD-Acce ide he f e ibi i f

i g PACS e e c ec ed di ec Edge N de i he Fab ic. I
addi i i g Edge N de , SD-Acce a he
PACS e i i e a La e 2 c ec i a B de N de, he eb
a i g La e 3 B de N de a f ci i e a La e 2 e i a i g de ice.
Device and Building Level Resilienc

De ice ed da c i B de N de ca be a aged i h a S ac Wi e
Vi a (SWV) ba ed de e . A ec e ded de ig f a high
e i ie B de N de i de SWV B de N de ai , he eb idi g
b hi a-cha i a d i e -cha i e i ie ce.
T ide b i di g- e e e i ie c , e f he de ha hea hca e

c e e d e b ace i de B de N de i i e b i di g
e i aec ec i f ai h i a b i di g a a ge ca .
Fig e 4.6 h a e a e f ch a e i ie de ig .
Figure 4.6: Border Resilience across buildings
A ca be ee i Fig e 4.6, B i di g 1-4 a e i he a e Fab ic Si e, ih

he C ca ed B de N de a d C P a e N de bei g ca ed i
e a a e b i di g . Ci c SD-Acce ide he f e ibi i a ig
i i ie he e b de de e ch ha e B de N de ca be
i i i ed e e e bec e he ac i e b de ca i g affic,
g a i i ac i e. Whe a b i di g fai , he Fab ic B de N de i he he
b i di g ca a a ica a e e a affic f he Edge N de .
Endpoint Level Resilienc

Of e , ee c e hea hca e c e e i i g c i ica e d i be
h ed e e ha a e d a -h ed i he e i fa c e.
Ci c SD-Acce he abi i d a -h e e d i i a
ac i e/ a db de i diffe e Edge N de . Fai e ca ha e ba ed
fai e echa i , NIC b di g a d La e 2 F di g.
Whe i i i g NIC b di g, he e d i h i g e e Li
Agg ega i C P c (LACP) i ac i e de bac
ac ed/SVL ai ed Edge N de . LACP i e iha a i f1 i

e e e f he i i ac i e a d he he i a db , a d a
fai e ic i ba ed LACP fai e .
Figure 4.7: Server NIC bonding between Edge Nodes
I he he de , he e d i e e a ica i ha i ea
de ec hich i eed be ac i e b e di g hea bea i he e
a La e 2 ica add e . O he ac i e i i e d he hea bea ,
hi e he a db i ee ecei i g i . A g a he a ica i
c i e ecei e he hea bea he a db i ,i i be a .
I Ci c SD-Acce , hi i achie ed b i g La e 2 F di g f
B adca , U U ica , a d M ica (BUM) affic hich e d a
ica fa e f e Edge N de be ecei ed b c ie a he
Edge N de, a h i Fig e 4.8.
Figure 4.8: Using La er 2 Flooding for application resilienc
If he ac i e hea bea i fai , he a db hea bea i ecei i g

he hea bea ia he La e 2 F di g i he Fab ic Si e. The a ica i i
a a ica i ch i g he a db hea bea i e da i affic,
he eb idi g fai e e i ie c .
Patient Safet and Asset Tracking

Cisco DNA Spaces
Wi h Ci c DNA S ace , ca e e age e i i g acce e
g ea i igh i he ca i f e ,c ec ed edica e i e ,a d
I T de ice , a i g de i e da a-d i e ca e a d i ed c i icia
f . Wi h ich ec e f a e a ica i a d de ice ,
ca a f faci i ie ffe a ie a e ha ced e e ie ce a d
ide c i icia a d aff i a acce ec d a d e i e .
U i i i g i eg a i i h Ci c a e ch a Sa e Hea hca e,
hea hca e ide ca e e age hei Wi-Fi i f a c e a d Ci c DNA
S ace f e ca e i e a e a age e , e i e a a d
e ea e i i g, S aff, Pa ie , a d I fa P ec i , a e a
ai a ica i ch a f a d ha d-h gie e c ia ce. Wi h

i b Fi eh e API a d 24/7 i i g, Ci c DNA S ace e iab
ide da a he S a e Hea hca e af , a hi e c i g ih
e i ac .
Wi hi h ia , aff ca ac he ca i f edica de ice a d he

c i ica e i e a d be ified ac i e if a e i e i i aced
e e a hibi ed a ea. F edica i , acci e , a d he
e i e a e ii e a e , aff ca e e ea e he h d f
i i g a d ge i edia e ifica i he c di i de ia e.
Hea hca e ide ca i e e ea - i e i i g f i fa , a ie ,
a d aff a d igge ifica i i
he e e f a abd c i , e i
hibi ed a ea , aff d e . A he e c ib e i e a d c
a i g , highe d c i i , a d afe a ie a d aff e e ie ce .
Hea hca e ide ca de i e he e e ca e hi e i c ea i g a e i

he f i g a :
Si ified de e : Red ce c e i a d i c ea e i e
h gh a igh eigh c d a d c ec de i h ac i e/ac i e
HA. Sig ifica ed ce i e de , ai ai a d g ade
c a ed adi i a - e i e a chi ec e.
High Sca abi i : De i e Rea -Ti e L ca i Se ice (RTLS)
ca abi i ie a d e ca e a ca e ac i e ca i , i ga
igh eigh de e de . The DNA S ace c ec ca
10,000 Acce P i (AP ) a d 350,000 de ice ih
High A ai abi i .
E ha ced i i g a d : E ab e fa e i e i e
e i a d ed ce d i e h gh ac i e e d- -e d
i i g. Thi i c de i i g he a e a , he Fi eh e
API, a d he da a f be ee he c e , c ec ,
a ica i , a d DNA S ace .
Ci c DNA S ace i eg a e ih Sa e Hea hca e RTLS ide

c i ica a ie afe a d a e ac i g e ice . The Ci c SD-Acce
Wi e e a chi ec e ac a he bac b e f de i e i g hi f c i a i .
Reducing Operational Comple it

Centrali ed Troubleshooting using iCAP and Sensors
Hea hca e c e fe ac a ie e ea i a e
c i ic hich a e be h i g ha ch e diffic .
Ci c DNA Ce e I e ige Ca e ca abi i a di ec

c ica i i be ee Ci c DNA Ce e a d AP i Ci c SD-
Acce Wi e e e i e . Ci c DNA Ce e ca ecei e ac e
ca e da a, AP a d c ie a i ic , a d ec da a. Wi h he di ec
c ica i i be ee Ci c DNA Ce e a d AP , I e ige Ca e
a acce da a f AP ha i a ai ab e f i ee
c e .
Replacing IP-Based Rules with Group-based Rules

Ci c DNA Ce e a hea hca e c e g i ia e d i
g ha ha e bee ca ified i g E d i A a ic . The e e d i
g ca be aced i c ec i g ba ed Ci c DNA
Ce e ' i ibi i f affic f f each g . Thi , i , ca be ed
c ea e ec i icie a di a da a affic diffe e SGT
ba ed i ified SGACL e i ead f c e IP-Ba ed acce i
e .
SGT-ba ed e ae e e f-e a a a d i he ei i a e
ibi i ie f ece a c fig a i , he eb a e ia i g he b de
e e Ne O e gi ee e e h gh he icie he e e a ha e
bee e ab i hed b a diffe e ea f e gi ee i he a .
Single Touchpoint for Polic Management

F hea hca e ga i a i ha ca e be d he i i f a i g e Ci c
DNA Ce e c e i hei SD-Acce e i e , he i e i
de i e Ci c DNA Ce e c e ha ca i eg a e i h a i ge
Ci c ISE de e . Thi ed ce he c e i f ic a age e i
a a ge hea hca e e e i e b i g he a e ic f a e be
e ab i hed ac a Ci c DNA Ce e , a agi g diffe e egi f he
e .F e de ai , efe he M i e Ci c DNA Ce e Si g e
ISE ec i i he A chi ec e O e ie cha e .
Deplo ment Options
The e a e gi e i hi ec i a e ba ed Ci c b e ai f
hea hca e c e de e . A be gi e d e e e a
ha d i i a i . The ca e h da a be de e i ed b he de ice
bei g de ed a d he i f ai e e ed i he Ci c DNA Ce e
da a hee .
If he ide c d i WAN MAN, he ei he IP T a i SD-Acce

Ta i a e iab e i de e di g WAN/MAN cha ac e i ic a d he
fac ch a affic fi e a d e.
Figure 4.9: Large Healthcare Campus, Branch LAN, and WLAN view
If he ide c d i SD-WAN e ab ed, he IP T a i i be he

c i .
Micro/Mobile Clinic
Figure 4.10: Micro/Mobile Clinic design
The e i e ica fe e ha 50 e /de ice , e ecia i

bi e c i ic de e .
Small Clinic
Figure 4.11: Small Clinic design
The e i e ica fe e ha 1,000 e /de ice a d 50 AP .

Medium Si e Clinic
Figure 4.12: Medium Si e Clinic design
The e ie ica fe e ha 5,000 e . Fab ic-e ab ed AP

ca e i a e i e dedica ed WLC i ead f e beddi g he
B de N de . Edge N de c i fe e i e dedica ed Fab ic B de
N de i ead f Fab ic i a B . I i c ha e C ca ed
B de N de a d C P a e N de .
Large Clinic
Figure 4.13: Large Clinic design
The e i e ica fe e ha 25,000 e . Fab ic-e ab ed AP

ca e i e i e dedica ed WLC i ead f e beddi g he B de
N de . Edge N de c i fe e i e a Di ib i La e ha i j
i e edia e de c ec ed dedica ed B de N de . I i
c ha e C ca ed B de N de a d C P a e N de . Sha ed
e ice ca be ed he e a ie , d c , a d de ice c ec ed
h gh Vi a Ne eed a each he .
Summar
Gi e hei e i e ' c i ica i a d i ac e i e e , hea hca e

ga i a i face i e cha e ge he de i g a e
i fa c e. Whe de ig i g hei e , he be e a igi a
e e ha da a i eg i , e a d a ie afe , a d eai a
e i ie c a e ai ai ed a he highe e e .
I hi cha e , e h ed h Ci c SD-Acce ide a ec e,

d a ic, e i ie i ha add e e he de a di g e ca e
a d cha e ge faced b hea hca e ga i a i . Wi h he addi i f Ci c
DNA Ce e ca abi i ie ch a E d i A a ic a d Ec e Pa e
a ica i ch a Ci c DNA S ace , Ci c SD-Acce e e ha
hea hca e ga i a i ca de i e he c i ica e ice de a ded b hei
e a dc e .
Cisco SD-Access for
Large Enterprises and
Governments
126 Ci c SD-Acce f La ge E e i e a dG e e
Introduction
Enterprise Network Introduction

C e e a e i e fi ge i : each i diffe e a d b i
add e he ga i a i ' b i e eed . E e i e Ne ed b
i ai a c ai a d g e e ae e f he a ge
e i e i e ce. The a e c ed f h d ed f i che a d
i e Ca ca i c i i g f h a d f e a de d i .
I ca e , he f i g cha ac e i ic de c ibe a E e i e Ne :
The E e i e Ne i a i f i e a ge, edi , a d

a ca e
I di id a Ca ca i c i f i e b i di g ih i e
f c ec ed ica h gh da fibe
Dedica ed ea ed i e c ec a ge ca e , da a ce e , a d
Ca ie Ne a Faci i ie (CNF ) ac ge g a hic ca i
I e e acce i ce a i ed f he e Ca e ,a d affic eg e
a ec i ac
Wi hi he e ica f E e i e Ne , he e a e h ee ica e f
e : G e e , La ge E e i e, a d Ma aged Se ice P ide
(MSP). Each e a ha e a fea e i c , b he e a e
ecific cha e ge ha each e f e i eed e.
Ci c SD-Acce f La ge E e i e a dG e e 127
Challenges
S e f he c ga i a i a d he cha e ge ee i he
E e i e Ne i c de he f i g:
Government Agencies
G e e age cie ch a fede a , a e, a d ca g e e
eed e d- -e d e eg e a i f ec i ea .
G e e age cie ha e ec i a da e e ii g e
be ai ga ed.
Fede a age cie ha e i ge e ie e f hei VLAN hich
a e fi ed a i e ce . O e a i g VLAN ID ae a ided
e he e a e he i a ai ab e.
IT as a Business (ITaaB)
La ge E e i e Ne ae i g ac m del hich a
he i e a c -cha ge hei de a e ec e he
e e e i ed i e .
I di id a e a c e f he IT e be i a ed,
h gh each e a eed acce a c e f ha ed
e ice .
E e i e Ne ha e ig ifica ga ic g h. IP add e
ace be e e ed a d ai ai ed f ec i a dc ia ce
e a he e e a d .
Managed Service Providers

Ma aged Se ice P ide (MSP ) a age hei c e' IT
i fa c e a d e d- e e .
MSP ide a e f da - -da a age e e ice ch a
e a d i fa c e a age e a g i h ec i a d
i i g e ice .
MSP ha e i ibi i i hei e ha e a d
de ice a e c ec ed he e a d h a ica i ae
ef i g i he e .
MSP add e e ia aj e i e ac i e .
Other Enterprise Networks

Ne -e e a d e ice- e e e i ie c e i ac
ge g a hica di e ed e .
La e c d- i - i e (RTT) be ee a age e e a d
a aged de ice ha c ea ed a eed f i e a age e
e f diffe e egi f he g be.
Bi g Y O De ice (BYOD) da i ie a e ee
bi g e a de ice . M bi e De ice Ma age e (MDM) a f
ha b a d he e BYOD de ice be i c a ed i he
de ig .
S ecia i ed A ica i e e a d a di / ide de ice
Acce La e i che i ead f j da a ce e .
Customer Solutions
The f i g ec i i de c ibe e f he c e ca e f
La ge E e i e Ne .
Government Agencies
Government Departments Isolation via Virtual Networks
Ma G e e age cie ha e eg e ed hei e achie e
c ida i hi e ai ai i g e a a i a d i a i . De i g i e
Vi a Ne i a a effec i e a i c ea e he Re
I e e (ROI) f a e a d ed ce he ea c fi e e ai .
IP Address Management and Conservation

T adi i a , e be ac ice ec e ded i g a IP b e i g
24 e bi (/24) f e a de d i .M e f E e i e
a e de ig ed i h i e b e f hi i e ac hei acce e .
Thi e i a a ge be f La e 3 S i ched Vi a I e face (SVI )
Di ib i La e i che .
The d i i g f ce behi d e i g b e f hi i e (/24) a

i i b adca affic i ha La e 2 F di g d ai . T add e hi
cha e ge, a SD-Acce e , b defa , d e f d b adca
affic. The e i ha he a be f IP b e f e a d
e d i ca be ed ced b i g b e ih a a e be f
e bi . Thi , i , ide e h add e e , ch a i g a
/20.
A he a be f b e i ed ced, he ef a ce f he G ba
R i g Tab e i i c ea ed. I addi i , hi ide a fe h a i
a da di i g he IP add e che a f he g ba de e . I
ca e , ga ic g h i a ga i a i ead - a i ab e IP
add e e ac he e .
A he aj ad a age f hi f e ibi i i he C VLAN ca abi i i

Ci c DNA Ce e . C VLAN a ig a e b fie d e
ha e i e IP abi i i g he a e VLAN ID hich a e c fig ed i a
egac e . Ha i g f e ibi i i c cia a i ca e he ig a i f
e d i ih a ic IP add e e . Thi ea he a e e a d a ic
IP add e e e d i ca c i e be ed.
Air Gap Support

Ma g e e age cie e ie f ai ga de e
e ecia f Ci c DNA Ce e . T da , if e ha e de Ci c DNA
Ce e i a ai ga e i e , he de e fa SD-Acce Fab ic
a aged b ha Ci c DNA Ce e ca a be ed i ha de. A
ai ga i a high e e ed fea ef g e e age cie i g hei
eed be c ee di c ec ed f he I e e f ec i ea .
A ai ga e i a e ie e i Defe e, Na i a Sec i
Age cie , a d a he .
Inter-Agenc Audits
Figure 5.1: Inter-Virtual Network route leaking with Peer device
B h i g diffe e age cie i diffe e Vi a Ne (VN )/Vi a

R i ga dF a di g (VRF) ab e , i a i i achie ed i ide he Fab ic.
I e ec i e ca e , he e i a eed ha e c ica i be ee
e d i i diffe e VRF . F e a e, a e gi ee i a C ac VRF
igh eed each he I T VRF g ade f ae e e a
e ia a Fi e a . Thi ca be ea i achie ed i he Ci c SD-Acce
i , he e he B de ha d ff f each VRF c ec a Fi e a . U i g
ei he d a ic i g defa i g, affic ca be ed h gh he
Fi e a f i ec i .
Access to Shared Services
Figure 5.2: Inter-Virtual Network route leaking with SD-Access E tranet
The e i a a a eed acce Sha ed Se ice i e DHCP, DNS, a d

I e e, a g he . T adi i a eh d f e- ea i g e i
d ica e e bei g i a ed i each VRF. Thi ead a i c ea e i he
ii a i f he Te a C e Add e ab e Me (TCAM) e
de ice .
Ci c SD-Acce ide a efficie e h d f i e -VRF i g ih

i c ea i g he TCAM i i a i . Thi fea e i ca ed SD-Acce E a e.
Y d eed a ee de ice ef he e- ea i g; he e-
ea i g i d e i e a i hi he Fab ic. I ch ce a i , SD-
Acce ide he f e ibi i f affic be e ec i e f a ded,
e f ced, a d a di ed b a fi e a , a h i Fig e 5.2.
IPv6 mandates in the Underla from Government Agencies

(Reference to future solutions coming)
IP 6 i e f he deba ed ic a d ha diffe e e i
de e di g he ga i a i .F i ai a c a ie , i g IP 4
add e e i a i ea he ha e a a ge a ca i f IP 4 add e e
f c i . H e e, e g e e age cie ha e a a da e
a i g IP 6 add e e . SD-Acce IP 6 i he O e a f he
c ie a d e d i . Rece a da e ih ai g e e ae
e ii g i fa c e IP be IP 6 a d ed ce de e de c IP 4
add e i g.
N e: IP 6 i he Fab ic U de a i a fea e i de de e e .
A ai abi i f hi fea ec e af e he b ica i f hi b .
IT as a Business (ITaaB)
Shared Infrastructure using IT as a Cost Center
Hi ica , I f ai Tech g (IT) ha a a bee ee a a c
ce e f a ga i a i . Wi h high e ce a d eai a c , IT had
a a bee i a f ai , eadi g a e e i e' ad i
f digi i a i . Ci c DNA Ce e , a g i h SD-Acce , he ih j
he a da di a i f a IP e ice ffe i g ac he e e i e b a
ih a i ge a e f ga ha ide a ie i a agi g diffe e
de a e i hi a La ge E e i e Ne .
ITaaB b ffe i g a da d e ice diffe e b i e i i hi

a ga i a i . F e a e, if a egi a ie i a ci i ed a a a e
ffice, he d be ided a ca a g f a da d h ica a chi ec e
de e di g he be f e c i ica i f he i e. The a e
ga i a i ic he e de ig , a d he IT ea de a d
a age he i h SD-Acce idi g high e i ie c a d c i e
ec i ic f a ec i g c cha ge a d he a e de a e . If
ha a e b i di g i ed f he de a e ch a Re ea ch a d
De e e (R&D) i he f e, he c i be ha ed ac
de a e . Ne de a e ca be a id de ed i g he
a a ed f f Ci c DNA Ce e ( efe g i VRF
i ai ec i ).
Technolog IT Services
M e i d ie ac a diffe e e ica ae e e agi g he
ech gica e e i e f hi d- a IT e ice ech g c a ie i
de e i g a d ai ai i g hei IT a ica i a d e . S ch IT
e ice c a ie a e La ge E e i e b he e e , idi g e ice
a f hei c ie b e i ga f ce ha i dedica ed diffe e
c e acc . S ch c e ee a high e e f ec i a d
i ai i hi he e i fa c e f he IT e ice c a ie
e e ha he e i c i e he ec i f hei a ica i a d
da a.
SD-Acce ide f e ibi i ch IT e ice c a ie b idi g

i ai a diffe e e e .
Net ork Isolation

The aigh f ada dc de ide i ai f e a
f IT e ice c a ie i eg ega e he i diffe e Vi a Ne
(VN ). SD-Acce 256 VRF be e i hi a gi e
Fab ic Si e ide c eei a i be ee e a i hi each Vi a
Ne .
Figure 5.3: IT as a Business E ample
Fabric Zones
La ge ca e ae c i ed f e ac a b i di g . The IT
ea ha e a IP che a he e he a b e e f he b i di g
a d e i a a ge g a hic ide i i hi he ca . Ci c SD-Acce
c fig e a he O e a b e a Edge N de b defa . Thi igh
be he de i ed beha i i hi ca e. U i g he Fab ic Z e ca abi i ,
ca c ai
ce ai b e i ce ai b i di g f , e e i g
he e i IP che a. U i g Fab ic Z e , ca a ig diffe e Edge
N de be i e aae e ha he e de ice he a e
i e i e ab ed i h he a e e f b e .
Figure 5.4: Fabric Zones
I he Fab ic Si e de ig h i Fig e 5.4, e a i g e a ge Fab ic

Si e i h i e Edge N de . The Fab ic Si e e 5 Vi a Ne
G a , Red, B ac , B e, a d Pi i h IP S b e : 10.1.1.0/24, 10.1.2.0./24,
10.2.1.0/24, 10.2.2.0/24, 10.2.3.0/24. T Fab ic Z e G ee a d
O a ge a e c fig ed i hi hi Fab ic Si e. Wi h hi de ig , Fab ic Edge
i che i he G ee Fab ic Z e i be c fig ed i h Pi , B e,
a d B ac Vi a Ne a d e a ed b e c fig a i . Fab ic Edge
i che i he O a ge Fab ic Z e i be c fig ed i h G a , Red, Pi ,
a d B ac Vi a Ne a d e a ed b e c fig a i .
Y ca e e d he a e Fab ic Z ec ce f diffe e e f Medi

a d La ge Fab ic Si e ha e be e a age e c .

