Czym jest Software-Defined Access (SD-Access)?

Software-Defined Access (SD-Access) to architektura sieciowa oparta na Software-Defined Networking (SDN) do automatyzacji i zarządzania sieciami kampusowymi. SD-Access eliminuje ręczną konfigurację VLAN-ów i list ACL. Zamiast tego, administratorzy zarządzają siecią za pomocą centralnych polityk i oprogramowania. Automatyzacja oparta na intencjach przekłada potrzeby biznesowe na konkretne ustawienia urządzeń, co eliminuje błędy ludzkie. Kluczowym mechanizmem jest tu wirtualizacja sieci. Oddziela ona warstwę logiczną od fizycznej, dzięki czemu tożsamość użytkownika nie zależy już od jego adresu IP.

SD-Access łączy sieci przewodowe i bezprzewodowe w jedną spójną strukturę typu fabric. Kontroler sieciowy działa jako centralny punkt zarządzania, co ułatwia wdrażanie zmian i monitorowanie stanu w czasie rzeczywistym. Zapewnia to skalowalną segmentację oraz spójne bezpieczeństwo sieciowe. Zarządzanie oparte na chmurze lub lokalnych klastrach kontrolerów upraszcza codzienne zadania od brzegu sieci aż po centrum danych.

Jak SD-Access realizuje koncepcję intent-based networking?

SD-Access działa jako mechanizm operacyjny dla sieci opartych na intencjach (IBN), automatycznie przekształcając cele biznesowe na polityki techniczne. Całość stoi na dwóch fundamentach: translacji wymagań oraz weryfikacji stanu infrastruktury (Assurance). Zamiast wpisywać 50 linii konfiguracji w celu utworzenia VLAN-u na dziesięciu przełącznikach, administrator po prostu wybiera opcję „Zezwól na Wi-Fi dla gości” (intencja), a system automatycznie generuje odpowiednią konfigurację. Automatyzacja oparta na intencjach pozwala administratorom definiować reguły wysokiego poziomu, takie jak „Dział HR ma dostęp do serwerów płacowych”, bez ręcznej konfiguracji list ACL. Kontroler sieciowy tłumaczy te założenia na polecenia dla urządzeń i realizuje provisioning w całej infrastrukturze. Automatyzacja polityk sprawia, że nie trzeba już ręcznie logować się na poszczególne przełączniki czy routery.

Poprzez zaawansowaną analitykę sieciową oraz telemetrię system nieustannie monitoruje zgodność działania sieci z zadeklarowaną intencją. Mechanizm zamkniętej pętli zwrotnej (closed-loop assurance) wykrywa anomalie i umożliwia zautomatyzowane wdrażanie działań korygujących. Zarządzanie oparte na chmurze lub lokalnych klastrach zapewnia spójność polityk bezpieczeństwa niezależnie od lokalizacji użytkownika. To sprawia, że architektura SDN dba o to, by sieć działała zgodnie z planem w czasie rzeczywistym.

Jak zbudowana jest architektura sieci SD-Access?

Architektura SD-Access bazuje na modelu hierarchicznym, który dzieli infrastrukturę na dwie główne płaszczyzny: fizyczną i logiczną. W rozwiazaniu wykorzystuje się nowoczesne protokoły tunelowania oraz wirtualizację sieci, tworząc spójną strukturę fabric network.

Czym jest struktura sieciowa typu fabric?

Podobnie jak GPS wyznacza trasę ignorując fizyczne dziury w asfalcie, tak fabric network tworzy logiczną ścieżkę niezależną od fizycznego okablowania. Pozwala ona zapomnieć o złożoności infrastruktury fizycznej i zarządzać całą siecią jako spójnym, programowalnym środowiskiem. Działa jako podsieć overlay, nakładając się na infrastrukturę sprzętową i tworząc jednolitą płaszczyznę operacyjną dla całego kampusu. W rezultacie sieci przewodowe i Wi-Fi działają jako jeden organizm, co pozwala stosować te same polityki dostępu niezależnie od medium transmisyjnego. Automatyzacja polityk wiąże reguły bezpieczeństwa bezpośrednio z tożsamością użytkownika, a nie z fizycznym portem przełącznika.

Efekt? Mobilność wewnątrz organizacji nie wymaga ręcznej rekonfiguracji. Pracownik zachowuje swoje uprawnienia i adresację IP po przeniesieniu się do innego budynku. Wirtualizacja sieci w tym modelu automatyzuje proces tunelowania ruchu, gwarantując spójną segmentację sieci w całej infrastrukturze. To praktyczne zastosowanie koncepcji SDN, oddzielające logikę biznesową od fizycznego transportu pakietów.

