 |
||
|
■Cisco IOSTM ソフトウェア 11.1 新機能
はじめに
この製品速報ではIOSリリース11.1で提供される新規機能について説明します。この速報は製品出荷開始の約2カ月前に書き起こされていますので、ここで説明する機能の一部は初期の製品では提供されずに、メンテナンスリリースとして提供される場合があります。すでに現在の計画で機能の提供がメンテナンスリリースで行われることが決まっている項目はそのように明記します。IOSリリース11.0発注の手続きや、対応プラットホーム情報、プラットホーム固有の詳細機能についての情報は、各販売店またはシスコシステムズ(株)(info-jp@cisco.com)までお問合せください。
1 バックボーン・プロトコル
1.1 TCP/IP機能
1.1.1 NHRP(ネクストホップ・ルーティング・プロトコル)のIPX対応拡張
[解説]NHRPは同一WAN網に接続されたルータ間でダイナミックにお互いのデータリンク・アドレスを取得することを可能にします。今日の環境ではWAN上に設置された周辺機器のネットワーク層とデータリンク層のアドレスを双方とも知ることが必須になってきています。NHRPを使えばルータがダイナミックにこれらを取得することができます。
NHRPはCisco IOSリリース10.3からサポートされている機能ですが、今回のリリースから、従来のIPサポートに加えてIPXサポートの機能が拡張されました。
[メリット]
NHRPはこれからのファーストスイッチング技術を利用した大規模WAN網構築のために必須の機能になってきています。シスコはNHRP規格の策定にあたっており、実際にこのプロトコルをルータに実装する最初の企業になります。
今回のNHRP機能の強化によって、ユーザはIPアドレスだけではなくIPXアドレスもダイナミックに取得することが可能になりました。
[備考]
現在NHRP機能はATM、SDMS、GREトンネリングを利用した環境に対応します。また将来のリリースでX.25、フレームリレー網をサポートします。
1.1.2 フローティング・スタティック・ルートの高速化
[解説]フローティング・スタティック・ルート機能は、通常の接続経路に異常が発生したときの代用経路を設定するのに利用します。一般的に、Cisco IOSのDDR機能(ダイアル・オンデマンド)と組み合わせて、専用線やフレームリレー網で通常のスタティック・ルートやダイナミック・ルーティングによる接続に異常が発生したときのバックアップ経路の定義方法として利用されます。
今回の高速化により、ルーティング・プロトコルやインタフェースが経路の切断を検知するとすぐにフローティング・スタティック・ルートを参照するようになりました。
[メリット]
専用線やフレームリレー網のバックアップにダイアル・オンデマンドを利用している場合に、フローティング・スタティック・ルートを参照するまでの時間が短縮され、結果としてバックアップ回路への切り替えに必要な時間が短縮されます。
[備考]
今回の高速化では、ルーティング・プロトコルやインタフェースが通常経路の異常を検知するのに必要な時間は短縮されていません。
1.1.3 GRE(Generic Route Encapsulation)のファーストスイッチ対応
[解説]GRE(汎用ルート・カプセル化処理)は複数のネットワークプロトコルを同じトンネルで取扱うことができる機能です。さらにGREはシーケンスとセキュリティ・キーのオプションを持っています。
この機能によりGREトンネル処理でファーストスイッチが可能になりました。従来のカプセル化処理とカプセル展開処理はプロセススイッチされていました。
[メリット]
ファーストスイッチングによるGREトンネル処理のパフォーマンス改善は、Cisco 2500、4000、7500ファミリーのルータでGRE機能を利用しているユーザにとって大きなメリットになります。
[備考]
現在このパフォーマンス改善はCisco 7000およびAGS+シリーズのルータでは提供されていません。
1.1.4 RIPv2(ルーティング・インフォメーション・プロトコル v2)
[解説]RIPv2はRIPv1の上位互換性を保ちながら、次の新機能を実現しています。
サブネットマスク
サブネットマスク情報をサポートすることで、ネットワーク上で複数のサブネットを構築することが可能になり、RIPはさまざまな点でより使いやすくなります。また、サブネットマスクはCIDR(クラスレス・インタードメイン・ルーティング)などの「クラスレス」なアドレス管理にも必要です。
- 認証
- RIPv1からRIPv2への機能強化の中で大きく拡張されたのが、この認証の機能です。認証には、テキスト文字列によるパスワードを利用するかMD5シグネチャを利用するかを選択できるようになっています。
- マルチキャスト
- RIPv2のパケットは、ブロードキャストする代わりにマルチキャストできます。IPマルチキャストを利用すると、ルーティング・プロトコルをサポートしないホストの負荷を下げることができます。また、RIPv1しかサポートしないルータでは解釈できない情報を、RIPv2ルータ同士で共有することもできます。この機能は、RIPv1しかサポートしないルータが、サブネットマスクを利用できないために経路情報を誤って解釈することを防ぐためにも便利です。
- エクスターナル・ルート・タグ
- ルート・タグ・フィールドを利用して、EGPから取得された情報を伝えることができます。
[メリット]
RIPv2のサポートによって、VLSM(可変長サブネットマスク)をネットワークの運用に利用できるようになりました。従来のRIPよりも効率的にアドレス空間を利用できます。
RIPv2はCisco IOSソフトウェアで利用できるクラスレス・ルーティングの適用範囲をさらに広げました。
この機能はインターネット・ルーティング・システムの拡張性を大きく改善する基本メカニズムとなります。
[備考]
RIPv2対応ルータをRIPv1しかサポートしないホストと混在させる場合には注意が必要です。RIPv1ホストではRIPv2で提供されるサブネット情報の処理ができないためにルーティング経路を誤る恐れがあります。
マルチホーム環境の一部には、ホストがRIPv1ブロードキャストをモニターして、メイン・ルータに異常があった時の代替ルータを判断するような設定をしている場合があります。
このような環境でのホストは、RIPのかわりにRFC 792のICMPルータ・ディスカバリ・プロトコルやHSRP(ホットスタンバイ・ルータ・プロトコル)を利用することを推奨します。
1.2 トランスペアレント・ブリッジ機能
1.2.1 VLAN(バーチャルLAN)ルーティング
[解説]Cisco VLANサービスのスイッチドVLAN(バーチャルLAN)間通信機能が強化され、IEEE 802.10やCisco ISLを用いたVLAN間でIPやIPXのルーティング、透過的な802.1dブリッジが可能になりました。
VLANのルーティングは通常のLANやATMスイッチ環境でも利用できますが、ここではVLANネットワークでの実装を中心に説明します。
複数のVLAN機能をもったスイッチを利用すれば、各ユーザ・ポートを独立した仮想ワークグループに分離して、それぞれを仮想的なLAN(バーチャルLANまたはVLAN)として扱うことができます。論理的にネットワークをセグメント化することができるため、アドレス管理やセキュリティ、エンタープライズ規模のネットワークでのブロードキャスト・トラフィックの管理など様々な面でメリットがありますが、VLAN間での情報交換や、各VLANで使用されるスイッチやルータ間の相互運用性などの課題があります。VLAN間で情報を交換するためにはルーティング、またはルーティングできないプロトコルタイプのメッセージではブリッジ機能が必要になります。Cisco IOSソフトウェアでは、VLAN間通信の手段として専用VLANポートとVLANサブインタフェースの2つの方法を提供します。
専用VLANポート方式は、従来からシスコが提供してきた方式で、ルータの物理的なインタフェースをVLANグループごとに独立して割り当てることで、各ユーザの接続するVLANを区分します。例えば、相互にVLAN間通信を行う5つのVLANがあった場合、それぞれが独立したスイッチとルータ・インタフェースを1組ずつ持つことになります。広帯域幅を要求するVLAN間アプリケーションでは、これがもっともコストパフォーマンスの良い方法です。この方式は第3層レベルの転送処理で高性能なパフォーマンスを実現し、さらにVLANの導入円滑化のために従来のCiscoルータに用意された機能をほとんど利用できます。
