Cisco Application eXtension Platform

Application eXtension Platform ネットワーキング アプリケーション ノート


注意:本製品は既に生産/販売を終了しております。

 

アプリケーションノート





Application eXtension Platform ネットワーキング アプリケーション ノート



イントロダクション

最も基本的なレベルにおいて、ネットワークは分散した環境でアプリケーション ノード間を接続するために不可欠です。データ パケットを送受信するには、ネットワーク内の各アプリケーション インスタンスがネットワーク インターフェイスにバインドされている必要があります。標準的なサーバ プラットフォームでは、これは非常に一般的なタスクであり、通常、アプリケーションのインストール時に透過的に行われます。Cisco® AXP(Application eXtension Platform)を導入すると、アプリケーションは、拡張ネットワーク モジュール(NME)または高度統合モジュール(AIM)の上位で動作するサービス統合型ルータ(ISR)内に常駐します。

また、AXP が提供する仮想化環境では、複数のアプリケーションをそれぞれの仮想コンテナ内で同時に稼働できます。したがって、各アプリケーションがそのネットワーク接続要求に応えるには、それぞれ固有のネットワーク バインディングが必要です。単一の AXP ブレードで動作する各アプリケーション インスタンスの要求に対応するには、ネットワーク管理者がこの接続を戦略的に管理していくことが必須となります。

さらに、AXP がネットワークとアプリケーションを結ぶ統合手段であることから、アベイラビリティの高いサービスの実現に対する責任を共有しているとも言えます。

対象読者

このドキュメントは、ネットワークの計画、設計、実装、運用を行うネットワーク デザイン アーキテクトおよびサポート エンジニアに向けたものです。AXP 製品の他、シスコのルーティング テクノロジーに関する知識があることを前提としています。

Cisco AXP:
http://www.cisco.com/jp/go/axp/

Cisco サービス統合型ルータ(ISR):
http://www.cisco.com/jp/go/isr/

ドキュメントの目的

このドキュメントはアプリケーション ノートです。ネットワークにおいて特定の機能目標を達成するため、推奨されるベスト プラクティスを示すことを主な目的としています。具体的には、一般的な使用例と展開シナリオ、およびそれらのシナリオを実現するために推奨される構成を説明します。

概要

AXP サービス モジュールを ISR にインストールすると、モジュール上で動作するアプリケーションにネットワーク接続を提供する場合に、いくつかの方法で構成することができます。この作業は、主に次の 3 つの手順で行います。

  1. 内部ギガビット イーサネット インターフェイスの ISR 側に IP アドレスを割り当てる。
  2. 内部ギガビット イーサネット インターフェイスの AXP 側に IP アドレスとデフォルト ゲートウェイを割り当てる。
  3. アプリケーション仮想サーバ インスタンスを個別のインターフェイス定義にバインドする。

図 1 に、AXP ネットワーク接続の概要を示します。最も簡単な構成では、まず内部ギガビット イーサネット接続の ISR 側に、あるサブネットの IP アドレスを割り当てます。次に、内部ギガビット イーサネット接続の AXP 側に IP アドレスとデフォルト ゲートウェイを割り当てます。最後に、1 つ以上のアプリケーションを接続の AXP 側にバインドします。

ただし、具体的な理由は省略しますが、インスタンスごとに複数の一意な IP アドレスを必要とするアプリケーションや、単一の AXP モジュール上で同時に動作する複数の仮想サーバ インスタンスについては、管理者はサブインターフェイスを作成して一意のアプリケーション インターフェイスにバインドすることも可能です。

さらに、これらのインターフェイスでの 802.1Q カプセル化によって VLAN トランキングを構成することもできます。

図 1 AXP ネットワーク接続の概要

図 1 AXP ネットワーク接続の概要

お客様からのご意見に基づいて、このドキュメントでは次の 4 つの展開シナリオを取り上げます。

  1. 1 つの IP アドレスと 1 つ以上のアプリケーション
  2. 複数の IP アドレスと 1 つ以上のアプリケーション
  3. 複数の IP サブネットと 1 つ以上のアプリケーション4. 外部ギガビット イーサネット インターフェイス

