この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
従来からアプリケーション トラフィックの可視性は、セキュリティ、トラブルシューティング、およびコンプライアンスを維持し、リソース計画を行うためのインフラ運用にとって重要なことでした。テクノロジーの発達と、クラウドベース アプリケーションの増加に伴い、ネットワーク トラフィックの可視性の向上は不可欠となっています。ネットワーク トラフィックを可視化する従来のアプローチは、コストがかかり柔軟性に欠けているため、大規模な導入環境のマネージャにとっては困難です。
Cisco Nexus スイッチと Cisco Nexus Data Broker の連携によって実現するソフトウェア定義型のプログラム可能なソリューションでは、Switched Port Analyzer(SPAN)またはネットワーク テスト アクセス ポイント(TAP)を使用してネットワーク トラフィックのコピーを集約し、モニタリングと可視化を行います。このパケットブローカリング アプローチは、従来のネットワーク タップやモニタリング ソリューションとは対照的に、シンプルで拡張性とコスト効率に優れたソリューションを実現するもので、セキュリティ、コンプライアンス、およびアプリケーション パフォーマンスのモニタリング ツールを効率的に利用するために大量のビジネスクリティカルなトラフィックをモニタリングする必要のあるお客様に適しています。
さまざまな Cisco Nexus スイッチを使用する柔軟性、およびそれらを相互接続してスケーラブルなトポロジを形成する機能により、複数の入力 TAP または SPAN ポートからのトラフィックを集約し、複製し、トラフィックを複数のモニタリング ツールに転送する能力が提供されます。このトラフィックは、異なるスイッチをまたいで接続できます。スイッチとの通信に OpenFlow 向けのシスコのプラグインと Cisco NX-API エージェントを組み合わせて使用すると、Cisco Nexus Data Broker は、トラフィック管理のための高度な機能を提供します。
Cisco Nexus Data Broker は、複数の分離された Cisco Nexus Data Broker ネットワークの管理サポートを提供します。同一のアプリケーション インスタンスを使用して分離されている可能性のある、複数の Cisco Nexus Data Broker トポロジを管理できます。たとえば、5 か所のデータセンターを運用しており、独立した Cisco Nexus Data Broker ソリューションを各データセンターに導入する場合は、各モニタリング ネットワークに対して論理パーティション(ネットワーク スライス)を作成することで、1 つの アプリケーション インスタンスを使用して、5 つすべての独立した展開を管理できます。
Cisco Nexus Data Broker は、以下を提供します。
(注) | OpenFlow モードおよび NX-API モードは、Cisco Nexus 3000 シリーズと Cisco Nexus 9000 シリーズの両方のスイッチでサポートされています。Cisco Nexus 9500 は、展開の NX-API モードのみをサポートします。Cisco Nexus 3500 は、展開のオープンフロー モードのみをサポートします。一度にイネーブルにできるモードは、OpenFlow または NX-API のいずれか 1 つのみです。 組み込みモードの Cisco Nexus Data Broker アプリケーションを起動または停止するには、ofa ファイルをアクティブまたは非アクティブにする必要があります。./runxnc.sh はこのアプリケーションの起動に適した方法ではないため使用しないでください。 一度にイネーブルにできるモードは、OpenFlow または NX-API のいずれか 1 つのみです。 |
(注) |
HTTP メソッドを使用した HTTP トラフィックのレイヤ 7 フィルタリング。
VLAN および MPLS タグの除去。
TAP および SPAN ポートの集約に対してスケーラブルなトポロジ。
入力ソースの TAP ポートおよび SPAN ポートにタグ付けする Q-in-Q。
対称型ロード バランシング。
レイヤ 1 からレイヤ 4 の情報に基づいてトラフィックをモニタする一致ルール。
トラフィックを複製して複数のモニタリング ツールに転送する機能。
Precision Time Protocol(PTP)を使用したタイムスタンプ。
指定バイト数を超えるパケットの切り捨てによるペイロードの廃棄。
TAP/SPAN アグリゲーション ネットワーク状態の変化への対応。
ロール ベースのアクセス コントロール(RBAC)などのセキュリティ機能、および認証、許可、アカウンティング(AAA)機能用に RADIUS や TACACS を使用した外部 Active Directory との統合。
エンドツーエンドのパスの可視性。これには、トラブルシューティングに必要なポート レベルとフロー レベルの両方の統計情報が含まれます。
堅牢な Representational State Transfer(REST)API、およびすべての機能の実行を対象とした Web ベースの GUI。
Open Flow 向けシスコのプラグイン(バージョン 1.0)のサポート
Cisco Nexus Data Broker は、TAP/SPAN の集約として Cisco Nexus 9000 シリーズ スイッチをサポートするため、NX-API プラグインを追加します。NX-API は、JSON-RPC、XML、および JSON をサポートします。Cisco Nexus Data Broker は、JSON メッセージ形式の NX-API を使用して Cisco Nexus 9000 シリーズと対話します。
Cisco Nexus Data Broker を使用すると、次のことができます。
Switched Port Analyzer(SPAN)と Test Access Point(TAP)ポートを分類する。
Cisco APIC を介して Cisco ACI を統合し、SPAN 宛先および SPAN セッションを設定する。
トラフィックをキャプチャするためのモニタリング デバイスを追加する。
モニタリングの必要があるトラフィックをフィルタリングする。
単一または複数の SPAN および TAP ポートからのパケットを配信ポートを介して複数のモニタリング デバイスに
リダイレクトする。
モニタリング システムを表示および変更できるユーザを制限する。
Cisco Nexus Data Broker では、次の Web ブラウザがサポートされています。
(注) | Javascript 1.5 以降のバージョンをブラウザで有効にする必要があります。 |
Cisco Nexus Data Broker は Java 仮想マシン(JVM)で動作します。Java ベースのアプリケーションとして、Cisco Nexus Data Broker は x86 サーバ上で実行できます。最適な結果を得るためには、次の点を推奨します。
2 GHz 以上の 1 個の 8 コア CPU。
最低 16 GB のメモリ。
最小 40 GB の空きハードディスク領域が、Cisco Nexus Data Broker アプリケーションをインストールするパーティションで使用できる必要があります。
次のような、Java を備えた 64 ビットの Linux ディストリビューション:
Java 仮想マシン 1.8.0_45 以降。
バックアップおよび復元スクリプト用に Python 2.7.3 以降のバージョンが必要です。
プロファイルの $JAVA_HOME 環境変数が JVM のパスにセットされている。
JConsole および VisualVM は両方 JDK に含まれますが、トラブルシューティング用に追加するものとして推奨されます(ただし、必須ではありません)。
Cisco Nexus Data Broker は Cisco Nexus 3000、3100、3200、3500、および 9000 シリーズ スイッチでサポートされています。ソフトウェアを展開する前に、以下を行う必要があります。
スイッチにログインする管理者権限があることを確認する。
switch# show running-config interface mgmt0 コマンドを実行して、スイッチの管理インターフェイス(mgmt0)に IP アドレスが設定されていることを確認する。
タップ アグリゲーションおよびインライン モニタリング リダイレクションが VLAN フィルタリングをサポートできるように、Cisco Nexus Data Broker で使用する VLAN 範囲をデータベースに追加する(たとえば、構文は vlan <range of VLAN IDs>、VLAN 範囲は <1-3967> など)。
Cisco Nexus シリーズ スイッチで OpenFlow および NX-API モードを実行する場合は、次の前提条件を参照してください。