インテントベース ネットワーキングを実現
第 2 版
Dave Zacks
Josh Suhr
Karthik Kumar Thatikonda
Kedar Karmarkar
Sanjay Hooda
Satish Kondalam
Saurav Prasad
Shawn Wargo
Simone Arena
Vaibhav Katkade
Vikram Pendharkar
Bill Rubino
Imran Bashir
Jeffrey Meek
Jeevak Bhatia
Kanu Gupta
Meghna Muralinath
Shane DeLong
Tarunesh Ahuja
Cisco SD-Access
インテントベース ネットワーキングを実現
第 2 版謝辞 10 本書の構成 11 対象者 12 執筆の方法論 13 第 2 版での更新内容 14
概要
17
エグゼクティブ サマリー 18 ネットワークの進化:課題 20SD-Access の概要
29
SD-Access の概要 30 SD-Access の利点 40SD-Access ファブリック
47
ファブリック コンポーネント 48 ファブリックの動作 53 ファブリックに関する考慮事項 64 ファブリックの導入モデル 66 外部接続 75 ファブリック パケット ウォーク 88SD-Access のポリシー
111
ポリシーとサービスの概要 112 ポリシーのアーキテクチャ 120 ポリシーの利点 125 使用されるポリシー 128SD-Access の自動化
135
Cisco DNA Center での自動化とオーケストレーション 136 Cisco DNA Center による SD-Access の自動化 140
SD-Access アシュアランス
147
アシュアランスの概要 148 SD-Access の状態およびインサイト 150 レポート 152パートナー エコシステムとの統合
153
統合の概要 154 API とプログラマビリティ 156 エコシステム統合 158次のステップ 164
参考資料 166
作成者
本書は、カリフォルニア州サンノゼにあるシスコ本社で 1 週間にわたって実施された集中 セッションにおいて、テクニカル マーケティング、製品管理、アドバンスド サービス、エ ンジニアリング、セールス エンジニアの諸チームが取り組んだコラボレーションの成果物 です。 • Craig Hill:システム エンジニアリング • Darrin Miller:テクニカル マーケティング • Dave Zacks:テクニカル マーケティング • Josh Suhr:カスタマー エクスペリエンス• Karthik Kumar Thatikonda:テクニカル マーケティング
• Kedar Karmarkar:テクニカル マーケティング • Sanjay Hooda:エンジニアリング • Satish Kondalam:テクニカル マーケティング • Saurav Prasad:テクニカル マーケティング • Shawn Wargo:テクニカル マーケティング • Simone Arena:テクニカル マーケティング • Vaibhav Katkade:製品管理 • Vikram Pendharkar:製品管理
もう 1 つの作成者グループが本書の最新版に寄稿し、2019 年 4 月に完了しました。 • Bill Rubino:マーケティング • Dave Zacks:テクニカル マーケティング • Imran Bashir:テクニカル マーケティング • Jeffrey Meek:マーケティング • Jeevak Bhatia:製品管理 • Kanu Gupta:テクニカル マーケティング • Meghna Muralinath:テクニカル マーケティング • Sanjay Hooda:エンジニアリング • Shane DeLong:カスタマー エクスペリエンス • Shawn Wargo:テクニカル マーケティング • Tarunesh Ahuja:テクニカル マーケティング
謝辞
本書の実現を支えてくれたシスコのエンタープライズ ネットワーク ビジネス製品管理、 エンジニアリング、セールス、サービスの各チームに感謝します。また、作業期間をとお してリソースの編成とサポートに優れた手腕を発揮した Cynthia Resendez と、すべてが円 滑に進行し、作成者全員が最後までやり遂げられるように手配した Sehjung Hah にも感謝 します。 あわせて、Book Sprints(www.booksprints.net)チームにも心より感謝申し上げます。 • Adam Hyde(創立者) • Barbara Ruhling(CEO) • Faith Bosworth(ファシリテータ)• Henrik van Leeuwen(イラストレータ)
• Juan Carlos Gutiérrez Barquero(テクニカル サポート)
• Julien Taquet(書籍製作責任者) • Laia Ros(ファシリテータ) • Raewyn Whyte(校正者) Laia や Faith の率いるチームが環境を整えてくれたおかげで、拡大する需要に応えるべく、 私たちはコラボレーションと技術的スキルを駆使してこの技術書を作り上げることができ ました。
この取り組みを支えてくれた Carl Solder、Rohan Grover、Victor Moreno、Misbah Rehman、Muninder Sambi、Shyam Maniyar、Dan Kent、Anoop Vetteth、Yi Xue、 Ronnie Ray、Bipin Kapoor、Kevin Skahill、Ziad Sarieddine、Jeff McLaughlin、Nicolas Coulet、Christina Munoz、Ramit Kanda に感謝します。
本書の構成
本書は順序どおりに読まれるよう意図されています。各章は見直される可能性があります が、本書で扱う概念は順序立てて記述されているため、提示されている順序でトピックを 読むことをお勧めします。 本書で扱うトピックには、SD-Access の概要、企業におけるビジネスの促進要因、企業の IT 部門がそれらのビジネス成果を実現する上での課題が含まれています。次に、SD-Access の概要を説明し、SD-Access ソリューションの概略を紹介するとともに、従来のネットワー ク ツールや手法では解決できなかったいくつかの課題を SD-Access によってどのように解 消できるのかを説明します。続けて、コンポーネント、運用、導入オプションなど、SD-Access の背後にあるテクノロジーを詳しく説明します。さらに、SD-消できるのかを説明します。続けて、コンポーネント、運用、導入オプションなど、SD-Access のワークフ ローを促進する自動化およびオーケストレーションのフレームワークである Cisco DNA Center® について説明します。ポリシー、自動化、アシュアランスなどの詳細についても取 り上げます。最後に、パートナー エコシステムとの統合に触れ、要旨をまとめるとともに、 推奨する次のステップを確認します。対象者
ネットワークおよび IT のプロフェッショナルは常に、ネットワークの設計と運用を改善す る方法を模索しています。本書では、有線およびワイヤレス ネットワークと、WAN、DC、 サービスとの統合を可能にする、SD-Access ベースのネットワーク アーキテクチャに重点 を置いています。ネットワーク アーキテクトや管理者は、本書から大きなメリットを得ら れるでしょう。一方、IT プロフェッショナルは、本書を利用することで、自社のネット ワーク環境における新しいネットワーク テクノロジーと概念を学び、それらによってさま ざまな事がいかにシンプルになるかを理解することができます。セキュリティ アーキテク トも、エンタープライズ ネットワークのセキュリティ境界をエッジまで拡大する上で SD-Access アーキテクチャがどのように役立つかを理解できます。 本書では、ファブリック テクノロジー、ポリシー、自動化、アシュアランスを扱いながら、 ネットワークのプロフェッショナルがこれらの技術をセキュリティや IT 導入のシンプル化 にどのように活用できるかを説明します。執筆の方法論
