Cisco Catalyst Instant Access ソリューション ホワイト ペーパー

Transcription

1 ホワイトペーパー Cisco Catalyst Instant Access ソリューション 目的 Cisco Catalyst Instant Access は ディストリビューションレイヤとアクセスレイヤのスイッチを 1 つのものとして管理および設定できるようにすることで エンタープライズキャンパスネットワークの設計 導入 運用を大幅に簡素化します このホワイトペーパーでは Cisco Catalyst Instant Access ソリューションのアーキテクチャ コンポーネント パケットの流れ 価値について説明します 概要 Cisco Catalyst Instant Access は ディストリビューションレイヤとアクセスレイヤの物理スイッチを単一の論理エンティティに統合し 設定 管理 トラブルシューティングの対象を 1 つにします このソリューションによってプロビジョニングと運用が簡素化され エンタープライズキャンパスネットワークがシンプルになります Cisco Catalyst Instant Access には次のようなメリットがあります 設定および管理の一元化 ディストリビューションレイヤとアクセスレイヤのソフトウェアイメージを統一 アクセススイッチの プラグアンドプレイ プロビジョニング アクセスレイヤのインフラストラクチャの俊敏性に加え 機能とハードウェアの一貫性を保持 アクセスレイヤのアップリンクの自動設定 アクセススイッチのイメージの自動プロビジョニング ディストリビューションレイヤとアクセスレイヤ全体に多機能かつ一貫性のある Catalyst 6500/6800 シリーズフィーチャセットを使用図 1 は 21 台のアクセススイッチ (1008 ポート ) から成るディストリビューションブロックを一元的に管理できることを示しています 図 1 単一の論理スイッチ 最初の Cisco Catalyst OS リリース 15.1(2)SY では Instant Access ソリューションで 21 台の Instant Access クライアント つまり最大 1008 個のホストポートをサポートできます また Instant Access クライアントは 最大 3 つのクライアントによるスタック構成をサポートします クライアントのスタックサイズは今後のソフトウェアリリースで拡大される予定です では 具体的なトポロジについて考えてみましょう ( 図 2) たとえば 4032 ポートから成るキャンパスネットワークがあるとします このネットワークには 4 つのディストリビューションブロックがあり 各ブロックは 1008 個のポートで All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 1 of 19

2 構成されています (48 ポートのアクセススイッチが 21 台 ) ディストリビューションレイヤでは VSS ペアを使用し アクセスレイヤではスタックテクノロジーを使用しています このキャンパスでは次のものが必要です デバイス 29 台の設定管理 デバイス 29 台のイメージ管理 アクセススイッチのトランクおよびポートチャネルの設定 48 個 SNMP NTP TACACS/RADIUS VLAN DB 管理 IP ゲートウェイ ホスト名などの個別設定 29 個図 3 に示されているように Cisco Catalyst Instant Access を使用すれば 同じ 4032 ポートのキャンパスが次のようにシンプルになります 管理対象デバイスは合計 5 台 アクセススイッチのイメージ管理は不要 アクセススイッチのアップリンクトランクの設定は不要 SNMP NTP TACACS/RADIUS VLAN DB 管理 IP ホスト名の個別設定 5 個 図 2 従来の構成図 3 Instant Access の構成 システムコンポーネント Cisco Catalyst Instant Access ソリューションは Instant Access ペアレントと Instant Access クライアントという 2 つのコンポーネントで構成されています ( 図 4) Instant Access ペアレント : ペアレントは Cisco Catalyst 6500E または 6800 シリーズシャーシのペアです シャーシには VSS モードまたは VSS Quad-Sup SSO 1 モードに設定された Supervisor 2T と 10G モードに設 定された WS G/10G ラインカードを搭載します VSS モードおよび VSS Quad-Sup SSO モードの設定に ついては こちらをご覧ください 10G モードで動作する 40G ラインカードの詳細については こちらをご覧ください 1 環境によっては ディストリビューションレイヤで VSS ペアを使用できない場合もあります このような場合は Cisco Catalyst 6500/6800 スイッチを 1 台だけ使用することもできます Instant Access ソリューションは各 Instant Access クライアントをリモートラインカードとして取り扱いますが リモートラインカードとしての機能を可能にするために VSS インフラストラクチャを使用しています そのため スイッチを VSS モードに設定する必要があります ディストリビューションレイヤのスイッチを 1 台にして Instant Access を導入することは推奨できません ただし このような構成にする場合は スーパーバイザエンジンの障害に備えてシャーシにスーパーバイザを 2 つ搭載し ルートプロセッサの冗長性 (RPR) を確保することを推奨します そうしないと システム全体に影響する単一障害点が生じてしまいます これは ディストリビューションレイヤのデバイスが 1 台だけの設計に共通の問題です Instant Access クライアント : クライアントは ディストリビューションレイヤの Cisco Catalyst 6500E または 6800 シリーズスイッチを使用してクライアントモードでのみ動作する Cisco Catalyst 6848ia スイッチです Instant Access クライアントは 48 個の 10/100/1000 インターフェイスと 2 個の 10Gbps アップリンクまたはファブリックイ ンターフェイスポートをサポートします Instant Access クライアントの主な機能は次のとおりです All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 2 of 19

