制造业DNA-SDA组网建设

详细说明

客户介绍：

作为世界级全球化领先的清洁能源公司，随着业务的发展，目前在职员工已达15000人，为了能够满足公司与日俱增的业务发展，确保多样化办公方式的灵活接入。作为上层应用的底层支撑，信息化建设在整个业务的发展体系中起到至关重要的作用。

B办公区作为整个公司业务运转的重要组成部分，如上所述，为了满足公司业务的顺利进行，在满足系统高可靠性的同时降低IT的运营管理成本，在本次网络建设项目中充分尊重业务形态设计的原创性，以Cisco的Digital Network Architecture （以下简称：DNA）解决方案去设计部署，以一种新的实现形式，在保持传统网络高可用性、可扩展性和高性能登特性的同时提供数字化解决方案，简化运营成本，降低复杂性和成本，使整个网络部署更加合理、高效；

业务挑战：

本次项目建设采用Cisco的DNA解决方案，具体应用涉及为SD-Access，软件定义接入架构旨在实现以运营效益、改善员工体验、建设安全性、合规性的IT中心组网转型；并且可以与现有传统网络达到有效融合，通过自动化的部署，使整网策略更加优化、设备与终端接入更加便捷，运营管理结构更加清晰，确保上层业务的稳定开展；

解决方案：

n  所有节点及互联均按照高可靠的原则去设计部署，保证在整网的的核心节点不会存在单点的风险，确保上层业务的稳定运行；

n  CiscoNexus9508作为本办公区整个交换矩阵的中间节点，负责IP的封装，依照拓扑结构进行分析，北向互联控制节点，分别以10G的接口对其进行互联，两台C9500作为本区域Fabric的的控制节点，负责用户迁移策略随行的控制及转发处理；南向互联边缘节点，到各楼层及接入TOR级别交换机，为了保障链路的带宽及冗余性，按照两台中间节点分别互联边缘节点的结构形式，以三层10G端口进行部署；

n  以中间节点区域为参照，北向互联设备为在整网中定位为边界节点的C9500，两台C9500在IGP层面配置channel，通过跨设备捆绑技术与总部区域互联，满足A区域与总部等其他分支机构的互联互通；

n  边缘节点区域主要涵盖楼层接入、服务器TOR等其他接入交换机，为了满足大二层的设计需求，边缘节点与中间节点间互联均采用10G链路；

n  DNA-C的设计，参照一期项目的设计与实施，本次B区域新建的DNA前端设备均注册在A区域的DNA-C上，由DNA-C统一管理与配置的下发；

n  ISE作为整网的身份准入设备，本次按照虚拟化的形式进行部署，通过在Cisco UCS上安装ISE的形式并入网络，在整个网络结构中确保三层IP可达即可，在本区域的两台冗余关系的ISE作为本区域的策略节点，通过与A区域的DNA-C互联，实现与电通的ISE控制节点对接。完全按照设计需求进行调试，即可完成Access端设备/用户等的准入控制；

n  NTP/DNS/AD等后端Server端目前已在总部部署，为了达成整个集团用户的统一管理，在本次新建的Server上部署DHCP来负责相关用户的地址分配，同时关于安全方面的考虑，在网路可达的情况下，对接现有的后端Server，实现接入用户及接入设备的安全管控；

结果：

SD-Access 使用 DNAC来设计和调配智能网络，对其应用策略，并为其提供园区有线和无线网络保证。园区Fabric技术作为SD-Access不可或缺的组成部分，引入了可编程的重叠，能够跨有线和无线园区实现易于部署的网络虚拟化。除网络虚拟化以外，园区Fabric技术还可以根据用户身份和组成员身份提供软件定义的分段和策略实施。软件定义的分段借助思科TrustSec技术实现无缝集成，通过在虚拟网络内使用可扩展的组来提供微分段功能。