「優れたデザインとは、複雑なことをシンプルに表現するものである」— M. Cobanli シンプルさは、SD-Access の設計で最も重要なテーマです。本書の目的は、既存のネット ワーク テクノロジーでは対応できていないエンタープライズ ネットワークにおける現在の 課題を示し、NetOps チームや SecOps チームが抱えるそれらの課題を、シンプルさを見失 うことなく解決する SD-Access の基盤を説明することです。 エンタープライズ ネットワークのパラダイムを変える書籍を執筆するという挑戦を引き受 けたのは、多様なバックグラウンドを持つシスコのエンジニア グループです。エンタープ ライズ ネットワークで SD-Access が網羅する領域の広さを考えると、当初この作業は想像 以上に手ごわいように思われました。しかしチームは作業を続け、長時間にわたる精力的 な執筆ののちに本書は誕生しました。Book Sprints(www.booksprints.net)の方法論に よって、私たちならではの強みがそれぞれ盛り込まれ、チーム指向の環境が育まれて完成 までの期間が短縮されました。そして今手に取られている第 2 版では、さらに多くのシス コ エンジニアの経験と専門知識が盛り込まれ、Cisco SD-Access が提供する優れた最新の機 能について理解できるようになっています。 #HardtoTalkAboutSimplicity第 2 版での更新内容
本書は、Cisco SD-Access が備えた最新かつ最先端の機能のいくつかを反映するように更新 されています。以下の新機能が取り上げられています。
LAN の自動化:Cisco DNA Center の LAN 自動化では、アンダーレイ ネットワークを自
動的に起動するために、標準規格に準拠した IGP ルーティング プロトコルが導入されてい ます。これまでプロトコルは IS-IS でしたが、SD-Access では、自動化されたアンダーレイ ルーティング プロトコルとして OSPF をサポートするようになりました。 マルチキャスト(ネイティブ):マルチキャストは、ネットワークの複数の異なる宛先に データのコピーを配信するために利用されます。Cisco SD-Access では、最初からオーバー レイ マルチキャスト(ヘッドエンド レプリケーション)が実現されています。また現在は、 マルチキャストをネイティブにサポートしています。これによりオプションとして、アン ダーレイ ネットワークでのレプリケーションも実現できます。そのためマルチキャスト レ プリケーションの負荷を複数のネットワーク要素に分散でき、ファブリック ネットワーク にマルチキャストを効率的に導入できるようになります。 レイヤ 2 フラッディング:SD-Access は、レイヤ 2 フラッディングをサポートしています。 サイレント ホスト、カード リーダー、ドア ロックなど、レイヤ 2 接続を必要とする特定の トラフィックやアプリケーション タイプのブロードキャスト転送をサポートすることで実 現されています。このようなデバイスやアプリケーションでは、レイヤ 2 ドメイン内でト ラフィックのフラッディングが必要になる場合がありますが、SD-Access を導入することで 対応できるようになりました。 レイヤ 2 ボーダー:移行ソリューションとして設計されたレイヤ 2 ボーダー機能は、ホス トが、VXLAN ベースの SD-Access ファブリックからエンタープライズ ネットワーク (ファブリックの外部)に接続された従来の VLAN スイッチ ポートに通信できるようにす る機能です。この機能により、SD-Access ファブリックの内外で同じ IP サブネットを使用 できるため、移行がシンプルになります。 一体型ファブリック:一体型ファブリックにより、単一の SD-Access デバイスでファブ リックの 3 つすべてのロール(ボーダー、コントロール プレーン、ファブリック エッジ ノード)に対応できます。この機能は、小規模なサイトやリモート ブランチに導入する際 に特に役立ちます。
組み込みワイヤレス LAN コントローラ:この新しい画期的な機能により、SD-Access 環境 で使用する組み込みワイヤレス LAN コントローラ機能を、Catalyst® 9000 ファミリ スイッ チでサポートできるようになります。これにより、SD-Access ファブリックを使用したワイヤ レス導入がシンプルになります。小規模なサイトやブランチ ロケーションで特に有効です。 IoT 用 SD-Access 拡張:この機能は、ダウンストリームの非ファブリック レイヤ 2 ネット ワーク デバイスを SD-Access ファブリック エッジ ノードに接続する(つまり、ファブリッ クを拡張する)ために使用されます。これは、拡張ノードとして指定されたデバイス(小 型のレイヤ 2 専用スイッチなど)を使用して実現されます。このデバイスは、ファブリッ クを接続してポリシーを適用するために、アップストリーム ファブリック エッジ スイッチ に接続して活用します。従来の「オフィス」スペース以外の環境や産業用の環境において 特に役立ちます。 エクストラネット:SD-Access エクストラネットは、柔軟でスケーラブルな方法で VN 間 通信を実現します。SD-Access ファブリックの導入をシンプルにし、別々の仮想ネット ワーク(VN)にあるデバイスやサービス間で効率的なポリシーベースの通信を実現します。 VN アンカー:VN アンカーを使用すると、複数の分散サイトの特定の VN から送信された トラフィックを、1 つの共通サブネットを使用して、一箇所に集約することができます。 VN サイトごとにサブネットを定義して使用する必要はありません。これにより、一元化さ れたゲスト アクセス環境の導入や類似環境の導入など、いくつかの主要な使用例の導入全 体をシンプルにできます。 IPv6 のサポート:SD-Access は、ファブリック ネットワーク オーバーレイに接続されたク ライアントに対する IPv6 ベースのアクセスをサポートするようになりました。これは、ま すます多くのホストが次世代のインターネット プロトコルをサポートしているため、重要 な要件です。
アクセス コントロール アプリケーション(ACA):Cisco DNA Center の ACA アプリ ケーションは、シスコ以外の AAA ソリューションやクラウド ソリューションとの相互運 用性を高め、ファブリック内でのポリシーの設計、導入、使用をシンプルにするために設 計されています。
SD-Access ガイドの改定版では、上記のすべての領域と機能に対応しています。詳細につい ては、続きをお読みください。
エグゼクティブ サマリー
