Cisco SD-Access คืออะไร: ทำความเข้าใจ Intent-Based Networking สำหรับ Campus Network
Cisco SD-Access (Software-Defined Access) เป็น Solution ของ Cisco สำหรับ Campus Network ที่ใช้แนวคิด Intent-Based Networking (IBN) หมายความว่าแทนที่ Network Admin จะต้องไป Configure อุปกรณ์ทีละตัว ทีละ CLI Command เหมือนในอดีต SD-Access ให้ Admin กำหนด Intent หรือความต้องการของธุรกิจผ่าน GUI บน Dashboard ส่วนกลาง แล้วระบบจะแปลง Intent เหล่านั้นเป็น Configuration ที่ถูกต้องและ Deploy ไปยังอุปกรณ์ Network ทั้งหมดโดยอัตโนมัติ SD-Access เป็นส่วนหนึ่งของ Cisco Digital Network Architecture (DNA) ที่เป็น Architecture ใหม่สำหรับ Enterprise Network ของ Cisco ที่ออกแบบมาเพื่อรองรับความต้องการของ Digital Transformation ในปี 2026 องค์กรจำนวนมากในประเทศไทยกำลังพิจารณาหรือเริ่ม Deploy SD-Access เพื่อแก้ปัญหา Campus Network ที่ซับซ้อนมากขึ้น
ปัญหาของ Campus Network แบบดั้งเดิม (Traditional Campus) ที่ทำให้ Cisco พัฒนา SD-Access ขึ้นมามีหลายประการ ประการแรกคือ Manual Configuration ที่ Network Admin ต้อง Configure Switch ทีละตัว ทีละ Port ผ่าน CLI ซึ่งใช้เวลามากและมีโอกาสผิดพลาดสูง ถ้ามี Switch 200 ตัวในอาคาร การเปลี่ยน VLAN Policy หนึ่งอย่างอาจต้องไป Configure ทั้ง 200 ตัว ประการที่สองคือ VLAN Sprawl ที่ Traditional Campus ใช้ VLAN ในการแบ่ง Segment Network เมื่อองค์กรโตขึ้น VLAN ก็เพิ่มขึ้นเรื่อยๆ จนมีหลายร้อย VLAN ที่ต้อง Manage ทำให้ Network ซับซ้อนมาก ประการที่สามคือ Static Policy ที่ Policy ใน Traditional Campus ผูกกับ Port และ VLAN ถ้าผู้ใช้ย้ายที่นั่ง หรือเสียบสาย Port อื่น Policy ก็ต้องเปลี่ยนตาม ไม่ยืดหยุ่น ประการที่สี่คือ Limited Visibility ที่ Admin ไม่สามารถมองเห็นได้ง่ายว่าใครอยู่ที่ไหนใน Network ใช้ Application อะไร มีปัญหาอะไรเกิดขึ้น ต้องไป Check ทีละ Switch ทีละ Log ประการที่ห้าคือ Slow Troubleshooting ที่เมื่อเกิดปัญหาต้องใช้เวลาในการ Troubleshoot นาน เพราะต้อง Check หลาย Switch หลาย Layer
SD-Access แก้ปัญหาเหล่านี้ด้วยการสร้าง Network Fabric ที่เป็น Overlay Network บน Physical Infrastructure (Underlay) โดยใช้ VXLAN สำหรับ Data Plane และ LISP สำหรับ Control Plane ทำให้ Policy ไม่ผูกกับ Physical Port หรือ VLAN อีกต่อไป แต่ผูกกับ Identity ของผู้ใช้หรืออุปกรณ์แทน ผู้ใช้จะเสียบสาย Port ไหนก็ได้ เชื่อมต่อ Wi-Fi AP ตัวไหนก็ได้ Policy จะตามไปทุกที่โดยอัตโนมัติ
Cisco DNA Center (Catalyst Center) คืออะไร: สมองกลของ SD-Access
Cisco DNA Center เป็น Centralized Management Platform ที่เป็นหัวใจของ SD-Access ในปี 2023 Cisco ได้เปลี่ยนชื่อจาก DNA Center เป็น Catalyst Center เพื่อให้สอดคล้องกับ Branding ของ Cisco Catalyst Product Line แต่ในทางปฏิบัติ ทั้ง DNA Center และ Catalyst Center คือ Platform เดียวกัน หลายคนยังเรียกว่า DNA Center ตามความคุ้นเคย ในบทความนี้จะใช้คำว่า DNA Center และ Catalyst Center แทนกันได้
DNA Center เป็น Appliance (Hardware หรือ Virtual Machine) ที่ทำหน้าที่เป็น Controller ส่วนกลางสำหรับ Campus Network ทั้งหมด DNA Center ไม่ได้แค่ Manage อุปกรณ์ Network เท่านั้น แต่เป็น Platform ที่ครอบคลุมทุกด้านของ Network Lifecycle ตั้งแต่ Design, Provision, Policy, Assurance ไปจนถึง Analytics
Feature หลักของ DNA Center มีดังนี้ อันดับแรกคือ Network Design ที่ Admin สามารถออกแบบ Network Hierarchy ได้ผ่าน GUI โดยกำหนด Site, Building, Floor แล้ว Upload Floor Plan เพื่อวาง AP ได้อย่างแม่นยำ กำหนด IP Pool, DNS, DHCP, NTP Settings สำหรับแต่ละ Site กำหนด Network Profile ที่เป็น Template Configuration สำหรับอุปกรณ์แต่ละประเภท อันดับที่สองคือ Device Discovery และ Inventory ที่ DNA Center สามารถ Discover อุปกรณ์ Network ทั้งหมด (Switch, Router, AP, WLC) แล้วแสดงใน Inventory พร้อม Software Version, Configuration, Health Status อันดับที่สามคือ Software Image Management (SWIM) ที่ Manage Software Image ของอุปกรณ์ทั้งหมดจากส่วนกลาง กำหนด Golden Image สำหรับแต่ละ Platform แล้ว Upgrade อุปกรณ์ได้ทีละหลายตัวพร้อมกัน อันดับที่สี่คือ Automated Provisioning ที่ Deploy Configuration ไปยังอุปกรณ์ใหม่ได้อัตโนมัติ ด้วย Plug and Play (PnP) อุปกรณ์ใหม่เพียงแค่เสียบสายเข้า Network ก็จะได้รับ Configuration จาก DNA Center โดยอัตโนมัติ อันดับที่ห้าคือ Policy Management ที่กำหนด Access Policy, QoS Policy, Application Policy ผ่าน GUI แล้ว Deploy ไปทั้ง Network อันดับที่หกคือ Assurance ที่ Monitor Network Health ของทั้ง Network แบบ Real-time แสดง Client Health, Network Device Health, Application Health พร้อม AI/ML-driven Insights ที่วิเคราะห์ปัญหาและแนะนำวิธีแก้ไข
