SD-Access ワイヤレス

SD-Access ワイヤレスについて

エンタープライズ ファブリックは、エンドツーエンドのエンタープライズ全体のセグメンテーション、フレキシブルなサブネット アドレッシング、およびコントローラベースのネットワーキングにエンタープライズ全体にわたって統一されたポリシーとモビリティを提供します。これにより、エンタープライズ ネットワークは、サイト内およびサイト間のフレキシブルなレイヤ 2 拡張機能とともに、現在の VLAN 中心のアーキテクチャからユーザー グループベースのエンタープライズ アーキテクチャへと移行します。

エンタープライズ ファブリックは、相互接続されたスイッチを介してトラフィックを転送するネットワーク トポロジであり、単一レイヤ 2 またはレイヤ 3 のデバイスの抽象化を行います。これにより、ファブリックのエッジでポリシーを適用し、強制することで、シームレスな接続が実現します。ファブリックは IP オーバーレイを使用します。これにより、クラスタリング テクノロジーを使用せずにネットワークが単一の仮想エンティティとして表示されます。

ファブリック ノードに使用される定義は次のとおりです。

  • エンタープライズ ファブリック:相互接続スイッチを通じてトラフィックが渡され、単一レイヤ 2 またはレイヤ 3 のデバイスの抽象化を実行するネットワーク トポロジ。

  • ファブリック ドメイン:ネットワークの独立した操作部。他のファブリック ドメインとは別に管理されます。

  • エンドポイント:ファブリック エッジ ノードに接続されたホストまたはデバイスをエンドポイント(EP)といいます。エンドポイントはファブリック エッジ ノードに直接接続するかまたはレイヤ 2 ネットワークを通じて接続します。

次に、通常の SD-Access ワイヤレスのコンポーネントの図を示します。ファブリックボーダーノード(BN)、ファブリックエッジノード(EN)、ワイヤレスコントローラ、Cisco Catalyst Center、およびホスト トラッキング データベース(HDB)で構成されています。

図 1. SD-Access ワイヤレス

この図は、次の展開トポロジを示しています。

  • オールインワン ファブリック:Cat 9K スイッチですべてのファブリック エッジ、ファブリック ボーダー、コントロール プレーン、およびコントローラ機能が有効になっている場合。

    このトポロジは図の中央に示されています。

  • 分割トポロジ:別のファブリック エッジを持つ Cat 9K スイッチ上にファブリック ボーダー、コントロール プレーン、またはコントローラがある場合。このトポロジは図の左端に示されています。

  • 同じ場所に配置されたファブリック エッジとコントローラ:Cat 9K スイッチ上にファブリック エッジとコントローラがある場合。このトポロジは図の右端に示されています。

Cisco Catalyst Center:Cisco Catalyst 9800 シリーズ ワイヤレス コントローラの設定と管理を目的に、一連の設計原則に基づいて構築されたオープンなソフトウェア主導型アーキテクチャです。

コントロールプレーン:このデータベースにより、ネットワークはデバイスまたはユーザーの場所を判別できます。ホストの EP ID を学習すると、他のエンドポイントがホストの場所に関してデータベースにクエリを実行できます。トラッキング サブネットの柔軟性により、ドメイン間での集約が助長され、データベースのスケーラビリティが向上します。

ファブリック ボーダー ノード(LISP のプロキシ出力トンネル ルータ(PxTR または PITR/PETR)):これらのノードは、従来のレイヤ 3 ネットワークまたはさまざまなファブリック ドメインをエンタープライズ ファブリック ドメインに接続します。複数のファブリック ドメインがある場合、これらのノードは 1 つのファブリック ドメインを 1 つ以上のファブリック ドメインに接続しますが、それらのドメインのタイプは同じであることも、異なることもあります。これらのノードは、1 つのファブリック ドメインから別のドメインへのコンテキストの変換を担います。カプセル化が異なるファブリック ドメイン間で同じである場合、ファブリック コンテキストの変換は通常 1 対 1 となります。2 つのドメインのファブリック コントロール プレーンはこのデバイスを介した到達可能性とポリシー情報を交換します。

