Cisco SDA zero to Hero

Cisco SDA · CCIE Enterprise Zero to Hero · Deep Dive

SD-Access
완전 정복

Cisco Software-Defined Access — DNA Center(Catalyst Center) 기반
Campus Fabric 설계 · LISP/VxLAN Overlay · ISE 통합 · Macro/Micro-Segmentation
Control Plane · Data Plane · Policy Plane 전체 Deep Dive

⏱ 총 90H 커리큘럼 🧠 DNA Center(Catalyst Center) 🔖 LISP · VxLAN · SGT 🔐 ISE · TrustSec · Zero Trust 🏅 CCIE Enterprise · CCNP ENCOR 🌐 Macro / Micro Segmentation

📑 Table of Contents

1. Phase 0 — 기초 & SDA 등장 배경
2. Phase 1 — SDA 아키텍처 전체 구조
   • DNA Center · ISE · 3 Planes (Control/Data/Policy/Management)
   • Fabric Node 역할: Edge / Border / Control Plane / Intermediate
3. Phase 2 — Underlay 설계
   • IS-IS Underlay · LAN Automation · PnP · IP Pool 설계
4. Phase 3 — Control Plane: LISP Deep Dive
   • LISP 기초 · Map-Server/Resolver · ITR/ETR · RLOC/EID
   • Host Mobility · Anycast RP 연동
5. Phase 4 — Data Plane: VxLAN + SGT
   • VxLAN-GPO · SGT Inline Tagging · Fabric 패킷 흐름
6. Phase 5 — Policy Plane: ISE & TrustSec
   • SGT 할당 · SGACL · Macro/Micro Segmentation · VN
7. Phase 6 — Wireless Integration
   • SDA Wireless · Fabric AP · Over-the-Top · 로밍
8. Phase 7 — Border & External Connectivity
   • Default Border · Anywhere Border · Fusion Router · DCI
9. Phase 8 — DNA Center 운영 & 자동화
   • Intent API · Assurance · Network Hierarchy · Template
10. Phase 9 — CCIE 시험 핵심 & 프리세일즈 설계
11. 트러블슈팅 완전 가이드

🗺 커리큘럼 로드맵

PHASE 0

기초 & 배경

전통 캠퍼스 한계, SDA 필요성, 진화 역사

⏱ 4H

PHASE 1

전체 아키텍처

3 Planes, 4 Fabric Role, DNA Center, ISE

⏱ 10H

PHASE 2

Underlay 설계

IS-IS, LAN Auto, PnP, IP Pool, MTU

⏱ 8H

PHASE 3

LISP ★ Control Plane

EID/RLOC, Map-Server, Mobility, Anycast

⏱ 14H

PHASE 4

VxLAN+SGT Data Plane

VxLAN-GPO, SGT Inline, 패킷 흐름

⏱ 10H

PHASE 5

Policy: ISE+TrustSec

SGT 할당, SGACL, VN, Macro/Micro Seg

⏱ 12H

PHASE 6

Wireless 통합

Fabric AP, Over-the-Top, 로밍

⏱ 8H

PHASE 7

Border & External

Default/Anywhere Border, Fusion Router

⏱ 10H

PHASE 8

DNA Center 운영

Intent API, Assurance, Template, 자동화

⏱ 10H

PHASE 9

CCIE & 프리세일즈

CCIE 핵심 출제 포인트, 풀 설계 제안

⏱ 4H

🏆

CCIE Enterprise Infrastructure (400-101) SDA 비중

SDA는 CCIE EI 시험에서 약 20~25%를 차지합니다. LISP Control Plane, VxLAN-GPO Data Plane, ISE 통합, Fabric 역할 구분, Wireless 통합이 핵심 출제 영역입니다. 단순 암기가 아닌 패킷 레벨 동작 원리 이해가 필수입니다.

🏛 Phase 0 — 기초 & SDA 등장 배경 4H

0-1. 전통 캠퍼스 네트워크의 한계

⛔ 전통 3-Tier Campus

• VLAN 기반 세그멘테이션 — 수작업, 오류 빈번
• 장비별 CLI 설정 — 수백 대 관리 불가능
• 정책이 IP/VLAN에 종속 — 사용자 이동 시 정책 깨짐
• East-West 트래픽 가시성 부족 — 내부 위협 탐지 어려움
• Guest/IoT/BYOD 격리 = 별도 VLAN 수동 구성
• 스케일아웃 시 Spanning Tree 재설계

✅ Cisco SD-Access

• 사용자/디바이스 Identity 기반 자동 정책 (SGT)
• DNA Center에서 전체 캠퍼스 중앙 관리
• 사용자 이동해도 SGT 정책 유지 (IP 독립)
• Macro/Micro Segmentation — VN + SGACL
• Zero Trust Campus 구현 — ISE 통합 인증
• Fabric 추가만으로 무중단 확장

