Cisco Catalyst 4500-X シリーズ スイッチ

キャンパスの集約を実現する Cisco Catalyst 4500-X シリーズ スイッチ

ホワイト ペーパー





キャンパスの集約を実現する Cisco Catalyst 4500-X シリーズ スイッチ



概要


Cisco® Catalyst® 4500-X シリーズ スイッチは、クラス最高水準のパフォーマンス、拡張性、復元力、ネットワーク仮想化を提供し、スペースに制約のあるキャンパス ネットワーク内の環境で統合ネットワーク サービスを提供する、エンタープライズ クラスのボーダレス ネットワーク固定型アグリゲーション スイッチです(図 1 および 2 を参照)。これまでにない高度な拡張性により、ビジネスの成長目標に応じて柔軟な導入が可能です。高い可用性を提供し、ハードウェアは Virtual Switching System(VSS*)に対応しており、Virtual Routing and Forwarding Lite(VRF-Lite)と Easy Virtual Network(EVN)のサポートにより仮想化を簡素化、さらに、Flexible NetFlow によりネットワーク アプリケーションを可視化することで最適なネットワーク アプリケーションの可視性と容量計画を実現し、多数のネットワーク サービスを統合できるので、新しいアプリケーションにも対応できます。

図 1 エンタープライズ キャンパスの 3 層アーキテクチャ

図 1 エンタープライズ キャンパスの 3 層アーキテクチャ


図 2 エンタープライズ キャンパスのコラプスト ディストリビューションおよびコア アーキテクチャ

図 2 エンタープライズ キャンパスのコラプスト ディストリビューションおよびコア アーキテクチャ


Virtual Switching System(VSS*)構成に Cisco Catalyst 4500-X を設置(図 3 を参照)することで、ネットワークの復元力と運用管理性が向上し、冗長接続した Cisco Catalyst 4500-X シリーズ スイッチ間の利用可能な帯域幅をすべてアクティブにすることで、システムの帯域幅キャパシティを増加させることができます。

図 3 Virtual Switching System(VSS)を導入した、エンタープライズ キャンパス 3 層アーキテクチャ

図 3 Virtual Switching System(VSS)を導入した、エンタープライズ キャンパス 3 層アーキテクチャ


はじめに


この 20 年の間に、エンタープライズ キャンパス ネットワークはビジネス コンピューティングおよび通信インフラストラクチャの主要な要素へと進化しました。ビジネス パートナーがこれまでにない方法で他の組織と協力し始めたことで、モビリティ ニーズの高まり、高度なセキュリティの活性化、ユーザとデバイスとネットワークを正確に認識し分離することの必要性といった要素すべてが促進されています。現世代のキャンパス ネットワークが対応しなければならない要件と課題は、きわめて多様化しています。

アグリゲーション/ディストリビューション レイヤは、さまざまなサービスを提供する多数のアクセスレイヤ スイッチとデータセンター スイッチを集約します。ポート密度、オーバーサブスクリプション値、ポリシー適用、CPU 処理や、全体の設計に特有の要件と課題を課すさまざまなサービスがあるため、アグリゲーション レイヤはキャンパス ネットワークにおいて最も重要なレイヤであるとも言えます。パフォーマンス、セキュリティ、およびアプリケーションとサービスのアベイラビリティも、優秀なアグリゲーション レイヤを提供するうえで必ず満たさなければならない主要メトリックです。このため、現世代のアグリゲーションレイヤ スイッチが対応しなければならない要件と課題も、きわめて多様化しています。

The Cisco Catalyst 4500-X シリーズは以下のような革新的な機能を備えており、上記のような要件に対応するとともに、将来における拡張の余地も併せ持っています。

