Cisco 3800 シリーズ サービス統合型ルータ

付加価値統合サービスおよびソリューションによるブランチ ネットワークの強化

ホワイト ペーパー





付加価値統合サービスおよびソリューションによるブランチ ネットワークの強化


Cisco サービス統合型ルータ テクノロジー概要

Cisco サービス統合型ルータ テクノロジー概要

1.概要

今日のビジネスの実状により、コミュニケーション環境は変化し、コンバージェンスと統合化が進んでいます。たとえば、ユビキタス携帯電話はもはや単なる電話ではありません。この種の携帯電話は、今や MP3 プレーヤー、カメラ、ビデオカメラ、Web ブラウザ、テキスト メッセージング、電子メール、無線機、ストレージ メディア、認証デバイスなど、数えきれない機能を統合したものに変化しています。同様に、コンピュータももはや単なる高速のコンピューティング マシンではなく、ワーク システム以外にも、DVD プレーヤー/レコーダー、VoIP 電話、オーディオ プレーヤー、ゲーム機、さらにはテレビとしても機能する、真のマルチメディア エンドポイントになっています。こうした状況を見れば、トレンドは明らかです。つまり、ますます小さなフォーム ファクタで統合型のサービスおよびアプリケーションが提供されるようになっており、それによってエンド ユーザの生産性と効率が向上しているのです。

ここ数年にわたり、シスコはこの革新的な概念をミッションクリティカルな領域、つまりブランチ ルータに適用する上で、業界の主導的役割を果たしてきました。結果として、Cisco ISR(Integrated Services Router; サービス統合型ルータ)は大きな成功を収め、約 2 年で 200 万台以上が販売されました。このホワイト ペーパーでは、ブランチ ルータに適用される統合サービスの概念と、これらのサービスが中堅・中小企業、大企業、およびマネージド サービスを提供するサービス プロバイダーの Empowered Branch を作成するうえでどのように役立つのかを説明します。

2.Empowered Branch

昨日までの流行語が今日のビジネスの実状と化し、ネットワークの設計方法と実行方法が変わってきています。IP コンバージェンスが確固たるものとなり、統合アプリケーションの使用を促進するにつれ、コミュニケーション環境は急速に進化しています。エンタープライズ、SMB(Small and Midium-sized Businesses)、およびサービス プロバイダーは、こうしたトレンドを認識し、QoE(Quality of Experience)が最重視される傾向に対応しています。

図 1 ブランチ インフラストラクチャのアップグレードを促す、ビジネス上の必要事項とネットワークの実状

図 1 ブランチ インフラストラクチャのアップグレードを促す、ビジネス上の必要事項とネットワークの実状

企業のブランチがビジネス活動の中心として台頭したことにより、課題と機会の両方が IT 企業にもたらされました。今日、企業のリソースの 70% 以上はブランチ オフィスに存在し1、全従業員の 1/3 以上がリモート サイトで働いています2。ブランチが「ミニ本社」に進化するにつれ、意思決定の局地化が進んでいます。このような状況で生産性を高めるために、ブランチの従業員は、地理的環境や組織のサイズにとらわれない、一貫したアプリケーションおよびエンドユーザ エクスペリエンスを求めています。またブランチの従業員は、本社に匹敵するサービスの統一性および一貫性も求めています。これらの目的を果たすには、信頼性の高いネットワーク インフラストラクチャが必須です。

結果として、今日のブランチは 2 つの課題に直面しています。1 つは、テクノロジーを導入してコラボレーティブなアプリケーションを提供することです。もう 1 つは、第 1 の課題を克服しつつ、コスト要因、すなわち ROI(Return on Investment; 投資回収率)と TCO(Total Costs of Ownership; 総所有コスト)を重視することです。「エンパワード ブランチ」という概念は、企業がネットワークに統合サービスを適用することによってこれら 2 つの課題を克服する方法を表す、シスコのイニシアティブです。この方法を実践することにより、シスコのお客様は、自社のビジネス潜在能力を増幅し、「クワッド プレイ」(統合された音声、ビデオ、データ、およびモビリティ アプリケーション)用に最適化された安全なコラボレーティブ アプリケーションを促進することができます。

3.ブランチ ルータにおける統合サービスの概念

典型的なブランチの要件を考えてみます。一般に、CPE インフラストラクチャ(特に CPE ルータ)は、この変更を実現し、ブランチの生産性とビジネス効率を真の意味で強化するうえで、重要な役割を果たします。最近の Yankee Group によるブランチ調査によると、回答者の 60% 以上がルータに統合されたサービスを望んでいます。この調査では、次の図に示すように、回答者がルーティング プラットフォームへの統合を最も望んでいる機能も挙げられています。

図 2 要望が多いルータ統合サービスとその主な利点

図 2 要望が多いルータ統合サービスとその主な利点


こうした要望の理由は明らかです。サービス コンバージェンスは、企業がビジネスを保護、最適化、および成長させるのに役立ちます。実際、調査の回答者は、サポート性、優れたパフォーマンス、運用コストの軽減、および図 2 に示されているその他の要因と共に、管理性を最大の動機に挙げています。

この結果は、シスコがお客様から受け取り、製品の設計に組み込んだフィードバックと一致しています。前述した事項と、シスコ独自の経験に基づき、統合サービスとして提供されるか、独立した機能として提供されるかに関係なく、少なくとも以下の顧客機能に対する要望があると推測することができます。

  • ルーティング
  • スイッチング
  • セキュア コネクティビティ:柔軟な VPN
  • ハイタッチ セキュリティ サービス:ステートフル ファイアウォール、IDS/IPS(Intrusion Detection Service/Intrusion Prevention Service)、アンチ スプーフィング、DDoS(Distributed Denial of Service)攻撃の緩和、ウイルス保護、NAT(Network Address Translation)、NAC(Network Admission Control)、URL フィルタリングなど
  • コラボレーティブ アプリケーション:IP テレフォニー、音声とビデオの統合、ビデオ会議
  • 帯域幅およびアプリケーションの最適化:QoS(Quality of Service)、帯域幅、および WAN の最適化
  • モビリティ:ワイヤレス アプリケーション

3.1 顧客宅内で統合サービスを提供するためのアプローチ

次に、これらのサービスをお客様に提供するために使用できる、さまざまなオプションについて見ていくことにします。その過程で、これらのオプションの進化をたどると共に、今日のネットワーク要件との関連についても考えます。

ごく簡単なシナリオとして、「WAN クラウド」を通じて本社に接続された典型的なブランチ オフィスを考えてみます。話を簡単にするために、WAN プロトコルや接続の手段については考えません。また、VPN(Virtual Private Network)の要件を、一般的な「セキュリティ サービス」のカテゴリに分類されるハイタッチ セキュリティ サービスの要件と考えます。この方法を使用し、さまざまなアプローチを 3 つの異なる領域に分類することができます。

図 3 CPE でのさまざまな統合サービス アプローチ

図 3 CPE でのさまざまな統合サービス アプローチ


3.1.1 オーバーレイ モデル

典型的な「オーバーレイ」ネットワーク アーキテクチャでは、ファイアウォール、侵入検知および防御、仮想プライベート ネットワーク、音声機能、ネットワーク監視などのサービスは、独立したアプライアンスによって提供されます。したがって単一のエンタープライズ ブランチ ネットワークで、ルーティング、スイッチング、セキュリティ確保などの機能を実現するために、6 〜 7 個の個別のデバイスを使用する場合があります。これは、予算が制限されているエンタープライズ IT 組織の大部分は、これまで受身の姿勢で稼働し、ブランチやリモート サイトが追加されるたびに、基本的な接続を確保することに専念してきたからです。今日存在するレガシー ネットワークの多くは、オーバーレイの「ストリング モデル」でまとめて構築されています。このモデルでは、デバイスは段階的な予算の割り当てに基づいて、または特定の「インシデント」に対応して、CPE インフラストラクチャに追加されます。たとえば、DDoS 攻撃が発生するとステートフル ファイアウォールや侵入検知/防御アプライアンスが追加され、ウイルス感染が見つかるとアンチウイルス アプリケーションが追加されるといった具合です。同様に、規制上の要件によって暗号化が導入されることもあります。その結果、統合性が劣る個々のオーバーレイ製品の異種混合マルチベンダー チェーンができあがります。

このモデルは、最初の資本コストが低いという利点がありますが、ネットワークが進化するにつれ、スケーラビリティと統合の問題が深刻化します。トレーニング、保証、ソフトウェア ロード、管理、およびサポート ニーズがマルチベンダー製品ごとに異なるため、オーバーレイ モデルをネットワークの成長に合わせて拡大することはできません。

3.1.2 疎結合統合モデル

このモデルは、「中間的」アプローチを提唱するものであり、通常は第 1 世代製品を提供している機器ベンダーや、基本機能に追加サービスを後付けしようとしている機器ベンダーによって推進されます。セキュリティ サービスの提供に最適化されたアーキテクチャを改良してルーティング サービスを追加したり、コラボレーティブ アプリケーションを追加したりすることは可能ですが、そうした統合では、非コア機能のパフォーマンスが標準以下になりがちです。