DNA Center มี Hardware Appliance 3 ขนาด ได้แก่ DN2-HW-APL (Standard Appliance) สำหรับ Network ขนาดกลาง รองรับอุปกรณ์ได้สูงสุด 1,000 ตัว DN2-HW-APL-L (Large Appliance) สำหรับ Network ขนาดใหญ่ รองรับอุปกรณ์ได้สูงสุด 2,500 ตัว DN2-HW-APL-XL (Extra Large Appliance) สำหรับ Network ขนาดใหญ่มาก รองรับอุปกรณ์ได้สูงสุด 5,000 ตัว สามารถ Deploy เป็น 3-Node Cluster เพื่อ High Availability ได้ นอกจากนี้ยังมี Virtual Appliance สำหรับ Lab และ Evaluation ที่รันบน VMware ESXi ได้
SD-Access Architecture: Underlay, Overlay และ Control Plane อธิบายแบบละเอียด
SD-Access Architecture ประกอบด้วย 3 Layer หลัก ได้แก่ Underlay Network, Overlay Network และ Control Plane แต่ละ Layer ทำหน้าที่แตกต่างกัน
Underlay Network: Underlay เป็น Physical Network Infrastructure ที่เป็นพื้นฐานของ SD-Access Fabric Underlay ทำหน้าที่เป็น Transport ที่ส่ง Packet ระหว่างอุปกรณ์ Fabric ทุกตัว SD-Access ใช้ IS-IS (Intermediate System to Intermediate System) เป็น Routing Protocol สำหรับ Underlay เพราะ IS-IS มีข้อดีหลายประการ IS-IS ทำงานบน Layer 2 (ไม่ขึ้นกับ IP) ทำให้ Converge ได้เร็ว IS-IS รองรับ IPv4 และ IPv6 ใน Single Instance IS-IS มี Scalability ที่ดี รองรับ Network ขนาดใหญ่ IS-IS ถูก Design มาสำหรับ Service Provider Network ที่มีขนาดใหญ่มาก Underlay Design ที่แนะนำสำหรับ SD-Access คือ Routed Access Layer หมายความว่า Layer 2 Boundary อยู่ที่ Access Switch Port เท่านั้น ตั้งแต่ Access Switch ขึ้นไปถึง Distribution และ Core เป็น Layer 3 ทั้งหมด ทุก Link เป็น Point-to-point Routed Link ข้อดีคือไม่มี Spanning Tree Protocol (STP) ที่ Block Port ทำให้ใช้ Bandwidth ได้เต็มทุก Link ECMP (Equal-Cost Multi-Path) ทำงานได้เต็มที่ Convergence เร็วมากเพราะไม่ต้องรอ STP
Overlay Network (VXLAN): Overlay เป็น Virtual Network ที่สร้างขึ้นบน Underlay SD-Access ใช้ VXLAN (Virtual Extensible LAN) สำหรับ Data Plane ของ Overlay VXLAN ทำงานโดยการ Encapsulate Frame เดิมด้วย VXLAN Header แล้วส่งผ่าน Underlay ไปยังปลายทาง VXLAN ใช้ VNI (VXLAN Network Identifier) 24 bit ทำให้มี Segment ได้มากถึง 16 ล้าน Segment เทียบกับ VLAN ที่มีได้แค่ 4,096 ข้อดีของ VXLAN ใน SD-Access คือ L2 Extension ที่สามารถขยาย Layer 2 Domain ข้าม Layer 3 Underlay ได้ ทำให้ Endpoint ที่อยู่คนละ Building ก็สามารถอยู่ใน Subnet เดียวกันได้ Scalability ที่มี VNI มากถึง 16 ล้าน ไม่มีปัญหา VLAN Limit อีกต่อไป Mobility ที่ Endpoint ย้ายที่ไปไหนก็ได้ภายใน Fabric โดยไม่ต้องเปลี่ยน IP Address
Control Plane (LISP): SD-Access ใช้ LISP (Locator/ID Separation Protocol) เป็น Control Plane Protocol LISP แยก Identity (Endpoint Identifier หรือ EID) ออกจาก Location (Routing Locator หรือ RLOC) ใน Traditional Network IP Address ทำหน้าที่ทั้ง Identity และ Location ถ้า Host ย้ายที่ IP Address ก็เปลี่ยน แต่ใน LISP EID (IP Address ของ Host) ไม่เปลี่ยนแม้ Host จะย้ายที่ เพราะ LISP Map EID ไปยัง RLOC (IP Address ของ Switch ที่ Host เชื่อมต่ออยู่) Component หลักของ LISP ใน SD-Access ได้แก่ Map Server (MS) ที่เก็บ Database ของ EID-to-RLOC Mapping Map Resolver (MR) ที่ตอบ Query สำหรับ EID-to-RLOC Mapping LISP ทำให้ SD-Access รู้ว่า Endpoint อยู่ที่ไหนใน Network ตลอดเวลา เมื่อ Endpoint ย้ายที่ LISP จะ Update Mapping ใหม่อัตโนมัติ
นอกจาก VXLAN และ LISP แล้ว SD-Access ยังใช้ Cisco TrustSec Technology สำหรับ Security โดยเฉพาะ SGT (Scalable Group Tag หรือ Security Group Tag) ที่เป็น Label ที่ Assign ให้กับ Traffic ตาม Identity ของผู้ใช้หรืออุปกรณ์ SGT จะถูก Carry ไปใน VXLAN Header ทำให้ Policy สามารถ Enforce ได้ทุกที่ใน Fabric
Fabric Node Types: Edge Node, Control Plane Node และ Border Node
SD-Access Fabric ประกอบด้วย Node หลายประเภท แต่ละประเภททำหน้าที่แตกต่างกัน การเข้าใจ Node Types เป็นพื้นฐานสำคัญในการ Design SD-Access
Fabric Edge Node: Edge Node เป็น Access Layer Switch ที่เป็นจุดเชื่อมต่อ Endpoint เข้ากับ Fabric Edge Node ทำหน้าที่หลักดังนี้ Host Onboarding ที่รับ Endpoint เข้าสู่ Fabric ด้วย Authentication (802.1X, MAB หรือ Open) VXLAN Encapsulation/Decapsulation ที่ Encapsulate Traffic ของ Endpoint ด้วย VXLAN Header ก่อนส่งเข้า Fabric และ Decapsulate เมื่อ Traffic กลับมาถึง LISP Registration ที่ Register EID ของ Endpoint ที่เชื่อมต่อไปยัง Map Server SGT Assignment ที่ Assign SGT ให้กับ Traffic ตาม Identity ของ Endpoint Anycast Gateway ที่เป็น Default Gateway สำหรับ Endpoint ทุก Edge Node มี Anycast Gateway IP เดียวกัน ทำให้ Endpoint ย้ายไปอยู่กับ Edge Node ตัวไหนก็ได้โดยไม่ต้องเปลี่ยน Gateway ใน SD-Access ทุก Edge Node Share Anycast Gateway Address เดียวกันสำหรับแต่ละ Subnet ทำให้ First-hop Redundancy Protocol เช่น HSRP หรือ VRRP ไม่จำเป็นอีกต่อไป Switch ที่เป็น Edge Node ได้แก่ Cisco Catalyst 9200, 9300, 9400, 9500 และ 9600 Series
