Cisco NetFlow Generation 3000 シリーズ アプライアンス

Cisco NetFlow Generation Appliance:データセンターにおけるネットワーク可視化の再定義

ホワイト ペーパー





Cisco NetFlow Generation Appliance:データセンターにおけるネットワーク可視化の再定義




このドキュメントの内容


近年のデータセンターは、新世代のアプリケーション、サービスの配信ソリューション、およびホスティング モデルを通じてビジネスを促進します。アプリケーションの数は増加し続けており、アプリケーション アーキテクチャはますます複雑になり、ワークロードは変動しやすく、トラフィック パターンの予測が難しくなってきています。仮想化、クラウド コンピューティング、高性能コンピューティング、データ ウェアハウス、ディザスタ リカバリ戦略、および現在の環境で広がっている他の要因により、データセンターにおけるより詳細なトラフィック可視化に対してまったく新しい要件が発生しています。また、現在のデータセンターは、ネットワークおよびアプリケーション配信の管理、ビジネスの継続性の確保、および障害発生が収益源に与える影響を削減するための、新しい手法やベスト プラクティスも必要としています。Cisco® NetFlow Generation Appliance(NGA)は次のような課題への取り組みを支援します。

管理の課題


データセンターの複雑化により、IT 管理者には数多くの課題が突きつけられています。

  • セキュリティ:ネットワーク セキュリティ攻撃を検出して阻止し、ビジネス資産を保護できるか。
  • 課金:効率的に利益を上げるネットワーク リソースの使用を、どのように完全に数値化するか。
  • トラブルシューティング:確約したサービス レベルの提供に必要なネットワーク リソースをビジネスに不可欠なアプリケーションが得ているか。重要ではないアプリケーションのリソースで競合が発生し、ビジネス アプリケーションに影響を与えているか。
  • 容量計画:ネットワーク負荷を十分に把握し、確実に拡大に向けた計画を行えるか。IT 投資を調整して、ビジネス目標を効果的にサポートできるか。
  • リソース最適化:ネットワーク リソースの効率的な使用を確実にできるよう、物理および仮想マシンのネットワーク トラフィックの傾向を十分に把握しているか。どのようにワークロードのモビリティを効率的にサポートし、ハイブリッド クラウドの導入を活用するか。
  • 運用:ネットワーク デバイスのパフォーマンスに影響を与えずに、どのようにフローを 100 % 可視化できるか。ネットワークを再構成せずに、どのように複数のネットワーク セグメント間でエンドツーエンドの可視化を実現できるか。

ソリューション:Cisco NetFlow Generation Appliance によるクロスデバイス アプローチでフローを解析


Cisco NGA はクロスデバイス アプローチをフロー分析に導入し、複数のネットワーク セグメント間におけるホップバイホップのフローの可視性を高めます。この可視性は、スイッチド ポート アナライザ(SPAN)またはネットワーク タップを使用して、Cisco NGA を Cisco Nexus® 7000 や 5000 シリーズ スイッチ、および Cisco Catalyst® 6500 シリーズ スイッチなどの複数のネットワーク デバイスに接続し、関心のあるトラフィックのフロー情報をエクスポートすることによって実現します。このソリューションは、運用効率を向上させ、投資回収率(ROI)を改善し、ネットワーク セキュリティを強化します。

Cisco NGA の概要


Cisco NetFlow Generation Appliance(NGA)3140(図 1)はネットワーク可視化の定義を変えます。フローの可視化を実現する高性能でコスト効率の高いこのソリューションは、新たな基準を確立します。Cisco NGA により、ネットワークに関して実際にビジネスに活かせる見識がネットワークおよびセキュリティ管理者に提供され、リソース最適化、アプリケーション パフォーマンス改善、トラフィック アカウンティング、およびセキュリティの適用に役立てることができます。

図 1 Cisco NGA 3140

図 1 Cisco NGA 3140


フロー可視化を実現する高パフォーマンスのアーキテクチャ

Cisco NGA は、多くのデータセンターおよびキャンパス コア展開で一般的な高スループットのギガビット イーサネット ネットワークにおけるフローを可視化するための、専用設計の高パフォーマンスなソリューションです。運用管理を簡素化するために、アプライアンスをサーバ アクセス レイヤ、ファブリック パス ドメイン、およびインターネット エクスチェンジ ポイントなどの重要な観察ポイントに展開できます。ホップバイホップでのフロー、セキュリティの必要性、容量計画、トラブルシューティングを分析するために NGA を複数のネットワーク デバイスに接続すれば、可視化の威力が飛躍的に向上します。