デジタル変革によってあらゆる業界に新たな機会が生まれています。医療機関では、医師が 患者を遠隔でモニタしたり、医療分析情報を活用して健康上の問題を予測したりできるよう になっています。教育分野では、テクノロジーによってキャンパスの接続環境が向上し、学 習リソースに対するパーソナライズされた平等なアクセスが可能になっています。小売業界 では、オンラインと店舗での連携を実現し、位置認識機能を使用することで、店舗でオムニ チャネルのエクスペリエンスを提供しています。金融業界では、テクノロジーによってユー ザは、場所や時間を問わずに好きなデバイスから安全に銀行取引をできるようになっていま す。現在の世界において企業が生き残るためには、デジタル変革が間違いなく必要です。 どのような組織でも、円滑にデジタル世界に移行するためにはネットワークへの投資が不 可欠です。すべてのモノを接続し、デジタルでの成功の鍵を握るのはネットワークなので す。ネットワークは、生産性の向上やコラボレーションを実現し、エンドユーザ エクスペ リエンスを高めるために欠かせないものです。企業の資産と知的財産を保護するための最 前線の防御にもなるものです。 SD-Access は、業界初のエンタープライズ向けインテントベース ネットワーク ソリュー ションです。インテントベース ネットワークでは、ネットワークを単一のシステムとして 扱い、ビジネスの意図(または目標)をネットワークに落とし込んで検証し、実用的なイ ンサイトを得ます。 図 デジタル ビジネスのためのインテントベース ネットワークSD-Access は、ユーザ、デバイス、アプリケーションのトラフィック向けに、自動化された エンドツーエンドのサービス(セグメンテーション、QoS、分析など)を提供します。SD-Access がユーザ ポリシーを自動化することで、組織は適切なアクセス制御を適用できます。 また、あらゆるユーザ/デバイスに対応したエクスペリエンスが、ネットワーク全体のすべ てのアプリケーションに設定されます。これは、セキュリティを犠牲にすることなく、す べての場所で一貫性のあるユーザ エクスペリエンスを生み出す、LAN と WLAN にまたが る単一のネットワーク ファブリックによって実現されます。 SD-Access の利点 • 自動化:プラグアンドプレイで新しいネットワーク デバイスの導入をシンプルにし、 有線およびワイヤレス ネットワーク設定のプロビジョニングを一貫して管理 • ポリシー:ネットワークの自動セグメンテーションとグループベースのポリシーを 実現 • アシュアランス:状況に応じたインサイトによって迅速な問題解決とキャパシティ プランニングを実現 • 統合:プログラム可能なオープン インターフェイスでサードパーティ製ソリュー ションを統合
ネットワークの進化:課題
今日のネットワークがサポートする IT 環境は、ほんの数年前と比べても非常に多様化して います。モバイル クライアントの利用は急増し、クラウドベースのアプリケーションの採 用が増え、ネットワーク環境への Internet of Things(IoT)の導入/利用が進んでいます。 ビジネスのデジタル化に伴い、ネットワークの規模とネットワーキングのニーズは長期間 拡大を続けていますが、それに比例して IT リソースが増えているわけではありません。エ ンドユーザの要望も高まり続けており、ビジネス部門は IT 部門に対し、進化し続けるテク ノロジーや成長のニーズに遅れず対応することを絶えず期待しています。 クライアント、デバイス、アプリケーションの相互接続を実現する基盤であったネット ワーク テクノロジーは、長い間ほとんど変わっていません。今日の IT チームがネットワー クを設計して運用する際に利用できるテクノロジーの選択肢は数多くある一方、モビリ ティ、IoT、クラウド、セキュリティに関連して急速に進化を続ける今日の企業ニーズに対 応できる包括的なターンキー ソリューションはこれまでありませんでした。 このセクションでは、現在のネットワーキングにおける課題のいくつかを、一般的な使用 例に沿って見ていきます。 ネットワーク導入 • 実装の複雑さ • ワイヤレスに関する考慮事項 まとめ ネットワークに対する要件は高まっていますが、テクノロジーと運用は対応できていません。サービス展開 • ネットワークのセグメント化 • アクセス コントロール ポリシー • ユーザおよびデバイスのオンボーディング ネットワーク運用 • 問題解決に要する時間
ネットワーク導入
実装の複雑さ ネットワーク オペレータは、時間の経過とともに、新しい機能や設計アプローチを導入す ることで新しいネットワーク サービスに適応する必要がありました。しかし、従来の柔軟 性に欠けるネットワーク インフラストラクチャの上でも、同じように対応する必要があり ました。さらに、高可用性や新規アプリケーションなどのためにネットワークを絶えず最 適化する必要があり、結果として、「雪の結晶」のように 2 つと同じものがないネット ワークになっていました。機能的な目標は達成できるかもしれませんが、ネットワークの 把握、トラブルシューティング、予測、アップグレードが複雑になります。 導入に時間がかかるネットワークは、多くの組織が迅速に刷新を進めて、動画、コラボ レーション、接続されたワークスペースといった新しいテクノロジーを採用する妨げにな ります。ネットワークの変更や適応に時間がかかると、こうした新しいテクノロジーを採 用することができなくなります。多数のバリエーションが存在するネットワーク設計では 自動化は困難であり、組織が業務の効率化を促進するための自動化の取り組みが制限され てしまいます。まとめ
ネットワークのバリエーションと組み合わせ(雪の結晶)が多すぎるため、新しい機能や サービスの採用が困難になっています。ワイヤレスに関する考慮事項 また、ワイヤレスの導入に関する今日の大きな課題の 1 つは、ネットワークのセグメント化 を簡単に利用できないことです。ワイヤレスでは Over-the-Air でトラフィックを分離するた めに複数の SSID を活用できますが、導入して最終的に WLC の VLAN にマッピングできる 数が制限されています。WLC 自体には VRF やレイヤ 3 セグメンテーションの概念がないた め、実際の有線およびワイヤレス ネットワークを仮想化するソリューションの導入は非常に 困難なものとなっています。
サービス展開
ネットワークのセグメント化 ネットワークのセグメント化を実現するために現在利用できる選択肢とその課題をいくつ か見てみましょう。 VLAN を使用したセグメンテーション ネットワークのセグメント化で最も単純な形は、VLAN を利用するものです。VLAN を ネットワークのセグメント化の技術として考えるのは意外に感じるかもしれませんが、 VLAN とは、セグメント化されたレイヤ 2 ドメインなのです。ユーザやデバイスを別々の VLAN に配置することで、レイヤ 3 の境界でそれらの間にトラフィック制御を適用できま す。ワイヤレスの場合、ワイヤレス通信の分離のために別々の SSID を使用できますが、こ れらの SSID は有線側の VLAN にマッピングされます。 セグメント化の手段としての VLAN における課題には、そのスパンと、VLAN によるトポ ロジ関連の問題の 2 つがあります。スパンに関しては、ほとんどの組織は VLAN を比較的 小さなエリアに制限することを選択します(多くの場合、ワイヤリング クローゼット 1 台 分に制限されます)。そのため、典型的な導入例では、数百または数千もの VLAN を管理 することになり、IP アドレスを導入して管理するための計画が非常に複雑になります。 VLAN の使用に関連する主な課題には、以下のものがあります。まとめ
従来のワイヤレス ネットワークは個別に管理されており、セグメント化は困難です。• 冗長ネットワーク設計では、広範囲に及ぶ VLAN はレイヤ 2 ループに対して脆弱で あり、何らかの理由で制御されていないレイヤ 2 ループが発生した場合、機能しな くなるリスクがあります。 • 大規模なレイヤ 2 設計はきわめて非効率です(一般的にはポートの 50% がブロック されます)。 • VLAN 間のトラフィックをフィルタリングするオプションも、一般的にレイヤ 3 の 境界で利用できるオプションに比べると大幅に制限されます。 VRF-Lite を使用したセグメンテーション
