Cisco Catalyst 6500 シリーズ

Catalyst 6500 Supervisor 2T のアーキテクチャ

ホワイト ペーパー





Catalyst 6500 Supervisor 2T のアーキテクチャ



目次


はじめに

Supervisor 2T の概要

システム レベルの要件

スーパーバイザのアーキテクチャ

   動作の理論

   ファブリックおよびバス コネクタ

   クロスバー スイッチ ファブリック

   ファブリック レプリケーション ASIC

   ポート ASIC

   ブリッジ ASIC

   MSFC5/PFC4

MSFC5

PFC4 および DFC4

   PFC4 および PFC4XL 機能のレビュー

   PFC4 アーキテクチャの機能拡張の概要

   PFC4 のアーキテクチャ

スイッチ ファブリックおよびファブリック接続ドーター カード

   Supervisor Engine 2T のスイッチ ファブリック

   スイッチ ファブリックのアーキテクチャ

   ファブリック接続ドーター カード

用語集


はじめに


Cisco Catalyst 6500 Supervisor Engine 2T は、マルチレイヤ スイッチング スーパーバイザ エンジン Catalyst 6500 ファミリの新製品です。この製品は、フォワーディング パフォーマンスをより高いレベルで実現し、これまでサポートされている多くの機能のスケーラビリティを拡大するだけではなく、従来のすべての Catalyst 6500 スーパーバイザ モデルを超えたハードウェア対応型の新機能が数多く導入されています。

このホワイト ペーパーでは、新しい Supervisor 2T のアーキテクチャに関する概要を説明します。まず Supervisor 2T の物理的なレイアウトを紹介し、最新のハードウェア コンポーネントの詳細について述べた後、新しく導入された機能を概観します。

Supervisor 2T の概要


Supervisor 2T は、4 つの主要な物理コンポーネントで構成されています。

  • ベースボード
  • 5th Generation Multi-Layer Switching Feature Card(MSFC5; 第 5 世代マルチレイヤ スイッチング フィーチャ カード)
  • 4th Generation Policy Feature Card(PFC4; 第 4 世代ポリシー フィーチャ カード)
  • 2 Tbps スイッチ ファブリック

スーパーバイザのベースボードは、多くの専用ドーター カードとその他のコンポーネントが設置される基盤を構成しています。ベースボードには多数の特定用途向け集積回路(ASIC)が装備されており、それらの ASIC の中には主要な 2 テラビット(2,080 Gbps)のクロスバー スイッチ ファブリックを構成する ASIC コンプレックスだけでなく、前面パネル 10 GE ポートおよび GE ポートを制御するポート ASIC も含まれます。

ドーター カードである MSFC5 が保有する CPU コンプレックスは、スイッチのコントロール プレーンとして機能します。コントロール プレーンは、すべてのソフトウェアに関連する機能の処理を扱います。以前のバージョンの MSFC との大きな相違点の 1 つは、これまで別個だった 2 つの CPU コンプレックスが、本バージョンで 1 つに統合されたことです。新しい CPU コンプレックスの詳細については、このホワイト ペーパーの後半で説明します。

もう 1 つのドーター カードである PFC4 には、ASIC とメモリ ブロックの特別なセットが組み込まれており、スイッチを通過するパケットにハードウェアで高速化されたデータ プレーン サービスを提供します。PFC4 は、多くのハードウェアアクセラレーション機能で使用されるメモリ テーブルのサイズを増加させることで、スケーラビリティの強化を広範に導入しています。また、PFC4 は Cisco TrustSec(CTS)および Virtual Private LAN Service(VPLS; 仮想プライベート LAN サービス)など、新しいハードウェアアクセラレーション機能も数多く導入しています。

2 Tbps スイッチ ファブリックは、新しい 6513-E シャーシ(すべての既存 E シリーズのシャーシ モデルに加えて)をサポートするため、26 本の専用 20 Gbps チャネルまたは 40 Gbps チャネルを備えています。Supervisor 720 では、スイッチ ファブリックがサポートしていた 18 本のファブリック チャネルは、すべてのスロット上の各スロットに 2 つのファブリック チャネルを提供するために使用されていました。ただし、6513 シャーシは例外となります。新しい 6513-E シャーシでは、2T スイッチ ファブリックがすべてのラインカード スロットにデュアル ファブリック チャネルをサポートできます(スロット 7 およびスロット 8 はアクティブ スーパーバイザおよびスタンバイ スーパーバイザ用に予約されています)。

