Cisco ACIとは
Cisco ACI(Application Centric Infrastructure)は、Cisco社が提供するSDNソリューションの一つで、アプリケーションを中心に据えたネットワークの自動化と統合管理を実現する仕組みです。
一般的にSDNといえばOpenFlowを思い浮かべる人も多いですが、Ciscoは独自のアプローチとしてACIを展開しています。ACIではネットワーク設定や機能を「抽象化」してまとめ、組み合わせたものを プロファイル として管理し、そのプロファイルを専用コントローラである APIC(Application Policy Infrastructure Controller) から機器へ適用します。これにより、従来のように個別に設定を行わず、アプリケーションの要件に合わせてネットワークを柔軟に制御できます。
Spine-Leafアーキテクチャ
Cisco ACIは、Nexus 9000シリーズ のスイッチを基盤とした ACIファブリック で構成されます。
ACIファブリックは Spine と Leaf の二層構造で成り立っており、それぞれ役割が異なります。
- Leafスイッチ:サーバ、既存のネットワーク機器、WANルータ、ファイアウォール、ロードバランサなどが接続される部分
- Spineスイッチ:Leaf間を接続し、バックプレーンとして全体の通信を支える部分
基本的に SpineとLeafはフルメッシュ接続 され、シンプルかつ高性能な通信基盤を実現します。これを Spine-and-Leafアーキテクチャ と呼びます。試験ではACIファブリックの構造が問われやすいため、Leaf=接続、Spine=中継と整理して覚えておくと良いです。
Cisco ACIの構成要素
Cisco ACIは主に以下の2つの要素から成り立っています。
| 要素 | 説明 |
|---|---|
| Cisco APIC | ACI専用のコントローラ。物理アプライアンスとして提供され、冗長化のために最小3台からクラスタを構築。すべてのAPICがダウンしても、Nexus 9000は自律動作を継続するため、ネットワーク停止は発生しない。 |
| Cisco Nexus 9000 | ACIファブリックを構成するスイッチ群。動作モードを切り替え可能で、単体運用の「NX-OSモード」と、APICと連携する「ACIモード」を持つ。ACIモードでは役割がSpineとLeafに分かれる。 |
従来のネットワークとの違いとして、ACIではアプリケーションごとの要件に沿ったポリシーをAPICから一括適用し、ファイアウォールやロードバランサといった外部機器とも柔軟に連携できます。
Cisco ACIにおけるAPI
Northbound API
Cisco ACIのAPICはRESTベースのNorthbound APIを提供しており、外部の管理ツールやクラウド基盤と連携できます。例として以下のものが挙げられます。
- Cisco UCS Director
- OpenStack
- VMware vCloud Director
- Microsoft Azure Pack
これにより、自動化スクリプトやオーケストレーション製品との統合が可能です。
Southbound API
OpenFlowベースのSDNではSouthbound APIに「OpenFlowプロトコル」を使用しますが、Cisco ACIでは OpFlexプロトコル を採用しています。
OpFlexはAPICと各種ネットワーク機器(仮想スイッチ、物理スイッチ、L4/L7デバイス)をつなぐ役割を持ち、シンプルなポリシー定義によって柔軟なプロビジョニングを実現します。OpenFlowが「コントローラが詳細まで制御する方式」であるのに対し、OpFlexは「ポリシーベースで分散制御を実現する方式」と理解しておくと整理しやすいです。
ACIのアプリケーション ネットワーク プロファイル
Cisco ACIの大きな特徴は「アプリケーション ネットワーク プロファイル」によるポリシー管理です。ここでは、通信関係を定義する要素として EPG(Endpoint Group) と Contract が使われます。
| 定義要素 | 説明 |
|---|---|
| EPG(Endpoint Group) | 同じポリシーを適用するサーバ群(物理・仮想)をまとめたグループ。アプリケーションごとに分類されることが多い。 |
| Contract | EPG同士の通信を制御するためのルールセット。ACLやQoS、さらには外部アプライアンス(ファイアウォールやロードバランサなど)を組み込むことも可能。 |
つまり、EPGでグループ化したサーバ間の通信をContractで管理することで、アプリケーション単位のネットワーク制御をシンプルに表現できます。
Cisco ACI – APIC-EMとは
APIC-EM(APIC Enterprise Module) は、Ciscoが提供していた LANやWAN向けのSDNコントローラ です。データセンター向けの APIC に対して、APIC-EMは企業ネットワーク全体を対象にしていました。
既存のCisco機器(Catalystスイッチ、ISR/ASRルータ、WLCなど)をそのまま利用できるため、新規ハードウェアの導入を抑えながら段階的にSDNを導入できる点が特徴です。
ライセンス不要で無償提供されていましたが、現在は販売終了となり、多くの機能が Cisco DNA Center に引き継がれています。試験では歴史的背景を踏まえて「APIC-EMは企業LAN/WAN向け、後継はDNA Center」と整理しておくと良いです。
APIC-EMの役割と機能
APIC-EMは、ネットワーク機器から情報を収集し、ネットワーク全体の構成や通信経路を可視化します。さらに、ポリシーベースでの自動制御を可能にすることで、設定作業の手間を大幅に削減しました。
