アカウントをお持ちの場合

  •   パーソナライズされたコンテンツ
  •   製品とサポート

アカウントをお持ちでない場合

アカウントを作成

Cisco DNA Center:インテントベース ネットワーキングによる初期の成果

発行:2019 年 1 月

インテントベース ネットワーキングを導入すべき理由

ネットワーク デバイスが何千台(シスコの場合は 15,000 台)もある環境では、効率的に管理することで、運用コストと俊敏性の面で大きなメリットが得られます。現在シスコには、ゼロタッチ導入、ソフトウェア イメージ管理、ファブリック管理向けの優れたツールが存在しています。「しかし、ネットワーク管理と自動化の発展は、サーバとストレージの管理に比べると遅れています。私たちは、もっと優れたものを求めていました」と、IT マネージャの Stephen Hoover は述べています。私たちが優先的に希望しているのは、次の 2 つの機能です。

  • 複数の管理アプリケーションを置き換えられる一元管理機能。目的は、エンジニアが、世界中のあらゆる場所で発生しているネットワーク内のあらゆる事象を、1 つのインターフェイスで確認できるようになることです。
  • アクセス制御、ワイヤレス アシュアランス、トラブルシューティングと問題解決、チケット生成、設定、ソフトウェア イメージ管理など、可能な限りあらゆることを自動化する。

自動化は、インテントベース ネットワーキングに関して非常に期待されている要素です。「エンジニアの最大の価値は、複雑な問題を解決しようと頭脳を働かせることにあります」と、Hoover は言います。「自動化が可能で、自動化すべきであるタスクにエンジニアを割り当てるのは、非効率的です」

この発言は、インテントベース ネットワーキングの背後にある概念を表しています。たとえば「このデータベースに対するアクセス権をチーム A のエンジニアに限定する」といったビジネス インテントを示すと、ネットワークが、そのインテントを実現するための作業を行います。個別の多くの手順を自動ワークフローにまとめることで、エラーが減少して整合性が向上し、時間を節約できます。

その手段:Cisco DNA Center

私たちは今、Cisco DNA Center を使用して、ネットワーク ビューの統合とインテントベース ネットワーキングの実現という両方の目標を達成するための初期段階にいます。Cisco DNA Center には、現在使用している複数の管理ツールの機能が組み合わされています。Cisco DNA Center は、一元的な管理ダッシュボードであるだけでなく、プロビジョニングと変更管理の自動化、ポリシーのコンプライアンス状況のチェック、キャプチャしたアセット ログの分析によるトラブルシューティング、問題解決、予測保守を実現します。

シスコの IT 部門は、Cisco DNA Center などのシスコの新製品の「カスタマー ゼロ」です。つまり、シスコがお客様に出荷する製品には、シスコの業務で活用した結果に基づいた提案が反映されているということです。シスコの IT 部門は、Cisco DNA Center のカスタマー ゼロとして事業部門と連携し、必要と思われる新機能の共有、ユーザ インターフェイスの微調整、バグの報告を行っています。

現在、実稼働環境で、SD-Access とワイヤレス アシュアランスに Cisco DNA Center を活用しています。また、インシデントの解決、サービス管理ツールでの自動チケット作成、ソフトウェア イメージ管理の自動化を実現するために、より動的なコンテキスト ダッシュボードの共同開発に向けて、事業部門と積極的に連携しています。まもなくプラグアンドプレイ導入(「ゼロタッチ導入」)が実現する見込みです。

下記の表に、Cisco DNA Center による利点をまとめています。その後の部分で、IT 部門の現在の取り組みとこれまでの進捗状況について説明します。

 

アシュアランス(実稼働中)

ネットワークの問題の原因を特定し、さらには発生前の問題まで予測するには、アクティビティ ログの履歴とリアルタイムのログを分析する必要があります。これまで、これらのログは各デバイスに保存されていました。その場合、デバイスのメモリがすぐにいっぱいになり、収集して分析できる情報量が限られてしまうという問題があります。また、障害が発生したデバイスの再起動が必要になると、ログが失われ、停止の原因を特定するのが難しくなります。

現在シスコでは、Cisco DNA Center を使用して、デバイス上ではなくサーバ上に情報を収集して分析することを始めています。これにより、調査活動が改善されて、トラブルシューティングにかかる時間が短くなっています。米国、オーストラリア、カナダ、英国、インド、日本、ノルウェー、ポーランド、シンガポールの 15 ヵ所の拠点で、パイロットを行っています。パイロットの拠点では、テレメトリ データが、ワイヤレス コントローラから Cisco DNA Center に継続して送信されています。接続の問題が報告されると、ヘルプ デスクのエンジニアが Cisco DNA Center をチェックして、問題の原因がネットワークにあるのかユーザのデバイスにあるのかをすばやく確認します。

