Cisco Nederland

De vijf elementen van DNA Assurance

10 min read



Met de aankondiging van DNA Assurance belooft Cisco een proactief en voorspellend beeld te geven van het netwerk. Maar hoe wordt dit gerealiseerd? In deze blog duiken ik dieper in DNA Assurance en kijk ik vooruit – de ontwikkelingen gaan namelijk in een sneltreinvaart. Daarnaast licht ik toe hoe DNA Assurance op jouw huidige netwerk toegepast kan worden. Deze blog is geschreven op basis van de functionaliteiten beschikbaar in DNA-Center v1.1.3.

Sinds de aankondiging van Cisco DNA (Digital Network Architecture) zijn er nogal wat nieuwe termen bij gekomen. Ik zet deze op een rijtje. Cisco DNA is de architectuur waar DNA Center het brein van is; de centrale controller van je netwerk. Onderdeel van DNA Center zijn onder andere Software Defined Access (SDA), DNA Automation en DNA Assurance. Dit zijn functionaliteiten die onderdeel zijn van DNA Center en afzonderlijk van elkaar functioneren. Ook is er geen additionele hardware nodig om DNA Assurance actief te hebben op het netwerk. DNA Center heeft de capaciteit om dit op de appliance te doen. Nu dit helder is kunnen we DNA Assurance samen meer in detail bekijken.

DNA Assurance architectuur
DNA Assurance is onderdeel van DNA-Center (DNA-C). DNA-C kan in drie componenten opgedeeld worden: 1) de GUI, 2) het DNA Automation platform en 3) het analytics platform.

Die laatste is verantwoordelijk voor DNA Assurance. Het analytics platform verzameld en analyseert de data die vanuit het netwerk komt. Er is een verbinding tussen het analytics en automation platform. Je ziet hier een closed loop ontstaan tussen het netwerk en de Automation en Assurance componenten. Het netwerk geeft informatie door, assurance analyseert deze en genereert alerts waar nodig, en via de automation kan hier geautomatiseerd op gereageerd worden.

In de huidige versie (v1.1.3) wordt er nog geen gebruik gemaakt van HA functionaliteit. In een cluster is er altijd een node die de assurance database bevat. Valt deze node uit, dan gaat de assurance informatie verloren. Vanaf DNA-C versie 1.2 wordt HA ondersteund voor zowel het automation en het assurance gedeelte. Een cluster maakt gebruik van een virtual IP welke gebruikt wordt door de onderliggende hardware om de telemetry data (Syslog, Netflow collector) naar DNA-C te sturen.

Data bronnen
DNA Assurance verzameld informatie door middel van collectors. Deze collectors verzamelen data van verschillende bronnen en geven dit door aan het analytics platform. Deze collectors zijn schaalbaar en dynamisch uitgerold via DNA-C, zie ze als kleine containers. Deze uitrol gebeurd op basis van de mogelijkheden van de netwerkapparatuur waar de data van verzameld wordt.

Bronnen van data die het analytics platform verzameld door middel van collectors zijn onder andere contextuele data van o.a. een AAA server (Cisco ISE), LDAP en DDI (ook 3rd party Infoblox, Bluecat), inventory en policy informatie vanuit DNA-C en locatie gebaseerde informatie (wireless) door middel van MSE. Daarnaast wordt netwerk telemetry verzameld vanuit verschillende bronnen; Wireless LAN Controller, Switches, Routers en ook (sensor) Access Points. Hierbij zien we dat er reeds bestaande en bekende protocollen gebruikt worden voor de dataverzameling. Denk hierbij aan SNMP, NetFlow, Syslog, AVC en NBAR(2). De genoemde databronnen en protocollen zijn niet nieuw en word al veel gebruikt in bestaande netwerk monitoring tools. De kracht van DNA Assurance zit in het deel waar alle informatie met elkaar gecorreleerd wordt. Als voorbeeld: een draadloze gebruiker kan niet op het netwerk komen omdat er een verkeerd wachtwoord wordt gebruikt.

In deze situatie wordt er een aantal bronnen gebruikt om dit event weer te geven in assurance. Informatie van o.a. de WLC (lange association time, welke AP en locatie), LDAP en ISE (user informatie, profiling) en tussenliggende netwerkcomponenten (SNMP) worden gebruikt om een connectiviteitspad visueel weer te geven in de assurance GUI en is in een oogopslag te zien waar het mis gaat met deze user.