3 48 個の 10/100/1000 BASE-T ホストポート (PoE+ または非 PoE のオプション有り ) 2 個の 10Gbps アップリンクポート 740W の PoE 電力 : 48 ポートすべてでフル PoE(15W) いずれか 24 ポートでフル PoE(30W) 最大 3 つのクライアントをスタック可能 双方向のスタック帯域幅 80 Gbps Instant Access クライアントモードでのみ動作 ( パケットスイッチングは Instant Access ペアレントで集中処理 ) 詳細については こちらをご覧ください 図 4 Cisco Catalyst Instant Access のコンポーネント ペアレントとクライアントだけでなく これらの間の Fex-Fabric リンクも Short-Reach Long-Reach マルチモード Long-Reach Extended-Reach の光接続をサポートします ファブリックリンクでは Cisco 10GBase SFP+ が使用されます 詳細については こちらをクリックしてください Cisco Catalyst Instant Access のアーキテクチャコントロールプレーン Instant Access ソリューションのコントロールプレーンは すべてのアクセススイッチを 1 つのエンティティにまとめて論理グループを作成できるように実装されています コントロールプレーンは 4 つの主要コンポーネントで構成されています Satellite Discovery Protocol(SDP) このリンクベースプロトコルは Instant Access のペアレントとクライアント間のすべてのリンクで稼働します このプロトコルは ファブリックリンクの接続を確立し 監視し 維持するとともに ペアレントとクライアントのマルチシャーシ EtherChannel 接続を可能にします また SDP は手動操作なしでクライアントにファブリックアップリンクを設定するので ゼロタッチのクライアントインストレーションが実現します All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 3 of 19