F ce ai he e a f IT Se ice c a ie , i i e gh j
e hei b e i e c i e i che . Te a a a ee he
de e f e c i e B de a d C P a e N de f hei Vi a
Ne f f i a i . SD-Acce M i i e Re e B de
he eb ecific Vi a Ne ca be e i a ed ecific Fab ic a d
C P a e N de ih ha i g h e iha he e a i g
he a e i f a c e. Thi M i i e Re e B de fea e ca a be
ed e i a e VRF ac ie a e . The c a ica i
f hi fea e i i idi g G e acce ac i e . Thi a he
ga i a i ha e a c G e b e ac a i di id a Fab ic
Si e a d f e a he G e affic a ce a ie he e he M i i e
Re e B de i ca ed. Fig e 5.5 de ic he Te a e ca e.
Figure 5.5: Multi-Tenant Fabric with Multisite Remote Border

Fabric as a Tenant Managed Service

Providers (MSP)
Ma aged Se ice P ide (MSP ) a e a he e f E e i e Ne
i h a i e diffe e e ca e ha ITaaB. F MSP , hei c e e he
MSP SD-Acce a aged i f a c ea a ea f a acce
ce a i ed a ica i i hi he MSP e . The SD-Acce
i fa c e i c ee a aged b he MSP, e ic i g a age e
acce hei c e . The Fab ic a a e a de ig a a a e
ha ca be f e ib e e gh be de ed de a d i h a ec i ic
e e c e e ca c ica e i h each he . I
addi i , a ge MSP ca ha e high- e f a ce ha d a e f i e
c e ih a i ga d i ei i i i g e e ice .
A e a e fa e e i e ac i g a a MSP i a c IT ea a agi g
he i f a c e ha age cie ch a ice, fi e, a b a ce,
a d ch . Each f he e i ha e i i e ic e ie e ,b
he a ha e he a e ha d a e a id he c f de i g a
dedica ed e f each.
B i g Ci c SD-Acce , La ge E e i e i g a MSP ca e
ea i a d f e ib de i e he e ice e i ed b hei c e hi e
i g Ci c DNA Ce e a a i g e ch i f e eai .
Figure 5.6: Managed Service Providers (MSP) Fabric as Tenant
Figure 5.7: Managed Service Provider Shared infrastructure with VRF-based isolation
Other Enterprise Use Cases

La ge e e i e de e ead ac he g be e ie i e
Ci c DNA Ce e be de ed ee ca e, e a e c , a d/
g ba c ia ce e ie e .M i e Ci c DNA Ce e c e ca be
i eg a ed i a i g e Ci c ISE, idi g a ce a i a i a d
a da di a i f A he ica i , A h i a i , a d Sec i G P ic
ac he e e i e.
Multiple Cisco DNA Center

Ci c Ide i Se ice E gi e ca ca e 2 i i e d i . Ci c DNA
Ce e e ca a e d i a d e de ice ca e ba ed
diffe e Ci c DNA Ce e de , hich a ge f 25K 300K
e d i a d 500 8000 e de ice . Y ca i eg a e 5 Ci c
DNA Ce e e ( a da e c e ) ih e Ci c ISE e ,b
ca i eg a e Ci c DNA Ce e ih e ha e Ci c ISE
e .
If ha e a e e i e e ha e e d be d a i g e Ci c DNA
Ce e - ed e d i / e de ice ca e, he M i e Ci c DNA
Ce e Si g e Ci c ISE fea e ca a i i a i gf ad a age f
Ci c DNA Ce e b i eg a i g i e Ci c DNA Ce e e
( a da e c e ) i h a i g e Ci c ISE. The M i e Ci c DNA
Ce e Si g e Ci c ISE fea e e ab e a da d ic a d he Ci c
ISE fea e ac a i eg a ed Ci c DNA Ce e a d e a ed C ie
E d i /Ne de ice .
Inter-Geographical-Region Communication
I La ge E e i e , he de he M i e Ci c DNA Ce e
Si g e Ci c ISE i , each Ci c DNA Ce e a age i e
de ice a d Fab ic Si e . T e ea d ai ai e d- -e d aga i f
Sec e G Tag (SGT ) f affic f e Ci c DNA Ce e -c ed
SD-Acce Fab ic a he Fab ic, he be i i e a Sha ed SD-
Acce Ta i . A Sha ed SD-Acce Ta i C P a e N de ca be
c ea ed ih e Ci c DNA Ce e , hich ca add/de e e/ dif he i e,

b he Ci c DNA Ce e ca e i a a ead- ha ed T a i
C P a e N de. T e e Fab ic Si e c ea ed diffe e Ci c DNA
Ce e ca c ica e i h each he , he diffe e Fab ic ha e
he a e eg e a ig ed he Vi a Ne .
Figure 5.8: Global SD-Access Deplo ment with Cisco Multiple DNA Center to single Cisco ISE
Bring Your Own Device/Guest Access

G e Bi g Y O De ice (BYOD) i ee acce ide
diffe e ia ed acce a d e ic / de ice . G e
BYOD acce ca be achie ed i a SD-Acce de ig b i g ai
i ch a S a ic URL Redi ec a d RADIUS-Ba ed Cha ge f
A h i ai (C A). Ci c DNA Ce e ca c fig e Ce a Web
A he ica i (CWA), E e a Web A he ica i (EWA), a d h
SSID f Ci c WLC i he Fab ic de ig . Wi h Ci c ISE i eg a ed,
c e ca e Ci c DNA Ce e a d ISE BYOD f b ad
hei e d i b i i i g Ce ifica e A h i (CA) ig ed e d i
ce ifica e a d c fig i g he e i e face a d OS a i e ica

i i e he i i ed ce ifica e f e acce .
Telepresence Devices
U e c e a d IP Ph e a e he c de ice c ec ed
he Edge N de . The e de ice ca be fi ed, ed, a d
b a ded i he Fab ic.
Ce ai A di /Vi a (AV) a d e e e e ce de ice e i e a La e 2 VLAN-

i fa c e ih La e 3 c ec i i . I hi ca e, a La e 2
VXLAN Ne Ide ifie (L2VNI) f ci ai i SD-Acce ca be
e e aged he e a VLAN ca be i i ed i h a La e 3 IP Add e
P . The i i ed VLAN ca e a e i La e 2- de, a i f i g a
ce a i he e a AV e d a i e a a 8- a aged
La e 2 i ch c ec i e AV c e c ica e i h he
c e.
Servers at the Edge

I a e e i e e , ca ha e ca e e i e FTP e e ,
eb e e , da aba e e e , ESXi e e , a d ca a ica i e e .
The e e e fe eed be acce ed b e f diffe e ie ,a d
e i e High A ai abi i c ec ed a he Acce La e . I ch ce a i ,
Ci c DNA Ce e ide he f ci ai f c fig i g
Edge N de , hich i a c e de e e ha ca ca
affic f i e b e .
Deplo ment Options
Fabric Site Si es Design Strateg

I a Ci c SD-Acce de e de ig , ca c ea e fe e , a ge
Fab ic Si e a he ha i e, a e Fab ic Si e . The de ig a eg i
ha e a a ge Fab ic Si e i e hi e i i i i g a iec , hich ca
he ed ce a age e e head. La ge Fab ic Si e ca a he i
de i gc ic ac he Fab ic. Th gh ha i g a La ge Si e ha
i e be efi , b i e e ie e a ece i a e ha i g a
S a /Medi Si e. The i-di e i a fac f i abi i , high
a ai abi i , e d i c , e ice , a d ge g a h a e a fac ha a
d i e he eed f i e, a e Fab ic Si e i ead f a i g e La ge
Si e. T he i de ig i g Fab ic Si e f diffe e i e , he f i g
efe e ce de ca be ed.
Fabric Site Reference Models

C e e diffe e e ae f each i e e i de e ih
h ica ca i , ch a a a ge b a ch, a egi a h b, head a e , a
a , e e ffice. The de i g de ig cha e ge i a he
e i i g e , de e , a d ii g a d e a eh d a e
SD-Acce Fab ic Si e i he e a ea . The de ig ce ca be i ified
a d ea i ed b e a i g de ig i efe e ce de . The e ae
di e de a di g f c i e de ig b ffe i g efe e ce
ca eg ie ba ed i-di e i a de ig e e e i ee d i c ,
he be f Fab ic De ice , a d he be f e ide g ide i e
f i i a i e i e de ig .
The be e e ed i hi ec i ae ed a g ide i e a d d
ece a i a ch a i ecific ca e a d ef a ce i i f
de ice i hi a efe e ce de ig .
Each Fab ic Si e i c de a i g e f C P a e N de , Edge

N de , B de N de , a d Wi e e LAN C e , i ed a ia e
f he i ed ca eg ie . ISE P ic Se ice N de ae a di ib ed
ac he i e ee i abi i e i e e .
Maj Fab ic Si e de :
Ve S a Si e (Fab ic i a B )
S a Si e
Medi Si e
La ge Si e
E a-La ge Si e
Ver Small Site
Figure 5.9: Ver Small Site design
e d i a d 40 AP .
F Fab ic i a B de e , SD-Acce E bedded Wi e e i ed

ide i e- ca WLC f c i a i . The ie a c ai a ISE PSN
de e di g he WAN/I e e ci c i a d a e c .
Small Site
Figure 5.10: Small Site design

ii g c e , a 4,000 a d 100 AP . The B de N de
f ci i c ca ed i h he C P a e N de f c i e
de ice a d a e e bedded i ee i h he i f ha d a e
WLC .
The h ica e i a aT -Tie C a ed C e/Di ib i ih

a Acce La e e ici g e e a ii g c e . Ra he ha c ca i g a
e i e de ice, he S a Si e Refe e ce M de ide added
e i ie c , ed da c , a d a e ig ifica be f e d i b
e a a i g he Edge N de e dedica ed de ice i he Acce La e .
The B de N de a d C P a e N de a e c ca ed i he C a ed
C e La e . F SD-Acce Wi e e , he e bedded WLC i i i ed
he C ca ed B de N de a d C P a e N de. O i a ,a i a-
ha d a e-ba ed WLC i ed.
Medium Site
Figure 5.11: Medium Site design
The Medi Si e Refe e ce M de a c e a b i di g ih i e

ii g c e ih a h ica g c i i g f a T -Tie C a ed
C e/Di ib i i h a Acce La e .

ha 2,000 AP . The b de f ci i c ca ed i h he c a e
f ci ei he de ice a high e i ie i g e de ice, a d a
e aae i ee c e i idea de ed i a High A c fig a i .
Large Site
Figure 5.12: Large Site design
The La ge Si e Refe e ce M de c e i e b i di g a b i di g ih
i e ii gc e . The h ica e i a Th ee-Tie i h C e,
Di ib i , a d Acce La e . I a e e c ai a ed S e C e
ha agg ega e e b i di g a d e e a he e eg e i
he WAN a d I e e . The B de P a e a d C Pa e f ci ae
i i ed e a a e de ice a he ha c ca i g.
The La ge Si e 100,000 e d i a d 6,000 AP . B de

N de a e di ib ed f C P a e N de i g ed da de ice ,
a da e aae i ee c e i i a High A ai abi i c fig a i .
E tra-Large Site
Figure 5.13: E tra-Large Site design
The E a-La ge Si e Refe e ce M de c e a b i di g ih i e ii g

c e , i e faci i ie e ched ac a a ge ca . The h ica
e i a Th ee-Tie e i h C e, Di ib i , a d Acce La e
a d a ei e ha e a S e C e i a F h-Tie . A E a-La ge
e e i e dedica ed e ice e i i ch a a dedica ed da a

ce e , ha ed e ice b c , a d I e e e ice .
The E a-La ge Si e 200,000 e d i a d 10,000 AP ih

M i e B de N de di ib ed f he C P a e N de ed da
de ice , a d a e a a e i ee c e i a HA c fig a i .
Summar
Thi cha e h ed ha La ge E e i e a d G e e Ne ae
e a i e a d c e . Y a h Ci c SD-Acce ca he e
c e cha e ge ch a g ba e d- -e d eg e a i a dh i ca
a e a ga i a i e a digi a a f ai j e . We
ea ed h Ci c SD-Acce e ab ed La ge E e i e Ne
a f f IT a a C Ce e IT a a B i e . We e a i ed h
e La ge E e i e i e ie i- e a c ca abi i , a i g he
e e ia Ma aged Se ice P ide (MSP ). We de a ed h Ci c
SD-Acce ca ide ca ab e, ec e e f hei c e .
Fi a , e h ed h SD-Acce a La ge E e i e ga i a i
c ehe i e ec i eg e a i a egie i hei c e ,
g ba , e d- -e d e .
Cisco SD-Access in
Universities
154 Ci c SD-Acce i U i e i ie
Introduction
U i e i e ae i e beca e he a e b i he e i e f
idi g he i a e ha i g a d c ab a i e e e ie ce i he i f
ea i g. T ha e d, he a e di ided i a acc da e a i
eed i hi he i e i ,a i h ha c g a f ha i g. U i e i ie
a e bdi ided i ca e f ai i e he e ecific eed f he
de a d fac a e add e ed.
The e ca e ae ica a i e c ec ed ia high- eed ica i

ce a i ed faci i ie ch a da a ce e he e acce ha ed
e ce i ffe ed. T ica , he i e c ec i g e ae ed
e b he i e i , b cca i a , ai a e ide a
be i ed i a a .
Ci c SD-Acce i U i e i ie 155
Figure 6.1: Universit Campus Network reference topolog
U i e i ie f ci a a e di ided i de a e ha a e ce e f
ea i g a d ide i ci de .I ha ega d, each de a e
ha a ied eed , e e h ica ha he , b a i h he idea f
ha i g e e ce ac he e be ed i i ci .
T ica , he e ha ed e ce ae h ed e e ecific
achi e i hi he ca i he da a ce e , b i d e a f
i e i i e i . Re ea ch ab e i e a i e a f da a
a fe f e e d f he ca he he . F e e , he
e ie e f ecific a ica i e ice ffe ed de
fac e iea e ched La e 2 b adca e i e .A i e , i e
I e e P c (IP) c ec i i i a ha i e i ed, b he e ha i i
a a c ec i i a d ha i g f i f ai .
U i e e e he e ica f hich e a e de ig ed, i i c cia

de a d ha e e hi g e i hi e ica e e 90 i e . Whe
c a e cha ge, he ad a d e e he i f a c eae hed hei
a i .A cia i , a he ica i ,a d a i g c ie i hi he ca
h ide i e ice he a i a e a he i e e e i e . The
agg ega i f affic ac ai c d i he e de c g ega e
i c ea e ad i a ea d e ec , ch a ha a a d cafe e ia .
T ha e d, a f he e c ce be add e ed i he f f ca e.
The e ide a i f ci i he c a ha be efi fac

a d de . The i a f ci i eed add e i acce he
e , a d ha acce h d be i i a ha e e edia i ffe ed, i ed
i ee .
The ec d f ci ha i c i ica i he eed f he e , a d

i e i ie ae fe g aded hi e ic. S acce
e ce , b a di g e e ie ce , ca e i e ai a a
de e hei f ai cia edia. Thi c d ha e a i ac
f ee e .
O ce he de ice a e he e i hi he c a , he ica e
e ha ed e ce a ica i , a d each ha i e ie e .
T ica , eachi g a ica i i e CANVAS a e ica -ba ed a d a he
eache a d de i e ac i a c ab a i e c a e i g.
Whi e ha i e e a e f ch a a ica i , e i e i ie ha e
de e ed hei e ec i e a ica i faci i a e i ci , a d
he e a ica i a i e ica i ef fa hi .
The he a ica i ide ed i c ee ha i g f e e ai

e .L gg e a e he jec f he a , a da he e i a high
e ce age f ad i fA e TV Ch eca , hich ge he a f
a de fac e be ha e i e e he c a . Wha e e he
e i , he e eed d eed be add e ed a he ha e ecific
cha e ge a d c ai he di c i g h e he eae hi e
c f i g ic eed .
Si i a , he e a e c e ice ha a de a e i ii e b ad
c ie he e . The e i c de D a ic H C P c (DHCP),
D ai Na e S e (DNS), a d Ide i Ba ed Se ice ch a Mic f
Ac i e Di ec (AD) A he ica i , A h i ai , a d Acc i g (AAA).
The e e ice a e e e ia f he de ' c ie ha he b i g i h he
gai acce he a i c a d de a e e ce .
Addi i a ,i i i a de a d ha hi e he e a e he di ec ea i g
eed f he de a d fac , he e a e a he eed f he i g
de a e . Th e i g de a e ae ica a ed faci i ie , a d
he e a e a a gi g f ca e i g, ja i ia , e di g, hea h a d e e ,
edica , ,h i g, fi a ce, a d ad i i a i . Each faci i ha a g a ,
a d each g a ha ecific e i e e . I hi a ea, he e i a a i
a he i g faci i achie e i g a . Each a ica i i hi ha
faci i c ie ed i ha e eed , a d he e eed add e he e
eed .
The a aj a ea f eed i hi e i g di a e -defi ed a d a ed

ca ec i e i e e . Thi ecific e i e e ha ee i c ea i g
eed f h ica badgi g, IP ca e a , a ic ai , e e h e, a d b ic
a ce e e ie e ,a e a h e f a h ica a e ch a d
c a dI e e f Thi g (I T) de ice i i a h e ed i he h i ai
i d . The c g a i ide a afe ace f he fac a d
de hi e a i gf a ab e ea a e i e f ea i g.
T b i d he Ca Ne da , he Th ee-Tie e de i e
ch i e, a d a ch, d ai ai f i fa c e f i ici i
efe ed, i h High A ai abi i a d ed da c e ch de ig ed i he
c i e i e . Wi hi he e Th ee-Tie e , he f c
agai i he eed f ce i g a d ha i g. O ce a c ie i b a ded i
he Acce La e , he e ha i i idi g ha e e e ice he eed
ic a d e edie i h a fe icie a ib e. Whi e hi i he
ge e a e, he e i a e ha i i i e i ie ec ecific
ee e f h ea , ch a fac de ice , i e ec a e , a d da a.
Whi e icie a e ed ced, he e i a a be ec i i ace ha
be adhe ed a d e f ced.
Beca e f he ca e f i e i e ,b hi i e a d he be
f e d i , he e i a eed f he i e , hich e d defi e a icie
a d acce , be a a ica a ig ed a ch a ib e ed ce ai
aff a d ide b e f e a da ica i e e ie ce.
T dea i h hi i he c e e ,a a i a d che a i af
a e begi i g be hea i ed, a g i h ce a i ed AAA e ice f
ic . I eg a i i f he e c e ice a e ica h ed i hi
a ge da a ce e a d ha ed a c e ice he e a a h e.
A he e a e a a ied be f ica e ca e ha a be add e ed

