設計ガイドCisco Data Center Services Node のアーキテクチャCisco® Data Center Service Node(DSN)は、データセンターで Cisco Nexus® 7000 シリーズ スイッチを補完する新しいシスコ製品です。Cisco DSN は、データセンターで関連する特定の統合ネットワーク サービスをホストするためのプラットフォームです。ネットワーク サービスの例としては、Cisco Firewall Services Module(FWSM; ファイアウォール サービス モジュール)や、サーバ ロード バランシング用の Cisco Application Control Engine(ACE; アプリケーション コントロール エンジン)モジュールなどがあります。このサービス ノード ベースのソリューションにより、実績あるエンタープライズ製品で共通のアーキテクチャを使用できるとともに、このソリューションを既存のネットワーク インフラストラクチャと簡単に統合することができます。共通のプラットフォームを使用した一貫性のあるアーキテクチャを導入することで、接続コストを大幅に削減できるうえに、ネットワークのパフォーマンス、管理性、および柔軟性を改善できます。Cisco DSN では、アグリゲーション レイヤ スイッチを冗長化するためにデータ パス接続にデュアルホーム アプローチを採用しています。このアプローチにより、サービス モジュールは特定のアグリゲーション スイッチに依存しなくなります。 Cisco DSN は完全独立型であるため、アグリゲーション レイヤ スイッチや Cisco DSN が必要とするシステム メンテナンスを柔軟に運用できます。高可用性という点では、いずれかのアグリゲーション スイッチや Cisco DSN に障害が発生しても、他のアグリゲーション スイッチからアクティブな Cisco DSN にトラフィックを引き続き流すことができ、サービス モジュール自体のフェールオーバー イベントを必要としません。 イントロダクションこのドキュメントは、企業のデータセンターへの Cisco DSN の統合に関する参照用の設計および設定ガイドです。Cisco DSN は、Cisco Catalyst® 6500 シリーズ専用のサービス シャーシで、Cisco FWSM 3 台と Cisco ACE モジュール 1 台を収容し、最大 15 Gbps の安全なロード バランシング システム スループットを提供します。Cisco DSN は、ファイアウォール セキュリティとアプリケーション配布機能を統合し、さらにサード パーティ ソリューションとモニタリング機能を統合することで、クラウド サービスを実現します。 対象読者このドキュメントは、データセンター ネットワークの Cisco DSN(サービス シャーシ)アーキテクチャについて設計オプションと設定を理解する必要のあるネットワーク エンジニアおよび設計者を対象としています。 データセンターデータセンターはクラウド サービス環境へと進化しつつあります。クラウド サービスとは、インフラストラクチャ、プラットフォーム、およびソフトウェアをサービスとして提供することです。クラウド コンピューティング環境への移行により、データセンターでのコストの削減、ダイナミックなリソースの提供、柔軟性の向上、サービスレベル契約(SLA)の向上、およびスペース、帯域幅、スループットの向上が可能になります。このような利点は、データセンターのネットワーキングという急速に進化している分野にとって特に重要です。エンドノードのパフォーマンス向上と低コスト ソリューションが求められていることで、データセンターでの 10 ギガビット イーサネットへの移行とサーバ、ネットワーク、およびサービス仮想化の実装が進んでいます。 ネットワークの拡大に伴い、すべてのサービス機能を個別のレイヤに分離するために専用の Cisco DSN が必要になります。Cisco DSN の大きな利点は、予測可能なトラフィック パターンを使用して新しいサービスを制御しながら導入できることです。Cisco DSN は、セキュリティ機能とサーバ ロード バランシング機能専用のサービス モジュールを使用した Cisco Catalyst 6500 シリーズ スイッチで構成されます。Cisco DSN は、Cisco Nexus 7000 シリーズ スイッチなどのアグリゲーション レイヤ スイッチに直接接続できます。また、ポートを使用できる場合には Cisco DSN をアグリゲーション レイヤとして使用することもできます。Cisco DSN の主な目的は、データセンターでネットワーク サービスを透過的に適用して、パフォーマンス、信頼性、管理性を向上させ、柔軟性、機能性、安全性の高いサーバ ファームを構築することです。 Cisco DSN の第 1 フェーズでは、2 つの設計シナリオについて検討します。設計 1(図 1 を参照)では、レイヤ 3 の Cisco DSN でルーテッド Cisco FWSM および Cisco ACE を使用し、Cisco DSN の Cisco Catalyst 6500 シリーズ Multilayer Switch Feature Card(MSFC; マルチレイヤ スイッチ フィーチャ カード)に Virtual Route Forwarding(VRF)インスタンスを定義しています。設計 2(図 3 を参照)では、Cisco DSN はレイヤ 2 にあり、ルーティングは実行されず、Cisco ACE と Cisco FWSM の両方が透過モードになっています。Cisco DSN では、仮想化の概念をサービス レイヤ シャーシに適用しています。どちらの設計例でも、トラフィックはコアまたはアグリゲーション レイヤでセグメント化され、Cisco DSN まで延長されます。VRF インスタンスは各 Cisco FWSM または各 Cisco ACE のコンテキストにマップされ、次に各 VLAN にマップされます。クラウド サービス データセンターの展開でこれを行うと、独自の専用ルーティング インスタンス、Cisco FWSM と Cisco ACE のコンテキスト、および VLAN を特定のサービスまで拡大することができます。仮想化によって、リソースをパーティション化でき、各コンテキストに独自の Access Control List(ACL; アクセス コントロール リスト)、ポリシー、インターフェイス、ルーティングなどが指定されるので、顧客それぞれについてカスタマイズと分離を行うことができます。このような柔軟性があるため、ネットワーク管理者は Cisco DSN のリソースを最大限活用できます。Cisco DSN は、ネットワークのすべてのレイヤにわたりトラフィックをセグメント化して、エンドツーエンドのクラウド サービス モデルを提供します。 データセンターは、企業ネットワークの重要な部分です。データセンターのネットワーク設計では、デバイスやリンクにどんな障害があっても高可用性を保てなければなりません。ホストするサーバやアプリケーションのファイアウォール保護やロードバランシングなどのサービスを提供するには、高度な機能が必要となります。このドキュメントでは、Cisco DSN をデータセンター設計に組み込むためのアーキテクチャ モデルを検証します。 Cisco DSN バンドルのコンポーネント表 1 に、Cisco DSN バンドルのコンポーネントを示します。 表 1 Cisco DSN バンドルのコンポーネント
