スイッチ

スイッチ管理の移行 ポリシー・ベースのイントラネット・サービス

Hierarchical Navigation
Nihon Cisco Products & Ordering
Catalyst 5000/5500シリーズ

スイッチ管理の移行 ポリシー・ベースのイントラネット・サービス

過去3年間にわたり、キャンパス規模のスイッチネットワークが早々と採用されたことで、ネットワークをどのように管理べきかということに大きく変わってきました。CiscoFusionアーキテクチャに不可欠な部分として、Ciscoは、このネットワークの変化に応じ、インテリジェント・デバイス・・ぢエージェントにスイッチ管理アプリケーションの総合的な機能を提供することで管理に対する要求に応えてきました。Ciscoのスイッチ管理機能が提供することはは、物理レイヤと論理レイヤの両方において正確なトポロジを見つけ、そして表示を行い、異なるバックボーン・タイプ間でのバーチャルLAN(VLAN)セットアップや構成の自動化、非同期転送モード(ATM)の分析、Catalystスイッチ内とバックボーン間でのトラフィックの収集、分析の機能があります。

これらスイッチ管理のソリューションは、Fast Ethernetバックボーン間のトラフィックの流れを把握して、ATMスイッチ間のスイッチド・バーチャル・コネクション(SVC)をトレースするなど、あるキャンパス間での複数のVLANをセットアップするというような特定の目的を管理するには大変価値あるものです。これらのツールの中心となる部分には、SNMPでの管理の容易さ、トラフィック・データを収集するRMON、VLANセットアップを自動化するバーチャル・トランキング・プロトコル(VTP)、そして物理トポロジを構築するCiscoディスカバリ・プロトコル(CDP)を提供するインテリジェント・デバイス・エージントがあります。

ビジネス目的と一致したスイッチ管理

今日多くの企業では、日常の業務を行う上でさまざまなイントラネットを使っています。そのイントラネット・サービスが急速に広まったことに伴って、キャンパス環境でのネットワークに対する依存度が高まってきています。企業においては、一般的な例ではワイヤ・スピードのパフォーマンス、ネットワーク高可用性、高いセキュリティレベルといった、明確なビジネス目的にそってイントラネット・サービスを定義付け、監視、管理をする必要があります。スイッチ管理アプリケーションとそれに関連するエージェントの技術が、ネットワーク・オペレーションを維持することが非常に大切であることではありますが、ネットワーク管理者は組織のビジネス目的を直接は取り組んでいません。そのため、基礎となるネットワーク・インフラストラクチャへのビジネス上の要求と、スタッフが既存のネットワーク管理アプリケーションを使って日常的に行っているネットワーク管理のやり方の間にギャップが生じるわけです。

この場合、ビジネス・ゴールは、生産性の向上、低コスト、信頼性とパフォーマンスの改善といった企業のボトムラインに作用するようなネットワーク管理を目標に変更する必要があります。こうしてビジネス目標がネットワーク管理目標にリンクすることで、ネットワーク管理組織での管理サービスの共通の方向性を作り出せます。これらのビジネスとネットワーク管理目標との関係には以下のようなものがあります。

  • キャンパスの管理室のある建物へ接続してくるモーバイル・ユーザのためのネットワーク・アクセス制御
  • 営業の締め日に、銀行へアクセスできる複数の冗長経路とワイヤスピード・パフォーマンス

    ポリシー・ベース管理の概念

    ビジネス上とオペレーション上の目標を合わせたネットワークを効果的に管理するには、ポリシーとプロシージャを、ネットワークを管理する組織がそれに基づいて行動できるポリシーベースの管理アプリケーションを用いて定義する必要があります。ポリシーに基づく行動は、ポリシーの設定に合わないネットワーク変更がどこにあったのかを簡単にレポートすることができるか、自動的にネットワークをいつでも使える状態に回復させることができます。ポリシー・ベース管理のフレームワークは、一般的には中央集中のモニタリングとレポートのシステム、そしてポリシーに基づいた分散管理サーバを必要としています。この分散管理サーバは、中央で処理されているどんなポリシーの変更に対しても、またはネットワーク内に見つけられたどんなオペレーション上の変更に対してもリアルタイム・オペレーショナル・モードで機能します(図1参照)。スイッチ管理という状況におけるこのオペレーション上の変更には、認識されていないホスト・ステーションからのネットワークへのアクセス拒否やサービスのプライオリティに基づくトラフィックの再構成、また、ネットワークに新しく追加されたスイッチへの共通の構成ファイルのダウンロードなどがあります。

