我目前正在加快使用 Cisco SD-Access 的速度。特别是政策执行。
我说得对吗?因为 SD-Access 使用 VNI 和 SGT 来执行策略。那么只有这些可以在结构中用于执行策略而不是源/目标 IP 地址?
我猜你可以(使用源/目标IP地址)但是那会否定它的一些好处?
仅 SD-Access 的 VNI 和 SGT 用于结构内的策略实施?
网络工程
思科
sdn
2022-02-12 17:31:30
1个回答
正确的。SD-Access 的要点是不可知论,在端点/用户层使用安全性而不是 IP。
您应该参加 Cisco SD-Access 学习课程,通过他们的数字学习非常有帮助。
订阅一年需要花费几个 CLC。
理想情况下,您希望标识所有端点以及与用户组/AD 组的交互以分配 SGT 并将您的 VNI 限制为大约 3-4 个。但是,您需要满足特定版本发布 DNA/Switches/ISE 的最低要求,并构建您的底层网络,然后才能实施任何事情。
在部署之前,需要进行大量计划。