レイヤ 3 を活用する別のアプローチは、VRF(Virtual Routing and Forwarding インスタン ス)を使用してネットワークをセグメント化する方法です。基本的に、異なるバージョン の IP ルーティング テーブルが使用されます。この方法では、セグメント化するために大規 模で複雑な ACL を構築してトラフィック フローを制御する必要がありません。異なる VRF 間のトラフィックは、ネットワーク管理者が指定したとおりにネットワーク トポロジ を経由して送信されるからです(一般的にはルート リークまたはファイアウォールが利用 される)。 VRF-Lite のアプローチでセグメント化する際の課題には、以下のものがあります。 • デバイス間で 802.1q トランクを使用する VRF-Lite は、数台のデバイスへの導入で あれば比較的シンプルですが、導入の範囲が広くなるとたちまち厄介になります。 • VRF-Lite では VRF ごとに個別のルーティング プロトコルの処理が必要なため、 CPU 負荷が増し、複雑になります。 • 一般的な経験則では、VRF-Lite の導入規模は、8 ~ 10 までの VRF にとどめるべき です。これよりも大規模なエンタープライズ導入ではエンドツーエンドで管理しき れなくなります。
まとめ
VLAN はシンプルですが、この場合、シンプルが最適だとは言えません。フラットなレイ ヤ 2 設計では、ネットワーク障害につながる多くの潜在的なリスクがあります。さらに、 数百もの VLAN を管理することは、ほとんどの組織にとって大きな負担となります。MPLS VPN を使用したセグメンテーション ネットワーク セグメンテーションに利用できる別のテクノロジーとして MPLS VPN があり ます。MPLS VPN では、ラベル配布に使用される LDP や、コントロール プレーンとして のマルチプロトコル BGP など、MPLS 固有の多くの新機能やネットワーク プロトコルに ネットワーク管理者が精通する必要があるため、短時間で多くのことを学習しなくてはな りません。さらに、問題が発生したときの MPLS 対応ネットワークのトラブルシューティ ング方法を理解する必要があります。 MPLS VPN での課題には、以下のものがあります。 • MPLS VPN は VRF-Lite よりも拡張がはるかに容易ではあるものの、多くのネット ワーク管理者にとっては複雑であり、特にエンドツーエンドのネットワーク全体へ の導入は困難です。 • すべてのネットワーク プラットフォームで MPLS VPN がサポートされているわけ ではありません。 ネットワーク ポリシー ポリシーは、人によって意味が異なる可能性がある抽象的な言葉の 1 つです。それでも、すべ ての組織がネットワークにさまざまなポリシーを適用しています。スイッチでセキュリティ ACL を使用したり、ファイアウォールでセキュリティ ルール セットを使用したりすることは、 セキュリティ ポリシーを導入していることになります。トラフィックを異なるクラスに分類す るために QoS を使用する場合や、アプリケーション間で優先度を設定するためにネットワーク デバイスのキューを使用する場合は、QoS ポリシーです。デバイスをロールに基づいて異なる VLAN に配置するのは、デバイスレベルのアクセス コントロール ポリシーです。 今日のネットワーク管理者は通常、VLAN、サブネット、ACL などの一般的なポリシー ツールを組み合わせて使用します。次に例を示します。 • ネットワークに音声を追加する場合:音声 VLAN および関連付けられたサブネット の新しいセットを作成します。
まとめ
VRF の機能は 10 年以上前に登場しましたが、VRF を利用して何らかの形でセグメント化 した組織の割合はごくわずかです。なぜでしょうか。一言で言えば複雑だからです。• IoT デバイス(ドア ロック、バッジ リーダーなど)を追加する場合:VLAN やサブ ネットをさらに追加します。 • IP カメラやストリーミング ビデオ エンドポイントを追加する場合:この場合も VLAN やサブネットを追加します。 このようにして、今日のエンタープライズ ネットワークの VLAN とサブネットは、数百、場 合によっては数千にもなります。このような設計と維持管理が複雑であるのはおのずと明らか です。しかも、これらのさまざまな VLAN と機能すべてにわたって多くの DHCP スコープや IPAM ツールを管理する必要があり、大規模な IP アドレス空間の管理はさらに複雑になります。 社内外の多くの脅威にさらされる今日のネットワークでは、安全性も求められます。その ため、大規模なアクセス コントロール リストを作成して導入し、継続的に維持する必要が あります。ACL は、スイッチ、ルータ、ファイアウォールを始めとするネットワーク デバ イス(ほとんどの場合はレイヤ 3 ネットワークの境界)に導入されます。
ユーザおよびデバイスのオンボーディング
ソリューションのタイプ(ネットワーク設計がレイヤ 2 であるかレイヤ 3 であるか、セグ メント化されているかされていないか)に関係なく、ネットワークにユーザやデバイスを オンボーディングする最適なアプローチは何かという問題が存在します。 有線ポートまたはワイヤレス SSID に VLAN とサブネットをハードコーディングするとい うシンプルなアプローチもありますが、このアプローチには、いくつか共通する課題があ ります。 • このアプローチでも機能するものの、ポートまたは SSID に接続するすべてのユー ザにネットワーク内で同じ「ロール」が関連付けられるため、実際にはセキュリ ティはほとんど機能しません。 • ファーストホップのスイッチ上でも、10 ホップ先のファイアウォール上でもユーザ の IP アドレスが検証され、該当するセキュリティ ポリシーが適用されて制御され ます。必然的に、IP アドレスが ID の代わりとして使用されることになりますが、 これでは拡張することも管理することもできません。まとめ
現在、ポリシー管理に使用されている従来の方法(デバイスとファイアウォール上の大規 模で複雑な ACL)は、導入と維持が非常に困難です。802.1x または別の認証方式を使用して VLAN またはサブネットを動的に割り当てることも できますが、いくつか共通する課題があります。 • ワイヤレス環境では 802.1x は一般的に使用されますが、有線ネットワークではあま り一般的ではありません。 • デバイスでの 802.1x のサポートやサプリカント設定、VLAN/サブネットのロール ベースでの動的スイッチング、ネットワーク機器での 802.1x のサポートなど、導入 を妨げる多くの要因が存在します。 また、ユーザまたはデバイスの ID が確立されたとき、今日のネットワーク内でそれをエン ドツーエンドで伝送するにはどうすればいいのでしょうか。IP パケット ヘッダー内には、 ユーザ/デバイスのマッピング情報を格納する場所はありません。そのため、この場合も IP アドレスが ID の代わりに使用されます。しかし、それがユーザとデバイスのサブネットの 急増につながり、それに伴ってさらに複雑になります。
ネットワーク運用
問題解決に要する時間 今日の多くのネットワークでは、ネットワーク運用と利用状況をあまり可視化できていま せん。SNMP、NetFlow、スクリーン スクレイピングなど、多くのネットワーク モニタリ ング方式がさまざまなプラットフォームにわたって混在しているため、今日のネットワー ク環境を継続的にモニタリングし、包括的なエンドツーエンドのインサイトをリアルタイ ムに提供することはきわめて困難です。 運用状態に関する継続的な情報がないと、組織はネットワーク問題(何らかの問題/停止に よって発生した問題か、単純にユーザの増加やアプリケーション パターンの変更による問 題かを問わず)に事前に対応できず、事後的に対応することになります。まとめ