注: Cisco FWSM と Cisco ACE がサポートするシャーシ、電源装置、およびラインカードは、ここに示されたものに限定されません。ハードウェアのリストは、発注できる Cisco DSN バンドルに固有のものです。 仮想化さまざまなレベルの仮想化をネットワークで使用して、リソース、帯域幅、およびパフォーマンスを向上させることができます。また、さまざまなテクノロジーと機能を使用して、データセンターの仮想化を推進できます。Cisco DSN の設計例では、Virtual Device Context(VDC; 仮想デバイス コンテキスト)、virtual PortChannel(vPC)、Virtual Switching System(VSS; 仮想スイッチング システム)、VRF、および Cisco FWSM と Cisco ACE の仮想化を使用しています。 エンジニアは VDC を使用して、複数の論理デバイスへの Cisco Nexus 7000 シリーズの接続を論理的にパーティション化または仮想化することができます。VDC には、独立した独自の VLAN インスタンスおよび VRF インスタンスのセットが含まれています。各 VDC には個別のポートを割り当てることができるため、ハードウェアのデータ プレーンも仮想化できます。各 VDC 内では、個別の管理ドメインで各 VDC を管理できるため、管理プレーンも仮想化できます。VDC は、設定を簡単にし、サポート性とセキュリティを改善するために使用されます。vPC は、Cisco Nexus 7000 シリーズの機能であり、2 つの物理デバイス間で EtherChannel を構築できます。 VSS は、Cisco Catalyst 6500 シリーズ物理スイッチ 2 台を組み合わせて 1 台の仮想化スイッチにします。このように整理することで、コントロール プレーンを統合できるうえ、両方のデータ プレーンも同時に転送できます。VSS では、Multichassis EtherChannel(MEC)により、2 つの物理スイッチ間に PortChannel を構築できます。vPC と VSS の両方により、冗長システムでシステムの可用性を向上させ、スパニング ツリー プロトコルへの依存性を排除し、コンバージェンス時間を短縮し、常にシステムの可用性を余すことなく活用できるようにします。Cisco DSN の使用例では、アグリゲーション レイヤ スイッチは vPC モードで動作し、MEC を通って Cisco DSN と相互接続することができます。MEC は VSS で動作します。VSS を Cisco DSN と統合すると、1 つの VSS ドメイン内でサポートされるサービス モジュールの数が 1 シャーシあたり 4 から 8 に増えるため、アクティブ-アクティブ高可用性サービス シャーシが実現するという利点もあります。 VRF インスタンスでは、1 つのレイヤ 3 スイッチ内で複数のルーティングを設定して、個別の仮想ルーティング テーブルを使用することができます。VRF-lite は、データセンター リソースの使用を最適化するために、レイヤ 3 でカスタマー トラフィックを分離します。VRF-lite エンドツーエンド テクニックを使用して、カスタマー パスを分離できます。VRF には次の利点があります。
各カスタマーには VRF ID が割り当てられます。VRF 情報はレイヤ 3 ドメインのすべてのホップを通って伝送されてから、レイヤ 2 ドメインの 1 つ以上の VLAN にマップされます。各カスタマーのプライバシーを保護するため、デフォルトでは VRF インスタンス間の通信は許可されません。 Cisco FWSM での仮想化 Cisco FWSM は、複数の仮想デバイス(セキュリティ コンテキスト)に分割できます。各コンテキストは、独自のセキュリティ ポリシー、インターフェイス、および管理者を持ちます。コンテキストが複数あることはスタンドアロン デバイスが複数あるようなもので、コストを削減しながらカスタマー トラフィックの分離と安全性を維持するのに適した方法です。マルチコンテキスト モードでは、ルーティング テーブル、ファイアウォール機能、管理など、多くの機能がサポートされます。Cisco FWSM は、最大 250 の仮想コンテキストをサポートします。 Cisco FWSM には次の機能があります。
Cisco ACE での仮想化 仮想化環境は、コンテキストと呼ばれるオブジェクトに分割されます。各コンテキストは、独立した Cisco ACE のように動作し、独自のポリシー、インターフェイス、ドメイン、サーバ ファーム、実サーバ、および管理を持ちます。このため、ほとんどの機能サブシステムを仮想化した状態でコンテキスト単位のリソース プロビジョニングを行うことができます。 Cisco ACE モジュールには次の機能があります。
Cisco FWSM と Cisco ACE のどちらにも、セキュリティとアプリケーション ロード バランシングにおいて優れたフィーチャ セットがあります。ただし、一部のセキュリティ機能は表 2 に示すようにこれら 2 つに重複しています。 表 2 セキュリティ機能:Cisco FWSM と Cisco ACE の比較
複数の仮想コンテキストを使用したアクティブ-アクティブ モードVSS では、サービス モジュールはアクティブ-アクティブ モードになり、各仮想コンテキストは各 Cisco DSN の指定されたサービス モジュールでアクティブ-スタンバイ モードになります。 このモデルでは、Cisco FWSM および Cisco ACE モジュールの仮想機能を使用して、トラフィックの一部を両方のサービス シャーシに分散させます。各デバイスへのトラフィックが自動的に等しく分散することはありませんが、ネットワーク管理者は予測負荷などの要因を基にして各サーバ ファーム サブネットを特定のコンテキストに割り当てることができます。アグリゲーション スイッチに VRF インスタンスを実装することにより、ルーティングの仮想化もアクティブ-アクティブ モデルで使用されます。アクティブ-アクティブ ルーテッド Cisco DSN モデル(図 1 を参照)では、レイヤ 3 のすべての処理が Cisco DSN で実行され、Cisco FWSM と Cisco ACE は両方ともルーテッド モードになります。