Cisco SD-Access



 ◆ Cisco SD-Accessとは

 
Cisco SD-Access(Cisco Software-Defined Access)とは、SDNコントローラにCisco DNA Center
 使用したCiscoが提供するSDNソリューションのことです。また、Cisco SD-Accessによって提供される
 
Intent Base Networkインテントベースネットワーク)を実現するために、認証とポリシー管理をする
 Cisco ISE(Identity Services Engine)も構成要素の1つとなります。

 ※ Intent Base Network(IBN)とは、ネットワークインフラにインテリジェンスを適用し、意図した
 状態を確保することを目指す新しいテクノロジーの概念のことです。「Intent」の意味は「意図、目的」。


SD-Access 構成要素 役割
Cisco DNA Center

 SDNコントローラ。自動化、ポリシー、アシュアランス、統合を実現するインフラストラクチャ

Cisco DNA ソフトウェア

 自動化、セキュリティ、予測型モニタリング、ポリシー主導アプローチによりインテリジェント
 ネットワークを実現する。

Cisco ISE

 セキュリティアプライアンス。ユーザとデバイスにインテントベースのポリシーを配信できる。

DevNet  オープン API により、エンタープライズ全体に自動化を拡張する。
ワイヤレス製品  お使いのワイヤレスネットワークをパーソナライズして最適化し、セキュリティを確保する。
ルータ  アプリケーション、サービス、統合テクノロジーにアクセスできるようにする。
スイッチ  単一のファブリックでデジタル対応ネットワークをシンプルにして、保護する。




 ◆ Cisco SD-Access - 4つの利点

 SD-AccessによるSDNソリューションは「自動化、ポリシー、アシュアランス、統合」の利点があります。

SD-Accessの利点 説明
自動化


 プラグアンドプレイで新しいネットワーク デバイスの導入をシンプルにし、
 有線および無線ネットワーク設定のプロビジョニングを一貫して管理できる。

分かりやすいポリシー

 ネットワークの自動セグメンテーションとグループベースのポリシーを実現。

アシュアランス


 状況に応じたインサイトによって迅速な問題解決とキャパシティプランニングを実現。
 ※ ここでいう「アシュアランス」は「安全性の保証や信頼性」を意味する。

統合  プログラム可能なオープン インターフェイスでサードパーティ製ソリューションを統合



 SD-AccessによるSDNソリューション、つまり、SDNコントローラに「Cisco DNA Center」を導入した
 ネットワークでは、ネットワーク上にある多数のネットワーク機器の運用管理をよりシンプルに最適化し、
 テンプレートにより、ネットワーク全体のポリシー設計、プロビジョニング、アシュアランスを直感的に
 行うことができて、管理者の運用管理の負担を大幅に低減します。



 

 Source:Cisco Digital Network Architecture P4


 ◆ Cisco SD-Access - 2つの主要なレイヤ

 Cisco SD-Accessソリューションは、複数の拠点にわたり「 接続、セグメンテーション、ポリシー 」の
 一貫性を確保するエンドツーエンドアーキテクチャを提供します。このアーキテクチャは、2つの主要な
 レイヤ(Cisco DNA Center・SD-Accessファブリック)で説明することができます。

主要な構成要素 説明
Cisco DNA Center

 SDNコントローラ。自動化、ポリシー、アシュアランス、統合を実現するインフラストラクチャ。

SD-Accessファブリック

 物理的および論理的なネットワーク フォワーディング インフラストラクチャ



  



 SD-Accessファブリックは、SD-Accessを提供する物理ネットワークとそのネットワーク上に
VXLAN
 論理ネットワークを作成してネットワークサービスを提供しています。SD-Accessを提供する物理ネット
 ワークはSDNの「
アンダーレイネットワーク」と言います。そして、VXLANによる論理ネットワークは
 SDNの「
オーバーレイネットワーク」と言います。

 なお、オーバーレイとファブリックの概念は新技術ではなく、例えば MPLS、GRE、LISP、OTV などの
 既存技術もオーバーレイを導入したネットワーク トンネリング技術と言うことができます。


    


 SD-Accessの「アンダーレイ」と「オーバーレイ」の組合わせを
ネットワーク ファブリックと言います。


 ◆ Cisco SD-Access - アンダーレイ

 SD-Accessアンダーレイは、Ciscoルータ、Catalystスイッチ、WLC、AP等の物理ネットワークデバイスと
 従来のL3ルーティングプロトコルで構成されます。
アンダーレイの全てのネットワーク機器は相互にIPv4で
 接続を確立している必要
があります。

 SDNコントローラの Cisco DNA Center は、ネットワーク デバイスを自動的に検出、プロビジョニング、
 導入するための規範的なLAN自動化サービスを提供します。デバイス(ネットワーク機器)が検出されると
 
自動化されたアンダーレイのプロビジョニング機能が、プラグ アンド プレイ(PnP)を使用して、必要な
 ルーティングプロトコルとIPアドレスを設定します。

 Cisco DNA Center のLAN自動化機能では、
IS-ISまたはOSPFのルーテッドアクセス設計が使用されます。



 ◆ Cisco SD-Access - オーバーレイ


 SD-Accessオーバーレイは、物理的なアンダーレイ上に構築される仮想化された論理ネットワークですが、
 このオーバーレイには以下の3つの主要な構成要素があります。

