次世代のアプリケーション スイッチである Cisco ACE モジュールは、緊密に統合された重要なアプリケーション サービス機能を 1 つの強力なシステムで提供します。

カスタマイズ可能なレイヤ 4 〜 7 ルールに基づく詳細なトラフィック制御を備えた、ロード バランシングおよびコンテンツ スイッチング機能を提供します。

• インテリジェントなデバイス ロード バランシング：Cisco ACE は、Domain Name System（DNS; ドメイン ネーム システム）、キャッシュ、透過キャッシュ、ファイアウォール、Intrusion Detection System（IDS; 侵入検知システム）、Intrusion Prevention System（IPS; 侵入防御システム）、VPN、および SSL VPN のサポートを提供します。
• Generic Protocol Parsing（GPP）：Cisco ACE は、次のプロトコルをネイティブで認識します。HTTP、FTP、DNS、Internet Control Message Protocol（ICMP）、Session Initiation Protocol（SIP）、Real-Time Streaming Protocol（RTSP）、Extended RTSP、RADIUS、および Microsoft Remote Desktop Protocol（RDP）
• Cisco ACE の GPP 機能により、カスタム アプリケーションやパッケージ アプリケーションのトラフィック ペイロード内の任意の情報に基づくアプリケーション スイッチングおよび持続性ポリシーを設定することができ、プログラミングの必要がありません。
• Cisco ACE は、他のソフトウェアベースのソリューションとは異なり、強力な正規表現エンジンによってハードウェアでペイロード解析を実行し、パフォーマンスを最大化します。
• HTTP ヘッダーの処理：Cisco ACE は、HTTP ヘッダーの変更、挿入、または削除をクライアント要求とサーバ応答の両方でサポートします。
• 部分的なサーバ ファーム フェールオーバー：Cisco ACE は、使用可能な実サーバ（RServer）の数に基づいて、新しいトラフィックを受信するサーバ ファーム（プライマリまたはバックアップ）を決定する機能を提供します。
• TCP ダンプ：ACE は、ACE を通過するネットワーク トラフィックに関するパケット情報をリアルタイムでキャプチャし、トラブルシューティングに役立てることができます。
• VIP 対応の送信元 Network Address Translation（NAT; ネットワーク アドレス変換）：VIP 対応の送信元 NAT により、NAT プールに仮想 IP（VIP）アドレスを含め、ダイナミック NAT および PAT を実行することで、クライアント側ネットワークで実 IP アドレスを節約できます。
• サーバ ファーム対応の送信元 NAT：プライマリ サーバ ファームに障害が発生した場合、数ホップ先にあるバックアップ サーバ ファームに送信元 NAT を切り替えることで、障害時にも途切れのないアプリケーション アベイラビリティを確保します。
• 柔軟なネットワーク構成：Cisco ACE モジュールは内部 VLAN インターフェイスを使用します。VLAN はスーパーバイザ エンジンから Cisco ACE に対して割り当て可能です。Cisco ACE に VLAN を割り当てたあと、対応する VLAN インターフェイスを Cisco ACE 上でルーテッド インターフェイスまたはブリッジド インターフェイスとして設定できます。Cisco ACE モジュールは、次のモードで設定できます。
• ルーテッド モード：クライアント側 VLAN とサーバ側 VLAN が異なるサブネットに存在する場合、トラフィックをルーティングするように Cisco ACE を設定できます。
• ブリッジ モード：クライアント側 VLAN とサーバ側 VLAN が同じサブネットに存在する場合、トラフィックをブリッジするように Cisco ACE を設定できます。
• Asymmetric Server Normalization（ASN）：Cisco ACE はクライアントからの初期要求を実サーバにロード バランスできます。ただし、サーバは Cisco ACE をバイパスし、直接クライアントに応答します。

Cisco ACE モジュールは、次の 3 タイプのハイ アベイラビリティを提供します。

• シャーシ間：1 台の Cisco Catalyst 6500 または Cisco 7600 シリーズ デバイスに搭載された Cisco ACE モジュールは、ピアの Cisco Catalyst 6500 または Cisco 7600 シリーズ デバイスの Cisco ACE モジュールによって保護されます。
• シャーシ内：Cisco Catalyst 6500 または Cisco 7600 シリーズ デバイスに搭載された Cisco ACE モジュールは、同じ Cisco Catalyst 6500 または Cisco 7600 シリーズ デバイスの別の Cisco ACE モジュールによって保護されます。
• 仮想デバイス間：Cisco ACE モジュールは、2 つのモジュールで構成された仮想デバイス間でのハイ アベイラビリティをサポートします。この機能を使用すると、特定のモジュールの他の仮想デバイスやアプリケーションに影響を与えることなく、特定の仮想デバイスをフェールオーバーすることができます。Cisco ACE を Cisco Global Site Selector（GSS）と統合し、複数のデータセンターのフェールオーバー システムを提供できます。