  • パフォーマンスと拡張性: 最大 800 Gbps のスイッチング容量、最大 250 Mpps のスループット、VSS* により 1.6 Tbps に拡張可能。モジュール型のアップリンクおよび自動検出機能付きの 10 ギガビット/1 ギガビット イーサネット アップリンクにより、長期にわたる投資の有効活用が可能。
  • ハイ アベイラビリティ:VSS* に加え、First-Hop Resiliency Protocol(FHRP)、ゲートウェイ ロード バランシング プロトコル(GLBP)、Enhanced Interior Gateway Routing Protocol(EIGRP)、Open Shortest Path First(OSPF)といった従来のコントロール プレーン プロトコルなど、包括的なネットワーク復元機能により、ビジネス クリティカルな企業アプリケーションに必要なネットワーク アベイラビリティを提供。加えて、ホットスワップ対応の冗長ファン、電源装置のフェールオーバーといったデバイス復元機能で、ネットワークのシングル ポイント障害を回避。
  • アプリケーション監視:Flexible NetFlow、内蔵 Wireshark ネットワーク スニファ機能、8 ポートのラインレート双方向スイッチド ポート アナライザ/リモート スイッチド ポート アナライザ(SPAN/RSPAN)による、強化されたアプリケーション監視。加えて、Mediatrace やビデオ監視といったメディアネット機能により、迅速なトラブルシューティングとビデオ トラフィックのレポートを実現。
  • セキュリティ:Cisco TrustSec® セキュリティをサポートすることで、接続されたスイッチの認証を行うネットワーク デバイス アドミッション コントロール(NDAC)、ラインレート メディア アクセス コントロール セキュリティ(MACsec)* によるデータ リンク レイヤの暗号化、およびロールベースのアクセス コントロールリスト(ACL)とポリシー適用を提供。ストーム制御と堅牢なコントロール プレーン ポリシング(CoPP)で、サービス拒否(DoS)攻撃およびインターネット ワームに対処。
  • ネットワーク仮想化:VRF および EVN を使用したレイヤ 3 セグメント化をサポート。

Cisco Catalyst 4500-X スイッチ ファミリ

Cisco Catalyst 4500-X シリーズは、スペースに制約のある環境に、固定型のスケーラブルなキャンパス アグリゲーション ソリューションを提供します。2 つのバージョンのベース スイッチとオプションのアップリンク モジュールにより、必要なポート密度を実現する柔軟性を備えたソリューションです。32 ポートと 16 ポートの両バージョンともオプションのネットワーク モジュールで構成でき、同様の機能と拡張性を維持します。Small Form-Factor Pluggable Plus(SFP+)インターフェイスは 10 ギガビット イーサネット ポートとギガビット イーサネット ポートの両方をサポートするため、ギガビット イーサネット SFP への投資を活用しながら、ビジネス ニーズの変化に応じて、既存の構成に包括的なアップグレードを加えることなく 10 ギガビット イーサネットに変更できます。アップリンク モジュールはホットスワップ対応です。

本製品ファミリの主要製品は以下のとおりです。

  • 32 x 10 ギガビット イーサネット ポート スイッチ(オプションでアップリンク モジュール スロット)(図 4)
  • 16 x 10 ギガビット イーサネット ポート スイッチ(オプションでアップリンク モジュール スロット)(図 5)
  • 8 x 10 ギガビット イーサネット ポート アップリンク モジュール(図 6)
図 4 32 x 10 ギガビット イーサネット ポート スイッチ(オプションでアップリンク モジュール スロット)

図 4 32 x 10 ギガビット イーサネット ポート スイッチ(オプションでアップリンク モジュール スロット)


図 5 16 x 10 ギガビット イーサネット ポート スイッチ(オプションでアップリンク モジュール スロット)

図 5 16 x 10 ギガビット イーサネット ポート スイッチ(オプションでアップリンク モジュール スロット)


図 6 8 x 10 ギガビット イーサネット ポート アップリンク モジュール

図 6 8 x 10 ギガビット イーサネット ポート アップリンク モジュール


パフォーマンスと拡張性


Cisco Catalyst 4500-X シリーズ スイッチは最大 250 Mpps のスイッチング容量で最大 800 Gbps のバックプレーン帯域幅を実現し、脱着可能モジュールを使用することで、最大 32 のノンブロッキング 10 ギガビット イーサネット ダウンリンク ポートと、最大 8 のノンブロッキング 10 ギガビット イーサネット アップリンク ポートを提供します。

