SD-Access とワイヤレスを統合するための主なオプションとして、次の 2 つがあります。
• SD-Access ワイヤレス:ファブリックにワイヤレス トラフィックを完全に統合します。
• 従来型ワイヤレスまたはオーバーザトップ(OTT):従来のワイヤレス トラフィッ クがファブリックに引き継がれます。
次の各セクションで、この 2 つのモードの技術的な実装方式について説明します。
SD-Access ワイヤレス
SD-Access ファブリックでは、有線とワイヤレスは、単一の統合インフラストラクチャに組み 込まれており、接続、モビリティ、ポリシー適用に関して同じように動作します。これによ り、アクセス メディアには関係なく、統一されたユーザ エクスペリエンスを提供できます。
コントロール プレーンの統合に関しては、ファブリック ワイヤレス LAN コントローラが、
すべてのワイヤレス クライアントの参加、ローミング、切断についてファブリック コント ロール プレーン ノードに通知します。コントロール プレーン ノードは常に、ファブリッ ク内の有線クライアントとワイヤレス クライアントの両方に関するすべての情報を保持し、
クライアントのロケーションに関する「信頼できる唯一の情報源」として機能します。
データ プレーンの統合に関しては、ファブリック WLC が、ファブリック アクセス ポイン トに対して、隣接するファブリック エッジ ノードへの VXLAN オーバーレイ トンネルを形 成するように指示します。この AP VXLAN トンネルにより、セグメンテーションおよびポ リシーに関する情報がエッジ ノードとの間で送受信され、有線ホストと同じ接続および機 能が実現されます。
ファブリック WLC は、物理的にファブリックの外側、ファブリック ボーダー ノードの外 部に配置されます。この位置は、SD-Access と同じ LAN アンダーレイ内の場合もあります が、ファブリック オーバーレイの外部になります。ファブリック WLC がボーダー ノード に直接接続することも、複数の IP ホップ分離れている(ローカル データセンターなど)こ ともあります。その後、AP のオンボーディングおよび管理(従来の CAPWAP コントロー ル プレーンを利用)のために、ファブリック WLC の IP サブネット プレフィックスをアン ダーレイ ルーティング ドメインにアドバタイズする必要があります。ファブリック WLC は、ボーダーとコントロール プレーンをホストする同じデバイス上で物理的にホストする こともできます(組み込みの WLC 機能は、現在 Catalyst 9000 ファミリ スイッチでのみサ ポートされています)。
ファブリック AP は、ファブリック オーバーレイ内のファブリック エッジ ノードに直接接 続されます。SD-Access 拡張ノードに接続されることもあります。AP は、ファブリック エッジ ノードで拡張サブネット機能およびエニーキャスト ゲートウェイ機能を活用します。
これにより、ファブリック サイト内のすべてのファブリック AP が同じサブネット上に存 在できるようになります。
ファブリック AP はローカル モードで動作するため、ファブリック WLC は、
AP と WLC 間の遅延が 20 ms 以下であるネットワーク上に存在する必要があります。
注
図 SD-Access ワイヤレス展開
WLC でファブリック機能が有効になると、次のように AP の参加プロセスが実行されます。
• AP は、CAPWAP 接続を利用して WLC を初期化し、WLC に参加します(現在と同
様に機能します)。
- AP イメージ管理、ライセンス供与、Radio Resource Management(RRM; 無 線リソース管理)、クライアント認証などのすべての管理トラフィックおよ び制御トラフィックでは、この CAPWAP 接続が活用されます。
• AP が WLC に参加した後、WLC は、AP がファブリックに対応しているかどうかを チェックします。
- 対応している場合は、ファブリック機能が AP で自動的に有効になります。
• 適切なシグナリングが完了すると、AP はファブリック エッジ ノードへの VXLAN トンネルを形成します。
ファブリック機能は WLAN 単位で有効になります。クライアント サブネットおよび L3 ゲートウェイは、オーバーレイ内のファブリック エッジ ノード上に配置されます(WLC 上 に存在する現在の CUWN モデルとは異なります)。