設計 2 では、透過型 Cisco DSN モデルが、純粋なレイヤ 2 接続スイッチとして動作します。 アクティブ-アクティブ設計モデルでは、Cisco DSN の Cisco FWSM と Cisco ACE がアクティブ コンテキストをサポートでき、Cisco DSN のペア(VSS)間での負荷分散により各 Cisco DSN のリソースが最適化されます。アクティブ-アクティブ設計を実現するために、各サービス モジュールに対してフェールオーバー グループが定義されます。フェールオーバー グループは仮想コンテキストを含んでおり、特定のグループに対してアクティブにする物理 Cisco FWSM および Cisco ACE を指定します。各モジュールには、フェールオーバー グループに対するプライマリおよびセカンダリの優先度ステータスが割り当てられます。各シャーシの Cisco FWSM と Cisco ACE の間の耐障害性インターフェイスは、シャーシ間で個別の物理接続を使用します。Cisco DSN は VSS 設定であるため、設定されているすべての VLAN は仮想スイッチ リンク(VSL)で伝送されます。したがって、耐障害性リンクやステートフル接続用の個別のリンクは必要ありません。 Cisco Catalyst 6500 シリーズ サービス モジュールの仮想機能を使用すると、コンテキストを作成して個別の仮想デバイスのように動作させることができます。1 番目の Cisco FWSM と Cisco ACE は、1 番目のコンテキストに対してはプライマリであり、2 番目のコンテキストに対してはスタンバイです。2 番目の Cisco FWSM と Cisco ACE は、2 番目のコンテキストに対してはプライマリであり、1 番目のコンテキストに対してはセカンダリです。このような設定では、両方の側のモジュールをトラフィックの一部に対してプライマリにすることができるうえ、ネットワーク管理者は 1 セットのモジュールを純粋なスタンバイ ロールでアイドルに近い状態にしなくてもトポロジの負荷を分散させてネットワーク リソースを最適化できます。 注: アクティブ-アクティブ設計では、ネットワーク管理者は 1 つのサービス モジュールがすべてのアクティブ コンテキストをサポートする場合の障害イベントに備えた適切な計画を立てる必要があります。トラフィックの合計が残りのサービス モジュールの容量を超えると接続が失われる可能性があるため、VSL のサイズを適切に見積もることが重要です。ベスト プラクティスは、VSL の帯域幅を、1 つのシャーシに着信するアップリンク トラフィックの総量と等しくすることです。 詳細については、次のリンク先を参照してください。
設計の考慮事項ここでは、Cisco DSN の 2 つの設計オプションについて検討します。オプション 1 のルーテッド Cisco DSN(図 1 を参照)では、Cisco FWSM と Cisco ACE はどちらもルーテッド モードです。さらに、VRF が Cisco DSN MSFC で定義されています。ルーテッド Cisco DSN の使用例は、Enterprise Solutions Engineering によって検証されています。この使用例の詳細については、http://nsite.cisco.com/publications/viewdoc.php?docid=5656 [英語] を参照してください。 オプション 2(図 3 を参照)は透過型 Cisco DSN と呼ばれ、Cisco DSN でルーティングは実行されず、Cisco FWSM と Cisco ACE が透過モードに設定されています。オプション 2 の設計ガイドと検証は、2010 年第 3 四半期に公開される予定です。 どちらの設計オプションでも、2 つの使用例があり、1 つは Cisco FWSM がサーバに面し、もう 1 つは Cisco ACE がサーバに面しています。設計要件に応じて、Cisco FWSM または Cisco ACE をサーバ向きに配置できます。ルーテッド Cisco DSN の検証済み設計では、Cisco FWSM がサーバに面しています。 Cisco FWSM がサーバ ファームの内側に面し、Cisco ACE がインターネットに面していると、次のような利点があります。
Cisco ACE がサーバ ファームの内側に面し、Cisco FWSM がインターネットに面していると、次のような利点があります。
設計オプション 1:ルーテッド Cisco DSN 設計オプション 1(図 1)は、ルーテッド Cisco DSN を使用しています。ルーテッド Cisco DSN を使用した場合は、Cisco FWSM と Cisco ACE はどちらもルーテッド モードになるため、サーバのデフォルト ゲートウェイ 2 つのうちいずれかが作成されます。概念上は、ルーテッド サービス デバイスの実装とトラブルシューティングは透過型サービス デバイスよりも簡単です。VLAN とサブネットの間に 1 対 1 の相関関係があり、デバイスが Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を VLAN 間で転送しないためスパニング ツリー構造が簡素化されるからです。 
図 1 ルーテッド Cisco DSN:物理トポロジ Cisco ACE には、仮想マシンの SSL オフロードを設定できます。Cisco ACE は複数の VLAN を使用して、仮想マシンをセグメント化して複数層のアプリケーションをホストする異なるネットワークにします。Cisco ACE は、複数のコンテキストをルーテッド モードで実行するように設定できます。サーバ ロード バランシング(SLB)トラフィックに対して、各コンテキストにはクライアントおよびサーバに面した VLAN を設定します。サーバに面した VLAN は、Cisco FWSM で外側の VLAN と共有されます。Cisco ACE は、スタティック ルートを Cisco FWSM とともに仮想マシンへのゲートウェイとして使用します。 Cisco FWSM は、複数コンテキストのルーテッド モードで稼動して仮想マシンのデフォルト ゲートウェイとして動作するように設定されます。ルーテッド モードの Cisco FWSM は接続したネットワーク間のルータとして動作し、各インターフェイスは異なるサブネット上の IP アドレスを必要とします。ファイアウォール コンテキストは仮想マシン VLAN 間にセキュリティを提供します。VLAN は単一の顧客に関連付けられ、必要に応じてトラフィックを VLAN とアウトバウンド ネットワークの間でルーティングします。各ファイアウォールには、仮想マシンに対してローカルな VLAN を設定します。ファイアウォールは、スタティック デフォルト ルートを使用して、Cisco ACE のサーバ側 VLAN のエイリアス IP アドレスに宛てて、トラフィックをクライアントにルーティングします。マルチコンテキスト モードはスタティック ルートのみをサポートするため、Cisco FWSM はクライアントまたはアウトバウンドへのアクセスに対して Cisco ACE へのスタティック デフォルト ルートを使用するように設定されます。Cisco FWSM はマルチコンテキスト モードのダイナミック ルーティングをサポートしません。 図 2 に、論理トポロジを示します。 