高パフォーマンスおよび展開の柔軟性に対応した設計により、このアプライアンスは SPAN およびネットワーク タップを使用して、Cisco Nexus 7000 や 5000 シリーズ スイッチおよび Cisco Catalyst 6500 シリーズ スイッチなどのプラットフォームからネットワーク データを収集します。大規模なアクティブ フロー キャッシュを実装しており、NetFlow レコード(NetFlow バージョン 5、9、Internet Protocol Flow Information Export(IPFIX))を複数のコレクタにエクスポートするように設定できます。NetFlow データ エクスポート(NDE)レコードは、コレクタ間でのロード バランシングまたはフロー レプリケーションを実現するため、重みづけラウンド ロビン(WRR)を使用してエクスポートされます。また、特定の管理アプリケーションのニーズを満たすために、宛先あたり 10 フィルタを使用してエクスポートをカスタマイズすることができます(図 2)。

図 2 Cisco NGA ソリューションのアーキテクチャ

図 2 Cisco NGA ソリューションのアーキテクチャ


主な利点


ネットワーク ROI の向上

Cisco NGA は、スイッチングとネットワーク リソースの両方の効率的な使用と収益化の向上に役立ちます。NetFlow 生成機能をネットワーク デバイスからオフロードし、転送パフォーマンスの向上のために CPU サイクルを使用するオプションを提供します。さらに、ネットワーク使用状況の正確な評価により、ビジネス ニーズをサポートするための実際のネットワーク リソースの規模を評価できます。この情報は、効率的な収益化のために IT によって実装される課金またはチャージバック用のメカニズムの基礎にもなります。

運用効率の向上

Cisco NGA により、ネットワーク内の異なる観察ポイント間のフローの可視性を組み合わせて、パフォーマンスの問題の解決にかかる時間を大幅に短縮できます。この機能は、特にレイヤ 2 ネットワークにおけるネットワークのボトルネックおよびパフォーマンスに影響を与える動作の特定に効果を発揮します。たとえば、Cisco NGA は、複数のアクセス スイッチとサーバ アクセス VLAN の可視性、およびファイアウォールやネットワーク アドレス変換(NAT)などのネットワーク サービスの実装前後のフローの比較に使用できます。可視化はトラブルシューティングだけではなく、ネットワーク サービス ポリシーの検証にも役立ちます。つまり、ファイアウォールがフローをドロップし、アプリケーションのパフォーマンスに影響を与えている可能性がある場合、インシデントを切り分けます。

図 3 デバイス間のフロー可視性

図 3 デバイス間のフロー可視性


最大 6 つの異なる用途の管理アプリケーションであるコレクタにおけるフロー可視化に同じソースを使用することにより、運用設計の効率も向上します。エクスポートは、複数のコレクタ間で WRR を使用して複製またはロード バランシングされ、宛先ごとにフィルタを適用して特定のアプリケーションのニーズに応じることができます。たとえば、セキュリティ アプリケーションではすべてのフローの可視化が必要ですが、ネットワークのトラブルシューティングでは、特定のアプリケーションのトラフィック フローの可視化が必要になると考えられます。

ネットワーク セキュリティの強化

ネットワークへの脅威は、Cisco NGA の最も強力な使用例の 1 つです。Cisco NGA はすべてのフローを可視化し、問題があると思われるネットワークの動作を検出および分析できるようにマルチホップ フロー情報を提供します。

管理の課題に対処するための Cisco NGA の導入


Cisco NGA は、展開に関する柔軟性を提供するため、幅広い使用例が可能になり、データセンターの管理が容易になります。一般的な使用例は次のとおりです。

  • サーバ アクセス ネットワーク トラフィックのプロファイリング
  • Cisco FabricPath ドメイン間のトラフィックの評価
  • Oracle、FTP、Microsoft Exchange、Citrix Remote Desktop、および Common Internet File Service(CIFS)トラフィックなど、ホステッド アプリケーション トラフィックの可視化
  • アプリケーション パフォーマンスのトラブルシューティング
  • 容量計画
  • Quality Of Service(QoS)モニタリングおよび検証
  • トラフィックの動作の可視性による、サイバー脅威の検出
  • Small Computer System Interface over IP(iSCSI)、Network File System(NFS)、Fibre Channel over Ethernet(FCoE)、Serial Attached SCSI(SAS)など、IP ストレージのトラフィック使用率
  • 仮想サーバ環境での仮想マシン間の通信
  • インターネット エクスチェンジ ポイント(IXP)間のピアリング トラフィックの評価
  • ボーダー ゲートウェイ プロトコル(BGP)トラフィックのモニタリング