4 Satellite Registration Protocol(SRP) このプロトコルは Instant Access クライアントを登録し クライアントのイメージをチェックして Instant Access ペアレントのイメージに合わせて自動的にアップグレードします 自動アップグレードは 新しいクライアントが追加された場合および新しいクライアントスタックメンバがスタックに追加された場合に実行されます SRP はクライアントの活性挿抜 (OIR) と自動プロビジョニングの機能を提供します SRP によってアクセスレイヤのイメージを管理する必要がなくなります これにより ディストリビューションレイヤとアクセスレイヤにおける Cisco IOS ソフトウェアの機能の一貫性も実現します Satellite Configuration Protocol(SCP) このプロトコルは Instant Access クライアントの設定管理 メトリック ステータスの処理を実行します InterCard Communications(ICC) ICC は Instant Access のペアレントとクライアントの Syslog QoS リモートログイン PoE+ などのインフラストラクチャ機能に使用されます これらのコントロールプロトコルはバックグラウンドで透過的かつ自動的に実行されます ユーザによる設定は必要ありません VNTAG Instant Access のクライアントとペアレント間のファブリックリンクを通るフレームはすべて 図 5 のように 6 バイトの VNTAG ヘッダーでカプセル化されます VNTAG ヘッダーによって Instant Access クライアントはリモードラインカードのように動作し ペアレントスイッチはクライアントのホストポートを論理インターフェイスとして認識できるようになります ユニキャストパケットとマルチキャストパケットの区別には P ビットが使用されます 図 5 VNTAG ヘッダー Instant Access クライアントをペアレントのリモートラインカードとして動作させるために SRP はクライアントの各ホストポートに固有の仮想インターフェイス ID(VIF) を関連付けます Instant Access ペアレントはプロビジョニングプロセス中に VIF をクライアントの各ホストポートに割り当てます ( 図 6) クライアントアクセススイッチに入るパケットはすべて ファブリックリンクを通じてペアレントに送信される前に VNTAG ヘッダーがタグ付けされます この VNTAG ヘッダーのソース VIF として 入力ポートに割り当てられている VIF が使用されます 反対に クライアントスイッチを宛先とするパケットについては ペアレントが VNTAG ヘッダーの宛先 VIF を使用してクライアントの出力ポートを決定します All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 4 of 19

5 図 6 VIF の割り当て ユニキャストフォワーディング 以下では 例を通じて Cisco Catalyst Instant Access ソリューションのユニキャストトラフィックの流れを説明します ( 図 7) 1. 通常のイーサネットフレームが Instant Access クライアントのホストポートに着信します この例では ホストポートは VIF = VIF 1 である IF 1 とします 2. 入力イーサネットフレームがカプセル化され VNTAG ヘッダーのソース VIF は VIF 1 になり 宛先 VIF は 0 です (Instant Access クライアントのホストポートに入るパケットはすべて 宛先 VIF が 0 になり アップストリームの Instant Access ペアレントに送信されます ) 3. VNTAG ヘッダーを持つパケットが Instant Access ペアレントの FEX インターフェイスに着信すると ヘッダーのカプセル化が解除されます VNTAG のカプセル化解除後に IA ペアレントで MAC ラーニングが実行されます ペアレント Catalyst スイッチのフォワーディングエンジンで元のイーサネットフレームが処理され ネイティブポートに着信する通常のイーサネットフレームと同様にスイッチングが実行されます 図 7 Fex-Fabric を通じたクライアントからペアレントへの VNTAG パケット 4. コアレイヤから Instant Access クライアントのホストポート VIF 1 へのパケットについては Instant Access ペアレントがテーブルルックアップを実行します ( 図 8) ペアレントは送信ファブリックリンクのインターフェイスが FEX であると特定し ソース VIF = 0 宛先 VIF = VIF 1 の VNTAG ヘッダーでフレームをカプセル化してから Fex-Fabric を通じて送信します 5. Instant Access クライアントの Fex-Fabric に着信したイーサネットフレームは VNTAG ヘッダーのカプセル化が解除され 宛先 VIF に従って 対応するインターフェイス VIF 1 にスイッチングされます All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 5 of 19

