Cisco Catalyst 6500 シリーズ

Cisco Catalyst 6500 Supervisor Engine 2T によるネットワーク仮想化

ホワイト ペーパー





Cisco Catalyst 6500 Supervisor Engine 2T によるネットワーク仮想化



はじめに


ネットワーク仮想化を利用すると、トラフィックをコスト効率よく分離できます。仮想化されたネットワークでは、単一の物理インフラストラクチャ上に複数のネットワークを重ね合わせることができます。

キャンパスでは、これらの各ネットワークを使用して、異なる部門やサードパーティ ベンダーに属するトラフィックを転送できます。他にトラフィックの分離の例としては、セキュリティ ポリシーやルーティング ポリシーが異なる場合が挙げられます。また、ネットワーク仮想化を使用して、IPv4 と IPv6 の両方を同じインフラストラクチャ上で転送することもできます。

これは、1 台の物理サーバで複数の仮想マシンをホストできるサーバ仮想化の概念に似ています。Cisco Catalyst 6500 とネットワーク仮想化により、ネットワーク リソースを物理リソースではなく論理サービスとして展開および管理できます。これによって、次のことが可能になります。

  • 企業の俊敏性の強化
  • ネットワーク効率の向上
  • 資本コストと運用コストの削減
  • キャンパス設計全体での高水準のセキュリティ、スケーラビリティ、管理性、および可用性の維持

Supervisor 2T は、キャンパスの仮想ネットワークを構築するのに最適なプラットフォームです。Supervisor 2T には、従来のモデルではサポートされていなかった拡張機能が多数組み込まれています。たとえば、ハードウェアでの VPLS、向上した MPLS スループット、VRF 対応サービス(アプリケーション高速化のための WCCP など)、スケーラビリティを高める VLAN 再使用といった拡張機能です。

Catalyst 6500 プラットフォームは、WISM-2 ワイヤレス コントローラと ASA サービス モジュールをサポートするため、ネットワークでは独自のポジションにあります。これにより、ネットワーク仮想化セグメンテーションを使用して、ワイヤレス ユーザと有線ユーザの間に一貫したセキュア ポリシーを実装できます。

非常に重要なのは、仮想化インフラストラクチャを設計する際に全体的なアプローチを取り、エンドツーエンドの仮想化ソリューションを実現する 3 つの主要なコンポーネント、つまり、仮想化インフラストラクチャへのアクセス、転送へのアクセス、そしてネットワーク サービスへのアクセスを考慮することです。図 1 を参照してください。

図 1 仮想化トポロジ

図 1 仮想化トポロジ
※画像をクリックすると、大きな画面で表示されますpopup_icon

  • 各種ユーザのネットワーク アクセス コントロールとセグメンテーション:このコンポーネントでは、ネットワークへのアクセスを許可されたユーザを識別して適切な論理パーティションに配置します。
  • パスの分離:このコンポーネントでは、ルーテッド インフラストラクチャ上でパーティション分割されたトラフィックを維持し、分離されたパーティション上およびパーティション間でトラフィックを転送します。分離されたパスを Virtual LAN(VLAN; 仮想 LAN)と仮想サービスにマッピングする機能も、このコンポーネントで実行されます。
  • ネットワーク サービスの仮想化:このコンポーネントでは、アドレス管理(Dynamic Host Configuration Protocol(DHCP))や Domain Name System(DNS; ドメイン ネーム システム)などの共有または専用ネットワーク サービスへのアクセスを提供します。また、必要に応じて、パーティションごとにポリシーを適用し、アプリケーション環境を分離します。
  • WAN アクセス:このコンポーネントでは、インバウンド ポリシーを提供し、発信トラフィックを制限し、インターネット アクセスのさまざまなパーティションを結合します。トラフィックの分離を維持して、同じ仮想化スキームを共有する他のサイトに接続することができます。

バーチャル プライベート ネットワーク

Virtual Private Network(VPN; バーチャル プライベート ネットワーク)は、共有インフラストラクチャ内のプライベート ネットワークであると定義できます。各 VPN は Cisco® Catalyst 6500 シリーズ Supervisor 2T 内に独自のルーティングおよびフォワーディング テーブルを持ち、VPN に属するプレフィクスは VPN 内に含まれる一連のルートにのみアクセス可能です。そのため、プレフィクスの固有要件はなく、唯一の要件は VPN 内でアドレス空間が一意であることです。

