Cisco Nexus Data Broker

Cisco Nexus Data Broker:Cisco Nexus 3000 シリーズ スイッチを使用した導入事例

ホワイトペーパー





Cisco Nexus Data Broker:Cisco Nexus 3000 シリーズ スイッチを使用した導入事例


概要

タップおよび Switched Port Analyzer(SPAN)を使用したネットワーク トラフィック モニタリングは、新しいコンセプトではありません。ネットワーク管理者はここ数年にわたり、コンプライアンス、セキュリティ、および接続とパフォーマンスのトラブルシューティングの目的で、さまざまなツールを使用してこの作業を行ってきました。その一方で、ネットワークとアプリケーションがより堅牢になり、現在ではプライベート クラウド環境とパブリック クラウド環境の両方に配置されることも多いため、このアプローチは一層困難になっています。

Cisco Nexus® Data Broker は、ネットワーク トラフィック モニタリングの従来型のタップおよび SPAN アグリゲーション ソリューションに代わるソリューションを、手頃な価格で提供します。このシンプルでスケーラブルなソリューションは、あらゆるお客様にとって魅力的な、柔軟性の高い導入オプションを提供しています。

このドキュメントでは、現在シスコのお客様が実際に導入している Cisco Nexus 3000 シリーズ スイッチと Cisco Nexus Data Broker の導入事例を紹介します。

はじめに

これまでもネットワーク トラフィックの可視性は、ネットワーク運用、コンプライアンス、およびセキュリティにおいて重視されてきました。アプリケーション数の急増と、クラウドベースのテクノロジーの発展に伴い、IT 部門はネットワーク トラフィックを継続的に可視化する方法を見つける必要があります。トラフィックの可視化が必要とされる主な理由は、次のとおりです。

  • コンプライアンスとセキュリティの要件に準拠していることを実証する
  • ライブ トラフィックの代行受信と記録が義務付けられている場合に、これらの処理を行う
  • 確実にサービス レベル契約(SLA)を満たし、必要に応じて是正措置を実行できるように実用的なデータを提供する

ネットワーク トラフィック可視性における従来のアプローチでは、モニタリング ツールや分析ツールが接続された専用のマトリックス ネットワークを使用して、ネットワーク タップおよび SPAN データを集約していました。図 1 に、ネットワーク トラフィック モニタリングの従来型アプローチを示します。

図 1.     ネットワーク トラフィック モニタリングの従来型アプローチ



従来のアプローチは次の 3 つの基本的課題を抱えています。

  • 今日のビジネス要件を満たすのに必要な可視性を提供できるように拡張するには、非常にコストがかかります。
  • 専用のスイッチは、事前定義のフィルタリング ルールとフォワーディング ルールで静的にプログラミングされるため、イベントベースの方法でトラフィック可視性をリアルタイムで提供できません。この制約により、カバレッジ エリアが増えると応答所要時間が長くなります。
  • 特定のデータセンターに特有のトラフィック パターンに対する可視性がますます必要になっているため、サードパーティ製ツールでは十分なカバレッジを提供できず、カバレッジに隙間が生じます。

Cisco® のソリューションは、Cisco Nexus 3000 シリーズ スイッチと Cisco Nexus Data Broker ソフトウェアという 2 つの要素で構成されています。互換性のあるスイッチは次のとおりです。

  • Cisco Nexus 3000 シリーズ
  • Cisco Nexus 3100 プラットフォーム
  • Cisco Nexus 3500 シリーズ

Cisco Nexus 3000 シリーズ スイッチは、その柔軟なポート オプション(1、10、40 Gbps)と手頃な価格により選ばれています。金融、高等教育、企業、サービス プロバイダーといった分野のお客様が、Cisco Nexus Data Broker を導入しています。

このソリューションには、主に次のようなメリットがあります。

  • 従来のアプローチに比べ、設備投資(CapEx)を大幅に削減
  • モニタリング ツールと分析ツールの効率的な利用
  • より迅速なトラブルシューティング

シスコのソリューションには柔軟性があり、お客様は Cisco Nexus 3000 シリーズ スイッチで集中型導入オプションまたはスイッチ組み込み型導入オプションを使用できます。

