Zenn
😊

SDNの標準化と主要プロトコル

2024/12/29に公開
network
CISSP
sdn
tech

前回までの内容

全体マップ(Qiita投稿)
→ 現在は「4.1.5. SDN(Software-Defined Networking)」について執筆中
当方、凡人ゆえに数か月でCISSP合格をするのは不可能なので、ごく普通に数年計画です。
SDNの概念と原理
SDNアーキテクチャの構成要素
コントローラーの主要機能
SDNのセキュリティ上の利点と課題
SDNの実装と運用管理
SDNと従来のネットワークの比較

主要プロトコルマップ

OpenFlow

OpenFlowは、SDN(Software-Defined Networking)の実現に不可欠な標準プロトコルの一つです。
このプロトコルは、ネットワークスイッチやルーターのフォワーディング機能を制御するために使用され、SDNコントローラーとネットワークデバイス間の通信を可能にします。

OpenFlowの主要な特徴と機能

OpenFlowの基本概念

OpenFlowは、ネットワークデバイスのコントロールプレーンとデータプレーンを分離するという SDNの基本原則を実現するためのプロトコルです。
これにより、ネットワーク管理者は中央集中型のコントローラーを通じて、ネットワーク全体のトラフィックフローを柔軟に制御できるようになります。

具体例
大規模なデータセンターで、OpenFlowを使用してトラフィック制御を行う場合、管理者はSDNコントローラー(例OpenDaylight)を通じて、数千台のスイッチのフローテーブルを一元的に管理し、リアルタイムでトラフィックの最適化を行うことができます。

OpenFlowのバージョン

OpenFlowプロトコルは、その登場以来、継続的に進化しています。
主要なバージョンとその特徴は以下の通りです

  • OpenFlow 1.0最初の広く採用されたバージョン。
    基本的なフロー制御機能を提供。

  • OpenFlow 1.3現在最も広く使用されているバージョン。
    複数のフローテーブル、グループテーブル、メーターテーブルなどの機能を追加。

  • OpenFlow 1.5最新の主要バージョン。
    エグレステーブル、パケットタイプなどの高度な機能を導入。

具体例
OpenFlow 1.3を使用したネットワークでは、QoS(Quality of Service)の実装が容易になります。
例えば、ビデオストリーミングトラフィックに高優先度を設定し、バックグラウンドのデータ転送よりも優先的に処理することができます。

OpenFlowのコンポーネント

OpenFlowプロトコルは、以下の主要コンポーネントで構成されています

a. フローテーブル
パケットの処理ルールを定義するテーブル。
各エントリには、マッチングフィールド、アクション、統計情報が含まれます。

b. セキュアチャネル
OpenFlowスイッチとコントローラー間の通信を暗号化し、セキュアに保護するためのチャネル。

c. OpenFlowプロトコル
コントローラーとスイッチ間でメッセージをやり取りするためのプロトコル。
フローエントリの追加、変更、削除などの操作を可能にします。

具体例
大学のキャンパスネットワークで、OpenFlowを使用してネットワークセグメンテーションを実装する場合、管理者はフローテーブルを使用して、学生、教職員、ゲストユーザーごとに異なるネットワークポリシーを適用できます。
例えば、ゲストユーザーのトラフィックを特定のVLANに制限し、センシティブなリソースへのアクセスを防ぐことができます。

OpenFlowの動作プロセス

OpenFlowの基本的な動作プロセスは以下の通りです

a. パケット受信OpenFlowスイッチがパケットを受信します。
b. フローテーブル照合受信したパケットのヘッダー情報をフローテーブルと照合します。
c. マッチング

  • マッチした場合定義されたアクションを実行します(転送、破棄など)。
  • マッチしなかった場合パケットをコントローラーに送信し、処理方法を問い合わせます。
    d. コントローラーの応答コントローラーが新しいフローエントリを作成し、スイッチに送信します。
    e. フローテーブルの更新スイッチが新しいフローエントリをフローテーブルに追加します。

具体例
eコマースサイトのトラフィック制御で、OpenFlowを使用する場合を考えます。
新規顧客からのHTTPリクエストがOpenFlowスイッチに到着すると、既存のフローテーブルにマッチするエントリがないため、パケットがコントローラーに送られます。
コントローラーは、このトラフィックを適切なWebサーバーに転送するための新しいフローエントリを作成し、スイッチに送信します。
これにより、以降の同様のリクエストは、コントローラーを介さずに直接処理されるようになります。