Fabric Control Plane Node: Control Plane Node ทำหน้าที่เป็น LISP Map Server และ Map Resolver เก็บ Database ของ EID-to-RLOC Mapping ทั้งหมดของ Fabric เมื่อ Edge Node ต้องการรู้ว่า Endpoint ปลายทางอยู่ที่ Edge Node ตัวไหน จะ Query ไปที่ Control Plane Node Control Plane Node ตอบกลับด้วย RLOC ของ Edge Node ที่ Endpoint ปลายทางเชื่อมต่ออยู่ ควรมี Control Plane Node อย่างน้อย 2 ตัวเพื่อ Redundancy โดยปกติจะใช้ Switch ที่ทำหน้าที่เป็น Distribution หรือ Core Layer เป็น Control Plane Node ด้วย Switch ที่แนะนำคือ Cisco Catalyst 9500 หรือ 9600 Series
Fabric Border Node: Border Node เป็นจุดเชื่อมต่อระหว่าง SD-Access Fabric กับ Network ภายนอก เช่น Data Center, WAN, Internet, Shared Services Border Node ทำหน้าที่ Translate ระหว่าง Fabric (VXLAN/LISP) กับ Non-Fabric Network Border Node มี 3 ประเภท Internal Border ที่เชื่อมต่อกับ Known Network ภายในองค์กร เช่น Data Center, Shared Services จะ Advertise เฉพาะ Route ที่รู้จักเข้ามาใน Fabric External Border ที่เชื่อมต่อกับ Unknown Network เช่น Internet, WAN จะเป็น Default Route สำหรับ Traffic ที่ไม่มี Specific Route ใน Fabric Internal and External Border (Anywhere Border) ที่ทำหน้าที่ทั้ง Internal และ External Border ในตัวเดียว เหมาะสำหรับ Deployment ขนาดเล็กที่ไม่ต้องการแยก Border Switch ที่แนะนำคือ Cisco Catalyst 9500 หรือ 9600 Series
Fabric WLC (Wireless LAN Controller): ในกรณีที่มี Wireless ใน SD-Access Fabric จะมี Fabric-mode WLC ที่ทำหน้าที่ Control Plane สำหรับ Access Point โดย AP จะทำงานใน Fabric Mode ที่แตกต่างจาก Traditional Mode ใน Fabric Mode AP จะ Register Client กับ Fabric เหมือน Edge Node ทำ Traffic ของ Wireless Client จะถูก VXLAN Encapsulate ที่ AP และส่งเข้า Fabric โดยตรง ไม่ต้อง Tunnel กลับมาที่ WLC เหมือน Traditional Mode (CAPWAP Data Tunnel) ทำให้ Wireless Traffic Path สั้นลงและ Efficient มากขึ้น WLC ที่รองรับ Fabric Mode ได้แก่ Cisco Catalyst 9800 Series
Macro-Segmentation ด้วย Virtual Network (VN) และ Micro-Segmentation ด้วย SGT/SGACL
SD-Access มี Segmentation 2 ระดับ คือ Macro-Segmentation และ Micro-Segmentation ที่ทำงานร่วมกันเพื่อให้ Security ที่ครอบคลุม
Macro-Segmentation ด้วย Virtual Network (VN): Virtual Network (VN) เป็น Macro-Segmentation ที่แบ่ง Network ออกเป็นส่วนใหญ่ๆ ที่ Isolate จากกัน คล้ายกับ VRF (Virtual Routing and Forwarding) ใน Traditional Network Traffic ระหว่าง VN ต่างกันจะถูก Block โดย Default ต้องผ่าน Firewall หรือ Fusion Router เพื่อ Control Traffic ระหว่าง VN ตัวอย่างการใช้ VN เช่น Corporate VN สำหรับพนักงานประจำ Guest VN สำหรับผู้เยี่ยมชมที่ต้อง Isolate จาก Corporate Network IoT VN สำหรับอุปกรณ์ IoT เช่น กล้อง CCTV, Sensor, เครื่องพิมพ์ที่ต้อง Isolate เพื่อ Security PCI VN สำหรับระบบที่ต้อง Comply กับ PCI DSS เช่น Payment System VN ทำให้การ Segment Network ง่ายมาก ไม่ต้อง Configure VLAN หรือ ACL ที่ซับซ้อน แค่กำหนดว่า User Group ไหนอยู่ใน VN ไหน แล้ว DNA Center จะ Deploy Configuration ให้ทั้ง Fabric
Micro-Segmentation ด้วย SGT และ SGACL: SGT (Scalable Group Tag) เป็น Micro-Segmentation ที่แบ่ง Network ออกเป็นกลุ่มย่อยๆ ภายใน VN เดียวกัน SGT เป็น 16-bit Tag (มีค่า 0-65535) ที่ Assign ให้กับ Traffic ตาม Identity ของผู้ใช้หรืออุปกรณ์ SGT ถูก Assign โดย Cisco ISE หลังจาก Authentication สำเร็จ ตัวอย่าง SGT เช่น SGT 10 สำหรับ Employee SGT 20 สำหรับ Contractor SGT 30 สำหรับ IP Phone SGT 40 สำหรับ CCTV Camera SGT 50 สำหรับ Printer
SGACL (Scalable Group Access Control List) เป็น Policy ที่กำหนดว่า SGT Group ไหนสามารถสื่อสารกับ SGT Group ไหนได้บ้าง SGACL ถูกกำหนดเป็น Matrix (ตาราง) ที่แสดงว่า Source SGT สามารถ Access Destination SGT ได้หรือไม่ ตัวอย่างเช่น Employee (SGT 10) สามารถ Access Printer (SGT 50) ได้ แต่ Contractor (SGT 20) ไม่สามารถ Access Printer ได้ CCTV Camera (SGT 40) สามารถสื่อสารกับ CCTV NVR (SGT 45) ได้เท่านั้น ไม่สามารถ Access อุปกรณ์อื่นได้
ข้อดีของ SGT เทียบกับ ACL แบบดั้งเดิมคือ ACL ใช้ IP Address ในการ Match Traffic เมื่อ IP เปลี่ยน ACL ก็ต้องเปลี่ยนตาม แต่ SGT ผูกกับ Identity ไม่ว่า IP จะเปลี่ยนเป็นอะไร SGT ก็ยังเป็นตัวเดิม ACL ต้อง Configure ที่ทุก Switch ที่ต้อง Enforce แต่ SGACL Configure ที่ส่วนกลาง (DNA Center/ISE) แล้ว Push ไปทั้ง Fabric ACL ซับซ้อนมากเมื่อมี Rule เยอะ ไม่สามารถ Visualize ได้ง่าย แต่ SGACL แสดงเป็น Matrix ที่มองเห็นได้ชัดเจน