    図1:CWSI (CiscoWorks for Switched Internetworks) --- スイッチングネットワークのために管理アプリケーション

    このポリシー・ベース管理の方法は、(ビジネス目標には一切関係なく)自主的に管理されているネットワーク内の個々のデバイスの管理から、より体系化された方法へ焦点を切替ます。まず、ネットワークは企業全体のブロード・ベースのユーザ間に均一にサービスを提供する全体として扱われます。ポリシー・ベース管理は、インターネットワーキング・デバイスをそれぞれ構成しコントロールする事務的負担を少なくして、より効率をよくします。ポリシーをコントロールすることで、これに一致しないものを排除し、より信頼性の高い構成が得られます。ネットワークがビジネス展望から得られたサービスを提供するよう改善されるので、パフォーマンスは十分に良くなります。そしてしっかりと定義されたポリシーと別のロケーションからのネットワークへのアクセスを認めるセキュリティ機能のおかげでセキュリティもさらに高くなります。

    ポリシー・ベース管理フレームワーク

    ポリシー・ベース管理の利点は、概念的には明らかです。しかしながら、組織の必要性に合わせたポリシーや、これらのポリシーにそって見つけだし変更する管理の基礎構造を定義するのは、技術的には至難のわざです。この価値のある仕事に取り組むキーとなるのは、デバイス・エージェントのテクノロジから、アプリケーション管理とポリシー・ベースの管理フレームワークの範囲で変化する総合的なサービスを提供するしっかりしたネットワーク管理のインフラストラクチャをもつことです。これには、ネットワークへ自動的に変更点を設定することができる管理サーバがあります。

    Ciscoは、企業内でビジネス目標のネットワーク管理に関係するオペレーション上の作業の切替の重要性を良く理解しています。このシナリオには、いろいろある管理機能に必要なデータを収集する管理アプリケーションそのものと共にトラフィック探知のためのRMONやキャンパス環境拡張でのVTP、自動化されたVLANセットアップ、管理するデバイスのロケーションを知るためのCDPなど、今あるたくさんのネットワーク管理テクノロジに影響を及ぼす管理フレームワークが必要です。これらのテクノロジは、ポリシー・ベース管理フレームワークの一部のデータ・コレクションや構成要素として影響を与えられます。

    図2で示すとおり、このフレームワークはまとめると以下のようになります。

  • Ciscoですでに存在するエージェント・テクノロジ。
  • 既に開発済みの特定の管理業務をハンドリングするための管理アプリケーション。
  • 発見やトポロジ表示、ネットワーク管理データのデータベース蓄積、ネットワーク内の適切なデバイスへの変更を行うポリシー管理サーバーなどの共通の管理サービス。
    よくある管理サービスの一部として、ポリシー・ベース管理サービスは、ネットワークを管理し個々の管理機能をもっと簡単にまとめるためのポリシーを定義する、グラフィカル・フロント・エンドを提供しています。

    Ciscoは、これから7年間にわたって進行中の企業規模の管理イニシアティブの一部として安定したネットワークサービスを提供するポリシーを開発、リリースする予定です。Ciscoは、特に、ポリシー・ベース管理フレームワークの中心となる3つの分野、つまりネットワーク・パフォーマンス、可用性、セキュリティの改善のための管理サービスを提供しようとしています。表1にいくつかの重要なポリシー・ベース管理の機能を挙げます。これらは特にスイッチ・ネットワークのもので、安定したネットワーク・サービスを提供します。

    これ以降このホワイト・ペーパーでは、ポリシー・ベース管理の機能のいくつかについて詳しく説明します。これらは、今から半年から1年以内にCiscoのスイッチ管理製品の重要な一部として追加できるよう、現在開発中です。

    図2:CWSIソフトウェア構成要素

    キャンパス規模でのVLAN認証

    Ciscoの5段階のVLANロードマップに一致するように、Ciscoはネットワーク内のエンドステーションのロケーションに関係なくエンドステーションのVLANへの認証ができるポリシー・ベース管理ソリューションを開発しました。この認証は、ユーザが新しいスイッチ・ポートへ移動したときにネットワーク・アドミニストレータやオぺレーターの介入がなくても自動的に行われます。このダイナミックVLANポート構成の機能は、キャンパス内でのユーザの稼動性(これらの動きに関連する事務的作業の浪費を最小限にする)と、ステーションが存在するポートから転送してくるどのデータより先にエンド・ステーションを認証するためのセキュリティの両方の必要性を取り扱います。

