Comments
Transcript
Cisco NetFlow Generation Appliance:データセン ターにおける
ホワイト ペーパー Cisco NetFlow Generation Appliance:データセン ターにおけるネットワーク可視化の再定義 このドキュメントの内容 近年のデータセンターは、新世代のアプリケーション、サービスの配信ソリューション、およびホスティング モデルを 通じてビジネスを促進します。アプリケーションの数は増加し続けており、アプリケーション アーキテクチャはますま す複雑になり、ワークロードは変動しやすく、トラフィック パターンの予測が難しくなってきています。仮想化、クラウド コンピューティング、高性能コンピューティング、データ ウェアハウス、ディザスタ リカバリ戦略、および現在の環境で 広がっている他の要因により、データセンターにおけるより詳細なトラフィック可視化に対してまったく新しい要件が 発生しています。また、現在のデータセンターは、ネットワークおよびアプリケーション配信の管理、ビジネスの継続 性の確保、および障害発生が収益源に与える影響を削減するための、新しい手法やベスト プラクティスも必要とし ® ています。Cisco NetFlow Generation Appliance(NGA)は次のような課題への取り組みを支援します。 管理の課題 データセンターの複雑化により、IT 管理者には数多くの課題が突きつけられています。 ● セキュリティ:ネットワーク セキュリティ攻撃を検出して阻止し、ビジネス資産を保護できるか。 ● 課金:効率的に利益を上げるネットワーク リソースの使用を、どのように完全に数値化するか。 ● トラブルシューティング:確約したサービス レベルの提供に必要なネットワーク リソースをビジネスに不可欠 なアプリケーションが得ているか。重要ではないアプリケーションのリソースで競合が発生し、ビジネス アプ リケーションに影響を与えているか。 ● 容量計画:ネットワーク負荷を十分に把握し、確実に拡大に向けた計画を行えるか。IT 投資を調整して、ビ ジネス目標を効果的にサポートできるか。 ● リソース最適化:ネットワーク リソースの効率的な使用を確実にできるよう、物理および仮想マシンのネット ワーク トラフィックの傾向を十分に把握しているか。どのようにワークロードのモビリティを効率的にサポート し、ハイブリッド クラウドの導入を活用するか。 ● 運用:ネットワーク デバイスのパフォーマンスに影響を与えずに、どのようにフローを 100 % 可視化できる か。ネットワークを再構成せずに、どのように複数のネットワーク セグメント間でエンドツーエンドの可視化を 実現できるか。 All contents are Copyright © 1992–2012 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 1 of 11 ソリューション:Cisco NetFlow Generation Appliance によるクロスデバイス アプローチで フローを解析 Cisco NGA はクロスデバイス アプローチをフロー分析に導入し、複数のネットワーク セグメント間におけるホップバ イホップのフローの可視性を高めます。この可視性は、スイッチド ポート アナライザ(SPAN)またはネットワーク タッ ® ® プを使用して、Cisco NGA を Cisco Nexus 7000 や 5000 シリーズ スイッチ、および Cisco Catalyst 6500 シ リーズ スイッチなどの複数のネットワーク デバイスに接続し、関心のあるトラフィックのフロー情報をエクスポートす ることによって実現します。このソリューションは、運用効率を向上させ、投資回収率(ROI)を改善し、ネットワーク セキュリティを強化します。 Cisco NGA の概要 Cisco NetFlow Generation Appliance(NGA)3140(図 1)はネットワーク可視化の定義を変えます。フローの可視 化を実現する高性能でコスト効率の高いこのソリューションは、新たな基準を確立します。Cisco NGA により、ネット ワークに関して実際にビジネスに活かせる見識がネットワークおよびセキュリティ管理者に提供され、リソース最適 化、アプリケーション パフォーマンス改善、トラフィック アカウンティング、およびセキュリティの適用に役立てること ができます。 図1 Cisco NGA 3140 フロー可視化を実現する高パフォーマンスのアーキテクチャ Cisco NGA は、多くのデータセンターおよびキャンパス コア展開で一般的な高スループットのギガビット イーサネッ ト ネットワークにおけるフローを可視化するための、専用設計の高パフォーマンスなソリューションです。運用管理を 簡素化するために、アプライアンスをサーバ アクセス レイヤ、ファブリック パス ドメイン、およびインターネット エク スチェンジ ポイントなどの重要な観察ポイントに展開できます。ホップバイホップでのフロー、セキュリティの必要性、 容量計画、トラブルシューティングを分析するために NGA を複数のネットワーク デバイスに接続すれば、可視化の 威力が飛躍的に向上します。 高パフォーマンスおよび展開の柔軟性に対応した設計により、このアプライアンスは SPAN およびネットワーク タッ プを使用して、Cisco Nexus 7000 や 5000 シリーズ スイッチおよび Cisco Catalyst 6500 シリーズ スイッチなどの プラットフォームからネットワーク データを収集します。