Cisco IOS ソフトウェア

■Cisco IOS ソフトウェア 11.2

---

はじめに

　このプロダクト情報では、Cisoc IOSソフトウェア リリース11.2で導入された新機能を紹介します。製品の購入、対応しているプラットフォームの詳細、そして各プラットフォームごとの機能については、Product Bulletin #488を参照してください。プロダクト情報#488はCisco IOSリリース11.2の製品版出荷開始とともに提供される予定です。

1 ルーティング・プロトコル

1.1 IPプロトコルと機能拡張

1.1.1 オン・デマンド・ルーティング

[解説]

　オン・デマンド・ルーティング（ODR）とは、「スタブ・サイト」に対し、IPルーティングによるオーバヘッドの大幅な削減を可能にするメカニズムです。スタティック・ルーティングのような構成と管理の負担なしに、一般的なダイナミック・ルーティングのようなオーバヘッドの発生を回避することができます。

　「スタブ・ルータ」とはハブ⁄スポーク型ネットワーク・トポロジの周辺ルータのことです。一般的なスタブ・ルータには、このネットワーク構成でハブの役割を果たす中央ルータにWAN接続される一方、少数のネットワーク・セグメント（スタブ・ネットワーク）が直接接続されます。完全なコネクティビティを提供するためには、中央ルータが、各周辺ルータの状況を完全に掌握し、どのアクセス・ルータを経由して各スタブ・ネットワークにアクセスできるかをスタティックな構成情報として持っていなくてはなりません。しかし、中央ルータが複数あるような場合や、スタブ・ネットワークがたくさんあるような場合、またはハブとスポークの間の接続に非同期コネクションがあるような場合、それぞれのスタブに関する完全な情報を中央ルータ上で集中管理し、構成する手間は大きくなりすぎます。

　オン・デマンド・ルーティングを使用すれば、中央ルータがダイナミックにスタブ・ネットワークへのルーティング情報を取得するので、IPスタブ・ネットワークの構築が簡単になります。このような環境にするために、各スタブ・ルータにIPルーティング・プロトコルの設定を行う必要もありません。ODRでは、スタブが自分のインタフェースに直接接続されているIPネットワークに対応したIPプレフィックスを通知（アドバタイズ）します。ODRではIPネットワーク番号ではなく、IPプレフィックスを利用するため、ODRでは可変長サブネットマスク情報（VLSM）にも対応することができます。

　中央ルータでODRを起動すると、このルータはスタブ・ネットワークのルーティング情報を収集し、自分のIPフォワード・テーブルに書き込みます。また、中央ルータはこのようにして取得したルーティング情報を、いろいろなダイナミックIPルーティングプロトコルで再配布するように設定できます。スタブ・ルータにはIPが設定されている必要はありません。ODRを利用する環境では、IPルーティング・プロトコルが設定されていないルータはすべてスタブ・ルータとみなされます。

[特徴]

　オン・デマンド・ルーティングは、完全なルーティングを可能にするための、設定の負担や帯域幅の犠牲を伴わずに完全なルーティングを実現します。また、スタブ・ルータにはIPルーティング・プロトコルを設定する必要性がなくなります。

[備考]

　ODRが生成するルーティング・プロトコルは、Cisco Discovery Protocol（CDP）を利用してルータ間で伝達されます。つまり、ODRはCDPの設定により部分的にコントロールされます。具体的には、次のようになります。

• CDPが無効となっている場合、ODRのルーティング情報は伝達されません。
• デフォルト設定ではCDPのアップデートは60秒ごとに行われます。

  この更新間隔はハブ側のルータに対して速やかなIPルーティング情報を提供するには長すぎる場合があります。スタブからの接続がモデムなどの非同期インタフェースを経由して複数の中央ルータに接続しているような場合、もっと頻繁な情報更新が必要になる可能性があります。

• ODRはDDR（ダイアル・オン・デマンド・ルーティング）とは同時に利用できません。

  CDPパケットはDDRで再接続を発生させず、回線は切断されたままだからです。

　ODRを利用して中央ルータが学習できるネットワーク・プレフィックスを制限するためには、IPフィルタリングを利用することを推奨します。もしIPセコンダリ・コマンドによって複数の論理IPネットワークが単一のインタフェースに対して構成されている場合、ODRに通知されるのはプライマリIPネットワークだけです。

1.1.2 オープン・ショーテスト・パス・ファースト（OSPF）機能拡張

1.1.2.1 OSPFオン・デマンド・サーキット

[解説]

　OSPFオン・デマンド・サーキットはRFC1793で規定されたOSPFプロトコルの拡張機能です。この拡張によってISDN、X.25、SVC、ダイアルアップ回線などのオン・デマンド環境で効率的にOSPFが利用できるようになりました。従来の規格ではOSPFのルーティング・トラフィックの実装によって、下位のデータリンク層で頻繁に接続要求が発生し、回線利用コストが高くついてしまう問題がありました。新しい拡張規格ではOSPFのHelloメッセージやルーティング情報のリフレッシュ命令は、オン・デマンド接続になっている回路では規制され、アプリケーショントラフィックがないかぎりデータリンク層での接続は閉じたままにしておけるようになりました。

Figure1. OSPF On-Demand Circuit

[特徴]

　OSPFオン・デマンド・サーキットは、OSPFバックボーンに周辺サイトが接続しているようなネットワーク・インフラに最適です。この機能によって、ネットワーク全体を1つのルーティング・プロトコルに統合し、OSPFの利点を享受しながら、不要なダイアルアップ・コストの発生を防ぐことが可能になります。

　OSPFオン・デマンド・サーキットは、このほかに低速リンクなどでネットワーク帯域の確保が困難な場合にも応用可能です。

[備考]

　ルータがポイント・ツー・ポイント・トポロジの一部を構成している場合、OSPFオン・デマンド・サーキットに設定する必要があるのは経路の片方だけです。ポイント・ツー・マルチポイントの構成では、すべてのルータがOSPFオン・デマンド・サーキットに設定されている必要があります。1つのエリアに設置されたすべてのルータがこの機能をサポートしていなければなりません。つまりCisco IOSソフトウェアのリリース11.2以降を運用する必要があります。

1.1.2.2 OSPF Not-So-Stubbyエリア（NSSA）

[概要]

　OSPFプロトコルによって拡張性の高い、階層的なルーティングを実現する方法の1つとして、ネットワークの周辺部を「スタブ」として定義し、その部分には外部からのOSPF通知パケットが届かないようにする方法が使われることがあります（上記参照）。この場合、スタブエリアとして設定されるのは、一般的にはCPU性能やメモリの限定されたローエンドのルータや、低速な回線で接続されたネットワークで、ルート設定はデフォルトのままで利用します。

　「OSPF Not-So-Stubby-Areas （NSSA）」では、さらに柔軟なハイブリッド方式をとっています。この方式ではスタブエリアも外部のOSPFルートを限定された形でインポートすることができ、OSPFをバックボーン・コネクションからスタブまで延長することができます。

Figure2. OSPF Not-So-Stubby Areas.

[特徴]

　NSSAはOSPFをスタブ・エリアからバックボーンまで広げるので、論理的に1本のネットワークを構成することができます。通常のスタブ・エリアと同じように、この機能は複数のエリア・ボーダ・ルータ（ABR）と組み合わせて運用することができ、NSSA ABRはNSSAにデフォルトルートを与えることができます。

[備考]

　OSPFでのトポロジ変更通知パケットはオン・デマンド回路にも送出されるので、OSPFスタブ・エリア内のデマンド回線や、NSSA内のデマンド回線はトポロジの変更から隔離しておくべきです。

1.1.3 BGP4（ボーダー・ゲートウェイ・プロトコル）機能拡張

1.1.3.1 BGP4ソフト・コンフィギュレーション機能

[解説]

　BGP4のソフト・コンフィギュレーション機能は、現在のBGPセッションをクリアせずに、つまりフォワード・キャッシュを維持したまま、BGP4ポリシーの設定や更新を可能にします。この機能によって、ポリシーの再構成時にトラフィックのフォワードが中断することを防げます。

[特徴]

　この機能は、システム管理者がBGPのポリシーを変更する必要があるときにAutonomous System （AS）が不安定な動作をすることを防げます。

[備考]

　インバウンドに再構成を行うと、ルータは受け取ったすべてのアップデート情報を記憶するためにメモリを大幅に消費します。アウトバウンドに再構成を行う方が望ましい運用です。

1.1.3.2 BGP4マルチパス対応

[概要]

　BGP4マルチパス対応は、複数のExterior BGP（EBGP）セッションの間のBGP負荷バランスをとる機能です。ローカルなAutonomous System（AS）と隣接のASの間に複数のEBGPセッションが張られている場合、マルチパス対応によって、これらのセッションの間で負荷配分を行うことができます。このときスイッチング・モードの設定に応じて、負荷バランスは、パケット単位、あるいは接続先単位のどちらかの方法で実行されます。

[特徴]

　BGP4マルチパス対応はネットワーク全体の冗長性向上に貢献します。

[備考]

　BGP4マルチパス対応で同時にサポートできる経路は6経路までです。

1.1.3.3 BGP4プレフィックス・フィルタリングとインバウンド・ルート・マップ

[概要]

