Cisco Catalyst 6500シリーズ コンテント スイッチング モジュール

Cisco Catalyst 6500シリーズ SSL対応コンテント スイッチング モジュール

ダウンロード
Cisco Catalyst 6500シリーズ SSL対応コンテント スイッチング モジュール

データ シート


Cisco Catalyst 6500シリーズ SSL対応コンテント スイッチング モジュール


Cisco® Content Switching Module with SSL(CSM-S; SSL対応コンテント スイッチング モジュール)は、レイヤ4~7のコンテント スイッチング機能をSecure Socket Layer(SSL)アクセラレーション機能とともに1つのライン カードに集積した、Cisco Catalyst® 6500シリーズ スイッチ用ソリューションです。これら2つのテクノロジーを組み合わせることにより、セキュアなエンドツーエンド接続をアプリケーションに提供し、高度なコンテント スイッチング機能を実現します。このように2つの機能が統合されていることで、Cisco CSM-Sは、SSLセッションのデータ フィールドまたはヘッダーに含まれる、暗号化された情報を利用したロードバランシングを行います。また、SSLセッションID以外の情報も使用できるため、コンテント スイッチはより柔軟性に富んだセッション保持が可能です。これらすべての機能は、ネットワーク上での情報の暗号化を維持したまま、単一モジュール内で実行されます。金融データや医療記録など、機密性の高い顧客情報を扱うビジネスにとって、このようなセキュリティ機能は欠かすことのできない条件です。

SSL終端処理をバックエンド サーバからなくすことによって、これらのサーバにかかる高いプロセッサ負荷が取り除かれ、増大するSSL要求に対応するためのサーバを新たに追加する必要がなくなります。Cisco CSM-Sのような集中型デバイスでSSLを処理すれば、必要とされるデジタル証明書の数が減り、これらの証明書を管理する手間が最小化されます。

Cisco CSM-Sは、ネットワーク セッションとサーバ負荷状況をリアルタイムで追跡しながら、クライアント要求を適切なデバイスに送信することで、高速なコンテンツ配信ネットワークの要件を満たします(図1)。

図1 Cisco CSM-S

Cisco CSM-Sには、次の利点があります。

  • 実証済みのプラットフォームに基づくテクノロジー - Cisco CSM-Sは、Cisco Catalyst 6500シリーズ スイッチまたはCisco 7600シリーズ ルータ用のCSMとSSLサービス モジュール(SSLSM)の利点と機能を統合した製品です。
  • データ センターのパフォーマンスに最適化 - Cisco CSM-Sを採用すると、サーバ ファーム、キャッシュ クラスタ、および一連のVPNおよびファイアウォール デバイスのスケーラビリティとパフォーマンスが向上します。
  • 安全なエンドツーエンドの暗号化 - Cisco CSM-Sは、SSLトラフィックを終端処理して、ロードバランシングをインテリジェントに決定し、トラフィックを再暗号化してから、ネットワークに再送信することができます。これらの機能により、ネットワーク上では情報を暗号化したままで、通常は暗号化されているために利用できないSSLセッションの情報を使って、高度なコンテント スイッチング機能を実行します。
  • 優れた価格性能比 - Cisco CSM-Sは、コンテント スイッチングとSSLのどちらについても安価な接続コストを実現しています。また、新規または既存のCisco Catalyst 6500シリーズ シャーシのスロットに装着されるため、占有面積も少なくて済みます。
  • SSLインフラストラクチャのコストと複雑さの軽減 - Cisco CSM-Sでは、SSL終端処理をネットワーク内で一元化するため、この処理要求への対応に必要なサーバ台数を削減できます。また、サイトごとに要求される証明書の数も減るため、コストの節減につながります。さらに、複数の証明書の管理に伴う複雑さも排除します。
  • 容易な設定 - Cisco CSM-Sは、Cisco Catalyst 6500シリーズ スイッチの設定にも使用されるCisco IOS® ソフトウェアのCLI(コマンドライン インターフェイス)を使用します。
  • 既存のインフラストラクチャの強化 - Cisco CSM-Sを新規または既存のCisco Catalyst 6500シリーズ スイッチに追加することにより、SSLをオフロードしたうえで、Cisco Catalystスイッチのすべてのポートでレイヤ2~7のサービスを実行できます。
  • セッション保持 - この機能により、送信元IPアドレス、クッキー、HTTPリダイレクション、またはSSLセッションIDによるセッション保持が可能になります。セッション中に、クライアントが新しいセッションIDを要求した場合でも、Cisco CSM-Sはセッション保持を実現します。
  • スケーラビリティの高いパフォーマンス - 最大4枚のモジュールを単一シャーシ内に搭載できるCisco CSM-Sは、増大するコンテント スイッチングとSSLの要件に対応できるソリューションを提供します。

