Cisco機器と異なるメーカー機器との接続に気をつけよう!

異なるメーカーのネットワーク機器の接続でも規格が同じであれば問題なく通信は可能です。

という正論はさておき、私が実際にトラブルで苦しんだ事例を紹介したいと思います。今回はCisco製品と他社製のネットワーク機器との接続における問題点です。

Cisco製品のAccess Point ⇔ 他メーカーのPoEスイッチ

Ciscoの無線APを他社製のPoEスイッチに接続したところ、WLCでステータス確認をすると、以下のようにOperational StatusにおいてDOWN状態となり、WLCへのレジストレーションが上手く動作しない現象が発生しました。IPリーチャビリティなど設定の問題はありません。

しかるべきトラブルシューティングを行った結果、WLC、APも再起動して最後にやれることは他社製のPoEスイッチの再起動だけとなりました。再起動した結果、正常にCisco APはWLCへレジストレーションが行われてOperational Statusは「UP」状態となり正常に動作しました。

CatalystスイッチにCisco APをレジストレーションさせる際にこのような事象に遭遇したことがなく、かなり焦りました。PoEスイッチの再起動が正しいソリョ―ションであるかどうかは分かりませんが、Cisco APと他社製のPoEスイッチを接続する際に、上述のような現象に遭遇した場合にご参考になればと思います。

ちなみに、両方のメーカーに問い合わせると、両方のメーカーから「接続先側の機器の問題」とつっぱねられました。SIerとして絶望感ハンパない回答を頂いてありがとうございました。

Cisco ISE ⇔ 他メーカーのL2スイッチ(Authenticator)

IEEE802.1X認証ネットワークでRadiusサーバにCisco ISEを選定して、AuthenticatorとなるL2スイッチに他メーカーの機器を選定する場合は注意が必要です。

多くのネットワークエンジニアは仕様確認の際に「IEEE802.1X 認証対応」という内容だけでなく、具体的に採用する認証方式の例えば「EAP-TLS対応」などまでしっかりとご確認されると思います。そして、各メーカーの仕様において「EAP-TLS」対応とあれば問題なく動作するから「 仕様上はOK!」だと判断されるかもしれませんが、ちょっと待って下さい。

各メーカーの製品には「独自仕様」があります。それだけでなく、そのほとんどが同じであるとはいえ、規格に対するメーカーの解釈というものもあります。ですから「EAP-TLS対応」という仕様上の記載があっても、社内で導入実績と検証実績を確認することをお勧めします

そして、Cisco ISEは非常に優れた高度な機能を有しているため、この機器を最大限に生かしたい場合は、AuthenticatorのL2スイッチにはCatalystを選定することを強くお勧めします。

入札などで価格を抑えるために、L2スイッチは高価なCatalystスイッチではなく他社製にするSIerは多いかもしれませんが、社内常駐のCisco営業さん(味方)やハイタッチ営業(諸刃)と上手く調整すれば、特価やボリュームディスカウントなどでCiscoで固めた方が結果としてグロス価格を抑えられるかもしれませんよ!

要件を満たすことができず「ベンダー負担の買い直し」という赤字恐怖を回避するためにも、繰り返し申し上げますが、ISE導入時はそのAuthenticatorとするL2スイッチの選定において、導入実績や検証実績をしっかりと確認しましょう!

  • このエントリーをはてなブックマークに追加