Cisco SD-Access では、自動化およびオーケストレーションの主要概念をエンタープライズ
キャンパス ネットワークに適用しています。有線アクセスやワイヤレス アクセスなどの主 要テクノロジーだけでなく、セキュリティおよびアプリケーション最適化のためのサービ スやポリシーも含まれます。Cisco SD-Access における自動化とオーケストレーションは、
ネットワーク アンダーレイ(非ファブリック)とファブリック オーバーレイの 2 つに大き く分類できます。
以下は、ネットワーク アンダーレイの主なワークフローです。
• グローバル設定とサイト設定:サイトごとのネットワーク設定(共有サービスなど)
の階層型管理。
• デバイスの検出(既存のネットワーク):既存のネットワーク デバイスの検出とイ ンベントリの自動化。
• LAN の自動化(新しいネットワーク):新しいネットワーク デバイスの検出、プ ロビジョニング、インベントリの自動化。Cisco DNA Center は、シスコのベスト プラクティスに基づいて各デバイスの設定を作成します。
以下は、ファブリック オーバーレイの主なワークフローです。
• ファブリック サイト:共通のファブリック コントロール プレーンとデータ プレー ンによる、ファブリック対応ネットワーク デバイスの自動設定。
• ファブリック デバイスのロール:コントロール プレーン、ボーダー、エッジ、
WLC、AP、拡張ノードなど、さまざまなファブリック機能を稼働させるネット ワーク デバイスの自動設定。
• 中継:中継により、複数のファブリック サイトと外部ドメインを接続できます。
- IP ベース:従来の IP ベースの接続に対する自動ボーダー設定。VN とサイト
間のグループ コンテキスト情報を手動で再マッピングする必要があります。
- SD-Access による中継:ファブリック サイト間通信用のドメイン全体のコ
ントロール プレーン ノードを、ネイティブ SD-Access(LISP、VXLAN、
CTS)を使用して自動設定。これには VN とグループ コンテキスト情報の
転送が含まれています。
• 仮想ネットワーク:ファブリック オーバーレイにおいて仮想ルーティングや仮想 フォワーディングのセグメンテーションを実現する機能の自動設定。
• VN エクストラネット:柔軟でスケーラブルな方法で VN 間通信を実現する機能の 自動設定。
• グループベースのポリシー:ファブリック オーバーレイにおいてグループベースの ポリシーを分類および適用する機能の自動設定。
• ホスト オンボーディング:VN、IP プール、スケーラブル グループの割り当て、
SSID、L2 など、クライアントをオンボーディングする機能の自動設定。
• マルチキャスト サービス:ファブリック オーバーレイにおいて IP マルチキャスト 配信を可能にする機能の自動設定。
• 事前検証および事後検証:ファブリック オーバーレイの自動化の前にネットワーク デバイスの機能と対応状況を確認し、ファブリック オーバーレイの自動化後にネッ トワーク デバイスの適切な動作を検証するためのツール。
Cisco DNA Center による SD-Access の自動化
この章では、Cisco DNA Center プラットフォームの設計、ポリシー、プロビジョニング ワークフローを使用して、SD-Access の概念を実際に適用する方法について説明します。
ネットワーク設計
大規模企業の IT チームは、業務機能や業務特性がそれぞれ異なる、分散された多くのサイ トを管理することが求められます。たとえば、1 つの企業に、小売店、キオスク端末、流通 センター、製造所、企業オフィスといったサイトが存在する場合もあります。このような ケースの IT チームは、運用をシンプルするために、業務の特性に基づいて各サイトを 1 つ のネットワーク プロファイルに標準化したいと考えます。また、サイト固有のパラメータ
(サイトごとに異なるログ サービスなど)は各サイトのチームが管理やカスタマイズを行 えるようにする一方で、ネットワーク認証やポリシーなどのパラメータは企業全体で一貫 した定義を保持しなければなりません。
Cisco DNA Center では、論理的なサイト単位でネットワーク インフラストラクチャを分類 できます。また、組織のネットワーク インフラストラクチャの物理的なレイアウトをでき るだけ反映するため、建物やフロアの単位で定義することも可能です。さらに、柔軟性を 最大限にするために、サイトを複数の階層に分けて定義することもできます。
Cisco DNA Center では、グローバルでもサイト単位でも自動設定できます。また、ネット ワーク インフラストラクチャのゼロ タッチ プロビジョニングにも対応しています。これに は、新しいインフラストラクチャ コンポーネントの自動オンボーディングが可能な、シス コのプラグアンドプレイ(PnP)ソリューションが利用されます。
これらを実現するため、Cisco DNA Center の設計セクションには次のような機能があります。
• ネットワーク階層の作成
• サイト固有のネットワーク パラメータ
• サイト単位のネットワーク プロファイル
図 Cisco DNA Center のネットワーク階層
ネットワーク設定の適用