Jaka jest różnica między warstwą underlay a overlay?

Podsieć underlay odpowiada za fizyczny transport i routing pakietów. Z kolei podsieć overlay tworzy logiczną strukturę dla usług i polityk bezpieczeństwa. Infrastruktura fizyczna (Underlay) składa się z routerów oraz przełączników wykorzystujących standardowe protokoły routingu (IS-IS lub OSPF) w celu zapewnienia stabilnej osiągalności IP. Na tym fundamencie budowana jest warstwa logiczna, która abstrahuje topologię sieci poprzez tunele między węzłami krawędziowymi.

W architekturze fabric network warstwa Overlay korzysta z protokołów takich jak VXLAN dla płaszczyzny danych i LISP dla płaszczyzny sterowania. Dzięki podejściu SDN logiczna topologia sieci pozostaje całkowicie niezależna od fizycznych połączeń kablowych. Wprowadzenie zmian w segmentacji lub regułach dostępu w warstwie wirtualnej nie wymaga żadnej ingerencji w konfigurację warstwy fizycznej.

Jaką rolę w transporcie danych pełnią protokoły VXLAN i LISP?

SD-Access to duet protokołów: LISP odpowiada za płaszczyznę sterowania (Control Plane), a VXLAN za płaszczyznę danych (Data Plane). LISP (Locator/ID Separation Protocol) modyfikuje klasyczny model routingu poprzez rozdzielenie tożsamości urządzenia (Endpoint ID – EID) od jego bieżącej lokalizacji w sieci (Routing Locator – RLOC).

Gwarantuje to pełną mobilność użytkowników – ich adres IP pozostaje niezmienny niezależnie od miejsca podłączenia. Kontroler sieciowy wykorzystuje bazę mapowania LISP do błyskawicznego określania trasy w podsieci overlay, zastępując tradycyjne tablice routingu.

VXLAN (Virtual Extensible LAN) odpowiada za transport danych, enkapsulując ramki Ethernet w pakiety UDP. Umożliwia to rozszerzanie domen warstwy 2 ponad routowaną infrastrukturą warstwy 3. W architekturze SD-Access VXLAN współpracuje z mechanizmem znaczników polityk, takich jak Scalable Group Tags (SGT), które identyfikują przynależność do określonych grup bezpieczeństwa. Egzekwowanie polityk odbywa się na podstawie tożsamości i przynależności do grup, a nie wyłącznie adresów IP czy portów, co eliminuje konieczność rozbudowanych list ACL. Wirtualizacja sieci oparta na tych standardach pozwala budować skalowalne środowiska SDN, łączące elastyczność logiczną z wydajnością sprzętową.

Jakie funkcje pełnią poszczególne węzły w sieci SD-Access?

W architekturze SD-Access urządzenia sieciowe zamiast pełnić wyłącznie tradycyjne funkcje warstwowe (access, distribution, core), przyjmują wyspecjalizowane role w obrębie struktury typu fabric.

• Węzeł krawędziowy (Fabric Edge Node) to punkt styku użytkowników oraz urządzeń IoT z infrastrukturą. Odpowiada za identyfikację i uwierzytelnianie punktów końcowych w momencie ich podłączenia. Realizuje egzekwowanie polityk, przypisując znaczniki bezpieczeństwa (SGT) do ruchu wchodzącego i enkapsulując go w tunelach VXLAN.

• Węzeł sterujący (Control Plane Node) zarządza logiką adresacji i pełni funkcję centralnego systemu lokalizacyjnego. Zamiast wykorzystywać tradycyjne mechanizmy oparte na ruchu rozgłoszeniowym, stosuje protokół LISP do utrzymywania bazy mapowań EID–RLOC, wiążącej tożsamość punktów końcowych z ich aktualną lokalizacją w sieci.

• Węzeł graniczny (Border Node) odpowiada za komunikację ze światem zewnętrznym. Pełni rolę bramy łączącej domenę SD-Access z infrastrukturą spoza fabric, taką jak centra danych, sieć Internet czy środowiska WAN. W tym miejscu następuje translacja ruchu pomiędzy środowiskiem overlay a klasyczną infrastrukturą routowaną.

Jakie elementy składają się na rozwiązanie Cisco SD-Access?

Rozwiązanie Cisco SD-Access składa się z trzech głównych elementów:

• Kontroler Cisco Catalyst Center (dawniej DNA Center)
• System Cisco Identity Services Engine (ISE)
• Programowalna infrastruktura sprzętowa (przełączniki i routery)

Integracja tych komponentów umożliwia automatyczne wdrażanie złożonych konfiguracji z poziomu jednolitego, centralnego interfejsu zarządzania.