今回のリリースから提供されるVLANサブインタフェースでは、従来の専用VLANポート方式と違い、1つの物理インタフェースに複数のVLANを構成することができます。トランク・インタフェースと呼ばれるこのインタフェースは、論理的な複数のVLANをIEEE 802.10やCisco ISLを用いてカプセル化し、FDDIやFast Ethernetのメディアで伝送します。Cisco IOSのVLAN機能では、この新しいサブインタフェース(または仮想インタフェース)機能を利用し、ISLや802.10をカプセル化タイプとみなします。物理的にVLANパケットを送受信するルータの各インタフェース(VLANトランク、あるいはトランクと呼ばれます)では、サブインタフェースが定義され、特定のVLANグループにマップされています。このような構造をとることで、選択的にVLANトラフィックをVLANドメインの外にルーティングする、あるいはスイッチすることが可能になります。またCisco IOS機能のほとんどが、サブインタフェースを単位として利用可能となっています。Cisco IOSソフトウェアでは、ルータ1台あたりのサブインタフェース数は255論理ポートに制限されますが、ネットワーク全体で利用されるVLANの数には制限がありません。
このトランクVLANサブインタフェース方式の特長は、ルータ/スイッチの物理ポート数を節約できることと、VLAN内のトラフィックが主体でVLAN間をまたがるトラフィックの少ない環境では、非常にコスト効率の良い環境が作れることです。
Cisco IOS VLANサービスでは、同じVLAN上の異なるサブネット間のルーティングも異なったVLAN間のルーティングも可能です。ルータはまず最初にパケットのプロトコルがルーティング可能かどうかをチェックします。ルーティング可能な場合には、そのままルーティングします。不可能な場合にはブリッジ可能かどうかを再度チェックします。ブリッジ可能な場合は、ブリッジします。このメカニズムにより、同時にパケットをプロトコルタイプに応じてルーティングまたはブリッジすることができます。この機能は下位のプロトコルに応じたVLANを構築するために必要となります。
1つのVLAN上の2つのサブネット間でルーティングを行うために、VLANサブインタフェースには2次アドレスが割り当てられています。IPの設計ガイドラインに準拠して、1つのサブネットは1つのVLANを越えないように設計されます。
ブリッジ・モードに設定された場合、ルータはVLANパケットをスイッチと同じように処理します。MACアドレスがブリッジ・テーブルと照合され、パケットのフォワードが必要な場合、ブリッジ・テーブルで宛先が決定されます。VLANパケットのブリッジングはLAT、NetBIOS、LLC2など、第3層のルーティング機能がないプロトコルで必要となります。
ワークグループをブリッジしてVLANを構成するためには、スパニング・ツリー(経路検索ツリー)を構築します。これは、ループの発生を防ぎ、ネットワーク全域に渡って一貫したデータパスを保持するための機能です。
VLANにスパニング・ツリーを実装するには2つの方法があります。すべてのVLANをカバーする共通のツリーを一本設定する方法と、各VLANのトポロジ毎に独立したツリーを持つ方法です。シスコでは、拡張性と信頼性を重視して、後者の方法を選択しました。
各VLANトポロジ毎に独立したスパニング・ツリーを持つことは、共通の1本のツリーでネットワーク全体を管理することに比べて、ネットワークの柔軟性と運用の安定性を保つために有利です。また各VLANのツリーが自立しているために、ネットワーク上の他の箇所で発生した経路の再計算などによる影響を受けません。
VLANの外から、あるいはVLAN内のアクセスタイプのコントロールに必要なアクセスリストのセキュリティも、Ciscoルータではサブインタフェースを利用して環境設定できます。つまりVLAN同士を接続した時に、セキュリティ層がもう1層加わることになります。
シスコでは他社のネットワーク機器との相互運用性についても能動的なアプローチを採っており、他のネットワーク接続機器メーカーに対してこのインタースイッチ・プロトコルの仕様を公開しています。相互運用性を持ったVLAN標準としてIEEE 802.10を確立し、VLAN間通信のための、メーカー非依存の規格として公開しています。
シスコはさらにIEEE 802.1ワーキング・コミッティでVLANトランク、VLAN管理、VLAN分散のプロトコルの評価、修正、標準化に参加しています。
[メリット]
VLANルーティング
- 論理的に区切られたVLANグループ間の通信を可能にし、同時に各VLANのファイアウォールの有効性(セキュリティ、トラフィックの分離、論理アドレスの共通化)を維持することができます。
- スイッチド・インターネットワークでのVLAN構築と環境維持の中心的な役割を担います。
- VLAN間通信でルータやスイッチの物理インタフェースを節約できます。
- ワークグループ、キャンパスLAN、WAN網を利用したVLAN通信を可能にします。
- シスコのサブインタフェース技術によって、ルータ1台あたり255網のVLANまで構築ができます(ネットワーク全体での制限はありません)。
- 第2層で機能するエンドステーション・プロトコル(NetBIOS、LATなど)のためにブリッジモード(第2層)を用意。
- VLAN内外からのアクセスタイプを管理するためのセキュリティ・アクセスリスト機能を提供。
- 幅広いVLAN構成に対応し、ネットワーク上に第2層および第3層のアプリケーションが混在している場合でも、同時にルーティングとVLAN間のフォワードを行うことが可能です。
- VLAN間通信やクロスベンダー接続に関心をもったサードパーティにIEEE 802.10として規格を公開しています。
専用VLANポート方式の構成では、第3層でのフォワード帯域の最適化が行われ、Ciscoルータ製品に用意された機能のほとんどが利用可能です。
共有VLANポート方式では、ルーティング処理能力の制限が専用VLANポート方式よりも厳しいため、ルーティング帯域の確保について充分な検討が必要です。
ISLオーバHSRPは現在使用できません。これは802.1dトポロジの変更によって重複パケットが発生したり、相手先MACアドレスが不明な場合にパケットの大量発生が起こるためです。
IPおよびIPXプロトコルのルーティングやトランスペアレント・ブリッジに加え、Cisco 7500 FEIPでは追加のプロトコルサポートが提供される計画です。
2 デスクトップ・プロトコル
2.1 AppleTalk機能
2.1.1 SMRP(シンプル・マルチキャスト・ルーティング・プロトコル)のファーストスイッチ対応
[解説]AppleTalkネットワークでのSMRPマルチキャスト・ルーティング・プロトコルのファーストスイッチ機能がCisco 4000とCisco 7500シリーズのルータに実装されました。
SMRPはAppleTalkネットワークでのルーティング処理を最適化し、Apple Quicktime Conferencing(QTC)のオーディオデータ、ビデオデータ、共有データの伝送効率を改善します。アップルコンピュータ社のQTCは複数のエンドステーションがマルチポイントで情報を共有しながらマルチメディア操作を行うことができる、強力なマルチメディア・アプリケーションです。SMRPはQTCのネットワーク機能を補完するものです。SMRPは同じ内容のパケットを送信元から複数の受信先に個別に発信しないことにより、QTCのエンドシステムで通信でのCPU負荷を低減します。SMRPは不必要な送信や重複した内容の送信を規制し、ネットワークのスループットを向上させます。さらに最短経路での配送ツリーをダイナミックに構築しますので、受信エンドステーションをもったネットワークだけにトラフィックが伝藩するように制御します。SMRPでは配送ツリーの分岐点でジャスト・イン・タイムにパケット複製を行い、それぞれのエンドステーションに配送します。
Cisocルータでは、Cisco IOSソフトウェア リリース11.0からSMRPをサポートしています。今回のリリースでは従来よりもさらにパフォーマンスの向上がありました。
[メリット]
Cisco SMRP対応ルータはQTCを実現するネットワークの必需品です。Cisco 4000とCisco 7500シリーズ・ルータではSMRPパフォーマンスが大幅に向上しています。
[備考]
今後Cisco 7000シリーズでもSMRPのパフォーマンス向上を計画しています。
2.2 Novell機能
2.2.1 拡張IGRP(EIGRP)とNLSP間のルーティング情報交換
[解説]拡張IGRP(EIGRP)とNLSP間のルーティング情報交換機能は、IPXネットワークで拡張IGRPによるルーティングを行っているドメインとNLSPによるルーティングを行っているドメインがあった場合に両者間でルーティング情報を交換できる機能です。従来でも拡張IGRPとIPX RIPの間では自動的にルーティング情報の受け渡しがデフォルトで実現されていましたし、NLSPとIPX RIPの間も同様でしたが、Cisco IOSソフトウェアの新機能では、拡張IGRPネットワークとNLSPネットワークの間でルーティング情報を直接に流すためのツール群を提供します。