De vijf elementen van DNA Assurance
DNA Assurance bestaat uit vijf elementen. Mijn collega Roy Ramakers heeft in zijn blog deze elementen ook benoemd. Ik zal ze hieronder nader toelichten:

1. End-to-End visibility
Een enkel scherm waar je de netwerk status kunt zien en daarop kunt acteren. Dat klinkt mooi, en Cisco heeft al jaren de ambitie dit te realiseren met de kreet ‘single pane of glass’. Met DNA-C lijkt het de goede kant op te gaan. Zowel wired, wireless als de netwerk services zijn zichtbaar. In de nabije toekomst zal hier een integratie van Viptela bij komen waarmee SD-WAN management en visibility vanuit dezelfde GUI gerealiseerd worden.

De huidige GUI structuur van DNA Assurance kent een aantal levels van granulariteit waarin de informatie zichtbaar wordt gemaakt. Overall Health geeft de algehele status van het netwerk weer, zowel wired als wireless en de clients. Hierin wordt ook weergegeven welke issues er op het netwerk zijn. Met Network Health gaan we een niveau lager en wordt er met meer detail en specifiek op netwerkcomponenten informatie gegeven. Vanuit hier kan direct ingezoomd worden op een specifiek netwerkcomponent; dit noemen we Device 360. De naam zegt het al; de status van een netwerkcomponent wordt weergegeven (denk aan Syslog, data en control plane informatie) alsmede de omliggende infrastructuur die invloed heeft op het netwerkcomponent. Als we een stap verder gaan komen we uit op Client Health waar we een overzicht zien van alle clients. Vanuit hier is het mogelijk om in te zoomen op een specifieke client, wat we, jawel, Client 360 noemen. Hier laten we informatie zien rondom onboarding (DHCP, AAA, DNS), RF en roaming informatie vanuit de WLC wanneer de client draadloos verbonden is. Cisco ISE speelt hier een grote rol in als voorziener van informatie; device profiling en het koppelen van een gebruiker en haar devices. In Client 360 is ook Application Experience voor de client te vinden wat weergeeft hoe de gebruikte applicaties performen voor de client. Dit is geïntegreerd met EasyQoS waardoor de applicaties in de drie categorieën weergegeven wordt (relevant, irrelevant, default). In te nabije toekomst zal de Application Experience module verder uitgebreid gaan worden waarmee inzichtelijk is hoe een specifieke applicatie zich gedraagt, beweegt en performed over het netwerk of een specifiek gedeelte van een netwerk (denk aan een branch of tussen specifieke clients). Met de toekomstige Viptela integratie zal de WAN-omgeving ook worden meegenomen.

2. Insights to drive proactive operations
Visibiliteit geeft je de mogelijkheid om je netwerk op een efficiënte manier te monitoren en beheren. Assurance doet meer met de verzamelde informatie en past hier een stuk machine learning op toe. Er wordt een baseline gecreëerd waarmee we correlaties met tijd, locatie en de topologie van het netwerk gebruiken om trends op weer te geven. Omdat geen enkel netwerk hetzelfde is zal DNA Assurance het netwerk leren alvorens trending informatie weer te geven. Daarnaast zijn diverse parameters en tresholds adaptief instelbaar. Op deze manier is het mogelijk om op de trends in te spelen (en al dan niet geautomatiseerd uit te laten voeren door DNA-C) en toekomstige problemen te voorkomen. Denk aan een uplink in de switching core omgeving die steeds meer benut wordt en uiteindelijk de volledige capaciteit zal bereiken met traffic shaping of packet drops tot gevolg. Of een gedeelte van de RF in een netwerksegment wat steeds meer benut wordt en uiteindelijk zal resulteren in een slechte user experience. Gesproken over een slechte user experience, lees de blog van Harald de Wilde.

Concreet houdt dit in dat naast issues ook een lijst met trends zichtbaar zal zijn in de overall health pagina. Trends komt beschikbaar in DNA-C v1.2. De afbeelding hieronder geeft een wireless use case weer met de parameters die verzameld worden om tot een baseline te komen en afwijkingen te detecteren, alsmede issues en trends.