ファブリック エッジ ノード(LISP の出力トンネル ルータ(ETR)または入力トンネル ルータ(ITR)):これらのノードは EP からのトラフィックの承認、カプセル化またはカプセル化解除、および転送を担います。これらはファブリックを囲む境界にあり、ポリシーが適用される最初のポイントです。EP は、ファブリック ドメインの外側にある中間レイヤ 2 ネットワークを使用してファブリック エッジ ノードに直接または間接的に接続されることがあります。従来のレイヤ 2 ネットワーク、ワイヤレス アクセス ポイント、またはエンド ホストがファブリック エッジ ノードに接続されます。

ワイヤレス コントローラ:コントローラは AP イメージと設定管理、クライアント セッション管理およびモビリティを提供します。さらに、ワイヤレス クライアントの MAC アドレスをクライアント接続時にホスト トラッキング データベースに登録するとともに、クライアントのローミング時に場所を更新します。

アクセス ポイント:AP はすべてのワイヤレス メディアの固有の機能を適用します。たとえば、無線ポリシー、SSID ポリシー、WebAuth パント、ピアツーピア ブロッキングなどがあります。CAPWAP 制御、およびコントローラへのデータ トンネルを確立します。ワイヤレス クライアントからの 802.11 データ トラフィックを 802.3 に変換し、VXLAN カプセル化を使用してアクセス スイッチに送信します。

SDA では次を簡素化できます。

  • ワイヤレス ネットワーク内でのアドレッシング

  • ワイヤレス ネットワーク内でのモビリティ

  • ゲスト アクセスとマルチ テナントに向けての移行

  • ワイヤレス ネットワーク内でのサブネット拡張機能(拡張サブネット)の活用

  • 一貫性のあるワイヤレス ポリシーの提供


(注)  

ワイヤレス コントローラとファブリック エッジ間のロール コロケーションがサポートされます。

プラットフォーム サポート

表 1. SD-Access ワイヤレスでサポートされるプラットフォーム

プラットフォーム

サポート

Catalyst 9300

はい

Catalyst 9400

はい

Catalyst 9500H

はい

クラウド向け Cisco Catalyst 9800 シリーズ ワイヤレス コントローラ

はい

Cisco Catalyst 9800-40 シリーズ ワイヤレス コントローラ

はい

Cisco Catalyst 9800-80 シリーズ ワイヤレス コントローラ

はい
表 2. マルチインスタンスのサポート

マルチインスタンス

サポート

複数の LISP セッション

はい

エミュレート データベースのサポート

はい

WNCd インスタンス間のクライアント ローミング

はい
表 3. 機能サポート

機能

サポート

IRCM の WLC 間ローミング

VLAN がファブリック全体に拡張されるため、L2 モビリティのみがサポートされます。

DNS-IPv4-ACL

  • ACL は AP で適用されます。

  • コントローラは DNS-ACL 情報を AP にプッシュする必要があります。

クライアントの IPv6 ACL

可。オープン、802.11x、WebAuth、PSK WLAN、IPv6 アドレスの可視性もサポートされます。

ロケーション トラッキング/Hyperlocation

はい

マルチキャスト ビデオストリーム(IPv4)

はい

スマートライセンシング

はい
表 4. 屋外用アクセス ポイントのサポート

AP

サポート

1542

はい

1560

はい

SD-Access ワイヤレスメッシュのファブリックエッジスイッチ間ローミング保護について

メッシュ AP(MAP)は、ルート AP(RAP)または隣接関係が良好な他の MAP を検出すると、その RAP または MAP にローミングします。ただし、ワイヤレスクライアントの接続が失われるため、MAP は別のファブリックエッジスイッチに接続された別の MAP または RAP にローミングできません。理由は、ワイヤレスクライアントの VXLAN トンネルを別のファブリックエッジスイッチに移動できないためです。

ただし、現在の MAP リンクの状態が、別のファブリックエッジスイッチに接続された RAP または MAP へのリンクよりもはるかに悪い場合、MAP はローミングし、CAPWAP トンネルを再起動します。

そのため、その MAP に接続されているすべての MAP も CAPWAP トンネルを再起動します。これにより、ワイヤレスクライアントは再度接続し、ファブリックエッジにワイヤレスクライアント VXLAN トンネルを作成できます。


(注)  

別のファブリックエッジスイッチに接続されている RAP または MAP にローミングする MAP の基準は、メッシュで優先される親と同じです。その内容は次のとおりです。

