Download pdf - Cisco SD-Access テクニカルソリューションガイド...Vaibhav Katkade Vikram Pendharkar Bill Rubino Imran Bashir Jeffrey Meek Jeevak Bhatia Kanu Gupta Meghna Muralinath

Cisco SD-Access

インテントベースネットワーキングを実現第 2 版

Craig Hill

Darrin Miller

Dave Zacks

Josh Suhr

Karthik Kumar Thatikonda

Kedar Karmarkar

Sanjay Hooda

Satish Kondalam

Saurav Prasad

Shawn Wargo

Simone Arena

Vaibhav Katkade

Vikram Pendharkar

Bill Rubino

Imran Bashir

Jeffrey Meek

Jeevak Bhatia

Kanu Gupta

Meghna Muralinath

Shane DeLong

Tarunesh Ahuja

Cisco SD-Access

インテントベースネットワーキングを実現第 2 版

はじめに 9

作成者 8

謝辞 10

本書の構成 11

対象者 12

執筆の方法論 13

第 2 版での更新内容 14

概要 17

エグゼクティブサマリー 18

ネットワークの進化：課題 20

SD-Access の概要 29

SD-Access の概要 30

SD-Access の利点 40

SD-Access ファブリック 47

ファブリックコンポーネント 48

ファブリックの動作 53

ファブリックに関する考慮事項 64

ファブリックの導入モデル 66

外部接続 75

ファブリックパケットウォーク 88

Cisco DNA Center 107

Cisco DNA Center の概要 108

SD-Access のポリシー 111

ポリシーとサービスの概要 112

ポリシーのアーキテクチャ 120

ポリシーの利点 125

使用されるポリシー 128

SD-Access の自動化 135

Cisco DNA Center での自動化とオーケストレーション 136

Cisco DNA Center による SD-Access の自動化 140

SD-Access アシュアランス 147

アシュアランスの概要 148

SD-Access の状態およびインサイト 150

レポート 152

パートナーエコシステムとの統合 153

統合の概要 154

API とプログラマビリティ 156

エコシステム統合 158

まとめ、次のステップ、参考資料 161

まとめ 162

次のステップ 164

参考資料 166

略語 168

はじめに

8 はじめに

作成者

本書は、カリフォルニア州サンノゼにあるシスコ本社で 1 週間にわたって実施された集中セッションにおいて、テクニカルマーケティング、製品管理、アドバンスドサービス、エンジニアリング、セールスエンジニアの諸チームが取り組んだコラボレーションの成果物です。

• Craig Hill：システムエンジニアリング

• Darrin Miller：テクニカルマーケティング

• Dave Zacks：テクニカルマーケティング

• Josh Suhr：カスタマーエクスペリエンス

• Karthik Kumar Thatikonda：テクニカルマーケティング

• Kedar Karmarkar：テクニカルマーケティング

• Sanjay Hooda：エンジニアリング

• Satish Kondalam：テクニカルマーケティング

• Saurav Prasad：テクニカルマーケティング

• Shawn Wargo：テクニカルマーケティング

• Simone Arena：テクニカルマーケティング

• Vaibhav Katkade：製品管理

• Vikram Pendharkar：製品管理

9 はじめに

もう 1 つの作成者グループが本書の最新版に寄稿し、2019 年 4 月に完了しました。

• Bill Rubino：マーケティング

• Dave Zacks：テクニカルマーケティング

• Imran Bashir：テクニカルマーケティング

• Jeffrey Meek：マーケティング

• Jeevak Bhatia：製品管理

• Kanu Gupta：テクニカルマーケティング

• Meghna Muralinath：テクニカルマーケティング

• Sanjay Hooda：エンジニアリング

• Shane DeLong：カスタマーエクスペリエンス

• Shawn Wargo：テクニカルマーケティング

• Tarunesh Ahuja：テクニカルマーケティング

10 はじめに

謝辞

本書の実現を支えてくれたシスコのエンタープライズネットワークビジネス製品管理、

エンジニアリング、セールス、サービスの各チームに感謝します。また、作業期間をとおしてリソースの編成とサポートに優れた手腕を発揮した Cynthia Resendez と、すべてが円滑に進行し、作成者全員が最後までやり遂げられるように手配した Sehjung Hah にも感謝します。

あわせて、Book Sprints（www.booksprints.net）チームにも心より感謝申し上げます。

• Adam Hyde（創立者）

• Barbara Ruhling（CEO）

• Faith Bosworth（ファシリテータ）

• Henrik van Leeuwen（イラストレータ）

• Juan Carlos Gutiérrez Barquero（テクニカルサポート）

• Julien Taquet（書籍製作責任者）

• Laia Ros（ファシリテータ）

• Raewyn Whyte（校正者）

Laia や Faith の率いるチームが環境を整えてくれたおかげで、拡大する需要に応えるべく、私たちはコラボレーションと技術的スキルを駆使してこの技術書を作り上げることができました。

この取り組みを支えてくれた Carl Solder、Rohan Grover、Victor Moreno、Misbah

Rehman、Muninder Sambi、Shyam Maniyar、Dan Kent、Anoop Vetteth、Yi Xue、Ronnie Ray、Bipin Kapoor、Kevin Skahill、Ziad Sarieddine、Jeff McLaughlin、Nicolas

Coulet、Christina Munoz、Ramit Kanda に感謝します。

http://www.booksprints.net/

11 はじめに

本書の構成

本書は順序どおりに読まれるよう意図されています。各章は見直される可能性がありますが、本書で扱う概念は順序立てて記述されているため、提示されている順序でトピックを読むことをお勧めします。

本書で扱うトピックには、SD-Access の概要、企業におけるビジネスの促進要因、企業の

IT 部門がそれらのビジネス成果を実現する上での課題が含まれています。次に、SD-Access

の概要を説明し、SD-Access ソリューションの概略を紹介するとともに、従来のネットワークツールや手法では解決できなかったいくつかの課題を SD-Access によってどのように解消できるのかを説明します。続けて、コンポーネント、運用、導入オプションなど、SD-

Access の背後にあるテクノロジーを詳しく説明します。さらに、SD-Access のワークフローを促進する自動化およびオーケストレーションのフレームワークである Cisco DNA

Center® について説明します。ポリシー、自動化、アシュアランスなどの詳細についても取り上げます。最後に、パートナーエコシステムとの統合に触れ、要旨をまとめるとともに、推奨する次のステップを確認します。

12 はじめに

対象者

ネットワークおよび IT のプロフェッショナルは常に、ネットワークの設計と運用を改善する方法を模索しています。本書では、有線およびワイヤレスネットワークと、WAN、DC、サービスとの統合を可能にする、SD-Access ベースのネットワークアーキテクチャに重点を置いています。ネットワークアーキテクトや管理者は、本書から大きなメリットを得られるでしょう。一方、IT プロフェッショナルは、本書を利用することで、自社のネットワーク環境における新しいネットワークテクノロジーと概念を学び、それらによってさまざまな事がいかにシンプルになるかを理解することができます。セキュリティアーキテクトも、エンタープライズネットワークのセキュリティ境界をエッジまで拡大する上で SD-

Access アーキテクチャがどのように役立つかを理解できます。

本書では、ファブリックテクノロジー、ポリシー、自動化、アシュアランスを扱いながら、ネットワークのプロフェッショナルがこれらの技術をセキュリティや IT 導入のシンプル化にどのように活用できるかを説明します。

13 はじめに

執筆の方法論

「優れたデザインとは、複雑なことをシンプルに表現するものである」— M. Cobanli

シンプルさは、SD-Access の設計で最も重要なテーマです。本書の目的は、既存のネットワークテクノロジーでは対応できていないエンタープライズネットワークにおける現在の課題を示し、NetOps チームや SecOps チームが抱えるそれらの課題を、シンプルさを見失うことなく解決する SD-Access の基盤を説明することです。

エンタープライズネットワークのパラダイムを変える書籍を執筆するという挑戦を引き受けたのは、多様なバックグラウンドを持つシスコのエンジニアグループです。エンタープライズネットワークで SD-Access が網羅する領域の広さを考えると、当初この作業は想像以上に手ごわいように思われました。しかしチームは作業を続け、長時間にわたる精力的な執筆ののちに本書は誕生しました。Book Sprints（www.booksprints.net）の方法論によって、私たちならではの強みがそれぞれ盛り込まれ、チーム指向の環境が育まれて完成までの期間が短縮されました。そして今手に取られている第 2 版では、さらに多くのシスコエンジニアの経験と専門知識が盛り込まれ、Cisco SD-Access が提供する優れた最新の機能について理解できるようになっています。

#HardtoTalkAboutSimplicity

14 はじめに

第 2 版での更新内容

本書は、Cisco SD-Access が備えた最新かつ最先端の機能のいくつかを反映するように更新されています。以下の新機能が取り上げられています。

LAN の自動化：Cisco DNA Center の LAN 自動化では、アンダーレイネットワークを自動的に起動するために、標準規格に準拠した IGP ルーティングプロトコルが導入されています。これまでプロトコルは IS-IS でしたが、SD-Access では、自動化されたアンダーレイルーティングプロトコルとして OSPF をサポートするようになりました。

マルチキャスト（ネイティブ）：マルチキャストは、ネットワークの複数の異なる宛先にデータのコピーを配信するために利用されます。Cisco SD-Access では、最初からオーバーレイマルチキャスト（ヘッドエンドレプリケーション）が実現されています。また現在は、マルチキャストをネイティブにサポートしています。これによりオプションとして、アンダーレイネットワークでのレプリケーションも実現できます。そのためマルチキャストレプリケーションの負荷を複数のネットワーク要素に分散でき、ファブリックネットワークにマルチキャストを効率的に導入できるようになります。

レイヤ 2 フラッディング：SD-Access は、レイヤ 2 フラッディングをサポートしています。サイレントホスト、カードリーダー、ドアロックなど、レイヤ 2 接続を必要とする特定のトラフィックやアプリケーションタイプのブロードキャスト転送をサポートすることで実現されています。このようなデバイスやアプリケーションでは、レイヤ 2 ドメイン内でトラフィックのフラッディングが必要になる場合がありますが、SD-Access を導入することで対応できるようになりました。

レイヤ 2 ボーダー：移行ソリューションとして設計されたレイヤ 2 ボーダー機能は、ホストが、VXLAN ベースの SD-Access ファブリックからエンタープライズネットワーク（ファブリックの外部）に接続された従来の VLAN スイッチポートに通信できるようにする機能です。この機能により、SD-Access ファブリックの内外で同じ IP サブネットを使用できるため、移行がシンプルになります。

一体型ファブリック：一体型ファブリックにより、単一の SD-Access デバイスでファブリックの 3 つすべてのロール（ボーダー、コントロールプレーン、ファブリックエッジノード）に対応できます。この機能は、小規模なサイトやリモートブランチに導入する際に特に役立ちます。

15 はじめに

組み込みワイヤレス LAN コントローラ：この新しい画期的な機能により、SD-Access 環境で使用する組み込みワイヤレス LAN コントローラ機能を、Catalyst® 9000 ファミリスイッチでサポートできるようになります。これにより、SD-Access ファブリックを使用したワイヤレス導入がシンプルになります。小規模なサイトやブランチロケーションで特に有効です。

IoT 用 SD-Access 拡張：この機能は、ダウンストリームの非ファブリックレイヤ 2 ネットワークデバイスを SD-Access ファブリックエッジノードに接続する（つまり、ファブリックを拡張する）ために使用されます。これは、拡張ノードとして指定されたデバイス（小型のレイヤ 2 専用スイッチなど）を使用して実現されます。このデバイスは、ファブリックを接続してポリシーを適用するために、アップストリームファブリックエッジスイッチに接続して活用します。従来の「オフィス」スペース以外の環境や産業用の環境において特に役立ちます。

エクストラネット：SD-Access エクストラネットは、柔軟でスケーラブルな方法で VN 間通信を実現します。SD-Access ファブリックの導入をシンプルにし、別々の仮想ネットワーク（VN）にあるデバイスやサービス間で効率的なポリシーベースの通信を実現します。

VN アンカー：VN アンカーを使用すると、複数の分散サイトの特定の VN から送信されたトラフィックを、1 つの共通サブネットを使用して、一箇所に集約することができます。VN サイトごとにサブネットを定義して使用する必要はありません。これにより、一元化されたゲストアクセス環境の導入や類似環境の導入など、いくつかの主要な使用例の導入全体をシンプルにできます。

IPv6 のサポート：SD-Access は、ファブリックネットワークオーバーレイに接続されたクライアントに対する IPv6 ベースのアクセスをサポートするようになりました。これは、ますます多くのホストが次世代のインターネットプロトコルをサポートしているため、重要な要件です。

アクセスコントロールアプリケーション（ACA）：Cisco DNA Center の ACA アプリケーションは、シスコ以外の AAA ソリューションやクラウドソリューションとの相互運用性を高め、ファブリック内でのポリシーの設計、導入、使用をシンプルにするために設計されています。

SD-Access ガイドの改定版では、上記のすべての領域と機能に対応しています。詳細については、続きをお読みください。

概要

18 概要

エグゼクティブサマリー

デジタル変革によってあらゆる業界に新たな機会が生まれています。医療機関では、医師が患者を遠隔でモニタしたり、医療分析情報を活用して健康上の問題を予測したりできるようになっています。教育分野では、テクノロジーによってキャンパスの接続環境が向上し、学習リソースに対するパーソナライズされた平等なアクセスが可能になっています。小売業界では、オンラインと店舗での連携を実現し、位置認識機能を使用することで、店舗でオムニチャネルのエクスペリエンスを提供しています。金融業界では、テクノロジーによってユーザは、場所や時間を問わずに好きなデバイスから安全に銀行取引をできるようになっています。現在の世界において企業が生き残るためには、デジタル変革が間違いなく必要です。

どのような組織でも、円滑にデジタル世界に移行するためにはネットワークへの投資が不可欠です。すべてのモノを接続し、デジタルでの成功の鍵を握るのはネットワークなのです。ネットワークは、生産性の向上やコラボレーションを実現し、エンドユーザエクスペリエンスを高めるために欠かせないものです。企業の資産と知的財産を保護するための最前線の防御にもなるものです。

SD-Access は、業界初のエンタープライズ向けインテントベースネットワークソリューションです。インテントベースネットワークでは、ネットワークを単一のシステムとして扱い、ビジネスの意図（または目標）をネットワークに落とし込んで検証し、実用的なインサイトを得ます。

図デジタルビジネスのためのインテントベースネットワーク

19 概要

SD-Access は、ユーザ、デバイス、アプリケーションのトラフィック向けに、自動化されたエンドツーエンドのサービス（セグメンテーション、QoS、分析など）を提供します。SD-

Access がユーザポリシーを自動化することで、組織は適切なアクセス制御を適用できます。また、あらゆるユーザ/デバイスに対応したエクスペリエンスが、ネットワーク全体のすべてのアプリケーションに設定されます。これは、セキュリティを犠牲にすることなく、すべての場所で一貫性のあるユーザエクスペリエンスを生み出す、LAN と WLAN にまたがる単一のネットワークファブリックによって実現されます。

SD-Access の利点

• 自動化：プラグアンドプレイで新しいネットワークデバイスの導入をシンプルにし、

有線およびワイヤレスネットワーク設定のプロビジョニングを一貫して管理

• ポリシー：ネットワークの自動セグメンテーションとグループベースのポリシーを実現

• アシュアランス：状況に応じたインサイトによって迅速な問題解決とキャパシティプランニングを実現

• 統合：プログラム可能なオープンインターフェイスでサードパーティ製ソリューションを統合

20 概要

ネットワークの進化：課題

今日のネットワークがサポートする IT 環境は、ほんの数年前と比べても非常に多様化しています。モバイルクライアントの利用は急増し、クラウドベースのアプリケーションの採用が増え、ネットワーク環境への Internet of Things（IoT）の導入/利用が進んでいます。

ビジネスのデジタル化に伴い、ネットワークの規模とネットワーキングのニーズは長期間拡大を続けていますが、それに比例して IT リソースが増えているわけではありません。エンドユーザの要望も高まり続けており、ビジネス部門は IT 部門に対し、進化し続けるテクノロジーや成長のニーズに遅れず対応することを絶えず期待しています。

クライアント、デバイス、アプリケーションの相互接続を実現する基盤であったネットワークテクノロジーは、長い間ほとんど変わっていません。今日の IT チームがネットワークを設計して運用する際に利用できるテクノロジーの選択肢は数多くある一方、モビリティ、IoT、クラウド、セキュリティに関連して急速に進化を続ける今日の企業ニーズに対応できる包括的なターンキーソリューションはこれまでありませんでした。

このセクションでは、現在のネットワーキングにおける課題のいくつかを、一般的な使用例に沿って見ていきます。

ネットワーク導入

• 実装の複雑さ

• ワイヤレスに関する考慮事項

まとめネットワークに対する要件は高まっていますが、テクノロジーと運用は対応できていません。

21 概要

サービス展開

• ネットワークのセグメント化

• アクセスコントロールポリシー

• ユーザおよびデバイスのオンボーディング

ネットワーク運用

• 問題解決に要する時間

ネットワーク導入

実装の複雑さネットワークオペレータは、時間の経過とともに、新しい機能や設計アプローチを導入することで新しいネットワークサービスに適応する必要がありました。しかし、従来の柔軟性に欠けるネットワークインフラストラクチャの上でも、同じように対応する必要がありました。さらに、高可用性や新規アプリケーションなどのためにネットワークを絶えず最適化する必要があり、結果として、「雪の結晶」のように 2 つと同じものがないネットワークになっていました。機能的な目標は達成できるかもしれませんが、ネットワークの把握、トラブルシューティング、予測、アップグレードが複雑になります。

導入に時間がかかるネットワークは、多くの組織が迅速に刷新を進めて、動画、コラボレーション、接続されたワークスペースといった新しいテクノロジーを採用する妨げになります。ネットワークの変更や適応に時間がかかると、こうした新しいテクノロジーを採用することができなくなります。多数のバリエーションが存在するネットワーク設計では自動化は困難であり、組織が業務の効率化を促進するための自動化の取り組みが制限されてしまいます。

まとめネットワークのバリエーションと組み合わせ（雪の結晶）が多すぎるため、新しい機能やサービスの採用が困難になっています。

22 概要

ワイヤレスに関する考慮事項また、ワイヤレスの導入に関する今日の大きな課題の 1 つは、ネットワークのセグメント化を簡単に利用できないことです。ワイヤレスでは Over-the-Air でトラフィックを分離するために複数の SSID を活用できますが、導入して最終的に WLC の VLAN にマッピングできる数が制限されています。WLC 自体には VRF やレイヤ 3 セグメンテーションの概念がないため、実際の有線およびワイヤレスネットワークを仮想化するソリューションの導入は非常に困難なものとなっています。

サービス展開

ネットワークのセグメント化ネットワークのセグメント化を実現するために現在利用できる選択肢とその課題をいくつか見てみましょう。

VLAN を使用したセグメンテーションネットワークのセグメント化で最も単純な形は、VLAN を利用するものです。VLAN をネットワークのセグメント化の技術として考えるのは意外に感じるかもしれませんが、VLAN とは、セグメント化されたレイヤ 2 ドメインなのです。ユーザやデバイスを別々の

VLAN に配置することで、レイヤ 3 の境界でそれらの間にトラフィック制御を適用できます。ワイヤレスの場合、ワイヤレス通信の分離のために別々の SSID を使用できますが、これらの SSID は有線側の VLAN にマッピングされます。

セグメント化の手段としての VLAN における課題には、そのスパンと、VLAN によるトポロジ関連の問題の 2 つがあります。スパンに関しては、ほとんどの組織は VLAN を比較的小さなエリアに制限することを選択します（多くの場合、ワイヤリングクローゼット 1 台分に制限されます）。そのため、典型的な導入例では、数百または数千もの VLAN を管理することになり、IP アドレスを導入して管理するための計画が非常に複雑になります。

VLAN の使用に関連する主な課題には、以下のものがあります。

まとめ従来のワイヤレスネットワークは個別に管理されており、セグメント化は困難です。

23 概要

• 冗長ネットワーク設計では、広範囲に及ぶ VLAN はレイヤ 2 ループに対して脆弱であり、何らかの理由で制御されていないレイヤ 2 ループが発生した場合、機能しなくなるリスクがあります。

• 大規模なレイヤ 2 設計はきわめて非効率です（一般的にはポートの 50% がブロックされます）。

• VLAN 間のトラフィックをフィルタリングするオプションも、一般的にレイヤ 3 の境界で利用できるオプションに比べると大幅に制限されます。

VRF-Lite を使用したセグメンテーションレイヤ 3 を活用する別のアプローチは、VRF（Virtual Routing and Forwarding インスタンス）を使用してネットワークをセグメント化する方法です。基本的に、異なるバージョンの IP ルーティングテーブルが使用されます。この方法では、セグメント化するために大規模で複雑な ACL を構築してトラフィックフローを制御する必要がありません。異なる

VRF 間のトラフィックは、ネットワーク管理者が指定したとおりにネットワークトポロジを経由して送信されるからです（一般的にはルートリークまたはファイアウォールが利用される）。

VRF-Lite のアプローチでセグメント化する際の課題には、以下のものがあります。

• デバイス間で 802.1q トランクを使用する VRF-Lite は、数台のデバイスへの導入で

あれば比較的シンプルですが、導入の範囲が広くなるとたちまち厄介になります。

• VRF-Lite では VRF ごとに個別のルーティングプロトコルの処理が必要なため、CPU 負荷が増し、複雑になります。

• 一般的な経験則では、VRF-Lite の導入規模は、8 ～ 10 までの VRF にとどめるべきです。これよりも大規模なエンタープライズ導入ではエンドツーエンドで管理しきれなくなります。

まとめ VLAN はシンプルですが、この場合、シンプルが最適だとは言えません。フラットなレイヤ 2 設計では、ネットワーク障害につながる多くの潜在的なリスクがあります。さらに、数百もの VLAN を管理することは、ほとんどの組織にとって大きな負担となります。

24 概要

MPLS VPN を使用したセグメンテーションネットワークセグメンテーションに利用できる別のテクノロジーとして MPLS VPN があります。MPLS VPN では、ラベル配布に使用される LDP や、コントロールプレーンとしてのマルチプロトコル BGP など、MPLS 固有の多くの新機能やネットワークプロトコルにネットワーク管理者が精通する必要があるため、短時間で多くのことを学習しなくてはなりません。さらに、問題が発生したときの MPLS 対応ネットワークのトラブルシューティング方法を理解する必要があります。

MPLS VPN での課題には、以下のものがあります。

• MPLS VPN は VRF-Lite よりも拡張がはるかに容易ではあるものの、多くのネット

ワーク管理者にとっては複雑であり、特にエンドツーエンドのネットワーク全体への導入は困難です。

• すべてのネットワークプラットフォームで MPLS VPN がサポートされているわけではありません。

ネットワークポリシーポリシーは、人によって意味が異なる可能性がある抽象的な言葉の 1 つです。それでも、すべての組織がネットワークにさまざまなポリシーを適用しています。スイッチでセキュリティ

ACL を使用したり、ファイアウォールでセキュリティルールセットを使用したりすることは、セキュリティポリシーを導入していることになります。トラフィックを異なるクラスに分類するために QoS を使用する場合や、アプリケーション間で優先度を設定するためにネットワーク

デバイスのキューを使用する場合は、QoS ポリシーです。デバイスをロールに基づいて異なる

VLAN に配置するのは、デバイスレベルのアクセスコントロールポリシーです。

今日のネットワーク管理者は通常、VLAN、サブネット、ACL などの一般的なポリシー

ツールを組み合わせて使用します。次に例を示します。

• ネットワークに音声を追加する場合：音声 VLAN および関連付けられたサブネット

の新しいセットを作成します。

まとめ VRF の機能は 10 年以上前に登場しましたが、VRF を利用して何らかの形でセグメント化した組織の割合はごくわずかです。なぜでしょうか。一言で言えば複雑だからです。

25 概要

• IoT デバイス（ドアロック、バッジリーダーなど）を追加する場合：VLAN やサブネットをさらに追加します。

• IP カメラやストリーミングビデオエンドポイントを追加する場合：この場合も VLAN やサブネットを追加します。

このようにして、今日のエンタープライズネットワークの VLAN とサブネットは、数百、場合によっては数千にもなります。このような設計と維持管理が複雑であるのはおのずと明らかです。しかも、これらのさまざまな VLAN と機能すべてにわたって多くの DHCP スコープや IPAM ツールを管理する必要があり、大規模な IP アドレス空間の管理はさらに複雑になります。

社内外の多くの脅威にさらされる今日のネットワークでは、安全性も求められます。そのため、大規模なアクセスコントロールリストを作成して導入し、継続的に維持する必要があります。ACL は、スイッチ、ルータ、ファイアウォールを始めとするネットワークデバイス（ほとんどの場合はレイヤ 3 ネットワークの境界）に導入されます。

ユーザおよびデバイスのオンボーディング

ソリューションのタイプ（ネットワーク設計がレイヤ 2 であるかレイヤ 3 であるか、セグメント化されているかされていないか）に関係なく、ネットワークにユーザやデバイスをオンボーディングする最適なアプローチは何かという問題が存在します。

有線ポートまたはワイヤレス SSID に VLAN とサブネットをハードコーディングするというシンプルなアプローチもありますが、このアプローチには、いくつか共通する課題があります。

• このアプローチでも機能するものの、ポートまたは SSID に接続するすべてのユー

ザにネットワーク内で同じ「ロール」が関連付けられるため、実際にはセキュリティはほとんど機能しません。

• ファーストホップのスイッチ上でも、10 ホップ先のファイアウォール上でもユーザの IP アドレスが検証され、該当するセキュリティポリシーが適用されて制御されます。必然的に、IP アドレスが ID の代わりとして使用されることになりますが、これでは拡張することも管理することもできません。

まとめ現在、ポリシー管理に使用されている従来の方法（デバイスとファイアウォール上の大規模で複雑な ACL）は、導入と維持が非常に困難です。

26 概要

802.1x または別の認証方式を使用して VLAN またはサブネットを動的に割り当てることもできますが、いくつか共通する課題があります。

• ワイヤレス環境では 802.1x は一般的に使用されますが、有線ネットワークではあま

り一般的ではありません。

• デバイスでの 802.1x のサポートやサプリカント設定、VLAN/サブネットのロールベースでの動的スイッチング、ネットワーク機器での 802.1x のサポートなど、導入を妨げる多くの要因が存在します。