AXP 内部インターフェイスの基礎知識

ISR 内の各 AXP モジュールは、ISR と一意的な関係にあります。その関係において、ISR 側の内部ギガビット イーサネット インターフェイス(ISE1/0)と AXP 側の内部ギガビット イーサネット インターフェイス(eth0)が物理的に接続されています(図 2 を参照)。この接続は、AXP ブレードが ISR シャーシに挿入されるときに作成されます。したがって、この内部接続の ISR 側と AXP 側は別々に構成する必要があります。このドキュメントでは、この作業を行うための方法をいくつか示します。

AXP プラットフォームの拡張ネットワーク モジュール(NME)バージョンを使用する場合、外部ギガビット イーサネット インターフェイス(eth1)をアプリケーションに関連付けることもできます。

図 2 内部ギガビット イーサネット接続

図 2 内部ギガビット イーサネット接続


注:このドキュメントでは、AXP サービス モジュール上のサブインターフェイスの構成方法についても説明します。現在販売中の AIM ハードウェア バージョンは、サブインターフェイスの構成には対応していません。この構成については、AIM ハードウェアの今後のリリースで対応する予定です。

番号付き IP と番号なし IP

より詳細な説明に入る前に、AXP サービス モジュール上の eth0 インターフェイスを構成する基本オプションが 2 つあることを理解しておいてください。

このドキュメントでは、番号付き IP のシナリオを使用することを前提としており、使用例もこれに沿っています。ネットワーク管理者が、AXP サービス モジュールと ISR の間の内部ギガビット イーサネット接続に別個のサブネットを使用したくない場合は、番号なし IP 構成オプションを適用できます。

図 3 は、ネットワーク モジュールをサービス統合型ルータに接続する際の一般的なシナリオを示しています。図には以下のインターフェイスが示されています。

  1. 外部リンクとのルータ インターフェイス(ギガビット イーサネット 0/1)
  2. モジュールとのルータ インターフェイス(Integrated Service Engine 1/0)
  3. ルータとのモジュール インターフェイス(eth0)
  4. 外部リンクとのモジュール インターフェイス(eth1)

図 3 ISR / AXP インターフェイス

図 3 ISR / AXP インターフェイス


番号なし IP インターフェイスの構成

外部インターフェイスとのルータ インターフェイス(図 3 の 1)は、次のように IP アドレスを構成できます。

2800_w_AXP# show running-config <enter>
....
interface GigabitEthernet0/1
ip address 192.168.1.1 255.255.255.0
...

番号なし IP のシナリオでは、一意の IP アドレスを割り当てずに統合サービス エンジン 1/0 インターフェイス(図 3 の 2)上の IP を有効にして使用することができます。これは次のように行います。

2800_w_AXP# show running-config <enter>
....
!
interface Integrated-Service-Engine1/0
ip address unnumbered GigabitEthernet 0/1
service-module ip address 192.168.1.2 255.255.255.0
service-module ip default-gateway 192.168.1.1 (this is the IP address of GigabitEthernet 0/1)
no keepalive
no mop enabled
!
....

ip unnumbered コマンドを使用すると、2 つのインターフェイスで共有される IP アドレスを作成できます。したがって、この例では、GigabitEthernet 0/1 インターフェイス上に構成された IP アドレスが Integrated-Service-Engine 1/0 インターフェイスにも割り当てられ、両方のインターフェイスが正常に機能します。これを検証するには、次のように show ip interface brief コマンドの出力を使用します。

2800_w_AXP# show ip interface brief <enter>
Interface IP-Address OK? Method Status Protocol
Gigabit Ethernet0/1 192.168.1.1 YES NVRAM up up
In1/0 192.168.1.1 YES TFTP up up

このコマンドの出力からわかるように、統合サービス エンジンのインターフェイス(In1/0)の IP アドレスは、イーサネット インターフェイスの IP アドレスと同じで、両方のインターフェイスは完全に機能しています。ルータの他の機能のインターフェイスのアドレスを借用するインターフェイスを「番号なしインターフェイス」と呼びます。この例では、統合サービス エンジン 1/0 が番号なしインターフェイスです。