例えば、「Path Trace App」を使えば送信元から宛先までの通信経路を一目で確認できますし、「Path Trace ACL」を利用すればどのACLルールによってパケットが破棄されたかをGUIで表示できます。これにより、ACL設定の不具合などを迅速にトラブルシュートできるようになります。
また、通信制御のために使用されるプロトコルとして NETCONF(Network Configuration Protocol) をサポートしています。NETCONFはYANGを使ったデータモデリング言語を基盤とし、機器の設定や情報取得を標準化するための仕組みです。
APICとAPIC-EMの違い
| 項目 | APIC | APIC-EM |
|---|---|---|
| 対象 | データセンター | LAN / WAN |
| サポート機器 | Nexus 9000シリーズ中心 | Catalyst、ISR/ASR、WLCなど既存機器 |
| Southbound API | OpFlex | CLI(SSH)、SNMP、NETCONFなど |
| 提供形態 | 有償 | 無償(提供終了済み、DNA Centerへ移行) |
APIC-EMの利点
- 設定とプロビジョニングの簡素化
プロビジョニングやポリシー設定を自動化し、短時間でサービスを展開可能。 - 既存投資の活用
CatalystやISR/ASRなど既存機器をそのまま利用でき、新規導入コストを削減できる。 - オープンAPIによる拡張性
REST APIを利用してプログラマブルな制御が可能。独自アプリや外部システムと連携できる。 - Southbound APIの柔軟性
CLI(SSH)経由の制御も可能で、非対応機器を排除せず導入できる。
APIC-EMでサポートされるアプリケーション
APIC-EMには、ネットワークの導入・運用を支援するアプリケーションが標準搭載されていました。
- IWANアプリケーション
Cisco ISRルータの高度なWAN制御機能を自動化。WAN回線を効率的に利用してトラフィックを最適化。 - PnP(Plug and Play)アプリケーション
新しいルータやスイッチを自動検出し、必要な設定を適用。人手による初期設定を不要にすることで ZTD(Zero Touch Deployment) を実現。 - Path Traceアプリケーション
ネットワーク経路を可視化し、ACLなどによる通信遮断ポイントを特定。トラブルシューティングを効率化。
Cisco SD-Accessとは
Cisco SD-Access(Software-Defined Access) は、Ciscoが提供するエンタープライズ向けSDNソリューションで、SDNコントローラとして Cisco DNA Center を活用します。これに加えて、認証とポリシー管理を担う Cisco ISE(Identity Services Engine) が組み込まれ、ネットワークをアプリケーションやユーザの「意図」に基づいて制御できるようになります。
この「意図に基づいたネットワーク」こそが Intent-Based Networking(IBN) であり、管理者が「どうしたいか(意図)」を定義すると、それを反映するようにネットワーク全体が自動的に構成されます。
SD-Accessの構成要素
Cisco SD-Accessを構成する主な要素は以下の通りです。
| 構成要素 | 役割 |
|---|---|
| Cisco DNA Center | 中核となるSDNコントローラ。自動化、ポリシー設定、アシュアランス、統合管理を実現。 |
| Cisco DNAソフトウェア | 自動化やセキュリティ、予測型モニタリングを支援するソフトウェア群。 |
| Cisco ISE | セキュリティアプライアンス。ユーザやデバイスに基づいてポリシーを適用。 |
| DevNet | APIを利用して自動化や拡張機能を追加可能にする開発者向け環境。 |
| ワイヤレス製品 | 無線LANを最適化し、セキュリティを強化。 |
| ルータ | WAN接続やアプリケーションへのアクセスを提供。 |
| スイッチ | 有線LANを担い、SD-Accessファブリックの基盤を形成。 |
Cisco SD-Accessの4つの利点
SD-Accessは、ネットワークの導入・運用をシンプルにしつつ、セキュリティと信頼性を高めるために次の4つの利点を提供します。
- 自動化
新しいネットワーク機器をプラグアンドプレイで導入でき、有線・無線を一貫して設定可能。 - 分かりやすいポリシー
自動セグメンテーションやグループベースのポリシーによって、柔軟かつ直感的に制御できる。 - アシュアランス
状況に応じたインサイトを提供し、問題解決やキャパシティ計画を支援。
(アシュアランス=「信頼性の保証」と覚えておくと試験で役立つ) - 統合
オープンAPIにより、外部のサードパーティ製品やサービスと容易に連携できる。
これにより、ネットワーク全体のプロビジョニングやポリシー設計をテンプレートベースで一括管理でき、管理者の負担を大幅に軽減します。
Cisco SD-Accessの2つの主要レイヤ
Cisco SD-Accessのアーキテクチャは、大きく次の2つのレイヤで成り立っています。
| レイヤ | 説明 |
|---|---|
| Cisco DNA Center | SDNコントローラとして、自動化・ポリシー・アシュアランス・統合を提供。 |
| SD-Accessファブリック | 実際にデータを転送する物理・論理ネットワーク基盤。 |
SD-Accessファブリックは物理ネットワークを基盤とし、その上に VXLAN を用いた論理ネットワークを構築します。ここでの概念は以下の通りです。
- アンダーレイネットワーク:物理的なネットワーク基盤(ルータ・スイッチなど)
- オーバーレイネットワーク:VXLANを使って構築される仮想ネットワーク
つまり、物理的な機器の上に仮想的なネットワークを重ね合わせ、柔軟なサービス提供を可能にしています。このオーバーレイの仕組みは新しい発想ではなく、MPLS、GRE、LISP、OTVなどの既存トンネリング技術と同じ考え方に基づいています。