　この機能は、インバウンドな隣接ルート・マップに対してプレフィックスを対象としたマッチングを可能にします。これにより、インバウンドのルートのマップをプレフィックスに応じたポリシー実行のために利用できます。

[特徴]

　プレフィックス・フィルタリングとインバウンド・ルート・マップを併用すると、隣接のAutonomous Systemからアドバタイズされたネットワークプレフィックスに対し、どのレベルで集約・集中を行うべきかが設定可能になります。

[備考]

　なし。

1.1.4 ネットワーク・アドレスのトランスレーション

[概要]

　ネットワーク・アドレス・トランスレーション（NAT）は、プライベートなアドレスを割り振ったネットワークから、インターネットなどの正規に登録されたネットワークに対してアクセスすることができるメカニズムです。これによってホストIPアドレスを再発行する手間が省け、さらに同一のアドレスレンジを複数のイントラネットで重複運用することも可能になります。

　NATを利用した環境では、「内部」のプライベート・ネットワークに、プライベートIPアドレスや従来の古いアドレスを利用できます。このプライベートなアドレスは、「内部」ネットワークから「外部」の正規なネットワークにパケットを送り込む時に、正規のアドレスにマッピングされます。このトランスレーション機能は普通のルーティングと同じように扱うことができます。この機能が必要になるのは「内部」のネットワークを「外部」ドメインに接続しているルータだけです。

　トランスレーションにはスタティックなものとダイナミックなものがあります。スタティック・アドレス・トランスレーションでは、内部のアドレスと外部のアドレスには1対1の対応関係があります。ダイナミック・アドレス・トランスレーションでは、外部のネットワークで利用できる正規のアドレスのプールがあり、それに随時内部のアドレスがマップされます。割り当ては番号順に行われ、隣接した複数のアドレス・プールを定義することもできます。

Figure3. Network Address Translation.

[特徴]

　NATには次のようなメリットがあります。

• 外部へのアクセスを実現するために、各ホストのIPアドレスを再構成する手間が不要になり、時間と費用の節約になります。
• ポートレベルのマルチプレクシングによってアドレス変換を行います。したがって、NATを利用した環境では、複数のホストが1つの外部アクセスIPアドレスを共有することもできます。このような構成にすることで、正規IPアドレスの数を節約できます。
• ネットワークセキュリティの強化につながります。NATを利用してトラフィックをコントロールすることで、内部ネットワークのトポロジやアドレスの情報の漏洩を防ぎ、セキュリティを高めることができます。
• ある特定の内部ネットワークのアドレス形式が、インターネット上で割り当てられた正規のアドレスと競合するような場合、NATでは重複するネットワークのためにアドレス・プールを用意し、適宜トランスレーションを行って整合性を保つことができます。

[備考]

　通信時のプロトコル交換に直接IPアドレス指定を利用するアプリケーションでは、ネットワーク・アドレス・トランスレーションのサービスを利用することはできません。しかし通常、ドメイン名を利用しないのは特殊なアプリケーションだけです。

1.1.5 Named IPアクセス・コントロール・リスト

[解説]

　「Named IPアクセス・コントロール・リスト（ACL）」機能はアクセス・コントロール・リストを名前で管理できるようにする機能です。Named IPアクセス・コントロール・リストは、番号で管理されるアクセス・コントロール・リストと同じように機能しますが、番号のかわりに名前で参照できるようになっています。

　この機能の提供と同時に設定モード機能が拡張されました。このモードでは、複数行から成るアクセス・コントロール・リストに対して、行単位での項目追加や削除が可能になりました。

[特徴]

　この機能により、大きく複雑なアクセス・コントロール・リストの管理がしやすくなります。いままで単なる番号の羅列だったリストが、サービス対象を連想できる名前で管理できるようになります。さらに重要なことは、リスト名を利用することによって標準のコントロール・リストが99個まで、拡張コントロール・リストが100個まで、というリスト数の制限から開放されます。

　新しい設定モードでは、リストを対話的に編集できるようになりました。いままでのようにリスト全体を作り直す必要はありません。このモード拡張によって、ネットワーク管理者の作業効率が向上し、設定ミスによる不正侵入の可能性が低くなります。

[備考]

　現在、Named IPアクセス・コントロール・リストを利用できるのはパケット・フィルタとルート・フィルタだけです。またNamed IPアクセス・コントロール・リストは従来のアクセス・コントロール・リストに対して上位互換にはなっていません。

　Named IPアクセス・コントロール・リストは分散型ファースト・スイッチング（Distributed Fast Switching）には対応していません。

1.2マルチメディアとサービス品質（QoS）

1.2.1 RSVP（リソース・リザベーション・プロトコル）

[解説]

　Resource Reservation Protocol（RSVP）は、アプリケーションがエンドポイント間のネットワーク資源をダイナミックに予約するメカニズムです。トラフィック・ストリームの受信者となる各アプリケーションは、必要とするサービス品質に応じてネットワーク資源（帯域幅）の予約を要求するリクエストを送信します。このリクエストを最初に受信したRSVP対応ルータは、発信したホストに対して要求されたサービス品質の提供が可能か否かを応答します。さらにこのリクエストは上流のルータに転送され、同様に処理され、トラフィックの発信源まで溯っていきます。すべての経路で品質の確保が可能な場合、要求されたサービス品質を保証するエンド・ツー・エンドのパイプラインが形成されます。RSVPは、マルチメディアなどリアルタイム性を要求するアプリケーションとファイル転送などのバースト転送型アプリケーションを同一ネットワーク上で混在可能にします。RSVPはユニキャスト・アプリケーション、マルチキャスト・アプリケーションのどちらでも利用可能です。

Figure4. Resource Reservation Protocol

[特徴]

　マルチメディア・アプリケーションとバースト型アプリケーションの混在が可能になります。トラフィック・タイプに応じた専用のネットワークを並列に用意する必要がなくなり、既存のアプリケーションを利用しているネットワーク環境にマルチメディア・アプリケーションを導入することが容易になります。

　RSVPはユーザの既存投資を守ります。既存のネットワークの帯域割り当てをソフトウェアだけで更新できるので、マルチメディア対応のためのサービス品質の確保のために、高価な回線の多重化アップグレード（ハードの追加導入）などを行う必要がなくなります。

[備考]

　RSVPはネットワークへのインストールとクライアント・ソフトウェアでの導入の両方を必要とします。RSVPの品質確保を利用するためには、アプリケーション自体がRSVP対応である必要があります。現在、Windows環境でのRSVPサービスはPrecept社から製品として提供されています。サン・マイクロシステムズやシリコン・グラフィックスもそれぞれのワークステーションでのRSVP対応をデモしています。RSVP対応を進めているアプリケーションベンダーも多数あります。

1.2.2 ランダム・アーリー・ディテクション

[解説]

　Random Early Detection（RED）はトラフィックのピーク時に輻輳が発生することを防ぐメカニズムです。REDはルータのバッファがあふれそうになると、TCPなどの到達保証のあるプロトコルの特性を利用して、トラフィック発生源からのトラフィック量を削減します。

　REDの効果は、ネットワーク上のプロトコル比率によって異なってきます。TCPなどの高品質プロトコルの利用比率が高い環境では、REDは効果的に輻輳を制御できます。またREDはプライオリティを確認して、サービス要求の低いトラフィックから流量を制御するので、IPヘッダ属性やRSVPなどでサービス品質を確保したリアルタイム性の高いサービスへの影響を最小限に押さえます。

[特徴]

　REDはRSVPと共にピーク時のエンド・ツー・エンドのサービス品質を保証するために利用され、輻輳の発生を防ぐために、サービス要求の低いトラフィックを選択的にドロップします。これは、TCPスロースタートを通るセッションの波を抑制する設計になっています。

　このサービスを利用することで、既存のネットワークを、より効率よくRSVPに対応できるようにアップグレードすることができます。さらに、REDはウェイテッド・フェア・キューイング（WFQ）がコスト効率を下げてしまうような高速リンクの環境で、輻輳制御をより効率よく行うためにも利用できます。

[備考]

　REDはパケットロスに対する自動再送信が行われない（AppleTalkやNovell NetWareのような）プロトコルが主要な割合を占めるネットワークでは効果を発揮できません。REDはキューイングの技術として実装されているので、他のキューイング（標準、カスタム、プライオリティ、均等化など）と併用することはできません。

1.2.3 汎用トラフィック・シェーピング

[概要]

　汎用トラフィック・シェーピング（別名インタフェース非依存トラフィック・シェーピング）は、ネットワークのバックボーン・トランスポート下流のルータで輻輳が検知されたときに、バックボーン・トランスポート・ネットワークに対して上流ルータのインタフェースから送出するトラフィックのフロー制御を行う機能です。フレームリレー・ネットワーク専用のインプリメントとなっているトラフィック・シェーピング・オーバ・フレームリレー（詳細は3.2.2で解説します）とは異なり、汎用トラフィック・シェーピングはレイヤ2で様々なデータリンクインタフェース（フレームリレー、SMDS、イーサネット、他）に対応します。

Figure5. Generic Traffic Shaping

[特徴]