6 図 8 Fex-Fabric を通じたペアレントからクライアントホストポートへの VNTAG パケット このように Instant Access ソリューションの処理はシンプルです VNTAG はクライアントとペアレントの間の Fex- Fabric リンク専用であり ネットワーク内の他の部分で VNTAG が認識されることはありません マルチキャストフォワーディング Cisco Catalyst 6848ia には ラベルスイッチドマルチキャストや Medianet など Catalyst 6500 および 6800X シリーズのすべてのマルチキャスト機能に加えて ローカルマルチキャストレプリケーションのようなインテリジェントなマルチキャスト機能があります Instant Access クライアントのホストポートに複数のレシーバが参加している場合 Istant Access は図 9 のようにローカルマルチキャストレプリケーションを実行します 1. Instant Access クライアントのインターフェイス IF 1 および IF 2 に接続されているマルチキャストグループレシーバは Instant Access ペアレントの (*,G)/ (S,G) エントリの一部としてマルチキャストグループに参加します 2. Instant Access ペアレントは Instant Access クライアントをグループ VIF テーブル用にプログラムします このテーブルには クライアントのグループレシーバインターフェイスに固有のマルチキャストグループ VIF のマッピングが維持されます 3. 各マルチキャストパケットの単一コピーが Fex-Fabric を通じて Instant Access クライアントに送信されます その再 宛先 VIF は group VIF( マルチキャストグループ ) P ビットは 1( マルチキャストパケットを表す ) に設定されます 4. Instant Access クライアントは 宛先 VIF が group VIF で VNTAG ヘッダーにマルチキャストパケットを表す P ビットが設定されている VNTAG カプセル化パケットを受信します Instant Access クライアントはインターフェイス ID マッピングテーブルで group VIF を検索し そのマルチキャストパケットのローカルレプリケーションを実行してから レシーバに接続されている各インターフェイス (IF 1 および IF 2) に各パケットのコピーを送信します All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 6 of 19

7 図 9 Instant Access クライアントにおけるマルチキャストパケットレプリケーション ソリューションの機能 運用の簡素化 :Instant Access ソリューションはディストリビューションスイッチとアクセススイッチの管理ポイントを 1 つにまとめます すべてのアクセスホストインターフェイスは Instant Access ペアレントで 4 レベルのインターフェイスとして論理的に表現されます ( 図 10) 図 10 インターフェイスの命名 たとえば FEX 111 のスタックメンバ 2 として設定されている Cat6848ia の GigabitEthernet インターフェイスは Instant Access ペアレントでは論理的に次のように表現されます interface GigabitEthernet111/2/0/1 図 11 インターフェイスの命名 以下のインターフェイス出力に示されているように 各 Instant Access クライアントのすべての物理ホストポートは Instant Access ペアレントで論理的に設定 管理できる論理インターフェイスです Cat6500-VSS#show int gig 111/2/0/1 GigabitEthernet111/2/0/1 is up, line protocol is up (connected) All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 7 of 19

8 Hardware is C6k 1000Mb 802.3, address is (bia ) MTU 1500 bytes, BW Kbit, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) ARP type: ARPA, ARP Timeout 04:00:00 Last input never, output never, output hang never Last clearing of "show interface" counters 3w4d Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo Output queue: 0/40 (size/max) 5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts (0 multicasts) 0 runts, 0 giants, 0 throttles 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 0 multicast, 0 pause input 0 input packets with dribble condition detected 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 同様に Instant Access クライアント FEX ID 111 のスタックメンバ 2 のすべての設定が Instant Access ペアレントで論理的に集中管理されます これも出力を示します Cat6500-VSS#show run fex 111 module 2 Building configuration... Current configuration : 5554 bytes! interface GigabitEthernet111/2/0/1 switchport access vlan 90 switchport voice vlan 91 switchport host! interface GigabitEthernet111/2/0/2 switchport access vlan 90 switchport voice vlan 91 switchport host! 各 Instant Access クライアントは Instant Access ペアレントのラインカードのように扱われるので 次のように show module の出力でもラインカードのように表示されます Cat6500-VSS#show module fex 111 Switch Number: 111 Role: FEX All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 8 of 19

