第3回Ciscoルータの変革、ネットワークへのやむなき挑戦③

ビジネス推進本部 第1応用技術部
コアネットワークチーム
横溝 直樹

1990年代中盤のインターネットの爆発的な普及から、接続される端末の変化や利用されるアプリケーションの増加、データセンターネットワークを活用したITインフラの変化により、WANとLANを繋ぐルータに求められる役割もこの数年間で大きな変化を遂げてきました。Cisco Systems社では、エンタープライズ向けルータにおいて、この変化の先を読み、常に新しいアーキテクチャや機能を提供してきました。
今回紹介するルータは、昨年度にリリースされた新しいISR4000シリーズです。その特徴と強みについて説明するとともに、Ciscoルータを初期の頃から取り扱うネットワンシテムズが提供する付加価値も合わせてご紹介していきます。

■Ciscoエンタープライズ向けルータの歴史

無題19

連載インデックス

Ciscoルータが提供するIWANソリューションとは

第1回、第2回と、主にISR4000シリーズの概要、アーキテクチャおよびパフォーマンスについてご紹介をしてきました。今回は、ISR4000シリーズを中心に提供される様々な機能を組み合わせた、WANに対するソリューションをご紹介します。

■IWANを構成する機能群
無題41
引用元:Cisco 「Security Considerations for Intelligent WAN (IWAN) Solution」

Cisco Systems社では、『IWANソリューション』という名称で、WANルータや回線に対する最適化ソリューションを発表しています。『IWAN』とはIntelligence WAN の略称で、主にCisco IOS/IOS-XE ルータを活用して、WANをインテリジェンス化することで、お客様のネットワークトラフィックが増加しているのに合わせて、単純にWAN帯域を増強するのではなく、既存のWAN回線を効率的に運用させるソリューションとなります。このため『IWAN』は、ある機能を指すものではなく、様々な機能群から構成され、お客様の状況に合わせて必要な機能を選択し、提供するモデルとなっています。

この機能群の中で弊社が注目している先進的でより優れているもの、日本の市場にマッチしたものは主に以下の4つとなります。
① 次世代の強力な暗号化技術 Suite-B
② DPI専用装置の実装をベースとしたNBAR2(AVC)
③ WAN回線・インターネット回線の最適化を実現するWAAS / Akamai Connect
④ アプリケーションベースの高度な経路制御を実現するPerformance Routing

詳細まではご説明できませんが、各機能について概要をご紹介していきます。

■次世代の強力な暗号化技術
無題42

Ciscoルータでは、以前より強力な暗号化技術の実装に注力してきました。暗号化専用モジュールの開発にも力を入れており、既存モデルではモジュールを組み合わせることによって、機能追加やパフォーマンスの向上を図ってきました。Cisco ISR G2シリーズでは、ISM-VPNモジュールを搭載することで、Suite-B と呼ばれる次世代暗号アルゴリズムリスト(SHA-2等)をハードウェア上で高速に処理することが可能でした。ISR4000シリーズでは、このような専用モジュールの追加は不要で、内蔵する暗号化チップによってこの機能が最初からハードウェアで処理可能です。また前号でご説明した通り、高パフォーマンスも提供してくれます。
尚、米国や日本の行政機関では、Suite-B に準拠した製品の採用を推奨しているところも多いため、他社との差別化ポイントとしても注目頂ければと思っています。

DPI専用装置の実装をベースとした機能

Ciscoルータでは、従来、通信トラフィックの識別・分類をするための機能として、TCP/UDPポートベースのACL(Access Control List)によるものがサポートされていました。数年前より、NBAR2という機能が実装され、アプリケーションレベルでの識別が可能となりました。このNBAR2 は、Cisco Systems社が提供しているDPI専用装置であるCisco SCEシリーズの実装をベースとしています。実装された初期の頃は、ASR1000シリーズのみ対応となっていたため、SCEとASRという文字を合わせて、”SCEASR”(シーザー)と呼ばれていました。現在では、ISR G2シリーズやISR4000シリーズでもサポートされるようになり、多くのラインナップで本機能が提供されています。

