08/04 SD-Access

問題ID : 28810
SD-Accessにおけるセグメンテーションとアクセス制御

◆SD-Access
Ciscoが提供する、IBNに基づいた最新のキャンパスLAN構築手法。

◆IBN
Intent Based Networking。ネットワークの運用に必要なタスクを実行および自動化する方法を、ネットワーク ソフトウェアによりインテリジェントに判断することで実現される概念

◆アンダーレイ
物理的なネットワークとルーティングプロトコルで構成される。

◆オーバーレイ
アンダーレイを意識せず、エンドポイントが直接接続しているように振る舞う仮想的なネットワーク。

オーバーレイを構成する要素は以下の３つに分けられる。
・データプレーン：VXLANを使用してトンネル構築
・コントロールプレーン：LISPを使用してトンネル相手側のアドレス解決
・ポリシープレーン：Cisco TrustSecを使用して許可拒否などのアクセス制御

従来のキャンパスLANでは、VLANやIPアドレスをベースにサブネットを分けることでネットワークを分離を行うが、IBNに基づくSD-Accessでは、ソフトウェアで定義したセグメンテーションを使用してネットワークの分離を行う。
また、Cisco DNA Center上で行ったアクセス制御ポリシーなどの設定情報はISEに届けられ、ISEが各ネットワークデバイスに設定を通知することでポリシーベースのアクセス制御をする。
このようなソフトウェアによるセグメンテーションや、ISEによるポリシー管理などの機能が追加されたことにより従来のネットワークに比べてSD-Accessではより容易にアクセス制御を行えるようになった。