ンフラストラクチャ
• Cisco DNA Center:自動化、ポリシー、アシュアランス、統合を実現するインフラ
ストラクチャ
本章では、SD-Access ソリューションの主要なコンポーネントをそれぞれ概説し、以降の 章でさらに詳しく説明します。
SD-Access ファブリック
前述のように、今日のネットワークが複雑である理由の 1 つに、IP アドレス、VLAN、
ACL などのネットワークのコンストラクトにポリシーが関連付けられていることが挙げら れます。
エンタープライズ ネットワークを、目的が異なる 2 つのレイヤに分割できるとしたらどう でしょうか。1 つのレイヤは、物理デバイスの接続およびトラフィック転送の専用とします
(アンダーレイと呼ばれます)。もう 1 つは、有線およびワイヤレスのユーザとデバイス が論理的に接続され、サービスとポリシーが適用される、完全な仮想レイヤです(オー バーレイと呼ばれます)。
これにより、ポリシーの変更はオーバーレイにのみ影響し、アンダーレイには関係しない ため、各サブレイヤの責務が明確に分離され、機能を最大限に活用できるようになります。
また、導入と運用が大幅にシンプルになります。
図 SD-Access の概要
このアンダーレイとオーバーレイの組み合わせを「ネットワーク ファブリック」と呼びます。
オーバーレイとファブリックの概念は、ネットワーク業界では特に新しいものではありま せん。MPLS、GRE、LISP、OTV などの既存の技術はすべて、オーバーレイを導入した ネットワーク トンネリング技術の例です。別の一般的な例は、CAPWAP を使用してワイ ヤレス トラフィック用のオーバーレイ ネットワークを確立する Cisco Unified Wireless Network(CUWN)です。
図 アンダーレイおよびオーバーレイ ネットワーク
SD-Access ファブリックに固有の内容を理解するために、まず、主要な SD-Access コン
ポーネントを定義します。
SD-Access ネットワーク アンダーレイ
SD-Access ネットワーク アンダーレイ(または単にアンダーレイ)は、ルータ、スイッチ、
ワイヤレス LAN コントローラ(WLC)などの物理ネットワーク デバイスと、従来のレイ ヤ 3 ルーティング プロトコルで構成されます。これにより、ネットワーク デバイス間通信 のための、拡張性と復元力に優れたシンプルな基盤が実現されます。ネットワーク アン ダーレイは、クライアント トラフィックには使用されません(クライアント トラフィック にはファブリック オーバーレイが使用されます)。
アンダーレイのすべてのネットワーク要素は、相互に IPv4 接続を確立する必要があります。
つまり、既存の IPv4 ネットワークをネットワーク アンダーレイとして活用することができ ます。アンダーレイでは任意のトポロジやルーティング プロトコルを使用できますが、一 貫性のあるパフォーマンス、拡張性、高可用性を確保するためには、適切に設計されたレ イヤ 3 アクセス トポロジ(ルーテッド アクセス トポロジ)の導入をお勧めします。
ルーテッド アクセス トポロジを使用する(アクセス レイヤまでルーティングを活用する)
ことで、ネットワーク アンダーレイにおける STP、VTP、HSRP、VRRP、およびその他の 類似プロトコルが不要になり、ネットワークが劇的にシンプルになり、さらに復元力や耐 障害性も向上します。また、規範的なネットワーク アンダーレイ上で論理ファブリック ト ポロジを実行することで、マルチパス機能や最適化されたコンバージェンス機能などの組 み込み機能を利用できるようになるため、ネットワークの導入、トラブルシューティング、
管理がシンプルになります。
Cisco DNA Center は、Cisco Validated Design(CVD)のベスト プラクティスに従って ネットワーク デバイスを自動的に検出、プロビジョニング、導入するための規範的な LAN 自動化サービスを提供します。デバイスが検出されると、自動化されたアンダーレイのプ ロビジョニング機能がプラグ アンド プレイ(PnP)を使用して、必要なルーティング プロ トコルと IP アドレスを設定します。
Cisco DNA Center の LAN 自動化機能では、ベストプラクティスの Intermediate System-to-Intermediate System(IS-IS)または Open Shortest Path First(OSPF)のルーテッド ア クセス設計が使用されます。IS-IS または OSPF を使用する主な理由は次のとおりです。
• IS-IS も OSPF も、標準規格をベースにした Shortest Path First(SPF)リンク ス テート ルーティング プロトコルです。
- IS-IS は、大規模な SP/DC ネットワークで一般的で、ファブリック環境向け
のアンダーレイプロトコルとしてデファクト スタンダードです。
- OSPF は、大規模エンタープライズ ネットワークおよび WAN ネットワー
クで一般的で、従来のほとんどのキャンパス ルーティング環境で使用され ています。
• リンク ステート ルーティング プロトコルは、ルーティング テーブル全体をアドバ タイズしません。その代わりに、エリア内のすべてのルータが同じトポロジ データ ベースを使用できるように、ネットワーク トポロジ(直接接続されたリンク、隣接 ルータなど)に関する情報をアドバタイズします。