0-2. SDA 핵심 용어 사전

용어	설명	비고
SD-Access (SDA)	Software-Defined Access — Cisco의 Intent-Based Campus Networking 솔루션	DNA Center + ISE + Catalyst 기반
DNA Center	Digital Network Architecture Center — SDA의 중앙 관리/자동화 플랫폼 (현 Catalyst Center)	HTTPS GUI + REST API
ISE	Identity Services Engine — 인증(802.1X/MAB), SGT 할당, 정책 배포	RADIUS/TACACS+
Fabric	SDA의 가상화된 네트워크 인프라. Underlay + Overlay의 조합	Site 단위로 구성
Underlay	물리 IP 네트워크. IS-IS 기반 라우팅. Fabric Node 간 연결	로보틱 자동화(LAN Auto)
Overlay	LISP(Control) + VxLAN(Data) + SGT(Policy)의 논리 네트워크	사용자/디바이스 가상화
VN (Virtual Network)	가상 네트워크 = VRF 인스턴스. Macro Segmentation 단위	최대 64개 per Fabric
SGT (Scalable Group Tag)	사용자/디바이스 그룹에 부여되는 16비트 태그. Micro Segmentation 기반	ISE에서 할당
EID	Endpoint Identifier — 엔드포인트 IP (LISP에서 라우팅 대상)	Host IP 주소
RLOC	Routing Locator — VTEP의 언더레이 IP (LISP에서 터널 엔드포인트)	Edge Node Loopback
Map-Server (MS)	EID→RLOC 매핑을 저장하는 서버 역할 (Control Plane Node)	Catalyst Center가 지정
Map-Resolver (MR)	ITR의 LISP 쿼리를 받아 MS에서 조회해 응답	보통 MS와 동일 노드
ITR/ETR	Ingress/Egress Tunnel Router — 패킷 캡슐화/역캡슐화 (Edge Node)	xTR로 통칭
Fabric Edge	엔드포인트가 연결되는 Access/Distribution 스위치	EID 학습, LISP 등록
Fabric Border	SDA Fabric과 외부(WAN/DC/인터넷) 연결 게이트웨이	Default / Anywhere
Fabric CP Node	LISP Map-Server/Resolver 역할. EID-RLOC 매핑 DB 유지	보통 Spine/Distribution

🏗 Phase 1 — SDA 아키텍처 전체 구조 10H

Cisco SD-Access — 전체 아키텍처 & 구성요소

1-1. 4대 Fabric Node 역할 완전 정리

역할	기능	위치	장비 예시
Edge Node	엔드포인트 연결 포인트. LISP xTR(ITR+ETR) 역할. EID 학습 및 LISP 등록. VxLAN 캡슐화/역캡슐화. 802.1X/MAB 인증. Anycast Gateway	Access/Distribution 레이어	Catalyst 9300, 9400, 9500
Border Node	Fabric과 Non-Fabric 네트워크 연결. LISP-to-BGP 경로 재배포. Default Border(기본 경로), Anywhere Border(특정 경로)	Distribution/Core 레이어	Catalyst 9500, 9600, ASR 1000
Control Plane Node	LISP Map-Server/Resolver 역할. EID→RLOC 매핑 DB 관리. Edge Node의 등록 요청 처리	Spine/Distribution 레이어	Catalyst 9500, 9600
Intermediate Node	Underlay 트래픽 포워딩만. Fabric Overlay에 직접 참여 안 함. 순수 IP/IS-IS 라우터 역할	Core 레이어	Catalyst 9500, Nexus

1-2. SDA 3대 플레인 비교

플레인	프로토콜	역할	구성 요소
Control Plane	LISP (RFC 6830)	엔드포인트 위치(EID→RLOC) 정보 관리 및 배포. 호스트 이동성 처리	Map-Server, Map-Resolver, Control Plane Node
Data Plane	VxLAN-GPO (RFC 7348 확장)	실제 패킷 캡슐화 전송. SGT 태그 삽입. Underlay 위로 Overlay 터널	Edge Node (xTR), NVE 인터페이스
Policy Plane	TrustSec / SGT / SGACL	사용자/디바이스 그룹 기반 접근 제어. Macro(VN) + Micro(SGT) Segmentation	ISE, SGT, SGACL, VN

🌐 Phase 2 — Underlay 설계 8H

SDA Underlay는 모든 Fabric Node 간 IP 연결을 제공하는 물리 기반 네트워크입니다. DNA Center의 LAN Automation으로 자동 구성되거나 수동 구성 가능합니다.

2-1. Underlay 설계 원칙

항목	권장 설정	이유
라우팅 프로토콜	IS-IS (DNA Center 자동) 또는 OSPF/eBGP (수동)	IS-IS: DNA Center LAN Automation 기본. OSPF/eBGP: 기존 환경 통합 시
링크 유형	모든 Fabric 링크 L3 (Routed)	Spanning Tree 제거. ECMP 활용. 안정성 향상
IP 주소	/31 P2P 링크 권장	주소 절약. 불필요한 네트워크 주소 제거
Loopback	각 Fabric Node에 /32 Loopback	RLOC(VxLAN 터널 엔드포인트) 및 BGP Router-ID
MTU	9100B (전체 통일)	VxLAN 오버헤드 50B + IP/UDP 오버헤드. Jumbo Frame 필수
BFD	모든 P2P 링크 BFD 활성화	링크 장애 ms 단위 감지 → LISP/VxLAN 빠른 수렴
QoS	DSCP CS6 (Control), EF (Voice), AF 등	LISP 제어 트래픽 우선 처리

2-2. LAN Automation — DNA Center 자동 Underlay 구성

1

신규 스위치 전원 ON + DNA Center 검색

스위치가 DHCP로 IP 획득. DNA Center PnP 서버 발견 (DNS: pnpserver.[domain] 또는 DHCP option 43).