　高速なリンクをもつ環境（例:本社ネットワーク）から低速なリンクの環境（例:リモートサイトや支社ネットワークなど）にデータを転送する場合に、受信側のボトルネックが原因となるスピードの不整合が発生する現象はよく見られます。汎用トラフィック・シェーピングは下流のボトルネックによる輻輳の発生を、送信側のトラフィック量を調整することで防ぎます。

　ルータで、インタフェースの最大ビットレートよりも少ないビットレートを使って送信するように設定できることを利用し、サービスプロバイダや大企業のエンタープライズネットワークでは、T1やT3などの広帯域回線を複数の狭帯域チャネルに分割して、顧客の要求するサービス品質に応じて使い分けることもできます。

　トラフィックをソース側で調整することで、サービス・プロバイダ・ネットワークのパケットロスも削減でき、サービス品質を一定させることができます。

　汎用トラフィック・シェーピングは顧客の投資を保護します。既存のルート・プロトコル（IP, IPX, SNAなど）のネットワークをアップグレードし、RSVPと優先トラフィックのために、バックボーントランスポートネットワーク（キャリア回線）で通信品質を一定にすることができるようになります。既存のルートプロトコルをベースとしたネットワークも、トランスポートネットワークの機能を利用し、より高品位なエンド・ツー・エンド・サービスを提供するようにアップグレードできます。また、各インタフェースが送受するトラフィックを最適なレベルにコントロールすることで、既存ネットワークでのインタフェース密度を高めることができます。

[備考]

　汎用トラフィック・シェーピングでは、インタフェースまたはサブ・インタフェースに均等化キューイング（WFQ）をインプリメントし、適切なレベルのトラフィックフローを実現します。この機能はルータのCPUとメモリに負荷がかかりますから、ルータ全体のパフォーマンスを低下させないように、慎重に検討をして採用する必要があります。

1.3 マルチプロトコル・ルーティング

1.3.1 Enhanced IGRPの最適化

[概要]

　拡張IGRP（Enhanced Interior Gateway Routing Protocol）は広く採用され、大規模かつ複雑なネットワークで利用されています。シスコでは、その運用状態をモニタして重点的な個所の最適化を行うことで、さらに拡張IGRPを洗練されたメカニズムにしています。最適化が行われた領域は、ネットワーク帯域の確保、プロセッサとメモリの割当て、そしてピア・ルータの情報の取得方法です。

[特徴]

• インテリジェントな帯域確保

  ネットワークで輻輳が発生した場合、パケットの紛失、特にルーティング・プロトコル・メッセージのドロップ発生は、ネットワーク全体の安定性に大きな影響を与えます。この問題の発生を防ぐため、拡張IGRPでは利用可能な帯域幅の情報（有効であればサブ・インタフェース、バーチャル・サーキット単位の精度まで）を考慮してアップデートの発信レートを決定します。各インタフェースは指定の（最大）パーセンテージまで帯域幅の占有量を制限できるようになったので、ルーティング・トポロジの計算中も、あらかじめ設定された伝送帯域はデータ・トラフィックのために確保されています。

• プロセッサとメモリ資源の利用効率アップ

  拡張IGRPはルーティング・テーブルをピア・ルータ間で交換されるトポロジ・データベースから抽出します。このCPU演算効率とプロトコル自身のキューイングのアルゴリズムが大幅に改善され、メモリの利用効率も改善されました。この両方の効果によって、拡張IGRPの安定性が増し、特にローエンドのルータで利用しやすくなりました。

• 暗示的プロトコル通知

  ルータ内部で実行されている拡張IGRPは隣接のルータとの接続性や到達性の情報を保持しています。このメカニズムが改善されて、いままでのように明示的に情報の通知を交換しなくても、該当する隣接ルータから何らかのトラフィックが転送されてきたことをもって、そのルータが稼働中であることを確認できるようにしました。これにより、高負荷環境での回復能力が高まりました。

• IPXサービス通知のインターリーブ

  巨大なIPX環境ではサービス通知パケットの氾濫によって低速なネットワークが飽和し、ルーティング・プロトコル・メッセージが紛失する場合があります。拡張IGRPでは、大規模なIPXネットワークにおいても、サービス通知とデータ・トラフィックを交互にインターリーブすることで、必要なデータ帯域が確保されることを保証しています。

[備考]

　これらの重要な機能改善は、低速なリンクが多数存在するハブ・スポーク構造のネットワークやNon-Broadcast-Multiple-Access（NBMA）タイプのWAN（フレームリレー網、ATMネットワーク、X.25バックボーンなど）、そして密結合になっているルータ間ピア構成に対して特に有効です。基本的な拡張IGRPのルーティング・アルゴリズムやループフリーを保証する経路の収束処理などはいっさい変更されていないので、従来のバージョンとの互換性はいっさい問題ありません。

1.4 スイッチング機能

1.4.1 ルーティングとブリッジングの統合

[解説]

　この機能は、シスコのCisco Fusionアーキテクチャの一部を成すコンポーネントで、マルチプロトコル環境におけるレイヤ2とレイヤ3の統合を、拡張性の高く、効率の高い方法で実現するものです。Integrated Routing and Bridging（IRB）はCisco IOSソフトウェアを利用したルータのインタフェース・グループに対して構成されているvLANやレイヤ2でブリッジされたドメインを拡張し、同じルータ内でルーティングされたドメインに接続します。

　Concurrent Routing and Bridging（CRB）は、Cisco IOSソフトウェアを利用したルータで、同じレイヤ3プロトコルを利用した複数の独立したインタフェース間でのルーティングとブリッジングを可能にしました。IRBはCRBをさらに拡張し、ブリッジまたはルーティングされたインタフェース間を、Bridged Virtual Interface（BVI）というソフトウェア・インタフェースを通してルーティングできるようにしたものです。

　vLANはブリッジ・グループにマップすることによりルータを通して拡張できます。IRBはvLAN間ルーティングを拡張vLAN間で行い、拡張vLANを同一のCisco IOSルータ内のルーティングされたドメインに相互接続することができます。

Figure6. Integrated Routing and Bridging

[特徴]

　IRBにはつぎのような特徴があります。

• スケーラブル、効率的なレイヤ2ドメインとレイヤ3ドメインの統合

  IRBの機能によりブリッジ・ドメインやvLANをルータを超えて拡張し、同時に同じルータ内でルーティングされたドメインへ相互乗り入れすることができます。

• レイヤ3のアドレス節約

  レイヤ3のアドレス空間を節約するためにブリッジ・ドメインやvLAN環境をルータをまたいで拡張し、同時に同じルータで、そのvLANやブリッジ・ドメインをルーティングされるドメインへ乗り入れることができます。

• 柔軟なネットワークの再構成

  ネットワークの一時的な移動、追加、変更のために、管理者はブリッジ・ドメインを複数のルータインタフェースをまたいで柔軟に拡張することができます。これはブリッジ環境をルーティング環境に移行していく時や定期的にアドレス変更作業を行うときなどに特に便利です。

[備考]

• 現在IRBがサポートするプロトコルはIP、IPXとAppleTalkです。

  ファースト・スイッチ・モードとプロセス・スイッチ・モードの両方に対応しています。

• IRBはcbusの製品ではサポートされません（AGS+とCisco 7000）。
• IRBはトランスペアレント・ブリッジには対応しますが、ソース・ルート・ブリッジには対応しません。
• IRBはX.25とISDNブリッジ・インタフェース以外のすべてのメディアタイプに対応します。
• IRBとCBRは同時に利用することはできません。

2. デスクトップ・プロトコル

2.1 AppleTalk関連

2.1.1 AppleTalk負荷バランス

[解説]

　AppleTalkのデータトラフィックがネットワーク上の多重化されたリンクに均等に分散するようにします。

[特徴]

　AppleTalk負荷バランス機能はネットワーク資源の利用効率を向上させ、ネットワーク・コストを引き下げます。均等な負荷の分散によりネットワークがオーバーロードになる可能性が減少し、ネットワークの信頼性が向上します。負荷バランスはネイティブなAppleTalkルーティング・プロトコルであるRouting Table Maintenance Protocol（RTMP）と拡張IGRPの両方で使えるようになっています。

[備考]

　AppleTalk負荷バランス機能はプロセス・スイッチおよびファースト・スイッチの両方で利用できます。

2.2 Novell関連

2.2.1 サービス通知プロトコルのネーム表示

[概要]

　ノベルのService Advertisement Protocol（SAP）によるサービス通知パケットを、特定のサーバ名や特定の値で検索して表示することができます。現在のIPXサーバを表示するコマンドが拡張され、正規表現（サポートされる特殊文字も含む）でルータのSAPテーブルを検索可能になりました。

[特徴]

　現在、巨大なノベルネットワークを維持・運営することはネットワーク管理者の大きな課題となっています。シスコでは、この問題を軽減するためにインターネットワーキングのためのツールを充実させています。この機能では、ネットワーク管理者に効率的にSAPテーブルを表示する能力を与えることで、ネットワークの解析や診断コストを削減します。

[備考]

　なし。

2.2.2 IPXアクセス・コントロール・リストの侵害ログ記録

[概要]

　この機能を利用すると、各ルータで既存のログ機能を利用し、特定のIPXのアクセス・コントロール・リスト（ACL）に対してアクセス侵害が発生した場合にログを残すことができます。ログ指定されたエントリにアクセスした最初のログは即時記録されます。以降、5分間隔でアップデートが送信されます。

