SD-Access ワイヤレスの概要
エンタープライズ ファブリックは、エンドツーエンドのエンタープライズ全体のセグメンテーション、フレキシブルなサブネット アドレッシング、およびコントローラベースのネットワーキングにエンタープライズ全体にわたって統一されたポリシーとモビリティを提供します。これにより、エンタープライズ ネットワークは、サイト内およびサイト間のフレキシブルなレイヤ 2 拡張機能とともに、現在の VLAN 中心のアーキテクチャからユーザ グループベースのエンタープライズ アーキテクチャへと移行します。
エンタープライズ ファブリックは、相互接続されたスイッチを介してトラフィックを転送するネットワーク トポロジであり、単一レイヤ 2 またはレイヤ 3 のデバイスの抽象化を行います。これにより、ファブリックのエッジでポリシーを適用し、強制することで、シームレスな接続が実現します。ファブリックは IP オーバーレイを使用します。これにより、クラスタリング テクノロジーを使用せずにネットワークが単一の仮想エンティティとして表示されます。
ファブリック ノードに使用される定義は次のとおりです。
-
エンタープライズ ファブリック:相互接続スイッチを通じてトラフィックが渡され、単一レイヤ 2 またはレイヤ 3 のデバイスの抽象化を実行するネットワーク トポロジ。
-
ファブリック ドメイン:ネットワークの独立した操作部。他のファブリック ドメインとは別に管理されます。
-
エンドポイント:ファブリック エッジ ノードに接続されたホストまたはデバイスをエンドポイント(EP)といいます。エンドポイントはファブリック エッジ ノードに直接接続するかまたはレイヤ 2 ネットワークを通じて接続します。
次に、通常の SD-Access ワイヤレスのコンポーネントの図を示します。ファブリック ボーダー ノード(BN)、ファブリック エッジ ノード(EN)、ワイヤレス コントローラ(WLC)、Application Policy Infrastructure Controller エンタープライズ モジュール(APIC-EM)、およびホスト トラッキング データベース(HDB)から構成されています。

APIC-EM コントローラ:APIC-EM コントローラ上に開発されたファブリック サービスは、エンタープライズ ファブリックの管理とオーケストレーションを促進します。また、接続されているユーザとデバイスのポリシーのプロビジョニングも行います。
ホスト ID トラッキング データベース(マップ サーバと LISP のマップリゾルバ):このデータベースにより、デバイスまたはユーザの場所をネットワークが判断できます。ホストの EP ID を学習すると、他のエンドポイントがホストの場所に関してデータベースにクエリを実行できます。トラッキング サブネットの柔軟性により、ドメイン間での集約が助長され、データベースのスケーラビリティが向上します。
ファブリック ボーダー ノード(プロキシ出力トンネル ルータ(PxTR または LISP の PITR/PETR)):これらのノードは従来のレイヤ 3 ネットワーク、またはさまざまなファブリック ドメインをエンタープライズ ファブリック ドメインに接続します。複数のファブリック ドメインがある場合、これらのノードは 1 つのファブリック ドメインを 1 つ以上のファブリック ドメインに接続しますが、それらのドメインのタイプは同じであることも、異なることもあります。これらのノードは、1 つのファブリック ドメインから別のドメインへのコンテキストの変換を担います。カプセル化が異なるファブリック ドメイン間で同じである場合、ファブリック コンテキストの変換は通常 1 対 1 となります。2 つのドメインのファブリック コントロール プレーンはこのデバイスを介した到達可能性とポリシー情報を交換します。
ファブリック エッジ ノード(出力トンネル ルータ(ETR)または LISP の入力トンネル ルータ(ITR)):これらのノードは EP からのトラフィックの承認、カプセル化またはカプセル化解除、および転送を担います。これらはファブリックを囲む境界にあり、ポリシーが適用される最初のポイントです。EP は、ファブリック ドメインの外側にある中間レイヤ 2 ネットワークを使用してファブリック エッジ ノードに直接または間接的に接続されることがあります。従来のレイヤ 2 ネットワーク、ワイヤレス アクセス ポイント、またはエンド ホストがファブリック エッジ ノードに接続されます。
ワイヤレス コントローラ:WLC は AP イメージと設定管理、クライアント セッション管理とモビリティを提供します。さらに、ワイヤレス クライアントの MAC アドレスをクライアント接続時にホスト トラッキング データベースに登録するとともに、クライアントのローミング時に場所を更新します。
アクセス ポイント:AP はすべてのワイヤレス メディアの固有の機能を適用します。たとえば、無線ポリシーと SSID ポリシー、WebAuth パント、ピアツーピア ブロッキングなどです。これで、CAPWAP 制御と WLC へのデータ トンネルを確立します。ワイヤレス クライアントからの 802.11 データ トラフィックを 802.3 に変換し、VXLAN カプセル化を使用してアクセス スイッチに送信します。
SDA では次を簡素化できます。
-
ワイヤレス ネットワーク内でのアドレッシング
-
ワイヤレス ネットワーク内でのモビリティ
-
ゲスト アクセスとマルチ テナントに向けての移行
-
ワイヤレス ネットワーク内でのサブネット拡張機能(拡張サブネット)の活用
-
一貫性のあるワイヤレス ポリシーの提供
AP 起動プロセス
次に、AP を起動する手順を示します。
-
スイッチが AP に電源を投入します(PoE または UPoE)。
-
AP は DHCP サーバから IP アドレスを取得します。
-
スイッチは AP の IP アドレスをマップ サーバに登録します。
-
AP は CAPWAP 検出により Cisco WLC を検出します。
-
Datagram Transport Layer Security(DTLS)のハンドシェイク後、制御パケット用に CAPWAP 制御トンネルが AP と Cisco WLC 間に作成されます。CAPWAP データ トンネルが IEEE 802.11 管理フレーム用に作成されます。AP イメージがダウンロードされ、設定がコントローラから AP にプッシュされます。