2

PnP (Plug and Play) 인증

DNA Center에서 Serial Number로 디바이스 사전 등록. 스위치가 DNA Center에 자동 연결 및 인증.

3

LAN Automation — IS-IS 자동 설정

DNA Center가 IS-IS Underlay 자동 구성. /31 P2P 링크, Loopback 주소, MTU 9100, BFD 일괄 배포.

4

Fabric Role 지정

DNA Center GUI에서 각 스위치에 Edge / Border / Control Plane / Intermediate 역할 지정.

5

Fabric 활성화

DNA Center가 LISP Map-Server, VxLAN NVE, VN(VRF), IP Pool 자동 배포. 엔드포인트 연결 준비 완료.

2-3. Underlay 수동 설정 (IOS XE)

Fabric Edge Node — IS-IS Underlay 기본 설정

! ─── 기본 Feature / 글로벌 설정 ──────────────────────
ip routing
ipv6 unicast-routing
device-tracking tracking              ! 엔드포인트 추적

! ─── Loopback (RLOC 역할) ──────────────────────────
interface Loopback0
  ip address 10.0.0.11 255.255.255.255
  ip router isis SDA_UNDERLAY

! ─── P2P 업링크 (Underlay) ──────────────────────────
interface GigabitEthernet1/1/1         ! toward Intermediate/Spine
  no switchport
  ip address 10.100.1.1 255.255.255.254  ! /31
  ip router isis SDA_UNDERLAY
  isis network point-to-point
  ip ospf network point-to-point       ! OSPF 사용 시
  mtu 9100                           ! Jumbo MTU 필수!
  bfd interval 300 min_rx 300 multiplier 3
  no shutdown

! ─── IS-IS 프로세스 ────────────────────────────────
router isis SDA_UNDERLAY
  net 49.0001.0100.0000.0011.00       ! NET 주소 (Loopback 기반)
  is-type level-2-only
  metric-style wide
  passive-interface Loopback0
  bfd all-interfaces

! ─── 검증 ───────────────────────────────────────────
show isis neighbors
show ip route isis
ping 10.0.0.12                         ! 원격 Fabric Node Loopback

⚠️

MTU 9100 — SDA에서 가장 흔한 장애 원인

VxLAN 오버헤드(50B) + SDA 추가 오버헤드를 수용하려면 Underlay 전체에서 MTU 9100B가 필수입니다. 단 하나의 링크라도 MTU 불일치하면 특정 크기 이상 패킷 드롭이 발생합니다. DNA Center Assurance의 MTU 체크 기능을 활용하세요.

📡 Phase 3 — Control Plane: LISP Deep Dive 14H

LISP (Locator/ID Separation Protocol, RFC 6830)은 SDA의 Control Plane입니다. IP 주소를 위치(RLOC)와 식별자(EID)로 분리하여 호스트 이동성과 라우팅 확장성 문제를 해결합니다.

3-1. LISP 핵심 개념: EID vs RLOC 분리

개념	의미	SDA에서의 역할	예시
EID (Endpoint ID)	엔드포인트의 식별자 = 호스트의 IP 주소. 위치와 무관한 고정 식별	사용자/서버의 IP 주소. 이동해도 변하지 않음	192.168.10.100 (PC의 IP)
RLOC (Routing Locator)	EID가 현재 위치한 Edge Node(VTEP)의 주소. Underlay에서 라우팅되는 주소	Edge Node의 Loopback IP. 터널 엔드포인트	10.0.0.11 (Edge Node Loopback)
Map-Server (MS)	EID→RLOC 매핑을 등록받아 저장하는 서버	Control Plane Node가 역할 수행	CP Node (10.0.0.1)
Map-Resolver (MR)	ITR의 LISP 맵 쿼리에 응답. MS와 동일 노드 가능	Control Plane Node가 역할 수행	CP Node (10.0.0.1)
ITR (Ingress Tunnel Router)	EID 목적지 패킷을 받아 LISP 캡슐화. 먼저 MR에 EID 쿼리	Ingress Edge Node	Source Edge Node
ETR (Egress Tunnel Router)	LISP 캡슐화 패킷 수신 → 역캡슐화 → 엔드포인트 전달. MS에 EID 등록	Destination Edge Node	Destination Edge Node
xTR	ITR + ETR 역할을 동시 수행 (SDA Edge Node의 기본)	모든 Edge Node = xTR	Edge Node

LISP 동작 흐름 — PC-A가 PC-B에게 패킷 전송 시

3-2. LISP 등록 과정 (ETR → Map-Server)

1

엔드포인트 접속 감지

Edge Node가 ARP/DHCP 또는 802.1X 인증으로 엔드포인트 IP 학습. Device Tracking으로 EID 추출.