OpenFlowの利点

OpenFlowの主な利点は以下の通りです

a. プログラマビリティネットワーク動作をソフトウェアで柔軟に制御できます。
b. 中央集中型管理ネットワーク全体を一元的に管理できるため、運用効率が向上します。
c. ベンダー非依存異なるベンダーの機器でも統一的な管理が可能になります。
d. 動的なトラフィック制御リアルタイムでネットワークの最適化が可能です。
e. イノベーションの促進新しいネットワークアプリケーションやサービスの迅速な開発と展開が可能になります。

具体例
大規模なクラウドプロバイダーがOpenFlowを採用することで、異なるベンダーの機器が混在する環境でも、統一的なネットワーク管理が可能になります。
例えば、Cisco、Juniper、Arista製のスイッチが混在する環境でも、単一のSDNコントローラーを使用して、全てのデバイスを一元管理し、動的にトラフィックを最適化することができます。

まとめ

結論として、OpenFlowはSDNの実現に不可欠なプロトコルであり、ネットワークの柔軟性、効率性、管理性を大幅に向上させる可能性を秘めています。
ただし、その導入には適切な計画と専門知識が必要であり、組織のニーズと既存のインフラストラクチャを十分に考慮する必要があります。

NETCONF

NETCONFは、ネットワーク機器の設定管理を行うためのプロトコルで、SDN(Software-Defined Networking)環境において重要な役割を果たします。
XML(Extensible Markup Language)ベースのプロトコルであり、ネットワークデバイスの設定、管理、監視を効率的に行うことができます。

NETCONFの主要な特徴と機能

NETCONFの基本概念

NETCONFは、IETF(Internet Engineering Task Force)によって標準化されたプロトコルで、ネットワーク機器の設定管理を自動化し、一貫性を保つことを目的としています。
NETCONFは、従来のCLI(Command Line Interface)やSNMP(Simple Network Management Protocol)に代わる、より強力で柔軟な管理手法を提供します。

具体例
大規模な企業ネットワークで、100台以上のルーターの設定を一括で変更する必要がある場合、NETCONFを使用することで、各デバイスに個別にログインして設定を変更する必要がなくなります。
代わりに、中央の管理システムから一度の操作で全デバイスの設定を更新できます。

NETCONFの主要機能

a. 構造化データモデル
NETCONFは、YANG(Yet Another Next Generation)と呼ばれるデータモデリング言語を使用して、ネットワークデバイスの設定と状態情報を記述します。
これにより、デバイスの設定を明確かつ一貫した方法で表現できます。

b. トランザクション型の設定変更
NETCONFは、設定変更をトランザクションとして扱います。
これにより、複数の設定変更を一括で適用したり、エラーが発生した場合に変更をロールバックしたりすることが可能になります。

c. 候補設定と実行設定の分離
NETCONFでは、現在実行中の設定(running configuration)とは別に、候補設定(candidate configuration)を作成し、検証してから適用することができます。
これにより、設定ミスによるネットワーク障害のリスクを軽減できます。

具体例
金融機関のネットワーク管理者が、ファイアウォールの新しいセキュリティポリシーを導入する際、NETCONFを使用して候補設定を作成し、テスト環境で検証した後、本番環境に適用することができます。
問題が発生した場合は、即座に以前の設定にロールバックすることが可能です。

NETCONFの動作プロセス

NETCONFの基本的な動作プロセスは以下の通りです

a. セッション確立クライアント(管理システム)がNETCONFサーバー(ネットワークデバイス)とセキュアな接続を確立します。
b. 能力交換クライアントとサーバーが互いにサポートする機能を交換します。
c. 操作実行クライアントがRPC(Remote Procedure Call)メッセージを使用して、設定の取得、変更、検証などの操作を要求します。
d. 応答処理サーバーが操作を実行し、結果をクライアントに返します。
e. セッション終了操作が完了したら、クライアントがセッションを終了します。

具体例
クラウドサービスプロバイダーが、新しい顧客向けにVLAN設定を行う場合、NETCONFを使用して以下のような手順で操作を行います

  1. 管理システムがスイッチとNETCONFセッションを確立
  2. 新しいVLAN設定をXML形式で記述し、edit-config操作を使用して送信
  3. スイッチが設定を適用し、結果を返送
  4. 管理システムが設定の適用を確認し、セッションを終了