無題43

NBAR2は、他機能とも連携が可能で、以下のようなソリューションが提供できるようになりました。
・NBAR2 + Netflow + PI による利用中のアプリケーションの可視化(上記のイメージ図)
・NBAR2 + QoS によるアプリケーション単位の帯域・優先制御
・NBAR2 + PfR によるアプリケーション単位の経路制御(詳細は後述)

本機能をサポートしたことで、Ciscoルータはさらに付加価値を提供しやくすなり、従来のルータ製品の枠を大幅に広げていると思います。

WAN回線・インターネット回線の最適化(帯域削減)を実現する機能

Cisco Systems社では、WAAS(Wide Area Application Services)と呼ばれるソリューションで、WAN を経由するアプリケーションアクセスを最適化する機能を提供してきました。弊社でも多数の導入実績がありますが、初期の頃は、アプライアンス機器(専用機)でのみ提供されていました。しかし昨今では、ルータと連携する形態も多くサポートされてきました。現在、ISR4000シリーズでWAASソリューションを提供する形態は以下の3つになります。

無題44

① ISR-WAAS
② ISR + UCS-E
③ ISR + UCS(またはアプライアンス機器)

これにより、以前よりも選択肢が増え、お客様に最適な形態を選定できるようになりました。このように様々な形態での提供を実現できるようにしたのは、(a) 『WAAS製品の仮想化』、(b) 『ISRシリーズのアーキテクチャの変革』によるものです。(b) については、本コラムの第1回で簡単にご紹介しましたが、ISR4000シリーズのアーキテクチャがWAASのような仮想化アプリケーションを搭載できるものとなったからです。Cisco Systems社では、ISR4000シリーズ上のCPU/メモリを活用してWAASソリューションを提供する形態を”ISR-WAAS” と呼んでいます。

現時点では、ISR4000シリーズ上のCPUを活用して提供されるアプリケーションは、WAASのみですが、今後サポートされるアプリケーションにも注目していきたいと思っています。

アプリケーションベースの高度な経路制御を実現する機能

ISR4000シリーズでは、通常のルーティングプロトコルより柔軟に、サブネットより細かい単位で経路制御を実現するPfRv3(Performance Routing v3)という機能をサポートしてきました。PfRv3では、以下のような経路制御を実現します。
① ネットワークパフォーマンス(Latency/Loss/Jitter)を監視し、定義したアプリケーション性能ポリシーに従ってアプリケーション通信の経路を制御
② NBAR2にて識別したアプリケーションを、定義したポリシーに従ってアプリケーション毎に利用するWAN回線を選定
今回は主に②についてご紹介したいと思います。従来、Ciscoルータでは、WAN回線の冗長化構成において、両方のWAN回線を活用したい場合、”ECMP”、”PBR” を使用していました。しかし、これらの機能には、それぞれ欠点があります。ECMPについては、通信によっては常に両方の回線を利用することができず、PBR については、制御対象が拡大するほど設定やメンテナンスの複雑化が懸念されます。

PfRv3では、これらの問題を解決し、(c)『単一管理ポイント』で (d)『アプリケーション単位』のWAN回線の選択を可能とします。
無題45

(c)については、上図の通り、本社やDC などに設置したドメインコントローラーと呼ばれる装置(※Cisco IOSルータに1つの機能として実装されている)がアプリケーション毎のWAN回線の選択などの設定を行います。支店などのルータはドメインコントローラーと接続するための設定をするだけで完了となり、以後、ポリシーの変更などは、全てドメインコントローラー上で設定を行います。このため、メンテナンス負荷もPBRに比べて非常に少なくなります。

