Cisco Application Control Engine(ACE)4710 と新しい Cisco ACE ソフトウェア リリース 4.1

製品速報





Cisco Application Control Engine(ACE)4710 と新しい Cisco ACE ソフトウェア リリース 4.1



既存の Cisco ACE 4710 を補完する新しい Cisco® Application Control Engine(ACE)30 モジュールには、複数のハードウェア フォーム ファクタに対応できる統合アーキテクチャと、Web トランザクションの負荷に対応できる高い処理能力が備わっています。この Cisco ACE30 モジュールと Cisco ACE 4710 アプライアンスには、新しい Cisco ACE ソフトウェア リリース A4(1.0) が搭載されます。このソフトウェア リリースにより、2 種類のハードウェア フォーム ファクタに同様の機能が提供されるほか、新機能も提供されます。


Cisco ACE 4710 の概要


Cisco ACE 4710 は、データセンター アプリケーションのアベイラビリティ、セキュリティ、アクセラレーションの向上を実現する、次世代のアプリケーション スイッチです。

Cisco ACE 4710 を使用することで、企業はアプリケーション配布における以下の 4 つの主要な IT 目標を達成できます。

  • 高度なレイヤ 4 〜 7 のロード バランシング機能とコンテキスト スイッチング機能によるアプリケーション アベイラビリティの向上
  • データセンターおよび基幹業務アプリケーションのセキュリティ保護
  • 仮想機能を使用してデータセンターの統合を促進することによる、データセンターの電力および冷却コストの削減
  • アプリケーション パフォーマンスの向上

新機能


Cisco ACE ソフトウェア リリース 4.1 は、Cisco ACE モジュールおよびアプライアンスのフォーム ファクタに共通のソフトウェア リリースで、複数のプラットフォームで一貫した機能を提供します。Cisco ACE ソフトウェア リリース 4.1 には、既存の Cisco Content Services Switch(CSS)製品と同様の機能が備わっているため、Cisco CSS ユーザは容易に Cisco ACE プラットフォームに移行できます。