NETCONFのセキュリティ

NETCONFは、セキュアな通信を確保するために以下の機能を提供します

a. トランスポートレイヤーセキュリティ
通常、SSH(Secure Shell)またはTLS(Transport Layer Security)を使用して、クライアントとサーバー間の通信を暗号化します。

b. 認証と認可
ユーザー認証とアクセス制御を行い、許可された管理者のみがデバイスの設定を変更できるようにします。

c. 整合性チェック
設定変更の整合性を確認し、不正な設定や矛盾する設定を防止します。

具体例
多国籍企業のネットワーク管理者が、海外拠点のルーター設定を変更する場合、NETCONFを使用することで、SSHによる暗号化された通信チャネルを通じて安全に操作を行うことができます。
また、二要素認証を組み合わせることで、不正アクセスのリスクをさらに低減できます。

NETCONFとSDNの関係

NETCONFは、SDNアーキテクチャにおいて重要な役割を果たします

a. プログラマブルインターフェース
NETCONFは、SDNコントローラーがネットワークデバイスを制御するための標準化されたインターフェースを提供します。

b. マルチベンダー環境のサポート
異なるベンダーのデバイスでも、NETCONFを使用することで統一的な管理が可能になります。

c. 自動化とオーケストレーション
NETCONFのプログラマブルな特性により、ネットワーク設定の自動化とオーケストレーションが容易になります。

具体例
大規模なデータセンターで、SDNコントローラー(例OpenDaylight)がNETCONFを使用して、異なるベンダーのスイッチやルーターの設定を一元管理する場合を考えます。
新しいサービスの展開時に、コントローラーは各デバイスにNETCONFを通じて適切な設定を自動的に適用し、ネットワーク全体の一貫性を保つことができます。

まとめ

結論として、NETCONFは、SDN環境におけるネットワーク管理の効率化、自動化、セキュリティ強化に大きく貢献するプロトコルです。
その構造化されたアプローチと強力な機能セットにより、複雑なネットワーク環境での設定管理を大幅に改善し、運用コストの削減とネットワークの信頼性向上を実現します。

OVSDB

OVSDBは、Open vSwitch Database Managementの略称で、Software-Defined Networking (SDN)環境において重要な役割を果たすプロトコルです。
このプロトコルは、Open vSwitch(OVS)と呼ばれるオープンソースの仮想スイッチの設定と管理を行うために設計されました。
OVSDBは、SDNコントローラーとOVSインスタンス間の通信を可能にし、ネットワーク設定の効率的な管理を実現します。

OVSDBの基本概念

OVSDBは、JSON-RPCベースのプロトコルで、Open vSwitchの設定データベースにアクセスし、管理するために使用されます。
このプロトコルにより、SDNコントローラーやその他の管理ツールは、OVSの設定を動的に変更し、ネットワークの状態を監視することができます。

具体例
大規模なクラウド環境で、数千台の仮想マシン(VM)が動作している場合、OVSDBを使用することで、各VMに接続された仮想スイッチの設定を中央から効率的に管理できます。
例えば、新しいVMを追加する際に、適切なVLAN設定やQoSポリシーを自動的に適用することが可能になります。

OVSDBの主要機能

a. データベース操作
OVSDBは、Open vSwitchの設定データベースに対して、読み取り、書き込み、更新、削除などの操作を提供します。
これにより、ネットワーク管理者やSDNコントローラーは、スイッチの設定を柔軟に変更できます。

b. トランザクション処理
複数の設定変更を単一のトランザクションとしてまとめて処理することができ、設定の一貫性を保証します。

c. 通知機能
データベースの変更をリアルタイムで監視し、変更が発生した場合に通知を送信する機能を提供します。

d. スキーマ定義
OVSDBは、JSONスキーマを使用してデータベースの構造を定義します。
これにより、データの整合性が保たれ、誤った設定の適用を防ぐことができます。

具体例
大学のキャンパスネットワークで、学生の入学や卒業に伴って頻繁にネットワーク設定を変更する必要がある場合、OVSDBを利用することで、以下のような操作を自動化できます

  1. 新入生のVLAN割り当て
  2. 卒業生のアクセス権限の削除
  3. 一時的なゲストアクセスの設定
  4. ネットワークリソースの使用状況の監視と動的な帯域幅割り当て