Supervisor 2T には、VPN ごとのルーティング テーブルと、グローバル ルーティング テーブルが含まれます。グローバル ルーティング テーブルは、ネットワーク内の他のルートへの到達と、外部のグローバルに到達可能な宛先(インターネットの残りの部分など)への到達に使用します。

ルーティング テーブル以外の構造も各仮想ルータに関連付けられています。

  • ルーティング テーブルから作成された Forwarding Information Base(FIB; 転送情報ベース)
  • ネクスト ホップ アドレスが含まれている隣接関係テーブル
  • VPN ルーティング テーブルとの間でルートのインポートとエクスポートを制御するルール
  • VPN 内で Routing Information Base(RIB; ルーティング情報ベース)を作成するルーティング プロトコルのセット

VPN IP ルーティング テーブルと関連 VPN IP フォワーディング テーブルの組み合わせは、VPN Routing and Forwarding(VRF; VPN ルーティングおよび転送)インスタンスと呼ばれます。

Supervisor 2T は、異なるニーズに対応するさまざまな仮想化ソリューションを提供します。一連のソリューションを選択する際に基準となるのは、一般に、特定のテクノロジーのスケーラビリティ、展開の容易さ、および管理性です。このドキュメントでは、さまざまなテクノロジーを取り上げ、それを使用する際の利点と欠点について説明します。

アクセス コントロール


ワイヤレス クライアント

ワイヤレス クライアントは、Service Set Identifier(SSID; サービス セット ID)を使用するアクセス ポイントに関連付けられます。定義済みの各 SSID には、それぞれ異なる認証方式を設定できます。たとえば、ゲスト ユーザにはブロードキャスト SSID を使用してオープン認証を関連付けることができます。管理対象ユーザは、個別の SSID と動的なワイヤレス認証メカニズム(Extensible Authentication Protocol(EAP; 拡張認証プロトコル)など)、静的な Wired Equivalent Privacy(WEP; 有線と同等のプライバシー)キー、または最終的にオープン認証を使用することで、利点が得られます。

Supervisor 2T は、Wireless Services Module(WiSM; ワイヤレス サービス モジュール)の最新の 2 世代をサポートしています。WiSM は、ワイヤレス LAN コントローラ サービス モジュールです。複数の機能間で Control and Provisioning of Wireless Access Points(CAPWAP)プロトコルを使用して、ワイヤレス アクセス ポイントからの元のイーサネット フレームをカプセル化し、それらをレイヤ 3 の境界を越えて転送します。CAPWAP と VLAN を組み合わせて使用すると、管理者はさまざまなユーザ グループのトラフィックを論理的に分離できます。

有線クライアント

アクセス レベルでは、VLAN 割り当てはユーザを論理セグメントに関連付けるのに適したメカニズムです。この VLAN 割り当てを静的または動的に実行するには、いずれかのアイデンティティ テクノロジーを使用します。Supervisor 2T では Identity 4.1 をサポートしているので、静的な VLAN 割り当てはあまり適切ではありません。モビリティに欠け、セキュリティ上危険にさらされる可能性があり、ポート プロビジョニングの問題が発生するためです。

パスの分離


アクセス レベルで VLAN によって提供された論理分離はレイヤ 3 のファースト ホップ デバイス(通常はディストリビューション レイヤ デバイス)で消失するため、この分離をルーテッド ネットワーク ドメインに拡張する必要があります。これを行うには、一般に、ファースト ホップ デバイス上で VRF を定義し、定義した VRF インスタンスに 1 つまたは複数の VLAN をマッピングします(図 2 の設定例を参照)。

