Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
S f a e-Defi ed
Acce f I d
Ve ica
Ic ed i hi b 6
Preface 11
A h 12
Ac edg e 14
Feedbac 15
Introduction 17
E ec i e S a 18
Wha i Ci c S f a e-Defi ed Acce ? 19
Wh Ci c SD-Acce ? 20
Ci c SD-Acce f I d Ve ica 25
Architecture Overview 27
S i C e 29
Fab ic O e ie 31
Fab ic Ne O e ie 33
Fab ic C e 36
Fab ic Fea e a d Ca abi i ie 40
Ec e 48
3 d-Pa I eg a i 51
Appendi 267
F he Re ce a d Ma e ia 268
Ac 272
Icons used in this book
Preface
12 P eface
Authors
Jonathan Cuthbert
Tech ica Ma e i g E gi ee , Ci c SD-Acce CVD A h , UI A chi ec e
Kedar Karmarkar
P i ci a , SD-Acce Tech ica Ma e i g E gi ee
Parthiv Shah
P i ci a E gi ee , Ci c SD-Acce E e i e Ne i g E gi ee i g
Pete Kavanagh
S i A chi ec , I d ia I T
Prakash Jain
P i ci a E gi ee , Ci c SD-Acce E e i e Ne i g E gi ee i g
Raja Janardanan
P i ci a E gi ee , Ci c E e i eS i E gi ee i g
Sanja Hooda
Di i g i hed E gi ee , Ci c SD-Acce De ig a d A chi ec e
Scott Hodgdon
Tech ica Ma e i g Tech ica Leade , Ci c SD-Acce
14 P eface
Acknowledgment
A e e d ha Ci c E e i e Ne i g Tech ica
Ma e i g, P d c Ma age e , E gi ee i g, Sa e , a d C e
E e ie ce ea h ec g i ed he eed f hi b a d ed i
de e e . A ecia ha Jeff Scheaffe , Jeff McLa gh i , a d Pa
Ng e f i g he eff f he a h i g ea . We da i e
ha Sha Cha e f he i c edib e e ce ga i a i h gh
hi ce , a d he a a a i g Ci c e ce h ided
i f a i a d c a ifica i h gh he ce .
We da i e e e d i ce e a ecia i B S i
ea ( .b
.b kk ii .. ee ):
Ka i a Pie ig B S i Faci i a
Rae Wh e C Edi
Ch i i e Da i C Edi
Le a W fe I a
He i a Lee e I a
Ma Va e B De ig e
Ka i a a d he ea ee a di g i c ea i g a e i e ha
a ed h gh a d idea c ab a i e f i h hich e ed i
d ci g hi b ica i .
P eface 15
Feedback
We a e a ead i g f ad i i g he e b a d d e
c ab a e i h he e ic !
Y feedbac i he d i e he igh f c a d di ec i he i ,
d c,a d f i .
We e c age ha e h gh , idea , a d ge e a c e
ab hi b a he f i g i :
hh ::/
:///cc .c
.c // da
da_b
da_b kk_feedback
k_feedback
Introduction
18 I d ci
E ecutive Summar
Digi a a f ai i c ea i g e i ie i e e i d . I
hea hca e, d c ca i a ie e e a d e e age edica
a a ic edic hea h i e . I ed ca i , ech g i e ab i g
c ec ed ca e , idi g e a i ed a d e a acce ea i g
e ce . I e ai , h ca ide a ea e , e gagi g e e ie ce i -
e a d i e i g ca i a ae e . I he d f a ce, digi a
ech g e ab e e ec e ba a he e, a i e, i g he
de ice f hei ch ice. I da d, digi a a f ai i e e ia f
b i e e a ee a .
F a ga i a i cce f a ii a digi a d, i e e
i i e i c i ica . The e c ec a hi g a d i he
c e e he e digi a cce i ea i ed . The e i he
ah a f d ci i ,c ab a i , a d a e ab e f i ed e d e
e e ie ce. A d he e i a he i e f defe e i ec i g
e e i ea e a d i e ec a e .
I d ci 19
Ci c SD-Acce a ae e acce ic ga i a i ca e e
he igh icie a e e ab i hed f a e , de ice, a ica i ac
he e . Wi h ified acce icie ac LAN a d WLAN, a
c i e e e e ie ce i c ea ed ih c i i g ec i . B
c bi i g ec i a d e i g eai , SD-Acce e ha ce
i ibi i b defi i g acce icie a d a ai g e c fig a i
i e e he e icie .
20 I d ci
Wh Cisco SD-Access?
Ide if i g, g i g, a d a a i g he affic f a f he e e a d
de ice i a ig ifica c ce f ga i a i ha a e e ha
he d i ac hei c ae i fa c e h d a BYOD de ice
bec e c i ed. The abi i defi e a d e f ce g a a acce
icie i a a a ed a i ea i ib e if he e de ice ca be
ca ified.
I d ci 21
Fig e 1.2 a i e h ee f he ai ec i b ac e ha c e
face he ii i g adi i a e i g eh d gie i da digi a
d:
Se i g e d- -e d ec i
E ab i g ea e ec i ic bi i
U e , de ice, a d I T eg e a i
Se i g e d- -e d ec i i a cha e ge a he e g . A
e e a ge i e i e i g ha ec i ic f a e de ice
f ca i ca i . I he adi i a e i g d, ec i icie
a e ba ed IP add e e . If a e de ice e f e ca i
a he , he ec i icie e i ba ed a f he diffe e IP
add e e ha he e de ice i e i he diffe e ca i . Thi
bec e e e e diffic a age a he e e e .
I d ci 23
SD-Acce ec e he e a he ac - a d ic - eg e a i
e e i g Vi a R i g a d F a di g (VRF) ab e a d Sec i G
Tag (SGT ), e ec i e . Thi i ca ed M i-Tie Seg e a i , hich i
i a i adi i a e . Wi h hi SD-Acce , hi eg e a i
ha e a he acce e e . Thi ea he ec i b da i
hed he e edge f he e i fa c e f b h i ed a d
i ee c ie .
Wi h M i-Tie Seg e a i , e ad i i a ge ha e
de a e c fig a i i a ici a i fa e de ice i g ca i
a a f he ec i c e a cia ed ih a e de ice a e
d a ica a ig ed he he a he ica e hei e c ec i . SD-
Acce ide he a e ec i ic ca abi i ie he he he e
24 I d ci
H ca a e be b h d a ic a d ab e a he a e i e? Whe a
e d e ha e be c ea ed cha ged, i ca be d e f a e f a
g i Ci c DNA Ce e . Th e e a e he d a ica a ed
a ee a e de ice ha eed ha e, e i g b h acc ac a d
eed f he da e.
C e i ed c i a d eai a c i e c h gh
che ai a da ai
M i-Tie Seg e a i hich i c de g -ba ed icie
D a ic ic bi i f i ed a d i ee c ie
I d ci 25
Ci c SD-Acce ha bee de ed i h a d f c e e
ac a aj i d e ica . Thi b f c e fi e f h e ecific
e ica : O e a i a Tech g (OT), Hea hca e, La ge E e i e,
Fi a ce, a d U i e i ie .
E e i e Ne ed b i ai a c ai a d g e e
ae e f he a ge e i e i e ce. Thi cha e e ai h
Ci c SD-Acce add e e he i e ca e a d c ec i i e ie e
faced b ga i a i i h he e a ge- ca e e .
U i e i e ae i e beca e he a e b i ide he i ae
ha i g a d c ab a i e e e ie ce i he i f ea i g. Thi cha e
e e ica de ig ca ea ha i e i e ec e
he ad i g e ech g a d eh d i hich SD-Acce de ig
i he e ec e he e cha e ge .
Thi cha e f c e ig a i i , h ig a e e i i g
e , a d e e e a adi i a e i a SD-Acce
e .
Architecture
Overview
28 A chi ec e O e ie
We ec e d ha efe he Tab e f C e de e i e he
a ia e a i g i f fi d a ecific ic fea e f
i ee .
A chi ec e O e ie 29
Solution Components
Network Infrastructure
The Ci c SD-Acce i i fa c e i c de e , i che ,
acce i , a d Wi e e LAN C e . O he e de ice , Ci c DNA
Ce e i de he ai Fab ic Si e e ba ed he e
ad i i a ' ch ice i he U e I e face (UI).
A chi ec e O e ie 31
Fabric Overview
A Fab ic i i a O e a e . O e a a e c ea ed h gh
e ca ai , hich add e e addi i a heade he igi a
ac e f a e. A O e a e c ea e a gica g hich
i a c ec de ice b i e a a bi a h ica U de a g .
Underla
The U de a e i defi ed b he h ica i che a d e ha
a e ed de he Ci c SD-Acce e . A e ee e f
he U de a e ab i h IP c ec i i ia he e f a i g c .
I ead f i g a bi a e gie a d c , he U de a
i e e ai f Ci c SD-Acce e a e -de ig ed, La e 3
f da i i c i e f he Acce La e i che , a a La
La ee 33
RR ed
ed Acce
Acce de ig . Thi e e ef a ce, ca abi i , e i ie c , a d
de e i i ic c e ge ce f he e .
Overla
A O e a e i a gica g ed i a c ec de ice
a d i b i e a a bi a h ica U de a g . The Ci c SD-
Acce O e a e i c ea ed f he U de a e h gh
i a i a i , c ea i g Vi a Ne (VN ). Da a, affic, a d c a e
ig a i g a e c ai ed i hi each Vi a Ne , ai ai i g i ai
a g he e a d i de e de ce f he U de a e .M i e
O e a e ca ac he a e U de a e h gh
i ai a i .
A chi ec e O e ie 33
Fabric Site
A Fab ic Si e i c ed f a i e e f de ice e a i g i a Fab ic
e a g i h he i e edia e de ha c ec h e de ice . A a
i i , a Fab ic Si e ha e a B de N de a d a C P a e N de,
b fe ,i i a ha e Edge N de . A Fab ic Si e ha a a cia ed
Fab ic Wi e e LAN C e (WLC) a d e ia a ISE P ic Se ice
N de (PSN).
Transits
Ta i ca c ec i e Fab ic Si e ca c ec a Fab ic Si e
-Fab ic d ai ch a a da a ce e he I e e . T a i a e a
Ci c SD-Acce c c ha defi e h Ci c DNA Ce e i
a a e he B de N de c fig a i f he c ec i be ee Fab ic
Si e be ee a Fab ic Si e a d a e e a d ai . The e a e e
fTa i : IP-Ba ed a d SD-Acce .
IP-Based Transit
Wi h IP-Ba ed T a i , he Fab ic VXLAN heade i e ed, ea i g he
igi a a i e IP ac e . O ce i a i e IP, ac e ae f a ded i g
adi i a i g a d i chi g c be ee Fab ic Si e . U i e a
IP-Ba ed T a i , a SD-Acce T a i i a O e a ha ide fa
WAN/MAN e ch i e SD-WAN a d DMVPN d . IP-Ba ed T a i
ae i i ed i h VRF-Li e c ec i a ea ee de ice. IP-
Ba ed T a i fe c ec a da a ce e , WAN, I e e . A IP-
Ba ed T a i ca a be ed c ec ha ed e ice i g a VRF
VRF A
A
aa ee Pee
Pee .
34 A chi ec e O e ie
SD-Access Transit
A SD-Acce Ta i e VXLAN e ca ai a d d e e a
VRF-Li e c ec i a ea ee . Li e a IP-Ba ed T a i , ac e
ae f a ded i g adi i a i g a d i chi g c be ee
Fab ic Si e . U i e a IP-Ba ed T a i , a SD-Acce T a i i a O e a
ha ide f a WAN/MAN e ch i e SD-WAN a d DMVPN.
The e a e e c ide a i he i g a SD-Acce Ta i:
Virtual Networks
Ci c SD-Acce ide La e 3 a d La e 2 c ec i i ac he
O e a i g Vi a Ne .
La e 3 O e a e ae a i a ed i g ab e a d a La e 3
fa e e he La e 3 e . Thi e f O e a i ca ed a La e 3
Vi a Ne . A La e 3 Vi a Ne i a i a i g d ai ha i
a a g a Vi a R i g a d F a di g (VRF) ab e i a adi i a
e .
La e 2 O e a e a e a LAN eg e a d a La e 2 f a e e
he La e 3 e . Thi e f O e a i ca ed a La e 2 Vi a Ne .
La e 2 Vi a Ne ae i a i chi g d ai ha a e a a g
a VLAN i a adi i a e .
A chi ec e O e ie 35
Segmentation Capabilities
Ci c SD-Acce c ea e a e f eg e a i . The fi a e f
eg e a i i efe ed a ac - eg e a i a d i achie ed h gh
he e f Vi a Ne . U e , de ice , a d a ica i ca be i
diffe e O e a e , e ab i g i ai be ee he .
The ec d a e f eg e a i i efe ed a ic - eg e a i a d
i achie ed h gh he e f SGT . SGT a e ed eg e i ide he
Vi a Ne . B defa , e a d de ice i he a e Vi a Ne
ca c ica e i h each he . SGT ca be ed e i de
c ica i i hi a gi e Vi a Ne .
36 A chi ec e O e ie
Fabric Components
Border Node
A SD-Acce B de N de i a e a de i i he Fab ic Si e. I
effec , i ea a g age : SD-Acce Fab ic e i a d adi i a
i ga d i chi g a he .
Edge Node
A SD-Acce Edge N de ide fi -h e ice a d h he A ca
La e 3 Ga e a eeded f e , de ice , a d a ica i c ec
he e .
E tended Node
E e ded N de ffe a La e 2 e e i a Edge N de hi e
idi g eg e a i a dg -ba ed ic he e d i c ec ed
he e i che . E d i , i c di g Fab ic AP , ca c ec di ec
he E e ded N de. VLAN a d SGT a e a ig ed i gh b a di g a
a f Fab ic i i i g.
38 A chi ec e O e ie
Intermediate Node
A I e edia e N de i a f he La e 3 U de a e ed f
i ec ec i a g he de ice e a i g i a Fab ic Si e. F e a e,
if a Th ee-Tie Ca de e i i he C e i che a he
B de N de a d he Acce i che a he Edge N de , he Di ib i
i che a e he I e edia e N de . I e edia e N de a e i i ed a
i g e a e f de ice .
Fabric in a Bo
Fab ic i a B i a SD-Acce c c he e he B de N de, C
P a e N de, a d Edge N de he a e Fab ic N de. Thi a be a
i ge i ch, i ch i h ha d a e ac i g, S ac Wi e Vi a
de e .
A chi ec e O e ie 39
Thi i e i eg a i f i ed a d i ee bi g e e a be efi
e e a d he eai ea ha he :
Si ifica i e ca ha e a i ge b e f b h i ed
a d i ee c ie
C i e c f P ic he ich e f i ed icie a e e e ded
i ee affic, a d he a e b h a ied a he Edge N de
42 A chi ec e O e ie
I ed ef a ce i ee a a e La e 2 a d d
e iea f f a ch i g
Wireless Over-the-Top
Ci c SD-Acce ha he f e ibi i a ce a i ed i ee
de e ca ed Wi e e O e - he-T (OTT). Wi e e OTT i
c cia beca e he e a e e e a i a i he e i c d be e i ed:
I Wi e e OTT de e , i ee c , a age e , a d da a a e
affic a e e he Fab ic i a C a d P i i i g f Wi e e Acce
P i (CAPWAP) e be ee he AP a d WLC. Thi CAPWAP e
e he Ci c SD-Acce Fab ic a a a . O he e d ' i ee
e i e a e a diffe e ei g c he ha CAPWAP, b
he c ce f i g he SD-Acce Fab ic a a a i he a e.
End-to-End Segmentation
P e e d- -e d e eg e a i i a f da i a ea e
add e ai ec i a d ca abi i i e ha a e ee i e
da . Ci c SD-Acce ide he abi i f e a chi ec c ea e
a d de ec e, e - ide eg e a i f hei e , de ice , a d
a ica i ac hei e , a i g e e b a d
A chi ec e O e ie 43
ca ab e. Mac - a d ic - eg e a i c e a e ca ied ac he
SD-Acce Fab ic a d ca be f he e e ded be d he Fab ic e
i g e h d de c ibed i hi b ai e ica cha e .
M i i e Re e B de ecifie ha a de ig a ed Fab ic Si e i be he
i ge a d eg e ca i f a affic i a de ig a ed Vi a Ne
e e h gh ha Vi a Ne e che ac i e Fab ic Si e . A
c e ca e f M i i e Re e B de i G e affic i ai .
