このガイドでは、Cisco SD-Access と Cisco SD-WAN をベースとする大規模な金融業界向けの展開の作成と検証に焦点を当てています。この展開では、Cisco SD-WAN コントローラと Cisco DNA Center を統合せずに個別に管理する独立ドメインモデルを使用します。このガイドは、金融ネットワークの展開に関する参考資料として使用できます。

金融機関は、小規模な ATM から大規模な企業オフィスまで、世界中で何百ものブランチを運営しています。サイトごとに独自の特別な要件がありますが、金融業界では一般に、標準化されたセキュアなネットワーク接続、簡素化されたネットワーク運用とメンテナンス、耐障害性に優れたシステム、組織全体での一貫したポリシー実装が求められます。

Cisco DNA Center の 3 ノードのハイアベイラビリティやディザスタリカバリなど、復元力を高める機能を使用することで、稼働時間の最大化、運用コストの削減、ワークフローの合理化、パフォーマンスの最適化、セキュアなエンドツーエンド接続が実現します。

システムとネットワークの復元力

この金融業界向けソリューションは、低レベルのデバイスやリンクの障害から、コントローラの障害、さらにはデータセンターの停止に至るまで、複数のレイヤにおける障害に対処できます。Cisco DNA Center のハイアベイラビリティやディザスタリカバリの機能により、システムの復元力が提供されます。さらに、Cisco SD-Access と SD-WAN により、デュアル SD-Access ボーダー、デュアル Cisco SD-WAN WAN エッジ、スタックと StackWise Virtual リンク（SVL）を備えたファブリックノード、SSO と N+1 のワイヤレスコントローラのサポートを通じてネットワークの復元力が提供されます。

セキュリティ

このソリューションは、組み込みのセキュリティ機能に加え、Cisco ISE と Cisco DNA Center の統合により、高度にセキュアなセグメント化されたシステムを提供します。

Cisco ISE は、ネットワークへのセキュリティの提供を簡素化し、グループベースポリシー（GBP）のサポートを提供するポリシーエンジンです。Cisco GBP は、スケーラブルグループタグ（SGT）を使用して、エンドポイントを論理グループに動的に編成します。SGT は、IP アドレスよりもリッチなコンテキストを活用したビジネス上の決定に基づいて割り当てられます。SGT により、把握と管理が容易になります。グループベースのルールは、IP アドレスに基づく同等のルールセットよりも数が劇的に少なくなります。Cisco ISE は、ネットワークデバイスおよびエンドクライアントとの AAA 機能も実行します。

Cisco DNA Center は、ネットワークを拡張し、ファブリック内の重要なアプリケーションへのアクセスを制限しながら、ネットワークの状況認識を向上させます。Cisco ISE が Cisco DNA Center と統合された後、Cisco DNA Center は Cisco ISE からグループベースポリシーを取得して、不正なエンドポイントおよびクライアントからアプリケーションを保護します。Cisco ISE は、Cisco DNA アシュアランス 用にネットワーク、ユーザ、およびデバイスからコンテキスト情報をリアルタイムで収集します。この統合により、不正行為を防止して機密データを保護する金融機関の高度なセキュリティニーズが簡単になります。ネットワークアクセスのプロビジョニングの促進、セキュリティ運用の高速化、ネットワーク全体への一貫したポリシーの適用が実現します。

Cisco GBP とアイデンティティベースのアクセス制御機能（IEEE 802.1X/MAC 認証バイパス、サイトレベルの MACsec 暗号化、FQDNベースの証明書）により、金融業界のセキュリティニーズを達成できます。

ネットワークのセグメント化

ネットワーク セグメンテーションは、重要なビジネス資産を保護するために不可欠です。Cisco DNA Center は、仮想ネットワーク（VN）間のデータを保護するために、マクロセグメンテーションと呼ばれる単純化されたアプローチを提供します。さらに、Cisco DNA Center は、VN 内のエンドポイントにグループベースのアクセスコントロールを使用してマイクロセグメンテーションを展開するためのフレームワークも提供します。

ネットワーク セグメンテーションは新しい概念ではありませんが、この数年の間に大幅な進化を遂げました。当初ネットワーク セグメンテーションは、仮想 LAN（VLAN）を使用して、1 つの「フラットな」ネットワークまたはブロードキャストドメインを小さなセグメントに分割するプロセスとして定義されていました。場所にかかわらず組織全体でネットワークセグメントを拡張する必要性から、VN または Virtual Routing and Forwarding（VRF; 仮想ルーティングおよびフォワーディング）インスタンスの概念が導入され、ネットワークセグメント間のレイヤ 3 分離が実装されました。

各 VRF が独自のルーティングおよび転送を維持し、仮想ネットワークを作成することで分離されます。1 つの VRF に含まれるルートが別の VRF には含まれておらず、相互の通信が制限されるためです。Cisco GBP では、セグメンテーションは、IP アドレッシングやルーティングを使用した VLAN や VRF に基づいて実現されるものではなくなっています。IP アドレッシングに関わりなく、ロールベースまたはグループベースのメンバーシップを使用してポリシーを作成することで、ネットワークをセグメント化します。