　ログに記録できるのはつぎの情報です。

• 送信元アドレスと送信先のアドレス
• 送信元と送信先のソケット番号
• プロトコル（またはパケット）タイプ（例: IPX, SPXまたはNCP）
• とられたアクション（許可/拒否）

[特徴]

　IPXのACL侵害ログはネットワーク管理者に、効率的なアクセスコントロールの機能を追加提供します。ネットワーク管理者にとっては、いままでのフロー管理や、情報のアクセス性の維持の責任に加え、ネットワーク・セキュリティに対する不正行為の監視と是正も、重要な任務となってきています。IPX ACLログ機能は、集中的に不正アクセスの情報を監視する環境を構築し、早期に不正なアクセス行為を発見することに貢献します。

[備考]

　検出されたパケットやログ有効に設定されたACLはプロセス・レベルで送られます。ルータのログ機能はIPプロトコルを用います。

2.2.3 有意的IPXアクセス・リスト（Plain English IPX Access List）

[概要]

　この機能を利用することにより、IPX拡張アクセス・コントロール・リストで一般的に利用されるプロトコルやソケット番号が、いままでのような暗号的な番号ではなく名前や普通の番号で指定できるようになります。

　サポートされるプロトコル・タイプはRIP, SAP, NCPそしてNetBIOSです。

サポートされるソケット・タイプはNDP（Novell Diagnositic Packet）拡張IGRP,とNLSPです。

[特徴]

　有意的IPXアクセス・リスト機能を利用すれば、通常の言葉で拡張IPXアクセス・リストが読めるために、読解性や簡便性が大幅に改善されます。これによりIPXネットワークのアクセス・コントロール機能の分析や構築が容易になり、ネットワーク管理コストが削減されます。コマンドの煩雑さが解消され、IPXネットワーク資源のセキュリティ管理とアクセス管理が簡単になりました。

[備考]

　なし。

3 WAN機能

3.1 ISDN/DDR機能拡張

3.1.1. マルチシャーシ マルチリンクPPP（MMP）

[概要]

　マルチシャーシ・マルチリンクPPP（MMP）はマルチリンクPPP（MP）を拡張し、複数のルータやアクセス・サーバにまたがってBチャネルを束ねることができるようにしたものです。MMPは独立した個々のMPリンクを複数のプラットフォームで共有する方法を提供します。最もMMPに適した応用分野はISDNダイアルアップの回線プールですが、他の混在テクノロジ環境でも利用することができます。

　MMPは「スタックグループ」の概念に基づいて実装されています。スタックグループとはMPのコールを受信した時に、1つのグループとして機能するルータまたはアクセス・サーバのセットをさします。同じスタックグループのメンバーならば、1つのアクセス番号に対してすべてのWANインタフェースが対応していて、コールが着信した時には、どのメンバーでも応答することができます。アクセス番号は電話会社のハント・グループに対応します。

　クロス・プラットフォーム集線は、スタックグループ内のメンバー間をIETFのドラフト標準案であるレイヤ2フォワーディング（L2F）によってトンネルすることによって実現します。このプロトコルは同時にシスコのバーチャル・プライベート・ダイアルアップ・ネットワークの基幹としても利用されます。

　MMPは柔軟で拡張性に富んでいます。L2FプロトコルはIPベースの技術なので、スタックグループは多様なタイプのLANやWANメディアを介して接続することができます。スタックグループの規模はL2Fプロトコルに割り当てられる伝送帯域幅を拡張することで、たとえばシェアード・イーサネットからスイッチド・イーサネットに変更することで、拡大できます。

Figure7. Multichassis Multilink PPP

[特徴]

　マルチシャーシ・マルチリンクPPPは既存のダイアルアップ・プール環境と比較して次のような点で有利です。

• ニーズに応じてネットワークをスケールアップできます。

  MMPでは、いつでもダイアルアップ・プールに新しい機器を増設できます。

• MMPはMPよりCPU負担が軽くなります。再アセンブリや再シーケンシングの時の負荷はスタックのすべてのデバイスで分担できます。つまり低価格な小規模プラットフォームを用いて大規模なプールの構築が可能になります。
• MMPは相互運用可能なマルチベンダー環境を構築することができます。

リモートサイトには特別な対応ソフトウェアを用意する必要がありません。リモートに要求される唯一の機能は、業界標準MP（RFC1717）のサポートのみです。

[備考]

　MMPは汎用性のある、プラットホームに依存しないテクノロジなので、Cisco 2500, 4000, 7000シリーズなど、異なる機種を組み合わせてスタックを構成することができます。

　ただし、Cisco 5200のようなユニバーサル・サーバとCisco 4000のようなISDN専用アクセス・サーバを同じMMPスタックに利用することはできません。スタックのどの機器が着信するかはCentral Officeで無作為に行われるため、このような機器構成にすると、アナログコールがデジタル専用サーバに接続されてしまう可能性があるからです。

3.1.2 バーチャル・プライベート・ダイアルアップ・ネットワーク

[概要]

　バーチャル・プライベート・ダイアルアップ・ネットワーク（VPDN）機能は、シスコがIETF（Internet Engineering Task Force）に業界標準として提案中のレイヤ2フォワーディング（L2F）をベースとしています。VPDNはさまざまな異なるドメインのユーザが、パブリックなインターネット経由で、それぞれの所属する企業の作業環境にセキュアなアクセスを可能にする技術です。

　サービスプロバイダはそれぞれの顧客の企業ネットワークに対して、１つの電話番号で構築できるVPDNを使用したプライベートなダイアルアップネットワークサービスを提供できます。各ユーザは、個々の接続先に対してアクセスするときには、まずPPPユーザ名でアクセス・サーバの認証手続きを受け、そのユーザIDが実際に接続されるプライベート・ネットワークのログインにも利用されます。接続先のゲートウェイとのコネクションが確立されたところで、セキュアな情報を流すためのトンネルがプロバイダのバックボーンと接続先のゲートウェイの間で形成されます。PPP接続されたセッションはゲートウェイまでトランスポートされ、それから先は接続されたサイトのセキュリティ手順によりゲートウェイ以降のローカル・ネットワークへのアクセスが管理されます。

　特にサービスプロバイダにとって注目すべき点は、VPDNがWAN接続の種類に依存しないことです。L2FはTCP/IPを利用するため、どのようなバックボーン・ネットワークのタイプでも利用することができます。

[特徴]

　VPDNにはサービスプロバイダとその利用者にとって次のようなメリットがあります。

• 利用者と接続先企業のゲートウェイには特別なソフトウェアは不要です。
• 接続先ゲートウェイでは、セキュリティを強化するために標準のTACACSやRADIUSのようなセキュリティプロトコルを利用することができます。ローカルな認証手段はプロバイダの提供する環境にいっさい影響されません。
• アドレス割当ては接続先のゲートウェイで行われます。サービスプロバイダはアドレスを提供する必要がありません。

[備考]

　なし。

3.1.3 ダイアラー・プロファイル

[概要]

　ダイアラー・プロファイルは、新しいダイヤラー機能で、ダイアルアップ接続の発着信の物理的なインタフェース部分の定義と論理的なネットワーク層、カプセル化方法、ダイアラーに渡すパラメタなどの定義を分離する機能です。

　ダイアラー・プロファイルは真のサブ・インタフェースとしては実装されていないので、実際にどのコネクションを利用するかはCentral Officeスイッチが規定します。着信コールは発信者の呼出しIDかPPPユーザ名に対応した個別のプロファイルに関連づけられています。

Figure8. Dialer Profiles.

[特徴]

　ダイアラー・プロファイルはダイアルアップ環境の構成に柔軟性をあたえます。たとえば、1つのISDN PRIやPRIロータリー・グループで複数の異なったユーザをサービスし、それぞれのプロファイル個別に管理することができます。各プロファイルは通常DDR接続時もバックアップ時のものも定義可能です。

[備考]

　各ダイアラー・プロファイルは実際の発着信の物理的なインタフェースを規定しているインタフェース・ディスクリプタ・ブロック（IDB）とは別に、独自のIDBを持ちます。コールが発生すると、この2つのIDBがバインドされトラフィックが流れるようになっています。その結果、ダイアラー・プロファイルは普通のDDRよりも多くのIDBを利用します。

　ダイアラー・プロファイルの初期リリースではフレームリレー、X.25、DDRリンクでのLAPBカプセル化やスナップショット・ルーティングはサポートされません。

3.1.4 コンビネット・パケット・プロトコル（CPP）サポート

[概要]

　Combinetパケット・プロトコル（CPP）は、Combinet社の製品でデータ・トランスポートに利用されていた独自プロトコルです。CPPは、ISDNリンク間でのデータ圧縮と負荷共有を行う方法の1つでもあります。Cisco IOSソフトウェアの実装ではこのCPPの圧縮と負荷共有をこの独自プロトコルによるカプセル化で提供します。

[特徴]

　Combinet製品をすでにインストールして利用しているユーザの大多数が、PPPなどの相互運用性のあるプロトコルをサポートする環境にアップグレードすることができません。CPPをサポートすることで、これらのユーザも既存のCombinet製品で構築した環境をCisco IOSを利用したインターネットワーキング環境に統合することができるようになります。

[備考]