I a adi i a e ,a i ee G e A ch C e i a ca ed
i he DMZ. M i i e Re e B de ide he a e ca abi i ie hi e
a idi g he eg e a i a d a ai be efi f a SD-Acce
e .
Fabric Zones
T ica , i Ci c SD-Acce de e , a he O e a b e ae
a ai ab e ac a he Edge N de i ha Si e. Fab ic Z e a e a a
ca i e ce ai b e ce ai ec i f he Fab ic Si e. F e a e, a
Fab ic Si e a i c de e b i di g . The e a be a eed ha e a
he b e ac a he e b i di g . Fab ic Z e e e ha e IP
b e ae a ai ab e i e b i di g a d he e i e Ca .
44 A chi ec e O e ie
Critical VLAN
The C i ica VLAN f c i a i a e acce e , de ice , a d
a ica i i g a ecific VLAN if he ISE PSN i eachab e f he
SD-Acce e . I addi i ,c e , a he ica i e , de ice , a d
a ica i i e ai i hei e e a ig ed VLAN , a e i dic e-
a he ica i i a ed i he ISE PSN i eachab e agai .
I a OT e , he e i a eed f he defa ga e a be a
e e a fi e a a d he ca Edge N de. Fi e a affic i ec i i
ac ec i a dc ia ce e ie e i a e .
La er 2 Flooding
B defa , he e i f di g f affic i he Ci c SD-Acce e .
ARP e i i d ei a i i ed fa hi b defa i Fab ic. H e e ,
ee d i eed b adca , a ic a ie h .
La e 2 F di g i a fea e ha e ab e he f di g f b adca , i -
ca ica , a d ARP affic f a gi e O e a b e . La e 2 F di g
e ie he f ai e ica i he Fab ic U de a e .
A chi ec e O e ie 45
LAN Automation
LAN A ai he e e i e IT ad i i a e a e, a , a d
a a e SD-Acce U de a e . Thi i ifie e eai ,
f ee IT aff f i e-c i g a d e eii e e c fig a i
a , a d c ea e a a da d e -f ee U de a e .
Multicast in Fabric
M ica i ed i b h he O e a Vi a Ne a d he h ica
U de a e i SD-Acce , each achie i g diffe e e .
Head-End Replication
Native Multicast
Ecos stem
Ci c DNA Ce e ha a ec e i h a a ie f aa e i a d
hi d- a a . Thi ec i de c ibe h e ec e i i he
c e f Ci c SD-Acce .
ThousandE es
The Th a dE e a ica i i h ed Ca a 9000 Se ie S i che
a d i i i ed h gh a f i Ci c DNA Ce e . Th a dE e
ide a a i a d b e e de ice a d a ica i i he
e .
Fabric Assurance
Ci c SD-Acce A a ce ide i ibi i i he U de a a d
O e a , a d i e ab e eachabi i i c i ica e e ice i he Fab ic
I fa c e. Fab ic e de ice a e i i ed ih de -d i e
ea i g e e e hich i he a f ce ai c ae .A
cha ge i he c aei e ed b he e de ice Ci c DNA
Ce e . I he A a ce da hb a d, gge i e ac i he e
ea a d he i e d ai a d e e a e edia e he
i e.
3rd-Part Integrations
Service Now
The Ci c SD-Acce i eg a i i h Se iceN i a d b i he
Fab ic e e ha i c de Fab ic R e da e . Thi ide ec i a d
he eai a igge he IT Se ice Ma age e e .
OT Integration with
Cisco SD-Access
54 OT I eg a i i h Ci c SD-Acce
Introduction
Chapter Overview
The P d e M de a e ea ed i 1990, a d i i he a da d b hich
O eai a Tech g (OT) e ha e de ig ed hei e .
H e e , ig ifica cha ge ha e cc ed i he e i gi d e
he a 30 ea . The e i ai a e bei g e e aged i he OT i d
da .
What is an OT Network?
A OT e i ica a h ica e aae e f ac e
IT C ae e . I ca be ied a di i i de a e i hi he
ga i a i a d i f e i di ec f he c e i e fb i e .
OT e a e be de c ibed a a ec f ech gie , he e he
ec i c de affic e , f , g a da e / e ic i ,
eg e a i , a d . The e c e ca be i d ced if he
ga i a i i a f a eg a ed i d if he e a e e i i g
i hi ce ai i d ie ha ha e bee i ace f a ea .
d ica i , S e i C , a d Da a Ac i ii (SCADA) c ,
a d ha i g e e e i - c a b- ic ec d acc ac .
R ad a c d be a he ea ic e d f he ec . He e e ee
acce ab e ec e i e f e ha 500 i i ec d ( ) a d
eg a IP 4 TCP a d UDP ica affic.
Diffe e OT e ca be ca eg i ed i he ec f ad a a a
high e e a h i he f i g cha . G ba , i e eai igh
a ,b he cha de c ibe h he e i e eai a e ca eg i ed.
56 OT I eg a i i h Ci c SD-Acce
Figure 3.1: Traffic t pes, resilienc requirements, and industr framework adherence across
various OT e amples
A f he e OT e a ha e a f diffe e ce , b he a ha e
e c a i ie . We i di c h Ci c SD-Acce he i he
i e e ai a d i eg a i f OT e i h IT e a d h
Ci c SD-Acce ca be ed b i d OT e .
OT I eg a i i h Ci c SD-Acce 57
Fi e a e aai i c be ee IT a d OT e . Thi fi e a
e aai ha e e a be efi i he OT/IT e i e :
P ic e f ce e
U e c
Th ea c ai e
Cha ge c
Ha i g hi fi e a e aai e e ha e e ch a a accide a
cha ge he IT OT e h d i ac he e .
The OT Ne fe e he IT Ne a a bac b e a e e he
I e e a d acce e e a e ce . Thi c ec i i e i e a fi e a
be ee he IT Ne a d he ide d e e a h i ed
e a da ica i aea ed acce OT e .
58 OT I eg a i i h Ci c SD-Acce
F b hi d a d d de , ea e ha he ca i i be
e ea e-c ed, a d , ica , e ee he eed f i d ia -
g ade e de ice . De e di g he ecific i d , e ie e
a d a da d a he i c e e e a e a ge , abi i
i h a d ib a i , a i e c i g, a d . Ci c E e i e f i
i fe ecifica i f ch ha h e i e . T add e
he e ha h e i e , Ci c ha he Ci c I d ia E he e (IE) fa i
f i che c e i g 19 ac a d DIN- ai f -fac .
I i a c i OT e ha e e e e fa e ge g a hica
di ib ed c a ed i h IT e , a he e ca be e e a ie
be ee eighb i g i che . D e he e ge g a hica di e ed
OT I eg a i i h Ci c SD-Acce 59
i a ai , i bec e i ac ica c f c e ea a
g i ce he a e ab e h e e e acce i ch bac
he Di ib i La e .
Whi e OT e fe c ai e ihSa T g , ea ee
he ch a :
U i e i i c edib i a f a fac i g c e , i i ie , a d
he c i ica e . P eci i Ti e P c (PTP) c he i h OT
de ice e cha gi g da a i a P g a ab e L gic C e (PLC) c
, idi g a high ch i ed e i e d a b-
ic ec d e e. P d c i i e h d if a a f da a a e
de ice bec e f c. A idi g he e h d i e e ia i
ee i g he a i a i f a c e i g h a he ac -ec ic
e e a d, f c e, f afe .
A a ge e a e f a fac i g, e - a d c a e e i ed f
i a ica i . The a e e i ge f a ica i ch a I/O,
OT I eg a i i h Ci c SD-Acce 61
hich c d ih a d 100 f La e 2 c e ge ce i e . I
a fac i g i d ie , hi e e f e i ie ce a d eci i ae
a da ed. He e, OT e aec de ed i h REP i g , ih
a ia he S a i g T ee P c (STP) i idi g e i ie c a
e e .
Challenges
Wi h he e i f IT e ada i g e e ech g , he OT
e ha he i i i e he f e ibi i ided b he
e ha ce e i IT e i g. Bef e de i g i h he OT e ca
e e age he e f c i a i ided i, e a he ai i
f he e ec i e f b h b i e a d ech ica e ie e .
Business Requirements
Critical Business Continuit , Resilienc , and High Availabilit
Rega d e f i e i d , c a ie ha e c ea -defi ed ce e
a d h d be ab e c i e ee he e ec a i f hei c e .
T ce if he ai fa d c , OT e a ai a age e e
ai ai a d ac he d ci f each c e a d a i he
a fac i g ce . A ISO 9001 i a g ba ec g i ed a
de a e he i e e ai f a i a a da d f ai i
c a , he a ica i ie hich ac hi i a da b
a a c i ica b i e a ica i .
Business Agilit
Thi i he e i e e f i c ea ed efficie c d i g de e a d
g ade f he e a d e d i , ch ha he OT ea ca add e
e ha d a e ea i a d RMA e ha d a e, he e i ed, i h
i i a b i e di i . M e f a d- i g i d ia a ai
c e ae i gi ech g cha ge ha a he i ai e
P ga ab e L gica C e (PLC), hich i gai he a be e e e
f agi i .
OT I eg a i i h Ci c SD-Acce 63
Wi h a e a chi ec e, ea e ef a ce h d be he a e
be e , b he eed f eai cha ge h d be e ha ced.
Pe f a ce i hi c e i ea ed a a i c ea e i d ci i a d
e /e d i e e ie ce. Agi e eh d gie cha ge di e e
cha ge a e c cia . I a Ma fac i g a , i e i c i ica .
P idi g a i eg a i i be ee IT a d OT ea a d e i
c i ica , idea i h a ha ed ie f ic b iha e aai f d ie .
Ne de ice f a e/fi a e f OT de ice i g aded a diffe e
cade ce ha he IT e . Of e OT e e d ha e acce IT
ch a Ide i Se ice E gi e (ISE), a d ica he e i a e a a e
P ic Se ice N de (PSN) f he ISE c e i hi he OT ace. Thi
PSN c ica e h gh he fi e a he IT e ' da a ce e .
Th , he e i a a a de e de c IT f e cha ge .
T add e a d i i i e c be ec i e e f i d ia c a d
a ai e , a c e a ig a OT a chi ec e ba ed
he P d e M de .
Technical Requirements
Resilienc and Redundanc and High Availabilit
A OT e ha e bec e e e e c i ica f he f c i i g f a
ga i a i , a d i a ca e a OT e i he c e f a c a
a di g, i i c i ica ide e i ie c a he a f ed da c
i f ch e . If he ai a age e e i e SAP f a
64 OT I eg a i i h Ci c SD-Acce
Replication Requirements
Segmentation
Seg e a i i ei e ed a a ea he add e c be ec i .
If eg e a i i i a ia ed b IP ACL , i ca bec e diffic ca e,
be h , a d ai ai e i ei a b he i e de e .
I f he OT de e , he h -faci g ae e . Thi i a
ec i i a a e acce i g he h ica ca ge i he e
a d c ea e ha c.
T i i i e he da age d e hi , a OT e ae i g a fi e a
a he Edge, b i i a a e igh i . F ea - e affic, he e i
ec i , eadi g a e ha ced ec i i f OT a e . If
c e a add e hi a d e f defa - e defa -
c ed, i i a e e e a ge de a i g f a gh i h cha e ge .
OT I eg a i i h Ci c SD-Acce 65
D e he e a e f he OT e , he e a e a f ca e
he e hi d- a a aged h b / i che a d he ed de ice
ae c ec ed he OT e , h i c ea i g he a ac face. The
e a e f ca ead ai fai e i OT e f b h
he ec i a d e e i ie c e ec i e . O e h ica ca
acce he de ice a e a e , a i g a i de e i a
e abi i ie a d/ a ch a ac .
Visibilit
O e f he bigge be i he OT e i he a ie fe d i
he a fac i g f . The e i i i ed i ibi i i he c ec ed de ice .
S e de ice a e a aged, e e ai ched f ea , a d he
ca be ge g a hica fa a a .
Silent Hosts
OT e ha e diffe e e f de ice (h )c ec ed he , ch
a :
The ef e, i e f be h i g a d ge e a i ibi i , i e h ca
be b e a ic a OT e .
66 OT I eg a i i h Ci c SD-Acce
Environmental Factors
De e di g he ca i f OT e i e bei g c ec ed he
e , he eed f ggedi ed e de ice i i c ea ed c a ed
IT e .
OT e a e i e a ge La e 2 e f ecific e ca e
b i e ea . The c e e i i he i e f he La e 2 d ai
d e he i e i h STP a d he La e 2 c . The e i a
e ie e e hi La e 2 e i e i e hi e a i g he
f e ibi i f he OT de ice be a f he a e La e 2 i h he
d ide f La e 2 c ch a STP.
Ring Topologies
Ri g gie ae e ae i OT e , e e i g La e 2
a ida ce c cha e ge .
Customer Solutions
Thi ec i i e ie i a dh he add e he e i a ed
e ie e . Each i i be ba ed ea c e OT
e i e . I each e ca e, e i ca he e ie e i he e
ec i f he cha e .
Ba ed h he OT e i de ed a d h Ci c SD-Acce Fab ic
ca he ee he e i e e , e e he f i g f i
e a e . The e e a e ca be ed i he OT ace e ha ce
ec i , eg e a i , a ai abi i , a d i c ea e OT e de e
agi i . The ae de ed f ea i e f eg e a i
ca abi i , b i e , a d ech ica e i ie c :
I d ia de i i a i ed e a d I d ia ec i e ha e hei
Ci c SD-Acce Fab ic Si e. Each f he OT i e i c ec ed
he IT Fab ic i g a c Pee (F i ) fi e a de ice i h a
dedica ed Ci c ISE P ic Se ice N de (PSN), e ab i g i abi i
e . A Ci c DNA Ce e de e i ha ed ih i e-ba ed
RBAC ( diffe e OT Z e ).
Dedica ed OT Ci c SD-Acce Fab ic Si e i h dedica ed SD-
Acce T a i ( i e, dedica ed SD-Acce T a i ).
D ed b he fi e a
Pe i ed b he fi e a
Se ec i e f a ded b he fi e a . ba ed he L4-L7 i ec i
e
OT I eg a i i h Ci c SD-Acce 69
N ha e de a d he gica g f hi de ig e a he
h ica g . Fig e 3.7 de ic he h ica g f he de ig .
70 OT I eg a i i h Ci c SD-Acce
Figure 3.7: Shared IT/OT Cisco SD-Access Fabric Ph sical view plus logical Virtual
Network mapping
Y ca ee ha b h IT a d OT de ice ca c ec Acce P f
ei he E e ded N de Edge N de , hich a e a ed e ec i e
Vi a Ne . De ice/h b a di g ca be achie ed i h ee a :
P Edge N de a d E e ded N de ca be a ig ed a
a ic a VLAN f a Vi a Ne i g he H O b a di g
f i Ci c DNA Ce e ( -a h ca e).
P Edge N de a d E e ded N de ca be e f d a ic
a he ica i , he e he e d i ca be ad i ed he e e a
Vi a Ne /VLAN ba ed defi ed a he ica i eh d
(O e A h a d C ed A h).
OT I eg a i i h Ci c SD-Acce 71
P Edge N de a d E e ded N de ca be a ig ed a
a ic a Vi a Ne ia SD-Acce REST API . Thi ca be
e ecia ef he di e f a Li e- f-B i e (L B)
ce .
A a e i de , Edge N de a e c ec ed he e f he Ci c SD-
Acce Fab ic ia a ed La e 3 U de a e . E e ded N de a e
c ec ed ia a La e 2 802.1Q , hich i a a f a PAgP
cha e (e e if he g ha e e be / i ).
I i i a de a d ha hi e hi e e be ,f a
OT e ec i e, addi i a ca ea a e ie a e a diffe e
a ach f e e ice . Whe c ide i g ha ed e ice , a a
c ide f c i e f . I OT, f c i ha e ha ed e ice ha
c d a e d he e i e , he he i hi a ea ac he WAN,
h d be ea a ea dc ide a e a i e a ache .
