Contents
サーバ仮想化
1台の物理マシン上に複数の論理サーバを構成して運用することをサーバ仮想化といいます。サーバ仮想化を導入するには、仮想マシンを構成管理するソフトウェア(ハイパーバイザ)を物理マシンにインストールします。
仮想マシンごとにそれぞれ固有のIPアドレスとMACアドレスを割り当てます。
クラウドコンピューティング
クラウドコンピューティングとは、インターネットをクラウドベンダーが所有するサーバのサービスをサーバの場所を意識することなく利用できるコンピューティング形態をいいます。
<クラウドコンピューティングの特徴>
NIST(National Institute of Standards and Technology:アメリカ国立標準技術研究所)によって以下のように定義
- オンデマンド、セルフサービス:ユーザが必要に応じて自身でコンピューティング能力を設定できる
- 幅広いネットワークアクセス:ネットワークを通じて利用可能で、様々なプラットフォームから利用できる
- リソースの共用:集積されたコンピューティングリソースを複数のユーザで共用する。リソースは需要に応じて動的に変更される。
- スピーディな拡張性:需要に応じて即座にリソースの追加、拡張が可能
- サービスが計測可能であること:コンピューティングリソースの利用状況をモニタ、コントロールし、報告される
オンプレミス | クラウド |
---|---|
・初期費用が高い ・どれだけ使用しても追加費用はかからない ・機器の導入に時間がかかる ・自社の要件に応じて物理構成を自由にカスタマイズできる | ・初期費用が安い ・使用した分だけ費用がかかる ・契約してすぐに使用可能 ・提供されているサービスの範囲でしかカスタマイズできない |
プライベートクラウド
- オンプレミス型:自社でクラウド環境を構築・管理しユーザに提供する。
- ホスティング型:クラウド業者のパブリッククラウド内にその企業専用の環境を用意する。
パブリッククラウド型
- SaaS(Softwere as a Service):「サービスの形で提供されるソフトウェア」クラウド上のアプリケーションを利用できる。
- PaaS(Platform as a Service):「サービスの形で提供されるプラットフォーム」ソフトウェアを構築および稼働させるために必要なハードウェアやOSなどのプラットフォーム(土台)をサービスとしてとして提供する形態です。クラウド上でアプリケーションを開発できる。
- IaaS(Infrastructure as a Service):「サービスの形で提供されるインフラストラクチャ」独自のオペレティングシステム(OS)を利用できる。クラウド上で仮想サーバなどのインフラ環境を開発できる。
- NaaS(Network as a Service):クラウド上でネットワークサービスを利用できる。
<SaaS、PaaS、IaaS、オンプレミスの違い>
<クラウドの仕組み(仮想化)>
SDN
- SDN(Software-Defined Nerworking)でネットワーク機器の管理・制御できる。
- コントロールプレーンとデータプレーンを分離し、ソフトウェアによって柔軟に定義することができる。
- SDNコントローラでVTN(仮想テナントネットワーク)を用いてネットワークを仮想化できる。
データプレーン
- コントロールプレーンの処理によって確定したパケットやフレームの転送先情報に従って、実際にパケットやフレームを転送します。
- コントロールプレーンによって学習されていない宛先へのデータの破棄またはフラッティング
- 802.1Qヘッダを編集
- アクセスリストによる破棄
- パケットのカプセル化、非カプセル化
- NAT変換
コントロールプレーン
- ルーティングプロトコル
- MACアドレス学習
- ARP
- NDP
SDNアーキテクチャ
SDNアーキテクチャは次の3つのレイヤから構成されます。
- アプリケーション層
- コントロール層
- インフラストラクチャ層
SDNアーキテクチャの各階を接続するために、次の2つのAPIがあります。
ノースバウンドAPI | コントロール層とアプリケーション層の間のインターフェイス。ネットワークを制御するプログラミングが可能 HTTP/HTTPSによってRESTful APIにアクセスする。 データ形式は主にXML、JSON |
サウスバウンドAPI | インフラストラクチャ層とコントロール層(サービス抽象化層)の間のインターフェイス。 OpenFlow、OpFlex、telnet、SSH、SNMP、NETCONF、RESTCONF |
CEF
スイッチング処理はコントロールプレーンとデータプレーンで実行されますが、CEF(Cisco Express Forwarding)はデータプレーンでのみでスイッチングを行うことで高速なパケット転送を実現しています。
データプレーンで 使用するテーブル | 説明 |