Za co odpowiada kontroler Cisco DNA Center (DNAC)?

Cisco DNA Center (DNAC) to centralny punkt operacyjny w architekturze SD-Access. Działa jako główny kontroler sieciowy integrujący zarządzanie, automatyzację i analitykę. Platforma umożliwia administratorom projektowanie topologii, definiowanie polityk bezpieczeństwa oraz przeprowadzanie provisioning z jednego pulpitu. Kluczowym zadaniem kontrolera jest automatyzacja oparta na intencjach, tłumacząca cele biznesowe na konfiguracje sprzętowe, co eliminuje ręczne wprowadzanie komend CLI. Z perspektywy inżyniera, który karierę zaczynał od żmudnej pracy w wierszu poleceń, uważam tę zmianę za kluczową. W projektach migracyjnych, które prowadzę, DNA Center pozwala wyeliminować tzw. „fat-finger errors” – błędy ludzkie, które w tradycyjnym modelu CLI często paraliżowały działanie całych segmentów sieci. Pozwala to na szybkie, zautomatyzowane wdrażanie zmian na setkach urządzeń jednocześnie.

DNAC dba również o kondycję sieci poprzez moduł Assurance, który analizuje sieć. System przetwarza telemetrię strumieniową w czasie rzeczywistym, wyprzedzając problemy i diagnozując przyczyny awarii. Kontroler zarządza cyklem życia oprogramowania (SWIM), automatyzując aktualizacje systemów operacyjnych. Możliwość wdrożenia rozwiązania w modelu lokalnym (on-premises) lub w formie klastrów zapewnia pełną widoczność infrastruktury oraz spójność operacyjną. W efekcie administrator uzyskuje pewność, że sieć działa zgodnie z założoną intencją i politykami bezpieczeństwa.

Jak Cisco Identity Services Engine (ISE) zarządza polityką dostępu?

Cisco Identity Services Engine (ISE) działa jako centralny silnik decyzyjny, integrujący tożsamość użytkowników i urządzeń z logiczną strukturą SD-Access. System odpowiada za realizację mechanizmów bezpieczeństwa — profilowanie, uwierzytelnianie oraz autoryzację dostępu do sieci. Kluczowym elementem rozwiązania jest kontrola dostępu oparta na tożsamości (identity-based access control), która uniezależnia uprawnienia od fizycznej lokalizacji czy adresu IP. W momencie podłączenia urządzenia ISE analizuje jego kontekst (typ urządzenia, lokalizację, rolę użytkownika) i dynamicznie przypisuje znaczniki Scalable Group Tags (SGT). Te numeryczne identyfikatory klasyfikują ruch do logicznych grup, takich jak „Pracownicy HR”, „Goście” czy „IoT”. ISE wymienia informacje o tożsamości z kontrolerem sieciowym, co umożliwia automatyczne egzekwowanie polityk bezpieczeństwa w całej infrastrukturze.

Polityka bezpieczeństwa „podąża” za użytkownikiem lub urządzeniem. Jeśli system zidentyfikuje sprzęt jako kamerę CCTV, automatycznie przypisuje mu znacznik pozwalający na komunikację wyłącznie z serwerem rejestrującym — niezależnie od portu przełącznika czy fizycznej lokalizacji. Stanowi to fundament podejścia Zero Trust, w którym każda sesja podlega weryfikacji.

Dane kontekstowe pozyskiwane przez mechanizmy NAC (Network Access Control) zasilają również moduły analityczne, wspierając precyzyjny monitoring wykorzystania zasobów oraz szybszą identyfikację anomalii.

W jaki sposób SD-Access zapewnia bezpieczeństwo i segmentację?

SD-Access wywraca do góry nogami podejście do bezpieczeństwa sieciowego, oddzielając polityki dostępu od fizycznej topologii i adresacji IP. System zastępuje statyczne listy ACL dynamiczną segmentacją, którą urządzenia wymuszają w czasie rzeczywistym. Architektura integruje kontrolę dostępu opartą na tożsamości z wirtualizacją sieci, tworząc wielowarstwową ochronę.

Administratorzy definiują reguły biznesowe w centralnym kontrolerze, a mechanizmy automatyzacji zapewniają, by trafiły na każde urządzenie. Umożliwia to natychmiastową izolację zainfekowanego urządzenia poprzez zmianę jego przynależności do grupy bezpieczeństwa — bez konieczności fizycznej rekonfiguracji portów czy modyfikacji konfiguracji lokalnej.