Ha i g e a a e Fab ic Si e f IT a d OT igh be a ga i a i a
deci i di e d e ec i icie de a e a b da ie . Thi
de ig ha a aj ad a age f b h IT a d OT e , a a cha ge
he i e e e ide i i ac he he . Thi i a ic a
ef he he OT e e hi g ch a a S a Ci
C ec ed R ad a . E a i i g he ca e f a ad a c e , he d
a ee e affic e a a e be ee de ice e ch a :
Vi a Ne f ad e i e
Vi a Ne f ca e a
Vi a Ne f i e ec i
SGT f T affic Sig a C e
SGT f LiDAR
SGT f Edge C e
SGT f V2X adi
Vi a Ne f ea he ai
A a i e ec i , e ca a OT de ice c ica e a La e 2, ih
e ae c , ih hai i i g he affic ia a Pee (F i )
e /fi e a . U i g SGT , e ca i e f ce ia ic -
eg e a i i ce Ci c SD-Acce gi e a high a a ed a
de a ic - eg e a i ic .
Ci c C be Vi i i a ef i OT e . Ha i g he ca abi i f
i g he E e ded N de a d P ic E e ded N de , C be Vi i
he ide if a d c a if OT de ice i c j c i i h Ci c ISE. Ci c
C be Vi i i a ic a i a beca e Ci c E d i A a ic f e
ca be e e aged ec g i e e d i c ec ed Ci c IE i che .
A he ad a age f hi de ig i ha he E e i e Ci c SD-Acce ie
a d dedica ed OT Ci c SD-Acce i e ha e c c e ch
a Ci c DNA Ce e a d ISE. B i g i e-ba ed RBAC, hi de ig
ide a e e aai f he gica e ec i e b d e ha e he
74 OT I eg a i i h Ci c SD-Acce
OT Vi a Ne (Vi a Ne -OT#1 Vi a Ne -
OT# ) i OT Fab ic Si e
IT Vi a Ne (Vi a Ne -IT#1 T Vi a Ne -IT# ) i
he IT Fab ic Si e
Each i e ha d ff i e ec i e Vi a Ne he fi e a . The
fi e a i a /de c ica i ac he e Vi a Ne ba ed
he fi e a e . Addi i a , he fi e a ide ha ed e ice
acce he da a ce e a d he e ice , i c di g DHCP, DNS, I e e ,
e c.
N ha e de a d hi de ig ' gica g e a he
h ica g f he de ig , h i Fig e 3.10.
OT I eg a i i h Ci c SD-Acce 75
Figure 3.10: Dedicated OT Cisco SD-Access Fabric Ph sical view plus logical Virtual
Network mapping
A h i Fig e 3.10:
A i g g f IE i che ca be a a ed i Ci c DNA Ce e ,
c e i g a RSTP i g Re i ie E he e P c (REP). Thi ica
e i a a i ae 50% i e e i La e 2 ec e i e i he
e e f a fai e. A , ca ee ha i i ib e ff a i g iha
i ea dai chai .
I i i a e ha he B de N de a d C P a e N de i he
OT Fab ic a e i -ca e ed/ gged ca i . The a e a f he
C di i ed ace, he a e a he E e i e IT i che a d e
ed b B de N de a d C P a e N de .
Thi de i d i e b ai ai i g e a a i be ee he P d e e e
hi e a i g c b i g a c i- e fi e a be ee he
diffe e a e e i g dedica ed fi e a . Thi a chi ec e a he
ai ai e aae ic - eg e a i a d ac - eg e a i i hi
he a e hi e a i g fi e a d a a ef i ec i f a c -
a e affic. Thi de ig ha he be efi f i d ci g eg e a i
de a d a e a he abi i de d a ic a he ica i a e ec i e
e f OT c ec i g he h . I OT e , I T de ice ch a
b , ea i g i e , ce ai PLC a e fe ed. Whe ch
e d i a e ie , e ca e e age he La e 2 F di g f ci ai i
Ci c SD-Acce ide c ec i i i he e . Thi fea e ca
a c e La e 2- c .
I hi de , a c Ci c DNA Ce e i ed f he OT a d IT SD-
Acce Fab ic b dedica ed ISE PSN a e ed f OT a d IT Fab ic Si e ,
e ec i e .
78 OT I eg a i i h Ci c SD-Acce
Figure 3.11: Industrial DMZ and Industrial Securit Zone with dedicated Fabric Site
Each f he e i e ha d ff hei e ec i e Vi a Ne he
fi e a . Ba ed he fi e a e , he fi e a a /de ie
OT I eg a i i h Ci c SD-Acce 79
N ha e de a d hi de ig ' gica g e a he
h ica g f he de ig , de ic ed i Fig e 3.1.
80 OT I eg a i i h Ci c SD-Acce
Figure: 3.12: Dedicated OT Cisco SD-Access Fabric Site with dedicated Industrial DMZ
Fabric Site Ph sical view
SD-Acce ca be ed a a a e,a d hi e he e i e a
c c a eg e a i che e f I d ia A ai , e ee de ig
a e ihc e :
C i g eg e a i i hi a Ce /A ea Z e
C i g eg e a i ac e ha e Ce /A ea Z e
Seg e a i de a d he e OT a e e e ed c ea e, da e
a d de i a e i a ea diffe e ia f SD-Acce e
adi i a LAN i .A f hi c i a ai ab e ia REST API , ea i g
i ca be f i eg a ed i he OT i e- f-b i e ce e a d
a ica i , e ec i g b i e i e .
Figure 3.13: Dedicated OT Cisco SD-Access Fabric Sites with dedicated SD-Access Transit
Each i e ha d ff i e ec i e Vi a Ne he fi e a . Ba ed
he fi e a e , he fi e a a /de ie c ica i ac he e
Vi a Ne . Addi i a , he fi e a a ide ha ed e ice
acce he da a ce e a d he e ice , i c di g DHCP, DNS, I e e ,
e c.
N ha e de a d hi de ig ' gica g , e a he
h ica g .
Figure 3.14: Dedicated OT Cisco SD-Access Fabric Sites with dedicated SD-Access Transit
Ph sical view
Ci c SD-Acce Fab ic i a B ca be a ef b i di g b c he e a
a e ca e i e i ed, a d e i ie c de i ed f ac i g i fficie .
He e e ha e ed a Fab ic i a B i he IDMZ, a hi ica h e a
de be f e e a d e ice . Si i a ,f Si e N, e ca a e
hi i a a e i e, a d a Edge N de c ec ed Fab ic i a B i
a ia e. F Si e 1, e ha e de ed i h C ca ed Fab ic B de
N de a d C P a e N de, i h e a a e Edge N de .
OT I eg a i i h Ci c SD-Acce 85
A e f a d- i g i d ia a ai c e i
ech g cha ge ha a he i a i e PLC , Ci c SD-Acce ca
ide a f a e hi i a adi i a a d a ic e i g
d e . SGT-ba ed ic ac i d ia e a d i e , SDN
ec fig e he e a i g he c e be agi e a d e i e
cha ge i de a d he e hi g ca he e ac e' eai a
c a d i c ea e d ci i .
86 OT I eg a i i h Ci c SD-Acce
1 Ve S a Si e (Fab ic i a B )
2 S a Si e
3 Medi Si e
4 La ge Si e
5 E a-La ge Si e
Small Site
The S a Si e Refe e ce M de c e a i g e ffice b i di g i h i ge
ii g c e , a 4,000 a d 100 AP . The B de N de
f ci i c ca ed i h he C P a e N de f c i e
de ice a d a e e bedded i ee i h he i f ha d a e
WLC .
Medium Site
The Medi Si e Refe e ce M de a c e a OT e ih
i e ii g c e i h a h ica g c i i g f a T -Tie
C a ed C e/Di ib i i h a Acce La e .
Large OT Site
M i e B de N de a e di ib ed f he C P a e N de f ci
ed da de ice f he OT e a d he Pee (F i )
fi e a E e i e IT SD-Acce e ; a e a a e i ee c e
ha a HA c fig a i .
E tra-Large Site
The E a-La ge Si e Refe e ce M de c e a OT e ih i e
ii g c e i e faci i ie e ched ac a a ge Ca . The
h ica e i a Th ee-Tie e i h C e, Di ib i , a d Acce
La e a d a e i e ha e a S e C e i a F h-Tie . A E a-
La ge e e i e dedica ed e ice e i i ch a a dedica ed
da a ce e , ha ed e ice b c , a d I e e e ice .
Summar
We ea ed f hi cha e ha E e i e OT Ne aee a i ea d
c e . We a h Ci c SD-Acce ca he e he e c e
cha e ge a d a e a ga i a i OT e he digi a
a f ai j e . We ea ed h SD-Acce e ab ed OT E e i e
e a f a ic OT e ih ec i a d eg e a i
i a high agi e OT e i h f e ib e de ig i d ce ec i f
he OT e . We a e f a ha ed IT-OT eg e ed e
i e e f dedica ed IT-OT e f i g he P d e M de f
c e i eg a ed a fac i g, idi g e aai f a e a d
a he ica ed acce f he e ha ce ec i . Wi h he i d ci
f SD-Acce a OT e , he abi i d eg e a i de a d,
a d i abi i be i eg a ed i he OT i e- f-b i e ce e a d
a ica i i g REST API , i a ga e-cha gi g i ai ha ca be
i i ed b OT e .
T d he c e ai a d e ie , he e h d ab eae ai
i ha he e be , b i i i a a a e e be
ha i e i c i ica f ha i a e e i e i he ca e f
I d ia A ai ga i a i .U i e he e ica , age he e
ca ha e ca a hic c e e ce . Re ia ce i e- f-b i e e
i e SAP f c ia ce i h he ISO 9000 fa i f a da d i a da ,
a d h a i ac he ac i g f a fac ed c e i hi he
d ci chai i hea . D i g hi cha e , e ha ed a i
eh d a d e ca e a d h he a i he a fac i g ace.
Introduction
Chapter Overview
Sig ifica cha ge ha e bee a i g ace i he hea hca e i d , ch
a e e ia g h i e ehea h a d i a ca e, dde i c ea e i
e e f ce , i c ea ed ec i c ce , fa -e i g i a ca e
de , hif i ca e de i e i e , a d he i ii ai f e afe
a d e e .
Rega d e f hei i e, ce ai e ie e ch a ec i , bi i ,
e i ie c , a d de ice a d a ie ac i g a e c cia . The e e ice
be a ai ab e e a d de ice ega d e f he he he c ec he
e ia i ed i ee edia.
Ci c SD-Acce f Hea hca e 95
Challenges
M de ec i h ea ee e ab e i fe , ch a de ec ed
ie h , e i he e ' a ab e e ce . The e de ice
be ide ified a d ac ed ee he ec e f a e f he e .
Solutions
Micro-segmentation
Wi hi he c e f a i g e VRF, c e e d ha e f he
eg e a i eed f e ca e ch a :
F ch e ie e , i he adi i a e a chi ec e, he
ea eg e a b aci g g i diffe e b e e f ced b IP
ACL . I Ci c SD-Acce , i addi i idi g he f e ibi i f i g
diffe e b e , e ide he f e ibi i f ic - eg e a i , i.e., i g
he a e b e i a e e a de d i -ce ic a ach.
Ci c SD-Acce f Hea hca e 99
MACsec
Media Acce C ec i (MAC ec) i a a da di ed i ba ed
IEEE 802.1AE a d MKA ba ed 802.1X ha ca add a he a e f
ec i a Ci c SD-Acce Fab ic-ba ed a chi ec e. C e ca
ch e de MAC ec i 3 diffe e ace i hi he Fab ic:
E d i Edge N de
I he U de a c ec i g diffe e Fab ic De ice
A a a IP ha d ff f he B de N de c ec ed WAN/Pee
de ice
Se a a e B de N de a d C P a e N de ca ed i he
DMZ b i g he M i i e Re e B de f ci ai
Se a a e ISE P ic Se ice N de (PSN) a age G e e
A Vi a Ne i aeG e e affic, eg ega i g he f
he VRF e i g hea hca e ide a d he c i ica I T
e d i i he hea hca e e .
100 Ci c SD-Acce f Hea hca e
A e ca ee he e, he h ia b i di g a e c fig ed a
i de e de Fab ic Si e . The Vi a Ne ha c ai he e d i , i
Ci c SD-Acce f Hea hca e 103
a ch ed a c M i i e Re e B de N de a he A ch Si e.
Thi a e a chi ec e edica de ice , ch a i f i
hea i , hich eed be ed i e e be ee b i di g a
a ie ae ed.
Ha i g a c B de a d C P a e N de e e ha e d i
a e a ch ed he c i e a he a be ee he b i di g ,
ac Fab ic Si e . The WLC ha i ca each i e da e he A ch ed
i e' C P a e ega di g he ca i f he e i ee e d i .
N e The a i gi hi ce a i i ea e .
Figure 4.3: Multiple WLCs managing different floors in a single Fabric Site
H ia ha e I T e d i i e hea i c ec ed he e a
i ed a d i e e de ice . I he a ie , he e hea i aea
i ed e d i , b he i g he a ie a d f he e , he e
i ae i ee e d i . F he , he e i ai ai he
a e IP add e i he a e La e 2 eg e ega d e f he he he
a e i ed i e e . SD-Acce ide he f e ibi i e he a e
b e f i ed a d i ee c ie , a i g a gi e e d i a a
e ai i IP add e i e ec i e f h i i c ec ed he e .
Ci c SD-Acce e ab e acce e a ed de e f e e d i
c ec i g a e i i g Fab ic e . A hea hca e e i e ha
e c i ica I T e d i ha a c a eed ge ef e hed
e e de ed a he h ia ca e i eed . I a adi i a e ,
bef e he e d i ca c ec he e ,ac e ha a g i
f a a e ha be c e ed a b -b -b ba i . The e
i c de a ig i g e acce c fig a i , a he ica i e ,
acce c i , a d e. Ci c DNA Ce e a ai i he SD-
Acce a chi ec e ide a ched f e ibi i f e e d i
b a di g i e ea a :
U i g hi e d i b a di g eh d g , a e e d i ca be
b a ded i b c ec i g i he e a d e i g he e d i
be a a ica aced i he igh b e a d ec i g . The
c e di g acce icie a e a a ica d aded a e i e
e de ice a he e d i c e i e.
F e a e, a c e a ch e g i f i a d hea
i i h a i i a ec i g beca e he ha e a i i a ec i
fi e. Thi faci i a e a h a ii e b ace a g -ba ed ic
e f ce e a eg ha i ac i e i e . Thi ca e ic
a d e acc a e ha i i i g a adi i a b -b -b acce c i
a eg .
I addi i E d i A a ic ha he ca if , G -Ba ed P ic
A a ic he c e ide if he igh ec i g icie ha eed
be c fig ed i he e . GBPA a i he c e he ig a i g
f c be e IP-add e -ba ed e a age e e f e ib e
g -ba ed a age e .
Ci c SD-Acce f Hea hca e 107
Figure 4.5: Cisco DNA Center Group Based Polic Anal tics (GBPA)
I Fig e 4.5 he e a e e e a f f a gi e ec i g
de i a i f h a ec i g ha bee a ig ed e
(U ). F e a e, he Ca e a g a d E ee g b h
ha e eb-ba ed f he U de i a i g . D b e-c ic i g
i ha h e f a e ca he ide if h e U de i a i a d
ca faci i a e g i g he i c IP-SGT a i g i Ci c ISE.
B c i egi i a e f ha ee e i a ed i he e
F egi i a e f , g h e ih i ia a e a d a ig
acce icie he c e ig a e hei adi i a e
a ic - eg e a i -ba ed e .
Silent Hosts
S e I T e d i hea hca e e e hibi i e c ica i
ai . The e e f de ice a e ei e efe ed a Si e H d e
hei i e c ica i . The a e b ad ca eg i ed i
ca eg ie ba ed hei c ica i cha ac e i ic :
O ce he e d i ae b a ded he e , he d
e d a f he ac e f a e . The e e d i ae e e ia
hibe a i g a d e d ecific f a e ac e di ec
add e ed he . The e de ice a be DHCP-ca ab e
a ica add e ed.
E d i ha a e cab ed a d ha e egi e ed he Fab ic
O e a beca e fa a ic IP add e
F he fi e f e d i , e e h gh he e d i i ac i e, he Edge
N de ha i c ec ed ha e d i a ha e e ed ha e d i
f he Edge N de h da aba e. Si ce he e d i i hibe a i g, he
Edge N de i ecei i g a e e e i dic I e e C
Me age P c (ICMP) be , he h i c ide ed a ge
e e he Edge N de. A he e d i i he e ih a
e i ec d f c ica i g i h he ie h i c i e
c ica e i g he Si e H MAC add e .