[メリット]
拡張IGRPとNLSP間のルーティング情報交換機能は、大規模なIPXネットワークを利用するユーザに、いままでにない柔軟性を提供します。従来はIPXを利用したネットワークが大規模化し、RIPやSAPでは運用できないレベルに達すると、より拡張性の高いプロトコルである拡張IGRPかNLSPのどちらか一方を選択してアップグレードしなければなりませんでした。拡張IGRPとNLSP間のルーティング情報交換機能を利用すれば、ユーザは自分の必要に応じてどちらのルーティング・プロトコルでも、あるいは両方とも組み合わせて利用することができるようになりました。例えば、NetWareサ-バにアクセスするときにはRIPやNLSPを利用し、バックボーンのプロトコルとしては拡張IGRPを利用するようなIPXネットワークの構築が可能になります。
2.2.2 IPXインプット・アクセスリスト
[解説]ルータの着信インタフェースにアクセスリストを設定してセキュリティを強化できる機能です。
[メリット]
IPXインプット・アクセスリスト機能を利用するとセキュアなIPXネットワークを構築することができます。ネットワークの入口でユーザ情報の認証ができるため、より高度なファイアウォールを構築することができます。フィルタ処理の行われる場所をルータの出力インタフェースではなく、入力インタフェース側にしています。このため、IPXインプット・アクセスリスト機能ではセキュリティが強化されただけでなく、パケットがルータに侵入する前に受付を拒否することによってルータ内部のプロセッサ負荷を軽減します。また、さらにGREトンネルを利用したネットワークの発信側でトラフィックをフィルタする機能も提供します。
[備考]
IPXインプット・アクセスリストはファーストスイッチで利用できますが、cBusを利用したルータでAutonomousまたはSSEスイッチに設定した場合は利用することができません。
2.2.3 IPXホスト優先負荷バランス機能
[解説]ホスト優先負荷バランスとは、ネットワーク負荷分散のための手法です。同じコストの経路がいくつかあるときに、同じ宛先ホストに配信される一連のパケットまたはデータストリームを同じ経路で配送し、宛先ホスト毎に経路を分ける方式です。
[メリット]
従来のネットワーク負荷分散アルゴリズムでは、同じコストの配送経路がいくつかあった場合には、パケットの到着順によってそれぞれ異なる経路に分散され、宛先ホストに関する考慮はされていませんでした。この先着順で順番に経路を割り振っていく方式では、それぞれの配送経路から宛先ホストにパケットが到着するときに、到着順序が発信順序と異なってしまう可能性が大きくなります。IPX環境では順番の間違ったパケットは再送される場合が多いため、アプリケーション速度の低下とネットワークの輻輳を招きます。
ホスト優先負荷バランスでは、1つのエンドポイントに向かうパケットをすべて同じメディア・インタフェースで送出するため、パケットの到着順序が乱れる可能性は大幅に削減され、再送は最低限に抑えられ、ネットワークの負荷が減少します。
[備考]
同一パスをセッション中に継続して利用するため、各経路の利用度が均等になることは保証されません。しかし、この機能の提供するレスポンスタイムの改善やより効率的なリンクの利用がこの制限を上回る性能の改善をもたらします。
2.2.4 NLSPルート結合
[解説]NLSP(NetWareリンク・サービス・プロトコル)はIPXネットワークでリンクステートのルーティングを行うプロトコルです。Cisco IOSソフトウェアではNLSP機能を拡張し、複数のNLSPネットワークが直接、簡単に情報の共有ができる機能を提供します。従来のようにグループ間でIPX RIPを利用する必要はありません。NLSPルート結合はNovellの「NLSP仕様バージョン1.1」に準拠して実装されています。
[メリット]
NLSPルート結合は大規模なIPXネットワークに対していくつかの便利な機能を提供します。最初の機能は、1つのIPXネットワークを複数のNLSPエリアに分割できる機能です。Novellのガイドラインでは、400ノード以上の大規模IPXネットワ-クをいくつかのNLSPエリアに分割して使用することを推奨しています。元来NLSPはシングルエリア環境のルーティング・プロトコルとして設計されています。そのため複数のNLSPエリアがルーティング情報を交換するためには、相互の間にIPX RIPを利用する必要がありました。シスコの新しい実装方法では1台のルータで複数インスタンスのNLSPを実行し、ルーティング情報をエリア間で「リーク」して共有することができます。この方法によって、より大規模なNLSPネットワークの構築が可能になりました。
さらに、NLSPルート結合を利用し、階層的なアドレス構造のネットワーク構成することで、より効率的にルーティング情報を共有することができます。条件が整っていれば、エリア内の複数のアドレス値の範囲を、ひとつの小さなルートエントリに集約することができます。ルーティング・データベース内のエントリ数が最小化され、アップデートのトラフィックが減少するため、ルート結合したことでルーティング効率が向上します。
[備考]
NLSPルート結合のメリットを最大限に発揮するためには、IPX環境のネットワークアドレスが正しく割り当てられていることが重要です。ネットワークアドレスは階層化され、構造化された形で割り当てられている必要があります。加えて、他のIPXルーティング・プロトコルでは集約されたルーティング・エントリを解釈することができないため、CiscoルータでNLSPルート結合とIPX RIPや拡張IGRPを同時に利用する場合は慎重な検討と実装が必要です。
2.2.5 Raw FDDIでのIPXカプセル化
[解説]シスコではFDDIメディア上でルーティングできるプロトコルとして新たにカプセル化IPXを加えました。このカプセル化IPX、FDDI_RAWは、IEEE 802.3 EthernetベースのNovellネットワークをFDDIネットワークにブリッジやスイッチを使って接続する場合によく利用されます。FDDI_RAWはNovell社の認定標準ではありませんが、スイッチド・ネットワークでかなり普及しています。シスコでは従来からFDDI_SNAPおよびFDDI_802.2をサポートしてきたのに加え、FDDI_RAWのサポ-トを実現しました。
[メリット]
CiscoルータがFDDI_RAWカプセル化IPXのサポートをする前は、このタイプのパケットはFDDIリング上のブリッジやスイッチにしか認識できませんでした。クライアント、サーバ、あるいはルータが、直接リングに接続されていても、この種のパケットを認識することはできませんでした。シスコではルータでこれらのパケットをサポートすることにより、FDDIから他のLAN/WANメディアへのルーティングを可能にしました。またNovellに認定された他のFDDIフォーマットに変換してFDDIに戻すこともできます。FDDI_RAWのルーティングが可能になったことで、スイッチド・インターネットワークを利用するときにサーバとクライアントのEthernetカプセル化方法を変更する必要性がなくなりました。
2.2.6 IPXヘッダ圧縮
[解説]この機能は、様々なWANメディアでIPXパケットのヘッダ圧縮を可能にします。CIPX(IPXヘッダ圧縮)はRFC 1553「WANメディアでのIPXヘッダ圧縮」で定義されています。CIPXはVJ(Van Jacobson)ヘッダ圧縮技術を利用します。CIPXはPPP接続のWANリンクでIPXCPまたはIPXWAN通信プロトコルを利用した場合に利用されます。
[メリット]
IPXヘッダ圧縮は30バイトのヘッダ情報を最少1バイトまで圧縮します。これによりIPXルーティングをWAN網で行うときに必要な帯域幅や費用を節約することができます。さらに、IPXWANプロトコルを使ったWAN環境ではCIPXのネゴシエーションが自動的に行なわれるため、これらの回路での環境設定が容易になります。
2.3 OSI機能
2.3.1 TARP(ターゲット・アイデンティファイア・アドレス・レゾリューション・プロトコル)サポート
[解説]TARP(ターゲット・アイデンティファイア・アドレス・レゾリューション・プロトコル)はOSIのNSAPにSONETの識別子をマップするアドレス・レゾリューション・プロトコルです(TCP/IPのNSAPとネームストリングをマップするDNSと同等の機能です)。電話会社などでよく利用されるSONETデバイスのアプリケーションでは、各デバイスをTID(ターゲットID)で識別します。シスコのTARP対応ルータは、TIDからネットワークアドレスへのマッピングテーブルをキャッシュします。これらのアプリケーションは通常OSI環境で利用されるため、ネットワークアドレスはOSIのNSAPです。