通常、このモデルは、1 つまたは 2 つのコア領域には長けているものの、幅広い領域には長けていない個々の製品ベンダーによって提供されます。顧客ニーズの増大に伴い、IP テレフォニーや高度なルーティングなどの追加の複雑な機能と、アプリケーション最適化機能は、疎結合のサードパーティ統合を通じて追加されます。このモデルは、ある程度の技術的な奥行きと広がりに対応しようと試みますが、マルチベンダーの相互運用性の問題とマルチボックスの管理性の問題により、ネットワークが拡大するにつれて必要以上に複雑になります。また、パフォーマンスも問題になります。

3.1.3 インテリジェントな結合モデル

このモデルは、柔軟なサービス統合を実現し、新しいサービスやアプリケーションの登場と共に進化する機能を備えた特定用途向けプラットフォームを提唱します。最大の違いは、アーキテクチャにあります。このモデルのアーキテクチャは、単一システム上の動的な仮想サービス コンテキストを通じて、密結合サービスをワイヤスピードで同時に提供するために最適化されています。これらの仮想サービス コンテキストは、アーキテクチャの最も基本的な形態において、同じオペレーティング システム、メモリ、およびプロセッサを利用します。これらの仮想サービス コンテキストは、サービス チェーン コンストラクトを利用し、安全なコラボレーティブ アプリケーションをインテリジェントに実現するように微調整されています。

パフォーマンスや、場合によっては機能性のわずかな低下は、スダンドアロンの「最善の」デバイスに比べれば許容範囲です。これは、潜在的な短所を長所が大幅に上回るからです。また、現世代の統合サービス デバイスはアプリケーションのパフォーマンスとスケーラビリティを高めるために組み込みのプロセッサとハード ドライブを利用しているため、前述のような短所は打ち消されます。さらに、さまざまなサービスが 1 つのデバイスに含まれるため、管理性、トレーニング、サポート、およびソフトウェア ロードが大幅に簡素化されます。

図 4 に、前述の 3 つのモデルの典型的動作の概念的な比較を示します。

図 4 サービス提供モデルの概念的な比較

図 4 サービス提供モデルの概念的な比較


インテリジェントに結合されたシステムは、オーバーレイ システムや疎結合システムに比べて、同時サービスで高いスケーラビリティ(およびパフォーマンス)を提供することができます。長期的に見ると、投資回収率はインテリジェントな結合システムが他のシステムよりもはるかに高くなります。これは運用コストが低く、TCO がきわめて低いからです。サービス統合型ルータの最優先事項として挙げられている管理性も、単一システムの方がはるかに勝ります。オーバーレイ モデルでは、構成、プロビジョニング、およびトラブルシューティングの要件が複数存在するため、リソースに大きな負担が強いられます。一方、疎結合システムでも、サードパーティのアドオンを使用してコア サービスに欠けている機能を補い始めると、同じ問題が発生します。点 C は、疎結合システムにおいて、ベース プラットフォームの機能を補うためにサードパーティの機能を統合したことを主な理由として、管理がマルチボックス ソリューションと化す変曲点を表します。

シスコでは、サービス統合型ルータのポートフォリオを通じた高度なアーキテクチャにより、インテリジェントな結合モデルを推奨および実現します。Cisco IOS® ソフトウェアが第 3 世代を迎え、20 年以上の経験を積み重ねた今、この方法はお客様に最大の価値を提供する成熟したアプローチです。

4. Cisco サービス統合型ルータについて

Cisco サービス統合型ルータ ポートフォリオは、シスコのお客様が特定の導入においてネットワークを「適正サイズ化」することを可能にしつつ、高度なサービス、プラットフォーム密度、ロードマップ、コスト、およびパフォーマンスに基づいてネットワーク進化の将来性の保証とスケーリングを行うことを可能にする、製品ファミリです。

さまざまな成長要件を満たす複数の製品が用意された Cisco サービス統合型ルータは、個別のネットワーク導入を支援する選択肢、柔軟性、および機能を提供します。Cisco IOS ソフトウェアは、プラットフォームの違いを超越する「接着剤」であり、一貫したユーザ エクスペリエンスを提供します。この固定スロットおよびモジュラ構成で利用できるハイパフォーマンス アーキテクチャは、過度の劣化を伴わずに同時サービスを展開できるように設計および最適化されており、将来の成長に対応するために拡張されたデフォルト メモリ構成と最大メモリ構成を提供します(図 5)。

図 5 Cisco サービス統合型ルータ ポートフォリオ

図 5 Cisco サービス統合型ルータ ポートフォリオ


Cisco 800 および Cisco ISR 1800 シリーズ ルータは主に SMB および在宅勤務者用ですが、モジュラ型の Cisco ISR 1841、2800、および 3800 シリーズ ルータは、さまざまなメディア タイプおよびアクセス プロトコルに対して比類のない柔軟性を備え、多様な LAN および WAN インターフェイス モジュールを提供します。これらのモジュールはフィールド アップグレードに対応しており、お客様はブランチ オフィス ネットワーク全体に影響を与えることなく、ネットワーク インターフェイスを容易に変更することができます。

4.1 パフォーマンス強化のためのアドオン モジュールおよび組み込みプロセッサ

統合サービスの最大の利点は、ハイエンド モジュラ ルータを使用したときにわかります。たとえば、Cisco ISR 3800 シリーズに多数のサービス モジュールをオプションで統合することにより、スタンドアロンのネットワーク アプライアンスおよびコンポーネントの機能をシャーシ自体に容易に統合することができます。Cisco ネットワーク解析モジュール(NME-NAM)、ボイスメールおよび 最大24ポートをサポートする Cisco Unity Express ネットワーク モジュール(NME-CUE)、Cisco 侵入防御システム AIM モジュール(AIM-IPS-K9)など、これらのモジュールの多くは、組み込みのプロセッサとハード ドライブを備えています。これによって、ルータからほぼ独立して動作することができる共に、単一の管理インターフェイスからの管理が可能です。この「プラットフォーム内のプラットフォーム」という強力な概念は、統合の利点を維持しつつ、Cisco ISR 3800 シリーズの潜在的な適用範囲を従来のルーティングを超えて大幅に拡大します。

独立した外部検証により、同時サービスを実行する Cisco サービス統合型ルータ アーキテクチャのパフォーマンスおよびスケーラビリティは一貫して保証されています。

たとえば、Miercom3 による 2006 年 12 月の独自テストでは、統合型レイヤ 2 スイッチング、VPN、セキュリティ サービス、音声機能などを含む複数の領域で、Cisco 3845 サービス統合型ルータが評価されました。この Cisco 3845 ルータは、テスト ベッドで Cisco IOS(TM) ソフトウェア バージョン 12.4(9)T1 を実行していました。このパフォーマンス テストにおいて、Miercom はブランチ オフィスに展開された Cisco 3845 が同時サービスの豊富なセットを実行しつつ、本社サイトへの高レベルな双方向トラフィックを維持できることを確認しました。これには、機能テスト、パフォーマンス テストに加えて、ブランチ オフィスに適用されるフェールオーバー シナリオも含まれていました。

図 6 Cisco 3845 サービス統合型ルータの同時サービスのパフォーマンスをテストするために Miercom が設定した実際のテスト ベッド

図 6 Cisco 3845 サービス統合型ルータの同時サービスのパフォーマンスをテストするために Miercom が設定した実際のテスト ベッド


5. 統合サービスおよびソリューションによるレベル向上

Cisco サービス統合型ルータは、サービス構成要素の柔軟なフレームワークを通じて、ハイパフォーマンスでスケーラブルな統合サービスおよびソリューションを提供します。このフレームワーク全体は、提供されるソリューションとは関係なく容易な管理性を実現すると共に、「常にオン」であることが求められる成長著しい企業にとってきわめて重要である、パフォーマンス、アベイラビリティ、スケーラビリティの 3 つの柱を強化することを目的に設計されています。

図 7 に、音声、ビデオ、およびデータ用のソリューションと、Wide Area Application Services(WAAS)や Cisco TelePresence などの新しいテクノロジーに関連するソリューションを提供することに特化した、概念的サービス フレームワークを示します。このフレームワークは、レイヤ モデルとして理解するのではなく、異なる構築要素を組み合わせることによって考え得る最良のソリューションを提供することができるモジュラ モデルとして理解する必要があります。