Ci c SD-Acce ha d i g ica f a e b f di g
he e e Edge N de i hi a IP Add e P ha i e ab ed f La e
2 F di g i he Fab ic Si e. Whi e e di g ICMP, hibe a i g
de ice i e d ecific a ad f affic ha a e e di ec
ee a . A a e , he Si e H i e d a d ej i he Fab ic
Ci c SD-Acce f Hea hca e 109
e if he ica fa e a e ee a i. F di g he
e d i i a ha e if he e d i i a f a La e 2 VNI, hich
e ie he La e 2 F di g fea e be e ab ed. O ce he e d i i
egi e ed i he C P a e N de, a f he c ica i he
e d i ca c i e ih c ce .
The ha e e e egi e ed i h he C P a e N de f he ec d e
f e d i . The a he Fab ic ca e e f he e e ce f
ch a e d i i b c fig i g a a a IP De ice T ac i g (IPDT) e
he Edge N de hich ch a Si e H i c ec ed. Thi a
a i g e a e ie he h ' MAC add e he De ice T ac i g
da aba e. O ce c fig ed, ch h i e e e ac i f he
C P a e a d ca c i e a ac affic.
Rolling AP Upgrades
Hea hca e c e ca g ade i ee e ih e
d i e. U i g he R i g AP U g ade fea e, AP ca be g aded i a
agge ed a e hi e i bei g c ec ed he a e c e . Thi
e h d ca be ed a id g ade d i e e e f N+1 e b
i g he N+1 Hi e R i g AP U g ade fea e a d a a e c e.
110 Ci c SD-Acce f Hea hca e
Ci c SD-Acce he abi i d a -h e e d i i a
ac i e/ a db de i diffe e Edge N de . Fai e ca ha e ba ed
fai e echa i , NIC b di g a d La e 2 F di g.
Whe i i i g NIC b di g, he e d i h i g e e Li
Agg ega i C P c (LACP) i ac i e de bac
112 Ci c SD-Acce f Hea hca e
I he he de , he e d i e e a ica i ha i ea
de ec hich i eed be ac i e b e di g hea bea i he e
a La e 2 ica add e . O he ac i e i i e d he hea bea ,
hi e he a db i ee ecei i g i . A g a he a ica i
c i e ecei e he hea bea he a db i ,i i be a .
I Ci c SD-Acce , hi i achie ed b i g La e 2 F di g f
B adca , U U ica , a d M ica (BUM) affic hich e d a
ica fa e f e Edge N de be ecei ed b c ie a he
Edge N de, a h i Fig e 4.8.
Ci c SD-Acce f Hea hca e 113
U i i i g i eg a i i h Ci c a e ch a Sa e Hea hca e,
hea hca e ide ca e e age hei Wi-Fi i f a c e a d Ci c DNA
S ace f e ca e i e a e a age e , e i e a a d
e ea e i i g, S aff, Pa ie , a d I fa P ec i , a e a
114 Ci c SD-Acce f Hea hca e
Si ified de e : Red ce c e i a d i c ea e i e
h gh a igh eigh c d a d c ec de i h ac i e/ac i e
HA. Sig ifica ed ce i e de , ai ai a d g ade
c a ed adi i a - e i e a chi ec e.
High Sca abi i : De i e Rea -Ti e L ca i Se ice (RTLS)
ca abi i ie a d e ca e a ca e ac i e ca i , i ga
igh eigh de e de . The DNA S ace c ec ca
10,000 Acce P i (AP ) a d 350,000 de ice ih
High A ai abi i .
E ha ced i i g a d : E ab e fa e i e i e
e i a d ed ce d i e h gh ac i e e d- -e d
i i g. Thi i c de i i g he a e a , he Fi eh e
API, a d he da a f be ee he c e , c ec ,
a ica i , a d DNA S ace .
Ci c SD-Acce f Hea hca e 115
SGT-ba ed e ae e e f-e a a a d i he ei i a e
ibi i ie f ece a c fig a i , he eb a e ia i g he b de
e e Ne O e gi ee e e h gh he icie he e e a ha e
bee e ab i hed b a diffe e ea f e gi ee i he a .
116 Ci c SD-Acce f Hea hca e
The e a e gi e i hi ec i a e ba ed Ci c b e ai f
hea hca e c e de e . A be gi e d e e e a
ha d i i a i . The ca e h da a be de e i ed b he de ice
bei g de ed a d he i f ai e e ed i he Ci c DNA Ce e
da a hee .
Figure 4.9: Large Healthcare Campus, Branch LAN, and WLAN view
Ci c SD-Acce f Hea hca e 119
Micro/Mobile Clinic
Small Clinic
Medium Si e Clinic
Large Clinic
Summar
Introduction
I ca e , he f i g cha ac e i ic de c ibe a E e i e Ne :
Wi hi he e ica f E e i e Ne , he e a e h ee ica e f
e : G e e , La ge E e i e, a d Ma aged Se ice P ide
(MSP). Each e a ha e a fea e i c , b he e a e
ecific cha e ge ha each e f e i eed e.
Ci c SD-Acce f La ge E e i e a dG e e 127
Challenges
S e f he c ga i a i a d he cha e ge ee i he
E e i e Ne i c de he f i g:
Government Agencies
G e e age cie ch a fede a , a e, a d ca g e e
eed e d- -e d e eg e a i f ec i ea .
G e e age cie ha e ec i a da e e ii g e
be ai ga ed.
Fede a age cie ha e i ge e ie e f hei VLAN hich
a e fi ed a i e ce . O e a i g VLAN ID ae a ided
e he e a e he i a ai ab e.
IT as a Business (ITaaB)
La ge E e i e Ne ae i g ac m del hich a
he i e a c -cha ge hei de a e ec e he
e e e i ed i e .
I di id a e a c e f he IT e be i a ed,
h gh each e a eed acce a c e f ha ed
e ice .
E e i e Ne ha e ig ifica ga ic g h. IP add e
ace be e e ed a d ai ai ed f ec i a dc ia ce
e a he e e a d .
128 Ci c SD-Acce f La ge E e i e a dG e e
Customer Solutions
The f i g ec i i de c ibe e f he c e ca e f
La ge E e i e Ne .
Government Agencies
Government Departments Isolation via Virtual Networks
Ma G e e age cie ha e eg e ed hei e achie e
c ida i hi e ai ai i g e a a i a d i a i . De i g i e
Vi a Ne i a a effec i e a i c ea e he Re
I e e (ROI) f a e a d ed ce he ea c fi e e ai .
A he a be f b e i ed ced, he ef a ce f he G ba
R i g Tab e i i c ea ed. I addi i , hi ide a fe h a i
130 Ci c SD-Acce f La ge E e i e a dG e e
a da di i g he IP add e che a f he g ba de e . I
ca e , ga ic g h i a ga i a i ead - a i ab e IP
add e e ac he e .
Inter-Agenc Audits
N e: IP 6 i he Fab ic U de a i a fea e i de de e e .
A ai abi i f hi fea ec e af e he b ica i f hi b .
IT as a Business (ITaaB)
Shared Infrastructure using IT as a Cost Center
Hi ica , I f ai Tech g (IT) ha a a bee ee a a c
ce e f a ga i a i . Wi h high e ce a d eai a c , IT had
a a bee i a f ai , eadi g a e e i e' ad i
f digi i a i . Ci c DNA Ce e , a g i h SD-Acce , he ih j
he a da di a i f a IP e ice ffe i g ac he e e i e b a
ih a i ge a e f ga ha ide a ie i a agi g diffe e
de a e i hi a La ge E e i e Ne .
de a e . Ne de a e ca be a id de ed i g he
a a ed f f Ci c DNA Ce e ( efe g i VRF
i ai ec i ).
Technolog IT Services
M e i d ie ac a diffe e e ica ae e e agi g he
ech gica e e i e f hi d- a IT e ice ech g c a ie i
de e i g a d ai ai i g hei IT a ica i a d e . S ch IT
e ice c a ie a e La ge E e i e b he e e , idi g e ice
a f hei c ie b e i ga f ce ha i dedica ed diffe e
c e acc . S ch c e ee a high e e f ec i a d
i ai i hi he e i fa c e f he IT e ice c a ie
e e ha he e i c i e he ec i f hei a ica i a d
da a.
Fabric Zones
La ge ca e ae c i ed f e ac a b i di g . The IT
ea ha e a IP che a he e he a b e e f he b i di g
a d e i a a ge g a hic ide i i hi he ca . Ci c SD-Acce
c fig e a he O e a b e a Edge N de b defa . Thi igh
be he de i ed beha i i hi ca e. U i g he Fab ic Z e ca abi i ,
ca c ai
ce ai b e i ce ai b i di g f , e e i g
he e i IP che a. U i g Fab ic Z e , ca a ig diffe e Edge
N de be i e aae e ha he e de ice he a e
i e i e ab ed i h he a e e f b e .
136 Ci c SD-Acce f La ge E e i e a dG e e
de e f e c i e B de a d C P a e N de f hei Vi a
Ne f f i a i . SD-Acce M i i e Re e B de
he eb ecific Vi a Ne ca be e i a ed ecific Fab ic a d
C P a e N de ih ha i g h e iha he e a i g
he a e i f a c e. Thi M i i e Re e B de fea e ca a be
ed e i a e VRF ac ie a e . The c a ica i
f hi fea e i i idi g G e acce ac i e . Thi a he
ga i a i ha e a c G e b e ac a i di id a Fab ic
Si e a d f e a he G e affic a ce a ie he e he M i i e
Re e B de i ca ed. Fig e 5.5 de ic he Te a e ca e.
A e a e fa e e i e ac i g a a MSP i a c IT ea a agi g
he i f a c e ha age cie ch a ice, fi e, a b a ce,
a d ch . Each f he e i ha e i i e ic e ie e ,b
he a ha e he a e ha d a e a id he c f de i g a
dedica ed e f each.
B i g Ci c SD-Acce , La ge E e i e i g a MSP ca e
ea i a d f e ib de i e he e ice e i ed b hei c e hi e
i g Ci c DNA Ce e a a i g e ch i f e eai .
Ci c SD-Acce f La ge E e i e a dG e e 139
Figure 5.7: Managed Service Provider Shared infrastructure with VRF-based isolation
140 Ci c SD-Acce f La ge E e i e a dG e e
If ha e a e e i e e ha e e d be d a i g e Ci c DNA
Ce e - ed e d i / e de ice ca e, he M i e Ci c DNA
Ce e Si g e Ci c ISE fea e ca a i i a i gf ad a age f
Ci c DNA Ce e b i eg a i g i e Ci c DNA Ce e e
( a da e c e ) i h a i g e Ci c ISE. The M i e Ci c DNA
Ce e Si g e Ci c ISE fea e e ab e a da d ic a d he Ci c
ISE fea e ac a i eg a ed Ci c DNA Ce e a d e a ed C ie
E d i /Ne de ice .
Inter-Geographical-Region Communication
I La ge E e i e , he de he M i e Ci c DNA Ce e
Si g e Ci c ISE i , each Ci c DNA Ce e a age i e
de ice a d Fab ic Si e . T e ea d ai ai e d- -e d aga i f
Sec e G Tag (SGT ) f affic f e Ci c DNA Ce e -c ed
SD-Acce Fab ic a he Fab ic, he be i i e a Sha ed SD-
Acce Ta i . A Sha ed SD-Acce Ta i C P a e N de ca be
Ci c SD-Acce f La ge E e i e a dG e e 141
Figure 5.8: Global SD-Access Deplo ment with Cisco Multiple DNA Center to single Cisco ISE
Telepresence Devices
U e c e a d IP Ph e a e he c de ice c ec ed
he Edge N de . The e de ice ca be fi ed, ed, a d
b a ded i he Fab ic.
The be e e ed i hi ec i ae ed a g ide i e a d d
ece a i a ch a i ecific ca e a d ef a ce i i f
de ice i hi a efe e ce de ig .
Maj Fab ic Si e de :
Ve S a Si e (Fab ic i a B )
S a Si e
Medi Si e
La ge Si e
E a-La ge Si e
Ci c SD-Acce f La ge E e i e a dG e e 145
Y ca e Fab ic i a B c e a i g e Fab ic Si e, i h e i ie ce
ed b i ch ac i g S ac Wi e Vi a 200
e d i a d 40 AP .
Small Site
he C ca ed B de N de a d C P a e N de. O i a ,a i a-
ha d a e-ba ed WLC i ed.
Medium Site
Large Site
The La ge Si e Refe e ce M de c e i e b i di g a b i di g ih
i e ii gc e . The h ica e i a Th ee-Tie i h C e,
Di ib i , a d Acce La e . I a e e c ai a ed S e C e
ha agg ega e e b i di g a d e e a he e eg e i
he WAN a d I e e . The B de P a e a d C Pa e f ci ae
i i ed e a a e de ice a he ha c ca i g.
E tra-Large Site
Summar
Thi cha e h ed ha La ge E e i e a d G e e Ne ae
e a i e a d c e . Y a h Ci c SD-Acce ca he e
c e cha e ge ch a g ba e d- -e d eg e a i a dh i ca
a e a ga i a i e a digi a a f ai j e . We
ea ed h Ci c SD-Acce e ab ed La ge E e i e Ne
a f f IT a a C Ce e IT a a B i e . We e a i ed h
e La ge E e i e i e ie i- e a c ca abi i , a i g he
e e ia Ma aged Se ice P ide (MSP ). We de a ed h Ci c
SD-Acce ca ide ca ab e, ec e e f hei c e .
Fi a , e h ed h SD-Acce a La ge E e i e ga i a i
c ehe i e ec i eg e a i a egie i hei c e ,
g ba , e d- -e d e .
Cisco SD-Access in
Universities
154 Ci c SD-Acce i U i e i ie
Introduction
U i e i e ae i e beca e he a e b i he e i e f
idi g he i a e ha i g a d c ab a i e e e ie ce i he i f
ea i g. T ha e d, he a e di ided i a acc da e a i
eed i hi he i e i ,a i h ha c g a f ha i g. U i e i ie
a e bdi ided i ca e f ai i e he e ecific eed f he
de a d fac a e add e ed.
U i e i ie f ci a a e di ided i de a e ha a e ce e f
ea i g a d ide i ci de .I ha ega d, each de a e
ha a ied eed , e e h ica ha he , b a i h he idea f
ha i g e e ce ac he e be ed i i ci .
T ica , he e ha ed e ce ae h ed e e ecific
achi e i hi he ca i he da a ce e , b i d e a f
i e i i e i . Re ea ch ab e i e a i e a f da a
a fe f e e d f he ca he he . F e e , he
e ie e f ecific a ica i e ice ffe ed de
fac e iea e ched La e 2 b adca e i e .A i e , i e
I e e P c (IP) c ec i i i a ha i e i ed, b he e ha i i
a a c ec i i a d ha i g f i f ai .
156 Ci c SD-Acce i U i e i ie
O ce he de ice a e he e i hi he c a , he ica e
e ha ed e ce a ica i , a d each ha i e ie e .
T ica , eachi g a ica i i e CANVAS a e ica -ba ed a d a he
eache a d de i e ac i a c ab a i e c a e i g.
Whi e ha i e e a e f ch a a ica i , e i e i ie ha e
de e ed hei e ec i e a ica i faci i a e i ci , a d
he e a ica i a i e ica i ef fa hi .
Si i a , he e a e c e ice ha a de a e i ii e b ad
c ie he e . The e i c de D a ic H C P c (DHCP),
D ai Na e S e (DNS), a d Ide i Ba ed Se ice ch a Mic f
Ac i e Di ec (AD) A he ica i , A h i ai , a d Acc i g (AAA).
The e e ice a e e e ia f he de ' c ie ha he b i g i h he
gai acce he a i c a d de a e e ce .
Addi i a ,i i i a de a d ha hi e he e a e he di ec ea i g
eed f he de a d fac , he e a e a he eed f he i g
de a e . Th e i g de a e ae ica a ed faci i ie , a d
he e a e a a gi g f ca e i g, ja i ia , e di g, hea h a d e e ,
edica , ,h i g, fi a ce, a d ad i i a i . Each faci i ha a g a ,
a d each g a ha ecific e i e e . I hi a ea, he e i a a i
a he i g faci i achie e i g a . Each a ica i i hi ha
faci i c ie ed i ha e eed , a d he e eed add e he e
eed .