複数のアクセス レイヤ スイッチがディストリビューション レイヤのスイッチで集約されると、10 ギガビット イーサネット ポート密度の需要は急速に高まります。Cisco Catalyst 4500E の Universal Power over Ethernet(UPOE)のような新テクノロジーの登場により、IP 電話やビデオ電話に限らず、Cisco TelePresence System EX60 のような個人用 Cisco TelePresence® システムや、監視カメラのような非 IT デバイスも、すべてネットワークの一部になりつつあります。また、UPOE はさらに多くの仮想デスクトップ インフラストラクチャ(VDI)の導入も可能にします。VDI は、完全にネットワークのアベイラビリティに依存するものです。こうした変化によって、アクセス レイヤで、より高いポート密度とより広い帯域幅が必要になります。Cisco Catalyst 4500E シリーズのようなスイッチは単一のワイヤリング クローゼット内で最大 384 ポートをサポートでき、アグリゲーション レイヤへの 10 ギガビット イーサネット アップリンクを 4 つ以上サポートします。

Cisco Catalyst 4500-X シリーズ スイッチは、今日のエンタープライズ クラス アグリゲーション スイッチに要求されるパフォーマンスと拡張性を備え、将来的な拡張にも対応可能です。

ネットワークの移行が容易

  • SFP および SFP+ 光ファイバのサポートにより、ギガビット イーサネットから 10 ギガビット イーサネット アップストリームへ移行可能
  • 外部 USB および SD カードのサポートにより、柔軟なストレージ オプションを提供

IPv4 から IPv6 への移行が容易

  • IPv4 および IPv6 をサポート(デュアルスタック)
  • ハードウェアでの IPv6 のサポートにより、IPv6 ネットワークでワイヤレート転送が可能
  • 動的なハードウェア フォワーディング テーブルの割り当てにより、IPv4 と IPv6 をサポート
  • スケーラブルかつ柔軟なルーティング(IPv4、IPv6、およびマルチキャスト)テーブルと ACL、および QoS エントリ

スケーラブルなハードウェア エントリおよび強化された機能

  • 55K の MAC アドレスで、大規模なレイヤ 2 ドメインをサポート
  • ハイエンドのキャンパス アグリゲーション展開を実現する 256K のルーティング エントリ
  • 32K のマルチキャスト ルートでスケーラブルなマルチキャスト展開に対応
  • ハードウェアで 128K の Flexible NetFlow エントリ(複数のコレクタにエクスポート可能)
  • ポリシーベース ルーティング(PBR)により、ルーティング テーブルとトラフィック フローをカスタマイズ

高度な QoS とバッファリング

  • 各ポートに最大 8 個のキューを設定できる高度な QoS(キューごとにキュー サイズをカスタマイズ可)
  • ダイナミック バッファ制限(DBL)によるアクティブ キュー管理で、音声トラフィックのような低速の重要なフローと正常なフローの帯域幅保護を実現
  • バーストする傾向にあるビデオ トラフィックおよびサーバ マイクロバースト処理に最適な 32 MB の中央集中型バッファリングにより、バッファリング不足によるビジネス クリティカルなパケットの損失を防止

Cisco Catalyst 4500-X は、仮想化ボーダレス サービス用のモジュール型オープン アプリケーション プラットフォーム、Cisco IOS® XE ソフトウェアを搭載しています。ネットワークとデバイスの復元力は、Cisco Catalyst 4500-X に欠くことのできない要素です。

  • ファンおよび電源装置など、冗長性を備えたコンポーネントを搭載し、最大限の復元力を実現
  • VSS と Multichassis EtherChannel(MEC*)、FlexLinks、およびマルチ VRF テクノロジーを使用したレイヤ 3 セグメント化による、ネットワークの仮想化
  • Embedded Event Manager(EEM)と Cisco Smart Call Home による自動化で、診断、およびレポートを高速化

