Cisco Japan Blog
Share

【Interop Tokyo 2014】ネットワークの可視化と企業向けポリシー コントローラ (後篇)


2014年6月9日


Interop Tokyo 2014 のシスコブースでは、ルータやスイッチを活用したネットワークの見える化に加え、企業向けポリシー コントローラ(APIC-EM: Application Policy Infrastructure Controller – Enterprise Module)を参考出展という形で動態展示する予定です。すでに米国では発表されていますが、動いているものを公にお披露目するのは日本初となります。どんなものか興味がある方はきっと多いことでしょう。

interop-2014-en-avc-2-fig1

CiscoLive US 2014(5月にサンフランシスコで開催)にて Cisco APIC Enterprise Module を発表

アプリケーションがネットワークを制御する

APIC-EM によって実現されるのは、音声やビデオ、セキュリティや仮想デスクトップといった企業アプリケーションが、動的にIPネットワーク基盤の仕様を変化させる世界そんな風に捉えていただくと、イメージが沸きやすいかもしれません。

分かりやすい例に IDS(Intrusion Detection System;侵入検知システム)とファイアウォールがあります。すなわち、IDS が検知した不正アクセス情報を元に、自動的に不正端末を遮断するポリシーをファイアウォールに設定する、といったものです。最近では、物理的にも論理的にも散らばったアクセス スイッチの先でのウイルス感染端末検知して動的な隔離したい、フロー属性(ポート番号や IP アドレス)が都度異なっていたり、ときには暗号化されている音声やビデオ アプリケーションを社内ネットワーク全体で優先したい、といった高度なインフラ要件も存在しています。

こういったソリューションはこれまでも存在し、限定された箇所では有効でした。実際、現在のネットワーク技術や機能を活用すれば、原理的には不可能ではありません。ただし、複雑な設定や作業が必要となります。特に、ネットワーク全体での一貫性が重要な QoS ポリシーや ACL ポリシーの変更作業は、すごく大変…というのは運用管理者共通の悩みだと思います。それに加えて装置ごとのコマンド オプションの違いやバージョンの違いも考慮して、設定を作らなければなりません。

こういった上位アプリケーションのポリシー適用要求を一元的に受け付け(ノースバウンド)、機種や箇所を判断の上で適切な設定を生成し、ネットワーク基盤に対しての設定変更(サウスバウンド)を行うコントローラ、これが APIC-EM です。

interop-2014-en-avc-2-fig3

ノースバウンドからのビジネス要求を、各種ネットワーク装置に適用

いろいろな言い方ができると思いますが、これこそが SDN(Software Defined Network)かもしれませんし、上位からの API をひとつに束ねるという意味ではネットワーク装置の抽象化(Abstraction)を具現化した製品といえるかと思います。また、グラフィカル ユーザ インターフェイスを備え、ネットワーク基盤の情報を取得・保持し、設定変更を行うという意味では、従来の(上位 API を備えた)ネットワーク管理製品と何が違うのか?と言われる方もいらっしゃるかもしれませんね。

ACI を企業ネットワークにも!

シスコは 2013年 11月に、ACI(Application Centric Infrastructure)というコンセプトを発表しました。その後、これに関連した製品やソリューションを相次いで発表されています。元々は、迅速なサービス展開や拡張、頻繁な追加変更が求められるデータセンターを対象としたものでしたが、設定変更作業にかかる時間やコストの低減や、複雑なコンフィグレーションをもっとシンプルに扱えないかといった要件は、企業の WAN やキャンパスでも変わらず求められています。そこで、ACI モデルを企業 WAN やキャンパスにも拡張し、企業ネットワークの設定変更や展開作業のシンプル化を支援するべく、APIC エンタープライズ モジュール(APIC-EM)が開発されました。

interop-2014-en-avc-2-fig4

CiscoLive US 2014(5月にサンフランシスコで開催)でのスライド抜粋

リリースに向けて

私も早速、ベータ版を入手して動作確認を行っている最中です。従来の NMS とは利用ケースが全く異なることも多く、「CLI や設定を意識しなくて良い」という点については本当に便利だと思うけれど、それ故に「ルータやスイッチに勝手に設定が行われてしまって、結構不安…」な面も実感します。私自身、まだまだ ACI 的な文化に染まってないのでしょうね。製品の正式リリースに向けて、汎用的な NMS で管理する部分はきちんと管理して、迅速なサービス展開や設定変更に活かせる部分は、積極的に APIC-EM をご提案できるよう、準備を整えて行きたいと考えています。

interop-2014-en-avc-2-fig2

APIC-EM(ベータ版)のGUI

Sourcefire と連携させたデモもあります!

Interop の展示会場では、APIC-EM 単体での動作に加え、シスコのセキュリティ製品である Sourcefire と連携させて、セキュリティ ポリシーを動的に注入するというデモを行う予定です。ぜひ会場にお越しいただき、動いている APIC-EM をご覧ください。

最後に、英語版ですがAPIC-EMについての分かりやすいビデオがありますので、こちらもあわせてご覧下さい。

Tags:
コメントを書く