9 Mod Ports Card Type Model Serial No C6848ia 48GFPwr 2SFP C6800IA-48FPD FHH1707P00S 2 48 C6848ia 48GFPwr 2SFP C6800IA-48FPD FHH1707P010 Mod MAC addresses Hw Fw Sw Status bdf to 0022.bdf (2.0.57) Ok(FLIC Enabled) bdf4.6d80 to 0022.bdf4.6db (2.0.57) Ok(FLIC Enabled) Mod Online Diag Status Pass 2 Pass 最大 21 個の 48 ポートスイッチがリモートラインカードのように管理され 1008 個のポートがすべて Instant Access ペアレントに論理的に表示されるので ディストリビューションブロック全体を 1 つのエンティティとして設定し管理できます アクセスクライアントの自動プロビジョニング Instant Access では Instant Access クライアントが Instant Access ペアレントのリンクに接続すると クライアントの自動プロビジョニングが実行されるので アクセスレイヤの初期プロビジョニングも簡素化されます Instant Access ペアレントは Instant Access クライアントを検出し クライアントのイメージが Instant Access ペアレントのイメージと異なる場合はクライアントのソフトウェアイメージをアップグレードします これらのアクションは両方とも自動的に実行され ユーザの介入は必要ありません Instant Access クライアントは FlexStacking-Plus スタッキングプロトコルを使用し 双方向スタック帯域幅 80 Gbps でメンバ間のスタックを可能にします 最大 3 台の Instant Access クライアントでスタックを構成できます ( スタック密度は今後のソフトウェアリリースで拡大されます ) FlexStack-Plus と同様に Instant Access ペアレントによってスタックマスターが自動選択され 新しいスタックメンバが自動的に検出されてプロビジョニングが実行されます これはペアレントスイッチのラインカードと同様の処理です 物理的な導入の前に Instant Access クライアントスイッチの設定を事前にプロビジョニングできます Instant Access クライアントが接続されると 事前にプロビジョニングされた設定が Instant Access クライアントのホストポートに自動的に適用されるので 導入が簡単になります ネットワーク管理者がネットワークのディストリビューションレイヤから Instant Access クライアントを事前にプロビジョニングしておけば ネットワーキングの知識の有無に関係なく誰でも現地で Instant Access クライアントの導入と配線を行うことができます Instant Access クライアント (FEX 112) を 2 台のスタックとして事前にプロビジョニングする場合の例を示します mod provision create fex 112 type 6800IA-48TD mod provision create fex 112 module 2 type 6800IA-48TD Config# Interface range 112/1/0/1 3 Config# switchport access vlan 100 All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 9 of 19

10 Config# switchport voice vlan 101 Config# switchport host クライアント ID(FEX-ID 112) の事前プロビジョニングが実行されると Instant Access クライアントのインターフェイスホストポートの設定が Instant Access ペアレントの running-config に表示されます この設定は コマンド show run fex 112 で確認できます Cat6500-VSS#show run fex 112 Building configuration... Current configuration : bytes! interface GigabitEthernet112/1/0/1 switchport access vlan 100 switchport voice vlan 101 swtichport host! interface GigabitEthernet112/1/0/2 switchport access vlan 100 switchport voice vlan 101 switchport host! interface GigabitEthernet112/1/0/3 switchport access vlan 100 switchport voice vlan 101 switchport host! 新しい Instant Access クライアントが物理的に接続されると コントロールプロトコルがペアレントへのクライアントのアップリンクを自動的に設定します その後 事前にプロビジョニングされた設定がクライアントのホストポートインターフェイスに適用されます ソフトウェア管理の簡素化 Cisco Catalyst 6500/6800 のソフトウェアイメージと Instant Access クライアントのイメージが 1 つのイメージとして結合され クライアントはペアレントのラインカードイメージとまったく同じように扱われます 新しい Instant Access クライアントが起動し Instant Access ペアレントによって検出されると Instant Access クライアントのイメージが Instant Access ペアレントのソフトウェアイメージと一致するかどうかが自動的に確認されます 一致していない場合は Instant Access ペアレントによってクライアントのイメージが自動的にアップデートされます これにより アクセスレイヤでソフトウェアをアップグレードする必要がなくなり ディストリビューションレイヤとアクセスレイヤの機能が統一され 俊敏なインフラストラクチャが確立されます All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 10 of 19

