about cisco DNA

什么是DNAbr> 1、将Fabric 络、SDN、NFV、自动化、大数据、数据分析、人工智能、云服务管理、以及开放可扩展的可编程性等融合到一个 络架构中。
2、具备持续的自我学习、自我调整、自动化和自我保护功能，以优化 络运营并抵御不断演进的 络威胁
3、基于意图的 络， 络管理人员只需要制定合适的 络策略， 络就可以自动将业务意图转换为 络配置
4、DNA具备管理多个 络域的功能，包括园区、WAN、数据中心、云,多个域由单个控制器实例进行控制

DNA的开放性体现在哪里br> 1、管理开放-允许企业运营商与现有的或第三方开源软件系统（开放式管理）集成。如DNA控制器可以为客户或合作伙伴提供开发定制应用程序的能力。
2、功能开放-允许第三方–虚拟 络功能（VNFs）被整合到DNA架构中
3、互操作性开放- 络都通过标准协议交互，所以允许第三方 元或托管服务器与思科产品共存
4、可编程-提供开放标准的APIs，使得 元可以以编程的方式被控制

使用DNA可以获得什么br> 1、使用单一控制面板管理 络和实现 络自动化，从而节省时间。
2、按照先确定地理位置，然后创建站点和添加 络设备的顺序设计企业 络。
3、利用直观的工作流程和可重复使用的模板快速扩展业务。
4、配置和调配整个企业范围内的数以千计 络设备只需分钟，而不用耗费几个小时。
5、自动根据业务需求对 络做出适当更改。DNA中心使用由从 络设备（不仅限于 元（路由器、交换机、接入点等），
   还包括支持 络功能的相关服务，包括AAA服务、4-7层 络功能服务）收集信息的 络数据平台提
   供的实时反馈。利用通过机器学习得出的深层次见解以及数据源之间的关联，保证服务可以提供关于
   络、客户端和应用性能的见解。在这些见解的基础上，可以提出解决问题的建议、发现造成问题的
   根本原因，以及根据发展趋势和与基准行为的背离情况来预测 络趋势。总的来说，保证服务可以确保
   络以最佳性能运行。
6、在 络中快速实施策略，以满足不断变化的业务需求。根据业务需求，部署基于组的安全访问和 络分割。
  利用DNA中心，应用策略的对象可以是用户和应用，而不必是 络设备。通过自动化减少人工操作和与人为失误相关的成本，
  从而增加正常运行时间并提高安全性。保证服务可以对 络进行评估，并根据情景把数据转化成情 ，
  从而确保 络设备策略配置的更改契合用户的目标。
7、通过实时 络保证服务减少 络中断。使用保证服务提供一致且优质的应用体验。利用思科DNA中
  心，由被动监控转变成主动监控。保证服务能够确定 络执行操作的方式、预测全企业范围内的问
  题，以及提供建议的解决方案来减少停机时间。
    
DNA中心是什么br> 1、集中管理所有 络功能，是个命令中心
2、DNA中心可以对园区、企业分支机构、广域 或者云，实现端到端 络管理。
3、基于思科SDN控制器和思科应用策略基础设施控制器-企业模块 (APIC-EM) 基础之上。
   DNA中心能够轻松在全 范围内设计、调配和应用策略。它能够提供端到端可视性。
4、集成了思科NDP,在 络见解的基础上优化 络性能并提供最佳的用户和应用体验。
5、ISE身份服务引擎
   1)可用于对连接到 络上的终端设备创建和实施安全和访问策略。该应用的目标在于简化不同设备和应用间的身份管理。
   2)TrustSec是思科的软件定义分段技术，也是许多思科平台支持的另一个常见组件，当用户或设备的流量进入 络时，
   系统会给其分配一个标签（称为安全组标签），然后整个 络基础设施的每个位置都根据标签实施访问策略。
   可以将终端纳入名为安全组的逻辑组中。安全组的分配以业务决策为基础，采用的标准远远超过仅使用IP地址或传统 ACL。
   易于管理员理解和管理，而且基于组的规则数量大大低于基于IP地址的等效规则集。

什么是APIC-EM(思科应用策略基础设施控制器-企业模块)br> 1、基于OpenDaylight架构基础上建立,将业务策略自动转变为 络设备级策略
2、通过Plug and Play自动化软件实现策略执行自动化，Plug and Play代理安装于思科路由器和交换机上，可直接与 络控制器通信。
3、安全特性
   1)可在整个端到端 络上自动部署 络策略并对其进行合规检查，以便提供出色的威胁检测和修复功能。
   2)可以对访问控制列表 (ACL) 进行有效地变更管理
   3)ACL应用包括自动检查策略合规情况、对ACL配置进行故障排除以及在思科身份服务引擎(ISE)中部署基于用户的ACL策略
4、服务质量 (EasyQoS)
   1)通过EasyQoS服务使 络能够根据应用策略，动态更新整个 络的服务质量设置。
   2)借助EasyQoS，能够确保优先支持合适的应用，以便为用户带来最佳体验。
   3)自动检查全 络的QoS合规性
   4)部署基于用户的QoS策略
   5)通过一个高级图形用户界面，可促进整个企业 络中的 QoS 部署和变更管理。
5、智能广域 (IWAN)
   1)可在思科路由器上自动配置IWAN和高性能路由选择 (PfR)

