SDN — Redes Definidas por Software
O que é
Redes Definidas por Software (SDN, do inglês Software-Defined Networking) são uma abordagem arquitetural que separa o plano de controle do plano de dados e centraliza as decisões de roteamento e políticas em um componente chamado controlador SDN.
Em uma rede tradicional, cada dispositivo — switch ou roteador — possui seu próprio plano de controle distribuído. Eles trocam informações entre si usando protocolos como OSPF, calculam suas próprias tabelas de roteamento e aplicam suas próprias ACLs. É um modelo descentralizado: cada equipamento pensa por conta própria.
No modelo SDN, essa inteligência é removida dos dispositivos individuais e concentrada em um controlador central. Os dispositivos da rede passam a executar apenas o plano de dados — encaminhar pacotes conforme as instruções recebidas — enquanto o controlador cuida de todo o plano de controle: calcula rotas, define políticas, monitora o estado da rede.
Existe ainda o plano de gerência (management plane), que engloba as ferramentas e interfaces usadas pelos administradores para configurar e monitorar a rede — seja via SSH tradicional ou via GUI/API do controlador SDN.
Como funciona
A arquitetura SDN é organizada em três camadas:
Application Layer (Camada de Aplicação) Contém scripts, aplicações e ferramentas — desenvolvidas internamente, por terceiros ou pela própria Cisco — que instruem o controlador sobre o comportamento desejado da rede. A comunicação entre esta camada e o controlador ocorre pela northbound API.
Control Layer (Camada de Controle) É onde vive o controlador SDN. Ele recebe as instruções da camada de aplicação, processa o estado da rede e envia configurações para os dispositivos. No contexto da Cisco, o controlador do SD-Access é o Cisco DNA Center — rebatizado de Cisco Catalyst Center a partir de 2024.
Infrastructure Layer (Camada de Infraestrutura) Contém os dispositivos físicos: switches e roteadores que efetivamente encaminham o tráfego. Eles se comunicam com o controlador pela southbound API, que pode usar protocolos como NetConf, RESTConf, SSH, Telnet ou SNMP.
Northbound vs. Southbound API
| API | Direção | Quem se comunica |
|---|---|---|
| Northbound | Aplicações → Controlador | Scripts e apps instruem o controlador |
| Southbound | Controlador → Dispositivos | Controlador configura switches e roteadores |
Fabric, Underlay e Overlay
Dentro do Cisco SD-Access (a solução SDN da Cisco para LANs de campus), três termos descrevem a estrutura da rede:
- Underlay: a rede física subjacente — switches multicamada e seus links, rodando ISIS como protocolo de roteamento. Todos os links entre switches são camada 3 (sem STP, sem FHRP). Os switches de acesso (edge nodes) funcionam como default gateway dos hosts finais — modelo chamado de routed access layer.
- Overlay: a rede virtual construída sobre o underlay — túneis VXLAN (Virtual Extensible LAN) que transportam o tráfego dos hosts. O plano de controle do overlay usa LISP (Locator/ID Separation Protocol), que mantém mapeamentos entre identificadores de hosts (EIDs) e localizadores de switches de borda (RLOCs).
- Fabric: a combinação de underlay + overlay — a rede como um todo, física e virtual.
Papéis dos switches no SD-Access
- Edge Node: conecta hosts finais; equivale ao acesso tradicional; é o default gateway dos hosts
- Border Node: conecta o domínio SD-Access a redes externas (WAN, internet)
- Control Node: executa o LISP para funções de plano de controle
Intent-Based Networking
O DNA/Catalyst Center habilita o conceito de Intent-Based Networking (IBN): o administrador define a intenção do comportamento de rede (ex: "o grupo Guests não pode acessar os servidores"), e o controlador traduz essa intenção em configurações concretas nos dispositivos. Políticas baseadas em grupos substituem ACLs extensas e difíceis de manter.
O Cisco TrustSec (CTS) é o componente do SD-Access responsável por implementar essas políticas de segurança e QoS no overlay.
Na prática
Em uma implantação greenfield (rede nova construída para SD-Access), o DNA Center configura automaticamente todos os switches do underlay: ativa ISIS, transforma todos os links em routed ports de camada 3 e elimina a necessidade de STP e FHRP. Um administrador que antes passava horas configurando dezenas de dispositivos individualmente passa a definir políticas em uma interface gráfica centralizada.
Em uma implantação brownfield (rede existente adaptada), o DNA Center gerencia os dispositivos mas não reconfigura o underlay, evitando impacto na rede em produção.
O DNA Center também funciona como plataforma de gerência em redes tradicionais (sem SD-Access), centralizando monitoramento, controle de versões de software e conformidade de configurações.
Comparativo: Gestão Tradicional vs. DNA Center
| Aspecto | Tradicional | DNA Center |
|---|---|---|
| Configuração | SSH/console, dispositivo a dispositivo | GUI centralizada ou REST API |
| Novo dispositivo | Configuração manual antes do deploy | Recebe config automaticamente ao ser registrado |
| Políticas | ACLs distribuídas por dispositivo | Políticas centralizadas por intenção/grupo |
| Versões de software | Atualizadas manualmente | Monitoradas e aplicadas pelo DNA Center |
| Velocidade de implantação | Lenta, trabalhosa | Rápida, automatizada |
| Risco de erro humano | Alto | Reduzido |
Por que cai no exame
O CCNA 200-301 cobra SDN nos tópicos 6.3 e 6.4. As perguntas mais frequentes testam:
- As três camadas da arquitetura SDN — Application, Control e Infrastructure — e o que pertence a cada uma. Cuidado: não confunda com as camadas do modelo OSI.
- Northbound vs. southbound API — quem se comunica com quem em cada direção.
- Fabric, overlay e underlay — as definições e a relação entre os três termos.
- Os três papéis de switches no SD-Access — edge, border e control node.
- Comparativo DNA Center vs. gestão tradicional — o exame pede explicitamente essa comparação no tópico 6.3.
- VXLAN como protocolo do plano de dados e LISP como protocolo do plano de controle do overlay SD-Access.
Uma pegadinha clássica: o exame pode usar o termo "infrastructure plane" como sinônimo de "data plane" no contexto SDN — ambos se referem à camada de encaminhamento de pacotes.
Resumo em uma linha
SDN centraliza o plano de controle em um controlador (como o Cisco Catalyst Center), que usa a northbound API para receber instruções de aplicações e a southbound API para configurar os dispositivos do fabric — composto pelo underlay físico (ISIS + links L3) e o overlay virtual (túneis VXLAN via LISP).