2

LISP Map-Register 전송

ETR(Edge Node)가 Control Plane Node(Map-Server)에게 EID 프리픽스 + 자신의 RLOC를 LISP Map-Register 메시지로 등록.

3

Map-Server DB 업데이트

Map-Server가 EID→RLOC 매핑 저장. 다른 Edge Node의 쿼리에 응답할 준비 완료.

4

Map-Notify 응답

Map-Server가 ETR에게 Map-Notify로 등록 확인 응답.

3-3. Host Mobility — VM/사용자 이동 처리

🔑

LISP Mobility의 핵심 원리

사용자가 Edge Node-A에서 Edge Node-B로 이동하면:
① Edge Node-B가 새 EID를 감지 → Map-Register로 MS에 새 RLOC로 재등록
② Edge Node-A에서 MS로 기존 등록 취소
③ 다른 Edge Node들의 캐시가 만료되면 자동으로 새 RLOC를 조회
→ 사용자 IP 변경 없이 이동 완료 (Seamless Mobility)

3-4. LISP 관련 CLI 확인

IOS XE — LISP 상태 확인 명령어

! ─── Control Plane Node (Map-Server) ───────────────
show lisp site                    ! 등록된 EID 사이트 목록
show lisp site detail             ! 각 EID의 RLOC, 등록 시간
show lisp eid-table vrf [VN]      ! 특정 VN의 EID 테이블

! ─── Edge Node (xTR) ─────────────────────────────
show lisp service ipv4            ! LISP IPv4 서비스 상태
show lisp database                ! 로컬 EID 등록 상태 (ETR)
show lisp map-cache               ! EID-RLOC 캐시 (ITR)
show lisp remote-eid site [EID]   ! 특정 EID의 RLOC 정보
show lisp session                 ! Map-Server 세션 상태

! ─── 특정 호스트 추적 ────────────────────────────
show lisp eid-record prefix [EID]/[mask]
! 예: show lisp eid-record prefix 192.168.10.100/32
! → RLOC: 10.0.0.11, TTL: 1440 min

! ─── DNA Center GUI 확인 경로 ────────────────────
! Assurance → Device 360 → 특정 Edge Node 선택
! → LISP Sessions, Map-Cache Statistics

🔖 Phase 4 — Data Plane: VxLAN-GPO + SGT 10H

SDA의 Data Plane은 VxLAN-GPO (Group Policy Option)를 사용합니다. 표준 VxLAN(RFC 7348)에 16비트 SGT(Scalable Group Tag) 필드를 추가하여 정책 정보를 패킷과 함께 전달합니다.

4-1. VxLAN-GPO 헤더 구조

레이어

Outer ETH
14B

Outer IP
20B

Outer UDP
8B · 4789

VxLAN GPO
8B

Inner ETH
14B

Inner IP
20B

Payload

상세

RLOC src→dst
Edge MAC

RLOC src→dst
Edge Loopback

Src: 동적
Dst: 4789

Flags(8)
SGT(16)
VNI(24)

원본 MAC
src → dst

원본 IP
EID src→dst

TCP/UDP

🔑

VxLAN vs VxLAN-GPO 핵심 차이

표준 VxLAN(DC/NX-OS)의 VxLAN 헤더는 Flags(8b) + Reserved(24b) + VNI(24b)입니다.
SDA의 VxLAN-GPO는 Reserved 24비트 중 상위 16비트를 SGT 필드로 사용합니다.
따라서 SDA Fabric 내부에서 패킷이 이동할 때 SGT 정보가 패킷에 Inline으로 삽입되어 모든 Fabric Node에서 정책 판단이 가능합니다.

4-2. SDA 패킷 흐름 완전 분석 (Same VN, Cross-Edge)

SDA 패킷 흐름 — Employee(SGT:3) → Server(SGT:30), 다른 Edge Node

4-3. SGT (Scalable Group Tag) 개념

SGT 값	그룹 이름	할당 방법	설명
0	Unknown	시스템 예약	SGT 미할당 트래픽
2	TrustSec_Devices	자동	SGT 지원 네트워크 장비
3	Employees	802.1X 인증 후 ISE 할당	내부 직원 PC/노트북
7	Voice	MAB (CDP/LLDP 기반)	IP 전화기
10	IoT	MAB 또는 Profiling	IoT/OT 디바이스
15	Guest	Guest Portal (WebAuth)	방문자/BYOD
30	Servers	수동 또는 IP-SGT 매핑	데이터센터 서버
65535	ANY	시스템 예약	모든 SGT 와일드카드

✅

SGT 할당 방식 4가지

① 802.1X + ISE — 인증 성공 시 ISE가 RADIUS Access-Accept에 SGT 포함
② MAB (MAC Auth Bypass) — MAC 주소 기반 ISE 조회 후 SGT 할당
③ IP-SGT Static Mapping — Edge Node 또는 Border Node에서 IP 범위→SGT 수동 매핑
④ Subnet-SGT Mapping — 서브넷 전체에 SGT 적용 (서버팜 등)