さまざまな市場セグメントのお客様の導入事例から、このソリューションの活用方法と、得られるメリットを知ることができます。次の導入事例を取り上げます。

  • 金融分野の大規模なお客様による Web ベース GUI 管理機能を使用した集中型導入
  • 金融分野の大規模なお客様による Representational State Transfer(REST)API 管理機能を使用した集中型導入
  • 大規模企業のお客様による複数データセンターでのスライスを使用した集中型導入
  • 公的機関のお客様による複数のデータセンター間での Web ベース GUI 管理機能を使用した組み込み型導入
  • 大規模企業のお客様による品質保証テストのための集中型導入

金融分野の大規模なお客様による Web ベース GUI 管理機能を使用した集中型導入

ある金融セクターのお客様は、アプリケーション パフォーマンス測定、ネットワーク セキュリティ、およびネットワークのトラブルシューティングの目的で、従来型のネットワーク パケット ブローカ ソリューションを使用してネットワーク トラフィックをモニタリングしていました。この従来型アプローチの主な短所は、ソリューションのコストが高く、導入における柔軟性が欠けていることでした。このため、可視性は得られず、トラブルシューティング作業に時間がかかっていました。このお客様は、このような課題を克服し、トラブルシューティングにかかる時間を短縮できる代替ソリューションを求めていました。

このお客様は、Cisco Nexus 3100 プラットフォーム スイッチと Cisco Nexus Data Broker を使用して、ネットワーク トラフィックのキャプチャとモニタリングのニーズに対応する 2 階層の SPAN アグリゲーション トポロジを構築しました。このお客様の実稼働導入では、モニタリング ツールのトラフィック フィルタリング、アグリゲーション、転送の各ポリシーを管理するために、個別の Linux 仮想マシンに Cisco Nexus Data Broker を導入しています(集中型オプション)。図 2 に、このシナリオにおける Cisco Nexus Data Broker の導入アーキテクチャを示します。

図 2.    金融分野の大規模なお客様による Web ベース GUI 管理機能を使用した集中型導入



この導入アーキテクチャでは、お客様が各 top-of-rack(ToR)実稼働スイッチから Cisco Nexus 3172 スイッチへの SPAN インスタンスを 1 つ以上セットアップしました。スニファ ツールもこれらの Cisco Nexus 3172 スイッチに接続しました。Cisco Nexus 3172 スイッチ間でトラフィックを転送するため、Cisco Nexus 3132 がアグリゲーション スイッチとして使用されました。お客様は Cisco Nexus Data Broker Web GUI を使用して、レイヤ 1 からレイヤ 4 のヘッダー情報に基づいてトラフィックをマッチングし、ユーザからの要求に応じて一致したトラフィックを 1 つ以上のモニタリング ツールに転送するためのポリシーを設定することができました。また、送信元 SPAN ポートと特定のサービス トラフィックを識別するように VLAN タギングを柔軟に設定することもできました。

この新しいモニタリング インフラストラクチャにより、お客様は主に次のようなメリットを実現しました。

  • CapEx の削減と、よりシンプルでコスト効率の高いモニタリング スイッチ
  • ポートの使用率が向上したため分析ツールを効率的に利用
  • デバイスを柔軟に配置できるため、機能が改善
  • トラブルシューティングとセットアップを迅速化し、プロセスにかかる時間が日単位から分単位へ短縮

金融分野の大規模なお客様による REST API 管理機能を使用した集中型導入

金融分野の別のお客様は、従来型のパケット ブローカ ソリューションを使用していましたが、プログラミング オプションがないために、トラフィックをフィルタリングしてモニタリング ツールに転送する処理を自動化できませんでした。このお客様は、必要となるオーバーヘッドを削減し、アプリケーション パフォーマンス モニタリングの優れたインフラストラクチャを実装するための代替アプローチを検討していました。また、複数のデータセンターを管理できるソリューションも求めていました。