    このソリューションに不可欠なのは、運用中のVLANサービスにどんなトラブルがあっても、キャンパス間のVLANをセットアップできることです。ほとんどの企業の場合、このセットアップには異なるバックボーン・タイプ(つまり、Fast EthernetとATM)間でのVLANトラッキングとVLANマッピング、VLAN同士のレイヤ3ルーティング(トラッキングも同時に)、VLAN毎のスパンニング・ツリーの計算、そしてVLANのパフォーマンス最適化のためのパケットのタグ付けが必要になります。VLANのパイオニアであるCiscoは、効果的なタグ付けの手法を最初に市場に出しました。そしてFast EthernetとLANエミュレーション(LANE)間VLANの相互運用性を他に先駆けて具体的に立証し、現在Ciscoはキャンパス内のすべてのスイッチ間で自動的にVLANを構成するキャンパス・ワイドのVLANセットアップ・プロトコルとVTPを提供する唯一のベンダです。

    Ciscoのソリューションは、VLANアーキテクチャの一部として、エンドステーションのデバイスのVLANへの確認と構成を事務的作業をほどこさなくても自動的に行います。このソリューションは、通常ダイナミックVLANと呼ばれ、ここでは新しく追加されたエンドステーションの存在はスイッチによって見つけられ、自身で構成されます。このソリューションの4つの構成要素は以下の通りです(図3参照)。

  • バーチャル・メンバーシップ・ポリシー・サーバー(VMPS)。これは、エンドステーションのVLANへの結合に基づきネットワークへのアクセスを許可するかしないかを決めるポイントになります。
  • 認証を必要としている新しく、未確認のステーションを発見するためのスイッチ内のダイナミックVLANポート・ラーニング・モード。
  • バーチャル・キューリー・プロトコル。これは、ワイヤリングクローゼットのスイッチとVMPS認証サーバー間の認証情報を変更するためのプロトコルです。
  • ポリシー・マネージャー。これは、CiscoWorks for Switched Internetworking(CWSI)の一部として、エンドステーションとVLANアソシエーションのトラックを保つインテリジェント・データベースです。

    表1 ポリシー・ベース管理機能

    - キャンパス・バックボーン データ・センタ ワイヤリングクローゼット
    ビジネス・ゴール
    パフォーマンス ・スパンニング・ツリー設計の最適化S
    ・VLAN内設計最適化    		 ・サーバー最適化
    ・レイヤ3隣接の最適化(Layer 3 adjacency optimization)    		 エンドステーションのブロードキャストを管理
    エンドステーション・ビデオの登録
    可用性 ・冗長構成の解析 ・均一的な構成管理 ・ソフトウェアのバージョン管理
    シェアード・セグメントの最適化
    セキュリティと認証 VLAN内アクセス
    エンドユーザ・キャンパス・アクセス    		 サーバ・アクセス
    ネットワーク管理アクセス    		 エンドステーション・アクセス
    物理的ロケーション・アクセス


    ポリシーマネージャは、VMPS構成テーブル内に認識されているエンドステーション・アドレスとネットワーク内のこのアドレスのロケーションに基づいて、VLANへのアクセスを許可したり拒否したりするポリシーを管理するとき、このソリューションの背後に隠れた機能を提供します。ポリシー・マネージャはVMPSサーバが読み込んだポリシーとテーブルをセットし、このデータをスイッチ内にあるVMPSサーバへ均等にダウンロードします。

    図3:ダイナミックVLANアーキテクチャ

    図4:エンド・ステーションVLAN認証

    このソリューションを可能にするためにネットワーク管理者はダイナミックVLANラーニング・モードでスイッチ・ポートを設定します。これらのダイナミック・ポートは、VLAN構成イベントのきっかけとなるMACアドレスの変更の結果、転送テーブル内の変更に気が付いてエンド・ステーションの動き、追加事項、変更を発見します。新しいステーションのアドレスが、VPMS構成テーブルによって認識され、テーブル内にすでに認識されているVLANがあるとき、そのステーションは認証されVMPSサーバのレスポンスでネットワークへのアクセスが許されます。(図4参照)