「弊社が独自に実施した最新のテスト(2006 年 12 月)では、Cisco 3845 がギガビット イーサネット リンク上で 50 Mbps を超える音声、ビデオ、ワイヤレス、およびデータの同時ルーティング サービスを維持することができ、それでも 3845 プロセッサにはまだ余裕があることがわかりました。AIM 暗号化モジュールは、256 ビット AES 暗号化、IPSec リンク、およびクライアントレス SSL VPN 接続を処理しました。統合された EtherSwitch Service モジュールは、3845 のプロセッサ パフォーマンスに影響を与えることなく、2 つのスイッチ ポート間でほぼラインレートのトラフィックをルーティングすることができました。さらに、パフォーマンス負荷が実行された状態で、PSTN コール、セキュアなボイス コール、会議、自動応答、さまざまなボイスメール機能および FAX を含む、テレフォニー機能のすべてを使用することができました。」
-Mier Communications Inc. 社長兼 CEO、Rob Smithers 氏

Cisco サービス統合型ルータは、幅広い展開オプションのためのさまざまなモジュールを 100 以上サポートし、新しいモジュールも次々と導入されています。このフレームワークの洗練されたしくみにより、高度な機能を提供するオプションの専用モジュールのそれぞれが、他のネットワーク モジュールまたは WIC(WAN Interface Card)に依存することなく機能し、なおかつ Cisco IOS ソフトウェアとシームレスに統合されて統合ソリューションを提供することが保証されます。さらに Cisco サービス統合型ルータは、Cisco IOS ソフトウェアを通じて、または追加のハードウェア アクセラレーションにより、多数のサービスを実装する柔軟性を提供します。

図 7 Cisco サービス統合型ルータのモジュラ サービス フレームワーク

図 7 Cisco サービス統合型ルータのモジュラ サービス フレームワーク


以下では、Cisco サービス統合型ルータによって提供することが可能な主要なサービスをいくつか見ていきます。

5.1 ルーティング

Cisco サービス統合型ルータは、Cisco IOS ソフトウェア スタックを利用する、業界で最も包括的なルーティング プロトコル スイートをサポートします。これには、EIGRP(Enhanced Interior Gateway Routing Protocol)、OSPF(Open Shortest Path First)、RIP(Routing Information Protocol)、BGP(Border Gateway Protocol)、および OER(Optimized Edge Routing)が含まれます。スケーラブルなルーティングを実行するために、IPv4 機能と IPv6 機能の両方のサポートが提供されます。

また Cisco サービス統合型ルータは、レイヤ3 VPN、レイヤ 2 AToM(Any Transport over MPLS)擬似ワイヤ、Multi-VRF(Multi Virtual Route Forwarding)などの MPLS(Multi-protocol Label Switching)ラベル エッジ ルーティングおよびカスタマー エッジ機能もサポートします。

Cisco サービス統合型ルータは、通常の IP トラフィックのルーティングに加えて、回線エミュレーションを通じて旧式の非 IP プロトコルに対するサポートも提供します。回線エミュレーションを提供するネットワーク モジュールを通じてサポートされるこの方法により、パケットベースの IP ネットワーク上で、プロトコルにとらわれない物理通信リンクが模倣されます。

図 8 IP 上での回線エミュレーション

図 8 IP 上での回線エミュレーション


回線エミュレーションは、IP 上でレガシー ネットワークを統合している大企業に大きな利点をもたらします。また、TDM および専用線の段階的な置き換えにも向いています。

5.2 統合スイッチング

Cisco ISR 2800 および 3800 シリーズでは、Cisco EtherSwitch® サービス モジュールを使用することで、スイッチング機能の統合をサポートします。ルータにスイッチ ポートを統合することにより、ルーティングとスイッチングを単一プラットフォームで提供できるようになります。ブランチでの管理ポイントの数が減り、総所有コストが削減されます。

その他の主な機能は次のとおりです。

  • IEEE 802.3af PoE(Power over Ethernet)などの新機能のサポート
  • ワイヤスピードの全二重レイヤ 2 スイッチングを備える、ローカルで堅牢なレイヤ 3 の柔軟な WAN ルーティング
  • IEEE 802.1p、802.1Q、802.1D スパニング ツリーによるサポート
  • IP フォン用の音声 VLAN(Virtual LAN)機能
  • 各ポート、QoS、およびスケーラブルな VLAN での自動検知
  • Cisco Network Assistant および Cisco Emergency Responder
  • Cisco StackWise® インターフェイス(一部のネットワーク モジュールで使用可能)
  • 高度な Cisco Catalyst® 3750 シリーズ スイッチと同等のソフトウェア機能

独自のアーキテクチャ設計により、Cisco EtherSwitch モジュールは Cisco Catalyst 3750 シリーズ スイッチと同等の機能を提供する独立した Cisco IOS ソフトウェア イメージを実行し、ルータの Cisco IOS ソフトウェアがリロードされているとき(ウォーム リロード中を含む)でも、スイッチを介したボイス コールとデータ接続を維持することができます。

5.3 VPN

Cisco サービス統合型ルータは、サイト間展開およびリモート アクセス展開のための、業界で最も広範かつ安全な VPN オプションを提供します。サイト間 VPN オプションには、IPsec ベースの VPN と MPLS ベースの VPN の強力なスイートが含まれます。ブランチ ルータの場合、IPsec ベースの VPN の方が一般的です。リモート アクセス VPN には、IPsec をベースにしたものと、補足的な機能を持つ SSL(Secure Sockets Layer)をベースにしたものが含まれます。図 9 に、さまざまなオプションの分類を示します。

図 9 Cisco サービス統合型ルータの VPN オプション

図 9 Cisco サービス統合型ルータの VPN オプション


モジュラ型の Cisco サービス統合型ルータ用に、SSL と IPSec の両方を暗号化する新しい IPsec および SSL アクセラレーション AIM(Advanced Integration Module)が導入されました。この AIM は IPsec をアクセラレートするため、GET(Group Encrypted Transport)VPN および DMVPN(Dynamic Multipoint VPN)に最適です。また、この AIM は、従来のモジュールに比べて、SSL VPN のスループットとセッション数を 2 倍にします。

5.3.1 サイト間 VPN

  • DMVPN:DMVPN は、セキュアなメッシュ トンネルを構築することによってハブアンドスポーク IPsec および GRE VPN 展開をサポートする、一般的な IPsec ベースの Cisco IOS ソフトウェア ソリューションです。DMVPN は、2 つの定評あるシスコ テクノロジー、すなわち NHRP(Next Hop Resolution Protocol)とマルチポイント GRE(Generic Routing Encapsulation)トンネル インターフェイスに依存します。DMVPN は構成が容易なため、世界中の何百もの顧客ロケーションで展開されています。
    DMVPN は、GRE を利用した動的ルーティングにより、ハブ/スポーク間およびスポーク/スポーク間のスケーラブルな通信をサポートします。最近の機能拡張により、ハブ障害に対する復元力が改善され、スポーク間トンネルのコール セットアップと階層ハブ設計のプロビジョニング中の遅延が軽減されました。
  • トンネルレス VPN(GET VPN):シスコが新たに導入した業界初のトンネルレス VPN は、インテリジェントなダイナミック QoS ベース ルーティングによって標準ベース IPsec の利点を利用し、オーバーレイ トンネルを使用せずに安全な any-to-any の通信を提供することにより、エキサイティングで革新的なパラダイム シフトをもたらします。GET は、「信頼できるグループ」という概念を導入し、RFC 3547 の GDOI(Group Domain of Interpretation)プロトコルベースのキー サーバを使用して、許可されたグループ メンバー間にセキュリティ アソシエーションを確立します。
    GET では、既存のルーティング インフラストラクチャを使用しつつ、IPsec を使用してパケットを暗号化します。ただし、ESP によって新しい外部 IP ヘッダーを加える従来のトンネルモード IPsec 暗号化と異なり、GET VPN セキュリティ モデルでは、ESP によって元の IP ヘッダーを置き換えて添付するので、レイヤ 3 ルーティング(および継承される QoS)情報が保持されます。
    静的メッシュとオーバーレイ トンネルの考え方を一掃する、この単純かつ優れた概念により、次のことが保証されます。
    • WAN インフラストラクチャ上での最適化されたルーティング(MPLS バックボーン上でのトラフィック エンジニアリング ルーティングを含む)。遅延に敏感なトラフィックの安全な配信に向いています。
    • 高度なスケーラビリティ。
    • 優れたマルチキャスト レプリケーション。
    • 優れた管理性。特に中央集中型の管理が必要な大規模展開では効果的です。
    • セキュアなポリシー割り当ておよび適用。合法的な代行受信およびミラーリングのニーズへの対処を含みます。
    • WAN 接続に依存しない暗号化トラフィックを必要とする規制上の要件(HIPAA、PCI など)への準拠。