ほとんどの組織は、ユーザとデバイスの ID を確立し、ポリシーに関してエンドツーエン ドで使用しようとしますが、多くの場合、それは面倒な作業になります。多くの組織がネットワークの利用状況をより正確に把握し、ネットワークの可視性とモニ タリングに関してよりプロアクティブであることを重視しています。基盤となるインフラ ストラクチャから収集される大量のデータからインサイトを得られる、より包括的なエン ドツーエンドのアプローチが求められています。
すべてを統合
それでは、ネットワークとそれに関連するポリシーを今すぐエンドツーエンドで導入する には何が必要でしょうか。 まずネットワーク管理者は、マルチレイヤ アクセス、ルーテッド アクセス、VRF-Lite また は MPLS VPN を使用して仮想化されたアクセスなど、特定のネットワーク設計を選ぶ必要 があります。現在この選択をする際には多くの考慮事項とトレードオフがあり、必ずしも 単純には選べない場合があります。 次の図に基づいて、一般的なサービス導入手順を示します。 1 ユーザ認証のため、Active Directory または類似のデータベースのユーザ グループ にマッピングします。2 ダイナミック認証を使用する場合は、AD の ID を AAA サーバ(Cisco ISE など) にリンクします。これにより、各 ID に、対応する適切な VLAN またはサブネット がマッピングされます。 3 提供する新しいサービス用に、新しい VLAN とそれに関連付けられたサブネットを 定義して切り出します。次に、必要なすべてのデバイス(スイッチ、ルータ、WLC) にそれらの VLAN とサブネットを導入します。 4 デバイスまたはファイアウォールで適切な ACL を使用するか、ネットワーク セグ メンテーションによってこれらのサブネットを保護します。セグメント化された仮 想ネットワークのアプローチを用いる場合は、VRF-Lite または MPLS VPN を使用 してこれらの VRF をエンドツーエンドに拡張します。
まとめ
ほとんどの組織ではネットワーク運用と利用状況を包括的に可視化できず、変化にプロア クティブに対応することができていません。5 これをすべて実行するためには、複数のユーザ インターフェイスで作業する必要が あります。ワイヤレスについては AD GUI、AAA GUI、WLC GUI があり、有線に ついてはスイッチまたはルータの CLI があります。さらに、必要なすべてのコンス トラクトを手動でつなぎ合わせることも必要です。 別のユーザ グループまたはデバイス グループを導入するか、またはそれらのグループに関 連付けられたポリシーを変更する必要が生じたときは、これらの手順をすべてもう一度繰 り返す必要があります。 図 サービス導入の概要
まとめ
今日、新しいネットワーク サービスの導入に数日から数週間かかるのも無理はありません。SD-Access の概要
シスコの SD-Access(Software-Defined Access)ソリューションは、ネットワークのエッジか らアプリケーションに至るまでソフトウェアベースのポリシーとセグメンテーションを実現す る、プログラマブル ネットワーク アーキテクチャです。SD-Access は、Cisco DNA Center (Cisco Digital Network Architecture Center)を使って導入されます。この Cisco DNA Center は、ネットワーク要素の設計の設定、ポリシー定義、自動プロビジョニングや、インテリジェ ントな有線およびワイヤレス ネットワーク向けのアシュアランス分析を実現します。 エンタープライズ アーキテクチャでは、ネットワークは、メイン キャンパスやリモート ブランチなどの複数のドメイン、ロケーション、サイトにまたがる場合があります。また、 それぞれには複数のデバイス、サービス、ポリシーが存在します。Cisco SD-Access ソ リューションは、複数の場所(サイト)にわたって、接続、セグメンテーション、ポリ シーの一貫性を確保するエンドツーエンド アーキテクチャを提供します。 このアーキテクチャは、以下の 2 つの主要なレイヤで説明できます。 • SD-Access ファブリック:物理的および論理的なネットワーク フォワーディング イ ンフラストラクチャ
• Cisco DNA Center:自動化、ポリシー、アシュアランス、統合を実現するインフラ
ストラクチャ 本章では、SD-Access ソリューションの主要なコンポーネントをそれぞれ概説し、以降の 章でさらに詳しく説明します。
SD-Access ファブリック
前述のように、今日のネットワークが複雑である理由の 1 つに、IP アドレス、VLAN、 ACL などのネットワークのコンストラクトにポリシーが関連付けられていることが挙げら れます。 エンタープライズ ネットワークを、目的が異なる 2 つのレイヤに分割できるとしたらどう でしょうか。1 つのレイヤは、物理デバイスの接続およびトラフィック転送の専用とします (アンダーレイと呼ばれます)。もう 1 つは、有線およびワイヤレスのユーザとデバイス が論理的に接続され、サービスとポリシーが適用される、完全な仮想レイヤです(オー バーレイと呼ばれます)。これにより、ポリシーの変更はオーバーレイにのみ影響し、アンダーレイには関係しない ため、各サブレイヤの責務が明確に分離され、機能を最大限に活用できるようになります。 また、導入と運用が大幅にシンプルになります。 図 SD-Access の概要 このアンダーレイとオーバーレイの組み合わせを「ネットワーク ファブリック」と呼びます。 オーバーレイとファブリックの概念は、ネットワーク業界では特に新しいものではありま せん。MPLS、GRE、LISP、OTV などの既存の技術はすべて、オーバーレイを導入した ネットワーク トンネリング技術の例です。別の一般的な例は、CAPWAP を使用してワイ ヤレス トラフィック用のオーバーレイ ネットワークを確立する Cisco Unified Wireless Network(CUWN)です。
図 アンダーレイおよびオーバーレイ ネットワーク SD-Access ファブリックに固有の内容を理解するために、まず、主要な SD-Access コン ポーネントを定義します。 SD-Access ネットワーク アンダーレイ SD-Access ネットワーク アンダーレイ(または単にアンダーレイ)は、ルータ、スイッチ、 ワイヤレス LAN コントローラ(WLC)などの物理ネットワーク デバイスと、従来のレイ ヤ 3 ルーティング プロトコルで構成されます。これにより、ネットワーク デバイス間通信 のための、拡張性と復元力に優れたシンプルな基盤が実現されます。ネットワーク アン ダーレイは、クライアント トラフィックには使用されません(クライアント トラフィック にはファブリック オーバーレイが使用されます)。 アンダーレイのすべてのネットワーク要素は、相互に IPv4 接続を確立する必要があります。 つまり、既存の IPv4 ネットワークをネットワーク アンダーレイとして活用することができ ます。アンダーレイでは任意のトポロジやルーティング プロトコルを使用できますが、一 貫性のあるパフォーマンス、拡張性、高可用性を確保するためには、適切に設計されたレ イヤ 3 アクセス トポロジ(ルーテッド アクセス トポロジ)の導入をお勧めします。 ルーテッド アクセス トポロジを使用する(アクセス レイヤまでルーティングを活用する) ことで、ネットワーク アンダーレイにおける STP、VTP、HSRP、VRRP、およびその他の 類似プロトコルが不要になり、ネットワークが劇的にシンプルになり、さらに復元力や耐 障害性も向上します。また、規範的なネットワーク アンダーレイ上で論理ファブリック ト ポロジを実行することで、マルチパス機能や最適化されたコンバージェンス機能などの組 み込み機能を利用できるようになるため、ネットワークの導入、トラブルシューティング、 管理がシンプルになります。