    VMPSサーバのレスポンスにはVLANのメンバーシップ情報もあります。ステーションがあるポートはVMPSサーバによって与えられたVLANのメンバーシップ情報に基づいて、適切なVLANに構成されます。そのときポートはトラフィクを転送することを許され、エンド・ステーションのアドレス変更があるまでVLAN転送モードの中に保存されます。

    アクセス制御のポリシーには、新しく追加されたステーションがVMPSサーバの構成テーブル内で認められない時にセットされるものもあります。このポリシーには、新しいMACアドレスが知らされるまでポートを完全にシャットダウンされるか、使用上ミッション・クリティカルなアプリケーションのない安全でないVLANにエンドステーションを設置するという方法があります(どちらも完全にオプショナルです)。どちらの場合でも、これらの動きは監査の履歴レポートでポリシー・マネージャに知らされます。物理ロケーションによるアクセスを制限するため、ネットワーク・オペレーションのスタッフは特定のステーションのアドレスとVLANへのスイッチ・ポートをロックすることができ、したがって他のステーションがこのポートにアクセスすることはできなくなります。あるいは、ネットワーク・オペレーションのスタッフはVMPS構成テーブルを使って物理ロケーション(スイッチとポート)によるVLANアクセスを構成することができます。アクセスを制限されたあるステーションがアクセスを認められていないスイッチ上のVLANに接続しようと試みたとき、ポートはそのステーションから転送されたトラフィックをすべてブロックします。このセットアップでは、VLANメンバーシップと物理ロケーションの立証によりネットワーク・アクセスを制限します。

    ポリシー・マネージャは、エンド・ステーションのアドレスとMACアドレスを含むVLANアソシエーション、MACアドレスに関係づけられるTCP/IPアドレス、これらのステーション・アドレス(MACアドレスとTCP/IPアドレス)につくVLANネーム、そしてこれらのステーションのスイッチ・ポート・ロケーションを収集し、修正し、アップデートする集中管理機能を提供します。VMPSマネージャーは、スイッチ内のVLANアサインメントを変更しVMPSテーブルをアップデートするための構成機能を提供します。これらのテーブルを入力した結果、ネットワーク管理者は好み次第でTCP/IPアドレスかMACアドレスをつけてステーションをVLANに割りあてることができます。(図5参照)

    図5:ホスト・アドレス・テーブルの構築

    ポリシー・マネージャーのデータベースから派生した構成要素として、ネットワーク・オぺレータは、MACアドレス、IPアドレス、VLANネーム、ポートネーム、ユーザ・ネームによりユーザのロケーションを探知するためのエンド・ステーション位置調査ユーティリティーを持っています(図6参照)。この情報はすべてポリシー・マネージャのインテリジェント・データベース内にあり、問題の発見や通知に対して検索できるようになっています。このセットアップで、エンド・ステーションに問題が生じてそのホスト・ステーションの位置がわからないとき、マニュアル操作での探索やスプレッドシートでの管理、配線のために移動する手間がはぶけます。

    シェアードLANセグメントの最適化

    ポリシー・マネージャーは、シェアードLANセグメントのパフォーマンス最適化のためのポリシー・ベースのレポーティング・ソリューションを提供しています。ネットワーク管理者は、ネットワーク内のすべてのシェアードLANセグメン上で望まれているエンド・ステーションの最適な数をデータベース内で明確にすることができます。もしもこの数が増えた場合、VMPSマネージャーが自動的に余分なロケーションを示す警告レポートを発します。

    ポリシー・マネージャーは、シェアードLANセグメントのパフォーマンス最適化のためのポリシー・ベースのレポーティング・ソリューションを提供しています。ネットワーク管理者は、ネットワーク内のすべてのシェアードLANセグメン上で望まれているエンド・ステーションの最適な数をデータベース内で明確にすることができます。もしもこの数が増えた場合、VMPSマネージャーが自動的に余分なロケーションを示す警告レポートを発します。 異なるメディア・スピードにはそれぞれ異なるポリシーがセットされます。例えば、ネットワーク・プランニング・スタッフが、10MbpsのシェアードEthernetハブ上には5ユーザ以下、100MbpsのシェアードEthernetハブには12ユーザ以下と決めたとします(ネットワーク・パフォーマンスと可用性に関してはビジネス目的に合っています)。ネットワーク・オペレーターはポリシー・マネージャー内にこのポリシーをセットすることができ、探知した余計なものをレポートすることができます。ポリシー・マネージャーは余計なステーションの情報と問題のあるロケーションの両方を提供します。さらに、ポリシー・マネージャーは、それ自身が接続しているセグメントのレポートを提供します。したがって、違反しているステーションの場所の表示は移動されることができます。