図 2 ルーテッド Cisco DSN:論理トポロジ クライアントからサーバ、およびサーバからクライアントへのトラフィック フローは次のとおりです。 1. クライアントから仮想 IP へのトラフィックがエッジ ルータにルーティングされます。 2. エッジ ルータが、トラフィックを Cisco DSN 上の適切な VRF インスタンス(VRF Red)にルーティングします。 3. Cisco DSN が、このトラフィックを外側の Cisco ACE コンテキストのクライアントに面した VLAN 200 にルーティングします。 4. Cisco ACE コンテキストが、サーバ ロード バランシングを実行します。 5. Cisco ACE コンテキストが、宛先アドレスを仮想マシンのアドレスに書き換えます。 6. Cisco ACE が、スタティック ルートを使用して、トラフィックをサーバ側 VLAN から共有(外側)の Cisco FWSM(VLAN 100)に転送します。 7. Cisco FWSM が、アプリケーション タイプごとに異なる VLAN を使用して、トラフィックをサーバに直接転送します。 8. 仮想マシンからのリターン トラフィックが、デフォルト ゲートウェイである Cisco FWSM(VLAN 20)にルーティングされます。 9. Cisco FWSM が、デフォルト ルートを使用して、トラフィックを Cisco ACE のサーバに面した VLAN に共有(外側)の Cisco FWSM(VLAN 100)経由で転送します。 10. Cisco ACE コンテキストにはサービス スイッチ上のレイヤ 3 Switch Virtual Interface(SVI; スイッチ仮想インターフェイス)(VRF Red)宛てのクライアント トラフィックのデフォルト ルートがあり、これにはクライアント(VLAN 200)からアクセスできます。 11. Cisco ACE コンテキストが、送信元アドレスを仮想 IP アドレスに書き換え、トラフィックを Cisco DSN(MSFC)にルーティングします。 12. Cisco DSN(MSFC)の VRF が、ダイナミック ルーティングを使用して、トラフィックをエッジ ルータにアグリゲーション スイッチへのレイヤ 2 経由で転送します。 13. エッジ ルータが、トラフィックをインターネット バックボーンまたは VPN にルーティングします。 注: ルーテッド Cisco DSN 設計のこの使用例は、サービスおよびシステム ビジネス チームによって検証されています。詳細については、http://nsite.cisco.com/publications/viewdoc.php?docid=5656 [英語] を参照してください。 設計オプション 2:透過型 Cisco DSN 透過モード(図 3)では、サービス モジュールは VLAN チェーンからのトラフィックをブリッジします。トラフィックは 1 つのサブネット内の明確な 1 セットの VLAN 間を転送され、「bump-in-the-wire」として機能します。 
図 3 透過型 Cisco DSN:物理トポロジ 透過型ファイアウォールに必要な設定は、ルーテッド ファイアウォールよりも少なくなります。設定するルーティング プロトコルがなく、保持するスタティック ルートのリストもないからです。必要なのは、ブリッジ グループ インターフェイス上の IP サブネット 1 つだけです。接続したセグメントのブリッジング デバイス間で BPDU が転送されます。このように、これは真の意味で透過的であり、単なるブリッジではありません。透過型 Cisco FWSM の各インターフェイス上の VLAN はそれぞれ異なる VLAN 番号を持つため、透過型デバイスは VLAN をチェーン化すると表現されることもあります。 注: Cisco FWSM は、1 コンテキストあたり最大 8 の Bridge-group Virtual Interface(BVI;ブリッジ グループ仮想インターフェイス)をサポートします。 透過型 Cisco DSN モデルでは、Cisco FWSM はアクティブ-アクティブ Cisco DSN でマルチコンテキスト透過モードに設定されます。透過モードの Cisco FWSM では、ファイウォール コンテキストは確実にトラフィックのパスに入り、定義されているセキュリティ ポリシーを適用できます。 Cisco ACE は、ブリッジ モードのマルチコンテキストとして使用されます。透過型 Cisco ACE の実装作業は、Cisco FWSM の実装と同様に、複数の VLAN がチェーン化されて 1 つの IP サブネットに転送され、また、隣接するスイッチでスパニング ツリー計算を実行するため BPDU が転送されます。透過型 Cisco ACE はトラフィックに沿って配置され、両側のプロトコル交換を確実に通過させるためのトラフィック転送メカニズムは必要ありません。Cisco ACE は、1 つのブリッジ グループあたり最大 2 つのレイヤ 2 インターフェイス VLAN をサポートし、1 つのシステムあたり最大 2,000 の BVI をサポートします。BVI は、VLAN ブリッジングを提供するように設定されます。 Cisco Nexus 7000 シリーズの VDC 機能を使用すると、VDC を使用したネットワーク設計が実現します。VDC を使用して、サブアグリゲーション レイヤと呼ばれるセカンダリ仮想スイッチング レイヤを作成し、Cisco DSN とアクセス スイッチの間に配置できます。VDC を別個に挿入した場合も、この機能は 1 組の物理スイッチを使用して実行されます。ただし、Cisco DSN の上下のルーティング環境はより確実に分離されます。Cisco DSN では、VLAN が同じトランクを共有するのではなく、VDC セットそれぞれに独立した物理接続を行う必要があります。2 つのサブアグリゲーション レイヤ VDC 間の Inter-Switch Link(ISL; スイッチ間リンク)をサポートするために、さらにインターフェイスをプロビジョニングする必要もあります。 図 4 に、論理トポロジを示します。 