Catalyst 9000交换产品组合具备哪些专为智能 络而生的特性br> 0、对硬件（ASIC）和软件（IOS XE）层均进行革新，并使软件和硬件分离
1、融合了基于x86的全新板载 CPU（拥有基于容器的应用托管）和开放式思科IOS XE 16，具备服务器和容器的功能
   1)在内置的x86 CPU上托管第三方应用，使客户能在容器或虚拟机中运行其应用
   2)IOS XE 16是一款融合操作系统，支持模型驱动的可编程性、数据流遥感勘测和热补丁。
   3)IOS由应用程序编程接口（API）驱动，拥有开放、可编程和模块化的特点。使得用户可以对IOS与其他系统进行集成，并进行个性化交付。
2、提供高级可编程性、更强的安全性，以及更高的无线接入点密度，从而为带宽更高的上行链路和更高级的操作系统提供支持
3、支持可信任系统和高级安全功能，帮助实现分段和微分段。
   例如加密的流量分析 (ETA)、AES256/MACSEC256 和可信任系统、本地 MACsec-256 加密
   加密的流量分析 (ETA) 可检测存在于加密流量中的恶意软件和其他威胁。
4、专为利用DNA和思科软件定义的接入(SD-Access) 量身打造的平台
   支撑思科软件定义接入(SD-Access)和思科应用策略基础设施控制器企业模块 (APIC-EM)，从而实现策略自动化
5、提供与业界领先的扩展和硬件就绪功能（例如永久 UPOE/PoE 视听桥接 (AVB)/IEEE 1588 和服务发现）的物联 融合
6、使用 NBAR2（下一代基于 络的应用识别）提供出色的应用可视性与可控性
7、可提供80Gbps的上行链路带宽，以及480Gbps堆叠带宽解决方案
8、支持 络系统虚拟化（通过StackWise? 虚拟技术）
9、能够托管无线控制器，并支持诸如802.11ax等全新无线标准
10、可插拔本地存储。
11、思科不仅有面向园区 市场的可编程芯片UADP及其系列产品，也有主打SDN云计算的面向数据中心的Insieme系列自研芯片，更有面向运营商和超大规模数据中心的Leaba系列芯片
12、high–speed ASICs 以满足大量的遥测数据被收集，并被送到数据分析引擎
13、ASIC加密或者强加安全组标示
14、ASIC保证低延迟的分组传输和服务质量
15、本地Flexible NetFlow
   
DNA架构br> DNA架构包括如下几个要素：
1、fabric 络
2、虚拟化（NFVVLANVRF）
3、云交换
4、 络控制器（基于SDN）
5、服务定义与编排
6、数据分析引擎、遥测数据采集

fabric 络：
（包括以下特征）
1、任意 络元素之间的通讯：基于IP通讯的underlay基础设施
2、灵活的服务：基于可编程特性，为端点（终端、设备、应用）提供灵活的服务
3、策略执行：在企业 络边缘或者 络域之间，为终端或者应用设置 络访问策略（如ACL/QOS等）
4、链路封装：允许主机或者应用使用各种不同的二层协议（比如不同的以太 封装类型）连接到 络
5、位置独立转发：主机或者应用程序位置移动无需更改underlay基础设施
6、基于控制器的管理：简化 络操作，使得整个 络被看成一个整体，而非一个个 元或者 络功能
7、高可靠性：以确保 络的抗错误能力，包括 元或者软件功能错误
   
虚拟化：
(包括以下两个部分)
1、传输虚拟化
   通过VLANVRF进行 络分割、二三层隔离
2、 络功能虚拟化（NFV）
   允许 络功能运行在虚拟机上，包括NAT防火墙DPI等。
   越来越多的 元提供基于X86的计算资源
   专用的X86服务器
   络功能的安装、卸载。
   络功能的状态、重部署、重启、服务器迁移
 