i a ca ab e a ha he ai c e eed f fa e acce a f
ha ed ea i g i i eded.
Re e ea i g a d acce ha e bee f i a ce a e i he a fe
ea , a d hi e he f c f hi cha e i he Ca Ne
e i e , he e a e ecific a ica i a d e e ice ha a e ed
add e a d faci i a e e e ea i g, i e ide e d i a d ee i g
a ica i , hich he de fac a de ice a d hich
a e c cia idi g a i c i e e i e f a .T ha e d, he e
a be ab e dea i h he i i i a i f a ica i ac he
e e ea b e e e ie ce f he e ea - i e a ica i .
The d i ie he e de ae h ed ca a ha e ecific
e eed . Whi e i e i ie e e he de ha acce a
hei ea i g eed , he a e e e ia he de 'h ea a f h e,
a d he e ha i i he e e i e hif f j he acade ic
e f a cia e e e ie ce. I hi e i g, he e
acc da e he de ' de ice , i c di g e a c e , TV a d
af he e ea i g ide i i i ed, a d e e ga i g e i e .T
hi e d, i e i ie ce cab e TV a d ee he e e
e ie e ,b he e be acc da ed.
I he f i g ec i , e i di e i he ica de ig ca ea ha
e a chi ec i e ec e he ad i g e ech g a d
eh d i hich Ci c SD-Acce i he e ec e he cha e ge b
de ig .
Challenges
U i e i e ae ha ed af he eb ce a c ie i
a he ica ed, i i a ed acce he e ce i he ic e a d
ea ie eh d ib e. The i e i e a chi ec e' cha e ge
ae fe i e c a ed c e i he i e f b i e . The
f i g ec i i e e e a f he c i ica ca abi i ie e i ed b
U i e i e .
Full Redundant Net ork Design
U i e i e de ig ha be e a ab i ia e e i e
e de ig hich ca aff d ha e a d i e. The e
h d be f ed da ei i a e a i ge i f fai e, e i ie
ee e i e e f high e a ai abi i , a d f g ide i e f
hie a chica e de ig .
Bring Your O n Device (BYOD)
I he a 10 ea , i ee de ice ha e bec e a i eg a a f
e a a d fe i a ife. The ed ca i ec i e ce i i
a i g he ea i g e i e e f e ib e f de .Bi gY O
De ice (BYOD) e d a c e i h hei fai ha e f cha e ge , ca ea ,
a d c ce . T ch cha e ge /c ce a e:
1 U g e ed de ice acce i g c i ica fac e ce
2 P fi i g de e d i ide he igh e e f acce

Silent Host
Si e h a e de ice , ch a e di g achi e a d hi d- a I T
de ice , ha d a ce hei e e ce he e , hich e a
cha e ge i b a di g ch c ie he e . M de ec i
h ea ee e ab e e i , ch a he e ie h ,
e i a e ' a ab e e e i e i f ai . The e de ice
be ide ified a d b gh i he ec e f a e f he e .
Onboarding Clients ith Poor Supplicants
A he ed ca i ec e ba a digi a a f ai j e , he a e
addi g i c ea i g e de ice hei e . Wi h he a f he e
acade ic ea , e e e de bi g i e de ice hich eed
e acce ca . P fi i g a a e e e i b a di g
he e e de ice he e . The fi e i ec i g de ice i
i g ha de ice ha e i e . He ce he i h d
be ab e fi e a he diffe e de ice e hich a e ge i g c ec ed
he e .
Isolate Research Partners from Main Campus
U i e i ie ica ha e i e a e ga i a i h e e ae
i e i hi he i e i a d eed acce e ice hei
e ia he SD-Acce e i e . A i e e ca e ha eed
i d c h each f edica ch b a ei g ih
eighb i g h ia .I ch a ca e, bac - -bac e e e d ai
e ice h gh a De i i a i ed Z e (DMZ) e i e he i e i ,
a d g a ded acce be ided i hi he e .
Guest Services ith Fire all as Gate a
U i e i ie ab d ih de a d f ie d b i gi g a i d fe d i
a d a acce e e i he e , i c di g G e acce . I ch
ce a i , a e -ge e a i e h d be ab e affic
i ec i f g e affic hich ea he fi h f a g e affic
eed be a fi e a i DMZ.
Facult , Students, and Building Management S stems
Wi h e e ia g h i he be f e d i c ec i g he
e , he e i a eed f he IT Tea ec de a d fac
i f a i , e ea ch da a, fi a cia da a, a d . Si ce a f hi
i f ai e he a e e i fa c e, i i c cia
e ab i h a eg e ed e i e e e c i ed c ie i e
g f i ac i g eai fa he g .
Video Surveillance and Digital Signage
Vide ei a ce ha bee a e c e f e i g de a d
fac afe a d ec i i a ed ca i a i i i . Vide ei a ce
ha bec e e i a a ec i i i c ea e f i e i ie ha
eed i a i ec d e e . T adi i a , e e a e aae
e a e de ed f di a a e a ica i ch a ide ei a ce,
fi e a d e de ec i , a d digi a ig age. A a e , IT ad i i a
ac c i e c , i e e abi i , a d ca abi i ie , a a i g i highe
ca i a a d e a i a c . He ce he e e a chi ec e h d ee he
e ca e e ie e i ed ab e h gh he f ci ai f he IP
e i fa c e a d i e ab e ec e acce i e a d ec ded
ide .
Screen Sharing and Lecture Presentations
U i e i ie e d ha e a high ife a i f i ee e d i f a ied

e ,f Ai P i i g c ee ha i g a d ec e e e a i . Ne
h d be ca ab e f f fi i g he f i g e ie e :
F e ib e e gh ha e de ' c ea i i h hei c a ae
E ab e fac ha e i f ai a A e TV i a c a ,b
de
A fac e ai a de jec hei i he
ca
S a IT ic ega di g hich i e ca be ed b
de a d hich ca .
Ad e i e ca e ice a ai abi i ba ed ca i
Wireless Challenges
High-densit Wireless
A i e i ha a f b i di g ead e a a ge a ea f a d, a d
he e a e a c e f cha e ge be e b i ee e . S de
ae a a i g ac ca a d d j a acce i ide he
b i di g , he i a eed c e age d . O he ha hi
c e age, he e a be a de i a a ea f a i g e AP a age,
ch a a ec e ha a di i . De i i e e e f a c ce he
e hi ab de / a ed ca i i g ech g . The e cha e ge
a e de a di g a d c d ca e di a i fac i a g de a d
fac ie .
eduroam (Education Roaming) Support
U i e i de a d fac e be eed i a acce e

acce e ea ch a e ia e f ee, ec e, e iab e Wi-Fi he e e he
a e d . U e h d be ab e c ec he ed a Wi-Fi
e a he e i he da d e hei h ei i i c ede ia f
a he ica i .
Guest Services Using Multisite Remote Border
U i e i ie be ab e h a d f de h ae a
i a e c ec i g he e . Be ide he de a d fac ,
g e e a eed acce he e . G e acce i eeded f
i i ,e e a e dee , a d .
Customer Solutions
The e a e a e ca e ha SD-Acce ca add e i hi he U i e i

e ica . I a a ge ca de e , he i a f ci ha he
Ca Ne eed e ae c ec i i , e, a d a ica i
e e ie ce. T ei e a e, de ica ae ea f e
ae c di i acce , a d e f he e e e ha e bee
c e ed i he e edia.
SD-Access Design and Automation

SD-Acce b de ig i he e i c de he ca abi i ie add e a
a ai ab e a d e i ie e .I i i a de a d ha he abi i
b id a e ba ed e a f he high a ai abi i f h e
di c e e e i hi he Fab ic, a a e a e. B de N de a e b i
ed da ha e a i g e i f fai e.
Figure 6.2: SD-Access for Distributed Campus
Addi i a , h e de ae a ed a La e 3 f a U de a
e ec i e. Thi a f E a -c M i a h (ECMP) a d he abi i
e ice e ad f a ba d id h e ec i e e i e di e e
i . C ide i g he ad a Ca Ne ih h d ed f
h a d f e d i , he abi i ff ad da a h gh e i e
ic , fibe , a cei e , a d ASIC a add e he a e c a d
ad f he e . B de N de ca he i g e affic ad
a i affic a d he e efi e f he e i e i hich he
c ec . T ha e d, e a ia e ha d a e i hi he SD-Acce
C a ibi i Ma i a d de ig f b h ba d id h a d efi c ce , a
e ha e i e i ch a d e af ha ca acc da e he
e ie e .
F aC P a e N de e ec i e, he c ide i g ed da c , high
a ai abi i , a d ad, e c ide he be f E d i Ide ifie
(EID ) i hi he ace. Se a a i f Fab ic e a d e ibi i ie i a
ca abi i f SD-Acce , hi e he b de ha d ff i bei g a aged f
ai e ca e , e ca f he e a a e he C P a e N de f he
B de N de a d ha e ha f ci a de ice ha ca ca he ab e i e
f he ecific e a de ig .
C e he C ie f a acce e ec i e, hi e e a add e a
f e ib e bi e e i e a ch a ib e, e ha e b i d he
e i he h ica e i e f he i e i . T ha e d, e
c f he a e f he h ica b i di g he e he e ae
ca ed. S ei e e ha e e Acce P i ha i ch , he
cab e a d e ceed he IEEE UTP ecifica i . I h e ca e , e
eed addi i a acce i che he a ge i ee
e i e i h h d ed f Acce P i i a ge b i di g . D e he
a e f cab i g a d ca i f he i chi g, e i eed i e
di ib i i che add e he high a ai abi i a d e i ie ce c ce
he e e a ha e he e Edge N de i-h ed. I i ai i e
hi , e ca e he I e edia e N de, hich i he e d e
a ici a e i he Fab ic.
Multicast at Scale in the Universit Campus

D e ech g cha ge a d he ife a i f e ca abi i ie i hi
he c ie e d i ha e a e b i gi g i he e , Ci c SD-
Acce add e ica a ca e i hi he i e i ace. The
a ge c ce i he a c e f ea ha bee he ica
e i e a d h he cha ge ai e d i b ce ai e d
ha e i ac ed he U i e i e ica .
Figure 6.3: ASM design with E ternal RP
I he SD-Acce Fab ic, ica f a di g i e A -S ce

M ica (ASM) de ig a ec . The Re de P i (RP) ide he
Fab ic i e ec ed i hi each Vi a Ne a he RP he c ie h d
e j i he ee. The c ce f Sha ed T ee a d S ce T ee a e i i
eai .
Wide Area Bonjour (WAB) and Scale in the

Universit Campus
A a eca , he de h a d b ead h f c ie , hich ca f ci
a c ee - ha i g de ice , ha e i ied e e ia i he a fe
ea , ih ai aj e d idi g he ca abi i f c ee ha i g
a a d bi e de ice ch a ab e . A a e , e ha e
i ied he be f ica ce , hich i ha e e
he ab e i e i hi he e .T ei ha i , e eed ha e a a f
c i g he ica e i e hi e a i g f c hich
de ice a be ce a d hich de ice a be ecei e . T hi e d e
ca i c ae eh d f e a i g:
1 E e ica e i de ig ed a d b i i h e i ie ce a d
c ec ed Re de P i i a a ai ab e a e , i g ACL
i i ea b ci i .
2 Le e age Wide A ea B j (WAB) ca abi i ie i hi Ci c DNA

Ce e a ia e c a d ca e he affic i hi he
e .
A he c ie i be i i a e , he ica affic f h e c ie
i be ca ied i he O e a i hi VXLAN.
Whi e de i g Wide A ea B j e ice i a e ,i i i a

de a d he c ce i ed a d de a d h ca e he i
f he e d- a e. The Ci c IOS f ae e de ice i d ce
e a d ad a ced Wide A ea Se ice Di c e Ga e a (SDG)
f ci a i ha e f he Age e i he e a i .
The SDG ga e a i ch ide a i g e ga e a i a he LAN

i e e di ib i b c i he c e -e B j i . The SDG
i ch c ica e i h M ica DNS ( DNS) c ie b id a d
a age he e ice i f ai .
168 C c SD-Acc U
Fig e 6.4: Wide A ea B efe e ce g
A a c d a d WAB c
150 TCP . D d a Ed N d d c a
Fab c, a d b ad WAB c .I
d ca a La 2 ,
c SDG c a a a La 2B d N d a d a La
2 P d ac a V a N . A a , Ed N d
c ac Ca a , ca SDG a
R d Acc Ed N d a La 3.
I a d a d c b , a c
ca c , b d , a d ad
d acc da ca a .
SD-Access and Meraki Wireless

Ma ga i a i , i c di g i e i ie , ha e de ed Ci c Me a i
c d- a aged i e e f hei Ca Ne . Whi e e c d
SD-Acce f b h i ed a d i ee , e a a eed a g e he
e ih ai e i e be e f e ib e i h he SD-Acce
a chi ec e. Ci c Me a i i ee diffe f adi i a OTT ech g ,
he e da a a e affic e i ae i Fab ic O e a f c ica i
i h he Fab ic i ead f bei g e ed ide f he Fab ic. Ci c Me a i
AP e a 802.1Q ih a age e affic bei g agged a d
a ed he AP Ma age e VLAN, a d e - agged affic a a
i e VLAN he i ch f i ee e d i , ai ai i g e a a i f
affic.
Figure 6.5: Cisco Meraki Control and data integration
SD-Access Macro-segmentation
The e a e i e de a e a d a ied c ie a d e ca e i hi
i e i ie . The a e f he i e i ace i ha he ca b i g a
de ice a a i e a d c ec i he e if i aid he de a d
fac i achie i g he g a f c ab a i . I a c ab a i e e i e ,
i i i a dea di ec i h he e a ied c ie ec e . SD-Acce ,
b de ig , i c ae he idea f ac - eg e a i a d ic -
eg e a i . Wi hi hi ec i , e i di c a ea he e ac -
eg e a i ca be e e aged. Whi e hi i a a h iai e i , i i
he e h he f e ibi i f he de ig a d a e a ae
be d hi b e a ied e ca e .
Figure 6.6: Macro-segmentation via Virtual Networks
U i e i ie ha e a e a de ice hich a e b gh ca .A
a i , Ci c SD-Acce a b a d he e ecific de ice ia
Bi g Y O De ice (BYOD) f . Fac h ae i e i
e ee a ha e h e he de ice hich eed be c ed
f ec i ea b a M bi e De ice Ma age (MDM) a e ecific
a ica i f i g e ice a ai ab e he he faci i a e ea i g
i hi he i e i . T ha e d, h e ica f a e e ha he
de ice i a ia e ca eg i ed b he e he b a di g a d
ac ed f a i- i ig a e a d a a ie e e ha i c f
he i e i icie . The e ca eg i a i ca be ed i hi he icie
f ce a Cha ge f A h i a i (C A) cc i he e e f a b each
f ic i i fec i . Addi i a , he c ie a be aced i a
e aae i a e e ie f he de ai , h achie i g
he ai f e aai g de a d fac affic. Thi i e eh d f
dea i g i h he i a i , a d a e i he cha e e i ee h dea
i h hi cha e ge i a diffe e a .
A c ie aeb gh he e i hi he i e i ace, e a
a a ch affic a e ca f c ab a i . A a e , a defa
Pe i Li eh d g i i i ed. U i g a defa Pe i ic , e d
c ea e e ha de beha i ed a hi e e e hi g e e d
be e i ed.
A iha e , he e a e g d eai g e a d e ,a d
he i ee ica hich i ed a de ice a be b b i e
ca e i .Ag de a e f hi i e a de ice de bi g
ca , ch a Mic f Xb he ga i g e .I i ai i e
he e, e e e ha e fi e he de ice a d, f ca eg i a i , ca
ee d i gica icie e e he de ice i b a ded ec e , b
e" i h " ec e . We ca a i i e a BYOD a a he e
add hei de ice he e a a . Thi a f he
e d i be b a ded a ia e b a f he fi i g e e
ha e fe d i e d i he c ec eg e f he e .
La , e a eed eg e a e ga i a i f each he hi e
a i g he i i e he e f a i hei e . A
e a e f hi i a i e i edica ch ha i a e ed ih e
e a ge hea hca e ide . I i ai i e hi , a bac - -bac
e ice ide - e c ec i i ade be ee he e i i g ga i a i
faci i a e he e cha ge f AAA affic a d da a affic. The e f
a be gica e a a ed f e a he . I e de ig , a La e 2
eg e i ed e ch i e a ha d ff i Ca ie S i g Ca ie (CSC)
e . Thi de ig e e IP f ad affic a d c ec i i ,
i ii g e e cha ge.
I i , he ef e, ib e c ec a d c h eache a he i e i
he Ca Ne i g hi c ede ia a d eg e ba ed
i e i icie b ei he i g RADIUS ac he B i e - -
B i e (B2B) i b di ec i eg a i i h he f eig Ide i S e.

