ソリューションの概要

Cisco Software-Defined Access (SD-Access)は、従来のキャンパス LAN 設計の進化形であり、組織の目的(インテント)をそのまま反映できます。SD-Access は、Cisco DNA Center ソフトウェアで動作するアプリケーション パッケージです。インテリジェント キャンパスの有線/ワイヤレスネットワークの設計、プロビジョニング、ポリシー適用、および作成を確実に行うことができます。

SD-Access の不可欠な部分であるファブリックテクノロジーにより、有線/ワイヤレスのキャンパスネットワークとプログラム可能なオーバーレイおよび簡単に導入できるネットワーク仮想化を可能にし、設計の意図を満たすように 1 つ以上の論理ネットワークをホストする物理ネットワークを実現します。

エンタープライズ市場セグメントは、政府または自治体、金融、医療、小売など、さまざまな業種に分類できます。このドキュメントは、政府または自治体の部門を対象としています。

大企業や政府または自治体の環境では、通常、メインファブリックサイトに多数のデバイスとエンドポイントが含まれます。このソリューションは、ファブリック自動化のあらゆる導入例と大規模環境でのアシュアランスを検証することに焦点を当てています。重要な要素は次のとおりです。

  • 最大限のファブリックの規模を持つエンドツーエンドのソリューション展開

  • 共通の Cisco ISE クラスタを持つ複数の Cisco DNA Center インスタンス

    政府または自治体の大規模な展開では、複数の Cisco DNA Center インスタンスが必要になります。マルチ Cisco DNA Center 機能を使用すると、複数の Cisco DNA Center を同じ Cisco ISE クラスタと統合できます。すべての仮想ネットワーク、セキュリティグループ、アクセス契約、セキュリティポリシーが作成され、Cisco DNA Center 間で共有されます。この操作はプライマリノード(作成者ノード)を介して実行され、Cisco ISE およびその他の Cisco DNA Center にプッシュされます。

  • IPv6 への移行

    デバイスは IPv6 上で実行されることが増えていますが、ネットワーク インフラストラクチャは IPv4 上に維持されると考えられます。Cisco DNA Center は、IPv6 への移行のシームレスなワークフローを提供します。

  • ワイヤレスへの移行(ワイヤレス OTT の展開からファブリックワイヤレスへの移行)。

    大企業の展開では、SD-Access ネットワークへの段階的な移行が採用される場合があります。最初に有線ネットワークが移行されます。従来のワイヤレスネットワークは、ファブリック有線ネットワーク上で実行されます。このタイプのネットワークは、ワイヤレス オーバーザトップ オブ ファブリック(ワイヤレス OTT)と呼ばれます。次の段階で、ファブリック ワイヤレス ネットワークに移行して有効化します。

  • Cisco DNA アシュアランス

    アシュアランスは、エンドツーエンドのネットワーク全体にわたるユーザとアプリケーションの実際のエクスペリエンスを可視化します。

ハードウェアとソフトウェアの仕様

ソリューションは、次の表に示すハードウェアとソフトウェアで検証されています。

ロール モデル名 ソフトウェア リリース

Cisco DNA Center コントローラ

DN2-HW-APL-XL

2.3.3.7

アイデンティティ管理、RADIUS サーバー

ISE-VM-K9

3.0 パッチ 6、3.1 パッチ 3

Cisco SD-Access ファブリック ボーダー ノード

ASR1006-X

17.6.4、17.9.3

C9500-24Y4C

17.6.4、17.9.3

Cisco SD-Access ファブリック エッジ ノード

C9500-40X, C9404R, C9300

17.6.4、17.9.3

Cisco SD-Access 中継ノード

C9500-24Y4C

17.6.4、17.9.3

シスコ ワイヤレス コントローラ

C9800-80-K9

17.6.4、17.9.3

AIR-CT-8540

8.10.183.0

シスコアクセスポイント

C9115AX, C9120AX, C9130AX

17.6.4、17.9.3

AIR-AP-3800, AIR-AP-4800

8.10.183.0

ソリューションの導入例のシナリオ

この検証済みソリューションは、次の自動化およびアシュアランスの導入例をサポートします。

自動化

  • 政府または自治体の大規模なファブリックサイトの展開

    • LAN 自動化を使用したファブリックデバイスのオンボーディング

    • VN および IP セグメントの追加

    • IP および TCP 伝送

    • マルチキャストの有効化

  • 同じ Cisco ISE クラスタとのマルチ Cisco DNA Center の統合

    • 仮想ネットワーク、セキュリティグループタグ、アクセス契約、セキュアなポリシーの作成

    • Cisco DNA Center 間でのロール変更(作成者ノードの昇格)