図 10 GET によるトンネルレス VPN の基本原理

図 10 GET によるトンネルレス VPN の基本原理


  • V3PN(Voice and Video enabled VPN):音声、ビデオ、およびデータ用の個別のネットワークを管理するのは高コストで非効率的であるため、Cisco サービス統合型ルータは V3PN ソリューションを用意しています。これらのソリューションは、GRE インターフェイス上に構築された IPsec トンネルにより、サイト間 IPsec VPN によって提供されるコスト効率が高くかつ安全な接続を統合します。このネットワーク インフラストラクチャにより、QoS ポリシーに合致するトール品質の音声とジッタのないビデオが実現します。また V3PN は、暗号化による帯域幅の節約と LAN および WAN のセキュリティ、さらに SLA(Service Level Agreement)およびマルチキャスト サポートも提供します。
  • Easy VPN Server:Cisco Easy VPN は、リモート オフィスおよび在宅勤務者のための VPN 展開を大幅に簡素化します。Cisco Unified Client VPN Framework に基づいた Cisco Easy VPN ソリューションは、すべての Cisco VPN デバイスにまたがって VPN 管理を中央集中化し、VPN 展開の管理の複雑さを軽減します。Cisco Easy VPN は、Cisco Easy VPN Remote と Cisco Easy VPN Server の 2 つのコンポーネントで構成されます。Cisco Easy VPN Remote 機能を使用すると、Cisco IOS ソフトウェア ルータ、Cisco PIX® セキュリティ アプライアンス、Cisco VPN 3002 ハードウェア クライアント、および Cisco VPN Client において、Cisco Easy VPN Server からの VPN トンネル接続時にセキュリティ ポリシーを受信し、リモート ロケーションでの構成要件を最小化することができます。

Easy VPN サーバにより、リモート オフィス デバイスが Cisco Easy VPN Remote 機能を使用しているサイト間 VPN またはリモート アクセス VPN 用のヘッドエンドとして、サービス統合型ルータを使用することが可能になります。この機能により、中央サイトで定義されたセキュリティ ポリシーがリモート VPN デバイスにプッシュされ、それらの接続で最新のポリシーが保持されてから接続が確立されることが保証されます。さらに、Cisco Easy VPN Server に対応したデバイスは、PC 上で Cisco VPN Client ソフトウェアを実行しているモバイル リモート従業員によって開始された VPN トンネルを終端することができます。この柔軟性により、モバイルおよびリモートの従業員は企業イントラネット上の重要なデータおよびアプリケーションにアクセスすることが可能になります。

5.3.2 リモート アクセス VPN

Cisco サービス統合型ルータは、リモート アクセスのための IPsec VPN と SSL VPN を両方サポートします。

  • Easy VPN Remote:Easy VPN Remote 機能を使用すると、Cisco サービス統合型ルータと、この機能をサポートする他のアプライアンスが、リモート オフィスに接続することが可能になります。Easy VPN Remote は、VPN トンネル接続を介して Easy VPN Server に接続してセキュリティ ポリシーを受信し、リモート ロケーションでの構成要件を最小化します。
  • Cisco VPN Client:これらの IPsec シン クライアントは、デスクトップおよびノートパソコンで実行され、Cisco サービス統合型ルータで終端します。これによって、モバイル従業員や在宅勤務者は企業インフラストラクチャにアクセスすることができます。Cisco VPN Client は、Windows、Mac OS、Linux、および Solaris のさまざまなオペレーティング システムでサポートされます。
  • Cisco IOS SSL VPN:かつて Cisco IOS WebVPN と呼ばれていたこの機能は、ネイティブな SSL 暗号化をサポートする標準的なブラウザを通じた安全なリモート アクセスを可能にします。Cisco IOS SSL VPN は、接続の確立元であるエンドポイント ホストに関係なく、すべてのユーザに対して安全なアクセスをサポートする柔軟性を提供します。アプリケーション アクセス要件がそれほど厳しくない場合、SSL VPN では VPN クライアントをエンドポイント ホストに事前にインストールする必要はありません。

IPSec ベースの VPN オプションと SSL ベースの VPN オプションは、異なる問題を解決するものであり、補完的な関係にあります(図 11)。これらのソリューションを同じプラットフォームに共存させ、Cisco サービス統合型ルータによって異なるリモートアクセス ユーザ要件を満たすことが可能です。

図 11 IPsec ベースのリモートアクセス VPN と SSL ベースのリモート クセス VPN のソリューション領域

図 11 IPsec ベースのリモートアクセス VPN と SSL ベースのリモート クセス VPN のソリューション領域


5.4 ハイタッチ セキュリティ サービス

安全なサイト間 VPN およびリモートアクセス VPN に加えて、Cisco サービス統合型ルータは Cisco SDN(Self-Defending Network; 自己防衛型ネットワーク)セキュリティ戦略の主要な要素です。その包括的なサービスにより、単一で復元力のあるプラットフォームを迅速に展開し、セキュアなネットワークおよびアプリケーションを実現できます。ネットワークへのすべてのエントリ ポイントは、トレーニングおよび管理のコストを軽減するように簡素化された、複数レイヤに存在するクラス最高のセキュリティ機能によって保護され、それによって ATD(Adaptive Threat Defense)を提供します。主な脅威防御機能は次のとおりです。

  • ステートフル ファイアウォール:Cisco IOS Firewall は、ICSA に認定された仮想ステートフル ファイアウォール機能セットであり、ネットワークおよびアプリケーション レイヤの攻撃、ウイルス、ワームから顧客ネットワークを保護することに加えて、ネットワークを通過するアプリケーション トラフィックの効果的な制御を提供することにより、企業がネットワークのアップタイムとセキュリティを保証するのを支援します。Cisco IOS Firewall 構成は、Cisco Router and Security Device Manager(SDM)と呼ばれる直感的な GUI ベースのデバイス管理アプリケーションによってサポートされます。SDM は、すべての Cisco IOS ソフトウェア セキュリティ イメージの一部として無料で提供されます。また Cisco IOS Firewall 構成は、大規模な導入のために Cisco Security Manager でもサポートされています。Cisco Security MARS(Cisco Security Monitoring, Analysis and Response System)を通じて、分散したファイアウォールおよびその他のセキュリティ デバイスの中央集中型の監視を実現することができます。

    主なファイアウォール機能は次のとおりです。
    • 直感的なポリシー管理のための、ゾーンベースのポリシー フレームワーク
    • Web、電子メール、およびその他のトラフィックのためのアプリケーション ファイアウォール
    • インスタント メッセンジャーおよびピアツーピア アプリケーションのフィルタリング
    • VoIP プロトコルのファイアウォール
    • ワールドクラスの Cisco IOS QoS との統合を通じた帯域幅使用保護
    • 仮想/VRF ファイアウォール
    • ワイヤレス統合
    • ステートフル フェールオーバー
    • Cisco SDM または Cisco Security Manager を使用した直感的なデバイス管理
    • Cisco Security MARS、SNMP MIB、および Cisco SDM を使用したファイアウォール監視
    • ローカル URL ホワイトリスト/ブラックリストのサポート
  • IPS(Intrusion Prevention System; 侵入防御システム):Cisco サービス統合型ルータは、専用のネットワーク モジュールまたは Cisco IOS ソフトウェアを通じた動的なインライン侵入防御をサポートします。Cisco サービス統合型ルータは、包括的なシグニチャ データベースを保持し、カスタム シグニチャを動的に読み込むことができます。IDS ネットワーク モジュールは、シグネチャ データベースをローカルに格納し、すべてのイベントをキャプチャまたはロギングします。このモジュールは、アラームを送信したり、パケットを破棄したり、接続をリセットしたりすることができます。
  • 信頼および身元:Cisco サービス統合型ルータは、PKI(Public Key Infrastructure; 公開キー インフラストラクチャ)および 802.1.x のサポートを含む柔軟な AAA(Authentication, Authorization, and Accounting; 認証、許可、アカウンティング)メカニズムを提供します。
  • Cisco NAC(Network Admission Control): Cisco NAC は、すべてのアクセス方法にわたって包括的なアドミッション ポリシーを適用します。Cisco NAC は、LAN、ワイヤレス接続、リモート アクセス、および WAN を含むすべてのエンドポイントを評価し、ポリシーに適合していないエンドポイントや不正なエンドポイントがネットワークにアクセスしたり、影響を与えたりするのを防ぎます。Cisco NAC は、ワーム、ウイルス、スパイウェア、およびマルウェアを未然に防ぎます。Cisco NAC は、既存のエンドポイントおよびアンチウイルスへの投資(マルチベンダー サポートを含む)を利用すると共に、予期せぬダウンタイムに関連する運用コストを軽減します。
  • DDoS の緩和:多面的な戦略により、DDoS 攻撃の脅威を阻止します。
  • URL フィルタリング:Cisco IOS URL フィルタリング ソリューションは、特定の Web サイトをブロックしたり、特定の Web サイトへのアクセスを制限したりすることにより、すべての Web 操作を監視および制限します。Cisco IOS URL フィルタリングは、簡素で展開が容易なソリューションです。このソリューションは、スケーラブルで安定性に優れ、Cisco IOS ソフトウェアと完全に統合されます。また、Websense、N2H2、SmartFilter などのサードパーティ Web フィルタリング サーバとシームレスに連動します。Cisco SDM を使用した簡素な構成および URL 管理により(後述の「Cisco Router and Security Device Manager(SDM)」を参照)、この機能を簡単に使用することができます。

