(1)VTEPとは

VTEP（VXLAN Tunnel End-Point）は，フルスペルのとおり，VXLANのトンネル（Tunnel）の終わり（End）の地点（Point）です。
VTEPの解説の前に，問題文の図1で，VTEPがどこにあるかを確認しましょう。

　このように，VTEPは，L3スイッチの中にあり，他のVTEPとVXLANトンネルで接続していることがわかります。VTEPですが、インターフェースを指すこともありますが，今回の場合，L2ネットワークを構築するための仮想的なネットワーク機器だと考えてください。異なるL3SW内にあるVTEP同士をVXLANトンネルで接続して，仮想的なレイヤー2ネットワークを構築します。実際，上記の図では，6台全てのサーバが，一つのレイヤー2ネットワーク上に存在します。
　VTEPが何をしているかというと，VPNルータのような役割をします。サーバなどの端末からイーサネットフレームを受信すると，VXLANヘッダーなどを付与して（つまりカプセル化して）相手方のVTEPに送信します。

(2)VTEPの動作

VTEPの具体的な動作を以下の図で説明します。VM11とVM31は，物理的にも，アンダーレイのネットワーク的にも離れた場所にあります。しかしVM11とVM31は，同一セグメントにあるかのようにレイヤー2で通信できます。
　かなり複雑な図になってしまいましたが，図と番号❶～❼を一つ一つ確認しながらVTEPの動作を理解してください。

(1)概要

・VN (Virtual Network)は、実体は VRF (L3の仮想化) です。
・接続例

+-------+-------+                  +--------+--------+                +--------+--------+        +-------+-------+
| 端末 (Client) | ---------------- | Edge Node (EN)  | =============> | Border Node (BN)| ------ | Fusion Router | ---> [ 社内サーバ ]
+-------+-------+    (VLAN 10)     +--------+--------+  (VN：Employ)  +--------+--------+        +-------+-------+      (業務システム)
                                     (アクセススイッチ)                     (コアスイッチ)             (境界ルータ)

+-------+-------+                  +--------+--------+                +--------+--------+        +-------+-------+
| 端末 (Client) | ---------------- | Edge Node (EN)  | =============> | Border Node (BN)| ------ | Fusion Router | ---> [ インターネット ]
+-------+-------+    (VLAN 20)     +--------+--------+  (VN：Guest)   +--------+--------+        +-------+-------+      (YouTubeなど)
                                     (アクセススイッチ)                     (コアスイッチ)             (境界ルータ)

　※Guest VNの中にいる人は、Employee VNの中に絶対にアクセスできません。これが「VRF（VN）が分かれている」という意味です。

(2)2つのVNI

ただし、SD-Accessには 2種類のVNI があります。

(3)VNを使うメリットは？

① 完全なセキュリティ隔離（マクロセグメンテーション）
これが最大の理由です。 「社員用VN」と「IoT用VN（監視カメラなど）」と「ゲスト用VN」を作れば、物理的に同じスイッチやケーブルを使っていても、論理的には完全に別のネットワークになります。 ファイアウォールで細かく制御しなくても、**「VNが違えば通信できない」**という強力な壁を簡単に作れます。
② IPアドレスの重複が可能
VRF（VN）が違えばルーティングテーブルが別なので、理論上は「社員用VNで 192.168.1.0/24」を使い、「ゲスト用VNでも 192.168.1.0/24」を使うことができます。（運用がややこしいので推奨はされませんが、M&Aなどで会社が合併した際には役立ちます）。
③ 設定の簡素化（DNA Centerの恩恵）
従来、ネットワーク全体でVRFを切るのは、すべてのスイッチにVRF設定を入れる必要があり大変でした。 SD-Accessなら、GUI（DNA Center）で「新しいVNを作成」とポチっとするだけで、全Edge/BorderノードにL3 VNI等の設定が自動投入されます。

(1)すべてをSD-Access対応機器にする場合

【外部の世界】
  (インターネット / WAN / データセンター)
            ↑
            |  (普通のルーティング接続)
            |
+---------------------------+
|    Fusion Router (ルータ)  |  ← ※ここはSD-Accessの外側
+---------------------------+
            |
            | (ここが境界線！)
            |
+---------------------------+
|    Core Switch (L3SW)     |  <=== ★ここが Border Node です！
|  (例: Catalyst 9500)      |       (出口・関所)
+---------------------------+
            |
            | (アンダーレイネットワーク)
            |
+---------------------------+
|   Access Switch (L2/L3SW) |  <=== ここが Edge Node です
|  (例: Catalyst 9300)      |       (入口・受付)
+---------------------------+
            |
      [ PC / スマホ ]

