|
◆ Cisco SD-Accessとは
Cisco SD-Access(Cisco Software-Defined Access)とは、SDNコントローラにCisco DNA Centerを
使用したCiscoが提供するSDNソリューションのことです。また、Cisco SD-Accessによって提供される
Intent Base Network(インテントベースネットワーク)を実現するために、認証とポリシー管理をする
Cisco ISE(Identity Services Engine)も構成要素の1つとなります。
※ Intent Base Network(IBN)とは、ネットワークインフラにインテリジェンスを適用し、意図した
状態を確保することを目指す新しいテクノロジーの概念のことです。「Intent」の意味は「意図、目的」。
| SD-Access 構成要素 |
役割 |
| Cisco DNA Center |
SDNコントローラ。自動化、ポリシー、アシュアランス、統合を実現するインフラストラクチャ
|
| Cisco DNA ソフトウェア |
自動化、セキュリティ、予測型モニタリング、ポリシー主導アプローチによりインテリジェント
ネットワークを実現する。
|
| Cisco ISE |
セキュリティアプライアンス。ユーザとデバイスにインテントベースのポリシーを配信できる。
|
| DevNet |
オープン API により、エンタープライズ全体に自動化を拡張する。 |
| ワイヤレス製品 |
お使いのワイヤレスネットワークをパーソナライズして最適化し、セキュリティを確保する。 |
| ルータ |
アプリケーション、サービス、統合テクノロジーにアクセスできるようにする。 |
| スイッチ |
単一のファブリックでデジタル対応ネットワークをシンプルにして、保護する。 |
◆ Cisco SD-Access - 4つの利点
SD-AccessによるSDNソリューションは「自動化、ポリシー、アシュアランス、統合」の利点があります。
| SD-Accessの利点 |
説明 |
| 自動化 |
プラグアンドプレイで新しいネットワーク デバイスの導入をシンプルにし、
有線および無線ネットワーク設定のプロビジョニングを一貫して管理できる。
|
| 分かりやすいポリシー |
ネットワークの自動セグメンテーションとグループベースのポリシーを実現。
|
| アシュアランス |
状況に応じたインサイトによって迅速な問題解決とキャパシティプランニングを実現。
※ ここでいう「アシュアランス」は「安全性の保証や信頼性」を意味する。
|
| 統合 |
プログラム可能なオープン インターフェイスでサードパーティ製ソリューションを統合。 |
SD-AccessによるSDNソリューション、つまり、SDNコントローラに「Cisco DNA Center」を導入した
ネットワークでは、ネットワーク上にある多数のネットワーク機器の運用管理をよりシンプルに最適化し、
テンプレートにより、ネットワーク全体のポリシー設計、プロビジョニング、アシュアランスを直感的に
行うことができて、管理者の運用管理の負担を大幅に低減します。
Source:Cisco Digital Network Architecture P4
◆ Cisco SD-Access - 2つの主要なレイヤ
Cisco SD-Accessソリューションは、複数の拠点にわたり「 接続、セグメンテーション、ポリシー 」の
一貫性を確保するエンドツーエンドアーキテクチャを提供します。このアーキテクチャは、2つの主要な
レイヤ(Cisco DNA Center・SD-Accessファブリック)で説明することができます。
| 主要な構成要素 |
説明 |
| Cisco DNA Center |
SDNコントローラ。自動化、ポリシー、アシュアランス、統合を実現するインフラストラクチャ。
|
| SD-Accessファブリック |
物理的および論理的なネットワーク フォワーディング インフラストラクチャ。
|
SD-Accessファブリックは、SD-Accessを提供する物理ネットワークとそのネットワーク上にVXLANで
論理ネットワークを作成してネットワークサービスを提供しています。SD-Accessを提供する物理ネット
ワークはSDNの「アンダーレイネットワーク」と言います。そして、VXLANによる論理ネットワークは
SDNの「オーバーレイネットワーク」と言います。
なお、オーバーレイとファブリックの概念は新技術ではなく、例えば MPLS、GRE、LISP、OTV などの
既存技術もオーバーレイを導入したネットワーク トンネリング技術と言うことができます。
SD-Accessの「アンダーレイ」と「オーバーレイ」の組合わせをネットワーク ファブリックと言います。
◆ Cisco SD-Access - アンダーレイ
SD-Accessアンダーレイは、Ciscoルータ、Catalystスイッチ、WLC、AP等の物理ネットワークデバイスと
従来のL3ルーティングプロトコルで構成されます。アンダーレイの全てのネットワーク機器は相互にIPv4で
接続を確立している必要があります。
SDNコントローラの Cisco DNA Center は、ネットワーク デバイスを自動的に検出、プロビジョニング、
導入するための規範的なLAN自動化サービスを提供します。デバイス(ネットワーク機器)が検出されると
自動化されたアンダーレイのプロビジョニング機能が、プラグ アンド プレイ(PnP)を使用して、必要な
ルーティングプロトコルとIPアドレスを設定します。
Cisco DNA Center のLAN自動化機能では、IS-ISまたはOSPFのルーテッドアクセス設計が使用されます。
◆ Cisco SD-Access - オーバーレイ
SD-Accessオーバーレイは、物理的なアンダーレイ上に構築される仮想化された論理ネットワークですが、
このオーバーレイには以下の3つの主要な構成要素があります。