    図6:ホスト・ステーションのロケーティング

    冗長性設計の最適化

    会社がイントラネットやWebベースのサービスに注目するようになるにつれ、ネットワークの可用性を大きくすることが益々重要になってきました。ネットワークの可用性が大きいということは、リンク、インターネット・デバイス、サーバ、ケーブル、電源などの欠陥の場合に十分な冗長性(余分な部分)があるということです。複数のフロアやビルの間、またロックされたサーバルームの中に集中して置かれたイントラネット・サーバとの間を接続するユーザにとってキャンパス・バックボーンが血液の役割を果たしているように、データセンターとバックボーン・スイッチ間の冗長性は非常に重要なものです。この必要性から考えると、ネットワーク全体のサイズの拡大に伴いバックボーンは益々複雑になり、キャンパス全体を接続するスイッチの数は一般的には50から500に拡大しています。ネットワークのサイズが広がると、ビジネスゴールに合わせた可用性を保証するための通信機器の計算(スプレッドシートと手書きのトポロジ図表)を手作業でするのが難しくなります。

    1996年にCiscoがNETSYSの技術を買収した結果、Ciscoはネットワークにある潜在的な欠陥がどこにあるか正確に示すレイヤ2とレイヤ3のスイッチ・トポロジのデザインを分析するレポーティングツールを提供しています。このツールは、今年スイッチ管理ポリシー・ベース・フレームワークの重要要素となるでしょう。このレポーティングツールで、ネットワーク・プランニングと管理のスタッフはネットワークの可用性のニーズに特有な冗長性の要求を定義することができます。あるケースでは、ただバックボーンのリンクとスイッチへのアクセスに障害のある場所だけで十分です。別のケースでは、2倍ないし3倍ものパスが必要となりますが、これは、繰り返しますがネットワークの可用性を高めるための彼らの投資予算に関る組織のビジネス・ゴール次第です。

    この機能性を効果的に提供するために、NETSYSの有効なレポーティングツールには物理接続レイヤとVLANブロードキャスト・レイヤ、インターVLAN通信レイヤ(各々レイヤ1、2、3)に今あるキャンパス・トポロジについての知識が全部はいっています。この情報は現在提供されているレイヤ3トポロジの存在の結果と、CWSI管理パッケージ内に存在する物理レイヤとVLANレイヤのトポロジ データを引き入れることによって得られるのです。
    物理トポロジ・データはグラフィック・ユーザ・インタフェース(GUI)を経由して、ネットワーク内のどこにウイーク・ポイントがあるかを示します。これは、ネットワーク管理スタッフが決めたポリシーに基づいて行われます。(図7参照)VLANでのレイヤ2レベルの論理トポロジ情報は、構成されたVLAN内の潜在的な欠陥がある場所を確定します。 ネットワーク・オペレーション・スタッフによる構成次第では、 VLANが物理レイヤを越えてダイレクトにマップするかしないかわからないので、この戦略は重要です。この確定にそって典型的なVLAN内にスパニング・ツリーのトポロジが画面表示され、転送モードとブロックモードにあるリンクが表示されるのです。

    ネットワークの可用性の分析を完璧にするため、NETSYSトポロジ分析ツールはVLAN同士で通信する際の潜在する問題を表示します。このシナリオには、すでにNETSYSベースライナー製品の一部として出ているCisco Internetwork Operating System(CiscoIOS)ソフトウェアをよく理解していることとインターVLAN構成についての知識が必要になります。

    この障害分析はすべて図表をもちいて表わされ、分析済のネットワークが使われると特に構成データとして正確に描かれます。この分析の結果、ネットワークのプランナーは潜在的な可用性の問題がどこにあるか図表を見てよく理解することができ、組織の可用性の目標にそってどこに修正をすべきかがわかるのです。