T b i d he Ca Ne da , he Th ee-Tie e de i e
ch i e, a d a ch, d ai ai f i fa c e f i ici i
efe ed, i h High A ai abi i a d ed da c e ch de ig ed i he
c i e i e . Wi hi he e Th ee-Tie e , he f c
agai i he eed f ce i g a d ha i g. O ce a c ie i b a ded i
he Acce La e , he e ha i i idi g ha e e e ice he eed
ic a d e edie i h a fe icie a ib e. Whi e hi i he
ge e a e, he e i a e ha i i i e i ie ec ecific
ee e f h ea , ch a fac de ice , i e ec a e , a d da a.
Whi e icie a e ed ced, he e i a a be ec i i ace ha
be adhe ed a d e f ced.
158 Ci c SD-Acce i U i e i ie
Beca e f he ca e f i e i e ,b hi i e a d he be
f e d i , he e i a eed f he i e , hich e d defi e a icie
a d acce , be a a ica a ig ed a ch a ib e ed ce ai
aff a d ide b e f e a da ica i e e ie ce.
T dea i h hi i he c e e ,a a i a d che a i af
a e begi i g be hea i ed, a g i h ce a i ed AAA e ice f
ic . I eg a i i f he e c e ice a e ica h ed i hi
a ge da a ce e a d ha ed a c e ice he e a a h e.
Re e ea i g a d acce ha e bee f i a ce a e i he a fe
ea , a d hi e he f c f hi cha e i he Ca Ne
e i e , he e a e ecific a ica i a d e e ice ha a e ed
add e a d faci i a e e e ea i g, i e ide e d i a d ee i g
a ica i , hich he de fac a de ice a d hich
a e c cia idi g a i c i e e i e f a .T ha e d, he e
a be ab e dea i h he i i i a i f a ica i ac he
e e ea b e e e ie ce f he e ea - i e a ica i .
The d i ie he e de ae h ed ca a ha e ecific
e eed . Whi e i e i ie e e he de ha acce a
hei ea i g eed , he a e e e ia he de 'h ea a f h e,
a d he e ha i i he e e i e hif f j he acade ic
e f a cia e e e ie ce. I hi e i g, he e
acc da e he de ' de ice , i c di g e a c e , TV a d
af he e ea i g ide i i i ed, a d e e ga i g e i e .T
hi e d, i e i ie ce cab e TV a d ee he e e
e ie e ,b he e be acc da ed.
I he f i g ec i , e i di e i he ica de ig ca ea ha
e a chi ec i e ec e he ad i g e ech g a d
eh d i hich Ci c SD-Acce i he e ec e he cha e ge b
de ig .
Ci c SD-Acce i U i e i ie 159
Challenges
U i e i e ae ha ed af he eb ce a c ie i
a he ica ed, i i a ed acce he e ce i he ic e a d
ea ie eh d ib e. The i e i e a chi ec e' cha e ge
ae fe i e c a ed c e i he i e f b i e . The
f i g ec i i e e e a f he c i ica ca abi i ie e i ed b
U i e i e .
U i e i e de ig ha be e a ab i ia e e i e
e de ig hich ca aff d ha e a d i e. The e
h d be f ed da ei i a e a i ge i f fai e, e i ie
ee e i e e f high e a ai abi i , a d f g ide i e f
hie a chica e de ig .
I he a 10 ea , i ee de ice ha e bec e a i eg a a f
e a a d fe i a ife. The ed ca i ec i e ce i i
a i g he ea i g e i e e f e ib e f de .Bi gY O
De ice (BYOD) e d a c e i h hei fai ha e f cha e ge , ca ea ,
a d c ce . T ch cha e ge /c ce a e:
Silent Host
Si e h a e de ice , ch a e di g achi e a d hi d- a I T
de ice , ha d a ce hei e e ce he e , hich e a
cha e ge i b a di g ch c ie he e . M de ec i
h ea ee e ab e e i , ch a he e ie h ,
e i a e ' a ab e e e i e i f ai . The e de ice
be ide ified a d b gh i he ec e f a e f he e .
A he ed ca i ec e ba a digi a a f ai j e , he a e
addi g i c ea i g e de ice hei e . Wi h he a f he e
acade ic ea , e e e de bi g i e de ice hich eed
e acce ca . P fi i g a a e e e i b a di g
he e e de ice he e . The fi e i ec i g de ice i
i g ha de ice ha e i e . He ce he i h d
be ab e fi e a he diffe e de ice e hich a e ge i g c ec ed
he e .
U i e i ie ica ha e i e a e ga i a i h e e ae
i e i hi he i e i a d eed acce e ice hei
e ia he SD-Acce e i e . A i e e ca e ha eed
i d c h each f edica ch b a ei g ih
eighb i g h ia .I ch a ca e, bac - -bac e e e d ai
e ice h gh a De i i a i ed Z e (DMZ) e i e he i e i ,
a d g a ded acce be ided i hi he e .
U i e i ie ab d ih de a d f ie d b i gi g a i d fe d i
a d a acce e e i he e , i c di g G e acce . I ch
ce a i , a e -ge e a i e h d be ab e affic
i ec i f g e affic hich ea he fi h f a g e affic
eed be a fi e a i DMZ.
Ci c SD-Acce i U i e i ie 161
Wi h e e ia g h i he be f e d i c ec i g he
e , he e i a eed f he IT Tea ec de a d fac
i f a i , e ea ch da a, fi a cia da a, a d . Si ce a f hi
i f ai e he a e e i fa c e, i i c cia
e ab i h a eg e ed e i e e e c i ed c ie i e
g f i ac i g eai fa he g .
Vide ei a ce ha bee a e c e f e i g de a d
fac afe a d ec i i a ed ca i a i i i . Vide ei a ce
ha bec e e i a a ec i i i c ea e f i e i ie ha
eed i a i ec d e e . T adi i a , e e a e aae
e a e de ed f di a a e a ica i ch a ide ei a ce,
fi e a d e de ec i , a d digi a ig age. A a e , IT ad i i a
ac c i e c , i e e abi i , a d ca abi i ie , a a i g i highe
ca i a a d e a i a c . He ce he e e a chi ec e h d ee he
e ca e e ie e i ed ab e h gh he f ci ai f he IP
e i fa c e a d i e ab e ec e acce i e a d ec ded
ide .
F e ib e e gh ha e de ' c ea i i h hei c a ae
E ab e fac ha e i f ai a A e TV i a c a ,b
de
A fac e ai a de jec hei i he
ca
162 Ci c SD-Acce i U i e i ie
S a IT ic ega di g hich i e ca be ed b
de a d hich ca .
Ad e i e ca e ice a ai abi i ba ed ca i
Wireless Challenges
High-densit Wireless
A i e i ha a f b i di g ead e a a ge a ea f a d, a d
he e a e a c e f cha e ge be e b i ee e . S de
ae a a i g ac ca a d d j a acce i ide he
b i di g , he i a eed c e age d . O he ha hi
c e age, he e a be a de i a a ea f a i g e AP a age,
ch a a ec e ha a di i . De i i e e e f a c ce he
e hi ab de / a ed ca i i g ech g . The e cha e ge
a e de a di g a d c d ca e di a i fac i a g de a d
fac ie .
U i e i ie be ab e h a d f de h ae a
i a e c ec i g he e . Be ide he de a d fac ,
g e e a eed acce he e . G e acce i eeded f
i i ,e e a e dee , a d .
Ci c SD-Acce i U i e i ie 163
Customer Solutions
Addi i a , h e de ae a ed a La e 3 f a U de a
e ec i e. Thi a f E a -c M i a h (ECMP) a d he abi i
e ice e ad f a ba d id h e ec i e e i e di e e
i . C ide i g he ad a Ca Ne ih h d ed f
h a d f e d i , he abi i ff ad da a h gh e i e
ic , fibe , a cei e , a d ASIC a add e he a e c a d
ad f he e . B de N de ca he i g e affic ad
a i affic a d he e efi e f he e i e i hich he
c ec . T ha e d, e a ia e ha d a e i hi he SD-Acce
C a ibi i Ma i a d de ig f b h ba d id h a d efi c ce , a
e ha e i e i ch a d e af ha ca acc da e he
e ie e .
Ci c SD-Acce i U i e i ie 165
F aC P a e N de e ec i e, he c ide i g ed da c , high
a ai abi i , a d ad, e c ide he be f E d i Ide ifie
(EID ) i hi he ace. Se a a i f Fab ic e a d e ibi i ie i a
ca abi i f SD-Acce , hi e he b de ha d ff i bei g a aged f
ai e ca e , e ca f he e a a e he C P a e N de f he
B de N de a d ha e ha f ci a de ice ha ca ca he ab e i e
f he ecific e a de ig .
C e he C ie f a acce e ec i e, hi e e a add e a
f e ib e bi e e i e a ch a ib e, e ha e b i d he
e i he h ica e i e f he i e i . T ha e d, e
c f he a e f he h ica b i di g he e he e ae
ca ed. S ei e e ha e e Acce P i ha i ch , he
cab e a d e ceed he IEEE UTP ecifica i . I h e ca e , e
eed addi i a acce i che he a ge i ee
e i e i h h d ed f Acce P i i a ge b i di g . D e he
a e f cab i g a d ca i f he i chi g, e i eed i e
di ib i i che add e he high a ai abi i a d e i ie ce c ce
he e e a ha e he e Edge N de i-h ed. I i ai i e
hi , e ca e he I e edia e N de, hich i he e d e
a ici a e i he Fab ic.
ea , ih ai aj e d idi g he ca abi i f c ee ha i g
a a d bi e de ice ch a ab e . A a e , e ha e
i ied he be f ica ce , hich i ha e e
he ab e i e i hi he e .T ei ha i , e eed ha e a a f
c i g he ica e i e hi e a i g f c hich
de ice a be ce a d hich de ice a be ecei e . T hi e d e
ca i c ae eh d f e a i g:
1 E e ica e i de ig ed a d b i i h e i ie ce a d
c ec ed Re de P i i a a ai ab e a e , i g ACL
i i ea b ci i .
A he c ie i be i i a e , he ica affic f h e c ie
i be ca ied i he O e a i hi VXLAN.
A a c d a d WAB c
150 TCP . D d a Ed N d d c a
Fab c, a d b ad WAB c .I
d ca a La 2 ,
c SDG c a a a La 2B d N d a d a La
2 P d ac a V a N . A a , Ed N d
c ac Ca a , ca SDG a
R d Acc Ed N d a La 3.
I a d a d c b , a c
ca c , b d , a d ad
d acc da ca a .
Ci c SD-Acce i U i e i ie 169
SD-Access Macro-segmentation
The e a e i e de a e a d a ied c ie a d e ca e i hi
i e i ie . The a e f he i e i ace i ha he ca b i g a
de ice a a i e a d c ec i he e if i aid he de a d
fac i achie i g he g a f c ab a i . I a c ab a i e e i e ,
i i i a dea di ec i h he e a ied c ie ec e . SD-Acce ,
b de ig , i c ae he idea f ac - eg e a i a d ic -
eg e a i . Wi hi hi ec i , e i di c a ea he e ac -
eg e a i ca be e e aged. Whi e hi i a a h iai e i , i i
he e h he f e ibi i f he de ig a d a e a ae
be d hi b e a ied e ca e .
Ci c SD-Acce i U i e i ie 171
U i e i ie ha e a e a de ice hich a e b gh ca .A
a i , Ci c SD-Acce a b a d he e ecific de ice ia
Bi g Y O De ice (BYOD) f . Fac h ae i e i
e ee a ha e h e he de ice hich eed be c ed
f ec i ea b a M bi e De ice Ma age (MDM) a e ecific
a ica i f i g e ice a ai ab e he he faci i a e ea i g
i hi he i e i . T ha e d, h e ica f a e e ha he
de ice i a ia e ca eg i ed b he e he b a di g a d
ac ed f a i- i ig a e a d a a ie e e ha i c f
he i e i icie . The e ca eg i a i ca be ed i hi he icie
f ce a Cha ge f A h i a i (C A) cc i he e e f a b each
f ic i i fec i . Addi i a , he c ie a be aced i a
172 Ci c SD-Acce i U i e i ie
e aae i a e e ie f he de ai , h achie i g
he ai f e aai g de a d fac affic. Thi i e eh d f
dea i g i h he i a i , a d a e i he cha e e i ee h dea
i h hi cha e ge i a diffe e a .
A c ie aeb gh he e i hi he i e i ace, e a
a a ch affic a e ca f c ab a i . A a e , a defa
Pe i Li eh d g i i i ed. U i g a defa Pe i ic , e d
c ea e e ha de beha i ed a hi e e e hi g e e d
be e i ed.
A iha e , he e a e g d eai g e a d e ,a d
he i ee ica hich i ed a de ice a be b b i e
ca e i .Ag de a e f hi i e a de ice de bi g
ca , ch a Mic f Xb he ga i g e .I i ai i e
he e, e e e ha e fi e he de ice a d, f ca eg i a i , ca
ee d i gica icie e e he de ice i b a ded ec e , b
e" i h " ec e . We ca a i i e a BYOD a a he e
add hei de ice he e a a . Thi a f he
e d i be b a ded a ia e b a f he fi i g e e
ha e fe d i e d i he c ec eg e f he e .
La , e a eed eg e a e ga i a i f each he hi e
a i g he i i e he e f a i hei e . A
e a e f hi i a i e i edica ch ha i a e ed ih e
e a ge hea hca e ide . I i ai i e hi , a bac - -bac
e ice ide - e c ec i i ade be ee he e i i g ga i a i
faci i a e he e cha ge f AAA affic a d da a affic. The e f
a be gica e a a ed f e a he . I e de ig , a La e 2
eg e i ed e ch i e a ha d ff i Ca ie S i g Ca ie (CSC)
e . Thi de ig e e IP f ad affic a d c ec i i ,
i ii g e e cha ge.
I i , he ef e, ib e c ec a d c h eache a he i e i
he Ca Ne i g hi c ede ia a d eg e ba ed
i e i icie b ei he i g RADIUS ac he B i e - -
Ci c SD-Acce i U i e i ie 173
SD-Access Micro-segmentation
Wi hi i e i ie , he e a e i e he e i a he a i c ie
be c ai ed i hi he a e ac - eg e b , a he a e i e, ic -
eg e ed f each he . I Ci c SD-Acce , i addi i idi g he
f e ibi i f i g diffe e b e , e ide he f e ibi i f ic -
eg e a i , i.e., i g he a e b e i a e e a d e d i -
ce ic a ach. Thi a b a d c ie i diffe e g
i hi he a e Vi a Ne hi e c i g acce be ee h e
g . I hi a ha e achie ed eg e a i i hi eg e a i ,
ha e ca ic - eg e a i .
174 Ci c SD-Acce i U i e i ie
Mic - eg e a i ,i hi ca e, d be de i e ed b SGT a ig ed ia
Ci c ISE a a h i a i , a d a eg e ic i he f f a Sec i
G Acce C Li (SGACL) d e f ce a d e ic c ie - -
c ie affic. The SGACL i ga ed i he Fab ic he c ie ae
a h i ed b Ci c ISE ia 802.1 MAB, hich e ab e he d a ic
a e f he e .I a a he e e h e icie i
eed he c ie e i , f eei g a ab e e ce f f a di g affic
he he a e eeded.
The e a e a i he ca e he e ic - eg e a i a be e i ed
ec e ecific ea f he affic. Th e a i c de, b a e
i i ed , ide ei a ce feed f i ee ca e a a e a a
Ci c SD-Acce i U i e i ie 175
Wi h a i ified a d ce a i ed c b e c e, Vi a Ne
A ch Si e ig ifica i if he g e e ice de e ac
ie a d ide c i e a d ec e eg e a i f g e affic i
i e i e i e .
U i g a ch ed e ice , affic f he e d i ha be g he
A ch ed Vi a Ne a each i e a e agg ega ed a d e ed bac
he e e a ch b de a he A ch Si e e VXLAN. A A ch Si e
f ci e ch i e a adi i a Fab ic Si e, b i f a i a Fab ic
Si e e i g a a ic a Vi a Ne .
Thi i a Fab ic Si e ha i i e B de a d C P a e N de i
he A ch Si e. Wha i ecia ab he A ch Si e i ha i edge a d
i ee c e a e di e ed ac i e Fab ic Si e , efe ed a
a ch i g i e .
176 Ci c SD-Acce i U i e i ie
M i i e Re e B de i e ab ed a e -Vi a Ne ba i . F a
A ch ed Vi a Ne , a edge i he a ch i g i e e he a ch
B de a d C P a e N de f da a a e a d c c ica i .
Wi e e c e i he a ch i g ie c ica e i h he A ch
C P a e N de f i ee e d i egi ai ecific he
A ch ed Vi a Ne .