---|---|
FIBテーブル | ルーティングテーブルに該当する役割( ルーティングテーブルをもとに作成 ) |
Adjacencyテーブル | ARPテーブルに該当する役割( ARPテーブルをもとに作成 ) |
インテントAPI
インテントAPIとはCisco DNA CenterのNorthboundのAPIで、ネットワーク上で動作するサービスやアプリケーションとCisco DNA Centerが通信するために使われます。ポリシーベースの操作により、ネットワーク構築の複雑な過程ではなく、最終的な結果を意識してネットワークを構築できることが特徴です。
- 一般的にはRESTful APIを使用
- HTTPメソッド(GET、POST、PUT、DELETE )でネットワークを制御します。
OpenFlow
OpenFlowではこれまで一つのネットワーク機器の内部に同居していた経路制御の機能とデータ転送の機能をそれぞれ別に機器に分離し、制御装置(OpenFlowコントローラ)が複数の中継・転送装置(OpenFlowスイッチ)の設定や振る舞いを一括して管理する。
OpFlex
OpenFlowと比べて、シンプルなポリシーのみでSDNの構築を可能にしたAPIのこと。
Ciscoが独自に開発した。
Cisco ACI
- シスコによって提供されるデータセンター向けのSDNソリューションです。
- SDNコントローラにはAPIC(シスコ)
- サウスバウンドAPIにはOpFlex
- スパイン/リーフ型
Cisco ACI | ・Ciscoが提供する次世代のSDN製品 |
APIC | ・データセンター向けのSDNコントローラ |
APIC-EM (APIC Enterprise Module) | ・LAN/WAN向けのSDNコントローラ ・Ciscoによる企業向けのコントローラ |
・OpenDaylight SDN Controller ・Cisco Open SDN Controller | Open SDNで使われるコントローラ |
Open SDN | Cisco ACI | APIC Enterprise Module | |
---|---|---|---|
コントロール プレーンが 変わる | ○ | ○ | × |
コントロール プレーンの 集中度 | ほぼ全て | 一部 | 分散 (集中管理無し) |
SBI | OpenFlow | OpFlex | CLI(Telnet、SSH)、 SNMP |
代表的な コントローラ | OpenDaylight SDN Controller Cisco Open SDN Controller | APIC | APIC-EM |
ACIで使われるネットワークトポロジ
APIC Enterprise Module
APIC-EM
シスコが提供するエンタープライズ(企業)向けのSDNコントローラ。
- ネットワーク情報データベース
- ネットワークのトポロジの可視化
- ゼロタッチ導入
- ポリシーマネージャ
- ACL分析
- QoS導入
- Cisco IWANアプリケーション
Cisco SD-Access
- シスコが提供する企業向けの新しいSDNソリューションです
<SDAの構成>
アンダーレイ
- ルータやスイッチ、ケーブルなどの物理的なネットワーク
- OSPFやIS-ISといったリンクステート型のプロトコルを使用
- すべてがレイヤ3での接続(STP/RSTPは使用しない)
オーバーレイ
- VXLANトンネルの宛先アドレスを解決するプロトコルとしてLISP(Locator Identity Separation Protocol)を使用
Cisco DNA Center
Cisco DNA(Digital Network Architecture)は、Ciscoが提唱するインテントベースネットワーク(意図主導型ネットワーク、Intent-based Network: IBN)をエンタープライズ(企業)ネットワークに適用するためのアーキテクチャです。Cisco SD-Accessで使用されるSDNコントローラです。
- Cisco DNAのコントローラ
- 設定運用の自動化…個別に設定しなくても、統一したポリシーでネットワークを構築できます。
- 分析とアシュアランス(保証)
- 管理しているネットワーク機器が自身の情報をCisco DNA Centerに通知する際にはSNMP/Syslogでデータを送信します。
- SBIとしてTelnet/SSH/SNMPやNETCONF/RESTCONFを使用
- ネットワーク状況の可視化による安全性の向上
- Cisco DNA CenterはNBIとしてREST APIを提供
特徴 | 将来型 | コントローラベース |
---|---|---|
コンロトールプレーン | 自律分散 | 中央集中 |
管理の単位 | ネットワーク機器 | ネットワーク |
機器の設定 | 各ネットワーク機器 | 各ネットワーク |
