Cisco Nexus Data Broker

Cisco Nexus Data Broker および Cisco Prime 仮想ネットワーク解析モジュール

ホワイトペーパー





Cisco Nexus Data Broker および Cisco Prime 仮想ネットワーク解析モジュールによるネットワーク トラフィックの可視化と分析


概要

ネットワーク トラフィックの急激な増加に伴い、ネットワーク トラフィック モニタリングの必要性が高まっています。しかしながら、従来型のネットワーク トラフィック モニタリング方式では、高い導入コスト(CapEx)と運用コスト(OpEx)がかかります。この課題に対処するため、多くのお客様は、トラフィック分析のための仮想マシン ベースのモニタリング ツールと、ネットワーク トラフィックをこれらのツールに送るためのコスト効率の良い選択肢を求めています。このドキュメントでは、仮想マシン ベースのモニタリング ツールをはじめとする各種モニタリング ツールに、コスト効果の高い方法でトラフィックを配信できる Cisco Nexus®Data Broker について説明します。また、アプリケーション トラフィックの可視化と分析を実現するために Cisco Nexus Data Broker が、仮想マシン ベースの Cisco PrimeTM 仮想ネットワーク解析モジュール(vNAM)とどのように連携するかについても説明します。さらに、Cisco Prime vNAM にトラフィックを配信するために、ハイパーバイザ仮想スイッチ(vSwitch)で必要な設定についても詳しく説明します。

はじめに

現在、リソースを大量消費するアプリケーションによってネットワーク トラフィックが急激に増大しているため、既存のネットワークにおける要求が高まっています。企業は、クリティカルなアプリケーションを非クリティカルなアプリケーションと区別して、ネットワーク リソースを優先度の高いアプリケーションへ動的に割り当てることは困難であると考えています。ネットワーク リソースをより適切に管理するには、ネットワーク トラフィックの可視化が必要です。ネットワーク トラフィックをモニタリングして可視化するため、お客様は通常、光 タップおよび Switched Port Analyzer(SPAN)アグリケーションに専用のマトリックス スイッチを使用していました。

従来型のマトリックス スイッチには、主に 3 つの課題がありました。

  • ソリューションのコストが高い。特に大規模導入環境では非常に高くなる場合がある
  • スケーラブルなモニタリング ネットワークを構築するために、このようなマトリックス スイッチを導入し相互接続する上で制限がある
  • フィルタの設定とトラフィックの転送が静的に行われるため、イベントに基づいてアクションを実行することが困難である

このような課題に対処するために、シスコは Cisco Nexus Data Broker を導入しました。これは、タップ および SPAN アグリゲーション スイッチとして機能する Cisco Nexus スイッチ ファミリと、トラフィックをフィルタリングしてさまざまなツール セットに転送する Cisco Nexus Data Broker ソフトウェアで構成されています。

Cisco Nexus Data Broker

Cisco Nexus Data Broker では、マトリックス スイッチの代わりに 1 台以上の OpenFlow 対応 Cisco Nexus スイッチが使用されます。トラフィックはこの一連のスイッチに、マトリックス ネットワークの場合と同様に入っていきます。ただし Cisco Nexus Data Broker では、これらの Cisco Nexus スイッチを相互接続することができるので、スケーラブルなタップおよび SPAN アグリゲーションのインフラストラクチャを構築できます。タップと SPAN ソースを組み合わせて、実稼働トラフィックのコピーをこのタップまたは SPAN アグリゲーションのインフラストラクチャに導入することもできます。また、これらのタップ ソースおよび SPAN ソースと、トラフィック モニタリング ツールや分析ツールを、複数の Cisco Nexus スイッチにわたって分散できます。モニタリングツールと分析ツールは、物理アプライアンスまたは仮想マシンのいずれにも搭載可能です。