NAT や VPN などの他のセキュリティ機能、および L2TP(Layer 2 Tunneling Protocol)や QoS などの他の Cisco IOS ソフトウェア機能を Cisco サービス統合型ルータに組み合わせると、ブランチおよび周辺部のセキュリティ ソリューションを含む、セキュリティで保護されたブランチ オフィス環境ができあがります。

これらのセキュリティ サービスの多くは、厳しい業界認定標準にも準拠します。VPN 機能とファイアウォール機能は定期的にテストされており、FIPS 140-2、ICSA、Common Criteria EAL-4 の各認定に準拠します。

5.4.1 NFP(Network Foundation Protection)

セキュリティ サービスを提供することを目的としたデバイスをセキュリティで保護し、そのデバイスが DoS(Denial-of-Service; サービス拒絶)攻撃や不正なアクセスから生じる操作に打ち負かされないようにするには、どうすればよいでしょうか。Cisco IOS ソフトウェアは、Cisco サービス統合型ルータの継続的な運用を保証する強力なセキュリティ機能を提供します。

  • コントロール プレーン ポリシング:ネットワークの心臓部を狙った DoS 攻撃や同様の脅威を防ぐために、Cisco IOS ソフトウェアには、コントロール プレーンに向けたトラフィックのレートを制御する、すなわちそれらのトラフィックを「規制(police)」する、ルータ上のプログラム可能なポリシング機能が含まれています。この機能は、特定のトラフィック タイプを完全に、または指定したしきい値レベルを超えたときに識別および制限するように構成できます。
  • AutoSecure: AutoSecure は、経験豊富な管理者および経験が浅い管理者のためのカスタマイズされたアプローチによってルータのセキュリティ構成を簡素化し、構成エラーのリスクを軽減します。単一のコマンドを入力するだけで、ルータのセキュリティ体制を構成し、不要なシステム プロセスおよびサービスを無効にし、潜在的なネットワーク セキュリティの脅威を排除できます。
  • NBAR(Network-Based Application Recognition):Cisco IOS ソフトウェア内の分類エンジンである NBAR は、ステートフルなディープ パケット インスペクションを使用して、Web ベースのアプリケーションや、動的な TCP/UDP ポート割り当てを利用する分類が難しいプロトコルなどの幅広いアプリケーションを認識します。NBAR をセキュリティ コンテキストで使用すると、ペイロード シグニチャに基づいてワームを検出できます。アプリケーションが NBAR によって認識され分類されると、ネットワークはその特定のアプリケーションに対してサービスを起動できます。また NBAR は、QoS 機能と連動して、保証された帯域幅、帯域幅制限、トラフィック シェーピング、およびパケット カラリングを提供することにより、ネットワーク帯域幅が効率的に使用されるように保証することもできます。Cisco SDM は、NBAR を有効にする使いやすいウィザードを備え、アプリケーション トラフィックのグラフィカル ビューも提供します。
  • CPU/メモリのしきい値設定:Cisco IOS ソフトウェアでは、ルータはメモリ使用に関するグローバルなメモリしきい値を設定し、そのしきい値に達したときに通知を生成することができます。この機能は、CPU とメモリを予約することで、攻撃によって高い負荷が生成された場合などでも、ルータが継続して動作できるようにします。

この同じ概念を拡大して、SSHv2(Secure Shell v2)プロトコルおよび SNMPv3 をサポートすることにより、管理のセキュリティが確保されます。セキュリティ侵犯を最小限に抑えるため、Cisco サービス統合型ルータはロールベースの CLI アクセスもサポートします。この機能は、管理権限およびプロファイルに基づいた階層的な構成および表示機能を提供します。

5.5 音声統合

Cisco サービス統合型ルータは、エンタープライズ ブランチ オフィスおよび SMB オフィスで手頃かつ堅牢な IP コミュニケーションを実現します。Cisco サービス統合型ルータ プラットフォームは、セキュリティ、音声ゲートウェイ、コール処理、ボイスメール、自動応答、会議、およびトランスコーディングの各機能の統合を通じて、完成度の高いオフィス IP コミュニケーション ソリューションを実現します。

このプラットフォーム アーキテクチャでは、音声機能がルータのマザーボードに直接組み込まれています。そのため、DSP(Digital Signal Processor)と AIM を搭載するだけで、IP テレフォニー会議、音声ゲートウェイ、Cisco Unity(TM) Express のボイス メール、および自動応答を実現でき、業界標準のセキュリティも確保されます。この DSP ベースのアプローチの利点は、ルータのモジュラ スロットが他のモジュールや HWIC(High-speed WAN Interface Card; 高速 WAN インターフェイス カード)用に開放されることです。マザーボードの PVDM(Packet Voice DSP Module)は、ネットワーク モジュールまたは AIM を必要とせずに、会議、トランスコーディング、および音声の終端を実現します。サービス統合型ルータ内にインストールされた Cisco PVDM2 製品は、VoIP(Voice-over-IP)トラフィックと TDM(Time-Division Multiplexed; 時分割多重)トラフィックの両方に対して、これらのサービスを提供します。

図 12 Cisco 3845 サービス統合型ルータ内に組み込まれた音声機能による IP テレフォニー

図 12 Cisco 3845 サービス統合型ルータ内に組み込まれた音声機能による IP テレフォニー


ブランチ オフィス ソリューション用の IP コミュニケーション コンポーネントには、Cisco IOS® ソフトウェアの一部である CUME(Cisco Unified Communications Manager Express)と Cisco Unity Express、および SRST(Survivable Remote Site Telephony)と Cisco Unified Communications Manager が含まれます。Cisco サービス統合型ルータは、MGCP(Media Gateway Control Protocol)、SIP(Session Initiation Protocol)、H.323 などの業界標準プロトコルに加えて、FAX 機、PBX、キー システム、電話などの標準テレフォニー機器に接続するためのさまざまな高密度アナログおよびデジタル ネットワーク モジュールをサポートします。Cisco サービス統合型ルータでは、Cisco CME によってローカライズされたコール処理を行うと同時に、Cisco EtherSwitch サービス モジュールを使用することでスイッチング機能の統合をサポートし、IEEE 802.3af への準拠により IP 電話に給電することができます。

Cisco サービス統合型ルータによる主要な音声アプリケーションと利点には、成熟した機能と最新の技術革新の両方が含まれます。

  • 従来の PBX(Private Branch Exchange; 構内交換機)トラフィックを企業の IP ネットワーク上でルーティングすることにより、ルータをトールバイパス ゲートウェイとして運用。
  • Survivable Remote Site Telephony(SRST):このモードは、コール品質の保証を支援し、ネットワークの停止時に通信をローカルに保持して、ハイアベイラビリティを促進します。この機能は、Cisco CME 自動登録や Cisco CME DSP ベースの会議といった他のアベイラビリティ機能を補います。このとき、ボイス メールおよび自動応答の各サービスは、Cisco Unity Express を使用して Cisco サービス統合型ルータ内で直接サポートすることも、Cisco Unity ソフトウェアを使用して中央集中的に実現することもできます。また、Secure SRST を実装して、WAN 停止時にシグナリングとメディア転送の両方に対する認証および暗号化サポートを有効にすることもできます。
  • 強化されたセキュリティ
    • 暗号化および不正防止のためのセキュア SIP ゲートウェイ。
    • ネットワーク停止のためのセキュア SRST。
    • メディア暗号化およびシグナリングを備えたセキュア CME。これによってセキュリティを提供し、TDM またはアナログ ゲートウェイ音声ポートで終端される音声会話が盗聴されるのを防ぎます。この機能は、SRTP(Secure Real-Time Protocol)および TLC(Transport Layer Security)を通じて実現されます。
  • VoiceXML のサポート:高度な IVR とコールセンター機能、および Do Not Call 登録処理を促進します。
  • SBC(Session Border Controller):ネットワークにまたがるリッチメディア コミュニケーションを促進します。
  • 強化された SIP トランキング:Cisco サービス統合型ルータは、SIP トランクおよび統合された SIP 機能に基づいて、VoIP およびその他のリアルタイム サービスを提供できます。Cisco SIP トランキング ソリューションを導入することで、企業では社内全域に安全な VoIP を迅速かつ容易に実装できます。SIP トランキングを使用すると、コンバージェンス機能によってエンドツーエンドの音声、ビデオ、およびデータ サービスのプロビジョニングを実現すると同時に、トランク アクセスやアカウント管理を容易に行うことができます。マネージド サービスの観点から言うと、これによってサービス品質(QoS)と顧客満足を向上させることができます。
  • 単一の PRI(Primary Rate Interface)でのサービス統合:単一の PRI リンク上での音声、ビデオ、およびデータ接続の統合により、既存の帯域幅の最適な使用が可能になります。
  • 前述の GET によるトンネルレス VPN の新しいサポートにより、IP コミュニケーションの音声およびビデオ ソリューションにきわめて重要なセキュリティと明瞭性が提供されます。