11 高可用性 Instant Access ソリューションは重層的な復元力を提供します ディストリビューションレイヤでは Instant Access ペアレントが Cisco Virtual Switching System(VSS) とクアッドスーパーバイザ VSS(Quad Sup VSS) に対応しているので あらゆる障害ポイントについて高い可用性が実現されます ディストリビューションレベルで Quad Supervisor Stateful Switchover(SSO) を使用し Instant Access クライアントのスタックが Instant Access ペアレントにデュアルホーム接続されている場合 3 つのスーパーバイザに障害が発生しない限りネットワーク接続がすべて失われることはありません ( 図 12) 図 12 Instant Access ペアレントの高可用性 ペアレントとクライアントの間の複数のファブリックリンク接続が 1 つのマルチシャーシ EtherChannel 接続に結合されることで VSS ペアとクライアントスタックの間の 6 つの 10G リンクにより最大容量が 60 Gbps に拡大します また ファブリックリンクの冗長性も確保されます ファブリックリンクに含まれるスタックメンバも冗長性の向上に役立ちます Instant Access のペアレントとクライアントは Fex-Fabric を通じて EtherChannel のロードシェアリングをサポートしているので 複数の Fex-Fabric リンクによって高レベルの冗長性が実現されます ( 図 13) 図 13 Fex-Fabric の高可用性 All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 11 of 19

12 Instant Access クライアントはホストポートの EtherChannel をサポートしています 最大 8 つのホストポートを 1 つの EtherChannel に結合できます すべてのスタックメンバを EtherChannel に含めることができます ( 図 14) 図 14 ホストポートの高可用性 Enhanced Fast Software Upgrade(eFSU) Cisco Catalyst 6500E および 6800X シリーズは Enhanced Fast Software Upgrade(eFSU) をサポートしていま す これにより VSS ペアの 2 つのスーパーバイザのソフトウェアアップグレードで生じるダウンタイムが短縮され ネットワークの可用性が向上します efsu を使用すると 2 つの異なるソフトウェアバージョンで稼働している 2 つ のスーパーバイザ ( アクティブとスタンバイのスーパーバイザ ) が同期 Stateful Switchover(SSO) モードになります VSS の両方のスイッチにアクティブデータプレーンがあるので アップグレードプロセス中のネットワーク可用性が 向上します efsu は 次の 4 段階のプロセスで実行されます ステップ 1. issu loadversion:vss ペアのスタンバイスーパーバイザに新しいソフトウェアイメージがロードされます ステップ 2. issu runversion: スタンバイスーパーバイザエンジンに新しいソフトウェアがロードされている間 アクティブスーパーバイザエンジンは前のソフトウェアバージョンで稼働しています アップグレードの一環として スタンバイスーパーバイザは SSO ホットスタンバイ段階になり スイッチオーバーが発生して スタンバイスーパーバイザがアクティブになり 新しいソフトウェアバージョンで稼働します ステップ 3. issu acceptversion を使用すれば アップグレードが継続し もう 1 つのプロセッサに新しいソフトウェアがロードされます また issu abortversion を使用すれば アップグレードは中止され 古いソフトウェアで稼働が再開します ステップ 4. issu commitversion によって スタンバイスーパーバイザに新しいソフトウェアバージョンがロードされることで efsu プロセスが完了します efsu の詳細をご覧になるには こちらをクリックしてください 図 15 efsu の各段階 All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 12 of 19