図 1 に、Cisco Nexus Data Broker の導入の概要を示します。

図 1.     Cisco Nexus Data Broker の導入アーキテクチャ


主な機能と利点

表 1 に、Cisco Nexus Data Broker の主な機能と利点の概要を示します。

表 1.    主な機能と利点

機能 利点
Cisco Nexus Data Broker でサポートされているトポロジ ケーラブルなインフラストラクチャを実現します。
入力ソースのタップ ポートおよび SPAN ポートにタグ付けする QinQ をサポート エッジ タップ ポートおよび SPAN ポートの Q-in-Q サポートにより、トラフィックの送信元を一意に識別し、実稼働 VLAN 情報を維持することができます。
対称ハッシュまたは対称ロード バランシング* PortChannel リンクにおけるトラフィックのロード バランスのため、レイヤ 3(IP アドレス)またはレイヤ 3 + レイヤ 4(プロトコル ポート)に基づいてハッシュを設定できます。この機能を使用すると、複数のツール、または同一ツールに接続している複数のインターフェイスにトラフィックを分散できます。
モニタリング対象トラフィックをマッチングするルール レイヤ 1 からレイヤ 4 のヘッダー情報に基づいてトラフィックをマッチングできます。
トラフィックの複製と転送
  • 複数の入力タップ ポートおよび SPAN ポートからのトラフィックを集約するようにソフトウェアを設定できます。集約されたトラフィックは、複数の Cisco Nexus スイッチに分散できます。
  • トラフィックを複製し、
タイム スタンプ** Precision Time Protocol(PTP; IEEE 1588)を使用して、入力時のパケットにタイムスタンプを付けられます。これにより、ナノ秒単位の精度を実現できます。この機能を使用して、法規制へのコンプライアンスおよび高度なトラブルシューティングを目的とした重要なトランザクションのモニタとデータのアーカイブを行うことができます。
パケットの切り捨て** 指定したバイト数を超えたパケットを切り捨てるようにソフトウェアを設定できます。
タップおよび SPAN アグリゲーション ネットワークの状態の変更への対応 Cisco Nexus Data Broker は、フローが代替パスを通過するように再プログラミングすることで、リンクまたはノードの障害に対応できます。
エンドツーエンド パスの可視性 このソリューションでは、トラフィック転送ルールごとに、送信元ポートからモニタリングツールまでのエンドツーエンドのパス(ネットワーク経由パスを含む)が完全に可視化されます。
複数の独立した Cisco® Monitor Manager ネットワークの管理 同一の Cisco Nexus Data Broker のインスタンスを使用して、(分離している可能性がある)複数の独立トラフィック モニタリング ネットワークを管理できます。たとえば、5 か所のデータセンターを運用しており、独立した Cisco Monitor Manager ソリューションを各データセンターに導入する場合は、各モニタリング ネットワークに対して論理パーティション(ネットワーク スライス)を作成することで、1 つの Cisco Nexus Data Broker インスタンスを使用して、独立した 5 つの導入環境をすべて管理できます。
ロールベース アクセス コントロール(RBAC)
  • アプリケーション アクセスは、認証と認可の両方について、企業の認証、認可、およびアカウンティング(AAA)サーバと統合することができます。
  • ポート グループを作成して特定のユーザ ロールにポート グループを関連付けることができます。

*Cisco Nexus 3500 シリーズ スイッチでのみサポートされている機能

**Cisco Nexus 3100 プラットフォームでのみサポートされている機能

Cisco Prime vNAM

Cisco Prime vNAM は、仮想マシンで NAM ソフトウェアを実行できる柔軟性をお客様に提供しています。Cisco Prime vNAM は、詳細なアプリケーション認識、豊富な情報を提供するパフォーマンス分析、包括的なネットワークの可視性を組み合わせて、ネットワーク管理者がネットワークを効果的かつ効率的に管理できるように支援します。Cisco Prime vNAM の多様性により、次のことが可能です。

  • ネイティブで Cisco Network-Based Application Recognition 2(NBAR2)を使用してレイヤ 4 からレイヤ 7 を可視化し、ビジネスに不可欠なアプリケーションを容易に特定する
  • Cisco 仮想拡張 LAN(VXLAN)、Locator/ID Separation Protocol(LISP)、およびオーバーレイ トランスポート仮想化(OTV)など、オーバーレイ テクノロジーの内側のトラフィックの動作を理解する
  • アプリケーション、ホスト、仮想マシン、カンバセーションごとのネットワーク使用状況を分析し、パフォーマンスと可用性に影響を与える恐れのあるボトルネックを特定する
  • パフォーマンスの問題に対し、詳細なトラフィック フローとパケット分析を組み合わせ、物理環境と仮想環境の全体で一貫したトラブルシュートを実施する
  • WAN 最適化、Cisco TrustSec® セキュリティ、Quality of Service(QoS)ポリシーの変更など、インフラストラクチャのアップデートを検証する
  • Web ベースの統合インターフェイスを活かして拠点をリモートで管理することにより、中央化された場所にデータをバックホールする必要がなくなり、WAN の帯域幅を節減できる

Cisco Prime vNAM には、リモート アクセス可能な Web ベースの管理およびレポート コンソール(図 2)が付属しています。このコンソールから Cisco Prime NAM ソフトウェアを実行します。このソフトウェアに事前に組み込まれているダッシュボードに、ネットワーク パフォーマンスやワークフローが即時に表示されるので、組織は運用上の判断をより迅速に下すことができます。