注:番号なしインターフェイスは、リモートのテストや管理には利用できません。また、番号なしインターフェイスが参照しているインターフェイスが機能していない場合(「Interface status UP」、「Protocol UP」と表示されない場合)、番号なしインターフェイスも利用できません。この問題を回避するには、番号なしインターフェイスがループバック インターフェイスを参照するように構成します。これは、ループバックは失敗しないからです。

1 つの IP アドレスと 1 つ以上のアプリケーション

このシナリオでは、アプリケーションが単一のインターフェイス(eth0)にバインドするように構成します。アプリケーションとの IP トラフィックにはすべて単一の IP アドレスを使用します。この場合、ポートベースのフローを管理するのは、アプリケーションです(これは、複数のアプリケーションが別々の仮想サーバ インスタンスにロードされ、同じ IP インターフェイスにバインドする場合は、問題になります)。複数のアプリケーションを単一の AXP モジュール上で動作させる場合は、少なくとも 2 つ以上のサブインターフェイスを構成することをお勧めします(「複数の IP アドレスと 1 つ以上のアプリケーション」を参照)。理想的には、複数のサブネットを構成することです(「複数の IP サブネットと 1 つ以上のアプリケーション」を参照)。図 4 に、この構成の例を示します。

図 4  1 つの IP アドレスと 1 つ以上のアプリケーションの構成例

図 4 1 つの IP アドレスと 1 つ以上のアプリケーションの構成例


統合サービス エンジン ISR 側

ISR は、実際には、前述の内部イーサネット インターフェイスを介して AXP ブレードに電力とパケット転送サービスを提供しています。ISR コマンド プロンプトから show running-config コマンドを実行すると、このインターフェイスの表示は次のようになります。

2800_w_AXP# show running-config <enter>
....
!
interface Integrated-Service-Engine1/0
ip address 192.168.2.1 255.255.255.0
service-module ip address 192.168.2.2 255.255.255.0
service-module ip default-gateway 192.168.2.1
no keepalive
no mop enabled
!
....

この例の IP アドレスと、図 4 のギガビット イーサネット インターフェイスの ISR 側と AXP 側の関係を比較してみます。AXP 側の構成ライン アイテムがどのようにサービス モジュールにつながるかに注目します。これは、AXP モジュールのセッションに入って running-config を見ることでわかります。

統合サービス エンジンの AXP 側

ここでは、ISR から AXP モジュールのセッションに入っていることを前提としています。以下に示すように、AXP で show running-config コマンドを実行すると、ISR の show running-config コマンドでの service-module ip address 192.168.2.2 255.255.255.0 構成ライン アイテムに加えて、AXP モジュールのインターフェイス(eth0)が表示されます。

AXP-2800# show running-config <enter>
....
interface eth0
ip address 192.168.2.2 255.255.255.0
exit
....

アプリケーションと IP インターフェイスのバインド

AXP モジュールのセッションに入ると、アプリケーションは特定のインターフェイスにバインドされます。管理者は、show running-config コマンド(AXP のコンテキストで実行)で表示される任意のイーサネット インターフェイスにアプリケーションをバインドできます。これは標準インターフェイスだけでなくサブインターフェイスでも可能です。以下に示すように、ここでは利用可能な単一のインターフェイス(eth0)へのバインドについて説明します。

....
app-service my-application
bind interface eth0
hostname AXP-2800
exit
....