Si ce he a ch b de eachabi i a a e e i e IP e ,
ecia a e i be aid he MTU ac he e i e ah
Ci c SD-Acce i U i e i ie 177
A ch ed Vi a Ne i c fig ed e he A ch Si e. Af e a g e
e d i j i he g e SSID a d a e he Ce a Web A he ica i
i g Ci c ISE, i i a cia ed i h he a ch ed g e Vi a Ne .
G e affic i e ed he A ch Si e B de N de a d eg e e he
I e e h gh a fi e a .
de ed c ec e e e he i ai be ee diffe e Vi a
Ne acce i g h e e ice . I ca e , ch e ice e ide i
he g ba i g ab e (GRT) f he e i i g e OR a be i a
ecific Vi a Ne VRF.
Fab ic c ie i he SD-Acce e e a e i O e a Vi a Ne .
Th , if he ha ed e ice a e a f he g ba i g ace a ecific
Vi a Ne VRF, e e h d f I e -VRF e ea i g i e i ed.
The e a e a d i e -VRF e ea i g:
If fi e a i ec i i a e i e e , he SD-Acce E a e i a
i ai e a acce ha ed e ice f he VRF ih e ii g
a ee de ice f e- ea i g. F e i f ai ab SD-Acce
E a e , ea e efe ha ec i i he A chi ec e O e ie cha e .
Wireless Solutions
Fabric-enabled Wireless and Over-the-Top Wireless Design
I hi da a d age, a e h ica c ec hei e a
de ice a e e he ha e , a d i ee e be
high e i ie a d ea i a ai ab e. F a i ee e ec i e, he
di c i g he Fab ic, he i ee Acce P i (AP) i be di e ed
a g ai i e ca d f cha i -ba ed i che ac ai
e be f a S ac Wi e de e . Thi e e a highe e e f
e i ie c i hi he i e e e i e , a i g f he i ch
e be g aded b a ead he ad f he i ee e
ac i e i che ASIC faci i a e c ie ad a d ba d id h
c ce . T a e hi e e f he , ca a ii e e i i he
i che ha i he e e f e a ai , ecific AP i g d
c ea e a b ce a i i ead f a c e e b ac .
A e i h a ed a acc ca c ec he ed a SD-Acce
Wi e e SSID, hich a de ig ed b a ge i e i ie add e c -
i e i a he ica i f i e i - - i e i a i g. I hi ce a i ,
e d a ch he ed a c ie da a affic a e f B de N de
a d C P a e N de i i i g he M i i e Re e B de ( ee Fig e
182 Ci c SD-Acce i U i e i ie
6.8) i hi he DMZ. Wi e e c ie d ii e he ed a
i fa c e, ca ed ff-ca i ca e , f c ie a he ica i a
h i Fig e 6.11. I hi ce a i , he c ie da a e i i e i a ed
he G e A ch B de N de a d he F eig C e.
A i e i ie a ge i i e, b i i ica ha e a ge be fe d i
ed ac a Ca Ne . F he acade ic ea f 2023 a e,
e e a e i e i ie ha a c bi ed de ai f e
50,000 f b h de g ad a e a d g ad a e de . If each de bi g
de ice ca , ha d be c e ai e 100,000 e d i .
If ee bac he i ih a he I T de ice , fac de ice , i e ,
ca e ,a d he de ice he e , ca hi he ca e i i fa
i ge a da e DNA Ce e XL a ia ce ea i .
A a e ,i i c f i e i ie i e f ai a f he
e i ai c e , a i g Ci c SD-Acce be ed i
i e e i e . A a ge ce a ca e i e i e Ci c
DNA Ce e c e, hi e i e a e a e i e ca ca i ae
a he c e.I ch ca e , M i e Ci c DNA Ce e i g e ISE
i e i ed ee he ca e e i e e f he U i e i e . I addi i
ee i g he ca e e i ed, he M i e Ci c DNA Ce e i g e ISE
de e ai ai ec i ic c i e c b a ig i g e Ci c DNA
Ce e c e i h he ic a h e hi e he he c e i i a ead-
e.
De ig ih ca e i i d a e e a e f he e i e ,
i c di g he a age e a e
Se ec he a ia e ha d a e a f he e ec ed
ad, idi g e head f g h
U de a d he e i ed ha d a e ab e i e eeded a each a e
he fea e e i ed, idi g e head f g h
Kee i i d he e i e i ed de ig a ec c ce i g a
Ci c SD-Acce a chi ec e
Ci c SD-Acce i U i e i ie 185
Summar
We ha e ee ha U i e i e i e ae i e d e hei
cha e gi g e ca e e a ed hei g a f idi g he i a e ha i g
a d c ab a i e e e ie ce i i g highe ea i g. Whe de ig i g
hei e , he be e a igi a e e ha he acc f he
hee ca e f hei e i e , a d he e ib e, he h d i i he
i e f fa d ai e e ha c e ge ce a d eai a e i ie c
ae ai ai ed a he highe e e . Whi e e ha e c e ed a be f he
ai de ig ca ea a d e ca e i hi cha e , igh e c e a
i ia e ca e i a he e ica . If e c e ch a e ca e, ea e
efe ha he e ica cha e .
Introduction
Fi a cia ga i a i ch a e ai ba , c edi i , i a ce
c a ie , a d ca i a fi a e hif i g digi a e a chi ec e
ec e b id a d e a e 1000 f ca i ac he d. Whi e each
ca i a ha e ecia e i e e , he fi a cia e ica eed
a da di ed a d ec e e c ec i i , i if i g e
eai a d ai e a ce, fai e- e i ie e ,a dc i e ic
i e e ai ac he e i e ga i a i .
Challenges
HQ i e a e c a e b i di g c ec ed b Me ia A ea Ne
(MAN) f ad i i a i e b i di g a d b Wide A ea Ne (WAN) f
e e iec ec i i .
The B a ch ca i i he g , Si e1 a d Si e 2, ha e diffe e ca e
e ie e b e b aci g ei he a T -Tie , Th ee-Tie , i g e de ice
e hie a ch f he LAN I f a c e.
Securit Challenges
C be ec i h ea a e he bigge h ea ha ee a fi a cia c a
Chief I f a i Sec i Office (CISO) a a e a igh . The a id a i i
h b id a d he e i f digi a b i e e ice c e
ha e a i e i c ea ed a ac face ec a ai ab e c be c i i a .
If e i chec , he e bad ac ca a e ad a age f e abi i ie
a d ca e a i e e i b h fi a cia a d e ai a e . The CISO
g e i dica e ie ba ic ec i f da e a a d ec i
ce e .
Compliance Mandates
Fi a cia e eed ec high e i i e fi a cia ec d a d
i f ai f c e , a d he ae ic b d b g e e
eg a i . F e a e, he PCI-DSS (Pa e Ca d I d ) a da d
Ci c SD-Acce f Fi a cia C e 191
i c de a da e ch a da a e c i i f igh , ec i a da e f
i g c e da a, a d ac i g a d i i g e e ce a d
ca dh de da a. Fi a cia Ne ide c ee a d c a
i ibi i f e a age e a d i i g.
Fi a , gi e ha diffe e de a e a d g e a ha e he a e
e i fa c e, e e g be i a ed f e a he a d
e ic ed he e ce he a e e i ed acce . A he a e
i e, he e di e e g f e a d de ice i eed acce ha ed
e ice .
Availabilit (Five-Nines)
D e he c i ica i f fi a cia e i dai i e , 100% a ai abi i i
he g a . A fi e- i e a ai abi i c e c e 100% a ai abi i a d
g a a ee ha he e i be f 99.999% f he i e ( gh 5
i e a d 16 ec d f age e ea ). A a i , M i i g, L ad-
ba a ci g, a d fai e che e ca a fi a cia fi ee bea he
g a f fi e- i e a ai abi i .
Acquisitions Integration
T ea he f e g a d be efi f ac ii g a ga i a i , he
e f he e gi g ga i a i be i eg a ed i i e
ed da eai . The e i a he fi a ea f i eg a i ,b
hi ha be d e ec e ha he ga i a i i e ed e
e abi i ie .
Lean IT staff
Gi e he g ba f i f a ge Fi a cia , a i i e i ed ha
a ca i ca be b gh fa e a d a aged e e ha
fi a cia ga i a i ca ai ai a ea IT aff. The e i e e i
ha e a ai a da a ce i he e ed ce he c e i a d
i e e f b h de e a d be h i g.
194 Ci c SD-Acce f Fi a cia C e
Customer Solutions
Cisco SD-Access
Thi ec i c ide a ecific e ca e ha a e ed i h Ci c
SD-Acce i a a ed f Ci c DNA Ce e . The Ci c SD-
Acce a ica i he Ci c DNA Ce e c e f de ig i g,
i i i g, a i g ic , a d idi g he ca i ed a d i ee
e i h he c e ha e ab e a I e -ba ed i ii e e .
Fab ic i a i eg a a f SD-Acce a di d ce O e a ha e ab e
ea - -de e i ai a i ac he i ed a d i ee ca .
I addi i e i a i a i , Fab ic ide f a e-defi ed
eg e a i a d ic e f ce e ba ed e ide i a d g
e be hi . S f a e-defi ed eg e a i i ea e i eg a ed i g
Ci c Ide i Se ice E gi e (ISE), idi g ic - eg e a i h gh
he e f ec i g i hi a i a e .
Ci c DNA Ce e a ae he c ea i f Vi a Ne , ed ci g
eai a e e e a d i i h i eg a ed ec i a d i ed e
ef a ce ided b a a ce a d a a ic ca abi i ie .
Securit Challenges
Macro-segmentation
O e f he efe ed eg e a i eh d f Fi a cia c e i
i a e he e e d i (CORP, GUEST, I T) b aci g he i diffe e
i a i ga df a di g i a ce (VRF ). Ci c SD-Acce ffe he
f e ibi i f ac - eg e a i fe d i i diffe e VRF , a f hich
ca be i i ed i he e f Ci c DNA Ce e .
Ci c SD-Acce f Fi a cia C e 195
Micro-segmentation
Wi hi he c e f a i g e VRF, c e e d ha e f he
eg e a i eed f e ca e ch a :
F ch e ie e , i he adi i a e a chi ec e, he
ea eg e a b aci g g i diffe e b e e f ced b IP
ACL . I Ci c SD-Acce , i addi i idi g he f e ibi i f i g
diffe e b e , e ide he f e ibi i f
ic - eg e a i , i.e., i g
he a e b e i a e e a de d i -ce ic a ach.
Secure Onboarding
Device Onboarding
I Fi a cia Ne , Ze T i fi di g e a d e ad i . I i
c cia ec e b ad e a d e de ice . Ci c SD-
Acce ca f ce e de ice ch a AP a d i che be ec e
b a ded i g IEEE 802.1 echa i . Thi ec he e f
he a ach e f a h i ed de ice b ai ai i g c ed a he ica i
a Edge N de acce . E e ded N de b a ded ec e i g
c ed a he ica i a e ca ed S ica -Ba ed E e ded N de (SBEN).
Sec e AP b a di g i d e b a h i i g he Acce P i ac ed
a he ica i b a i g i i ed acce DHCP/DNS a d Ci c DNA
Ce e f he P P f . The P P f he Ci c DNA Ce e i
e ha ced e ab e a d 1 ica he AP, a d he AP e hi
ica a he ica e i h Ci c ISE.
Availabilit (Five-Nines)
Disaster Recover for Cisco DNA-Center
Fi a cia i i i ha e a e a ce f a age e , c , da a
a e fai e. Ci c DNA Ce e b hi a-c e a d i e -c e
e i ie c . Ci c DNA Ce e ' Di a e Rec e i e e ai c i f
200 Ci c SD-Acce f Fi a cia C e
h ee c e : he Mai Si e, he Rec e Si e, a d he Wi e Si e. A
a gi e i e, he Mai a d Rec e Si e e a e i ei he ac i e
a db e . The ac i e i e a age e hi e he a db i e
ai ai ac i da ed c f he ac i e i e' da a a d a aged
e ice . Whe e e a ac i e ie g e d , Ci c DNA Ce e
a a ica i i ia e a fai e , c e i g he a ece a de ig a e
he f e a db iea he e ac i e i e.
Critical VLAN
Ci c SD-Acce a C i ica VLAN ca abi i ide i i
e i ed e c ec i i i e d i he he c ec i i
hei ISE e e i d e age ch a a WAN age.
Audit Logs
A di g ca e i f ai ab he a i a ica i i g
Ci c DNA Ce e . A di g a ca e i f ai ab de ice b ic
e i fa c e (PKI) ifica i . The i f ai i he e a di g ca
be ed a i i be h i gi e , if a , i i g he a ica i
he de ice PKI ce ifica e . A di g a ec d e e e , he
a d he e, a d hich e i i ia ed he . Wi h a di ggi g, c fig a i
cha ge he e ge gged i e aae g fi e f a di i g.
Configuration Compliance
C ia ce he ide if a i e de ia i - f-ba d cha ge i he
e ha a be i jec ed ec fig ed ih affec i g he igi a
c e .
Wi h Ci c DNA Ce e , a e ad i i a ca c e ie ide if
de ice ha d ee c ia ce e i e e f he diffe e a ec
f c ia ce ch a C fig a i , S f a e I age, P d c Sec i
I cide Re e Tea (PSIRT) e e, Ne P fi e, Fab ic, a d
e.
C ia ce chec ca be a a ed ef ed de a d, a h
i he f i g:
Ci c SD-Acce f Fi a cia C e 203
A a ed c ia ce chec : U e he a e da a c ec ed f
de ice i Ci c DNA Ce e . Thi c ia ce chec i e he
a a d ifica i f ai e ice ch a i e ,
S f a e I age Ma age e (SWIM), a d a e da a.
Ma a c ia ce chec : E ab e e a a igge he
c ia ce i Ci c DNA Ce e
Sched ed c ia ce chec : A ched ed c ia ce j b i a
ee c ia ce chec ha a e ched e, f e a e,
e e Sa da a 11 .
Ci c DNA Ce e he f i g e fc ia ce chec a he
i e f hi i i g:
F ag c ia ce e ai i g f he i g c fig a i
e de ice bei g diffe e f he a c fig a i ie
ha Ci c DNA Ce e ha f he de ice.
S f a e i age c ia ce f ag i dica e if he g de i age i
i g e de ice
Fab ic c ia ce e if he c fig a i de ed b he SD-
Acce Fab ic f ee a e ed ih f ba d
PSIRT c ia ce ae e ad i i a f e i i g
e abi i ie i he e
Ne c ia ce a e if he de ice ae i g
c fig a i e he i e ca ed f he gi e i e i Ci c DNA
Ce e
Configuration Drift
Fi a cia ga i a i ae fe bjec c ia ce a da e ha
dic a e ha ga i a i ai ai a chi e f c fig a i f a e
de ice . Ci c DNA Ce e c fig a i d if ha high igh he
c e c fig a i fe e i g e de ice i h he f e ibi i g bac
a h ie h c fig a i ha e cha ged a ecific de ice.
204 Ci c SD-Acce f Fi a cia C e
Administrator (SUPER-ADMIN-ROLE): U e i h hi e ha e f
acce a f he Ci c DNA Ce e f c i . The ca c ea e
he e fi e ih ai e , i c di g h e i h he
SUPER-ADMIN-ROLE.
Net ork Administrator (NETWORK-ADMIN-ROLE): U e i h hi
e ha e f acce a f he e - e a ed Ci c DNA Ce e
f ci . H e e, he d ha e acce e - e a ed
f ci , ch a bac a d e e.
Observer (OBSERVER-ROLE): U e i h hi e ha e ie -
acce he Ci c DNA Ce e f c i . U e ih a b e e
e ca acce a f c i ha c fig e c Ci c DNA
Ce e he de ice i a age .
Lean IT Staff
Centrali ed Troubleshooting using iCAP and Sensors
Fi a cia c e f e ac a ie e ea i a e
b a che , a i g be h i g ch e diffic .
Power of Automation
Fi a cia ae fe ea IT aff a d he ce be efi i e e f he
a ai ha Ci c DNA Ce e b i g he ab e. Ci c DNA Ce e
Ze T ch P i i i g (ZTP) b a f a a i g he b i g-
f he e i e U de a e i a SD-Acce Fab ic Si e. E e a i g e
e e gi ee ca bi g 100 f b a che f a ce a ca i
ce he e de ice ae h ica c ec ed. Thi acce e a e he
b a di g f e ca i d c i i a d ed ce i e i e
ee da f h .