    • ポリシーの適用と認可変更(COA)

  • ワイヤレス OTT の展開とファブリックワイヤレスへの移行

  • IPv4 専用ネットワークからデュアルスタック ネットワークへの移行

  • 有線およびワイヤレス ファブリック デバイス イメージのアップグレードの検証

    • 有線およびワイヤレスデバイスを含む、サイトレベルのデバイスイメージのアップグレード

  • Cisco DNA Center 3 ノードクラスタのアップグレードの検証

    • Cisco DNA Center の 2.3.3.3 から 2.3.3.7 へのアップグレード

  • ネットワークとサービスのフェールオーバー/冗長性の検証

    • Cisco DNA Center ハイ アベイラビリティ

    • ISE PAN、PSN、pxGrid サービスのフェールオーバー

    • クリティカル VLAN で到達不能な ISE

    • ボーダー SVL とアクセススイッチスタックのフェールオーバー

  • ファブリックデバイスの RMA ワークフローと AP 更新ワークフロー

    • ファブリックデバイスと障害のある AP RMA

    • Wav2 AP から 11ax AP への AP 全体の交換

  • ファブリックの規模とパフォーマンス

アシュアランス

  • デュアルスタック ファブリック クライアントのオンボーディング

    • 有線およびワイヤレス デュアルスタック クライアントのオンボーディング

    • クライアントダッシュボードには、オンボーディングされたクライアントデバイスのリストが、適切な正常性スコアおよびその他すべての必要とされる情報とともに表示されます

  • ネットワークデバイスのオンボーディング

    • ネットワークダッシュボードには、オンボーディングされたネットワークデバイスのリストが、適切な正常性スコアおよびその他すべての必要とされる情報とともに表示されます

  • アシュアランス 問題の報告

    • ネットワークデバイスのリンクダウン問題の発生

    • AP ダウン問題の発生

    • スタックメンバのダウン

  • クライアントの正常性の詳細

    • アシュアランス チャート、[Client Health] ページ

    • アシュアランス チャート、[Client 360] ページ

  • ネットワークの正常性の詳細

    • アシュアランス チャート、[Network Health] ページ

    • アシュアランス チャート、[Device 360] ページ

  • ファブリック アシュアランス

    • ファブリックの正常性スコアと アシュアランス チャート、[Fabric Health] ページ

  • アシュアランス と拡張性

    • アシュアランス チャート、300,000 の同時エンドポイントと 750,000 の一時エンドポイント

  • 耐用期間/ソークテスト

ソリューション環境

トポロジ

次のトポロジは、大規模企業および政府または自治体における展開環境を示しています。

  • コントローラによる統合:

    • データセンター 1:3 ノード x 1、112 コア Cisco DNA Center クラスタ、ISE PAN/MNT x 2、PSN ノード x 3。

    • データセンター 2:単一ノード x 1、112 コア Cisco DNA Center、ISE PSN ノード x 3。

  • 共有サービスには、DNS、DHCP、AD、NTP、HTTP、TFTP、およびバックアップサーバが含まれます。WLC は共有サービスにも存在します。

  • 2 つの大規模なファブリック キャンパス サイト:

    • キャンパス 1:デュアルファブリック ボーダー/CP、1000 ファブリックエッジ、1000 IP セグメント。

    • キャンパス 2:SVL をサポートするボーダー、1000 ファブリックエッジ、600 IP セグメント。

  • ブランチ:中継 CP ノード(キャンパスごとに 1 つ)を介してキャンパスと通信するブランチの FIAB。

  • 両方のキャンパスには、多数のシミュレーション ファブリック ノード、AP、およびシミュレーション有線/ワイヤレス エンドポイントが含まれます。

スケール

ソリューションのテストでは、次の表に示すスケールについて確認しました。ハードウェアキャパシティについては、Cisco DNA Center のデータシートを参照してください。