Cisco DNA Center は、Cisco Validated Design(CVD)のベスト プラクティスに従って ネットワーク デバイスを自動的に検出、プロビジョニング、導入するための規範的な LAN 自動化サービスを提供します。デバイスが検出されると、自動化されたアンダーレイのプ ロビジョニング機能がプラグ アンド プレイ(PnP)を使用して、必要なルーティング プロ トコルと IP アドレスを設定します。
Cisco DNA Center の LAN 自動化機能では、ベストプラクティスの Intermediate System-to-Intermediate System(IS-IS)または Open Shortest Path First(OSPF)のルーテッド ア クセス設計が使用されます。IS-IS または OSPF を使用する主な理由は次のとおりです。
• IS-IS も OSPF も、標準規格をベースにした Shortest Path First(SPF)リンク ス テート ルーティング プロトコルです。 - IS-IS は、大規模な SP/DC ネットワークで一般的で、ファブリック環境向け のアンダーレイプロトコルとしてデファクト スタンダードです。 - OSPF は、大規模エンタープライズ ネットワークおよび WAN ネットワー クで一般的で、従来のほとんどのキャンパス ルーティング環境で使用され ています。 • リンク ステート ルーティング プロトコルは、ルーティング テーブル全体をアドバ タイズしません。その代わりに、エリア内のすべてのルータが同じトポロジ データ ベースを使用できるように、ネットワーク トポロジ(直接接続されたリンク、隣接 ルータなど)に関する情報をアドバタイズします。 • リンク ステート ルーティング プロトコルでは、複数レベルの階層(レベルまたは エリアと呼ばれる)が導入されるため、定義されたエリア内のルーティングの更新 情報は、そのエリア外のルータは利用できません。 • リンク ステート ルーティング プロトコルは、クラスレス ルーティングをサポート し、マルチキャスト アドレスを使用して更新情報を送信します。また、ルーティン グ情報のトリガー アップデートも利用します。 • リンク ステート ルーティング プロトコルは、アルゴリズムを使用して、トポロジ 内の他のすべてのノードへの最短パスを判断します。 • リンク ステート ルーティング プロトコルは、ディスタンス ベクター ルーティング プロトコルよりもはるかに高速にコンバージェンスします。
SD-Access ファブリック オーバーレイ
SD-Access ファブリック オーバーレイ(または単にオーバーレイ)は、物理的なアンダー レイ上に構築される、仮想化された論理的なトポロジです。前述したように、これにはい くつか別の技術を利用する必要があります。
SD-Access ファブリック オーバーレイには、以下のように主要な構成要素が 3 つあります。
• ファブリック データ プレーン:Virtual Extensible LAN(VXLAN)とグループ ポ リシー オプション(GPO)を使用してパケットをカプセル化することで論理オー バーレイが作成されます。
• ファブリック コントロール プレーン:Locator/ID Separation Protocol(LISP)に よって、(VXLAN トンネル エンドポイントに関連付けられた)ユーザとデバイス が論理的にマッピングされ、解決されます。 • ファブリック ポリシー プレーン:アドレスに依存しないスケーラブル グループ タ グ(SGT)およびグループベースのポリシーを使用して、ビジネス上の意図がネッ トワーク ポリシーに変換されます。 VXLAN-GPO は、SD-Access においていくつか優位な点があります。たとえば、レイヤ 2 とレイヤ 3 の両方の仮想トポロジ(オーバーレイ)をサポートしている点、組み込みの ネットワーク セグメンテーション(VRF/VN を使用)およびグループベース ポリシー (SGT を使用)を使用して任意の IP ベース ネットワークで動作できるといった点です。 LISP では、考えられるすべての宛先の IP アドレスとルートを個々のルータで処理する必要 がないため、従来のルーティング環境が大幅にシンプルになります。これは、一元化された マップ データベース(LISP マップ サーバ/マップ リゾルバ、別名ファブリック コントロー ル プレーン)にリモートの宛先情報を移動することで実現します。このデータベースにより、 各ルータはローカルのルートのみを管理すればよく、宛先エンドポイントはマップ システム に対してクエリを発行することで特定できます。 SD-Access のポリシー SD-Access の基本的な利点は、ファブリックが提供するサービスに基づいて論理ネット ワーク ポリシーをインスタンス化できることです。このソリューションが提供するサービ スの例を以下に示します。
• セキュリティ セグメンテーション サービス • Quality of Service(QoS) • キャプチャおよびコピー サービス • アプリケーション可視化サービス これらのサービスは、デバイス固有のアドレスまたは場所に関係なく、ファブリック全体 で提供されます。 SD-Access のセグメンテーション セグメンテーションは、セキュリティや IP サブネットのオーバーラップなどの目的で、特定 のユーザ グループまたはデバイス グループを他のグループと分離するために使用されるテク ノロジーです。SD-Access ファブリックでは、VXLAN データプレーンのカプセル化によって、 VXLAN-GPO ヘッダーの Virtual Network Identifier(VNI)フィールドとスケーラブル グ ループ タグ(SGT)フィールドを使用したネットワークのセグメント化が行われます。 SD-Access ファブリックでは、これらのコンストラクトを利用することで、マクロ セグメ ンテーションとマイクロ セグメンテーションという、階層型ネットワーク セグメンテー ションを簡単に導入できます。 マクロ セグメンテーション:一意のネットワーク識別子および個別の転送テーブルを使用 して、ネットワーク トポロジをより小さな仮想ネットワークに論理的に分離します。これ は、Virtual Routing and Forwarding(VRF; 仮想ルーティングおよび転送)インスタンスと してインスタンス化され、仮想ネットワーク(VN)として参照されます。 マイクロ セグメンテーション:送信元から宛先までアクセス制御を適用することで、VN 内のユーザ グループまたはデバイス グループを論理的に分離します。これは通常、アクセ ス コントロール ポリシーと呼ばれるスケーラブル アクセス グループ アクセス コントロー ル リスト(SGACL)を使用してインスタンス化されます。 仮想ネットワーク(VN)は、SD-Access ファブリック内の論理ネットワーク インスタンス としてレイヤ 2 またはレイヤ 3 のサービスを提供し、レイヤ 3 のルーティング ドメインを 定義します。VXLAN VNI は、レイヤ 2(L2 VNI)とレイヤ 3(L3 VNI)両方のセグメン テーションを実現するために使用されます。
