この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
エンタープライズ ファブリックは、エンドツーエンドのエンタープライズ全体のセグメンテーション、フレキシブルなサブネット アドレッシング、およびコントローラベースのネットワーキングにエンタープライズ全体にわたって統一されたポリシーとモビリティを提供します。これにより、エンタープライズ ネットワークは、サイト内およびサイト間のフレキシブルなレイヤ 2 拡張機能とともに、現在の VLAN 中心のアーキテクチャからユーザ グループベースのエンタープライズ アーキテクチャへと移行します。
エンタープライズ ファブリックは、相互接続されたスイッチを介してトラフィックを転送するネットワーク トポロジであり、単一レイヤ 2 またはレイヤ 3 のデバイスの抽象化を行います。これにより、ファブリックのエッジでポリシーを適用し、強制することで、シームレスな接続が実現します。ファブリックは IP オーバーレイを使用します。これにより、クラスタリング テクノロジーを使用せずにネットワークが単一の仮想エンティティとして表示されます。
ファブリック ノードに使用される定義は次のとおりです。
エンタープライズ ファブリック:相互接続スイッチを通じてトラフィックが渡され、単一レイヤ 2 またはレイヤ 3 のデバイスの抽象化を実行するネットワーク トポロジ。
ファブリック ドメイン:ネットワークの独立した操作部。他のファブリック ドメインとは別に管理されます。
エンドポイント:ファブリック エッジ ノードに接続されたホストまたはデバイスをエンドポイント(EP)といいます。エンドポイントはファブリック エッジ ノードに直接接続するかまたはレイヤ 2 ネットワークを通じて接続します。
次に、通常の SD-Access ワイヤレスのコンポーネントの図を示します。ファブリック ボーダー ノード(BN)、ファブリック エッジ ノード(EN)、ワイヤレス コントローラ(WLC)、Application Policy Infrastructure Controller エンタープライズ モジュール(APIC-EM)、およびホスト トラッキング データベース(HDB)から構成されています。
APIC-EM コントローラ:APIC-EM コントローラ上に開発されたファブリック サービスは、エンタープライズ ファブリックの管理とオーケストレーションを促進します。また、接続されているユーザとデバイスのポリシーのプロビジョニングも行います。
ホスト ID トラッキング データベース(マップ サーバと LISP のマップリゾルバ):このデータベースにより、デバイスまたはユーザの場所をネットワークが判断できます。ホストの EP ID を学習すると、他のエンドポイントがホストの場所に関してデータベースにクエリを実行できます。トラッキング サブネットの柔軟性により、ドメイン間での集約が助長され、データベースのスケーラビリティが向上します。
ファブリック ボーダー ノード(プロキシ出力トンネル ルータ(PxTR または LISP の PITR/PETR)):これらのノードは従来のレイヤ 3 ネットワーク、またはさまざまなファブリック ドメインをエンタープライズ ファブリック ドメインに接続します。複数のファブリック ドメインがある場合、これらのノードは 1 つのファブリック ドメインを 1 つ以上のファブリック ドメインに接続しますが、それらのドメインのタイプは同じであることも、異なることもあります。これらのノードは、1 つのファブリック ドメインから別のドメインへのコンテキストの変換を担います。カプセル化が異なるファブリック ドメイン間で同じである場合、ファブリック コンテキストの変換は通常 1 対 1 となります。2 つのドメインのファブリック コントロール プレーンはこのデバイスを介した到達可能性とポリシー情報を交換します。
ファブリック エッジ ノード(出力トンネル ルータ(ETR)または LISP の入力トンネル ルータ(ITR)):これらのノードは EP からのトラフィックの承認、カプセル化またはカプセル化解除、および転送を担います。これらはファブリックを囲む境界にあり、ポリシーが適用される最初のポイントです。EP は、ファブリック ドメインの外側にある中間レイヤ 2 ネットワークを使用してファブリック エッジ ノードに直接または間接的に接続されることがあります。従来のレイヤ 2 ネットワーク、ワイヤレス アクセス ポイント、またはエンド ホストがファブリック エッジ ノードに接続されます。
ワイヤレス コントローラ:WLC は AP イメージと設定管理、クライアント セッション管理とモビリティを提供します。さらに、ワイヤレス クライアントの MAC アドレスをクライアント接続時にホスト トラッキング データベースに登録するとともに、クライアントのローミング時に場所を更新します。