図 13 ブランチ ネットワークの IP テレフォニーに使用される Cisco サービス統合型ルータ プラットフォーム

図 13 ブランチ ネットワークの IP テレフォニーに使用される Cisco サービス統合型ルータ プラットフォーム


Cisco サービス統合型ルータ プラットフォームは、エンタープライズ ブランチ オフィスおよび中堅・中小規模のオフィスで IP コミュニケーションを実装するための理想的なプラットフォームです。ワイヤスピードの IP コミュニケーションを提供するこのプラットフォームの機能は、高性能のプロセッサ、専用の音声シリコン、革新的なアナログおよび BRI インターフェイス機能、組み込みのモジュラ DSP、および Cisco Unified Communications Manager Express、Cisco Unity Express、会議、トランスコーディングなどの先進的なテレフォニー サービスの成果です。サービス拡大の余地と、統合モジュール機能のためのスケーラブルなオプションを備えた Cisco サービス統合型ルータ プラットフォームは、将来の投資を保護する IP コミュニケーションのプラットフォームです。

5.6 ビデオ

QoS、マルチキャスト、セキュリティ、および帯域幅拡大と同じ強力なサポートに基づき、シスコはブランチにビデオ会議機能も提供します。Cisco Unified MeetingPlace® 会議ソリューションは、音声、ビデオ、および Web 会議を備える完成度の高いマルチメディア会議ソリューションです。業界をリードするビデオ設定機能と制御機能を提供する Cisco Unified MeetingPlace 会議は、ブランチの管理者が本社の経営幹部との連絡を維持するのに役立ちます。Cisco Unified MeetingPlace の会議機能は、緊密な共同作業が必要な会議から、トレーニング セッションやプレゼンテーションに至るまで、幅広い用途をサポートします。

  • Cisco Unified MeetingPlace 会議は、ファイアウォールの内側の「ネットワーク上」で展開され、企業のセキュリティを保護します。また、音声およびデータ ネットワークと Cisco サービス統合型ルータ上のエンタープライズ アプリケーションに直接統合されます。Cisco Unified MeetingPlace は、既存の音声ネットワーク(IP および回線交換)を利用して、伝送料金のコストと会議の経常コストを軽減または解消します。
  • デスクトップ PC またはディスプレイ画面にテレビ品質のビデオ プログラムを提供する包括的ストリーミング ソリューションである Cisco IP/TV® ソリューションを使用して、ビデオ コンテンツまたはビデオ オン デマンドを提供することができます。ブランチの従業員は、イベントがスケジューリングされるか、コンテンツが追加されるたびに更新されるプログラム リストを使用して、ライブ イベントまたは録画イベントにアクセスすることができます。この機能を使用すると、販促または教育の目的で、BGM を再生するために、または担当者に提供されるトレーニング セッションのために、カスタマー コンテンツをブランチの小売店にストリーミングすることもできます。

Cisco サービス統合型ルータの新しいビデオ関連機能は、音声統合機能を補い、ハイアベイラビリティを促進します。

  • ビデオ SRST:ネットワーク停止時にビデオ コールを保持します。
  • Cisco Unified Communications Manager Express 自動登録:設定ミスを最小限に抑えた「ノータッチ」展開を可能にします。
  • 高密度ビデオ会議:マザーボードの DSP によるサービス統合型ルータでの音声処理の構造的改善を利用し、Unified Communications Manager Express 用の高密度会議(少なくとも 8 パーティのアドホック コールおよび 32 パーティの MeetMe コール)を可能にします。

5.7 帯域幅とアプリケーションの最適化

WAN パフォーマンスを最適化し、LAN と WAN のアクセス速度と操作性をある程度一致させるための取り組みの一環として、シスコでは革新的な帯域幅およびアプリケーション最適化ソリューションを導入しました。これらのソリューションは、Cisco サービス統合型ルータ上の専用のネットワーク モジュールを通じてサポートされ、アプリケーション エクスペリエンスの全体的な品質を強化します。

シスコでは、この WAN 最適化およびアプリケーション アクセラレーションのための包括的なソリューション フレームワークを提供します。これには、WAN リンクからさらなるパフォーマンスを引き出し、WAN 上での分散ファイル サービス管理のために Cisco WAFS(Wide Area File Services)を組み込むことを検討している企業に適した Cisco WAAS(Wide Area Application Services)ソリューションが含まれます。

5.7.1 Cisco WAAS(Cisco Wide Area Application Services)

同じく専用のネットワーク モジュールを通じて提供される Cisco WAAS ソフトウェアは、圧縮、冗長性の排除、伝送の最適化、キャッシング、コンテンツ配信などの手法を使用することにより、WAN 全体で TCP ベースのアプリケーションを最適化します。

他の WAN 最適化ソリューションと異なり、Cisco WAAS はアプリケーション アクセラレーションと WAN 最適化を組み合わせ、ネットワークと透過的に統合されて、セキュリティ、QoS、可視性、監視などの機能を維持するために TCP 情報を保持します。Cisco WAAS は展開と管理が容易であり、Cisco IOS ソフトウェアと統合されます。

5.7.1.1 Cisco WAFS(Cisco Wide Area File Services)

Cisco ISR 2800 および Cisco ISR 3800 シリーズで Cisco ACNS(Application and Content Networking System)をサポートする専用の Cisco コンテント エンジン ネットワーク モジュールを通じて使用できる Cisco WAFS ソフトウェアは、高度なプロトコル最適化テクノロジーによって WAN の遅延、帯域幅、およびパケット損失の制限を克服し、リモート オフィス ユーザが WAN 上で中央集中型のファイル ストレージにアクセスしたときに、LAN と同等のパフォーマンスを提供します。

Cisco WAFS は、遅延緩和、オブジェクト キャッシング、メタデータ キャッシング、WAN 伝送の最適化などのプロトコル固有の最適化を利用して、WAN 上での標準ファイル システム プロトコルの効率的な運用を保証しつつ、ファイルの統一性、ロック、セキュリティ、およびアクセス ポリシーを維持してデータの完全性を保証します。このソリューションでは、クライアント ワークステーション、ファイル サーバ、または NAS デバイスにソフトウェアをインストールする必要はありません。エンド ユーザにとって完全に透過的である Cisco WAFS は、既存のネットワークおよびファイル ストレージ インフラストラクチャに透過的に統合されます。

図 14 WAN およびアプリケーション最適化のための汎用フレームワーク

図 14 WAN およびアプリケーション最適化のための汎用フレームワーク


5.7.2 Cisco WAAS ソリューションの利点

ネットワーク WAN 帯域幅を最適化し、ファイル サーバおよびストレージを中央集中型データセンターに統合することを検討しているブランチと、帯域幅のリースに価値を加えることを検討しているサービス プロバイダーの両方にとって有益な Cisco WAFS ソリューションと Cisco WAAS ソリューションは、次のような全体にわたる利点をもたらします。

  • TCO の削減:ネットワーク、ストレージ、およびファイル サーバの中央集中型の統合を支援します。
  • データ保護の強化:容易なバックアップ、復元、および障害復旧により、ビジネスの継続性を保証します。
  • 管理の軽減:管理全体を簡素化します。
  • ファイルのアクセスおよび共有の高速化:プロトコルに固有の最適化により、パフォーマンスと生産性を強化します。
  • 遅延、帯域幅、およびスループットの改善:透過的なネットワーク統合により、Cisco WAAS でトラフィック分類、QoS、ポリシー ベース ルーティング、ハイアベイラビリティ、ロード バランシング、およびその他のネットワーク ポリシーを利用することが可能になります。

さらに、これによってネットワーク管理者が空いた帯域幅を使用し、音声やその他の高度な機能などの新しいアプリケーションを展開することも可能になります。ネットワーク管理者は、ユーザに影響を与えずにブランチ サーバ、ストレージ、およびバックアップ システムを統合することにより、規制のガイドラインを満たすようにリモート リソースを一元化することもできます。Cisco WAAS は、遅延を軽減することによってエンドユーザ エクスペリエンスも改善し、従業員の生産性を向上させます。Cisco WAAS はサービス統合型ソリューションなので、新しいスペースを設けずに展開でき、新しいアプライアンスや継続的に発生する WAN コストも必要ありません。サービス動作は、ネットワークの透過性を通じて保持されます。

Cisco WAAS を Cisco IOS ソフトウェアと統合することにより、IT 管理者は WAN の最適化、アプリケーションのアクセラレーション、および広域ファイル サービスを通じて、アプリケーションを高速化し、WAN の経費を削減し、ブランチを統合することができます。管理者は、優れた監視およびプロビジョニング、NetFlow v9、優れたパフォーマンス、視覚的な監視性、および IP SLA を通じて、管理の容易な WAN の利点を享受できます。また、動的な自動検出とネットワーク透過性を通じて、ネットワーク サービスの保持と投資の保護を改善することもできます。追加の帯域幅に基づき、アプリケーションは高度なキューイング、シェーピング、およびポリシングを使用する優れた QoS およびコール制御を通じて目標を達成します。