複数の IP アドレスと 1 つ以上のアプリケーション

ここでは、AXP モジュール上の 1 つ以上のアプリケーションが、複数の IP アドレスを必要とする場合のシナリオについて説明します。AXP モジュール上では、管理者はサブインターフェイスを構成し、それぞれに一意な IP アドレスを割り当てる必要があります。次に、各インターフェイスを、そのインターフェイスに割り当てられた IP アドレスに対応するアプリケーションにバインドします。これによって、レイヤ 4 ポートのアプリケーション間のオーバーラップを気にせずに、複数のアプリケーションによるデータ パケットの送受信や一意なソケットの作成が可能になります。図 5 に、この構成の例を示します。

ここでは、アプリケーションがすべて同じサブネット上に常駐していることを前提としています。アプリケーションをサポートするために複数のサブネットが必要な場合は、次の「複数の IP サブネットと 1 つ以上のアプリケーション」を参照してください。

図 5  複数の IP アドレスと 1 つ以上のアプリケーションの構成例

図 5 複数の IP アドレスと 1 つ以上のアプリケーションの構成例


統合サービス エンジンの ISR 側

ISR は、実際には、前述の内部イーサネット インターフェイスを介して AXP ブレードに電力とパケット転送サービスを提供しています。ISR コマンド プロンプトから show running-config コマンドを実行すると、このインターフェイスの表示は次のようになります。

2800_w_AXP# show running-config <enter>
....
!
interface Integrated-Service-Engine1/0
ip address 192.168.2.1 255.255.255.0
service-module ip address 192.168.2.2 255.255.255.0
service-module ip default-gateway 192.168.2.1
no keepalive
no mop enabled
!
....

注:これは、前の例で示した ISR 構成と同じです。

この例の IP アドレスと、図 5 のギガビット イーサネット インターフェイスの ISR 側と AXP 側の関係を比較してみます。AXP 側の構成ライン アイテムがどのようにサービス モジュールにつながるかに注目します。これは、AXP モジュールのセッションに入って running-config を見ることでわかります。

統合サービス エンジンの AXP 側

ここでは、ISR から AXP モジュールのセッションに入っていることを前提としています。以下に示すように、AXP で show running-config コマンドを実行すると、ISR の show running-config コマンドでの service-module ip address 192.168.2.2 255.255.255.0 構成ライン アイテムに加えて、AXP モジュールのインターフェイス(eth0)が表示されます。

AXP-2800# show running-config <enter>
....
interface eth0
ip address 192.168.2.2 255.255.255.0
exit
interface eth0:1
ip address 192.168.2.3 255.255.255.0
exit
interface eth0:2
ip address 192.168.2.4 255.255.255.0
exit
....

アプリケーションと IP インターフェイスのバインド

AXP モジュールのセッションに入ると、アプリケーションは特定のインターフェイスにバインドされます。管理者は、show running-config コマンド(AXP のコンテキストで実行)で表示される任意のイーサネット インターフェイスにアプリケーションをバインドできます。これは標準インターフェイスだけでなくサブインターフェイスでも可能です。以下に示すように、ここでは各アプリケーション仮想サーバ インスタンスとそれぞれ固有のサブインターフェイスのバインド(my-application --> eth0:1、my_other_application --> eth0:2)について説明します。

....
app-service my_application
bind interface eth0:1
hostname AXP-2800
exit
app-service my_other_application
bind interface eth0:2
hostname AXP-2800
exit
....

複数の IP サブネットと 1 つ以上のアプリケーション

ここでは、AXP モジュール上の 1 つ以上のアプリケーションを分離するために、複数の IP サブネットを必要とする場合のシナリオについて説明します。ISR(Cisco IOS® Software)上、AXP モジュール上の両方で、ギガビット イーサネット接続全体における 1 対 1 の関係を作成するには、管理者がそれぞれに対応する方法でサブインターフェイスを構成する必要があります。管理者は、異なるサブネットのそれぞれのインターフェイスに一意な IP アドレスを割り当て、リンク全体で 802.1Q VLAN トランキングを有効にします。次に、各インターフェイスを、そのインターフェイスに割り当てられた IP アドレスに対応するアプリケーションにバインドします。これで、複数のアプリケーションによる固有のサブネット上でのデータ パケットの送受信が可能となり、レイヤ 3 分離が行われます。図 6 に、この構成の例を示します。

ここでは、アプリケーションがすべて異なるサブネット上に常駐していることを前提としています。単一のサブネットのみを想定している場合は、前の「複数の IP アドレスと 1 つ以上のアプリケーション」を参照してください。