Cisco CSM-Sの機能

高性能
Cisco CSM-Sは、1秒あたり最大165,000の新規レイヤ4 TCP接続と、最大100万の同時接続を確立します。SYN Cookie Distributed-Denial-of-Service(DDoS)機能を有効にすれば、毎秒30万以上の接続を確立することが可能となります。これらの接続は、使用可能な任意のスイッチ ポートを通じて4,000台の仮想サーバに送信され、さらに最大16,000台の実サーバまたはデバイスに分散されます。また、20,000の同時SSL接続を維持して、100 Mbpsのバルク暗号化処理を行いながら、1秒あたり最大1,000のSSLトランザクションをサポートします。1台のCisco Catalyst 6500シリーズ シャーシには最大4枚までのCisco CSM-Sモジュールを搭載できるため、スケーラブルなパフォーマンスが提供されます。さらに、1つまたは任意のスイッチ ポートを利用できるという点において、最大限のパフォーマンスを発揮するためにすべてのポートを使用する分散アーキテクチャ製品よりも効率的です。

ネットワーク設定
Cisco CSM-Sは、さまざまなタイプのネットワーク トポロジーをサポートします。Cisco CSM-Sは、ブリッジ構成とルータ構成が混在した環境でも動作可能であり、同じあるいは異なるIPサブネット上でも、クライアント側からサーバ側にトラフィックを送信できます。

URLおよびクッキー ベースのロードバランシング
Cisco CSM-Sでは、URL、クッキー、およびHTTPヘッダー フィールドに基づくポリシーに対して、完全な正規表現によるパターン マッチングを使用できます。また、すべてのURL形式またはクッキー形式をサポートしているため、URLまたはクッキーの形式を変更しなくても、既存のWebコンテンツのロードバランシングを実行できます。

ヘッダー インサート
Cisco CSM-Sでは、SSLセッションIDまたはクライアントの送信元IPアドレスのような情報をHTTPヘッダーに挿入できます。通常、このような情報は、SSL終端処理、または送信元のNetwork Address Translation(NAT;ネットワーク アドレス変換)を実行した時点で失われます。HTTPヘッダーに挿入されたこの情報は、SSLセッションIDを認識する必要のあるバックエンド アプリケーションで活用されたり、または、送信元IPアドレスを使用して、課金情報を得るために利用されたりします。

バックエンド暗号化
Cisco CSM-SをSSLクライアントとして設定し、バックエンド サーバからSSLセッションを確立することも可能です。このような設定を行うと、Cisco CSM-Sはクライアントからの着信トラフィックを復号化し、通常は暗号化されているために利用できない情報を使ってロードバランシングを決定したり、セッション保持を実現することができます。そのあと、要求を再暗号化し、バックエンド サーバに送信します。このプロセスにより、ネットワーク上では暗号化の状態を保ったまま、コンテント スイッチング処理をする際に、暗号化されたトラフィックの上位レイヤの情報にアクセスすることができます。

クライアント認証
Cisco CSM-SがSSLサーバとして動作する場合、クライアント証明書の要求と認証を行うように設定することができます。このような設定で、CSM-SがSSLクライアントとして動作する場合は、サーバ証明書を自動認証することも可能です。この機能では、信頼されている一連の認証局と、各プロキシ サービスに対応する有効範囲を指定します。

クライアント証明書
クライアント タイプのプロキシ サービスに対応する証明書は、Cisco CSM-S上で設定することができます。CSM-SがSSLクライアントとして動作する場合、SSLサーバから認証を要求されたときに、サーバ リスト上の許可済み認証局の中に証明書の発行者が載っていれば、要求側SSLサーバに証明書を送信して、認証を受けることができます。