Cisco ACE ソリューションは SSL アクセラレーション テクノロジーを内蔵しています。SSL アクセラレーションは、外部デバイス（サーバやアプライアンスなど）から SSL トラフィックの暗号化/復号化の処理をオフロードします。このため、Cisco ACE で暗号化されたデータを詳細に検査して、セキュリティ ポリシーやアプリケーション スイッチング ポリシーを適用することができます。その結果、Cisco ACE でインテリジェントなポリシーによる判断が可能になるだけでなく、アプリケーション配信プラットフォームを内外の規定に確実に準拠させることができます。

再暗号化機能を使用する Cisco ACE の SSL アクセラレーションによって、インテリジェントなポリシーを適用する機能を維持したまま、機密データをエンドツーエンドで確実に暗号化することができます。次の SSL 機能がサポートされます。SSL 終端および開始、SSL バージョン 3.0、Transport Layer Security（TLS）バージョン 1.0、バックエンド SSL、輸出可能な RSA 暗号スイート、セッション ID のスティッキ性、SSL URL の書き換え（HTTP ヘッダーの書き換え）、セッション ID の再利用、クライアント認証、強力な RSA 暗号スイート、および Advanced Encryption Standard（AES; 高度暗号化規格）暗号スイート

• SSL アクセラレーテッド プロトコル：HTTPS、Secure IMAP（IMAPS）、Secure Lightweight Directory Access Protocol（LDAPS）、Secure Network News Transfer Protocol（NNTPS）、Secure POP バージョン 3（POP3S）、および Secure Telnet（STELNET）
• SSL アクセラレーテッド サイファ：rsa-with-rc4-128-md5、rsa-with-rc4-128-sha、rsa-with-des-cbc-sha、rsa-with-3des-ede-cbc-sha、rsa-export-with-rc4-40-md5、rsa-export-with-des40-cbc-sha、rsa-export1024-with-rc4-56-md5、sa-export1024-with-des-cbc-sha、rsa-export1024-with-rc4-56-sha、rsa-with-aes-128-cbc-sha、および rsa-with-aes-256-cbc-sha
• Public Key Exchange アルゴリズム：RSA 512 ビット、768 ビット、1024 ビット、1536 ビット、および 2048 ビット
• デジタル証明書：次の Certificate Authority（CA; 認証局）による主要なすべてのデジタル証明書：VeriSign、Entrust、Netscape iPlanet、Windows 2000 Certificate Server、Thawte、Equifax、および Genuity

Cisco ACE モジュールは、データセンターのサーバとアプリケーションの直前に置かれるセキュリティ保護装置としても機能するように設計されています。データセンター セキュリティは、プロトコル攻撃および DoS 攻撃からの防御と、ミッションクリティカルなコンテンツの暗号化を実行します。Cisco ACE のデータセンター セキュリティ機能は、次の機能を使用して、データセンターおよびクリティカルなアプリケーションを不正なトラフィックから保護します。

• HTTP ディープ パケット インスペクション：HTTP ヘッダー、URL、およびペイロード
• 双方向 NAT および Port Address Translation（PAT; ポート アドレス変換）
• スタティック、ダイナミック、およびポリシーベースの NAT/PAT のサポート
• ポート間のトラフィックを選択的に許可する Access Control List（ACL; アクセス コントロール リスト）
• TCP 接続状態トラッキング
• UDP に関するバーチャル コネクション ステート
• シーケンス番号のランダム化
• TCP ヘッダー検証
• TCP ウィンドウ サイズ チェック
• セッション確立時の Unicast Reverse Path Forwarding（URPF）チェック
• ACL オブジェクト グループ化
• TCP SYN Cookie による分散型 DoS（DDoS）の防止
• レート リミット：Cisco ACE は、実サーバ、仮想サーバ、または両方の組み合わせに適用可能なレート リミット機能を提供します。

仮想デバイスは、リソースを分割および分離する手段を提供し、Cisco ACE モジュールが 1 つの物理モジュール内で複数の仮想モジュールとして動作できるようにします。仮想デバイスを使用すると、1 つの Cisco ACE モジュールから最大 250 の異なるビジネス組織、アプリケーション、または顧客/パートナー向けに指定されたレベルのサービスを提供できます。