13 efsu の機能によって ラインカードのアップグレードと同様に Instant Access をアップグレードできるようになります クライアントのソフトウェアイメージは Catalyst 6500/6800 のソフトウェアイメージとバンドルされます 新しい CLI が導入され Instant Access クライアントスタック (FEX ID) の AHupgrade が可能となり これによって efsu プロセスの issu commitversion( ステップ 4) の前に Instant Access クライアントのソフトウェアバージョンをアップグレードできます issu runversion [fex[range] <num all >] issu runversion fex によって Instant Access クライアントの新ソフトウェアバージョンへのアップグレードが開始されます ユーザはローリングアップグレードの対象とする FEX ID の組み合わせ ( または範囲 ) を指定して Instant Access のリロードを実行できます すべてのクライアントのアップグレード後に ユーザは efsu プロセスを中止して前のバージョンに戻ることも issu commitversion を使用して efru を完了することもできます 図 16 を参照してください 図 16 efsu による Instant Access クライアントのアップグレード QoS(Quality of Service) Instant Access ソリューションは VSS ペアに スタック (3 つの Instant Access クライアント ) あたり最大 60 Gbps の Fex-Fabric アップリンク接続を提供し サブスクリプション比は 2.4:1 です Instant Access のファブリックリンクは 4 つのキュー (1P3Q3T) をサポートしています プライオリティキューが 1 つ 標準キューが 3 つです Instant Access ペアレントのラインカードは ファブリックリンクで 8 つのキュー (1P7Q4T) をサポートしています ( 図 17) All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 13 of 19

14 図 17 Instant Access のクライアントとペアレントの QoS キュー ファブリックリンクの QoS は 入力パケットの DSCP/CoS 値に厳密に従って実行されます Instant Access のペアレントとクライアントは DSCP とキューのデフォルトマップおよび CoS とキューのデフォルトマップを維持し これらに基づいて Fex-Fabric インターフェイス上のパケットをプライオリティキューまたは標準キューに適切に振り分けます 図 18 に示すとおり COS=5 にマーク付けされている IP はプライオリティキュー 1 に送られ COS=3 の IP は標準キュー 3 に送られます Instant Access のペアレントとクライアントの間の通信が輻輳によって失われることがないように Instant Access の制御トラフィックもプライオリティキューを通じて送信されます 図 18 Instant Access クライアントの QoS IP パケットがファブリックリンクを通じて Instant Access ペアレントに着信すると これらのパケットのマーク付け 再マーク付け 分類 またはポリシングが実行されます 同様に ファブリックポートを通じた Instant Access ペアレントから Instant Access クライアントのホストポートへのダウンストリームトラフィックも DSCP/COS とキューのデフォルトマップに基づいて 適切なキューに送信されます All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 14 of 19

15 統一的なセキュリティ キャンパスネットワークを構築する際には 重要な問題としてセキュリティを考慮する必要があります Cisco Instant Access は Catalyst 6500/6800 の機能を継承し Cisco TrustSec に対応できます Cisco Catalyst Instant Access はエンタープライズキャンパスネットワーク全体に統一的なセキュリティポリシーを提供します サポートする機能は次のとおりです セキュリティグループタギング (SGT) によるロールベースアクセスコントロール セキュリティグループアクセスコントロールリスト (SGACL) IP サブネット VLAN ポートベースの SGT マッピング ネットワークデバイスアドミッションコントロール (NDAC) 802.1x Web Auth および Mac 認証バイパス (MAB) の認証による識別セキュリティポリシーはすべて IA ペアレントのみに適用され アクセスレイヤでの設定は必要ありません アクセスリストが適用されるのは IA ペアレントだけです IA クライアントのホストポートに着信したパケットは VNTAG でカプセル化され IA ペアレントに送信されてから VNTAG が解除され アクセスリストポリシーが適用されます ( 図 19) 図 19 入力アクセスリスト All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 15 of 19

