摘要：该文从传统网络模式的瓶颈出发，解析了SD-Access技术的架构，从控制层面、数据层面、南北向接口三个方面阐述了SD-Access技术中如何打破传统网络模式的瓶颈以及带来了优势。

关键词：SD-Access技术;身份服务引擎;LISP协议;VXLAN封装

中图分类号：TN929.52 文献标识码：A

文章编号：1009-3044（2020）08-0021-02

1 背景

SD-Access，Software Design Access，即软件定义接人，是全数字化网络架构（DNA）的重要组成部分。它是将服务器资源和园区网结构（Campus Fabric）两者相结合。通过网络基础架构来完成大规模交换机自动化组网，从而达到网络安全控制管理的目标。

SD-Access技术，由软件来定义接入组件的各项属性，例如：接人可行性、接入能力、网关、IP属性、安全策略等。接入组件是有线设备（交换机、路由器）、无线设备（无线接入点、无线控制器）等。SD-Access技术的引入，是传统网络模式的一场革命，将会在很大程度上提升运维效率、网络安全性和用户体验。

2 传统网络模式的瓶颈

2.1 传统网络异构程度严重，运维管理日益复杂

传统网络模式，运维人员重点关注并解决的技术是路由、生成树、VLAN、访问控制列表等。传统的园区网通常是由多个品牌网络设备混搭出的多端口网络，异构程度严重。随着网络中各类设备数量的增加，设备中路由条目、访问控制列表条目、生成树成量级增加，加剧了网络运维管理的难度。

2.2 传统网络模式不能适应云计算网络的策略需求

伴随园区网用户数量的不断增加，网络分段给运维工作提出新的挑战。各类用户受身份认证、VLAN、IP、ACL等因素的影响，无法实现有线无线一体化体验，无法根据业务需要实现用户分组。同时，设备和用户数量的增加，各类策略数量日益累加，且因设备用户的不同策略有差异，无法实现统一配置。

未来的网络，需要与灵活分布的云计算网络对接，适应用户多样化的应用策略需求，突出策略实施的一致性，呈现给用户的将不再是传统的多端口网络，而是一个现代化的智能网络。

3 SD-Access技术的架构

SD-Access架构主要由SD-Access Fabric、DNA Center、ISE组成。

3.1 SD-Access Fabric

设备所在的区域称为SD-Access Fabric。设备包括Border、Edge、Control-Plane。Edge用来进行有线设备和无线设备的接入，底层Underlay是传统的复杂的物理网络。基于Underlay的IP可达构造出的大网络称为Overlay，Overlay通过Border与Un-derlay对接，Border和Edge构成Overlay的边界。

Overlay是逻辑层面的网络，是虚拟存在的天然可通信的环境，自成拓扑，无论设备以何种方式接入，都可以在拓扑里跟其他不同节点的设备进行通信。

3.2 DNA Center

DNA Center负责统一指挥网络设备管理层面的操作，完成管理、配置、策略下发等任务，DNA Center有四个功能，分别是设计、策略、调配、保障[1]。

3.3 ISE

ISE全称Identity Services Engine，即身份服务引擎。各种用户、终端通过交换机、无线AP或者VPN等边界设备实现网络接入，由ISE实现身份认证。

ISE的三大功能分别是：发现，可以确认用户的身份以及用户使用的终端类型和应用;安全，和DNA Center联动，帮助SNA接入的安全管理;分享，实现与API之间的联动从而扩大操作范围。

DNA Center和ISE两者之间有专用通道，通过建立加密隧道实现。

4 SD-Access打破传统网络模式瓶颈的技术体现

4.1控制平面基于LISP协议节省大量路由条目的开销

传统网络路由协议造成本地存放大量路由条目，CPU占用率高，对设备性能要求非常高。SD-Access将控制与数据转发分离开，由Control-Plane来控制路由，Control-Plane通过运行主机跟踪数据库来映射位置信息，基于LISP协议实现。LISP协议，是网络映射一封装协议，即通过学习、计算终端标识（End-point Identifier，EID）和路由标识（Routing LOCators，RLOC）表示终端身份信息和位置信息[2]。终端的映射信息使用映射系统（mapping system）管理，掌握匹配关系，从而通知数据包封装的目的地，精准到next-hop。LISP数据库查询方式，小型表项仅占用设备少量的CPU资源。在SD-Access架构中，Edge设备是人口，Border设备是出口，Border设备指导用户能去往的应用路径，比如访问互联网、访问服务器集群等。

4.2 数据平面基于VXLAN实现漫游及一致性网络体验

传统网络的初衷是不支撑漫游的，漫游功能的实现必须要识别出用户身份，由主机MAC和主机IP来体现。同时，传统网络的用户受IP地址或VLAN成员关系限制，很难实现用户或设备分组。SD-Access則不依赖物理拓扑，能够实现策略的移动性。作为接入设备的有线交换机和无线接人点的流量数据都使用VXLAN进行封装。在SD-Access架构中，Edge设备负责数据的封装与解封装。因此，可以为处于园区网任意物理位置的用户提供一致的网络体验。

4.3 南、北向接口的引入方便运维和应用

南向接口用来控制接入设备，可以下发设备配置以及组网意图。传统网络的配置操作是针对单一设备的行为。SD-Ac-cess实现网络虚拟化，不再逐台设备依次进行配置，管理人员可以从物理层的基本配置中抽离出来，站在更高层次去实现基于意图的网络。

北向接口用来实现网络可编程，网络可编程的目的是实现网络管理者的意图，比如，安全策略、无线信号使能等，通过程序与物理设备实现互动。

5 结束语

SD-Access技术较传统网络模式，具有一定的技术前瞻性、先进性，可有效解决传统网络模式应对日益复杂的网络格局面临的瓶颈，但在园区网全面部署SD-Access资金投入大，技术要求复杂，需投人大量时间、更换大量在用设备、提升人员技术水平。因此，SD-Access技术在园区网的全面实践，将是一个逐步推进、最终取代传统网络模式的过程。

参考文献：

[1] Cisco公司.思科创新园区网架构-DAN 2.0-交流[EB/OL]. https：//wenku. baidu. com/view/afc65e7a7275 a417866fb 84ae45c3b3566ecdd19.html.

[2]唐建强，刘颖，周华春，等.一种身份与位置分离环境下基于网络的安全移动性管理协议[J].电子与信息学报，2013，35（1）：151-158.

【通联编辑：谢媛媛】

收稿日期：2020-01-25

作者简介：庞镭（1982-）.女，陕西汉中人，助理研究员，硕士，研究方向为网络运维、网络安全。