スケーラブル グループは、SD-Access ファブリック内のユーザおよびデバイスの「グルー プ」に割り当てられる論理オブジェクト ID であり、SGACL では送信元と宛先の分類子と して使用されます。SGT は、アドレスに依存しないグループベースのポリシーを実現する ために使用されます。
ワイヤレス向け SD-Access ファブリック
管理者は、従来の Cisco Unified Wireless Network(CUWN)の設計にも SD-Access と同 じ利点がいくつかあることにお気づきかもしれません。たとえば、共通する属性を以下に いくつか挙げます。 • トンネル型オーバーレイ ネットワーク(CAPWAP のカプセル化および別々のコン トロール プレーンを利用) • インフラストラクチャの一部自動化(例:AP 管理、構成管理など) • ユーザまたはデバイスのシンプルなワイヤレス モビリティ(クライアント ローミン グとも呼ばれる) • ワイヤレス コントローラ(WLC)による一元管理 ただし、CUWN アプローチにはいくつかデメリットもあります。 • CAPWAP オーバーレイのメリットがあるのはワイヤレス ユーザのみであり、有線 ユーザには適用されません。 • 最も一般的に導入されるワイヤレス モード(一元管理モードまたはローカル モー ド)では、ワイヤレス トラフィックは、一元管理されたアンカーポイント(WLC) にトンネリングする必要があります。これは、多くのアプリケーションには適さな い可能性があります。 さらに、いくつかのメリットは有線ユーザだけに適用され、CUWN を使用した従来のワイ ヤレス設計のユーザには適用されません。 • 有線ユーザには、分散スイッチング データ プレーンによるパフォーマンスと拡張性 のメリットがあります。 • 有線ユーザは、スイッチ インフラストラクチャで提供される高度な QoS や、暗号 化トラフィック分析(ETA)などの革新的なサービスによるメリットも得られます。
つまり、各ドメイン(有線およびワイヤレス)にはそれぞれ異なるメリットがあるという ことです。SD-Access ワイヤレス独自の強力な特長の 1 つは、ネットワーク オペレータと ユーザが、SD-Access ファブリックを活用して、「両方の長所」を得られる点にあります。 • SD-Access ファブリックは、共通するオーバーレイを提供して有線およびワイヤレ スの両方のユーザにメリットをもたらすことによって、分散型の有線アーキテク チャと一元管理型のワイヤレス アーキテクチャの両方の優れた点を活用できます。 • SD-Access ファブリックでは、アクセス メディアに関係なくすべてのユーザに対して 共通のポリシーを適用し、統一されたエクスペリエンスを提供することができます。
Cisco DNA Center による SD-Access の管理
Cisco DNA Center は、SD-Access ファブリックの構築と運用のための一元的な管理プレー ンを提供します。管理プレーンは、転送の設定とポリシーの配布だけでなく、デバイスの 管理や分析も行います。
Cisco DNA Center には、自動化とアシュアランスという 2 つの主要な機能があります。 自動化およびオーケストレーション
Cisco DNA Center による自動化では、SD-Access のグループベース ポリシーの定義と管理 とともに、ポリシーに関連するすべての設定が自動化されます。Cisco DNA Center は、 Cisco Identity Services Engine(ISE)と直接統合して、ホストのオンボーディング機能とポ リシーの適用機能を提供します。 一般的に自動化は、人が操作しなくてもアクションやタスクを実行できる技術またはシステム と定義されます。1 つのタスクで複数のアクションが必要な場合はありますが、期待される結 果は 1 つです。オーケストレーションは、ワークフローまたはプロセス全体の実行を自動化す るものであり、複数のタスクを必要とし、複数のシステムが連携する場合があります。 これが、エンタープライズ キャンパス アクセス ネットワーク環境の自動化とオーケスト レーションで「ソフトウェア定義型」という業界用語が用いられる根拠であり、ユーザの 「意図」を解釈して意味のある設定と検証タスクに変換することを意味します。
SD-Access と Cisco DNA Center では、設定とオーケストレーションの主なモデルとして、 コントローラベースの自動化を使用します。これは、非ファブリックベースおよびファブ リックベースの両方の導入環境向けに有線およびワイヤレスのネットワーク コンポーネン トを設計、導入、検証、最適化するために使用されます。
Cisco DNA Center でインフラストラクチャ全体を管理することで、IT チームは抽象化され たインテントベース レイヤで運用できるようになり、実装の詳細について心配する必要が なくなります。その結果、人為的なエラーが最小限に抑えられ、ネットワーク設計全体の 標準化が容易になるため、IT チームにとって運用がシンプルになります。 ネットワーク アシュアランス ネットワーク アシュアランスは、包括的なネットワーク分析に基づいて、IT ネットワーク の観点から可用性とリスクを数値化するものです。ネットワーク アシュアランスでは、一 般的なネットワーク管理の範疇を超えて、ネットワークの変更によるセキュリティ、可用 性、コンプライアンスへの影響を測定します。
Cisco DNA Center Assurance は、お客様の最も一般的な課題に対応するための包括的な管 理/運用ソリューションとして開発されました。Cisco DNA Center は、非ファブリックベー スとファブリックベースの両方のコンポーネントに対して、さまざまな形式やレベルのア シュアランス機能と分析機能を提供します。
Cisco DNA Assurance の重要な要素となるのが分析機能です。この機能により、ネット ワークから継続的にデータを収集し、実用的なインサイトに変換することができます。そ のために Cisco DNA Center は、従来の形式(SNMP、Netflow、syslog など)と、新たな 形式(NETCONF、YANG、ストリーミング テレメトリなど)でさまざまなネットワーク テレメトリを収集しています。次に Cisco DNA Assurance は、高度な処理を実行してイベ ントの評価/関連付けを行い、デバイス、ユーザ、アプリケーションのパフォーマンスを継 続的にモニタします。 データの関連付けは、SD-Access ファブリックのオーバーレイとアンダーレイの両方にわ たって問題のトラブルシューティングやネットワークのパフォーマンス分析をするために 重要です。他のソリューションではこのレベルの関連付けができない場合が多く、オー バーレイ ネットワークのパフォーマンスに影響を与える可能性のあるアンダーレイ トラ フィックの問題が可視化されません。SD-Access は、NetFlow に対するファブリック対応 の機能強化を通じて、アンダーレイとオーバーレイ両方のトラフィック パターンと使用状 況を関連付けて可視化できるため、ファブリックを使用する場合でもネットワークの可視 性が損なわれません。
Cisco DNA Center Assurance の詳細については、次のリンク先にあるシスコの電子書籍 (Assurance)を参照してください。
SD-Access の利点
SD-Access の革新的な機能により、以下のいくつかの使用例や重要な機能を実現できます。大規模な導入の自動化