一部の使用例の詳細については、次のサンプル導入トポロジで説明します。

導入シナリオ 1:Cisco FabricPath ドメイン間での可視性

Cisco FabricPath は、レイヤ 2 にルーティングの安定性とスケーラビリティをもたらす、Cisco NX-OS ソフトウェアに組み込まれた画期的な機能です。スイッチに接続されるドメインのセグメント化が不要であり、データセンター全体でのワークロードのモビリティを実現します。レイヤ 2 ドメインの拡張性とともに、これはドメイン間でのトラフィック フローのエンドツーエンドでの可視化に非常に重要です。この可視性により、仮想マシンのネットワーク トラフィック、サーバ アクセス VLAN、およびワークロードのモビリティを包括的に把握し、Cisco FabricPath ドメインを容易に管理することができます(図 4 および 5)。

図 4 SPAN を使用したデータセンターでの Cisco NGA 導入

図 4 SPAN を使用したデータセンターでの Cisco NGA 導入
※画像をクリックすると、大きな画面で表示されますpopup_icon


図 5 ネットワーク タップを使用したデータセンターでの Cisco NGA 導入

図 5 ネットワーク タップを使用したデータセンターでの Cisco NGA 導入
※画像をクリックすると、大きな画面で表示されますpopup_icon


導入シナリオ 2:サーバ アクセス ネットワーク トラフィックのプロファイリング

近年のデータセンターでのコンピューティング インフラストラクチャ(仮想または物理)の密度増加、ワークロードのモビリティおよび VLAN の普及に伴う課題の 1 つに、サーバ アクセス ネットワーク トラフィックの評価があります。この評価では、ネットワークで実行中のアプリケーションは何か、誰がそのアプリケーションを使用しているか、使用している帯域幅の量はどのぐらいか、どの仮想マシンまたはホストがネットワーク上にトラフィックをもたらしているかなどを把握します。Cisco NGA を複数の Cisco Nexus 5000 シリーズ スイッチと組み合わせてサーバ アクセス レイヤに導入し、ネットワーク リソースの最適な使用に必要な可視化を実現することができます。Cisco NGA は、特定のアプリケーション、仮想マシン、ホスト、および VLAN によるトラフィックの動作のプロファイルに役立ちます(図 6)。

図 6 サーバ アクセス ネットワーク トラフィックをプロファイリングするための Cisco NGA 導入

図 6 サーバ アクセス ネットワーク トラフィックをプロファイリングするための Cisco NGA 導入
※画像をクリックすると、大きな画面で表示されますpopup_icon


導入シナリオ 3:中小企業のデータセンターでの中規模の仮想マシン、スイッチ、およびストレージ リソース間での可視性

中小企業(SMB)のデータセンターでは、Cisco NGA のデバイス間フロー可視性を使用して、レイヤ 2 およびレイヤ 3 ドメイン全体を可視化することができます。ネットワークおよびセキュリティ管理者は、ホップバイホップでアクセス スイッチからストレージまでのフローをトレースする、またはネットワーク サービス間のフローをフォローすることができます。可視性は、IP ストレージのトラフィック使用率および容量計画、ネットワーク トラフィック上のワークロードのモビリティの効果評価、およびサーバ アクセス レイヤにおけるパフォーマンスの問題のトラブルシューティングなど、複数の使用例をサポートしています(図 7)。

図 7 SMB データセンターでの Cisco NGA 導入

図 7 SMB データセンターでの Cisco NGA 導入
※画像をクリックすると、大きな画面で表示されますpopup_icon


導入シナリオ 4:ファイアウォール ポリシーの検証

クロスデバイス アプローチをフロー可視性に適用することにより、Cisco NGA はファイアウォールなどのネットワーク サービスの使用前後のフロー可視化にも使用できます(図 8)。アプリケーション パフォーマンスのトラブルシューティングの使用例での一般的な手順として、ファイアウォールが特定のフローをドロップしており、サービスの可用性に影響を与えているかどうかを検証します。同様に、ファイアウォールに適用したネットワーク ポリシーは、可視化に Cisco NGA を使用してトラフィックの動作を観察することにより検証できます。