図 6  複数の IP サブネットと 1 つ以上のアプリケーションの構成例

図 6 複数の IP サブネットと 1 つ以上のアプリケーションの構成例


注:このシナリオでは、アプリケーション開発者は、ネットワーク上のパケットに、アプリケーション仮想サーバがバインドされているインターフェイスのソース IP アドレスが確実に含まれるようにする必要があります。これは、明示的に指定する必要があり、一般的にはソース IP アドレスを socket_open メソッドに渡すことによって行われます。たとえば、ping ユーティリティでは、ping -I 192.168.100.2 192.168.1.1 のように、-I スイッチを指定して強制的に ping パケットのパケット ヘッダーにインターフェイス IP アドレスを指定します。

統合サービス エンジンの ISR 側

ISR は、実際には、前述の内部ギガビット イーサネット インターフェイスを介して AXP ブレードに電力とパケット転送サービスを提供しています。ISR コマンド プロンプトから show running-config コマンドを実行すると、サブインターフェイス(ISE1/0.1 および ISE1/0.2)の表示は次のようになります。

2800_w_AXP# show running-config <enter>
....
!
interface Integrated-Service-Engine1/0
ip address 192.168.2.1 255.255.255.0
service-module ip address 192.168.2.2 255.255.255.0
service-module ip default-gateway 192.168.2.1
no keepalive
!
interface Integrated-Service-Engine1/0.1
encapsulation dot1Q 100
ip address 192.168.100.1 255.255.255.0
!
interface Integrated-Service-Engine1/0.2
encapsulation dot1Q 200
ip address 192.168.200.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
....

この例の IP アドレスおよび802.1Q VLAN 設定と、図 6 のギガビット イーサネット インターフェイスの ISR 側と AXP 側の関係を比較してみます。VLAN トランクでの関係は、AXP モジュールのセッションに入って running-config を見ることでわかります。

統合サービス エンジンの AXP 側

ここでは、ISR から AXP モジュールのセッションに入っていることを前提としています。AXP で show running-config コマンドを実行すると、ISR の show running-config コマンドでの service-module ip address 192.168.2.2 255.255.255.0 構成ライン アイテムに加えて、AXP モジュールのインターフェイス(eth0)が表示されます。管理者は、VLAN トランク インターフェイスとして eth0.100 および eth0.200 を作成し、ギガビット イーサネット接続の ISR 側に割り当てられたアドレスに対応する有効な IP アドレスを指定する必要があります。

さらに、特定の仮想サーバ インスタンスから送信されるトラフィックが適切な ISR 側のインターフェイスに転送されるように、ソースベースのルーティングを構成する必要があります。関連する running-config ライン アイテムのみを次に示します。

AXP-2800# show running-config <enter>
....
ip access-list standard 10
permit 192.168.100.2
exit
ip access-list standard 20
permit 192.168.200.2
exit
....
interface eth0
ip address 192.168.2.2 255.255.255.0
exit
interface eth0.100
ip address 192.168.100.2 255.255.255.0
ip route table 10
exit
interface eth0.200
ip address 192.168.200.2 255.255.255.0
ip route table 20
exit
interface eth1
exit
no ip ssh server
ip route table 10 0.0.0.0 0.0.0.0 192.168.100.1
ip route table 20 0.0.0.0 0.0.0.0 192.168.200.1
route-map CLASSIFY 10
match ip address 10
set route table 10
exit
route-map CLASSIFY 20
match ip address 20
set route table 20
exit
ip local policy route-map CLASSIFY
app-service my_application
bind interface eth0.100
hostname AXP-3800
exit
app-service my_other_application
bind interface eth0.200
hostname AXP-3800
ip ssh server
exit
....