あるデバイスが、TIDに対応するNSAPが不明なデバイスに対してパケットを送信したい時には、このNSAPアドレスを相手デバイスかネットワーク上の中継デバイスから取得できる方法が必要になります。
アドレス情報の要求と、これに対する返答は、TARPのPDUの形式で、CLNPデータパケットとして交換されます。
TARP PDUはNSAPアドレス中の固有のNセレクタによって識別されます。TARP PDUには以下のような5つのタイプがあります。
- Type 1:
- デバイスが持つ特定のTIDに対応するNSAPが不明なとき送信します。Type 1のPDUはすべてのレベル1の隣接デバイス(IS-ISおよびES-IS)に送出されます。
- 規定時間以内にレスポンスがない場合には、Type 2のPDUが送信されます。パケットのループが発生しないように、ルータにはループ検出バッファ(LDB)があります。
- Type 2:
- デバイスが持つ特定のTIDに対応するNSAPが不明で、かつType 1のPDUに対して応答がない場合に送信します。Type 2 PDUはすべてのレベル1およびレベル2の隣接デバイスに送られます。Type 2 PDUではタイムアウト設定も指定可能です。
- Type 3:
- Type 1、Type 2、Type 5 PDUに対するレスポンスとして送信されます。Type 3 PDUはリクエストの送信者に直接送られます。
- Type 4:
- TIDの変更やNSAPの変更など、ローカルな変更が発生した場合の通知を送信します。
- Type 5:
- 特定のNSAPに対応するTIDが必要なときに送信されます。ブロードキャストされるType 1やType 2のメッセージと違い、Type 5のメッセージは特定のルータだけに送られます。
[メリット]
- ベルコア社の「TARP specification for Intermediate Systems」仕様を完全に実装しています。
- 電信電話会社でよく利用されるSONETデバイスのアプリケーションに対してネットワークサポート を提供します。
- OSIのNSAPにSONETの識別子をマップします(TCP/IPのNSAPとネームストリングをマップするDNSと 同等の機能です)。
- ルータを宛先としないTARP PDUもそのまま伝播されます。
3 WAN機能
3.1 ISDN/DDR拡張
3.1.1 非同期ISDNアクセス(V.120サポート)
[解説]非同期ISDNアクセス機能は、ISDNのターミナルアダプタ(TA)をパーソナルコンピュータのシリアルポートに接続し、ISDN BRIまたはPRIハブ・ルータを呼び出すことで、Ciscoアクセスサーバに接続しているように認識させる機能です。
この機能を利用するためにはV.120に対応したISDN TAが必要です。ISDNインタフェースが、ISDNコール・セットアップ・メッセージから、このV.120機能が有効であることを検出すると、接続をアクセスサーバのソフトウェアに渡します。そしてVTYが割り当てられ、アクセスサーバ・セッションが開始されます。ユーザの視点からみると、サービス内容はアナログ回線とモデムを利用して接続したときとまったく同一の手順に見えますが、接続が瞬間的に行え、高いスループットが得られます。
ハブ・ルータのISDNインタフェースは同時に同期/非同期両方のISDN呼び出しを受け付けるように構成することができます。図6にCisco 1000シリーズのルータとISDN TAが同じISDN番号を呼び出してBRIまたはPRIインタフェースからネットワークをアクセスしている状態を示します。
この機能は独立したダイアルアップ接続でもロータリーグループISDNインタフェースでも利用可能です。
[メリット]
多くの場合、ユーザはISDNダイアルアップをアナログモデムによるダイアルアップの置き換えと考えています。低価格ISDN TAは一般的に購入できる対象となり、高速モデムと競争する価格帯まで下がってきています。しかし、アナログからデジタルへの移行では、双方で同じアクセスサーバ機能の利用を確保できることが重要です。
非同期ISDNアクセス機能では、同期のダイアルアップによるシングルまたはロータリーグループのISDNインタフェース利用に加え、非同期のデジタル・ダイアルアップによるアクセスサーバ機能の利用が実現します。
[備考]
ISDN TAの中にはV.120サポートを謳っているにも関わらず、コール・セットアップ・メッセージで正しく識別表示を行わない機種があります。これらのTAを利用する際には、ハブのISDNインタフェースを同期と非同期で同時に使うことはできません。
ハブ・ルータに利用できる機種はCisco 4000シリーズまたはCisco 7000シリーズのルータです。Cisco 4000シリーズはアクセスサーバの機能をすべてサポートします。Cisco 7000シリーズはアクセスサーバの機能のサブセットをサポートします。
3.2 SMDS拡張機能
3.2.1 ファーストスイッチド・トランスペアレント・ブリッジ・オーバSMDS
[解説]トランスペアレント・ブリッジ・オーバSMDSをIEEE 802.6iカプセル化を利用してファーストスイッチ可能にする機能です。
[メリット]
この機能によってブリッジ性能が向上し、ブリッジ・メディア・サポートを拡張します。
[備考]
プロセススイッチとファーストスイッチの両方で利用可能なのは、IEEE 802.3、IEEE 802.5、FDDI(FCSフレームあり・なしの両方をサポート)だけです。従来はIEEE 802.3フレームだけがプロセス・スイッチ可能でした。
3.2.2 ファーストスイッチド IPX オーバ SMDS
[解説]Novell IPXパケット・オーバSMDSをファーストスイッチ可能にする機能です。
[メリット]
IPX オーバSMDSのパフォーマンスが向上します。
[備考]
この機能はデフォルト設定でイネーブルになっています。既存のIPXルートキャッシュ・コマンドもSMDSインタフェースで利用できます。
3.3 ATM拡張機能
3.3.1 クラシカルIPオーバATM
Please contact David Benham, ATM Product Manager, for information on this Cisco IOS software feature.3.3.2 ELANブリッジ
Please contact David Benham, ATM Product Manager, for information on this Cisco IOS software feature.3.3.3 LANE(LANエミュレーション)MIB
Please contact David Benham, ATM Product Manager, for information on this Cisco IOS software feature.3.4 コア拡張機能
3.4.1 VIPプロセッサ分散IPフロースイッチ
[解説]VIP分散スイッチはVIPプロセッサ(Verstaile Interface Processor)が独自にスイッチングを決定できるようにする機能です。今回のリリースからVIPは分散IPスイッチングにも対応できるようになりました。
[メリット]
Cisco 7500シリーズ・ハイエンド・マルチプロトコル・ルータにスケーラブルなスイッチング性能を与える基盤技術がこの分散スイッチ技術です。この方式の採用により、VIPカードをCisco 7500ルータに追加することで、必要に応じたスケーラビリティを確保できるようになりました。
[備考]
VIPプロセッサの分散スイッチ機能を利用するためには、Cisco 7500シリーズに搭載されているRSP(ル-ト・スイッチ・プロセッサ)が必要です。そのため、Cisco 7000シリーズでこの機能を利用することはできません。
VIPプロセッサの分散IPスイッチはEIPとFIPをサポートします。さらに、HDLCカプセル化されたMIP、FSIP、HIPでも利用できます。
3.4.2 VIP-1FE、VIP-1FE/1FE、VIP-1FE/4Eサポート
[解説]VIPプロセッサはCisco 7000シリーズと7500シリーズで利用できる新設計のインタフェース・プロセッサです。これはRISCベースのインテリジェントなインタフェース・プロセッサで、2つまでのポートアダプタを受け付けます。ポートアダプタがメディアに依存したインタフェース回路を提供する一方、VIPプロセッサのマザーボードはハイパフォーマンス・スイッチ機構と他の付加機能を提供します。
