インターフェイス/モジュール

Cisco^® Content Switching Module with SSL（CSM-S; SSL対応コンテント スイッチング モジュール）は、レイヤ4～7のコンテント スイッチング機能をSecure Socket Layer（SSL）アクセラレーション機能とともに1つのライン カードに集積した、Cisco Catalyst^® 6500シリーズ スイッチ用ソリューションです。これら2つのテクノロジーを組み合わせることにより、セキュアなエンドツーエンド接続をアプリケーションに提供し、高度なコンテント スイッチング機能を実現します。このように2つの機能が統合されていることで、Cisco CSM-Sは、SSLセッションのデータ フィールドまたはヘッダーに含まれる、暗号化された情報を利用したロードバランシングを行います。また、SSLセッションID以外の情報も使用できるため、コンテント スイッチはより柔軟性に富んだセッション保持が可能です。これらすべての機能は、ネットワーク上での情報の暗号化を維持したまま、単一モジュール内で実行されます。金融データや医療記録など、機密性の高い顧客情報を扱うビジネスにとって、このようなセキュリティ機能は欠かすことのできない条件です。

SSL終端処理をバックエンド サーバからなくすことによって、これらのサーバにかかる高いプロセッサ負荷が取り除かれ、増大するSSL要求に対応するためのサーバを新たに追加する必要がなくなります。Cisco CSM-Sのような集中型デバイスでSSLを処理すれば、必要とされるデジタル証明書の数が減り、これらの証明書を管理する手間が最小化されます。

Cisco CSM-Sは、ネットワーク セッションとサーバ負荷状況をリアルタイムで追跡しながら、クライアント要求を適切なデバイスに送信することで、高速なコンテンツ配信ネットワークの要件を満たします（図1）。

図1 Cisco CSM-S

Cisco CSM-Sには、次の利点があります。

• 実証済みのプラットフォームに基づくテクノロジー - Cisco CSM-Sは、Cisco Catalyst 6500シリーズ スイッチまたはCisco 7600シリーズ ルータ用のCSMとSSLサービス モジュール（SSLSM）の利点と機能を統合した製品です。
• データ センターのパフォーマンスに最適化 - Cisco CSM-Sを採用すると、サーバ ファーム、キャッシュ クラスタ、および一連のVPNおよびファイアウォール デバイスのスケーラビリティとパフォーマンスが向上します。
• 安全なエンドツーエンドの暗号化 - Cisco CSM-Sは、SSLトラフィックを終端処理して、ロードバランシングをインテリジェントに決定し、トラフィックを再暗号化してから、ネットワークに再送信することができます。これらの機能により、ネットワーク上では情報を暗号化したままで、通常は暗号化されているために利用できないSSLセッションの情報を使って、高度なコンテント スイッチング機能を実行します。
• 優れた価格性能比 - Cisco CSM-Sは、コンテント スイッチングとSSLのどちらについても安価な接続コストを実現しています。また、新規または既存のCisco Catalyst 6500シリーズ シャーシのスロットに装着されるため、占有面積も少なくて済みます。
• SSLインフラストラクチャのコストと複雑さの軽減 - Cisco CSM-Sでは、SSL終端処理をネットワーク内で一元化するため、この処理要求への対応に必要なサーバ台数を削減できます。また、サイトごとに要求される証明書の数も減るため、コストの節減につながります。さらに、複数の証明書の管理に伴う複雑さも排除します。
• 容易な設定 - Cisco CSM-Sは、Cisco Catalyst 6500シリーズ スイッチの設定にも使用されるCisco IOS^® ソフトウェアのCLI（コマンドライン インターフェイス）を使用します。
• 既存のインフラストラクチャの強化 - Cisco CSM-Sを新規または既存のCisco Catalyst 6500シリーズ スイッチに追加することにより、SSLをオフロードしたうえで、Cisco Catalystスイッチのすべてのポートでレイヤ2～7のサービスを実行できます。
• セッション保持 - この機能により、送信元IPアドレス、クッキー、HTTPリダイレクション、またはSSLセッションIDによるセッション保持が可能になります。セッション中に、クライアントが新しいセッションIDを要求した場合でも、Cisco CSM-Sはセッション保持を実現します。
• スケーラビリティの高いパフォーマンス - 最大4枚のモジュールを単一シャーシ内に搭載できるCisco CSM-Sは、増大するコンテント スイッチングとSSLの要件に対応できるソリューションを提供します。