Host Onboarding: การนำ Endpoint เข้าสู่ SD-Access Fabric
Host Onboarding เป็นกระบวนการที่ Endpoint (Computer, Phone, Printer, IoT Device) เชื่อมต่อเข้ากับ SD-Access Fabric แล้วได้รับ Network Access ตาม Policy ที่กำหนด SD-Access รองรับ 3 วิธีหลักในการ Onboard Host
802.1X Authentication: 802.1X เป็น Standard สำหรับ Port-based Network Access Control ที่ใช้ EAP (Extensible Authentication Protocol) ในการ Authenticate Endpoint Endpoint (Supplicant) ต้องมี 802.1X Client Software ที่ส่ง Credential (Username/Password หรือ Certificate) ไปยัง Edge Node (Authenticator) Edge Node ส่งต่อ Credential ไปยัง Cisco ISE (Authentication Server) เพื่อ Verify ISE ตรวจสอบ Credential กับ Directory Service (Active Directory, LDAP) ถ้า Authentication สำเร็จ ISE ส่ง Authorization Result กลับมาที่ Edge Node พร้อมกับ SGT ที่กำหนดให้ Endpoint นั้น Edge Node จะ Assign SGT ให้ Traffic ของ Endpoint และ Register Endpoint กับ Fabric Control Plane 802.1X เหมาะสำหรับ Computer ที่ Join Domain แล้ว หรืออุปกรณ์ที่มี 802.1X Client ทั้ง Windows, macOS, Linux รองรับ 802.1X Native
MAB (MAC Authentication Bypass): MAB ใช้สำหรับอุปกรณ์ที่ไม่สามารถทำ 802.1X ได้ เช่น Printer, IP Phone, CCTV Camera, IoT Sensor แทนที่จะใช้ Username/Password MAB จะใช้ MAC Address ของอุปกรณ์เป็น Credential ส่งไปยัง ISE ISE จะ Check ว่า MAC Address อยู่ใน Database หรือไม่ ถ้าอยู่ก็ Authenticate สำเร็จและ Assign SGT ที่กำหนดให้กับ Device Type นั้น MAB ไม่ปลอดภัยเท่า 802.1X เพราะ MAC Address สามารถ Spoof ได้ แต่ก็ดีกว่าไม่มี Authentication เลย ควรใช้ MAB ร่วมกับ Profiling ที่ ISE ตรวจสอบว่าอุปกรณ์เป็นประเภทที่อ้างจริงหรือไม่
Open Authentication: Open Mode เป็นวิธีที่ไม่ต้อง Authenticate Endpoint ใดๆ ก็สามารถเชื่อมต่อได้ Traffic จะถูก Assign Default SGT ที่กำหนดไว้ Open Mode เหมาะสำหรับ Port ที่เชื่อมต่ออุปกรณ์ที่ไม่สามารถทำ 802.1X หรือ MAB ได้ และไม่ต้องการ Security สูง เช่น Conference Room Port ที่ใครก็สามารถมาเสียบได้ อย่างไรก็ตามแม้จะเป็น Open Mode Traffic ก็ยังถูก Assign SGT และ Enforce SGACL ได้ ดังนั้น Open ไม่ได้หมายความว่าไม่มี Security เลย
ใน SD-Access การ Onboarding ถูก Configure ผ่าน DNA Center ในส่วนของ Host Onboarding Policy Admin กำหนดว่า Port ไหนใช้ Authentication วิธีไหน (802.1X, MAB, Open) Authentication Order เป็นอย่างไร (เช่น ลอง 802.1X ก่อน ถ้าไม่ได้ค่อยลอง MAB) Closed Mode หรือ Open Mode (Closed Mode จะ Block Traffic จนกว่า Authentication สำเร็จ Open Mode จะ Allow Traffic ระหว่าง Authentication) DNA Center จะ Generate Configuration ที่ถูกต้องและ Push ไปยัง Edge Node ทุกตัวโดยอัตโนมัติ
DNA Center Workflows: Design, Policy, Provision และ Assurance
DNA Center จัดระเบียบการทำงานเป็น 4 Workflow หลักที่ครอบคลุมทั้ง Network Lifecycle
1. Design Workflow: Design เป็นขั้นตอนแรกที่ Admin กำหนด Network Hierarchy และ Settings เริ่มจากการสร้าง Site Hierarchy ที่ประกอบด้วย Area (เช่น ภูมิภาค ประเทศ) Building (อาคาร พร้อม Address) และ Floor (ชั้น พร้อม Floor Plan) การกำหนด Network Settings สำหรับแต่ละ Site ได้แก่ AAA Server (ISE), DNS Server, DHCP Server, NTP Server, Syslog Server, SNMP Server การสร้าง IP Address Pool สำหรับแต่ละ Site กำหนด IP Range, Subnet Mask, Gateway, DHCP Server การสร้าง Network Profile ที่กำหนด Template Configuration สำหรับอุปกรณ์แต่ละ Model เช่น Template สำหรับ Catalyst 9300 ที่เป็น Edge Node Template สำหรับ Catalyst 9500 ที่เป็น Border/Control Plane Node การ Upload Floor Plan เพื่อวาง AP Location สำหรับ Wireless Planning
2. Policy Workflow: Policy เป็นขั้นตอนที่กำหนด Network Policy ที่ต้องการ Enforce ทั่ว Fabric Policy ใน DNA Center มีหลายประเภท Group-based Access Control Policy (SGACL) ที่กำหนดว่า SGT Group ไหนสามารถ Access SGT Group ไหนได้ ผ่าน Policy Matrix ที่แสดงเป็นตาราง Application Policy ที่กำหนด QoS (Quality of Service) สำหรับ Application แต่ละประเภท เช่น Voice ต้องได้ Priority สูงสุด Video Conference ได้ Priority รองลงมา Web Browsing ได้ Priority ต่ำ Virtual Network Policy ที่กำหนด VN และกำหนดว่า IP Pool ไหนอยู่ใน VN ไหน IP-based Access Control Policy สำหรับ Policy ที่ต้องใช้ IP Address ในการ Match (ใช้ร่วมกับ SGT ได้)
