インフラストラクチャの運用
インフラストラクチャの運用
Syslog(System Message Logging)
Syslog
・システムの動作状況などのログ(記録)を取ったり、そのログをネットワーク上で転送するための規格
・ログはルータやスイッチ自身のバッファやフラッシュメモリにも保存できるが、Syslogサーバを利用することで、ルータやスイッチのメモリを圧迫せずにより多くのログを保存することが可能
・スイッチやルータで生成したログを一元管理できる
・タイムスタンプ、重大度レベル、メッセージといった情報を記録、表示する
Syslogの出力先
Syslogの出力先には「コンソール」「リモート端末」「バッファ」「Syslogサーバ」などがある
コンソール
・(config)#logging console [レベル]
・logging console・・・コンソールへの出力を有効化(デフォルト:有効)
・[レベル]・・・出力するSyslogメッセージの重大度レベルを変更(デフォルト:7)
・デバイスに直接コンソールに接続している
・PCの画面に出力するSyslog情報を設定
リモート端末(VTY)
・(config)#logging monitor [レベル]
・logging monitor・・・VTYポートへのへの出力を有効化(デフォルト:無効)
・[レベル]・・・出力するSyslogメッセージの重大度レベルを変更
・デバイスのVTYポートにTelnetなどでリモート接続している
・PCの画面に出力するSyslog情報を設定
バッファ
・(config)#logging buffered [バッファサイズ] [レベル]
・logging buffered・・・バッファへの保存を有効化(デフォルトは機種によって異なる)
・[バッファサイズ]・・・ログの保管量を変更(デフォルトは4096バイト)
・[レベル]・・・出力するSyslogメッセージの重大度レベルを変更
・デバイス自身のバッファ(RAM)に出力(保存)するSyslog情報を設定
Syslogサーバ
・(config)#logging host {Syslogサーバ}
・{syslogサーバ}・・・Syslogの宛先になるIPアドレスやホスト名を指定
・(config)#logging trap [レベル]
・[レベル]・・・出力するSyslogメッセージの重大度レベルを変更
・Syslogサーバに出力(保存)するSyslog情報を設定
Syslogメッセージのレベル
0:emergencies(緊急)
1:alerts(警報)
2:critical(重大)
3:errors(エラー)
4:warnings(警告)
5:notifications(通知)
6:informational(情報)
7:debugging(デバッグ)
*レベル(数字)が小さいほど重大。指定したレベル以下の(重要度が高い)メッセージが出力される
IOSのリアルタイムログ出力
1. logging monitor で、リモート端末へのログ出力を有効化する
2.リモート端末上で terminal monitor を実行し、端末上のログ表示を許可する
デバイスの監視
SNMP(Simple Network Management Protocol)
SNMP
・ネットワーク機器を監視・管理する際に使用するプロトコル
・メッセージの転送には161/udp(SNMP)と162/udp(SNMPトラップ)を使う
SNMPコンポーネント
SNMPは以下3つのコンポーネントで構成される
SNMPマネージャ
・SNMPエージェントを監視・管理する機器(サーバ)
・Network Management Station:NMSとも呼ばれる
・SNMPマネージャがMIBのオブジェクトIDを指定して情報を要求する
SNMPエージェント
・SNMPマネージャに監視・管理される機器(ルータ・スイッチ・サーバ)
・異常があると「Trap」メッセージを送信して、SNMPマネージャに異常を通知する
・SNMPエージェントがMIBオブジェクトIDを指定して情報を提供する
MIB(Management Information Base)
SNMPで読み書きできる管理情報(オブジェクト)の集合体
SNMPバージョン
SNMPには「SNMPv1」「SNMPv2c」「SNMPv3」という3つのバージョンが存在する
SNMPv1
SNMPv1では以下のコマンドが定義されている
・Get Request・・・指定のオブジェクトIDに対応した情報の要求
・GetNext Request・・・次のオブジェクトIDに対応した情報の要求
・Set Request・・・SNMPエージェントの制御
・Get Response・・・マネージャからの要求に対する応答