16 同様に IA ペアレントに着信し IA クライアントのホストポートに向かうパケットは IA への Fex-Fabric リンクを通 じたスイッチングの前に IA ペアレントでポリシーが適用されます ( 図 20) 図 20 出力アクセスリスト IA ペアレントは セキュリティグループタグ (SGT) の適用ポイントとして またセキュリティグループアクセスコントロールリスト (SGACL) の適用ポイントとしても機能します Cisco ISE は IA ペアレントと通信し ネットワーク管理者が Cisco ISE で設定したポリシーを適用します また IA ペアレントは ネットワークに Cisco ISE がない場合にも IP サブネット VLAN またはレイヤ 3 ポートに基づく SGT および SGACL ベースのポリシーをサポートします IA は 物理インフラストラクチャのセキュリティを保証するネットワークデバイス認証 (NDAC) をサポートしています NDAC は IA ペアレントのみで実行され IA クライアントには必要ありません そのため アクセスレイヤでの NDAC 認証のオーバーヘッドが軽減されます IA クライアントは IA ペアレントへの Fex-Fabric リンクと IA クライアントリンクの MacSec にハードウェアで対応します これは今後のリリースでサポートされます Instant Access は 802.1x MAC 認証バイパス Web-Auth ポートベースのアイデンティティサービスをサポートしています IA ペアレントは ネットワークへのアクセスを制御する Cisco ISE と通信します これにより ネットワーク全体のすべてのセキュリティポリシーの管理ポイントと設定ポイントが 1 つになります All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 16 of 19

17 図 21 SGT および SGACL 一元的なアプリケーション可視性 Cisco Catalyst Instant Access によって ディストリビューションブロック全体のアプリケーションの可視性と制御が一元化されます Instant Access ペアレントの設定やエクスポートの対象が 1 つになるので 個々のアクセススイッチからの複数のエクスポートや NetFlow Collector の複数のレコードによる複雑性が大きく緩和されます ( 図 22 を参照 ) 図 22 NetFlow All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 17 of 19

18 多彩な機能をキャンパス全体で統一 表 1 は Instant Access クライアントのホストポートの機能を簡単にまとめたものです Instant Access と機能の 詳細をご覧になるには こちらをクリックしてください 表 1 Instant Access の機能概要 カテゴリインフラストラクチャレイヤ 2 IPv6 レイヤ 3 セキュリティ QoS Medianet Instant Access PoE PoE+ マルチシャーシ EtherChannel FlexStack EtherChannel PAgP LLDP (A)VPLS GRE トンネリング MPLS MPLS-VPN IPv6 First Hop Security マルチキャストルーティング QoS ステートレス自動設定 PBR EVN VRF-Lite PIM SM WCCPv2 VLAN 間ルーティング ECMP レイヤ 3 ルーティングプロトコル 802.1x ゲスト VLAN SGT SGACL IP ソースガード DHCP スヌーピング VACL RACL PACL FnF ポリシング マーキング レート制限 SRR Mediatrace パフォーマンスモニタリング まとめ Cisco Catalyst Instant Access は ディストリビューションレイヤ全体の設定 管理 トラブルシューティング アプリケーション可視化の対象を 1 つにまとめることで エンタープライズキャンパスネットワークの導入を簡素化します Instant Access を使用することで キャンパス全体を統一的に機能させることができます 1 つのイメージでの管理 そしてアクセスレイヤのプラグアンドプレイプロビジョニングによって 導入や展開にかかる時間が大幅に短縮されます 関連情報 詳細については Cisco Catalyst Instant Access をご覧ください All contents are Copyright Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 18 of 19

19 2014 Cisco Systems, Inc. All rights reserved. Cisco Cisco Systems およびCisco Systemsロゴは Cisco Systems, Inc. またはその関連会社の米国およびその他の一定の国における登録商標または商標です 本書類またはウェブサイトに掲載されているその他の商標はそれぞれの権利者の財産です パートナー または partner という用語の使用はCiscoと他社との間のパートナーシップ関係を意味するものではありません (0809R) この資料に記載された仕様は予告なく変更する場合があります C JA シスコシステムズ合同会社 東京都港区赤坂 ミッドタウン タワー お問い合わせ先 : シスココンタクトセンター ( フリーコール 携帯 PHS 含む ) 電話受付時間 : 平日 10:00~12:00 13:00~17:00 お問い合わせ先