　CPPでは、シスコのPPPでサポートしている機能の多くを提供できません。提供できない機能には、アドレスのネゴシエーションやAppleTalkなどのプロトコルのサポートなどがあります。

3.1.5 CPPとPPPでのハーフ・ブリッジ/ハーフ・ルータ機能

[概要]

　ハーフ・ブリッジ/ハーフ・ルータ機能は、ローエンドの単純な構成のブリッジでCPPやPPPプロトコルによりカプセル化されたデータをCisco IOSのコア・ルータにブリッジする機能です。このハーフ・ブリッジ/ハーフ・ルータは一台のCPPまたはPPP対応ブリッジ・デバイスを利用した小さなリモート・イーサネット・セグメントをコア・ネットワークに接続するようなネットワーク環境のために設計されています。コア・ルータのシリアル・インタフェースやISDNインタフェースはネットワーク上でバーチャル・イーサネット・ポートとして見えるようになります。このリンクを通るレイヤ3のデータ・パケットは、最初にイーサネット形式のカプセル化が行われ、次にPPPまたはCPPヘッダが添付されます。この機能では、コア・デバイスにブリッジされてくるトラフィックをそこからルーティング可能にします。

[特徴]

　リモート・アクセス・デバイスの重要度が高まるにつれて、これらのデバイス導入時の初期設定を単純化したいという純粋な要求がでてきます。ハーフ・ブリッジはリモート・サイトの設定を簡単なブリッジ構成で実現し、同時にコア・サイトでルーティング設定のメリットを享受できます。

[備考]

　この機能はプロセス・スイッチです。

3.2 フレームリレー機能拡張

3.2.1 フレームリレーSVCサポート（DTE）

[概要]

　現在、フレームリレーにアクセスするには56kbpsから45Mbpsの伝送速度をもった専用線を用います。通常のフレームリレー・ネットワーク内の伝送帯域幅はエンドポイント間のPermanent Virtual Circuit（PVC）で恒久的にコミットされています。Switched Virtual Circuit（SVC）はフレームリレー・ネットワークにアクセスする必要が発生した時点で、エンドポイントへの接続を張る経路です。これはトラフィックからの要求に応じて経路が接続されたり、切断されるという点でX.25のSVCと同等です。SVCにはコネクションの確立や切断というオーバヘッドが発生しますが、データ転送が発生するときしかバーチャル・サーキットが存在しないというメリットがあります。つまりバーチャル・サーキットの数は接続されているサイト数ではなく、実際のデータのやりとりに比例することになります。

Figure9. Frame Relay SVC Support (DTE)

[特徴]

　フレームリレーSVCには次のようなメリットがあります。

• PVCの場合の固定料金と比較して、SVCの利用量に基づく料金体系を利用することで、コストメリットが生じます。これは通常の電話料金と同じ課金方式になります。
• any-to-any接続によってネットワーク・トポロジをダイナミックに変更できます。
• 大量のデータ転送が発生するFTPトラフィックなどの要求に応じて、bandwidth-on-demandなどによるダイナミックな帯域確保が可能です。
• PVCバックボーンのバックアップ経路として利用できます。
• プライベート・ネットワークでの資源節約になります。コネクションやルータCPUはデータの転送に必要な時だけ確保されます。

[備考]

　フレームリレーSVCを運用するには次の条件が必要です。

• 運用されるネットワークで利用するスイッチがフレームリレーSVCをサポートしていなければなりません。
• 専用線などの物理的なローカル・ループ・コネクションがローカル・フレームリレースイッチとルータ（DTE）の間に存在する必要があります。

3.2.2 トラフィック・シェーピング・オーバー・フレームリレー

[概要]

　フレームリレー・プロトコルには輻輳制御のための様々なパラメタが用意されています。これらのパラメタには、CIR（Commited Information Rate）,FECN/BECN（Forward/Backward Explicit Congestion Notification）そしてDEビット（Discard Eligibility Bit）などがあります。シスコでは、FECN（既にDECnetとOSIのためにサポート）や、BECN（既に、RFC1490経由のLLC2カプセル化を利用したSNAトラフィックのためにサポート）を利用して、フレームリレー・トラフィック・シェーピング機能を新たに提供します。

• VC（バーチャル・サーキット）ごとのレート規制

  CIRでコミットされた伝送レートまで、あるいはEIR（Excess Information Rate）で独立して定義された伝送レートを上限として、外に向かうトラフィックのピーク値を規制することができます。

• VCごとの汎用BECNサポート

  ルータでBECNをモニタし、フレームリレー・ネットワークからのBECNでマークされたパケットのフィードバックに基づいてトラフィック量を調整します。

• VCレベルでのプライオリティ/カスタム/均等化キューイング

  より細密なトラフィック・キューのプライオリティ設定が可能になり、個別のVCごとに細やかなトラフィックのフロー制御ができます。

　これらの機能は、VCの密度を最適化し、レスポンスタイムを改善することで、フレームリレー・ネットワークのスケーラビリティとパフォーマンスを改善します。フレームリレー・トラフィック・シェーピングは、PVCとSVCの両方で利用できます。

Figure10. Traffic Shaping over Frame relay

[特徴]

　フレームリレー・トラフィック・シェーピングにはつぎのようなメリットがあります。

• 高速な中央サイトと低速なリモート・サイトが接続されたフレームリレー・ネットワーク・トポロジでのボトルネック発生による無駄な再送などを防ぎます。
• 1つの伝送メディアを複数のバーチャル・サーキット（VC）で共有する手段を提供します。伝送レート規制機能によって、物理的なルータの最大転送レートだけではなくCIRやEIRを基準に最大伝送スピードを決定することが可能になり、あらかじめ各VCの伝送帯域幅を事前確保することができます。これによってバーチャル時分割多重化ネットワークの構築も可能になります。
• BECNタグのついたパケットに基づいてダイナミックにトラフィックの流量を制御できます。BECNを利用した制御では、ルータからフレームリレー・ネットワークに流れ込むデータの量を調整するために余剰のパケットはルータのバッファに一時格納されます。パケット量の制御はバーチャル・サーキットごとに行われ、BECNタグの添付されたパケットの量をもとに伝送レートが調整されます。
• VCまたはサブ・インタフェース単位でキューの定義ができます。

  カスタム・キューイングでVC単位のキューイングを指定し、伝送レート規制を組み合わせれば、フレームリレーVCを流れる複数のトラフィック・タイプ（IP, SNA, IPXなど）に対して、それぞれのトラフィック・タイプごとにサービス品質を保証する設定ができます。

[備考]

　フレームリレーのトラフィック・シェーピング機能を実現する3つのコンポーネントを利用するには、パケットをバッファしたり、データ・レート表を演算したり、トラフィックを制御できるルータが必要です。このようにルータのCPUやメモリを圧迫する処理ですので、クリティカルなトラフィックを優先するあまりに、フレームリレー全体の伝送性能が低下しないよう、導入時には十分な検討が必要です。

3.3 ATM機能拡張

3.3.1 LANエミュレーションのSSRP（Simple Server Redundancy Protocol）対応

[概要]

　SSRP（Simple Server Redundancy Protocol）はATMのLANエミュレーション・ネットワークでクライアントに利用される3つのサービスにスタンバイ冗長性を提供します。その3つのサービスとは、LANエミュレーション・コンフィギュレーション・サーバ（LECS）, LANエミュレーション・サーバ（LES）, そしてBroadcast and Unknownサーバ（BUS）です。このリリースでは4つまでLECSを持たせることができます。なお、LightStream 1010とLightStream 100スイッチではLECSアドレスはILMIにポート単位で定義することができます。

[特徴]

　LANエミュレーションはLES/BUSをエミュレーテッドLANごとに1つずつ利用し、複数のエミュレーテッドLANに対して1つのLECSを持ちます。これらのサービス・コンポーネントはトラブル発生時にはエミュレーテッドLANのフェイル・ポイントになる危険性をもっています。SSRPはこれらのサービスポイントを多重化することで、フェイル・ポイントとなることを避け、管理オーバヘッドを増やすことなく、キャンパスATMバックボーンやキャンパス・ネットワークに必要な冗長性を確保することができます。SSRPとHSRP（Hot Standby Router Protocol）を組み合わせ、Catalyst 5000にdual-phy LANエミュレーションカードを組み込み、Spanning TreeをVLANごとの設定でサポートすることによって、完全な冗長性をもったデュアル・ホームATMバックボーンをフェイル・ポイントなしで構築することができます。

[備考]

　SSRPを完全にサポートするためにはシスコのプラットフォームが必須になります。現在LECSとLES/BUSはCisco 7000シリーズ, 4000シリーズの各ルータとCatalyst 5000でサポートされています。他社製品でも標準LEC（LAN エミュレーション1.0クライアント）準拠ならば、付加機能なしで、SSRPのLECSやLES/BUS冗長性を利用することができます。LECはSSRPのメカニズムを利用してつぎのような条件にあわせてLECSを検索します。

• 標準ILMIを完全にサポートする
• 初期化の時に応答しないLECがあったときに次々とLECにアクセスする

Catalyst 5000のLANエミュレーション・モジュールは、リリース3.1以降からSRPPをサポートします。

3.3.2 LANエミュレーションのHSRP（Hot Standby Router Protocol）対応

[概要]