OVSDBの動作プロセス

OVSDBの基本的な動作プロセスは以下の通りです

a. 接続確立クライアント(SDNコントローラーなど)がOVSDBサーバー(Open vSwitchインスタンス)と接続を確立します。

b. スキーマ取得クライアントがデータベースのスキーマ情報を取得します。

c. 操作実行クライアントがJSON-RPCメッセージを使用して、データベースの読み取りや更新などの操作を要求します。

d. 応答処理サーバーが操作を実行し、結果をクライアントに返します。

e. 通知監視クライアントは必要に応じて、データベースの変更通知を監視します。

具体例
SDNコントローラーが新しいセキュリティポリシーを適用する場合、以下のような手順でOVSDBを使用します

  1. コントローラーがOVSDBサーバーに接続
  2. 現在のACL(アクセス制御リスト)設定を読み取り
  3. 新しいセキュリティルールをACLテーブルに追加
  4. 変更をコミットし、適用されたことを確認
  5. 変更通知を監視して、他の管理ツールと同期

OVSDBとSDNの統合

OVSDBは、SDN環境において以下のような重要な役割を果たします

a. 中央集中型管理
SDNコントローラーは、OVSDBを通じて多数のOpen vSwitchインスタンスを一元管理できます。

b. 動的なネットワーク設定
ネットワークの状態やポリシーの変更に応じて、リアルタイムでスイッチの設定を更新できます。

c. ネットワーク仮想化のサポート
OVSDBは、VXLANやGREなどのオーバーレイネットワーク技術の設定をサポートし、柔軟なネットワーク仮想化を実現します。

d. マルチテナント環境の管理
クラウド環境などで、テナントごとに独立したネットワーク設定を管理することができます。

具体例
大規模なIaaSプロバイダーが、顧客ごとに独立したネットワーク環境を提供する場合、OVSDBを活用して以下のような操作を自動化できます

  1. 新規顧客のオンボーディング時に、専用のVXLANネットワークを設定
  2. 顧客のリソース使用状況に応じて、動的にQoSポリシーを調整
  3. セキュリティイベントに応じて、リアルタイムでACLを更新
  4. 複数のデータセンター間で一貫したネットワーク設定を維持

OVSDBのセキュリティ考慮事項

OVSDBを使用する際は、以下のセキュリティ対策を考慮する必要があります

a. 通信の暗号化
OVSDBサーバーとクライアント間の通信をSSL/TLSで暗号化し、データの機密性を保護します。

b. 認証と認可
クライアントの認証を適切に行い、権限のある操作のみを許可するアクセス制御を実装します。

c. 監査ログの記録
データベースへのアクセスや変更操作を詳細に記録し、セキュリティ監査やトラブルシューティングに活用します。

d. 整合性チェック
スキーマ定義に基づいて、設定変更の整合性を確認し、不正な設定や矛盾する設定を防止します。

具体例
金融機関のプライベートクラウド環境で、OVSDBを使用してネットワーク設定を管理する場合、以下のようなセキュリティ対策を実装できます

  1. OVSDBサーバーへのアクセスを特定のIPアドレスからのみ許可
  2. 管理者の操作に対して多要素認証を要求
  3. すべての設定変更を詳細に記録し、定期的に監査を実施
  4. 重要な設定変更に対して、承認ワークフローを導入

まとめ

結論として、OVSDBは、SDN環境におけるOpen vSwitchの効率的な管理と制御を可能にする重要なプロトコルです。
その柔軟性と拡張性により、複雑なネットワーク環境での設定管理を大幅に簡素化し、ネットワークの俊敏性と信頼性を向上させます。
ただし、適切なセキュリティ対策を講じることが不可欠であり、組織のセキュリティポリシーに沿った運用が求められます。

その他のSDN関連プロトコル

SDN(Software-Defined Networking)の世界では、OpenFlow、NETCONF、OVSDBの他にも、ネットワークの制御と管理を効率化するための様々なプロトコルが存在します。
これらのプロトコルは、SDNの柔軟性と拡張性を高め、より効果的なネットワーク運用を可能にします。

重要なSDN関連プロトコルとその特徴

PCEP (Path Computation Element Protocol)

PCEPは、ネットワーク内の最適なパスを計算するためのプロトコルです。
主にMPLS(Multiprotocol Label Switching)やSDN環境で使用されます。

特徴

  • 集中型のパス計算エンジン(PCE)を使用
  • ネットワークリソースの最適化
  • トラフィックエンジニアリングの効率化

具体例
大規模なISP(Internet Service Provider)ネットワークで、PCEPを使用して動的にトラフィックルーティングを最適化する場合

  1. ネットワーク輻輳を検出
  2. PCEに最適なパス計算を要求
  3. 新しいパスに基づいてトラフィックを再ルーティング
  4. ネットワークパフォーマンスの向上とレイテンシの削減を実現

