Cisco Application Control Engine(ACE)4710 と 新 しい Cisco ACE ソフトウェア リリース 4.1 既 存 の Cisco ACE 4710 を 補 完 する 新 しい Cisco Application Control Engine(ACE) 30 モジュールには 複 数 のハードウェア フォーム ファクタに 対 応 できる 統 合 アーキテク チャと Web トランザクションの 負 荷 に 対 応 できる 高 い 処 理 能 力 が 備 わっていまこの Cisco ACE30 モジュールと Cisco ACE 4710 アプライアンスには 新 しい Cisco ACE ソフトウェア リリース A4(1.0) が 搭 載 されまこのソフトウェア リリースにより 2 種 類 のハードウェア フォーム ファクタに 同 様 の 機 能 が 提 供 されるほか 新 機 能 も 提 供 されま Cisco ACE 4710 の 概 要 Cisco ACE 4710 は データセンター アプリケーションのアベイラビリティ セキュリティ アクセラ レーションの 向 上 を 実 現 する 次 世 代 のアプリケーション スイッチで Cisco ACE 4710 を 使 用 することで 企 業 はアプリケーション 配 布 における 以 下 の 4 つの 主 要 な IT 目 標 を 達 成 できま 高 度 なレイヤ 4 ~ 7 のロード バランシング 機 能 とコンテキスト スイッチング 機 能 によるアプ リケーション アベイラビリティの 向 上 データセンターおよび 基 幹 業 務 アプリケーションのセキュリティ 保 護 仮 想 機 能 を 使 用 してデータセンターの 統 合 を 促 進 することによる データセンターの 電 力 お よび 冷 却 コストの 削 減 アプリケーション パフォーマンスの 向 上 新 機 能 Cisco ACE ソフトウェア リリース 4.1 は Cisco ACE モジュールおよびアプライアンスのフォーム ファクタに 共 通 のソフトウェア リリースで 複 数 のプラットフォームで 一 貫 した 機 能 を 提 供 しま Cisco ACE ソフトウェア リリース 4.1 には 既 存 の Cisco Content Services Switch(CSS) 製 品 と 同 様 の 機 能 が 備 わっているため Cisco CSS ユーザは 容 易 に Cisco ACE プラットフォームに 移 行 できま 表 1 に Cisco ACE 4710 に 搭 載 された Cisco ACE ソフトウェア リリース 4.1 の 主 要 機 能 をまと めま 表 1 Cisco ACE ソフトウェア リリース 4.1 の 機 能 TCP のインバンド ヘル スチェック インバンド ヘルスチェックは クライアントとサーバのトラフィックを リアルタイムでチェックし サーバでクライアント 要 求 が 正 しく 処 理 さ れているかどうかを 確 認 する 機 能 でこの 機 能 により サーバか ら TCP リセット(RST)を 受 信 した 場 合 や クライアントからの TCP SYN にサーバが 応 答 できない 場 合 に Cisco ACE がローテー ションから 実 サーバを 取 得 しまこの 機 能 は ヘルス プローブと 連 携 して 動 作 しま サーバのパッシブなヘルス チェックにより アプリケーション の 継 続 的 なアベイラビリティを 確 保 しま All contents are Copyright 1992 2010 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 1 of 5
HTTP ヘッダーへの SSL セッションの 挿 入 この 機 能 により SSL セッション 情 報 と SSL Termination 証 明 書 の 情 報 を HTTP ヘッダーに 挿 入 できまそのため Cisco CSS Cisco Content Switching Module with SSL(CSM-S) お よび Cisco SSL Services Module(SSLM) 製 品 と 同 様 の 機 能 を Cisco ACE で 使 用 できま デフォルトでは SSL ヘッダー 挿 入 は 有 効 になっていません ユー ザが SSL セッションの 挿 入 とサーバ 証 明 書 のいずれかまたは 両 方 を 有 効 にすると デフォルトでヘッダーが 全 HTTP 要 求 に 挿 入 さ れま 供 するので 既 存 の Cisco CSM 製 品 から Cisco ACE 4710 への 移 行 が 容 易 で HTTP ヘッダーへのクラ イアント 証 明 書 の 挿 入 VLAN のセカンダリ IP アドレス クライアント 認 証 失 敗 時 のリダイレクト この 機 能 は クライアント 証 明 書 全 体 またはクライアント 証 明 書 の 全 X.509v3 オプションの 挿 入 に 対 応 しており ユーザが 標 準 X.509v3 