クライアントがファブリック対応ワイヤレス ネットワークに参加すると、次のようにプロセ スが実行されます。
• クライアントは、ファブリックに対して有効な SSID で WLC との認証を行います。
• WLC は AP に対して、ファブリック エッジ ノードへの VXLAN カプセル化を使用し、
そのクライアントの適切な VN/SGT を VXLAN パケットに設定するように通知します。
• WLC は、ファブリック コントロール プレーン ノードのデータベースにクライアント
の MAC アドレスを登録します。
• クライアントが DHCP から自分の IP アドレスを受け取ると、既存のコントロール プ レーン エントリがファブリック エッジ ノードによって更新され、MAC アドレスと IP アドレスがマッピングされて相互に関連付けられます。
• これでクライアントは、ネットワーク内で通信をいつでも開始できます。
SD-Access ワイヤレスでのゲスト アクセス
SD-Access ワイヤレスでは、次の 2 つのいずれかの方法でゲスト アクセスが実現されます。
• WLC とゲスト用の別の VN
• ゲスト アンカーとしての専用 WLC ゲスト用の別の VN
このモードでは、ゲスト ネットワークは、SD-Access ファブリック内で仮想ネットワークが分 離されているだけです。このアプローチでは、別の VN(および必要に応じて各ゲスト ロール に対応する SGT)を使用してエンドツーエンドでファブリックをセグメント化し、ゲスト ト ラフィックを他のエンタープライズ トラフィックから分離します。
このモデルを実現する方法には次の 2 つがあります。
1 エンタープライズ トラフィックと同じコントロール プレーンおよびボーダーを使用する 2 ゲスト トラフィック専用の別のコントロール プレーンおよびボーダーを使用する
- 別のコントロール プレーンとボーダーは、ワイヤレス ゲスト クライアントと 同じサイトでも、別のサイトでもかまいません。
図 共有コントロール プレーンおよびボーダー
このオプションのゲスト VN は、DMZ 内の VRF-Lite を介して、同じボーダーおよびコン トロール プレーンからファイアウォールに拡張されます。
図 (ゲスト)コントロール プレーンおよびボーダーの分離
このオプションでは、ゲストをあらゆるレベルでエンタープライズ ユーザから分離します。
ゲスト ユーザは、「ゲスト」専用のコントロール プレーン ノードに登録されます。ファブ リック エッジ ノードは、分離されたゲスト コントロール プレーン ノードに問い合わせて、
VXLAN でカプセル化されたトラフィックをゲスト ボーダーに転送します。このモードの
ゲスト VN は、DMZ 内の VRF-Lite を介してゲスト ボーダーからファイアウォールに拡張 されます。
ゲスト アンカーとしての WLC コントローラ
図 従来のゲスト アンカー
既存の WLC ゲスト アンカー ソリューションは、現在と同様に機能します。このモードは、
ゲスト アンカー コントローラが DMZ にすでに存在する場合の移行ステップとして使用で きます。この場合、ファブリック WLC とゲスト アンカー コントローラとの間にモビリ ティ トンネルが形成され、ゲスト SSID はアンカー コントローラにアンカリングされます。
すべてのゲストは、コントローラによってゲスト アンカーにトンネリングされます。
従来型ワイヤレスまたはオーバーザトップ
SD-Access では、後方互換性を確保するため、現在の Cisco Unified Wireless Network
(CUWN)および従来の中央集中型ワイヤレス アーキテクチャが完全にサポートされてい ます。このソリューションのワイヤレス インフラストラクチャは、SD-Access ファブリッ ク アーキテクチャを基盤としていますが、SD-Access 有線ネットワークを認識せず、コン トロール プレーン、データ プレーン、ポリシー プレーンに関して、連携もしません(その ため、「オーバーザトップ」と呼ばれます)。
この導入方法によって、完全に統合された SD-Access ワイヤレスに段階的に移行できます。
また、SD-Access と連携したシスコ以外のワイヤレスソリューションの導入にも使用できま す。ただしこのような統合は、導入して使用する前にテストおよび検証を実施する必要が あります。
WLC は、SD-Access ネットワークに接続する際に、ボーダーと直接接続することも、複数 ホップ分離れて接続することもできます。
図 従来の CUWN オーバーザトップ