この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
Cisco Nexus Data Broker ネットワークは、1 つ以上の Cisco Nexus 3000、3100、または 3500 シリーズ スイッチと、OpenFlow 用 Cisco プラグイン および実稼働ネットワーク インフラストラクチャの複数の SPAN が適用されたポートおよびネットワーク タップを接続するための専用の NX-API を備えた Cisco Nexus 9000 シリーズ スイッチで構成されます。Cisco Nexus Data Broker は、OpenFlow プロトコルを使用してスイッチをプログラムします。Cisco Nexus Data Broker は、ネットワークを移動するパケットをフィルタリングし、接続されたモニタリング デバイスのプールにそれらを配信します。
Cisco Nexus Data Broker は、次の転送パス オプションをサポートしています。
Multipoint-to-Multipoint:With the Multipoint-to-Multipoint(MP2MP)転送パス オプションを使用すると、入力エッジ ポート(SPAN または TAP トラフィックがモニター ネットワークに入ってくる)および出力配信ポートが定義されます。Cisco Nexus Data Broker はその配信ポートを使用して、これらの入力ポートから 1 つ以上のデバイスにトラフィックを送信しています。
Any-to-Multipoint:Any-to-Multipoint(A2MP)転送パス オプションを使用すると、モニター ネットワークの入力エッジ ポートは認識されませんが、出力配信ポートは定義されます。Cisco Nexus Data Broker は、Single Source Shortest Path(SSSP)アルゴリズムを使用して、ルート ノードからその他すべてのノードへのループのない転送パスを自動的に計算します。
Cisco Nexus Data Broker では、トラフィックをフィルタリングするために使用される HTTP トラフィックの条件のレイヤ 2(L2)、レイヤ 3(L3)、レイヤ 4(L4)、およびレイヤ 7(L7)フィルタリングを定義するためにフィルタを使用できます。フィルタで基準に一致するトラフィックは配信ポートに、さらにそこから接続されたモニタ デバイスへとルーティングされます。
接続を使用して、設定されたモニタ デバイスにフィルタを関連付けることができます。ソースの有無にかかわらず接続を設定できます。送信元ノードとポートのある接続では Multipoint-to-Multipoint 転送パス オプションを使用します。ノードに送信元ポートがない接続はループフリーの Any-to-Multipoint 転送パス オプションを使用します。
Deny オプションを使用してルールが設定されている場合、入力エッジ ポートは定義されている場合もされていない場合もあります。Cisco Nexus Data Broker は、指定された入力エッジ ポートで、または入力エッジ ポートが定義されていない場合はすべてのノードでトラフィックを破棄します。
ルールごとに設定できるプライオリティがあります。高いプライオリティの接続は低いプライオリティの接続よりも優先されます。
接続は、インストールしなくても作成および保存できます。接続の保存後、インストールは Cisco Nexus Data Broker GUI でオン/オフを切り替えることができます。
(注) | Cisco Nexus Data Broker の切り替え機能を使用した接続のインストールまたはアンインストール後、120 秒間はデバイスを再起動しないでください。そうしないと、Cisco Nexus Data Broker によって設定されたパラメータが保存されず、Cisco Nexus Data Broker とデバイス間に不一致が生じる可能性があります。 |
Cisco Nexus Data Broker には、デフォルト フィルタがすべてのトラフィックに一致する状態でプリインストールされています。デフォルト フィルタは All Ethertype を使用して一致の選択内容として作成されます。デフォルト フィルタの名前は、default-match-all です。Cisco Nexus Data Broker を最初から使用開始するとき、このフィルタはすぐに使用できます。
Cisco Nexus Data Broker を有効化した Cisco Nexus 3000 または Cisco Nexus 9300 スイッチのインライン リダイレクションを介して、ファイアウォールまたはスイッチから一部のトラフィックをサービス ノード(SourceFire IPS など)にリダイレクトできるようになりました。トラフィックは、実稼働の入力ポートからタップ アグリゲーション スイッチを介して、サービスの入力および出力ポート経由でサービス ノードへとリダイレクトされます。最後に、トラフィックはサービス ノードから実稼働の出力ポートにリダイレクトされます。
Cisco Nexus 3000 および Cisco Nexus 9000 シリーズ スイッチの 2 つのポート間のトラフィックを複製できるようになりました。一方のポートは送信元ポートであり、もう一方のポートは宛先ポートです。この設定により、インターフェイス間のトラフィックをすばやくコピーすることができます。
