SDNを実装するには

SDNを実装するには

SDNを実装するソフトウェア、製品一覧

SDNを実装できるソフトウェアや製品について以下の順番で説明します。

  • OpenDayLight
  • Cisco ACI
  • Cisco SD-Access(SDA)

OpenDayLight

OpenDayLightは、最も広く使用されているオープンソースのSDNコントローラになります。

OpenFlowを始め、SDNプロトコルごとに適したコントローラやネットワーク機器が色々、作成されましたが、SDNプロトコルの違いを吸収するため、SDN機器の汎用的な機器を備えられるよう開発されたのが、OpneDayLightです。

OpenFlow、NETCONF、PCEPなど様々なSBIに対応しています。

Cisco ACI

Cisco ACI(Cisco Application Centric Infrastructure)は、データセンター向けに開発された、SDNを実装するためのCisco製品です。

構成

主な構成としては、SDNコントローラとしてAPIC、SBIとしてOpFlexが使用されます。
またインフラストラクチャ層のネットワークは、従来の物理サーバ向けのネットワークに多かった3階層モデルではなく、スパイン/リーフ型のトポロジーによってネットワークが構成されています。

  • SDNコントローラ:APIC(Application Policy Infrastructure Controller)
  • SBI:OpFlex
  • インフラストラクチャ層のネットワーク:スパイン/リーフ型のトポロジー

APICの役割とポリシーについて

通信の許可、拒否などネットワークの設定をまとめたポリシーを作成すると、コントローラであるAPICがポリシーの内容を、インフラストラクチャ層に反映させたネットワークを構築します。

ネットワーク(グループ)分けについて

Webサーバ、データベースサーバなど種目に応じてサーバをEPG(End Point Group)というグループで分けることができ、実質、種目に応じて論理的にネットワークを分けることが可能です。

各グループ間の通信は、ポリシーによって(通信許可するか拒否するかなど)制御できるので、例えばどこかのグループの機器がウイルスに侵されても、他のグループへウイルスの繁殖を防ぐことができ、セキュリティ対策にも適しています。

このようにCisco ACIは、物理的な側面が大きかった従来のデータセンターを、仮想的(論理的に)にグループ(ネットワーク)を分割できることが、データセンター向けのSDNといわれる理由です。

※ APIC-EM【補足】

APICはデータセンター向けのSDNコントローラである一方、APIC-EM(APIC Enterprise Module)はLAN向けのSDNコントローラです。ライセンス不要であり既存のネットワーク機器を介してSDNを実現できます。

現在APIC-EMの提供は終了しており、Cisco DNA CenterをAPIC-EMとして代用できます。

Cisco SD-Access(SDA)

Cisco SD-Access(Cisco Software-Defined Access)は、企業LAN向けに開発された、SDNを実装するためのCisco製品です。

構成

SDNコントローラにはCisco DNA Center、インフラストラクチャ層のネットワークには「SD-Accessファブリックネットワーク」という構成を使用します。

  • SDNコントローラ:Cisco DNA Center(Cisco Digital Network Architecture Center)
  • NBI:REST API
  • SBI:TELNET/SSH、NETCONF、RESTCONF、SNMP
  • インフラストラクチャ層のネットワーク:SD-Accessファブリックネットワーク

SD-Accessファブリックネットワーク①:概要

SD-Accessファブリックネットワークは、物理ネットワーク(アンダーレイ)と物理ネットワーク上にVXLANによって作成された論理ネットワーク(オーバーレイ)の二つを組み合わせたものです。

SD-Accessファブリックネットワーク②:アンダーレイ

SDAアンダーレイは、ルータ、スイッチ、WLCなどのネットワーク機器、ルーティングプロトコルで構成された物理ネットワークです。主に論理ネットワーク(オーバーレイ)が成立できるような基盤となります。

また、ネットワーク機器の全てがIPv4で相互に接続を確立しなければなりません。

アンダーレイの構成

アンダーレイは各機器を以下のように分類する構成になっています。

  • ファブリックエッジノード:PCやサーバなどエンドポイントへ接続する機器です。データを転送する際、カプセル化、非カプセル化を行います。
  • ファブリックボーダーノード: WANルータなどネットワーク外と接続するための機器
  • ファブリックコントロールノード :LISP Map Serverとして動く機器です。

SD-Accessファブリックネットワーク③:オーバーレイ

SDAオーバーレイは、物理ネットワーク(SDAアンダーレイ)を基盤に構成される論理ネットワークです。VXLANとLISPというプロトコルによって成立するネットワークになります。

構成するプロトコル
VXLAN(Virtual eXtensible LAN)

VXLANは、L3ネットワークにおいて論理的(仮想的)なL2ネットワークを構築するトンネリングプロトコルです。パケット(レイヤ3)、イーサネットフレーム(レイヤ2)のそれぞれのカプセル化を始め転送機能をサポートしています。

LISP(Locator/ID Separation Protocol)

EID(エンドポイントのデバイスの識別情報)とRLOC(ネットワーク上の端末の位置を表すもの)を介して論理ネットワーク(オーバーレイ)上のルーティングを実現するプロトコルです。

仮想技術への応用

従来のやり方であれば、セグメント(物理的にネットワーク)が異なる場合、同じIPアドレスを振ることはできません。

しかしVXLANを使用すれば、L3ネットワーク(複数のネットワークが混在するネットワーク環境)でも、論理的にL2ネットワーク(同一のネットワーク内)のような環境を構築できるので、同じIPアドレスが振れる、つまりは物理的に異なる ネットワーク(セグメント)を論理的に同じネットワークとして扱うことができます。

LISP

エンドポイントのデバイスを識別するEID(IPアドレスまたはMACアドレス)と、デバイスのネットワーク上の場所を表すRLOCを介して論理ネットワーク(オーバーレイ)上のルーティングを実現するプロトコルです。

  • EID(Endpoint ID):エンドポイントのデバイスの識別情報
  • RLOC(Routing Locator):デバイスのネットワーク上の場所(RLOCルータのIPアドレス)

LISPを使用することで、エッジノードが全てのエッジノードのIPアドレスを知らなくても通信できるようになります。

◆ルーティングの流れ

  1. エッジノードが転送先のEID(IPアドレス)を元にRLOCの情報をLISP MAP サーバに要求(エッジノード⇒LISP MAP サーバ)
  2. EIDとRLOCの対応表を検索し、宛先のRLOCルータへ接続の可否を確認(LISP MAP サーバ⇒宛先RLOCルータ)
  3. 宛先のRLOCルータから送信元エッジノードへ接続可能なことを通知(宛先RLOCルータ⇒LISP MAP サーバ)
  4. エッジノードは宛先RLOCへのVXLANでトンネルを作成(エッジノード⇒宛先RLOCルータ)

Cisco DNA Center( Cisco Digital Network Architecture Center )

Cisco DNA (Digital Network Architecture)Centerは、SDAのSDNコントローラです。

特徴

有線/無線LANのネットワーク設計、プロビジョニング、ポリシー適用、作成などのオペレーションを、スケーラグループを元にGUIを介してアクセス制御ができるので、ACLと比べ、アクセス管理が容易になります。

構成
  • NBI:REST API
  • SBI:TELNET/SSH、NETCONF、RESTCONF、SNMP

NEXT>> 9章 ネットワークの自動化について