加えて Cisco Catalyst 4500-X は、レイヤ 2/3/4 に関する豊富な情報(MAC、VLAN、TCP フラグ)を使用した高度な可視化を実現する Flexible NetFlow と、合成トラフィック生成機能を提供する IP SLA-VO、そして、ビデオの QoS、監視、セキュリティを簡素化する Mediatrace、ビデオ監視、およびメディア サービス プロキシ(MSP)といったメディアネット機能により、アプリケーションのパフォーマンスも最適化します (パフォーマンスおよび拡張性機能の詳細については、表 1 を参照してください)。

表 1 Cisco Catalyst 4500-X スイッチ シリーズのパフォーマンスおよび拡張性

製品番号 説明
システム
ベース ポート 前面から背面へのエアーフロー
  • 32 x 10 ギガビット イーサネット SFP+/SFP:WS-C4500X-32SFP+
  • 16 x 10 ギガビット イーサネット SFP+/SFP:WS-C4500X-16SFP+**

背面から前面へのエアーフロー
  • 32 x 10 ギガビット イーサネット SFP+/SFP:WS-C4500X-F-32SFP+
  • 16 x 10 ギガビット イーサネット SFP+/SFP:WS-C4500X-F-16SFP+**
アップリンク ポート(オプション モジュール) 8 x 10 ギガビット イーサネット SFP+/SFP:C4KX-NM-8SFP+
管理ポート 10/100/1000 Base-T
USB ポート タイプ A(保管およびブート)最大 4 GB
デュアル電源 対応
現場交換可能なファン 対応(5 個)
ファンの冗長性 ファン 1 個の故障ではパフォーマンスに影響なし
拡張性
システム スループット 最大 800 Gbps
ハードウェアでの IPv4 ルーティング 最大 250 Mpps
ハードウェアでの IPv6 ルーティング 最大 125 Mpps
ハードウェアでの L2 ブリッジング 最大 250 Mpps
メディア アクセス コントロール(MAC)エントリ数(1K=1024) 55K
フォワーディング エントリ(1K=1024) WS-C4500X-F-32SFP+:256K IPv4、128K IPv6
WS-C4500X-F-16SFP+**:128K IPv4、32K IPv6
Flexible NetFlow エントリ(1K=1024) 128,000
スイッチド ポート アナライザ(SPAN)、リモート スイッチド ポート アナライザ(RSPAN) 8 つの双方向ラインレートセッション(イングレスとイーグレス)
総 VLAN 数 4094
スイッチ仮想インターフェイス(SVI)総数 4094
IGMP グループ数 32K
マルチキャスト ルート 32K
ダイナミック ホスト コンフィギュレーション プロトコル(DHCP)スヌーピング エントリ 4K(DHCP スヌーピング バインディング)
ARP エントリ 47K
スパニング ツリー プロトコル インスタンス 10K
ブリッジドおよびルーテッド パケットのジャンボ フレーム サポート 最大 9,216 バイト
VSS 将来のリリースで対応*
CPU とメモリ
オンボード メモリ(SRAM DDR-II) 4 GB デフォルト(最大)
ポート バッファ 32 MB 共有メモリ
CPU デュアル コア 1.5 GHz
NVRAM 2 GB
外部メモリ(SD カード) 2 GB
QoS 機能
ポート キュー 1 ポートあたり 8 キュー
CPU キュー 64
QoS エントリ(1K=1024) 128K(イングレスとイーグレスにそれぞれ 64K)を ACL と共有
集約レート制限 イングレス ポートまたは VLAN およびイーグレス VLAN またはレイヤ 3 ポート
レート制限レベルのタイプ 認定情報レート(CIR)、最大情報レート(PIR)
集約トラフィックのレート制限ポリサー(1K=1024) 16 K
フローベースのレート制限方式(レート数) 分類基準およびポリシング アクションにおけるフロー レコードの使用をサポート
QoS ポリシーの適用 ポートごと、または VLAN ごと、またはポート/VLAN ごと
サービス クラス(CoS) 対応
DiffServ コード ポイント(DSCP) 対応
重み付けラウンド ロビン(WRR)スケジューラ 対応
セキュリティ機能
ポート セキュリティ 対応
IEEE 802.1x および 802.1x 拡張機能 対応
VLAN、ルータ、およびポートの ACL 対応
セキュリティ ACL エントリ(1K=1024) 128K(イングレスとイーグレスにそれぞれ 64K)を QoS と共有
ハードウェアでのユニキャスト リバース パス転送(URPF)チェック 対応
CPU レート リミッタ(DoS 攻撃対策)CoPP を含む 対応
プライベート VLAN 対応
マイクロフロー ポリサー 対応(クラス マップ内のフロー レコードを使用し対応)
Cisco TrustSec のサポート 対応(802.1x、MACsec***、SGT***
パケット/秒(pps)およびビット/秒(bps)単位の CPU HW レート リミッタ ハードウェア CoPP で対応
マルチキャストのコントロール プレーン ポリシング 対応
例外の CoPP:最大伝送ユニット(MTU)、存続可能時間(TTL) ソフトウェア バージョンアップで対応予定**
ACL ラベル 対応
ポート ACL 対応
トラフィック ストーム制御(正式名称:ブロードキャスト/マルチキャスト抑制) 対応
仮想化機能
VRF-Lite の拡張性 64
EVN の拡張性 32