また、ユーザまたはデバイスの ID が確立されたとき、今日のネットワーク内でそれをエンドツーエンドで伝送するにはどうすればいいのでしょうか。IP パケットヘッダー内には、ユーザ/デバイスのマッピング情報を格納する場所はありません。そのため、この場合も IP

アドレスが ID の代わりに使用されます。しかし、それがユーザとデバイスのサブネットの急増につながり、それに伴ってさらに複雑になります。

ネットワーク運用

問題解決に要する時間今日の多くのネットワークでは、ネットワーク運用と利用状況をあまり可視化できていません。SNMP、NetFlow、スクリーンスクレイピングなど、多くのネットワークモニタリング方式がさまざまなプラットフォームにわたって混在しているため、今日のネットワーク環境を継続的にモニタリングし、包括的なエンドツーエンドのインサイトをリアルタイムに提供することはきわめて困難です。

運用状態に関する継続的な情報がないと、組織はネットワーク問題（何らかの問題/停止によって発生した問題か、単純にユーザの増加やアプリケーションパターンの変更による問題かを問わず）に事前に対応できず、事後的に対応することになります。

まとめほとんどの組織は、ユーザとデバイスの ID を確立し、ポリシーに関してエンドツーエンドで使用しようとしますが、多くの場合、それは面倒な作業になります。

27 概要

多くの組織がネットワークの利用状況をより正確に把握し、ネットワークの可視性とモニタリングに関してよりプロアクティブであることを重視しています。基盤となるインフラストラクチャから収集される大量のデータからインサイトを得られる、より包括的なエンドツーエンドのアプローチが求められています。

すべてを統合

それでは、ネットワークとそれに関連するポリシーを今すぐエンドツーエンドで導入するには何が必要でしょうか。

まずネットワーク管理者は、マルチレイヤアクセス、ルーテッドアクセス、VRF-Lite または MPLS VPN を使用して仮想化されたアクセスなど、特定のネットワーク設計を選ぶ必要があります。現在この選択をする際には多くの考慮事項とトレードオフがあり、必ずしも単純には選べない場合があります。

次の図に基づいて、一般的なサービス導入手順を示します。

1 ユーザ認証のため、Active Directory または類似のデータベースのユーザグループ

にマッピングします。

2 ダイナミック認証を使用する場合は、AD の ID を AAA サーバ（Cisco ISE など）にリンクします。これにより、各 ID に、対応する適切な VLAN またはサブネットがマッピングされます。

3 提供する新しいサービス用に、新しい VLAN とそれに関連付けられたサブネットを定義して切り出します。次に、必要なすべてのデバイス（スイッチ、ルータ、WLC）にそれらの VLAN とサブネットを導入します。

4 デバイスまたはファイアウォールで適切な ACL を使用するか、ネットワークセグメンテーションによってこれらのサブネットを保護します。セグメント化された仮想ネットワークのアプローチを用いる場合は、VRF-Lite または MPLS VPN を使用してこれらの VRF をエンドツーエンドに拡張します。

まとめほとんどの組織ではネットワーク運用と利用状況を包括的に可視化できず、変化にプロアクティブに対応することができていません。

28 概要

5 これをすべて実行するためには、複数のユーザインターフェイスで作業する必要があります。ワイヤレスについては AD GUI、AAA GUI、WLC GUI があり、有線についてはスイッチまたはルータの CLI があります。さらに、必要なすべてのコンストラクトを手動でつなぎ合わせることも必要です。

別のユーザグループまたはデバイスグループを導入するか、またはそれらのグループに関連付けられたポリシーを変更する必要が生じたときは、これらの手順をすべてもう一度繰り返す必要があります。

図サービス導入の概要

まとめ今日、新しいネットワークサービスの導入に数日から数週間かかるのも無理はありません。

SD-Access の概要

30 SD-Access の概要

SD-Access の概要

シスコの SD-Access（Software-Defined Access）ソリューションは、ネットワークのエッジからアプリケーションに至るまでソフトウェアベースのポリシーとセグメンテーションを実現する、プログラマブルネットワークアーキテクチャです。SD-Access は、Cisco DNA Center（Cisco Digital Network Architecture Center）を使って導入されます。この Cisco DNA Center は、ネットワーク要素の設計の設定、ポリシー定義、自動プロビジョニングや、インテリジェントな有線およびワイヤレスネットワーク向けのアシュアランス分析を実現します。

エンタープライズアーキテクチャでは、ネットワークは、メインキャンパスやリモートブランチなどの複数のドメイン、ロケーション、サイトにまたがる場合があります。また、それぞれには複数のデバイス、サービス、ポリシーが存在します。Cisco SD-Access ソリューションは、複数の場所（サイト）にわたって、接続、セグメンテーション、ポリシーの一貫性を確保するエンドツーエンドアーキテクチャを提供します。

このアーキテクチャは、以下の 2 つの主要なレイヤで説明できます。

• SD-Access ファブリック：物理的および論理的なネットワークフォワーディングイ

ンフラストラクチャ

• Cisco DNA Center：自動化、ポリシー、アシュアランス、統合を実現するインフラストラクチャ

本章では、SD-Access ソリューションの主要なコンポーネントをそれぞれ概説し、以降の章でさらに詳しく説明します。

SD-Access ファブリック

前述のように、今日のネットワークが複雑である理由の 1 つに、IP アドレス、VLAN、ACL などのネットワークのコンストラクトにポリシーが関連付けられていることが挙げられます。

エンタープライズネットワークを、目的が異なる 2 つのレイヤに分割できるとしたらどうでしょうか。1 つのレイヤは、物理デバイスの接続およびトラフィック転送の専用とします（アンダーレイと呼ばれます）。もう 1 つは、有線およびワイヤレスのユーザとデバイスが論理的に接続され、サービスとポリシーが適用される、完全な仮想レイヤです（オーバーレイと呼ばれます）。


これにより、ポリシーの変更はオーバーレイにのみ影響し、アンダーレイには関係しないため、各サブレイヤの責務が明確に分離され、機能を最大限に活用できるようになります。また、導入と運用が大幅にシンプルになります。

図 SD-Access の概要

このアンダーレイとオーバーレイの組み合わせを「ネットワークファブリック」と呼びます。

オーバーレイとファブリックの概念は、ネットワーク業界では特に新しいものではありません。MPLS、GRE、LISP、OTV などの既存の技術はすべて、オーバーレイを導入したネットワークトンネリング技術の例です。別の一般的な例は、CAPWAP を使用してワイヤレストラフィック用のオーバーレイネットワークを確立する Cisco Unified Wireless

Network（CUWN）です。


図アンダーレイおよびオーバーレイネットワーク

SD-Access ファブリックに固有の内容を理解するために、まず、主要な SD-Access コンポーネントを定義します。

SD-Access ネットワークアンダーレイ SD-Access ネットワークアンダーレイ（または単にアンダーレイ）は、ルータ、スイッチ、ワイヤレス LAN コントローラ（WLC）などの物理ネットワークデバイスと、従来のレイヤ 3 ルーティングプロトコルで構成されます。これにより、ネットワークデバイス間通信のための、拡張性と復元力に優れたシンプルな基盤が実現されます。ネットワークアンダーレイは、クライアントトラフィックには使用されません（クライアントトラフィックにはファブリックオーバーレイが使用されます）。

アンダーレイのすべてのネットワーク要素は、相互に IPv4 接続を確立する必要があります。つまり、既存の IPv4 ネットワークをネットワークアンダーレイとして活用することができます。アンダーレイでは任意のトポロジやルーティングプロトコルを使用できますが、一貫性のあるパフォーマンス、拡張性、高可用性を確保するためには、適切に設計されたレイヤ 3 アクセストポロジ（ルーテッドアクセストポロジ）の導入をお勧めします。

ルーテッドアクセストポロジを使用する（アクセスレイヤまでルーティングを活用する）ことで、ネットワークアンダーレイにおける STP、VTP、HSRP、VRRP、およびその他の類似プロトコルが不要になり、ネットワークが劇的にシンプルになり、さらに復元力や耐障害性も向上します。また、規範的なネットワークアンダーレイ上で論理ファブリックトポロジを実行することで、マルチパス機能や最適化されたコンバージェンス機能などの組み込み機能を利用できるようになるため、ネットワークの導入、トラブルシューティング、管理がシンプルになります。


Cisco DNA Center は、Cisco Validated Design（CVD）のベストプラクティスに従ってネットワークデバイスを自動的に検出、プロビジョニング、導入するための規範的な LAN

自動化サービスを提供します。デバイスが検出されると、自動化されたアンダーレイのプロビジョニング機能がプラグアンドプレイ（PnP）を使用して、必要なルーティングプロトコルと IP アドレスを設定します。

Cisco DNA Center の LAN 自動化機能では、ベストプラクティスの Intermediate System-

to-Intermediate System（IS-IS）または Open Shortest Path First（OSPF）のルーテッドアクセス設計が使用されます。IS-IS または OSPF を使用する主な理由は次のとおりです。

• IS-IS も OSPF も、標準規格をベースにした Shortest Path First（SPF）リンクス

テートルーティングプロトコルです。

- IS-IS は、大規模な SP/DC ネットワークで一般的で、ファブリック環境向けのアンダーレイプロトコルとしてデファクトスタンダードです。

- OSPF は、大規模エンタープライズネットワークおよび WAN ネットワークで一般的で、従来のほとんどのキャンパスルーティング環境で使用されています。

• リンクステートルーティングプロトコルは、ルーティングテーブル全体をアドバタイズしません。その代わりに、エリア内のすべてのルータが同じトポロジデータベースを使用できるように、ネットワークトポロジ（直接接続されたリンク、隣接ルータなど）に関する情報をアドバタイズします。

• リンクステートルーティングプロトコルでは、複数レベルの階層（レベルまたはエリアと呼ばれる）が導入されるため、定義されたエリア内のルーティングの更新情報は、そのエリア外のルータは利用できません。

• リンクステートルーティングプロトコルは、クラスレスルーティングをサポートし、マルチキャストアドレスを使用して更新情報を送信します。また、ルーティング情報のトリガーアップデートも利用します。

• リンクステートルーティングプロトコルは、アルゴリズムを使用して、トポロジ内の他のすべてのノードへの最短パスを判断します。

• リンクステートルーティングプロトコルは、ディスタンスベクタールーティング

プロトコルよりもはるかに高速にコンバージェンスします。


SD-Access ファブリックオーバーレイ SD-Access ファブリックオーバーレイ（または単にオーバーレイ）は、物理的なアンダーレイ上に構築される、仮想化された論理的なトポロジです。前述したように、これにはいくつか別の技術を利用する必要があります。

SD-Access ファブリックオーバーレイには、以下のように主要な構成要素が 3 つあります。

• ファブリックデータプレーン：Virtual Extensible LAN（VXLAN）とグループポ

リシーオプション（GPO）を使用してパケットをカプセル化することで論理オーバーレイが作成されます。

• ファブリックコントロールプレーン：Locator/ID Separation Protocol（LISP）によって、（VXLAN トンネルエンドポイントに関連付けられた）ユーザとデバイスが論理的にマッピングされ、解決されます。

• ファブリックポリシープレーン：アドレスに依存しないスケーラブルグループタグ（SGT）およびグループベースのポリシーを使用して、ビジネス上の意図がネットワークポリシーに変換されます。

VXLAN-GPO は、SD-Access においていくつか優位な点があります。たとえば、レイヤ 2

とレイヤ 3 の両方の仮想トポロジ（オーバーレイ）をサポートしている点、組み込みのネットワークセグメンテーション（VRF/VN を使用）およびグループベースポリシー（SGT を使用）を使用して任意の IP ベースネットワークで動作できるといった点です。

LISP では、考えられるすべての宛先の IP アドレスとルートを個々のルータで処理する必要がないため、従来のルーティング環境が大幅にシンプルになります。これは、一元化されたマップデータベース（LISP マップサーバ/マップリゾルバ、別名ファブリックコントロールプレーン）にリモートの宛先情報を移動することで実現します。このデータベースにより、各ルータはローカルのルートのみを管理すればよく、宛先エンドポイントはマップシステムに対してクエリを発行することで特定できます。

SD-Access のポリシー SD-Access の基本的な利点は、ファブリックが提供するサービスに基づいて論理ネットワークポリシーをインスタンス化できることです。このソリューションが提供するサービスの例を以下に示します。


• セキュリティセグメンテーションサービス

• Quality of Service（QoS）

• キャプチャおよびコピーサービス

• アプリケーション可視化サービス

これらのサービスは、デバイス固有のアドレスまたは場所に関係なく、ファブリック全体で提供されます。

SD-Access のセグメンテーションセグメンテーションは、セキュリティや IP サブネットのオーバーラップなどの目的で、特定のユーザグループまたはデバイスグループを他のグループと分離するために使用されるテクノロジーです。SD-Access ファブリックでは、VXLAN データプレーンのカプセル化によって、VXLAN-GPO ヘッダーの Virtual Network Identifier（VNI）フィールドとスケーラブルグループタグ（SGT）フィールドを使用したネットワークのセグメント化が行われます。

SD-Access ファブリックでは、これらのコンストラクトを利用することで、マクロセグメンテーションとマイクロセグメンテーションという、階層型ネットワークセグメンテーションを簡単に導入できます。

マクロセグメンテーション：一意のネットワーク識別子および個別の転送テーブルを使用して、ネットワークトポロジをより小さな仮想ネットワークに論理的に分離します。これは、Virtual Routing and Forwarding（VRF; 仮想ルーティングおよび転送）インスタンスとしてインスタンス化され、仮想ネットワーク（VN）として参照されます。

マイクロセグメンテーション：送信元から宛先までアクセス制御を適用することで、VN

内のユーザグループまたはデバイスグループを論理的に分離します。これは通常、アクセスコントロールポリシーと呼ばれるスケーラブルアクセスグループアクセスコントロールリスト（SGACL）を使用してインスタンス化されます。

仮想ネットワーク（VN）は、SD-Access ファブリック内の論理ネットワークインスタンスとしてレイヤ 2 またはレイヤ 3 のサービスを提供し、レイヤ 3 のルーティングドメインを定義します。VXLAN VNI は、レイヤ 2（L2 VNI）とレイヤ 3（L3 VNI）両方のセグメンテーションを実現するために使用されます。


スケーラブルグループは、SD-Access ファブリック内のユーザおよびデバイスの「グループ」に割り当てられる論理オブジェクト ID であり、SGACL では送信元と宛先の分類子として使用されます。SGT は、アドレスに依存しないグループベースのポリシーを実現するために使用されます。

ワイヤレス向け SD-Access ファブリック管理者は、従来の Cisco Unified Wireless Network（CUWN）の設計にも SD-Access と同じ利点がいくつかあることにお気づきかもしれません。たとえば、共通する属性を以下にいくつか挙げます。

• トンネル型オーバーレイネットワーク（CAPWAP のカプセル化および別々のコン

トロールプレーンを利用）

• インフラストラクチャの一部自動化（例：AP 管理、構成管理など）

• ユーザまたはデバイスのシンプルなワイヤレスモビリティ（クライアントローミングとも呼ばれる）

• ワイヤレスコントローラ（WLC）による一元管理ただし、CUWN アプローチにはいくつかデメリットもあります。

• CAPWAP オーバーレイのメリットがあるのはワイヤレスユーザのみであり、有線ユーザには適用されません。

• 最も一般的に導入されるワイヤレスモード（一元管理モードまたはローカルモード）では、ワイヤレストラフィックは、一元管理されたアンカーポイント（WLC）にトンネリングする必要があります。これは、多くのアプリケーションには適さない可能性があります。

さらに、いくつかのメリットは有線ユーザだけに適用され、CUWN を使用した従来のワイヤレス設計のユーザには適用されません。

• 有線ユーザには、分散スイッチングデータプレーンによるパフォーマンスと拡張性

のメリットがあります。

• 有線ユーザは、スイッチインフラストラクチャで提供される高度な QoS や、暗号化トラフィック分析（ETA）などの革新的なサービスによるメリットも得られます。


つまり、各ドメイン（有線およびワイヤレス）にはそれぞれ異なるメリットがあるということです。SD-Access ワイヤレス独自の強力な特長の 1 つは、ネットワークオペレータとユーザが、SD-Access ファブリックを活用して、「両方の長所」を得られる点にあります。

• SD-Access ファブリックは、共通するオーバーレイを提供して有線およびワイヤレ

スの両方のユーザにメリットをもたらすことによって、分散型の有線アーキテクチャと一元管理型のワイヤレスアーキテクチャの両方の優れた点を活用できます。

• SD-Access ファブリックでは、アクセスメディアに関係なくすべてのユーザに対して共通のポリシーを適用し、統一されたエクスペリエンスを提供することができます。

Cisco DNA Center による SD-Access の管理

Cisco DNA Center は、SD-Access ファブリックの構築と運用のための一元的な管理プレーンを提供します。管理プレーンは、転送の設定とポリシーの配布だけでなく、デバイスの管理や分析も行います。

Cisco DNA Center には、自動化とアシュアランスという 2 つの主要な機能があります。

自動化およびオーケストレーション Cisco DNA Center による自動化では、SD-Access のグループベースポリシーの定義と管理とともに、ポリシーに関連するすべての設定が自動化されます。Cisco DNA Center は、Cisco Identity Services Engine（ISE）と直接統合して、ホストのオンボーディング機能とポリシーの適用機能を提供します。

一般的に自動化は、人が操作しなくてもアクションやタスクを実行できる技術またはシステムと定義されます。1 つのタスクで複数のアクションが必要な場合はありますが、期待される結果は 1 つです。オーケストレーションは、ワークフローまたはプロセス全体の実行を自動化するものであり、複数のタスクを必要とし、複数のシステムが連携する場合があります。

これが、エンタープライズキャンパスアクセスネットワーク環境の自動化とオーケストレーションで「ソフトウェア定義型」という業界用語が用いられる根拠であり、ユーザの「意図」を解釈して意味のある設定と検証タスクに変換することを意味します。


SD-Access と Cisco DNA Center では、設定とオーケストレーションの主なモデルとして、コントローラベースの自動化を使用します。これは、非ファブリックベースおよびファブリックベースの両方の導入環境向けに有線およびワイヤレスのネットワークコンポーネントを設計、導入、検証、最適化するために使用されます。

Cisco DNA Center でインフラストラクチャ全体を管理することで、IT チームは抽象化されたインテントベースレイヤで運用できるようになり、実装の詳細について心配する必要がなくなります。その結果、人為的なエラーが最小限に抑えられ、ネットワーク設計全体の標準化が容易になるため、IT チームにとって運用がシンプルになります。

ネットワークアシュアランスネットワークアシュアランスは、包括的なネットワーク分析に基づいて、IT ネットワークの観点から可用性とリスクを数値化するものです。ネットワークアシュアランスでは、一般的なネットワーク管理の範疇を超えて、ネットワークの変更によるセキュリティ、可用性、コンプライアンスへの影響を測定します。

Cisco DNA Center Assurance は、お客様の最も一般的な課題に対応するための包括的な管理/運用ソリューションとして開発されました。Cisco DNA Center は、非ファブリックベースとファブリックベースの両方のコンポーネントに対して、さまざまな形式やレベルのアシュアランス機能と分析機能を提供します。

Cisco DNA Assurance の重要な要素となるのが分析機能です。この機能により、ネットワークから継続的にデータを収集し、実用的なインサイトに変換することができます。そのために Cisco DNA Center は、従来の形式（SNMP、Netflow、syslog など）と、新たな形式（NETCONF、YANG、ストリーミングテレメトリなど）でさまざまなネットワークテレメトリを収集しています。次に Cisco DNA Assurance は、高度な処理を実行してイベントの評価/関連付けを行い、デバイス、ユーザ、アプリケーションのパフォーマンスを継続的にモニタします。

データの関連付けは、SD-Access ファブリックのオーバーレイとアンダーレイの両方にわたって問題のトラブルシューティングやネットワークのパフォーマンス分析をするために重要です。他のソリューションではこのレベルの関連付けができない場合が多く、オーバーレイネットワークのパフォーマンスに影響を与える可能性のあるアンダーレイトラフィックの問題が可視化されません。SD-Access は、NetFlow に対するファブリック対応の機能強化を通じて、アンダーレイとオーバーレイ両方のトラフィックパターンと使用状況を関連付けて可視化できるため、ファブリックを使用する場合でもネットワークの可視性が損なわれません。


Cisco DNA Center Assurance の詳細については、次のリンク先にあるシスコの電子書籍（Assurance）を参照してください。

https://cs.co/assurancebook



SD-Access の利点

SD-Access の革新的な機能により、以下のいくつかの使用例や重要な機能を実現できます。

大規模な導入の自動化

SD-Access は、コントローラベースの自動化を活用して大規模なエンタープライズネットワークを構築できます。ネットワーク転送の基盤となる複雑なコンストラクトをネットワークオペレータが理解している必要はありません。SD-Access は、さまざまな接続シナリオに対応できる単一のネットワークコンストラクトセットを提供します。

最も重要なのは、SD-Access は、大規模なエンタープライズドメイン全体にわたって耐障害性を備えながら、柔軟に自動接続を実現できるため、安定性が増し、ダウンタイムのリスクが軽減されるという点です。SD-Access は、分散型フレームワークに基づくスケーラビリティをサポートしているため、導入規模の拡大に対応するために設計を見直す必要がありません。

また、SD-Access ではサイト間の接続は自動化されており、多数のサイトにわたってシームレスに動作して規模を変更できます。接続されたワークスペース、運用・制御技術（OT）環境、製造現場など、従来のワイヤリングクローゼットの範囲外にも拡張可能です。

その結果、完全に自動化された、一貫性のある共通のネットワークによってあらゆる新たな接続要件に簡単に対応できるため、ビジネスの俊敏性にとって重要となる Fast IT や

Lean IT のイニシアチブが可能になります。


図自動化によるシンプル化

この使用例をいくつか以下に示します。

1 医療機関：リモートでのコラボレーションおよび診察

2 教育：遠隔地のキャンパスから教育リソースや学習リソースにアクセス

3 製造業：製造現場のネットワークを簡単に拡張/管理

まとめネットワークのバリエーションと組み合わせ（雪の結晶）が多すぎるため、新しい機能やサービスの採用が困難になっています。

利点 SD-Access によって導入アクティビティが自動化されることで基盤となるネットワークの細かい知識が不要になり、シンプルになります。


有線とワイヤレスの統合インフラストラクチャ

SD-Access のワイヤレスデータプレーンは分散されており（ワイヤレス LAN コントローラで一元管理されない）、有線トラフィックと同じ伝送方式とカプセル化を使用します。そのため、有線インフラストラクチャ専用の機能をワイヤレストラフィックにも活用できます。たとえば、最適化されたマルチキャストセキュリティまたはファーストホップセキュリティとセグメンテーションを活用することで、ワイヤレスユーザよりも全体的なユーザエクスペリエンスが向上します。

SD-Access ワイヤレスでは以下の機能が提供されます。

• 分散型データプレーン：ワイヤレスデータプレーンは、トラフィック転送を分散

することで通常発生する面倒な処理（VLAN のスパニング、サブネット化など）なしに最適なパフォーマンスと拡張性を実現するために、エッジスイッチに分散されます。

• 一元管理型ワイヤレスコントロールプレーン：シスコが現在 CUWN 環境で提供しているのと同じ革新的な RF 機能を、SD-Access ワイヤレスでも活用できます。RRM、クライアントオンボーディング、クライアントモビリティに関して、ワイヤレスの運用は CUWN の場合と同じです。そのため、有線およびワイヤレス用に単一のコントロールプレーンが維持され、シームレスにローミングされるため、IT

運用がシンプルになります。

• ゲストおよびモビリティのトンネリングのシンプル化：アンカー WLC コントローラが必要なくなり、外部ワイヤレスコントローラを利用しなくてもゲストトラフィックを直接 DMZ に送信できるため、ファブリック環境でのゲストアクセス機能がシンプルになります。

• ポリシーのシンプル化：SD-Access ではポリシーとネットワークコンストラクト（IP アドレスと VLAN）間の依存関係がなくなり、有線クライアントおよびワイヤレスクライアントの両方のポリシー定義と導入がシンプルになります。

• 容易なセグメンテーション：セグメンテーションがファブリック内でエンドツーエンドに適用され、VN と SGT に基づいて階層化されます。有線およびワイヤレスの両方のユーザに同じセグメンテーションポリシーが適用されます。


SD-Access ワイヤレスは IoT に対応したインフラストラクチャを提供しており、企業ネットワークに干渉することなく、企業全体で IoT デバイスを独自のセグメントとして分離することができます。

図有線とワイヤレス両方のメリット


1 医療機関：医師用および臨床用ネットワークと、患者およびゲスト用ネットワークをセ

グメント化

2 教育：教室での学習エクスペリエンスが向上

3 小売：店舗の Wi-Fi を使用するゲストのエクスペリエンスを強化

まとめ従来のワイヤレスネットワークは有線ネットワークとは別に管理されているため、ワイヤレスをセグメント化して変更するのは困難です。

利点 SD-Access は、有線およびワイヤレス用に単一のコントロールプレーンを備えています。そのため、一貫性のある管理、ポリシーの適用、接続が可能になり、アクセスメディアにかかわらず統一されたエクスペリエンスが実現されます。


ユーザとデバイスのセキュアなアクセスを実現

SD-Access は、アクセス制御やネットワークセグメンテーションポリシーの定義について、

トポロジに依存しない ID ベースの方法を採用しています。これにより、ポリシーの定義、

更新、コンプライアンスレポートの作成がシンプルになります（下図を参照してください）。

自動化フレームワークにより、上位レベルのビジネス上の意図が、ネットワークインフラストラクチャ内の下位レベルのデバイス設定に変換され、ネットワーク全体に一貫性のある検証済みポリシーを迅速に導入できます。