Vi a Ne A ch Si e ig ifica i if he g e e ice
de e ac SD-Acce Fab ic Si e a d ide c i e a d
ec e eg e a i f g e affic i fi a cia e i e ih a
i ified a d ce a i ed c b e c e.
U i g a ch ed e ice , affic f g e e d i ha be g he
A ch ed Vi a Ne a each i e a e agg ega ed a d e ed bac
he M i i e Re e B de a he A ch Si e e VXLAN. A A ch Si e
f ci ch i e a adi i a Fab ic Si e, b i f a i a Fab ic Si e
e i g a a ic a Vi a Ne .
Thi i a Fab ic Si e ha i B de N de a d C P a e N de
hich a e dedica ed he A ch Si e. Wha i ecia ab he A ch
Si e i ha i Edge N de a d Fab ic WLC a e di e ed ac i e
Fab ic Si e , efe ed a A ch i g Si e .
Ci c SD-Acce f Fi a cia C e 207
M i i e Re e B de i e ab ed a e -Vi a Ne ba i . F a
A ch ed Vi a Ne , a edge i he a ch i g i e e he A ch
Si e B de N de a d C P a e N de f da a a e a d c
c ica i . Fab ic WLC i he a ch i g i e c ica e i h he
A ch Si e C P a e N de f i ee e d i egi ai ecific
he A ch ed Vi a Ne .
Si ce he A ch Si e B de N de eachabi i a a e e i e IP
e , ecia a e i be aid he MTU ac he e i e a h
208 Ci c SD-Acce f Fi a cia C e
Af e a g e e d i j i he g e SSID a d a e he Ce a Web
A he ica i i g Ci c ISE, i i a cia ed i h he a ch ed g e
Vi a Ne .G e affic i e ed he A ch Si e B de N de a d
eg e e he I e e h gh a fi e a .
F a Ci c ISE e ec i e, he f i g a e he gge ed i f
he fi a cia c e ha eed i a ed G e e i e :
Se a a e PSN h ed i DMZ f G e e
Dedica ed PSN f G e e
B ha i g e a a e a he ica i , a h i ai , a d M i i e Re e
B de f he g e e , he g e e i f i a ed f he
C P a e, Da a P a e, a d P ic P a e e ec i e, e i g he G e
e i i a ed f he he fi a cia e , de ice , a d e ce .
S ch ica da a ca be ea ed f a a ie f ce , i c di g
egi a da a ce e , c a e da a ce e , e c. The Ci c SD-Acce
a chi ec e ide he f e ibi i f e d- -e d ea e ica da a
affic f f a he e i he a ge e e i e e a he e i
he g be. S ch ica affic ca be ea ed e SD-Acce T a i
IP-Ba ed T a i e . Ci c SD-Acce a fa f
M ica , i h f e ibi i i a ca i g M ica RP de ei he i ide he
SD-Acce Fab ic ide f i .
G ba de e ead ac ai ca i e ie i e Ci c DNA
Ce e be de ed d e ca e c ide a i , ae c e
e ie e , a d G ba c ia ce ea . M i e Ci c DNA Ce e
c e ca be i eg a ed i a i g e Ci c ISE, idi g ce a i a i a d
a da di a i f A he ica i , A h i a i , a d Sec i G P ic
ac he g ba e e i e.
Figure 7.7: Global Multi DNA Cluster deplo ment for consistent Group Based Polic
N e A he i e f he i i g f hi b , hi fea e i c e a
Li i ed A ai abi i ffe i g. I i a e a , i i ia a ach he be
i e e ge b i e e ie e . A e c ehe i e
Ge e a A ai abi i ffe i g i be a ai ab e i he f e. Chec ih
Ci c acc ea he a e a f hi ca abi i bef e de i gi
i d ci e .
Network Visibilit
Ci c DNA Ce e a age e b a ai g e
de ice a d e ice b a ide e a a ce a d a a ic
214 Ci c SD-Acce f Fi a cia C e
We e he e be i h Ci c DNA Ce e i eg a ed i h Ide i
Se ice E gi e (ISE), b h f hich a e f da i a ee e f a Ci c
SD-Acce e . Wi hi he e , e e ab e ec e b a di g f
e d i i g Ci c SD-Acce a d ISE, i i i g a edi ec a M bi e
De ice Ma age (MDM). O ce he e d i i b a ded a ia e , i
i ha e a he ec i icie , ec i c ie , a d ig a e a chi g
Ci c SD-Acce f Fi a cia C e 215
he ga i a i ec i icie . Wi h Ci c SD-Acce , e ca e f ce
c ia ce i h he ec i ic ba ed ea e e .
O ce de ice a e a h i ed he e , e ca ca ab e bed a
ec i ag ba ed he a h i ed e i a da a ec i ic ha
i e d- -e d e f ced a he e i he e .
Fi a , f a b e ai e ec i e, i h Ci c DNA Ce e a d Ci c
SD-Acce , e ca e a a e g i e ac i i h Sec i G P ic
A a ic . Sec i G P ic A a ic i a Ci c DNA Ce e a ica i
ha a de e i e hich e /de ice a e i e ac i g i hi he
e , a he e i he d. If ice beha i ha be
i edia e c ec ed, ca b id a c ac i Ci c DNA Ce e a d
de i g ba i a a e f i e .
Ci c DNA Ce e ha aj ad a ce e hich he a ge a d g ba
fi a cia ga i a i a age a d ca e a ica i icie f
de e . Whe b i di g he Ci c SD-Acce Fab ic, e ca de a
ie ed Ci c - ec e ded C i ed Q S ic b h he i ed a d
i ee i fa c e . Thi A ica i P ic e he DiffSe de ,
he e a ica i a e ca eg i ed i a ica i e a d a e di ided i
B i e Re e a ce ba ed ad i i a efe e ce.
216 Ci c SD-Acce f Fi a cia C e
Ci c DNA Ce e a ca ga he ee e ba ed h h e
A ica i P icie a e e a i g, hich a f ad i i a i e e i
dif a d ede icie a ca e ac he e . The abi i
ee h a a ica i e a e i c cia de a di g he e
e e ie ce a d i g i e bef e bei g ified b a e d e . Thi
g e a g a e e ha e ha e a eh d f i g ea i e
i ce ce.
Acquisitions Integration
A i a he i d , fi a cia ga i a i e ge a d ac i ii
cc f i e i e. O e f he be efi f Ci c SD-Acce i he
abi i dea i h he e i e e i g cha e ge ea e . Thi a f
e gi g ga i a i i eg a e a d i i e ed da eai .
O ce he B i e - -B i e (B2B) c ec i i e ab ed, e gi g he
e ca begi . The i eg a i f Ci c DNA Ce e a d Ci c ISE
e ab e he i eg a i f a h i ai ac he Ci c SD-Acce Fab ic
f e ide f he e he he . B c ec i g ISE a f eig
Ci c SD-Acce f Fi a cia C e 217
Ac i e Di ec e i e , e ca c ec di ec
a he ica i b a d c ie f he e e ged e . Thi
a f he a ica i f SGT f e d e d, hich a f he
a ica i f a ea e e d- -e d ec i ic .
A he ac i ii ge e , ea d e i eg a i ca be e e aged,
a i gf he ge i f cha ge f e hi fa e a d he
c ee b a di g f he e -ac i ed/ e - e ged ga i a i .
I i ia , e ca de a Ci c SD-Acce Fab ic a a La e 2 Fab ic Si e
218 Ci c SD-Acce f Fi a cia C e
a da f he ce a b a di g f c ie i hi he Fab ic Si e. Th e
c ie d he e a ga e a h ed a G id-i eg a ed fi e a
hich d be i i ia e ib e f affic i ec i . A c fide ce
i e a d he ac i ii c i e , he c ie e d i f he e
ac i ed ga i a i i be b a ded e i hi he ga i a i
e .
Ci c SD-Acce f Fi a cia C e 219
Fab ic Si e c ie c ca e
Fab ic Si e de ice c
N be f IP Add e P
Vi a Ne
Sec i G
Sec i G P icie
High-A ai abi i /Red da c e ie e
The i e f hi e ica i de ig a d i e ie ih ie
i abi i a d e d- -e d ac - eg e a i a d ic -
eg e a i ihc i e ic ac he e e i e.
Maj Fab ic Si e de :
Ve S a Si e (Fab ic i a B )
S a Si e
Medi Si e
La ge Si e
220 Ci c SD-Acce f Fi a cia C e
Y ca e Fab ic i a B c e a i g e Fab ic Si e, i h e i ie ce
ed b i ch ac i g S ac Wi e Vi a 200
e d i a d 40 AP . F Fab ic i a B de e , SD-Acce
E bedded Wi e e ide i e- ca WLC f c i a i . The i e a
c ai a ISE PSN de e di g he WAN/I e e ci c i a d a e c .
Ci c SD-Acce f Fi a cia C e 221
Small Site
Medium Site
Large Site
The La ge Si e Refe e ce M de c e i e b i di g a b i di g ih
i e ii gc e . The h ica e i a Th ee-Tie i h C e,
Di ib i , a d Acce La e . I a e e c ai a ed S e C e
ha agg ega e e b i di g a d e e a he e eg e i
he WAN a d I e e . The B de a d C P a e N de f ci ae
i i ed e a a e de ice a he ha c ca i g.
Summar
I hi cha e , e de a ed h Ci c SD-Acce e he
cha e ge faced b ga i a i i he Fi a cia e ica . Y ea ed h
ca ec e b ad e de ice , e , a d e d i . We
h ed h e c e hi e e e i g ec i g
i f ai ac g ba ie ia WAN I f a c e. We a
de a ed h he a ai , che ai ,a da a ce ca abi i ie
f Ci c SD-Acce a d Ci c DNA Ce e ca e e IT aff
g ba e ,e e he affi g i ea . A f he e e e if he bea
f f a e-defi ed a chi ec ea dc e -ba ed e i g.
Migration to Cisco
SD-Access
226 Mig a i Ci c SD-Acce
I he ca e f a e i i g Ci c ISE i a ai , e ec e d ha e
a e ISE ig a e Ci c SD-Acce . Wh a e ISE? The i eg a i
i h Ci c DNA Ce e igh eed a f ae e i g ade a d igh
i ac he icie i he e i i g e . O ce he e i e e i
ig a ed Ci c SD-Acce , ca dec i i he e i i g
i a ai a d a e he e e he i a ISE i a ce.
Mig a i Ci c SD-Acce 227
Considerations
We i a ff i h a C ide a i ec i ih e f he i e hi g
ha a e ch.
Approaches to Migration
Le a he a ache ig a i .
Parallel Incremental
Be f B a ch ( a ca e)
Be f Ca (a i e)
de e
P e a d e f he a a e
I ce e a e a d e e ie e
e
Legac ha d a e i e i i g e Legac ha d a e i e i i g e
U g ade f he e
U g ade f he e i fa c e
i fa c e
C ea a e ( ea i g behi d a Wi eed ca f a d he c ai f he
c e i i he d de ig ) d de ig i he U de a
Te e i ac ee e
Te ff ci ai i a ia
e
Ea R bac f ig a ed e Ea R bac f ig a ed e
Parallel Approach
Wi h he Pa a e A ach, b i d he e e a g ide he e i i g
e . Be efi hi a ach i c de:
Mig a i Ci c SD-Acce 229
Y ca ig e he c e i ie f he e i i g e
Y ca g ade he e i e e ih e ha d a e a d b i d he
i ea i i g he f e ca abi i ie
Y d ha e dea iha i e f da d e ha d a e a d
f a e, hich ca f e f ce a a f he e ca abi i ie
a i e e i e .
Y ca e e ca e i a e i e e e bef e ig a i g
he e
Y ca bac he e i he d e i e if a i e
cc i he e e
Incremental Approach
A I ce e a A ach i a a ach he e a a a d he
i c ea e he f i f he e i i hi e i i g e . I hi
ca e, a Tab e 1 h , d e iea f e La e 1 e ce .
H e e, i e i h he c e i ie f he d e a d
ei e eae i a i ed e i e f diffe e ha d a e a d
f a e ca abi i ie . Wi h hi a ach, e e ca e i a i f d
a d e e i e a d e bac he d e if be
cc .
230 Mig a i Ci c SD-Acce
The e a e ce a i he e he U de a e d e e ha
1500-b e ac e f e a e, if he Fab ic Si e a e c ec ed ia a
Ci c SD-Acce Ta i e a WAN ha d e e ha
1500-b e ac e . I he e ca e , TCP MSS (T a i i C P c
Ma i Seg e Si e) ca be ecified c ai he ac e i e,
Mig a i Ci c SD-Acce 231
La e 2 Acce de ig a e he c e de ig ac a
i d e ica . T adi i a , he La e 2 Acce de ig ha ided he
f e ibi i f b e a ai abi i ac he e , e ab i g g-a d-
a i ici . H e e , La e 2 Acce de ig e hea i S a i g
T ee P c (STP) f e e i . Ne ea a a i e i fea f
a e e d ca ed b STP d e a i c fig a i i e
c ec i , a d STP ha f de a - e ii ea ica i , ch
a ice affic, d i g a fai e.
I e ca e , he de ig c d be a a g he e he Acce La e
i ch c ec he Di ib i i ch C a ed Di ib i /C e
i ch a d he Acce La e i che . I he ca e , he Acce La e
i che igh be dai -chai ed each he , he e igh be a
c ac i che c ec ed he Acce La e i che .
Rega d e f he g , Ci c SD-Acce i ed a fa a he
U de a i R ed Acce a d each e e e i IP eachab e he Ci c
DNA Ce e , he he Fab ic N de , a d he Wi e e LAN C e
(WLC) i ha i e. If he g a b i ba ed a Ci c Va ida ed
De ig d c e , he e h d be fe c ce ega di g he g .
234 Mig a i Ci c SD-Acce
Movement of Feature
Application
I a La e 2 Acce de ig , he La e 3 b da i ica a he
Di ib i La e a d i he e a he fea e a d icie a e a ied.
Wi hi a SD-Acce Fab ic e , he U de a a f i aR ed
Acce de ig i h he La e 3 b da a he Acce La e . I he Fab ic
e , e fea e ch a Q a i f Se ice (Q S), Ne F , a d IP
Acce Li (ACL ) a e a ied a he Acce La e , hi e e fea e
ch a P ic -Ba ed R i g (PBR) Web-Cache C P c (WCCP)
a e a ied a he eg e i e face f he Fab ic B de N de.
236 Mig a i Ci c SD-Acce
Migrating a La er 2 Access
Network with New Subnets
The ea h e a i h e IP b e ae c e i g. O e f he
ad a age f ha i g a Fab ic e i h A ca Ga e a i ha a
a e be f a ge b e ca be ed c a ed a adi i a
e ha e a a ge be f a e b e .
Mig a i Ci c SD-Acce 237
We a a Ne S b e ig a i b i d ci g a e Acce i ch i he
e . Thi i a he e f a Edge N de a d i be c ec ed ia
R ed Acce i each f he e i i g di ib i i che , a h
i Fig e 8.7. Thi f he i g e i he Fab ic f a e d i
e ec i e.
238 Mig a i Ci c SD-Acce
Figure 8.7: Connect a new switch in the Access La er with a Routed Access design
We eed a C P a e N de a d a B de N de f ci a he O e a
c a ef he Fab ic a d e i i , e ec i e . Thi N de ca ei he
be a e N de he c a e a d Fab ic b de f c i a i ca be
added a e i i g C e if he ha d a e/ f ae af he
f ci .
C fig e a e VN (Vi a Ne ) i h he e IP b e he e
N de . A IP ha d ff f hi Vi a Ne be c fig ed f he
B de N de he ea La e 3-ca ab e Pee De ice (F i ). Thi
Pee De ice (F i ) ca be a La e 3-ca ab e i ch, e, fi e a .
Y ha e effec i e b i a Fab ic ih j i che f he
e i i g e a hi age. The c ica i ha e be ee
e d i i he e Fab ic a d h e i he e i i g e ia he IP
ha d ff a he b de .
A a f hi e a e ig a i , e a e a he c ide a i i e MTU
ha e bee a ied i he e i i g e a he a e a e e i i e bef e
a i g he ce .