ヘッダーの 名 前 を 設 定 できま Cisco ACE にクライアント 認 証 が 設 定 されている 場 合 は クライア ントから 受 信 したクライアント 証 明 書 を 解 析 し ヘッダーを HTTP ヘッダー 経 由 でアプリケーションに 送 信 する 必 要 がありまこの 機 能 により これまでのサーバ 証 明 書 ヘッダーの 挿 入 機 能 が 拡 張 され Cisco ACE で X509v3 拡 張 フィールドを 含 む 任 意 のフィー ルドを 挿 入 できるようになりま この 機 能 により Cisco ACE で VLAN 内 の 複 数 のレイヤ 2 ネット ワークをリッスンできまプライマリ IP アドレスと 同 様 セカンダ リ IP アドレスでもクライアント サーバ リモート アクセスのトラ フィックを Cisco ACE で 受 信 できま この 機 能 により クライアント 証 明 書 の 認 証 に 失 敗 した 場 合 に ク ライアント 接 続 をリダイレトできま Cisco ACE のデフォルト 動 作 では クライアント 証 明 書 の 認 証 に 失 敗 すると クライアント 接 続 が 拒 否 されまこの 機 能 により 失 敗 した 認 証 のタイプに 基 づいて Cisco ACE でクライアント 接 続 を サーバまたはサーバ ファームにリダイレクトできま 供 するので 既 存 の Cisco CSM 製 品 から Cisco ACE 4710 への 移 行 が 容 易 で VLAN 内 に 複 数 の IP サブネッ トが 存 在 する 環 境 に Cisco ACE を 導 入 できま ユーザは 失 敗 した 認 証 を 正 常 に 処 理 でき 即 座 に 対 応 できま 設 定 とチェックポイント のセキュアなバックアッ プと 復 元 この 機 能 により デバイス レベルまたは 仮 想 コンテキスト レベルで Cisco ACE システムのバックアップを 実 行 できまバックアップ 対 象 は 実 行 およびスタートアップ コンフィギュレーション ファイ ル アクティブ ライセンス 実 行 コンフィギュレーションで 定 義 され たスクリプト チェックポイント SSL 証 明 書 およびエクスポート 可 能 な SSL キーとなりまこの 機 能 には バックアップと 復 元 プロ セスをユーザが 自 動 化 する 際 に 使 用 できる XML API も 搭 載 され ていま Cisco ACE 設 定 をバックアップ する 堅 牢 で 柔 軟 な 機 能 を 提 供 し ま SSL 用 キーと 証 明 書 の ペアのサンプル 障 害 発 生 時 の VLAN 間 での 動 作 の 再 割 り 当 て IP のリバース スティッ キ 性 この 機 能 により Cisco ACE 内 で SSL の Rivest Shamir Aldeman(RSA)キーと SSL 証 明 書 がグローバルに 提 供 されるた め あらゆるコンテキストのユーザが テスト 用 SSL キー(1,024 ビット)とテスト 用 SSL 証 明 書 にアクセスできま 証 明 書 には 自 己 署 名 が 必 要 で 有 効 期 限 にはかなり 先 の 日 付 を 設 定 する 必 要 がありま この 機 能 により 異 なる VLAN に 配 置 された 侵 入 防 御 システム (IPS)アプライアンス 間 でトラフィックをロード バランシングし IPS に 障 害 が 発 生 した 場 合 のルーティングを 確 保 できま IP のリバース スティッキ 性 は 主 にファイアウォールのロード バラ ンシング(FWLB)で 使 用 されまこの 機 能 により 両 端 (クライア ントとサーバ)のホストによって 開 かれた 複 数 の 異 なる 接 続 がロー ド バランシングされ 同 一 のファイアウォールに 固 定 されま リバース スティッキは FTP Real-Time Streaming Protocol (RTSP) Session Initiation Protocol(SIP)など 別 々のコント ロール チャネルとデータ チャネルがクライアントとサーバによって 開 かれているプロトコルに 適 用 されま 主 に デモ 目 的 概 念 実 証 お 客 様 のラボ テスト 環 境 で 使 用 し ま 供 しま ファイアウォールのロード バラ ンシングの 導 入 に 必 要 で SSL オフロードの 拡 張 による LDAP 経 由 で の 証 明 書 失 効 リスト (CRL)のダウンロード この 機 能 により Lightweight Directory Access Protocol(LDAP; 軽 量 ディレクトリ アクセス プロトコル)を 使 用 して クライアント 証 明 書 (バックエンド サーバ 認 証 の 場 合 はサーバ 証 明 書 )によって 提 供 される CRL のディストリビューション ポイント(CDP)から CRL を 取 得 できま 検 証 される 証 明 書 に CDP 拡 張 フィールドが 