3. Provision Workflow: Provision เป็นขั้นตอนที่ Deploy Configuration ไปยังอุปกรณ์ มีหลายวิธี Device Provisioning ที่เลือกอุปกรณ์จาก Inventory แล้ว Assign ให้กับ Site กำหนด Role (Edge, Border, Control Plane) แล้ว Provision DNA Center จะ Generate Configuration ที่ถูกต้องและ Push ไปยังอุปกรณ์ Plug and Play (PnP) สำหรับอุปกรณ์ใหม่ที่ยังไม่มี Configuration อุปกรณ์เพียงเสียบสายเข้า Network แล้ว Boot ขึ้นมา จะ Discover DNA Center ผ่าน DHCP Option หรือ DNS แล้วรับ Configuration โดยอัตโนมัติ ไม่ต้องไป Console ที่อุปกรณ์เลย SWIM (Software Image Management) ที่ Upgrade Software ของอุปกรณ์ทีละหลายตัวพร้อมกัน กำหนด Golden Image สำหรับแต่ละ Platform แล้ว Schedule Upgrade ได้ Fabric Provisioning ที่ Deploy SD-Access Fabric Configuration เช่น VXLAN, LISP, CTS ไปยังอุปกรณ์ที่เป็น Fabric Node
4. Assurance Workflow: Assurance เป็น Feature ที่ทำให้ DNA Center โดดเด่นจาก NMS (Network Management System) ทั่วไป Assurance ใช้ AI/ML ในการวิเคราะห์ข้อมูลจาก Network Device ทั้งหมด แล้วให้ Insight ที่ช่วยใน Troubleshooting และ Optimization Feature หลักของ Assurance ได้แก่ Network Health Dashboard ที่แสดง Overall Health Score ของ Network Device, Client และ Application Client Health ที่แสดง Health Score ของ Client แต่ละเครื่อง พร้อม Timeline ที่บอกว่า Client นั้น Connect, Authenticate, Get IP, Access Application สำเร็จหรือไม่ ถ้าไม่สำเร็จ ขั้นตอนไหนที่ Fail Issue Detection ที่ AI/ML วิเคราะห์ Pattern จาก Network Data แล้ว Detect Issue ที่ Admin อาจมองไม่เห็น เช่น AP ที่มี Client Connection Failure สูงผิดปกติ Switch Port ที่มี Error เพิ่มขึ้น DHCP Server ที่ Response ช้าลง Guided Remediation ที่ไม่เพียงแค่ Detect Issue แต่ยังแนะนำวิธีแก้ไขด้วย เช่น ถ้า Detect ว่า AP Channel มี Interference สูง จะแนะนำให้เปลี่ยน Channel Path Trace ที่ Trace Path ของ Traffic จาก Source ถึง Destination ผ่าน Fabric ได้ แสดง Hop ทุก Hop พร้อม Latency และ Policy ที่ Apply
Cisco ISE Integration: หัวใจของ Security ใน SD-Access
Cisco ISE (Identity Services Engine) เป็น Component ที่สำคัญมากสำหรับ SD-Access ISE ทำหน้าที่เป็น Policy Engine ที่กำหนด Identity-based Policy ทั้งหมด ถ้าไม่มี ISE ก็ไม่สามารถ Deploy SD-Access ได้อย่างเต็มรูปแบบ
บทบาทของ ISE ใน SD-Access มีดังนี้ Authentication ที่ ISE เป็น RADIUS Server ที่ Authenticate Endpoint ทั้ง 802.1X และ MAB ISE เชื่อมต่อกับ Directory Service เช่น Active Directory, LDAP เพื่อ Verify Credential Authorization ที่หลัง Authentication สำเร็จ ISE กำหนด Authorization Result ที่ประกอบด้วย SGT ที่ Assign ให้ Endpoint VLAN หรือ VN ที่ Endpoint ควรอยู่ ACL ที่ Apply กับ Endpoint (ถ้ามี) Profiling ที่ ISE สามารถ Profile อุปกรณ์เพื่อระบุ Device Type ว่าเป็น Windows PC, MacBook, iPhone, Printer, IP Phone, CCTV Camera โดยดูจาก DHCP Fingerprint, HTTP User Agent, CDP/LLDP, SNMP Profiling ทำให้ ISE Assign SGT ที่ถูกต้องให้กับ Device Type แต่ละประเภทโดยอัตโนมัติ Posture Assessment ที่ ISE สามารถตรวจสอบ Security Posture ของ Endpoint ก่อน Grant Access เช่น มี Antivirus Update ล่าสุดหรือไม่ OS Patch เป็น Version ล่าสุดหรือไม่ Firewall เปิดอยู่หรือไม่ ถ้า Posture ไม่ผ่านสามารถ Redirect ไปยัง Remediation Portal ให้ Update ก่อน Guest Services ที่ ISE มี Guest Portal สำหรับ Guest Wi-Fi ที่รองรับ Self-registration, Sponsor Approval, Hotspot, Social Login
ISE กับ DNA Center ทำงานร่วมกันอย่างใกล้ชิด DNA Center เป็นที่กำหนด Policy (SGACL Matrix, VN Assignment) แล้ว Sync Policy ไปยัง ISE ISE เป็นที่ Enforce Policy โดย Push SGT Assignment ไปยัง Edge Node เมื่อ Endpoint Authentication สำเร็จ DNA Center ดึง Authentication Log จาก ISE มาแสดงใน Assurance Dashboard การ Integrate ISE กับ DNA Center ต้อง Register ISE กับ DNA Center ผ่าน pxGrid (Platform Exchange Grid) ที่เป็น Protocol สำหรับแลกเปลี่ยนข้อมูลระหว่าง Cisco Security Products
Wireless ใน SD-Access: Fabric-Enabled Wireless
SD-Access รองรับ Wireless Network ด้วย Fabric-Enabled Wireless ที่ทำให้ Wireless Client ได้รับ Policy เดียวกันกับ Wired Client ใน Fabric Architecture ของ Wireless ใน SD-Access แตกต่างจาก Traditional Wireless อย่างมาก
ใน Traditional Wireless Architecture AP (Access Point) สร้าง CAPWAP Tunnel ไปยัง WLC (Wireless LAN Controller) Traffic ของ Wireless Client ทั้งหมดถูก Tunnel กลับมาที่ WLC ก่อน แล้วค่อยออกจาก WLC ไปยัง Network ทำให้เกิด Hair-pinning ที่ Traffic ต้องวนกลับมาที่ WLC แม้ว่า Source และ Destination จะอยู่ใกล้กัน WLC เป็น Bottleneck เพราะ Traffic ทั้งหมดต้องผ่าน WLC
ใน Fabric-Enabled Wireless AP ทำงานใน Fabric Mode ที่แตกต่างจาก Local Mode ปกติ AP ทำ VXLAN Encapsulation ที่ Edge เลย Traffic ของ Wireless Client ถูก VXLAN Encapsulate ที่ AP และส่งตรงไปยัง Fabric โดยไม่ต้อง Tunnel กลับไปที่ WLC WLC ทำหน้าที่แค่ Control Plane เท่านั้น (AP Management, SSID Configuration, RRM) ไม่ต้อง Handle Data Traffic Wireless Client ได้รับ SGT เหมือน Wired Client ผ่าน 802.1X หรือ MAB กับ ISE Wireless Client อยู่ใน VN เดียวกันกับ Wired Client ได้ ทำให้ Policy สม่ำเสมอทั้ง Wired และ Wireless
