10. Cisco社が提供するSDNソリューション
10.1. Cisco SDNの前提知識
10.1.1. インテントベースネットワーク(IBN)
インテントベースネットワーク(Intent-based Network:IBN)は、Ciscoが提唱するSDNのソリューション。
「ソフトウェアで定義する」という段階を一歩進め、「利用者の意図に応じたネットワーク環境を自動構築する」ことを可能にする。
10.1.2. Cisco社の提供する代表的なSDNソリューション
Cisco社が提供するSDNのソリューションサービスには以下のようなものがある。
Open SDN | Cisco ACI | APIC Enterprise Module | |
---|---|---|---|
コントロールプレーンの変更 | ○ | ○ | × |
コントロールプレーンの集中度 | ほぼすべて | 一部 | 分散 |
SBI | OpenFlow | OpFlex | CLI, SNMP |
代表的なコントローラ | OpenDaylight, Cisco Open | APIC | APIC-EM |
10.2. Cisco ACI
Cisco ACI(Cisco Application Centric Infrastructure)は、Ciscoが提供するデータセンター向けのSDNソリューション。
10.3. Cisco SD Access
CISCO社の提供するIBNに基づいた新しいキャンパスLANの構築手法。 CISCO DNA CenterやWebGUIで提供されるアプリケーションや自作プログラムで制御ができる。
SD-Accessは大きくアンダーレイとオーバーレイで構成される。
10.3.1. ファブリック
ファブリックはアンダーレイとオーバーレイをひとまとめにしたもの。 言い換えると外部から見た、SDAネットワーク全体といえる。
10.3.2. アンダーレイ
アンダーレイはオーバレイ機能を提供するための基盤物理ネットワークのこと。 これらはルータやスイッチ、ケーブルなどの物理的なネットワークによって構成され、以下の特徴がある。
- すべてがレイヤ3での接続となる(ルーテッドアクセス)
- ルーティングプロトコルにOSPFやIS-ISといったリンクステート型のプロトコルを使用する
- レイヤ2ループの考慮が不要になるため、STP/RSTPは使用しない
- これまでの2階層、3階層モデルの役割分担がなくなり、ディストリビューション層が担当していたデフォルトゲートウェイ機能はPCが接続するエッジノードが担当する
また、各スイッチの役割は以下3つに分類される。
分類 | 説明 |
---|---|
ファブリックエッジノード | エンドポイントとなるデバイスに接続する機器、アクセス層のスイッチにあたる |
ファブリックボーダノード | WANルータなどと接続する機器 |
ファブリックコントロールノード | LISP MAP Serverとして機能する機器 |
アンダーレイの構築には、既存のネットワークに段階的に適用する手法(ブラウンフィールド)と、既存のものとは別個に構築して段階的に移行する手法(グリーンフィールド)がある。
10.3.3. オーバレイ
アンダーレイは通信経路などは意識せず、実際に通信を行うエンドポイント間が直接接続しているように振る舞う仮想的な論理ネットワークのこと。
内部的にはエンドポイントからパケットを受け取ったSDAエッジノード間に仮想的な接続(トンネル)を構築し、エッジノード間が直結されているように動作する。
オーバレイは以下の特徴がある。
- トンネル構築にVXLANを使用する
- トンネルの相手側アドレスの解決にLISPを使用する
VXLAN
物理的に異なるL3ネットワーク上に論理的なL2ネットワークを構築する技術。 具体的にはレイヤ2フレームやレイヤ3パケットをUDPパケットにカプセル化を行う。
VXLANの使用により物理的なL3ネットワークをまたいだ同一ネットワークが構築可能とまる。
LISP
LISP(Locator Identity Separation Protocol)はIPアドレスのIDとロケータ機能を分けてルーティングを行うトンネリングプロトコル。 これにより各エッジノードは全エッジノードのアドレス/ネクストホップを知らずに通信可能。