    ソフトウェアのバージョン・コントロールでネットワークの可用性を高める

    ネットワークのサイズが大きくなるとその複雑さも大きくなります。ネットワークが広がれば広がる程、管理するデバイスの数も増えます。多くのネットワーク管理の組織がそうであるように、彼らのネットワークはもとの組織に比べると不釣り合いな程大きくなり、なにか自動化がされなければネットワーク内のすべてのデバイスをそれぞれ効果的に維持管理できないことに気付きます。自動化していないことで被るよくある悩みは、全体のネットワークの可用性です。ワイヤリングクローゼット内のある問題を修正しようとスタッフが外出している間にも、別のロケーションのデバイスに注意が必要になります。この理由としては、デバイスがその問題を自ら発展させてしまったか、またはネットワークのひとつのポーションで起こった変更がネットワーク内のすべてのデバイスにわたって直接オペレーション上の影響を与えてしまったかのどちらも考えられます。この複雑さの中心となるのは、たくさんのネットワーク・デバイスで行われるソフトウェアのアップグレードです。個々にこれが行われると、それぞれのアップグレードにだいたい15分から30分の時間がかかって大変面倒な作業です。さらに、これらのアップグレードはオフピーク時間(日曜の午前2時)に行われ、翌早朝までにたっぷりとテストとオペレーションが行われなければなりません。

    体系化されておらず、ポリシーのない、デバイス毎に行われるソフトウェアのアップグレードは、問題が多いものです。結局は、ソフトウェアのバージョンが合わなかったり、ソフトウェアを操作するデバイスやリソースが適当でなかったり、つじつまの合わないデバイス構成になってしまうのです。これらのアップグレードが、アップグレードされる時間や、総合的なネットワークのために適したソフトウェアのバージョン、新しいソフトウェアバージョンが動作するために必要なシステム・リソースの慎重な割り当てなど、矛盾のないポリシーの元できちんと管理されていたら、ネットワークの可用性は改善されます。

    Ciscoは、ネットワーク全体のソフトウェアアップグレードを自動的に行えるネットワーク管理ツールの必要性をよく認識しています。重要なこととして、Ciscoは、ネットワークオペレーションスタッフにはこれらのソフトウェアアップグレードに関する特定のポリシーがあることを十分に理解しています。そのために、いろいろな自動化された方法は、組織内で最近使っていたバージョンやアップグレードされた時間、アップグレードの責任者、障害があったときの回避用ポリシー、これらのアップグレードを受ける対象とされているデバイスなどに関係するポリシーをサポートする必要があるのです。

    図7:障害の起こった場所

    Ciscoは、企業内のネットワークサービスの一部として、Catalystスイッチ用のソフトウェア・アップグレードのプロセスを自動化するアプリケーションを開発中です。それにはターゲットとしているTrivial File Transfer Protocol(TFTP)サーバーから自動的にTFTPをダウンロードする機能もあります(図8参照)。どんなダウンロードよりも先に、目的のデバイスが新しいソフトウェアのダウンロードを受け入れられるかどうかシステムのリソースがチェックされます。このネットワーク管理の機能性で、デバイス毎のアップグレードに必要な処理が少なくなり、アップグレードの成功する信頼性が高くなります。Ciscoは引き続きこのアプリケーションにネットワークのオペレーションスタッフの要求に合うポリシー・ベースのルールを追加していく予定です。最終的な効果は、ネットワークの可用性を向上させることです。

    VLAN間のネットワーク・パフォーマンスを高める

    最適なVLANキャンパス設計の基本は、VLAN同士のレイヤ3通信要求を効果的につかう能力です。それには、スイッチポートの間でVLAN内通信要求によくマッチしたレイヤ3ルータのキャンパス・インフラストラクチャが必要です。スイッチ、ルータ、VLAN通信における業界のリーダーとして、 Ciscoには、高いパフォーマンスのインターVLAN通信ルーティングを提供する製品とソリューションの幅広いラインナップがあります。VLAN間でのネットワーク・パフォーマンスを最大にするために難しい点は、VLAN間ルーティングがキャンパス・デザイン内のどこで提供されるのが一番良いかを決定することです。この決定はルータの能力や提供しなければならないリソース、それぞれのVLANでのトラフィック要求、そしてスイッチへのバックボーン・インターフェース接続に基づいて行われます。