図シンプルでセキュアなアクセス

この使用例の適用例をいくつか以下に示します。


1 医療機関：患者、デバイス、データのセキュリティを確保

2 教育：セキュアなキャンパスを構築

3 製造業：サイロ化した IT ネットワークと OT ネットワークを統合

インサイトと分析結果の関連付け

現在の問題解決は事後対応型で時間がかかり、非効率です。その理由として考えられるのは、（十分可視化できない）ばらばらのツール、ネットワークの複雑さ、ユーザのモビリティ、一貫したポリシーの欠如です。

Cisco DNA Assurance は、syslog、SNMP、NetFlow、AAA、DHCP、DNS などの豊富なソースから、きめ細かいテレメトリを収集して関連付けることで、ネットワークを詳細に可視化できます。そのため IT 部門は、ネットワークインフラストラクチャを最適化し、優れたビジネス上の意思決定をサポートする、実用的なインサイトを豊富に得られます。

まとめほとんどの組織は、ユーザとデバイスの ID を確立し、ポリシーに関してエンドツーエンドで使用しようとしますが、多くの場合、それは面倒な作業になります。

利点 SD-Access により、ポリシー定義のセグメンテーションと更新がシンプルになり、エンドツーエンドで一貫性のあるポリシーを迅速に適用できるようになります。


図実用的なインサイト


1 医療機関：臨床ワークフローと運用の改善

2 教育：教室の移動中でもネットワークアップタイムとパフォーマンスを確保

3 製造業：新たなビジネスインサイトを製造現場から入手して、IT 部門の優れた意思決定を実現

まとめほとんどの組織ではネットワーク運用状況と利用状況を包括的に可視化できておらず、変化にプロアクティブに対応することができません。

利点 Cisco DNA Assurance は、ネットワーク上のすべてのデバイス、アプリケーション、サービス、クライアントから収集したインサイトを提供し、コンテキストを評価してから修復のための措置を推奨します。

SD-Access ファブリック

48 SD-Access ファブリック

ファブリックコンポーネント

Cisco SD-Access ファブリックの調査を開始するときは、ファブリックの導入環境を構成する各種コンポーネントを確認し、それらが備えている機能を調査するとともに、SD-Access

ソリューション全体を実現するために各コンポーネントが相互にどのように連携するのかについての概要を把握する必要があります。

次の図は、SD-Access ファブリックを構成する主なコンポーネントの概要と、SD-Access

ファブリックシステム内での位置付けを示しています。

図 SD-Access のコンポーネント


ファブリックのコンポーネントと用語

このセクションでは、さまざまな SD-Access ファブリックのコンポーネントを確認し、ソリューション全体を実現するために各コンポーネントが果たす役割について説明します。

ファブリックコントロールプレーンノード：ファブリックコントロールプレーンノードは、一元化されたデータベースとして機能し、すべてのユーザとデバイスを、ファブリックネットワークへの接続時およびローミング時にトラッキングします。このファブリックコントロールプレーンによって、ネットワークコンポーネント（スイッチ、ルータ、WLC など）は、Flood and Learn 方式ではなく、このデータベースに対してクエリを発行し、ファブリックに接続されている任意のユーザまたはデバイスのロケーションを判別することができます。このように、ファブリックコントロールプレーンは、ファブリックに接続されているすべてのエンドポイントが任意の時点でどこに存在するかについての「信頼できる唯一の情報源」として機能します。ファブリックコントロールプレーンは、特定のエンドポイント（IPv4 の場合は /32 アドレス、IPv6 の場合は /128 アドレス）のトラッキングだけでなく、より上位で集約されたルート（IP/マスク）もトラッキングできます。このような柔軟性によって、ファブリックサイト全体で集約することができ、全体的な拡張性が向上します。SD-Access コントロールプレーンノードは（C）の付いたアイコンで図に示されています。これで、選択されたデバイスがファブリックコントロールプレーンロールとして動作していることがわかります。

ファブリックボーダーノード：ファブリックボーダーノードは、SD-Access ファブリックを従来のレイヤ 2/3 ネットワークまたは別のファブリックサイトに接続します。ファブリックボーダーノードは、ファブリックサイト間またはファブリックサイトと従来のネットワークの間のコンテキスト（ユーザ/デバイスのマッピング情報と ID）の変換を担います。複数のファブリックサイト間でカプセル化方法が同一である場合、ファブリックのコンテキスト変換は、一般的に 1 対 1 のマッピングになります。ファブリックボーダーは、複数のファブリックサイトのファブリックコントロールプレーンが、到達可能性やポリシー情報を交換する場所となるデバイスでもあります。SD-Access ボーダーノードは（B）の付いたアイコンとして図に示されています。これで、選択されたデバイスがファブリックボーダーロールとして動作していることがわかります。

移行の使用例では、レイヤ 2 ボーダー機能（ボーダーで有効）により、従来のネットワークに存在するホストと、SD-Access ファブリックに存在するホストとの間の通信が可能になります。IoT クライアントが存在する既存の環境では、SD-Access に移行するためにネットワークの IP を設定しなおすことに多くのコストが必要になる場合があります。このレイヤ 2 ボーダー機能により、ファブリック内外で同じサブネット空間を柔軟に共有できます。レイヤ 2 ボーダーが 1 つのサブネットに対して有効になっている場合、エニーキャスト


ゲートウェイの IP アドレスが設定されます。非ファブリッククライアントは、レイヤ 2 ボーダーで設定されているエニーキャストゲートウェイを示すゲートウェイを利用します。レイヤ 2 ボーダーは、ファブリック内のこれらの非ファブリックホストのロケーションとして登録されます。Catalyst 9000 ファミリボーダースイッチは、必要に応じてレイヤ 2 ボーダーとして設定できます。

図レイヤ 2 ボーダー

レイヤ 3 ファブリックボーダーには主に 2 つの機能があります。1 つは定義された内部ネットワーク用で、もう 1 つはデフォルトの外部ネットワーク用です。デフォルトボーダーとして明示的に定義されていないボーダーは、ブランチサイトグループやデータセンターにつながるサブネットなど、既知のサブネットセットをファブリックコントロールプレーンにアドバタイズします。一方、デフォルトのボーダーは、未知の宛先（通常はインターネット）に到達するために使用されます（デフォルトルート機能と同様）。1 つの SD-Access ファブリックに、デフォルト以外のボーダーはいくつでも設定できます。SD-Access ファブリックごとにサポートされるデフォルトボーダーの総数は、それよりも少なくなります（選択されたボーダーノードプラットフォームに応じて 2 つまたは 4 つ）。

ファブリックエッジノード：ファブリックエッジノードは、エンドポイントをファブリックに接続し、エンドポイントとファブリック間のトラフィックをカプセル化/カプセル化解除して転送する役割を担っています。ファブリックエッジノードは、ファブリックの境界で動作し、ユーザを接続したりポリシーを適用したりするための最初のポイントとなります。エンドポイントをファブリックエッジノードに直接接続する必要はないことに注意してください（SD-Access の拡張に関する説明を参照してください）。


ファブリックエッジノードについて注意すべき重要な点は、エンドポイントの接続に使用されるサブネットの処理方法です。SD-Access ファブリックでホストされているすべてのサブネットは、デフォルトでは、そのファブリック内のすべてのエッジノードでプロビジョニングされます。たとえば、サブネット 10.10.10.0/24 が特定のファブリックでプロビジョニングされると、このサブネットはそのファブリック内のすべてのエッジノードで定義され、そのサブネット内にあるホストは、そのファブリック内の任意のエッジノードに配置できます。これにより、基本的には、サブネットがそのファブリック内のすべてのエッジノードに「拡張」されるため、IP サブネットが大きくなって展開する数が減るため、IP アドレスの割り当てが簡単になります。

ファブリック仲介ノード：ファブリック仲介ノードは、SD-Access ファブリックアーキテクチャで最もシンプルなデバイスです。仲介ノードは、ファブリックエッジ、ボーダー、コントロールプレーンノードを接続し、ファブリックオーバーレイトラフィック用のレイヤ 3 アンダーレイを実現する、純粋なレイヤ 3 フォワーダとして機能します。

IoT 用 SD-Access 拡張：この機能は、ダウンストリームの非ファブリックレイヤ 2 ネットワークデバイスを、SD-Access ファブリックに接続する（つまり、ファブリックを拡張する）ために使用されます。拡張は、拡張ノードに指定されたデバイスを使用して行います。通常指定されるデバイスは、レイヤ 2 を介してファブリックエッジノードに接続される小型スイッチ（コンパクトスイッチ、産業用イーサネットスイッチ、ビルディングオートメーションスイッチ）です。SD-Access 拡張ノードに接続されたデバイスは、ファブリックエッジノードを使用して、外部サブネットと通信します。ポリシー（トラフィックフィルタリングに SGACL を使用するなど）は、拡張ノードではなく、ファブリックエッジノードによって適用されることに注意してください。したがって、ポリシーを適用する必要があるトラフィックは、ポリシーが適用されるように、ファブリックエッジノード経由で送信される必要があります。SD-Access は、ファブリックエッジノードに接続された 1 つのレイヤ 2 スイッチを使用して拡張できます。また、（将来的には）ファブリックエッジノードの下に接続されているレイヤ 2 スイッチのリングをサポートすることもできます。このリングは、Resilient Ethernet Protocol（REP）またはスパニングツリープロトコル（STP）を使用して形成されます。

ファブリックワイヤレス LAN コントローラ（WLC）：ファブリック WLC は、ファブリックエッジスイッチに接続されたファブリック対応 AP をサポートし、WLC に関連する従来のタスクを処理すると同時に、ファブリックコントロールプレーンと連携してワイヤレスクライアントの登録およびローミングを行います。ファブリック対応ワイヤレスでは、データプレーンの終端が中央（以前のオーバーレイ CAPWAP 展開用）から、VXLAN を使用して AP/ファブリックエッジノードに移動されることに注意してください。これにより、中央集中型のプロビジョニングおよび管理のメリットを維持しながら、ワイヤレストラフィックの分散型転送および分散型ポリシー適用が可能になります。


ファブリック対応アクセスポイント（AP）：ファブリック対応 AP は、ファブリックエッジノードに接続され、ワイヤレスクライアントをファブリックネットワークに接続します。ファブリック AP により、SD-Access アーキテクチャでの分散型ワイヤレス転送が可能となります。仕組みとしては、ワイヤレスユーザトラフィックが、VXLAN ベースのオーバーレイ用にカプセル化されて隣接するファブリックエッジノードに送られ、そのノードでカプセル化が解除されて必要なポリシーが適用された後、再度カプセル化されてファブリック内の最終的な宛先に送られます。

エンドポイント：ファブリックエッジノードに接続するデバイスは、エンドポイントと呼ばれます。ファブリックエッジノードに直接接続する有線クライアント、ファブリック

AP に接続するワイヤレスクライアント、SD-Access 拡張ノード経由でレイヤ 2 ネットワークを介して接続するクライアントのいずれもエンドポイントになる可能性があります。もちろんエンドポイントには多くの種類があります。ラップトップコンピュータ、デスクトップコンピュータ、タブレット、スマートフォンなどの従来型のエンドポイントと、カメラ、センサー、ドアロック、バッジリーダーなどの IoT デバイス、その他のさまざまな新しいタイプのデバイスが含まれます。ファブリックの観点から見ると、これらはすべてエンドポイントであり、EID（エンドポイント ID：通常はクライアントの IP アドレス（IPv4/IPv6）や MAC アドレス）で識別されます。

Cisco Identity Services Engine（ISE）：Cisco ISE は、一般的なプロファイリング、ID、セキュリティポリシーのコンプライアンスに重点を置いた製品です。 ISE は、AAA/RADIUS、802.1x、MAC 認証バイパス（MAB）、Web 認証、EasyConnect など、

さまざまな形態のネットワークデバイスやエンドポイントを特定してプロファイリングすることができます。プロファイリングしたら、そのエンドポイントを適切なセキュリティ

グループとホストプールに割り当てます。Cisco ISE の詳細については、ISE 製品リンク（www.cisco.com/jp/go/ise）を参照してください。

Cisco DNA Center：Cisco DNA Center は、SD-Access ソリューションのコマンド & コントロールシステムで、SD-Access ファブリックの導入および管理に必要な自動ワークフローを備えています。Cisco DNA Center は、ファブリックで自動化とアシュアランスの機能を実現します（詳細については、後で説明します）。Cisco DNA Center は、既存の環境への導入と新規導入の両方に対応しています。

http://www.cisco.com/jp/go/ise/


ファブリックの動作

• コントロールプレーンの動作

• データプレーンの動作

• SD-Access ファブリックでのワイヤレス

• IoT 用 SD-Access 拡張

コントロールプレーンの動作

SD-Access ファブリックでは、ファブリックコントロールプレーンノードは、ファブリックへのすべてのエンドポイント接続をトラッキングするデータベースとして動作し、次の機能を実行します。

• エッジノードに接続されているすべてのエンドポイントを登録し、ファブリック内

でのロケーションをトラッキングします。

- つまり、エンドポイントがどのエッジノードの背後に位置しているかがわかります。

• ファブリック内でのエンドポイントのロケーションに関する、ネットワーク要素からのクエリに応答します。

• エンドポイントのロケーションが変わった場合に現在のロケーションにトラフィックがリダイレクトされるようにします。

コントロールプレーンの動作を示す次の図をご覧ください。


図ファブリックコントロールプレーンの動作

1 エッジ 1 のエンドポイント 1 はファブリックコントロールプレーンノードに登録されます。登録内容には、エンドポイント 1 の IP アドレス、MAC アドレス、ロケーション（つまり、ファブリックスイッチエッジ 1）が含まれます。

2 エッジ 2 のエンドポイント 2 もファブリックコントロールプレーンノードに登録されます。登録内容には、エンドポイント 2 の IP アドレス、MAC アドレス、ロケーション（つまり、ファブリックスイッチエッジ 2）が含まれます。

3 エンドポイント 1 がエンドポイント 2 と通信する場合は、エッジ 1 が、エンドポイント 2 のロケーションについて、ファブリックコントロールプレーンノードに問い合わせます。

4 エッジ 1 は、応答（エンドポイント 2 はエッジ 2 の背後に位置している）を受け取ると、VXLAN を使用してエンドポイント 1 からのトラフィックをカプセル化し、エンドポイント 2 に送信します（エッジ 2 経由）。

5 このトラフィックは、エッジ 2 に到着すると、カプセル化が解除されてエンドポイント 2 に転送されます。

6 エンドポイント 2 がエンドポイント 1 と通信する場合は逆の（1 と 2 を入れ替えた）プロセスになります。


データプレーンの動作

VXLAN には、基盤となるトランスポートネットワーク（アンダーレイ）が必要です。アンダーレイデータプレーン転送は、ファブリックに接続されたエンドポイント間で通信を行うために必要となります。アンダーレイネットワークは、Cisco DNA Center によって自動化することもできます。次の図は、VXLAN でカプセル化されたネットワークでのデータプレーン転送を示しています。

図ファブリックデータプレーンの動作

SD-Access ファブリックは、レイヤ 2 またはレイヤ 3 転送のセマンティクスを変更せずに、ファブリックエッジノードがオーバーレイルーティングまたはブリッジング機能を実行できるようにします。これによりエッジノードでは、下に示す 2 種類のゲートウェイ機能が提供されます。

• レイヤ 2 仮想ネットワークインターフェイス（L2 VNI）：このモードでは、L2

VNI からのフレームが別の L2 インターフェイスにブリッジされます。ブリッジングは、ブリッジドメインのコンテキスト内で行われます。L2 ゲートウェイの一般的な実装では、VLAN をブリッジドメインとして使用し、L2 VNI を VLAN のメンバポートにします。エッジノードは、L2 VNI と VLAN の宛先 L2 ポートとの間のトラフィックをブリッジします。

• レイヤ 3 仮想ネットワークインターフェイス（L3 VNI）：このモードでは、L3

VNI からのフレームが別の L3 インターフェイスにルーティングされます。ルーティングは、ルーティングインスタンスのコンテキスト内で行われます。L3 ゲートウェイの一般的な実装では、VRF をルーティングインスタンスとして使用し、L3 VNI を VRF のメンバポートにします。エッジノードは、L3 VNI と VRF の宛先 L3 インターフェイスとの間のトラフィックをルーティングします。


クライアントのモビリティおよびサブネットの「拡張」を実現するために、SD-Access では、分散型エニーキャストデフォルトゲートウェイを活用しています。これにより、レイヤ 3 インターフェイス（デフォルトゲートウェイ）がファブリック内のすべてのエッジノードにプロビジョニングされます。たとえば、10.10.0.0/16 サブネットがファブリックで定義されており、そのサブネットに対して定義されたデフォルトゲートウェイが 10.10.0.1 である場合、この仮想 IP アドレス（および対応する仮想 MAC アドレス）はすべてのエッジノードで同じようにプログラムされます。これによるメリットは、すべてのファブリックエッジノードでデフォルトゲートウェイが同じになるため、エンドポイントの導入が大幅にシンプルになり、ファブリックインフラストラクチャ内でのローミングが簡単になることです。また、エンドポイントからサブネット外の宛先に向かうトラフィックが常に最初のホップで L3 転送されるため、トラフィック転送が最適化されます。L3 トラフィック転送では、一部の古い（非ファブリック）拡張型サブネットソリューションで必要とされるようなリモートロケーションへのヘアピニングは行われません。また、アンダーレイネットワークを使用して、オーバーレイネットワーク内で共通のレイヤ 2 ブロードキャストドメインに接続されたエンドポイントに、マルチデスティネーショントラフィックを配信できます。このトラフィックには、ファブリック内のブロードキャストトラフィックおよびマルチキャストトラフィックが含まれます。SD-Access ファブリックのブロードキャストトラフィックは、アンダーレイマルチキャストグループにマッピングされ、その共通のブロードキャストドメイン内にあるすべてのエッジノードに送信されます。この詳細については、後で説明します。

SD-Access ファブリックでのワイヤレス

SD-Access とワイヤレスを統合するための主なオプションとして、次の 2 つがあります。

• SD-Access ワイヤレス：ファブリックにワイヤレストラフィックを完全に統合します。

• 従来型ワイヤレスまたはオーバーザトップ（OTT）：従来のワイヤレストラフィックがファブリックに引き継がれます。

次の各セクションで、この 2 つのモードの技術的な実装方式について説明します。

SD-Access ワイヤレス SD-Access ファブリックでは、有線とワイヤレスは、単一の統合インフラストラクチャに組み込まれており、接続、モビリティ、ポリシー適用に関して同じように動作します。これにより、アクセスメディアには関係なく、統一されたユーザエクスペリエンスを提供できます。


コントロールプレーンの統合に関しては、ファブリックワイヤレス LAN コントローラが、すべてのワイヤレスクライアントの参加、ローミング、切断についてファブリックコントロールプレーンノードに通知します。コントロールプレーンノードは常に、ファブリック内の有線クライアントとワイヤレスクライアントの両方に関するすべての情報を保持し、クライアントのロケーションに関する「信頼できる唯一の情報源」として機能します。

データプレーンの統合に関しては、ファブリック WLC が、ファブリックアクセスポイントに対して、隣接するファブリックエッジノードへの VXLAN オーバーレイトンネルを形成するように指示します。この AP VXLAN トンネルにより、セグメンテーションおよびポリシーに関する情報がエッジノードとの間で送受信され、有線ホストと同じ接続および機能が実現されます。

ファブリック WLC は、物理的にファブリックの外側、ファブリックボーダーノードの外部に配置されます。この位置は、SD-Access と同じ LAN アンダーレイ内の場合もありますが、ファブリックオーバーレイの外部になります。ファブリック WLC がボーダーノードに直接接続することも、複数の IP ホップ分離れている（ローカルデータセンターなど）こともあります。その後、AP のオンボーディングおよび管理（従来の CAPWAP コントロールプレーンを利用）のために、ファブリック WLC の IP サブネットプレフィックスをアンダーレイルーティングドメインにアドバタイズする必要があります。ファブリック WLC

は、ボーダーとコントロールプレーンをホストする同じデバイス上で物理的にホストすることもできます（組み込みの WLC 機能は、現在 Catalyst 9000 ファミリスイッチでのみサポートされています）。

ファブリック AP は、ファブリックオーバーレイ内のファブリックエッジノードに直接接続されます。SD-Access 拡張ノードに接続されることもあります。AP は、ファブリック

エッジノードで拡張サブネット機能およびエニーキャストゲートウェイ機能を活用します。これにより、ファブリックサイト内のすべてのファブリック AP が同じサブネット上に存在できるようになります。

ファブリック AP はローカルモードで動作するため、ファブリック WLC は、

AP と WLC 間の遅延が 20 ms 以下であるネットワーク上に存在する必要があります。

注


図 SD-Access ワイヤレス展開

WLC でファブリック機能が有効になると、次のように AP の参加プロセスが実行されます。

• AP は、CAPWAP 接続を利用して WLC を初期化し、WLC に参加します（現在と同

様に機能します）。

- AP イメージ管理、ライセンス供与、Radio Resource Management（RRM; 無線リソース管理）、クライアント認証などのすべての管理トラフィックおよび制御トラフィックでは、この CAPWAP 接続が活用されます。

• AP が WLC に参加した後、WLC は、AP がファブリックに対応しているかどうかをチェックします。

- 対応している場合は、ファブリック機能が AP で自動的に有効になります。

• 適切なシグナリングが完了すると、AP はファブリックエッジノードへの VXLAN

トンネルを形成します。

ファブリック機能は WLAN 単位で有効になります。クライアントサブネットおよび L3

ゲートウェイは、オーバーレイ内のファブリックエッジノード上に配置されます（WLC 上に存在する現在の CUWN モデルとは異なります）。


クライアントがファブリック対応ワイヤレスネットワークに参加すると、次のようにプロセスが実行されます。

• クライアントは、ファブリックに対して有効な SSID で WLC との認証を行います。

• WLC は AP に対して、ファブリックエッジノードへの VXLAN カプセル化を使用し、そのクライアントの適切な VN/SGT を VXLAN パケットに設定するように通知します。

• WLC は、ファブリックコントロールプレーンノードのデータベースにクライアントの MAC アドレスを登録します。

• クライアントが DHCP から自分の IP アドレスを受け取ると、既存のコントロールプレーンエントリがファブリックエッジノードによって更新され、MAC アドレスと IP

アドレスがマッピングされて相互に関連付けられます。

• これでクライアントは、ネットワーク内で通信をいつでも開始できます。

SD-Access ワイヤレスでのゲストアクセス SD-Access ワイヤレスでは、次の 2 つのいずれかの方法でゲストアクセスが実現されます。

• WLC とゲスト用の別の VN

• ゲストアンカーとしての専用 WLC ゲスト用の別の VN このモードでは、ゲストネットワークは、SD-Access ファブリック内で仮想ネットワークが分離されているだけです。このアプローチでは、別の VN（および必要に応じて各ゲストロールに対応する SGT）を使用してエンドツーエンドでファブリックをセグメント化し、ゲストトラフィックを他のエンタープライズトラフィックから分離します。

このモデルを実現する方法には次の 2 つがあります。

1 エンタープライズトラフィックと同じコントロールプレーンおよびボーダーを使用する

2 ゲストトラフィック専用の別のコントロールプレーンおよびボーダーを使用する

- 別のコントロールプレーンとボーダーは、ワイヤレスゲストクライアントと同じサイトでも、別のサイトでもかまいません。


図共有コントロールプレーンおよびボーダー

このオプションのゲスト VN は、DMZ 内の VRF-Lite を介して、同じボーダーおよびコントロールプレーンからファイアウォールに拡張されます。

図（ゲスト）コントロールプレーンおよびボーダーの分離

このオプションでは、ゲストをあらゆるレベルでエンタープライズユーザから分離します。ゲストユーザは、「ゲスト」専用のコントロールプレーンノードに登録されます。ファブリックエッジノードは、分離されたゲストコントロールプレーンノードに問い合わせて、VXLAN でカプセル化されたトラフィックをゲストボーダーに転送します。このモードのゲスト VN は、DMZ 内の VRF-Lite を介してゲストボーダーからファイアウォールに拡張されます。


ゲストアンカーとしての WLC コントローラ

図従来のゲストアンカー

既存の WLC ゲストアンカーソリューションは、現在と同様に機能します。このモードは、ゲストアンカーコントローラが DMZ にすでに存在する場合の移行ステップとして使用できます。この場合、ファブリック WLC とゲストアンカーコントローラとの間にモビリティトンネルが形成され、ゲスト SSID はアンカーコントローラにアンカリングされます。すべてのゲストは、コントローラによってゲストアンカーにトンネリングされます。

従来型ワイヤレスまたはオーバーザトップ SD-Access では、後方互換性を確保するため、現在の Cisco Unified Wireless Network

（CUWN）および従来の中央集中型ワイヤレスアーキテクチャが完全にサポートされています。このソリューションのワイヤレスインフラストラクチャは、SD-Access ファブリックアーキテクチャを基盤としていますが、SD-Access 有線ネットワークを認識せず、コントロールプレーン、データプレーン、ポリシープレーンに関して、連携もしません（そのため、「オーバーザトップ」と呼ばれます）。

この導入方法によって、完全に統合された SD-Access ワイヤレスに段階的に移行できます。また、SD-Access と連携したシスコ以外のワイヤレスソリューションの導入にも使用できます。ただしこのような統合は、導入して使用する前にテストおよび検証を実施する必要があります。

WLC は、SD-Access ネットワークに接続する際に、ボーダーと直接接続することも、複数ホップ分離れて接続することもできます。


図従来の CUWN オーバーザトップ

IoT 用 SD-Access 拡張

拡張ノードは、純粋なレイヤ 2 モードで動作するスイッチで、ファブリック技術をネイティブにはサポートしていません。これらのレイヤ 2 スイッチは、単一のリンクまたは複数のリンクを利用して従来のレイヤ 2 方式でファブリックエッジノードに接続します（ポートチャネルを使用）。拡張ノードスイッチ上に設定された VLAN/IP サブネットでは、ファブリックでネイティブに提供されるポリシーセグメンテーションおよび自動化のメリットを同様に得られます。

ファブリックは、802.1q レイヤ 2 トランキングを使用して、ファブリックの適切なサブネットを SD-Access 拡張ノードに拡張します。これにより、拡張ノードで通常のローカル