Supervisor 2T のボード レイアウトの概要を次の図に示します。

図 1 Supervisor 2T のボード レイアウト

図 1 Supervisor 2T のボード レイアウト


Supervisor 2T の重要な機能を次の表にまとめています。

表 1 Supervisor 2T の重要なベースボード機能

機能 説明
スイッチ ファブリック タイプ 2,080 Gbps(2 Tbps)クロスバー スイッチ ファブリック
フォワーディング エンジン ドーター カード PFC4 または PFC4XL
CPU ドーター カード MSFC5
アップリンク ポート 10 GE(X2 光ファイバ サポート)× 2
GE(SFP サポート)× 3 USB ポート
USB × 2(タイプ A × 1 およびタイプ B × 1) 管理ポート
シリアル コンソール ポート(RJ-45) 接続管理プロセッサ イーサネット ポート(RJ-45)
管理 LED Blue Beacon LED
メディア スロット コンパクト フラッシュ スロット(タイプ II)
転送性能 最大 60 Mpps(L2、IPv4、および MPLS トラフィック)
最大 30 Mpps(IPv6 トラフィック)


次の節では、Supervisor 2T の主要なコンポーネントについて詳しく説明します。

システム レベルの要件


Supervisor 2T は、すべての E シリーズ 6500 シャーシで動作するように設計されています。Supervisor 2T は、従来の E シリーズ以外のシャーシではサポートされません。次の表に、Supervisor 2T をサポートするシャーシとサポートしないシャーシの概要を示します。

表 2 Supervisor 2T のシャーシ オプション

サポート対象シャーシ サポート対象外のシャーシ
6503-E、6504-E、6506-E、6509-E、6509-V-E、6513-E 6503、6506、6509、6509-NEB、6509-NEB-A、6513、7603、7603-S、7604、7606、7606-S、7609、OSR-7609、7609-S、7613


E シリーズのシャーシの場合、Supervisor 2T をサポートするには、シャーシに対応する E シリーズのファン(または高速 HS ファン)が必要になります。2,500 W 電源装置は Supervisor 2T をサポートする 6、9、および 13 スロット シャーシに使用するべき電源としては最小サイズですが、現在出荷時にサポートされている最小の電源装置は 3,000 W です。

Supervisor 2T を各シャーシで使用する場合、6503-E では 1,400 W、6504-E では 2,700 W の電源装置を必要とします。AC または DC のいずれかの電源オプションを使用できます。シャーシ タイプおよび Supervisor 2T と併用が可能な対応するファンおよび電源装置オプションについて、次の表で詳しく説明します。

表 3 Supervisor 2T のサポート対象シャーシ、ファン、および電源装置

サポート対象シャーシ サポート対象ファン サポート対象電源装置
6503-E WS-C6503-E-FAN PWR-1400-AC
6504-E FAN-MOD4-HS PWR-2700-AC/4
PWR-2700-DC/4
6506-E WS-C6506-E-FAN WS-CAC-2500W(現在は販売終了)
WS-CDC-2500W
WS-CAC-3000W
WS-CAC-4000W-US
WS-CAC-4000-INT
PWR-4000-DC
WS-CAC-6000W
PWR-6000-DC
WS-CAC-8700W
6509-E WS-C6509-E-FAN WS-CAC-2500W(現在は販売終了)
WS-CDC-2500W
WS-CAC-3000W
WS-CAC-4000W-US
WS-CAC-4000-INT
PWR-4000-DC
WS-CAC-6000W
PWR-6000-DC
WS-CAC-8700W
6509-V-E WS-C6509-V-E-FAN WS-CAC-2500W(現在は販売終了)
WS-CDC-2500W
WS-CAC-3000W
WS-CAC-4000W-US
WS-CAC-4000-INT
PWR-4000-DC
WS-CAC-6000W
PWR-6000-DC
WS-CAC-8700W
6513-E WS-C6513-E-FAN WS-CDC-2500W
WS-CAC-3000W
WS-CAC-4000W-US
WS-CAC-4000-INT
PWR-4000-DC
WS-CAC-6000W
PWR-6000-DC
WS-CAC-8700W

Supervisor 2T は、必ずシャーシ内の指定されたスロットに設置します。誤ったスロットに設置しないよう、シャーシとスーパーバイザのコネクタ間にある目印用のガイド ピンを使用します。各シャーシにはスーパーバイザ用として 2 つのスロットが予約されています。これらのスロットは、次の表に示されています。

表 4 シャーシのスーパーバイザ用スロット

  6503-E 6504-E 6506-E 6509-E 6509-V-E 6513-E
スロット 1 Sup または L/C Sup または L/C ラインカード ラインカード ラインカード ラインカード
スロット 2 Sup または L/C Sup または L/C ラインカード ラインカード ラインカード ラインカード
スロット 3 ラインカード ラインカード ラインカード ラインカード ラインカード ラインカード
スロット 4   ラインカード ラインカード ラインカード ラインカード ラインカード
スロット 5     Sup または L/C Sup または L/C Sup または L/C ラインカード
スロット 6     Sup または L/C Sup または L/C Sup または L/C ラインカード
スロット 7       ラインカード ラインカード Sup のみ
スロット 8       ラインカード ラインカード Sup のみ
スロット 9       ラインカード ラインカード ラインカード
スロット 10           ラインカード
スロット 11           ラインカード
スロット 12           ラインカード
スロット 13           ラインカード


