カスタムアプリケーションについて
Cisco Network-Based Application Recognition(NBAR)とは、ネットワークトラフィックに対して SD-WAN Application Intelligence Engine(SAIE)フローを実行し、トラフィック特性に応じてネットワーク アプリケーションを識別する、シスコのテクノロジーです。
 (注) |
Cisco vManage リリース 20.7.1 以前のリリースでは、SAIE フローはディープ パケット インスペクション(DPI)フローと呼ばれていました。 |
ネットワーク アプリケーションにはそれぞれ特有のトラフィック特性があり、それはアプリケーションシグネチャと呼ばれています。シスコでは、こうしたアプリケーションシグネチャを他の情報とともにプロトコルとしてパッケージ化しています。パッケージ化されているのは、一般的に使用される多数のネットワーク アプリケーションをカバーした大規模なプロトコルのセット、プロトコルパックです。プロトコルパックは定期的に更新および配布しています。これらは、NBAR がネットワークのアプリケーショントラフィックを識別するために使用するネットワーク アプリケーション シグネチャのデータベースとなります。
ネットワーク アプリケーションという用語の定義は広く、次に挙げたものすべてを含めることもあれば、それ以外も含めることがあります。
-
ソーシャルメディア Web サイト
-
Voice over IP(VoIP)アプリケーション
-
Cisco Webex などの音声とビデオのストリーミング
-
クラウドストレージ用などのクラウドアプリケーション
-
SaaS アプリケーション
-
組織専用のカスタム ネットワーク アプリケーション
アプリケーションの識別は、ネットワークトラフィックのモニタリング、アプリケーション認識型トラフィックポリシーの設定などに役立ちます。
ネットワーク アプリケーション シグネチャ、プロトコル、およびプロトコルパックと、NBAR によるそれらの使い方をまとめると、次のようになります。
-
ネットワーク アプリケーションのトラフィックには、特定のアプリケーションに属するトラフィックを識別するために使用できる固有の特性がある。これらの特性は、アプリケーションシグネチャと呼ばれている。
-
シスコでは、特定のネットワークアプリケーションのシグニチャをプロトコルとしてパッケージ化している。
-
シスコでは、一般的に使用されるインターネット アプリケーションをカバーした大規模なプロトコルセットをプロトコルパックとしてパッケージ化している。
-
Cisco NBAR は、トラフィックに対して SAIE フローを実行して、トラフィックの送信元を識別するために必要な情報を収集し、プロトコルパックで提供されるようなプロトコルを使用して、その情報を特定のネットワーク アプリケーションと照合する。こうしてNBAR は、ネットワーク内でトラフィックを生成するネットワーク アプリケーションを識別する。
Cisco Software-Defined Application Visibility and Control(SD-AVC)は、Cisco NBAR アプリケーション識別を使用して、ネットワーク内のアプリケーション使用状況に関する情報を提供します。
カスタム アプリケーション
プロトコルパックで提供される標準プロトコルに加えて、カスタムアプリケーションと呼ばれるプロトコルを定義してインターネットトラフィックを識別できます。組織にとって特に関心の高い、独自のネットワーク アプリケーションのために行われます。カスタムアプリケーションは、プロトコルパックで提供されるプロトコルを強化します。
カスタムアプリケーションは他のプロトコルと同じように、設定時に使用できます。
-
Cisco Catalyst SD-WAN ポリシー
-
アプリケーション認識型ルーティング、TCP アクセラレーション、Quality of Service(QoS)など、アプリケーションの Quality of Experience(AppQoE)ポリシー
(注) |
次の用語は、関連するテクノロジーのマニュアル内で、同じ意味で使われます:カスタムアプリケーション、カスタムプロトコル、ユーザー定義アプリケーション |
Cisco Catalyst SD-WAN のカスタムアプリケーション