スイッチングを実行できます。拡張ノードから接続されたファブリックエッジノードにトラフィックが送られるときに、ファブリックの一元化されたポリシーや拡張性のメリットが得られます。

拡張ノードに接続されるホストは、有線エンドポイントや、ワイヤレスエンドポイントを集約する AP のどちらでもかまいません。


図ファブリック拡張ノード


ファブリックに関する考慮事項

SD-Access の導入時には、ネットワークアンダーレイに関するさまざまな考慮事項に注意する必要があります。ファブリックオーバーレイの動作に影響を与える可能性があります。その中でも特に重要な事項を以下に示します。

最大伝送ユニット（MTU）

ネットワークデバイス間でトラフィックのフラグメンテーションおよび再構成が発生しないようにします。そのために、ファブリックアンダーレイに接続するすべてのネットワークデバイスで VXLAN ヘッダーに対応できるように、アンダーレイネットワークの最大伝送ユニット（MTU）を 50 バイト以上（802.1q ヘッダーも必要な場合は 54 バイト）に増やす必要があります。

オーバーレイで 1500 バイトを超えるフレームサイズを使用する場合は、アンダーレイネットワークでジャンボフレームをサポートすることを強くお勧めします。SD-Access ファブリック導入時に推奨されるグローバルまたはインターフェイス単位の MTU 設定は、9100 バイトです。

ジャンボフレームをサポートできない場合は、アンダーレイでジャンボフレームを使用する代わりに、TCP-adjust-MSS オプションを使用できます。TCP-adjust-MSS は、TCP トラフィック（UDP ではなく）でのみ動作することに注意してください。

アンダーレイインターフェイスのアドレッシング

推奨されるネットワークインターフェイスおよびアドレス設計は、/30 または /31 サブネットマスクでアドレッシング可能な、レイヤ 3 でルーティングされるポイントツーポイントインターフェイスです。

アンダーレイルーティングプロトコル

Cisco DNA Center の LAN 自動化では、アンダーレイを自動的に起動するために、標準規格に準拠した IGP ルーティングプロトコル（IS-IS または OSPF）が導入されます。

同様に、アンダーレイを手動で設定する場合は、IS-IS ルーティングプロトコルを導入することをお勧めします。その他のルーティングプロトコル（OSPF など）もサポートされていますが、追加の設定が必要となることがあります。


IS-IS の導入前述のように、Cisco DNA Center では、アンダーレイルーティングプロトコルのベスト

プラクティスとして IS-IS が導入されます。このリンクステートルーティングプロトコルは、当初はサービスプロバイダー（SP）環境に導入されていましたが、現在では大規模なファブリック環境への導入が進んでいます。

IS-IS では、ピア間の通信にコネクションレス型ネットワークプロトコル（CLNP）を使用し、IP に依存することはありません。IS-IS では、リンクの変更時に SPF の計算は行われません。SPF の計算はトポロジが変更された場合にのみ行われるため、アンダーレイでコンバージェンスが高速化し、安定性が向上します。効率的な高速コンバージェンスを実現するアンダーレイネットワークを構築するために、IS-IS で特別な調整は必要ありません。

OSPF の導入多くの場合、エンタープライズ環境では Open Shortest Path First（OSPF）が一般的な選択肢となっています。IS-IS と同様に、OSPF はリンクステートルーティングプロトコルです。イーサネットインターフェイスに使用される OSPF のデフォルトインターフェイスタイプは、「ブロードキャスト」です。その場合、代表ルータ（DR）やバックアップ代表ルータ（BDR）が選出され、ルーティングアップデートトラフィックが削減されます。

DR/BDR の選出は、ポイントツーポイントネットワークでは必要ありません。OSPF のインターフェイスタイプが「ブロードキャスト」の場合、ポイントツーポイントネットワークでも DR/BDR の選出プロセスおよびタイプ 2 のリンクステートアドバタイズメント（LSA）が追加されます。そのため、不要なオーバーヘッドが発生します。この場合は、インターフェイスタイプを「ポイントツーポイント」に変更すれば回避できます。


ファブリックの導入モデル

SD-Access ファブリックには複数の導入オプションがあります。この章では、利用可能な次のオプションについて説明します。

• ファブリックサイト：単一サイト内に含まれる単一ファブリック

- 一体型ファブリック：非常に小規模なサイト用にすべてのファブリック機

能（コントロールプレーン、ボーダー、エッジ）を備えた単一のプラットフォーム

• 分散キャンパス向け SD-Access：1 つまたは複数の中継ネットワークを使用して接続された複数のファブリック

ファブリックサイト

ファブリックサイトは、コントロールプレーンノード、ボーダーノード、エッジノードの独自のセットを持つファブリックの一部です。

単一のファブリックサイトには主に次のような特徴があります。

• 特定の IP サブネットが指定されている（VN アンカーが使用されている場合を除く）。

• L2 拡張はファブリック内のみ

• L2/L3 モビリティはファブリック内のみ

• ファブリック内でコンテキストの変換は不要

ファブリックサイトは、接続に関しては原則として他のファブリックサイトから独立しています。

下の図にファブリックサイトを示します。


図ファブリックサイト

SD-Access 環境は、多くの場合、単一ファブリックサイトで対応できます。ただし、規模の拡大または縮小が必要となるファブリック環境もあります。

同じファブリックサイトでも、規模によって特性が異なります。

• 大規模ファブリックサイト：ファブリックサイトごとに、水平方向に複数のデバ

イスが拡張される

• 一体型ファブリック：ファブリックのすべての機能が単一のデバイス（サイト）上にある

一体型ファブリック一体型ファブリックでは、ボーダーノード、エッジノード、コントロールプレーンノードの機能を同じファブリックデバイス上で動作させることができます。さらにワイヤレスが使用されている場合、Catalyst 9000 ファミリスイッチは、組み込みのワイヤレス LAN

コントローラ機能をホストするように設定できます。そのため、小規模なサイトで、ローカルの復元力やフェールオーバーメカニズムをそのまま維持しながら、ファブリックのメリットを得ることができます。


図一体型ファブリック

マルチサイトの SD-Access

SD-Access ファブリックは、複数のサイトで構成される場合もあります。サイトごとに異なる規模、復元力、存続性が必要となることもあります。また、サイトを集約した状態（つまり、ファブリック）でも多数のエンドポイントに対応し、水平方向に拡張できる必要があります。また、各サイト内でローカルステータスを維持できなければなりません。

単一のファブリックに対応する複数のファブリックサイトは、中継ネットワークエリアによって相互接続されます。中継ネットワークエリアは、各ファブリックのボーダーを相互接続しながら独自のコントロールプレーンノードを持つ、エッジノードのないファブリックの一部と定義することもできます。また、中継ネットワークエリアは、相互接続する各ファブリックサイトのボーダーノードを少なくとも 1 つ共有します。次の図にマルチサイト

ファブリックを示します。


図マルチサイトファブリック

中継ネットワークエリアの役割一般に、中継ネットワークエリアは外部に接続するために存在します。次のように、さまざまな外部接続方法があります。

• IP ベースの中継

• Software-Defined WAN による中継（SD-WAN）

• SD-Access による中継（ネイティブ）

マルチサイトファブリックモデルでは、すべての外部接続（インターネットアクセスを含む）は、中継ネットワークとしてモデル化されます。これにより、他のサイトやサービスへの接続を実現する汎用のコンストラクトが作成されます。

ファブリックサイト間のトラフィックおよびその他のタイプのサイトに対するトラフィックでは、ネットワーク間を接続する中継ネットワークのコントロールプレーンおよびデータプレーンが使用されます。ローカルボーダーノードは、ファブリックサイトからのハンドオフポイントであり、トラフィックは中継ネットワークを介して他のサイトに配信されます。中継ネットワークでは、その他の機能が使用されることもあります。たとえば、中継ネットワークが WAN の場合は、パフォーマンスルーティングのような機能も使用される場合があります。


エンドツーエンドでのポリシー適用およびセグメンテーションを実現するために、中継ネットワークは、ネットワークを介してエンドポイントのコンテキスト情報（VRF、SGT）を伝送できる必要があります。伝送できない場合は、宛先サイトのボーダーでトラフィックを再分類する必要があります。

ファブリックコントロールプレーンのステータスの配信ファブリックサイトのローカルコントロールプレーンは、ローカルファブリックサイト内のエッジノードに接続されているエンドポイントに関連するステータスのみを保持します。ローカルエンドポイントは、単一ファブリックサイトと同様に、ローカルエッジデバイスによってローカルサイトのコントロールプレーンに登録されます。ローカルコントロールプレーンに明示的に登録されていないエンドポイントは、中継エリアに接続されたボーダーノードを介して到達可能であるとみなされます。

どの時点でも、ファブリックサイトのローカルコントロールプレーンは、他のファブリックサイトに接続されたエンドポイントのステータスを保持していません（つまり、ボーダーノードは中継エリアからの情報を登録しない）。これにより、ローカルコントロール

プレーンを他のファブリックサイトから独立させることができるため、ソリューション全体の拡張性が向上します。

中継エリアのコントロールプレーンは、相互接続するすべてのファブリックサイトのステータスのサマリーを保持します。この情報は、各ファブリックサイトのボーダーノードによって中継エリアのコントロールプレーンに登録されます。ボーダーノードは、ローカルファブリックサイトから得た EID（エンドポイント ID）情報を、EID のサマリーを作成する目的でのみ中継ネットワークのコントロールプレーンに登録するため、全体の拡張性がさらに向上します。

エンドポイントのローミングはローカルファブリックサイト内のみで、サイ

ト間では行われないことに注意する必要があります。

マルチサイトファブリックの作成方法小規模なブランチが多数ある場合は、通常、これらのサイトをどのように管理するかが最大の課題になります。サイトごとに個別のファブリックドメインを作成するのは手間がかかります。マルチサイトファブリックの作成は、3 ステップのプロセスです。

注


1. 中継ネットワークを作成する

中継ネットワークの作成方法は、中継ネットワークのタイプによって異なります。

1 SD-Access 中継ネットワークは、中継ネットワーク用のファブリックコントロール

プレーンノードを有効にすることで作成されます。

2 SD-WAN 中継ネットワークは、SD-WAN コントロールプレーンプロトコルを使用して作成されます。本書の執筆時点では、Cisco SD-WAN のコントロールプレーン

プロトコルは、オーバーレイ管理プロトコル（OMP）です。

3 IP 中継ネットワークは、従来のルーティングプロトコル（BGP など）を使用して作成されます。

2. ファブリックサイトを作成する

ファブリックサイトは、次のステップ（前述）で作成します。

1 コントロールプレーンノードをサイトに追加します。

2 ボーダーノードをサイトに追加します。

3 エッジノードをサイトに追加します。

3. ローカルファブリックサイトを中継ネットワークに接続する

ファブリックサイトは、ローカルボーダーノードを使用して中継ネットワークに接続されます。

マルチサイトファブリックでのワイヤレスファブリックワイヤレスは、マルチサイトファブリック設計に不可欠な要素です。各ローカルファブリックサイトは専用の WLC を持ち、そのローカルサイトでワイヤレスインフラストラクチャを管理します。マルチサイト設計では、サイト間のレイヤ 2 モビリティはないため、各サイト専用の WLC はモビリティグループに設定されていません。したがって、サイト間でのシームレスなローミングはサポートされません。


VN アンカー

一部の導入環境では、VN（複数サイトに展開されているもの）からのトラフィックを、共通の中央のロケーションにアンカリングすることが有効な場合があります。VN アンカーを使用すると、分散サイトの特定の VN から送信されたトラフィックを、1 つの共通サブネットを使用して、中央のロケーションに集約することができます。VN サイトごとにサブネットを定義して使用する必要はありません。

この例としては、有線ユーザ向けのゲストトラフィックが挙げられます。20 のサイトが使用されていてゲストの有線トラフィックが必要な場合に VN アンカーを利用しないと、すべてのサイトでゲスト用有線 VN を定義し、この VN にマッピングされたサイトごとにサブネットを割り当てる必要があります（合計 20 サブネット）。サブネットはサイトごとに一意で、サイトを超えて拡張できないためです。このような導入方法でも機能しますが、ソリューションの設計や導入、管理が明らかに複雑になります。VN アンカーを使用すると、各サイトで指定されたゲスト用有線 VN のすべてのトラフィックが、VXLAN を介して中央のロケーションにトンネリングされます。そのため、この分散 VN に接続されているすべてのクライアントに対して、単一のサブネットをその中央のサイトに導入することができます。1 つのサイトのすべての VN をこのようにアンカリングする必要はありません。特定のサイトのほとんどの VN は、標準（非アンカー）方式で導入できます。アンカリングは、指定された使用例に関連する VN に対してのみ使用します。

VN アンカーを使用することで、一元化されたシンプルなサブネット構造が可能になるため、導入がシンプルになります。ゲストアクセスなどの使用例では、VN のすべてのトラフィックを中央のロケーション（ゲストトラフィック用のファイアウォールなど）にドロップすることが望ましいため、VN アンカーの使用が最適です。一元化しない方法が望ましいその他の使用例では、先に説明したように、アンカリングせず、標準の SD-Access VN

分離方式を使用します。


図 VN アンカー

IoT 導入モデル

前述のとおり SD-Access は、SD-Access 拡張ノードと呼ばれる固有のレイヤ 2 接続スイッチをサポートし、間接的に接続されたエンドポイントを利用できます（エンドポイントは直接ファブリックエッジノードに接続されない）。

SD-Access 拡張ノードは、次のいずれかの方法でファブリックエッジノードに接続されます。

• エッジノードへのポイントツーポイントリンクを利用

• エッジノードへの STP または REP リングを利用リングインフラストラクチャは、さまざまな IoT デバイスの接続に対する復元力を強化するために使用されるため、STP または REP リングベースの導入は、IoT を使用する際に重要です。拡張ノードは、そのポートに接続されたデバイスに対してすべてのエンドポイントのオンボーディングを行いますが、ポリシーはエッジノードによってのみ適用されます。これは、同じ拡張ノードに直接接続されたエンドポイント間、またはリングに接続された拡張ノード間のトラフィックにはポリシーが適用されないということです。


したがって、ファブリックエッジノードのサポートにより、IoT デバイスで、レイヤ 2 の拡張およびセグメンテーションを含む、ファブリックのメリットを活用できます。


外部接続

当然ながら、SD-Access ファブリックでは、外部のロケーションへの接続が必要になります。環境に応じてさまざまな外部接続オプションがあります。一般的な例を次に示します。

• その他のキャンパス

• ブランチオフィス（WAN 経由）

• データセンター

• クラウドネットワーク

これらの外部接続オプションごとに、SD-Access ポリシー要素（VN および SGT）をリモートサイトに拡張するためのソリューションについて説明します。最初の検討項目は VN です。VN は、標準の VRF 形式に変換されます。2 つ目の検討項目は SGT です。SGT は、ネイティブに転送されることも、リモートサイトで再分類されることもあります。

まず、WAN 統合について説明します。SD-Access ファブリックには、主に次の 3 つの

WAN ハンドオフオプションがあります。

1 SD-Access による中継

2 SD-WAN による中継

3 IP ベースの中継

前述のとおり、アーキテクチャに関する次の 3 つの側面を考慮する必要があります。

• コントロールプレーン（ルーティング/シグナリングプロトコル）

• データプレーン（カプセル化）

• ポリシープレーン（エンドポイントコンテキスト）


SD-Access による中継

図 SD-Access による中継の例

SD-Access 中継モデルでは、同じコントロールプレーン、データプレーン、管理プレーンがエンドツーエンドで使用されます。コンセプトは、複数のファブリックに SD-Access を拡張することです。SD-Access 中継モデルは通常、メトロイーサネットで使用され、地理的に近接した場所が対象です。

SD-Access 中継モデルは、VXLAN カプセル内でエンコードし、LISP コントロールプレーンを活用することで、任意のトランスポートネットワーク（一般的に都市部で高帯域幅と低遅延を実現するネットワーク）を利用して VN および SGT ポリシーの両方をネイティブに拡張します。この設計モデルの SD-Access ボーダーノードは、各ローカルファブリックを SD-Access 中継ファブリックに接続するボーダーとして機能します。

SD-WAN 転送は、SD-Access ドメインの拡張を含む WAN 環境に対して長期的に推奨される設計モデルです。SD-Access 中継モデルでは、ネットワーク設計者が SD-

Access ドメインを 1 つ以上の地理的に近い場所（特にメトロイーサネット環境）に拡張するための追加のオプションが用意されています。

注


SD-WAN による中継

図 SD-WAN による中継の例

SD-WAN 導入モデルでは、SD-Access ボーダーノードと SD-WAN エッジルータが同じデバイス上で統合されています。VN がエッジノードからこの SD-Access ボーダー/SD-WAN

エッジルータに伝送された後、コンテキスト（VN と SGT）が VXLAN ヘッダーから SD-

WAN ヘッダーにコピーされます。

このように、SD-WAN 環境を超えて伝送されるコンテキストにより、SD-Access システムは、ネットワーク全体で仮想ネットワーク（VRF）とグループ（SGT）の分類をエンドツーエンドで維持できます。そのため、ポリシーをネットワーク全体に拡張できます。

IP ベースの中継

「IP ベース」の中継エリアには多くの可能性がありますが、SD-Access の IP ベース中継モデルは、2 つの一般的なアーキテクチャをカバーしています。

• IP ベースの中継 - MPLS VPN 転送

• IP ベースの中継 - DMVPN VPN 転送

IP ベース中継のどちらのモデルも、VRF-Lite と BGP を使用して、外部ネイバーにルーティング情報（各 VN 用）を提供します。


IP ベースの中継 - MPLS VPN 転送

図 MPLS VPN 転送の例

MPLS-VPN 導入モデルでは、VRF-Lite を使用して、SD-Access ボーダーノード（MPLS-

VPN モデルの CE）から MPLS PE ノードに VN を拡張します。

MPLS カプセル化では、SGT タグをネイティブに転送することはできません。この問題に対処するために、リモート SD-Access ボーダーノードでは、SGT 再分類方式（インターフェイス/サブインターフェイスまたはサブネット上で着信パケットに対して SGT を定義できる）を活用するか、ボーダーノード間で SXP（SGT 交換プロトコル。IP - SGT 間マッピングを拡張する TCP ベースの接続）を活用して、SGT タグを SD-Access ドメイン間でプロビジョニングすることができます。ただし、追加の設定や規模に関する検討が必要で、複雑になることに注意してください。


IP ベースの中継 - DMVPN 転送を利用した VRF-Lite

図 DMVPN 転送を利用した VRF-Lite の例

Dynamic Multipoint VPN（DMVPN）導入モデルでは、VRF-Lite を使用して、SD-Access

ボーダーノードから DMVPN エッジルータに VN を拡張します。

DMVPN mGRE カプセル化では、WAN を利用して SGT タグをネイティブに伝送できます。この方法では、IP/MPLS 中継オプションの場合のように SGT の再分類または SXP を活用する必要がないため、はるかに簡単なソリューションを実現できます。ただし、新規導入の場合は、DMVPN による中継よりも、SD-WAN による中継が一般的に推奨されています。

データセンター接続

データセンター相互接続については、アプリケーションセントリックインフラストラクチャ（ACI）の相互運用性に重点を置いて説明します。

このセクションでは、データセンターで ACI が使用されている場合の接続について説明します。データセンターが非 ACI の場合（従来の IP ベースの場合など）、標準の

IP ベースの中継ネットワークを介して接続されたボーダーはそのまま機能します（SD-

Access と DC ドメイン間のコンテキスト転送は行われません）。

Cisco ACI は、一元的な自動化機能およびポリシー駆動型のアプリケーションプロファイルを備えた最新のデータセンターアーキテクチャで、Cisco SD-Access と類似しています。ACI では、ACI ファブリック内でポリシーを定義するための主なポリシーコンストラクトとしてエンドポイントグループ（EPG）を使用します。SD-Access と同様に、VXLAN で EPG を伝送します。EPG は、ACI ファブリック内のアプリケーションワークロードを識別します。

注


シスコでは、Cisco ISE 2.1 以降でエンドポイント識別子（SGT および EPG）を SD- Access

と ACI ファブリックドメイン間でフェデレーションする機能を提供しています。Cisco ISE

は、ユーザが選択した SGT を ACI と共有すると同時に、ACI から EPG を読み取ります。SGT の共有は、SGT の名前を EPG の名前として ACI ファブリックに書き込む形をとるため、ACI ソリューションでは、これらのコンストラクトに基づいて特定のポリシーを構築できます。

その結果、ACI はすべてのポリシーサービスを、SD-Access SGT と ACI EPG 間の関係に提供できます。上記の説明と同様に、Cisco ISE は EPG を読み取り、pxGrid エコシステム

パートナーと共有します。エコシステムには、SD-Access ファブリックを管理する Cisco

DNA Center も含まれます。これにより、SD-Access ファブリックでユーザ/デバイスポリシーおよびアプリケーションポリシーを作成して適用できます。

図ポリシーグループ ID フェデレーション

ACI は複数のテナント（各テナントで複数の VRF を使用できる）をサポート

しているため、ACI ファブリックにおいて何点か考慮事項があります。SD-Access を ACI

ファブリックに接続する方法として推奨されるのは、すべてのテナントに「共有サービス」VRF を適用して共通のレイヤ 3 外部接続を提供することです。これにより、Cisco ISE はすべての SGT をこの共有 VRF に書き込み、すべてのテナントポリシーに適用できます。

注


図 SD-Access と ACI 間の共有 VRF

図 pxGrid を介したグループ ID の共有


SD-Access と ACI の統合のもう 1 つのメリットは、ACI から取得した IP および SGT を（pxGrid エコシステムを介して）他の IT セキュリティパートナーと共有できることです。これにより、ユーザ/デバイスおよびアプリケーションの標準化された ID をテレメトリに含め、Cisco Stealthwatch などのパートナーシステムで使用できるようになります。また、Cisco Web セキュリティアプライアンス（WSA）や FirePower 次世代ファイアウォールなどの機能に対するセキュリティポリシーで使用することもできます。

共有サービス（DHCP、DNS、IPAM など）

すべてのネットワーク環境で、すべてのエンドポイントに必要な共通のリソースがあります。一般的な例を次に示します。

• ID サービス（AAA/RADIUS など）

• ドメインネームサービス（DNS）

• Dynamic Host Configuration Protocol（DHCP）

• IP アドレス管理（IPAM）

• モニタリングツール（SNMP など）

• データコレクタ（Netflow、syslog など）

• その他のインフラストラクチャ要素

これらの共通リソースは、多くの場合、「共有サービス」と呼ばれます。これらの共有サービスは、通常、SD-Access ファブリックの外部に存在します。ほとんどの場合、共有サービスは既存のネットワークのグローバルルーティングテーブル（GRT）に存在します（個別の VRF 内にはありません）。

前述のとおり、SD-Access ファブリッククライアントは、仮想オーバーレイ

ネットワークで動作します。そのため、共有サービスがグローバルルーティングスペースに含まれている場合は、VRF 間でルーティングする方法がいくつか必要になります。

注


VRF 間でルーティングするには 2 つの方法があります。

• SD-Access VN エクストラネットを使用する

• フュージョンルータやファイアウォールを使用する

SD-Access VN エクストラネット機能は、他の方法よりもシンプルで拡張性に優れているため、VN 間で通信する際に推奨される方法です。

SD-Access VN エクストラネット

SD-Access VN エクストラネットは、柔軟でスケーラブルな方法で VN 間通信を実現します。

VN エクストラネットには次のような利点があります。

• 単一のタッチポイント：Cisco DNA Center により、VN 間ルックアップポリシー

が自動化され、シンプルな単一の管理ポイントになります。

• ルート重複の回避：ハードウェアルーティングエントリの重複を避けるために、ファブリックコントロールプレーンソフトウェアで VN 間ルックアップが実行されます。

• SGT コンテキストの維持：SGT も維持されているため、シンプルで一貫性のあるポリシーの適用が可能です。

• ヘアピニング不要：VN 間フォワーディングは、ファブリックエッジで（ルックアップ後）行われるため、トラフィックをボーダーノードでヘアピニングする必要がなく、パフォーマンスと拡張性が向上します。

もう 1 つの利点は、要件に応じて、必要な共通リソースごとに個別の VN を利用できることです（共有サービス VN、インターネット VN、データセンター VN など）。

注


図 SD-Access エクストラネットを使用したマルチ VN 設計

SD-Access エクストラネットの重要なコンセプトは、プロバイダー VN とサブスクライバ

VN の分離です。プロバイダー VN の一般的な例は、共有サービスです（他の複数の VN

で必要）。サブスクライバ VN は、（プロバイダー VN のサービスを必要とする）クライアントが存在する VN です。

VN エクストラネットの例 SD-Access VN エクストラネットでプロバイダー VN とサブスクライバ VN がどのように利用されるかを理解するために、以下のシナリオについて考えてみましょう。

VRF RED はプロバイダー VN で、VRF BLUE および GREEN はサブスクライバ VN です。

1 ホスト C1 は、VRF BLUE のエッジ 1 に接続します。

2 ホスト C2 は、VRF GREEN のエッジ 3 に接続します。

3 共有サービスは、VRF RED のエッジ 2 に接続するエンドポイントです。

4 コントロールプレーンノードは、そのデータベースにエンドポイントエントリを登録します。

5 VN 間ポリシーには、次のように規定されています。

- VRF BLUE および GREEN は VRF RED のリソースにアクセスできる。 - VRF BLUE および GREEN は互いのリソースにはアクセスできない。


図 SD-Access VN エクストラネットの動作

1 今、ホスト C1 が共有サービスにアクセスしようとしています。

2 エッジ 1 はパケットを受信し、クエリをコントロールプレーンノードに送信します。

- コントロールプレーンノードはデータベースをチェックし、VRF BLUE

の共有サービスホストを探します（ただし、エントリは見つかりません）。

- 次にコントロールプレーンノードは、エクストラネットポリシーを参照して、VRF RED でエントリをチェックする必要があることを確認します。

3 コントロールプレーンノードは、VRF RED で共有サービスホストのエントリを見つけます。

4 次にコントロールプレーンノードは、エッジ 1 に対して、パケットを VRF RED

でカプセル化してエッジ 2 に転送するように指示します。

- 結果は、今後の共有サービスホスト宛てのトラフィックのためにエッジ 1

でキャッシュされます。

VRF GREEN のホスト C2 が VRF RED のリソースにアクセスする場合も、同様の処理が行われます。


フュージョンルータまたはファイアウォールによる VRF 間ルーティング

VRF 間ルーティングのもう 1 つのオプションは、フュージョンルータを活用することです。フュージョンルータは、単なる外部ルータまたはファイアウォール（SD-Access ファブリックの外部に存在）で、VRF を 1 つに「融合」するために基本的な VRF 間ルートリーク（別の VRF テーブルのルートのインポート/エクスポート）を実行します。