Mig a i Ci c SD-Acce 239
A g ih c fig i g he e i ch ih he a a age e
a a e e i e Ne Ti e P c (NTP), Si e Ne Ma age e
P c (SNMP), a d acce VTY/C e i e ,d f ge c fig e
he e MTU 9100 b e . Y i a eed c fig e a L bac 0
i e face a hi i he efe ed a age e i e face f hi i ch b
Ci c DNA Ce e . The L bac 0 i e face a ac a he R i g L ca
(RLOC) f he VXLAN e ca ai .
F he C P a e N de a d B de N de, a e i e i ed,
ca add he f c i a i f he C e f c i ai if he a f
i.F e a e, if C e-2 i Fig e 8.9 i c fig ed i h he added
Fab ic e f ci a i ie , i i ide C e ed da c he e i i g
e .I he d , C e ed da c i b c fig i g C e-2
a aC P a e N de a d B de N de.
Figure 8.8: Alternate method of connecting Control Plane Node and Border Nodes to
e isting network
If he C e af d e Fab ic f ci ai , if he efe e ce
i ha he C e i dified, a he i ch ca be c ec ed he
e i i g C e a d ca be c fig ed i h he Fab ic f ci a i ie , a ee
240 Mig a i Ci c SD-Acce
Y ca add he C P a e N de a d B de N de f c i C e-1
f ed da c e a e ,a h i Fig e 8.11.
Mig a i Ci c SD-Acce 243
O ce c e e he a Acce i ch i he Fab ic ig a i , ca
c ea c fig a i i he i e edia e i che i he e a dC e
i che . Y i ha e a f Fab ic-e ab ed i f a c e, a h
i Fig e 8.12.
244 Mig a i Ci c SD-Acce
I hi ec i , e i e ie he a ai ab e i f ig a i g a e i i g
La e 2 Acce e ih e i i g b e i Ci c SD-Acce .
Mig a i ee i g he e i i g b e a d, i hi ca e, he e i i g
Acce i che a e a i e ic .
The fi i i f e ab e he Fab ic a he Di ib i La e
i ead f he Acce La e . The ea f d i g hi a e:
Fig e 8.14 h ha he e h d i e a hi i .
246 Mig a i Ci c SD-Acce
If a ad-ba a ce a d i c ea e he ca e f e d i bei g
b a ded i he Fab ic b hi eh d a d a c i e i h he
ig a i , c fig e DIST-2 a he ec d Edge N de a d ceed ih
ad-ba a ci g VLAN10 a d VLAN20 a h i Fig e 8.15.
Mig a i Ci c SD-Acce 247
I hi ca e, he Fab ic eg e a i i a f he Di ib i
La e , a d Ea -We affic be he Di ib i La e i c ed b he
Acce La e i che . The ic - eg e a i e f ce e i i he
Edge N de a he Di ib i La e .
If ha e a ec d b i di g, e ea he a e e i B i di g #2
c e e he e i e Ca ig a i Ci c SD-Acce , a h i
Fig e 8.18.
250 Mig a i Ci c SD-Acce
Le a he he a ach f ig a i i g he e i i g b e
che a a d a La e 2 Ha d ff. I hi a ach, ha e a ce a i ih
he a e b e i ide a d ide he Fab ic. T hi , i ea
La e 2 Ha d ff a B de N de c ec he La e 2 e i ide he
Fab ic i h he La e 2 e ide he Fab ic. C ide he ce a i
h i Fig e 8.19.
We a hi ig a i b i d ci g a e Acce i ch i he e .
Thi i a he e f a Edge N de a d i be c ec ed ia R ed
Acce i each e i i g Di ib i i ch. Thi f he i g e i
he Fab ic f a e d i e ec i e.
We eed he C P a e N de a d B de N de f c i a he Fab ic
O e a c a ea de i i , e ec i e . Thi N de ca ei he be a
e N de he C P a e N de a d B de N de f c i ai ca be
added a e i i g C e if he ha d a e/ f a e a f he
f ci .
Figure 8.20: High-level concept of migration with switching between e isting IP scopes
C fig e a e Vi a Ne i h he e i i g IP b e he e
N de . A La e 3 IP T a i ha d ff f hi Vi a Ne be
c fig ed f he B de N de he ea Pee De ice (F i ). Thi
Pee De ice (F i ) ca be a La e 3-ca ab e i ch, e, fi e a .
Mig a i Ci c SD-Acce 253
Y i a eed c fig e a La e 2 Ha d ff he B de N de
e i i g La e 2 d ai . Thi e e ha c ica i
be ee he a e b e i he e i i g e i i ched ia he La e 2
Ha d ff a he b de . A hi age, ha e effec i e b i a Fab ic ih
j i che f he e i i g e . The c ica i
ha e be ee e d i i he e Fab ic a d h e i he e i i g
e ia he IP Ha d ff a he b de .
I e a e i ch (Edge-3) a d de a e he ece a e di c e
i ia Ci c DNA Ce e . C fig e he Edge N de f ci ai Edge-3
a d e a diffe e VLAN be f he a e e i i g IP b e
10.1.1.0/24. I he e a e i Fig e 8.21, e ee ha he 10.1.1.0/24
254 Mig a i Ci c SD-Acce
Figure 8.23: Rolling migration of Access switches to Edge Nodes with routed links
R ed Acce b fie d e a e ea ie ig a e ha La e 2
Acce de ig .A , ca ig a e i h e i i g b e e b e
ea i .
C fig e he C P a e N de a d B de N de f ci ai C e-2
a d e ab e Edge N de f c i ai Acce -2. Re ea he a e e f
addi g b e 10.1.2.0/24 he Fab ic a did f b e 10.1.1.0/24,
adj i g he VLAN i f ai acc di g . Y i ee VLAN110 a d
VLAN120 b h he Acce i che a fea e c d ge i
adi i a R ed Acce e .
260 Mig a i Ci c SD-Acce
C ide he a e e f b i di g i g Ci c ce a i ed
i ee ih a e i i g WLC ca ed he ca , a h i Fig e
8.28. The a i i ha he e i e ie e f ea e a i g
be ee he b i di g . The i ee i eg a i i e ea e a i g
d ai . The Acce P i (AP ) c ec ed he Acce i che b i d
C a dP i i i g f Wi e e Acce P i (CAPWAP) e he
ce a i ed WLC e hich a i ee a age e , c , a d da a
affic f ,a h b he g a a f he AP he WLC.
Mig a i Ci c SD-Acce 261
Ci c ec e d a e a a e WLC be ed i eg a e i e e i he
Fab ic i B i di g 2. Thi i h a he b e WLC i Fig e 8.30. Thi
ec e da i i beca e ed a i ac e i i g i ee
he h e Ca , a a e Fab ic igh i e f ae e i
cha ge e e a ha d a e ef e h. Ha i g a e WLC c ai he
i ac d ai j B i di g 2 a d he h e Ca .H e e , if
ca de f a e WLC, ca i eg a e he e i i g WLC i he
Fab ic i g Ci c DNA Ce e f . F Fab ic Si e , c ea e
e SSID ha i be a f he Fab ic e , hi e he de SSID i
c i e e ice he -Fab ic i f he e .
O ce di c e he WLC ia Ci c DNA Ce e , ca i eg a e i i
he Fab ic i B i di g 2. Y ca c fig e he a e SSID b h he e
SD-Acce WLC a d he e i i g egac WLC. Y ca a c fig e he
a e RF g , AP i he B i di g 2 i e e e ae ee a
262 Mig a i Ci c SD-Acce
The e e i he ig a i i ched e a ai e a ce i d a d
cha ge he i a egac WLC he SD-Acce WLC i he c fig a i
f AP i B i di g 2. The AP i B i di g 2 cha ge hei a cia i he
SD-Acce WLC. U j i i g he SD-Acce WLC, he AP i d ad
he c de f Fab ic a d i bec e Fab ic-e ab ed AP . The SSID
he e AP ae ca i ched ia VXLAN CAPWAP a e
c fig a i . I Fig e 8.30, ca ee ha he da a a e f he i e e
e e i a e a he Edge N de hi e he CAPWAP e ca ie he
a age e a dc a e affic f he i ee e ce a bac
he SD-Acce WLC.
T c e e he i eg a i , c e he B i di g 1 i ed e Ci c
SD-Acce Fab ic a d e ea he a e e i eg a e he AP i he
SD-Acce WLC. I hi a , i achie e f i e e i eg a i f he
Ca .
264 Mig a i Ci c SD-Acce
What Ne t?
T fa i ia i e ef i h he Ci c SD-Acce i , e ec e d
e i g a a ab a P f f C ce (P C) i e ih a
c e f Edge N de a d a c e f C P a e N de a d B de
N de . G h gh he i fc fig i g a Fab ic i Ci c DNA Ce e
b i i i g he Fab ic f ,a d a e e ge fa i ia i h Ci c ISE
f ic - eg e a i . Pa f he b de ha d ff i eg a e he P C
i he e i i g e .
Fig e 8.31 h h c ec he P C he e i i g e .
Y c d c ec he b de di ec he i che i he e i i g
e , b ha i ea i d ci g a e c ch a B de
Ga e a P c (BGP) i he e i i g e .I ead, e a Pee De ice
(F i ) ee i h he B de N de ia BGP a d edi ib e he e
i he IGP f he e i i g e . Thi i a i i a cha ge i ce he ee
de ice i j a e IGP eighb f he e i i g e .
A a a ig a i , ee he e i i i d:
P e- a a d e ec e a age e c e a d hei
i eg a i ,f e a e, Ci c DNA Ce e a d Ci c ISE
Bac de ice c fig a i a da he i f ai ha eed
Pa a e e ded ai e a ce i d f he i i ia da f
ig a i ha e a b ffe ec e
Sa i -i a ea , ih a a f i , a d efe ab IT-
f ie d e e i he IT de a e i ef
Be ead ih a bac a if face a cha e ge a d ha e a
dead i e ec e c ec i i f he e d e
266 Mig a i Ci c SD-Acce
Summar
Af e eadi g hi ec i , ae c i ced ha ig a i g Ci c
SD-Acce i ea i ica ib e i h a fe a i che c ec ed
he e i i g e ih i i a i ac . A ha e ee ,
ca e e age Ci c DNA Ce e a ai a d che ai ig a e
di e e gie i h di e e i ch a :
Mig a i g La e 2 Acce de ig
Mig a i g R ed Acce de ig e ea i c a ed La e 2
Acce de ig
Mig a i g ih e e i i g b e
I eg a i g i ee i Ci c SD-Acce
Appendi
268 A e di
hh ::/
:/// .ci
.ci cc .c
.c m
m/g
m/g // da
da P ide a e ie a d addi i a
i f ai a c e a d a ec f SD-Acce a ai ,
a a ce, ed af ,c e efe e ce a d e i ia , a d
a ea h f he - -da e i f ai SD-Acce .
hh ::/
:/// .ci
.ci cc .c
.c m
m/g
m/g /d
/d ace
ace ee P ide a e ie a d addi i a
i f ai Ci c DNA Ce e .
hh ::/
:///cc .c
.c // da
da_
da_ ech
ech_
ech_ aa ee SD-Acce i hi e a e . I ide a
id- e e ech ica e ie f he Ci c DNA a d SD-Acce c e
a d hei ea i hi . I i a g ea ace c i e j e .
hh ::/
:///cc .c
.c // da
da cc dd I c de he S f a e-Defi ed Acce Ci c
a ida ed de ig (CVD) d c e c e i g SD-Acce de ig i ,
eai a ca abi i ie , a d ec e da i f de e . P ide
di ec i igh i be ac ice f de ig i g, e a i g, a d i g SD-
Acce c e e de e .
hh ::/
:///cc .c
.c // da
da ee ce
ce C i e ce a c ida i g a
c a e a e a ed he f Ci c SD-Acce .
hh ::/
:///cc .c
.c // da
da be
be Chec Ci c SD-Acce Y T be
Cha e , f he a e ide da e f fea e , e ca e , de , a d
e. D f ge b c ibe, i e, a d c ic he ifica i
ide !
A e di 269
hh ::/
:///cc .c
.c // da
da mac
mac dg
dg Thi g ide i i e ded ide ech ica
g ida ce de ig , de , a d eae ac - eg e a i ac
S f a e-Defi ed Acce Fab ic.
270 A e di
hh ::/
:///cc .c
.c // da
da ii ele
ele dg
dg G ide i eg a i g i ee acce i he
SD-Acce a chi ec e gai a he ad a age f Fab ic a d Ci c DNA
Ce e a ai .
hh ::/
:///cc .c
.c /gb
/gb aa dg
dg P ide ech ica g ida ce f de i g G -
Ba ed P ic A a ic , c e i g de ig ic , de e be ac ice ,
a dh ge he f he ech g eai .
hh ::/
:///cc .c
.c // da
da ml
ml dg
dg A g ide f de i g Medi a d La ge Fab ic
Si e i h Ci c S f a e-Defi ed Acce .
hh ::/
:///cc .c
.c // da
da didi ib
ib ed
ed dg
dg G ide SD-Acce c e i
de i ga ified a d a a ed ic ac i e h ica ca i
i a e -a ea e .
hh ::/
:///cc .c
.c /i/i de
de ee de
de dd mai
mai P ide de ig a d de e e
e he Ci c SD-Acce a d Ci c SD-WAN i achie e e d-
-e d eg e a i a dc i e ic f he e e i e a d b a ch.
hh ::/
:///cc .c
.c // da
da ii ff aa dg
dg P ide he de e g ida ce f Ci c
DNA Ce e a d Ci c Ide i Se ice E gi e (ISE) i hi a e ice b c
da a ce e e c ec ed a Ci c SD-Acce Fab ic adi i a
Th ee-Tie ed Ca g .
hh ::/
:///cc .c
.c /md
/md ac
ac ii ee P ide ech ica g ida ce de ig , de ,
a d e a e he S f a e-Defi ed Acce S i i gM i e Ci c DNA
Ce e C e i h a i g e Ci c Ide i Se ice E gi e (ISE) de e .
hh ::/
:///cc .c
.c // da
da egme
egme dg
dg Thi g ide i i e ded ide ech ica
g ida ce de ig , de , a d eae ac - eg e a i ac
S f a e-Defi ed Acce Fab ic.
hh ::/
:///cc .c
.c /e
/e cc dd A c ida ed i f i e, d a, e ca e-
ba ed de ig a d de e g ida ce ide i h Va ida ed
de ig a d be ac ice . P e c i i e, ea - -f de e g ide
a i h he i e gi e C fide ce a a f e
ee b i e g a .
A e di 271
hh ::/
:///cc .c
.c // da
da el2
el2 dd Rec e d ac ice be i e e ed he
Edge N de he c ec i g a E e a La e 2 S i chi g D ai . The e
be ac ice a e de ig ed i i i e he c i e ha a i e i he
La e 2 a f he e hi e ec i g he Fab ic e agai La e
2 a d La e 2 i c fig a i .
hh ::/
:///cc .c
.c /ci
/ci cc lili ee da
da Ci c Li e 2022 ea i g a f Ci c SD-
Acce e i c ei g c ehe i e e ie , be ac ice , de ig ,
de e , ig a i ,a d i i g f he a chi ec e.
hh ::/
:///cc .c
.c // da
da_
da_ ech
ech_
ech_ ee P ide e e ia ech ica be h i g
e f Ci c SD-Acce ch a LAN a d G e a a i , Fab ic
i i i g, ica , i ee ,a d a he .
hh ::/
:///cc .c
.c // da
da cm
cm Ci c SD-Acce i c a ibi i a i
h i g ha i ed f ecific ha d a e a d f ae e i .
hh ::/
:///cc .c
.c // da
da de
de ig
ig ll de
de kk Le e age Ci c SD-Acce De ig
T a j e i SD-Acce i a d Ci c SD-Acce
C i g De ig De f de ig e ie .
272 A e di
Acron ms
DNS D ai Na e S e GRE Ge e ic R i g
E ca ai
DSCP Diffe e ia ed Se ice
C de P i GRT G ba R i g Tab e
SV S ac Wi e Vi a VLAN Vi a L ca A ea Ne
SVL Ci c S ac Wi e Vi a VN Vi a Ne ,a a g a
VRF i SD-Acce
SXP Sec i G Tag E cha ge
P c VNI Vi a Ne Ide ifie
(VXLAN)
S slog S e L ggi g P c
VPN Vi a P i a e Ne
TCP T a i i C P c
(OSI La e 4) VRF Vi a R i ga d
F a di g
TLOC T a L ca
VXLAN Vi a E e ib e LAN
UDP U e Da ag a P c (OSI
La e 4) WAB Wide A ea B j