図 4 透過型 Cisco DSN:論理トポロジ トラフィック フローは次のとおりです。 1. 顧客の識別は、エッジ ルータに定義された VRF Red で行われます。 2. クライアントからサーバ仮想 IP アドレスへの VRF Red トラフィックが、アグリゲーション スイッチにルーティングされます。 3. VRF Red トラフィックが、VLAN 300 に関連付けられ、IEEE 802.1q トランクを通ってレイヤ 2(VLAN 300)経由で Cisco DSN アクティブ Cisco FWSM コンテキストに転送されます。 4. Cisco FWSM コンテキストが、セキュリティ チェックを実行し、トラフィックをサーバ側 VLAN から共有(外側)の Cisco ACE(VLAN 200)にブリッジします。 5. Cisco ACE コンテキストが、サーバ ロード バランシングを実行します。 6. Cisco ACE コンテキストが、トラフィックを VLAN 100 にブリッジし、宛先アドレスを仮想サーバのアドレスに書き換えます。トラフィックが、レイヤ 2 トランクを通ってサブアグリゲーション レイヤ スイッチに転送されます。 7. サブアグリゲーション レイヤ スイッチが、VLAN 100 からのトラフィックを Cisco ACE VLAN の内側からサーバ(VLAN 21)に転送し、それを VRF Red に関連付けます。 8. サブアグリゲーション レイヤ スイッチが、トラフィックを適切なサーバにルーティングします。 9. 仮想マシンからのリターン トラフィックが、デフォルト ゲートウェイである VRF Red(VLAN 21)経由でサブアグリゲーション レイヤ スイッチにルーティングされます。 10. サブアグリゲーション レイヤ スイッチが、トラフィックを内側の Cisco ACE(VLAN 100)に転送します。 11. Cisco ACE コンテキストが、送信元アドレスを仮想 IP アドレスに書き換え、トラフィックを Cisco FWSM にブリッジします。 12. Cisco ACE が、トラフィックをサーバに面した VLAN に共有(外側)の Cisco FWSM(VLAN 200)経由で転送します。 13. Cisco FWSM コンテキストには、VLAN 300 を経由する Cisco DSN MSFC へのクライアント トラフィックのデフォルト ルートがあります。 14. Cisco DSN がトラフィックをレイヤ 2(VLAN 300)経由でアグリゲーション スイッチに転送し、アグリゲーション スイッチがトラフィックをインターネット バックボーンまたは VPN に VRF Red 経由でルーティングします。 注: 透過型 Cisco DSN モデルは、現在、サービスおよびシステム ビジネス チームによって検証されています。設計ガイドは、2010 年第 3 四半期に公開される予定です。 ルーテッド オプションと透過オプションのどちらの場合も、Cisco DSN はアクティブ-アクティブ構成です。アクティブ-アクティブ構成では、特定のコンテキストを 1 つのサービス モジュールでアクティブ モードにし、もう 1 つのサービス モジュールでスタンバイ モードにすることができ、コンテキスト単位で Cisco ACE と Cisco FWSM がトラフィックのロード バランシングを行います。トポロジに示すように、Red コンテキストは左側の Cisco ACE でアクティブであり、Green コンテキストは右側の Cisco ACE でアクティブです。どちらのコンテキストもピア Cisco ACE モジュールではスタンバイ モードになっています。追加の VLAN が ISL で伝送され、耐障害性と状態同期を提供します。Cisco ACE のいずれかで障害が発生した場合は、ピア Cisco ACE のスタンバイ コンテキストがただちにアクティブになるので、トラフィックが中断することはほとんどありません。アクティブ-アクティブ設計では、トラフィックのロード シェアリングと冗長化が可能です。図 4 に示すように、一部のコンテキストのクライアント/サーバ トラフィックは左側のリンクを使用し、その他は右側のリンクを使用します。 図 3 と図 4 のどちらの場合も、Cisco DSN ノード間の Cisco FWSM コンテキスト用耐障害性リンクは VLAN 171 および 172 で構成されています。Cisco ACE コンテキストには専用の耐障害性インターフェイス VLAN 160 があります。この VLAN は、設定の同期、状態のレプリケーション、およびユニット モニタリング機能を提供します。耐障害性グループを使用すると、2 つのピア Cisco ACE モジュールにアクティブ仮想コンテキストを分散させることができ、データセンターの可用性と負荷分散が向上します。アクティブ-アクティブ設計では、少なくとも 2 つの耐障害性グループを定義する必要があります。複数の Cisco ACE モジュールに作業負荷を分散させるために、各耐障害性グループと代替ピアにプライマリおよびセカンダリの優先度を設定します。 Cisco DSN の管理Cisco DSN の管理には 2 つのオプションがあります。まず、Cisco Catalyst 6500 シリーズ、Cisco FWSM、および Cisco ACE のサポートに、現在入手可能な従来のデバイス管理ツールを使用します。これらのデバイス管理ツールには、CiscoWorks LAN Management Solution(LMS)、Cisco Security Manager、Cisco Application Network Manager(ANM)がそれぞれ含まれています。3 つの管理ソフトウェアはすべて、1 台の VMware ESX サーバにロードでき、1 台の管理デバイスから管理できます。 Cisco DSN を導入した場合には、Cisco DSN のプロビジョニング、管理、および設定に役立つ新しいツール BMC BladeLogic Network Automation(BBNA)があります。このツールは Cisco DSN で使用するために完全にカスタマイズされており、Cisco DSN の初期設定と管理の自動化、ルーテッドまたは透過型 Cisco DSN としての設定、および特定のサーバ アプリケーションに基づく Cisco DSN のプロビジョニングに役立ちます。BBNA ツールでは、Cisco DSN 全体を設定します。 Cisco DSN 管理の設定Cisco DSN を展開する場合に、BBNA ツールで Cisco ACE と Cisco FWSM の初期管理設定を自動化できます。エンド カスタマーの初期要件は、Cisco Catalyst 6500 シリーズ スイッチで管理用の VLAN と IP アドレスを設定することです。自動スクリプトが完了すると、Cisco Catalyst 6500 シリーズ スイッチの設定がスイッチ、Cisco FWSM、および Cisco ACE に追加され、Cisco DSN へのアクセスと管理ができるようになります。 