図共有サービスと外部フュージョンルータ

共有サービスがグローバルルーティングテーブル（GRT）内にあるか別の VRF 内にあるかに応じて、フュージョンルータの設計に関する考慮事項がいくつか適用されます。

GRT での共有サービス

• ファブリックボーダーノードは、グローバルルーティングテーブルを使用して、

フュージョンルータとの外部 BGP ルーティングアジャセンシー関係を形成します。

• ボーダーノードで同じルーティングアジャセンシー関係が、各 VRF コンテキスト（BGP アドレスファミリ）に形成されます。

• フュージョンルータで、SD-Access VN 間のルートが外部ネットワークの GRT と融合（インポート）されます。

マルチプロトコル BGP は、（AS_PATH 属性を使用して）ルーティングループを防止する固有の方法を備えているため、このルート交換に最適なルーティングプロトコルです。他のルーティングプロトコルも使用できますが、ループを防止するために複雑な配布リスト（distribute-list）およびプレフィックスリスト（prefix-list）が必要になります。

注


個別の VRF での共有サービス

• ボーダーノードとフュージョンルータ間に、各 BGP アドレスファミリ用の個別の

ルーティングアジャセンシー関係が形成されます。

フュージョンルータ方式を使用して VN 間通信を実現する場合、主に次の 4 つの課題があります。

• 複数のタッチポイント：複数のポイント（ルートリークが実装されているすべての

場所）で、手動による設定を行う必要があります。

• ルートの重複：ある VRF から別の VRF にリークされたルートは、両方の VRF 用のハードウェアテーブルにもプログラミングされます。これにより、TCAM の使用率が高くなります。

• SGT コンテキストの喪失：SGT グループタグが VRF 間で維持されないため、トラフィックが他の VRF 内に入った際に再分類が必要になります。

• トラフィックのヘアピニング：VN 間トラフィックをフュージョンルータにルーティングした後、ファブリックボーダーノードに戻す必要があります。


ファブリックパケットウォーク

これまでさまざまな SD-Access ファブリックコンポーネントを確認し、その動作や相互作用について検討してきました。次に、ファブリックパケット転送およびパケットフローについて検討していきましょう。

この章では、SD-Access コンテキストにおける次のパケットウォークについて説明します。

• DHCP クライアントの動作

• ARP の動作

• 有線からワイヤレスへのユニキャスト

• ワイヤレスモビリティ

• 同じサブネット内のセンダーとレシーバを利用した、ファブリックから外部クライアントへのユニキャスト（SD-Access と外部ネットワーク間）

• 異なるサブネット内のセンダーとレシーバを利用した、ファブリックから外部クライアントへのユニキャスト（SD-Access と外部ネットワーク間）

• オーバーレイでのファブリックマルチキャスト

• アンダーレイでのネイティブマルチキャスト

• ブロードキャストのサポート

各パケットウォークが SD-Access ファブリックにおいて関連している理由を確認し、ファブリックの動作や利用に影響する各パケットウォークの主な側面について検討します。


SD-Access における DHCP クライアントの動作

ファブリックが設定されたら、ネットワークにクライアントをオンボーディングできます。

接続されたクライアントは、IP アドレスを取得するために DHCP リクエストの送信を開始します。ファブリック内の DHCP フローは従来のネットワークとは異なりますので、順を追って説明していきます。

図 DHCP クライアントの動作

クライアントに接続するスイッチポートは、VLAN で設定されます。ファブリックエッジには、クライアント IP プール用のエニーキャストゲートウェイがあります。

1 DHCP ディスカバー：クライアント C1 は、S1 ノードに DHCP ディスカバーパケット（ブロードキャスト）を送信します。

2 DHCP リレー：S1 は、オプション 82 内のルーティングロケータ（RLOC）の IP

アドレスを DHCP ディスカバーパケットに追加します。S1 の DHCP リレーは、ブロードキャスト DHCP ディスカバーパケットをユニキャストに変換し、ファブリックボーダーに転送します。

3 DHCP オファー：DHCP サーバ（ファブリックの外部にある）は、エニーキャスト

ゲートウェイ IP アドレス宛ての DHCP オファーを返します。S1 によってエンコードされたオプション 82 の情報は、DHCP サーバによってそのまま DHCP オファーに戻されます。


4 転送リクエスト：DHCP オファーがボーダーノードに戻ります。ボーダーノードに、エニーキャストゲートウェイと同じ IP アドレスであるループバックが設定されます。ボーダーは、パケットのオプション 82 を検査し、そこにエンコードされた

RLOC 情報に基づいて、DHCP リクエストを S1 に戻します。これは、DHCP サーバがオファーを送信したエニーキャストゲートウェイアドレスがファブリック内で一意ではない（すべてのファブリックエッジノードで共有されている）ために必要であることに注意してください。

5 DHCP バインディング：S1 がボーダーから DHCP オファーを取得すると、DHCP

バインディングデータベースが更新され、DHCP オファーパケットが C1 に転送されます。

6 C1 は次に、DHCP リクエストパケット（ユニキャスト）を送信します。

7 このリクエストはボーダーに転送され、ボーダーは同様にこのリクエストを DHCP

サーバに転送します。

8 DHCP サーバは、エニーキャストゲートウェイへの DHCP オファーをボーダーに返します。

9 ボーダーは、パケットのオプション 82 を検査し、RLOC を見つけて適切なファブリックエッジ S1 に ACK を転送します。

10 これで C1 に IP アドレスが設定されました。

SD-Access での ARP の動作

SD-Access ファブリックには、ユニキャストトラフィックフローを改善し、不要なデータフラッディングを減らすための最適化機能が多数用意されています。主な最適化機能の 1 つが、ARP の抑制です。これまでの ARP フラッディングは、従来のエンタープライズネットワークに導入された小規模のサブネットでも対応可能ですが、大規模ネットワークでは帯域幅の無駄が非常に大きくなります。SD-Access では、この問題に完全に対応しています。

SD-Access では、すべてのファブリックエッジノードに、エニーキャストゲートウェイが設定されます。これらのサブネット内のエンドポイントは、ファブリック内の任意の場所に配置できます（エッジノード間のローミングも可能です）。SD-Access での ARP の動作は、ファブリックでのこのプロセスを効率化できるように設計されています。


以下の図では、有線クライアント C1 がエッジノード S1 のスイッチポートに接続されています。IP アドレスは DHCP からすでに取得されています。このクライアントが、別のエッジノード S2 で同じサブネットに接続されている別のクライアント C2 と通信しようとしています。

図 SD-Access での ARP の動作

1 クライアント C1 は、クライアント C2 と通信するために ARP リクエストを送信して、クライアント C2 の IP アドレスに対応する MAC アドレスを検出しようとします。

2 エッジノード S1 は、この ARP リクエストを処理します。

- S1 は、クライアント C1 をコントロールプレーンに登録します。

- S1 は、ARP リクエストを送信したクライアントと同じ VLAN 内のローカルポートに ARP リクエストをフラッディングします。また S1 は、コントロールプレーンノードに対して、C2 の IP アドレスに対応する MAC アドレスを保持しているかどうかをチェックするためにクエリを送信します。


- コントロールプレーンは、C2 の MAC アドレスと IP アドレスのエントリも保持しており、MAC アドレス情報を S1 に返します。MAC アドレスとともに、クライアント C2 のロケーション（S2）も返します。

- S1 は、このクライアントに関する後続のクエリを抑制するため、この情報をキャッシュします。

- 次に S1 は、ARP リクエスト内のブロードキャストアドレスを、クライアント C2 の MAC アドレスに置き換えます。

3 S1 は、S2 を宛先として、ARP リクエストをユニキャスト VXLAN でカプセル化します（ブロードキャスト ARP パケットを誘導ユニキャストに変換します）。

- S1 は、適切なポリシーコンテキスト（VN、SGT）を適用し、VXLAN フレームを S2 に送信します。

4 S2 は、着信パケットの VXLAN ヘッダーのカプセル化を解除し、パケットの宛先が

C2 であることを確認します。

- S2 は、ARP リクエストを C2 に転送します。

- クライアント C2 は、着信 ARP パケットを確認し、その MAC アドレスを

ARP 応答パケットに挿入して返します。

- S2 は、着信 ARP 応答パケットを受け取り、S1 に対する VXLAN でカプセル化して、S1 に転送します。

- S1 は、VXLAN ヘッダーのカプセル化を解除し、ARP 応答パケットを C1

に転送します（ARP 検出プロセスの完了）。

このように、SD-Access ファブリックアーキテクチャでは、ARP 検出を最適化し、ファブリック内の不要な ARP ブロードキャストフラッディングを回避します。

有線からワイヤレスへのユニキャスト

前述のとおり、有線エンドポイントとワイヤレスエンドポイントは、共通の SD-Access

ファブリック内に存在します。SD-Access 内でこれらのエンドポイント間のトラフィック

フローがどのように機能するかを理解することが重要です。


このシナリオでは、有線クライアント C1 は、ファブリックエッジノード S1 のスイッチポートに接続されています。別のサブネットのワイヤレスクライアント C2 は、ファブリックエッジノード S2 に接続されているアクセスポイント（AP）に接続されています。両方のクライアントの MAC アドレスと IP アドレスは、ファブリックコントロールプレーンノードにすでに登録されています。次の図をご覧ください。

図有線からワイヤレスへのユニキャスト

1 C1 が C2 と通信する場合、C1 は、デフォルトゲートウェイの MAC アドレスをパケットの宛先として IP パケットを送信します。

2 S1 はこのパケットを処理し、クライアント C2 のロケーションを解決するためにファブリックコントロールプレーンに問い合わせます。

3 コントロールプレーンはホストデータベースをチェックし、S2（C2 が関連付けられている AP が背後にあるスイッチ）の IP アドレスを返します。

- S1 は、このクライアントに関する後続のクエリを抑制するため、この情報をキャッシュします。


- S1 は、適切なポリシーコンテキスト（VN、SGT）を適用し、VXLAN フレームを S2 に送信します。

4 S2 はパケットを受信し、VXLAN ヘッダーのカプセル化を解除します。

- S2 は、C2（AP に接続されているクライアント）のロケーションを特定するために、C1 が C2 に送信した元のパケットを確認します。S2 は、定義されたポリシーに基づいてポリシーをパケットに適用する必要がある場合、適用します。

- S2 は、パケットにポリシーコンテキスト（L2 VNI、SGT）を適用して

VXLAN で再度カプセル化し、AP に転送します。

5 AP は、VXLAN ヘッダーのカプセル化を解除し、パケットを 802.11 形式に変換します。

- AP は、パケットを（RF で）ワイヤレスクライアントに転送します。

SD-Access 内のワイヤレスモビリティ

ワイヤレスモビリティは、WLC とファブリックコントロールプレーンノードの間でワイヤレスエンドポイントモビリティへの対応を行うことで、SD-Access ファブリック自体において実現されます。SD-Access ファブリック内でワイヤレスモビリティがどのように実現されるかを以下に示します。

2 つのモビリティ使用例（スイッチ内ローミングとスイッチ間ローミング）を確認していきます。

スイッチ内ローミング初めに、2 つのワイヤレスクライアント（C1 と C2）が同じファブリックエッジノード S1

上の異なる AP（AP1 と AP2）に接続されているとします。また、この 2 つのクライアント間で通信がすでに行われていると仮定します。


図ワイヤレスモビリティ – スイッチ内

上の図をご覧ください。

1 C2 は、S1 で AP2 から AP1 にローミングします。

- これは同じエッジノード内でのローミングであるため、ファブリック内で

追加のシグナリングを行う必要はありません。

2 S1 の MAC アドレステーブルは、AP2 によって送信された L2 フレームを使用して更新されます。

スイッチ間ローミング次に、同じファブリックエッジノード（S1）上の異なる AP（AP1 および AP2）に接続された 2 台のワイヤレスクライアント（C1 および C2）を考えてみます。クライアント C2 が別のファブリックエッジノード（S3）にある別の AP（AP3）にローミングします。


図ワイヤレスモビリティ – スイッチ間

上の図をご覧ください。

1 ここでクライアント C2 は、S1 の AP2 から S3 の AP3 にローミングします。

- ファブリック AP と WLC は、まずクライアントのローミングを処理します。

2 WLC は、新しいロケーション AP3 のファブリックコントロールプレーンノードに通知します

- 次にファブリックコントロールプレーンは、新しいロケーション S3（AP3

の接続先）をデータベースに更新します。

3 コントロールプレーンは、C2 の新しいロケーションに基づいて、新しいローミン

グ先エッジノード、古いローミング元エッジノード、ボーダーノードを更新しま

す。これは、C2 が通信する可能性のあるすべてのクライアント（C1 以外）との接

続を維持するために必要です。

4 C1 と C2 の間で通信が維持されます。


SD-Access 内の外部ネットワークへのユニキャスト

当然ながら、SD-Access ファブリックのエンドポイントと、ファブリック外にある、つまり外部ネットワークにあるエンドポイントとの間で、常にトラフィックの伝送が必要になります。このようなトラフィックフローは、ファブリックボーダーノードによって処理されます。この転送がどのように行われるかを以下に示します。

同じサブネット内に C1 と C2 がある外部ネットワークへの SD-Access このシナリオでは、C1 は S1 に接続されています。C1 は、SD-Access ファブリック内にはないホスト C2（ファブリックの外部にあるホスト）と通信しようとしています。C1 と C2

は同じサブネット内にあります。この例では、ネットワークのファブリック部分と非ファブリック部分の間で L2 ボーダーノードが使用されます。次の図をご覧ください。

図同じサブネット内に C1 と C2 がある外部ネットワークへの SD-Access

1 ファブリック内の別のデバイスが L2 ボーダーとして設定されます。L2 ボーダーは、ファブリックネットワークを非ファブリックネットワークに接続する最後のファブリックホップです。


2 L2 ボーダーには、非ファブリックネットワーク向けのエニーキャストゲートウェイが設定されています。L2 ボーダーは、ファブリック内の L2 VNI に関連付けられた非ファブリック VLAN 内のクライアントを、ファブリックコントロールプレーンに登録します。

3 ファブリッククライアント C1 は、非ファブリッククライアント C2 に対してブロードキャスト ARP リクエストを送信します。

4 S1 は ARP リクエストを受信し、クライアント C1 と同じ VLAN に属するローカルポートで ARP リクエストをブロードキャストします。

5 クライアント C2 の ARP 解決

- S1 は、クエリをコントロールプレーンノードに送信します。コントロールプレーンは、このクエリに基づいて、C2 の IP アドレスに対応する MAC アドレスを保持しているかどうかをチェックします。

- コントロールプレーンが、C2 の MAC アドレスエントリと C2 の IP アドレスを検出します。コントロールプレーンは、クライアントの MAC アドレスとロケーション（RLOC）情報を S1 に返します。この場合の RLOC は、クライアント C2 がファブリックの外部（同じサブネット内）にあるため、L2 ボーダーです。

- S1 は、この情報をローカルキャッシュにキャッシュします（このクライアントに関する後続のクエリを抑制するため）。

- 次に S1 は、ARP リクエスト内のブロードキャストアドレスを、クライアント C2 の MAC アドレスに置き換えます。

6 S1 は、L2 ボーダーを宛先として、ARP リクエストをユニキャスト VXLAN でカプセル化します（ブロードキャストパケットをユニキャストに変換）。

- S1 は、適切なポリシーコンテキスト（VN、SGT）を適用し、VXLAN フレームを L2 ボーダーに送信します。

7 L2 ボーダーは、着信パケットの VXLAN ヘッダーのカプセル化を解除し、パケットの宛先が C2 であることを確認します。

- 次に L2 ボーダーは、ARP リクエストを C2 に転送します。

- クライアント C2 は、着信 ARP パケットを確認し、その MAC アドレスを ARP 応答パケットに挿入して返します。


- L2 ボーダーは、着信 ARP 応答パケットを受け取り、S1 に対する VXLAN でカプセル化して、S1 に転送します。

- S1 は、VXLAN ヘッダーのカプセル化を解除し、ARP 応答パケットを C1 に転送します。これで、ARP 検出プロセスが完了します。次のステップでは、クライアント間のユニキャストパケットの転送を開始します。

8 クライアント C1 からクライアント C2 宛てのユニキャストパケットが S1 に転送されます。

9 S1 は、クライアント C2（L2 ボーダー）の RLOC を見つけるためにキャッシュを確

認します。

10 ユニキャストパケットは VXLAN でカプセル化され、L2 ボーダーに転送されます。

11 L2 ボーダーはパケットのカプセル化を解除し、C2 に転送します。

別のサブネットに C1 と C2 がある外部ネットワークへの SD-Access

このシナリオでは、C1 は S1 に接続されています。C1 は、SD-Access ファブリック内にはないホスト C2（ファブリックの外部にあるホスト）と通信しようとしています。C1 と C2 は別のサブネットにあります。この例では、ネットワークのファブリック部分と非ファブリック部分の間で、L3 ボーダーノードが使用されます。次の図をご覧ください。

1 C1 は、外部 IP アドレス C2 を宛先として、C1 のデフォルトゲートウェイである S1 にパケットを送信します。

2 S1 は、その宛先 IP アドレスについて、コントロールプレーンノードに問い合わせます。

- コントロールプレーンは、そのデータベース内で一致するエントリを見つ

けられなかったため、ネガティブ（一致なし）として応答します。

3 S1 は、ポリシーコンテキスト（VN、SGT）を付与して、元のパケットを VXLAN でカプセル化し、外部ボーダーに転送します。

4 外部ボーダーは、VXLAN ヘッダーのカプセル化を解除し、宛先の IP ルックアップを行います（ルートリークまたはエクストラネットを使用）。


- 宛先ルートがグローバルルーティングテーブルにある場合は、パケットをネクストホップルータに転送します。

- 宛先ルートが別の VRF である場合は、適切な VRF を追加して、パケットを

ネクストホップルータに転送します。

図別のサブネットに C1 と外部ホストがある外部ネットワークへの SD-Access

ファブリックマルチキャスト

マルチキャストトラフィック転送は、今日のエンタープライズネットワークにおいて、複数のネットワーク上の宛先にデータのコピーを同時に配信するために、さまざまなアプリケーションで使用されています。SD-Access ファブリック内では、マルチキャストトラフィックフローは、2 つの方法（オーバーレイまたはアンダーレイ）のいずれかで処理できます。どちらの方法を使用するかは、アンダーレイネットワークがマルチキャストレプリケーションをサポートしているかどうかによって決まります。


SD-Access でのオーバーレイマルチキャストレプリケーションまず、アンダーレイネットワークがマルチキャストレプリケーションをサポートしていない場合について確認します。アンダーレイでマルチキャストを有効にせずにオーバーレイで伝送するケースは、ヘッドエンドレプリケーションとも呼ばれています。

ヘッドエンドレプリケーションの場合、マルチキャストトラフィックを受信した最初の SD-Access ファブリックノードは、ユニキャスト VX-LAN でカプセル化された元のマルチキャストトラフィックの複数のコピーを、マルチキャストレシーバが存在する各リモートファブリックエッジノードに送信されるように複製する必要があります。

図マルチキャストヘッドエンドレプリケーション

上の図では、クライアント C1 はエッジノード S1 に接続されています。外部ネットワーク（ボーダーノードの外部）にマルチキャスト送信元 MS1 があります。PIM スパースモードが使用されており、ファブリックランデブーポイント（RP）として、ファブリックボーダーが設定されています。この例では、アンダーレイネットワークでマルチキャストは設定されていません。


1 S1 は、マルチキャストグループ 239.5.5.5 に対する、C1 からの IGMP Join を処理します。

- S1 は、オーバーレイの対応する (*,G) PIM Join を VXLAN でカプセル化し

てファブリック RP に送信します。

2 ファブリック RP は、発信インターフェイスリストに S1 を含めて、マルチキャスト

FIB（MFIB）に (*, 239.5.5.5) ステータスを作成します。

3 マルチキャスト送信元 MS1 は、ファブリック RP に登録されている 239.5.5.5 宛てのデータ送信を開始します。

- ファブリック RP は、発信インターフェイスリストに S1 を含めて、MFIB に特定の (MS1, 239.5.5.5) ステータスを作成します。

4 ファブリック RP（この場合はボーダー）は、マルチキャストトラフィックフローを受信する最初のファブリックデバイスです。RP はマルチキャストパケットを複製し、ユニキャスト VXLAN でカプセル化します。このパケットは、対応するマルチキャストグループに参加しているクライアントを持つすべてのファブリックエッジスイッチに IGMP で送信されます。

- この場合、宛先 IP アドレスは S1 です（ユニキャスト）。

- トラフィックはその後 S1 に直接転送されます。

5 S1 は、ユニキャスト VXLAN パケットを受信してカプセル化を解除し、元のマルチキャストパケットを C1 に転送します（ステップ 1 の IGMP Join に基づく）。

- このトラフィック用のレシーバが S1 に 10 個存在する場合でも、ヘッドエンド（ボーダー）ノードによって複製された単一のストリームです。

- S1 は、このマルチキャストグループに関連するすべてのローカルレシーバ（上の例では 10 個）用にローカルで複製を実施します。

- 複数のリモートエッジノードに接続されたレシーバが複数存在する場合、ヘッドエンドノードは、ローカルレシーバが配置されているエッジノードごとに個別の（ユニキャスト）コピーを作成します（ステップ 1 の PIM Join に基づく）。

- 各リモートエッジノードは、そのローカルレシーバ用にローカルで複製を実施します。


ヘッドエンドマルチキャストレプリケーションのアプローチによって、アンダーレイでマルチキャストをサポートしていないネットワークでマルチキャスト配信が可能になります。主な欠点は、複製によってヘッドエンドノードに負荷がかかる可能性があることです。

SD-Access でのアンダーレイ（ネイティブ）マルチキャストレプリケーションネイティブマルチキャストは、アンダーレイでマルチキャストトラフィックを転送します。このマルチキャスト転送方式は、レプリケーションの負荷が転送パス内の複数のデバイスに分散されるため、ヘッドエンドレプリケーションよりも効率的です。

上と同じシナリオについて考えてみましょう。クライアント C1 は、エッジノード S1 に接続されています。マルチキャスト送信元（MS1）は、外部ネットワーク（ボーダーノードの外部）にあります。PIM スパースモードが使用されており（ASM（Any Source Multicast）とも呼ばれます）、この場合ファブリックランデブーポイント（RP）はボーダーノード上にあります。ただし、アンダーレイネットワークでマルチキャストの処理も行われています。

次の図をご覧ください。

1 S1 は、マルチキャストグループ 239.1.2.3 に対する、C1 からの IGMP Join を処理し

ます。

2 S1 は、2 つの PIM Join を送信します。

- S1 はまず、オーバーレイで ASM Join をグループ（239.1.2.3）用のファブリック RP に送信します。

- すべてのスイッチは、オーバーレイ内のマルチキャストグループをアンダーレイ内のグループにハッシュします。この例では、239.1.2.3 がアンダーレイの 232.1.1.1 にハッシュされます。

- 次に S1 は、アンダーレイで SSM Join を送信して、マッピングされたグループ（232.1.1.1）に参加します。

- RP は、オーバーレイで ASM グループ（239.1.2.3）を作成し、アンダーレイで対応する SSM グループ（例：232.1.1.1）にマッピングします。

- 239.1.2.3 に関連するすべてのリモートエッジノードがこのアンダーレイグループ（232.1.1.1）に参加します。


3 マルチキャスト送信元 MS1 は、ファブリック RP に登録されている 239.1.2.3 宛てのデータ送信を開始します。

- ファブリック RP は、232.1.1.1 にマッピングされた特定の (MS1, 239.1.2.3)

ステータスを作成します。

4 ファブリック RP は、マルチキャスト VXLAN カプセル化（232.1.1.1）で元のマルチキャストパケット（239.1.2.3）をカプセル化します。

- トラフィックは、このグループに参加しているすべてのノードにアンダーレイで転送されます。

- アンダーレイは、必要なマルチキャストレプリケーションを実行します。こうして、アンダーレイ内の複数のデバイスにマルチキャストレプリケーションの負荷が分散されます。

5 S1 は、マルチキャスト VXLAN パケットを受信してカプセル化を解除し、239.1.2.3

の発信インターフェイスリストをマッピングして、元のパケットを C1 に転送します（ステップ 1 の IGMP Join に基づく）。

- S1 は、このマルチキャストグループに関連するすべてのローカルレシーバに対してローカルで複製を実行します。

- 複数のリモートエッジノードに接続されたレシーバが複数存在する場合、ヘッドエンドノードは、アンダーレイマルチキャストグループに一度だけ複製します。このマルチキャストパケットは、アンダーレイでネイティブに複製され、すべてのファブリックノードに転送されます。


図ネイティブマルチキャストレプリケーション


SD-Access でのブロードキャスト

トラフィックやアプリケーションのタイプによっては、SD-Access ファブリック内でブロードキャスト転送を有効にしたほうがよい場合があります。

SD-Access アーキテクチャのデフォルトでは、この機能は無効になっています。ブロードキャスト伝送が必要な場合は、サブネット単位で明示的に有効にする必要があります。ブロードキャストが 1 つのサブネットで有効になると、アンダーレイマルチキャストグループが VN 内で関連付けられ、すべてのファブリックノードがこのマルチキャストグループに参加します。

ブロードキャストフレームがファブリックエッジノードで受信されると、VXLAN でカプセル化され、アンダーレイマルチキャストグループを介してすべてのリモートエッジ

ノードに転送されます。その後、リモートエッジノードで元のブロードキャストフレームのカプセル化が解除され、適切なサブネット内のすべてのローカルスイッチポートに転送されます。

