この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章の内容は、次のとおりです。
従来からアプリケーション トラフィックの可視性は、セキュリティ、トラブルシューティング、およびコンプライアンスを維持し、リソース計画を行うためのインフラ運用にとって重要なことでした。テクノロジーの発達と、クラウドベース アプリケーションの増加に伴い、ネットワーク トラフィックの可視性の向上は不可欠となっています。ネットワーク トラフィックを可視化する従来のアプローチは、コストがかかり柔軟性に欠けているため、大規模な導入環境での実現は困難です。
Cisco Nexus スイッチと Cisco Nexus Data Broker の連携によって実現するソフトウェア定義型のプログラム可能なソリューションでは、Switched Port Analyzer(SPAN)またはネットワーク テスト アクセス ポイント(TAP)を使用してネットワーク トラフィックのコピーを集約し、モニタリングと可視化を行います。このパケットブローカリング アプローチは、従来のネットワーク タップやモニタリング ソリューションとは対照的に、シンプルで拡張性とコスト効率に優れたソリューションを実現するもので、セキュリティ、コンプライアンス、およびアプリケーション パフォーマンスのモニタリング ツールを効率的に利用するために大量のビジネスクリティカルなトラフィックをモニタリングする必要のあるお客様に適しています。
さまざまな Cisco Nexus スイッチを使用できる柔軟性と、それらのスイッチを相互接続してスケーラブルなトポロジを形成できる機能を有効活用することにより、複数の入力 TAP ポートまたは SPAN ポートからのトラフィックを集約し、異なるスイッチ間に接続可能な複数のモニタリング ツールにトラフィックを複製および転送することが可能になります。OpenFlow 用の Cisco プラグインと Cisco NX-API エージェントを組み合わせてスイッチとの通信を行うことにより、Cisco Nexus Data Broker は高度なトラフィック管理を可能にします。
また、Cisco Nexus Data Broker は、分離された複数の Cisco Nexus Data Broker ネットワークの管理もサポートします。さらに、分離された複数の Cisco Nexus Data Broker トポロジを同じアプリケーション インスタンスで管理することもできます。たとえば、5 か所のデータセンターを運用しており、独立した Cisco Nexus Data Broker ソリューションを各データセンターに導入する場合は、各モニタリング ネットワークに対して論理パーティション(ネットワーク スライス)を作成することで、1 つのアプリケーション インスタンスを使用して、独立した 5 つの導入環境をすべて管理できます。
Cisco Nexus Data Broker には次の特徴があります。
(注) | OpenFlow モードおよび NX-API モードは、Cisco Nexus 3000 シリーズと Cisco Nexus 9000 シリーズの両方のスイッチでサポートされています。Cisco Nexus 9500 は、NX-API モードでの展開のみをサポートします。Cisco Nexus 3500 は、Openflow モードでの展開のみをサポートします。一度にイネーブルにできるモードは、OpenFlow または NX-API のいずれか 1 つのみです。 組み込みモードの Cisco Nexus Data Broker アプリケーションを起動または停止するには、ofa ファイルをアクティブまたは非アクティブにする必要があります。./runxnc.sh はこのアプリケーションの起動に適した方法ではないため使用しないでください。 一度にイネーブルにできるモードは、OpenFlow または NX-API のいずれか 1 つのみです。 |
(注) |
HTTP メソッドを使用した HTTP トラフィックのレイヤ 7 フィルタリング。
VLAN および MPLS タグの除去。
TAP および SPAN ポート アグリゲーションをサポートするスケーラブルなトポロジ。
入力ソースの TAP ポートおよび SPAN ポートにタグ付けする Q-in-Q。
対称ロード バランシング。
レイヤ 1 からレイヤ 4 の情報に基づいてトラフィックをモニタする一致ルール。
トラフィックを複製して複数のモニタリング ツールに転送する機能。
Precision Time Protocol(PTP)を使用したタイム スタンプ管理。
指定バイト数を超えるパケットの切り捨てによるペイロードの廃棄。
TAP および SPAN アグリゲーション ネットワーク状態の変化への対応。
ロール ベースのアクセス コントロール(RBAC)などのセキュリティ機能、および認証、許可、アカウンティング(AAA)機能用に RADIUS や TACACS を使用した外部 Active Directory との統合。
トラブルシューティングに必要なポート レベルとフロー レベルの両方の統計情報を含む、エンドツーエンドでのパスの可視性。
堅牢な Representational State Transfer(REST)API、およびすべての機能を実行できる Web ベースの GUI。
Open Flow バージョン 1.0 用 Cisco プラグインのサポート。
Cisco Nexus Data Broker をインストールすると、Cisco Nexus 9000 シリーズ スイッチを TAP/SPAN アグリゲーションとしてサポートするために、NX-API プラグインが追加されます。NX-API は JSON-RPC、XML、および JSON をサポートします。Cisco Nexus Data Broker は NX-API を介し、JSON メッセージ形式を使用して Cisco Nexus 9000 シリーズとの通信を行います。
Cisco Nexus Data Broker では、次のことが可能です。
Switched Port Analyzer(SPAN)と Test Access Point(TAP)ポートを分類する。
Cisco APIC を介して Cisco ACI と連携し、SPAN 宛先と SPAN セッションを設定する。
モニタリング デバイスを追加してトラフィックをキャプチャする。
モニタリングの必要があるトラフィックをフィルタリングする。
単一または複数の SPAN および TAP ポートからのパケットを配信ポートを介して複数のモニタリング デバイスに
リダイレクトする。
モニタリング システムを表示および変更できるユーザを制限する。
Cisco Nexus Data Broker では、次の Web ブラウザがサポートされています。
(注) | Javascript 1.5 以降のバージョンをブラウザで有効にする必要があります。 |
Cisco Nexus Data Broker は Java 仮想マシン(JVM)で動作します。Cisco Nexus Data Broker は Java ベース アプリケーションなので、任意の x86 サーバ上で実行できます。最適な結果を得るためには、次の点を推奨します。
2 GHz 以上の 1 個の 8 コア CPU。
最低 16 GB のメモリ。
Cisco Nexus Data Broker アプリケーションをインストールするパーティションに 40 GB 以上の空きハードディスク領域が存在している必要があります。
次のような、Java がインストールされた 64 ビット版 Linux ディストリビューション。
Java 仮想マシン 1.8.0_45 以降。
バックアップと復元のスクリプトを実行するために Python バージョン 2.7.3 以降が必要です。
プロファイルの $JAVA_HOME 環境変数が Java 仮想マシン(JVM)のパスに設定されている必要があります。
トラブルシューティング用に、JDK に含まれる JConsole および VisualVM を追加することを推奨します(ただし、必須ではありません)。
Cisco Nexus Data Broker は Cisco Nexus 3000、3100、3200、3500、および 9000 シリーズ スイッチでサポートされています。ソフトウェアを展開する前に、以下を行う必要があります。
スイッチにログインする管理者権限があることを確認する。
switch# show running-config interface mgmt0 コマンドを実行して、スイッチの管理インターフェイス(mgmt0)に IP アドレスが設定されていることを確認する。
タップ アグリゲーションおよびインライン モニタリング リダイレクションが VLAN フィルタリングをサポートできるように、Cisco Nexus Data Broker で使用する VLAN 範囲をデータベースに追加する(たとえば、構文は vlan <range of VLAN IDs>、VLAN 範囲は <1-3967> など)。
Cisco Nexus シリーズ スイッチで OpenFlow および NX-API モードを実行する場合は、次の前提条件を参照してください。