Thi a ca be i i ed i e e e i hi he h ia f de i e .
SD-Access Micro-segmentation
Wi hi i e i ie , he e a e i e he e i a he a i c ie
be c ai ed i hi he a e ac - eg e b , a he a e i e, ic -
eg e ed f each he . I Ci c SD-Acce , i addi i idi g he
f e ibi i f i g diffe e b e , e ide he f e ibi i f ic -
eg e a i , i.e., i g he a e b e i a e e a d e d i -
ce ic a ach. Thi a b a d c ie i diffe e g
i hi he a e Vi a Ne hi e c i g acce be ee h e
g . I hi a ha e achie ed eg e a i i hi eg e a i ,
ha e ca ic - eg e a i .
Figure 6.7: Micro-segmentation with Enforcement
Mic - eg e a i ,i hi ca e, d be de i e ed b SGT a ig ed ia
Ci c ISE a a h i a i , a d a eg e ic i he f f a Sec i
G Acce C Li (SGACL) d e f ce a d e ic c ie - -
c ie affic. The SGACL i ga ed i he Fab ic he c ie ae
a h i ed b Ci c ISE ia 802.1 MAB, hich e ab e he d a ic
a e f he e .I a a he e e h e icie i
eed he c ie e i , f eei g a ab e e ce f f a di g affic
he he a e eeded.
The e a e a i he ca e he e ic - eg e a i a be e i ed
ec e ecific ea f he affic. Th e a i c de, b a e
i i ed , ide ei a ce feed f i ee ca e a a e a a
da hb a d digi a ig age de ice c ec ed i ed i ee f

di a e ie e a ad i i a i e b i di g , a ge ca b i di g ,
d i ie , ca e i g ca i . The e de ice a ha e c i ica feed i
he e e f ec i i cide , hich a be i i ed he i f he
de b d fa ecific e e .
Cisco SD-Access Supporting Guest Services

U i e i ca ad i i a fe eed a age e e i e g e
e ice ihac b e ac a hei ca i e . T add e hi
cha e ge, SD-Acce ide he M i i e Re e B de i i g
Vi a Ne A ch . Thi i a affic f a gi e Vi a
Ne a i e di e ed i e be agg ega ed bac a ce a
ca i , e i e efe ed a a A ch Si e, he e i e a i ge
c b e a he ha ha i g defi e a d e e- ie b e f
he g e Vi a Ne .
Wi h a i ified a d ce a i ed c b e c e, Vi a Ne
A ch Si e ig ifica i if he g e e ice de e ac
ie a d ide c i e a d ec e eg e a i f g e affic i
i e i e i e .
U i g a ch ed e ice , affic f he e d i ha be g he
A ch ed Vi a Ne a each i e a e agg ega ed a d e ed bac
he e e a ch b de a he A ch Si e e VXLAN. A A ch Si e
f ci e ch i e a adi i a Fab ic Si e, b i f a i a Fab ic
Si e e i g a a ic a Vi a Ne .
Thi i a Fab ic Si e ha i i e B de a d C P a e N de i
he A ch Si e. Wha i ecia ab he A ch Si e i ha i edge a d
i ee c e a e di e ed ac i e Fab ic Si e , efe ed a
a ch i g i e .
Figure 6.8: Guest Traffic Flow with Anchored Virtual Networks
M i i e Re e B de i e ab ed a e -Vi a Ne ba i . F a
A ch ed Vi a Ne , a edge i he a ch i g i e e he a ch
B de a d C P a e N de f da a a e a d c c ica i .
Wi e e c e i he a ch i g ie c ica e i h he A ch
C P a e N de f i ee e d i egi ai ecific he
A ch ed Vi a Ne .
Si ce he a ch b de eachabi i a a e e i e IP e ,
ecia a e i be aid he MTU ac he e i e ah
acc da e he VXLAN heade e head f 50 b e .
A ch ed Vi a Ne i c fig ed e he A ch Si e. Af e a g e
e d i j i he g e SSID a d a e he Ce a Web A he ica i
i g Ci c ISE, i i a cia ed i h he a ch ed g e Vi a Ne .
G e affic i e ed he A ch Si e B de N de a d eg e e he
I e e h gh a fi e a .
Addi i a , hi e he g e affic i VXLAN-e ca a ed a d a e

h gh he Fab ic, he fi h ga e a f g e affic ca be ide
he Fab ic a d c ec ed a La e 2 he M i i e Re e B de . S ch a
de ice ca be a fi e a f i ec i e , h d i be a de ig
e ie e .
Cisco SD-Access for Shared Services

T ica , he e a e ha ed e ice i hi e e e hich a e h ed
c ec ed a da a ce e . Each ca e de e d ic a d
a h i ai ega di g h ha i e i ed acce a ecific e ce.
E e e de e ha a c e f e ce eeded b e e
e d i :
Ide i e ice (e.g., AAA/RADIUS)

D ai a e e ice (DNS)
D a ic h c fig a i c (DHCP)
IP add e a age e (IPAM)
Da a c ec (e.g., Ne f ,S g)
I e e Acce
IP ice/ ide c ab a i e ice
O he i f a c eee e
The e c e ce a e f e ca ed " ha ed e ice ." The e ha ed

e ice i ge e a e ide ide f he SD-Acce Fab ic a d be
de ed c ec e e e he i ai be ee diffe e Vi a
Ne acce i g h e e ice . I ca e , ch e ice e ide i
he g ba i g ab e (GRT) f he e i i g e OR a be i a
ecific Vi a Ne VRF.
Figure 6.9: Shared Services access
Fab ic c ie i he SD-Acce e e a e i O e a Vi a Ne .
Th , if he ha ed e ice a e a f he g ba i g ace a ecific
Vi a Ne VRF, e e h d f I e -VRF e ea i g i e i ed.
The e a e a d i e -VRF e ea i g:
U e f a Pee (F i ) de ice (S i ch/R e /Fi e a )

U e f he SD-Acce E a e fea e
The e f a VRF-A a e Pee (F i ) de ice di ec a ached he Fab ic

B de N de ide a echa i f e ea i g f ha ed e ice
efi e ac i e e . The e f fi e a ide a addi i a

a e f ec i a d i i g f affic be ee Vi a Ne
be ee Vi a Ne a d GRT.
If fi e a i ec i i a e i e e , he SD-Acce E a e i a
i ai e a acce ha ed e ice f he VRF ih e ii g
a ee de ice f e- ea i g. F e i f ai ab SD-Acce
E a e , ea e efe ha ec i i he A chi ec e O e ie cha e .
Wireless Solutions
Fabric-enabled Wireless and Over-the-Top Wireless Design
I hi da a d age, a e h ica c ec hei e a
de ice a e e he ha e , a d i ee e be
high e i ie a d ea i a ai ab e. F a i ee e ec i e, he
di c i g he Fab ic, he i ee Acce P i (AP) i be di e ed
a g ai i e ca d f cha i -ba ed i che ac ai
e be f a S ac Wi e de e . Thi e e a highe e e f
e i ie c i hi he i e e e i e , a i g f he i ch
e be g aded b a ead he ad f he i ee e
ac i e i che ASIC faci i a e c ie ad a d ba d id h
c ce . T a e hi e e f he , ca a ii e e i i he
i che ha i he e e f e a ai , ecific AP i g d
c ea e a b ce a i i ead f a c e e b ac .
The e a e i e a a chi ec a i e e i i hi a Fab ic. The

fi a d eadi g i a eh d d be i i e SD-Acce Wi e e
hich a f he ha d ff f c ie da a affic f he AP di ec i he
Fab ic b e ca a i g c ie affic i hi VXLAN he AP i e f. A
ec da ed e h d i O e - he-T (OTT) Wi e e , he eb he
c ie affic (da a) i e ca a ed i hi CAPWAP i h he a age e
(C ) affic a d e he Wi e e LAN C e (WLC) f
f a di g. Wi h he SD-Acce i , ha e he f e ibi i ha e a
i f SD-Acce Wi e e a d OTT SSID if eeded.
Figure 6.10: SD-Access Wireless/OTT Wireless Architecture
Ci c SD-Acce agai he faci i a e he e a ge e b de i e i g

a ai a a f da i a c e c e , a i g f he ic
de e f e ha d a e i h he a e ic a d c fig a i . Thi
he f a de e e ec i e a d e e i c fig a i a he
e c fig a i i he a e f i ch i ch a d AP AP ac
he e . I a ge i e i ie i h h d ed f Edge N de a d
h a d f AP , hi eai a c i e c ca a e he e ea
c e h f be h i gd e h a e i ac fig a i .
Cisco SD-Access Support for eduroam

F i e i ie i g he ed a i , he e i a eed be ab e
acc da e i ee c ec i i i hi he g e e i e ac
he SD-Acce Fab ic. T e a d hi ecific e ca e, SD-Acce ca
be ed e e d i ee e ice a i i f he i e i ie a
ga ha i i ha a ed a acc .
Figure 6.11: eduroam Authentication Workflow
A e i h a ed a acc ca c ec he ed a SD-Acce
Wi e e SSID, hich a de ig ed b a ge i e i ie add e c -
i e i a he ica i f i e i - - i e i a i g. I hi ce a i ,
e d a ch he ed a c ie da a affic a e f B de N de
a d C P a e N de i i i g he M i i e Re e B de ( ee Fig e
6.8) i hi he DMZ. Wi e e c ie d ii e he ed a
i fa c e, ca ed ff-ca i ca e , f c ie a he ica i a
h i Fig e 6.11. I hi ce a i , he c ie da a e i i e i a ed
he G e A ch B de N de a d he F eig C e.
The a he ica i e e i ied he ed a e e , hich i

f a d he e e he e h e i i i . If he a he ica i i
cce f , he f eig RADIUS e e e d a "Acce -Acce " e e
he ed a e e , a d he ed a e e f a d hi e e he
i e i he e he e i c e ca ed. The e i a he ica ed a d
gai e acce a he f eig i e i .
Stadiums, Auditoriums, and High-Densit Wireless:

O i e i ca e , he e a e fe a ea f e e e high-de i
i e e . The e ca be a ge a di i , ed f c fe e ce a d a ge
ca e , e e a i e adi ed f ch a f ba . T ha
e d, he i e i eed be ab e e e he a ai abi i f i ee
c ec i i gi e he a i e be f i ee c ie e e d i g
he e e e .
Ci c SD-Acce i idea i ed dea i h a high-de i i ee

e i e . The i e e AP c affic i high a ai ab e he WLC,
a i g f i a c f he WI-FI cha e a d RF ec a d
de i e i g a be e e e e ie ce f i ee c ie . The di ib ed da a
a e ca abi i f SD-Acce Wi e e ea ha he e a e ba d id h
b e ec f he i e e c ie , e e if he e a e h a d i ea a
ce.
Deplo ment Options
A i e i ie a ge i i e, b i i ica ha e a ge be fe d i
ed ac a Ca Ne . F he acade ic ea f 2023 a e,
e e a e i e i ie ha a c bi ed de ai f e
50,000 f b h de g ad a e a d g ad a e de . If each de bi g
de ice ca , ha d be c e ai e 100,000 e d i .
If ee bac he i ih a he I T de ice , fac de ice , i e ,
ca e ,a d he de ice he e , ca hi he ca e i i fa
i ge a da e DNA Ce e XL a ia ce ea i .
A a e ,i i c f i e i ie i e f ai a f he
e i ai c e , a i g Ci c SD-Acce be ed i
i e e i e . A a ge ce a ca e i e i e Ci c
DNA Ce e c e, hi e i e a e a e i e ca ca i ae
a he c e.I ch ca e , M i e Ci c DNA Ce e i g e ISE
i e i ed ee he ca e e i e e f he U i e i e . I addi i
ee i g he ca e e i ed, he M i e Ci c DNA Ce e i g e ISE
de e ai ai ec i ic c i e c b a ig i g e Ci c DNA
Ce e c e i h he ic a h e hi e he he c e i i a ead-
e.
Ci c DNA Ce e ffe b h High A ai abi i a d Di a e Rec e i

hich ca be ed i de e de i c j ci ih e a he . O e
b h f he e i a e ec e ded i a e he e SD-Acce i
de ed. Which e e de e d ga i a i e i ie ce
e ie e ega di g e a age e a da a ic .
Whi e e ha e ed high- ca e i e i ie ih e ia ge g a hic

di e i a he e a e i hi ec i , i i ce ai ib e ha he
a e i e i ie i eed he e a e i d f ca abi i ie . A a a e
e de a d ca e e i e e a he e a d a age e
e e a d adj acc di g .
Design Best Practices for Universities

Whe c ide i g a e de ig f a i e i , e ec e d ha
f he f i g de ig i ci e a d g ide i e :
De ig ih ca e i i d a e e a e f he e i e ,
i c di g he a age e a e
Se ec he a ia e ha d a e a f he e ec ed
ad, idi g e head f g h
U de a d he e i ed ha d a e ab e i e eeded a each a e
he fea e e i ed, idi g e head f g h
Kee i i d he e i e i ed de ig a ec c ce i g a
Ci c SD-Acce a chi ec e
Summar
We ha e ee ha U i e i e i e ae i e d e hei
cha e gi g e ca e e a ed hei g a f idi g he i a e ha i g
a d c ab a i e e e ie ce i i g highe ea i g. Whe de ig i g
hei e , he be e a igi a e e ha he acc f he
hee ca e f hei e i e , a d he e ib e, he h d i i he
i e f fa d ai e e ha c e ge ce a d eai a e i ie c
ae ai ai ed a he highe e e . Whi e e ha e c e ed a be f he
ai de ig ca ea a d e ca e i hi cha e , igh e c e a
i ia e ca e i a he e ica . If e c e ch a e ca e, ea e
efe ha he e ica cha e .
I hi cha e , e h ed h Ci c SD-Acce ide a ec e,

d a ic, e i ie i ha add e e he de a di g cha e ge
faced b i e i ie . Wi h he addi i f Ci c DNA Ce e ca abi i ie
ch a E d i A a ic a d Ec e a e a ica i ch a
Ci c DNA S ace a d ed a , Ci c SD-Acce e e ha i e i ie
ca c i e de i e he ha ed e e i e c d ci e
ea i g ha b h de a d fac a i e ha e e j ed f a ea .
Cisco SD-Access for
Financial Customers
188 Ci c SD-Acce f Fi a cia C e
Introduction
Fi a cia ga i a i ch a e ai ba , c edi i , i a ce
c a ie , a d ca i a fi a e hif i g digi a e a chi ec e
ec e b id a d e a e 1000 f ca i ac he d. Whi e each
ca i a ha e ecia e i e e , he fi a cia e ica eed
a da di ed a d ec e e c ec i i , i if i g e
eai a d ai e a ce, fai e- e i ie e ,a dc i e ic
i e e ai ac he e i e ga i a i .
Thi cha e ide de ig g ida ce f he fi a cia ace, f c i g

h he e i ai (e ecia Ci c SD-Acce ) a e bei g i i ed i
hi i d ha e a i e, ec e, a d f e ib e e . The cha e
a i h a de c i i f he e i i g Fi a cia Ne a chi ec e,
f ed b cha e ge a d i f fi a cia ga i a i . Fi a , he
cha e e d b e ie i g e a da d de e i f fi a cia .
Ci c SD-Acce f Fi a cia C e 189
Challenges
Fi a cia Ne ae c e a d i ed, i e e , WAN, a d

ec i i f a c e de ed ac a c , i e c ie ,
d ide. T da he e i fa c e i he e ga i a i ca be
b ad di ided i C a e Head a e (HQ) a d Re e B a ch
b i e eg e . The e e ie e ca a de e di g he
e eg e ai b i e -c i ica e ca e .
HQ i e a e c a e b i di g c ec ed b Me ia A ea Ne
(MAN) f ad i i a i e b i di g a d b Wide A ea Ne (WAN) f
e e iec ec i i .
Figure 7.1: Traditional network

The g h i Fig e 7.1 de ic a ge e ic adi i a e f

Fi a cia i h C e, Di ib i , a d Acce La e i che i he Head
Q a e (HQ) i e e i g i ed, i e e , a d I T e d i . Thi e
ide I e e , da a ce e , a d WAN c ec i i f he e d i
c ec i g i.
The B a ch ca i i he g , Si e1 a d Si e 2, ha e diffe e ca e
e ie e b e b aci g ei he a T -Tie , Th ee-Tie , i g e de ice
e hie a ch f he LAN I f a c e.
Requirements in Financial Customers

Fi a cia Ne ae a ge g a hica di e ed, c e e
ih i e cha e ge d e he high e e f ec i , e i ie ce, a d
eg a c ia ce e i ed i he fi a cia i d . The f i g
ec i i e e ea f he c i ica ca abi i ie e i ed b fi a cia
ga i a i he de i ga e .
Securit Challenges
C be ec i h ea a e he bigge h ea ha ee a fi a cia c a
Chief I f a i Sec i Office (CISO) a a e a igh . The a id a i i
h b id a d he e i f digi a b i e e ice c e
ha e a i e i c ea ed a ac face ec a ai ab e c be c i i a .
If e i chec , he e bad ac ca a e ad a age f e abi i ie
a d ca e a i e e i b h fi a cia a d e ai a e . The CISO
g e i dica e ie ba ic ec i f da e a a d ec i
ce e .
Compliance Mandates
Fi a cia e eed ec high e i i e fi a cia ec d a d
i f ai f c e , a d he ae ic b d b g e e
eg a i . F e a e, he PCI-DSS (Pa e Ca d I d ) a da d
i c de a da e ch a da a e c i i f igh , ec i a da e f
i g c e da a, a d ac i g a d i i g e e ce a d
ca dh de da a. Fi a cia Ne ide c ee a d c a
i ibi i f e a age e a d i i g.
Fi a , gi e ha diffe e de a e a d g e a ha e he a e
e i fa c e, e e g be i a ed f e a he a d
e ic ed he e ce he a e e i ed acce . A he a e
i e, he e di e e g f e a d de ice i eed acce ha ed
e ice .
Availabilit (Five-Nines)
D e he c i ica i f fi a cia e i dai i e , 100% a ai abi i i
he g a . A fi e- i e a ai abi i c e c e 100% a ai abi i a d
g a a ee ha he e i be f 99.999% f he i e ( gh 5
i e a d 16 ec d f age e ea ). A a i , M i i g, L ad-
ba a ci g, a d fai e che e ca a fi a cia fi ee bea he
g a f fi e- i e a ai abi i .
Large Scale Multisite Deplo ments

Fi a cia a e ica a ge i i e de e fe i g h a d
f i e ac a ge g a hic egi . I i a e cha e ge
de a d a age ch a ge e b -b -b i e-b - i e ih
ie e a age e ea . If a a e e gi ee i a
Fi a cia , he i e ha a ai i he eed f he h be ab e
d c e i e de e ih i i a a a .
Complete Isolation of Guest Users

C e i i i g fi a cia b a che a b i g diffe e e d i ha
c d be c i ed, he affic f ch g e de ice be
i a ed a d i ec ed e . I ch ce a i , he e -ge e a i
e h d be ab e affic i ec i f i ed a d i ee
g e affic, hich ea he fi h f a g e affic eed be a

fi e a i a de i i a i ed e (DMZ).
Centrali ed Polic Management

Wi h e e ia g h i he be f e d i c ec i g he
e a d he a i g f a ge fi a cia ga i a i ac he g be,
he e i a eed a age ec i ic i diffe e ge g a hica egi .
Thi ead a age e c e i a he e a be d i e b he ca
a . The e i a c cia eed i if he g i g f e a d de ice
ha ec i icie ca be a aged i ii e .
High Sensitivit to Qualit of Service (QoS)

I addi i i g ab ec i , c ia ce, a d a ai abi i , a
a d Q S-di a a e e ca ead c e a i fac i a d
ea e . Whe i c e adi g f , hich a e high e ii e
de a , ae c a dc i e Q Sae a da f fi he eed
f he ga i a i .
Acquisitions Integration
T ea he f e g a d be efi f ac ii g a ga i a i , he
e f he e gi g ga i a i be i eg a ed i i e
ed da eai . The e i a he fi a ea f i eg a i ,b
hi ha be d e ec e ha he ga i a i i e ed e
e abi i ie .
Ticker Streaming and Video applications

A he adi g b i e f fi a cia ga i a i ha g a id ,
i g ih ea - i e i f ai ha bec e a i a f c a ea.
Fi a cia ade eed acce ea - i e da a e ai c e i i e i he
a e ace. Ba a h ca e i ii g c e he a i
ga a d a egie a ai ab e f he b i i i g IPTV-ba ed
ad e i e e a d ide c a i g i a fi a cia b a che .
Lean IT staff
Gi e he g ba f i f a ge Fi a cia , a i i e i ed ha
a ca i ca be b gh fa e a d a aged e e ha
fi a cia ga i a i ca ai ai a ea IT aff. The e i e e i
ha e a ai a da a ce i he e ed ce he c e i a d
i e e f b h de e a d be h i g.
Customer Solutions
Cisco SD-Access
Thi ec i c ide a ecific e ca e ha a e ed i h Ci c
SD-Acce i a a ed f Ci c DNA Ce e . The Ci c SD-
Acce a ica i he Ci c DNA Ce e c e f de ig i g,
i i i g, a i g ic , a d idi g he ca i ed a d i ee
e i h he c e ha e ab e a I e -ba ed i ii e e .
Fab ic i a i eg a a f SD-Acce a di d ce O e a ha e ab e
ea - -de e i ai a i ac he i ed a d i ee ca .
I addi i e i a i a i , Fab ic ide f a e-defi ed
eg e a i a d ic e f ce e ba ed e ide i a d g
e be hi . S f a e-defi ed eg e a i i ea e i eg a ed i g
Ci c Ide i Se ice E gi e (ISE), idi g ic - eg e a i h gh
he e f ec i g i hi a i a e .
Ci c DNA Ce e a ae he c ea i f Vi a Ne , ed ci g
eai a e e e a d i i h i eg a ed ec i a d i ed e
ef a ce ided b a a ce a d a a ic ca abi i ie .
Securit Challenges
Macro-segmentation
O e f he efe ed eg e a i eh d f Fi a cia c e i
i a e he e e d i (CORP, GUEST, I T) b aci g he i diffe e
i a i ga df a di g i a ce (VRF ). Ci c SD-Acce ffe he
f e ibi i f ac - eg e a i fe d i i diffe e VRF , a f hich
ca be i i ed i he e f Ci c DNA Ce e .
Micro-segmentation
Wi hi he c e f a i g e VRF, c e e d ha e f he
eg e a i eed f e ca e ch a :
P aci g a de a e a d c edi ca d de a e i diffe e

ec i g
P aci g ide ei a ce f b a che a d I T de ice i e i e i
diffe e ec i g
F ch e ie e , i he adi i a e a chi ec e, he
ea eg e a b aci g g i diffe e b e e f ced b IP
ACL . I Ci c SD-Acce , i addi i idi g he f e ibi i f i g
diffe e b e , e ide he f e ibi i f
ic - eg e a i , i.e., i g
he a e b e i a e e a de d i -ce ic a ach.
Refe i g he a a d c edi ca d de a e e a e, each g ca

i
be aced i he a e b e. H e e , b e e agi g d a ic
a h i a i , he ca be a ig ed diffe e Sec i G Tag (SGT ) b
ISE ba ed hei a he ica i c ede ia . T affic be ee a g
he e g ca he be e f ced b Sec i -G Acce C Li
(SGACL ) ba ed g e be hi i ead f e d i IP add e .
Figure 7.2: Macro-segmentation and Micro-segmentation
Secure Onboarding
Device Onboarding
I Fi a cia Ne , Ze T i fi di g e a d e ad i . I i
c cia ec e b ad e a d e de ice . Ci c SD-
Acce ca f ce e de ice ch a AP a d i che be ec e
b a ded i g IEEE 802.1 echa i . Thi ec he e f
he a ach e f a h i ed de ice b ai ai i g c ed a he ica i
a Edge N de acce . E e ded N de b a ded ec e i g
c ed a he ica i a e ca ed S ica -Ba ed E e ded N de (SBEN).
S ica -Ba ed E e ded N de (SBEN) a e i i ed a P ic