Cisco Catalyst 6500 シリーズ スイッチの設定 vrf mgmt vlan 2 management vlan Interface Vlan 2 Description Management Vlan ip address 10.1.1.10 255.255.255.0 ip vrf forwarding mgmt ip route vrf mgmt 0.0.0.0 0.0.0.0 10.1.1.1 The ACE uses svclc and for the FWSM use the firewall command. In this topology, some of the VLANs are common (shared) between the ACE and FWSM. To configure, designate a particular VLAN-group to carry these VLANS. Then share this group “vlan-group x” across the two commands: svclc multiple-vlan-interfaces svclc switch 1 module 6 vlan-group 2 svclc vlan-group 2 2 fwsm multiple-vlan-interfaces firewall switch 1 module 1 vlan-group 2 firewall vlan-group Cisco FWSM admin-context admin context admin allocate-interface Vlan2 config-url disk:/admin.cfg interface Vlan2 nameif mgmt security-level 100 ip address 10.1.1.2 255.255.255.0 route mgmt 0.0.0.0 0.0.0.0 10.1.1.1 1 Cisco ACE class-map type management match-any mgmt_traffic 2 match protocol ssh any 3 match protocol telnet any 4 match protocol snmp any 5 match protocol icmp any 6 match protocol http any 7 match protocol https any
policy-map type management first-match mgmt_policy class mgmt_traffic permit interface Vlan2 ip address 10.1.1.3 255.255.255.0 service-policy input mgmt_policy no shutdown
ip route 0.0.0.0 0.0.0.0 10.1.1.1 Cisco DSN のプロビジョニングCisco DSN のプロビジョニングは、このドキュメントで説明したルーテッド Cisco DSN と透過型 Cisco DSN という 2 つの設計オプションに基づきます。Cisco ACE モジュールと Cisco FWSM が VSS シャーシにインストールされている場合は、VLAN をモジュールに手動で割り当てる必要があります(VLAN チェーニング)。このプロセスは、各カスタマーを分離するためにコンテキスト単位および VLAN 単位で実行されます。 ルーテッド Cisco DSN Cisco Catalyst 6500 シリーズ スイッチの設定 vrf red vlan 20 vlan 100 vlan 200 interface Vlan 200 description vlan facing ace ip address 200.1.1.1 255.255.255.0 ip vrf forwarding interface tengigabit ethernet 3/1 description trunk to aggregation switch switchport switchport mode trunk svclc module 2 vlan-group 2,100 svclc vlan-group 100 20,100,200 firewall multiple-vlan-interfaces firewall module 3 vlan-group 2,100 Cisco FWSM Adds Layer 3 FWSM context context routedtest allocate-interface Vlan20 allocate-interface Vlan100 config-url disk:/routedtest.cfg Builds Layer 3 FWSM Context changeto context routedtest firewall routed interface Vlan 100 nameif outside ip address 100.1.1.1. 255.255.255.0 security-level 0 ! interface Vlan 20 nameif inside ip address 20.1.1.1 255.255.255.0 ip route 0.0.0.0 0.0.0.0 100.1.1.2 ! access-list ANY extended permit ospf any any access-list ANY extended permit ip any any access-list ANY extended permit icmp any any icmp permit any inside icmp permit any enterprise access-group ANY in interface inside access-group ANY in interface enterprise Cisco ACE Add Layer 3 ACE Context context routedtest allocate-interface vlan 100 allocate-interface vlan 200