ข้อดีของ Fabric-Enabled Wireless คือ Optimal Data Path ที่ Traffic ไม่ต้อง Tunnel กลับมาที่ WLC ลด Latency และ Bandwidth Consumption Consistent Policy ที่ Wireless และ Wired Client ใช้ Policy เดียวกัน (SGT, VN) Seamless Roaming ที่ Client ย้ายจาก AP หนึ่งไปอีก AP หนึ่ง หรือจาก Wireless ไป Wired Policy ยังคงเดิม ไม่ต้อง Re-authenticate WLC ที่รองรับ Fabric Mode คือ Cisco Catalyst 9800 Series (Hardware Appliance, Virtual Appliance บน VM, หรือ Cloud-based บน AWS) AP ที่รองรับ Fabric Mode คือ Cisco Catalyst 9100 Series (Wi-Fi 6/6E)
Migration จาก Traditional Campus ไปยัง SD-Access
การ Migrate จาก Traditional Campus Network ไปยัง SD-Access ไม่จำเป็นต้องทำทั้งหมดในครั้งเดียว Cisco แนะนำ Phased Migration Approach ที่ค่อยๆ Migrate ทีละส่วน
Phase 1 – Foundation (เดือนที่ 1-3): ติดตั้ง DNA Center Appliance และทำ Initial Setup Discover อุปกรณ์ Network ที่มีอยู่ทั้งหมดเข้า DNA Center Inventory เริ่มใช้ Assurance สำหรับ Monitoring และ Troubleshooting (ไม่ต้อง Change Network Architecture) เริ่มใช้ SWIM สำหรับ Software Image Management ติดตั้ง Cisco ISE (ถ้ายังไม่มี) และ Integrate กับ DNA Center Phase นี้ไม่มีการเปลี่ยนแปลง Network Architecture เลย เป็นการเตรียมเครื่องมือและทำความคุ้นเคยกับ DNA Center
Phase 2 – SD-Access Pilot (เดือนที่ 3-6): เลือก Site หนึ่งที่มีขนาดเล็กและไม่ Critical เป็น Pilot Site Design SD-Access Fabric สำหรับ Pilot Site (Underlay, Overlay, Fabric Node Roles) Deploy SD-Access ที่ Pilot Site ทดสอบ Host Onboarding, Segmentation, Policy, Assurance อย่างละเอียด ทดสอบ Wireless Fabric Mode (ถ้ามี) สรุปผลและแก้ไขปัญหาที่พบ Pilot Site ควรเป็น Site ที่มี User ประมาณ 50 ถึง 200 คน มี Switch 5 ถึง 20 ตัว เพื่อทดสอบ Feature ได้ครบถ้วนแต่ไม่ใหญ่เกินไป
Phase 3 – Phased Rollout (เดือนที่ 6-18): ขยาย SD-Access ไปยัง Site อื่นๆ ทีละ Site ทำ Parallel Network ระหว่าง Traditional และ SD-Access ในช่วง Transition ค่อยๆ ย้าย User จาก Traditional ไปยัง SD-Access Border Node เชื่อมต่อ SD-Access Fabric กับ Traditional Network ที่ยังไม่ได้ Migrate Update Policy ตาม Feedback จาก User
Phase 4 – Full Deployment (เดือนที่ 18+): Migrate Site ที่เหลือทั้งหมด Decommission Traditional Network ที่ถูกแทนที่ Optimize Policy และ Segmentation Implement Advanced Feature เช่น Posture Assessment, Endpoint Analytics
สิ่งสำคัญในการ Migration คือ อย่า Forklift Upgrade ทั้ง Network ในครั้งเดียว เพราะ Risk สูงมาก ทำ Pilot ก่อนเสมอ Train Network Team ให้เข้าใจ SD-Access Technology ก่อนเริ่ม Deploy มี Rollback Plan สำหรับทุก Phase ถ้าเกิดปัญหาสามารถ Rollback กลับ Traditional ได้
SD-Access vs Traditional Campus: เปรียบเทียบแบบชัดเจน
การเปรียบเทียบระหว่าง SD-Access กับ Traditional Campus Network ช่วยให้เข้าใจข้อดีของ SD-Access ได้ชัดเจนขึ้น
การ Segment Network: Traditional Campus ใช้ VLAN ในการ Segment ซึ่งมีข้อจำกัดที่ 4,096 VLAN ต้อง Configure VLAN ที่ทุก Switch ใน Path Policy ผูกกับ Port และ VLAN SD-Access ใช้ VN สำหรับ Macro-Segmentation และ SGT สำหรับ Micro-Segmentation มี Segment ได้มากถึง 16 ล้าน (VXLAN VNI) Policy ผูกกับ Identity ไม่ใช่ Port
การ Configure อุปกรณ์: Traditional Campus ต้อง Console หรือ SSH ไป Configure ทีละตัว ทีละ CLI Command ใช้เวลานาน โอกาสผิดพลาดสูง Consistency ยากที่จะรักษา SD-Access ใช้ DNA Center Configure จากส่วนกลาง ผ่าน GUI หรือ API Deploy Configuration ไปทั้ง Fabric ได้ทีเดียว PnP สำหรับอุปกรณ์ใหม่ Consistency รับประกันได้เพราะ Configuration Generate จาก Template เดียวกัน
การ Troubleshoot: Traditional Campus ต้อง SSH ไป Check ทีละ Switch ดู Log ทีละตัว Trace Path ด้วยมือ ใช้เวลานาน SD-Access ใช้ Assurance ที่ Monitor ทั้ง Network จากที่เดียว AI/ML Detect Issue อัตโนมัติ Path Trace แสดง Path ทั้งหมดใน GUI Click เดียว Client 360 แสดง Timeline ของทุก Event ของ Client
Wireless Integration: Traditional Campus Wireless Traffic ต้อง Tunnel กลับมาที่ WLC ก่อน Policy ของ Wired และ Wireless แยกกัน SD-Access Wireless Traffic VXLAN Encapsulate ที่ AP ไม่ต้อง Tunnel กลับ WLC Policy เดียวกันทั้ง Wired และ Wireless
Host Mobility: Traditional Campus ถ้า Host ย้ายไป Switch Port อื่น ต้อง Reconfigure VLAN ที่ Port ใหม่ ถ้าข้าม Subnet ต้องเปลี่ยน IP Address SD-Access Host ย้ายไปไหนก็ได้ภายใน Fabric Policy ตามไปทุกที่ ไม่ต้องเปลี่ยน IP Address (ถ้าอยู่ใน VN เดียวกัน) ด้วย LISP