いずれは、セルフサービスでトラブルシューティングできるようにしたいと思っています。たとえば、十分なワイヤレス エクスペリエンスが得られないという問題が起きているとします。カバレッジにばらつきがあるか、あるいはアクセス ポイントに障害があるのかもしれません。その場合の対応方法の一例として、次のようなアイデアがあります。自社ビルの Webex Teams ルームに入り、「ネットワークに接続できないのはなぜか」などと入力します。するとボットが Cisco DNA Center からデータを取得し、「データによると、問題はあなたのラップトップにあるようです。デスクトップ チームにケースをオープンしました。ケース番号はこちらです」、と応えます。あるいは、こんな応答になるかもしれません。「あなたのフロアでは全員に同じ問題が発生しているようです。ネットワーク チームにケースをオープンしました。番号はこちらです」。その結果、ユーザの問題はすぐに解決し、ヘルプ デスクのオーバーヘッドが軽減されます。

SD-Access(実稼働中)

シスコでは現在、ユーザ ID に基づいてアクセス制御を自動化しています。シスコのネットワークへの接続が要求されると、Cisco Identity Services Engine(ISE)が ID とデバイスの両方を確認して、実稼働用、ラボ用、ゲスト用のどのネットワークに接続するかを判断します。

シスコでは、Cisco DNA Center を使用して、特定のアプリケーションまたは時間帯に基づくアクセス制御を始めています。たとえば、新しい Web インターフェイス関連の作業を請け負っている業者には、Web フロントエンドへのアクセスは許可しますが、データベースへのアクセスは許可しません。エグゼクティブ ウェビナーでは、30 分間、ネットワークでの優先度を最高にします。「これまでは、時間帯を限定して特定のトラフィック フローを優先するには非常に多くの作業が必要だったので、ほとんど実施していませんでした」と、エンタープライズ ネットワーク アーキテクトの Dipesh Patel は述べています。

SD-Access は、オーストラリアのノース シドニー オフィスでパイロットを実施中です。そこでは、ISE を使用して、ユーザごとにポリシーを設定しています。特定のアプリケーションへのアクセスを永続的に制限することも、時間帯を限定して制限することも可能です。たとえば、次の月曜日の午前 8 時から正午までに限って請負業者にラボ ネットワークへのアクセスを許可するといったことができます。

また、あるチームのユーザに限って実稼動ネットワーク上の特定のアプリケーションへのアクセスを許可し、他のユーザには許可しない、ということも可能です。ISE は Cisco DNA Center とポリシーを共有し、Cisco DNA Center はすべてのスイッチにポリシー適用を指示することができます。スイッチは、各ユーザのトラフィックにタグを付けます。「タグは、入れる部屋と入れない部屋を識別するための従業員バッジのような役割を果たします」と、Patel は述べています。

動的なインシデント ダッシュボード(開発中の機能)

最近まで、ネットワークの状態監視と問題解決のために、複数のアプリケーションを組み合わせて使用していました。今は事業部門と協力して、同じ機能を Cisco DNA Center に移行しようとしています。早期に実現可能な改善点としては、送信元から宛先まで、すべてのサービス フローを一元的に確認できるようになることが挙げられます(現在は一度に 1 つのシアターまたは地域に限られています)。すべてを一元的に確認できるようになると、エンジニアが問題とコンテキストをすばやく把握できるようになるため、問題を短時間で解決できます。

また、事業部門と連携して、トラブルシューティングと問題解決のための機能も追加しようとしています。まず、デバイスに問題があることが Cisco DNA Center から報告された場合に、数回クリックするだけで動的なインシデント ダッシュボードを作成できるようになります。ダッシュボードには、影響を受けるデバイスやネイバーの情報が表示されるので、問題の確認および解決が容易になります。

設定の変更が必要な場合は、一度変更すれば、ワン クリックでグループ全体のスイッチにその変更を適用できるようになります。たとえば、新たなセキュリティ脅威を発見し、ビル内の数百台のデバイスのセキュリティ設定を至急変更する必要がある場合などでは、設定変更を迅速に実施できることは重要です。

現在次のようなことを検討中です。Cisco DNA Center には、エンジニアが初期のトラブルシューティングを実施するために必要な情報が、ケースがオープンされた際にすでに含まれています。IT 部門は、機械学習と機械推論に基づいて、考えられる原因と推奨アクションも提示することを提案し、事業部門が検討しています。お客様とシスコが Cisco DNA Center の使用を続けるほど、推奨策の精度が向上します。将来 Cisco DNA Center は、ボタンをクリックするだけで問題が修復されるという推奨策をエンジニアに提供できるようになるかもしれません。

自動チケット生成(開発中の機能)

一元管理画面には、サード パーティ製の管理ツールも含めたいと考えています。そのため、現在 Cisco DNA Center と、シスコのチケット作成システムである ServiceNow を統合しようとしています。今後、NetSuite や Remedy など、一般的な他社製システムも追加していく予定です。現在構想しているのは、Cisco DNA Center が障害を検出すると、ケースを自動的に作成して Tier 1 ~ 3 のサポート フラグを設定し、影響を受けたデバイスとネイバー デバイスのログを添付する機能です。それによってサポート エンジニアは、即座にログを取得できるようになります。