E e ded N de b Ci c DNA Ce e ha e a ica i h EAP-TLS
a he ica i hei i he Edge N de. The EAP-TLS ce ifica e i
i i ed b Ci c DNA Ce e i g Ci c DNA Ce e Ce ifica e
A h i (CA). Af e cce f b a di g, acce he i e
ba ed a he ica i a . If he de ice/ g e d , he
a he ica i e i i c ea ed, a d affic i a ed he . Whe
he c e bac , i g e h gh d 1 a he ica i egai acce
he Ci c SD-Acce e .
Sec e AP b a di g i d e b a h i i g he Acce P i ac ed
a he ica i b a i g i i ed acce DHCP/DNS a d Ci c DNA
Ce e f he P P f . The P P f he Ci c DNA Ce e i
e ha ced e ab e a d 1 ica he AP, a d he AP e hi
ica a he ica e i h Ci c ISE.
Wired Client Onboarding

The h a g a f fi a cia c e i ig a e hei
e i c ee c ed a h i a i e ,f e e agi g he
ec e acce be efi a Ci c SD-Acce a chi ec e ide . A
efe ed de e ec e d a ch fi a cia c e i
ig a e a a f hei e a d 1 -ba ed c ed a he ica i
de. A affic i d ed bef e a he ica i , i c di g DHCP, DNS, a d
ARP i hi de. F c ie ha d a d 1 c ie , ca
a d 1 fai bef e MAC A he ica i B a (MAB) ca
a he ica e a d cceed, ca e MAB a he i a a he ica i
e h d. Whi e e e d i ae ica b a ded i g d 1 , I T
e d i ae ica b a ded i g MAB.
Wireless Client Onboarding

M i e Wi e e Se ice Se Ide ifie (SSID) a e de ed i h diffe e
ec i E e i e D 1 , Ide i /P e-Sha ed Ke , MAC Fi e i g
a a a f i ee e d i c ec i i . C i ica e d i a d
i fa c e acce ca be igh ec ed b a da i g d 1 -ba ed
b a di g f e e i e SSID f a e . G e ca be b a ded
ec e h gh a DMZ Fab ic B de N de de e ha i be c e ed
i de ai i he G e I ai ec i f hi cha e .
Data Loss Prevention using Secure Network Anal tics

Ci c Sec e Ne A a ic (SNA) (f e S ea hWa ch) e e age
Ne F da a f e de ice h gh a a ea f he e
acce , di ib i , c e, da a ce e , a d WAN Edge idi g a c ci e
ie f affic a e . Thi i ibi i a a SNA da aba e ec d be
ai ai ed f e e c ica i ha a e e a e de ice. The

S ea hWa ch Sec i A a ic (SSA) e ice Ci c DNA Ce e
a a e he i i i g f e ee e ha he e d da a
Ci c SNA, e ab i g gai e i ibi i a d idi g ea - i e
i i g fa e affic. I addi i hi , Ci c SNA ca be ed
b c e ide if f ha a e e cei ed be a h ea , a d h e
f ca be a ed f i ai i hi he e b a a i i g he .
A aa i e eai e i he ecific e de ice bei g a ig ed

a a a i e SGT i Ci c ISE b e e agi g he G id c ica i ha
Ci c SNA ai ai i h Ci c ISE. C e aee ec ed ha e e e
Q aa i e icie f he Q a a i e SGT g ha e d i ha ha e
bee ide ified f a a i e i Ci c SNA ca a a ica be e f ced b
a he ec i g icie ha i e ic he i i a e
c ec i i ih a e i e e i Ci c ISE.
Rogue Detection using aWIPS (Adaptive WIPS)

Fi a cia c e be efi i e e f he a i e ca abi i ie f Ci c
DNA Ce e i c ab a i i h Ci c i ee i a d de ec
g e i he e a d i iga e ch i h gh c ai e . Ci c
DNA Ce e h e de ec i f g e AP a d a i f f
D S a ac ha g e i ee c ie ca ef a e , f
f di g f A h e e be a cia i /di a cia i e e .
End-to-End Encr ption

Fi a cia c e e i e da a a e i g hei e be e c ed,
a d ce ai de e ha e i ac , da a c fide ia i , a d/ eg a
e i e e . Fi a cia fe de a d e c i a La e 2 i hi he
c ae e a d e ie e c i a La e 3 ac he WAN.
E c i i ide he Fab ic Si e, ecifica e c i a he MAC a e , i
achie ed i h MAC ec.
Figure 7.3 MACsec Encr ption
T ide e c i he e i , a h i Fig e 7.3, e ca e

Media Acce C ec i (MAC ec). MAC ec i he IEEE 802.1AE
a da d ha e ab e de ice E he e e ide
c fide ia i , i eg i , a d a he ici f da a i Ta i . S i ch- -h
a d i ch- - i ch MAC ec ca be e ab ed i he Ci c SD-Acce
e c a ib e i che ia e ae i Ci c DNA Ce e .
E c i a he WAN i a e ca e f b IP ec e be ee each WAN
Edge e.
Availabilit (Five-Nines)
Disaster Recover for Cisco DNA-Center
Fi a cia i i i ha e a e a ce f a age e , c , da a
a e fai e. Ci c DNA Ce e b hi a-c e a d i e -c e
e i ie c . Ci c DNA Ce e ' Di a e Rec e i e e ai c i f
h ee c e : he Mai Si e, he Rec e Si e, a d he Wi e Si e. A
a gi e i e, he Mai a d Rec e Si e e a e i ei he ac i e
a db e . The ac i e i e a age e hi e he a db i e
ai ai ac i da ed c f he ac i e i e' da a a d a aged
e ice . Whe e e a ac i e ie g e d , Ci c DNA Ce e
a a ica i i ia e a fai e , c e i g he a ece a de ig a e
he f e a db iea he e ac i e i e.
Highl Resilient SD-Access Network Architecture

A a f he c e i a ea f idi g e i ie c i g ac i g a d
S ac Wi e Vi a , egi a h b a d Ca head a e i Fi a cia
Ne fe eed ec i f b i di g fai e . Thi e e ha
c ec i i da a ce e f a e ga e a a d he c i ica
a ica i i a a a ai ab e. Ci c SD-Acce a f e ib e
de e a chi ec e he e de e ca a e ad a age f
ii i g Fab ic b de i diffe e h ica ie hi e i g he
ge he de he a bi f a i g e Fab ic Si e, a h i Fig e 7.4.
Figure 7.4: SD-Access Fabric resilienc
A ca be ee i Fig e 7.4, B i di g 1-4 a e i he a e Fab ic Si e, ih

he C ca ed B de N de a d C P a e N de bei g ca ed i
e a a e b i di g . Ci c SD-Acce ide he f e ibi i a ig
i i ie he e B de N de de e ch ha e B de N de ca
be i i i ed e e e bec e he ac i e b de ca i g affic,
g a i i ac i e. Whe a b i di g fai , he B de N de i he he
b i di g ca a a ica a e e a affic f he Edge N de .
Critical VLAN
Ci c SD-Acce a C i ica VLAN ca abi i ide i i
e i ed e c ec i i i e d i he he c ec i i
hei ISE e e i d e age ch a a WAN age.
F c ie ha a e a ead b a ded, if c ec i i he ISE P ic

Se ice N de i , e i dic e-a h i a i i a ed e e
di i i he a he ica i ah d i ac he da a a e. F
c ie ha a e e b a ded i he e , he C i ica VLAN fea e
ace he c ie a a ic a VLAN if c ec i i ISE i . Thi VLAN

ide i i ed acce he e . C i ica VLAN ca ii e ic -
eg e a i e f ce he ic i ab e ce f ISE.
Compliance and Audits

Fi a cia eed a a a - i ibi i i ha g e i he e a d
a ic c ia ce ic ega di g h i a h i ed a age a d
i i he e . Ci c DNA Ce e ha a h f fea e b i i ha
he iha ch c ia ce a d a di a da e i a ga i a i .
Audit Logs
A di g ca e i f ai ab he a i a ica i i g
Ci c DNA Ce e . A di g a ca e i f ai ab de ice b ic
e i fa c e (PKI) ifica i . The i f ai i he e a di g ca
be ed a i i be h i gi e , if a , i i g he a ica i
he de ice PKI ce ifica e . A di g a ec d e e e , he
a d he e, a d hich e i i ia ed he . Wi h a di ggi g, c fig a i
cha ge he e ge gged i e aae g fi e f a di i g.
Configuration Compliance
C ia ce he ide if a i e de ia i - f-ba d cha ge i he
e ha a be i jec ed ec fig ed ih affec i g he igi a
c e .
Wi h Ci c DNA Ce e , a e ad i i a ca c e ie ide if
de ice ha d ee c ia ce e i e e f he diffe e a ec
f c ia ce ch a C fig a i , S f a e I age, P d c Sec i
I cide Re e Tea (PSIRT) e e, Ne P fi e, Fab ic, a d
e.
C ia ce chec ca be a a ed ef ed de a d, a h
i he f i g:
A a ed c ia ce chec : U e he a e da a c ec ed f
de ice i Ci c DNA Ce e . Thi c ia ce chec i e he
a a d ifica i f ai e ice ch a i e ,
S f a e I age Ma age e (SWIM), a d a e da a.
Ma a c ia ce chec : E ab e e a a igge he
c ia ce i Ci c DNA Ce e
Sched ed c ia ce chec : A ched ed c ia ce j b i a
ee c ia ce chec ha a e ched e, f e a e,
e e Sa da a 11 .
Ci c DNA Ce e he f i g e fc ia ce chec a he
i e f hi i i g:
F ag c ia ce e ai i g f he i g c fig a i
e de ice bei g diffe e f he a c fig a i ie
ha Ci c DNA Ce e ha f he de ice.
S f a e i age c ia ce f ag i dica e if he g de i age i
i g e de ice
Fab ic c ia ce e if he c fig a i de ed b he SD-
Acce Fab ic f ee a e ed ih f ba d
PSIRT c ia ce ae e ad i i a f e i i g
e abi i ie i he e
Ne c ia ce a e if he de ice ae i g
c fig a i e he i e ca ed f he gi e i e i Ci c DNA
Ce e
Configuration Drift
Fi a cia ga i a i ae fe bjec c ia ce a da e ha
dic a e ha ga i a i ai ai a chi e f c fig a i f a e
de ice . Ci c DNA Ce e c fig a i d if ha high igh he
c e c fig a i fe e i g e de ice i h he f e ibi i g bac
a h ie h c fig a i ha e cha ged a ecific de ice.
Role-Based Access Control

Ci c DNA Ce e he f e ibi i a ig e i i e
ei he ba ed a ca e e a RADIUS/TACACS da aba e. U e ca be
a ig ed e f he f i g e a d ca a be a ig ed acce
ecific a ica i i hi Ci c DNA Ce e :
Administrator (SUPER-ADMIN-ROLE): U e i h hi e ha e f
acce a f he Ci c DNA Ce e f c i . The ca c ea e
he e fi e ih ai e , i c di g h e i h he
SUPER-ADMIN-ROLE.
Net ork Administrator (NETWORK-ADMIN-ROLE): U e i h hi
e ha e f acce a f he e - e a ed Ci c DNA Ce e
f ci . H e e, he d ha e acce e - e a ed
f ci , ch a bac a d e e.
Observer (OBSERVER-ROLE): U e i h hi e ha e ie -
acce he Ci c DNA Ce e f c i . U e ih a b e e
e ca acce a f c i ha c fig e c Ci c DNA
Ce e he de ice i a age .
Lean IT Staff
Centrali ed Troubleshooting using iCAP and Sensors
Fi a cia c e f e ac a ie e ea i a e
b a che , a i g be h i g ch e diffic .
Ci c DNA Ce e I e ige Ca e ca abi i ide f a

di ec c ica i i be ee Ci c DNA Ce e a d AP i Ci c SD-
Acce Wi e e e i e . Ci c DNA Ce e ca ecei e ac e
ca e da a, AP a d c ie a i ic , a d ec da a. Wi h he di ec
c ica i i be ee Ci c DNA Ce e a d AP , I e ige Ca e
a acce da a f AP ha i a ai ab e f i ee
c e .
Power of Automation
Fi a cia ae fe ea IT aff a d he ce be efi i e e f he
a ai ha Ci c DNA Ce e b i g he ab e. Ci c DNA Ce e
Ze T ch P i i i g (ZTP) b a f a a i g he b i g-
f he e i e U de a e i a SD-Acce Fab ic Si e. E e a i g e
e e gi ee ca bi g 100 f b a che f a ce a ca i
ce he e de ice ae h ica c ec ed. Thi acce e a e he
b a di g f e ca i d c i i a d ed ce i e i e
ee da f h .
Monitoring and Troubleshooting

Ci c DNA Ce e ha a ef a d b A a ce a ica i ha
ide e -ge e a i i ibi i i he e e e ha i e ed f he
e i fa c e. The A a ce i e a f i e be a e ed,
a a ica c e a ed, a d iaged ia ad a ced achi e a a ic . Thi
a f i e ige ce be ga he ed f a ide a ge f e a d c ie -
e a ed b e , hich ca be ed ei he h gh he Ci c DNA Ce e
e i e face e e h gh ad a ced i eg a i ia Re -API ih
Se ice N he ITSM a ica i . Addi i a , i e ca be
i i i ed i a e e i i a d e ed h gh b e ab e e .
Complete Isolation of Guest Users

Fi a cia Ne ad i i a fe eed a age e e i e g e
e ice ihac b e ac a hei ca a d b a ch i e . T
add e hi cha e ge, Ci c SD-Acce ide he M i i e Re e
B de i i g Vi a Ne A ch . Thi i a affic
f a gi e Vi a Ne a i e di e ed i e be agg ega ed
bac a ce a ca i , ei e efe ed a a A ch Si e, he e
he Vi a Ne e a i ge c b e a he ha ha i g
defi e a d e e - i e b e f g e affic.
Vi a Ne A ch Si e ig ifica i if he g e e ice
de e ac SD-Acce Fab ic Si e a d ide c i e a d
ec e eg e a i f g e affic i fi a cia e i e ih a
i ified a d ce a i ed c b e c e.
U i g a ch ed e ice , affic f g e e d i ha be g he
A ch ed Vi a Ne a each i e a e agg ega ed a d e ed bac
he M i i e Re e B de a he A ch Si e e VXLAN. A A ch Si e
f ci ch i e a adi i a Fab ic Si e, b i f a i a Fab ic Si e
e i g a a ic a Vi a Ne .
Thi i a Fab ic Si e ha i B de N de a d C P a e N de
hich a e dedica ed he A ch Si e. Wha i ecia ab he A ch
Si e i ha i Edge N de a d Fab ic WLC a e di e ed ac i e
Fab ic Si e , efe ed a A ch i g Si e .
Figure 7.5: Guest Traffic Flow with Anchor Virtual Networks
M i i e Re e B de i e ab ed a e -Vi a Ne ba i . F a
A ch ed Vi a Ne , a edge i he a ch i g i e e he A ch
Si e B de N de a d C P a e N de f da a a e a d c
c ica i . Fab ic WLC i he a ch i g i e c ica e i h he
A ch Si e C P a e N de f i ee e d i egi ai ecific
he A ch ed Vi a Ne .
Si ce he A ch Si e B de N de eachabi i a a e e i e IP
e , ecia a e i be aid he MTU ac he e i e a h
acc da e he addi i a VXLAN heade e head f 50 b e .
Af e a g e e d i j i he g e SSID a d a e he Ce a Web
A he ica i i g Ci c ISE, i i a cia ed i h he a ch ed g e
Vi a Ne .G e affic i e ed he A ch Si e B de N de a d
eg e e he I e e h gh a fi e a .
Addi i a , hi e he g e affic i VXLAN-e ca a ed a d a e

h gh he Fab ic, he fi h ga e a f g e affic ca be ide
he Fab ic a d c ec ed a La e 2 he M i i e Re e B de . S ch a
de ice ca be a fi e a f i ec i e , h d i be a de ig
e ie e .
F a Ci c ISE e ec i e, he f i g a e he gge ed i f
he fi a cia c e ha eed i a ed G e e i e :
Se a a e PSN h ed i DMZ f G e e
Dedica ed PSN f G e e
B ha i g e a a e a he ica i , a h i ai , a d M i i e Re e
B de f he g e e , he g e e i f i a ed f he
C P a e, Da a P a e, a d P ic P a e e ec i e, e i g he G e
e i i a ed f he he fi a cia e , de ice , a d e ce .
Trading Floor and Video Applications

Streaming
M ica i be e i ed i he Ci c SD-Acce ca Fab ic f ai
adi g f a d ide a ica i ha e i i a fi a cia e i e .
Vide a ica i i c de a i ad e i e e ha ca be ea ed
ai b a che ac ai egi e ai i g e d c ffe i g
ga i ii gc e .
S ch ica da a ca be ea ed f a a ie f ce , i c di g
egi a da a ce e , c a e da a ce e , e c. The Ci c SD-Acce
a chi ec e ide he f e ibi i f e d- -e d ea e ica da a
affic f f a he e i he a ge e e i e e a he e i
he g be. S ch ica affic ca be ea ed e SD-Acce T a i
IP-Ba ed T a i e . Ci c SD-Acce a fa f
M ica , i h f e ibi i i a ca i g M ica RP de ei he i ide he
SD-Acce Fab ic ide f i .
M ica f a di g i SD-Acce Fab ic e eh d f di ib i g

he affic he U de a : Head-E d Re ica i a d Na i e M ica .
Head-End Multicast Replication (Overla )
Head-E d M ica e ica i i a de ed i a e SD-Acce

Fab ic Si e i h <100 ecei e a d j a ha df f de eedi g
ica ea i g.
Head-E d e ica i ( i ge e ica i ) i ef ed ei he b he

ica fi -h e (FHR) he he ica ce i i he Fab ic
O e a b he B de N de he he ce i ide f he Fab ic
Si e.
Native Multicast (Underla )
Na i e ica i ec e ded ea d M ica i Medi a d

La ge Si e i h 100 f de ice a d 1000 f c ie .
Thi e f de e ig ifica i e he efficie c , a e c , a d

ea ca e f ica affic ha d i g. Thi ed ce he e ica i ad a
he Head-E d N de (B de ), a i g affic be e ica ed b he
U de a i f a c e a f he Edge N de . Thi a ach a each
ica g i he O e a be a ed a c e di g S ce-
S ecific M ica (SSM) U de a G . T e ab e hi Na i e M ica
de e , i i e i ed c fig e P c I de e de M ica (PIM)
i he Fab ic U de a .
Multicast over SD-WAN

