Cisco SystemsのIntent-based Networkingは、どうネットワークエンジニアの仕事を変えるか：Cisco Live 2017で披露

Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、「THE NETWORK. INTUITIVE.」あるいは「Intent-based Networking」といった言葉を使い、ネットワークの構築・運用、そしてネットワークエンジニアの仕事を変えていくと説明した。これはどういうことなのだろうか。

[三木泉，ITmedia]

　Cisco Systemsは2017年6月、同社イベントCisco Live 2017で、関係者いわく「5年に1度の」大きな発表を行った。説明では「THE NETWORK. INTUITIVE.」（ネットワークが直感的に）、あるいは「Intent-based Networking」（意図に基づくネットワーキング）といった言葉を使っているが、これらは製品名というわけではない。同社のSoftware Defined Networking（SDN）が目指す方向性を示すとともに、関連製品群で実現できる機能を示している。

　Ciscoは相変わらず、「SDN」という言葉を使いたがらない。今回の発表関連の資料にも、SDNという言葉はほとんど見当たらない。もともと、他社のSDNとは出発点も目的も違うという立場だからだ。

　とはいえ、これまでの同社の関連製品群は、確かに他社とは異なる部分を持つものの、（定義にもよるが）SDNの一種だと表現することが可能だった。

　だが、今回Ciscoが発表していることが全て実現するならば、ネットワークの自動化と抽象化は新しい次元に移行すると考えられる。速報記事でも触れたが、ネットワークエンジニアの仕事にも影響を与えることになりそうだ。

　本記事では、Intent-based NetworkingでCiscoが具体的に実現しようとしていることを、取材で把握できた範囲でお伝えする。また、ネットワークエンジニアの仕事の変化についても後半で触れる。

Intent-based Networkingはどういう機能を実現するのか

　Ciscoは狭義のSDNを超えた取り組みを、「Cisco DNA（Digital Network Architecture）」という言葉で語ってきた。Cisco DNAは「アーキテクチャ」ではあるが、Intent-based Networkingで説明していることに通じるメッセージだった。今回の発表では、実現に当たっての基本的な製品構成や関連製品の提供スケジュールが明らかになった。

　すなわち、これまで「将来に向けた方向性」だったものが、具体的な製品群として姿を表そうとしている。

　Intent-based Networking製品群でCiscoが具体的にやろうとしていることは、筆者の理解によれば次の通りだ。

• ネットワーク構築では、「個々の製品（あるいは機器）を（コマンドラインで）設定する」という従来の考え方を転換し、グラフィカルなツールを活用してネットワーク「全体」を机上で設計。これに基づいて、ツールが各ネットワーク製品のコンフィグを透過的に作成して、各製品にプッシュできる。
• 一方、ネットワークの利用に関する設定は、これまでIPアドレスに基づいてVLANやACLを考え、ネットワークエンジニアが各製品のコンフィグに落とし込んでいた。今回の製品群では、IPアドレス同士の通信として設定するやり方から基本的には解放される。例えばユーザー／ユーザーグループとITサービスとの関係を、「どのようなアプリケーションの通信を許すか」「いつ、どこからの通信を許すか」といったポリシーで定義するように変わる。ユーザーや利用形態といったより抽象的な存在をネットワーク利用設定に直接織り込むようになる。これは、ネットワーク機器の構成自動化以上のことを実現するという点で、重要な意味を持つ。
• もう1つの機能の柱に、自動認識／自動制御がある。例えばネットワーク機器から取得するネットワークフロー情報のリアルタイム監視に基づいて、自動的にベースラインを構築。これからかい離する動きが見られると、アラートを出したり、解決策を提示したりできる。現時点でも、セキュリティ製品との連動で、マルウェアが検出されるとネットワーク機器の制御により該当する通信を遮断するといったことができるが、さらにこれを推し進めた機能を提供すると考えられる。ただし、該当製品の提供時期が2017年月11月以降となることもあってか、自動制御についてはどこまでのレベルが実現されるのかが必ずしも明確に示されてはない。Ciscoは、これまでのベストプラクティスを自動制御に生かすとしている。

Intent-based Networkingを構成する要素

　Intent-based Networkingは、基本的にはキャンパスネットワーキングを対象として設計されている。従って、キャンパスネットワーキングのためのSDNコントローラーとしてCiscoが提供してきた「APIC-EM」が利用されている。データセンターネットワーキングについてはどうするのかを確認したところ、APICとポリシーを共有できるという。