オーバーサブスクリプションの管理

標準的なキャンパス ネットワークは、オーバーサブスクリプションを想定して設計されます。アクセス スイッチからディストリビューション スイッチへ、もしくはディストリビューション スイッチからコア スイッチへのアップストリームの全ポート、またはコア スイッチ間の全リンクにラインレートを提供することは、一般的に実用的ではありません。

シスコの『ハイ アベイラビリティ キャンパス ネットワークの設計』ガイドが推奨するオーバーサブスクリプションの目安は、アクセスからディストリビューションへのアップリンク上のアクセス ポートについては 20:1 です。ディストリビューションからコアへのリンクの場合は 4:1 が推奨されます。データセンターでは、1:1 の割合が必要な場合もあります。

『ハイ アベイラビリティ キャンパス ネットワークの設計』ガイド http://www.cisco.com/web/JP/product/hs/switches/cat6500/prodlit/pdf/Campus_Design.pdf

Cisco Catalyst 4500-X は 10 ギガビット イーサネット ダウンリンク ポートを 32 個、10 ギガビット イーサネット アップリンク ポートを 8 個搭載しています。前述のオーバーサブスクリプション比により、この 32 個の 10 ギガビット イーサネット ダウンリンクは最大 32 個のアクセスレイヤ スイッチ、または約 6000 台のエンドユーザ デバイスをアクセスからディストリビューションへのリンク上で集約でき、20 対 1 以下のオーバーサブスクリプションを達成できます。また、8 個の 10 ギガビット イーサネット アップリンクはディストリビューション/コア間のリンクで 4 対 1 のオーバーサブスクリプションを提供します。

Cisco Catalyst 4500-X は最大 32 MB の中央集中型共有バッファを備え、ネットワーク輻輳中にパケットを保存できます。32 MB のバッファリングはギガビット イーサネットのオーバーサブスクリプション時におよそ 250 ミリ秒分のバッファリングとなり、10 ギガビット イーサネットのオーバースクリプション時には最大 25 ミリ秒分のバッファリングとなります。このような大容量のバッファにより、ミッションクリティカルなアプリケーションのようによりバッファ容量が必要なキューや、スカベンジャ クラスなどの重要性の低いアプリケーションのようにバッファ容量が少なくて済むものを、より柔軟に選択することが可能になります。

前述のオーバーサブスクリプション比により、アップリンクの輻輳は設計上発生するものです(図 7 を参照)。輻輳が発生したら、ミッションクリティカルなデータ アプリケーション、音声、ビデオなどの重要なトラフィックを QoS で保護する必要があります。また、好ましくないトラフィックの優先度を QoS で下げることも可能です。たとえば、スラマーのようなインターネット ワームに感染するとネットワーク上のリンクの多くで輻輳が発生しますが、QoS でこうした事象の影響を最小限に抑えることができます。

図 7 オーバーサブスクリプションによる輻輳

図 7 オーバーサブスクリプションによる輻輳


Quality of Service(QoS)