🔐 Phase 5 — Policy Plane: ISE & TrustSec 12H

5-1. Macro Segmentation vs Micro Segmentation

구분	Macro Segmentation	Micro Segmentation
기술	VN (Virtual Network) = VRF	SGT + SGACL (TrustSec)
격리 수준	VN 간 완전 격리 (라우팅 차단)	동일 VN 내에서 그룹 간 세밀한 접근 제어
사용 예	직원 VN / Guest VN / IoT VN 분리	직원 VN 내 Employee↔Server 간 포트 제어
정책 관리	DNA Center VN 설정	ISE의 TrustSec Matrix (SGACL)
IP 의존성	VRF 기반 — IP 서브넷 설계 필요	SGT 기반 — IP 주소 독립적
최대 규모	Fabric당 최대 64 VN	SGT 최대 65535개

5-2. VN (Virtual Network) 설계 — DNA Center

Macro Segmentation — VN 구조 (Campus Fabric)

5-3. SGACL (Scalable Group ACL) — Micro Segmentation

📋

SGACL이란?

SGACL은 Source SGT + Destination SGT의 조합에 적용되는 ACL입니다. ISE의 TrustSec Matrix에서 정의하며, DNA Center가 모든 Edge Node에 자동으로 배포합니다. IP 주소가 아닌 그룹 태그 기반이므로 호스트가 이동해도 정책이 유지됩니다.

SGACL 예시 — ISE TrustSec Matrix 정책

! ─── SGACL 이름: Employee_to_Servers ────────────────
! Source SGT: 3 (Employee)  →  Destination SGT: 30 (Servers)
ip access-list role-based Employee_to_Servers
  permit tcp dst eq 443        ! HTTPS 허용
  permit tcp dst eq 80         ! HTTP 허용
  permit tcp dst eq 22         ! SSH (관리자만, 별도 SGT로 분리 권장)
  deny ip log                   ! 나머지 모두 차단

! ─── IoT → Servers: 완전 차단 ──────────────────────
ip access-list role-based IoT_to_Servers
  deny ip log

! ─── Guest → Employee: 완전 차단 ───────────────────
ip access-list role-based Guest_to_Employee
  deny ip log

! ─── SGT 바인딩 확인 (Edge Node) ───────────────────
show cts role-based permissions   ! SGT 매트릭스 확인
show cts role-based counters       ! SGACL 적중 카운터
show cts sgt-map all vrf [VN]      ! SGT-IP 매핑 테이블

📶 Phase 6 — Wireless Integration 8H

6-1. SDA Wireless 아키텍처 모드 비교

모드	동작 방식	AP 위치	권장 상황
Fabric Mode (권장)	AP가 Fabric Edge에 연결. WLC는 중앙(Catalyst Center 연동). AP 자체가 VTEP 역할(802.11에서 VxLAN 캡슐화). SGT inline 지원	Fabric Edge에 직접 연결	신규 구축, 완전한 SDA 기능
Over-the-Top	기존 WLC가 유선과 무선을 별도 관리. VxLAN 없이 CAPWAP 터널만 사용. SGT는 CAPWAP 확장으로 전달	기존 방식 그대로	기존 Wireless 인프라 유지 시
Local Mode AP	AP가 CAPWAP으로 WLC에 연결. 데이터는 WLC에서 Fabric으로 진입	분산 배치	레거시 AP 혼용 환경

6-2. Fabric AP 동작 원리

1

AP가 Edge Node에 연결 (유선)

AP가 Fabric Edge의 액세스 포트에 연결. Edge Node가 AP를 신뢰 디바이스로 인식.

2

무선 클라이언트 802.1X 인증

무선 클라이언트가 AP에 연결 → AP가 CAPWAP으로 WLC에 인증 요청 → WLC가 ISE에 RADIUS 인증 → ISE가 SGT 할당 후 응답.

3

LISP Map-Register (무선 클라이언트 EID)

Edge Node가 무선 클라이언트의 IP(EID)를 LISP으로 CP Node에 등록. 클라이언트 위치 = Edge Node RLOC.

4

VxLAN-GPO 캡슐화 (AP 레벨)

Fabric AP 모드: AP 자체가 VxLAN 캡슐화 수행. SGT가 VxLAN GPO 헤더에 삽입되어 Fabric으로 진입.

5

Seamless Roaming

클라이언트가 다른 AP로 이동: WLC가 WLC 간 로밍 처리. LISP Map-Register 업데이트로 새 위치 등록. IP 주소 변경 없음.

💼

Wireless Fabric 프리세일즈 핵심 포인트

Fabric AP 모드에서는 무선 트래픽도 동일한 SGT 정책이 적용됩니다. Guest 사용자가 무선으로 접속하더라도 유선과 동일한 Guest VN + Guest SGT 정책이 자동 적용됩니다. 이는 유/무선 통합 정책의 핵심 가치입니다.