　通常のホストはデフォルト・ゲートウェイ（またはルータ）の情報をもっているか、それを発見するプロトコルを搭載しています。もし、1つのエミュレーテッドLANに1台以上のルータが接続されている場合、シスコのHSRP機能では片方のルータから、もう片方の動作状態をモニタし、そのルータが故障したり、サービスを提供できなくなったときに、自動的に切り替わることができます。

[特徴]

　HSRPは仮想LAN（VLANやELAN）でのルーティングを多重化します。HSRPオーバLANEはデフォルト・ゲートウェイ（ルータ）を検索しようとするホストに対してはトランスペアレントです。HSRPが運用されていない環境では、各IPホストにはRIPが搭載されていないと、デフォルト・ゲートウェイの検索に失敗した時に復旧することができません。RIPを利用した場合には最初の検索に失敗して、2番目のデフォルト・ゲートウェイの経路が設立するまでに10分間の遅延が発生することもあります。HSRPとSSRP（Simple Server Redundancy Protocol）を組み合わせ、Catalyst 5000にdual-phy LANエミュレーションカードを組み込み、Spanning TreeをVLANごとの設定でサポートすることによって、完全な冗長性をもったデュアル・ホームATMバックボーンをフェイル・ポイントなしで構築することができます。

[備考]

　HSRPはシスコが独自に開発したプロトコルなので、Cisco IOSを利用したルータにしか搭載されていません。HSRPとLANエミュレーションはATMインタフェースを装備したCisco 7000, 7500, 4000シリーズの各ルータで利用できます。HSRPは、LECに対してトランスペアレントなので、すべてのLECで利用できます。Cisco IOSを搭載したルータならば、バックアップ・ルータとしても動作できるため完全にHSRPサービスの一部として機能できます。

3.3.3 LANエミュレーションのDECnetとVINESルーティング対応

[概要]

　LANエミュレーションを実行しているATMルータ・ポートのサブ・インタフェース上のDECnetやVINESのトラフィックを他のサブ・インタフェースや他のルータ・ポートにルーティングします。IP, IPX, AppleTalkをLANエミュレーションのサブ・インタフェースでルーティングするこれまでの機能を強化するものです。

[特徴]

　DECnetとVINESをATMのLANエミュレーションのVLAN間でルーティングをサポート。

[備考]

　DECnet Phase IV

3.3.4 UNI 3.1信号手順サポート

[概要]

　Cisco IOSソフトウェア リリース11.2ではUNI 3.1信号手順をサポートします。ATMフォーラムは、UNI 3.0信号手順の仕様をITUに標準案として提出し、ITUはSSCOPカプセル化を改良して、信号手順の信頼性を向上させました。UNI 3.1はITUでの活動を反映してATMフォーラムが発表した仕様で、他の部分では、現在すべてのCisco ATMソリューションでサポートされているUNI 3.0と変わりありません。

[特徴]

　UNI信号手順のすべてのプロトコルに対応できます。

[備考]

　なし。

3.3.5 SVCでのサブ・インタフェース レート・キュー利用

[概要]

　従来、PVCにはトラフィック・シェーピングのパラメタを定義する特定のレート・キューを割り当てることができましたが、SVCでは、常にデフォルトのレート・キューが割り当てられていました。新しい環境では、サブ・インタフェースのすべてのSVC（たとえばRFC1577 Classical IP over ATMを実行するように設定されたサブ・インタフェース）は、そのサブ・インタフェースが割り当てられたレート・キューに入れられます。

[特徴]

　サブ・インタフェースのすべての（PVCだけではなくSVCを含めた）コネクションが、均一にトラフィック・シェーピング可能となり、サービスプロバイダなどとの契約に準拠したサービス品質が提供可能になります。

[備考]

　サブ・インタフェースのPVCは、どんなレート・キューに割り当てることもできますので、どちらに設定するかは環境設定時に注意しなくてはいけません。

3.3.6 AToM MIB対応

[概要]

　この機能はIETF RFC1695に述べられたAToM MIBをサポートします。このMIBは、環境設定情報と、エラーおよびセル・レベル・カウンタを規定します。Cisco IOSリリース11.2では標準のAToM MIBによってルータのATMインタフェースで提供されている各種カウンタの情報を計測することができます。

[特徴]

　AToM MIBによるデータは、Cisco AtmDirectorをはじめとする、各種のネットワーク管理ツールで、ステータスの確認やオート・ディスカバリに利用されています。

[備考]

　なし。

3.4 コア機能拡張

3.4.1 NetFlowスイッチング

[概要]

　NetFlowスイッチング機能は、高性能なネットワーク層でのスイッチングと、ネットワーク・サービスの利用の両立を可能にする新しいソフトウェア・スイッチング・メカニズムです。高性能を実現するために、NetFlowスイッチングはインターネットワークのエンドポイント間のトラフィックの流れを識別し、そしてコネクション基準ベースで、それぞれにサービスを提供しながら同時にこれらのストリーム中のパケットをスイッチします。フローの識別にネットワーク層とトランスポート層の情報を利用することで、NetFlowスイッチングでは、Cisco IOSのサービスをユーザ単位、アプリケーション単位で利用することが可能になります。

[特徴]

　NetFlowスイッチングを利用することで、セキュリティ・アクセス・リストの利用やトラフィック情報の集計など、プロセス要求の高いCisco IOSサービスの利用を増やしても、性能を犠牲にする必要がなくなりました。この性能改善によって、これらのサービスを、より多くの個所で、より大規模に利用することが可能になりました。リモート・ユーザのアクセスを、公衆インターネット・サービス経由で受け入れなければならない今日のネットワークにとって、セキュリティの改善は同様に重要です。詳細なトラフィック・フローの情報はネットワーク管理者に、ネットワークを最も合理的に低コストで成長させる目安となる情報を提供します。NetFlowスイッチングによってネットワーク管理者ははじめて、自分のネットワークの「詳細な記録」を手に入れたことになります。

　NetFlowスイッチングは、セキュリティ・リストやアカウント管理などCisco IOSサービスを利用している状態でのパフォーマンス低下率を改善します。既存の環境では、1つのサービス利用のたびに最大30%近くのパフォーマンス低下が発生しましたが、NetFlowスイッチングでは、このレートを、すべてのサービスを起動した状態で、最適運用時の10%～15%低下に抑えることができます。他のコネクションを利用した最適化テクニック同様に、NetFlowスイッチングの効果はアクティブなフローの総数の影響をうけます。

[備考]

　NetFlowスイッチングの最初の実装では、IPトラフィックのみをすべてのインタフェース・タイプでサポートし、Ethernet, FDDI,そしてHDLCによるシリアル接続で、最高のパフォーマンスが得られるようになります。シスコではNetFlowスイッチングを1996年末にIPXトラフィック対応に拡張する予定です。

　NetFlowスイッチングが利用可能なルータはCisco 7000/7500シリーズでRSP（Route/Switch Processor）を装備した構成のものです。NetFlowスイッチングはマスターRSP上で、または分散させてそれぞれのVIP（Versatile Interface Processor）で動作します。

4. IBM機能

4.1 APPN機能拡張

4.1.1 APPN セントラル・リソース・レジストレーション

[概要]

　APPN Central Resource Registration（CRR）はCisco IOSソフトウェアを利用したルータがネットワーク・ノード（NN）として運用されているときに、エンド・ノード（EN）のリソースをAdvanced Communication Facility / Virtual Telecommunication Access Method （ACF/VTAM）のCentral Directory Service （CDS）に登録できる機能です。Cisco IOS NNは、コネクションが確立するとすぐに、VTAM CDSにリソース名を登録します。従来のリリースではNNとして機能しているルータは、ACF/VTAMからのENリソースを確認する問い合わせに答えることはできましたが、自分からENリソースを登録することはできませんでした。

Figure11. APPN Central Resource Registration

[特徴]

　CDSはネットワークのブロードキャスト・トラフィックを低減します。アクティブなCDSがACF/VTAM上にない場合、NNはローカルでないリソースに対するセッションを確立するために、ブロードキャスト・メッセージを送信しなければなりません。しかしアクティブなCDSがある場合、NNはCDSに対してのみリクエストを送信してリソースの位置を問い合わせます。ブロードキャスト・メッセージはCDSに対象リソースが登録されていなかった場合のみ、利用されます。

[備考]

　ACF/VTAMはCDSとして設定されている必要があります。CiscoIOSを搭載したNNはネットワークトポロジの交換の際に、この機能の有無を学習します。最も効率的にCDSを利用するには、ENはリソースをNNに登録する必要があります。ENのインプリメント方法の違いにより、自動的に登録される場合と、ENに手動で設定をする必要がある場合と、ENに登録の機能がない場合とがあります。

4.1.2 APPN DLUR MIB

[概要]

　既存のAPPN MIB（Management Information Base）は、Cisco IOS NNがもつDLUR（Dependent Logic Unit Requestor）機能を利用してAPPNネットワークにアクセスしているDLU装置の情報を含んでいませんでした。今回のリリースでは、DLURのための標準MIB構造がAPPNの標準化団体であるAPPN Implementers Workshopで規定されたため、それに準拠して実装されています。

[特徴]

　APPN DLUR MIBを利用すれば、利用者はCisco IOS NNのDLUR機能と、それを利用している DLUに関する情報がアクセスできるため、より完全なネットワーク管理が可能になります。

[備考]

　MIBデータベースの提供は、それを利用する管理ツールの提供時期とは連動していません。CiscoWorksネットワーク管理ソフトウェアのAPPN DLUR MIB情報への対応は別途アナウンスします。

4.2 NCIA（Native Client Interface Architecture）サーバ

[概要]

　IBM SNAアプリケーションをルーティングされたインターネットワーク経由でアクセスするために、シスコシステムズが開発したNCIAアーキテクチャが、さらにフレキシブルかつスケーラブルに拡張されました。クライアントのワークステーションに実装されたNCIAクライアントは、完全にSNAスタックをTCP/IPパケットの中にカプセル化します。カプセル化されたパケットはCisco IOSソフトウェアに実装されたNCIAサーバに送られます。NCIAサーバはTCP/IP パケットからカプセル化されたパケットを取り出し、LLCデータをホスト・プロセッサにRSRBまたはDLSw+経由で送ります。

Figure12. Native Client Interface Architecture Server.