    図8:ソフトウェア・アップグレードの自動化

    この資料全体を通して見られる多くの事例のように、VLAN間ルーティングのパフォーマンスを手作業で決定したり最適化するのは、ネットワークの複雑さが増すにつれ、だんだん難しくなってきました。ネットワーク内に要求を処理するためのいくつかのキャパシティの大きいルータがあるとすると、これらのルータのいくつかには、ワイドエリアネットワーク間でのインターネットサービスを提供したりFDDIのリングの中でコラプスド・バックボーン・デバイスとして使われたりして、すでに十分負荷がかかっています。その上、アクセス制御やNetFlowでの課金サービス、Tag Switchingサービスを含め、CiscoIOSソフトウェアとしての機能性によっては、これらのルータの多くは全生産能力をあげて働き、キャンパス内での相互接続VLANには適当ではないでしょう。

    これらの設計を考える手助けとして、そしてビジネスゴールで定義されたパフォーマンス要求に合わせるため、Ciscoは、特にVLAN間通信のために必要なパフォーマンスを扱うNETSYS管理オファリングとしてのパフォーマンス分析ツールを開発中です。この分析ツールは、VLAN内とVLAN間での両方のトラフィック・パターンを説明し、ユーザが定義したパフォーマンスレベル(ポリシー)を維持するために必要なバンド幅とプロセスを処理します。そしてこのツールは、ネットワークのおおまかな理解として、ルータがどこにあるか、それぞれのルータへの可能な帯域幅、各々のルータの構成、スイッチ・ファブリック内のVLANの場所を評価します。要求するパフォーマンスの量とネットワーク内の使用可能なルータの帯域幅、それぞれのVLAN間のトラフィック要求を決定した後、この分析ツールはインターVLAN通信を構成するのに最も適した場所を推薦します。

    さらにこの分析ツールは、VLAN間通信が行われ、パフォーマンス改善が提議されたとき、ネットワーク内の最適とは言えない状態で構成されてしまったルータを確認します。これらのサジェスションにはルーティング・プロトコルが使用できない状態であることや、半二重から全二重インターフェースへの設定変更、アクセス・リストの変更があるかもしれないし、あるいは、ネットワーク内で使われている別のルータを勧めることもあるかもしれません。もしも分析が行われたあとルーティングの容量が十分でなくなったら、このツールはどこにもっと容量が必要かを提示してくれます。さらに、これらの提示はすべてその組織によってビジネスレベルに合わせて決められたパフォーマンス目標に基づいてなされるのです。

    結論

    Ciscoは、組織によって定められたビジネスゴールの一部としてのネットワーク管理の必要性をよく理解しています。この理解によって、ポリシー・ベース管理サービスの付加的レイヤが必要とされるのです。それは、管理要求の量を定め、それら定められた目標に対するネットワークを監視し絶えず評価をします。そして、それらをレポートし、ビジネス・ゴールに基づいて自動的に変更作業を行うこともできるのです。このポリシー・ベース管理サービスの付加的レイヤは、サービスに関連するアプリケーションをはめ込んだデバイス・エージェントと、ネットワーク管理組織によって決められたポリシーに対する変更を行う定量的監視システムとの、両方のインテリジェンスを必要とするため、一夜にして成し遂げられるものではありません。

    1997年全般を通して、Ciscoではポリシー・ベース管理サービスを提供するスイッチ管理アプリケーションをお届けする予定です。そのアプリケーションには、VLAN認証のためのバーチャル・メンバーシップ・ポリシーサーバ、シェアードLANセグメントの最適化、エンドユーザのトラッキングと診断、障害の場所を決定するためのマルチレイヤ・トポロジのデザイン分析、Catalystスイッチ内でのソフトウェア・アップグレードを自動化するソフトウェアイメージ制御マネージャ、VLAN間通信を最適化するVLAN間のパフォーマンス分析ツールなどが含まれます。さらにCiscoは、カスタマーのビジネス目標に合わせたより良いアシストができるこれらのポリシー・ベースのネットワーク管理サービスを高め続けます。今後開発するものとしては、バックボーン間の余計なブロードキャストを取り除く機能、重要なバックボーン・リンク間全体の監視とトラフィック制御、ユーザ認証のできるVLAN、レイヤ3レベルでの隣接デバイスとの最適化、複数デバイスをセッティングする際の同一の構成コントロールなどの機能があります。これらの機能は、ネットワークのパフォーマンス、可用性、セキュリティ・サービス全体を大幅に高めるものです。

お問い合わせ