5.8 ワイヤレス アプリケーション

Cisco サービス統合型ルータを使用すると、リモート サイトやブランチ オフィス用に最適化された、安全性と管理性に優れたワイヤレス LAN を企業全体で展開できます。また、高速で安全なモビリティ、存続可能な認証、および管理の簡素化も実現できます。

Unified Wireless Architecture のフレームワークを提供する Cisco サービス統合型ルータは、ルータ プラットフォーム上で魅力的な機能を提供します。

  • Cisco WLCM(Wireless LAN Controller Module)は、セキュリティ ポリシーの作成と適用、侵入防御、RF 管理、QoS、モビリティなどのシステム全体にまたがるワイヤレス LAN 機能により、追加のセキュリティを提供します。
  • WLAN 接続に関しては、Cisco サービス統合型ルータのポートフォリオ全体で、統合された 802.11 WLAN アクセス ポイントがオプションとしてサポートされます。
  • LMR(Land Mobile Radio)-over-IP サービスは、Push-to-Talk 無線通信の適用範囲を大幅に拡大し、さまざまなコミュニケーション デバイス(IP 電話、アナログ電話、携帯電話など)からのリモート アクセスおよびディスパッチ動作に対応すると共に、異種無線システム間の相互運用性を強化して、無線ユーザの生産性とコラボレーション能力を高めます。
  • その他のオプションとして、パブリック WLAN ホットスポット統合型 WLAN アクセス ポイント、AZR(Access Zone Router)サービス、SSG(Service Selection Gateway )サービスなどがあります。
  • ブランチに配置された Cisco Aironet® アクセス ポイントにより、拡張 WLAN の耐障害性とモビリティ サービスもサポートします。耐障害性を持つ IEEE 802.1X ローカル認証により、ブランチのセキュアなワイヤレス ネットワークに対して、または本社のバックアップとして、最大 1,000 のワイヤレス クライアントを認証することができます。
  • WLAN と有線 IP テレフォニーのサポートは、Cisco CME および SRST によって提供されます。
  • Cisco サービス統合型ルータは、カスタム ゲスト アクセスと、透過的なモビリティのためのモバイル IP ホーム エージェントもサポートします。

5.9 ネットワーク管理とツール

製品の最も重要な機能の 1 つは、管理性です。この Cisco サービス統合型ルータは、デバイスレベル管理とネットワークレベル管理の両方の管理ライフサイクルの全要素を満たす、包括的な管理フレームワークを提供します。その他にも、サードパーティの管理ツールとの統合のためのオープン フレームワークが含まれます。

シスコの管理ソリューションは、幅広いニーズと機能に対応します。これには、次のようなものが含まれます。

  • 管理タスクを簡素化する合理的なユーザ インターフェイスを備えた統合ツール
  • ネットワークの展開とハードウェアの移行を簡素化する、可視性の拡張による自動化
  • 展開と運用のコストをさらに削減するゼロタッチ展開オプション
  • 計画済みネットワーク変更および計画外のネットワーク変更によるリスクを軽減する、プロビジョニング テンプレート、構成管理、および監視ツール
  • 構成、接続、およびセキュリティ ポリシー準拠の堅牢な「ネットワーク ビュー」
  • サービス停止を予測および緩和しつつ、トラブルの迅速な識別と解決のための適切な情報を提供する、アクティブなパフォーマンス監視、警告、およびトラブルの隔離
  • ネットワーク復元性のプランニングのための「what-if」分析、構成確認、および障害分析を提供する高度な分析
  • セキュリティ コンプライアンスを保証する、使いやすいセキュリティ監視およびプロビジョニング ツール
  • 自己防衛型ネットワークを実現する、追加の包括的なエンドツーエンド セキュリティ ツール
  • 統合管理フレームワークを利用した新しいサービスの実現。高度かつ詳細なデータ、分析、および制御のためのツールを統合および相互利用する機能が備わった基盤管理サービスと高度なテクノロジー管理サービスを提供
  • サービスやアクセスの中断なしで、管理ソリューションを追加して優先順位が高いニーズに対応することが可能

5.9.1 Cisco Router and Security Device Manager(SDM)

Cisco SDM は、使いやすい Web ベースの GUI であり、単一のデバイスの管理を目的としています。Cisco SDM は、NSA ガイドライン、ICSA、および Cisco TAC の推奨を実装し、「ワンタッチ」のルータ ロックダウンを提供します。Cisco SDM は、無料でプリインストールされており、VPN、ファイアウォール、ルーティング、ワイヤレス、LAN/WAN インターフェイス、および QoS のための業界をリードするルータおよび包括的なセキュリティ デバイス管理ツールです。Cisco SDM により、Cisco サービス統合型ルータの設定に必要な多くの専門技術を身に付けなくても、設定エラーを最小限に抑えることができます。

5.9.2 Cisco NAM(Network Analysis Module)

Cisco NAM は、Cisco サービス統合型ルータ内でパフォーマンス、ユーザ、またはその他のサービスに影響を与えることなくアクティブ化される、統合サービス モジュールです。Cisco NAM は、エンタープライズ WAN ファブリックの詳細なビューを提供し、ネットワーク上のすべてのアプリケーションの詳細なトラフィック分析を提供します。収集される詳細情報には、次のようなデータが含まれます。

  • WAN トラフィック状態に対するグローバルな可視性と、アプリケーションごと、ユーザごとの帯域幅利用率
  • アプリケーションごとの帯域幅使用状況の時間ベースの傾向
  • アプリケーションごとのデータ量
  • 上位のトラフィック生成者および使用者(ユーザ/デバイス)

図 15 Cisco NAM トラフィック アナライザによる監視

図 15 Cisco NAM トラフィック アナライザによる監視


Cisco NAM は、Cisco サービス統合型ルータ上の Cisco WAAS ソリューションを補い、トラフィックのパターンおよび傾向に対する重要な展開前および展開後の可視性を提供します。Cisco WAAS は、IP ヘッダーを変更することなく通信を高速化するので、データの収集および分析への影響はありません。Cisco NAM は、WAN トラフィックの問題に対する可視性を提供するソフトウェア ソリューションである NetFlow v9 によって収集されたデータを利用し、ビジネスへの影響の計測と継続的な運用の監視に使用できるベースライン メトリックを提供して、WAN に現れる新しいホストおよびアプリケーションの動作に対する重要な洞察を提供します。

Cisco NAM は、ネットワーク アベイラビリティを最大化するためのプロアクティブなネットワークおよびアプリケーション パフォーマンス監視、報告、およびトラブルシューティング システムである Cisco Performance Visibility Manager アプリケーションによってもサポートされます。このアプリケーションは、トラフィック分析機能、アプリケーション応答時間監視、直感的な GUI、自動ベースライン モジュール、および包括的レポート機能を提供します。Cisco NAM は、Cisco Catalyst 6500 スイッチング プラットフォームでも使用できるエンドツーエンド ソリューションです。

5.9.3 メトロ イーサネット アクセスをサポートする OAM 拡張機能

Cisco サービス統合型ルータ ポートフォリオでのイーサネット アクセスの管理性を強化するために、OAM(Operations, Administrations, and Maintenance)のための標準ベースの機能が実装されています。次の拡張機能は、Cisco IOS ソフトウェアを使用するサービス統合型ルータのイーサネット アクセス ポートで使用できます。

  • MEF(Metro Ethernet Forum)16:E-LMI(Ethernet Local Management Interface)カスタマー エッジ機能
  • IEEE 802.1ag:CFM(Connectivity Fault Management)OAM

Cisco サービス統合型ルータ上のイーサネット OAM と CFM は、次の機能を提供します。

  • エンドツーエンドの継続性チェック
  • レイヤ 2 traceroute
  • レイヤ 2 ping(ループバック)

6. Cisco サービス統合型ルータの利点

ブランチ ルータで統合サービスを使用することの利点は、デバイスを所有して管理するデバイス所有者と、サービス統合型ルータからサービスを受けるエンド ユーザの両方に、さまざまなメリットをもたらすことです。

  • 運用コストおよび TCO の軽減通常、初期購入のコストは、継続的な運用コストに比べれば、きわめて小さくなります。業界では一般的に、システムの総ライフタイム コストの 20% を CAPEX(資本コスト)に割り当て、残りの 80% を OPEX(運用コスト)および予期せぬ機能停止に割り当てます。

図 16 Cisco サービス統合型ルータとオーバーレイ アプライアンスの TCO の比較

図 16 Cisco サービス統合型ルータとオーバーレイ アプライアンスの TCO の比較


同じような機能ソリューションを提供できる一連のオーバーレイ アプライアンスに対する Cisco サービス統合型ルータの TCO 削減を調べることを目的とした、内部的なシスコ委託調査では、運用コストだけで、1 年間の直接コストおよび間接コストが 40 〜 70% 削減されると推測されました。