図 8 ファイアウォール ポリシーを検証するための Cisco NGA 導入

図 8 ファイアウォール ポリシーを検証するための Cisco NGA 導入


レポートおよび管理


企業向け Cisco Prime ソリューションは、IT 部門によるネットワーク管理とサービスの提供をより効率的に行うための管理製品ポートフォリオであると同時に、革新的な戦略でもあります。Cisco Prime ソリューションは、ネットワーク サービス管理基盤や共通属性の上に構築され、シスコのアーキテクチャ、テクノロジーおよびネットワーク全体において、直感的なワークフロー指向のユーザ エクスペリエンスを提供します。Cisco Prime ソリューションは、ネットワーク管理の簡素化、運用効率の向上、エラーの削減に貢献し、ネットワーク サービスの提供をより予測可能なものにします。

Cisco NGA は標準の NetFlow(NetFlow バージョン 5 および 9 および IPFIX)エクスポートをサポートしています。これらのフォーマットをサポートしている任意の NetFlow コレクタを、Cisco NGA がエクスポートする NetFlow データの表示に使用できます。

Cisco Prime Assurance Manager による統合管理ソリューション

Cisco Prime Assurance Manager は Cisco Prime ファミリの製品であり、中央集中型のサービス保証管理インターフェイスを提供します。Cisco Prime Assurance Manager は、Cisco Prime Network Analysis Module(NAM)および NetFlow、NBAR、Medianet、簡易ネットワーク管理プロトコル(SNMP)、パフォーマンス エージェントなどシスコ ネットワークで使用可能な組み込み管理機能を使用して、データセンターからブランチ オフィスまでエンドツーエンドの運用の可視性を提供します(図 8)。NetFlow 分析のカスタマイズ可能な、あらかじめパッケージされているダッシュボードが提供されています。Cisco NGA は、Cisco Prime Assurance Manager 展開のフロー情報のソースとして導入できます(図 9)。

図 9 Cisco Prime Assurance Manager による統合管理

図 9 Cisco Prime Assurance Manager による統合管理


図 10 Cisco Prime Assurance Manager サイト モニタリング ダッシュボード

図 10 Cisco Prime Assurance Manager サイト モニタリング ダッシュボード
※画像をクリックすると、大きな画面で表示されますpopup_icon


まとめ


Cisco NGA はネットワーク可視化の定義を変え、フローの可視化を実現する高性能でコスト効率の高いソリューションとして、新たな基準を確立します。この製品は、クロスデバイス アプローチをフロー可視性に導入し、複数のネットワーク セグメント間のフローを容易にホップバイホップ分析できるようにします。Cisco NGA は、ネットワーク デバイスの転送パフォーマンスに影響を与えずに 100 % の精度を実現します。その結果、セキュリティ、原因究明、課金、トラブルシューティング、容量計画など、広範な活用が可能になります。

Cisco NGA により、ネットワークに関して実際にビジネスに活かせる見識がネットワークおよびセキュリティ管理者に提供され、リソース最適化、アプリケーション パフォーマンス改善、トラフィック アカウンティング、およびセキュリティの適用に役立てることができます。Cisco NGA は、エクスポート フロー情報に標準の NetFlow 形式をサポートしており、既存の NetFlow レポーティング ソリューションとの相互運用性を実現します。Cisco Prime Assurance Manager と組み合わせて使用することにより、データセンター向けの統合型トラフィック モニタリング ソリューションを提供します。

関連情報


http://www.cisco.com/web/JP/product/hs/netmgt/nga/index.html を参照してください。

付録


アグリゲーションおよびアクセス レイヤの可視性を設定する手順

ステップ 1. Cisco Nexus 5000 シリーズ スイッチ上の ERSPAN および Cisco Nexus 7000 シリーズ スイッチを指す宛先を設定します。

ステップ 2. Cisco Nexus 7000 シリーズ スイッチ上の EPSPAN 終端を設定します。

ステップ 3. Cisco Nexus 7000 シリーズ スイッチ上の SPAN を設定し、Cisco NGA を指し示すようにします。

ステップ 4. (Cisco Nexus 7000 シリーズのみ):ソース スイッチから宛先に RSPAN を設定します。

.