SSL 2.0の転送
SSLv2サーバのIPアドレスが設定されている場合、SSLv2接続を他のサーバにトランスペアレントに転送するようにCisco CSM-Sを設定できます。

証明書失効リスト
Certificate Revocation List(CRL;証明書失効リスト)は、失効した証明書を識別するタイムスタンプ付きのリストをCisco CSM-Sに提供します。通信先のピア デバイスが証明書を使用する際、そのデバイスは証明書のシグニチャと有効性を確認するだけでなく、証明書のシリアル番号がCRLに存在しないこともチェックします。

ハイ アベイラビリティ
Cisco CSM-Sは、さまざまなプローブ、インバンド ヘルス モニタリング、カスタム スクリプト、リターン コード チェック、Dynamic Feedback Protocol(DFP)、およびServer Application State Protocol(SASP)を使用して、サーバとアプリケーションのアベイラビリティを継続的にモニタします。デバイスに障害が発生すると、Cisco CSM-Sはトラフィックを別の場所にリダイレクトします。サーバが追加あるいは削除されたとしても、エンド ユーザに影響することなく、サービスを中断することもありません。

ユーザ セッションの保持
多くの場合、エンド ユーザは、セッション中に常に同じエンド デバイスに接続する必要があります。Cisco CSM-Sは次のソリューションを提供することにより、クライアント要求が適切なエンド デバイスに送信されるようにセッションを保持します。

  • SSLセッションID、送信元IPアドレス、クッキー、またはHTTPリダイレクションに基づくスティッキー機能
  • バックエンド アプリケーションがクッキーを設定できない場合でも、クッキーをスティッキー機能として使用できるようにするためのクッキー インサート
  • セッション保持に使用される動的クッキーの静的な部分を管理者が定義できるようにする、クッキー オフセットおよびクッキー レングス

Cisco CSM-Sは、アクティブなCisco CSMからバックアップ用のCisco CSMに対して保持情報を同期させることで、ユーザにとってトランスペアレントなフェールオーバーを実現します。

高性能なDDoS保護機能
Cisco CSM-Sは、明らかにSYN攻撃とわかるトラフィックなど、不正トラフィックを回避する付加機能をバックエンド デバイスに提供します。バックエンド デバイスを不正トラフィックから保護するだけでなく、サービスが中断されないように、有効なクライアント要求の実行と送信を続行します。

ファイアウォール ロードバランシング

Cisco CSM-Sでは、複数のファイアウォール デバイスにトラフィックを分散することにより、ファイアウォールの保護を拡張できます。また、特定の接続に属するすべてのパケットが、同じファイアウォールを経由するようにします。ステルス型と通常タイプのファイアウォールの両方がサポートされています。

Quality of Service(QoS;サービス品質)
Cisco Catalyst 6500シリーズの堅牢なQoS機能を利用することにより、Cisco CSM-Sは、適切なレベルのサービスを実現するとともに、次のような機能を提供します。

  • レイヤ7のルールに基づいてミッションクリティカルなパケットの優先順位を適切に設定
  • 優先順位の高いユーザ トラフィックを高速のサーバまたは負荷に余裕のあるサーバに転送

グローバル サーバ ロードバランシング
Cisco CSM-Sには、グローバル ロードバランシング環境を構築するための複数のオプションがあります。Cisco CSM-Sは、Authoritative Domain Name System(DNS;ドメイン ネーム システム)として機能し、地理的に分散されたCisco CSM-Sの間でGlobal Server Load Balancing(GSLB)を実行します。この方法は、2~4のロケーションで構成される小規模なGSLB環境における障害回復に使用されます。また、Cisco CSM-Sの仮想IPに関する負荷情報をGlobal Site Selector(GSS)に通知することもできます。GSSは、最大128サイトまでサポートできる高度なGSLBサービス用に設計された装置です。さまざまなGSLBオプションを使用することにより、Cisco CSM-Sは、要件に合わせてGSLB機能を拡張できます。