Ci c SD-Acce ai e ica e ie S ce-S ecific M ica (SSM)
i he U de a . The ef e, SSM c fig a i ae c fig ed he
Fab ic N de a d I e edia e N de . The M ica Re de P i
(RP ) ca be e e a he SD-Acce Fab ic i he da a ce e e e
ca Fab ic. T ica , i ce f ch ea i g ha e f he
da a ce e , i a a e e e e ace he RP de c e he
ce . Recei e aced ac Fab ic Si e ca b c ibe ica
affic e Ci c SD-WAN. M ica (SSM/ASM) i e ab ed he e ice
VPN bi e face f he Ci c SD-WAN Edge ad he O e a Vi a
Ne he Fab ic B de N de . Thi e e c e e e d- -e d
ai e ica c fig a i h gh he Fab ic N de a d SD-
WAN Edge .
Figure 7.6: Multicast across SD-WAN
Global deplo ment with Multi-DNA Center to

centrali ed ISE
Ci c ISE ca be de ed ei he i a a da e di ib ed de . F
i e ie e e i e de e , Ci c ISE i de ed i a di ib ed
de i h di ib ed P ic Ad i i a i N de (PAN) a d M i i g
N de (MNT), a e a ac i e a d a db P a f E cha ge G id ( G id)
N de a d P ic Se ice N de (PSN ). PSN ca be ead ac ai
ie ide a a e c Ne Acce C (NAC) i . PSN
ch i e ih he ISE PAN ide c i e ic a d SGT

a ig e ba ed c ie a he ica i .
G ba de e ead ac ai ca i e ie i e Ci c DNA
Ce e be de ed d e ca e c ide a i , ae c e
e ie e , a d G ba c ia ce ea . M i e Ci c DNA Ce e
c e ca be i eg a ed i a i g e Ci c ISE, idi g ce a i a i a d
a da di a i f A he ica i , A h i a i , a d Sec i G P ic
ac he g ba e e i e.
La ge Ci c ISE de e , ch a i Fi a cia Ne , ca be efi b

i eg a i g i e Ci c DNA Ce e c e i h a i g e Ci c ISE. Ci c
DNA Ce e i e Ci c DNA Ce e c e e Ci c ISE
de e i i e Ci c ISE be e a d ide a ce a i ed ic
a age e a ef i e Ci c DNA Ce e . F ei f a i , ee
ff M
M ll ii le
le Ci
Ci cc DNA
DNA Ce
Ce ee Cl
Cl ee ii hh aa Si
Si gle
gle Ci
Ci cc ISE
ISE SS em
em.
em
Figure 7.7: Global Multi DNA Cluster deplo ment for consistent Group Based Polic
N e A he i e f he i i g f hi b , hi fea e i c e a
Li i ed A ai abi i ffe i g. I i a e a , i i ia a ach he be
i e e ge b i e e ie e . A e c ehe i e
Ge e a A ai abi i ffe i g i be a ai ab e i he f e. Chec ih
Ci c acc ea he a e a f hi ca abi i bef e de i gi
i d ci e .
Network Visibilit
Ci c DNA Ce e a age e b a ai g e
de ice a d e ice b a ide e a a ce a d a a ic
ca abi i ie . Ci c DNA Ce e c ec ee e f e de ice ,

Ci c ISE, e /e d i , a ica i , a d he i eg a i ac he
e . Ci c DNA Ce e Ne A a ic c e a e da a f ai
ce he ad i i a / ea ide c ehe i e Ne
I igh i :
Device 360/client 360: Vie de ice c ie c ec i i , hich

i c de i f ai g , h gh , a d ae c f
diffe e i e a d diffe e a ica i .
Net ork time travel: Abi i g bac i i e a d ee he ca e f
a e i e
Application e perience: P ide a a e ed i ibi i a d
ef a ce c he a ica i c i ica c eb i e
a e- e ba i .
Net ork anal tics: P ide ec e ded c ec i e ac i f
ide ified i e i he e . The e ac i ca i e g ided
e edia i , he e he e gi e ecifie e f a e
ad i i a ef .
Centrali ed Polic Management

T dea i h he be a cia ed ih a agi g he e e ia g h
i he be f e d i c ec i g he e , e eed de ig a
i ha i eg a e B i g Y O De ice (BYOD) ca abi i ie . G ba
e eed be ab e b id a e f ec i icie ha a he g be b
a e ea a age a d aga e.
We e he e be i h Ci c DNA Ce e i eg a ed i h Ide i
Se ice E gi e (ISE), b h f hich a e f da i a ee e f a Ci c
SD-Acce e . Wi hi he e , e e ab e ec e b a di g f
e d i i g Ci c SD-Acce a d ISE, i i i g a edi ec a M bi e
De ice Ma age (MDM). O ce he e d i i b a ded a ia e , i
i ha e a he ec i icie , ec i c ie , a d ig a e a chi g
he ga i a i ec i icie . Wi h Ci c SD-Acce , e ca e f ce
c ia ce i h he ec i ic ba ed ea e e .
O ce de ice a e a h i ed he e , e ca ca ab e bed a
ec i ag ba ed he a h i ed e i a da a ec i ic ha
i e d- -e d e f ced a he e i he e .
Whe e hi g ba , Ci c DNA Ce e ef ca abi i fa h i g

ic i ec e a d he ab bi g ha i e Ci c DNA Ce e
c e a d he d a f he a e icie be aga ed
g ba . Thi a f e ib b i d a ic ha a e e e a d
i a e ca e ac he e i e g ba e e i e.
Fi a , f a b e ai e ec i e, i h Ci c DNA Ce e a d Ci c
SD-Acce , e ca e a a e g i e ac i i h Sec i G P ic
A a ic . Sec i G P ic A a ic i a Ci c DNA Ce e a ica i
ha a de e i e hich e /de ice a e i e ac i g i hi he
e , a he e i he d. If ice beha i ha be
i edia e c ec ed, ca b id a c ac i Ci c DNA Ce e a d
de i g ba i a a e f i e .
High Sensitivit to Qualit of Service (QoS)

Fi a cia ga i a i ha e i ge a ica i e ice e e ag ee e ,
hich affec hei a ica i a ai abi i . A a d Q S-di a a e e
ca ead a ica i e e ie ce a d c e e i ac eai
a d adi g f , hich a e high e ii e de a .
Ci c DNA Ce e ha aj ad a ce e hich he a ge a d g ba
fi a cia ga i a i a age a d ca e a ica i icie f
de e . Whe b i di g he Ci c SD-Acce Fab ic, e ca de a
ie ed Ci c - ec e ded C i ed Q S ic b h he i ed a d
i ee i fa c e . Thi A ica i P ic e he DiffSe de ,
he e a ica i a e ca eg i ed i a ica i e a d a e di ided i
B i e Re e a ce ba ed ad i i a efe e ce.
Ci c DNA Ce e ad a ce e i C e -Ba ed A ica i

Rec g i i ii e he NBAR 2.0 Dee Pac e I ec i (DPI) ca abi i ie
ha a e i i ed f E d i A a ic a d a f a ica i be
ea ed b Ci c DNA Ce e di ec f ac e i Ta i ac he
e . Thi a f ea e ea i g f a ica i f Ci c
NBAR2.0 C d, Mic f 0365, a d I f b . The a ica i ' F
Q a ified D ai Na e (FQDN) a d URL i f ai ca be ea ed a d
ed da e a ica i e i hi Q S P icie . Thi a f he
i edia e de e f h ea ica i icie a ca e a he e i he
e .
Ci c DNA Ce e a ca ga he ee e ba ed h h e
A ica i P icie a e e a i g, hich a f ad i i a i e e i
dif a d ede icie a ca e ac he e . The abi i
ee h a a ica i e a e i c cia de a di g he e
e e ie ce a d i g i e bef e bei g ified b a e d e . Thi
g e a g a e e ha e ha e a eh d f i g ea i e
i ce ce.
La , a a a ica i affic i c ec ca ified a d a ed b

A ica i Q S icie , e ca he dea i h he a ia e b a
de ice e d- -e d i he e , ac he WAN, i a SD-WAN c d,
e e i he da a ce e .
Acquisitions Integration
A i a he i d , fi a cia ga i a i e ge a d ac i ii
cc f i e i e. O e f he be efi f Ci c SD-Acce i he
abi i dea i h he e i e e i g cha e ge ea e . Thi a f
e gi g ga i a i i eg a e a d i i e ed da eai .
O ce he B i e - -B i e (B2B) c ec i i e ab ed, e gi g he
e ca begi . The i eg a i f Ci c DNA Ce e a d Ci c ISE
e ab e he i eg a i f a h i ai ac he Ci c SD-Acce Fab ic
f e ide f he e he he . B c ec i g ISE a f eig
Ac i e Di ec e i e , e ca c ec di ec
a he ica i b a d c ie f he e e ged e . Thi
a f he a ica i f SGT f e d e d, hich a f he
a ica i f a ea e e d- -e d ec i ic .
I i ia , he e -ac i ed/ e - e ged ga i a i ' e d i a be

a a ica aced i a Vi a Ne i hi Ci c SD-Acce a d
e f ce e c fig ed ii e G id i eg a i i h fi e a ha ca
e f ce icie .
Figure 7.8: Cisco SD-Access La er 2 Fabric for Merger and Acquisition
A he ac i ii ge e , ea d e i eg a i ca be e e aged,
a i gf he ge i f cha ge f e hi fa e a d he
c ee b a di g f he e -ac i ed/ e - e ged ga i a i .
I i ia , e ca de a Ci c SD-Acce Fab ic a a La e 2 Fab ic Si e
a da f he ce a b a di g f c ie i hi he Fab ic Si e. Th e
c ie d he e a ga e a h ed a G id-i eg a ed fi e a
hich d be i i ia e ib e f affic i ec i . A c fide ce
i e a d he ac i ii c i e , he c ie e d i f he e
ac i ed ga i a i i be b a ded e i hi he ga i a i
e .
Deplo ment Options
Ci c SD-Acce ide f e ibi i de i e Fab ic Si e

i ec ec ed i h SD-Acce Ta i IP T a i . I di id a Fab ic
Si e i e i ba ed e ea e ic , i c di g:
Fab ic Si e c ie c ca e
Fab ic Si e de ice c
N be f IP Add e P
Vi a Ne
Sec i G
Sec i G P icie
High-A ai abi i /Red da c e ie e
The i e f hi e ica i de ig a d i e ie ih ie
i abi i a d e d- -e d ac - eg e a i a d ic -
eg e a i ihc i e ic ac he e e i e.
Maj Fab ic Si e de :
Ve S a Si e (Fab ic i a B )
S a Si e
Medi Si e
La ge Si e
Ver Small Site
Figure 7.9: Ver Small Site design
e d i a d 40 AP . F Fab ic i a B de e , SD-Acce
E bedded Wi e e ide i e- ca WLC f c i a i . The i e a
c ai a ISE PSN de e di g he WAN/I e e ci c i a d a e c .
Small Site
Figure 7.10: Small Site design

ii g c e , a 4,000 a d 100 AP . The b de f c i i
c ca ed i h he c a ef ci e de ice a d a
e e bedded i ee i h he i f ha d a e WLC .
The h ica e i a a T -Tie C a ed C e/Di ib i ih

a Acce La e e ici g e e a i i g c e . Ra he ha c ca i g a
e i e de ice, he S a Si e Refe e ce M de ide added
e i ie c , ed da c , a d a e ig ifica be f e d i b
e a a i g he Edge N de e dedica ed de ice i he Acce La e .
The B de N de a d C P a e N de a e c ca ed i he C a ed
C e La e . F SD-Acce Wi e e , he e bedded WLC i i i ed
he C ca ed B de N de a d C P a e N de. O i a , a i a-
ha d a e-ba ed WLC i ed.
Medium Site
Figure 7.11: Medium Site design
The Medi Si e Refe e ce M de a c e a b i di g ih i e

ii g c e i h a h ica g c i i g f a T -Tie C a ed
C e/Di ib i i h a Acce La e .

ha 2,000 AP . The B de N de f ci i c ca ed i h he C
P a e N de f c i e de ice a high - e i ie i ge
de ice, a d a e aae i ee c e i idea de ed i a HA
c fig a i .
Large Site
Figure 7.12: Large Site design
The La ge Si e Refe e ce M de c e i e b i di g a b i di g ih
i e ii gc e . The h ica e i a Th ee-Tie i h C e,
Di ib i , a d Acce La e . I a e e c ai a ed S e C e
ha agg ega e e b i di g a d e e a he e eg e i
he WAN a d I e e . The B de a d C P a e N de f ci ae
i i ed e a a e de ice a he ha c ca i g.
The La ge Si e 100,000 e d i a d 6,000 AP . The b de

i di ib ed i g ed da de ice f he c a ef ci ,a da
e aae i ee c e i i a HA c fig a i .
Summar
The ai IT g a f Fi a cia ga i a i i ide a i a ea d

de i ed b i e c e e h gh i d - eadi g ech gie
ch a Ci c SD-Acce . We ha e ee d i g hi cha e h SD-
Acce ide a i a e a d de i ed b i e c e hi e
idi g ec i , f e ibi i , a d e i ie c i aa e b i g e ca e
i h ea e.
I hi cha e , e de a ed h Ci c SD-Acce e he
cha e ge faced b ga i a i i he Fi a cia e ica . Y ea ed h
ca ec e b ad e de ice , e , a d e d i . We
h ed h e c e hi e e e i g ec i g
i f ai ac g ba ie ia WAN I f a c e. We a
de a ed h he a ai , che ai ,a da a ce ca abi i ie
f Ci c SD-Acce a d Ci c DNA Ce e ca e e IT aff
g ba e ,e e he affi g i ea . A f he e e e if he bea
f f a e-defi ed a chi ec ea dc e -ba ed e i g.
Migration to Cisco
SD-Access
226 Mig a i Ci c SD-Acce
Af e eadi g a f he e i cha e hea i g ab Ci c SD-

Acce i diffe e f , ae c i ced ha hi i he igh
i f e i e . S , he e i edia e e i i , H ca
I ig a e e Ci c SD-Acce ? Wha ig a i i d I
ha e? We , ha e c e he igh cha e i hi b . Thi cha e
f c e e e ig a i a d a he ce a i . Thi
cha e d e f c h i a a d c fig e Ci c DNA Ce e ,
e e hie a ch , e e i e , di c e i che ,
i eg a i f Ci c DNA Ce e i h Ci c Ide i Se ice E gi e (ISE).
I he ca e f a e i i g Ci c ISE i a ai , e ec e d ha e
a e ISE ig a e Ci c SD-Acce . Wh a e ISE? The i eg a i
i h Ci c DNA Ce e igh eed a f ae e i g ade a d igh
i ac he icie i he e i i g e . O ce he e i e e i
ig a ed Ci c SD-Acce , ca dec i i he e i i g
i a ai a d a e he e e he i a ISE i a ce.
Mig a i Ci c SD-Acce 227
Considerations
We i a ff i h a C ide a i ec i ih e f he i e hi g
ha a e ch.
Selecting A Great Start

The e ca be di ided i diffe e i f a i /c i ica i
fac . I d ci g a e ech g i he e ha i cha e ge . I
h d be d ei a a e ha e i a ha d ii ee e ie ce
f a i ed, i c di g he e d e . The i e a ach i a
a i g he ig a i i a a , -i / -c i ica (IT-f ie d if
ib e) a f he e hi e c ea i g a ahf he e d e fa
bac if be a i e. F e a e, if a ig a e a hea hca e
faci i a fac i h a ca e ed a f he e , a i h he
a ie c i ic i he f e ca e he - ea - i e ad i i a i e a ea
i he a e ce a i . Thi i gi e he igh e e ie ce ig a e he
e f c i ica e i fa c e.
Approaches to Migration
Le a he a ache ig a i .
Table 1: Comparison between Parallel and Incremental Approach
Parallel Incremental
Be f B a ch ( a ca e)
Be f Ca (a i e)
de e
Re i e cab e c ea e a e Re ie ac e f cab e f e acce

aa e e a d di ib i i che
P e a d e f he a a e
I ce e a e a d e e ie e
e
Legac ha d a e i e i i g e Legac ha d a e i e i i g e
U g ade f he e
U g ade f he e i fa c e
i fa c e
C ea a e ( ea i g behi d a Wi eed ca f a d he c ai f he
c e i i he d de ig ) d de ig i he U de a
Te e i ac ee e
Te ff ci ai i a ia
e
Ea R bac f ig a ed e Ea R bac f ig a ed e
Parallel Approach
Wi h he Pa a e A ach, b i d he e e a g ide he e i i g
e . Be efi hi a ach i c de:
Y ca ig e he c e i ie f he e i i g e
Y ca g ade he e i e e ih e ha d a e a d b i d he
i ea i i g he f e ca abi i ie
Y d ha e dea iha i e f da d e ha d a e a d
f a e, hich ca f e f ce a a f he e ca abi i ie
a i e e i e .
Y ca e e ca e i a e i e e e bef e ig a i g
he e
Y ca bac he e i he d e i e if a i e
cc i he e e
Whi e he Pa a e A ach ha a a ea i g be efi , he e i e

g cha ha c ide . Y i e ia eed a f e La e
1 i.e., ace, e , c i g, cab e a aa e i a ai .
Thi a ach igh a a ge Ca Ne ih a f
b i di g a i g e b i di g iha ff . De e di g he i a i ,
igh be ab e e hi a ach i a a b a ch- e e
he e he e a e a ai ab e La e 1 e ce e ec e hi .
Incremental Approach
A I ce e a A ach i a a ach he e a a a d he
i c ea e he f i f he e i i hi e i i g e . I hi
ca e, a Tab e 1 h , d e iea f e La e 1 e ce .
H e e, i e i h he c e i ie f he d e a d
ei e eae i a i ed e i e f diffe e ha d a e a d
f a e ca abi i ie . Wi h hi a ach, e e ca e i a i f d
a d e e i e a d e bac he d e if be
cc .
Ma imum Transmission Unit

(MTU)
Figure 8.1: IP Packet of 1500 b tes + 50 b tes of VXLAN Encapsulation
A he e de ice e e , he i a hi g c ide i MTU (Ma i

Ta i i U i) f Fab ic N de b a f a he
de ice e hich Fab ic affic be a i ed. Ci c SD-Acce
e a VXLAN (Vi a eX e ib e L ca A ea Ne ) e ca ai f a
da a affic, addi g a addi i a 50 b e he ac e .
A a i i , de ice ca i g SD-Acce VXLAN-e ca a ed da a affic

h d a MTU a ge e gh acc da e he e a 50 b e .
Ci c g ec e d e ab i g s stem mt 9100 he Ci c Ca a
9000 Se ie i che acc da e a ce a i .
The e a e ce a i he e he U de a e d e e ha
1500-b e ac e f e a e, if he Fab ic Si e a e c ec ed ia a
Ci c SD-Acce Ta i e a WAN ha d e e ha
1500-b e ac e . I he e ca e , TCP MSS (T a i i C P c
Ma i Seg e Si e) ca be ecified c ai he ac e i e,
c ide i g he VXLAN heade ' e ca ai e head. The be ac ice

ec e ded a e f e i g MSS i 1250 b e .
TCP MSS i c fig ed a he e d i -faci g SVI (S i ched Vi a

I e face ) R ed VLAN i e face (Vi a L ca A ea Ne ) a
Edge N de . H e e , hi eh d TCP a ica i a d
a he a ica i .
Underla Transformation into