VIP-1FEは1ポートのFast Ethernetポートアダプタをベースとした構成です。VIP-1FE/1FEは2つの1ポートFast Ethernetポートアダプタをベースとした構成です。どちらの構成もIEEE 802.3u Fast Ethernet仕様に準拠し、全二重・半二重のオペレーションが可能です。
VIP-1FE/4Eは1ポートのFast Ethernetポートアダプタをベースとし、3.4.1で紹介した分散IPフロースイッチ機能をサポートします。さらに4ポートの10BASE-T Ethernetポートアダプタを装備しています。
[メリット]
それぞれのFast EthernetポートにはRJ-45コネクタ(100BASE-TX仕様、2つのカテゴリ5 UTP)と、ユーザが用意する外部トランシーバを接続することで100BASE-FXや100BASE-T4接続を実現するMIIコネクタを装備しています。Fast EthernetポートアダプタはISL用に設定することができ、これによってCatalyst 5000ハイパフォーマンス・スイッチ間のVLANをサポートしたり、IEEE 802.1000 TB-VLANによるVLANのトランスペアレント・ブリッジを行うことができます。このようなモジュラー構成になっているため、VIPプロセッサではさまざまなネットワーク・メディアを混在させることができます。このバージョンのVIPプロセッサではEthernetとFast Ethernetの両方をサポートできるため、Cisoc 7000シリーズ、Cisco 7500シリーズでは拡張スロットの有効活用が可能です。
全二重オペレーションのためにはVIP-1FEインタフェースの利用を推奨します。
VIPプロセッサの詳細な機能と特徴については、Cisco 7500製品情報を参照してください。
[備考]
VIPプロセッサはCisco 7000シリーズとCisco 7500シリーズで利用できます。VIP分散IPフロースイッチ(3.4.1参照)機能はCisco 7500シリーズのアーキテクチャのみでサポートされます。Cisco 7000シリーズでは利用できません。
3.4.3 HSAフェーズ1
[解説]HSA(ハイシステム・アベイラビリティ)はCisco 7500アーキテクチャのソフトウェア機能で、高い可用性とアップタイムを実現します。この機能は、マスターとスレーブの関係を持つ2つのRSPによって実現されています。スレーブRSPがマスターの異常を検知した場合、ユーザの手を煩わせることなく自動的に制御を奪い、システムを再起動します。これにより、ネットワークのダウンタイムを最小化し、システム運用性を高めます。
[メリット]
HSAは以下のような状況のときに利用できます。
- ハードウェアのバックアップ
シングル・プロセッサに異常が発生した場合の保護として - ソフトウェア・エラーの保護
2つのRSPにそれぞれ異なるソフトウェアのバージョンをロードすることで同時にソフトウェア・エラーが発生しないようにする - 動作環境の切り替え
RSP毎に異なる環境設定をしておき、マスター回路に設定した新しい機能で異常が発生した場合に、安定した環境設定のなされたスレーブ回路がリブート後の制御を行う
HSA機能はCisco 7507とCisco 7513ルータで利用できます。Cisco 7505またはCisco 7000シリーズでは、RSPを2つ備えていないために利用することができません。
この機能はCisco IOS 11.1ソフトウェアのメンテナンスリリースとして将来提供される計画です。
3.4.4 Standard Serial Interface Processor (SSIP)とService Provider Multichannel Interface Processor (SMIP)
[解説]SSIPとSMIPは、Cisco IOSソフトウェアを利用した大規模なインターネットワークをさらに発展させるためのオプションです。
SSIPは8ポートのシリアルカードで、物理インタフェースとポートスピードはFSIP8と共通です。
SMIPはT1とE1をサポートする2ポートのチャネル・インタフェース・プロセッサで、MIPと共通のポート構成オプションを持っています。
[メリット]
SSIPとSMIPをCisco 1000シリーズと組み合わせることで、どんなに小さなオフィスでもコストをかけずにネットワークすることができます。インターネット・サービス・プロバイダーにとって、SSIP、SMIPとCisco 1000シリーズの組み合わせは、新規のユーザを追加するためのコストを大幅に削減し、より大きなマーケットにインターネット・サービスを提供するチャンスを作り出します。
[備考]
現在SSIPとSMIPはCisco IOSソフトウェアの全機能を提供しません。この制限つきのライセンスによって、シスコは低価格を可能にしています。SSIPとSMIPで提供される機能の詳細については、Product Bulletin 397を参照してください。
この新機能はIOSソフトウェアのリリース11.1で登場しましたが、従来のリリース10.3(6)やリリース11.0(4)やそれ以降のリリースでも同時にサポートされます。
3.4.5 Cisco 7500のSRBオーバFDDI
[解説]Cisco IOSソフトウェア リリース11.1は、Cisco 7500シリ-ズでToken RingからToken RingオーバFDDIへのソースルート・ブリッジ(SRB)をサポートします。従来は、FDDIでSNAやNetBIOSをトランスポートする方法としてRSRBしかなかったため、トラフィックはプロセス・スイッチされていました。SRBオーバFDDIが可能になったことで、トラフィックはAutonomousスイッチされるようになりました。
[メリット]
FDDIをバックボーンに利用したSRBトラフィックのパフォーマンスを大幅に改善します。RSRBピア定義を不要にし、ネットワークデザインを簡素化します。
[備考]
FDDI LANのエンドステーションになっているCiscoルータでは、SRBオーバFDDIは利用できません。
3.4.6 Cisco 7500のフラッシュMIB
[解説]Cisco 7500ルータではデュアル・フラッシュ・バンク(DFB)がサポートされます。これは、コンソールアクセスを使わなくても、フラッシュ・デバイスからSNMPオペレーションを実行できる機能です。
[メリット]
デュアル・フラッシュ・バンクでは、1つのフラッシュ・バンクに新しいイメージをダウンロードしつつ、別のバンクに装着されたフラッシュからイメージを実行することができます。1つのシステムに2つのイメージを持つことができるので、お互いを相手のバックアップイメージとして利用することもできます。MIBのサポートも追加され、この機能をSNMP管理できるようになりました。
4 IBM機能
4.1 Down Stream Physical Unit (DSPU)ネットワーク管理イベント
[解説]DSPUの拡張が行われ、6つのネットワーク管理イベントが追加されました。これらの新規イベントは、SNAPトラップやSNAメッセージにマップされ、次のような場合、ネットワーク管理に通知します。
- アップストリームPUのステート変更
- ダウンストリームPUのステート変更
- アップストリームLUのステート変更
- ダウンストリームLUのステート変更
- DSPUがダウンストリームPUをアクティベイトできない
- DSPUがダウンストリームPUをアクティベイトできない
[メリット]
DSPU環境でLUおよびPUの接続で問題が発生時に、自動的に通知メッセージを送信することでSNAネットワークのリソースの情報モニタをしやすくし、ネットワーク管理を助けます。
4.2 アドバンスド・ピア-ツー-ピア・ネットワーキング(APPN)フェーズ2
[解説]APPNフェーズ2ではデータリンク層の強化とログ機能、デバッグ機能の拡張が行われました。
データリンク層の強化は以下のような項目を含みます。
- APPNオーバATM(Asynchronous Transport Mode)RFC 1483
- APPNオーバPPP(Point-to-Point Protocol)RFC 1661
- シスコ独自のカプセル化仕様を利用したAPPNオーバSMDS(Switched Multimegabit Digital Services)
- PPP(Point-to-Point Protocol)RFC 1661を利用したAPPNオーバISDN(Integrated Switched Digital Network)
[メリット]
データリンク層の強化によってAPPNをWANでトランスポートする方法の選択肢が増えました。APPNオーバATM、PPP、ISDNはRFCに規定された標準に基づいて実装されているため、マルチベンダ環境での相互運用も可能です。