この機能を使用するには、前述のように、アンダーレイネットワークでマルチ

キャストがサポートされている必要があります。

注

Cisco DNA Center

108 Cisco DNA Center

Cisco DNA Center の概要

Cisco DNA Center は、エンタープライズ LAN、WLAN、WAN 環境におけるエンドツーエンドの自動化やアシュアランスに加えて、外部ソリューションおよびドメインとのオーケストレーションに対応する、一元化された運用プラットフォームです。ネットワーク管理者は、1 つのダッシュボードからネットワークを管理および自動化できます。

Cisco DNA Center を利用すると、IT オペレータは、自動化およびアシュアランスのわかりやすいワークフローを使用して、ネットワークやポリシーの設計、プロビジョニング、アシュアランスを簡単に実現できます。合わせて、エンドツーエンドの可視性やプロアクティブなモニタリング機能、インサイトも利用できます。これらはすべて、一貫性のある高品質なユーザエクスペリエンスを実現するためのものです。

図 Cisco DNA Center のワークフロー

アーキテクチャの原理

Cisco DNA Center は、中規模から大規模のエンタープライズネットワークのニーズに合わせて拡張できます。自動化機能を備えたネットワークコントローラと、モニタリングのためのデータ分析機能スタックで構成されており、ネットワークの導入、トラブルシューティング、管理のための統合プラットフォームを提供します。Cisco DNA Center は、継続的なデリバリおよびデプロイメントを可能にするスケーラブルなマイクロサービスアーキテクチャをベースに構築されています。


Cisco DNA Center の主な特徴を次に示します。

• ハードウェアコンポーネントとソフトウェアパッケージの両方に対する高可用性

• ディザスタリカバリに対応するバックアップと復元のメカニズム

• ロールとスコープに基づいて異なるアクセス権をユーザに付与するロールベース

アクセスコントロールメカニズム

• エコシステムパートナーや開発者が Cisco DNA Center と統合できるようにするプログラム可能なインターフェイス

Cisco DNA Center はクラウド接続型のため、既存の機能をシームレスにアップグレードしたり、新しいパッケージやアプリケーションを追加したりすることができます。

図 Cisco DNA Center のアーキテクチャ

Cisco DNA Center の自動化

Cisco DNA Center の自動化ワークフローの主な目的は、ネットワーク管理者のビジネス上の目的をデバイス固有のネットワーク設定に変換することです。Cisco DNA コントローラは、大きくネットワーク情報データベース、ポリシーおよび自動化エンジン、ネットワークプログラマサービスで構成されています。


このコントローラは、ネットワークを定期的にスキャンしてネットワークインフラストラクチャを検出する機能を備えており、ネットワークデバイスの詳細情報、システムで実行されているソフトウェアイメージ、ネットワーク設定、サイト定義、デバイスとサイトのマッピング情報などに関する「信頼できる唯一の情報源」になっています。また、ネットワークデバイスをデバイスレベルの詳細データとともに物理トポロジにマッピングするトポロジ情報も含まれています。これらすべての情報は、コントローラネットワーク情報データベースに保存されています。

ポリシーエンジンは、QoS/アプリケーションエクスペリエンスおよびアクセスコントロールポリシーを適用できるように、エンタープライズネットワーク全体にさまざまなポリシーをプロビジョニングします。自動化エンジンは、サービスおよびポリシーフレームワークとデバイス固有のデータモデルを活用して、エンタープライズネットワーク全体の抽象化レイヤを構築します。最後に、ネットワークプログラマサービスは、必要に応じてネットワークデバイスでプロビジョニングを行います。

Cisco DNA Center Assurance

Cisco DNA Center は、高度な機械学習と分析機能を使用して、ネットワークインフラストラクチャ、ネットワークに接続されたクライアント、およびその他のコンテキスト情報源から学習することで、エンドツーエンドの可視性を実現します。Cisco DNA Center には、さまざまなソースに由来するデータを取り込むことができるデータコレクタフレームワークが組み込まれています。

ネットワークインフラストラクチャデータは、ネットワーク負荷を最適化し、ネットワーク層からデータを受信する際の遅延を減らすように設計されたストリーミングテレメトリ

メカニズムによって取得されます。また、データコレクタは、Cisco ISE、IP アドレス管理（IPAM）、IT サービス管理（ITSM）システムなどのさまざまなコンテキストシステムからデータを収集するように構築されています。

データは、時系列分析、複雑なイベント処理、機械学習アルゴリズムを使用して、リアルタイムで処理されて関連付けられます。その後、ネットワークオペレータ向けに Cisco

DNA Center ユーザインターフェイス（UI）で保存および可視化され、タイムリーにトラブルシューティングを行うのに役立つ関連性の高い分析情報やトレンド情報が、アシュアランスワークフローを通じて提供されます。

詳細については、https://cs.co/assurancebook を参照してください。


SD-Access のポリシー

112 SD-Access のポリシー

ポリシーとサービスの概要

SD-Access におけるポリシーの定義

ポリシーとサービスに関する議論は、常に、要件の基となるビジネスの促進要因から始めます。これまで、エンタープライズネットワークの唯一のビジネス要件は、可用性の高い高速接続（アクセス）を提供することでした。ここ数年のコンピューティングとネットワーキングの動向に伴い、サービスとポリシーは進化しています。現在のエンタープライズネットワークポリシーは、俊敏性、柔軟性、セキュリティの大幅な向上に対応するための新しい要件を満たす必要があります。

次のセクションでは、SD-Access のポリシーがエンタープライズネットワークにおける現在の課題にどのように対処できるかを示す例として、セキュリティに焦点を当てます。SD-

Access セキュリティポリシーには、VN ポリシーとグループベースポリシーの 2 つのタイプがあります。Quality of Service（QoS）、パケットキャプチャ、トラフィックエンジニアリングなど、他のネットワークサービスやポリシーにも同様の要件と課題が存在すること、そして、SD-Access はそれらについても同じように対処できることを認識してください。

ビジネスの促進要因

SD-Access の導入を推進する一般的なビジネス要件には、業界固有の基準（Payment Card

Industry（PCI）、Health Insurance Portability and Accountability Act（HIPAA）など）または企業コンプライアンス（リスクの軽減など）に基づく規制の遵守があります。1 つの組織内に複数の要件が存在する場合もあります。たとえば、医療機関によっては、国の規制（米国の HIPAA など）を遵守する必要があるだけでなく、PCI コンプライアンス要件を満たす必要もあり、さらに医療機器を分離して患者ケアのリスクを軽減することが必要な場合もあります。

ポリシーのシナリオ

一般的な医療機関ネットワークの要件例を以下に示します。これらの例に基づいて、SD-

Access がどのように要件を満たしながら、ビジネスの俊敏性や柔軟性の向上、運用コストの削減を実現するかについて説明します。


前述のとおり、ビジネスの促進要因と要件を評価することから始めます。次に例を示します。

• 患者ケアのセキュリティ：承認された医療ユーザおよび医療機器のみが医療ネット

ワークにアクセスできるようにする。

• ビジネスクリティカルなアプリケーションの保護：エンタープライズネットワークへのアクセス時にすべてのユーザエンドポイントを識別し、承認されたユーザおよび機器のみがアクセスできるようにする。

• 法規制の遵守に関する要件：承認されたユーザまたは機器のみが PCI コンプライアンスの対象となるエンドポイント、サーバ、アプリケーションにアクセスできるようにする。

• 患者ケアの実現：ゲストネットワークをエンタープライズ医療ネットワークから分離する。

次のステップは、上記の主なリソースがそれぞれどこにあるかを把握できるようにネットワークを評価することです。

次に例を示します。

• 医療機器はネットワーク内のどこに存在しているか。

• PCI の対象となるサーバおよびアプリケーションはどこにあるか。

• 医療ユーザはネットワーク内のどこに存在しているか。

そして、すべての評価対象のリソースを IP アドレスのサブネットに明確に関連付けます。これにより、サブネットに人間がわかる名前を付けたネットワークオブジェクトを構築できます。ただし、ネットワークの拡大によって時間とともに、特定の目的に関連付けられないサブネットが不規則に発生する可能性が高くなります。



• 192.0.2.0/24 = MRI_Devices

• 10.1.1.0/24 = Imaging_Servers

• 198.51.100.0/24 = PCI_Apps

• 10.1.100.0/24 = Staff

• 10.1.200.0/24 = Guests

ポリシーの構築

次にネットワークアーキテクトは、環境内のすべてのサブネットに対して、これらのネットワークオブジェクトとアクセス権限の関係（アクセスコントロールポリシー）を構築する必要があります。通常これは、セキュリティ管理システムを使用して行います。セキュリティ管理システム（ファイアウォールや ACL 管理システムなど）により、IP プレフィックスと「ネットワークオブジェクト」の関係をわかりやすく抽象化してマッピングすることができます。

その後、ネットワークアーキテクトは、特定のプロトコル（IP、TCP、UDP など）やポート（http、https など）に対するネットワークオブジェクト間のアクセスコントロール

ルールを作成して、オブジェクト間のアクセス権限（許可または拒否）を設定します。

図ポリシーの構築例


ポリシーを確実に適用するために、ネットワーク管理者は、（各サブネットの）関連トラフィックが、対応するポリシー適用ポイント（ACL を使用する配信スイッチ、キャンパス

ファイアウォールなど）に送信されるようにネットワークを設計する必要があります。その後、管理システムにより、ネットワークオブジェクトを使用して、IP アドレスがポリシー適用ポイントにプログラムされます。

ほとんどの場合、アクセスコントロールセキュリティポリシーの適用結果であるすべてのテレメトリは、ログ、フローデータ、ヒットカウンタなどにおいてすべて IP アドレスで表されます。これは、ポリシー適用ポイントで生成されるすべての情報は、ポリシーコンストラクトではなく、ネットワークコンストラクトのみに基づいて生成されることを意味します。また、すべてのセキュリティ管理製品またはアシュアランス製品では、エンタープライズ内の複数の適用ポイントにおいてネットワークコンストラクトをポリシーコンストラクトに変換し直す必要があるということでもあります。

この処理は通常、テレメトリのさまざまな形式やデータのさまざまな側面への対応を必要とするため、非常に複雑な作業になります。比較的簡単なタスクを実行する際にもこの複雑な関連付けが必要になります。たとえば、「このログは、IP アドレス 1（ネットワーク

オブジェクト A のアドレス）が IP アドレス 2（ネットワークオブジェクト B のアドレス）と現在通信していることを示しており、これはセキュリティポリシー X に違反している」などです（この文からわかるとおり、タスクとしては単純です）。

ポリシーの実装

上記の内容は、デバイスをサブネットに接続するとサブネットのすべてのセキュリティ

アクセスが継承される、ということが前提になっています。エンタープライズネットワークの従来の目的は、可用性の高い高速アクセスを実現することです。

これには、ポリシーに関する重要な意味が含まれています。

たとえば上記のネットワークオブジェクトを使用する場合、

まとめ従来すべてのポリシーは VLAN または IP サブネットに基づいているため、ポリシーオブジェクトにマッピングして関連性を維持することが非常に複雑になっています。


• SecOps は、IP サブネット 192.0.2.0/24 および VLAN 100 に関連付けられた「MRI_Devices」というオブジェクトを作成しています。

• NetOps は、ポート 1 ～ 12 を、すべてのアクセススイッチで VLAN 100 に割り当てています。

• 壁面の適切なポートに機器を差し込むと、セキュリティシステムによって MRI 機器として分類されます。

この場合、ワイヤレス LAN を導入してもデバイスや ID に関する新たな課題は発生しましたが、セキュリティのために IP サブネットをネットワークオブジェクトにマッピングするという従来の方法は変わっていません。また、ワイヤレス化によってユーザおよびデバイスのモビリティがもたらされましたが、その結果、ユーザやデバイスがネットワークのあらゆる部分に出現する可能性があるため、ネットワークトポロジとセキュリティポリシーを密接に結び付けることが難しくなりました。

さらに、IPv6 アドレスをネットワークに追加する場合は、上記の作業をすべてもう一度行う必要があるうえに、次のような新たな課題も生じます。

• IPv6 では、ネットワークスコープや集約サブネットが増え、各ユーザおよびデバ

イスが複数の IPv6 アドレスを使用する場合があります。

• IPv6 アドレスは IPv4 よりも長く、16 進数（英数字）を含んでいるため、多くの場合読みにくく、思い出すのも困難です。

• セキュリティ管理ツールによっては、IPv6 ネットワークオブジェクトを別に作成したり、ソフトウェアをアップグレードしたりすることが必要な場合があります。

現在ポリシーを作成して適用した場合に、ポリシーの作成に使用した管理ツールから移行できなくなることがよくあります。ソフトウェア定義型ネットワーキングにより、ネットワークやアプリケーションは自動的に作成されるようになりますが、セキュリティポリシーまで自動化することは容易ではありません。多くの場合、不完全な自動化に終わるか（ワークロードのみで、ブランチ内のユーザやデバイスには未対応であるなど）、もしくはベンダー固有の自動化になってしまいます。

通常、ネットワークオブジェクトおよびポリシーは、タイプの異なる適用ポイント（ファイアウォール、スイッチ、ルータなど）には拡張されません。適用ポイントのタイプに応じて異なる管理システムで管理されていることが多く、システム間でポリシーを手作業で同期する必要があります。マルチプラットフォームやマルチベンダーの管理に焦点を当てたサードパーティ製ツールもありますが、一般的な構造に限られており、別のレベルで運用がより複雑になることもあります。


さらに、セキュリティ技術および運用のアプリケーション層に目を向けると、ネットワークセキュリティオブジェクトの関連性という問題があります。たとえば、ネットワークセキュリティポリシーでデバイスによるインターネット通信を許可しているとします。ネットワークセキュリティポリシー管理コンソールと高度なマルウェア管理コンソールで、ネットワークオブジェクトと広範囲に及ぶエンタープライズ環境との関連性を手動で共有しない限り、生成されたアラームにおけるエンドポイントとビジネスの関連性を、高度なマルウェアコンソールでは認識できません。したがって、ビジネスに不可欠とみなされているデバイスがマルウェアによって侵害されたことをマルウェアセンサーが検出しても、通常、マルウェアオペレータがこのイベントに関する概要レベルのアラートに気づくことはありません。

ポリシーに関するもう 1 つの課題は、ファイアウォールやスイッチ、ルータ上の ACL 内にある多数のアクセスコントロールエントリ（ACE）が変更されないまま（最適化されずに）時間とともに増え続けることです。これは、ポリシーによって、どのようなビジネスの促進要因や要件を適用しようとしているかをネットワーク管理者が把握していないためです。

ポリシーの考慮事項

現在のアプローチでの主な課題は、オブジェクト（IP アドレス）から、ビジネス関連オブジェクト（ネットワークオブジェクト）へと作業対象が移り、さらにオブジェクト（IP アドレス）に戻る際に、ビジネスと関連付ける手段がないことです。


• ポリシー関連のテレメトリでは、ユーザがビジネスとの関連性を理解できません（ログやフロー統計では、IP アドレスのみが使用され、ユーザコンテキスト情報は使用されません）。

• ネットワークテレメトリでポリシーについて示されている内容から、実用的な情報を引き出すことは困難です。

• コンストラクトを関連付けるのに、複数のプラットフォームまたは複数のベンダーのツールを使用する必要があります。

• 複雑で時間がかかるエラーの発生しやすいプロセスによって、実装時や適用時にビジネス要件との相違が生じる可能性があります。

まとめポリシーを変更または削除すると予期しない結果になり、ビジネスに大きなリスクをもたらす可能性があります。


現在のエンタープライズテクノロジーでは、VLAN/サブネット内での水平方向の拡張に応じて適用することも不可能です。最近のセキュリティイベントでは、企業のグループ内およびグループ間のトラフィックを制御できることに改めて焦点が当てられています。IoT デバイスやユーザデバイスに関して、VLAN/サブネット内を制御できていないためにビジネスに不可欠な資産がマルウェアやランサムウェアに感染してしまったセキュリティインシデントが多数発生しています。

この LAN 自体のふるまいにより、同じ VLAN/サブネット内のデバイスを適用ポイント（プライベート VLAN など）に誘導するための新しいトラフィック制御メカニズムが導入されました。これは、サブネット内の水平方向の拡張を制御するためには、IP サブネットの大部分が実際には同じネットワークオブジェクトであっても、VLAN/サブネットごとに新しい ACL ポリシーを作成する必要があることを意味します。

最後に、モビリティの導入に伴い、ネットワーク管理者は、ポリシーを適用するために特定の静的 IP サブネット/VLAN 構造を利用して、特定のエンドユーザやデバイスを正確に表すことができなくなりました。また、モバイルユーザおよびデバイスの追加や変更のスピードに手動で対応することもできません。

これらの多くの課題に対応するために、ポリシー、具体的には、IP アドレスではなくグループに基づいた、拡張可能でわかりやすいポリシーコンストラクトが、Cisco SD-Access

の重要な基盤の 1 つとして開発されました。Cisco SD-Access ポリシーは、マクロセグメンテーション（VN を使用）やマイクロセグメンテーション（SGT を使用）を利用して導入されます。

これにより、さまざまなレベル（デバイスなど）でポリシーを制御できます。そのレベル

間で通信が発生することもあれば、発生しないこともあります。たとえば、従業員と

HVAC 機器は VN を使用して分離することができます（通常これらは通信しません）。一

方、相互に通信しながら作業するユーザ（従業員や請負業者など）とデバイスは同じ VN

にいる可能性がありますが、必要に応じて SGT を使用して、ユーザとデバイス間でポリ

シーを適用することもできます。このようにして適用されるポリシーは、エンドポイント

の IP アドレスから分離されるため、関連するポリシーの導入と使用が大幅にシンプルにな

ります。


SD-Access は、2 つのレベルのポリシーグループ（マクロとマイクロ）でセグメント化し、

IP アドレスおよびサブネットとポリシーを分離することにより、最新のエンタープライズ

ネットワークにおいて、シンプルながら強力で機能的なセグメンテーションポリシーを実

装できます。

次のセクションでは、SD-Access が上記の課題を解決し、今日の企業が、ネットワーク全体

で統合されたポリシーを、拡張性に優れたシンプルな方法で適用できるようにする独自の

仕組みについてさらに詳しく説明します。


ポリシーのアーキテクチャ

ポリシーの概要および Cisco Identity Services Engine の役割

Cisco Identity Services Engine（ISE）がホストする外部のポリシーリポジトリを使用することで、SD-Access ネットワークにポリシー管理および ID サービスを統合できます。Cisco DNA Center と連携した Cisco ISE は、ユーザとデバイスのダイナミックアクセス制御（認証、認可）と、グループベースのアクセスポリシーを実現するスケーラブルグループ管理（グループ名とメンバー）という 2 つの重要な機能を担います。SD-Access のグループベースポリシーは、ユーザ、デバイス、モノ、アプリケーションの論理的なグループに基づいて 2 つのグループの関係として定義され、L3 および L4 分類子に基づいてアクセス

コントロールルールを定義します。

Cisco ISE では、Cisco ISE 上で適切に定義された既存のワークフローを実行するユーザによって、最初の機能が引き続き実行されます。

Cisco DNA Center は、アクセスコントロールアプリケーション（ACA）と連携し、Cisco

DNA Center 内でグループベースのアクセスコントロールポリシーを直接管理することでシンプルにします。これにより、シスコ以外の ID ソリューションとの相互運用性のレベルも高まります。アプリケーション（ACA）は、Cisco DNA Center のスケーラブルグループにマッピングされるさまざまなエンドポイント（ユーザ、エンタープライズデバイス、IoT デバイス、プライベート/パブリッククラウドで実行されるワークロード）を分類する役割を担います。これらのスケーラブルグループは、Cisco ISE に導入された Cisco DNA

Center でグループベースのアクセスコントロールポリシーを定義し、SD-Access に配信するために使用できます。

SD-Access でのポリシーの適用

SD-Access ポリシーは、設計上、お客様の要件に対応するために複数のレベルのセグメンテーションを実現します。このポリシーは、マクロセグメンテーション（VN を使用）またはマイクロセグメンテーション（SGT を使用）を使用するだけで構築できます。

マクロセグメンテーションとマイクロセグメンテーションを簡単に図に示します。


図マクロセグメンテーションとマイクロセグメンテーション

上記の図では、通常は互いに通信しないユーザとデバイスに対して、マクロセグメンテーション（VN によるセグメンテーション）を使用することを推奨しています。マクロセグメンテーションの使用例を以下に挙げます。

• 仮想ネットワーク A = ユーザ

• 仮想ネットワーク B = デバイス

• 仮想ネットワーク C = ゲスト

たとえば、「Employees（従業員）」グループが「HVAC system（HVAC システム）」グループやビルのセキュリティ「Cameras（カメラ）」グループと通信することは想定していませんが、例外が発生する可能性があります。ファイアウォール/フュージョンルータまたは SD-Access VN エクストラネット機能を利用すれば、これらの通信を制御することができます。

さらに、同じ VN 内の異なるグループ間の通信も、同じファブリックエッジに接続していても、SGT によるマイクロセグメンテーションを使用して制御できます。

たとえば、グループベースのアクセス制御ポリシーを作成して「Contractors（請負業者）」グループが「Employees」グループにアクセスできないように定義することも、「Cameras」グループが「HVAC」グループにアクセスできないようにすることもできます。


図 SD-Access でのポリシーの適用

有線ポリシーとワイヤレスポリシーはいずれも、Cisco DNA Center を使用して SD-Access

で一元的に定義および管理されます。これらのポリシーは、トポロジに依存せず、ユーザおよびデバイスの ID に基づいて、ファブリックエッジおよびボーダーノードで適用されます。エンドポイントのグループ分類は、ファブリックデータプレーンに組み込まれており、SD-Access ファブリックでエンドツーエンドに使用されるため、トラフィックの場所に関係なく適用できます。

ステートフルインスペクションでは、グループベースのポリシーを SGT 対応のファイアウォールや Web プロキシで適用することもできます。

アクセス時のエンドポイントのグループ化

Cisco Identity Services Engine（ISE）では、802.1x、MAC アドレス、プロファイリング、Active Directory ログイン、キャプティブポータルなどのさまざまなメカニズムを使用して、ネットワークに接続するエンドポイントの ID を確立できます。

一般に、ファブリックエッジに接続するユーザまたはデバイスについては、ホストのオンボーディングの一部である、Cisco ISE によるダイナミックグループ割り当てを使用することをお勧めします。ダイナミックグループ割り当てにより、有線またはワイヤレスから接続する際に、エンドポイントに同じポリシーが適用されます。


また、エンドポイント ID が確立されると、Cisco ISE により、エンドポイント ID をグループに関連付けるルールも定義されます。Active Directory グループの属性は、SD-Access で利用するグループ分類を Cisco ISE で定義する際に使用できます。これらのグループを

Cisco DNA Center にインポートすれば、Cisco DNA Center のユーザインターフェイスからポリシーを表示して管理することができます。

図グループポリシーに基づく SD-Access でのユーザアクセス

Cisco DNA Center では、外部のネットワークアクセスコントロール（NAC）システムおよび AAA システムからエンドポイント ID 情報を収集し、それを利用してエンドポイントをグループにマッピングすることもできます。

前述のメカニズムによる ID ベースのアクセスに対応していない環境でも、Cisco DNA

Center を利用することで、ネットワーク管理者は、アクセスポートとグループの関連付けを静的に定義できます。


アプリケーショングループ

Cisco DNA Center では、外部アプリケーションを IP アドレスまたはサブネットに基づいてグループに分類することで、アプリケーションを使用するユーザやエンドポイントに対するポリシーを定義して実装できます。これは、セキュリティ上の理由から事前に定義されたサブネットにアプリケーションがグループ化されているデータセンターで特に重要となります。

シスコアプリケーションセントリックインフラストラクチャ（ACI）をベースにしたデータセンターの場合、Cisco Application Policy Infrastructure Controller（APIC）を利用して、SD-Access のエンドポイントグループをインポートできます。その後、同じグループポリシーモデルに基づいて、ユーザアクセスからアプリケーションまでエンドツーエンドでポリシーを定義できます。これにより、シンプルで拡張性に優れたポリシーの自動実装が可能になるため、ユーザやワークロードのモビリティに対応できるようになります。

詳細と図については、「ファブリック外部接続」の章を参照してください。

シスコのクラウドポリシープラットフォームでは、AWS などのパブリッククラウド環境のワークロード、およびハイブリッドクラウド環境のワークロードをグループにマッピングし、Cisco DNA Center にインポートできます。その後、Cisco DNA Center で、同じグループベースのポリシーコンストラクトを使用して、ユーザ/デバイスエンドポイントとパブリック/ハイブリッドクラウドのアプリケーションとの間でアクセスコントロールポリシーを定義して実装できます。これらのグループポリシーは、ファブリックボーダーや互換性のあるファイアウォールなどのポリシー適用ポイントでインスタンス化できます。


ポリシーの利点

SD-Access の自動化およびアシュアランス機能によって、ネットワーク運用がシンプルになって全体的なコストが低減するだけでなく、ネットワーク運用にポリシー駆動型モデルを導入することで、新しいサービスの導入に必要な時間を短縮し、ネットワーク全体のセキュリティを向上させることができます。以下では、これらの利点について説明します。

インフラストラクチャ設計からポリシーを分離

SD-Access は、VXLAN オーバーレイによってネットワーク接続を抽象化するのと同様に、ポリシーの概念を抽象化し、基盤となるネットワークトポロジから分離します。これにより、個々のポリシー要素をオペレータが手動で定義したり更新したりせずに、ネットワーク設計を変更できるようになります。

SD-Access では、ポリシーの適用にファブリックネットワークインフラストラクチャが活用されるため、トラフィックをファイアウォールに転送する複雑なトラフィックエンジニアリングメカニズムが不要になり、ファイアウォールで IP-ACL が無秩序に増殖することを防げます。

ポリシーをネットワークトポロジから分離することで、より効率的な運用が可能になり、ネットワークをより効果的に使用してポリシーを適用できるようになります。これにより、新しいビジネスサービスの迅速な提供、シームレスなネットワークモビリティの実現、日常のネットワーク管理における全体的な工数削減を中心に、さまざまなビジネス上の利点がもたらされます。

