Cisco DNAは、「社内ネットワークを何とかしたい」と思う全ての人のためにある：ビジネスを駆動するネットワークへ

社内ネットワークが、「ビジネスの足を引っ張る存在」から、「ビジネスを促進する基盤」に変身できる仕組み、それが「Cisco DNA」だ。しかも機器の新規購入コストゼロからスタートできる

[PR／＠IT]

PR

　「とにかく、社内ネットワークを何とかしなければ」と思い続けてきた人は多い。だが、これまで社内ネットワークに、十分な予算が割かれることはなかった。ネットワークを改善したいと真剣に考えていても、手をこまねいているしかない状況がそこにあった。

　そうしている間に、社内LANにおけるネットワークセキュリティ対策の重要性の高まり、拠点間トラフィックの急増、クラウドを発端とする社内からのインターネット利用の変化など、ネットワークニーズはここ数年で激変した。「もはやどこからどう手を付ければいいか分からない状態になってしまった」と嘆く人もいる。

　こうした人々にこそ注目していただきたいのが「Cisco DNA」だ。既存のネットワーク機器を生かせるので、一度に大規模な投資をし、再構築をする必要はない。それどころか製品購入コストゼロで始め、社内ネットワークの一部を改善し、これを段階的に全社へ広げることができる。

　しかも、Cisco DNAは、対症療法ではない。社内ネットワークの体質を改善し、その後のネットワーク運用を根本的に変革できる。

シスコシステムズ エンタープライズネットワーク事業担当 執行役員 眞崎浩一氏

　何よりも魅力的なのは、「ビジネスに貢献するネットワーク」への道筋が描けるようになり、ネットワークに投資がしやすくなることだ。

　「企業における社内ネットワークはこれまで、安定運用とコスト削減ばかりが重視されてきました。一方で、事業面では、『新しいビジネスを早く始めなければならない』『様々な変化にリアルタイムで対応できなければならない』という状況になっています。ビジネスの遂行にインターネット活用が組み込まれているなかで、社内ネットワーク運用の遅さや硬直性が足を引っ張るケースも増加しています。そこでCisco DNAでは、社内のLAN、WANに対して自動化と仮想化を包括的に適用し、企業が稼ぐプロセスを積極的に支援するような社内ネットワークへ変身させることを目指しています」と、シスコシステムズ エンタープライズネットワーク事業担当 執行役員の眞崎浩一氏は説明する。

Cisco DNAは、自動化でコストを削減し、セキュリティを向上し、稼げるIT投資につなげるため、社内ネットワークを根本から変革できる現実的なアプローチ

自動化、仮想化、セキュリティ強化がCisco DNAのテーマ

　ではいったい、Cisco DNAとは何なのか。DNAは「デジタルネットワークアーキテクチャ」の略だ。「アーキテクチャ」と聞くと、大金を払わなければその恩恵にあずかることのできない、壮大な製品群提供計画のように聞こえるかもしれない。だが、特定の製品群を導入するのではなく、各企業がやりたいことやこれまでのネットワーク運用の状況等に合わせて、既存のものを含む各種製品を適宜組み合わせ、ネットワークの「体質」を改革できるような体系になっているため、あえて「アーキテクチャ」という言葉が使われている。局所的な対症療法といえる「ソリューション」ではないのだ。

　Cisco DNAの構成要素はシンプルで、ネットワークの現場への適用も複雑ではない。そしてこのアーキテクチャは、ネットワークの日常的な運用について、社内の運用担当者に力を与える一方、企業のネットワーク運用を支援してきたネットワークインテグレーターなどの専門業者におけるサービス化を促進するものになっている。ネットワークがビジネスに貢献するためには、ビジネスのスピードに合ったネットワーク運用が必要だ。日常的な設定変更は自動化が広範に組み込まれ、あえて完全に自動化されない場面でも、専門家でない人が、安心して操作できるようになっている。「設定変更は専門業者に頼みたい」という企業も、専門業者における作業の効率化で、タイムリーな作業が期待できるようになる。

　以下では、Cisco DNAの構成要素を具体的に紹介する。

SDNコントローラーの「APIC-EM」がネットワーク運用を自動化

　Cisco DNAにおける中核的要素は「APIC-EM」。これは企業ネットワークの運用を目的としたSDN（Software Defined Networking）コントローラーだ。「SDN」というと、これまでの議論はデータセンターネットワークに対象を限定していたきらいがあり、しかもOpenFlowなど新しいプロトコルへの対応が前提となることが多かった。

シスコシステムズ エンタープライズネットワーク事業 SEマネージャー 松崎虎雄氏

　APIC-EMは上記とは全く異なる、現実的な意味での社内LAN／WAN向けSDNコントローラーだ。現実的というのは、ネットワーク機器の操作に、CLIを使っているからだ。このため、対象となる機器に、新しいプロトコルの実装は不要だ。既存のシスコ機器を幅広くサポートしている。