Prerequisites และ Planning สำหรับ SD-Access Deployment
ก่อนเริ่ม Deploy SD-Access มี Prerequisites หลายอย่างที่ต้องเตรียม
Hardware Requirements: Switch ต้องเป็น Cisco Catalyst 9000 Series ที่รองรับ SD-Access ได้แก่ Catalyst 9200 Series สำหรับ Edge Node ในองค์กรขนาดเล็กถึงกลาง Catalyst 9300 Series สำหรับ Edge Node ที่เป็น Mainstream Catalyst 9400 Series สำหรับ Edge Node แบบ Modular Chassis Catalyst 9500 Series สำหรับ Border Node, Control Plane Node, Distribution/Core Catalyst 9600 Series สำหรับ Core Switch ขนาดใหญ่ WLC ต้องเป็น Catalyst 9800 Series AP ต้องเป็น Catalyst 9100 Series (สำหรับ Fabric Mode) DNA Center Appliance (Physical หรือ Virtual) ISE (Physical Appliance หรือ Virtual Machine) Switch รุ่นเก่า เช่น Catalyst 3850, 3650, 6800 ไม่รองรับ SD-Access Fabric Mode ต้อง Upgrade เป็น Catalyst 9000 Series
Software Requirements: Cisco IOS-XE Version ที่รองรับ SD-Access (แนะนำ IOS-XE 17.6 ขึ้นไปสำหรับปี 2026) DNA Center Software Version ที่ Compatible กับ IOS-XE Version ISE Version ที่ Compatible กับ DNA Center Version ควร Check Compatibility Matrix จาก Cisco ก่อนเสมอ
Network Design Considerations: Underlay Design ที่แนะนำ Routed Access Layer ที่ทุก Link ตั้งแต่ Access ขึ้นไปเป็น L3 IP Addressing Plan สำหรับ Underlay Loopback, Point-to-point Link, Management เตรียม IP Pool สำหรับ Endpoint ในแต่ละ VN DNS, DHCP, NTP Server ที่พร้อมใช้งาน Out-of-Band Management Network สำหรับ DNA Center และ ISE
Cisco ISE Preparation: ติดตั้ง ISE และทำ Initial Configuration Integrate กับ Active Directory หรือ LDAP Configure Authentication Policy (802.1X, MAB) Configure Authorization Policy และ SGT Assignment Configure Profiling Policy สำหรับ Device Type ต่างๆ ทดสอบ Authentication กับ Test Client ก่อน Deploy จริง
Team Readiness: Network Team ต้องมีความรู้เรื่อง VXLAN, LISP, IS-IS, TrustSec ไม่จำเป็นต้องเชี่ยวชาญลึก แต่ต้องเข้าใจ Concept เพื่อ Troubleshoot ได้ แนะนำให้เข้า Training Cisco SD-Access Design (ENSLD) หรือ Cisco SD-Access Implementation (ENSDWI) มี Lab Environment สำหรับฝึก Configure และ Troubleshoot ก่อน Deploy Production
Cisco DNA Licensing: ระบบ License แบบ Subscription
Cisco DNA Licensing เป็นระบบ License แบบ Subscription ที่แตกต่างจาก Traditional Perpetual License ของ Cisco ในอดีต ทุก Cisco Catalyst 9000 Switch ต้องมี DNA License เพื่อใช้งาน Feature ต่างๆ
DNA License มี 3 ระดับ DNA Essentials เป็น Level พื้นฐานที่รวมอยู่กับ Switch ทุกตัว (Mandatory) มี Feature พื้นฐาน เช่น Automation, Monitoring, Plug and Play DNA Advantage เป็น Level ที่จำเป็นสำหรับ SD-Access เพิ่ม Feature เช่น SD-Access, Encrypted Traffic Analytics, Application Visibility and Control (AVC), Stealthwatch Integration DNA Premier เป็น Level สูงสุด เพิ่ม Feature เช่น Cisco AI Analytics, Group-based Policy Analytics, IoT Services
สำหรับ SD-Access Deployment ต้องมี DNA Advantage License เป็นอย่างน้อยสำหรับ Switch ทุกตัวที่อยู่ใน Fabric (Edge, Border, Control Plane) DNA License เป็น Subscription ที่ต้องต่ออายุ มี Term 3 ปี 5 ปี หรือ 7 ปี เมื่อ License หมดอายุ Feature ที่ต้องใช้ License จะหยุดทำงาน ราคา DNA Advantage License ขึ้นอยู่กับ Switch Model และ Term เช่น Catalyst 9300 48-port DNA Advantage 3 ปีอยู่ที่ประมาณ $1,500-2,000 USD ต่อ Switch ตัว
นอกจาก Switch License แล้ว ยังมี License สำหรับ Component อื่นด้วย DNA Center License ที่ DNA Center Appliance ต้องมี License เพิ่มสำหรับ Feature บางอย่าง เช่น Assurance, SD-Access ISE License ที่ ISE ต้องมี License แยกต่างหาก ราคาขึ้นอยู่กับจำนวน Concurrent Session WLC License ที่ Catalyst 9800 WLC ต้องมี License สำหรับจำนวน AP ที่ Manage ควร Budget ให้ครอบคลุม License ทุก Component ก่อนเริ่ม Project เพื่อไม่ให้เกิดปัญหา License ระหว่าง Deployment
ความท้าทายของ SD-Access และวิธีรับมือ
แม้ว่า SD-Access จะมีข้อดีมากมาย แต่ก็มีความท้าทายหลายประการที่ต้องพิจารณาก่อน Deploy
ค่าใช้จ่ายสูง: SD-Access ต้องใช้ Hardware ใหม่ (Catalyst 9000 Series) ถ้า Switch เก่ายังใช้ได้ดีการ Upgrade เพื่อ SD-Access อย่างเดียวอาจไม่คุ้ม DNA License เป็น Subscription ที่ต้องจ่ายทุกปี ไม่ใช่ One-time Purchase DNA Center Appliance, ISE License เป็นค่าใช้จ่ายเพิ่มเติม Training และ Consulting Cost สำหรับ Team วิธีรับมือคือ ทำ ROI Analysis เปรียบเทียบ TCO (Total Cost of Ownership) ระหว่าง SD-Access กับ Traditional Campus ในระยะ 5-7 ปี SD-Access มักประหยัดค่า Operation ได้มากเพราะ Automation ลด Manual Work ลดเวลา Troubleshooting ลดจำนวน Staff ที่ต้องใช้ Migrate เมื่อ Switch ถึง End of Support แทนที่จะ Upgrade เพื่อ SD-Access อย่างเดียว