3. Predict performance
DNA Assurance bied een aantal mogelijkheden om proactief netwerkperformance te voorspellen door middel van tests. Een van de mogelijkheden is het inzetten van AP als sensoren waar we een aantal opties hebben. De AP kan ingezet worden als dedicated sensor (de AP1800) waarbij de AP enkel als sensor dient en geen client data verwerkt. Een AP kan ook beide rollen vervullen; zowel als sensor als het bedienen van clients (AP2800/3800). Dit is mogelijk dankzij de XOR radio in de AP. Een van de radio’s zal dedicated de sensor rol vervullen, de andere radio zal clients bedienen. Flexible Radio Assignment Algorithm (FRAA) herkent radios in een RF omgeving die ‘overbodig’ zijn en zet ze om in sensor mode zonder client impact. FRAA zorgt er voor dat een client verhuist naar een andere radio op het moment dat deze geconnecteerd is met een radio die omgezet gaat worden.

Een sensor kan syntetische onboarding-, netwerk- en applicatietesten uitvoeren op de wireless omgeving. Denk hierbij aan 802.11 Association, Authentication en Key Exchange onboarding tests. Qua netwerk testen behoren DNS, Radius, het testen van de Router/Default gateway en interne en externe hosts tot de mogelijkheden. Om een applicatietest uit te voeren kan er gebruik gemaakt worden van Email (POP3, IMAP, OWA), FTP en Web (http & https). Alle tests kunnen uitgevoerd worden met IPv4. In de toekomst zal IPv6 ook tot de mogelijkheid behoren. Deze tests kunnen direct of schematisch uitgevoerd worden vanuit DNA-C welke de configuratie doorgeeft aan de WLC. De resultaten van de tests worden direct via HTTPS naar DNA-C gestuurd. Een algoritme correleert en visualiseert deze data. Dit kan onder andere inzicht geven in throughput of roaming problemen.

4. Streaming telemetry
Hedendaagse functies zoals SNMP, Syslog en CLI worden gebruikt voor het verzamelen van informatie over het netwerk. Deze functies hebben een aantal limitaties veroorzaakt door de grote groei aan devices, cloud based applicaties en de vraag naar real time informatie. Kijkend naar SNMP, een veel gebruikt protocol bij monitoring en alerting, word een pull ingesteld tussen de vijf en 30 minuten. Dit is niet doeltreffend als we het over proactief en predictive netwerk monitoring hebben zoals bij DNA Assurance waar de vraag om (near) real time informatie groot is. Er wordt al jaren dezelfde functies gebruikt terwijl de mogelijkheden in de hardware en de performance veranderd zijn. Het is daarom tijd om verder te kijken. Streaming Telemetry is een manier van netwerk monitoring waar er met een push model continue informatie van de hardware gestreamed wordt waarmee zo goed als real time informatie beschikbaar komt. Gebaseerd op de (open) Model-Driven telemetry standaard geeft het de mogelijkheid om via YANG specifiek te definieren welke data verzameld dient te worden. Een kleine status change zoals een interface status of protocol neighbor change kan nu als een individuele pull ingesteld worden. Vanuit DNA-C is het mogelijk om geautomatiseerd gebruik te maken van streaming telemetry en gebruikt dit om specifiekere informatie zichtbaar te maken. Support voor apparatuur zijn o.a. switches met IOS-XE16.6.x (denk aan de Catalyst 3650, 3850 en de 9000 series).

5. Closed-loop automation
Het laatste punt is een hele interessante. Hierin wordt de visie van Cisco DNA in het algemeen duidelijk: een netwerk dat leert, zelfsturend en zelfhelend is. Dit zijn termen die hip zijn en we vaak voorbij zien komen, maar wat houdt dat nu exact in? Voor Cisco DNA betekent het dat we een geautomatiseerde closed loop creëren. Centraal staat DNA-C met Automation en Assurance. Vanuit DNA-C wordt het netwerk centraal aangestuurd. Door de continue stroom van informatie vanuit de infrastructuur genereerd Assurance inzicht in de status en eventuele issues. Hier wordt het interessant. DNA-C is nu op het punt in de ontwikkeling dat het suggesties geeft hoe een issue opgelost kan worden. Een vervolgstap (en deze is dichterbij dan je misschien denkt) is dat er de mogelijkheid is om DNA-C deze suggesties uit te laten voeren (bijvoorbeeld een show interface commando, of het checken van neighbourship status, of het wijzigen van een stuk configuratie). Je ziet dat assurance iets ontdekt op het netwerk, en dan automation een benodigde wijziging geautomatiseerd uit kan voeren. De ontwikkeling gaat de richting op dat DNA-C geen suggesties meer geeft, maar zelf actie onderneemt op een issue of trend. In dit stadium praten we over een adaptief, zelfsturend en zelfhelend netwerk. Deze ontwikkeling is gaande en zal in de toekomst toegepast kunnen worden in de DNA-architectuur.