　「APIC-EMでは、既存の機器を生かして運用の自動化を進められます。APIC-EM自体も無償のソフトウェアで、基本的な機能の利用にはコストがかかりません。利用における敷居の低さは、重要な特徴の一つです」と、シスコシステムズ エンタープライズネットワーク事業 SEマネージャーの松崎虎雄氏は言う。

APIC-EMでは、既存のシスコ製ネットワーク機器を生かして、ネットワークの可視化と運用自動化が図れる

　APIC-EMではまず、既存ネットワークの可視化ができる。ネットワーク機器やクライアントの情報を取得し、正確な資産管理が迅速かつ自動的にできる。また、ネットワーク機器の設定情報を基に、トポロジーをグラフィカルに表示できる。これで、ネットワークのトラブルシューティングに要する時間を短縮できる。

　「プラグアンドプレイ」と呼ばれる機能では、ネットワーク機器の新規導入や交換の際の設定自動化ができる。新たな機器をネットワークに接続すると、自動的にAPIC-EMと通信。APIC-EMは機器のシリアル番号による識別を基に、設定情報と適切なIOSイメージを送り込むようになっている。こうした、基本的ではあっても正確さを要求される作業の省力化は、非常に大きなメリットをもたらす。

　APIC-EMでは、上記のような機能が、アプリケーションとして提供されている。今後、ネットワーク設定の自動化および抽象化を実現する、多様なアプリケーションが提供されていくという。

　例えば、2016年夏に提供開始予定の音声・ビデオ通信と連携した動的なネットワーク優先制御のアプリケーションでは、ビデオ通信が開始されると、呼制御サーバからの情報を基に、ビデオ優先制御のポリシーが有効化される。そしてビデオ通信が終了すると、このQoSポリシーは無効化される。このように、優先制御が静的なものではなく、インテリジェントなものになっている。

Prime Infrastructureは現場の問題を即座に解決する

　ネットワーク運用の抽象化はうれしいが、その前に各種の一般的な設定作業を省力化したいと考える人には、「Prime Infrastructure」という別の統合設定管理ツールがある。有線・無線双方のネットワークを可視化し、設定作業の省力化が図れる。

　通常、ネットワーク機器の設定変更では、それぞれの機器にログインし、CLIコマンドを駆使して正確な設定を投入しなければならない。Prime Infrastructureでは、多数の雛型が用意されていて、これを基に必要な修正を加えるだけで、投入すべきコマンド群を確定できる。設定の世代管理や差分比較も簡単にできる。

　また、設定をPrime Infrastructureに自動実行させることも可能だ。毎日午後8時に特定の設定変更を行い、翌日午前6時には元に戻すといったことも難なくできる。部署移動による席替えに際して、有線LANポートのVLAN設定を変更するといった細かな単発的設定変更に対応しやすくなるほか、会議室のポートは業務時間内だけ通信を有効にするといったきめ細かな制御も実現できる。

　Prime Infrastructureでは、有線・無線ネットワーク機器の構成管理、端末のアクセス履歴の管理、無線LANの電波状況監視や干渉源の特定、トラフィック情報の管理など、日常的な運用およびトラブルシューティングを支援する機能を、豊富に備えている。

「Enterprise NFV」ってどんなもの？

　「NFV」（ネットワーク機能仮想化）は、通信事業者で活発に取り組みが進められている動きだ。各種のネットワーク処理機能を、専用機器ではなく、サーバ上のソフトウェアとして動かすことを意味している。

　「複雑化しがちなネットワークの運用をできるだけシンプルで柔軟なものにし、さらに統合管理を進めるためには、ソフトウェアやサービスが重要な役割を果たします」と、シスコシステムズ エンタープライズネットワーク事業 ビジネス開発担当の渡邊靖博氏は話す。

シスコシステムズ エンタープライズネットワーク事業 ビジネス開発担当 渡邊靖博氏

　具体的には、シスコの統合ルータである「Cisco ISR 4000シリーズ」、あるいはこれに同社のサーバブレード「Cisco UCS-E」を搭載した構成、もしくは同社のサーバ「Cisco UCS Cシリーズ」上で、仮想ルータ「ISRv」、仮想ファイアウォール「ASAv」、仮想WAN最適化「vWAAS」、仮想無線LANコントローラー「vWLC」が動くようになる。要件次第で、これら全てを単一機器上で稼働することもできる。統合管理・制御に用いるのは、APIC-EM、およびその上のアプリケーションである「Enterprise Service Automation（ESA）」だ。ESAでは、コマンドラインでなくGUIを利用し、導入の自動化ができる。導入したいネットワークソフトウェアを選択し、プラットフォームを選び、ポリシーを設定するだけで、すぐに使い始めることが可能だ。