云交换架构：
1、DNA架构充分整合不同的云模型，包括私有云、虚拟私有云（APC）、混合云、公有云模型。
2、在传输层层面，各种云模型都可以通过隧道技术无缝的融合到企业 络中。
3、在控制层层面，管理或者编排工具可以部署在云上，通过公有云 关来操作 络。
4、云的优势，资源动态分配、可伸缩、全局可达性被扩展到DNA的编排和管理工具中。具体包括：
   1)可以根据编排和管理工具，动态的分配或者释放计算资源、存储资源
   2)云架构的可用性和弹性机制，使得企业运营者不需要再提供高可用的基础设施来运营 络
   3)通过公有云 关，DNA的编排和管理可以在任意地方被访问
5、云交换架构利用了 络功能虚拟化，特别是安全功能，以便安全的连接到云提供商。

络控制器：
1、DNA控制器提供 络抽象层来屏蔽自动化中各种 元的细节，并向业务流程和分析引擎提供抽象视角
2、DNA控制器在服务实例的任何部分（如云、校园、广域 或数据中心域）中实现策略，用于所有策略变体，如访问、传输或路径优化。
3、身份识别，包括终端、设备、应用的身份识别
4、包括如下策略：
   1) 络访问策略，即ACL访问控制
   2)安全与加密策略
     安全策略还包括防火墙、异常检测、黑名单、白名单
   3)TE（流量工程）策略确定最佳路径转发
     思科EasyQoS具有内置的最佳实践QoS策略，支持对1300多种应用进行策略控制，并且可以在整个 络中应用端到端策略（包括交换、路由和无线连接）。
4、 络功能策略，决定哪些IP流需要经过哪些 络服务，如通过广域 优化功能优化流量传输、通过IPS or IDS做流量检测、基于NSH SFC使得IP流经过特定的 络服务进行处理
5、南向接口：
CLINETCOFYANGREST

服务定义与编排结构：
1、通过图形化界面创建服务
2、约定的规则
3、定制服务
4、基于模板创建服务

数据分析引擎（思科NDP）、遥测数据采集：
1、数据收集  DNA 元实现数据收集，包括 络的所有方面，包括 元设备状态、流量传输状态、 络是否拥塞、丢包、带宽利用率等，语音、视频程序等是否传输正常等；
   1)数据收集不仅限于 元（路由器、交换机、接入点等），还包括支持 络功能的相关服务，包括AAA服务、4-7层 络功能服务
   2)思科借助自定义的ASIC和NetFlow，可以100%捕获思科 络数据，而且不会对交换机的转发性能产生影响
   3)实时收集、限制和关联 NetFlow、简单 络管理协议 (SNMP)、无线局域 控制器和系统日志信息，实现持续监控 络和提供切实可行的见解
   4)通讯基础设施需要保证遥测数据的有效传输，包括带宽保证、 SLAs
2、数据分析
   1)分析引擎通常托管在企业数据中心或者在云中。
   2)DNA分析引擎分析和关联所有收集的数据，包括各种 元、各种 络功能收集到的数据
   3)DNS分析引擎不仅分析随着时间迁移的时间 ，还能过滤收集到的数据
   4)基于环境情境解读数据，数据的重要性毋庸置疑，但同样重要的还有其所处的环境情境，包括人物、事件、时间、地点和方式等。
3、反馈与控制
   1) 络或者安全服务可以根据分析结果给出建议和优化
   2)分析还可以暴露在数字化应用程序中，以增强其操作或行为。
   
弹性与安全性考虑：
1、安全性：
   1）端点安全服务
      在 络域的边缘进行强制策略执行检查，允许访问什么、不允许访问什么
      可以对特定的流进行加密IPSDPS，对需要经过不可信 络的数据流进行加密。
      ETA加密流量中的已知攻击签名亦可被检测出来，这能够帮助客户在确保安全性的同时有效保护隐私
      思科StealthWatch 和其他工具可提供精细的流量分析，使用 络作为安全传感器和执行器，提供完整的解决方案来识别威胁和异常
      思科TrustSec利用软件定义的分段技术来控制 络访问
   2)DNA控制器平台的安全性
      访问DNA控制器平台需要经过严格的认证
      络管理者需要向任何控制-平面功能提交用户名和密码凭据。
      基于角色的访问权限控制
      安全通道-如HTTPS
      组件之间的API调用受制于身份验证机制、token机制。
2、高可用性
   1)控制器以及编排组件的高可用性
     集群、持久化、分布式存储   
   2) 络服务功能的高可用性
     冗余的数据转发、控制平面
     链路冗余、HSRP、VRRP、VSU、二三层收敛优化、FRR、BFD
     4至7层的 络服务一般通过VNF部署，冗余机制，虚拟机的容错、高可靠性机制
     DNA的高可靠性适用于多播流
    
什么是netflowbr> 1、思科NetFlow是下一代流技术，可帮助优化 络基础设施，降低运营成本，改进容量规划和安全事件检测流程。
2、NetFlow可提供有关 络用户和应用、高峰使用时间以及流量路由的重要信息。