オーバーレイのコンポーネント 説明
ファブリック
データプレーン


 
VXLANGPO(グループポリシーオプション)を使用して、
 
パケットをカプセル化することで論理オーバーレイが作成される。

ファブリック
コントロールプレーン


 
LISP(Locator/ID Separation Protocol)により、VXLANトンネル エンドポイントに
 関連付けられた
ユーザとデバイスが論理的にマッピングされて、解決される。

ファブリック
ポリシープレーン


 アドレスに依存しない
SGT(スケーラブル グループ タグ)とグループベースの
 ポリシーを使用して、ビジネス上の意図がネットワークポリシーに変換される。


 SDNコントローラであるCisco DNA Centerでは、IPアドレスに依存しない
スケーラブルグループによる
 アクセス制御をGUI上にて設定できます。先ず、管理者がユーザやデバイスをグループとして定義します。
 次に、
SGT(Scalable Group Tag)と呼ばれるタグを管理者が定義したグループに割り当てます。最後に
 そのSGTごとに、許可や拒否のアクセスポリシーを適用すれば完了します。
 
※ CCOでは、SGTは「 スケラーブルグループタグ 」と「 拡張可能グループタグ 」という用語で使用されている場合があります。




 ◆ Cisco SD-Access - ファブリック コンポーネント

 SD-Accessファブリックを構成する主なコンポーネント(ここではノード)は以下の通りです。

ファブリックのコンポーネント 説明
ファブリック
コントロールプレーンノード


 
一元化されたデータベースとして機能して、全てのユーザとデバイスを
 ファブリックネットワークへの接続時とローミング時にトラッキングするノード。
 
LISP Map-Server(MS)機能と Map-Resolver(MR)機能をベースにしている。

ファブリック
ボーダーノード


 
SD-Accessファブリックを「従来のL2/L3ネットワーク」または「別のファブリック」
 に接続する役割を担うノード。

ファブリック
エッジノード


 エンドポイントをファブリックに接続し、エンドポイントとファブリック間の
 トラフィックをカプセル化/カプセル化解除して転送する役割を担っているノード。



    


 ◆ LISP

 SD-Accessのオーバーレイ(論理ネットワーク)は、主に
VXLANLISPのプロトコルで成立しています。
 SD-Accessでは
コントロールプレーンはLISPを使用して論理ネットワーク内のルーティング情報を作成し
 
データプレーンはVXLANを使用してデータ転送をします。LISPもVXLANもトンネリング技術を使用します。

 LISP(Locator/ID Separation Protocol)は、デバイスのエンドポイントID(
EID)としてのIPアドレス
 またはMACアドレスと、デバイスのネットワーク上の位置を示すルーティングロケータ(
RLOC)として
 提供する「
追加のIPアドレス」に基づいてルーティングできます。つまり、LISPを使用することによって
 SD-Accessファブリックのエッジノードは、全てのエッジノードのIPアドレスやネクストホップアドレス
 を知ることなく通信をすることができます。LISPが「トンネリングプロトコル」として動作するからです。

LISPの構成要素 説明
EID(Endpoint ID

 エンドポイント(デバイス)のIPアドレス

RLOC(Routing Locator)

 LISPを有効にしているルータのIPアドレス




 ◆ Cisco DNA Center

 Cisco DNA Center( Cisco Digital Network Architecture Center )は、
Cisco SD-Accessで使用される
 SDNコントローラ
です。企業向けのインテント ベース ネットワークでネットワーク管理を担う中枢部です。

 有線/無線LANのネットワーク設計、プロビジョニング、ポリシー適用、作成などのオペレーションをGUIで
 実施することができます。以下はCisco DNA Centerのダッシュボードです。一般的な設定の流れとしては、
 先ず最初に「Tools」にある「Discovery」でネットワークデバイスを「Inventory」に登録します。続いて、
 「Design」→「Policy」→「Provision」の流れで設定していくことで、SD-Access上の論理ネットワークで
 通信ができるようになります。

 


 上記の設定の流れの前提として、Cisco DNA CenterとCisco ISEでは、IPアドレスや基本設定、連携設定を
 完了させた状態にします。また、Cisco ISEでは、ネットワーク認証設定、アクセスコントロールに使用する
 TrustSecグループ(スケーラブルグループ)設定に加えて「ユーザとグループ」と「グループと論理ネット
 ワーク」の対応設定を行っておくことです。SD-Accessファブリックに組み込むネットワークデバイスでは
 基本設定と、Loopbackアドレスの交換とDNA Centerから各機器にアクセスできるようルーティング設定を
 行っておく必要もあります。



 ◆ Cisco DNA Center:主要対応製品

   



   

 Source:Cisco Digital Network Architecture P10-11



仮想化技術(サーバ仮想化・ネットワーク仮想化)

ネットワークエンジニアとして

Copyright (C) 2002-2020 ネットワークエンジニアとして All Rights Reserved.