Routed Access
La e 2 Acce de ig a e he c e de ig ac a
i d e ica . T adi i a , he La e 2 Acce de ig ha ided he
f e ibi i f b e a ai abi i ac he e , e ab i g g-a d-
a i ici . H e e , La e 2 Acce de ig e hea i S a i g
T ee P c (STP) f e e i . Ne ea a a i e i fea f
a e e d ca ed b STP d e a i c fig a i i e
c ec i , a d STP ha f de a - e ii ea ica i , ch
a ice affic, d i g a fai e.
Figure 8.2: Diagram shows a La er 2 Access Underla transformed to Routed Access
The Fab ic ide he be f b h d g-a d- a c ec i

ca abi i e a ab e, e iab e R ed Acce U de a e . He ce, i
i a da ha he U de a acce de ig be c e ed f La e 2
Acce aR ed Acce de ig .
Support for Different Topologies
We ac edge ha Ca Ne gie a e dic a ed b he

h ica c e f b i di g a d he ce ha e c ai i de ig . I
ca e , Ca Ne a e ei he a da d Th ee-Tie T -Tie
e . I a Th ee-Tie de ig , he Acce La e i ch c ec a
Di ib i La e i ch ha he c ec a C e La e i ch. I a
T -Tie de ig , he Acce La e i ch c ec a C a ed
Di ib i /C e La e i ch.
I e ca e , he de ig c d be a a g he e he Acce La e
i ch c ec he Di ib i i ch C a ed Di ib i /C e
i ch a d he Acce La e i che . I he ca e , he Acce La e
i che igh be dai -chai ed each he , he e igh be a
c ac i che c ec ed he Acce La e i che .
Rega d e f he g , Ci c SD-Acce i ed a fa a he
U de a i R ed Acce a d each e e e i IP eachab e he Ci c
DNA Ce e , he he Fab ic N de , a d he Wi e e LAN C e
(WLC) i ha i e. If he g a b i ba ed a Ci c Va ida ed
De ig d c e , he e h d be fe c ce ega di g he g .
IP Addressing in the Underla

and Overla
Figure 8.3: Different IP addressing schema for Underla and Overla
Ci c high ec e d a i g f a diffe e IP che a be ed i

U de a a d O e a e . Whi e hi i a da , i i ce ai a
be ac ice. The i a ce f ha i g e aae che a i he IP
add e i g i e ecia ea i ed he be h i g be i he
diffe e e a ea . Ha i g he a e IP add e i g che a d ge
c f i g, a d igh be h he U de a i ad e e he he e
i a b e i he O e a .
Movement of Feature
Application
Figure 8.4: Movement in point of application of features
I a La e 2 Acce de ig , he La e 3 b da i ica a he
Di ib i La e a d i he e a he fea e a d icie a e a ied.
Wi hi a SD-Acce Fab ic e , he U de a a f i aR ed
Acce de ig i h he La e 3 b da a he Acce La e . I he Fab ic
e , e fea e ch a Q a i f Se ice (Q S), Ne F , a d IP
Acce Li (ACL ) a e a ied a he Acce La e , hi e e fea e
ch a P ic -Ba ed R i g (PBR) Web-Cache C P c (WCCP)
a e a ied a he eg e i e face f he Fab ic B de N de.
Migrating a La er 2 Access
Network with New Subnets
Figure 8.5: La er 2 Access with La er 3 boundar at each Distribution block
C ide a Ca Ne iha ica La e 2 acce de ig , he e he

La e 3 b da i a each di ib i . A VLAN a be each
di ib i b c i hi e f e , a ee i Fig e 8.5. Thi ec i
f c e h a a i c e e a ig a i Ci c SD-Acce i hi
e f e de ig i g e IP b e .
The ea h e a i h e IP b e ae c e i g. O e f he
ad a age f ha i g a Fab ic e i h A ca Ga e a i ha a
a e be f a ge b e ca be ed c a ed a adi i a
e ha e a a ge be f a e b e .
The adi i a be ac ice f de ig i g IP b e i de ig i g /24

b e a id a ge b adca d ai . I he Fab ic, b adca ae
di ab ed b defa a d a e i i ed each Edge N de. O e ca afe
ha e a /16 a /20 b e i he e i h b adca di ab ed. Thi a
i e efficie c i i i i g DHCP (D a ic H C fig a i P c )
c e a d e f e d i a e ab e cha gi g IP add e e ia
DHCP.
The high- e e c ce f he ig a i ce ca be ee i Fig e 8.6.
Figure 8.6: High-level conceptual view of migration with new IP subnets
We a a Ne S b e ig a i b i d ci g a e Acce i ch i he
e . Thi i a he e f a Edge N de a d i be c ec ed ia
R ed Acce i each f he e i i g di ib i i che , a h
i Fig e 8.7. Thi f he i g e i he Fab ic f a e d i
e ec i e.
Figure 8.7: Connect a new switch in the Access La er with a Routed Access design
We eed a C P a e N de a d a B de N de f ci a he O e a
c a ef he Fab ic a d e i i , e ec i e . Thi N de ca ei he
be a e N de he c a e a d Fab ic b de f c i a i ca be
added a e i i g C e if he ha d a e/ f ae af he
f ci .
C fig e a e VN (Vi a Ne ) i h he e IP b e he e
N de . A IP ha d ff f hi Vi a Ne be c fig ed f he
B de N de he ea La e 3-ca ab e Pee De ice (F i ). Thi
Pee De ice (F i ) ca be a La e 3-ca ab e i ch, e, fi e a .
Y ha e effec i e b i a Fab ic ih j i che f he
e i i g e a hi age. The c ica i ha e be ee
e d i i he e Fab ic a d h e i he e i i g e ia he IP
ha d ff a he b de .
A a f hi e a e ig a i , e a e a he c ide a i i e MTU
ha e bee a ied i he e i i g e a he a e a e e i i e bef e
a i g he ce .
A g ih c fig i g he e i ch ih he a a age e
a a e e i e Ne Ti e P c (NTP), Si e Ne Ma age e
P c (SNMP), a d acce VTY/C e i e ,d f ge c fig e
he e MTU 9100 b e . Y i a eed c fig e a L bac 0
i e face a hi i he efe ed a age e i e face f hi i ch b
Ci c DNA Ce e . The L bac 0 i e face a ac a he R i g L ca
(RLOC) f he VXLAN e ca ai .
F he C P a e N de a d B de N de, a e i e i ed,
ca add he f c i a i f he C e f c i ai if he a f
i.F e a e, if C e-2 i Fig e 8.9 i c fig ed i h he added
Fab ic e f ci a i ie , i i ide C e ed da c he e i i g
e .I he d , C e ed da c i b c fig i g C e-2
a aC P a e N de a d B de N de.
Figure 8.8: Alternate method of connecting Control Plane Node and Border Nodes to
e isting network
If he C e af d e Fab ic f ci ai , if he efe e ce
i ha he C e i dified, a he i ch ca be c ec ed he
e i i g C e a d ca be c fig ed i h he Fab ic f ci a i ie , a ee
i Fig e 8.8. I hi ca e, affic f he Edge N de he e e a

e i i g e i be hai i i g. Thi i a big i e i ce i i di ec
c ec ed i che high eed, high ba d id h E he e he
Ca a d beca ei i a a Fab ic a hi i .
F i ici ' a e, e a e ha he e i i g C e-2 Fab ic

f c i ai a d i c fig ed a a C P a e N de a d B de N de.
The e he i e Fig e 8.9.
Figure 8.9: Fabric network on top of e isting network
C fig e a IP T a i ha d ff f he B de N de, C e-2, he Pee

De ice (F i ) ad e i e he Fab ic O e a VN a d he GRT ide he
Fab ic. The affic be ee e i i g e d i a d e d i i he Fab ic
i a e ea h Fig e 8.10.
Figure 8.10: Communication between endpoints in Fabric and e isting network
A hi i , ca a ica a ig he c ie i e face he Edge N de

he e ec i e VLAN a . Thi i a e a aec ec i i
a d ef a ce ih dea i g i h 802.1X a he ica i . If a ead
ha e a i ed 802.1X i f a c ei ace, ca a i i e ha a a
f he fi d f ig a i e .
Y a e ead e e f e i i g Acce i che he Edge

N de a d a e c ec i i a d ef a ce. If e e hi g g d
a d he e a e i e , ef a i g ig a i b c fig i g a he
Acce i ch a a Edge N de a i g ihR ed Acce c ec i i
he Di ib i a d f i g he a e e a e b a d he fi
Edge N de.
Figure 8.11: Rolling migration increasing Fabric footprint in the network
Y ca add he C P a e N de a d B de N de f c i C e-1
f ed da c e a e ,a h i Fig e 8.11.
Figure 8.12: Rolling migration of Edge Node
O ce c e e he a Acce i ch i he Fab ic ig a i , ca
c ea c fig a i i he i e edia e i che i he e a dC e
i che . Y i ha e a f Fab ic-e ab ed i f a c e, a h
i Fig e 8.12.
Migrating a La er 2 Access with

E isting Subnets with Edge
Node at Distribution
I hi ec i , e i e ie he a ai ab e i f ig a i g a e i i g
La e 2 Acce e ih e i i g b e i Ci c SD-Acce .
Mig a i ee i g he e i i g b e a d, i hi ca e, he e i i g
Acce i che a e a i e ic .
The fi i i f e ab e he Fab ic a he Di ib i La e
i ead f he Acce La e . The ea f d i g hi a e:
The Acce La e i c a ib e i h Fab ic f ci ai

The Acce La e a d e d i de ea h i a e e ii e a ge
cha ge
Q ic i f he IT ea ge Fab ic eg e a i g i g i he
e
Figure 8.13: Sample La er 2 Access network design
C ide he a e La e 2 Acce a h i Fig e 8.13.

VLAN10 (10.1.1.0/24), a d VLAN20 (10.1.2.0/24) ha e La e 3 b da ie
SVI10 a d SVI20, e ec i e , he Di ib i La e , a h .A e
ha he B de N de a d C P a e N de a e a ead b i C e-1
a d C e-2. F hi e a e, e ed he a e g ide i e de e i e
B de N de a d C P a e N de ace e a e ed i he e i
ec i .
O ce he Di ib i i che ha e bee di c e ed i Ci c DNA Ce e ,

begi ih h i gd SVI10 a d SVI20 he Di ib i i che .
Ne , c e he i be ee Di -1 a d Di -2 a La e 3 i
i g he I e i Ga e a P c (IGP) f he e i i g e .
C fig e Di -1 a a Edge N de. U e he C VLAN fea e i hi he
Ci c DNA Ce e f c fig e VLAN10 a d VLAN20 a he
b e i he O e a Vi a Ne .
Fig e 8.14 h ha he e h d i e a hi i .
Figure 8.14: Initial steps for migration
The ed da c a Di -1, hich i he Edge N de, i ided b i -

e ed da c i i e a d a Ci c Ca a 9400 Se ie
cha i i h ed da e i , Ci c Ca a 9500 Se ie i che
i h Ci c S ac Wi e Vi a (SWV), Ci c Ca a 9300 Se ie i che
i h Ci c S ac Wi e ac .
The Ci c Ca a 9000 Se ie i che (9300 ad ) a ca e f

16,000 e d i (IP 4). Thi i a a ge e gh be b adf /20
i e b e , eigh /21 i e b e , e i g i a a f 16,000 h
f he d ea e .
If a ad-ba a ce a d i c ea e he ca e f e d i bei g
b a ded i he Fab ic b hi eh d a d a c i e i h he
ig a i , c fig e DIST-2 a he ec d Edge N de a d ceed ih
ad-ba a ci g VLAN10 a d VLAN20 a h i Fig e 8.15.
Figure 8.15: Load-balance of VLANs
P ea e e e ha VLAN i i-h ed i diffe e Edge N de

f he Acce La e i che . A ee i Fig e 8.15, VLAN10 e i a e
Di -1, a d VLAN20 e i ae Di -2.
I hi ca e, he Fab ic eg e a i i a f he Di ib i
La e , a d Ea -We affic be he Di ib i La e i c ed b he
Acce La e i che . The ic - eg e a i e f ce e i i he
Edge N de a he Di ib i La e .
T ceed i h he ig a i ,c fig e e f he Acce La e i che

ih ed i ea he Di ib i La e i che a d he
c e i i a Edge N de. P ceed ih a i g ig a i f Acce
La e i che a h i Fig e 8.16.
Figure 8.16: Rolling migration of Access switches
O ce a Acce La e i che a e c fig ed a Edge N de , e e he

Edge N de f c i f he Di ib i La e i che a d c e he
a I e edia e N de c e e he ig a i .
Figure 8.17: Remove Edge Node functionalit from the Distribution La er
If ha e a ec d b i di g, e ea he a e e i B i di g #2
c e e he e i e Ca ig a i Ci c SD-Acce , a h i
Fig e 8.18.
Figure 8.18: End state of Campus migrated to Cisco SD-Access

Migrating La er 2 Access using

La er 2 Handoff
Le a he he a ach f ig a i i g he e i i g b e
che a a d a La e 2 Ha d ff. I hi a ach, ha e a ce a i ih
he a e b e i ide a d ide he Fab ic. T hi , i ea
La e 2 Ha d ff a B de N de c ec he La e 2 e i ide he
Fab ic i h he La e 2 e ide he Fab ic. C ide he ce a i
h i Fig e 8.19.
Figure 8.19: Sample La er 2 Access design with La er 3 boundar at the Core
A ee i Fig e 8.19, he La e 3 B da i a he e ' c e. I hi

e f e , he VLAN a he e i e Ca a h .
We a hi ig a i b i d ci g a e Acce i ch i he e .
Thi i a he e f a Edge N de a d i be c ec ed ia R ed
Acce i each e i i g Di ib i i ch. Thi f he i g e i
he Fab ic f a e d i e ec i e.
Y i eed c fig e a ed a h i hi he La e 2 acce e

ea f hi e Acce i ch he La e 3 b da he C e
La e . The C e eed e ac e be ee he L bac 0 i e face,
he R ed Acce i e face f hi e i ch, a d he a age e
i fa c e ea f hi e i e Ca Ne . The b e ed i
he e i - - i VLAN ca a e be e- ed ce ha i ca be
c e ed a La e 3 ed i achie e R ed Acce i he U de a .
We eed he C P a e N de a d B de N de f c i a he Fab ic
O e a c a ea de i i , e ec i e . Thi N de ca ei he be a
e N de he C P a e N de a d B de N de f c i ai ca be
added a e i i g C e if he ha d a e/ f a e a f he
f ci .
Figure 8.20: High-level concept of migration with switching between e isting IP scopes
C fig e a e Vi a Ne i h he e i i g IP b e he e
N de . A La e 3 IP T a i ha d ff f hi Vi a Ne be
c fig ed f he B de N de he ea Pee De ice (F i ). Thi
Pee De ice (F i ) ca be a La e 3-ca ab e i ch, e, fi e a .
Y i a eed c fig e a La e 2 Ha d ff he B de N de
e i i g La e 2 d ai . Thi e e ha c ica i
be ee he a e b e i he e i i g e i i ched ia he La e 2
Ha d ff a he b de . A hi age, ha e effec i e b i a Fab ic ih
j i che f he e i i g e . The c ica i
ha e be ee e d i i he e Fab ic a d h e i he e i i g
e ia he IP Ha d ff a he b de .
Figure 8.21: Sample network with VLAN10
C ide he e h i Fig e 8.20. E i i g b e 10.1.1.0/24

(VLAN 10) i e i a ed a La e 3 b SVI10 a he C e-1 a d C e-2
i che hich a e a ead c fig ed ihC P a e N de a d B de
N de f c i a i .
I e a e i ch (Edge-3) a d de a e he ece a e di c e
i ia Ci c DNA Ce e . C fig e he Edge N de f ci ai Edge-3
a d e a diffe e VLAN be f he a e e i i g IP b e
10.1.1.0/24. I he e a e i Fig e 8.21, e ee ha he 10.1.1.0/24
b e e VLAN1021 he Edge N de i h a La e 2 VNID f 8188. The

La e 2 VNID i a a ica a ig ed he b e 10.1.1.0/24 i added
he Vi a Ne .
Figure 8.22: Initial steps to begin migration to Cisco SD-Access
Ne , e e SVI10 C e-1 a d C e-2. C fig e a La e 2 Ha d ff

C e-2, a i g b e 10.1.1.0/24 VLAN10. Thi i ace SVI10 i he
c ec Vi a Ne C e-2 a d i e a a La e 2 VNID 8188
VLAN10 i he c fig a i .
The ed da c a C e-2, hich i a ac i g a a Edge N de f

c ie ide he Fab ic Si e, i ided b i - e ed da c i
ch a a d a Ci c Ca a 9400/9600 Se ie cha i i h ed da
e i Ci c Ca a 9500 Se ie i che i h Ci c S ac Wi e
Vi a .
The Ci c Ca a 9000 Se ie i che (9300 ad ) a ca e f

a ea 16,000 e d i (IP 4). Thi i a a ge e gh be b ad
f /20 i e b e eigh /21 i e b e e i gi a a f 16,000

h f he La e 2 Ha d ff.
Re-c fig e a e i i g acce i ch f R ed Acce a d ef

i g ig a i he Acce i che a i ed ea ie , i g he
e d i a he Edge N de a e c fig ed.
Figure 8.23: Rolling migration of Access switches to Edge Nodes with routed links
A he a f he Acce i che a e ig a ed Ci c SD-Acce ,

ca e e he La e 2 Ha d ff f C e-2 c e e he ig a i f
he Ca Ne a h i Fig e 8.24.
Figure 8.24: End state of the network migrated to Cisco SD-Access

Migrating E isting Routed

Access Deplo ments
R ed Acce b fie d e a e ea ie ig a e ha La e 2
Acce de ig .A , ca ig a e i h e i i g b e e b e
ea i .
C ide he a e e g i Fig e 8.25, he e VLAN10 i

10.1.1.0/2 a d VLAN20 i 10.1.2.0/24.
Figure 8.25: Sample Routed Access topolog
I he g h i Fig e 8.25, ca a VLAN ac he

Acce La e , he ce VLAN10 i ca i ed a Acce -1 a d VLAN20 i
ca i ed a Acce -2, e ec i e . Y ca begi he ig a i b
di c e i g he i che i Ci c DNA Ce e a d i g he Fab ic f

begi c fig i g Fab ic ca abi i ie he i che .
Bef e begi he addi i f he Edge N de ca abi i Acce -1, h

d he e i i g SVI10 he i ch. P ceed i h c fig i g Acce -1
a a Edge N de a d C e-1 a he C P a e N de a d B de N de a
h i Fig e 8.26.
Figure 8.26: Initial steps in migrating Routed Access design
C fig e he a e e i i g b e i g a diffe e VLAN ID he Edge

N de. F e a e, i Fig e 8.26, e ee ha b e 10.1.1.0/24
a VLAN110, i ead f VLAN10. S a ica a ca e he e c ie
VLAN110 e he c ie i he Fab ic a d e f c ec i i . If
e e ie ce i e , ca e he e bac VLAN10 b a i g
he c ie VLAN 10 a d - h i g SVI10. Whe ha e
cce f c e ed he ig a i f he e VLAN 110, ca
e e SVI10.
Figure 8.27: End state of the migrated network
C fig e he C P a e N de a d B de N de f ci ai C e-2
a d e ab e Edge N de f c i ai Acce -2. Re ea he a e e f
addi g b e 10.1.2.0/24 he Fab ic a did f b e 10.1.1.0/24,
adj i g he VLAN i f ai acc di g . Y i ee VLAN110 a d
VLAN120 b h he Acce i che a fea e c d ge i
adi i a R ed Acce e .
Integrating Cisco Wireless in