シンプルなポリシー定義

ビジネスと関連させてユーザが理解できる論理的グループに基づいてアクセスコントロールポリシーを管理することで、日々の運用がシンプルになり、セキュリティリスクが軽減されます。また、コンプライアンスの実証に必要な時間と工数が削減され、監査プロセスがシンプルになります。


ポリシーの自動化

ID に基づいてエンドポイントとそのグループを動的に関連付けることで、エンドポイントを適切なネットワークセグメント上に維持するために必要な運用上のオーバーヘッドが削減されます。また、エンタープライズセキュリティ全体が強化され、ユーザやデバイスのモビリティに対応する必要がある環境では特に有効となります。

古い方法で必要な時間や複雑さは、エンタープライズネットワーク内のデバイス数および各デバイスで実行されるタスク数に比例します。SD-Access では、これらのアクティビティがシンプルになるだけでなく、実行も大幅に高速化され、はるかに簡単に設計、導入、運用、管理できるようになります。

Cisco DNA Center では、SD-Access 用の AAA 設定（認証、認可、アカウンティング）も自動化されています。これには、ネットワーク上のユーザやデバイスの認証を開始するためにファブリックエッジデバイスで必要なすべてのグローバルレベルの設定およびポート

レベルの設定が含まれます。Cisco SD-Access ソリューションには AAA テンプレートが用意されているため、ポリシーを簡単に定義してファブリックに展開することができます。

ポリシーベースのエンタープライズオーケストレーション

SD-Access ポリシーモデルでは、セグメンテーション、セキュリティ、コンプライアンス、セキュリティ脅威に対するリアルタイムの対応などの使用例を対象とする、膨大な数のアプリケーションを開発できるプラットフォーム、およびファブリック内で多様なサービスを提供する機能が用意されています。

図クローズドループの自動化およびプログラマビリティプロセス


SD-Access では、Cisco DNA Center の API、豊富なネットワークテレメトリソース、およびインテリジェントな機械学習機能を通じて、「クローズドループ」モデルの概念（上の図を参照）を活用できます。SD-Access で採用可能なこのクローズドループモデルは、SD-

Access ポリシーモデルを活用して「実用的な」意図を SD-Access ファブリックに取り込むさまざまな使用例をサポートしています。


使用されるポリシー

SD-Access ポリシーモデルを活用してさまざまなレベルの脆弱性に対応するセキュリティ運用チームの能力について考えてみましょう。たとえば、一般的なホスト OS で新しい脆弱性が見つかり、そのホストのユーザがネットワークにログオンしているとします。管理エージェントにより、そのホスト OS にはその脆弱性に対するパッチがまだ適用されていないことが確認されています。管理エージェントは、この条件に基づいてこの脆弱性を「脅威」レベルとして識別し、SD-Access ファブリックへの API を利用して、「脅威」レベルのポリシーを適用することができます。

たとえば、ポリシーによって、エンタープライズネットワーク全体でビジネスクリティカルなシステムに対するユーザアクセスは即座に拒否しながら、ビジネスクリティカルでないシステムや、インターネットなどの外部ネットワークへのアクセスは許可することもできます。

これは、SD-Access における IP アドレスに依存しないグループベースのポリシーモデルの機能を示す例です。ネットワークトポロジからポリシーモデルに抽象化された Cisco DNA

Center によって、ポリシーを適用する必要がある各ネットワーク要素が一元管理されます。今日のネットワーク運用ツールおよび運用方法で同じ機能を実現しようとした場合、ネットワークオペレータが手作業を長時間行う必要があり、場合によっては数日かかる可能性もあります。

ネットワークに適用しようとするポリシーの意図を理解することが重要です。Cisco SD-

Access には、デバイスプロファイリングを含むさまざまな機能があります。また、事前に構築された認証テンプレートを利用して、ネットワーク管理者が定義したセキュリティポリシーを簡単に展開できます。


図 Cisco DNA Center と Cisco ISE デバイスのプロファイリング

エンドポイントの ID がわかれば、これらのエンドポイントをグループに割り当てるのは簡単です。エンドポイントとユーザは、さまざまなプロトコルと認証方式を使用してネットワークに対して認証を行うことができます。次のような認証が可能です。

• MAC 認証バイパス（MAB）：MAB が有効になっている場合、エンドポイントの

MAC アドレスを使用してポートベースでアクセス制御します。

• Web 認証：通常、Web ポータルを利用して、インターネットアクセス用のゲスト

ユーザをオンボーディングするために使用されます。

• EasyConnect：別のクレデンシャル（LDAP など）を使用して、ID ベースのネットワークアクセスを導入できます（802.1x やサプリカントは不要）。

• 802.1x（モニタ、ローインパクト、クローズドモード）：802.1x 標準規格では、クライアント/サーバベースのアクセス制御および認証プロトコルが定義されています。モニタモードおよびローインパクトモードでは、ネットワーク管理者が従来の 802.1x（クローズドモード）の「all-or-nothing」アプローチを使用せずに、影響をより正確に測定して制御できるようになるため、802.1x の統合が容易になります。


図段階的なポリシー導入モデル

一般的に、ネットワークへの影響が限られたポリシーを導入しながら、徐々に有線ネットワークに認証や認可を適用する段階的な導入モデルを利用することが推奨されます。

SD-Access により、管理者は、グローバルレベル（すべてのポートでクローズドモードなど）でポリシーを適用することもできますが、ポートまたは選択したポートごとに例外ポリシーを設定することも可能です（ポート 1 ～ 5 はオープンモードにするなど）。

また、SD-Access はサードパーティ製アプリケーションに対しても柔軟に対応し、Cisco DNA Center のオープン API を使用してポリシーを作成し、インスタンス化して、ファブリックに配信することができます。これらの API は、セキュリティ情報およびイベント管理（SIEM）システムなどのアプリケーションを利用している環境で使用することもできます。SIEM システムではネットワークを設定できませんが、ネットワークでポリシーを変更できる SD-Access ファブリックと統合することで、セキュリティオペレータは、SIEM によって識別されたイベントに迅速に対応できるようになります。


SIEM では、ハイリスクのイベントを検出した場合に、特定のユーザやポートを「検疫」して脅威を迅速に封じ込めたり、トラフィックコピーポリシー（Encapsulated Remote

Switched Port Analyzer（ERSPAN）セッションなど）をインスタンス化して詳しく分析したりするために、Cisco DNA Center の API を呼び出して、SD-Access ポリシーの作成または変更を要求することができます。

図 Cisco DNA Center および Cisco ISE API を呼び出すサードパーティ製アプリケーション

この例では、Cisco DNA Center への API 呼び出しによりトラフィックコピーポリシーがトリガーされ、Cisco ISE への API 呼び出しによりユーザが検疫されています。

中継ノードおよび拡張ノードを使用した SD-Access ポリシー適用

分散型 SD-Access 導入では、データは、サイトを相互接続する中継ネットワーク経由で転送されます。

• SD-Access による中継：ネイティブの SD-Access カプセル化を使用してサイトを接続します。

• IP ベースの中継：従来の IP 接続（SD-Access 機能なし）に依存しているため、セキュリティコンストラクトをサイト間で伝送するメカニズムが必要になります。


SD-Access による中継を利用した分散キャンパス設計では、ファブリックサイト（高帯域幅で接続され低遅延）を接続しながら、VRF と SGT を使用して一貫性のあるポリシーとエンドツーエンドのセグメンテーションを実現します。ポリシーの定義とサイトへの導入は

Cisco DNA Center で行われ、マルチファブリックアーキテクチャにおけるファブリック

エッジノードで適用されます。

図 SD-Access による中継を利用した SD-Access ポリシー適用

既存の WAN と従来の IP/MPLS を使用しているお客様の場合、IP ベースの中継を使用して

SD-Access ファブリックを外部ネットワークに接続します。ファブリックコンストラクト（VXLAN、SGT）はボーダーノードで終端するため、SGT がサイト間で伝送されるようにする必要があります。

通常、ファブリックの外側に SGT を伝送するには、次の 2 つの方法があります。

• インラインタギング

• Scalable-Group-Tag Exchange Protocol（SXP）


インラインタギングを使用すると、Cisco Metadata（CMD）ヘッダー内で SGT を伝送できますが、パス内のすべてのデバイスが、次のホップネイバーに伝送されるパケットに

CMD（SGT 含む）を挿入できる必要があります。SXP プロトコルは通常、ネットワーク

デバイスがインラインタギングをサポートしていない場合に使用されます。これにより、TCP 接続を介して IP-SGT マッピング情報をピアと交換できます。SD-Access では、各

VRF に対してボーダーノードと Cisco ISE 間で SXP セッションを確立できます。これにより、交換元のサイトから他のサイトに IP-SGT マッピング情報を転送できます。

図 IP ベースの中継を利用した SD-Access ポリシー適用

従来のユーザやロケーション（駐車場のカメラや、物流センター内のセンサーや照明など）を超えてエンタープライズネットワークを拡張する場合、SD-Access は、一貫したポリシーベースの自動化を産業用イーサネットコンパクトスイッチ（拡張ノード）に拡張します。Cisco DNA Center は、IoT デバイス（カメラや照明など）を SD-Access ファブリックに自動的にオンボーディングできます。また、セグメント化のためにグループベースのポリシーを設定することも可能です。

拡張ノードは、802.1q トランクを介して単一のファブリックエッジに接続されるため、ファブリック VLAN はこれらのスイッチにダウンストリームを拡張できます。拡張ノード上のスイッチポートは、Cisco DNA Center によって静的に IP プールにマッピングされます。


例を挙げましょう。

• 駐車場のカメラは、IP プール 10.10.0.0/16 に割り当てられます。

• 物流センターの照明は、IP プール 20.20.0.0/16 に割り当てられます。

IP プールと SGT のマッピングは、ファブリックエッジで行われます。

• IP プール 10.10.0.0/16 は、カメラの SGT（タグ 25）にマッピングされています。

• IP プール 20.20.0.0/16 は、照明の SGT（タグ 17）にマッピングされています。

これで、SGT に基づいて、グループベースのポリシーを出力ファブリックエッジに適用できるようになります。

図 SD-Access 拡張ノードによるマクロセグメンテーションとマイクロセグメンテーション

SD-Access の自動化

136 SD-Access の自動化

Cisco DNA Center での自動化とオーケストレーション

自動化とオーケストレーションは、「SD-Access の概要」セクションで定義されているように、「ソフトウェア定義型」の概念をキャンパス「アクセス」ネットワークに適用し、ユーザの「意図」を意味のある設定および検証タスクに変換するものです。

Cisco SD-Access では、コントローラベースの自動化（Cisco DNA Center）を、設定およびオーケストレーションの主なモデルとして使用し、有線、ワイヤレス、およびセキュリティネットワークコンポーネントを設計、導入、検証、最適化します。Cisco DNA Center

を使用することで、IT チームはビジネス目標に沿った抽象的なレベルで運用できるようになり、実装の詳細について心配する必要がなくなります。その結果、人為的なエラーが最小限に抑えられ、ネットワーク設計全体の標準化が容易になるため、IT チームにとって運用がシンプルになります。

Cisco DNA Center は、非ファブリックベースとファブリックベースの両方のコンポーネントについて、複数の形式およびレベルで自動化とオーケストレーションを実現します。Cisco DNA

Center の自動化とオーケストレーションの主な原理および概念を以下にまとめます。

俊敏性：ネットワーク環境の設計、導入、最適化に要する時間が短縮されます。Cisco

DNA Center は、次のように俊敏性を実現します。

• 設計の一元化：グローバルおよびローカルのネットワークデバイス設定に関する特

定の要件を含む、さまざまな運用環境に対応する一般的なネットワーク設計、または独自のネットワーク設計を生成、整理、および管理します。

• 導入の自動化：多数のデバイスに設定を迅速に導入して検証を実施します。

• 設計の最適化：オペレータの目的に合わせて、大規模なネットワークのステータスおよび設定の一貫性を確保します。

信頼性：規範的な「ベストプラクティス」のネットワーク設定を一貫した方法で導入します。Cisco DNA Center は次の方法で信頼性を確保します。


• 設定のベストプラクティス：テスト済みの確実な設計と設定により、予測可能な一貫性のあるふるまいを実現します。

• プロファイルベースまたはテンプレートベースの設定：さまざまな設計および設定が、管理しやすいプロファイルやテンプレートのセットに整理されています。

シンプル化：複数のデバイスの設定や統合がシンプルになります。Cisco DNA Center は次のようにしてシンプルにしています。

• 管理の一元化：複数のネットワークコンポーネントや外部サービスに対して設計、

導入、管理を行う際に必要となるすべての機能を、中央の 1 つの場所で提供しています。この場所が信頼できる唯一の情報源となります。

• タッチポイントの削減：ネットワーク運用のために一元化された 1 つのインターフェイスが提供され、個別に操作しなければならない従来の設定作業や管理作業が削減されます。

• プログラム可能なインターフェイス（API）：オペレータは、各自で自由にネットワーク運用を自動化できます。同時に、一元化されたプラットフォームを活用してネットワークの状態変化に対する対応や保守を行うこともできます。

抽象化：ネットワークインフラストラクチャの基盤機能や技術的実装の詳細は抽象化によって隠され、Cisco DNA Center ではわかりやすい概念とコンストラクトが使用されます。このような抽象化から、テクノロジーにとらわれないシンプルなワークフローが実現されます。ワークフローは、物理および論理両方のネットワークトポロジのビューによってサポートされます。

Cisco SD-Access における自動化とオーケストレーション

Cisco SD-Access では、自動化およびオーケストレーションの主要概念をエンタープライズ

キャンパスネットワークに適用しています。有線アクセスやワイヤレスアクセスなどの主要テクノロジーだけでなく、セキュリティおよびアプリケーション最適化のためのサービスやポリシーも含まれます。Cisco SD-Access における自動化とオーケストレーションは、ネットワークアンダーレイ（非ファブリック）とファブリックオーバーレイの 2 つに大きく分類できます。


以下は、ネットワークアンダーレイの主なワークフローです。

• グローバル設定とサイト設定：サイトごとのネットワーク設定（共有サービスなど）の階層型管理。

• デバイスの検出（既存のネットワーク）：既存のネットワークデバイスの検出とインベントリの自動化。

• LAN の自動化（新しいネットワーク）：新しいネットワークデバイスの検出、プロビジョニング、インベントリの自動化。Cisco DNA Center は、シスコのベスト

プラクティスに基づいて各デバイスの設定を作成します。

以下は、ファブリックオーバーレイの主なワークフローです。

• ファブリックサイト：共通のファブリックコントロールプレーンとデータプレー

ンによる、ファブリック対応ネットワークデバイスの自動設定。

• ファブリックデバイスのロール：コントロールプレーン、ボーダー、エッジ、WLC、AP、拡張ノードなど、さまざまなファブリック機能を稼働させるネットワークデバイスの自動設定。

• 中継：中継により、複数のファブリックサイトと外部ドメインを接続できます。

- IP ベース：従来の IP ベースの接続に対する自動ボーダー設定。VN とサイト間のグループコンテキスト情報を手動で再マッピングする必要があります。

- SD-Access による中継：ファブリックサイト間通信用のドメイン全体のコントロールプレーンノードを、ネイティブ SD-Access（LISP、VXLAN、CTS）を使用して自動設定。これには VN とグループコンテキスト情報の転送が含まれています。

• 仮想ネットワーク：ファブリックオーバーレイにおいて仮想ルーティングや仮想フォワーディングのセグメンテーションを実現する機能の自動設定。

• VN エクストラネット：柔軟でスケーラブルな方法で VN 間通信を実現する機能の自動設定。

• グループベースのポリシー：ファブリックオーバーレイにおいてグループベースのポリシーを分類および適用する機能の自動設定。


• ホストオンボーディング：VN、IP プール、スケーラブルグループの割り当て、SSID、L2 など、クライアントをオンボーディングする機能の自動設定。

• マルチキャストサービス：ファブリックオーバーレイにおいて IP マルチキャスト配信を可能にする機能の自動設定。

• 事前検証および事後検証：ファブリックオーバーレイの自動化の前にネットワーク

デバイスの機能と対応状況を確認し、ファブリックオーバーレイの自動化後にネットワークデバイスの適切な動作を検証するためのツール。


Cisco DNA Center による SD-Access の自動化

この章では、Cisco DNA Center プラットフォームの設計、ポリシー、プロビジョニング

ワークフローを使用して、SD-Access の概念を実際に適用する方法について説明します。

ネットワーク設計

大規模企業の IT チームは、業務機能や業務特性がそれぞれ異なる、分散された多くのサイトを管理することが求められます。たとえば、1 つの企業に、小売店、キオスク端末、流通センター、製造所、企業オフィスといったサイトが存在する場合もあります。このようなケースの IT チームは、運用をシンプルするために、業務の特性に基づいて各サイトを 1 つのネットワークプロファイルに標準化したいと考えます。また、サイト固有のパラメータ（サイトごとに異なるログサービスなど）は各サイトのチームが管理やカスタマイズを行えるようにする一方で、ネットワーク認証やポリシーなどのパラメータは企業全体で一貫した定義を保持しなければなりません。

Cisco DNA Center では、論理的なサイト単位でネットワークインフラストラクチャを分類できます。また、組織のネットワークインフラストラクチャの物理的なレイアウトをできるだけ反映するため、建物やフロアの単位で定義することも可能です。さらに、柔軟性を最大限にするために、サイトを複数の階層に分けて定義することもできます。

Cisco DNA Center では、グローバルでもサイト単位でも自動設定できます。また、ネットワークインフラストラクチャのゼロタッチプロビジョニングにも対応しています。これには、新しいインフラストラクチャコンポーネントの自動オンボーディングが可能な、シスコのプラグアンドプレイ（PnP）ソリューションが利用されます。

これらを実現するため、Cisco DNA Center の設計セクションには次のような機能があります。

• ネットワーク階層の作成

• サイト固有のネットワークパラメータ

• サイト単位のネットワークプロファイル


図 Cisco DNA Center のネットワーク階層

ネットワーク設定の適用

Cisco DNA Center の設計ワークフローで定義される設定には、あらかじめ主な構成要素が組み込まれています。これらの構成要素により、（1）導入前にネットワーク設定を検証するコントローラを利用でき、（2）自動化プロセスのほかのフェーズでこのような要素を手動で入力する工数を削減できます。これらの設定は、前述のネットワーク階層に適用され、後続のワークフロー要素でさまざまな目的に使用されます。

このワークフローで定義される設定には、次のようなものがあります。

• 共有サービス設定：AAA、DHCP、NTP、DNS サーバなど。

• クレデンシャル：Cisco DNA Center がネットワークデバイスにアクセスする際に使用。

• IP アドレスプール：クライアントデバイスおよびネットワークデバイス用のプール（LAN（アンダーレイ）自動化、ファブリックボーダー外部接続自動化などを含む）。

• ワイヤレス設定：この後、詳しく説明します。

上位レベルで適用された設定は、デフォルトで下位レベルに継承されます。

特定の設定は、必要に応じて下位レベルでカスタマイズできます。

建物

フロア

サイト

グローバル


ワイヤレスネットワーク設定の計画と構築

Cisco DNA Center でのワイヤレスネットワーク設定は自動化されているため、設計、ポリシー、プロビジョニングといったワークフロー内の 1 つのステップに過ぎません。IP アドレスプール、仮想ネットワーク、スケーラブルグループタグなどの共有要素はワークフローに統合されているので、これらを別に定義する必要はありません。

ワイヤレスネットワークの導入に固有の機能としては、企業とゲストの SSID 設定、無線周波数（RF）最適化パラメータや、サービス品質（QoS）、ファストレーン、Adaptive 802.11r などの重要機能がありますが、これらの設定も Cisco DNA Center 内で定義して導入できます。

ソフトウェアイメージの管理

Cisco DNA Center にはソフトウェアイメージ管理機能（SWIM）が含まれています。これは、ルータ、スイッチ、ワイヤレス LAN コントローラなどのソフトウェアイメージの管理を自動化する機能です。この機能には、Cisco.com からのソフトウェアイメージのダウンロードや配布、アップグレードまたはダウングレードできるようにデバイスが適切に準備されていることを確認する検証チェックが含まれています。

ポリシーの定義

Cisco DNA Center では、論理ネットワークセグメントと、グループベースまたはコンテキストベースのきめ細かいサービスポリシーを各組織で作成できます。また、そのサービスポリシーは、規範的設定としてネットワークインフラストラクチャに自動的に適用されます。

SD-Access ファブリックで自動化できるポリシーは、主に次の 3 種類です。

• セキュリティ：だれが何にアクセスできるのかを決定するアクセスコントロールポ

リシー。グループ間アクセスに関するルールも含まれます。たとえば、グループ A からグループ B への IP アクセスは拒否するなどのルールです。

• QoS：アプリケーションに関するポリシー。QoS サービスを起動して、アプリケーションエクスペリエンスの観点から、ネットワーク上の各ユーザに異なるアクセス方法をプロビジョニングします。

• コピー：トラフィックのコピーに関するポリシー。トラフィックコピーサービスを起動し、特定のトラフィックの流れを監視するように ERSPAN を設定します。


ネットワークのプロビジョニング

ネットワーク設計を定義し終えたら、以下のように自動導入の作業をプロビジョニングします。

• デバイスをサイトに追加する：このステップでは、インベントリのネットワークデ

バイスを、設計ワークフローの中で作成されたサイトに割り当てます。これにより、デバイスでは、サイト単位の設計パラメータを受け入れる準備が整います。

• デバイスをプロビジョニングする：このステップでは、設計ワークフローに基づいて設定のプロビジョニングを行います。このプロビジョニングステップを行うことにより、シスコのベストプラクティスに基づいてサイトの設計で設定されたすべてのパラメータがデバイスにプロビジョニングされます。

ファブリックの作成このステップでは、ファブリックエッジ、ファブリックボーダー、ファブリックコントロールプレーンノードを選択します。また、ファブリック内のデバイスの状態を検証する、事前検証と事後検証も行います。ファブリックは以下のステップで構築します。

1 エッジノードをファブリックに追加します。ファブリック拡張ノードを追加します（オプション）。

2 ファブリックボーダーノードを 1 つ以上選択します。

- 外部ネットワークに接続するには、外部接続や中継接続パラメータを指定する必要もあります。

3 ファブリックコントロールプレーンノードを 1 つ以上選択します。

4 SD-Access ワイヤレス用に、ワイヤレス LAN コントローラを 1 つ以上ファブリックに追加します（オプション）。

5 SD-Access マルチキャスト用に、ファブリックランデブーポイント（RP）を 1 つ以上選択します（オプション）。


1 つのデバイスまたはデバイススタックで複数のロールを組み合わせることができます。たとえば、小規模なサイトでは、コントロールプレーン、ボーダー、エッジ、および WLC ノードが 1 つでかまわない場合があります。これは一般に、一体型ファブリックと呼ばれます。

ゲストの認証 SD-Access ファブリックでのゲスト認証は完全に自動化されており、ゲスト SSID の自動化用ワークフローと Cisco ISE のポリシーを使用することが含まれています。

ホストのオンボーディングホストをオンボーディングすることにより、エンドポイントをファブリックノードに接続できます。ホストオンボーディングのワークフローでは、エンドポイントの認証および分類、スケーラブルグループへの割り当て、仮想ネットワークおよび IP プールへの関連付けといった作業のすべてを行うことができます。これを行うための主なステップは次のとおりです。

1 認証テンプレートの選択：認証をネットワークに適用するプロセスを効率化するため、Cisco DNA Center には事前定義された認証テンプレートが複数用意されています。テンプレートを選択することにより、必要な設定をファブリックエッジに自動的に適用できます。

2 仮想ネットワークおよび IP プールの選択：ユニキャストおよびマルチキャスト用の IP アドレスプールを仮想ネットワーク（VN）に関連付けます。

3 ファブリック SSID の選択：SD-Access ワイヤレスをファブリック対応 IP アドレス

プール（および VN）と統合するために行います。

4 静的なポート設定：ポートレベルでカスタム IP アドレスプール（および VN）と

SGT を設定することができます。

事前検証および事後検証ファブリック作成の各ステップでは、管理者が事前検証を行うことができます。これにより、選択したネットワークデバイスにファブリックのプロビジョニングを受け入れるだけの機能があること、およびそのための設定が正しく行われていることを確認できます。また事後検証では、ファブリックが正常に稼働していることを確認できます。設定時にエラーが報告された可能性のあるデバイスは強調表示されます。このステップにより、想定どおりに機能しない可能性があれば管理者がそれを確実に把握することができます。


まとめ

SD-Access ファブリックを導入する上記の作業が完了すると、進化を続ける使用例に対応するための設定変更を、手動操作ではなく、Cisco DNA Center から簡単に行うことができるようになります。

SD-Access アシュアランス

148 SD-Access アシュアランス

アシュアランスの概要

ネットワークは、新しいビジネス要件に合わせて拡大し、進化する間に複雑化していきます。複雑化の要因はいくつかあります。たとえば、新機能を既存のネットワーク設計やアーキテクチャ上で正常に稼働させる、新機能と既存機能の正常な共存と相互運用性を保証する、業務に支障をきたすことなくインフラストラクチャのライフサイクル管理を適切に実施する、といったものです。

また、ネットワークの役割が大きくなると、ネットワークの停止やパフォーマンスの低下がビジネスに及ぼす影響もそれに比例して大きくなります。そのため IT 部門は、アプリケーションに対する最適な接続とユーザエクスペリエンスを提供することが常に求められます。ユーザは、さまざまな場所から、さまざまなデバイスを使って、さまざまなアプリケーションにアクセスしようとしますが、そのすべてに対応しなければなりません。

多くの IT 部門は、次のような課題を抱えています。

• 事後的なトラブルシューティング：多くの場合 IT 部門は、トラブルが起きてから気

づくため、後からトラブルの原因究明を行わなければなりません。

• 大量のツール：企業には大量のツールが存在します。どのツールも必要な機能の一部しか提供できず、これが複雑化の要因になっています。

• インサイトを得られない：従来のツールで提供されるデータは、多くの場合、相関関係がわかりません。そのため、実際の対策につながるような有用な情報を得ることができません。