含 ま れている 場 合 は Cisco ACE で CDP をダウンロード パスとして 使 用 する 必 要 がありま Cisco SSLM と 同 等 の 機 能 を 提 供 し ユーザは 既 存 製 品 を Cisco ACE に 移 行 できま グローバル サーバ ロード バランシングの スケーラビリティ この 機 能 により 1 つの Cisco ACE コンテキストでサポート 可 能 な Keepalive Appliance Protocol(KAL-AP)タグ 数 が 4,000 に 増 加 しまCisco ACE では 1 つのコンテキストで 4,000 の 仮 想 IP アドレスと KAL-AP タグをサポートできままたは 4,000 の 仮 想 IP アドレスによる 250 のコンテキスト 250 のコンテキストに 均 等 に 分 散 された KAL-AP タグをサポートできま 世 界 各 地 のデータセンターにア プリケーションを 拡 張 できま All contents are Copyright 1992 2010 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 2 of 5
アクセス コントロール リ スト(ACL)のマージと 大 規 模 構 成 の 効 率 性 の 向 上 永 続 的 リバランス ノブ この 機 能 は 以 下 を 通 じて ACL のパフォーマンスを 向 上 しま ACL のマージ コンパイル ダウンロード 時 間 の 短 縮 ブートアップと 増 分 変 更 での ACL メモリの 使 用 量 を 均 等 化 ACL のトランザクション モデルの 作 成 ACL 出 力 がシステム メモリを 超 過 した 場 合 の ACL のマージ やコンパイルの 停 止 分 析 のために 元 の ACL を 保 持 既 存 の 永 続 性 リバランス 機 能 の 強 化 により Cisco ACE の 設 定 を 同 一 TCP 接 続 の 各 後 続 GET 要 求 に 個 別 にロード バランシング できまこの 機 能 により Cisco ACE で 各 HTTP 要 求 を 異 なる レイヤ 7 クラスや 実 サーバにロード バランシングできま ACL パフォーマンスの 向 上 によ り コントロール プレーンの 効 率 性 を 向 上 しま アプリケーションのロード バラ ンシングの 柔 軟 性 を 向 上 しま 使 いやすさの 改 善 使 いやすさを 改 善 する 多 数 の 機 能 が 実 現 されていま SSL 用 キーと 証 明 書 のペア ファイルのバルク インポート 最 大 8,000 の SSL ファイルと 最 大 4,000 の 証 明 書 または 4,000 のキー ファイルをサポート CRL による SSL サーバ 証 明 書 の 検 証 レイヤ 7 HTTP ポリシー マップ 内 のクラス マップの 一 致 HTTP URL 文 に 基 づいた レイヤ 7 の 一 致 URL ヒット カウン タへの 接 続 確 立 回 数 (ヒット カウント)の 表 示 ユーザ セッションと Network Address Translation(NAT; ネッ トワーク アドレス 変 換 )および Port Address Translation (PAT; ポート アドレス 変 換 )の 関 連 付 けによる Syslog の 強 化 製 品 の 使 いやすさ トラブル シューティング およびデバッグ 機 能 を 向 上 しま Cisco ACE 4710 は 組 み 込 みのデバイス マネージャ GUI で 管 理 されまこのデバイス マネー ジャは Cisco ACE ソフトウェア リリース 4.1 の 新 しいソフトウェア 機 能 をすべてサポートしていま 中 央 集 中 型 の 管 理 とプロビジョニングを 行 う 場 合 は Cisco Application Network Manager (ANM)4.1 を 管 理 プラットフォームとして 使 用 することを 推 奨 しま 発 注 情 報 Cisco ACE 4710 は アプライアンス ハードウェアと スループット SSL 圧 縮 アプリケーション アクセラレーション および 仮 想 コンテキストのソフトウェア ライセンスで 構 成 されていまあらか じめ 構 成 されたバンドルを 注 文 することも お 客 様 固 有 の 要 件 に 合 わせてライセンスを 別 々に 購 入 することもできま 表 2 に Cisco ACE 4710 の 発 注 情 報 を 示 しま 表 2 発 注 情 報 部 品 番 号 ACE-4710-1F-K9 ACE-4710-2F-K9 ACE-4710-4F-K9 ACE-4710-BUN-UP2= ACE-4710-BUN-UP3= ACE-4710-K9 説 明 バンドル ライセンス:ACE 4710 ハードウェア 1 Gbps スループット 5,000 SSL TPS 500 Mbps 圧 縮 仮 想 デバイス 5 台 アプリケーション アクセラレーション ライセンス 