Cisco Catalyst 4500-X は、分類、マーキング、ポリシングといった基本的な QoS メカニズムはもちろん、帯域幅保証、シェーピング、優先キューイング、各ポートに最大 8 個のキュー設定、各キューのキューサイズのカスタマイズ、ダイナミック バッファ制限(DBL)のようなアクティブ キュー管理機能といった、高度な QoS ツールも完備しています。

キャンパス ネットワーク設計に QoS を使用することで、適切に設定されたキューに重要なトラフィックを配置でき、高優先度トラフィックのメモリ不足を防止できます。通常の状況下では、優先度の低いベストエフォート トラフィックを含む、すべてのネットワーク トラフィックに十分なレベルのサービスを提供できます。

アグリゲーションレイヤ スイッチは、ネットワークの運用上きわめて重要なコンポーネントです。CPU や、コントロール プレーンおよび管理プレーンへのサービスが中断すれば、ビジネスに影響を及ぼすネットワーク停止が起こります。過失または悪意により実行される CPU をターゲットにした DoS 攻撃では、通常トラフィックが重度にパントされ、CPU の過剰使用を引き起こします。

Cisco Catalyst 4500-X は 64 CPU キューなどの CPU 保護メカニズムを搭載しており、CPU に向かうトラフィックを差別化し、優先度に基づいてサービスを提供します。また、管理者はコントロール プレーンのパケットを管理する QoS フィルターを高度な CoPP 機能で設定して、コントロール プレーンを偵察行為や DoS 攻撃から保護することができます。これにより、攻撃を受けた際やトラフィック負荷が大きい際も、コントロール プレーンによってパケット転送とプロトコルの状態を維持できます。

ハイ アベイラビリティ


キャンパス ネットワークで重要なサービス要件は、ネットワークのアベイラビリティです。Cisco Catalyst 4500-X は、VSS 対応ハードウェアなどのネットワーク復元機能を複数備えています。ホットスワップ可能な冗長ファン、電源装置のフェールオーバーといったデバイス復元機能で、ネットワーク上のシングル ポイント障害を回避します。

Virtual Switching System(VSS*

Cisco Catalyst 4500-X スイッチ VSS は、2 台の Cisco Catalyst 4500-X スイッチを 1 台の仮想スイッチとして統合するクラスタリング テクノロジーです。VSS 機能を有効化したエンドツーエンドのキャンパス ネットワークでは、柔軟性とアベイラビリティが実現されます。VSS では、クラスタ化された両方のスイッチのデータ プレーンが、両方のシャーシで同時にアクティブになります。VSS メンバは仮想スイッチ リンク(VSL)で接続され、 VSL は仮想スイッチ メンバ間で、標準のギガビット イーサネットまたは 10 ギガビット イーサネットを使用します。VSL は、VSS メンバ間のコントロール プレーン通信に加え、通常のユーザ トラフィックにも対応します。図 8 に、VSS ペアへの物理的および論理的接続を示します。

図 8 VSS ペアの物理および論理トポロジ

図 8 VSS ペアの物理および論理トポロジ


VSS は、一元管理と 2 台の物理スイッチ間のコントロール プレーンにより、タッチポイントを削減します(アグリゲーションおよびコア展開向けに最適化)。また、レイヤ 2 MEC によってアクセス レイヤとディストリビューション レイヤ間でループフリー トポロジを実現でき、スパニング ツリーの必要性もなくなります。加えて、ホット スタンバイ ルータ プロトコル(HSRP)、ゲートウェイ ロード バランシング プロトコル(GLBP)、仮想ルータ冗長プロトコル(VRRP)といったファーストホップ冗長プロトコルの必要性を排除することで、ネットワーク トポロジの複雑性を軽減し、簡素化します。

セキュリティ サービス


あらゆるネットワーク設計にとって、セキュリティ サービスは不可欠です。アグリゲーション レイヤのセキュリティには、2 つの要素があります。第一に、インフラストラクチャを故意または事故による攻撃から保護し、ネットワークとネットワーク サービスのアベイラビリティを維持する必要があります。第二に、現在進行している攻撃の検出に役立てるため、インフラストラクチャはネットワークの状態に関する情報を提供する必要があります。