Supervisor 2T には、既存の WS-X6700 シリーズ ラインカードとの下位互換性があります(WS-X6708-10G は、後で説明される新型の WS-X6908-10G と置き換えられるため、例外となります)。同様に、一部のWS-X6100 シリーズ ラインカードをサポートします。WS-X62xx、WS-X63xx、WS-X64xx、および WS-X65xx のラインカードはサポート対象になりません。

注: Central Forwarding Card(CFC; 集中型フォワーディング カード)が装備されたすべての WS-X67xx ラインカードは、Supervisor 2T システムでサポートされており、集中型 CEF720 モードで機能します。

Supervisor 2T と、DFC、または DFC3x 等の従来世代の Distributed Forwarding Card(DFC; 分散型フォワーディング カード)との間には互換性がありません。DFC は、システムのフォワーディング パフォーマンスを全体的に加速させるために使用し、PFC で確認されるものと同じフォワーディング アーキテクチャを使用します。PFC4 アーキテクチャには多くの変更が導入されており、従来の PFC/DFC モデルとは動作の点で大きく異なっています。

これらの変更により、PFC4 が相互運用できるのは DFC4 に限られることになりました。DFC3x を保有するすべての既存 WS-X67xx ラインカードは、新しい DFC4 によるアップグレードが必要になります。DFC4 が設置された WS-X67xx ラインカードは、分散型 dCEF720 モードで機能します。

注: 新しく購入されたすべての WS-X6700 シリーズのラインカードは、DFC4 または DFC4XL が事前に設置された状態で出荷されており、性能の違いを明確にするため、名称が WS-X6800 シリーズ ラインカードに変更されています。

注: 互換性の問題により、WS-X6708-10GE-3C/3CXL を Supervisor 2T システムに挿入できないため、新しい WS-X6908-10GE-2T/2TXL にアップグレードする必要があります。

Supervisor 2T ラインカードのサポートには、新しい WS-X6900 シリーズ ラインカードも導入されています。これらはデュアル 40 Gbps ファブリック チャネル接続を接続し、分散型 dCEF2T モードで動作します。

Supervisor 2T のサポート対象ラインカードを次にまとめます。

表 5 Supervisor 2T と互換性のあるラインカード

ラインカード ファミリ ラインカード ラインカードの説明
6900 シリーズ ラインカード(dCEF2T) WS-X6908-10G-2T
WS-X6908-10G-2TXL
8 ポート 10 GE(DFC4/DFC4XL)
WS-X6904-40G-2T
WS-X6904-40G-2TXL
4 ポート 40 GE または 16 ポート 10 GE(DFC4/DFC4XL)
6800 シリーズ ラインカード(dCEF720) WS-X6816-10G-2T
WS-X6816-10G-2TXL
16 ポート 10 GE(DFC4/DFC4XL)
WS-X6816-10T-2T
WS-X6816-10T-2TXL
16 ポート 10 G Base-T(DFC4/DFC4XL)
WS-X6848-TX-2T
WS-X6848-TX-2TXL
48 ポート 10/100/1000 RJ-45(DFC4/DFC4XL)
WS-X6848-SFP-2T
WS-X6848-SFP-2TXL
48 ポート GE SFP(DFC4/DFC4XL)
WS-X6824-SFP-2T
WS-X6824-SFP-2TXL
24 ポート GE SFP(DFC4/DFC4XL)
6700 シリーズ ラインカード(CEF720) WS-X6704-10 GE 4 ポート 10 GE(CFC のみ)
WS-X6748-GE-TX 48 ポート 10/100/1000(CFC のみ)
WS-X6748-SFP 48 ポート GE SFP(CFC のみ)
WS-X6724-SFP 24 ポート GE SFP(CFC のみ)
6100 シリーズ ラインカード(従来型) WS-X6148A-RJ-45 48 ポート 10/100/1000 RJ-45(PoE 802.3af にアップグレード可能)
WS-X6148A-45AF PoE 802.3af を搭載した 48 ポート 10/100 RJ-45
WS-X6148-FE-SFP 48 ポート 100 BASE-X(SFP)
WS-X6148A-GE-TX 48 ポート 10/100/1000 イーサネット RJ-45
WS-X6148A-GE-45AF PoE 802.3af を搭載した 48 ポート 10/100/1000 イーサネット RJ-45
WS-X6148E-GE-45AT PoE 802.3af および PoE+ 802.3at を搭載した 48 ポート 10/100/1000 RJ-45