Jak SD-Access wspiera strategię zero trust?

Architektura SD-Access implementuje model zero trust do warstwy dostępowej sieci LAN, eliminując pojęcie zaufanej strefy wewnętrznej. System opiera się na zasadzie „nigdy nie ufaj, zawsze weryfikuj”, czyniąc brak zaufania stanem domyślnym dla każdego użytkownika i urządzenia. Kontrola dostępu oparta na tożsamości dynamicznie autoryzuje połączenia w oparciu o bieżący kontekst, a nie statyczne adresy IP. System wymusza politykę najmniejszych przywilejów poprzez mikro-segmentację, ograniczając dostęp wyłącznie do niezbędnych zasobów. Nawet po uwierzytelnieniu urządzenie nie może swobodnie skanować infrastruktury ani wykonywać ruchu bocznego (lateral movement).

Bezpieczeństwo sieciowe w tym modelu wymaga ciągłej oceny stanu. Zaawansowana telemetria oraz analityka sieciowa stale monitorują zachowania punktów końcowych. Jeśli system wykryje anomalię lub wzrost poziomu ryzyka, automatycznie modyfikuje uprawnienia lub izoluje urządzenie.

Na czym polega różnica między makro-segmentacją a mikro-segmentacją?

Różnica pomiędzy makro- a mikro-segmentacją dotyczy poziomu izolacji oraz mechanizmów stosowanych w warstwie overlay.

Makrosegmentacja zapewnia pełną separację ruchu poprzez tworzenie niezależnych sieci wirtualnych (Virtual Networks – VN), które technicznie odpowiadają instancjom VRF (Virtual Routing and Forwarding). Mechanizm ten służy do logicznego rozdzielania dużych domen bezpieczeństwa — na przykład izolowania sieci gościnnej od sieci korporacyjnej lub systemów automatyki przemysłowej od infrastruktury biurowej.

Mikrosegmentacja kontroluje natomiast przepływ danych wewnątrz tych domen, egzekwując polityki komunikacji pomiędzy użytkownikami i urządzeniami. W tym celu wykorzystywane są znaczniki Scalable Group Tags (SGT), które umożliwiają egzekwowanie polityk bezpieczeństwa na urządzeniach dostępowych. Segmentacja na tym poziomie pozwala zablokować dostęp pracownika działu HR do serwera Finansów, nawet jeśli oba systemy funkcjonują w tej samej podsieci IP.

Makrosegmentacja znajduje zastosowanie w budowie szerokich stref bezpieczeństwa, natomiast mikrosegmentacja zapewnia granularną kontrolę ruchu w obrębie jednej domeny logicznej. Wirtualizacja sieci w architekturze SD-Access umożliwia równoczesne stosowanie obu tych mechanizmów, tworząc wielopoziomowy model izolacji.

Do czego służą znaczniki scalable group tags (SGT)?

Scalable Group Tags (SGT) to 16-bitowe identyfikatory wykorzystywane w architekturze SD-Access do klasyfikowania ruchu na podstawie roli użytkownika lub urządzenia, a nie adresu IP. Informacja o przynależności do grupy bezpieczeństwa jest propagowana w warstwie overlay (m.in. wraz z ruchem enkapsulowanym w VXLAN), dzięki czemu polityka oparta na tożsamości może być egzekwowana w całej domenie fabric — niezależnie od fizycznej topologii.

SGT służą do tworzenia polityk grupowych (Group-Based Policy). Upraszczają one reguły zapory sieciowej i eliminują zarządzanie tysiącami linii list ACL. Jako architekt odpowiedzialny za strategie segmentacji, traktuję SGT jako najskuteczniejsze narzędzie do walki z długiem technicznym w politykach bezpieczeństwa. Pozwalają one zastąpić tysiące linii statycznych, trudnych do audytu list ACL kilkoma czytelnymi regułami biznesowymi, co radykalnie upraszcza późniejsze utrzymanie środowiska.

Zamiast konfigurować zależności pomiędzy zmiennymi adresami IP, administrator definiuje jedną logiczną regułę (np. „Grupa Księgowość nie ma dostępu do Grupy Goście”), którą system egzekwuje automatycznie w całej infrastrukturze. Mechanizm ten stanowi fundament mikrosegmentacji. Dynamicznym przypisywaniem znaczników SGT steruje system Cisco Identity Services Engine, zapewniając spójne i scentralizowane egzekwowanie polityk bezpieczeństwa.

Jak SD-Access ułatwia integrację i automatyzację urządzeń IoT?

