CiscoのSDNソリューション
主な内容:
・Cisco ACIの概要
・Cisco SD-Accessの概要
・Cisco DNA Center
前章
SDNとネットワークの自動化(1)はこちら。SDNの概要と実装についての内容です。
Cisco ACIの概要
Ciscoが提供するデータセンター向けのSDNソリューションである。SDNコントローラとして、Cisco製のAPIC(Application Policy Infrastructure Controller) を、サウスバウンドAPIにはOpFlex を使用する。
OpflexはOpenFlowと比較してシンプルなネットワークポリシーを定義するだけでSDNを構築できるという利点がある。
スパイン/リーフ型の物理トポロジ
Cisco ACIでは従来の3階層モデル(コア層、ディストリビューション層、アクセス層)の代わり、スパイン/リーフ型 というファブリック型ネットワークトポロジを採用している。
ツリー型構造とは違い、ネットワーク全体を(ファブリック)のようなメッシュ構造にすることで高可用性・帯域の向上・拡張性の向上を実現する ことができる。
Cisco ACIのスパイン/リーフ型ネットワークでは、ファブリックネットワークをスパニングスイッチ とリーフスイッチ によって形成する。
スパイン/リーフ型の構成には以下のような特徴がある。
・各リーフスイッチはすべてのスパインスイッチに接続する
・各スパインスイッチもすべてのリーフスイッチに接続する
・リーフスイッチは相互に接続しない
・スパインスイッチも相互に接続しない
・エンドポイントであるサーバなどはリーフスイッチにのみ接続する
リーフスイッチもすべてL3スイッチで構成されるため、ディストリビューション層に集中していた負荷をリーフスイッチ側にも分散できる。
→2階層のシンプルな構造をとることで、物理構成が簡素化され配線の煩雑さを抑えられる。
エンドポイントの接続ポートを増やす場合はリーフスイッチ、帯域を増やす場合はスパインスイッチを増やすといったように、ネットワークの拡張をスムーズに行える。
エンドポイント間の通信経路が、どのスイッチを通過してもリーフ→スパイン→リーフという一定のポップになるため、レイテンシ(遅延)が安定する。
インテントベースネットワーク
エンドポイントのサーバなどを、物理的な配置ではなく機能別の観点からEGP(End Point Group) という単位でグループ化する。そして、EGP間の通信の許可・拒否を定義した通信ポリシーを作成し適用することで、管理者の意図に基づいたネットワーク構成が動的に実現できる。
グループ単位でポリシーを決定できるため、シンプルなポリシーの定義のみでネットワーク全体の通信ルールを管理 することができる。
APIC-EM
Cisco ACIを導入したファブリックネットワークシステムを構築するには、ハイエンドモデルのスイッチを使用する必要があり、導入には大幅にコストがかかってしまう。こうした背景から、一般企業向けに開発されたSDNがAPIC-EM である。APIC-EMは既存のネットワーク機器でもSDNが実現可能 である。
TELNETやSSH、SNMPを介してマネジメントプレーンを制御する ことで、各機器をAPIC-EMの一元管理下に置くことができる。
現在ではAPIC-EMの製造・販売は終了となっており、その機能の多くはCisco DNA Centerに引き継がれている。
Cisco SD-Accessの概要
Ciscoが提供する企業向けの新しいSDNソリューション。SDNコントローラにはCisco DNA Center を使用し、Web GUIで提供される各種アプリケーションや、自作プログラムによってネットワーク制御を行うことができる。
ファブリックネットワークを構成するのは、社内ネットワークの各機器になる。Cisco SD-Accessのアーキテクチャでは、ファブリックネットワークにおいてアンダーレイネットワーク、オーバーレイネットワーク という考え方を取り入れている。
アンダーレイ
オーバーレイ機能を実装するための基盤となる物理ネットワーク。ファブリックネットワーク上で配置される位置と役割に応じて、大きく3つに分類される。
・ファブリックエッジノード
エンドポイントデバイスに接続する機器。アクセス層のスイッチに該当。
・ファブリックボーダーノード
Cisco SD-Accessの制御外の機器であるWANルータなどと接続する機器。
・ファブリックコントロールノード
LISPのマップサーバとして動作する機器。
オーバーレイ
アンダーレイ上に構築され、通信を行う両端の機器をVXLAN という仮想的なトンネルで結んだ論理ネットワークを指す。VXLANとLISPという2つの機能から成り立っている。
・VXLAN
L2フレームをカプセル化することで、物理的に異なるL3ネットワーク上に論理的なL2ネットワークを構築 することができる技術。