[特徴]

　NCIAサーバはSNAやNetBIOSセッションを、ダイアルアップ接続を含むさまざまなLAN, WAN接続でサポートします。また、NCIAアーキテクチャはフル・スタックでクライアントをサポートするため、スプリット・スタック形式の実装と異なり、拡張SNA機能のすべてが利用できます。NCIAサーバの新機能では、次の点が拡張されました。

• クライアントの設定が簡単になりました。リング番号をあらかじめ定義する必要がなくなり、NCIAサーバでもMACアドレスのダイナミックな割り当てが可能になりました。クライアントにはLLC2が必要ありません。クライアントはルータ・ピアとしてではなく、エンド・ステーションとして構成されます。
• ソリューションが、よりスケーラブルになりました。拡張性の制限要素がRSRBピア・コネクションの数ではなく、中央サイト・ルータのLLCコネクション数の上限までになりました。
• クライアントとサーバの間のプロトコルがより効率的になりました。

[備考]

　すべてのクライアントは1つ以上のLUをもったSNA PUです。そのため、すべてのクライアントは中央サイト・ルータにLLCコネクションを1つずつ要求します。Cisco 4700クラスのルータで、現在3000～4000のLLCコネクションを維持できます。

4.3 TN3270サーバ

[概要]

　TN3270サーバはCisco 7000シリーズ・ルータのCIP（チャネル・インタフェース・プロセッサ）カードの新機能です。シスコのTN3270サーバは、TN3270クライアントからIBMメインフレームや互換機へのアクセスを実現します。他社の同様な製品のような機能の制限もありません。メインフレームから完全にTCP/IPやTN3270サイクルをオフロードし、データセンターの過酷な要求に応える、信頼性の高いスケーラブル、かつダイナミックなインプリメントが可能です。

[特徴]

　CIPカードのTN3270サーバは他の競合製品と比較して圧倒的なスケーラビリティを誇ります。一般的な外部ゲートウェイが同時に1000から2000セッションしかサポートできないのに対して、CIPのTN3270サーバは8000の同時セッションまで対応可能です。さらに、次のような機能を提供します。

• 負荷バランスと冗長性

  CIPリソースを効果的に活用し、一貫したレスポンスタイムを提供します。

• エンド・ツー・エンド・セッション・ビジビリティ

  高度なリソース管理を可能にします。

• SNAセッション・スイッチング

  セッションルーティングによってVTAMをオフロードします。

• TN3270Eサポート

  TN3270E対応のクライアントと組み合わせれば、拡張SNAマネージメントやプリンタ・サポートなどを含むSNA機能が利用できます。

• Dependent LUのダイナミック定義

  簡易化されたネットワーク定義と環境設定をルータとVTAMに提供します。

• LUのダイナミック・アロケーション

  複数のSNAモデル・タイプをサポートし、同時にLUプール・リソースを効率的に利用します。

[備考]

　TN3270サーバで4000セッションを処理するためには、CIPカードに32MBのDRAMが必要です。

8000セッションの場合は64MBです。TN3270サーバは、IPデータグラム、TCP/IPオフロード、CSNAなど、すべてのCIPアプリケーションと共存することができますが、これらのプログラムの動作は、メモリやCIPサイクルを消費することで、最大セッション数に影響します。

4.4 ファースト・スイッチドSR/TLB（ソース・ルート/トランスレーション・ブリッジ）

[概要]

　Cisco IOSリリース11.2からSR/TLBはファースト・スイッチになりました。キューイングは発生せず、リソースの消費もわずかです。この機能はすべてのルータでサポートされ、デフォルト設定ではオンになっています。手動でオフにすることもできます。

[特徴]

　ファースト・スイッチドSR/TLBはすべてのプラットフォームに、少なくとも2倍の性能改善を提供します。そしてCisco 4500とCisco 4700では3倍改善されます。この機能はIBM環境で便利です。たとえば、ローコストなイーサネット・アダプタがキャンパスでは利用されているのにFEP（フロント・エンド・プロセッサ）へのトークンリング接続が必要な場合や、Cisco IOSソフトウェアにトランスレーション・ブリッジ機能の提供を依存しているようなキャンパス・ネットワークにトークンリングとイーサネットが混在しているような場合です。

[備考]

　なし。

4.5 DLSw+機能拡張

　Cisco IOSリリース11.2ではデータリンク・スイッチングで次のような機能拡張が行われています。

• LANネットワーク・マネージャ（LNM）オーバDLSw+
• ネイティブ・サービス・ポイント（NSP）オーバDLSw+
• ダウンストリームPUオーバDLSw+
• アドバンスド・ピア＝ツー＝ピア・ネットワーキング（APPN）オーバDLSw+
• ソース・ルート・ブリッジ（SRB）オーバFDDI to DLSw+

　これらの機能は従来リモート・ソース・ルート・ブリッジ（RSRB）で提供されていたものです。この機能を提供するためにCisco IOSソフトウェアは、ヴァーチャル・データリンク・コントロール（VDLC）というコンポーネントを利用して、特定のソフトウェア・コンポーネントを他のソフトウェア・コンポーネントのデータリンクに使用しています。

4.5.1 LANネットワーク・マネージャ（LNM）オーバーDLSw+

[概要]

　LNMオーバーDLSw+機能は、IBMのLAN Network Managerソフトウェアで管理されたトークンリング・ネットワークでDLSw+の使用を可能にします。

[特徴]

　この機能を利用するとDLSw+ネットワーク経由で接続されたトークンリング・ネットワーク、コントロール・アクセス・ユニット（CAU）、トークンリング・デバイスなどをLNMを利用して管理することができます。すべての管理機構はRSRBやソース・ルート・ブリッジされたネットワークと同じように機能します。

[備考]

　なし。

4.5.2 ネイティブ・サービス・ポイント（NSP）オーバーDLSw+

[概要]

　NSPオーバーDLSw+機能は、シスコのNative Service Point機能をDLSw+が運用されているルータ上で共存できるようにします。

[特徴]

　この機能を利用すれば、NSPをリモート・ルータに設定して、DLSw+によってリモート・サービス・ポイントのPUからNetViewで通信できるパスを提供することができます。こうすることで、NetView 390コンソールでリソースをもれなく監視しながら、同時にDLSw+によってSNAネットワークに提供される付加価値を利用することができます。

[備考]

　なし。

4.5.3 DSPUオーバーDLSw+

[概要]

　DSPUオーバーDLSw+は、シスコのDown Stream Physical Unit機能をDLSw+が運用されているルータ上で共存できるようにするものです。このとき、DLSw+は上流（メインフレームに向かって）にも下流（メインフレームから遠ざかる方向）にも利用できます。

[特徴]

　DSPU収束機能は、最大255個のPUを1つのPUであるかのようにVTAMに見せることで、メモリの消費や中央サイトのリソース・サイクル（VTAM、NCP、ルータなど）の節約を行い、ネットワークの起動をスピードアップする機能です。これをDLSw+と組み合わせることによって、ネットワークの利用性とスケーラビリティは飛躍的に拡大されます。

[備考]

　なし。

4.5.4 アドバンスド・ピア・ツー・ピア・ネットワーキング（APPN）オーバーDLSw+

[概要]

　APPNオーバーDLSw+は、シスコのAdvanced Peer-to-Peer Networking機能をDLSw+が運用されているルータ上で共存できるようにします。

[特徴]

　この機能を利用することによってDLSw+はAPPNバックボーンやデータ・センターのAPPNをアクセスするローコストな方法として使用できます。さらにDLSw+をAPPNのトランスポートとして利用することもできます。こうすることによって、障害修復時に通信が途絶えない高速な迂回ルートを構築することができます。この場合、DLSw+ネットワークはAPPNのネットワーク・ノードにはコネクション・ネットワークに見えます。

[備考]

　なし。

4.5.5 ソース・ルート・ブリッジ（SRB）オーバーFDDI to DLSw+

[概要]