SD-Access automatyzuje bezpieczne dołączanie (onboarding) urządzeń IoT, identyfikując je i umieszczając w izolowanych segmentach. Eliminuje to ręczną konfigurację portów, co jest kluczowe przy obsłudze tysięcy czujników. System profiluje urządzenia, aby natychmiast po podłączeniu rozpoznać typ sprzętu. Na tej podstawie automatyzacja polityk przypisuje punkt końcowy do dedykowanej Sieci Wirtualnej (VN), co w praktyce oznacza makro-segmentację. Oddziela to słabo zabezpieczone urządzenia infrastrukturalne od krytycznych danych biznesowych.

Przykładowo, po wykryciu nowej kamery IP system automatycznie przypisuje ją do sieci „Bezpieczeństwo Fizyczne” oraz nadaje odpowiednie parametry jakości usług (QoS) dla ruchu wideo. Proces provisioning odbywa się w tle, bez konieczności ingerencji administratora. Analityka sieciowa stale monitoruje zachowanie urządzeń, wykrywając anomalie sugerujące przejęcie sprzętu. Takie podejście eliminuje konieczność ręcznej konfiguracji portów, co zapewnia bezpieczeństwo sieciowe w środowiskach Przemysłu 4.0. W projektach integrujących rozwiązania wielodostawcze (multivendor) automatyzacja onboardingu IoT staje się elementem krytycznym. Ręczne zarządzanie portami dla setek kamer czy czujników zwiększa złożoność operacyjną oraz ryzyko powstania luk bezpieczeństwa. Z tego względu automatyczna makrosegmentacja w nowoczesnych architekturach powinna być traktowana jako standard, a nie opcjonalne rozszerzenie funkcjonalności.

Czym różni się SD-Access od tradycyjnych sieci opartych na VLAN?

SD-Access zmienia model operacyjny sieci kampusowych, zastępując statyczną konfigurację dynamicznym sterowaniem programowym. Kluczową różnicą jest odejście od płaskiej struktury warstwy 2 — ograniczonej mechanizmami takimi jak STP — na rzecz w pełni routowanej podsieci underlay.
W tradycyjnym podejściu polityki bezpieczeństwa są ściśle powiązane z adresacją IP i przynależnością do VLAN-ów, co wymusza ręczną modyfikację list ACL przy każdej zmianie lokalizacji użytkownika lub urządzenia. SD-Access wykorzystuje model SDN do oddzielenia tożsamości od lokalizacji, tworząc logiczną warstwę overlay niezależną od fizycznej topologii i okablowania.

W praktyce automatyzacja oparta na intencjach eliminuje konieczność ręcznego logowania się na urządzenia przez CLI w celu wprowadzania zmian konfiguracyjnych. W modelu tradycyjnym relokacja działu często wymaga rekonfiguracji VLAN-ów lub fizycznych zmian w infrastrukturze. W architekturze SD-Access proces ten realizowany jest programowo, a profil dostępu „podąża” za użytkownikiem w obrębie struktury fabric.

Segmentacja w klasycznych sieciach bywa trudna do skalowania i utrzymania, natomiast SD-Access automatyzuje izolację przy użyciu znaczników SGT, umożliwiając egzekwowanie polityk w sposób scentralizowany i spójny.

Rezultatem jest ograniczenie liczby błędów konfiguracyjnych, zwiększenie elastyczności operacyjnej oraz przyspieszenie wdrażania zmian — co stanowi istotny element transformacji infrastruktury sieciowej w kierunku modelu programowalnego.

Źródła

• https://www.cisco.com/c/en/us/td/docs/solutions/CVD/Campus/cisco-sda-design-guide.html
• https://www.ciscolive.com/c/dam/r/ciscolive/emea/docs/2025/pdf/BRKENS-3810.pdf
• https://www.ciscolive.com/c/dam/r/ciscolive/global-event/docs/2025/pdf/BRKSEC-3707.pdf

---

Sebastian Gwiozda – Senior Cybersecurity Architect z silnym zapleczem technicznym, ekspert w obszarze architektury bezpieczeństwa, ochrony danych i projektowania skalowalnych systemów zabezpieczeń. Od ponad dekady pracuje z multivendorowymi technologiami sieciowymi i bezpieczeństwa, łącząc praktyczną wiedzę z podejściem strategicznym. Specjalizuje się w budowaniu zaawansowanych, odpornych na zagrożenia środowisk on-premise i chmurowych. Pasjonat cyberbezpieczeństwa, stale rozwijający kompetencje i współpracujący z organizacjami w celu zwiększania ich odporności na współczesne zagrożenia.