APPNオーバSMDSを実装する方法については現在業界標準がありません。このためシスコ独自の仕様が採用されています。シスコはAPPNトラフィックをSMDSでサポートする効率的な方法を実装し、業界の最先端を走っています。これにより、コスト効率のよいSMDSサービスでAPPNをトランスポートすることが可能になります。
ログ記録とデバッグ機能の強化によって、ユーザやシスコのカスタマエンジニアによる問題解析作業が効率化します。APPNの知識があれば、ソースコードを参照せずに問題の解析が可能になります。
[備考]
APPNオーバSMDSはシスコ独自の実装形態をとっているため、他社のSMDS環境と相互運用できない場合もあります。
4.3 Frame Relay Access Server (FRAS) Boundary Access Node (BAN) サポート
[解説]BANはリモートSNAのオフィスをフレームリレーで直接フロントエンドプロセッサに接続できる機能です。Cisco IOS 10.3で提供されたFRASやBNN(バウンダリ・ネットワーク・ノード)と異なり、BANではすべてのフレームにMACアドレスを含むため、1つのPVCを複数のSNA PUが共有する際にSAPの多重化をする必要がありません。BANはRFC1490のブリッジ・フレーム・フォーマットを利用します。
[メリット]
SNA用のセントラルサイトルータがなく、さらにPVCを複数のリモートSNAデバイスで共有しなくてはならない場合に、環境の構築を容易にします。また負荷分散が可能なので安定したNCPのへのパスを構築することができます。
[備考]
BANはEthernetおよびToken Ringに接続されたSNAデバイスでしか利用できません。SDLCデバイスは対象となりません。BANを利用するためにはNCP 7.3がセントラルサイトに必要です。BNNとBANはNCPまで同一のDLCIを共有することができます。
4.4 データリンク・スイッチング・プラス(DLSw+)機能拡張
4.4.1 DLSw+ LNMサポート
[解説]DLSw+はIBMのLNM(LANネットワーク・マネージャ)をサポートするように拡張されました。これにより、LNMがリモートのDLSw+ルータと通信し、Ciscoルータに接続されたToken Ringの活動を管理することができるようになりました。
サポートされるLNM機能は、CRS(Configuration Report Services)、REM(Ring Error Monitor)、RPS(Ring Parameter Server)です。さらに、DLSw+ルータはLNMに対してToken Ring上で発生するイベントを通知します。通知されるのは、Token Ringに新規のステーションが追加されたとき、リングがbeaconingといわれる異常モードに陥ったときなどです。
[メリット]
多くのIBM環境ではLNMを使ってToken Ringのネットワーク管理が行われています。今回の拡張で、いままで投資した管理アプリケーションや、それらの運用に関する教育を活かしてシスコのDLSw+の利点も享受できるようになりました。
[備考]
この機能はCisco IOS 11.1ソフトウェアのメンテナンスリリースとして将来提供される計画です。
4.4.2 DLSw+のCisco 7500でのサポート
[解説]Cisco 7500シリーズのDLSw+でFST(ファースト・シーケンス・トランスポート)とDirectが利用できるようになりました。
[メリット]
Cisco 7500シリーズのルータ・ネットワーク・デザインの柔軟性を高めます。
4.4.3 DLSw+ MIB
[解説]DLSw+でMIBを提供するようになりました。
[メリット]
DLSw+ Logical Mapの基盤となり、問題解決を促進します。
4.4.4 DLSw+マルチドロップPU 2.0/2.1サポート
[解説]マルチドロップPU 2.0 / PU 2.1サポートは同じSDLCラインを複数のPU 2.1デバイスで共有可能にします。またPU 2.0とPU 2.1デバイスが同じSDLCラインを共有可能になります。
[メリット]
最小限のシリアルインタフェースで柔軟にネットワークを構築できるようになります。
4.4.5 80D5 (Ethernet v2)サポート
[解説]80D5(Ethernet V2)をDLSw+でサポートするようになりました。
[メリット]
IEEE 802.3にコンバートしていない環境もDLSw+の対象になります。
[備考]
80D5はグローバルなEthernetのオプションです。
4.4.6 ローカルDLCコンバージョン オーバDLSw+
[解説]SDLCあるいはQLLCと、LLC2との間のローカル変換がDLSw+でサポートされるようになりました。ローカル変換ではDLSw+のルータ1台だけでリンクレベルのプロトコル変換ができます。従来はリモートピアがないと、この変換はできませんでした。
[メリット]
ネットワーク・デザインの選択肢を広げます。多くのネットワーク構成では、DLSw+がDLC変換のためだけに使われており、WANトランスポートは使用されていません。
4.4.7 DLSw+バックアップ・ピア機能拡張
[解説]DLSw+ではプライマリ・ピアに異常が発生したときのバックアップ・ピアを指定できます。しかし、プライマリ・ピアが復旧したとき、バックアップ・ピアのコネクションは、それを利用しているセッションも含めて切断されてしまいます。バックアップ・ピア機能拡張では、プライマリ・ピアが復活しても、バックアップ・ピアを利用しているSNAやNetBIOSのセッションが終了するまでバックアップを接続しておきます。プライマリ・ピアが復旧した後で確立されるセッションは、すべてプライマリ・ピアを利用して接続されます。バックアップ・ピアのコネクションは、アクティブなLLC2コネクションがなくなるまで、あるいはユーザの指定したタイムアウト時間まで維持されます。
[メリット]
SNAセッションのバックアップ時の運用性が高まります。
[備考]
バックアップ・ピアのデフォルト動作が、Cisco IOSの以前のリリースとは異なっています。以前はプライマリ・ピアが復活するとバックアップ・ピアのコネクションは常に切断され、SNAセッションは常に強制終了されました。今回のリリースからは、バックアップ・ピアを利用しているセッションがすべて終了するまでコネクションは維持されます。オプションで、以前と同じ動作に設定することも可能です。
4.4.8 DLSw+ ISDN/回線交換環境機能拡張
[解説]DLSw+はより効率的にISDN/回線交換を利用するようになりました。
- ISDNリンクをアイドル時に切断し、そのままSNAセッションを保持することができます。
- 特定の条件に基づいてピアをアクティベイトするようにルータを設定できるようになりました(事前 に指定したデバイスに対してSNA testフレームが来た時、あるいはNetBIOS Name Queryが発生した場合)。ト ラフィックがピアに存在しない場合はコネクションが切断されます。
回線交換環境でのWAN運用コストを削減します。またコネクションが必要なときだけの接続されるので、スケーラビリティが向上し、コストが減少します。
[備考]
多くのNetBIOSアプリケーションはDLCキープアライブとセッション層キープアライブを持っています。DLSw+ではDLCキープアライブに対する代理応答しかしないため、セッション層キープアライブが維持されるアプリケーションでは、リンクの切断が発生しない可能性があります。
5 アクセスおよびコミュニケーション・サーバ機能
5.1 NetBEUIオーバPPP
[解説]マイクロソフト社はNetBEUIをPPPで伝送するプロトコルに関するドラフトRFCを提出しています。このRFCに基づいたアプリケーションでは、リモートPC上で動作するリモートアクセス・クライアント・ソフトウェアから、ネットワーク・アクセスサーバを介してNetBEUIネットワークにダイアルアップ接続できるようになります。これらのコネクションに利用されるプロトコルが、NBFCS(NetBIOS Frames Control Protocol)と呼ばれるPPP(Point-to-Point Protocol)上のNCP(Network Control Protocol)です。
NBFCPには以下の特徴があります。
- 非同期インタフェースとISDNインタフェースをサポートします
- MicrosoftのNBFCPリモートアクセス・クライアントと互換性があります
- 優れたパフォーマンスを提供するNetBIOSネーム・キャッシュをサポートします
- NetBIOSネ-ムフィルタをサポートします
NBFCPを利用した場合のメリットには、次のようなものがあります。
- NetBIOSアプリケーションを動作するPCが、NBFCP機能を備えたリモートアクセス・クライアントソ フトによりCiscoアクセスサーバにダイアルアップしてNetBEUIネットワークに接続することができます。