また、サービス ノード(QRadar など)へのトラフィックをコピーし、スイッチにリダイレクトされたトラフィックとそのトラフィックを比較することもできます。トラフィックは、リダイレクトされるため、外部のモニタリング ツールへのトラフィックをコピーすることができます。リダイレクションのルールの一部として、リダイレクトされるトラフィックのコピー先となる宛先ポートを指定できます。トラフィックのコピーはすべてのサービス ノードの出力ポート(スイッチに入っていくトラフィック)から送信されます。トラフィックのコピー先となるポートは、物理ポートにすることも、論理的なポート チャネルにすることもできます。OpenFlow を使用しており、Ethertype 値のために * をサポートする機能を実装できます。
入力および出力の実稼働ポート間には、常に 1:1 のマッピングが存在します。スイッチは、リンク間の直接接続ではなく、実稼働ポートとサービス ポートの間に存在するため、入力ポートまたは出力ポートのいずれかが運用上ダウンした場合は、ポートをシャットダウンすることが重要です。入力ポートがダウンした場合、出力ポートは自動的にシャットダウンされます。出力ポートがダウンした場合、入力ポートは自動的にシャットダウンします。
サービス ノードに接続する入力ポートまたは出力ポートがダウンすると、そのサービス ノードは自動的にバイパスされます。そのサービス ノードに関連付けられたすべてのリダイレクションは、サービス ノードをバイパスするように更新されます。
トラフィックがサービス ノードによって処理されない場合、バックアップ フローがあり、実稼働の入力ポートに再度送信されます。
また、入力ポートを選択することで、およびノードの詳細を更新することで、サービス ノードの詳細を編集できます。[Edit] をクリックして詳細を編集します。サービス ノードを削除するには、サイド バーの [Service Nodes] 表示領域で [Remove Service Node] をクリックします。
(注) | リダイレクションごとに最大 4 つのサービス ノードがサポートされます。 |
ステップ 1 | [Configure Filters] タブで、編集するフィルタの [Name] の横にある [Edit] をクリックします。 | ||||||||||||||||
ステップ 2 | [Edit Filter] ダイアログボックスで、次のフィールドを編集します。
| ||||||||||||||||
ステップ 3 | [Edit Filter] ダイアログボックスの [Layer 2] セクションで、次のフィールドを入力します。
| ||||||||||||||||
ステップ 4 | [Edit Filter] ダイアログボックスの [Layer 3] セクションで、次のフィールドを入力します。
| ||||||||||||||||
ステップ 5 | [Edit Filter] ダイアログボックスの [Layer 4] セクションで、次のフィールドを入力します。
| ||||||||||||||||
ステップ 6 | [Edit Filter] ダイアログボックスの [Layer 7] セクションで、次のフィールドを入力します。
| ||||||||||||||||
ステップ 7 | [Edit Filter] をクリックします。 |
関連付けられたルールを持つフィルタを削除できます。これにより、すべてのルールを同時に削除します。
ステップ 1 | [Connections] タブで、[Add Connection] をクリックします。 | ||||||||||||||||||
ステップ 2 | [Add Connection] ダイアログボックスで、[Connection Details] 領域の接続の [Connection Name] および [Priority] を追加できます。
| ||||||||||||||||||
ステップ 3 | [Allow Matching Traffic] 領域で、次のフィールドを変更します。
| ||||||||||||||||||
ステップ 4 | [Drop Matching Traffic] 領域で次のフィールドに入力します。
| ||||||||||||||||||
ステップ 5 | [Source Ports (Optional)] 領域で次のフィールドに入力します。
| ||||||||||||||||||
ステップ 6 | 次のいずれかを実行します。
|
接続を変更する前に、接続を追加する必要があります。
ステップ 1 | [Connection Setup] タブで、変更する接続の [Name] の横にある [Edit] をクリックします。 | ||||||||||||||||||
ステップ 2 | [Modify Connection] ダイアログボックスで、[Connection Details] 領域の接続の [Connection Name] および [Priority] を変更できます。
| ||||||||||||||||||
ステップ 3 | [Allow Matching Traffic] 領域で、次のフィールドを変更します。
| ||||||||||||||||||
ステップ 4 | [Drop Matching Traffic] 領域で次のフィールドに入力します。
| ||||||||||||||||||
ステップ 5 | [Source Ports (Optional)] 領域で次のフィールドに入力します。
| ||||||||||||||||||
ステップ 6 | [Submit] または [Close] をクリックします。 |
接続を変更する前に、接続を追加する必要があります。