• 仮想デバイスを使用する場合、次のものが完全に分離されます。
• コンフィギュレーション ファイル
• 管理インターフェイス
• アプリケーション ルール セット
• 仮想デバイスは、次の点で、アプリケーションごとにカスタマイズされた保証付きリソースを提供します。
• スループット
• 1 秒あたりの接続数

次の Cisco ACE リソースの割り当てを制限および管理することができます。ACL メモリ、Syslog メッセージおよび TCP Out-Of-Order（OOO）セグメント用のバッファ、同時接続（Cisco ACE 経由のトラフィック）、管理接続（Cisco ACE 向けのトラフィック）、プロキシ接続、リソース制限（秒速で設定）、正規表現（regexp）メモリ、SSL 接続、Sticky エントリ、およびスタティックまたはダイナミック NAT（Xlate）

RBA 機能を使用すると、企業は管理ロールを指定して、それぞれの管理者の権限をモジュールまたは仮想デバイス内の特定の機能に限定することができます（図 3）。企業内の管理者は Cisco ACE モジュールをさまざまなレベル（アプリケーション管理、サーバ管理、ネットワーク管理、およびセキュリティ管理など）で操作する必要があります。そのため、特定の管理者グループが他の管理者グループに影響を与えることなく自由に作業できるように、管理者ロールを定義できる機能は重要です。この機能により、タスクを各グループに安全に委任することができます。Cisco ACE は次の定義済みロールを提供します。これらのロールは削除または変更できません。

• Admin：このロールでは、仮想デバイス内のすべてのオブジェクトに対する完全なアクセスおよび制御が提供されます。コンテキストの管理者は、そのコンテキスト内のすべてのオブジェクト（ポリシー、ロール、ドメイン、サーバ ファーム、および実サーバ）の作成、設定、および変更が可能です。
• Network Admin：このロールでは、次の機能に対する完全なアクセスおよび制御が提供されます。インターフェイス、ルーティング、接続パラメータ、NAT、仮想 IP コピー設定、および change to コマンド
• Network-Monitor：このロールでは、すべての show コマンドおよび change to コマンドに対するアクセスのみが提供されます。username コマンドを使用してユーザにロールを明示的に割り当てない場合は、これがデフォルト ロールとなります。
• Security-Admin：このロールでは、コンテキスト内で次のセキュリティ関連機能に対する完全なアクセスおよび制御が提供されます。ACL、アプリケーション インスペクション、接続パラメータ、インターフェイス、Authentication, Authorization, and Accounting（AAA; 認証、認可、アカウンティング）、NAT、コピー設定、および change to コマンド
• Server-Appln-Maintenance：このロールでは、次の機能に対する完全なアクセスおよび制御が提供されます。実サーバ、サーバ ファーム、ロード バランシング、コピー設定、および change to コマンド
• Server-Maintenance：このロールでは、実サーバのメンテナンス、モニタリング、およびデバッグに対するアクセスが提供されます。
• 実サーバ：変更権限
• サーバ ファーム：デバッグ権限
• 仮想 IP：デバッグ権限
• プローブ：デバッグ権限
• ロード バランシング：デバッグ権限
• change to コマンド：作成権限
• SLB-Admin：このロールでは、コンテキスト内で次の Cisco ACE 機能に対する完全なアクセスおよび制御が提供されます。実サーバ、サーバ ファーム、仮想 IP、プローブ、ロード バランシング（レイヤ 3、4、および 7）、NAT、インターフェイス、コピー設定、および change to コマンド
• SSL-Admin：このロールは、すべての SSL 機能の管理者です。
• SSL：作成権限
• PKI（Public Key Infrastructure; 公開鍵インフラストラクチャ）：作成権限
• インターフェイス：変更権限
• コピー設定：作成権限
• change to コマンド：作成権限

上記のデフォルト ロールに加えて、さまざまな組織構造に適応するために新しいロールを作成できます。

Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズ シャーシのモジュールである Cisco ACE は、新規または既存のネットワークに容易に統合することができ、レイヤ 2 〜 7 のすべてに対応した完全なソリューションを提供します。