Cisco Software-Defined AVC(SD-AVC)は Cisco Application Visibility and Control(AVC)のコンポーネントです。一元化されたネットワークサービスとして機能し、ネットワーク内の特定の参加デバイスとともに動作します。Cisco Catalyst SD-WAN のコンポーネントとして含まれている Cisco SD-AVC の機能の 1 つは、カスタムアプリケーションを作成および管理することです。Cisco Catalyst SD-WAN は、SD-AVC REST API を介してこの Cisco SD-AVC 機能を使用して、Cisco Catalyst SD-WAN 内でカスタムアプリケーションを定義できるようにします。
Cisco Catalyst SD-WAN ユーザーとして、Cisco SD-WAN Manager を使用してカスタム アプリケーションを定義できます。その後、Cisco SD-AVC はカスタムアプリケーションをネットワーク内のデバイスにプッシュします。ネットワーク内のデバイスは、カスタムアプリケーションやその他のアプリケーションプロトコルを使用して、デバイスを通過するトラフィックを分析します。
カスタムプロトコルを定義するプロセスには、ネットワークトラフィックを特定のネットワークアプリケーションからのものとして識別する基準を選択することが含まれます。基準には、サーバー名、IP アドレスなど、トラフィックの発信元ホストの特性を含めることができます。
プロトコルとカスタムアプリケーションの優先順位
Cisco NBAR で動作するプロトコルパックに含まれるプロトコルと同じトラフィックの一部に一致するカスタムアプリケーションを定義できます。トラフィックを照合する場合、カスタムアプリケーションは、プロトコルパックのプロトコルよりも優先されます。既存のネットワーク内に SD-AVC を展開する場合、ネットワークトポロジを変更する必要はありません。
カスタムアプリケーションに関する制約事項
-
カスタムアプリケーションの最大数:1100
-
L3/L4 ルールの最大数:20000
-
サーバー名の最大数:50000
-
サーバー名の場合、ワイルドカードとその後に続くピリオド(.)の最大インスタンス数:50000
例:*.cisco.com は www.cisco.com、developer.cisco.com とマッチします
-
サーバー名の場合、サーバー名の一部としてのプレフィックス ワイルドカードの最大インスタンス数: 256
例:*ample.com は www.example.com とマッチします
-
2 つの異なるカスタムアプリケーションへの同じドメインのマッピングはサポートされていません。
-
SD-AVC が最初のパケット分類を実行するには、DNS トラフィックとアプリケーション トラフィックが同じ VRF にある必要があります。
-
CLI を使用したカスタムアプリケーションの作成は、Cisco Catalyst SD-WAN ポリシーではサポートされていません。
-
カスタムアプリケーションのアクティブ化:
-
Cisco vManage リリース 20.5.1 以前のリリースを使用している場合:Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a 以前のリリースを使用しているデバイスの場合、カスタムアプリケーションのアクティブ化は次のようになります。
-
Cisco SD-WAN Manager で作成されたカスタムアプリケーションは、カスタムアプリケーションを使用するポリシーが適用されるまで、可視性機能(トラフィックのモニタリング)または制御機能(トラフィックポリシー)に対してアクティブ化されません。
-
-
Cisco vManage リリース 20.5.1 以降を使用する場合:Cisco IOS XE Catalyst SD-WAN リリース 17.5.1a 以降を使用しているデバイスの場合、カスタムアプリケーションのアクティブ化は次のようになります。
-
Cisco SD-WAN Manager で作成されたカスタムアプリケーションは、プロトコル検出カウンタや Flexible NetFlow(FNF)などのアプリケーション可視性機能(トラフィックのモニタリング)に対してのみすぐにアクティブ化されます。可視性機能のためにのみアクティブ化されている場合、カスタムアプリケーションがトラフィックポリシーに影響を及ぼすことはありません。
-
カスタムアプリケーションがポリシーで使用されている場合は、制御機能(トラフィックポリシー)に対してもアクティブ化されます。
-
-
フィードバック