  • 生産性の強化:管理の観点から言うと、メンテナンスの軽減、トラブルシューティングの減少、トレーニング時間の短縮などにより、IT 部門の生産性と効率が向上します。
  • ハイアベイラビリティ:今日のマルチサービス ネットワークでは、サービスをいつでも提供するために、ハイアベイラビリティが求められます。マルチレベルの冗長性と、システム レベルまたはネットワーク レベルでの迅速なフェールオーバーを保持する能力は、ビジネスの継続性にとって不可欠です。
    ネットワーク エンジニアリングの観点から言うと、プライマリ デバイスに障害が発生した場合にフェールオーバーを提供するために、CPE ネットワークの重要なコンポーネントを冗長化することは一般的な方法です。オーバーレイ シナリオでは、これによって次の面で問題が生じる場合があります。
    • (i)複数のデバイスを重複させることのコスト要因。
    • (ii)システム全体のアベイラビリティ。チェーン内の「ウィーク リンク」の数が潜在的に増加するため、アベイラビリティは低下します。

リライアビリティ エンジニアリングのための統計モデリングでは、システム全体に含まれるコンポーネントが増えると、MTBF(Mean Time Between Failures; 平均故障間隔)とアベイラビリティは低下するとされています。

図 17 CPE 冗長性展開シナリオの比較

図 17 CPE 冗長性展開シナリオの比較


単一の Cisco サービス統合型ルータによる冗長性ソリューションは、コスト、アベイラビリティ、および管理性の点ではるかに優れています。

Cisco ISR 3800 シリーズなどのハイエンドの Cisco サービス統合型ルータは、ダウンタイムをさらに最小限に抑えるために、一連のアベイラビリティ機能をシステム レベルで実装しています。これには、オプションの冗長電源、障害の隔離と修正を向上させるための ECC(Error Checking and Correction)メモリ、イメージ復旧を容易にするための USB フラッシュ メモリ、高度な温度監視と可変速の冷却ファン、起動時間を改善するための Cisco IOS ソフトウェア ウォーム リブート、ネットワーク モジュールの OIR(Online Insertion and Removal; 活性挿抜)、およびファン トレイ、マザーボード、電源などの現場交換可能なコンポーネント(Cisco 3845 のみ)が含まれます。

さらに、Cisco IOS ソフトウェアはコントロール プレーンおよびデータ プレーンで復元性を提供し、さまざまなネットワーク エンジニアリング ソリューションによってアベイラビリティを強化することを可能にします。

Cisco サービス統合型ルータを採用することのその他の重要な利点は次のとおりです。

  • 小型のフォーム ファクタ:ラックスペースの占有量と電源要件が軽減されることは、スペースが限られている IT 部門、データ センター、およびマネージド サービス ソリューションを提供するサービス プロバイダーにとって大きな利点です。
  • 効果的な監視および診断:OAM 機能の統合とトラブルシューティングがはるかに簡単です。
  • 容易なシステム統合:構成、展開、および保守が簡単です。
  • 簡素なエンドツーエンド ソリューション設計:トポロジが簡素で、相互運用性の問題が少ないことが、優れたソリューションにつながります。
  • シスコ ブランド:Cisco サービス統合型ルータを購入して展開するということは、お客様やチャネルの要望に応えている実績を持つ市場リーダーとしての利点を活用するということも意味します。

7. MSP(Managed Service Providers)との関連

マネージド サービスを提供するサービス プロバイダーは、Cisco サービス統合型ルータを管理 CPE ソリューションとして展開することにより、大きな利益を得ることができます。現在では、世界中のサービス プロバイダーが、Cisco サービス統合型ルータにより、お客様がマネージド VPN、ファイアウォール、NAT、ハイタッチ セキュリティ サービス、および音声ソリューションを導入するのを支援しています。

図 18 マネージド サービス用の完成度が高いソリューション プラットフォームとしての Cisco サービス統合型ルータ

図 18 マネージド サービス用の完成度が高いソリューション プラットフォームとしての Cisco サービス統合型ルータ


7.1 サービス プロバイダーにとっての利点

  • サービス チェーンの昇格:Cisco サービス統合型ルータを使用すると、サービス プロバイダーはサービスの価値を向上させ、単なる接続性とマネージド WAN の提供を超えて、新たな経常収益の源を生み出すことができます。新しいモジュールを追加するだけで、または予定されるソフトウェア アップグレードにより、Cisco WAAS やトンネルレス VPN などの新サービスを簡単に「オン」にすることができます。
  • 既存顧客の保持率の向上:最小限のネットワーク ダウンタイムで、同じプラットフォームに追加のサービスを導入することができます。
  • 頻繁な機器アップグレードの排除: 1 つの統合プラットフォームを通じて複数のサービスを提供できます。
  • 容易なセキュリティ ポリシーの適用:Cisco サービス統合型ルータでは、セキュリティ ポリシーの管理がきわめて簡単です。セキュリティ パッチの適用と、着信および発信トラフィックの詳細な制御が簡素化されます。
  • 包括的なツールおよびレポート:1 つの統合デバイスで管理を行うことにより、データ収集とレポート生成が大幅に簡素化されます。これらの作業は、お客様との SLA ごとに容易にカスタマイズすることができます。そのために、さまざまなシスコ ツールを使用することができます。
  • 容易な管理:これはサービス プロバイダーにとって大きな利点です。Cisco Configuration Express ツールを使用した Cisco サービス統合型ルータの「ゼロタッチ」プロビジョニングは、他の Cisco NMS(Network Management System)製品や MSS(Managed Services Solution)製品と並んで、きわめてポピュラーです。
  • 低い運用コスト:CAPEX(導入コスト)の節約も重要ですが、Cisco サービス統合型ルータでは、個々のオーバーレイ CPE 製品を複数管理する場合と異なり、MSP の継続的な運用コストも大幅に削減することができます。

「Cisco サービス統合型ルータにより、高いパフォーマンス、幅広い接続オプション、および新しいサービスを含めたソリューションをお客様に提供することが可能になります。Cisco サービス統合型ルータを使用すると、高いパフォーマンスを提供することに加えて、高度なネットワークとサービス プラットフォームを最大限に活用し、これまで以上に多くの利点をお客様に提供することができます。」
- Telecom Italia マーケティング ディレクター、Claudio Contini 氏

7.2 マネージド エンタープライズおよび SMB 顧客にとっての利点

ネットワーク管理の観点から言うと、Cisco サービス統合型ルータを使用するマネージド CPE 顧客は、ダウンタイムの短縮、ネットワーク アベイラビリティの向上、および簡易性を享受することができます。

  • 優れた投資保護:ソフトウェア アップグレードを通じて、または新しいモジュールを挿入することにより、機器の交換に高いコストをかけることなく、新しいサービスをすばやく導入することができます。
  • ビジネス効率の強化:1 つの統合デバイスへの中央集中型のコンタクト ポイントを持つことにより、ビジネスの生産性と効率を高め、サービスを変更またはアップグレードするためにサービス プロバイダーと頻繁に接触するのではなく、ビジネスの中心的業務に専念することができます。
  • セキュリティおよびパフォーマンスの向上:Cisco サービス統合型ルータをマネージド ソリューションとして使用する場合、優れたネットワーク パフォーマンスとセキュリティを常時体感できます。
  • 低価格:マネージド サービスを利用する企業では、価格上の恩恵も得られます。これは、MSP が価格設定を細分化するのではなく、関連する製品化されたサービスを 1 つの統合プラットフォーム上でバンドルできるからです。

8. 結論

今日の SMB、エンタープライズ、およびサービス プロバイダーは、ネットワークがビジネス アプリケーションおよびコンシューマ アプリケーションを効果的に使用するための鍵であることを認識し、ネットワーク インフラストラクチャをますます重視するようになっています。当然ながら、これらのアプリケーションを実現し、スケーラブルでハイパフォーマンスな音声、ビデオ、データ、およびモビリティ サービスを提供するうえで、ブランチ ルータは重要な役割を果たします。

ご好評をいただいている Cico サービス統合型ルータ ポートフォリオは、単一の統合デバイス上でサービスのモジュラ フレームワークを提供することにより、ブランチ ネットワークを強化します。これにより、従来のブランチ ネットワークを、高価でレイヤ化されたマルチボックス環境から、統合ビジネス サービスのための単一で強力かつ低コストなプラットフォームに事実上変換します。この強力な概念により、エンタープライズ ブランチ オフィスと SMB は、現地での意思決定をサポートし、コラボレーションを強化し、生産性を向上させることが可能となり、またサービス プロバイダーは、収益につながる幅広いマネージド サービスを提供することが可能になります。

9. 参考資料

1. http://www.cisco.com/jp/go/isr/
2. http://www.cisco.com/jp/go/routersecurity/
3. http://www.cisco.com/jp/go/ios/
4. http://www.cisco.com/jp/go/empoweredbranch/
5, http://www.miercom.com

1 Internet Research Group、(米国商務省)、2005 年 9 月
2 Gartner Group、2006 年
3 http://www.miercom.com

お問い合わせ