- NBFCPを備えたMicrosoftのリモートアクセス・クライアントからCiscoアクセスサーバにダイアルア ップしてNetBEUIネットワークに接続することができます。
5.2 モデムの自動設定
[解説]モデムの自動設定機能は、Ciscoアクセスサーバに接続されたモデムを自動識別し、モデムのセットアップ・コマンドの文字列を割り当てて設定します。
- 自動認識と環境設定は回線のリセット毎に行われます
- モデムのセットアップ文字列は内部データベースに登録されており、システム管理者は新たな設定 を加えることもできます
- 直接モデムを設定する必要がなくなります。
- モデム・データベースに登録されているモデムはすべて自動認識されます。
- モデム・データベースに登録されていないモデムも、簡単に登録できます。アクセスサーバは、必 要なコマンド文字列を要求するプロンプトを表示します。
5.3 Novell Asynchronous Services Interface (NASI)サポート
[解説]NCS(Novell Connection Services)サーバは、NASI(Novell Asynchronous Services Interface)を利用して、NASIクライアント・ドライバを持ったPCによるシリアル回線経由のダイヤルアウトを提供します。この機能は一般的にSPX/IPXネットワークに接続されたPCにダイアルアウト・サービスを提供するために利用されます。Ciscoアクセスサーバも同じ機能を使って、NCSサーバとしてPCにIPXのダイアルアウト・サービスを提供できます。その結果、Ciscoアクセスサーバでは、次のようなことが可能になります。
- NCSをSAPでアドバタイズする
- NASIアウトバンド、暗号化ユーザ名とパスワード認証をサポートする
- Cisco SAPフィルタとマネージメント・コントロールをサポートする
NCSサーバ・ネットワークを利用することにより、1台のCiscoアクセスサーバでIPXダイアルインとダイアルアウトと両方のサービスを提供可能になります。
[備考]
Novellのsplit-horizonルールのため、CiscoアクセスサーバがNASIダイアルアウトを提供しているネットワークでは、他のサーバはすべてNCSサービスを停止する必要があります。
5.4 Identプロトコル・サポート
[解説]RFC 1413のIdentification Protocol(別名「ident」または「Identプロトコル」)は接続するホストに対してTCPコネクションのイニシエ-タのIDを通知するプロトコルです。
[メリット]
TCPコネクションを確立するときにユーザ名を得ることが可能になります。
[備考]
Identプロトコルはアクセスサーバのセキュリティ管理には有効ではありません。このプロトコルはTCPコネクションで接続される相手が自分のIDを通知するためのプロトコルで、そのコネクションを認証したり確認するものではありません。
5.5 Kerberos認証
[解説]KerberosはMITで開発された認証プロトコルで、主にユーザ認証および利用されるネットワーク・サービスを限定するために利用されます。この機能は、「信頼された」Kerberosサーバがサービスとユーザに「チケット」を発行するメカニズムで実装されています。この「チケット」には有効期間があり、その有効期間中、Kerberosサーバを信頼しているサービスでは「ユーザ名+パスワード」の組み合わせの代わりに、「チケット」によって認証を行います。シスコのKerberos認証はサイバーセーフ社がMITのコードを基に開発したものです。
シスコでは2段階のステップでKerberos認証を実装していきます。フェーズ1はCisco IOSソフトウェア リリース11.1で提供され、Kerberos認証を利用したユーザ認証がルータで利用できるようになりました。フェーズ2は次のCisco IOSソフトウェアのメジャー・バージョンアップで提供される予定です。フェーズ2では、Telnetなどのサービスにユーザ認証情報を引き渡し、アクセスする度に再認証を受ける必要がなくなります。
[メリット]
Kerberosは多くのユーザに広く普及しています。多くのCiscoユーザはKerberosセキュリティ・サービスを利用しており、ソリューション開発に多くの投資を行ってきています。Kerberosセキュリティを完全に実装するためには、Ciscoルータやアクセスサーバを含めたすべてのネットワーク装置が「Kerberos対応」になっていなければなりません。
5.6 RADIUS(Remote Authentication Dial-In User Service)
[解説]RADIUSはリビングストン社が開発したアクセスサーバのユーザ認証、アクセス権管理、アカウント管理プロトコルです。このサービスはリモートアクセスによる不正侵入を防ぐための分散セキュリティ機能です。
RADIUSには以下のコンポーネントがあります。
- UDP/IPを利用したフレーム・フォーマットのプロトコル
- サーバ・モジュール
- クライアント・モジュール
シスコの実装したRADIUS仕様のドラフトは、次のFTPサイトにあります。
ftp.livingston.com:pub/radius/draft-ietf-radius-radius-03.txt
この資料の作成段階では、シスコのRADIUS実装は上記のドラフトに基づいていますが、新たなドラフトが発行されれば、それに従います。RADIUSサーバ・モジュールのサンプルコードは、リビングストン社のFTPサイトから入手できます。
ネットワーク・アクセスサーバ上では、RADIUSはTACACS+と同じ手法で設定されます。
[メリット]
RADIUSは広く一般に受け入れられつつあります。多くのCiscoユーザはRADIUSサーバを利用しており、ソリューション開発に多くの投資を行ってきています。これらのユーザはダイアルアップ・アクセスサーバでも同サービスを利用したいと考えています。ただし、まだRADIUSをまったく導入していないユーザに対しては、シスコはTACACS+の使用を薦めています。
5.7 ハブレットのMACセキュリティ(Cisco 2505, 2507, 2516)
[解説]日々拡大していくネットワーク社会でセキュリティは重要性を増してきています。ハブレットのMACセキュリティは、OSIモデルの下層に降りて、セキュリティの検出と保護をMAC(メディア・アクセス・コントロール)レイヤで行います。ハブの各リピータ・ポートには接続を許すMACアドレスが設定できます。ハブはソースアドレスが設定された正規のソースアドレスと同一かをチェックします。不正なアドレスから侵入があった場合、ポートは1分間シャットダウン(隔離)されオプションでNMS(ネットワーク管理システム)にトラップが送信されます。
Cisco IOSソフトウェア リリース11.1では、ネットワーク管理者はソースMACアドレス違反が発生してすぐにトラップ・メッセージを受け取ることができます。SNMPメッセージは、一度だけの設定にも、decay rateで再送される設定にもできます。decay rateオプションでは、最初のメッセージは即座に送信され、2番目のトラップは2分後、3番目は4分後……と32分が経過するまで続けられます。decay rateのトラップメッセージはNMSでMIBに変数TrapAckedをセットすると再送を停止します。
NMSが不正アクセスを解析できるように、MIBの拡張も行われています。MACセキュリティMIB変数には、最後に不正アクセスが試みられたソースアドレス、最初の侵入タイムスタンプ、最後の侵入タイムスタンプ、不正侵入フレーム数などがあります。
[メリット]
ネットワーク管理者はMACアドレス・セキュリティ侵害をすぐにSNMPトラップによって知ることができます。多くのネットワーク管理プラットフォームでは特定のトラップを受信したときに起動するアラームを設定できます。このアラーム機能でポケットベルを鳴らしたり、管理者に電子メールを送って注意を促すことが可能です。
SNMPはUDPでメッセージを送出するため、シングル・トラップでは通知が紛失する可能性があります。ルータがdecay rateで何度もトラップを送出するように設定すれば、NMSが確実にトラップを受け取ることが保証されます。
5.8 Cisco 4500のLANエミュレーション
[解説]LANエミュレーション機能はATMスイッチ上の回路をEthernetのセグメントのように見せかけ、上位のプロトコルや、それを利用するアプリケーションがそのまま使えるようにする機能です。LANエミュレーションにはつぎのようなコンポーネントがあります。
- LECS:LANエミュレーション環境構成サーバ
- LES:LANエミュレーション・サーバ
- BUS:ブロードキャストおよび未知ホスト・サーバ