表1 Cisco Catalyst 6500シリーズ CSM-Sの機能概要

機能 説明
モジュールごとの接続数
  • 最大100万のTCP同時接続
  • 1秒あたり最大165,000の接続確立
  • 最大20,000のSSL同時接続
  • 1秒あたり最大1,000のSSLトランザクション
モジュールごとのスループット
  • モジュールあたり最大4 Gbpsの合計スループット(クライアント/サーバ間)
  • 1秒あたり最大125万パケット
  • 最大100 Mbpsのバルク暗号化
モジュールごとの設定容量
  • 合計VLAN数(クライアントおよびサーバ):512
  • 仮想サーバ:4,000
  • サーバ ファーム:4,000
  • 実サーバ:16,000
  • プローブ:4,000
  • Access Control List(ACL;アクセス制御リスト)項目数:16,000
  • 256個のキー ペア
  • 256の証明書
  • 512、768、1,024、1,536、および2,048の各ビット長に対応
  • 256台のプロキシ サーバ
ロードバランシング プロトコル
  • TCPロードバランシング
  • UDPの汎用IPロードバランシング
  • FTPおよびReal Time Streaming Protocol(RTSP)用の特別なアプリケーション レイヤ サポート
サポート対象のロードバランシング
  • SLB(TCP、UDP、または汎用のIPプロトコル)
  • ファイアウォール ロードバランシング
  • DNSロードバランシング
  • ステルス型のファイアウォール ロードバランシング(FWLB)
  • トランスペアレント キャッシュ リダイレクション
  • リバース プロキシ キャッシュ
  • SSLオフロード
  • VPN IP Security(IPSec)ロードバランシング
  • 汎用IPを使用するデバイスおよびプロトコル
ロードバランシング アルゴリズム
  • ラウンドロビン
  • 重み付きラウンドロビン
  • 最小接続数
  • 重み付き最小接続数
  • URLハッシング
  • 送信元IPハッシング(マスク設定可能)
  • 宛先IPハッシング(マスク設定可能)
  • 送信元と宛先IPハッシング(マスク設定可能)
レイヤ7の機能
  • 完全な正規表現によるマッチング
  • URL、クッキーに基づくスイッチング、HTTPヘッダー解析、HTTPメソッド解析
スティッキー機能および保持
  • 設定可能なオフセットとレングスによるクッキーのスティッキー機能
  • SSL ID
  • 送信元IP(設定可能なマスク)
  • HTTPリダイレクション
冗長性
  • スティッキーの状態
  • 接続の冗長性
ヘルス チェック
  • HTTP
  • Internet Control Message Protocol(ICMP)
  • Telnet
  • TCP
  • FTP
  • SMTP
  • DNS
  • リターン エラー コードのチェック
  • インバンド ヘルス チェック
  • ユーザ定義のTool Command Language(TCL)スクリプト
その他のロードバランシング機能
  • VIP接続ウォーターマーク
  • バックアップ(非常用サーバ)およびサーバ ファーム
  • ヘルス プローブ用のオプション ポート
  • GSLB - ライセンスが必要
  • 設定可能なアイドル タイムアウトおよび保留接続タイムアウト
  • 単一方向トラフィックのアイドル タイムアウト
  • 外部SSLSMとの統合によるSSLロードバランシング
  • 実サーバの名前
  • すべてのタイプのフロー(TCP、UDP、およびIP)に適用されるTCP接続の冗長性
  • フォールト トレラントなshowコマンドの拡張
  • Cisco IOSソフトウェアのSLB FWLBの相互運用(IPのリバース スティッキー)
  • Cisco CSM-SとCisco IOSソフトウェアのSLBが単一のシャーシ内で同時に機能
  • 設定可能なHTTP 1.1の保持(すべてのGETを同じサーバで実行するか、複数のサーバに対してロードバランシングするかのいずれかを選択)
  • 完全に設定可能なNAT
  • サーバによる接続の確立
  • ルート ヘルス インジェクション
SSLの機能
  • SSLの確立
  • SSL Version 2.0の転送
  • URLのリライト
  • HTTPヘッダー インサート
  • ワイルドカード プロキシ
ハッシュ アルゴリズム
  • Message Digest Algorithm 5(MD5)
  • SHA1
暗号スイート
  • SSL_RSA_WITH_RC4_128_MD5
  • SSL_RSA_WITH_RC4_128_SHA
  • SSL_RSA_WITH_DES_CSC_SHA