アクセス ポイント:AP はすべてのワイヤレス メディアの固有の機能を適用します。たとえば、無線ポリシーと SSID ポリシー、WebAuth パント、ピアツーピア ブロッキングなどです。これで、CAPWAP 制御と WLC へのデータ トンネルを確立します。ワイヤレス クライアントからの 802.11 データ トラフィックを 802.3 に変換し、VXLAN カプセル化を使用してアクセス スイッチに送信します。
SDA では次を簡素化できます。
ワイヤレス ネットワーク内でのアドレッシング
ワイヤレス ネットワーク内でのモビリティ
ゲスト アクセスとマルチ テナントに向けての移行
ワイヤレス ネットワーク内でのサブネット拡張機能(拡張サブネット)の活用
一貫性のあるワイヤレス ポリシーの提供
次に、AP を起動する手順を示します。
スイッチが AP に電源を投入します(PoE または UPoE)。
AP は DHCP サーバから IP アドレスを取得します。
スイッチは AP の IP アドレスをマップ サーバに登録します。
AP は CAPWAP 検出により Cisco WLC を検出します。
Datagram Transport Layer Security(DTLS)のハンドシェイク後、制御パケット用に CAPWAP 制御トンネルが AP と Cisco WLC 間に作成されます。CAPWAP データ トンネルが IEEE 802.11 管理フレーム用に作成されます。AP イメージがダウンロードされ、設定がコントローラから AP にプッシュされます。
Cisco WLC は、登録された AP が背後にあるスイッチのマップ サーバ(RLOC IP)を照会します。
Cisco WLC は、マップ サーバにダミーの MAC アドレスを登録します。
マップ サーバは、AP に VXLAN トンネルを作成するスイッチにダミーの MAC アドレス通知を送信します。
AP はクライアントを受け入れる準備が整います。
次に、クライアントをオンボーディングする手順を示します。
ワイヤレス クライアントがそれ自体を AP に関連付けます。
クライアントは、CAPWAP データ トンネルを使用して Cisco WLC(設定されている場合)で IEEE 802.1x 認証を開始します。
レイヤ 2 認証が完了すると、Cisco WLC は クライアントの MAC アドレスをマップ サーバに登録します。
マップ サーバはクライアントの詳細を示した通知メッセージをスイッチに送信します。
スイッチはクライアントの MAC をレイヤ 2 転送テーブルに追加します。
クライアントは DHCP サーバから IP アドレスを取得します。
AP は Cisco WLC にクライアントの IP アドレスを送信します。
Cisco WLC はクライアントを RUN 状態に移行して、クライアントがトラフィックの送信を開始できるようにします。
スイッチはクライアントの IP アドレスをマップ サーバに登録します。
スイッチは VXLAN パケットのカプセル化を解除します。
スイッチは DHCP パケットを DHCP サーバに転送するか、またはリレーします。
スイッチはワイヤレス クライアントの DHCP ACK を受信します。スイッチはクライアントの IP アドレスを学習し、更新をマップ サーバに送信します。
スイッチは DHCP ACK を AP 側 VXLAN トンネルを含めて、VLAN 内のすべてのポートにブロードキャストします。
DHCP ACK が AP に到達し、その AP が ACK をクライアントに転送します。
AP はクライアントの IP アドレスを WLC に送信します。
Cisco WLC はクライアントを RUN 状態にします。
コントローラ |
サポート |
---|---|
2504 |
なし |
3504 |
○ |
5508 |
なし |
WiSM2 |
なし |
8510 |
ローカル モードの AP のみでサポート |
5520 |
ローカル モードの AP のみでサポート |
8540 |
ローカル モードの AP のみでサポート |
7510 |
なし |
vWLC |
なし |
AP |
サポート |
---|---|
11N |
なし |
11AC Wave 1 |
○ |
11AC Wave 2 |
○ |
[メッシュ(Mesh)] |
なし |
セキュリティ |
サポート |
---|---|
オープンおよび静的 WEP |
なし |
WPA-PSK |
○ |
802.1x(WPA/WPA2) |
○ |
MAC フィルタリング(MAC Filtering) |
○ |
CCKM 高速ローミング |
○ |
ローカル EAP |
はい。ただし、推奨しません。 |
AAA オーバーライド |
SGT、L2 VNID、ACL ポリシー、および QoS ポリシーでサポート |
内部 WebAuth |
IPv4 クライアント |
外部 WebAuth |
IPv4 クライアント |
事前認証 ACL |
IPv4 クライアント |
FQDN ACL |
なし |
IPv6 |
サポート |
---|---|
IPv6 インフラ サポート |
なし |
IPv6 クライアント サポート |
なし |
機能 |
サポート |