ディストリビューション ブロックは通常は複数のアクセス デバイスを集約するので、最適な冗長性メカニズムを維持することが重要になります。Supervisor 2T は、すべてのファースト ホップ冗長プロトコルをサポートしています。IPv4 および IPv6 用には Hot Standby Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)と Gateway Load Balancing Protocol(GLBP; ゲートウェイ ロード バランシング プロトコル)、IPv4 用には Virtual Router Redundancy Protocol(VRRP; 仮想ルータ冗長プロトコル)があります。また、Supervisor 2T は、Virtual Switching System(VSS; 仮想スイッチング システム)もサポートしています。このテクノロジーは、ファースト ホップ冗長プロトコルを使用しないシンプルな設定を可能にします。

図 2 VLAN から VRF へのマッピング

図 2 VLAN から VRF へのマッピング


VRF-Lite


VRF-Lite は、Supervisor 2T 内でパスの分離を実行するシンプルで優れたソリューションです。この概念はすでに Supervisor 720 で存在していましたが、新しいスーパーバイザ エンジンではスケーラビリティ、パフォーマンス、および管理性が向上しています。VRF-Lite では、VPN ID を各エントリに追加することで、複数のパーティションにある RIB と FIB をスライスできます。Multiprotocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)/VPN とは異なり、VRF-Lite では他のスイッチまたはルータへの VPN 情報の転送は考慮されません。2 つの方法で VRF 情報をネットワーク全体に転送できます。ネットワーク内のすべてのデバイスが VRF-Lite をサポートしている場合は、ホップバイホップ ソリューションを使用できます。この方法では、802.1q トランクを使用してスイッチ間でトラフィックの分離が維持され、トランクによって伝送される各 VLAN が VRF と関連付けられます (図 3 を参照)。

図 3 802.1q VRF 転送

図 3 802.1q VRF 転送


VRF-Lite をサポートしていないデバイスがパス内ある場合は、Generic Routing Encapsulation(GRE; 総称ルーティング カプセル化)トンネルを使用し、各 VRF を特定のトンネル インターフェイスにマッピングすることで、VRF を転送できます。トポロジに応じて、ポイントツーポイントまたはポイントツーマルチポイント トンネルを使用できます(図 4 を参照)。

図 4 GRE トンネル VRF 転送

図 4 GRE トンネル VRF 転送


ホップバイホップ VRF 転送

ホップバイホップの方法を使用して VRF を伝達する場合は、管理者は通常、サブインターフェイスを作成してネイバー スイッチ間の接続上で特定の VRF と関連付けます。

ホップバイホップ伝達は新しい Logical Interface(LIF; 論理インターフェイス)の概念によって促進され、2 つの異なるプライマリ インターフェイス上で同じ VLAN ID を設定できるようになります(LIF の詳細については、「付録」を参照)。図 5 に示すトポロジでは、SUP2T-2 によって、VRF-1 の SUP2T-1 と SUP2T-3 に接続しているインターフェイスに VLAN10 が割り当てられています。

図 5 ホップバイホップ VRF 設定例

図 5 ホップバイホップ VRF 設定例


トンネル転送

ネットワーク内のどのデバイスも VRF 機能をサポートしていない場合、または特定のデバイスで VRF を使用可能にする必要がない場合は、GRE トンネルを作成して VRF 情報を転送できます。LIF テクノロジー(「付録」を参照)によって、Supervisor 2T は複数のトンネルを 1 つのループバックで終了させる機能をサポートしています。一方、Supervisor 720 では各 トンネルをそれぞれ別のループバック インターフェイスで終了させる必要がありました (図 6 を参照)。

図 6 トンネル設定例

図 6 トンネル設定例


ルーティングと VRF-Lite

各 VRF インスタンス内でルート情報を伝達するには、個別のルーティング プロセス(Open Shortest Path First(OSPF)、Intermediate System-to-Intermediate System(IS-IS))またはアドレス ファミリ(Enhanced Interior Gateway Routing Protocol(EIGRP)、Routing Information Protocol Version 2(RIPv2))を使用してルーティング プロトコルをインスタンス化する必要があります。これは、ルーティング プロトコルの「VRF 対応」と呼ばれることがあります。スタティック ルートと Policy-Based Routing(PBR; ポリシーベース ルーティング)を含む、すべての IPv4 ルーティング プロトコルは VRF 対応です。Supervisor Engine 2T は、PBR ポリシー内の条件としてパケット長で照合する機能を追加し、今後のリリースでネクスト ホップを(ネクスト ホップが直接接続されていない場合でも)ポリシー決定としてサポートします。