SD-Access は、コントローラベースの自動化を活用して大規模なエンタープライズ ネット ワークを構築できます。ネットワーク転送の基盤となる複雑なコンストラクトをネット ワーク オペレータが理解している必要はありません。SD-Access は、さまざまな接続シナ リオに対応できる単一のネットワーク コンストラクト セットを提供します。 最も重要なのは、SD-Access は、大規模なエンタープライズ ドメイン全体にわたって耐障 害性を備えながら、柔軟に自動接続を実現できるため、安定性が増し、ダウンタイムのリ スクが軽減されるという点です。SD-Access は、分散型フレームワークに基づくスケーラビ リティをサポートしているため、導入規模の拡大に対応するために設計を見直す必要があ りません。 また、SD-Access ではサイト間の接続は自動化されており、多数のサイトにわたってシーム レスに動作して規模を変更できます。接続されたワークスペース、運用・制御技術(OT) 環境、製造現場など、従来のワイヤリング クローゼットの範囲外にも拡張可能です。 その結果、完全に自動化された、一貫性のある共通のネットワークによってあらゆる新た な接続要件に簡単に対応できるため、ビジネスの俊敏性にとって重要となる Fast IT や Lean IT のイニシアチブが可能になります。図 自動化によるシンプル化 この使用例をいくつか以下に示します。 1 医療機関:リモートでのコラボレーションおよび診察 2 教育:遠隔地のキャンパスから教育リソースや学習リソースにアクセス 3 製造業:製造現場のネットワークを簡単に拡張/管理 まとめ ネットワークのバリエーションと組み合わせ(雪の結晶)が多すぎるため、新しい機能 やサービスの採用が困難になっています。 利点 SD-Access によって導入アクティビティが自動化されることで基盤となるネットワー クの細かい知識が不要になり、シンプルになります。
有線とワイヤレスの統合インフラストラクチャ
SD-Access のワイヤレス データ プレーンは分散されており(ワイヤレス LAN コントロー ラで一元管理されない)、有線トラフィックと同じ伝送方式とカプセル化を使用します。 そのため、有線インフラストラクチャ専用の機能をワイヤレス トラフィックにも活用でき ます。たとえば、最適化されたマルチキャスト セキュリティまたはファースト ホップ セ キュリティとセグメンテーションを活用することで、ワイヤレス ユーザよりも全体的な ユーザ エクスペリエンスが向上します。 SD-Access ワイヤレスでは以下の機能が提供されます。 • 分散型データ プレーン:ワイヤレス データ プレーンは、トラフィック転送を分散 することで通常発生する面倒な処理(VLAN のスパニング、サブネット化など)な しに最適なパフォーマンスと拡張性を実現するために、エッジ スイッチに分散され ます。 • 一元管理型ワイヤレス コントロール プレーン:シスコが現在 CUWN 環境で提供し ているのと同じ革新的な RF 機能を、SD-Access ワイヤレスでも活用できます。 RRM、クライアント オンボーディング、クライアント モビリティに関して、ワイ ヤレスの運用は CUWN の場合と同じです。そのため、有線およびワイヤレス用に 単一のコントロール プレーンが維持され、シームレスにローミングされるため、IT 運用がシンプルになります。 • ゲストおよびモビリティのトンネリングのシンプル化:アンカー WLC コントロー ラが必要なくなり、外部ワイヤレス コントローラを利用しなくてもゲスト トラ フィックを直接 DMZ に送信できるため、ファブリック環境でのゲスト アクセス機 能がシンプルになります。 • ポリシーのシンプル化:SD-Access ではポリシーとネットワーク コンストラクト (IP アドレスと VLAN)間の依存関係がなくなり、有線クライアントおよびワイヤ レス クライアントの両方のポリシー定義と導入がシンプルになります。 • 容易なセグメンテーション:セグメンテーションがファブリック内でエンドツーエ ンドに適用され、VN と SGT に基づいて階層化されます。有線およびワイヤレスの 両方のユーザに同じセグメンテーション ポリシーが適用されます。SD-Access ワイヤレスは IoT に対応したインフラストラクチャを提供しており、企業ネッ トワークに干渉することなく、企業全体で IoT デバイスを独自のセグメントとして分離す ることができます。 図 有線とワイヤレス両方のメリット この使用例をいくつか以下に示します。 1 医療機関:医師用および臨床用ネットワークと、患者およびゲスト用ネットワークをセ グメント化 2 教育:教室での学習エクスペリエンスが向上 3 小売:店舗の Wi-Fi を使用するゲストのエクスペリエンスを強化 まとめ 従来のワイヤレス ネットワークは有線ネットワークとは別に管理されているため、 ワイヤレスをセグメント化して変更するのは困難です。 利点 SD-Access は、有線およびワイヤレス用に単一のコントロール プレーンを備えてい ます。そのため、一貫性のある管理、ポリシーの適用、接続が可能になり、アクセス メディアにかかわらず統一されたエクスペリエンスが実現されます。
ユーザとデバイスのセキュアなアクセスを実現
SD-Access は、アクセス制御やネットワーク セグメンテーション ポリシーの定義について、 トポロジに依存しない ID ベースの方法を採用しています。これにより、ポリシーの定義、 更新、コンプライアンス レポートの作成がシンプルになります(下図を参照してください)。 自動化フレームワークにより、上位レベルのビジネス上の意図が、ネットワーク インフラ ストラクチャ内の下位レベルのデバイス設定に変換され、ネットワーク全体に一貫性のあ る検証済みポリシーを迅速に導入できます。 図 シンプルでセキュアなアクセス この使用例の適用例をいくつか以下に示します。1 医療機関:患者、デバイス、データのセキュリティを確保 2 教育:セキュアなキャンパスを構築 3 製造業:サイロ化した IT ネットワークと OT ネットワークを統合
インサイトと分析結果の関連付け
現在の問題解決は事後対応型で時間がかかり、非効率です。その理由として考えられるの は、(十分可視化できない)ばらばらのツール、ネットワークの複雑さ、ユーザのモビリ ティ、一貫したポリシーの欠如です。Cisco DNA Assurance は、syslog、SNMP、NetFlow、AAA、DHCP、DNS などの豊富な ソースから、きめ細かいテレメトリを収集して関連付けることで、ネットワークを詳細に 可視化できます。そのため IT 部門は、ネットワーク インフラストラクチャを最適化し、優 れたビジネス上の意思決定をサポートする、実用的なインサイトを豊富に得られます。
まとめ
ほとんどの組織は、ユーザとデバイスの ID を確立し、ポリシーに関してエンドツーエン ドで使用しようとしますが、多くの場合、それは面倒な作業になります。利点
SD-Access により、ポリシー定義のセグメンテーションと更新がシンプルになり、エン ドツーエンドで一貫性のあるポリシーを迅速に適用できるようになります。図 実用的なインサイト この使用例をいくつか以下に示します。 1 医療機関:臨床ワークフローと運用の改善 2 教育:教室の移動中でもネットワーク アップタイムとパフォーマンスを確保 3 製造業:新たなビジネス インサイトを製造現場から入手して、IT 部門の優れた意思 決定を実現
まとめ
ほとんどの組織ではネットワーク運用状況と利用状況を包括的に可視化できておらず、 変化にプロアクティブに対応することができません。利点
Cisco DNA Assurance は、ネットワーク上のすべてのデバイス、アプリケーション、
サービス、クライアントから収集したインサイトを提供し、コンテキストを評価してから 修復のための措置を推奨します。