大規模なアクティブ フロー キャッシュを実装しており、 NetFlow レコード(NetFlow バージョン 5、9、Internet Protocol Flow Information Export(IPFIX))を複数のコレク タにエクスポートするように設定できます。NetFlow データ エクスポート(NDE)レコードは、コレクタ間でのロード バ ランシングまたはフロー レプリケーションを実現するため、重みづけラウンド ロビン(WRR)を使用してエクスポート されます。また、特定の管理アプリケーションのニーズを満たすために、宛先あたり 10 フィルタを使用してエクス ポートをカスタマイズすることができます(図 2)。 All contents are Copyright © 1992–2012 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 2 of 11 図2 Cisco NGA ソリューションのアーキテクチャ 主な利点 ネットワーク ROI の向上 Cisco NGA は、スイッチングとネットワーク リソースの両方の効率的な使用と収益化の向上に役立ちます。 NetFlow 生成機能をネットワーク デバイスからオフロードし、転送パフォーマンスの向上のために CPU サイクルを 使用するオプションを提供します。さらに、ネットワーク使用状況の正確な評価により、ビジネス ニーズをサポートす るための実際のネットワーク リソースの規模を評価できます。この情報は、効率的な収益化のために IT によって実 装される課金またはチャージバック用のメカニズムの基礎にもなります。 運用効率の向上 Cisco NGA により、ネットワーク内の異なる観察ポイント間のフローの可視性を組み合わせて、パフォーマンスの問 題の解決にかかる時間を大幅に短縮できます。この機能は、特にレイヤ 2 ネットワークにおけるネットワークのボト ルネックおよびパフォーマンスに影響を与える動作の特定に効果を発揮します。たとえば、Cisco NGA は、複数の アクセス スイッチとサーバ アクセス VLAN の可視性、およびファイアウォールやネットワーク アドレス変換(NAT)な どのネットワーク サービスの実装前後のフローの比較に使用できます。可視化はトラブルシューティングだけではな く、ネットワーク サービス ポリシーの検証にも役立ちます。つまり、ファイアウォールがフローをドロップし、アプリ ケーションのパフォーマンスに影響を与えている可能性がある場合、インシデントを切り分けます。 All contents are Copyright © 1992–2012 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 3 of 11 図3 デバイス間のフロー可視性 最大 6 つの異なる用途の管理アプリケーションであるコレクタにおけるフロー可視化に同じソースを使用することに より、運用設計の効率も向上します。エクスポートは、複数のコレクタ間で WRR を使用して複製またはロード バラ ンシングされ、宛先ごとにフィルタを適用して特定のアプリケーションのニーズに応じることができます。たとえば、セ キュリティ アプリケーションではすべてのフローの可視化が必要ですが、ネットワークのトラブルシューティングでは、 特定のアプリケーションのトラフィック フローの可視化が必要になると考えられます。 ネットワーク セキュリティの強化 ネットワークへの脅威は、Cisco NGA の最も強力な使用例の 1 つです。Cisco NGA はすべてのフローを可視化し、 問題があると思われるネットワークの動作を検出および分析できるようにマルチホップ フロー情報を提供します。 管理の課題に対処するための Cisco NGA の導入 Cisco NGA は、展開に関する柔軟性を提供するため、幅広い使用例が可能になり、データセンターの管理が容易 になります。一般的な使用例は次のとおりです。 ● サーバ アクセス ネットワーク トラフィックのプロファイリング ● Cisco FabricPath ドメイン間のトラフィックの評価 ● Oracle、FTP、Microsoft Exchange、Citrix Remote Desktop、および Common Internet File Service (CIFS)トラフィックなど、ホステッド アプリケーション トラフィックの可視化 ● アプリケーション パフォーマンスのトラブルシューティング ● 容量計画 ● Quality Of Service(QoS)モニタリングおよび検証 ● トラフィックの動作の可視性による、サイバー脅威の検出 ● Small Computer System Interface over IP(iSCSI)、Network File System(NFS)、Fibre Channel over Ethernet(FCoE)、Serial Attached SCSI(SAS)など、IP ストレージのトラフィック使用率 ● 仮想サーバ環境での仮想マシン間の通信 ● インターネット エクスチェンジ ポイント(IXP)間のピアリング トラフィックの評価 ● ボーダー ゲートウェイ プロトコル(BGP)トラフィックのモニタリング 一部の使用例の詳細については、次のサンプル導入トポロジで説明します。 