Build Layer 3 ACE context access-list BPDUALLOW ethertype permit bpdu access-list ANY extended permit ip any any ! interface vlan 100 ip address 100.1.1.2 255.255.255.0 access-group input BPDUALLOW access-group input ANY no shutdown interface vlan 200 ip address 200.1.1.2 255.255.255.0 access-group input BPDUALLOW access-group input ANY no shutdown ! ip route 0.0.0.0 0.0.0.0 200.1.1.1 透過型 Cisco DSN Cisco Catalyst 6500 シリーズ スイッチの設定 svclc module 2 vlan-group 2,100 svclc vlan-group 100 2, 100, 200 firewall multiple-vlan-interfaces firewall module 3 vlan-group 2,100 Cisco FWSM Adds Layer 2 FWSM context context transparenttest allocate-interface Vlan200 allocate-interface Vlan300 config-url disk:/transparenttest.cfg Builds Layer 2 FWSM Context changeto context transparenttest firewall transparent interface Vlan 300 nameif outside bridge-group 1 security-level 0 ! interface Vlan 200 nameif inside bridge-group 1 ! interface BVI1 ip address 110.1.1.200 255.255.255.0 ! access-list ANY extended permit ospf any any access-list ANY extended permit ip any any access-list ANY extended permit icmp any any icmp permit any inside icmp permit any enterprise access-group ANY in interface inside access-group ANY in interface enterprise Cisco ACE Add Layer 2 ACE Context Resource-class sticky Limit-resource all minimum 0.00 maximum unlimited limit-resource sticky min 20.00 max unlimited context transparenttest allocate-interface vlan 200 allocate-interface vlan 100 member sticky
Build Layer2 ACE context access-list BPDUALLOW ethertype permit bpdu access-list ANY extended permit ip any any ! interface vlan 200 bridge-group 1 access-group input BPDUALLOW access-group input ANY no shutdown interface vlan 100 bridge-group 1 access-group input BPDUALLOW access-group input ANY no shutdown ! interface bvi 1 ip address 110.1.1.100 255.255.255.0 no shutdown Cisco DSN アプリケーションのプロビジョニングアプリケーションの中には、Cisco FWSM と Cisco ACE について固有の設定を必要とするものがあります。最も一般的なアプリケーションは、Web サーバ、Microsoft Exchange、および SQL サーバの 3 つです。 Web サーバの設定 Cisco FWSM ! Allow all traffic out access-list inside_access_in permit ip any any access-group inside_access_in in interface inside ! Allow traffic from outside to inside server access-list outside_access_in permit tcp any host 20.1.1.70 eq www access-list outside_access_in permit tcp any host 20.1.1.70 eq https access-list outside_access_in permit icmp any any access-group outside_access_in in interface outside ! Static NAT for inside server, makes it accessible from outside static (inside,outside) 20.1.1.70 20.1.1.70 netmask 255.255.255.255 ! Functional inspection to make some protocols work through firewall/nat class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect sqlnet inspect ftp Cisco ACE probe http webtest interval 5 passdetect interval 30 expect status 200 299 rserver host webserv description MyWebServer ip address 20.1.1.50 inservice serverfarm host webfarm probe webtest reserver webserv 80 inservice sticky http-cookie virtualweb.dsn.com-COOKIE virtualweb.dsn.com-GROUP cookie insert serverfarm webfarm
class-map match-any virtualweb.dsn.com-L4VIPCLASS
policy-map type loadbalance first-match virtualweb.dsn.com-L4POLICY class class-default sticky-serverfarm virtualweb.dsn.com-GROUP