ネットワーク運用の簡素化

Cisco DNA Center は、ネットワークデバイスのプロビジョニング、ソフトウェアイメージの管理（SWIM）、インベントリの管理などのワークフローを自動化するインテントベースのソリューションを提供します。また、Cisco DNA Center は、組織の目的をポリシーとしてすべてのサイトにプッシュします。このソリューションでは、ファブリックボーダーとゲートウェイの間のレイヤ 3 接続にスイッチ仮想インターフェイス（SVI）番号を再利用でき、管理者が各ボーダーで SVI 割り当てを標準化するためのフレームワークを提供します。Cisco DNA Center は、ネットワーク、クライアント、および重大な問題の アシュアランス ダッシュボードなど、アシュアランス を使用してネットワークの正常性に関する実用的な情報も提供します。単一のデバイスまたはクライアントにドリルダウンする機能により、トラブルシューティング プロセスが簡単になります。

堅牢なネットワークと接続性

Cisco SD-WAN は、単一のファブリックを介して複数のサイトを接続するオーバーレイ WAN アーキテクチャです。Cisco SD-WAN アーキテクチャは、個別のオーケストレーション、管理、コントロール、およびデータの各プレーンで構成されています。Cisco vBond コントローラは、SD-WAN オーバーレイへの SD-WAN ルータの自動オンボーディングを提供します。Cisco vManage コントローラは、一元的な設定とモニタリングの役割を担います。Cisco vSmart コントローラは、SD-WAN ネットワークの中央集中型コントロールプレーンの役割を担います。WAN エッジは、他の WAN エッジとのセキュアなデータプレーン接続を確立します。

Cisco SD-WAN エッジは、Cisco SD-Access IP トランジットを使用して Cisco SD-WAN ファブリック全体の SD-Access サイトに接続し、ネットワーク全体で標準のセキュアな接続を維持します。独立ドメイン展開モデルでは、Cisco vManage と Cisco DNA Center は相互に通信しません。Cisco SD-Access VN は、VRF-Lite を使用して Cisco SD-WAN バーチャル プライベート ネットワーク（VPN）に接続されます。これにより、2 つの SD-Access サイトからの VN が Cisco SD-WAN 間で通信できるようになります。VN/VPN 内でのルートの交換用に、SD-WAN WAN エッジと Cisco SD-Access ボーダーの間に外部ボーダー ゲートウェイ プロトコル（eBGP）が設定されます。

ポリシー管理の一元化

Cisco DNA Center システムのエンドポイントのスケールと Cisco ISE のスケールの間には数の違いがあります。金融業界のような、地理的に離れた複数のブランチやサイトが世界中に分散した大規模な Cisco ISE 展開では、複数の Cisco DNA Center クラスタを単一の Cisco ISE クラスタに統合することでメリットが得られます。シスコでは、Cisco ISE をより有効に活用できるように Cisco ISE 展開ごとに複数の Cisco DNA Center クラスタをサポートし、複数の Cisco DNA Center のポリシーを一元管理する管理プレーンを提供しています。マルチ Cisco DNA Center 展開では、最初の Cisco DNA Center システムがグループベースのアクセスポリシーの作成者ノードとして機能します。作成者ノードでスケーラブルグループ、アクセス契約、ポリシー、および VN を管理します。これらのポリシーやセキュリティの要素の作成、変更、削除は、作成者ノードでのみ可能です。追加のリーダーノードは、ネットワークデバイスの個別のセットを管理する独立したシステムです。リーダーノードでは、ローカルの VN やグループベースのアクセスポリシーを管理しません。リーダーノードでは、読み取り専用で VN とスケーラブルグループの確認のみが可能です。

ネットワーク サービス

トレーディングフロアのアーキテクチャの多くでは、データおよびビデオフィードサービスにマルチキャストプロトコルを使用します。Cisco DNA Center と Cisco SD-WAN により、ハブからブランチへのマルチキャストを可能にするフレームワークが提供されます。

ソリューションは、次の表に示すハードウェアとソフトウェアでテストされています。サポートされているハードウェアの完全なリストについては、「Cisco Software-Defined Access Compatibility Matrix」を参照してください。

金融業界のプロファイルについて、図 1 で定義されたトポロジを使用して次のユースケースを検証しています。

• Cisco DNA Center と Cisco SD-Access を使用してインテントベース ネットワークを実装。

  • 管理者は、ネットワークデバイスのプロビジョニングを自動化および簡素化できます。

  • 管理者は、インベントリを維持および監視し、問題を簡単に解決できます。

  • 管理者は、Cisco DNA Center SWIM を使用して、スイッチ、ルータ、ワイヤレスコントローラなどの複数のデバイスをアップグレードできます。

• 複数の Cisco DNA Center を単一の Cisco ISE に統合。

  • 管理者は、作成者ノードでインテントベースのポリシーを作成、変更、削除し、自動的にリーダーノードと同期できます。

  • 管理者は、Cisco DNA Center リーダーノードから作成者ノードへの昇格を要求できます。

• 地理的に離れた複数のサイトを Cisco SD-WAN を使用して接続。

  • 管理者は、キャンパスとブランチの間を接続するように Cisco SD-WAN を設定できます。

  • 管理者は、IP トランジットを介して SD-Access ファブリックに接続するように Cisco SD-WAN WAN エッジを設定できます。

  • 管理者は、Cisco TrustSec を使用してエンドツーエンドを維持するように Cisco SD-WAN WAN エッジでインライン SGT 伝播を設定できます。

