「IP ベース」の中継エリアには多くの可能性がありますが、SD-Access の IP ベース中継モ デルは、2 つの一般的なアーキテクチャをカバーしています。
• IP ベースの中継 - MPLS VPN 転送
• IP ベースの中継 - DMVPN VPN 転送
IP ベース中継のどちらのモデルも、VRF-Lite と BGP を使用して、外部ネイバーにルー ティング情報(各 VN 用)を提供します。
IP ベースの中継 - MPLS VPN 転送
図 MPLS VPN 転送の例
MPLS-VPN 導入モデルでは、VRF-Lite を使用して、SD-Access ボーダー ノード(MPLS-VPN モデルの CE)から MPLS PE ノードに VN を拡張します。
MPLS カプセル化では、SGT タグをネイティブに転送することはできません。この問題に
対処するために、リモート SD-Access ボーダー ノードでは、SGT 再分類方式(インター フェイス/サブインターフェイスまたはサブネット上で着信パケットに対して SGT を定義で きる)を活用するか、ボーダー ノード間で SXP(SGT 交換プロトコル。IP - SGT 間マッピ ングを拡張する TCP ベースの接続)を活用して、SGT タグを SD-Access ドメイン間でプロ ビジョニングすることができます。ただし、追加の設定や規模に関する検討が必要で、複 雑になることに注意してください。
IP ベースの中継 - DMVPN 転送を利用した VRF-Lite
図 DMVPN 転送を利用した VRF-Lite の例
Dynamic Multipoint VPN(DMVPN)導入モデルでは、VRF-Lite を使用して、SD-Access ボーダー ノードから DMVPN エッジ ルータに VN を拡張します。
DMVPN mGRE カプセル化では、WAN を利用して SGT タグをネイティブに伝送できます。
この方法では、IP/MPLS 中継オプションの場合のように SGT の再分類または SXP を活用 する必要がないため、はるかに簡単なソリューションを実現できます。ただし、新規導入 の場合は、DMVPN による中継よりも、SD-WAN による中継が一般的に推奨されています。
データセンター接続
データセンター相互接続については、アプリケーション セントリック インフラストラク チャ(ACI)の相互運用性に重点を置いて説明します。
このセクションでは、データセンターで ACI が使用されている場合の接続につ いて説明します。データセンターが非 ACI の場合(従来の IP ベースの場合など)、標準の IP ベースの中継ネットワークを介して接続されたボーダーはそのまま機能します(SD-Access と DC ドメイン間のコンテキスト転送は行われません)。
Cisco ACI は、一元的な自動化機能およびポリシー駆動型のアプリケーション プロファイルを
備えた最新のデータセンター アーキテクチャで、Cisco SD-Access と類似しています。ACI で は、ACI ファブリック内でポリシーを定義するための主なポリシー コンストラクトとしてエン ドポイント グループ(EPG)を使用します。SD-Access と同様に、VXLAN で EPG を伝送しま す。EPG は、ACI ファブリック内のアプリケーション ワークロードを識別します。
注
シスコでは、Cisco ISE 2.1 以降でエンドポイント識別子(SGT および EPG)を SD- Access と ACI ファブリック ドメイン間でフェデレーションする機能を提供しています。Cisco ISE は、ユーザが選択した SGT を ACI と共有すると同時に、ACI から EPG を読み取ります。
SGT の共有は、SGT の名前を EPG の名前として ACI ファブリックに書き込む形をとるた め、ACI ソリューションでは、これらのコンストラクトに基づいて特定のポリシーを構築 できます。
その結果、ACI はすべてのポリシー サービスを、SD-Access SGT と ACI EPG 間の関係に 提供できます。上記の説明と同様に、Cisco ISE は EPG を読み取り、pxGrid エコシステム パートナーと共有します。エコシステムには、SD-Access ファブリックを管理する Cisco
DNA Center も含まれます。これにより、SD-Access ファブリックでユーザ/デバイス ポリ
シーおよびアプリケーション ポリシーを作成して適用できます。
図 ポリシー グループ ID フェデレーション
ACI は複数のテナント(各テナントで複数の VRF を使用できる)をサポート しているため、ACI ファブリックにおいて何点か考慮事項があります。SD-Access を ACI ファブリックに接続する方法として推奨されるのは、すべてのテナントに「共有サービス」
VRF を適用して共通のレイヤ 3 外部接続を提供することです。これにより、Cisco ISE はす べての SGT をこの共有 VRF に書き込み、すべてのテナント ポリシーに適用できます。
注
図 SD-Access と ACI 間の共有 VRF
図 pxGrid を介したグループ ID の共有
SD-Access と ACI の統合のもう 1 つのメリットは、ACI から取得した IP および SGT を
(pxGrid エコシステムを介して)他の IT セキュリティ パートナーと共有できることです。
これにより、ユーザ/デバイスおよびアプリケーションの標準化された ID をテレメトリに 含め、Cisco Stealthwatch などのパートナー システムで使用できるようになります。また、
Cisco Web セキュリティ アプライアンス(WSA)や FirePower 次世代ファイアウォールな
どの機能に対するセキュリティ ポリシーで使用することもできます。
共有サービス(DHCP、DNS、IPAM など)
すべてのネットワーク環境で、すべてのエンドポイントに必要な共通のリソースがありま す。一般的な例を次に示します。
• ID サービス(AAA/RADIUS など)
• ドメイン ネーム サービス(DNS)
• Dynamic Host Configuration Protocol(DHCP)
• IP アドレス管理(IPAM)
• モニタリング ツール(SNMP など)
• データ コレクタ(Netflow、syslog など)
• その他のインフラストラクチャ要素
これらの共通リソースは、多くの場合、「共有サービス」と呼ばれます。これらの共有 サービスは、通常、SD-Access ファブリックの外部に存在します。ほとんどの場合、共有 サービスは既存のネットワークのグローバル ルーティング テーブル(GRT)に存在します
(個別の VRF 内にはありません)。
前述のとおり、SD-Access ファブリック クライアントは、仮想オーバーレイ ネットワークで動作します。そのため、共有サービスがグローバル ルーティング スペース に含まれている場合は、VRF 間でルーティングする方法がいくつか必要になります。
注
VRF 間でルーティングするには 2 つの方法があります。