BGP-LS (Border Gateway Protocol - Link State)

BGP-LSは、BGPを拡張してリンクステート情報を伝播するためのプロトコルです。
SDNコントローラーがネットワークトポロジを把握するのに役立ちます。

特徴

  • 大規模ネットワークのトポロジ情報収集
  • SDNコントローラーとルーティングプロトコルの統合
  • マルチドメインSDN環境のサポート

具体例
複数のデータセンターを持つグローバル企業が、BGP-LSを使用してエンドツーエンドのネットワーク可視性を確保する場合

  1. 各データセンターのBGPルーターがリンクステート情報を収集
  2. BGP-LSを通じてSDNコントローラーに情報を伝達
  3. コントローラーが全体的なネットワークトポロジを構築
  4. 最適なパスの計算やトラフィック最適化を実現

LISP (Locator/ID Separation Protocol)

LISPは、IPアドレスをロケーター(位置情報)と識別子に分離することで、ネットワークのスケーラビリティと効率性を向上させるプロトコルです。

特徴

  • アドレス空間の効率的な利用
  • モビリティサポートの向上
  • マルチホーミングの簡素化

具体例
クラウドサービスプロバイダーがLISPを導入して、動的なワークロード移行を実現する場合

  1. 仮想マシン(VM)に固有のIDを割り当て
  2. VMの移動時にロケーター情報のみを更新
  3. クライアントはVMのIDを使用して接続を維持
  4. シームレスなVMの移動と負荷分散を実現

I2RS (Interface to the Routing System)

I2RSは、ルーティングシステムとの対話を可能にするインターフェースプロトコルです。
SDNコントローラーがルーティング決定に直接影響を与えることができます。

特徴

  • リアルタイムのルーティング制御
  • プログラマブルなルーティングポリシー
  • 既存のルーティングインフラストラクチャとの統合

具体例
金融機関が高頻度取引システムのためにI2RSを使用する場合

  1. ネットワーク遅延をリアルタイムで監視
  2. 最適なルートを動的に計算
  3. I2RSを通じてルーターに即時の経路変更を指示
  4. 取引レイテンシを最小化し、競争力を維持

XMPP (Extensible Messaging and Presence Protocol)

XMPPは、元々はインスタントメッセージング用に開発されましたが、SDN環境でもネットワークデバイスとコントローラー間の通信に使用されることがあります。

特徴

  • リアルタイムの双方向通信
  • 拡張性と柔軟性が高い
  • セキュアな通信(TLS/SSLサポート)

具体例
大規模なIoTネットワークでXMPPを使用してデバイス管理を行う場合

  1. 各IoTデバイスがXMPPクライアントとして動作
  2. SDNコントローラーがXMPPサーバーとして機能
  3. デバイスの状態やイベントをリアルタイムで通知
  4. コントローラーから設定変更や制御命令を送信

ALTO (Application-Layer Traffic Optimization)

ALTOは、ネットワークトポロジとコスト情報を提供するプロトコルで、アプリケーションがネットワークリソースを効率的に利用できるようにします。

特徴

  • ネットワーク情報の抽象化
  • アプリケーションの性能最適化
  • P2Pやコンテンツ配信ネットワーク(CDN)のサポート

具体例
大規模な動画ストリーミングサービスがALTOを利用してユーザー体験を向上させる場合

  1. ALTOサーバーがネットワークトポロジとコスト情報を提供
  2. ストリーミングアプリケーションが最適なコンテンツソースを選択
  3. ユーザーの地理的位置や網内状況に応じて配信を最適化
  4. バッファリングの削減と高品質なストリーミングを実現

これらのプロトコルは、SDNの機能を拡張し、より柔軟で効率的なネットワーク管理を可能にします。
ただし、各プロトコルの導入には、セキュリティ面での考慮が必要です。
例えば、通信の暗号化、認証メカニズムの実装、アクセス制御の強化などが重要です。
また、これらのプロトコルを組み合わせて使用する際は、相互運用性と整合性の確保が課題となります。

まとめ

SDN環境では、これらのプロトコルを適切に選択し、組み合わせることで、ネットワークの可視性、制御性、効率性を大幅に向上させることができます。
ネットワーク管理者は、特定の要件や使用事例に基づいて、最適なプロトコルの組み合わせを選択し、SDNの利点を最大限に活用することが重要です。

Discussion