VRF-Lite 設計の考慮事項

VRF-Lite 転送は、IPv4 または IPv6 をベースとしており、その他のプロトコルを必要としません。このテクノロジーの欠点は、新しい VRF が追加されると、新しいトンネル インターフェイスまたは新しい 802.1q サブインターフェイスの作成が必要になることです。このため、VRF-Lite は、VPN の数と VPN パス内のホップの数が少ないネットワークでは管理しやすくなっています。

Supervisor Engine 2T は、パケット単位で動的なパスの Maximum Transmission Unit(MTU; 最大伝送ユニット)を IP 宛先アドレスに基づいてチェックすることはサポートしていませんが、パケットがトンネル経由で送信されるときは Don't Fragment(DF; 分割禁止)ビットを外部ヘッダーに伝達します。元のパケットがトンネル MTU 以下の場合は、元のパケットがカプセル化されます。その結果トンネリングされたパケットは、物理出力インターフェイスの MTU を超えると、その後分割されます。分割プロセスはソフトウェアによって実行されます。

カプセル化されたトラフィックが出力物理インターフェイスで、またはトンネル パス内で分割された場合、分割されたパケットはフォワーディング エンジンでは再構成されず、コントロール プレーンにパントされて再構成されます。

MPLS VPN


MPLS はサービス プロバイダーおよび大企業向けのインフラストラクチャ テクノロジーであり、VPN、Traffic Engineering(TE; トラフィック エンジニアリング)、Quality of Service(QoS)、高速コンバージェンス(Fast ReRoute(FRR; 高速再ルーティング))などのサービスの統合を容易にします。MPLS 用語では、3 つのタイプのノードが定義されています。1 つ目のタイプのノードは Provider Edge(PE; プロバイダー エッジ)です。これは MPLS ネットワークの境界にあり、一方は Customer Edge(CE; カスタマー エッジ)に面し、もう一方は Provider(P; プロバイダー)ノードに面しています。P ノードは Label Switching Router(LSR; ラベル スイッチング ルータ)とも呼ばれます。転送を IP ヘッダーではなく MPLS ラベル(図 7 を参照)に基づいて決定するためです。パケットは、入力 PE で MPLS ネットワークに入り、出力 PE までラベル スイッチングされます。特定のパケットがたどるパスは、Label Switching Path(LSP; ラベル スイッチング パス)と呼ばれ、Label Distribution Protocol(LDP; ラベル配布プロトコル)や Resource Reservation Protocol(RSVP; リソース予約プロトコル)などのコントロール プレーン プロトコルによってセットアップされます。MPLS の詳細については、書籍『MPLS and VPN Architectures』(Ivan Pepelnjak および Jim Guichard 著)を参照してください。

Supervisor Engine 2T は、Ethernet over MPLS(EoMPLS)のようなレイヤ 2 サービスや仮想プライベート LAN サービス(VPLS)など、PE と P の両方のレベルで MPLS スイッチングをサポートするのに必要な機能をすべて備えています。

図 7 MPLS ラベル

図 7 MPLS ラベル


MPLS VPN 設定

VRF-Lite と同様に、MPLS VPN の展開でも VLAN をファースト ホップ デバイス(ここでは PE ルータ)でレイヤ 3 インターフェイスにマッピングする必要があります。このレイヤ 3 インターフェイスは定義済みの特定 VRF に属します。コア内のすべてのレイヤ 3 インターフェイスは、PE 上でコアに面しているものも含めて、MPLS フォワーディングが有効になっています。Multiprotocol BGP(MP-BGP; マルチプロトコル BGP)は、PE デバイス上で有効にして VPN ルートを交換できるようにする必要があります。ネットワーク内のすべての PE デバイスは、1 つの AS 内の BGP ネイバーになります(iBGP)。VPN トラフィックはネットワーク全体を伝送され、定義済みグループ間の論理分離が維持され、2 つの MPLS タグが各フレームに追加されます。1 つは MPLS ネットワーク内のパケットをルーティングし、もう 1 つはパケットの VPN を識別します。MPLS VPN はスケーラビリティに優れたソリューションであり、Supervisor Engine 2T の機能を活用して各システム内に最大 16,000 の VRF を配置できます。Supervisor Engine 720 でサポートできたのは、パフォーマンスの低下を伴わない場合は最大 512 の VRF、パフォーマンスの低下を伴う場合は追加の 512 の VRF で最大 1,024 の VRF でした(図 8 を参照)。