  • SSL_RSA_WITH_3DES_EDE_CBC_SHA
ハンドシェイク プロトコル
  • SSL 3.0
  • SSL 3.1およびTransport Layer Security(TLS) 1.0
  • SSL 2.0(Client Hello)
  • セッションの再使用
  • セッションの再ネゴシエーション
  • セッション タイムアウト
アルゴリズム
  • Alleged RC4(ARC4)
  • Data Encryption Standard(DES)
  • Triple DES(3DES)
  • RSA
Public Key Infrastructure(PKI;公開鍵インフラストラクチャ)
  • 最大2048ビットの証明書に対応するRSAキーペアの生成
  • Cisco CSM-Sのフラッシュ メモリ デバイスへの安全なキーの保存
  • クライアントタイプおよびサーバタイプのプロキシ サービス用のサーバ証明書の登録
  • サーバ キーと証明書のインポートおよびエクスポート(Public-Key Cryptography Standards 12[PKCS12]およびPEM)
  • キーと証明書のインポートおよびエクスポート機能を使用した、スタンバイCisco CSM-Sでのキーと証明書の複製
  • 手動によるキーのアーカイブ、回復、およびバックアップ
  • CLIを使用したキーと証明書の更新
  • 期限切れのキーと証明書に対するグレースフル ロールオーバー
  • 証明書の自動登録と自動更新
  • カット アンド ペーストまたはTrivial File Transfer Protocol(TFTP;簡易ファイル転送プロトコル)によるCA証明書のインポート
  • 証明書チェーン内で最大8レベルのCAをサポート
  • 自己署名証明書の生成
  • PKCS10 CSRファイルのカット アンド ペーストまたはTFTPを使用した、証明書の手動登録
  • ピア(クライアントおよびサーバ)の証明書認証
  • ピア(クライアントおよびサーバ)の証明書
  • 証明書のセキュリティ属性に基づくACL
  • CRL
  • 証明書期限切れの警告
NATおよびPort Address Translation(PAT;ポート アドレス変換)
  • クライアントのNATおよびPAT
  • サーバのNATおよびPAT
その他の機能
  • IPリアセンブリ
  • TCLスクリプティング
  • Extensible Markup Language(XML)設定インターフェイス
  • SNMP(簡易ネットワーク管理プロトコル)
  • リソース使用状況の表示
  • バックエンド暗号化
管理
  • SNMPトラップ
  • SNMPおよびMIB(管理情報ベース)の完全サポート
  • リモートCSM設定用のXMLインターフェイス
ワークグループ管理のサポート
  • SASP
Cisco Catalyst 6500シリーズ スイッチ プラットフォームの要件
  • Cisco IOSソフトウェアを実行するスイッチ
  • バス対応のライン カード機能
  • Supervisor Engine 720 または Multilayer Switch Feature Card 2(MSFC2;マルチレイヤ スイッチ フィーチャ カード2)を搭載したSupervisor Engine 2
物理仕様
  • Cisco Catalyst 6500シリーズ シャーシの1スロットを占有
  • 寸法(高さ×幅×奥行):3.0×35.6×40.6 cm(1.2×14.4×16インチ)
  • 重量:2.27 kg(5ポンド)
動作環境
  • 動作温度:0~40°C(32~104.5°F)
  • 保管温度:-40~70°C(-40~158°F)
  • 相対動作湿度:10~90%(結露しないこと)
  • 相対保管湿度:5~95%(結露しないこと)
  • 動作高度および保管高度:海面レベルから3,050 m(10,000フィート)
適合規格
  • 放射:FCC Part 15 (CFR47) クラスA、ICES-003クラスA、EN55022クラスA、CISPR22クラスA、およびAS NZS3548クラスA  
  • 安全基準:UL1950、CSA22.2 No. 950、EN60950、IEC60950、TS001、およびAS/NZS3260に基づくCEマーク


発注情報

表2に、Cisco Catalyst 6500シリーズ CSM-Sの発注情報を示します。

表2 Cisco Catalyst 6500シリーズ CSM-Sの発注情報

製品番号 製品説明
WS-X6066-SLB-S-K9 Cisco Catalyst 6500シリーズ SSL対応コンテント スイッチング モジュール
WS-X6066-SLB-S-K9= Cisco Catalyst 6500シリーズ SSL対応コンテント スイッチング モジュール、スペア モジュール



お問い合わせ