表 1 に、Cisco ACE 4710 に搭載された Cisco ACE ソフトウェア リリース 4.1 の主要機能をまとめます。

表 1 Cisco ACE ソフトウェア リリース 4.1 の機能

機能 説明 利点
TCP のインバンド ヘルスチェック インバンド ヘルスチェックは、クライアントとサーバのトラフィックをリアルタイムでチェックし、サーバでクライアント要求が正しく処理されているかどうかを確認する機能です。この機能により、サーバから TCP リセット(RST)を受信した場合や、クライアントからの TCP SYN にサーバが応答できない場合に、Cisco ACE がローテーションから実サーバを取得します。この機能は、ヘルス プローブと連携して動作します。 サーバのパッシブなヘルスチェックにより、アプリケーションの継続的なアベイラビリティを確保します。
HTTP ヘッダーへの SSL セッションの挿入 この機能により、SSL セッション情報と SSL Termination 証明書の情報を、HTTP ヘッダーに挿入できます。そのため、Cisco CSS、Cisco Content Switching Module with SSL(CSM-S)、および Cisco SSL Services Module(SSLM)製品と同様の機能を Cisco ACE で使用できます。
デフォルトでは、SSL ヘッダー挿入は有効になっていません。ユーザが SSL セッションの挿入とサーバ証明書のいずれかまたは両方を有効にすると、デフォルトでヘッダーが全 HTTP 要求に挿入されます。
Cisco CSS と同等の機能を提供するので、既存の Cisco CSM 製品から Cisco ACE 4710 への移行が容易です。
HTTP ヘッダーへのクライアント証明書の挿入 この機能は、クライアント証明書全体またはクライアント証明書の全 X.509v3 オプションの挿入に対応しており、ユーザが標準 X.509v3 ヘッダーの名前を設定できます。
Cisco ACE にクライアント認証が設定されている場合は、クライアントから受信したクライアント証明書を解析し、ヘッダーを HTTP ヘッダー経由でアプリケーションに送信する必要があります。この機能により、これまでのサーバ証明書ヘッダーの挿入機能が拡張され、Cisco ACE で X509v3 拡張フィールドを含む任意のフィールドを挿入できるようになります。
Cisco CSS と同等の機能を提供するので、既存の Cisco CSM 製品から Cisco ACE 4710 への移行が容易です。
VLAN のセカンダリ IP アドレス この機能により、Cisco ACE で VLAN 内の複数のレイヤ 2 ネットワークをリッスンできます。プライマリ IP アドレスと同様、セカンダリ IP アドレスでもクライアント、サーバ、リモート アクセスのトラフィックを Cisco ACE で受信できます。 VLAN 内に複数の IP サブネットが存在する環境に Cisco ACE を導入できます。
クライアント認証失敗時のリダイレクト この機能により、クライアント証明書の認証に失敗した場合に、クライアント接続をリダイレトできます。
Cisco ACE のデフォルト動作では、クライアント証明書の認証に失敗すると、クライアント接続が拒否されます。この機能により、失敗した認証のタイプに基づいて、Cisco ACE でクライアント接続をサーバまたはサーバ ファームにリダイレクトできます。
ユーザは失敗した認証を正常に処理でき、即座に対応できます。
設定とチェックポイントのセキュアなバックアップと復元 この機能により、デバイス レベルまたは仮想コンテキスト レベルで Cisco ACE システムのバックアップを実行できます。バックアップ対象は、実行およびスタートアップ コンフィギュレーション ファイル、アクティブ ライセンス、実行コンフィギュレーションで定義されたスクリプト、チェックポイント、SSL 証明書、およびエクスポート可能な SSL キーとなります。この機能には、バックアップと復元プロセスをユーザが自動化する際に使用できる XML API も搭載されています。 Cisco ACE 設定をバックアップする堅牢で柔軟な機能を提供します。
SSL 用キーと証明書のペアのサンプル この機能により、Cisco ACE 内で SSL の Rivest、Shamir、Aldeman(RSA)キーと SSL 証明書がグローバルに提供されるため、あらゆるコンテキストのユーザが、テスト用 SSL キー(1,024 ビット)とテスト用 SSL 証明書にアクセスできます。
証明書には自己署名が必要で、有効期限にはかなり先の日付を設定する必要があります。
主に、デモ目的、概念実証、お客様のラボ テスト環境で使用します。
障害発生時の VLAN 間での動作の再割り当て この機能により、異なる VLAN に配置された侵入防御システム(IPS)アプライアンス間でトラフィックをロード バランシングし、IPS に障害が発生した場合のルーティングを確保できます。 Cisco CSS と同等の機能を提供します。
IP のリバース スティッキ性 IP のリバース スティッキ性は、主にファイアウォールのロード バランシング(FWLB)で使用されます。この機能により、両端(クライアントとサーバ)のホストによって開かれた複数の異なる接続がロード バランシングされ、同一のファイアウォールに固定されます。
リバース スティッキは、FTP、Real-Time Streaming Protocol(RTSP)、Session Initiation Protocol(SIP)など、別々のコントロール チャネルとデータ チャネルがクライアントとサーバによって開かれているプロトコルに適用されます。
ファイアウォールのロード バランシングの導入に必要です。
SSL オフロードの拡張による、LDAP 経由での証明書失効リスト(CRL)のダウンロード この機能により、Lightweight Directory Access Protocol(LDAP; 軽量ディレクトリ アクセス プロトコル)を使用して、クライアント証明書(バックエンド サーバ認証の場合はサーバ証明書)によって提供される CRL のディストリビューション ポイント(CDP)から、CRL を取得できます。検証される証明書に CDP 拡張フィールドが含まれている場合は、Cisco ACE で CDP をダウンロード パスとして使用する必要があります。 Cisco SSLM と同等の機能を提供し、ユーザは既存製品を Cisco ACE に移行できます。
グローバル サーバ ロード バランシングのスケーラビリティ この機能により、1 つの Cisco ACE コンテキストでサポート可能な Keepalive Appliance Protocol(KAL-AP)タグ数が 4,000 に増加します。Cisco ACE では、1 つのコンテキストで 4,000 の仮想 IP アドレスと KAL-AP タグをサポートできます。または、4,000 の仮想 IP アドレスによる 250 のコンテキスト、250 のコンテキストに均等に分散された KAL-AP タグをサポートできます。 世界各地のデータセンターにアプリケーションを拡張できます。
アクセス コントロール リスト(ACL)のマージと大規模構成の効率性の向上 この機能は、以下を通じて ACL のパフォーマンスを向上します。
  • ACL のマージ、コンパイル、ダウンロード時間の短縮
  • ブートアップと増分変更での ACL メモリの使用量を均等化
  • ACL のトランザクション モデルの作成
  • ACL 出力がシステム メモリを超過した場合の ACL のマージやコンパイルの停止
  • 分析のために元の ACL を保持
ACL パフォーマンスの向上により、コントロール プレーンの効率性を向上します。
永続的リバランス ノブ 既存の永続性リバランス機能の強化により、Cisco ACE の設定を同一 TCP 接続の各後続 GET 要求に個別にロード バランシングできます。この機能により、Cisco ACE で各 HTTP 要求を異なるレイヤ 7 クラスや実サーバにロード バランシングできます。 アプリケーションのロード バランシングの柔軟性を向上します。
使いやすさの改善 使いやすさを改善する多数の機能が実現されています。
  • SSL 用キーと証明書のペア ファイルのバルク インポート、最大 8,000 の SSL ファイルと最大 4,000 の証明書または 4,000 のキー ファイルをサポート
  • CRL による SSL サーバ証明書の検証
  • レイヤ 7 HTTP ポリシー マップ内のクラス マップの一致 HTTP URL 文に基づいた、レイヤ 7 の一致 URL ヒット カウンタへの接続確立回数(ヒット カウント)の表示
  • ユーザ セッションと Network Address Translation(NAT; ネットワーク アドレス変換)および Port Address Translation(PAT; ポート アドレス変換)の関連付けによる Syslog の強化
製品の使いやすさ、トラブルシューティング、およびデバッグ機能を向上します。