Cisco CSM-Sの機能

高性能
Cisco CSM-Sは、1秒あたり最大165,000の新規レイヤ4 TCP接続と、最大100万の同時接続を確立します。SYN Cookie Distributed-Denial-of-Service（DDoS）機能を有効にすれば、毎秒30万以上の接続を確立することが可能となります。これらの接続は、使用可能な任意のスイッチ ポートを通じて4,000台の仮想サーバに送信され、さらに最大16,000台の実サーバまたはデバイスに分散されます。また、20,000の同時SSL接続を維持して、100 Mbpsのバルク暗号化処理を行いながら、1秒あたり最大1,000のSSLトランザクションをサポートします。1台のCisco Catalyst 6500シリーズ シャーシには最大4枚までのCisco CSM-Sモジュールを搭載できるため、スケーラブルなパフォーマンスが提供されます。さらに、1つまたは任意のスイッチ ポートを利用できるという点において、最大限のパフォーマンスを発揮するためにすべてのポートを使用する分散アーキテクチャ製品よりも効率的です。

ネットワーク設定
Cisco CSM-Sは、さまざまなタイプのネットワーク トポロジーをサポートします。Cisco CSM-Sは、ブリッジ構成とルータ構成が混在した環境でも動作可能であり、同じあるいは異なるIPサブネット上でも、クライアント側からサーバ側にトラフィックを送信できます。

URLおよびクッキー ベースのロードバランシング
Cisco CSM-Sでは、URL、クッキー、およびHTTPヘッダー フィールドに基づくポリシーに対して、完全な正規表現によるパターン マッチングを使用できます。また、すべてのURL形式またはクッキー形式をサポートしているため、URLまたはクッキーの形式を変更しなくても、既存のWebコンテンツのロードバランシングを実行できます。

ヘッダー インサート
Cisco CSM-Sでは、SSLセッションIDまたはクライアントの送信元IPアドレスのような情報をHTTPヘッダーに挿入できます。通常、このような情報は、SSL終端処理、または送信元のNetwork Address Translation（NAT;ネットワーク アドレス変換）を実行した時点で失われます。HTTPヘッダーに挿入されたこの情報は、SSLセッションIDを認識する必要のあるバックエンド アプリケーションで活用されたり、または、送信元IPアドレスを使用して、課金情報を得るために利用されたりします。

バックエンド暗号化
Cisco CSM-SをSSLクライアントとして設定し、バックエンド サーバからSSLセッションを確立することも可能です。このような設定を行うと、Cisco CSM-Sはクライアントからの着信トラフィックを復号化し、通常は暗号化されているために利用できない情報を使ってロードバランシングを決定したり、セッション保持を実現することができます。そのあと、要求を再暗号化し、バックエンド サーバに送信します。このプロセスにより、ネットワーク上では暗号化の状態を保ったまま、コンテント スイッチング処理をする際に、暗号化されたトラフィックの上位レイヤの情報にアクセスすることができます。

クライアント認証
Cisco CSM-SがSSLサーバとして動作する場合、クライアント証明書の要求と認証を行うように設定することができます。このような設定で、CSM-SがSSLクライアントとして動作する場合は、サーバ証明書を自動認証することも可能です。この機能では、信頼されている一連の認証局と、各プロキシ サービスに対応する有効範囲を指定します。

クライアント証明書
クライアント タイプのプロキシ サービスに対応する証明書は、Cisco CSM-S上で設定することができます。CSM-SがSSLクライアントとして動作する場合、SSLサーバから認証を要求されたときに、サーバ リスト上の許可済み認証局の中に証明書の発行者が載っていれば、要求側SSLサーバに証明書を送信して、認証を受けることができます。

SSL 2.0の転送
SSLv2サーバのIPアドレスが設定されている場合、SSLv2接続を他のサーバにトランスペアレントに転送するようにCisco CSM-Sを設定できます。