| オーバーレイのコンポーネント |
説明 |
ファブリック
データプレーン |
VXLANとGPO(グループポリシーオプション)を使用して、
パケットをカプセル化することで論理オーバーレイが作成される。
|
ファブリック
コントロールプレーン |
LISP(Locator/ID Separation Protocol)により、VXLANトンネル エンドポイントに
関連付けられたユーザとデバイスが論理的にマッピングされて、解決される。
|
ファブリック
ポリシープレーン |
アドレスに依存しないSGT(スケーラブル グループ タグ)とグループベースの
ポリシーを使用して、ビジネス上の意図がネットワークポリシーに変換される。
|
SDNコントローラであるCisco DNA Centerでは、IPアドレスに依存しないスケーラブルグループによる
アクセス制御をGUI上にて設定できます。先ず、管理者がユーザやデバイスをグループとして定義します。
次に、SGT(Scalable Group Tag)と呼ばれるタグを管理者が定義したグループに割り当てます。最後に
そのSGTごとに、許可や拒否のアクセスポリシーを適用すれば完了します。
※ CCOでは、SGTは「 スケラーブルグループタグ 」と「 拡張可能グループタグ 」という用語で使用されている場合があります。
◆ Cisco SD-Access - ファブリック コンポーネント
SD-Accessファブリックを構成する主なコンポーネント(ここではノード)は以下の通りです。
| ファブリックのコンポーネント |
説明 |
ファブリック
コントロールプレーンノード |
一元化されたデータベースとして機能して、全てのユーザとデバイスを
ファブリックネットワークへの接続時とローミング時にトラッキングするノード。
LISP Map-Server(MS)機能と Map-Resolver(MR)機能をベースにしている。
|
ファブリック
ボーダーノード |
SD-Accessファブリックを「従来のL2/L3ネットワーク」または「別のファブリック」
に接続する役割を担うノード。
|
ファブリック
エッジノード |
エンドポイントをファブリックに接続し、エンドポイントとファブリック間の
トラフィックをカプセル化/カプセル化解除して転送する役割を担っているノード。
|
◆ LISP
SD-Accessのオーバーレイ(論理ネットワーク)は、主にVXLANとLISPのプロトコルで成立しています。
SD-AccessではコントロールプレーンはLISPを使用して論理ネットワーク内のルーティング情報を作成し
データプレーンはVXLANを使用してデータ転送をします。LISPもVXLANもトンネリング技術を使用します。
LISP(Locator/ID Separation Protocol)は、デバイスのエンドポイントID(EID)としてのIPアドレス
またはMACアドレスと、デバイスのネットワーク上の位置を示すルーティングロケータ(RLOC)として
提供する「追加のIPアドレス」に基づいてルーティングできます。つまり、LISPを使用することによって
SD-Accessファブリックのエッジノードは、全てのエッジノードのIPアドレスやネクストホップアドレス
を知ることなく通信をすることができます。LISPが「トンネリングプロトコル」として動作するからです。
| LISPの構成要素 |
説明 |
| EID(Endpoint ID |
エンドポイント(デバイス)のIPアドレス
|
| RLOC(Routing Locator) |
LISPを有効にしているルータのIPアドレス
|
◆ Cisco DNA Center
Cisco DNA Center( Cisco Digital Network Architecture Center )は、Cisco SD-Accessで使用される
SDNコントローラです。企業向けのインテント ベース ネットワークでネットワーク管理を担う中枢部です。
有線/無線LANのネットワーク設計、プロビジョニング、ポリシー適用、作成などのオペレーションをGUIで
実施することができます。以下はCisco DNA Centerのダッシュボードです。一般的な設定の流れとしては、
先ず最初に「Tools」にある「Discovery」でネットワークデバイスを「Inventory」に登録します。続いて、
「Design」→「Policy」→「Provision」の流れで設定していくことで、SD-Access上の論理ネットワークで
通信ができるようになります。
上記の設定の流れの前提として、Cisco DNA CenterとCisco ISEでは、IPアドレスや基本設定、連携設定を
完了させた状態にします。また、Cisco ISEでは、ネットワーク認証設定、アクセスコントロールに使用する
TrustSecグループ(スケーラブルグループ)設定に加えて「ユーザとグループ」と「グループと論理ネット
ワーク」の対応設定を行っておくことです。SD-Accessファブリックに組み込むネットワークデバイスでは
基本設定と、Loopbackアドレスの交換とDNA Centerから各機器にアクセスできるようルーティング設定を
行っておく必要もあります。
◆ Cisco DNA Center:オープンプラットフォーム機能
Cisco DNA Centerでは、API、SDK、アダプタを提供することによって、ポリシー、自動化、分析機能を
外部のアプリケーションやシステムにまで拡張しています。Cisco DNA Centerオープンプラットフォームは
複数のコンポーネントにまたがる拡張性を提供しており、これには以下のものが含まれます。
・ インテントベースAPI
・ プロセスアダプタ
・ ドメインアダプタ
・ SDK(ソフトウェア開発キット)
◆ Cisco DNA Center:主要対応製品
Source:Cisco Digital Network Architecture P10-11
|