Cisco Catalyst 4500-X は、Cisco TrustSec の高度なセキュリティ機能を完備しています。Cisco TrustSec は、ネットワーク全体のセキュリティ アクセス リスクを緩和するインテリジェントでスケーラブルなアクセス コントロール ソリューションです。Cisco TrustSec の機能として、接続されたスイッチの認証を行うネットワーク デバイス アドミッション コントロール(NDAC)、セキュリティ グループ タグ(SGT)、セキュリティ グループ アクセス コントロール リスト(SGACL)を使用したポリシー適用、およびスイッチ間のデータを暗号化しデータの整合性を保つデータリンク層の暗号化テクノロジー MACsec といった、高度な 802.1X 機能を搭載しています(図 9 を参照)。

Cisco Catalyst 4500-X は他にも、Flexible NetFlow、SPAN、および EEM といった、現在進行中の攻撃の検出に必要な情報を提供する高度なアプリケーション モニタリング ツールを完備しています。

図 9 MACsec

図 9 MACsec
※画像をクリックすると、大きな画面で表示されますpopup_icon


アプリケーションの監視


ネットワークで何が起きているかを監視する機能なしでは、未認証デバイスや悪意のあるトラフィック フローの存在を検出することはきわめて困難です。

Cisco Catalyst 4500-X は以下のメカニズムで、異常または悪意ある活動の検出に必要なテレメトリ データを提供します。

  • Flexible NetFlow:ネットワークに現れる各データ フローを追跡する機能を提供。
  • SPAN/RSPAN:パケットのキャプチャと分析を行う機能を提供。
  • Wireshark:迅速なトラブルシューティングのためにパケットをキャプチャする機能を提供。
  • Embedded Event Manager(EEM):システムとネットワークのイベントを監視し、CLI の実行や Wireshark のキャプチャ開始といった措置を講じる機能を提供。
  • 簡易ネットワーク管理プロトコル(SNMP):ネットワーク上で、クリティカルなシステム ステータスの監視、クリティカル アラームの通知などを行う機能を提供。
  • Syslog:システム イベントを追跡する機能を提供。

Flexible NetFlow アプリケーションとトラフィック モニタリングに加え、EEM、SPAN/RSPAN、および Wireshark などの内蔵スニファ機能を併用することで、さらに高度な監視とリスク軽減を実現できます。Flexible NetFlow が異常なトラフィック フローを検出、発見するきわめてスケーラブルなメカニズムを提供する一方、SPAN および Wireshark では個別のパケットの内容を把握できます。これらのテレメトリ メカニズムはすべて、適切なバックエンド モニタリング システムのサポートが必要です。収集したデータを統合表示し、セキュリティを脅かす脅威発生の可能性をより正確かつ総合的に把握するには、Cisco Service Assurance Manager(SAM)のようなツールを使用する必要があります。

Flexible NetFlow

Cisco Catalyst 4500-X の Flexible NetFlow は柔軟性と拡張性が強化された次世代のフロー テクノロジーで、ネットワーク インフラの最適化や、運用コストの削減、容量計画とセキュリティ インシデント検出の改善に役立ちます。Flexible NetFlow は、従来の NetFlow と比較して、多くのメリットがあります。図 10 に、シスコ ネットワーク分析モジュールから流用した Flexible NetFlow コレクタ画面の例を示します。ネットワーク内のトップトーカーを、IP アドレス、VLAN、アプリケーション、アプリケーション グループ、および QoS 値ごとに一目で確認できます。

Flexible NetFlow を利用する主な利点:

  • フロー データの柔軟性と拡張性が従来の NetFlow よりも向上
  • より広範囲のパケット情報を監視し、従来は生成できなかったネットワーク動作に関する新しい情報を生成可能
  • ネットワーク異常とセキュリティ問題の検出機能が強化
  • トラフィック識別カスタマイズのためのユーザによる構成可能なフロー情報と、特定のネットワーク動作に注目して監視する機能を完備
  • 複数のアカウンティング テクノロジーを 1 つのアカウンティング メカニズムに統合
図 10 ネットワークおよびアプリケーション パフォーマンスの概要画面

