Tweet
Cisco SD-Access là kiến trúc mạng doanh nghiệp đầu tiên dựa trên nền tảng Intent-based Networking (Mạng dựa trên ý định). Hiểu đơn giản, thay vì bạn phải cấu hình từng bước thủ công ("làm thế nào"), bạn chỉ cần đưa ra yêu cầu ("muốn gì"), hệ thống sẽ tự động thực thi.
1. Cấu trúc cốt lõi: Fabric, Overlay và Underlay
Để hiểu SD-Access, hãy tưởng tượng nó như một dịch vụ vận chuyển hiện đại:
SD-Access sử dụng các công nghệ tiêu chuẩn nhưng được tối ưu hóa:
Hãy tưởng tượng một trường đại học lớn:
SD-Access không chỉ là một công nghệ mới, nó là một sự thay đổi về tư duy quản trị. Mặc dù độ phức tạp ban đầu cao, nhưng khi đã làm chủ được SD-Access, bạn sẽ thấy việc quản trị một mạng lưới hàng ngàn thiết bị trở nên nhẹ nhàng hơn bao giờ hết.
1. Cấu trúc cốt lõi: Fabric, Overlay và Underlay
Để hiểu SD-Access, hãy tưởng tượng nó như một dịch vụ vận chuyển hiện đại:
- Underlay Network: Đây là lớp mạng vật lý (Switch, Router, Cable). Nhiệm vụ duy nhất của nó là đảm bảo tính kết nối và khả năng định tuyến cơ bản (thường dùng các giao thức như IS-IS hoặc OSPF). Nó giống như hệ thống đường sá thực tế.
- Fabric Overlay: Đây là lớp mạng ảo chạy trên Underlay. SD-Access sử dụng các đường hầm (Tunnels) để truyền tải dữ liệu giữa các điểm đầu cuối. Nó giống như những làn đường ưu tiên được thiết lập riêng cho từng loại xe.
- Fabric: Là sự kết hợp của cả hai, tạo nên một thực thể mạng logic duy nhất, nơi mà mọi chính sách đều được đồng bộ.
SD-Access sử dụng các công nghệ tiêu chuẩn nhưng được tối ưu hóa:
- LISP (Locator/ID Separation Protocol) - Control Plane: Thay vì dùng bảng MAC hay bảng định tuyến truyền thống dễ bị tràn bộ nhớ, LISP hoạt động như một "danh bạ điện thoại". Nó tách biệt định danh thiết bị (EID) và vị trí kết nối (RLOC), giúp xử lý việc di chuyển thiết bị (mobility) cực kỳ linh hoạt.
- VXLAN (Virtual Extensible LAN) - Data Plane: Đây là giao thức đóng gói dữ liệu. Khác với VLAN truyền thống (giới hạn 4094 ID), VXLAN cho phép tạo ra hàng triệu mạng ảo và quan trọng nhất là nó có khả năng truyền tải thông tin về lớp bảo mật (Scalable Group Tag - SGT) ngay trong Header.
- TrustSec - Policy Plane: Sử dụng các thẻ SGT để phân quyền.
- Ví dụ dễ hiểu: Thay vì chặn IP 192.168.1.10 truy cập 10.0.0.5 bằng ACL phức tạp, bạn chỉ cần tạo một luật: "Nhân viên Marketing" (SGT 10) không được phép truy cập "Server Tài chính" (SGT 20). Dù nhân viên đó có cắm dây ở bất kỳ phòng ban nào, chính sách vẫn đi theo họ.
- Control Plane Node: Đóng vai trò là "bộ não", chứa cơ sở dữ liệu để tra cứu vị trí thiết bị.
- Edge Node: Là các Switch truy cập (Access Switch) nơi người dùng kết nối vào. Nó giống như cửa ngõ để đi vào Fabric.
- Border Node: Là điểm kết nối giữa mạng Fabric và mạng bên ngoài (như Internet hoặc Data Center truyền thống).
Hãy tưởng tượng một trường đại học lớn:
- Truyền thống: Khi một giảng viên di chuyển từ tòa nhà A sang tòa nhà B, họ có thể bị đổi địa chỉ IP, mất kết nối VPN, và kỹ thuật viên phải cấu hình lại VLAN trên Switch mới.
- Với SD-Access: Giảng viên đó vẫn giữ nguyên quyền truy cập, nguyên chính sách bảo mật cho dù họ kết nối qua Wifi ở căn tin hay cắm dây cáp ở thư viện. Mạng lưới tự nhận diện danh tính và áp đặt đúng "thẻ" SGT cho họ.
SD-Access không chỉ là một công nghệ mới, nó là một sự thay đổi về tư duy quản trị. Mặc dù độ phức tạp ban đầu cao, nhưng khi đã làm chủ được SD-Access, bạn sẽ thấy việc quản trị một mạng lưới hàng ngàn thiết bị trở nên nhẹ nhàng hơn bao giờ hết.