図 8 MPLS/VPN トポロジ

図 8 MPLS/VPN トポロジ
※画像をクリックすると、大きな画面で表示されますpopup_icon


図 9 は、各 VRF で IPv4 と IPv6 の両方をサポートする MPLS VPN の設定例です。SUP2T-1 は レイヤ 3 インターフェイスを通じて CE に接続し、SUP2T-3 はレイヤ 2 トランクを通じて接続します。

図 9 MPLS VPN の設定例

図 9 MPLS VPN の設定例


Supervisor Engine 2T には、GRE トンネル経由で MPLS を転送する機能があります。ネットワーク管理者はこの機能を使用して、IPv4 バックボーンまたは IPv4 のみのサービス プロバイダーを介して複数の MPLS ドメインを結合できます。この機能により、MPLS パケットは GRE トンネル内でカプセル化され、カプセル化されたパケットは IPv4 ネットワークを通過します。GRE トンネル パケットが IPv4 ネットワークの一方で受信されると、GRE トンネル ヘッダーが削除され、内部 MPLS パケットが最終宛先に転送されます。GRE での MPLS のサポートは、Cisco IOS® ソフトウェア リリース 15.0(1)SY で追加される予定です。これはポイントツーポイントおよびポイントツーマルチポイント トンネル用に PFC4 内のハードウェアで実行されます。この機能ではパケットの内部再循環が必要なため、トンネル エンドポイントでのパフォーマンスは低下します。

MPLS VPN Quality of Service(QoS)

MPLS VPN では、ラベル内の 3 ビット フィールド(EXP ビット)を使用して、QoS 情報を伝達できます。この 3 ビット フィールドは IPv4 ヘッダーの IP 優先順位フィールドと一致しますが、IPv4 QoS が Differentiated Services Code Point(DSCP; DiffServ コード ポイント)に基づく場合は変換が必要です。Supervisor Engine 2T は、次の QoS モードもサポートしています。

  • 均一モード
  • ショート パイプ モード
  • パイプ モード

1. 均一モード

均一モードでは、パケットが MPLS ネットワークを通過するときに、レイヤ 3 QoS 値(IP 優先順位、DSCP、MPLS EXP)に加えられたすべての変更が継続的に維持されます。パケットが MPLS ネットワークに入ると、IP パケットの IP 優先順位値が、インポーズされたラベルの EXP 値にコピーされます。同様に、ラベルが削除されると、最上位ラベルの EXP 値が IP パケットの IP 優先順位値にコピーされます。均一モードでは、パケットが MPLS ネットワークを通過するときに、追加ラベルをインポーズした各操作(プッシュ操作)でインポーズ済みラベルの同じ EXP 値が維持されます。同様に、LSP プロトコルによってラベルがスワップされるたびに(スワップ操作)、以前のラベルの EXP 値が新しいラベルにコピーされます。

2. ショート パイプ モード

ショート パイプ モードでは、出力 LSR は入力のラベルが付いたパケットの EXP 値のコピーを維持しません。出力 LSR は IP QoS フィールド(IP 優先順位、DSCP)を使用して、アウトバウンド キューイングのために MPLS ラベル(MPLS2IP)から削除された IP パケットを分類します。

3. パイプ モード

パイプ モードは、均一モードに似ていますが、最後のラベルが削除されたときに、最上位ラベルの EXP 値は IP パケットの IP 優先順位値としてコピーされません。このモードを使用して、IP QoS ポリシーとは無関係に、MPLS ネットワーク内の QoS 戦略を作成します。パイプ モードでは、基本 IP パケットの IP 優先順位は変更されません。パケットが MPLS ネットワークに入るときに、IP パケットの IP 優先順位値は MPLS EXP 値にコピーされません。ラベルのディスポジション中は、出力 LSR は EXP 値のコピーをパケットの QoS 値としてメモリに維持します。その後、この QoS 値が出力 LSR での QoS ポリシーの定義に使用されます。