Intent-based Networkingを構成する要素

　APIC-EMはこれまでCLIでネットワーク機器の設定を行ってきた。Ciscoのマーケティング担当バイスプレジデントのプラシャント・シェノイ（Prashanth Shenoy）氏に、「Intent-based Networkingではどうなるのか」と聞いたところ、APIで制御すると答えた。このため、対象となるネットワーク機器はCatalystシリーズ、ASRシリーズ、ISRシリーズ、そして無線LANコントローラー／アクセスポイントで、OSとしてCisco IOS-XEを搭載するものになるという。

　Intent-based Networkingを実現する上で中核的な存在は「Cisco DNA Center」だ。APIC-EM上のアプリケーションであり、さまざまな情報に基づき、ポリシー／ルールを構成・実行するための統合ポイントとなる。また、ネットワークエンジニアがネットワークを構築したり、通信状況を可視化したり、ポリシーを設定したりするための、グラフィカルなダッシュボード／管理コンソールとして機能する。

　Cisco DNA Centerは、ユーザー／デバイス情報に基づくネットワークアクセス制御を行う既存製品「Cisco Identity Services Engine（ISE）」、そしてネットワーク情報を収集し、これに対して分析・機械学習を適用する新アナリティクスプラットフォーム製品「Cisco Network Data Platform（NDP）」と連携し、ネットワーク構築・運用の自動化とインテリジェント化を実現するという。

ネットワークエンジニアの仕事はどう変わる？

　Ciscoは上記のようなツールの普及によって、ネットワークエンジニアの仕事が変わると説明している。第1に、ネットワーク構築・運用の自動化が可能になり、第2にユーザーやアプリケーションとネットワークの結び付きが強くなるからだ。

　速報記事では、DNA Centerのインタフェースを、Cisco Merakiに例えて説明した。だが、Merakiほどネットワークの構築が簡単になり、素人でもネットワークを構築できるようになるとはいえない。

　アンダーレイ（物理ネットワーク）の構築では、特に大規模ネットワークの場合、ネットワーク構築技術および使用プロトコルについて知らないと、グラフィカルなコンソールを使ったとしても、ネットワーク機器間の関係を適切に定義することが難しそうだ。

　一方で、オーバーレイ（物理ネットワークを前提とした論理的なネットワーク／セキュリティ）の設定については、こちらも完全な素人が実行できるとは言いにくい。だが、抽象度はかなり高くなっている。例えば、従来のVLANに当たるネットワーク分割は、「Virtual Network」（仮想ネットワーク）というコンセプトに入れ替わっている。DNA Center上で、ユーザー／ユーザーグループやデバイスを、特定のVirtual Networkにドラッグ＆ドロップすれば、この仮想ネットワークに参加させられる。

　ACLについても、例えばユーザー／ユーザーグループと、アプリケーションやITサービスとの間の関係として、グラフィカルに定義することができる。

　つまり、ネットワークエンジニアの役割がなくなるというわけではない。ただし、個々のネットワーク機器に対して、CLIで個別にコンフィグを順次投入していくような作業からは、解放される場面が増えてくる。ネットワークエンジニアは、今回紹介されたような製品群を使って、大規模なネットワーク構築に要する時間と手間を減らすことができる。人的ミスによるトラブルも防ぎやすくなる。

　結局、Intent-based Networking関連製品群をCiscoが提供する目的の1つは、DevOpsの実現にある。DevOpsへの取り組みは、しばしば「Infrastructure as Code」につながる。インフラの準備や運用をプログラムとして実行することで、ネットワークがアプリケーションの都合やユーザーの利用体験を妨げず、逆に機動的に対応し、支えられるようにするということだ。

　Cisco Live 2017で、Ciscoはネットワークエンジニアが基本的なプログラミングを習得できるように、複数の促進策を講じていくとしている。しかし、平均的なネットワークエンジニアが、何をプログラミングするようになるのだろうか。

　最も理解しやすい答えは、より複雑な条件に基づくネットワーク構築・運用の自動化だ。PuppetやChef、Ansibleなどをネットワークの設定に使っている人がいる。そうした人たちのなかには、「こうしたツールでさらに複雑な条件分岐に基づくスクリプティングが行えれば、障害からの修復の自動化など、多様なメリットが得られるのに」と考える人がいる。例えば以前紹介したStackStormは、こうしたニーズに対応するツールの1つだ。

　CiscoのIntent-based Networkingでは、アプリケーションとネットワークとの連動や、イベントに基づくネットワークの自動修復や自動調整などのプロセスを、ネットワークエンジニアがプログラミングするといった未来を想定しているものと考えられる。

（取材協力：シスコシステムズ）