　この機能はソース・ルート・ブリッジされたFDDI LANから DLSw+をアクセス可能にします。これまではローカルDLCとしてサポートされていたのはトークンリング、イーサネット、またはSDLCだけでした。この新機能ではトークンリングに接続されたデバイスからSRBオーバーFDDIバックボーンを利用してDLSw+ルータをアクセスすることができます。リモートサイトではデバイスはトークンリング、イーサネット、SDLC、FDDIのいずれを利用してもかまいません。この機能はFDDIをバックボーンにしたキャンパスLAN環境でトークンリング・スイッチが必要な場合などや、Cisco 7000/7500シリーズでSRBオーバーFDDIバックボーンを提供している環境で便利です。

[特徴]

　SRBオーバーFDDIでキャンパス・リソース間で最高速のアクセスを可能にし、同時にDLSw+によってリモート・リソースのアクセスも可能にします。

[備考]

　現在SRBオーバーFDDIはCisco 7000/7500シリーズのルータでのみ提供されています。

4.6 レスポンス・タイム・レポーター

[概要]

　レスポンス・タイム・レポーター（RTR）は、レスポンスにかかる時間やサービスの利用性を確認することで、ネットワークのスループット性能やネットワーク・リソースやアプリケーションの性能を測定する機能です。RTR統計データは、トラブル解析や問題の発生通知、または問題発生の予防に利用できます。RTRはIBM製品のNetView Performance Monitorよりも高機能です。

Figure13. Response Time Reporter

[特徴]

　RTRには次の機能があります。

• デバイス間の遅延を測定することや（たとえばルータとMVSホストとの間など）、送信元デバイスから送信先デバイスまでの遅延時間をプロトコル単位で解析することで、トラブル箇所を特定できます。
• トラブルの発生時にSNMPトラップやSNA警告信号を送信することができます。

  たとえば、特定のパラメタがユーザ設定された閾値を超えた場合、コネクションが切断されて再接続が発生した場合、タイムアウトが発生した場合など。これらのパラメタはさらに詳細な情報収集をトリガすることもできます。

• 問題の発生を未然に防ぐためにRTRを自動スケジューリングしておき、収集された統計情報を、ネットワークの運用状態の履歴と関連付け、分析を行うこともできます。統計データは将来のネットワークトポロジの運用状態の推定モデルにも利用できます。

[備考]

　RTR機能は、現在Cisco IBM機能セットの一部としてのみ提供されています。この機能をサポートする管理ツールとしては、CiscoWorks Blueネットワーク管理アプリケーションが提供されます。CiscoWorks Blueネットワーク管理アプリケーションとルータはCisco Round Trip Time Monitor（RTTMON）MIBを利用します。このMIBはCisco IOSリリース11.2から提供されます。

5 セキュリティ機能

5.1 ルータ認証とネットワーク層暗号化

[概要]

　この機能はデータ転送のセキュリティを強化するための機能で、2つのコンポーネントから構成されます。

• ルータ認証

  暗号化されたトラフィックを送受信する前に、ルータ間で、互いにDSS（Digital Signature Standard）のパブリック・キーを交換することで、1度だけ双方向の認証を行います。ルータの認証はこれらのキーのハッシュ・シグネチャを比較して行われます。

• ネットワーク層での暗号化

  IPトラフィックの暗号化には、ルータ間でDiffie-Hellmanキー交換を行って、DES 40ビットまたは64ビットのセッション・キーを生成します。新しいセッション・キーの生成手順については設定可能です。暗号化のポリシーは「暗号化マップ」で設定でき、拡張IPアクセス・リストによってネットワーク、サブネット、ホスト、プロトコルに応じた暗号化を行うか否かを設定できます。

Figure14. Router Authentication and Network - Layer Encryption

[特徴]

　この機能によって、公衆IPネットワークや、信頼できない経路を経由するコネクションでも、機密情報を流通させることができます。また、この機能は暗号化されたGRE（Generic Routing Encapsulation）トンネルによってマルチプロトコルのVPN（Virtual Private Network）構築に使うこともできます。さらに、セキュリティの強い在宅勤務環境の構築、イントラネットでのプライバシー保護、メーリングリストやグループウェア環境の機密保持などが考えられます。

[備考]

　この機能を実現する暗号化コンポーネントは、すべて米国商務省による高度軍事技術の輸出規制の対象となります。現在の実装では、GREトンネル処理によるマルチプロトコル対応もサポートされていますが、暗号化が提供されるのはIPパケットのみです。この機能は比較的少ない台数のルータで、フラットな暗号ネットワークトポロジ、またはスター型のトポロジによる運用に適しています。

　暗号化/復号化では分散処理で負荷バランスをすることはできません。また、認証局つまりCertification Authority（CA）を設置しないと、ルータ認証のプロトコルのやりとりがルータを増やすたびに、等比級数的に増えてしまいます。ルータ認証では、ルータが生成したハッシュをネットワーク管理者が比較する必要があります。このバージョンでの暗号化はIPSEC標準には準拠していません。

5.2 TACACS+機能拡張

5.2.1 TACACS+シングル・コネクション

[概要]

　シングル・コネクションはネットワーク・アクセス・サーバ（NAS）の1秒あたりのトランザクション数を増加させる機能拡張です。この機能拡張が行われる以前の実装では、TACACS+のそれぞれのサービス（ユーザ認証、アクセス件管理、アカウント記録）ごとに独立したTCPコネクションが張られていました。これまでの実装では、このコネクションの多さが、大規模ネットワークにおける認証プロセスのスループット改善のボトルネックとなっていました。

[特徴]

　シングル・コネクションはNASが1つのTCPコネクションを通して複数のTACACS+サービス・デーモンをアクセスできるような機能の拡張です。また、いちど確立されたコネクションは、セッションのネゴシエーションが発生するたびにオープン/クローズされるのではなく、なるべくオープンな状態で維持されます。このシングル・コネクション型の実装は、適切な設計のデーモンではパフォーマンスの改善に結びつくと期待されます。

[備考]

　現在では、CiscoSecureデーモン v1.0.1のみがシングル・コネクションをサポートしています。シングル・コネクションを利用するためには、明示的にNASを設定しなければなりません。シングル・コネクションに対応していないデーモンをシングル・コネクションで運用するとTACACS+が利用されたときにエラーが発生する原因になります。

5.2.2 TACACS+ SENDAUTH機能

[概要]

　SENDAUTHはTACACS+でセキュリティを強化するために変更されたプロトコルです。従来のSENDPASSの上位プロトコルです。

[特徴]

　ネットワーク・アクセス・サーバ（NAS）は同時にSENDAUTHとSENDPASSをサポートすることができます。このとき、まず最初にデーモンがSENDAUTHをサポート可能か検知します。もし駄目な場合には代りにSENDPASSを発行します。ユーザにとっては認証プロセスは全く透過的です。唯一の違いはdown-revデーモンが最初のSENDAUTHを無効なパケットとして記録する可能性がある程度です。

[備考]

　SENDAUTHを利用するためにはNASだけでなく、デーモンによるSENDAUTHサポートも必要です。

5.3 Kerberos Vクライアントのサポート

[概要]

　この機能はcredential forwardingを含んだKerberos Vの認証機能を完全にサポートしています。

[特徴]

　Kerberos Vインフラストラクチャを利用した環境でKey Distribution Center（KDC）を、ネットワークへのアクセスやルータへのアクセスの認証機関として利用できます。

[備考]

　これは、あくまでもクライアントの実装であってKDCの実装ではありません。Kerberosはすでに旧世代のセキュリティ機構と考えられているので、従来からKerberosを利用しているネットワークに対するメリットと考えてください。

6 ネットワーク管理

6.1 HTTPサーバ

[概要]

　Cisco IOSソフトウェアではじめてのHTML管理ツールの登場です。このツールを利用すればルータのコマンド・インタフェースをWEBのようなホット・リンクとしてたどることができます。利用者はルータをCLIに対するHTMLインタフェースを通してモニタすることができます。もちろんWEBページの内容を更新したり、よく利用されるホットリンクを追加したり、会社のロゴマークをつけたりすることができます。

　Cisco 7200シリーズ・ルータに搭載されたHTTPサーバではハードウェア構成の論理ビューも見ることができます。ユーザはクリック1つでステータスの確認や設定の更新ができます。

6.2 クリック・スタート

[概要]

　クリック・スタートはシスコのルータのセットアップを短時間で実現するWEBベースのソフトウェアです。クリック・スタートを利用すればCisco 1000シリーズISDNアクセス・ルータをMS Windows, Windows 95, Windows NT, UNIX, MacOSから自在にアクセスできるようになります。簡単なWEBインタフェースがインストール手順を順番にガイドします。最初の初期セットアップ・フォームを完成するだけで、ユーザは簡単にルータを設定してISDNコネクションを設立することができます。ルータはリモートからもアクセス可能ですから、中央で管理者が細かいチューニングを遠隔設定することもできます。

　同様の機能は6.1で説明されたHTTPサーバ機能のアクセスにも利用されています。

6.3 サポートされるMIB一覧

6.3.1 APPN DLUR MIB

　詳細は4.1.2を参照してください。

6.3.2 AtoM MIBサポート

　詳細は3.3.6を参照してください。

6.3.3 RTTMONサポート

　詳細は4.5を参照してください。

6.3.4 Cisco IP暗号化MIB

6.3.5 Ciscoモデム管理MIB

6.3.6 Cisco SYSLOG MIB

6.3.7 Cisco TN3270サーバMIB

6.3.8 SNA NAU

6.3.9 Cisco メモリ・プール