---|---|
クライアントの IPv4 ACL |
はい。AP での ACL の Flex ACL |
クライアントの IPv6 ACL |
なし |
P2P ブロッキング |
同じ AP 上のクライアント用スイッチのセキュリティ グループ タグ(SGT)およびセキュリティ グループ ACL(SGACL)を通じてサポート。 |
IP ソース ガード |
スイッチ |
AVC の可視性 |
AP |
AVC QoS |
AP |
ダウンロード可能なプロトコル パックの更新 |
なし |
デバイスのプロファイリング |
なし |
mDNS プロキシ |
なし |
MS Lync Server QoS の統合 |
なし |
NetFlow エクスポータ |
なし |
QOS |
あり(メタル プロファイルおよびレート制限) |
パッシブ クライアント/サイレント ホスト |
なし |
場所のトラッキング/Halo |
○ |
ワイヤレス マルチキャスト |
はい。ビデオ ストリーミングはサポートされていません。 |
URL フィルタリング |
なし |
HA |
WLC から WLC へ |
次に、統合アクセスからファブリック ワイヤレスへの移行プロセスを示します。
イメージ対応のファブリック モードで WLC を起動します。
APIC-EM または CLI を使用して、適切なサブネットのファブリック モードでネットワークを設定します。これには、APIC-EM を使用することをお勧めします。
新しい AP サブネットでの DHCP 検出がコントローラ対応のファブリック モードとなるように検出メカニズムを設定します。
AP が起動したら、DHCP 要求を実行して AP VLAN 内の IP アドレスを取得します。
AP は WLC を使用してコントロール プレーンの CAPWAP トンネルを作成します。
設定に基づいて、WLC がファブリック モード用に AP をプログラムします。
この後は、AP はワイヤレス フローの SDA に従います。
(注) | ファブリック SSID とファブリック以外の SSID 間のモビリティはサポートされていません。 |
(注) | AP イメージとライセンスは Cisco WLC でホストされ、AP はその WLC からイメージとライセンスを直接取得します。APIC-EM は、Cisco WLC 上での AP ライセンスの管理を担います。 |
(注) | WLC での TCP 接続フラップ後、接続を再確立するには 5 ~ 6 分かかります。この間に、アクセス トンネルはクライアントの参加時にリセットされます。 |
WLAN でファブリックを設定するには、次の手順を実行します。
ファブリックをイネーブルにするように、ローカル モードで AP を設定します。
ステップ 1 | config wlan fabric enable wlanid 例: config wlan fabric enable wlan1 WLAN でファブリックをイネーブルにします。 |
ステップ 2 | config wlan fabric vnid vnid wlanid 例: config wlan fabric vnid 10 wlan1 ファブリック WLAN で仮想拡張 LAN(VXLAN)ネットワーク識別子(VNID)を設定します。 |
ステップ 3 | config wlan fabric encap vxlan wlanid 例: config wlan fabric encap vxlan wlan1 ファブリック WLAN に VNID をマップします。 |
ステップ 4 | config wlan fabric switch-ip ip-address wlanid 例: config wlan fabric switch-ip 1.1.1.1 wlan1 VLAN ピア IP を WLAN に設定します。 |
ステップ 5 | config wlan fabric acl fabric-acl-name wlanid 例: config wlan fabric acl fabric-acl wlan1 WLC でフレックス ACL を設定して、ファブリック WLAN に関連付けます。 |
ステップ 6 | config wlan fabric avc-policy fabric-avc-policy wlanid 例: config wlan fabric fabric-avc-policy wlan1 AVC プロファイル名を設定して、ファブリック WLAN に関連付けます。 |
ステップ 7 | config wlan fabric controlplane guest-fabric enable wlanid 例: config wlan fabric controlplane guest-fabric enable wlan1 (任意)この WLAN のゲスト ファブリックをイネーブルにします。 |
ステップ 8 | show fabric summary 例: show fabric summary (任意)リンク設定のサマリーを表示します。 |