Cisco SD-Access におけるアシュアランス

Cisco DNA では、ネットワークの可用性およびリスクを数値化する機能として Assurance が定義されています。このセクションでは、Cisco DNA Assurance および SD-Access との関連について説明します。

全体的なソリューションとしての Cisco DNA Assurance の詳細については、Cisco DNA Assurance の電子書籍（cs.co/assurancebook）を参照してください。

http://cs.co/assurancebook


Cisco DNA Assurance は、SD-Access と連携して、主に 2 つのカテゴリ（ネットワークアンダーレイとファブリックオーバーレイ）において分析情報とインサイトを提供します。

ファブリックアンダーレイに提供される分析情報には以下のものがあります。

• ネットワーク：従来の（非ファブリック）LAN、WLAN、WAN のプロトコルおよ

びテーブル

• デバイス：スイッチ、ルータ、ワイヤレスのソフトウェアおよびハードウェア（CPU、メモリ、温度など）

• クライアント：従来の（非ファブリック）有線および無線クライアントのステータスおよび統計情報

• アプリケーション：従来の（非ファブリック）有線およびワイヤレスフローのステータス、統計情報、パフォーマンス

ファブリックオーバーレイに提供される分析情報には以下のものがあります。

• ファブリック到達可能性：すべてのファブリックノード間の接続チェック

• ファブリックデバイス：ファブリックノードのマッピングエントリ、プロトコル、パフォーマンス

• ファブリッククライアント：クライアントオンボーディングと共有サービス（DHCP、DNS、AAA、RADIUS）

• グループベースのポリシー：Cisco ISE（pxGrid、AAA）、ボーダーノードおよびエッジノードのポリシーエントリ


SD-Access の状態およびインサイト

SD-Access ファブリックの状態

Cisco DNA Center Assurance は、ネットワーク全体の各ソースから収集したさまざまなテレメトリデータを基に相関関係を分析し、実用的なインサイトを提供します。SD-Access と連携しているため、Cisco DNA Assurance は固有のヘルススコアを提供します。これらは、SD-Access ヘルススコアと呼ばれ、次のカテゴリに分類されます。

• システムの状態：スイッチ、ルータ、AP、ワイヤレス LAN コントローラの CPU

使用率やメモリ使用率などのメトリクスが考慮されます。

• データプレーン接続状態：リンクエラーやアップリンクの使用可能状況などのメトリクスが考慮されます。ワイヤレスネットワークの場合は RF 関連の情報も追加で考慮されます。

• コントロールプレーン接続状態：ファブリックコントロールプレーンノードへの接続状態または到達可能性などのメトリクスが考慮されます。

SD-Access ファブリックのインサイト

Cisco DNA Assurance は、前述の図に示すように、SD-Access ファブリックに関する特定のインサイトを提供します。これらは、SD-Access ファブリックインサイトと呼ばれ、次のカテゴリに分類されます。

• コントロールプレーンインサイト：Assurance によって、到達可能性のチェック

（リンクダウン、隣接関係フラッピング）、コントロールプレーン応答時間の測定（遅延）、ネットワークの問題につながる可能性のあるデバイス設定の検証（MTU の不一致）を行い、各結果を関連付けることで、ファブリックアンダーレイとオーバーレイのコントロールプレーンに関するインサイトを提供します。

• データプレーンインサイト：発生する可能性のある問題を事前に検出するために、Assurance は IP SLA を活用し、アンダーレイとオーバーレイの両方においてファブリックボーダーから共有サービスへのプローブを事前に生成します。また、多くのコンテキストを提供するために、パストレース機能も活用します。


• ポリシープレーンインサイト：Assurance では、ネットワーク要素上でのポリシーのインスタンス化の状況を可視化できます。たとえば、TCAM リソース不足のために SGACL がダウンロードやインスタンス化に失敗していないかを確認することができます。

• デバイスインサイト：Assurance は、物理的なネットワークデバイスの CPU、メモリ、温度、環境、ファン、ラインカード、PoE 電源、TCAM テーブルなど多くのリソースを個別に監視します。これにより、ファブリックでの問題発生を未然に防ぐのに役立つ傾向情報を提供することができます。

図ファブリックネットワークの状態


レポート

Cisco DNA Center の今後のリリースでは、事前定義されたレポートとカスタマイズ可能なレポートの両方が提供される予定です。レポートの用途は、キャパシティの計画、クライアントデバイスおよびインフラストラクチャデバイスの全体的なベースラインとパターン変化の特定、ソフトウェアアップグレードやプロビジョニング失敗といった運用作業の状況の把握などです。

Cisco DNA Center Assurance のレポート機能の詳細については、Cisco DNA Assurance の電子書籍（cs.co/assurancebook）を参照してください。

http://cs.co/assurancebook

パートナーエコシステムとの統合

154 パートナーエコシステムとの統合

統合の概要

IT の俊敏性と効率性を向上させるという SD-Access の価値は、その他のシスコ製品とシスコ以外のソリューションや製品を含むエコシステムと統合することでさらに高まります。これらの統合により、お客様は企業全体の環境を容易に管理できるようになります。ネットワークインフラストラクチャを単一のオーケストレーションエンティティとして管理できるので、新しいサービスを短期間で導入でき、ビジネス成果に重点を置くことができます。

こうした統合は、オープンなノースバウンド Cisco DNA Center API を使って構築されます。この API は、ビジネスの目的に応じた豊富なフローを提供し、Data-as-a-Service（サービスとしてのデータ）を実現します。Cisco DNA Center は、統合機能を備えるとともに、独立系ソフトウェアベンダー（ISV）パートナー、お客様、エコシステムパートナーが活用できる開発環境も提供します。たとえば、IT サービス管理（ITSM）や IP アドレス管理（IPAM）との統合があります。ほかにも以下のような機能との統合が可能です。

• API カタログとドキュメンテーション

• 実行時の監視と分析

• API ライフサイクル管理

• サンプルコードおよびスクリプト生成機能


図 Cisco DNA Center プラットフォームエコシステム


API とプログラマビリティ

SD-Access ソリューションの API は、次の 3 つに分類されます。

• デバイス API：個々のネットワークデバイスの設定と運用機能に直接アクセスでき

ます。

• Cisco DNA Center API：ネットワーク全体の自動化およびオーケストレーションを行うときに使用します。

• Cisco ISE API：ユーザおよびデバイスのアクセスに関して豊富なコンテキストデータを使用できます。

この後のセクションで、この 3 種類の API を詳しく説明します。

デバイス API

Cisco IOS® XE をベースにしたネットワークインフラストラクチャデバイスは、IETF と、OpenConfig YANG モデルおよびシスコのネイティブモデルを基盤とする API を備え、NETCONF、RESTCONF、gRPC インターフェイスを介して公開しています。この API は設定の自動化と運用モデルの両方に対応しています。また、新しい Cisco IOS XE デバイス（Catalyst 9000 ファミリ、ASR、ISR）はストリーミングテレメトリにも対応しています。そのため、分析ソリューションでは、YANG データモデルに基づく低遅延のデータストリームを取得することができ、大規模なリアルタイムデータ分析を実現することも可能です。

Cisco DNA Center の API

Cisco DNA Center は、ネットワーク全体の自動化とオーケストレーションに役立つ REST

API を提供しています。この API により、ネットワークを抽象化してとらえることができるため、お客様は大規模なネットワーク自動化を進められます。さらに、Cisco DNA

Center の REST API では運用データも公開する予定です（この運用データは、クライアント、デバイス、アプリケーションの 360 度ビューで、問題、トレンド、インサイトとともに表示されるデータです）。これにより、ビジネスに関連するデータ駆動型ワークフローを外部エンティティから使用したり作成したりすることが可能になります。


Identity Services Engine の API

Cisco Identity Services Engine（ISE）API は、ユーザおよびデバイスのアクセスポリシー、認証および認可イベントなど、ネットワークのふるまいに関するコンテキスト情報を公開します。この API では、ポリシーに関連する設定の自動化も可能です。たとえば、脅威をいち早く封じ込めるために、外部システムからユーザおよびエンドポイントの権限を変更することができます。また、この API は、Platform Exchange Grid（pxGrid）の 1 つとして、100 以上のエコシステムパートナーとの充実した統合を実現できます。 Security Technical Alliance パートナー：https://www.cisco.com/c/m/ja_jp/products/security/technical-alliance-partners.html

https://www.cisco.com/c/m/ja_jp/products/security/technical-alliance-partners.html


エコシステム統合

Cisco DNA Center のオープンなノースバウンド REST API を活用して、Cisco DNA エコシステム内の各種ソリューションを統合することで、SD-Access アーキテクチャからお客様が得られる価値や機能をさらに高めることができます。このエコシステム統合には、さまざまな種類のソリューションが含まれます。例としては、IP アドレス管理、IT サービス管理、パブリッククラウド、外部 SDN オーケストレータ、セキュリティ分析と運用、ファイアウォールを含むセキュリティインフラストラクチャなどがあります。

たとえば、統合によって次のような重要な機能を実現できます。

• 運用およびセキュリティの改善：外部システムと SD-Access のオーケストレーショ

ンにより、お客様は、クローズドループシステムをプログラムで定義して展開することができます。クローズドループシステムでは、ネットワークからインサイトやステータス情報を取得し、それらを外部のデータや機能と組み合わせて分析し、ネットワークに必要な対策をフィードバックすることができます。そのため、自動化や管理のプラットフォームがそれぞれ独立している複数のシステムを単一のオーケストレーションエンティティとして運用することができ、IT の俊敏性や効率性の向上、セキュリティ対策の強化につなげることができます。

• 最善の組み合わせをシンプルに展開：複雑化しながらも技術革新がますます進む環境の中、多くのお客様は、最適なツールを自社の IT 環境に組み込むことによって、顧客やエンドユーザが望む主要機能を実現したいと考えています。オープン API と検証済みの連携機能を活用すれば、オーケストレーションによって包括的に環境を統合することができます。

• テクノロジーへの投資から大きな価値を得る：シスコやシスコ以外の特定のソリューションをすでに導入して標準化しているお客様の場合、エコシステム統合により、SD-Access の導入と同時に、これまでの投資からも最大限の価値を得ることが可能になります。

個々のソリューションやベンダー統合の機能は急速に進化しています。現在開発中の統合テクノロジーパートナーと、SD‐Access との連携機能の例を次に示します。


IP アドレス管理（IPAM）

SD-Access では、IPAM API を利用した、InfoBlox や Bluecat などの主要な IPAM ソリューションとの統合を検証済みです。そのため、IPAM ソリューションで定義した IP アドレス

プールを Cisco DNA Center にインポートして SD-Access で利用することができます。また、Cisco DNA Center で定義した IP アドレスプールを IPAM で使うこともできます。

Cisco Network Services Orchestrator

一部の大規模企業のお客様は、ネットワークオーケストレーションソリューションとして、Cisco Network Services Orchestrator（NSO）をすでに導入しており、NSO の NETCONF/

RESTCONF インターフェイスとインフラストラクチャを使用して、WAN、データセンター、キャンパス導入を自動化しています。Cisco NSO を利用することで、Cisco DNA

Center で公開されている API を使って SD-Access をオーケストレーションし、利用することができます。

SD-Access をネットワークオーケストレータと統合する主なメリットは次のとおりです。

• ネットワーク全体での一貫性：現行のネットワークと NFV/SDN ネットワークで同

一のソリューションを使用できます。

• サービス管理の俊敏性：新しいサービスの導入に要する時間を短縮できます。

• 業界トップレベルのマルチベンダーサポートファイアウォール

ステートフルファイアウォールを使用して、SD-Access 環境でポリシー主導の VN 間通信を実現できます。Cisco ASA と Cisco SD-Access を統合することで、ファイアウォールは、コンテキスト情報（エンドポイントのグループ分類に関するセキュリティコンテキストなど）をすべて利用できるようになります。これにより、ASA ファイアウォールや

Firepower Threat Defense ファイアウォールなどのファイアウォールを通過するトラフィックのポリシー管理やモニタリングを、Cisco DNA Center のポリシーモデルと一貫した方法で簡単に行うことができます。またこの統合は、CheckPoint などのシスコ以外のファイアウォールでも利用できます。


セキュリティ分析

StealthWatch などのセキュリティ分析ソリューションと SD-Access を統合することで、ネットワークチームやセキュリティチームがインシデントにすばやく対応できるようになります。SD-Access の一部として Cisco ISE の Rapid Threat Containment 機能を使用することで、侵害されている、またはその可能性があると StealthWatch によって判断されたホストを簡単に検疫したり、ネットワークでブロックしたりすることができます。

まとめ、次のステップ、参考資料

162 まとめ、次のステップ、参考資料

まとめ

現在の世界では、あらゆるものがネットワークでつながっています。しかし、ユーザやさまざまなデバイスの増加に伴い、一般的な手動のプロビジョニング、モニタリング、トラブルシューティングでは、ネットワークを管理しきれなくなっています。Cisco SD-Access

は、有線とワイヤレスの両方のアクセスに関して、エッジからクラウドに至るまでポリシーベースの自動化およびアシュアランスを実現することで、これらの課題に対応できるように一から設計されています。継続的に注意が必要なネットワークと、組織のニーズをすぐに理解してそれに対応できるネットワークの違いはそこにあります。それは、現在もこの先も、何千もの手動タスクが必要なシステムと、ネットワークではなくビジネスニーズに注力できる自動化されたシステムとの違いです。

Cisco SD-Access を利用すると、組織にさまざまなメリットがあります。

スピードと俊敏性の向上：SD-Access により組織は、ネットワークの新しい革新的な技術を短期間でシームレスに導入できるため、ビジネス要件に迅速に対応してより大きな成果を生み出すことができます。

効率化とより詳しいインサイト：SD-Access では、より安全なネットワークを短期間で導入してネットワーク運用を効率化し、ユーザのネットワーク使用状況や使用中のアプリケーションの動作を把握できるため、コストも削減できます。

リスクの低減：SD-Access では、SD-Access ファブリック固有の機能である統合型セキュリティを活用することで、ネットワークの攻撃対象エリアを縮小し、ユーザ、デバイス、アプリケーションのアクセス制御を細かく設定できます。また、安全性と柔軟性を備えたインフラストラクチャを迅速に導入して、維持していくことができます。

上記はすべて、自動化、ポリシー、アシュアランスといった、シスコによって検証済みの

SD-Access ファブリック内の主要要素によって実現されます。いずれも、Cisco DNA

Center から実行することができます。SD-Access が提供する強力ながら柔軟な手法を用いることにより、よりシンプルに設計、導入、運用できるエンタープライズネットワークを構築できます。


IT 部門は、SD-Access により、ネットワークの管理や保護にかかる時間を大きく削減し、本来の業務に注力することができます。また、全体的なエンドユーザエクスペリエンスも向上します。

図 SD-Access のメリット

出典：シスコの主要なグローバル企業のお客様における社内 TCO（総所有コスト）分析


次のステップ

ここまでの説明で Cisco SD-Access とその利点はご理解いただけたと思います。では、ネットワーク管理者としての次のステップはどのようなものになるでしょうか。さらに、組織として、ソフトウェア定義型の未来に向けてどのようなことが始められるでしょうか。

モバイル、エンタープライズ IoT、クラウドなどの進化の流れに対応し、俊敏で安全なエンタープライズネットワークアーキテクチャを実現することを考えた場合、従来のエンタープライズネットワークにはいくつかの共通した課題があります。SD-Access はそのような課題に対して価値の高いソリューションを提案できます。SD-Access は既存のネットワーク上に導入することも、新しいインフラストラクチャ上に導入することもできます。

主な目標と使用例を特定する

既存のネットワークを SD-Access アーキテクチャに移行するためには、初めに、ネットワーク環境の主な目標または使用例を特定することをお勧めします。今後予測される要件と、直近で対応が必要な要件の両方を検討します。ネットワークアーキテクチャの主な目的が明確になったら、その目的と本書の内容を参考に、組織の使用例および要件と、それを実現できる SD-Access の機能とをマッピングしていきます。

インフラストラクチャが対応できるかを評価する

SD-Access 導入の目標となる使用例が定義されたら、次に、プロジェクトの目標達成のためにネットワークインフラストラクチャのどの部分を SD-Access アーキテクチャに移行するかを明確にします。このときに、Cisco DNA Center と Cisco Identity Services Engine

（ISE）の導入も使用例のニーズに基づいて計画します。また、ソリューション導入のニーズに合うよう、ネットワークインフラストラクチャのハードウェアとソフトウェアの互換性を考慮することもお勧めします。


ポリシーの目的の定義

SD-Access への移行では、多くの場合、ビジネス要件に基づいて適切な関係者とともにポリシーの目的について検討する必要があります。SD-Access のポリシーは、従来の手法とは異なり、ビジネス機能に基づいてネットワーク全体に適用されるため、このような検討が重要になります。検討の結果、グループ構造が設計され、組織のエンドポイントのマッピングに関する主な基準が設定されれば、その後のポリシーの定義と自動化が大いに促進されます。ポリシーの目的を適切に定義すれば、SD-Access による一元的なポリシー自動化のメリットの実現に向けて急速に進み始められます。

最初は、組織を大まかなグループ（従業員かパートナーか、など）に分けることから始めることをお勧めします。その後で、より細かく分類（財務部門か人事部門か、など）します。こうして次第に SD-Access のポリシーモデルの運用に慣れることで、スケーラブルグループの数を増やしていくことができます。

移行を計画し、実行する

既存の環境に SD-Access を取り入れる場合、従来のネットワークをそのまま保持し、それと並行して SD-Access 対応のものだけで構成される新しいネットワークインフラストラクチャを構築するという方法をとることができます。または、最初にネットワークの特定の領域だけを移行し、その後、段階的に移行を進める方法もあります。どちらの場合でも、始めは範囲を限定して導入することをお勧めします。まずは SD-Access のパイロットを実施し、その運用とテクノロジーに慣れてから、徐々に導入範囲や使用例を拡大していきます。


参考資料

Cisco SD-Access についての詳細情報は、以下のサイトでも提供されています。

https://www.cisco.com/jp/go/sda ：SD-Access のすべてのコンポーネントと特長についての

概要および詳細情報（自動化、アシュアランス、サポート対象プラットフォーム）が提供

されています。また、お客様向けの参考資料と事例、SD-Access に関する豊富な最新情報

も提供されています。

www.cisco.com/jp/go/dnacenter ：Cisco DNA Center の概要および詳細情報が提供されてい

ます。

cs.co/sda_tech_paper：SD-Access ソリューションのホワイトペーパー。このホワイトペー

パーでは、Cisco DNA および SD-Access の主要なコンポーネントとその関係のすべてにつ

いて、標準的なレベルの技術的概要が示されています。さらに知識を習得するのに最適な

資料です。

www.cisco.com/jp/go/cvd：SD-Access の設計オプション、運用機能、導入に関する推奨事

項を示した Cisco Validated Design（CVD）です。実際のネットワーク導入における、SD-

Access の設計、運用、利用方法のベストプラクティスを知ることができます。

Cisco Live 365 の主なセッション：

Cisco SD-Access：A Look Under the Hood（詳細説明）— BRKCRS-2810

（https://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-2810）

Cisco SD-Access：Building the Routed Underlay（ルーテッドアンダーレイの構築）—

BRKCRS-2816（http://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-2816）

Cisco SD-Access：External Connectivity（外部接続）— BRKCRS-2811

（https://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-2811）

Cisco SD-Access：Extending Segmentation and Policy into IoT（セグメンテーションとポリ

シーを IoT に拡張）— BRKCRS-2817

（http://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-2817）

https://www.cisco.com/jp/go/sda

https://www.cisco.com/jp/go/dnacenter

http://cs.co/sda_tech_paper

https://www.cisco.com/jp/go/cvd

https://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-2810


http://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-2816









Cisco SD-Access：Migration（移行）— BRKCRS-2812 （https://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-2812）

Cisco SD-Access：Monitoring and Troubleshooting（監視とトラブルシューティング）— BRKCRS-2813 （https://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-2813）

Cisco SD-Access：Assurance（アシュアランス）— BRKCRS-2814 （https://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-2814）

Cisco SD-Access：Policy（ポリシー）— BRKCRS-3811 （https://www.ciscolive.com/global/on-demand-library.html?search=BRKCRS-3811）

Cisco SD-Access：Wireless Integration（ワイヤレス統合）— BRKEWN-2020 （https://www.ciscolive.com/global/on-demand-library.html?search=BRKEWN-2020）

Cisco SD-Access：Data Center Integration（データセンター統合）— BRKDCN-2489 （https://www.ciscolive.com/global/on-demand-library.html?search=BRKDCN-2489）

Cisco SD-Access YouTube チャンネル

www.youtube.com/user/Cisco/search?query=SD-Access









https://www.ciscolive.com/global/on-demand-library.html?search=BRKEWN-2020

https://www.ciscolive.com/global/on-demand-library.html?search=BRKEWN-2020

https://www.ciscolive.com/global/on-demand-library.html?search=BRKDCN-2489

https://www.ciscolive.com/global/on-demand-library.html?search=BRKDCN-2489

https://www.youtube.com/user/Cisco/search?query=SD-Access


略語

AAA：Authentication、Authorization、Accounting（認証、許可、アカウンティング）

ACI：Application-Centric Infrastructure

ACL：Access control list（アクセスコントロールリスト）

AD：Active Directory AP：Access point（アクセスポイント）

API：Application Programming Inter‐ face（アプリケーションプログラミングインターフェイス）

APIC：Application Policy Infrastructure Controller

AWS：Amazon Web Services

BGP：Border Gateway Protocol

CAPWAP：Control And Provisioning of Wireless Access Points（ワイヤレスアクセスポイントの制御およびプロビジョニング）

CDB：Cisco Digital Building

Cisco DNA：Cisco Digital Network Architecture

Cisco ISE：Cisco Identity Services Engine

CDP：Cisco Discovery Protocol

CLI：Command Line Interface（コマンドラインインターフェイス）

CP：Control Plane（コントロールプレーン）

CPP：Cloud Policy Platform（クラウドポリシープラットフォーム）

CUCM：Cisco Unified Communications Manager

DDI：DHCP、DNS、IPAM

DHCP：Dynamic Host Configuration Protocol

DMVPN：Dynamic Multi-point VPN

DNS：Domain Name System（ドメインネームシステム） EPG：EndPoint Group（エンドポイントグループ）

ERSPAN：Encapsulated Remote Switch Port Analyzer

eWLC：embedded Wireless LAN Controller（組み込みワイヤレスコントローラ）

FiaB：Fabric-in-a-box（一体型ファブリック）

GUI：Graphical User Interface（グラフィカルユーザインターフェイス）

HA：High availabilty（高可用性）

HIPAA：Health Insurance Portability and Accountability Act（医療保険の相互運用性と説明責任に関する法律）

HSRP：Hot Standby Routing Protocol

IE：Industrial Ethernet（産業用イーサネット）

IP：Internet Protocol

IPAM：IP Address Management（IP アドレス管理）

IoT：Internet of Things

IS-IS：Intermediate System-to-Intermediate System


ISV：Independent Software Vendor（独立系ソフトウェアベンダー）

IT：Information Technology（情報技術（一般用語））

ITSM：IT Service Management（IT サービス管理）

LAN：Local Area Network（ローカルエリアネットワーク）

LISP：Locator/Identity Separation Protocol

MAC：Media Access Control

MPLS：Multiprotocol Label Switching（マルチプロトコルラベルスイッチング）

NETCONF：Network Configuration Protocol。ネットワークデバイスの設定をインストール、操作、および削除するためのメカニズム。

NGFW：Next-Generation FireWall（次世代ファイアウォール）

OMP：Overlay Management Protocol

OSPF：Open Shortest Path First

OT：Operational Technology（運用・制御技術（一般用語））

PCI：Payment Card Industry（クレジットカード業界）

PIM：Protocol Independent Multicast

PIM-ASM：PIM Any Source Multicast

PIM-SSM：PIM Source-Specific Multicast

PNP：Plug-n-Play（プラグアンドプレイ）

PxGRID：Platform exchange grid REP：Resilient Ethernet Protocol

RESTCONF：Representational State Transfer（REST）インターフェイスに対する YANG ネットワーク管理プロトコル仕様

RP：Rendezvous Point（ランデブーポイント）

SD-Access：Software-Defined Access

SGACL：Scalable Group Access Control List（スケーラブルグループアクセスコントロールリスト）

SGT：Scalable Group Tag（スケーラブルグループタグ）

SGT-aware NGFW：Scalable Group Tag- aware Next-Generation FireWall（スケーラブルグループタグ対応次世代ファイアウォール）

SIEM：Security Information and Event Manager（セキュリティ情報およびイベント管理）

SNMP：Simple Network Management Protocol

SPAN：Switch Port ANalyzer（スイッチポートアナライザ）

STP：Spanning Tree Protocol（スパニングツリープロトコル）

SWIM：Software Image Management （ソフトウェアイメージ管理）

SXP：SGT eXchange Protocol（SGT 交換プロトコル）

TCP：Transmission Control Protocol

UADP：Unified Access Data Plane（ユニファイドアクセスデータプレーン）

UI：User interface（ユーザインターフェイス）

VN：Virtual Network（仮想ネットワーク）

VNI：Virtual Network Instance （仮想ネットワークインスタンス）


VPN：Virtual Private Network（仮想プライベートネットワーク）

VRF：Virtual Routing and Forwarding（仮想ルーティングおよびフォワーディング）

VRRP：Virtual Router Redundancy Protocol

VXLAN：Virtual Extensible Local Area Network

WLC：Wireless LAN Controller（ワイヤレス LAN コントローラ）

WLAN：Wireless Local Area Network（ワイヤレス LAN）

YANG：Yet Another Next Generation。NETCONF や RESTCONF などのネットワーク管理プロトコルで送信されるデータを定義するためのデータモデリング言語

Download pdf - Cisco SD-Access テクニカル ソリューション ガイド...Vaibhav Katkade Vikram Pendharkar Bill Rubino Imran Bashir Jeffrey Meek Jeevak Bhatia Kanu Gupta Meghna Muralinath

Download pdf - Cisco SD-Access テクニカルソリューションガイド...Vaibhav Katkade Vikram Pendharkar Bill Rubino Imran Bashir Jeffrey Meek Jeevak Bhatia Kanu Gupta Meghna Muralinath