LISPではEID(エンドポイント端末のIPアドレス)とRLOC(LISP有効のルータのIPアドレス)と言う値を用いて通信を行う。
10.4. Cisco DNA/Cisco DNA Center
10.4.1. Cisco DNA
CISCO DNA(Digital Network Architecture)はCiscoが提唱するインテントベースネットワークを企業ネットワークに適用するためのアーキテクチャ。
インテントベースネットワークでは、ネットワーク機器ごとの個別の設定コマンドや設定値を意識する必要はなく、管理者の目的に沿って自動的に設定変更が行われる。
10.4.2. Cisco DNA Center
Cisco DNA CenterはCisco DNA製品やソリューションを一元管理する装置。
GUIで操作可能で、各ネットワーク機器のステータスやネットワーク上の問題点などを可視化して一元的に管理できるSDNコントローラとして動作する。
デバイスを物理的な場所単位(ビルやフロア)で管理するためのグループであるサイトを作成し、サイトごとにネットワークの設定やネットワーク機器等を紐づけてネットワークの管理を行う。 各ネットワーク機器にはサイトにあった適切な設定を自動投入可能で、様々なツールを用いて自動化を行うこともできる。 具体的にはデバイスの設定や運用監視のほか、セキュリティ対策機能も提供している。
Cisco DNA Centerの利点は以下の通り。
- GUIによる一元管理が可能
- ネットワーク機器のプラグアンドプレイが行われる
- ネットワーク全体のスムーズな監視が可能
- Easy QoSの機能(QoS設定をGUIで簡単にポリシとして設定可能)
- Cisco AIによるエンドポイント分析機能の提供
また、Cisco DNA CenterにはマルチベンダSDKが提供されているため、マルチベンダ環境においても、マルチベンダSDKを使って非Cisco機器の情報を登録することでCisco DNA Centerから非Cisco機器を制御できるようにできる。
Cisco DNA Centerの機能
- ネットワークのモニタリング(アシュアランス)機能
- CLIテンプレート作成機能(テンプレートエディタ)
- インベントリ機能(IPアドレスやMACアドレスなどネットワーク内のデバイスの情報の保持)
Cisco DNA Centerの特徴
CISCO DNA Centerの特徴は以下の通り。
- ソフトウェアとしてではなく機器一体
- SDNコントローラとして動作
- NorthBound APIはREST APIを使用
- Southbound APIはTELNET, SSH, SNMP, NETCONF/RESTCONFを使用
スケーラブルグループ
スケーラブルグループは、SD-Accessファブリックにおけるセキュリティポリシー適用のコンポーネント。
ユーザや宛先ネットワークをグループとして定義し、どのネットワーク機器に設定するか、どのような設定をするかということは一切考えず「どのグループからどのグループへの通信は許可する」というポリシーを指定するだけで必要な設定はすべてCisco DNA CenterからSD-Accessファブリックに反映される。
ACLとの違いは以下手順でセキュリティポリシを適用可能。
- Cisco DNA Centerでエンドポイントやユーザを「グループ(Scalable Groups)」に割り当て
- 各グループ間の通信を「許可/拒否」設定する
10.5. Cisco PI
Cisco PI(Cisco Prime Infrastructure)とは、Ciscoが提供するネットワーク管理ツール。 管理対象となる全てのデバイスを一つの画面から設定、管理することが可能。
機能としてはネットワークの可視化機能も持ち、デバイスの動作状況やネットワークトラフィックの状況、無線LANの電波状況など、様々な情報をダッシュボード上で視覚的に確認することを可能。
Cisco DNA Centerと比べて高度な自動化機能を多くない。 例えば、ソフトウェアの自動アップデートや、ポリシーベースの機器設定、障害の自動検知と分析、対応策の機能がDNAよりも弱い。
従来型のネットワークではCisco PIによる一元管理が幅広く使用されていたが、SDN対応が求められる現代のネットワークではCisco DNA Centerが多く使用されている。