このお客様は、タップおよび SPAN アグリゲーションのために、各データセンターに Cisco Nexus 3064 スイッチを 4 台導入することにしました。この 4 台の Cisco Nexus スイッチは相互接続され、トラフ

図 3.     Cisco Nexus Data Broker の導入アーキテクチャ



Cisco Nexus Data Broker REST API インフラストラクチャでは、GUI と同じ機能をすべて実行できます。この REST API アプローチを使用することで、オン デマンドまたはイベント ベースでトラフィックのフィルタリング、複製、およびモニタリング ツールへの転送を自動化できるようになりました。また、REST API は設定に役立つだけでなく、統計情報の照会にも使用できます。

お客様は主に次のようなメリットを実現しました。

  • ネットワーク トラフィック モニタリング インフラストラクチャを完全に自動化
  • 必要に応じてトラフィックを専用のモニタリング ソリューションに送信できるため、分析ツールを効率的に使用できる
  • トラブルシューティングとセットアップを迅速化し、プロセスにかかる時間が日単位から分単位へ短縮

大規模企業のお客様による複数データセンターでのスライスを使用した集中型導入

ある大規模企業のお客様は、複数のデータセンターにわたって従来型のネットワーク パケット ブローカ ソリューションを使用していましたが、このソリューションにはシステムを一元的に管理する機能がありませんでした。従来型のパケット ブローカ アプローチはコストが高い上に、トラフィック転送ポリシーを設定するには複数のシステム間を移動しなければならず、管理が煩雑でした。

Cisco Nexus Data Broker の特長の 1 つは、複数の個別タップおよび SPAN アグリゲーション ネットワークを中央インスタンスから管理できることです。これらの個別インスタンスが複数のデータセンターに分散していても管理可能です。シスコの企業や官公庁のお客様の多くは、この機能を使用することで、複数のシステムが分散していてもすべて 1 つのツールから管理できています。図 4 に、このお客様のデータセンターにおける導入アーキテクチャを示します。

図 4.    大規模企業のお客様による複数データセンターでのスライスを使用した集中型導入



この導入アーキテクチャでは、各データセンターで 4 〜 6 台の Cisco Nexus 3000 シリーズ スイッチまたは 3100 プラットフォーム スイッチが使用されます。Cisco Nexus Data Broker により、各サイトにネットワーク スライスと呼ばれる論理パーティションを関連付けることができます。1 つの Cisco Nexus Data Broker インスタンスで複数のネットワーク スライスを管理できます。各ネットワーク スライスには、専用のフィルタリング ポリシーと転送ポリシー、統計収集、およびアクセスのためのユーザ ロールベース アクセス コントロール(RBAC)を設定できます。このオプションは、複数のロケーションを持ち、IT 部門は中央にある大企業に適しています。このアーキテクチャを実装する際の唯一の主な要件は、Cisco Nexus Data Broker ソフトウェアとの通信のために、サイト間で信頼性の高いレイヤ 3 接続が確立されていることです。

お客様は主に次のようなメリットを実現しました。

  • すべてのトラフィック モニタリング ネットワークの一元的な管理
  • RBAC 機能を使用し、限定されたインスタンスにローカルでアクセスする権限のユーザへの付与
  • 大幅な CapEx の削減

公的機関のお客様による複数のデータセンター間での Web ベース GUI 管理機能を使用した組み込み型導入

ある公的機関セグメントのお客様は、小規模なコロケーション施設のタップおよび SPAN アグリゲーション ネットワークを構築するためにコスト効率の高いオプションを探していました。このお客様の主な要件は、管理がシンプルなソリューションで、ローカル チームに制御を付与できる機能を搭載しており、コスト効率が高いことでした。