アプリケーションと IP インターフェイスのバインド

AXP モジュールのセッションに入ると、アプリケーションは特定のインターフェイスにバインドされます。管理者は、show running-config コマンド(AXP のコンテキストで実行)で表示される任意のイーサネット インターフェイスにアプリケーションをバインドできます。これは標準インターフェイスだけでなくサブインターフェイスでも可能です。以下に示すように、ここでは各アプリケーション仮想サーバ インスタンスと固有のサブインターフェイスのバインド(my-application --> eth0.100、my_other_application --> eth0.200)について説明します。

AXP-2800# show running-config <enter>
....
app-service my_application
bind interface eth0.100
hostname AXP-2800
exit
app-service my_other_application
bind interface eth0.200
hostname AXP-2800
exit
....

外部ギガビット イーサネット インターフェイス

AXP モジュールの NME バージョンにある外部ギガビット イーサネット ポートを使用すると、別のネットワーク セグメントにアクセスできます。図 7 に、この構成の例を示します。アプリケーションのなかには、このインターフェイスを排他的に使用できるものもあります。また、前に詳しく説明したように内部ギガビット イーサネット インターフェイスと併用できるアプリケーションもあります。いずれの場合でも、この外部ギガビット イーサネット インターフェイスは、構成された時点で、仮想サーバ インスタンスをバインドできるもう一つのインターフェイスになります。

図 7 外部ギガビット イーサネット接続

図 7 外部ギガビット イーサネット接続


統合サービス エンジンの ISR 側

ISR は、実際には、前述の内部ギガビット イーサネット インターフェイスを介して AXP ブレードに電力とパケット転送サービスを提供しています。外部ギガビット イーサネット インターフェイスは AXP のコンテキストから単独で構成されるので、対応する ISR Cisco IOS ソフトウェア構成は不要です。以下に示すように、初期設定および ISR からブレードのセッションに入る場合、ISE1/0 に対して最小限の Cisco IOS 構成が必要です。

2800_w_AXP# show running-config <enter>
....
!
interface Integrated-Service-Engine1/0
ip address 192.168.2.1 255.255.255.0
service-module ip address 192.168.2.2 255.255.255.0
service-module ip default-gateway 192.168.2.1
no keepalive
no mop enabled
!
....

統合サービス エンジンの AXP 側

ここでは、ISR から AXP モジュールのセッションに入っていることを前提としています。AXP で show running-config コマンドを実行すると、ISR の show running-config コマンドでの service-module ip address 192.168.2.2 255.255.255.0 構成ライン アイテムに加えて、AXP モジュールのインターフェイス(eth0)が表示されます。以下に示すように、管理者は、AXP コマンドライン インターフェイス(CLI)から外部ギガビット イーサネット インターフェイスを構成する必要があります。

AXP-2800# show running-config <enter>
....
interface eth1
ip address 192.168.25.1 255.255.255.0
exit
....

アプリケーションと IP インターフェイスのバインド

AXP モジュールのセッションに入ると、アプリケーションは特定のインターフェイスにバインドされます。管理者は、show running-config コマンド(AXP のコンテキストで実行)で表示される任意のイーサネット インターフェイスにアプリケーションをバインドできます。これは標準インターフェイスだけでなくサブインターフェイスでも可能です。以下に示すように、ここでは各アプリケーション仮想サーバ インスタンスの外部ギガビット イーサネット インターフェイス(eth1)へのバインドについて説明します。

AXP-2800# show running-config <enter>
....
app-service my_application
bind interface eth1
hostname AXP-2800
exit
....

パケット サービス

パケットを AXP サービス モジュールに転送する方法は、従来の IP ルーティングの他にもあります。従来の IP ルーティングの場合、ISR に入るパケットを AXP IP インターフェイスに転送するには、Forwarding Information Base(FIB; 転送情報ベース)とルーティング エンジンを使用します。この方法は直接モードと呼ばれ、クライアント/サーバ型の相互作用が必要なアプリケーション(AXP 上の Web サーバなど)に適しています。

ただし、アプリケーションが必要とするメソッドはさまざまであり、その場合はまず特定の IP パケットが Cisco IOS ソフトウェアで複製され、コピーのみが AXP サービス モジュールに転送されます。元のパケットは従来の IP ルーティングに従い、未加工のパケットとして転送されます。この手法は混合モードと呼ばれ、実行には、シスコ ネットワーク解析モジュール(NAM)パケット キャプチャまたは RITE(Router IP Traffic Export)のいずれかを使用します。一般に、パッシブ タイプのアプリケーション(AXP 上のスニッファなど)で使用されます。