図 2.    Cisco Prime vNAM の Web ベースの管理およびレポート コンソール


Cisco Prime vNAM は豊富な機能(表 2)を備えたオールインワンの価値ベース ソリューションです。

表 2.    Cisco Prime vNAM の機能と利点

機能 利点
導入の多様性
  • Cisco Prime vNAM は、テナントのネットワーク コンテナやリモート サイトなど、ネットワーク上のほぼどこにでも導入できます。
  • 仮想データセンター環境とクラウド環境で求められる運用の俊敏性を実現します。
NBAR2 によるディープ パケット インスペクション(DPI)
  • NBAR2 によりビジネスに不可欠なアプリケーションを迅速に可視化できます。
  • Skype、Torrent、Microsoft Office 365 などのさまざまなアプリケーションや、FaceTime などのモバイル アプリも分類できます。
アプリケーション パフォーマンスの分析
  • TCP ベースのアプリケーションに対するエンドユーザ エクスペリエンスの特徴を分析します。
  • アプリケーションの応答時間にかかわる問題がネットワーク、サーバ、アプリケーションのいずれにあるのかを特定し、トラブルシューティングを加速化します。
音声品質分析 平均オピニオン評点(MOS)および、ジッターやパケット ロスといった重要業績評価指標(KPI)に関するリアルタイムのレポートを収集することで、エンド ユーザが体験する音声サービスの品質を把握し改善します。
トラフィック分析
  • アプリケーション、ホスト、カンバセーション、およびサポートされるさまざまなカプセル化タイプごとに、短期および長期のネットワーク利用状況を表示します。
  • ネットワーク リソースが何に多く消費されているかを特定し、ネットワークのボトルネックを特定することで、ネットワーク リソースの割り当てを最適化します。
カプセル化とオーバーレイ テクノロジーに関する詳細情報 アプリケーションを効率的に配信できるようにオーバーレイ ネットワークを設計します。サポートされるプロトコルには、OTV、LISP、VXLAN、Control and Provisioning of Wireless Access Points(CAPWAP)などがあります。
Cisco TrustSec ポリシーの検証 セキュリティ グループ タグ(SGT)を使用して Cisco TrustSec ポリシーを検証し、1 つまたは複数のセキュリティ グループに参加しているエンドポイントまたはホスト、アプリケーション、カンバセーション評価します。
WAN 用に最適化されたネットワーク可視性
  • 段階的な展開計画の一部として、最適化のための最良の拠点やアプリケーション候補の適合性を評価し、投資回収率(ROI)を向上させます。
  • Cisco Wide Area Application Services(WAAS)によってアプリケーション配信がどの程度向上したか(アプリケーションのトランザクション時間の減少、WAN 帯域利用の改善など)を示す、エンドツーエンドのプルーフ ポイントを得ることができます。
詳しい状態を把握できるパケット分析
  • トリガーベースのキャプチャ、フィルタ、デコード、エラー スキャンなどの機能を使用して、複雑なパフォーマンスの問題を解決できます。
  • パフォーマンスのしきい値に基づいてパケット キャプチャをトリガーできるため、特定のパフォーマンスの問題を集中的に扱うことができます。
  • 外部ストレージを利用して、オフライン分析のための広範なパケット キャプチャを実施することができます。
オープンなインターフェイス 標準ベース(Representational State Transfer(REST)/XML)の API に基づく統合によって、既存の管理資産への投資を保護します。
いつでもどこでもアクセス可能 どのデスクトップからでも Web ベースのアクセスが可能なため、リモート拠点にスタッフを派遣したり、WAN 接続経由で大量のデータを中央拠点に送信したりする必要がありません。
Cisco Prime Infrastructure 統合
  • 1 つの中央管理型コンソールから NAM を管理。
  • ネットワーク全体から NAM 統計を収集して表示。これにより、全体的なネットワーク パフォーマンスを把握できます。

Cisco Nexus Data Broker と Cisco Prime vNAM トポロジ

Cisco Nexus 3100 プラットフォーム スイッチは、タップおよび SPAN アグリゲーションのスイッチとして使用されます。光 タップ は各スイッチのイーサネット ポート 1/10 および 1/11 に接続されます。

Cisco Prime vNAM が稼働している Cisco UCS® サーバで、少なくとも 2 つのインターフェイスが必要です。1 つは Cisco Prime vNAM 管理接続用、もう 1 つはデータ トラフィック受信用です。

2 つの Cisco Prime vNAM が使用されます。1 つは NX-SW-2 に接続し、もう 1 つは NX-SW-3 に接続しています。Cisco Prime vNAM が稼働している Cisco UCS サーバ ホストのデータ ポートは、両方のスイッチのイーサネット ポート 1/47 に接続しています。