(2)Layer 2 Extension（L2拡張）

・エッジには他社L2スイッチを入れる場合です。
・Edge Node（Cisco Catalyst 9300等）のポートを一つ使い、そこから他社製L2スイッチ（HPやAllied）に繋ぎ、そこにPCを複数台ぶら下げる形です。
・「コスト削減」という最大のメリットの代わりに、SD-Accessの「便利機能」が一部失われます。
たとえば、障害があった場合に、DNA Centerからは「Edgeの先で何か起きてる」までしか分からない。他社SWにはCLI等で（必要に応じて）VLAN設定が必要)
ポートごとに細かくDot1x認証による制御ができなくなる。

[ Catalyst 9300 (Edge Node) ]
        | Port 1/0/1
        | (設定: Trunk / Multi-Auth)
        |
+-------+-------+
| 他社製L2スイッチ |  <--- ここは手動設定が必要！
+-------+-------+
   |    |    |
 [PC] [PC] [PC]

(1)EVPN（MP-BGP）ではなくLISP

汎用的なVXLANでは、EVPNを使いますが、Ciscoの場合はLISPを使います。

(2)VTEPではなくEN

・SD-Accessにおいても、機能としてはVTEPを使いますが、SD-Accessの世界では名前が変わります。VTEP(VXLAN Tunnel Endpoint)ではなく、Edge Node (エッジノード)です。
・Edge Nodeでは、物理的な動作として、VTEPと同じくVXLANのカプセル化をします。また、論理的な動作として、 LISPを使って宛先を探します。

(3)動作の違い

(1)アンダーレイネットワークについて

ケーブル単位で1つのネットワークと考えればいい。なので、物理的は装置間でセグメントが確実にわかれ、かつケーブルごとにセグメントを付与する。

(2)オーバーレイネットワークの基本的な考え方

・VRF（VN）ごとにセグメント（VLAN）を割り当てます。
・一つのVN（VRF）の中に、複数のIPプール（VLAN）を入れることができます。

■例：VN: Employee (VRF)
IP Pool A: 192.168.10.0/24 (VLAN 10: 東京本社のデータ用)
IP Pool B: 192.168.20.0/24 (VLAN 20: 大阪支社のデータ用)
IP Pool C: 192.168.30.0/24 (VLAN 30: IP電話用)

(2)IP pool とIPの払い出し基本的な考え方

・IP Pool（IPプール）の設定をしますが、「このVN（部署）には、このIPレンジを使う」と決めるのはDNA Centerです。
・実際のPCにIPを配るのは、通常 外部のDHCPサーバ です
・例外的にプリンタなどに固定IPアドレスを割り当てることは可能

(3)SVI

・SVI (Switch Virtual Interface) とは、 L3スイッチの中に作られる「仮想的なルータのインターフェース」のことです。
・ PCから見たときの 「デフォルトゲートウェイ」 になります。
・EdgeスイッチはL3スイッチとして動くため、内部にSVI（ゲートウェイ）を持ち、そこでルーティングを行います。

(1)アンダーレイネットワーク

L3限定です。スイッチ間はすべてOSPFやIS-ISで接続されます。L2（STP）は使いません。
・SDNから外へのルートティング（BGP/VRF-LiteやStatic）の設計も必要

(2)オーバレイネットワーク

L3 オーバーレイ（IPパケット）が標準 です。SD-AccessのEdge Node同士は、ルーティングプロトコルでネイバーを張りません。なので、ルーティングプロトコルは使わず、使うのは、LISP (Locator/ID Separation Protocol)です。
L2 オーバーレイ（イーサネットフレーム）もオプションで可能で、「L2 Flooding」を有効にすると使えます。

(3)Fusion RouterとSDA Fablic間

分断されたVN同士（VN1⇔VN2）や、外部（データセンター等）への通信を行うために設置するが、 ファブリック（Border Node）とFusion Routerの間は eBGP で経路交換を行う。

(1)機器配置

■クラウド
Entra ID

■サーバセグメント
・Catalyst Center (DNAC) ← SDA管理
・WLC (Catalyst 9800) ← 無線制御
・ISE (Primary/Secondary) ← 認証・ポリシー
・DHCP Server ← IP払い出し
・Local AD ← 認証DB
・Entra Connect（Windows Server)　←EntraIDとのLDAP連携
・各種業務サーバ

(2)NW構成図

以下も大変参考になります・
https://www.cisco.com/c/en/us/td/docs/solutions/CVD/Campus/cisco-sda-design-guide.html#Roles_and_Terminology

(3)VN (Virtual Network) と IPアドレス設計

(4)SGT(タグ）の設計

VNの中、あるいはVNをまたぐ通信のアクセス制御を定義します。

アクセス制御は、基本はSGACL（SGTベース）で実施する。ただし、インターネットや、SD-Access非対応の古いネットワークへ出ていく場合、相手はSGTを理解できないので、出口のルータ（Border NodeやFirewall）で、従来どおりの IPアドレスベースのACL や Firewallポリシー を書く必要があります。

(5)帯域制御・優先制御 (QoS) 設計

DNA Center の「アプリケーションポリシー」で自動化

(6)認証設計 (Authentication)

ISEでの制御として、「何をつないだら、どのVN/SGTに入れるか」の振り分けルールです。