カテゴリ

Cisco DNA Center クラスタ

4

3 ノード x 1 と単一ノード x 1、112 コアアプライアンス

Cisco ISE クラスタ

8

PAN/MNT x 2、PSN x 6(pxGrid x 2 を含む)

インベントリのデバイス数

10,000

ルータ、スイッチおよび ワイヤレスコントローラ

ファブリックあたりのデバイス数

1000

ボーダー/コントロールプレーン x 2 + スイッチ x 50 + シミュレートスイッチ x 950

スタティックホストポート

480,000

物理インターフェイス x 480,000

ネットワーク階層内のサイト要素数

6000

サイト、建物、フロア

ファブリック内の VN

256

ファブリックサイト内の IP プール

1000

IP セグメント x 1000

ファブリックサイトの ワイヤレスコントローラ

2

C9800-80

AIR-CT-8540

SSID

6

インベントリの AP

18,000

ファブリックサイトの AP

6000

エンドポイント

300,000

200,000 有線

100,000 ワイヤレス

マルチ Cisco DNA Center 環境の Cisco DNA Center インスタンス数

2

SGT

4000

ACA ポリシー

25,000

ソリューションのスケーリングに関するパフォーマンスデータ(前の表の規模プロファイルに基づく)
動作 パフォーマンスの測定結果

IP セグメントの追加

30 分

IP セグメントの削除

30 分

ファブリックエッジノードの追加

27 分

ファブリックエッジノードの削除

15 分

外部ボーダー/コントロールプレーンの追加

42 分

外部ボーダー/コントロールプレーンの削除

39 分

VN でのマルチキャストの有効化

4 時間 7 分

VN でのマルチキャストの無効化

4 時間 22 分

1 つの IPv4 セグメントでの IPv6 の有効化

35 分

100 AP のプロビジョニング

4 分

SWIM を介した 50 スイッチへのイメージの配信

14 分

SWIM を介した 50 スイッチでのイメージのアクティブ化

28 分

マルチ Cisco DNA Center ロールの変更(同期時間を含む)

33 分(4000 SGT)

バックアップ: Cisco DNA Center

Fusion データ:22 分(54 GB)

ベストプラクティスと推奨事項

ここでは、ソリューションの展開に役立つテクニカルノートについて説明します。

ワイヤレス OTT の移行

ワイヤレス OTT は、SD-Access ファブリック上で実行される従来のワイヤレスです。このモードは、有線ネットワーク上で SD-Access を最初に実装し、次にワイヤレス統合を計画しているお客様向けの移行手順として重要です。OTT 展開を SD-Access ワイヤレスネットワークに移行する場合は、ワイヤレスネットワークの SSID 名を同じに保つために、次の手順を実行することをお勧めします。

手順

ステップ 1

[Fabric] ページで、ワイヤレスコントローラをファブリックサイトに追加します。

ステップ 2

OTT と同じ SSID をファブリックネットワークで維持するには、新しいネットワークプロファイルを作成し、このプロファイルでファブリックを有効にして同じ SSID を追加します。

OTT ネットワークの元のネットワークプロファイル:

ファブリックワイヤレスの新しいネットワークプロファイル(同じ SSID でファブリックが有効):

ステップ 3

フロアを新しいネットワークプロファイルに割り当てます。

ステップ 4

新しいネットワークプロファイルを使用してワイヤレスコントローラを再プロビジョニングします。これにより、古い非ファブリック SSID が削除され、新しいファブリック SSID が生成されます。

ステップ 5

[Host Onboarding] > [Wireless SSID] ページで、ファブリックの SSID にワイヤレスプールを割り当てます。これにより、ワイヤレスコントローラのファブリック SSID が有効になります。