  • 現在のリンクの SNR が 12 dB を下回っており、他にもっと良いリンクが存在する場合。(または)

  • 現在のリンクの SNR が 20 dB を下回っており、SNR が 20% 以上優れている別のリンクが存在する場合。

メッシュ デイジー チェーン ローミングは、他のファブリックエッジスイッチに接続された RAP または MAP ではサポートされません。

SDA IPv6 アンダーレイのサポート

この機能はワイヤレス SDA IPv6 アンダーレイのサポートを提供し、ファブリックサイトでの IPv6 ベースの通信を可能にします。IPv6 は、コントローラとマップサーバー間、およびマップサーバーとファブリックエッジ間で LISP 接続を確立するために使用されます。IPv6 アンダーレイは、ファブリックエッジと AP 間の VXLAN トンネルの作成にも使用されます。

機能の実装は次のとおりです。

  • Catalyst 9800 コントローラ

    • コントローラは、マップサーバーへの IPv6 ベースの LISP セッションを管理します

    • IPv6 TCP/UDP ソケットを介して LISP メッセージをエンコード、デコード、および処理します

    • VXLAN の作成とクライアントとトンネルのマッピングのために RLOC IPv6 アドレスを AP に伝達します

  • ファブリックエッジ

    • マップサーバーからのマップ通知を処理します

    • IPv6 VXLAN トンネルを作成します

    • クライアントを IPv6 VXLAN トンネルにマッピングします

    • VXLAN トンネルに出入りするクライアントトラフィックのカプセル化とカプセル化解除を行います

  • アクセスポイント

    • コントローラからのファブリック TLV を処理します

    • IPv6 VXLAN トンネルを作成します

    • VXLAN トンネルに出入りするクライアントトラフィックのカプセル化とカプセル化解除を行います

次の図は、機能のアーキテクチャを示しています。


(注)  

AP が IPv6 アドレスを使用してコントローラに接続するには、AP プロファイルで優先モードを IPv6 に設定します。

SD-Access ワイヤレスの設定

  • SD-Access ワイヤレスをグローバルに有効にするには、wireless fabric コンフィギュレーション コマンドを実行する必要があります。

  • SD-Access ワイヤレスのプロビジョニング中に、L2-VNID 値が一意であることを確認します。

デフォルト マップ サーバーの設定(GUI)

手順

ステップ 1

[Configuration] > [Wireless Plus] > [Fabric] > [Fabric Configuration] をクリックします。

ステップ 2

[Map Server] セクションで、サーバー 1 の IP アドレスと事前共有キーの詳細を指定します。

ステップ 3

必要に応じて、サーバー 2 の IP アドレスと事前共有キーの詳細を指定できます。

ステップ 4

[Apply] をクリックします。

デフォルト マップ サーバーの設定(CLI)

デフォルト マップ サーバを設定するには、次の手順に従います。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless fabric control-plane map-server-name

例:

Device(config)# wireless fabric control-plane map-server-name

デフォルト マップ サーバーを設定します。

map-server-name はマップ サーバのペアを定義します。

ステップ 3

ip address ip-address key user_password reenter_password

例:

Device(config-wireless-cp)# ip address 200.0.0.0 key user-password user-password

デフォルト マップ サーバの IP アドレスを設定します。

ステップ 4

end

例:

Device(config-wireless-cp)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

SD-Access ワイヤレス プロファイルの設定(GUI)

手順

ステップ 1

[Configuration] > [Wireless] > [Fabric]を選択します。

ステップ 2

[Fabric] ページで [Profiles] タブ、[Add] の順にクリックします。

ステップ 3

表示された [Add New Profile] ウィンドウで、以下のパラメータを設定します。

  • プロファイル名

  • 説明

  • [L2 VNID]:有効な範囲は 0 ~ 16777215 です。

  • [SGT tag]:有効な範囲は 2 ~ 65519 です。

ステップ 4

[Save & Apply to Device] をクリックします。

SD-Access ワイヤレス プロファイルの設定(CLI)

SD-Access ワイヤレス プロファイルを設定するには、次の手順に従います。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless profile fabric fabric-profile-name

例:

Device(config)# wireless profile fabric fabric-profile-name

SD-Access ワイヤレス プロファイルのパラメータを設定します。

ステップ 3

sgt-tag sgt

例:

Device(config-wireless-fabric)# sgt-tag 2

SGT タグを設定します。

sgt は sgt タグ値を指します。有効な範囲は 2 ~ 65519 です。デフォルト値は 0 です。

ステップ 4

client-l2-vnid client-l2-vnid

例:

Device(config-wireless-fabric)# client-l2-vnid client-l2-vnid

クライアントの L2-VNID を設定します。

client-l2-vnid は、クライアントの L2-VNID 値を指します。有効な範囲は 0 ~ 16777215 です。

ステップ 5

end

例:

Device(config-wireless-fabric)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

サイト タグでのマップ サーバーの設定(GUI)

始める前に

ワイヤレス ファブリックの設定時にコントロール プレーンが設定されていることを確認します。

手順

ステップ 1

[Configuration] > [Tags & Profiles] > [Tags]の順に選択します。

ステップ 2

[Manage Tags] ページで、[Site] タブをクリックします。

ステップ 3

サイト タグの名前をクリックします。

ステップ 4

[Edit Site Tag] ウィンドウで、[Control Plane Name] ドロップダウンリストからファブリック コントロール プレーンの名前を選択します。

ステップ 5

設定を保存します。

サイト タグでのマップ サーバーの設定(CLI)

サイト タグにマップ サーバーを設定するには、次の手順に従います。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless tag site site-tag

例:

Device(config)# wireless tag site default-site-tag

サイト タグを設定します。

site-tag はサイト タグ名を指します。

ステップ 3

fabric control-plane map-server-name

例:

Device(config-site-tag)# fabric control-plane map-server-name

ファブリック コントロール プレーンの詳細を設定します。

map-server-name は、サイト タグに関連付けられているファブリック コントロール プレーン名を指します。

ステップ 4

end

例:

Device(config-site-tag)# end

特権 EXEC モードに戻ります。また、Ctrl+Z キーを押しても、グローバル コンフィギュレーション モードを終了できます。

L2-VNID ごとのマップ サーバーの設定(GUI)

手順

ステップ 1

[Configuration] > [Wireless] > [Fabric]を選択します。

ステップ 2

[Fabric Configuration] ページの [Fabric VNID Mapping] セクションで、[Add] をクリックします。

ステップ 3

[Add Client and AP VNID] ウィンドウで、ファブリックの名前、L2 VNID 値(有効な範囲は 0 ~ 4294967295)、コントロール プレーン名を指定します。

ステップ 4

設定を保存します。

L2-VNID ごとのマップ サーバーの設定(CLI)

サイト タグにマップ サーバーを設定するには、次の手順に従います。

手順

  コマンドまたはアクション 目的

ステップ 1

configure terminal

例:

Device# configure terminal

グローバル コンフィギュレーション モードを開始します。

ステップ 2

wireless fabric name name l2-vnid l2-vnid-value l3-vnid l3-vnid-value ip network-ip subnet-mask control-plane-name control-plane-name

例:

Device(config)# wireless fabric name fabric_name l2-vnid 2 l3-vnid 2 ip 122.220.234.0 255.255.0.0 control-plane-name sample-control-plane

VNID マップ テーブルにマップ サーバーを設定します。

  • name はファブリック名を指します。

  • l2-vnid-value は L2 VNID 値を指します。有効な範囲は 0 ~ 16777215 です。

  • L3-vnid-value は L3 VNID 値を指します。有効な範囲は 0 ~ 16777215 です。

  • control-plane-name はコントロール プレーン名を指します。

ステップ 3

end

例:

Device(config)# end

特権 EXEC モードに戻ります。

SD–Access ワイヤレスの確認

SD-Access ワイヤレス設定を確認するには、次のコマンドを使用します。

表 5. SD-Access ワイヤレスを確認するためのコマンド
コマンド 説明
show wireless fabric summary

ファブリック ステータスを表示します。

show wireless fabric vnid mapping

VNID マッピングの詳細をすべて表示します。
show wireless profile fabric detailed fabric_profile_name

特定のファブリック プロファイル名の詳細を表示します。

show ap name AP_nameconfig general

Cisco AP の一般的な詳細情報を表示します。

show wireless client mac MAC_addr detail

クライアントの詳細情報を MAC アドレス別に表示します。

show wireless tag site detailed site_tag

サイト タグの詳細パラメータを表示します。