Apple Insights
Drie jaar geleden kondigde Cisco en Apple een technische partnership aan. Engineers van beide kanten zijn samen gaan werken om de experience met de producten van beide fabricanten te verhogen door middel van integratie. Dit heeft geresulteerd in innovaties zoals QoS FastLane (prioritizering van bedrijfscritische applicaties op Apple apparatuur) en een mobile Security Connector (embedded Cisco Umbrella en Advanced Malware Protection op Apple devices). Met DNA Assurance wordt nu de volgende stap gezet; Apple Insights. Deze ontwikkeling maakt het mogelijk dat Apple clients informatie doorgeven aan Assurance over het perspectief van het netwerk vanuit de client door middel van een 802.11k beacon report. Dit bevat onder andere welke accesspoints de client ziet en met welke RSSI sterkte en het channel waar een client mee is verbonden. Dit wordt aangevuld met informatie over een dissasociatie van een client: waarom verlaat deze client het netwerk? Dit kan zijn doordat de user handmatig WiFi uitschakeld, de telefoon in battery saving mode staat of omdat het device niet gebruikt wordt (idle state). Daarnaast geeft de Apple client informatie door over het model en OS versie. Al deze informatie is te zien vanuit de Client 360 view in DNA Assurance (alsmede ook in de WLC). Vanuit de client is hiervoor niets benodigd; dit zit ingebakken in iOS 11.x en hoger. Vanuit de infrastructuur wordt AireOS 8.5+ vereist.

 

 

Okay. What’s next?

Compleet overtuigd en sta je nu te springen om DNA Assurance te gaan gebruiken? Cool. Maar voordat je de een order gaat plaatsen, laten we eerst even kijken hoe te beginnen. Als eerste is een DNA-C appliance vereist (geen VM mogelijk) en zal de onderliggende infrastructuur ondersteund moeten zijn. Voor een up-to-date lijst van de hardware die ondersteund wordt door DNA Assurance raad ik je aan altijd de laatste datasheet van DNA-C te raadplegen of contact op te nemen met je Cisco Partner of Account Manager. In het kort:

  • Catalyst 2960L/X/XR, 3650, 3850, 4500, 6500, 9000 Series Switches
  • Wave 1 en Wave 2 Access Points met een WLC 3504, 5520 of 8500
  • ASR1000 en ISR4400 routerplatformen

Het scala aan ondersteunde devices is dus groter dan bij SD-Access waar we afhankelijk zijn van de Cisco UADP ASIC chip. Veel bestaande brownfield netwerken kunnen geschikt zijn voor DNA Assurance (en automation). Daarnaast is SD-Access geen vereiste voor DNA Assurance welke op zichzelf gedeployed kan worden. Assurance zal fabric overlay gerelateerde informatie laten zien wanneer SD-Access uitgerold is. Denk hierbij aan de delay tussen een edge node en de LISP database op de fabric control node, of de routing status van de border node.

Bovenstaande lijst is gebaseerd op Cisco only hardware. Dit zal ook zo blijven. Er wordt gewerkt aan een Software Developer Kit (SDK) waarmee het mogelijk is om 3rd party devices in DNA-C te krijgen en dus ook zichtbaar in Assurance. De beheersbaarheid en mate van informatie die we uit een 3rd party device krijgen verschilt per merk en type. Cisco DevNet heeft de laatste informatie rondom de SDK.

DNA Assurance heeft geen invloed op een reeds bestaand netwerk, er is geen reboot nodig van hardware in het netwerk (mits er voldaan wordt aan de minimaal vereiste softwareversie) en DNA Assurance staat niet in het data pad. Hierdoor kan er geleidelijk begonnen worden met DNA Assurance. In een volgende blog ga ik dieper in op een DNA Assurance implementatie.

Heb je andere zaken die je te weten wil komen laat dit me dan weten. De meest recente resources rondom DNA Center vind je hier.

Bezoek één van de technische Test Drives om Intent-Based Networking en DNA Assurance in de praktijk te ervaren.

#NetworkIntuitive #CiscoDNA

 

 

Authors

Nigel van der Burg

Systems Engineer – Digital Network Architecture (DNA)

Enterprise Networking

Reageer