ステップ 1 | [Connection Setup] タブで、複製する接続の [Name] の横にある [Clone] をクリックします。 | ||||||||||||||||||
ステップ 2 | [Clone Connection] ダイアログボックスで、[Connection Details] 領域の接続の [Connection Name] および [Priority] を変更できます。
| ||||||||||||||||||
ステップ 3 | [Allow Matching Traffic] 領域で、次のフィールドを変更します。
| ||||||||||||||||||
ステップ 4 | [Drop Matching Traffic] 領域で次のフィールドに入力します。
| ||||||||||||||||||
ステップ 5 | [Source Ports (Optional)] 領域で次のフィールドに入力します。
| ||||||||||||||||||
ステップ 6 | 次のいずれかを実行します。 |
ステップ 1 | トポロジ図で、ノードをクリックします。 |
ステップ 2 | サイド バーで、[Add Service Node] をクリックします。[Add Service Node] ウィンドウが表示されます。 |
ステップ 3 | [Service Node Name] ウィンドウにサービス ノードの名前を入力します。 |
ステップ 4 | [Service Node Ingress Port] ウィンドウのサービス ノードの入力ポートを選択します。 |
ステップ 5 | [Service Node Egress Port] ウィンドウのサービス ノードの出力ポートを選択します。 |
ステップ 6 | サービス ノード アイコンを選択します。 |
ステップ 7 | [Submit] をクリックします。 |
(注) | リダイレクションの設定機能は、リリース 6.0(2) U 5(2) 以降を実行している Cisco Nexus 3000 シリーズ スイッチでサポートされます。この機能は、Cisco Nexus 9300 スイッチの Release 7.x 以降および OpenFlow でサポートされています。 |
ステップ 1 | [Redirections] タブで、[Add Redirection] をクリックします。 | ||||||||||||||
ステップ 2 | [Add Redirection] ダイアログボックスで、[Redirection Details] エリアにリダイレクションの [Redirection Name] および [Priority] を追加できます。
| ||||||||||||||
ステップ 3 | [Matching Traffic] エリアで、次のフィールドを変更します。
| ||||||||||||||
ステップ 4 | [Redirection Switch] エリアで、次のフィールドを変更します。
| ||||||||||||||
ステップ 5 | [Service Nodes (OPTIONAL)] エリアで、次のフィールドに入力します。
| ||||||||||||||
ステップ 6 | [Production Ports] エリアで、次のフィールドに入力します。
| ||||||||||||||
ステップ 7 | [Delievery Devices to copy traffic (OPTIONAL)] エリアで、次のフィールドに入力します。
| ||||||||||||||
ステップ 8 | 次のいずれかを実行します。 | ||||||||||||||
ステップ 9 | [Install Redirection] をクリックしてリダイレクションを保存し、同時にそれをインストールする場合、リダイレクション スイッチのリダイレクション パスは実稼働の入力ポート、サービス ノード、および実稼働の出力ポートに表示されます。 | ||||||||||||||
ステップ 10 | [Flow Statistics] をクリックしてリダイレクション スイッチのフロー統計を表示します。
| ||||||||||||||
ステップ 11 | [Close] をクリックして、フロー統計の表示ウィンドウを閉じます。 |
リダイレクションを変更する前に、リダイレクションを追加する必要があります。
ステップ 1 | [Redirection Setup] タブで、変更する接続の [Name] の横にある [Edit] をクリックします。 | ||||||||||||||
ステップ 2 | [Modify Redirection] ダイアログボックスで、[Redirection Details] 領域のリダイレクションの [Redirection Name] および [Priority] を変更できます。
| ||||||||||||||
ステップ 3 | [Matching Traffic] エリアで、次のフィールドを変更します。
| ||||||||||||||
ステップ 4 | [Redirection Switch] エリアで、次のフィールドを変更します。
| ||||||||||||||
ステップ 5 | [Service Nodes (OPTIONAL)] エリアで、次のフィールドに入力します。
| ||||||||||||||
ステップ 6 | [Production Ports] エリアで、次のフィールドに入力します。
| ||||||||||||||
ステップ 7 | [Delievery Devices to copy traffic (OPTIONAL)] エリアで、次のフィールドに入力します。
| ||||||||||||||
ステップ 8 | 次のいずれかを実行します。 |