  • 管理者は、Cisco SD-WAN vManage を使用して Cisco SD-WAN WAN エッジのイメージをアップグレードできます。

• システムとネットワークの復元力。

  • 既存のアプリケーション、トラフィック、ユーザへの影響を最小限に抑えて、ネットワークがデバイスやリンクの障害から自動的に回復します。

  • 管理者は、3 ノード HA モードで Cisco DNA Center を設定できます。Cisco DNA Center でサービスやノードの障害が発生した場合、システムはユーザの介入なしで回復します。

  • 管理者は、異なるデータセンターにある Cisco DNA Center でディザスタリカバリを設定できます。複数のノードで障害が発生したり、回復不能なネットワークの問題が発生した場合、シスコのディザスタリカバリによって別のデータセンターにある Cisco DNA Center への自動フェールオーバーがトリガーされます。

  • 管理者は、Cisco DNA Center ディザスタリカバリが設定された状態でアップグレードやメンテナンス作業を実行できます。

  • 管理者は、スタンバイ Cisco DNA Center にフェールオーバーできます。

  • 管理者は、Cisco ISE 分散展開で複数のポリシー管理ノード（PAN）、ポリシーサービスノード（PSN）、および Cisco Platform Exchange Grid（pxGrid）を設定できます。

  • 管理者は、ユーザやデバイスに影響を与えることなく、Cisco ISE 分散展開でメジャーリリースへのアップグレードや新しいパッチの適用を行うことができます。

  • 管理者は、Cisco DNA Center コントローラの設定とデータを随時またはスケジュールに従ってバックアップできます。

  • 管理者は、Cisco DNA Center コントローラの設定とデータを復元できます。

• 組織全体の統合ネットワークインテントを設定。

  • 管理者は、一貫したマクロセグメンテーションを実現するために組織全体で VN を作成できます。

  • 管理者は、単一の VN に複数の SGT を適用し、VN 内のマイクロセグメンテーション トラフィック用のグループベースのアクセスポリシーを作成できます。

  • 管理者は、有線クライアントとワイヤレスクライアントの dot1x 認証を設定できます。

  • 管理者は、VN の追加/削除によって新しいユーザグループを追加または削除し、IP プールを VN に関連付けまたは関連付け解除できます。

• 強化されたセキュリティを設定して機密性の高い財務データを保護。

  • 管理者は、不正アクセスを防ぐために、有線およびワイヤレスのデバイスとユーザに対してクローズド認証オンボーディング（dot1x）を有効にできます。

  • 管理者は、MACsec を使用してセキュアなサイトレベルのファブリックトラフィックを設定できます。

  • 管理者は、セキュリティを強化するために、Cisco DNA Center で信頼できる CA の FQDN ベースの証明書を適用できます。

  • 管理者は、脅威の検出、脅威の封じ込め、および ESA 自動化のための SSA 用に Stealthwatch を Cisco DNA Center と統合できます。

  • 管理者は、詳細なロールベースのユーザを作成し、監査ロギングを使用して Cisco DNA Center のアクティビティを監視できます。

  • 管理者は、ポリシーの変更、ポリシーの変更の展開、展開のステータス、および変更を開始したユーザと時期を監査できます。

• アシュアランスと分析を使用してネットワークとクライアントの状態を監視。

  • ネットワーク管理者は、ネットワーク、有線ユーザ、およびワイヤレスユーザの状態を単一の画面で監視できます。

  • ネットワーク管理者は、ネットワークやデバイスに関する重大な問題や進行中の問題を調査し、アシュアランス の推奨措置に従って問題を解決できます。

  • ネットワーク管理者は、ネットワークに接続されている有線およびワイヤレスのユーザとデバイスの状態を監視できます。

  • ネットワーク管理者は、単一のデバイス、有線ユーザ、またはワイヤレスユーザを確認し、詳細情報を取得できます。

  • ネットワーク管理者は、アプリケーションデータの詳細な使用状況を確認できます。

  • ネットワーク管理者は、センサーを使用してワイヤレスネットワークの状態を監視できます。

ソリューションのテストでは、次の表に示すスケールについて確認しました。ハードウェアキャパシティについては、Cisco DNA Center のデータシートを参照してください。

• Cisco SD-Access Solution Design Guide (Cisco Validated Design)

• Cisco DNA Center のユーザロール権限

• ディザスタリカバリの実装

• Support for Multiple Cisco DNA Center Clusters with a Single Cisco ISE System

• Cisco DNA Center リリースノート