証明書失効リスト
Certificate Revocation List（CRL;証明書失効リスト）は、失効した証明書を識別するタイムスタンプ付きのリストをCisco CSM-Sに提供します。通信先のピア デバイスが証明書を使用する際、そのデバイスは証明書のシグニチャと有効性を確認するだけでなく、証明書のシリアル番号がCRLに存在しないこともチェックします。

ハイ アベイラビリティ
Cisco CSM-Sは、さまざまなプローブ、インバンド ヘルス モニタリング、カスタム スクリプト、リターン コード チェック、Dynamic Feedback Protocol（DFP）、およびServer Application State Protocol（SASP）を使用して、サーバとアプリケーションのアベイラビリティを継続的にモニタします。デバイスに障害が発生すると、Cisco CSM-Sはトラフィックを別の場所にリダイレクトします。サーバが追加あるいは削除されたとしても、エンド ユーザに影響することなく、サービスを中断することもありません。

ユーザ セッションの保持
多くの場合、エンド ユーザは、セッション中に常に同じエンド デバイスに接続する必要があります。Cisco CSM-Sは次のソリューションを提供することにより、クライアント要求が適切なエンド デバイスに送信されるようにセッションを保持します。

• SSLセッションID、送信元IPアドレス、クッキー、またはHTTPリダイレクションに基づくスティッキー機能
• バックエンド アプリケーションがクッキーを設定できない場合でも、クッキーをスティッキー機能として使用できるようにするためのクッキー インサート
• セッション保持に使用される動的クッキーの静的な部分を管理者が定義できるようにする、クッキー オフセットおよびクッキー レングス

Cisco CSM-Sは、アクティブなCisco CSMからバックアップ用のCisco CSMに対して保持情報を同期させることで、ユーザにとってトランスペアレントなフェールオーバーを実現します。

高性能なDDoS保護機能
Cisco CSM-Sは、明らかにSYN攻撃とわかるトラフィックなど、不正トラフィックを回避する付加機能をバックエンド デバイスに提供します。バックエンド デバイスを不正トラフィックから保護するだけでなく、サービスが中断されないように、有効なクライアント要求の実行と送信を続行します。

ファイアウォール ロードバランシング

Cisco CSM-Sでは、複数のファイアウォール デバイスにトラフィックを分散することにより、ファイアウォールの保護を拡張できます。また、特定の接続に属するすべてのパケットが、同じファイアウォールを経由するようにします。ステルス型と通常タイプのファイアウォールの両方がサポートされています。

Quality of Service（QoS;サービス品質）
Cisco Catalyst 6500シリーズの堅牢なQoS機能を利用することにより、Cisco CSM-Sは、適切なレベルのサービスを実現するとともに、次のような機能を提供します。

• レイヤ7のルールに基づいてミッションクリティカルなパケットの優先順位を適切に設定
• 優先順位の高いユーザ トラフィックを高速のサーバまたは負荷に余裕のあるサーバに転送

グローバル サーバ ロードバランシング
Cisco CSM-Sには、グローバル ロードバランシング環境を構築するための複数のオプションがあります。Cisco CSM-Sは、Authoritative Domain Name System（DNS;ドメイン ネーム システム）として機能し、地理的に分散されたCisco CSM-Sの間でGlobal Server Load Balancing（GSLB）を実行します。この方法は、2～4のロケーションで構成される小規模なGSLB環境における障害回復に使用されます。また、Cisco CSM-Sの仮想IPに関する負荷情報をGlobal Site Selector（GSS）に通知することもできます。GSSは、最大128サイトまでサポートできる高度なGSLBサービス用に設計された装置です。さまざまなGSLBオプションを使用することにより、Cisco CSM-Sは、要件に合わせてGSLB機能を拡張できます。

表1 Cisco Catalyst 6500シリーズ CSM-Sの機能概要

発注情報

表2に、Cisco Catalyst 6500シリーズ CSM-Sの発注情報を示します。

表2 Cisco Catalyst 6500シリーズ CSM-Sの発注情報