企業向けにシスコが提示する2種類のモデル

シスコが企業向けに提供しているSDNコントーラ モデルは、大きく2種類ある。1つは機能制御を軸に、既存製品のSDN化を実現するもの。もう1つは「ビジネス ポリシー」というコンセプトを導入し、ACIビジョンに基づくSDNの世界を創出するものだ。ここで最初にご理解いただきたいのが、1つ目の「機能制御」を軸としたSDNである。ここでは大きく2種類のコンポーネントでSDNが実現されている。PI(Prime Infrastructure)とISE(Identity Service Engine)だ。

PIは有線/無線をカバーした汎用的な機能コントローラであり、企業向けNMS(Network Management System)として段階的に進化し続けてきた。2014年12月末にはREST-API対応も果たし、一般的にSDNコントローラに求められる全ての要素を満たしている。

PIが提供するのは、ネットワーク機器やネットワークの構成情報等を取得し、これに対する制御を上位アプリケーションから実行する機能だ。管理者はWeb GUIやREST-APIを介して、事前に各機器に対するプロファイルを作成、必要に応じてPIに指示を出すことで、ネットワーク機器を制御できる。もちろん管理者は、ネットワークの状態を把握した上で、どのような設定を行うべきかを理解しておく必要があるが、管理に必要な作業は大幅に簡素化される。[図4]

図4 Cisco Prime Infrastructure フィーチャーコントローラ ネットワーク機能や装置情報を取得、実行

例えばLANスイッチのVLAN設定やTrunk設定を一括変更したい場合、事前に用意したテンプレートを選択し、変更指示を発行するだけでいい。変更指示は手動で発行することも、ソフトウェアで自動的に発行することも可能だ。下の画面のように、 REST-APIを活用して上位アプリケーションを作成することで、管理性をより高めることも可能になる。[図5]

図5 上位APIを利用した操作画面のカスタマイズ例

一方、ISEは、ユーザIDやデバイスIDに基づき、ネットワーク アクセスを制御するためのソフトウェア製品である。VLANやIPサブネットに基づく静的なグループ設定にも対応するが、その真骨頂は「既存のACLやVLANを利用しなくても物理LAN上で仮想グループ制御を行える」点と、「上位アプリケーションからの動的なグルーピング変更が可能」な点にある。物理LANのどこから接続された場合でも、ユーザID/デバイスIDが紐付けられたセキュリティ グループにアクセスするよう、自動的に制御が行われる。事前にVLANでセグメントを分けておく必要はなく、無線LANからのアクセスも単一SSIDを用意するだけでいい。[図6]

PIとISEを活用すれば、既存のネットワーク機器をソフトウェアで制御できるようになり、運用管理の効率化が実現できるのである。

図6 Cisco ISEによるセキュリティグループ動作イメージ
無線/有線端末の仮想グループ制御