policy-map multi-match virtualweb.dsn.com-VIPS class virtualweb.dsn.com-L4VIPCLASS loadbalance vip inservice loadbalance policy virtualweb.dsn.com-L4POLICY loadbalance vip icmp-reply SQL サーバの設定 Cisco FWSM ! Allow all traffic out access-list inside_access_in permit ip any any access-group inside_access_in in interface inside ! Allow traffic from outside to inside server access-list outside_access_in permit tcp any host 20.1.1.71 eq sqlnet access-list outside_access_in permit icmp any any access-group outside_access_in in interface outside ! Static NAT for inside server, makes it accessible from outside static (inside,outside) 20.1.1.71 20.1.1.71 netmask 255.255.255.255 ! Functional inspection to make some protocols work through firewall/nat class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect sqlnet inspect ftp Cisco ACE probe tcp sqltest port 1433 interval 5 passdetect interval 30 probe http webtest interval 5 passdetect interval 30 expect status 200 299
rserver host sqlserv description MySQLServer ip address 20.1.1.60 inservice rserver host webserv description MyWebServer ip address 20.1.1.61 inservice
serverfarm host sqlfarm probe sqltest rserver sqlserv 1433 inservice serverfarm host webfarm probe webtest rserver webserv 80 inservice
sticky http-cookie virtualweb.dsn.com-COOKIE virtualweb.dsn.com-GROUP cookie insert serverfarm webfarm sticky ip-netmask 255.255.255.255 address source virtualsql.dsn.com-SQL-STICKY serverfarm sqlfarm
class-map match-any virtualsql.dsn.com-SQLVIP class-map match-any virtualweb.dsn.com-L4VIPCLASS
policy-map type loadbalance first-match virtualsql.dsn.com-SQLPOLICY class class-default sticky-serverfarm virtualsql.dsn.com-SQL-STICKY policy-map type loadbalance first-match virtualweb.dsn.com-L4POLICY class class-default sticky-serverfarm virtualweb.dsn.com-GROUP
policy-map multi-match virtualsql.dsn.com-VIPS class virtualsql.dsn.com-SQLVIP loadbalance vip inservice loadbalance policy virtualsql.dsn.com-SQLPOLICY loadbalance vip icmp-reply active policy-map multi-match virtualweb.dsn.com-VIPS class virtualweb.dsn.com-L4VIPCLASS loadbalance vip inservice loadbalance policy virtualweb.dsn.com-L4POLICY loadbalance vip icmp-reply Microsoft Exchange の設定 Cisco FWSM ! Allow all traffic out access-list inside_access_in permit ip any any access-group inside_access_in in interface inside ! Allow traffic from outside to inside server access-list outside_access_in permit tcp any host 20.1.1.72 eq https access-list outside_access_in permit tcp any host 20.1.1.72 eq smtp access-list outside_access_in permit udp any host 20.1.1.72 eq domain access-list outside_access_in permit icmp any any access-group outside_access_in in interface outside ! Static NAT for inside server, makes it accessible from outside static (inside,outside) 20.1.1.72 20.1.1.72 netmask 255.255.255.255 ! Functional inspection to make some protocols work through firewall/nat class-map inspection_default match default-inspection-traffic policy-map global_policy class inspection_default inspect sqlnet inspect ftp |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
 |
Cisco Data Center Services Node のアーキテクチャ