次のアプリケーション トラフィックは、実稼働ネットワークから光タップを介して受信されます

  • FTP 制御トラフィック
  • FTP データ トラフィック
  • Telnet トラフィック
  • Microsoft SharePoint トラフィック
  • Cisco JabberR トラフィック
  • Cisco IP Phone トラフィック
  • Session Initiation Protocol(SIP)トラフィック
  • HTTP トラフィック
  • ネットワーク ファイル システム(NFS)トラフィック
  • BitTorrent トラフィック
  • Simple Network Management Protocol(SNMP)トラフィック
  • ドメイン ネーム システム(DNS)トラフィック

実稼働ネットワークからのトラフィックのコピーは、分析およびレポートのために 2 つの Cisco Prime vNAM に送信されます。

図 3 は、このドキュメントの設定例で使用されるトポロジを示します。

図 3.    設定例のトポロジ



Cisco Prime vNAM によるトラフィック受信の設定

このドキュメントでは、VMware ESXi Hypervisor の仮想スイッチ インターフェイスの設定例を示します。他のハイパーバイザについては、仮想スイッチ インターフェイスの設定に関する該当マニュアルを参照してください。Cisco Prime vNAM のインストールについては、『Cisco Prime Virtual Network Analysis Module (vNAM) Installation and Configuration Guide』(http://www.cisco.com/c/en/us/td/docs/net_mgmt/network_analysis_module_software/vNAM/install/guide/cisco_prime_vnam_install_config_guide.html)を参照してください。

図 4 に、Cisco UCS サーバ ホスト、ハイパーバイザ、およびネットワーク接続を示します。

図 4.    Cisco UCS、ハイパーバイザ、およびネットワーク接続の設定


Cisco Nexus Data Broker の設定

Cisco Nexus Data Broker を設定するには次の手順を実行します。

  • Cisco Nexus 3000 シリーズ スイッチで OpenFlow 向けのシスコ プラグインを有効にします。
  • Cisco Nexus Data Broker でデバイス設定を行います。
  • トラフィックをフィルタリングして転送するように Cisco Nexus Data Broker を設定します。

これらのアクティビティの詳細な設定手順については、Cisco Nexus Data Broker のソリューション クイックスタート ガイド(http://www.cisco.com/c/en/us/products/collateral/cloud-systems-management/extensible-network-controller-xnc/guide-c07-731460.html)を参照してください。

Cisco Prime vNAM でのアプリケーション トラフィックの詳細の表示

例 1:トラフィック分析

ネットワークの上位 N アプリケーションによる帯域幅の消費量を表示します。このビューは、ネットワークでのアプリケーション トラフィックの急激なバーストなどのイベントを把握するのに役立ちます。アプリケーション、アプリケーションによる帯域幅の消費量、およびこのアプリケーションのクライアントとサーバを確認できます。BitTorrent などの不必要なトラフィックがネットワーク上にないかどうかも検証できます(図 5)。

図 5.    例 1:トラフィック分析


例 2:アプリケーション応答時間の要約

Cisco Prime NAM は多数のメトリックを計算し、ビジネス クリティカルなアプリケーションのエンドユーザ エクスペリエンスを測定します。応答時間に基づく上位 N のアプリケーションを表示して、特定のアプリケーションについて詳しく調べ、長い応答時間を引き起こしている原因や、このアプリケーションの影響を受けているクライアントとサーバを確認できます(図 6)。

図 6.    例 2:アプリケーション応答時間の要約


例 3:アプリケーション応答時間

Cisco Prime NAM を使用して、ネットワーク時間、サーバ応答時間、またはデータ時間が、長い応答時間の原因であるかどうかを確認できます。クライアント トランザクション時間とサーバ応答時間に基づいて、このアプリケーションの上位 N のクライアントおよびサーバを確認することもできます(図 7)。

図 7.    例 3:アプリケーション応答時間


まとめ

Cisco Nexus Data Broker と Cisco Prime vNAM により、スケーラブルかつコスト効率の高いアプリケーション トラフィックの可視化および分析が、お客様に提供されます。Cisco Nexus スイッチを使用する Cisco Nexus Data Broker は、SPAN またはネットワーク タップを使用するネットワーク トラフィックのコピーを集約し、モニタリングと可視性を実現する、ソフトウェア定義型のプログラム可能ソリューションです。このパケット ブローカリング アプローチは、シンプルで拡張性とコスト効率に優れたソリューションを実現するものであり、セキュリティ、コンプライアンス、およびアプリケーション パフォーマンスのモニタリング ツールを効率的に利用するために大量のビジネスクリティカルなトラフィックをモニタリングする必要のあるお客様に適しています。

Cisco Prime vNAM では、アプリケーション分析ソフトウェアを仮想環境またはアプライアンスに柔軟に導入できます。いずれのオプションでも、ネットワーク管理者にとって必要不可欠な詳しいアプリケーションの可視性とアプリケーション パフォーマンス情報が提供されます。


関連情報