組 み 込 みデバイス マネージャを 含 む バンドル ライセンス:ACE 4710 ハードウェア 2 Gbps スループット 7,500 SSL TPS 1 Gbps 圧 縮 仮 想 デバイス 5 台 アプリケーション アクセラレーション ライセンス 組 み 込 み デバイス マネージャを 含 む バンドル ライセンス:ACE 4710 ハードウェア 4 Gbps スループット 7,500 SSL TPS 2 Gbps 圧 縮 仮 想 デバイス 5 台 アプリケーション アクセラレーション ライセンス 組 み 込 み デバイス マネージャを 含 む 1G バンドルから 2G バンドルへのバンドル アップグレード ライセンス 2G バンドルから 4G バンドルへのバンドル アップグレード ライセンス ACE アプライアンス ハードウェア ACE-AP-SW-3.1 ソフトウェア バージョン 3.1 ACE-AP-01-LIC ACE-AP-02-LIC ACE-AP-04-LIC ACE-AP-04-UP1= ACE-AP-04-UP2= 1 Gbps スループット ライセンス 2 Gbps スループット ライセンス 4 Gbps スループット ライセンス 1G バンドルから 4G バンドルへのスループット アップグレード ライセンス 2G バンドルから 4G バンドルへのスループット アップグレード ライセンス All contents are Copyright 1992 2010 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 3 of 5
部 品 番 号 ACE-AP-SSL-05K-K9 ACE-AP-SSL-7K-K9 説 明 SSL 5,000 TPS ライセンス SSL 7,500 TPS ライセンス ACE-AP-VIRT-020 仮 想 コンテキスト ライセンス x 20 ACE-AP-C-500-LIC ACE-AP-C-1000-LIC ACE-AP-C-2000-LIC ACE-AP-OPT-LIC-K9 ACE-AP-SSL-UP1-K9= ACE-AP-C-UP1= ACE-AP-C-UP2= ACE-AP-C-UP3= 500 Mbps 圧 縮 ライセンス 1 Gbps 圧 縮 ライセンス 2 Gbps 圧 縮 ライセンス アプリケーション アクセラレーション ライセンス 5,000 TPS から 7,500 TPS への ACE SSL アップグレード ライセンス 500 Mbps から 1 Gbps への 圧 縮 アップグレード ライセンス 500 Mbps から 2 Gbps への 圧 縮 アップグレード ライセンス 1 Gbps から 2 Gbps への 圧 縮 アップグレード ライセンス アップグレード Cisco ACE ソフトウェア リリース 4.1 は Cisco ACE 4710 ソフトウェア リリース 3.0 の 全 バージョ ンからのアップグレードをサポートしていまソフトウェア リリース 3.0 を 実 行 している Cisco ACE 4710 ユーザは 無 料 でソフトウェア リリース 4.1 にアップグレードできま 関 連 情 報 Cisco ACE の 詳 細 については http://www.cisco.com/jp/go/ace/ を 参 照 するか 最 寄 りのシスコ 代 理 店 にお 問 い 合 わせください All contents are Copyright 1992 2010 Cisco Systems, Inc. All rights reserved. This document is Cisco Public Information. Page 4 of 5
2010 Cisco Systems, Inc. All rights reserved. Cisco Cisco Systems およびCisco Systemsロゴは Cisco Systems, Inc.またはその 関 連 会 社 の 米 国 およびその 他 の 一 定 の 国 における 登 録 商 標 または 商 標 で 本 書 類 またはウェブサイトに 掲 載 されているその 他 の 商 標 はそれぞれの 権 利 者 の 財 産 で パートナー または partner という 用 語 の 使 用 はCiscoと 他 社 との 間 のパートナーシップ 関 係 を 意 味 するものではありません (0809R) この 資 料 に 記 載 された 仕 様 は 予 告 なく 変 更 する 場 合 がありま 10.12 シスコシステムズ 合 同 会 社 107-6227 東 京 都 港 区 赤 坂 9-7-1 ミッドタウン タワー http://www.cisco.com/jp お 問 い 合 わせ 先 :シスコ コンタクトセンター 0120-092-255(フリーコール 携 帯 PHS 含 む) 電 話 受 付 時 間 : 平 日 10:00~12:00 13:00~17:00 http://www.cisco.com/jp/go/contactcenter/ お 問 い 合 わせ 先