All contents are Copyright © 1992–2012 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 4 of 11 導入シナリオ 1:Cisco FabricPath ドメイン間での可視性 Cisco FabricPath は、レイヤ 2 にルーティングの安定性とスケーラビリティをもたらす、Cisco NX-OS ソフトウェア に組み込まれた画期的な機能です。スイッチに接続されるドメインのセグメント化が不要であり、データセンター全体 でのワークロードのモビリティを実現します。レイヤ 2 ドメインの拡張性とともに、これはドメイン間でのトラフィック フ ローのエンドツーエンドでの可視化に非常に重要です。この可視性により、仮想マシンのネットワーク トラフィック、 サーバ アクセス VLAN、およびワークロードのモビリティを包括的に把握し、Cisco FabricPath ドメインを容易に管 理することができます(図 4 および 5)。 図4 SPAN を使用したデータセンターでの Cisco NGA 導入 図5 ネットワーク タップを使用したデータセンターでの Cisco NGA 導入 All contents are Copyright © 1992–2012 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 5 of 11 導入シナリオ 2:サーバ アクセス ネットワーク トラフィックのプロファイリング 近年のデータセンターでのコンピューティング インフラストラクチャ(仮想または物理)の密度増加、ワークロードのモ ビリティおよび VLAN の普及に伴う課題の 1 つに、サーバ アクセス ネットワーク トラフィックの評価があります。こ の評価では、ネットワークで実行中のアプリケーションは何か、誰がそのアプリケーションを使用しているか、使用し ている帯域幅の量はどのぐらいか、どの仮想マシンまたはホストがネットワーク上にトラフィックをもたらしているかな どを把握します。Cisco NGA を複数の Cisco Nexus 5000 シリーズ スイッチと組み合わせてサーバ アクセス レイ ヤに導入し、ネットワーク リソースの最適な使用に必要な可視化を実現することができます。Cisco NGA は、特定 のアプリケーション、仮想マシン、ホスト、および VLAN によるトラフィックの動作のプロファイルに役立ちます(図 6)。 図6 サーバ アクセス ネットワーク トラフィックをプロファイリングするための Cisco NGA 導入 導入シナリオ 3:中小企業のデータセンターでの中規模の仮想マシン、スイッチ、およびストレージ リ ソース間での可視性 中小企業(SMB)のデータセンターでは、Cisco NGA のデバイス間フロー可視性を使用して、レイヤ 2 およびレイヤ 3 ドメイン全体を可視化することができます。ネットワークおよびセキュリティ管理者は、ホップバイホップでアクセス スイッチからストレージまでのフローをトレースする、またはネットワーク サービス間のフローをフォローすることがで きます。可視性は、IP ストレージのトラフィック使用率および容量計画、ネットワーク トラフィック上のワークロードの モビリティの効果評価、およびサーバ アクセス レイヤにおけるパフォーマンスの問題のトラブルシューティングなど、 複数の使用例をサポートしています(図 7)。 All contents are Copyright © 1992–2012 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 6 of 11 図7 SMB データセンターでの Cisco NGA 導入 導入シナリオ 4:ファイアウォール ポリシーの検証 クロスデバイス アプローチをフロー可視性に適用することにより、Cisco NGA はファイアウォールなどのネットワー ク サービスの使用前後のフロー可視化にも使用できます(図 8)。アプリケーション パフォーマンスのトラブルシュー ティングの使用例での一般的な手順として、ファイアウォールが特定のフローをドロップしており、サービスの可用性 に影響を与えているかどうかを検証します。同様に、ファイアウォールに適用したネットワーク ポリシーは、可視化に Cisco NGA を使用してトラフィックの動作を観察することにより検証できます。 All contents are Copyright © 1992–2012 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 7 of 11 図8 ファイアウォール ポリシーを検証するための Cisco NGA 導入 レポートおよび管理 企業向け Cisco Prime ソリューションは、IT 部門によるネットワーク管理とサービスの提供をより効率的に行うため の管理製品ポートフォリオであると同時に、革新的な戦略でもあります。Cisco Prime ソリューションは、ネットワーク サービス管理基盤や共通属性の上に構築され、シスコのアーキテクチャ、テクノロジーおよびネットワーク全体にお いて、直感的なワークフロー指向のユーザ エクスペリエンスを提供します。Cisco Prime ソリューションは、ネット ワーク管理の簡素化、運用効率の向上、エラーの削減に貢献し、ネットワーク サービスの提供をより予測可能なも のにします。 Cisco NGA は標準の NetFlow(NetFlow バージョン 5 および 9 および IPFIX)エクスポートをサポートしています。 これらのフォーマットをサポートしている任意の NetFlow コレクタを、Cisco NGA がエクスポートする NetFlow デー タの表示に使用できます。 