ความซับซ้อนของ Technology: SD-Access ใช้ Technology หลายตัวร่วมกัน (VXLAN, LISP, IS-IS, TrustSec, ISE, DNA Center) Team ที่คุ้นเคยกับ Traditional Networking อาจต้องใช้เวลาในการเรียนรู้ Troubleshooting ต้องเข้าใจทั้ง Underlay และ Overlay วิธีรับมือคือ Invest ใน Training อย่างจริงจัง เริ่มจาก Pilot ที่ขนาดเล็ก ให้ Team ได้เรียนรู้จากประสบการณ์จริง ใช้ Cisco หรือ Partner ช่วยในช่วง Initial Deployment สร้าง Lab Environment สำหรับฝึก Troubleshoot
ISE Dependency: SD-Access พึ่งพา ISE อย่างมาก ถ้า ISE ล่ม Authentication ทั้ง Fabric จะมีปัญหา ISE เป็น Complex Product ที่ต้องมี Admin ที่เชี่ยวชาญ ISE Deployment เอง ก็เป็น Project ใหญ่ที่ต้องใช้เวลา วิธีรับมือคือ Deploy ISE เป็น HA (High Availability) เสมอ มี Primary และ Secondary ISE Node วาง ISE ใน Network Path ที่มี Redundancy สูง Configure Fail-open Policy สำหรับกรณีที่ ISE ไม่สามารถติดต่อได้ เพื่อไม่ให้ User ถูก Block ทั้งหมด
Vendor Lock-in: SD-Access เป็น Cisco Proprietary Solution ที่ใช้ได้เฉพาะกับ Cisco Hardware และ Software ถ้าเลือก SD-Access แล้ว จะเปลี่ยนไปใช้ Vendor อื่นยากมาก วิธีรับมือคือ ประเมินว่าองค์กรพร้อมที่จะ Commit กับ Cisco ในระยะยาวหรือไม่ พิจารณา Multi-vendor Alternative เช่น Aruba CX Switching กับ Aruba Central ที่มี Feature คล้ายกัน หรือ Juniper Mist AI ที่ใช้ AI-driven Approach สำหรับ Campus Network
Interoperability กับ Legacy Device: อุปกรณ์เก่าที่ไม่ใช่ Catalyst 9000 ไม่สามารถเป็น Fabric Node ได้ อุปกรณ์ Third-party ไม่สามารถ Join Fabric ได้ วิธีรับมือคือ Legacy Device สามารถเชื่อมต่อผ่าน Border Node หรือ Extended Node ได้ ไม่จำเป็นต้อง Replace ทุกอย่างทันที ค่อยๆ Migrate ทีละส่วนตาม Hardware Lifecycle
SD-Access Best Practices สำหรับการ Deploy ในองค์กรไทย
จากประสบการณ์การ Deploy SD-Access ในองค์กรในประเทศไทย มี Best Practice หลายข้อที่ควรปฏิบัติตาม
เริ่มจาก Assessment: ก่อนเริ่ม SD-Access Project ควรทำ Network Assessment ก่อน เพื่อเข้าใจ Current State ของ Network ว่า Switch รุ่นอะไรบ้าง Version อะไร รองรับ SD-Access หรือไม่ มี VLAN กี่ VLAN มี Subnet อะไรบ้าง ใช้ Routing Protocol อะไร มี Security Policy อะไรบ้าง ACL มีกี่ Rule มีอุปกรณ์ Third-party อะไรบ้างที่ต้อง Integrate Assessment ช่วยให้วางแผน Migration ได้อย่างถูกต้อง รู้ว่าต้อง Upgrade Hardware อะไร ต้อง Replace อะไร Budget เท่าไร
Design VN และ SGT อย่างรอบคอบ: VN และ SGT Design เป็นสิ่งที่ต้องวางแผนอย่างดี เพราะเป็นหัวใจของ Segmentation อย่า Design VN มากเกินไป เริ่มจาก 3-5 VN แล้วเพิ่มตามความจำเป็น อย่า Design SGT มากเกินไปเช่นกัน เริ่มจาก SGT ที่จำเป็นจริงๆ ก่อน (Employee, Contractor, Guest, Printer, IP Phone, CCTV) แล้วเพิ่มเมื่อต้องการ Granularity มากขึ้น SGACL Policy เริ่มจาก Permit All ก่อน แล้วค่อยๆ เพิ่ม Deny Rule ทีละน้อย ทดสอบให้แน่ใจว่าไม่ Block Traffic ที่ต้องการ
DNA Center HA Cluster: ใน Production ควร Deploy DNA Center เป็น 3-Node HA Cluster เสมอ เพื่อ Redundancy และ Performance ถ้า Node ใดล่ม Node ที่เหลือยังทำงานต่อได้ อย่าใช้ Single Node ใน Production เด็ดขาด
ISE Sizing ที่ถูกต้อง: ISE Sizing ต้องคำนึงถึงจำนวน Concurrent Authentication Session, Profiling Endpoint, Guest Session ถ้า Sizing ไม่พอ ISE จะช้าหรือ Drop Authentication Request ทำให้ User ไม่สามารถ Access Network ได้ ควรใช้ Cisco ISE Sizing Calculator เพื่อกำหนด Hardware Specification ที่เหมาะสม
Monitoring และ Maintenance: หลัง Deploy แล้วต้อง Monitor อย่างต่อเนื่อง ใช้ Assurance Dashboard ดู Network Health ทุกวัน Review Issue ที่ Assurance Detect และแก้ไขก่อนที่จะกลายเป็นปัญหาใหญ่ Update Software ของ DNA Center, ISE, Switch ตาม Cisco Advisory เป็นประจำ Review SGACL Policy เป็นประจำเพื่อให้ Policy สอดคล้องกับ Business Requirement ที่เปลี่ยนไป Backup DNA Center Configuration เป็นประจำ
SD-Access เป็น Technology ที่เปลี่ยนวิธีการ Design และ Manage Campus Network อย่างสิ้นเชิง แม้จะมีความท้าทายในด้าน Cost และ Complexity แต่สำหรับองค์กรขนาดกลางถึงใหญ่ที่มี Campus Network ซับซ้อน SD-Access ช่วยลด Operation Cost ในระยะยาว เพิ่ม Security ด้วย Micro-Segmentation เพิ่ม Visibility ด้วย Assurance และเพิ่ม Agility ด้วย Automation สำหรับองค์กรในประเทศไทยที่กำลังพิจารณา SD-Access แนะนำให้เริ่มจากการทำ Assessment เข้า Training ทำ Pilot ที่ Site เล็กๆ แล้วค่อยๆ ขยายไปทั้งองค์กร การลงทุนใน SD-Access จะคุ้มค่าในระยะยาวเมื่อ Network ขององค์กรเติบโตและซับซ้อนมากขึ้น