Supervisor Engine 720 では、すでにショート パイプ モードと均一モードがサポートされていました。Supervisor Engine 2T では、PFC4 内でのパケットのさらなる再循環を必要とするパイプ モードのサポートが追加されました。

MPLS のパフォーマンス

Supervisor Engine 2T では、次のすべての MPLS 操作を 1 つのパスで実行できます。

  • ラベル インポジション(IP2MPLS)
  • ラベル スワップ(MPLS2MPLS)
  • ラベル ディスポジション(MPLS2IP)

各パスは、パケット自体のサイズに関係なく 1 秒あたり 6,000 万パケット(pps)の速度で実行されます。

Supervisor Engine 2T では、1 つのパスで 5 つのラベルをプッシュできます。これは、FRR と TE の組み合わせを VPN トラフィックに使用する場合に役立ちます。一方、Supervisor Engine 720 では、1 つのパスで 3 つのラベルしかプッシュできません。

同様に、Supervisor Engine 2T では 1 つのパスで 1 つのラベルのスワップと 4 つのラベルのプッシュができるのに対して、Supervisor Engine 720 でできるのは 1 つのラベルのスワップと 2 つのラベルのプッシュのみです。

さらに、Supervisor Engine 2T では 1 つのパスで 1 つの非ヌル ラベルをポップするか 1 つの明示ヌルおよび 1 つの非ヌル ラベルをポップすることができますが、Supervisor Engine 720 でできるのは 2 つの非ヌル ラベルのポップのみです。

MPLS の管理性

PFC4 内では、フォワーディング エンジンはシステム内でスイッチングされたすべてのトラフィックの IPv4、IPv6、および MPLS の統計情報をそれぞれ別に維持できます。これらのカウンタは、ポート Application-Specific Integrated Circuit(ASIC; 特定用途向け集積回路)自体によって累積されるインターフェイス カウンタから独立しています。

3. パイプ モード

管理者は、フォワーディング エンジン FIB と隣接容量のプローブを実行することもできます。

3. パイプ モード

付録:論理インターフェイス(LIF)とブリッジ ドメイン(BD)


Supervisor Engine 2T では、Policy Feature Card(PFC; ポリシー フィーチャ カード)上の新しいフォワーディング エンジン(EARL8)を使用します。この新しい EARL8 によって新しい LIF と BD の概念が導入され、Supervisor Engine 720 フォワーディング エンジン(EARL7)にあった 4,000 の制限を超えて物理および論理インターフェイスを拡張できるようになりました。この機能は、VLAN 再使用と呼ばれます。この機能によって、VRF-Lite のようなネットワーク仮想化テクノロジーの展開が容易になります。この機能がないと、VRF-Lite の展開が複雑になり、多数の VRF に拡張することができません。LIF は、ポート単位、VLAN 単位の新しいインターフェイス タイプに対応し、レイヤ 3 インターフェイスの 128,000 までの拡張を可能にします。LIF では、レイヤ 3 インターフェイスは内部 VLAN を使用しません。この分離のおかげで、ネットワーク管理者は VLAN をトンネルまたはレイヤ 3 インターフェイス用に予約する必要がありません。すべての VLAN はレイヤ 2 のために使用できるようになりました。

EARL7 では VLAN のスコープはシステム全体でしたが、LIF では VLAN のスコープはローカルの物理ポートです。そのため、VLAN をレイヤ 3 インターフェイスのサブインターフェイスとして使用でき、VLAN は対象ポートにのみ対応します。同じ VLAN を別のレイヤ 3 インターフェイスで再使用できます。

ブリッジ ドメインでは、VLAN(ブロードキャスト ドメイン)をスイッチ内で最大 16,000 まで拡張できます。これによって、同じ VLAN ID を伝送する複数トランクの個別処理などが可能になります。さらに、BD は 1 つのシステムで複数のブリッジをサポートできる仮想ブリッジの概念を実現します。