CCNP ENCOR合格のための技術解説(SD-Access)

CCNP

こんにちは、トラ男です。
CCNP ENCOR試験では以下の6つの大分類から出題されます。

  • デュアルスタック(IPv4 および IPv6)アーキテクチャ
  • 仮想化
  • インフラストラクチャ
  • ネットワークアシュアランス
  • セキュリティ
  • 自動化

今回はアーキテクチャ分野の技術知識(SD-Access)についてまとめていきたいと思います。

SD-Accessとは

SD-Accessとは、シスコが提供するIBN(Intent-based Network:インテントベースネットワーク)に基づいた新しいキャンパスLANの構築手法です。

IBNは、シスコが提唱するSDN(Software-defined Network)ソリューションであり、「ソフトウェアで定義する」という段階からさらに一歩進め、「利用者の意図(インテント)に応じたネットワーク環境を自動構築する」ことを可能にしています。
IBNのコントローラとしてCisco DNA Centerが提供されています。Cisco DNA Centerと、対応したルータやスイッチを使うことでIBNのソリューションをネットワークに適用可能にします。Cisco DNA CenterはGUIとなります。

レガシーLANSD-Access
•VLANとIPアドレスに基づいたコントロール
•アクセスポリシーとして、IPアドレスベースのACLを利用
•コマンドラインで設定を管理
•VLANとIPアドレスに依らないユーザの役割に応じたコントロール
•アクセスポリシーとして、認証情報に紐づくSGベースのACLを利用
•GUIベースで設定を管理

SD-Accessはアンダーレイオーバーレイの2つのレイヤに分けられます。

アンダーレイとオーバーレイ

アンダーレイ

アンダーレイはルータやスイッチによって構成される物理的なネットワークと、ルーティングプロトコルで構成されます。SD-Accessのアンダーレイは以下の特徴を持ちます。

  • すべてのルータとスイッチをL3接続する
  • OSPFやIS-ISといったリンクステート型ルーティングプロトコルを使用する
  • STP/RSTPは使用しない(L2ループの考慮が不要のため)
  • 3階層キャンパス設計モデル2階層キャンパス設計のデザインではなくなり、ディストリビューション層が担当していたデフォルトゲートウェイ機能はPCが接続するエッジノードが担当する
  • MTUの設定は9100バイトが推奨される

アンダーレイの構築には、ブラウンフィールドと呼ばれる既存のネットワークに段階的に適用する手法と、グリーンフィールドと呼ばれる既存のものとは別個に構築して段階的に移行する手法があります。

オーバーレイ

アンダーレイ上に構成される仮想的なネットワークです。1つのアンダーレイには複数のオーバーレイを構築可能です。

アンダーレイの通信経路などは意識されず実際に通信を行うエンドポイント(PC、IP-Phone、サーバetc)間が直接接続しているように振る舞います。
エンドポイントからパケットを受け取ったSD-Accessエッジノード間に仮想的な接続(トンネル)を構築し、エッジノード間が直結されているように動作します。

SD-Access
SD-Accessファブリックアンダーレイとオーバーレイで構成されるSD-Accessネットワーク全体を指す
コントロールプレーンノードLISPマップサーバとして動作
EIDとRLOCのマッピングを管理
ボーダーノード外部のNWをSD-Accessファブリックに接続
エッジノードエンドポイント(PC、IP-Phone、サーバetc)をファブリックに接続する
エンドポイントを認証し、DGWとなる
VXLANのカプセル化と解除を行う
ポリシーによるアクセス制御を行う
DNACSD-Accessのコントローラー。GUIで操作する。
ISEユーザ認証やアクセス制御ポリシーなどのセキュリティ機能を提供する
共有サービスNWで利用するサービス(DNAC、ISE、WLC、DHCP、NTP)のこと
フュージョンルータボーダーノードと共有サービスを接続するルータ
WLCAPを管理するコントローラー
AP無線LANアクセスポイントで、SD-Accessではエッジノードに接続する。

オーバーレイの動作を構成する要素は、以下の3つに分けられます。

データプレーン

VXLAN(Virtual Extended LAN)を使用してトンネル構築を行います。

VXLAN・・・L2フレームをUDP/IPパケットでカプセル化するプロトコル。SD-Accessでは、エッジノードがVXLANのカプセル化/カプセル化解除を行う。

コントロールプレーン

LISP(Locator Identity Separation Protocol)を使用してトンネルの相手側アドレスの解決を行います。

LISP(Locator Identity Separation Protocol)・・・オーバーレイのVXLANトンネルの宛先アドレスを解決するプロトコルとして使用。LISPによって各エッジノードはすべてのエッジノードのアドレスやエンドポイントへのネクストホップアドレスを知る必要がなくなる。

各エッジノードは自身の配下のネットワークのセグメント情報(EID:エンドポイントID)をマップサーバに送信します。

マップサーバは送信されたエッジノードのアドレス(RLOC:リソースロケータID)とEIDの情報を保持します。

ポリシープレーン

Cisco TrustSecを使用して通信の許可や拒否などのアクセス制御を行います。

Cisco TrustSec・・・アクセス制御機能の1つで、ユーザやデバイスや宛先ネットワークをグループとして定義し、グループごとに通信の許可や拒否を行う。これにより通常のACLよりも柔軟なアクセス制御を可能にします。

SD-Accessと無線LAN

SD-Accessに無線LANを構築する際には以下の点に注意が必要となります。

  • APはエッジノードに接続する
  • APのモードはLocalモードを使用する(FlexConnectモードではない)
  • APのサブネットはオーバーレイの一部としてコントロールプレーンに登録される
  • WLCはSD-Accessファブリックの外部に設置する(ファブリックにはボーダーノード経由で接続)

今回はここまでとなります。続けてCCNP ENCORアーキテクチャ分野に関してまとめていきたいと思います。

第5回はこちら

コメント

タイトルとURLをコピーしました