ソフトウェア イメージ管理の自動化:(開発中の機能)

現在、シスコのネットワーク エンジニアは、作業時間の 20 ~ 40% をコードのアップグレードに費やしています。現時点では効率的な一括アップグレード ソリューションがないため、エンジニアは、30 ~ 50 の手順が含まれるプレイブックに従って、デバイスを 1 つずつ手動でアップグレードしています。Hoover は、手動アップグレードによって 2 つの問題が発生すると述べています。「まず、新しいイメージが認定されるたびにすべてのデバイスをアップグレードできるだけの時間はないので、セキュリティ アップグレードが最優先されます。そのため、ある時点で最新のイメージが適用されているデバイスの割合は、約 55 ~ 60% のみにとどまっています」。もう 1 つの問題は、手動の手順ではどうしてもネットワーク エラーが避けられないことです。実際、ネットワーク関連の機能停止障害のほとんどが、ネットワークの変更によって発生しています。

Cisco DNA Center のカスタマー ゼロとして、IT 部門は、事業部門と連携し、コードのアップグレードを自動化して機能停止をなくすことに取り組んでいます。10 ~ 15 ヵ所の拠点で、Cisco DNA Center を使用したソフトウェア イメージ管理のパイロットを計画しています。Cisco DNA Center は、古いイメージを使用しているデバイスを特定し、アクティベーションする数時間から数日前に、それらのデバイスに最新のコードを事前に適用します。新しいコードのアクティベーションは、そのオフィスのユーザの仕事の邪魔にならないように、通常の業務時間後または週末まで待ってから行います。

ソフトウェア イメージ管理の自動化によって、現在 55 ~ 60% のコンプライアンス達成率が 70% 以上に上がることが見込まれます。セキュリティ脆弱性にパッチを適用する平均修復時間(MTTR)は、オフィス 1 ヵ所あたり、現在の 2 時間から約 1 時間に改善されるでしょう。つまり、シスコの小規模から中規模の 285 ヵ所のオフィスで、アップグレード 1 回あたり、リスクにさらされる期間が 50% 短縮し、570 人時の工数が削減されることになります。

プラグ アンド プレイ(導入計画済み)

プラグ アンド プレイは、以前ゼロタッチ ファブリック導入と呼ばれていたものです。この機能が導入されれば、大幅なコスト削減を期待できます。現在、シスコのフリート プログラムでは、スイッチとルータのハードウェアとコードのアップグレードに、年間 800 万ドルを支出しています。たとえば、ある南米のオフィスに新しい Catalyst 9000 の導入が予定されているとします。現在は、まずそれを地域の配送デポに送り、その場所でエンジニアが事前にコードを導入し、設定を適用します。デポの誰かがデバイスを再梱包して目的地に発送し、目的地では、シスコが派遣したエンジニアによってラッキングとスタッキングが行われます。「二重の送料に加え、エンジニアの作業時間と出張費がかかっています」と、David Maksim が述べています。

プラグ アンド プレイでは、ブランチ オフィスに直接出荷した新しいデバイスを、地元のベンダーが起動できるようになります。スイッチは自動的に Cisco DNA Center に接続し、シリアル番号に基づいて適切なコードを取得します。「自動化された一元管理が可能になると、出張せずに少数のエンジニアで、より多くの拠点のフリート アップグレードを管理できるようになります」と、Hoover は述べています。

プラグ アンド プレイによって、フリート プログラムのコストは約 25%、金額にして年間 160 万ドル以上削減されると見込まれます。次のような削減効果があります。

  • デバイスを現地に直接出荷することで、出荷コストが 50% 削減されます。
  • フリート アップグレードが計画されている各拠点に出向くエンジニア 1 ~ 2 人分の出張費が不要になります。
  • 手順を自動化することで、エンジニアがアップグレードに費やす時間が削減されます。
  • エラーが減り、エラーからの復旧に要する時間が短縮されます。Maksim は、「デポでコマンドの入力ミスが発生すると、オフィスで問題が発生し、10 分から 2 時間誰かに被害が及びます。インテントベース ネットワーキングによって、無駄な時間がなくなり、中断を回避できます」と述べています。

次のステップ

ここで説明した Cisco DNA Center 使用例の共同開発が完了すれば、最大 500 人規模のリモート オフィスを皮切りに、実稼働に移していきます。その過程において、IT 部門はカスタマー ゼロとしての役割を引き続き担い、事業部門と緊密に連携して新しい使用例を提案し、経験を共有して、お客様のビジネス価値を継続的に高めていきます。

関連情報

Cisco DNA Center:インテントベース ネットワーキングによる初期の成果(PDF)

Cisco DNA Center