無題46

(d)については、上図の通り、通常の業務通信では広域イーサ回線を利用し、セキュリティパッチなどのバーストトラフィックはインターネット回線(インターネットVPN)を利用することが可能です。これを実現できたのは、上述したNBAR2という機能と連携し、アプリケーションを識別させることができたためです。尚、PfRv3は本社や拠点など1つのドメインに含まれる全てのルータで動作させるため、戻りの通信(上図の拠点→本社向けのトラフィック)においても非対称とならないよう自動で制御されます。さらにPfR3は、障害などで制御ができなくなった場合には、通常のルーティングテーブルの処理にフォールバックされます。このため、ドメインコントローラの障害により、全ての通信が止まってしまうなどといったことは起こりません。

このように本機能は、従来、バックアップとして保持していた回線を有効活用でき、さらにアプリケーションベースでダイナミックに最適な経路選択を行ってくれる画期的なものです。まだリリースされてから1年ほどの機能ではありますが、弊社では積極的に評価・検証を行っております。デモなど具体的な動作をご覧になりたい場合には、是非、弊社営業までお問合せ下さい。

Ciscoが提供する管理ツール

Cisco Systems社では、キャンパスLAN環境において主にWLC(Wireless LAN Controller)やAP(Access Point)などのWireless製品の管理を行うツールとして、PI(Prime Infrastructure)が提供されていました。昨今では、このPI にて、ルータ製品の管理・監視も可能となりました。まだ実装がされたばかりではありますが、今回ご紹介したIWANソリューションに含まれる機能をPIから設定や監視を行うことも可能です。

無題47
引用元:Cisco「PI 2.2(Service > IWAN)の画面」

また、ルータでNBAR2およびNetflow機能を活用することで、ユーザのHTTPトラフィック内のURL情報およびそのURLのレスポンスタイムをグラフにて確認することが可能です。もちろん、プロトコルやURLの識別、ネットワークパフォーマンスの測定はルータで行っており、Netflow(正しくはFlexible Netflow)を活用して情報を送り、PIはその情報を元に以下のようなグラフを表示させることができます。

無題48
引用元:Cisco「PI 2.2(Performance > Top N URL By Hits, Top N URL By Response Time)の画面」

このようにPIでは、ルータに特化した機能実装も行われています。まだ発展途上の段階ではありますが、今後もIWAN機能との連携や日本向けの対応も強化していくようですので、弊社内でも評価・検証を行い、情報を展開していきたいと考えておりますので、ご期待下さい。

まとめ

3回の連載にて、拠点向けの最新ルータ ISR4000シリーズと、拠点WAN に対する最適化を行うIWANソリューションをご紹介しました。ネットワークを通過するコンテンツやアプリケーションの量が急増する中、拠点ルータおよびWAN回線の最適化は必要不可欠です。単純にWAN帯域を増強するのではなく、今回ご紹介したISR4000シリーズとIWANソリューションに含まれる機能を活用し、WAN回線の効率運用をご検討頂ければと思っております。

関連記事

・Cisco Intelligent WAN
http://www.cisco.com/web/JP/solution/enterprisenet/intelligent-wan/index.html
・Cisco Prime Infrastructure
http://www.cisco.com/web/JP/product/hs/netmgt/prime_infra/index.html

執筆者プロフィール

横溝 直樹
ネットワンシステムズ株式会社 ビジネス推進本部 第1応用技術部 コアネットワークチーム
所属
ネットワンシステムズに新卒入社し、9年間主にシスコ社ルータ製品(ISR/ASR1000シリーズ)の担当として、評価・検証および様々な案件サポートに従事
ルータ製品(ルーティング、VPN、QoS等)
エンタープライズSDN/SD-WAN を促進させるため、シスコ社が推奨するIWANソリューションに関連する機能の評価、およびコントローラとなるPIとの連携検証を実施中
・CCIE RS #46494
・JNCIP-SP
・BCVRP
・情報処理「ネットワークスペシャリスト」

イベント/レポート

pagetop