• リンク ステート ルーティング プロトコルでは、複数レベルの階層(レベルまたは エリアと呼ばれる)が導入されるため、定義されたエリア内のルーティングの更新 情報は、そのエリア外のルータは利用できません。
• リンク ステート ルーティング プロトコルは、クラスレス ルーティングをサポート し、マルチキャスト アドレスを使用して更新情報を送信します。また、ルーティン グ情報のトリガー アップデートも利用します。
• リンク ステート ルーティング プロトコルは、アルゴリズムを使用して、トポロジ 内の他のすべてのノードへの最短パスを判断します。
• リンク ステート ルーティング プロトコルは、ディスタンス ベクター ルーティング プロトコルよりもはるかに高速にコンバージェンスします。
SD-Access ファブリック オーバーレイ
SD-Access ファブリック オーバーレイ(または単にオーバーレイ)は、物理的なアンダー
レイ上に構築される、仮想化された論理的なトポロジです。前述したように、これにはい くつか別の技術を利用する必要があります。
SD-Access ファブリック オーバーレイには、以下のように主要な構成要素が 3 つあります。
• ファブリック データ プレーン:Virtual Extensible LAN(VXLAN)とグループ ポ リシー オプション(GPO)を使用してパケットをカプセル化することで論理オー バーレイが作成されます。
• ファブリック コントロール プレーン:Locator/ID Separation Protocol(LISP)に よって、(VXLAN トンネル エンドポイントに関連付けられた)ユーザとデバイス が論理的にマッピングされ、解決されます。
• ファブリック ポリシー プレーン:アドレスに依存しないスケーラブル グループ タ グ(SGT)およびグループベースのポリシーを使用して、ビジネス上の意図がネッ トワーク ポリシーに変換されます。
VXLAN-GPO は、SD-Access においていくつか優位な点があります。たとえば、レイヤ 2
とレイヤ 3 の両方の仮想トポロジ(オーバーレイ)をサポートしている点、組み込みの ネットワーク セグメンテーション(VRF/VN を使用)およびグループベース ポリシー
(SGT を使用)を使用して任意の IP ベース ネットワークで動作できるといった点です。
LISP では、考えられるすべての宛先の IP アドレスとルートを個々のルータで処理する必要
がないため、従来のルーティング環境が大幅にシンプルになります。これは、一元化された マップ データベース(LISP マップ サーバ/マップ リゾルバ、別名ファブリック コントロー ル プレーン)にリモートの宛先情報を移動することで実現します。このデータベースにより、
各ルータはローカルのルートのみを管理すればよく、宛先エンドポイントはマップ システム に対してクエリを発行することで特定できます。
SD-Access のポリシー
SD-Access の基本的な利点は、ファブリックが提供するサービスに基づいて論理ネット
ワーク ポリシーをインスタンス化できることです。このソリューションが提供するサービ スの例を以下に示します。
• セキュリティ セグメンテーション サービス
• Quality of Service(QoS)
• キャプチャおよびコピー サービス
• アプリケーション可視化サービス
これらのサービスは、デバイス固有のアドレスまたは場所に関係なく、ファブリック全体 で提供されます。
SD-Access のセグメンテーション
セグメンテーションは、セキュリティや IP サブネットのオーバーラップなどの目的で、特定 のユーザ グループまたはデバイス グループを他のグループと分離するために使用されるテク ノロジーです。SD-Access ファブリックでは、VXLAN データプレーンのカプセル化によって、
VXLAN-GPO ヘッダーの Virtual Network Identifier(VNI)フィールドとスケーラブル グ ループ タグ(SGT)フィールドを使用したネットワークのセグメント化が行われます。
SD-Access ファブリックでは、これらのコンストラクトを利用することで、マクロ セグメ
ンテーションとマイクロ セグメンテーションという、階層型ネットワーク セグメンテー ションを簡単に導入できます。
マクロ セグメンテーション:一意のネットワーク識別子および個別の転送テーブルを使用 して、ネットワーク トポロジをより小さな仮想ネットワークに論理的に分離します。これ は、Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)インスタンスと してインスタンス化され、仮想ネットワーク(VN)として参照されます。
マイクロ セグメンテーション:送信元から宛先までアクセス制御を適用することで、VN 内のユーザ グループまたはデバイス グループを論理的に分離します。これは通常、アクセ ス コントロール ポリシーと呼ばれるスケーラブル アクセス グループ アクセス コントロー ル リスト(SGACL)を使用してインスタンス化されます。
仮想ネットワーク(VN)は、SD-Access ファブリック内の論理ネットワーク インスタンス としてレイヤ 2 またはレイヤ 3 のサービスを提供し、レイヤ 3 のルーティング ドメインを 定義します。VXLAN VNI は、レイヤ 2(L2 VNI)とレイヤ 3(L3 VNI)両方のセグメン テーションを実現するために使用されます。