　シスコはNFVの世界でオープン性は不可欠と考えていて、サードパーティソフトウェアにも対応可能な柔軟性を備えている。

　上記の企業向けNFVを活用することで、ハードウェアのコストを抑制でき、管理すべきハードウェアの種類および数を減らせることは、運用性の向上につながる。また、仮想化プラットフォームの可用性向上機能を活用することで、故障時間を短縮できる。さらに、柔軟なスケーリングができるため、ネットワークサービスをより機動的な存在に変えることが可能だ。

　Enterprise NFVのプラットフォームの一つとしてISR 4000をシスコが選択した背景には、企業の支社や支店といった拠点におけるネットワーク事情が大きく変化していることがある。

　各拠点から業務用アプリケーションの動いているSaaSやIaaSにアクセスするケースが、最近急増している。すると、従来のように、全拠点とインターネットとの間の通信トラフィックを本社経由とするのは時代遅れだ。通信コスト抑制の観点からも、業務用のクラウドサービス利用は、可能な限り各拠点からの直接インターネット接続で賄うことが望ましい。だが、これを安心できる形で実現するには、高度なセキュリティ機能を各拠点に実装しなければならない。Enterprise NFVの目的の一つは、遠隔拠点におけるコスト効率の高い、確実なネットワークサービスの実現だ。

Enterprise NFVの重要な目的の一つは、各拠点からのインターネットサービスへの直接アクセスを実現すること

　ISR 4000は高度なアプリケーション高速化とセキュリティの機能を豊富に搭載してきた。従来は、拠点間接続を改善するものが大部分を占めていた。だが、Cisco DNAに合わせて、各拠点からインターネットへの直接接続を、積極的に手助けしてくれる様々な機能が使えるようになっている。

　まず、「vWAAS」はアプリケーションレベルのWAN高速化機能だが、新たにMicrosoft Office 365の体感速度を向上する機能を搭載している。Office 365では、ハイブリッドモードでも、SaaSオンリーモードでも、端末とサービスとの間で細かなやり取りが発生し、レスポンスを低下させてしまう。そこでvWAASでは、通信の一部をルータ上にキャッシュすることにより、体感速度を向上する。

　また、「Akamai Connect」は、iOSアップデートやWindowsアップデートがCDNサービスのAkamaiを活用していることを生かし、これをキャッシュすることで、社内端末によるダウンロードを高速化する。

　ISR4000は、次世代型IPSの「FirePOWER」を搭載することもできる。クラウドサービスである「Cisco Cloud Web Security（CWS）」へダイレクトに接続することによって、危険なWebサイトへの接続を自動的に遮断し、マルウェアなどの感染を防ぐことができる。こうした機能を通じて、各拠点から直接インターネット接続する構成にまつわる懸念を払しょくしている。

セキュリティではNetFlowを最大限に活用

　Cisco NetFlowは、シスコのネットワーク機器における重要な機能だが、十分に活用されてきたとは言い難い。これは100％のフローを取得できる仕組みで、パケットのサンプリングとは全く異なる。サンプリングではないために、ネットワークパフォーマンス管理だけでなく、セキュリティ対策への適用にも適している。

　Cisco DNAでは、NetFlowが取得するトラフィック情報に、「Cisco StealthWatch」というアプリケーションを通じたセキュリティアナリティクスを適用。この仕組みの活用により、端末・ユーザーレベルで怪しい振る舞いをリアルタイムに検知できる。そして、認証ポリシーサーバのCisco ISEによるユーザー／端末の認証と追跡の機能を組み合わせることにより、防御までを実行できる。

　セキュリティで、Cisco DNAにはもう一つの重要な武器、「Cisco TrustSec」がある。従来のVLANによるネットワークセグメント分割は、どうしても物理的なトポロジーに依存してしまうところがあった。だが、TrustSecでは、トポロジー、VLANの構成とは無関係に、論理的なネットワークセグメント分割を実施できる。これは端末の属性を基に、通信元と通信先の組み合わせによる通信の可・不可を制御するもの。既存のネットワーク構成に変更を加えることなく、インテリジェントなネットワーク分割が実現できる点がポイント。契約社員や協力会社の社員などのネットワークアクセスをきめ細かく制御できるといった点でも、機動的なビジネスを支援できる。

多様性を包含できる柔軟な仕組みを目指して

　一昔前は、「IT統合」が大きな話題となっていた。本社と子会社の情報システムをまとめ、統合管理することで、運用効率を高めようとする取り組みだ。もちろん、今でもこれが必要なケースはある。だが、何がなんでも統合すべきという時代ではないのかもしれない。

　「パブリッククラウドを積極的に活用してきた子会社に、本社のデータセンター利用を強制すべきではないケースも増えてくると考えます。様々なサービスをそれぞれが目的に応じて活用しながらも、これらを統合的に見通せるようになっていて、セキュリティを含めたガバナンスが確保できることこそが重要です」と眞崎氏はいう。

　これからは何よりも、「ビジネススピードの加速化」が、企業ITの最大のテーマとなってくる。ネットワークとセキュリティでこれを支える基盤、それがCisco DNAだ。