ステップ 6

割り当てたフロアの AP を再プロビジョニングします。AP が再起動し、ファブリック SSID のブロードキャストを開始します。ファブリックエッジノードのファブリック AP ごとにアクセストンネルが作成されます。

IPv6 への移行(デュアルスタック対応)

多くの展開では、IPv4 専用セグメントがあります。IPv6 をサポートするデュアルスタック環境に移行する場合は、次の手順を実行することをお勧めします。

手順

ステップ 1

IPv6 グローバルプールを作成します。

ステップ 2

IPv4 プールを選択し、IPv6 プールに追加します。

ステップ 3

プール情報を保存すると、Cisco DNA Center の [Fabric] ページにアラートが表示され、ファブリックを再設定するように求められます。

ステップ 4

プロビジョニングの完了後、ホストとエンドポイントをオンボーディングします。オンボーディングしたホストには、IPv4 アドレスと IPv6 アドレスの両方が設定されます。

ステップ 5

アシュアランス ページで、2 つのアドレスを確認します。

マルチ Cisco DNA Center 展開

Cisco DNA Center システムは、25,000 ~ 100,000 エンドポイント(44 コアアプライアンスの場合は 25,000、56 コアアプライアンスの場合は 40,000、112 コアアプライアンスの場合は 100,000)を超えて拡張することはできません。Cisco Identity Service Engine は、2,000,000 エンドポイントまで拡張できます。リリース 1.3.3.x 以前では、1 つの Cisco DNA Center システムは 1 つの Cisco ISE システムとしか統合できませんでした。現在では、大規模な Cisco ISE 展開では、複数の Cisco DNA Center クラスタを 1 つの Cisco ISE に統合することでメリットが得られます。Cisco DNA Center のアクセス制御アプリケーションのこの機能を使用すると、1 つの Cisco ISE システムに最大 4 つの Cisco DNA Center クラスタを統合できます。

マルチ Cisco DNA Center 展開では、次の点に注意してください。

  1. 現在、Cisco DNA Center の複数クラスタ機能は、一般提供の Cisco DNA Center では使用できません。限定提供パッケージ(「マルチ DNAC」と呼ばれます)は、対象となるお客様のみご利用いただけます。対象となるお客様の場合は、この機能を提供するパッケージをダウンロードしてインストールできます。

  2. マルチ Cisco DNA Center 展開では、同じ Cisco ISE クラスタと統合するすべての Cisco DNA Center クラスタが、同じリリースである必要があります。Cisco DNA Center の異なるリリースをマルチ Cisco DNA Center 展開で混在させることはできません。

  3. マルチ DNAC パッケージと依存関係にあるパッケージは、アクセス制御アプリケーション(ACA)パッケージです。マルチ DNAC パッケージをインストールする前に、ACA パッケージをインストールする必要があります。

  4. 1 つの Cisco ISE システムと複数の Cisco DNA Center クラスタを含む展開では、作成者ノードでのみ SDA ポリシーオブジェクトを管理できます。Cisco ISE と統合する最初の Cisco DNA Center クラスタが作成者ノードロールを担うことになります。作成者ノードは、仮想ネットワーク、スケーラブルグループ、アクセス契約、ポリシー、およびスケーラブルグループと仮想ネットワークの関連付けに対する単一の管理ポイントです。リーダーノードには、仮想ネットワーク、スケーラブルグループ、およびスケーラブルグループ間の仮想ネットワークの関連付けに対する読み取り専用ビューがあります。リーダーノードでは、アクセス契約またはポリシーは表示できません。リーダーノードには、作成者ノードへの相互起動リンクがあります。

  5. Cisco ISE システムとの統合が完了したら、[System Settings] > [Settings] > [Multiple Cisco DNA Center Settings] ページで、作成者ノードまたはリーダーノードのロールステータスを確認できます。

  6. リーダーノードを作成者ノードに昇格させて、現在の作成者ノードを置き換えることができます。昇格後、新しい作成者ノードでは、ポリシーデータについて Cisco ISE データベースの再同期を実行する必要があります。クラスタに多数の SGT がある場合、再同期時間が長くなります。再同期の完了後、新しい作成者ノードを使用して、展開全体のすべてのアクセス コントロール ポリシーを管理できます。