ここでは、2 つの混合モード テクノロジーについて、その利点と制限事項および構成例を含めて説明します。また、より複雑にはなりますが、AXP のハイアベイラビリティ アーキテクチャに対応した、他の転送手法を構成することもできます。詳細については、AXP ハイアベイラビリティ アプリケーション ノートを参照してください。

NAM パケット キャプチャ

注:現在販売中の AIM ハードウェア バージョンは、NAM パケット キャプチャ機能に対応していないため、下記の方法で構成することはできません。NME ハードウェア バージョンはこの機能に対応しています。

Cisco IOS ソフトウェアによって ISR に物理的に装着されたネットワーク解析モジュール(NAM)の存在が検出されると、ネットワーク解析用のパケットを複製する構成が有効になります。

利点

  • 簡単な構成作業
  • 構成されたインターフェイスで着信トラフィック、発信トラフィックの両方をエクスポートできる
  • ローカルに生成されたパケット(ルータ生成)をエクスポートできる

制限事項

  • オール オア ナッシングのトラフィック エクスポート:アクセス コントロール リスト(ACL)またはサンプリングには対応していません。
  • エクスポート先が、装着された AXP(または NAM、IDS)モジュールだけに限定される
  • 複数の選択肢(AXP が複数の VLAN をサポートしている場合など)があるとエクスポート先のインターフェイスを指定できない
  • 複数の AXP が存在する場合の動作が不明

構成例

監視対象インターフェイスで analysis-module monitoring を構成します。トラフィックは複製されて AXP にエクスポートされます。

AXP-2800# show running-config <enter>
....
interface GigabitEthernet0/0 (this is the ISR interface where packets of interest enter the router)
ip address 1.100.50.221 255.255.255.0
duplex auto
speed auto
analysis-module monitoring (this is the primary CLI command configured in Cisco IOS Software)
no keepalive
end
....

RITE(Router IP Traffic Export)

RITE は、インターフェイス上の監視対象トラフィックを複製し、解析モジュール(ここでは AXP)にエクスポートするための、lightweight メカニズムです。AXP インターフェイス(Integrated-Service-Engine x/y)は、イーサネット インターフェイスのように動作するので、RITE に対応したエクスポート インターフェイスと見なされます。

RITE は NAM と比較して、より緻密なトラフィック キャプチャが可能です。ACL、サンプリング レート、キャプチャの方向も指定できるので、インターフェイス上のトラフィックをさらに絞り込んでエクスポートすることができます。ただし、RITE には 1 つ気をつけなければならい制限があります。ルータ生成トラフィックはキャプチャされません。これは、ルータ生成パケットがプロセス スイッチングによるもので、Cisco Express Forwarding スイッチングによるものではないため、RITE のキャプチャ パスに従っていないことが原因です。

利点

  • 着信トラフィックや双方向トラフィックをキャプチャできる
  • ユーザがエクスポート インターフェイスを指定できる
  • トラフィックの ACL フィルタリングとサンプリングがサポートされている
  • 2 つの監視対象インターフェイスがそれぞれ異なるエクスポート インターフェイスを持つことができる
  • エクスポート インターフェイスを VLAN にすることができる

制限事項

  • ルータ生成パケットをエクスポートできない
  • プロファイルごとに 1 つのエクスポート インターフェイス
  • 監視対象インターフェイスごとに 1 つのプロファイル

構成例

RITE を構成するためのハイレベルでのステップは次のとおりです。

  1. RITE キャプチャ プロファイルを作成する
  2. プロファイルのパラメータを構成する
  3. 監視したいインターフェイスにプロファイルを適用する

RITE キャプチャ プロファイルの作成

  • ip traffic-export profile [任意の名前] のコマンドでプロファイルを作成します。
  • エクスポート先となるインターフェイスを構成します。これが、インターフェイス Integrated-Service-Engine 1/0 になります。
  • mac-address [アドレス] のコマンドで Integrated-Service-Engine1/0 インターフェイスの MAC アドレスを構成します。
  • 着信と発信両方のトラフィックをキャプチャしたい場合は、オプションで双方向の指定ができます。デフォルトでは着信のみとなっています。