・Trap・・・SNMPエージェントからマネージャへの一方的な状態通知
SNMPv2c
SNMPv2cでは64bitカウンタに対応し、さらに以下のコマンドが追加されている
・GetBulk Request・・・繰り返しの情報の要求
・Inform Request・・・SNMPエージェントからマネージャへの情報通知の要求
SNMPv3
SNMPv3ではSNMPv1やSNMPv2と比べて、メッセージの完全性、認証、暗号化の機能が追加されセキュリティレベルが高くなっている
SNMPセキュリティ
・SNMPv1
セキュリティレベル:noAuthNoPriv
認証:コミュニティストリング
暗号化:無し
内容:コミュニティストリングを照合して認証
・SNMPv2c
セキュリティレベル:noAuthNoPriv
認証:コミュニティストリング
暗号化:無し
内容:コミュニティストリングを照合して認証
・SNMPv3
セキュリティレベル:noAuthNoPriv
認証:ユーザ名
暗号化:無し
内容:ユーザ名を照合して認証
セキュリティレベル:authNoPriv
認証:MD5またはSHA
暗号化:無し
内容:HMAC-MD5またはHMAC-SHAに基づいて認証
セキュリティレベル:authPriv
認証:MD5またはSHA
暗号化:DES/3DES/AES
内容:HMAC-MD5またはHMAC-SHAに基づいて認証
DES/3DES/AESによって暗号化
SNMPv2cの設定確認
・#show snmp community
コミュニティストリング
・#show snmp location
設置場所
・#show snmp contact
管理者情報
・#show snmp host
トラップ送信先
トラップを受信するホスト
・#show snmp chassis
シリアルナンバー
SNMPv3の設定確認
・#show snmp group
グループ
・#show snmp user
ユーザ
・#show snmp engineID
エンジンID
マネージャIPアドレス
ネットワーク仮想化(SDN)
コントロールプレーンとデータプレーン
コントロールプレーン
・パケットやフレームを転送するための情報を管理する
・EIGRPやOSPFなどの動的ルーティングで学習した経路をルーティングテーブルにのせる
・動的学習によりARPテーブルを構築する
・IPアドレスとMACアドレスをひも付けるためのARPやIPv6のNDPもコントロールプレーンの機能
データプレーン
・コントロールプレーンの処理によって確認したパケットやフレームの転送先情報にしたがって、実際にパケットやフレームを転送する
・コントロールプレーンによって学習されていない宛先へのデータは、破棄またはフラッディングが行われる
・受信パケットの宛先アドレスから出力インターフェースを検索
・受信フレームの宛先MACアドレスから出力インターフェースを検索
・アクセスリストによる破棄
・802.1Qヘッダの追加と削除
SDN(Software Defined Network:ソフトウェアで定義されたネットワーク)
SDN
・ネットワーク外部からプログラミングによって制御できるようにする
・各ネットワーク機器に分散して存在しているコントロールプレーンを集中管理し、どのようにパケットやフレームを転送するかを定義する
・定義された情報を各ネットワーク機器に伝え、データプレーンの内容を書き換える
・ネットワーク機器は受け取ったパケットやフレームの宛先をデータプレーンの情報と照合し、定義されたとおりに転送するようになる
・コントロールプレーンの代わりになるものがコントローラ
・SDNコントローラでトラフィックの状況などに合わせて動的にネットワークトポロジを変更できる
・SDNコントローラでVTNを用いてネットワークを仮想化できる
従来型ネットワークとのネットワーク管理方法の違い
・従来型
コントロールプレーン:自律分散
管理の単位:ネットワーク機器
機器の設定:各ネットワーク機器にログインし、コンソールから設定する
ファームウェアの管理:各ネットワーク機器ごとにファームウェアを管理する
ファームウェアの更新は各機器ごとに行う
セキュリティの考え方:ネットワーク機器の出入り口となるインターフェースや、ネットワークの境界となる機器で監視、フィルタリングを行う
・コントローラーベース
コントロールプレーン:中央集中
管理の単位:ネットワーク
機器の設定:期待するネットワーク構成を定義することで、コントローラが定義に従って各ネットワーク機器に適切な設定を行う
ファームウェアの管理:コントローラーで一括してファームウェアを管理する
各機器のファームウェア更新はコントローラーから行う