🌐 Phase 7 — Border & External Connectivity 10H

7-1. Border Node 유형 완전 정리

타입	역할	경로 종류	사용 시나리오
Default Border	Fabric에서 알 수 없는 목적지(Unknown) 트래픽의 Default Gateway 역할. 모든 미매핑 트래픽을 외부로 전달	Default Route (0.0.0.0/0)만 재배포	인터넷 출구, 레거시 DC 연결
Anywhere Border	특정 외부 프리픽스를 Fabric으로 가져오는 Border. LISP과 BGP/OSPF 간 경로 재배포	특정 프리픽스 재배포	DC 서버 접근, 특정 WAN 경로
Internal Border	두 SDA Fabric Site 간 연결. Fabric-to-Fabric 트래픽 처리	LISP-to-LISP 또는 LISP-to-BGP	멀티 Site SDA 확장

Border Node — Fabric ↔ External Network 연결 구조

7-2. Fusion Router — 다중 VN의 External 연결

💡

Fusion Router란?

Border Node가 여러 VN(VRF)을 동시에 외부 네트워크에 연결해야 할 때 사용하는 외부 라우터입니다. Border Node와 Fusion Router 사이에 서브인터페이스(dot1q) 또는 별도 포트로 VRF별 연결. Fusion Router가 VRF-Aware BGP/OSPF로 각 VN의 경로를 처리합니다.

Default Border Node — LISP to BGP 재배포 설정

! ─── Border Node: VN(VRF) 정의 ─────────────────────
vrf definition Employee_VN
  rd 1:1
  address-family ipv4
    route-target export 1:1
    route-target import 1:1

! ─── External 인터페이스 (Fusion Router 방향) ───────
interface GigabitEthernet0/1.100     ! Employee VN 출구
  encapsulation dot1Q 100
  vrf forwarding Employee_VN
  ip address 172.16.1.1 255.255.255.252

! ─── BGP (External용) ──────────────────────────────
router bgp 65100
  address-family ipv4 vrf Employee_VN
    neighbor 172.16.1.2 remote-as 65200  ! Fusion Router
    neighbor 172.16.1.2 activate
    redistribute lisp                    ! LISP EID → BGP로 재배포
    default-information originate        ! Default Border: 기본경로 광고

! ─── 검증 ──────────────────────────────────────────
show lisp site                         ! EID 등록 현황
show bgp vpnv4 unicast vrf Employee_VN  ! BGP 재배포 결과
show ip route vrf Employee_VN          ! VRF 라우팅 테이블

🤖 Phase 8 — DNA Center 운영 & 자동화 10H

8-1. DNA Center 주요 기능 구성

기능 영역	주요 기능	CCIE 시험 관련성
Design	Network Hierarchy (Global→Site→Building→Floor), IP Address Pool, Network Profiles, Credentials	Site/Building 계층 구조 설계 방법
Policy	VN 생성/매핑, SGT 정의, SGACL 매트릭스, App Policy	VN 설계, SGT 번호 할당 정책
Provision	PnP Onboarding, Device Inventory, Template 배포, Fabric Provisioning	PnP 프로세스, Template 우선순위
Assurance	Network Health, Device 360, Client 360, AI Analytics, Issues, Path Trace	Path Trace 도구 활용, 장애 진단
Platform	Intent API (REST), Event Notification, Integration (ITSM, SIEM)	API 기반 자동화 흐름

8-2. DNA Center Intent API

DNA Center REST API — Python 예시 (디바이스 조회)

import requests, json

DNAC = "https://dnac.example.com"
AUTH = ("admin", "Cisco123!")

# ─── Step 1: 인증 토큰 획득 ───────────────────────
token_resp = requests.post(
    f"{DNAC}/dna/system/api/v1/auth/token",
    auth=AUTH, verify=False
)
token = token_resp.json()["Token"]
headers = {"X-Auth-Token": token, "Content-Type": "application/json"}

# ─── Step 2: 디바이스 목록 조회 ───────────────────
devices = requests.get(
    f"{DNAC}/dna/intent/api/v1/network-device",
    headers=headers, verify=False
).json()["response"]

for dev in devices:
    print(f"{dev['hostname']:30s} {dev['managementIpAddress']:15s} {dev['role']}")

# ─── Step 3: Fabric Site 조회 ─────────────────────
fabric_sites = requests.get(
    f"{DNAC}/dna/intent/api/v1/business/sda/fabric-site",
    headers=headers, verify=False
).json()

# ─── Step 4: VN 목록 조회 ─────────────────────────
vn_list = requests.get(
    f"{DNAC}/dna/intent/api/v1/virtual-network",
    headers=headers, verify=False
).json()

# ─── Step 5: Path Trace 실행 ──────────────────────
path_req = {
  "sourceIP": "10.10.0.5", "destIP": "10.20.0.10",
  "protocol": "TCP", "sourcePort": "0", "destPort": "443"
}
path_resp = requests.post(
    f"{DNAC}/dna/intent/api/v1/flow-analysis",
    headers=headers, json=path_req, verify=False
)

8-3. DNA Center Assurance — 핵심 진단 도구

도구	기능	활용 사례
Path Trace	Source IP → Destination IP 간 실제 트래픽 경로 시각화. 각 홉에서 SGT, ACL, QoS 처리 내역 표시	통신 장애 시 정확한 차단 지점 파악
Client 360	특정 클라이언트의 연결 히스토리, 인증 이벤트, RSSI, SGT, 로밍 이력	특정 사용자 접속 문제 진단
Device 360	특정 장비의 CPU/메모리/인터페이스 상태, LISP 세션, BFD, 이웃 상태	Edge/Border Node 상태 실시간 확인
AI Analytics	기계학습 기반 이상 탐지. 평소 패턴과 다른 동작 자동 알림	보안 이상 징후, 성능 저하 사전 경고
Issue	자동 감지된 네트워크 문제 목록. 심각도, 영향 범위, 권장 조치	NOC 운영, 장애 우선순위 결정