-
Cisco WLC は、登録された AP が背後にあるスイッチのマップ サーバ(RLOC IP)を照会します。
-
Cisco WLC は、マップ サーバにダミーの MAC アドレスを登録します。
-
マップ サーバは、AP に VXLAN トンネルを作成するスイッチにダミーの MAC アドレス通知を送信します。
-
AP はクライアントを受け入れる準備が整います。
ワイヤレス クライアントのオンボーディング
次に、クライアントをオンボーディングする手順を示します。
-
ワイヤレス クライアントがそれ自体を AP に関連付けます。
-
クライアントは、CAPWAP データ トンネルを使用して Cisco WLC(設定されている場合)で IEEE 802.1x 認証を開始します。
-
レイヤ 2 認証が完了すると、Cisco WLC は クライアントの MAC アドレスをマップ サーバに登録します。
-
マップ サーバはクライアントの詳細を示した通知メッセージをスイッチに送信します。
-
スイッチはクライアントの MAC をレイヤ 2 転送テーブルに追加します。
-
クライアントは DHCP サーバから IP アドレスを取得します。
-
AP は Cisco WLC にクライアントの IP アドレスを送信します。
-
Cisco WLC はクライアントを RUN 状態に移行して、クライアントがトラフィックの送信を開始できるようにします。
-
スイッチはクライアントの IP アドレスをマップ サーバに登録します。
-
スイッチは VXLAN パケットのカプセル化を解除します。
-
スイッチは DHCP パケットを DHCP サーバに転送するか、またはリレーします。
-
スイッチはワイヤレス クライアントの DHCP ACK を受信します。スイッチはクライアントの IP アドレスを学習し、更新をマップ サーバに送信します。
-
スイッチは DHCP ACK を AP 側 VXLAN トンネルを含めて、VLAN 内のすべてのポートにブロードキャストします。
-
DHCP ACK が AP に到達し、その AP が ACK をクライアントに転送します。
-
AP はクライアントの IP アドレスを WLC に送信します。
-
Cisco WLC はクライアントを RUN 状態にします。
プラットフォーム サポート
コントローラ |
サポート |
---|---|
2504 |
なし |
3504 |
あり |
5508 |
なし |
WiSM2 |
なし |
8510 |
ローカル モードの AP のみでサポート |
5520 |
ローカル モードの AP のみでサポート |
8540 |
ローカル モードの AP のみでサポート |
7510 |
なし |
vWLC |
なし |
AP |
サポート |
---|---|
802.11n |
なし |
802.11ac Wave 1 |
あり |
802.11ac Wave 2 |
あり |
Mesh |
なし |
セキュリティ |
サポート |
---|---|
オープンおよび静的 WEP |
なし |
WPA-PSK |
あり |
802.1x(WPA/WPA2) |
あり |
MAC フィルタリング |
あり |
CCKM 高速ローミング |
あり |
ローカル EAP |
あり。ただし、推奨しません。 |
AAA オーバーライド |
SGT、L2 VNID、ACL ポリシー、および QoS ポリシーでサポート |
内部 WebAuth |
IPv4 クライアント |
外部 WebAuth |
IPv4 クライアント |
事前認証 ACL |
IPv4 クライアント |
FQDN ACL |
なし |
IPv6 |
サポート |
---|---|
IPv6 インフラ サポート |
なし |
IPv6 クライアント サポート |
あり(リリース 8.8 以降) |
機能 |
サポート |
||
---|---|---|---|
クライアントの IPv4 ACL |
はい。AP での ACL の Flex ACL |
||
クライアントの IPv6 ACL |
はい (からリリース 8.8 以降) |
||
P2P ブロッキング |
同じ AP 上のクライアント用スイッチのセキュリティ グループ タグ(SGT)およびセキュリティ グループ ACL(SGACL)を通じてサポート。 |
||
IP ソース ガード |
スイッチ |
||
AVC の可視性 |
AP |
||
AVC QoS |
AP |
||
ダウンロード可能なプロトコル パックの更新 |
なし |
||
デバイスのプロファイリング |
なし |
||
mDNS プロキシ |
なし |
||
MS Lync Server QoS の統合 |
なし |
||
NetFlow エクスポータ |
なし |
||
QoS |
あり(メタル プロファイルおよびレート制限) |
||
パッシブ クライアント/サイレント ホスト |
なし |
||
ロケーション トラッキング/HyperLocation |
あり |
||
ワイヤレス マルチキャスト |
あり
|
||
URL フィルタリング |
なし |
||
HA |
コントローラ間 |
統合アクセスからの移行
次に、統合アクセスからファブリック ワイヤレスへの移行プロセスを示します。
-
イメージ対応のファブリック モードで WLC を起動します。
-
APIC-EM または CLI を使用して、適切なサブネットのファブリック モードでネットワークを設定します。これには、APIC-EM を使用することをお勧めします。
-
新しい AP サブネットでの DHCP 検出がコントローラ対応のファブリック モードとなるように検出メカニズムを設定します。
-
AP が起動したら、DHCP 要求を実行して AP VLAN 内の IP アドレスを取得します。
-
AP は WLC を使用してコントロール プレーンの CAPWAP トンネルを作成します。
-
設定に基づいて、WLC がファブリック モード用に AP をプログラムします。
-
AP はワイヤレス フローの SDA に従います。
![]() (注) |
|
[Restrictions(機能制限)]
-
事前認証のシナリオでは、DNS 解決で学習した IP アドレス(IPv4 または IPv6)は、Cisco WLC のスイッチオーバー後に失われます。
-
ファブリック関連の統計情報の HA 同期はサポートされていません。