セキュリティの考え方:NetFlowのようなネットワークのトラフィックを分析する機能を用いて、ネットワーク全体で不審な動きを監視し、対処する
コントローラのインターフェース(NBIとSBI)
・NorthboundInterface(NBI)
コントローラから見た通信相手:プログラム
送受信プロトコル、データ形式
HTTP/HTTPSによってRESTful APIにアクセスする
送受信するデータ形式は主にXMLやJSON(Javascript Object Notation)
アプリケーションレイヤとコントロールレイヤ(コントロールプレーン)の間のインターフェース
・SouthboundInterface(SBI)
コントローラから見た通信相手:制御対象となるネットワーク機器
送受信プロトコル、データ形式
対象機器がサポートするプロトコル
例:OpenFlow、OpFlex、telnet、SSH、SNMP、NETCONE、RESTCONF
コントロールレイヤとインフラストラクチャレイヤ(データプレーン)の間のインターフェース
主なSDNソリューション
・Open SDN
Open Network Foundation(ONF)によるSDN実装
ほぼすべてのコントロールプレーン機能をコントローラに持たせ、ネットワーク機器はデータプレーン機能のみを実行する
・Cisco Application Centric Infrastructure(ACI)
Ciscoによるデータセンター(DC)向けのSDN実装
コントローラにはコントロールプレーンの一部の機能をもたせている
・Cisco APIC Enterprise Module(APIC-EM)
Ciscoによる企業向けのSDN実装
コントローラはネットワーク機器のコントロールプレーンの機能を持たない
OpenFlowやACIをサポートしない既存のネットワーク機器でSDNを実現できるように開発された
Open SDN
・コントロールプレーンが変わる:変わる
・コントロールプレーンの集中度:ほぼすべて
・SBI:OpenFlow
・代表的なコントローラ:OpenDaylight SDN Controller
Cisco Open SDN Controller
Cisco ACI
・コントロールプレーンが変わる:変わる
・コントロールプレーンの集中度:一部
・SBI:OpFlex
・代表的なコントローラ:APIC
APIC Enterprise Module
・コントロールプレーンが変わる:変わらない
・コントロールプレーンの集中度:分散(集中管理なし)
・SBI:CLI(telnet、SSH)、SNMP
・代表的なコントローラ:APIC-EM
コントローラの用語
・SBI
コントローラとネットワーク機器が通信するインターフェースである
サービス抽象化層によってプロトコルごとの差異を吸収する
インテントベースネットワーク(Intent-based Network:IBN)
インテントベースネットワーク
・Ciscoが提唱するSDNのソリューション
・「ソフトウェアで定義する」という段階を一歩進め、「利用者の意図(インテント)に応じたネットワーク環境を自動構築する」ことを可能にしている
・IBNのコントローラとして「Cisco DNA Center」が提供されている
・Cisco DNA Centerと、対応したルータやスイッチを使うことでIBNのソリューションをネットワークに適用できるようになる
SD-Access(Software-defined Access:SDA)
・Ciscoが提供する、IBNに基づいた新しいキャンパスLANの構築手法
・SDAは大きくオーバーレイとアンダーレイによって構成される
アンダーレイ
・ルータやスイッチ、ケーブルなどの物理的なネットワークによって構成される
・すべてがレイヤ3での接続となる
・ルーティングプロトコルにOSPFやIS-ISといったリンクステート型のプロトコルを使用する
・レイヤ2ループの考慮が不要になるため、STP/RSTPは使用しない
・これまでの2階層、3階層モデルの役割分担がなくなり、ディストリビューション層が担当していたデフォルトゲートウェイ機能はPCが接続するエッジノードが担当する
オーバーレイ
・アンダーレイの通信経路などは意識せず、実際に通信を行うエンドポイント(PC、サーバなど)間が直接接続しているように振る舞う仮想的なネットワーク
・エンドポイントからパケットを受け取ったSDAエッジノード間に仮想的な接続(トンネル)を構築し、エッジノード間が直結されているように動作する
・エッジノード間を接続するトンネリングプロトコルとして「VXLAN」を使用する
・VXLANトンネルの宛先アドレスを解決するためのプロトコルとして「LISP」を使用する
ファブリック
アンダーレイとオーバーレイをひとまとめにしたもの