このソリューションは最大 1,152 個のポートと最大 720 Gbps のシャーシ スループットをサポートしているため、大規模なネットワークの要件にも容易に対応できます。また、統合型のソリューションを利用することによって、設置面積を大幅に削減することが可能になります。アプリケーションおよびデータセンターのハイ アベイラビリティは、Route Health Injection（RHI）および自動ステート機能によってサポートされます。これらの機能を使用すると、ネットワーク内でサービスを出入りする物理インターフェイスによって、Cisco ACE 仮想デバイス フェールオーバーを強制的に実行できます。

ダイナミック レイヤ 3 ルーティングの仮想化は、Cisco Catalyst 6500 シリーズおよび Cisco 7600 シリーズに搭載された Multi-Switch Feature Card（MSFC; マルチレイヤ スイッチ フィーチャ カード）上の Virtual Route Forwarding（VRF）インスタンスとの統合によってサポートされます。

アプリケーション スイッチング、SSL アクセラレーション、データセンター セキュリティなどの機能を 1 つのデバイスに統合することにより、Cisco ACE はビット/秒（bps）単位からパケット/秒（pps）単位への大幅な処理速度の向上を実現し、アプリケーション遅延を短縮します。機能を統合することによって、ネットワークの 4 箇所以上で終端していた TCP フローは 1 箇所だけで終端するようになります。これは、応答時間の短縮や処理能力とメモリの節約につながります。

暗号化/復号化、ロード バランシングの決定、セキュリティ チェック、およびビジネス ポリシーの割り当てと検証をネットワーク内の 1 箇所ですべて実施することによって、デバイス数の削減、ネットワーク構成の簡素化、管理の簡素化、および優れたアプリケーション パフォーマンスを実現します。

Cisco ACE はデフォルトで、1 つの管理デバイスおよび 5 つのユーザ デバイスによる仮想化、4 Gbps のモジュール帯域幅、1000 SSL トランザクション/秒（TPS）、および無料の販促用セキュリティ ライセンスをサポートしています。

ソフトウェア ライセンスのアップグレードにより、新しい機器への大幅な再投資なしでネットワークを拡張できます。

• スループット：デフォルトのモジュール帯域幅 4 Gbps を、同じモジュールで 8 Gbps または 16 Gbps に増加させることができます。1 台の 6500/7600 シャーシに 4 つの Cisco ACE モジュールを搭載することにより、帯域幅を最大 64 Gbp まで拡張可能です。
• 仮想デバイス：ソフトウェア ライセンスのアップグレードにより、デフォルトのユーザ デバイス数 5 から 20、50、100、または 250 の仮想デバイスに増やすことができます。
• SSL TPS：ソフトウェア ライセンスのアップグレードにより、デフォルトの 1000 SSL TPS から 5000、10,000、または 15,000 TPS に増やすことができます。

Cisco ACE モジュールには、2 つのフィールドアップグレード可能なドーターカード スロットも装備されており、今後の新機能や拡張に対応し、プラットフォーム寿命を最大限に延長できます。このような柔軟性を備えた Cisco ACE モジュールは、全面的なアップグレードなしで、ビジネスをほとんどまたはまったく中断することなく、何年間にもわたって企業ニーズに応じて拡張可能です。

• SR-3580-NEBS：基準レベル （Level 3 準拠）
• GR-63-CORE-NEBS：物理保護
• GR-1089-CORE-NEBS：EMC および安全性

• FCC Part 15（CFR 47）クラス A または B
• ICES-003 クラス A または B
• EN55022 クラス A または B
• CISPR22 クラス A または B
• AS/NZS CISPR22 クラス A または B
• VCCI クラス A または B
• CISPR24
• EN55024
• EN50082-1
• EN61000-3-2
• EN61000-3-3
• EN61000-6-1

• UL 60950
• Can/CSA-C22.2 No. 60950
• EN 60950
• IEC 60950
• AS/NZS 60950 TS001

• Cisco Catalyst 6500 シリーズ Supervisor Engine 720 および Supervisor Engine 720-10GE
• Cisco 7600 シリーズ Supervisor Engine 720 および Route Switch Processor 720

• Cisco IOS® ソフトウェア リリース 12.2(18)SXF4 以降（Supervisor Engine 720 の場合）および 12.2(33)SXH 以降（Supervisor Engine 720-10GE の場合）を実行する Cisco Catalyst 6500 シリーズ
• Cisco IOS ソフトウェア リリース 12.2(18)SXF4 以降および 12.2(33)SRB 以降（Supervisor Engine 720 の場合）、および 12.2(33)SRC 以降（Route Switch Processor 720 の場合）を実行する Cisco 7600 シリーズ