Cisco Prime Assurance Manager による統合管理ソリューション Cisco Prime Assurance Manager は Cisco Prime ファミリの製品であり、中央集中型のサービス保証管理イン ターフェイスを提供します。Cisco Prime Assurance Manager は、Cisco Prime Network Analysis Module(NAM) および NetFlow、NBAR、Medianet、簡易ネットワーク管理プロトコル(SNMP)、パフォーマンス エージェントなどシ スコ ネットワークで使用可能な組み込み管理機能を使用して、データセンターからブランチ オフィスまでエンドツー エンドの運用の可視性を提供します(図 8)。NetFlow 分析のカスタマイズ可能な、あらかじめパッケージされている ダッシュボードが提供されています。Cisco NGA は、Cisco Prime Assurance Manager 展開のフロー情報のソー スとして導入できます(図 9)。 All contents are Copyright © 1992–2012 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 8 of 11 図9 Cisco Prime Assurance Manager による統合管理 図 10 Cisco Prime Assurance Manager サイト モニタリング ダッシュボード All contents are Copyright © 1992–2012 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 9 of 11 まとめ Cisco NGA はネットワーク可視化の定義を変え、フローの可視化を実現する高性能でコスト効率の高いソリュー ションとして、新たな基準を確立します。この製品は、クロスデバイス アプローチをフロー可視性に導入し、複数の ネットワーク セグメント間のフローを容易にホップバイホップ分析できるようにします。Cisco NGA は、ネットワーク デバイスの転送パフォーマンスに影響を与えずに 100 % の精度を実現します。その結果、セキュリティ、原因究明、 課金、トラブルシューティング、容量計画など、広範な活用が可能になります。 Cisco NGA により、ネットワークに関して実際にビジネスに活かせる見識がネットワークおよびセキュリティ管理者 に提供され、リソース最適化、アプリケーション パフォーマンス改善、トラフィック アカウンティング、およびセキュリ ティの適用に役立てることができます。Cisco NGA は、エクスポート フロー情報に標準の NetFlow 形式をサポート しており、既存の NetFlow レポーティング ソリューションとの相互運用性を実現します。Cisco Prime Assurance Manager と組み合わせて使用することにより、データセンター向けの統合型トラフィック モニタリング ソリューション を提供します。 関連情報 http://www.cisco.com/web/JP/product/hs/netmgt/nga/index.html を参照してください。 付録 アグリゲーションおよびアクセス レイヤの可視性を設定する手順 ステップ 1. Cisco Nexus 5000 シリーズ スイッチ上の ERSPAN および Cisco Nexus 7000 シリーズ スイッチ を指す宛先を設定します。 ● ステップ 2. コマンド リファレンス[英語] Cisco Nexus 7000 シリーズ スイッチ上の EPSPAN 終端を設定します。 ● ステップ 3. コマンド リファレンス[英語] Cisco Nexus 7000 シリーズ スイッチ上の SPAN を設定し、Cisco NGA を指し示すようにします。 ● ステップ 4. コマンド リファレンス (Cisco Nexus 7000 シリーズのみ):ソース スイッチから宛先に RSPAN を設定します。 ● コマンド リファレンス . All contents are Copyright © 1992–2012 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 10 of 11 ©2012 Cisco Systems, Inc. All rights reserved. Cisco、Cisco Systems、およびCisco Systemsロゴは、Cisco Systems, Inc.またはその関連会社の米国およびその他の一定の国における登録商標または商標です。 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です。 「パートナー」または「partner」という用語の使用はCiscoと他社との間のパートナーシップ関係を意味するものではありません。(0809R) この資料に記載された仕様は予告なく変更する場合があります。 お問い合わせ先 シスコシステムズ合同会社 12.08 〒107-6227 東京都港区赤坂9-7-1 ミッドタウン・タワー http://www.cisco.com/jp お問い合わせ先:シスコ コンタクトセンター 0120-092-255(フリーコール、携帯・PHS含む) 電話受付時間 : 平日10:00~12:00、13:00~17:00 http://www.cisco.com/jp/go/contactcenter/