保証

手順 1:Cisco DNA Center ホームページの アシュアランス 概要

Cisco DNA Center ホームページの [アシュアランス Summary] ダッシュボードには、ネットワークの全体的な正常性ステータスが表示されます。このダッシュボードから、[Assurance Overall] ページまたは [Assurance Issues] ページにドリルダウンします。

手順 2:[Assurance Overall] ページ

[Health] を選択すると、ネットワークデバイスとクライアントの集約された正常性情報が表示されます。左上隅にあるメニューアイコンをクリックして次を選択します:アシュアランス > デフォルトビューには、過去 7 日間のデータが表示されます。過去 3 時間または 24 時間に表示を調整することもできます。

手順 3:[Network Health] ページ

左上隅にあるメニューアイコンをクリックして次を選択します:アシュアランス > [Health]。[Network] タブをクリックして、[Network Health] ページを開きます。

[Network Health] ページには、[Network Device Reachability]、[Top N APs by High Interference]、[Total APs Up/Down]、[Top N APs by Client Count]、[PoE Operational State Distribution]、[PoE Powered Device Distribution]、[PoE Insights] の各セクションがあります。

手順 4:[Client Health] ページ

左上隅にあるメニューアイコンをクリックして次を選択します:アシュアランス > [Health]。[Client] タブをクリックして、[Client Health] ページを開きます。

[Client Health] ページには、[Wireless Clients] および [Wired Clients] のセクションがあります。

[Network Health] ページには、[Client Onboarding Times]、[Connectivity RSSI]、[Connectivity SNR]、[Client Roaming Times]、[Client Count per SSID]、[Connectivity Physical Link] の各パネルがあります。

手順 5:[Device 360] ページ

左上隅にあるメニューアイコンをクリックして次を選択します:[Provision] > [Inventory] の順に選択します。デバイスをクリックし、[View 360] をクリックします。

手順 6:[Client 360] ページ

左上隅にあるメニューアイコンをクリックして次を選択します:アシュアランス > [Health]。[Client] タブをクリックして、[Client Health] ページを開きます。

[Client 360] ページに、クライアントデバイスの 360 度ビューが表示されます。

手順 7:ファブリックアシュアランス

ファブリックオーバーレイに提供される分析情報には以下のものがあります。

  • ファブリック到達可能性:すべてのファブリックノード間の接続チェック

  • ファブリックデバイス:ファブリックノードのマッピングエントリ、プロトコル、パフォーマンス

  • ファブリッククライアント:クライアント オンボーディングと共有サービス(DHCP、DNS、AAA、RADIUS)

ファブリックオーバーレイのすべてのチャートは、[Device 360] ページと [Client 360] ページで使用できます。

アシュアランスのトラブルシューティング

  • 複数の アシュアランス ダッシュボードにデータが表示されない場合は、magctl appstack status コマンドを使用して、すべての アシュアランス サービスが実行されていることを確認します。Flink ツールを使用して、すべての アシュアランス パイプラインが実行されていることを確認します。

  • [Network Health] ページで断続的にデータが表示されなくなる場合は、Network-health プロセッサまたは Grafana の Graph-Writer LAG を確認します。

  • 有線クライアントで正しい詳細が表示されない場合は、Grafana の Wired Pipeline LAG を確認します。

Cisco DNA Center エアギャップのアップグレード

一部の政府機関では、クラウド環境での管理ソリューションの展開を制限する厳格なセキュリティ要件があります。Cisco DNA Center はオフラインでのソフトウェア アップデートをサポートしており、Cisco Connected DNA Cloud にアクセスすることなく、セキュアなエアギャップネットワークに展開されている Cisco DNA Center アプライアンスを最新の Cisco DNA Center ソフトウェアおよびアプリケーションバージョンに更新できます。エアギャップ環境で Cisco DNA Center アプライアンスをアップグレードするには、『Cisco DNA Center Air Gap Deployment Guide』の「2.2.2.x or 2.2.3.x to 2.3.3.x」の章を参照してください。