サーバの仮想化が普及したことで、物理サーバ間での仮想マシンの移動やコピーといった、横方向の通信が頻繁に発生するようになったため、ネットワークが異なる物理サーバ間で移動が発生した場合、同じIPアドレスが使用できない。
こうした問題を解決するために考えられた技術がVXLANであり、VXLANは元のEthernetフレームをカプセル化し、VXLANヘッダ内に格納されたVXLAN Network ID(VNI)によってネットワークを識別することができる。ここで識別可能なネットワークは約1600万でありVLANに比べて非常に多い。
VXLANを使用することで、同じVNIに割り当てられたデバイス同士は、物理的なL3ネットワークを跨いで同一のネットワークを構築する ことが可能になる。
カプセル化をすることで、元のL2フレームは新しい外部IPヘッダーとUDPヘッダーに包まれるため、L3での通信が可能となる。
・LISP
IPアドレスのID(端末の識別子)としての役割と、ロケータ(ネットワーク内での位置)としての機能を分離してルーティングを行うトンネリングプロトコルである。LISPを使用することでファブリック上の各※(1)エッジノードは、全エッジノードのアドレスおよびネクストホップを個別に把握することなく通信を行うことができる。
LISPではEID とRLOC という値を用いて通信を行う。
| 略称 | 正式名称 | 説明 |
|---|---|---|
| EID | Endpoint ID | エンドポイントの端末のIPアドレス |
| RLOC | Routing Locator | LISPが有効になっているルータのアドレス |
※(1)ファブリックネットワークにおいて、エンドポイントが最初に接続するネットワーク機器
LISP Map Server
EIDとRLOCの対応状況を保持し、通信時はその情報を各エッジノードへと伝達する。
通信転送の流れ
まず、LISPによる仮想ネットワークのルーティング情報の作成を行う。エンドポイントと接続しているファブリックエッジノードは、自身に接続されているエンドポイントのEIDをLISP Map Serverに送信する。その情報を受信したLISP Map ServerはEIDと送信してきたエッジノード自身のRLOCの対応表を以下のように登録する。
| EID | RLOC |
|---|---|
| 10.1.1.0/24 | 172.16.1.1 |
| 10.1.2.0/24 | 172.16.2.2 |
| 10.1.3.0/24 | 172.16.3.3 |
ここで、異なるRLOCのネットワークに通信を行う場合、転送先を特定するために通信の宛先IPアドレスをLISP Map Serverに問い合わせる。LISP Map Serverは自身の対応表からEIDに該当する行を検索し、宛先のルータに問い合わせ、接続を確認する。宛先のルータは自身を経由して宛先のアドレスに到達可能だと送信元のルータに通知する。
↓
最後に、送信元のルータは受け取った情報を基にXVLANを使用して通信をカプセル化する。カプセル化によって付与される新しいIPヘッダ内に、送信元と宛先のRLOCをそれぞれ送信元と宛先に指定して、ファブリックネットワークへと転送する。これにより、そのルータ間で形成されたVXLANトンネルを経由して宛先のルータに到達できる
通信を受信したルータは追加されたヘッダを外して元の宛先であるアドレスへ転送する。
Cisco DNA Center
Cisco SD-Accessで使用されるSDNコントローラ。ノースバウンドAPIはREST API を、サウスバウンドAPIはTELNET、SSH、SNMP、NETCONF、RESTCONF といった複数のプロトコルをサポートしている。
Cisco DNA Centerを利用することで、SD-Accessで構成されたネットワークをGUIによって一元管理したり、ネットワーク自動化機能を利用する ことができる。
スケーラブルグループ
Cisco DNA Centerではスケーラブルテーブル によるアクセス制御をGUIで設定可能。一意のSGT(Scalable Group Tag) 割り当て、そのSGTごとに許可や拒否のポリシーを適用してアクセス制御を行う。
Cisco DNA Centerにポリシーを指定するだけでアクセス制御が完了する。
Cisco DNA Centerの特徴
・GUIによる一元管理
・ネットワーク機器のプラグアンドプレイ
・ネットワーク全体の可視化と運用支援
・Easy QoSの機能
・ネットワークポリシーの抽象化と適用
・APIによる拡張性と外部連携
参考
林口 裕志; 浦川 晃. シスコ技術者認定教科書 CCNA 完全合格テキスト&問題集[対応試験]200 -301. 株式会社 翔泳社.