ファームウェアの管理 | 各ネットワーク機器ごとにファームウェアを管理する。各機器ごとに更新する。 | コントローラで一括管理、更新 |
セキュリティ | インターフェイス、ネットワークの境界でフィルタリング | NetFlowのようなネットワークトラフィックを分析する機能を用いて、ネットワーク全体に対処。 |
障害復旧 | 手動でトラブルシューティング | AIや機械学習。迅速かつ正確。 |
アシュアランス
Cisco DNA Centerには、アシュアランスと呼ばれるモニタリングを行う機能があります。SNMPやSyslog、NetFlowなどの様々なソースからデータを収集し、監視、分析し問題の早期発見、解決が可能になります。
テンプレートエディタ
Cisco DNA Centerには、テンプレートエディタと呼ばれるCLIテンプレートを作成するツールがあります。CLIテンプレートを利用しネットワーク機器の設定を行うことで機器設定の一貫性を保つことができます。
REST API
自作プログラムなどから、Cisco DNA Centerの機能にアクセスできる。利用したい機能を組み合わせることができる。
マルチベンダSDK
Cisco DNA Centerが非Cisco機器を制御できるように機能を追加するためのソフトウェア開発キット。
インベントリ
Cisco DNA Centerのインベントリ機能は、IPアドレスやMACアドレスなどネットワーク内のデバイスの情報を保持する機能です。定期的にこれらの情報を収集して一元的に管理します。デバイスに依存せず設定変更時の管理等が容易になります。
Scalable Groups
SDNコントローラであるCisco DNA Centerでは、IPアドレスに依存しないスケーラブルグループによるアクセス制御をGUI上にて設定できます。先ず、管理者がユーザやデバイスをグループとして定義します。次に、SGT(Scalable Group Tag)と呼ばれるタグを管理者が定義したグループに割り当てます。最後にそのSGTごとに、許可や拒否のアクセスポリシーを適用すれば完了します。
「グループ」を表すもの、「送信元」や「宛先」を識別するときに使うものです。
- セキュリティーポリシー適用のコンポーネント
- ネットワーク機器への直接的な設定は必要ない
インテントベースネットワーク(IBN:Intent Base Network):意図ベースネットワーク)
ネットワークで意図した状態を確保することを目指す新しいテクノロジーの概念。
EPG間の通信の許可・拒否を決めたポリシーを作成する⇒物理的な配慮に関係なくシンプルなポリシーのみでネットワーク全体の通信ルールを設定・運用できる。
スパイン/リーフ構成
スパイン/リーフ構成は、Cisco ACIが提供しているネットワーク形態のことです。次の3つのコンポーネントで構成されています。
- APIC…Cisco ACIのコントローラ
- スパインスイッチ…スパイン(背骨)
- リーフスイッチ…リーフ(枝葉)
スパイン/リーフ構成の特徴は、リーフスイッチは全てスパインスイッチと接続し、リーフスイッチ同士およびスパインスイッチどうしは接続しない構成となります。
全ての転送は2ホップ内に収まる。
3階層キャンパス設計モデル
大規模環境向け。拠点追加が容易。
コア層と、ディストリビューション層で冗長化
コア層 | フルメッシュ | ディストリビューション層のスイッチを収容する |
ディストリビューション層 | パーシャルメッシュ | ・アクセス層のスイッチを収容する、VLAN間ルーティングを行います。 ・ポリシーに基づくフィルタリングを行う |
アクセス層 | スター | ユーザーを直接収容する |
2階層キャンパス設計モデル
小規模環境向け。3階層で使われているコア層はディストリビューション層に統合されいます。コラプストコア(Collapsed core:つぶれたコア)設計とも呼びます。
- ディストリビューション層…アクセス層のスイッチを収容する、VLAN間ルーティングを行います。
- アクセス層…ユーザーを直接収容する
CEF
CEF(Cisco Express Forwarding)はハードウェアでパケットで高速転送を行うシスコ独自のスイッチング方式です。
- FIBテーブル…Forwarding Information Base:転送情報ベース。ルーティングテーブルに相当
- Adjacency(隣接)テーブル…ARPテーブルに相当
スイッチがフレームを転送する方式
- ストアアンドフォワード…現在ほとんどのスイッチで使用されている方式。完全に受信してからエラーチェック、MACアドレステーブル検索をする。
- カットスルー…フレームヘッダの先頭6バイト(宛先MACアドレス)を読み込むと転送処理を開始します。
- フラグメントフリー…フレームヘッダの先頭64バイト(宛先MACアドレス)を読み込むと転送処理を開始します。コリジョンを防ぐ。