Cisco SD-Access Networks
Figure 8.28: Sample wireless network
C ide he a e e f b i di g i g Ci c ce a i ed
i ee ih a e i i g WLC ca ed he ca , a h i Fig e
8.28. The a i i ha he e i e ie e f ea e a i g
be ee he b i di g . The i ee i eg a i i e ea e a i g
d ai . The Acce P i (AP ) c ec ed he Acce i che b i d
C a dP i i i g f Wi e e Acce P i (CAPWAP) e he
ce a i ed WLC e hich a i ee a age e , c , a d da a
affic f ,a h b he g a a f he AP he WLC.
Figure 8.29: Centrali ed wireless over a wired Fabric network
The fi e i eg a i g i ee i Ci c SD-Acce Fab ic i c ea e

a i ed Fab ic he e i i g e U de a i B i di g 2. Y ca i
e a e a ce a i ed i e e e f he Fab ic, a h i
Fig e 8.29. The e i i i a i ac e i i g i ee e a
ig a e he i ed i f he e i he Fab ic.
Ci c ec e d a e a a e WLC be ed i eg a e i e e i he
Fab ic i B i di g 2. Thi i h a he b e WLC i Fig e 8.30. Thi
ec e da i i beca e ed a i ac e i i g i ee
he h e Ca , a a e Fab ic igh i e f ae e i
cha ge e e a ha d a e ef e h. Ha i g a e WLC c ai he
i ac d ai j B i di g 2 a d he h e Ca .H e e , if
ca de f a e WLC, ca i eg a e he e i i g WLC i he
Fab ic i g Ci c DNA Ce e f . F Fab ic Si e , c ea e
e SSID ha i be a f he Fab ic e , hi e he de SSID i
c i e e ice he -Fab ic i f he e .
O ce di c e he WLC ia Ci c DNA Ce e , ca i eg a e i i
he Fab ic i B i di g 2. Y ca c fig e he a e SSID b h he e
SD-Acce WLC a d he e i i g egac WLC. Y ca a c fig e he
a e RF g , AP i he B i di g 2 i e e e ae ee a
g e AP i he e i i g WLC a d ice e a. The e i ea

c fig e he WLC i he a e bi i g beca e he e i
ea e a i g ed be ee ce a i ed i e e a d SD-Acce
Wi e e da .
The e e i he ig a i i ched e a ai e a ce i d a d
cha ge he i a egac WLC he SD-Acce WLC i he c fig a i
f AP i B i di g 2. The AP i B i di g 2 cha ge hei a cia i he
SD-Acce WLC. U j i i g he SD-Acce WLC, he AP i d ad
he c de f Fab ic a d i bec e Fab ic-e ab ed AP . The SSID
he e AP ae ca i ched ia VXLAN CAPWAP a e
c fig a i . I Fig e 8.30, ca ee ha he da a a e f he i e e
e e i a e a he Edge N de hi e he CAPWAP e ca ie he
a age e a dc a e affic f he i ee e ce a bac
he SD-Acce WLC.
Figure 8.30: Inter-operation of Integrated and Centrali ed wireless in Campus

T c e e he i eg a i , c e he B i di g 1 i ed e Ci c
SD-Acce Fab ic a d e ea he a e e i eg a e he AP i he
SD-Acce WLC. I hi a , i achie e f i e e i eg a i f he
Ca .
What Ne t?
T fa i ia i e ef i h he Ci c SD-Acce i , e ec e d
e i g a a ab a P f f C ce (P C) i e ih a
c e f Edge N de a d a c e f C P a e N de a d B de
N de . G h gh he i fc fig i g a Fab ic i Ci c DNA Ce e
b i i i g he Fab ic f ,a d a e e ge fa i ia i h Ci c ISE
f ic - eg e a i . Pa f he b de ha d ff i eg a e he P C
i he e i i g e .
A , i ce hi g beha e a i e bi diffe e f a b adca e ec i e

i he Fab ic c a ed adi i a La e 2 Acce ,i i e e ia e
a e d i i he P C e a d e he i he Fab ic. U e he
P Ca a e i gg d e a he e d i i he e a d c fi
he beha e a e ec ed i he Fab ic e bef e g i g d ci .
Fig e 8.31 h h c ec he P C he e i i g e .
Figure 8.31: Connect PoC network to e isting network

Y c d c ec he b de di ec he i che i he e i i g
e , b ha i ea i d ci g a e c ch a B de
Ga e a P c (BGP) i he e i i g e .I ead, e a Pee De ice
(F i ) ee i h he B de N de ia BGP a d edi ib e he e
i he IGP f he e i i g e . Thi i a i i a cha ge i ce he ee
de ice i j a e IGP eighb f he e i i g e .
A a a ig a i , ee he e i i i d:
P e- a a d e ec e a age e c e a d hei
i eg a i ,f e a e, Ci c DNA Ce e a d Ci c ISE
Bac de ice c fig a i a da he i f ai ha eed
Pa a e e ded ai e a ce i d f he i i ia da f
ig a i ha e a b ffe ec e
Sa i -i a ea , ih a a f i , a d efe ab IT-
f ie d e e i he IT de a e i ef
Be ead ih a bac a if face a cha e ge a d ha e a
dead i e ec e c ec i i f he e d e
Summar
Af e eadi g hi ec i , ae c i ced ha ig a i g Ci c
SD-Acce i ea i ica ib e i h a fe a i che c ec ed
he e i i g e ih i i a i ac . A ha e ee ,
ca e e age Ci c DNA Ce e a ai a d che ai ig a e
di e e gie i h di e e i ch a :
Mig a i g La e 2 Acce de ig
Mig a i g R ed Acce de ig e ea i c a ed La e 2
Acce de ig
Mig a i g ih e e i i g b e
I eg a i g i ee i Ci c SD-Acce
Appendi
268 A e di
Further Resources and

Materials
Addi i a i e hich ffe e de ai ed i f ai ab Ci c S f a e-

Defi ed Acce i c de:
hh ::/
:/// .ci
.ci cc .c
.c m
m/g
m/g // da
da P ide a e ie a d addi i a
i f ai a c e a d a ec f SD-Acce a ai ,
a a ce, ed af ,c e efe e ce a d e i ia , a d
a ea h f he - -da e i f ai SD-Acce .
hh ::/
:/// .ci
.ci cc .c
.c m
m/g
m/g /d
/d ace
ace ee P ide a e ie a d addi i a
i f ai Ci c DNA Ce e .
hh ::/
:///cc .c
.c // da
da_
da_ ech
ech_
ech_ aa ee SD-Acce i hi e a e . I ide a
id- e e ech ica e ie f he Ci c DNA a d SD-Acce c e
a d hei ea i hi . I i a g ea ace c i e j e .
hh ::/
:///cc .c
.c // da
da cc dd I c de he S f a e-Defi ed Acce Ci c
a ida ed de ig (CVD) d c e c e i g SD-Acce de ig i ,
eai a ca abi i ie , a d ec e da i f de e . P ide
di ec i igh i be ac ice f de ig i g, e a i g, a d i g SD-
Acce c e e de e .
hh ::/
:///cc .c
.c // da
da ee ce
ce C i e ce a c ida i g a
c a e a e a ed he f Ci c SD-Acce .
hh ::/
:///cc .c
.c // da
da be
be Chec Ci c SD-Acce Y T be
Cha e , f he a e ide da e f fea e , e ca e , de , a d
e. D f ge b c ibe, i e, a d c ic he ifica i
ide !
A e di 269
hh ::/
:///cc .c
.c // da
da mac
mac dg
dg Thi g ide i i e ded ide ech ica
g ida ce de ig , de , a d eae ac - eg e a i ac
S f a e-Defi ed Acce Fab ic.
270 A e di
hh ::/
:///cc .c
.c // da
da ii ele
ele dg
dg G ide i eg a i g i ee acce i he
SD-Acce a chi ec e gai a he ad a age f Fab ic a d Ci c DNA
Ce e a ai .
hh ::/
:///cc .c
.c /gb
/gb aa dg
dg P ide ech ica g ida ce f de i g G -
Ba ed P ic A a ic , c e i g de ig ic , de e be ac ice ,
a dh ge he f he ech g eai .
hh ::/
:///cc .c
.c // da
da ml
ml dg
dg A g ide f de i g Medi a d La ge Fab ic
Si e i h Ci c S f a e-Defi ed Acce .
hh ::/
:///cc .c
.c // da
da didi ib
ib ed
ed dg
dg G ide SD-Acce c e i
de i ga ified a d a a ed ic ac i e h ica ca i
i a e -a ea e .
hh ::/
:///cc .c
.c /i/i de
de ee de
de dd mai
mai P ide de ig a d de e e
e he Ci c SD-Acce a d Ci c SD-WAN i achie e e d-
-e d eg e a i a dc i e ic f he e e i e a d b a ch.
hh ::/
:///cc .c
.c // da
da ii ff aa dg
dg P ide he de e g ida ce f Ci c
DNA Ce e a d Ci c Ide i Se ice E gi e (ISE) i hi a e ice b c
da a ce e e c ec ed a Ci c SD-Acce Fab ic adi i a
Th ee-Tie ed Ca g .
hh ::/
:///cc .c
.c /md
/md ac
ac ii ee P ide ech ica g ida ce de ig , de ,
a d e a e he S f a e-Defi ed Acce S i i gM i e Ci c DNA
Ce e C e i h a i g e Ci c Ide i Se ice E gi e (ISE) de e .
hh ::/
:///cc .c
.c // da
da egme
egme dg
dg Thi g ide i i e ded ide ech ica
g ida ce de ig , de , a d eae ac - eg e a i ac
S f a e-Defi ed Acce Fab ic.
hh ::/
:///cc .c
.c /e
/e cc dd A c ida ed i f i e, d a, e ca e-
ba ed de ig a d de e g ida ce ide i h Va ida ed
de ig a d be ac ice . P e c i i e, ea - -f de e g ide
a i h he i e gi e C fide ce a a f e
ee b i e g a .
A e di 271
hh ::/
:///cc .c
.c // da
da el2
el2 dd Rec e d ac ice be i e e ed he
Edge N de he c ec i g a E e a La e 2 S i chi g D ai . The e
be ac ice a e de ig ed i i i e he c i e ha a i e i he
La e 2 a f he e hi e ec i g he Fab ic e agai La e
2 a d La e 2 i c fig a i .
hh ::/
:///cc .c
.c /ci
/ci cc lili ee da
da Ci c Li e 2022 ea i g a f Ci c SD-
Acce e i c ei g c ehe i e e ie , be ac ice , de ig ,
de e , ig a i ,a d i i g f he a chi ec e.
hh ::/
:///cc .c
.c // da
da_
da_ ech
ech_
ech_ ee P ide e e ia ech ica be h i g
e f Ci c SD-Acce ch a LAN a d G e a a i , Fab ic
i i i g, ica , i ee ,a d a he .
hh ::/
:///cc .c
.c // da
da cm
cm Ci c SD-Acce i c a ibi i a i
h i g ha i ed f ecific ha d a e a d f ae e i .
hh ::/
:///cc .c
.c // da
da de
de ig
ig ll de
de kk Le e age Ci c SD-Acce De ig
T a j e i SD-Acce i a d Ci c SD-Acce
C i g De ig De f de ig e ie .
272 A e di
Acron ms
AAA A he ica i ,A h i ai , BGP B de Ga e a P c

a d Acc i g
BUM B adca -U U ica
ACI Ci c A ica i Ce ic a dM ica
I fa c e
BYOD B i g Y O De ice
ACL Acce C Li
CA Ce ifica e A h i
AD Mic f Ac i e Di ec
CAPWAP C a dP i i i g
AP Acce P i f Wi e e Acce P i P c
API A ica i P ga i g CMD Ci c Me ada a

I e face
CMDB C fig a i Ma age e
APIC Ci c A ica i P ic Da aba e
I fa c eC e (ACI)
CNF Ca ie Ne a Faci i
ASM A -S ce M ica (PIM)
CoA Cha ge f A h i a i
ASIC A ica i -S ecific
CVD Ci c Va ida ed De ig
I eg a ed Ci c i
CWA Ce a Web A he ica i
ASR Agg ega i Se ice R e
DC Da a Ce e
Auto-RP Ci c A a ic
Re de P i c DHCP D a ic H C fig a i
( ica ) P c
AVC A ica i Vi ibi i a d DMVPN D a ic M i i Vi a

C P i a e Ne
BFD Bidi ec i a F a di g DMZ De i i a i ed Z e

De ec i (fi e a / e i gc c)
A e di 273
DNA Ci c Digi a Ne GOOSE Ge e ic Objec -O ie ed

A chi ec e S b ai E e
DNS D ai Na e S e GRE Ge e ic R i g
E ca ai
DSCP Diffe e ia ed Se ice
C de P i GRT G ba R i g Tab e
EA Ci c E d i A a ic GUI G a hic U e I e face
EAP-TLS E e ib e HA High-A ai abi i

A he ica i P c -T a
HQ Head a e
La e Sec i
HSR High-a ai abi i Sea e
ECMP E a -c M i ah
Red da c
eduroam Ed ca i R a i g
HSRP Ci c H -S a db R i g
( i ee )
P c
EID E d i Ide ifie
iCAP Ci c I e ige Ca e
EIGRP E ha ced I e i Ga e a
ICMP I e e C Me age
R i gP c
P c
EMR E ec ic Medica Rec d
IDF I e edia e Di ib i
EPG E d i G F a e; a ii gc e
ETR Eg e T e R e (LISP) IDMZ I d ia De i i a i ed Z e
FEW Fab ic E bedded Wi e e IEEE I i e f E ec ica a d

E ec ic E gi ee
FHR Fi -H R e ( ica )
IGP I e i Ga e a P c
FTP Fi e T a fe P c
IoT I e e f Thi g
GBAC G -Ba ed Acce
C IP I e e P c
GBPA G -Ba ed P ic IPAM IP Add e Ma age e

A a ic
IPSec I e e P c Sec i
274 A e di
ISE Ci c Ide i Se ice E gi e MNT M i i g N de (Ci c ISE

e a)
ITaaB IT a a B i e
MPLS M i c Labe
L2 VNI La e 2 Vi a Ne
S i chi g
Ide ifie ; a ed i SD-Acce
Fab ic, a VLAN MSDP M ica S ce Di c e
P c ( ica )
L3 VNI La e 3 Vi a Ne
Ide ifie ; a ed i SD-Acce MSP Ma aged Se ice P ide
Fab ic, a VRF
MSS Ma i Seg e Si e
LACP Li Agg ega i C
MTU Ma i Ta i i U i
P c
NAC Ne Acce C
LAN L ca A ea Ne
NAD Ne Acce De ice
LHR La -H R e ( ica )
NAT Ne Add e Ta ai
LISP L ca i Ide ifie Se a a i
P c NIC Ne I e face Ca d
LiDAR La e I agi g De ec i NSF Ci c N F a di g

a d Ra gi g
NTP Ne Ti e P c
MAB MAC A he ica i B a
OT O e a i a Tech g
MAC Media Acce C
Add e (OSI La e 2 Add e ) OTT Wi e e O e - he-T
MAN Me A ea Ne PAgP E he Cha e P

Agg ega i P c
MDF Mai Di ib i F a e; he
ce a ii g i f he e PAN P i a Ad i i ai N de
(Ci c ISE e a)
MDM M bi e De ice Ma age e
PBR P ic -Ba ed R i g
mDNS M ica DNS
PCI DSS Pa e Ca d I d
MKA MAC ec Ke Ag ee e Da a Sec i S a da d
A e di 275
PIM P c -I de e de RRM Radi Re ce Ma age e

M ica ( i ee )
PLC P g a ab e L gic RSTP Ra id S a i g T ee

C e P c
PnP P g- -P a RSTP Rea -Ti e L ca i Se ice
PRP Pa a e Red da c P c RSTP S ica -Ba ed E e ded

N de
PSN P ic Se ice N de (Ci c
ISE e a) SCADA S e i C a d
Da a Ac i ii
PTP P eci i Ti e P c
SD S f a e Defi ed
p Grid P a f E cha ge G id
(Ci c ISE e aa d SDA Ci c S f a e-Defi ed
b i he / b c ibe e ice) Acce
QoS Q a i f Se ice SDG Ci c Se ice Di c e

Ga e a
RADIUS Re e A he ica i
Dia -I U e Se ice SDN S f a e-Defi ed
Ne i g
RBAC R e-Ba ed Acce C
SGACL Sec i -G ACL
REP Re i ie E he e P c
SGT Sec i G Tag
REST Re e e a i a Sae
T a fe SNMP Si e Ne
Ma age e P c
RFC Re e f C e
D c e (IETF) SSID Se ice Se Ide ifie
( i ee )
RIB R i gI f ai Ba e
SSM S ce-S ecific M ica
RLOC R i g L ca (LISP)
(PIM)
RMA Re Ma e ia A h i a i
SSO S a ef S i ch e
(Ci c DNA Ce e f )
STP S a i g- ee c
RP Re de P i ( ica )
276 A e di
SV S ac Wi e Vi a VLAN Vi a L ca A ea Ne
SVL Ci c S ac Wi e Vi a VN Vi a Ne ,a a g a
VRF i SD-Acce
SXP Sec i G Tag E cha ge
P c VNI Vi a Ne Ide ifie
(VXLAN)
S slog S e L ggi g P c
VPN Vi a P i a e Ne
TCP T a i i C P c
(OSI La e 4) VRF Vi a R i ga d
F a di g
TLOC T a L ca
VXLAN Vi a E e ib e LAN
UDP U e Da ag a P c (OSI
La e 4) WAB Wide A ea B j
URL U if Re ce L ca WAN Wide-A ea Ne
UTP U hie ded T i ed Pai WCCP Web-Cache C

(Cab e) P c
A e di

Ebook SD Access For Industry Verticals From Design To Migration

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Ebook SD Access For Industry Verticals From Design To Migration

Caricato da

Copyright:

Formati disponibili

Ci c

OT Integration with Cisco SD-Access 53

Cisco SD-Access for Large Enterprises and Governments 125

Cisco SD-Access in Universities 153

Cisco SD-Access for Financial Customers 187

Thi b e e e a i e e c ab a i be ee Tech ica Ma e i g,

Devi Bellamkonda CCIE (DC, SP)

Dhrumil Prajapati CCIE (R&S, SP), CCDE

Keith Bald in CCIE (R&S, Wireless), CCDE

Mahesh Nagiredd CCIE (R&S)

Prashanth Kumar Davanager Honneshappa

The ea i d ha e c e ge he f hi ecia cca i ha e

What is Cisco Software-

Ci c S f a e-Defi ed Acce (SD-Acce ), a i i hi he Ci c

Challenges in Traditional Networks

Figure 1.1: Traditional network challenges

I adi i a e , he eed f a ig ifica be f VLAN a d

F e a e, c ide ACL 2 i Fig e 1.2. Whe he ga i a i add

Figure 1.2: Traditional network securit challenges

Ne ca c ai c ae e a d de ice , e BYOD de ice , a d

How Cisco SD-Access Resolves These

de ice i a ached ia a i ed i ee edi , ec e ic

I ead f e i g IP-Ba ed ec i e a i a adi i a e , SD-

L i g bac a he igi a e i f Wh Ci c SD-Acce ? The e a e

Cisco SD-Access for Industr

The b ide a b ief e ie f he c e f he SD-Acce

Thi b i i e ded f ac i i e f a a chi ec a e e . The

Chapter 2: Architecture Overvie

Thi cha e ide a e ie f he Fab ic c e a d fea e

Chapter 3: OT Integration ith Cisco SD-Access

Thi cha e f c e de e f Ci c SD-Acce i O eai

Chapter 4: Cisco SD-Access in Healthcare

Sig ifica cha ge ha e bee a i g ace i he Hea hca e i d , ch

Chapter 5: Cisco SD-Access for Large Enterprises and Government

Chapter 6: Cisco SD-Access in Universities

Chapter 7: Cisco SD-Access in Financial Verticals

Thi cha e add e e c SD-Acce e ca e i Fi a cia e ica .

Chapter 8: Migration to Cisco SD-Access

If a e eadi g hi b , he e i a g d cha ce a ead ha e e

A e e eade i ha e a diffe e e e f e e ie ce i h Ci c SD-

The e a e h ee f da e a i a f he Ci c SD-Acce i . The e

Cisco DNA Center

Identit Services Engine

I a idea i ed, he e ica e , e e de ice d be c ec ed

I Ci c SD-Acce , he U de a de ice he h ica c ec i i

Fabric Network Overview

C ec i h d acc da e he ec e ded MTU e i g

Securit Group Tags (SGTs)

Wi h ide i e ice ided h gh ISE, e a d de ice c ec ed

Control Plane Node

Transit Control Plane Node

Whe affic f a e d i i e ie eed e d affic a

Fabric Access Point

Fabric Wireless LAN Controller

Embedded Wireless LAN Controller

Fab ic-M de AP c i e he a e i e e edia e ice ha

Polic E tended Node

Peer Device (Fusion)

Fabric Features and Capabilities

LISP Publisher/Subscriber (Pub/Sub)

LISP P b/S b e ab e e e a e ca abi i ie ha i c ea e a SD-Acce

D namic Default Border

SD-Access Backup Internet