- LEC:LANエミュレーション・クライアント
LECS、LES、BUS、LECはルータATMインタフェースで今後サポートされます。
[メリット]
LANエミュレーションがない環境では、ホストやルータ、スイッチング・デバイスからなるネットワークをATM接続の下で利用するために、まったく新しい専用のプロトコルスタックやアプリケーションを購入する必要があります(しかも現在では、まだほとんどアプリケーションは市場に提供されていません)。これでは手間も費用もかかりすぎます。LANエミュレーションは、またATM LANでのバーチャルLANを実現する基盤技術でもあります。Cisco 4500や4700ルータでは、NP-1A ATMネットワーク・プロセッサ・モジュールとLANエミュレーションを利用して、第2層のVLANに対する第3層での接続を提供し、標準に準拠したVLAN間のルーティングを可能にします。
[備考]
シスコのNP-1Aネットワーク・プロセッサ・モジュールは1モジュールで255のVLAN(バーチャルLAN、仮想LAN)まで持つことが可能です。ただし、1箇所にそれだけの数のバーチャルLANを持つことはネットワークの設計上望ましくありません。ひとつのATMルータに最大数の仮想LANを構成すると、パフォーマンスや信頼性の最適化に問題が発生します。
LANエミュレーションを行うスイッチにはILMIやポイント・ツー・マルチポイント信号手順の機能が必要です(ATM WANのように信号手順を用いない環境では、VPトンネルでも大丈夫です)。このソフトウェアの出荷開始までに発売が間に合わないサードパーティ製のポイント・ツー・マルチポイント・スイッチも数機種あるため、LightStream 1010以外のATMスイッチを利用する場合は、導入予定の環境でのATMスイッチの能力を十分に検討したうえでLANエミュレーションを導入してください。ルータのATMインタフェースでのLANエミュレーション・サービスは、シスコのATM NICやCatalyst 5000などのLECと相互運用できます。他社製品との相互運用性についても現在試験中です。シスコでは、テスト完了と同時に結果を公表する計画です。
6 ネットワーク管理
6.1 RMONサポート
[解説]Cisco IOSソフトウェアのオプションにRFC 1757のRMON(リモート・モニタリング)MIB機能が追加されました。(従来のRFC 1271は1757に置きかわりました)この新機能はシスコのアクセス・ルータ(25XXシリーズ)で利用できます。このMIBでは9グループのEthernet対応が完全に実装されています。
| statistics: | セグメントの利用状況、エラー、フレームサイズ分布情報をトラッキングします。 |
| history: | ユーザが定義したインターバルでRMON情報のログを記録します。 |
| alarms: | パフォーマンスの低下やエラーの増加が、ユーザの指定した範囲を超えたときに警告します。 |
| hosts: | 指定されたMACアドレスを持ったデバイス/ノードのトラフィック情報を提供します。入出力パケット数、オクテット数、ブロードキャスト、エラーカウントなどが調べられます。 |
| hostTopN: | ノード統計に基づき、送信量の多いノードの順位表を保持します。 |
| matrix: | 特定のソースとデスティネーション間で交換されるトラフィックの基本的な情報をトラッキングします。 |
| filter: | リモートでキャプチャするパケットをアドレス、プロトコル、ユーザの定義したデータパターンなどで絞り込むことによって、選択的に分析できます。
capture(注):コンソール・アプリケーションでプロトコル解析や詳細な分析を行うために、パケットを取得しバッファします。 |
| event: | alarmのログを記録し、特定の設定値を越えた場合やキャプチャバッファがあふれた場合にSNMPトラップを発生します。 |
RMONオプションを含まないIOSソフトウェアにも、無償でalarmとeventグループのみを含んだRMONのサブセットが組み込まれています。これらのグループはシスコがサポートするMIBパラメータと組み合わせて、アラーム設定や許容範囲指定に利用することができます。
[メリット]
RMONは特定のノードでの活動を監視するだけでなく、1つのLANセグメントのすべてのノードおよびそれぞれの相互作用をモニタすることを可能にします。ルータのエージェントとしてRMONを利用すると、ルータを経由するトラフィックの情報だけではなく、ルータを経由する必要のないセグメントトラフィックについても監視することができます。RMONのalarmやeventと既存のMIBデータベースを組み合わせることで、ユーザはネットワークのどこを重点的にモニタするかを設定することができます。
[備考]
RMONはデータを大量に処理するため、CPUとネットワークに負荷がかかります。導入に際してはルータ性能の低下やトラフィック・オーバーヘッドの増大を招かないよう、利用効果の十分な検討を行うべきです。
シスコの組込みRMON機能をフルに活用するためには、シスコのTrafficDirectorやフロンティア・ソフトウェア・デベロップメント社のNetScout ManagerTMのような汎用コンソール・アプリケーションが必要です。
(注)セキュリティ保護のために、パケットのキャプチャ処理では解析に必要になるパケットヘッダの情報はすべてキャプチャされますが、実際のデータ部分は読み取ることができなくなっています。
7 セキュリティ機能
7.1 ロック・アンド・キー・セキュリティ
[解説]ロック・アンド・キーは共有メディア環境で、各ユーザ単位の精度でユーザ認証とアクセス権管理を可能にする機能です。
ロック・アンド・キー機能の登場までは、システム管理者は、特定のルータでアクセスリストを手作業で作成し、ネットワーク上の各ルータに配布する方法で管理を行っていました。多数のホストを抱えたネットワークでは、この作業に多くの時間とリソースが割かれてしまいます。また、アクセスリスト方式ではスタティックなネットワーク・アドレスだけが唯一のアクセス保護機能です。このため、不正なユーザが正規のネットワーク・アドレスを利用してネットワーク資源にアクセスすることを禁止することができません。ロック・アンド・キーのセキュリティ機構はリモート・ネットワークでの運用に最適な設計になっています。そして、ISDN、フレームリレー、X.25、DDR(ダイアル・オンデマンド)、PPP(ポイント・ツー・ポイント・プロトコル)など様々なWAN環境で利用可能です。
ユーザがロック・アンド・キーでセキュリティ管理された境界を越えようとすると、ユーザIDとパスワードを入力するように促されます。ユーザは、正しいIDとパスワードを入力しないとローカルまたはリモートルータのアクセスリストを有効にすることができません。ネットワーク管理者はアイドル時間のタイムアウトを設定したり、ユーザ認証プロセス全体にかけられる時間を制限したりできます。
[メリット]
- ユーザ単位のユーザ認証とアクセス権管理を共有メディア環境で実現します。
- 利用IPアドレスによる認証よりも確実です。
- 認証に必要な情報を、集中ネットワーク・アクセスサーバに置くことができます。TACACS、XTACACS、TACACS+、RADIUSが利用できます。
- アプリケーションに依存しません。つまり、ロック・アンド・キーは、アプリケーションを変更せずに利用できます。
- ポリシー設定に柔軟性があり、未活動時間が続いた場合には再度リモートで再認証を要求することができます。
- 組織テンプレートのコンセプトを持っています。これにより、ネットワーク管理者は同じようなアクセス権限が必要な複数グループのために、アクセスリストをテンプレートでコピーし、グループ毎に異なった認証設定を行うことが可能です。
- 注意:
- ロック・アンド・キーでは、外部のイベントによってファイアウォールに通り道を開けることが可能になっています。この方法で通り道を開けられたルータは偽造ソースアドレスによって不正にアクセスされる危険があります。これを防ぐためには、IP認証や暗号化をサポートした暗号化機能が必要です。高度の暗号化技術については、Product Bulletin #308を参照してください。
- ロック・アンド・キーはTelnetに依存します。正しく標準Telnetをサポートしたホストでロック・アンド・キーのセッションを起動してください。
- ロック・アンド・キーに関するより詳しい情報は、「Cisco IOS Lock and Key」というホワイトペーパー(Product Bulletin 308)に記載されています。このドキュメントは、以下のURLから入手可能です。
http://www.cisco.com/warp/public/417/66.html