Cisco ACE 4710 は、組み込みのデバイス マネージャ GUI で管理されます。このデバイス マネージャは、Cisco ACE ソフトウェア リリース 4.1 の新しいソフトウェア機能をすべてサポートしています。中央集中型の管理とプロビジョニングを行う場合は、Cisco Application Network Manager(ANM)4.1 を管理プラットフォームとして使用することを推奨します。

発注情報


Cisco ACE 4710 は、アプライアンス ハードウェアと、スループット、SSL、圧縮、アプリケーション アクセラレーション、および仮想コンテキストのソフトウェア ライセンスで構成されています。あらかじめ構成されたバンドルを注文することも、お客様固有の要件に合わせてライセンスを別々に購入することもできます。

表 2 に、Cisco ACE 4710 の発注情報を示します。

表 2 発注情報

部品番号 説明
ACE-4710-1F-K9 バンドル ライセンス:ACE 4710 ハードウェア、1 Gbps スループット、5,000 SSL TPS、500 Mbps 圧縮、仮想デバイス 5 台、アプリケーション アクセラレーション ライセンス、組み込みデバイス マネージャを含む
ACE-4710-2F-K9 バンドル ライセンス:ACE 4710 ハードウェア、2 Gbps スループット、7,500 SSL TPS、1 Gbps 圧縮、仮想デバイス 5 台、アプリケーション アクセラレーション ライセンス、組み込みデバイス マネージャを含む
ACE-4710-4F-K9 バンドル ライセンス:ACE 4710 ハードウェア、4 Gbps スループット、7,500 SSL TPS、2 Gbps 圧縮、仮想デバイス 5 台、アプリケーション アクセラレーション ライセンス、組み込みデバイス マネージャを含む
ACE-4710-BUN-UP2= 1G バンドルから 2G バンドルへのバンドル アップグレード ライセンス
ACE-4710-BUN-UP3= 2G バンドルから 4G バンドルへのバンドル アップグレード ライセンス
ACE-4710-K9 ACE アプライアンス ハードウェア
ACE-AP-SW-3.1 ソフトウェア バージョン 3.1
ACE-AP-01-LIC 1 Gbps スループット ライセンス
ACE-AP-02-LIC 2 Gbps スループット ライセンス
ACE-AP-04-LIC 4 Gbps スループット ライセンス
ACE-AP-04-UP1= 1G バンドルから 4G バンドルへのスループット アップグレード ライセンス
ACE-AP-04-UP2= 2G バンドルから 4G バンドルへのスループット アップグレード ライセンス
ACE-AP-SSL-05K-K9 SSL 5,000 TPS ライセンス
ACE-AP-SSL-7K-K9 SSL 7,500 TPS ライセンス
ACE-AP-VIRT-020 仮想コンテキスト ライセンス x 20
ACE-AP-C-500-LIC 500 Mbps 圧縮ライセンス
ACE-AP-C-1000-LIC 1 Gbps 圧縮ライセンス
ACE-AP-C-2000-LIC 2 Gbps 圧縮ライセンス
ACE-AP-OPT-LIC-K9 アプリケーション アクセラレーション ライセンス
ACE-AP-SSL-UP1-K9= 5,000 TPS から 7,500 TPS への ACE SSL アップグレード ライセンス
ACE-AP-C-UP1= 500 Mbps から 1 Gbps への圧縮アップグレード ライセンス
ACE-AP-C-UP2= 500 Mbps から 2 Gbps への圧縮アップグレード ライセンス
ACE-AP-C-UP3= 1 Gbps から 2 Gbps への圧縮アップグレード ライセンス


アップグレード


Cisco ACE ソフトウェア リリース 4.1 は、Cisco ACE 4710 ソフトウェア リリース 3.0 の全バージョンからのアップグレードをサポートしています。ソフトウェア リリース 3.0 を実行している Cisco ACE 4710 ユーザは、無料でソフトウェア リリース 4.1 にアップグレードできます。

関連情報


Cisco ACE の詳細については、http://www.cisco.com/jp/go/ace/ を参照するか、最寄りのシスコ代理店にお問い合わせください。