図 10 ネットワークおよびアプリケーション パフォーマンスの概要画面
※画像をクリックすると、大きな画面で表示されますpopup_icon


ネットワーク仮想化


ネットワーク仮想化には、レイヤ 2 からレイヤ 3 以上にまたがる複数のテクノロジーが含まれます。その主要な 2 本の柱となるのが、VSS テクノロジーならびに、VRF-Lite、EVN、および MPLS を使用したレイヤ 3 ネットワーク セグメンテーションです。

Cisco Catalyst 4500-X スイッチ VSS* テクノロジーは、復元力とハイ アベイラビリティを備えたネットワークを構築し、トラフィック ロード バランシングも最適化できる、強力な新ツールとなります。VSS については、ハイ アベイラビリティ ソリューションの一環として「ハイ アベイラビリティ」の項に説明があります。

EVN 機能により、Cisco Catalyst 4500-X スイッチは複数の VPN VRF をサポートし、ネットワーク セグメンテーションを実現します。このテクノロジーではこうしたインスタンスのサポートに MPLS を使用する必要がなく、代わりにスイッチ間リンクのレイヤ 3 インターフェイスの設定に基づきサポートします。

Easy Virtual Network(EVN)

Cisco Catalyst 4500-X スイッチ EVN は、2 つ以上のレイヤ 3 ネットワークでエンドツーエンドの仮想化を実現する、IP ベースの仮想化テクノロジーです。単体の IP インフラストラクチャを用い、トラフィック パスがそれぞれ分離された個別の仮想ネットワークを構築することもできます。

EVN では MPLS を使用せずに仮想ネットワーク トランクを実現でき、ネットワーク インフラ全体のネットワーク仮想化の設定が大幅に軽減されます。従来の VRF-Lite ソリューションでは、データ パスに関係するすべてのスイッチとルータで VRF ごとに 1 つのインターフェイスを作成する必要があり、設定管理上、大きな負担となります。EVN では、「vnet trunk」コマンドを使うことで VRF ごとにインターフェイスを作成する必要性を排除できるので、 ネットワーク インフラ上のプロビジョニング量削減につながります。

EVN は VRF-Lite と下位互換性があり、VRF-Lite から EVN への透過的なネットワーク移行が可能です。図 11 に、VRF-Lite と EVN を示します。

図 11 VRF-Lite と EVN

図 11 VRF-Lite と EVN
※画像をクリックすると、大きな画面で表示されますpopup_icon


まとめ


新たなビジネス要件、テクノロジーの変化、および高まるエンドユーザの期待といった要素に対応し、ネットワーク アーキテクチャも進化しています。現在から将来にわたってビジネスとテクノロジーのニーズを満たすのに必要な、アベイラビリティ、セキュリティ、柔軟性、操作性のバランスが取れた優れたキャンパス ネットワーク設計を行ううえで、適切なテクノロジーとスイッチを選択することはきわめて重要です。

Cisco® Catalyst 4500-X シリーズ スイッチは、クラス最高水準のパフォーマンス、拡張性、復元力、ネットワーク仮想化を提供し、特にスペースに制約のあるキャンパス環境で統合ネットワーク サービスを提供する、エンタープライズ クラスのボーダレス ネットワーク固定型アグリゲーション スイッチです。これまでにない高度な拡張性により、ビジネスの成長目標に応じて柔軟な導入が可能です。また、VSS* 対応ハードウェアによるハイ アベイラビリティを提供し、VRF-Lite と EVN のサポートによりネットワーク仮想化の簡素化を実現、さらに、Flexible NetFlow によりネットワーク アプリケーションを可視化することで最適なネットワーク アプリケーションの可視性と容量計画を実現します。多数のネットワーク サービスを統合できるので、新しいアプリケーションにも対応できます。



* 将来のソフトウェア リリースで対応
** 将来のソフトウェア リリースで対応
*** 将来のソフトウェア リリースで対応