Cisco DNA Center の設計ワークフローで定義される設定には、あらかじめ主な構成要素が 組み込まれています。これらの構成要素により、(1)導入前にネットワーク設定を検証す るコントローラを利用でき、(2)自動化プロセスのほかのフェーズでこのような要素を手 動で入力する工数を削減できます。これらの設定は、前述のネットワーク階層に適用され、
後続のワークフロー要素でさまざまな目的に使用されます。
このワークフローで定義される設定には、次のようなものがあります。
• 共有サービス設定:AAA、DHCP、NTP、DNS サーバなど。
• クレデンシャル:Cisco DNA Center がネットワーク デバイスにアクセスする際に 使用。
• IP アドレス プール:クライアント デバイスおよびネットワーク デバイス用のプール
(LAN(アンダーレイ)自動化、ファブリック ボーダー外部接続自動化などを含む)。
• ワイヤレス設定:この後、詳しく説明します。
上位レベルで適用され た設定は、デフォルト で下位レベルに継承さ れます。
特定の設定は、必要に 応じて下位レベルでカ スタマイズできます。
建物 フロア サイト
グローバル
ワイヤレス ネットワーク設定の計画と構築
Cisco DNA Center でのワイヤレス ネットワーク設定は自動化されているため、設計、ポリ シー、プロビジョニングといったワークフロー内の 1 つのステップに過ぎません。IP アド レス プール、仮想ネットワーク、スケーラブル グループ タグなどの共有要素はワークフ ローに統合されているので、これらを別に定義する必要はありません。
ワイヤレス ネットワークの導入に固有の機能としては、企業とゲストの SSID 設定、無線 周波数(RF)最適化パラメータや、サービス品質(QoS)、ファスト レーン、Adaptive
802.11r などの重要機能がありますが、これらの設定も Cisco DNA Center 内で定義して導
入できます。
ソフトウェア イメージの管理
Cisco DNA Center にはソフトウェア イメージ管理機能(SWIM)が含まれています。これ
は、ルータ、スイッチ、ワイヤレス LAN コントローラなどのソフトウェア イメージの管 理を自動化する機能です。この機能には、Cisco.com からのソフトウェア イメージのダウ ンロードや配布、アップグレードまたはダウングレードできるようにデバイスが適切に準 備されていることを確認する検証チェックが含まれています。
ポリシーの定義
Cisco DNA Center では、論理ネットワーク セグメントと、グループベースまたはコンテキス トベースのきめ細かいサービス ポリシーを各組織で作成できます。また、そのサービス ポリ シーは、規範的設定としてネットワーク インフラストラクチャに自動的に適用されます。
SD-Access ファブリックで自動化できるポリシーは、主に次の 3 種類です。
• セキュリティ:だれが何にアクセスできるのかを決定するアクセス コントロール ポ リシー。グループ間アクセスに関するルールも含まれます。たとえば、グループ A からグループ B への IP アクセスは拒否するなどのルールです。
• QoS:アプリケーションに関するポリシー。QoS サービスを起動して、アプリケー
ション エクスペリエンスの観点から、ネットワーク上の各ユーザに異なるアクセス 方法をプロビジョニングします。
• コピー:トラフィックのコピーに関するポリシー。トラフィック コピー サービスを 起動し、特定のトラフィックの流れを監視するように ERSPAN を設定します。
ネットワークのプロビジョニング
ネットワーク設計を定義し終えたら、以下のように自動導入の作業をプロビジョニングし ます。
• デバイスをサイトに追加する:このステップでは、インベントリのネットワーク デ バイスを、設計ワークフローの中で作成されたサイトに割り当てます。これにより、
デバイスでは、サイト単位の設計パラメータを受け入れる準備が整います。
• デバイスをプロビジョニングする:このステップでは、設計ワークフローに基づい て設定のプロビジョニングを行います。このプロビジョニング ステップを行うこと により、シスコのベスト プラクティスに基づいてサイトの設計で設定されたすべて のパラメータがデバイスにプロビジョニングされます。
ファブリックの作成
このステップでは、ファブリック エッジ、ファブリック ボーダー、ファブリック コント ロール プレーン ノードを選択します。また、ファブリック内のデバイスの状態を検証する、
事前検証と事後検証も行います。ファブリックは以下のステップで構築します。
1 エッジ ノードをファブリックに追加します。ファブリック拡張ノードを追加します
(オプション)。
2 ファブリック ボーダー ノードを 1 つ以上選択します。
- 外部ネットワークに接続するには、外部接続や中継接続パラメータを指定 する必要もあります。
3 ファブリック コントロール プレーン ノードを 1 つ以上選択します。
4 SD-Access ワイヤレス用に、ワイヤレス LAN コントローラを 1 つ以上ファブリッ
クに追加します(オプション)。
5 SD-Access マルチキャスト用に、ファブリック ランデブー ポイント(RP)を 1 つ
以上選択します(オプション)。