🏆 Phase 9 — CCIE 핵심 & 프리세일즈 실전 설계 4H

엔터프라이즈 SD-Access 풀 설계 — 프리세일즈 제안 토폴로지

9-1. CCIE Enterprise — SDA 핵심 출제 포인트

출제 영역	핵심 내용	중요도
LISP 동작 원리	EID/RLOC 분리 개념, Map-Register/Map-Request/Map-Reply 흐름, ITR/ETR/xTR 역할, 캐시 동작	★★★★★
VxLAN-GPO 구조	표준 VxLAN 대비 GPO 차이, SGT 위치(16비트), VNI와 SGT의 역할 구분	★★★★★
Fabric Node 역할 구분	Edge/Border(Default vs Anywhere)/CP Node/Intermediate의 정확한 역할	★★★★★
Macro vs Micro Segmentation	VN(VRF) = Macro, SGT/SGACL = Micro, 두 레벨의 조합 설계	★★★★☆
SGT 할당 메커니즘	802.1X+ISE, MAB, IP-SGT Mapping, Subnet-SGT의 차이와 우선순위	★★★★☆
Wireless Fabric Mode	Fabric vs Over-the-Top 차이, AP의 VxLAN 캡슐화 역할, 로밍 처리	★★★★☆
Border Node 연결	Default Border vs Anywhere Border 차이, LISP-to-BGP 재배포, Fusion Router	★★★☆☆
DNA Center Assurance	Path Trace 활용법, Device/Client 360, ISE pxGrid 연동	★★★☆☆

9-2. 프리세일즈 실전 시나리오

💼

Scenario 1 — "직원/게스트/IoT 네트워크를 완전히 분리하고 싶다"

VN 기반 Macro Segmentation 제안. Employee VN / Guest VN / IoT VN 3개 가상 네트워크 생성. VN 간 라우팅 완전 차단. 기존 VLAN 설계 대비 최대 16M VNI 확장 가능. DNA Center에서 VN 추가는 수분 내 완료 — 기존 VLAN 설계와 비교하여 운영 효율 강조.

💼

Scenario 2 — "직원이 어디 있든 동일한 보안 정책을 받고 싶다"

SGT 기반 Identity-Aware Policy 제안. 직원이 유선/무선/어느 위치에 접속하든 802.1X 인증 → ISE가 SGT:3(Employee) 할당 → SGACL이 자동 적용. IP 주소나 VLAN 변경과 무관하게 정책 일관성 유지. 기존 ACL 관리 대비 운영 복잡도 90% 감소.

💼

Scenario 3 — "전국 수백 개 지점을 빠르게 네트워크를 구축해야 한다"

PnP + LAN Automation + Template 자동화 제안. 스위치 현장 배송 → 전원 ON → DNA Center PnP 자동 등록 → IS-IS Underlay + Fabric Role 자동 설정. 엔지니어 현장 파견 없이 지점 네트워크 완성. 기존 대비 구축 시간 80% 단축 강조.

💼

Scenario 4 — "네트워크 장애 원인을 빠르게 파악하고 싶다"

Catalyst Center Assurance + AI Analytics 제안. DNA Center Assurance의 Path Trace로 장애 지점 30초 내 시각화. Client 360으로 특정 사용자의 인증/연결 이력 즉시 조회. AI 기반 이상 탐지로 장애 발생 전 사전 경고. NOC 운영 효율화, MTTR(평균 복구 시간) 대폭 단축.

💼

Scenario 5 — "제로 트러스트 캠퍼스를 구현하고 싶다"

SDA + ISE + Duo MFA + Cisco Secure Access 통합 제안. 모든 사용자/디바이스 인증(802.1X + MFA) → SGT 할당 → 최소 권한 SGACL 적용. 디바이스 상태(OS 버전, AV 설치 여부) 기반 동적 SGT 재할당(ISE Posture). 내부자 위협 및 측면 이동(Lateral Movement) 차단.

🔧 트러블슈팅 완전 가이드

Fabric / LISP 트러블슈팅

증상	원인	확인 명령어	해결
엔드포인트 간 통신 불가	LISP Map-Register 실패	show lisp site	CP Node 도달성, 포트 4342(LISP) 허용 확인
LISP Map-Cache 없음	Map-Request 응답 없음	show lisp map-cache	CP Node LISP 설정, EID 등록 여부 확인
Fabric에 합류 안 됨	Underlay OSPF/IS-IS 미수립	show isis neighbors	MTU 9100, P2P 링크 설정, IS-IS NET 주소 확인
VxLAN 터널 장애	RLOC 도달 불가	ping [RLOC]	Underlay 라우팅, Loopback 광고 확인
SGT 미할당	ISE RADIUS 응답 없음	show cts interface	RADIUS 서버 연결, 인증 정책 확인
SGACL 미적용	ISE pxGrid 연동 실패	show cts role-based permissions	DNA Center ↔ ISE pxGrid 연결 상태 확인
동일 VN 내 통신 불가	VNI 불일치 또는 NVE Down	show nve vni, show nve peers	LISP 기반 RLOC 학습, NVE 인터페이스 상태 확인
Border 경유 통신 불가	LISP-BGP 재배포 미설정	show ip route vrf [VN]	redistribute lisp/bgp 설정, Fusion Router 경로 확인