Cisco Nexus Data Broker には、このお客様の条件をすべて満たす組み込み型導入モデルがあります。この導入環境では、Cisco Nexus 3000 シリーズ スイッチの Cisco NX-OS ソフトウェアの Linux コンテナ内で Cisco Nexus Data Broker ソフトウェアがネイティブに実行されます。図 5 に、組み込み型モデルの導入アーキテクチャを示します。

図 5.    公的機関のお客様による複数のデータセンター間での Web ベース GUI 管理機能を使用した組み込み型導入



このお客様はこの導入環境で、Cisco Nexus Data Broker 組み込み型オプションと Cisco Nexus 3064 スイッチを採用しました。Cisco Nexus 3064 は 48 個の 10 Gbps ポートと 4 個の 40 Gbps ポートを備えています。このモデルのポート密度により、お客様がコロケーション施設で使用する予定のタップおよび SPAN インスタンスの数に対応することができました。複数スイッチの導入が必ずしも必要ではない小規模なコロケーション環境では、組み込み型オプションは最適です。この場合、お客様が Cisco Nexus スイッチ自体にソフトウェアをインストールし、GUI または REST API からフィルタリング ポリシーと転送ポリシーを管理できます。組み込み型導入オプションにより、オープン仮想アプライアンス(OVA)がダウンロードされ、スイッチの Linux コンテナにインストールされます。このオプションには、クラスタリング、高可用性、タップおよび SPAN アグリゲーション トポロジでの複数スイッチの管理を除き、集中型導入の事例の場合と同じ機能がすべて含まれています。

お客様は主に次のようなメリットを実現しました。

  • シンプルで、柔軟かつ迅速な導入
  • 従来のソリューションに比べて CapEx が大幅に削減
  • 堅牢な GUI と REST API ですべての設定が可能
  • 小規模環境に適したサイジング

大規模企業のお客様による品質保証テストのための集中型導入

ある大規模企業のお客様は、自動化された大規模な QA オートメーション環境を構築したいと考えていました。従来のソリューションではコストが高く、この環境の高いポート密度の要件にも対応できませんでした。

お客様は、Cisco Nexus 3000 シリーズ スイッチを使用することで 3 階層のトポロジを構築できました。このトポロジでは、任意のテスト トラフィック生成システムからネットワーク経由で 1 つ以上のテスト対象へトラフィックを送信できます。図 6 に、このソリューションの導入アーキテクチャを示します。


図 6.    大規模企業のお客様による品質保証テストのための集中型導入


この導入環境では、Cisco Nexus 3016、3064、および 3048 スイッチを組み合わせて、テスト自動化環境を構築しました。3 階層トポロジでは、お客様がテスト トラフィック ジェネレータから任意のエンド ホストにトラフィックを移動することが可能になりました。トラフィックをネットワーク上の異なる部分に送信する必要が生じるたびにネットワーク全体を配線し直すのではなく、Cisco Nexus Data Broker の転送ポリシーを使用してトラフィックをエンド ホストに送信しました。このアプローチにより、すべての QA テストが実質的に自動化されたため、お客様はいつでも必要な時点で、ほぼ中断がない状態でテストを実行できるようになりました。

お客様は主に次のようなメリットを実現しました。

  • 従来のソリューションに比べて CapEx が大幅に削減能
  • スイッチのポート密度が高く効率的な使用が可能能
  • 堅牢な GUI と REST API ですべての設定が可能能
  • QA テストのための組み込みの自動化機能

まとめ

各環境で最も効率的にネットワークをモニタリングするために Cisco Nexus Data Broker を導入する方法はさまざまです。導入によっては、企業の市場セグメントと、モニタリング対象ネットワークの規模にも依存します。Cisco Nexus Data Broker は、1 台のスイッチだけで構成される小規模な組み込み型導入から、異なる場所にある複数のデータセンターにわたる集中型導入まで、さまざまなオプションを備えた非常にスケーラブルなソリューションです。この柔軟性により、Cisco Nexus Data Broker をご利用のお客様は、コスト効率の高い価格でネットワークのあらゆる部分を自動的にモニタリングできます。


関連情報