注:デフォルトでは、サービス モジュールはパケットをルーティングするように設定されています。有効な MAC アドレスを構成すると、トラフィックをルーティングするサービス モジュールにルーティング スタックが発生しますが、これは、混合モードでは好ましくない動作です(パケットが複製されてルーティングされてしまいます)。この問題を回避するために、無効な MAC アドレスを構成することをお勧めします(サービス モジュールの MAC アドレスではない、たとえば a.a.a など)。こうすることで、トラフィックはサービス モジュールに到達しますがルーティングは行われません。

構成例

2800_w_AXP(config)# ip traffic-export profile rite-bi <enter>
2800_w_AXP (conf-rite)# ? <enter> (IP traffic export profile configuration commands)
bidirectional Enable bidirectional traffic export
exit Exit from IP traffic export profile sub mode
incoming Configure incoming IP traffic export
interface Specify outgoing interface for exporting traffic
mac-address Specify Ethernet address of destination host
no Negate or set default values of a command
outgoing Configure outgoing IP traffic export
AXP-2800# show running-config <enter>
....
ip traffic-export profile rite-bi
interface Integrated-Service-Engine1/0
bidirectional
mac-address a.a.a
....

RITE エクスポート プロファイルのパラメータの構成

着信または発信のパラメータを構成するには、それぞれのメニューを入力します。通常のアクセス リストを適用したり、エクスポート トラフィックのサンプリング レートを構成したりすることができます。

例:

2800_w_AXP (config)# ip traffic-export profile rite-bi <enter>
2800_w_AXP (conf-rite)# incoming ? <enter> (commands for configuring incoming filter)
access-list Apply standard or extended access lists to exported traffic
sample Enable sampling of exported traffic
AXP-2800# show running-config <enter>
....
ip traffic-export profile rite-bi
interface Integrated-Service-Engine1/0
bidirectional
incoming access-list 4
outgoing access-list 4
mac-address a.a.a
incoming sample one-in-every 2
outgoing sample one-in-every 2
....

インターフェイスへのプロファイルの適用

監視対象のインターフェイスに対して ip traffic-export apply [プロファイル名] のコマンドを構成します。

例:

AXP-2800# show running-config <enter>
....
interface GigabitEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
ip address 1.100.50.221 255.255.255.0
ip traffic-export apply rite-bi
duplex auto
speed auto
no keepalive
end
....

NAM パケット キャプチャと RITE の機能比較

表 1 に、NAM パケット キャプチャと RITE の機能比較を示します。

表 1 NAM パケット キャプチャと RITE の比較

  NAM パケット キャプチャ RITE
監視対象トラフィック 着信/発信 + ルータ 着信/発信
トラフィック フィルタ オール オア ナッシング アクセス コントロール リスト
トラフィック サンプリング なし N パケットごとに 1 パケットのサンプリングが可能
使いやすさ 簡単な構成作業 キャプチャ プロファイルを作成してからインターフェイスに適用する
エクスポート インターフェイスの定義 不可

まとめ

シスコは、ISR 内部に常駐するアプリケーションに柔軟性の高い環境を提供してきました。展開シナリオは、とてもシンプルなもの(一般的な内部ギガビット イーサネット インターフェイスが 1 つ)から非常に複雑なもの(複数のサブインターフェイス、複数の IP サブネット、複数の仮想サーバ インスタンス)までさまざまです。必要とされる構成の多くは、標準の Cisco IOS ソフトウェアの CLI 機能を利用できるので、構成を行うのは比較的容易です。

AXP サービス モジュール上でアプリケーションを構成する際に重要となるもう一つの要素は、パケット転送です。アプリケーション動作のタイプに応じて、異なるパケット サービスを構成することもできます(直接モードと混合モードなど)。

お問い合わせ