핵심 진단 명령어 Quick Reference

SDA / IOS XE — 필수 진단 명령어 전체

═══ UNDERLAY 확인 ═══════════════════════════════════
show isis neighbors                  ! IS-IS 이웃 (Fabric Node 간)
show ip ospf neighbor                ! OSPF 사용 시
show ip route [RLOC]                 ! 원격 Loopback 도달 여부
ping [remote-loopback] source lo0    ! RLOC-to-RLOC 연결 확인

═══ LISP Control Plane ══════════════════════════════
show lisp site                       ! CP Node: 등록된 EID 전체
show lisp site detail                ! EID별 RLOC, 등록 상태
show lisp database                   ! Edge: 로컬 EID 등록 상태
show lisp map-cache                  ! Edge: 원격 EID-RLOC 캐시
show lisp session                    ! LISP 세션 (CP Node 연결)
show lisp eid-table vrf [VN]         ! 특정 VN의 EID 테이블
show lisp service ipv4               ! LISP IPv4 서비스 상태

═══ VxLAN / NVE 확인 ════════════════════════════════
show nve interface nve1              ! NVE 상태
show nve vni                         ! VNI 목록 및 상태
show nve peers                       ! 원격 VTEP 피어

═══ SGT / TrustSec 확인 ═════════════════════════════
show cts interface [intf]            ! 인터페이스 SGT 상태
show cts sgt-map all vrf [VN]        ! SGT-IP 매핑 테이블
show cts role-based permissions      ! SGACL 매트릭스
show cts role-based counters         ! SGACL 적중 카운터
show cts pacs                        ! PAC (Policy Access Credential)

═══ 라우팅 / VRF 확인 ════════════════════════════════
show ip route vrf [VN-name]          ! VRF 라우팅 테이블
show ip arp vrf [VN-name]            ! VRF ARP 테이블
ping vrf [VN] [destination]          ! VN 내 엔드투엔드 핑

═══ DNA Center GUI 진단 ═════════════════════════════
! Assurance → Path Trace → src/dst IP 입력
! Assurance → Client 360 → MAC/IP 검색
! Assurance → Device 360 → 장비 선택
! Provision → Fabric → Site → Fabric 상태 확인

트러블슈팅 순서 (Top-Down)

1

Underlay 연결 확인

show isis neighbors → 모든 Fabric Node 간 IS-IS 수립. 원격 Loopback으로 Ping 성공 여부.

2

LISP 등록 확인

show lisp site (CP Node에서) → 문제 엔드포인트의 EID가 등록되어 있는지 확인.

3

LISP Map-Cache 확인

show lisp map-cache (Ingress Edge에서) → 목적지 EID에 대한 RLOC 정보가 있는지 확인.

4

NVE 피어 확인

show nve peers → 원격 Edge Node RLOC가 NVE 피어로 등록되어 있는지 확인.

5

SGT 및 SGACL 확인

show cts sgt-map → 호스트에 올바른 SGT 할당 여부. show cts role-based permissions → 해당 SGT 쌍의 SGACL Permit 여부.

6

DNA Center Path Trace

Assurance → Path Trace → src/dst IP 입력 → 시각화된 경로에서 차단 지점(빨간 아이콘) 확인.

🏅 자격증 로드맵 & 학습 자료

자격증	시험 코드	SDA 범위	준비 기간
CCNP ENCOR	350-401	SDA 아키텍처 개념 (Phase 0~1), LISP 기초	6~9개월
CCNP ENWLSI	300-430	SDA Wireless 통합 (Phase 6) 전문	+2개월
CCIE Enterprise Infrastructure	Lab 400-101	SDA 전체 (Phase 0~9) 설계+구현+트러블슈팅	1.5~2년+

유형	자료	링크/비고
공식 문서	Cisco SDA Design Guide	cisco.com/go/sda-design-guide
Cisco Live	BRKENT-3001 — SDA Deep Dive	ciscolive.com 아카이브
dCloud	DNA Center 3.x SDA Lab	dcloud.cisco.com (무료)
도서	Cisco SD-Access (Cisco Press)	Jason Gooley, Roddie Hasan 저
DevNet	DNA Center Intent API 과정	developer.cisco.com/dnacenter
GitHub	cisco-en-programmability/catalyst-center-api	Python/Ansible 자동화 예제

Cisco SD-Access Zero to Hero — CCIE Enterprise Deep Dive

LISP · VxLAN-GPO · ISE TrustSec · SGT · Macro/Micro Segmentation · DNA Center

Catalyst Center ISE LISP VxLAN-GPO SGT CCIE ENT