注: すべての既存 WS-X67xx ラインカードは、既存の CFC または DFC3x を取り外し、新しい DFC4 または DFC4XL に置き換えることでアップグレードできます。これらのラインカードは WS-X68xx ラインカードと機能的に同等ですが、WS-X67xx の識別情報を保有しています。

表 6 DFC4 フィールド アップグレード可能なラインカード

ラインカード ラインカードの説明
WS-X6716-10GE 16 ポート 10 GE(DFC3/DFC3XL)
WS-X6716-10T 16 ポート 10 G Base-T(DFC3/DFC3XL)
WS-X6724-SFP 24 ポート GE SFP(DFC3/DFC3XL または CFC)
WS-X6748-SFP 48 ポート GE SFP(DFC3/DFC3XL または CFC)
WS-X6748-GE-TX 48 ポート 10/100/1000(DFC3/DFC3XL または CFC)
WS-X6704-10GE 4 ポート 10 GE(DFC3/DFC3XL または CFC)


DFC3x を活用する該当のラインカード(上の表)を Supervisor 2T シャーシで動作させるためには、DFC4 へアップグレードする必要があります。この相互運用性のレベルは、次の表にまとめています。

表 7 PFC/DFC の相互運用性一覧

  PFC3A PFC3B PFC3BXL PFC3C PFC3CXL PFC4 PFC4XL
DFC3A - PFC3B は PFC3A として機能 PFC3BXL は PFC3A として機能 PFC3C は PFC3A として機能 PFC3CXL は PFC3A として機能 互換性なし 互換性なし
DFC3B DFC3B は DFC3A として機能 - PFC3BXL は PFC3B として機能 PFC3C は PFC3B として機能 PFC3CXL は PFC3B として機能 互換性なし 互換性なし
DFC3BXL DFC3BXL は DFC3A として機能 DFC3BXL は DFC3B として機能 - DFC3BXL は DFC3B として機能、PFC3C は PFC3B として機能 PFC3CXL は PFC3BXL として機能 互換性なし 互換性なし
DFC3C DFC3C は DFC3A として機能 DFC3C は DFC3B として機能 PFC3BXL は PFC3B として機能、DFC3C は DFC3B として機能 - PFC3CXL は PFC3C として機能 互換性なし 互換性なし
DFC3CXL DFC3CXL は DFC3A として機能 DFC3CXL は DFC3B として機能 DFC3CXL は DFC3BXL として機能 DFC3CXL は DFC3C として機能 - 互換性なし 互換性なし
DFC4 互換性なし 互換性なし 互換性なし 互換性なし 互換性なし - PFC4XL は PFC4 として機能
DFC4XL 互換性なし 互換性なし 互換性なし 互換性なし 互換性なし DFC4XL は DFC4 として機能 -


スーパーバイザのアーキテクチャ


Supervisor 2T の主要な処理ブロックには、クロスバー スイッチ ファブリック、MSFC5、PFC4、ファブリック インターフェイス ASIC、バスおよびファブリック レプリケーション ASIC が含まれています。それぞれのブロック要素とその相互接続は、次の図で確認できます。

図 2 Supervisor 2T の概要を示すブロック図

図 2 Supervisor 2T の概要を示すブロック図
※画像をクリックすると、大きな画面で表示されますpopup_icon


動作の理論

すべてのパケット処理は、さまざまな ASIC ブロックを経由して特定のシーケンスで行われます。スーパーバイザ下位のローカル ポートに入力および出力されるパケットは、ハイレベル パケット ウォークが可能です。

入力パケット処理

  1. 1 G ポートまたは 10 G ポートに到着するパケットは、Physical Layer Protocol(PHY)で巡回冗長検査(CRC)などの事前チェックが実行されてから、CTS ASIC に転送されます。
  2. CTS ASIC は入力 802.1ae 復号化(有効な場合)を実行し、ロールベース ACL(RBACL)処理(有効な場合)のために、Security Group Tag(SGT)を抽出します。CTS が無効な場合、この ASIC はパッシブになります。その後、パケットはポート ASIC に転送されます。
  3. ポート ASIC はパケットをローカル パケット バッファに格納してから、送信元ポート、VLAN、およびその他の情報を含む内部パケット ヘッダーを適用します。
  4. 次に、このパケットはファブリック インターフェイスおよびレプリケーション ASIC に転送されます。ここで、パケット ヘッダーからの情報が、フォワーディング ルックアップ処理のため PFC4 または DFC4 に転送されます。
  5. レイヤ 2 およびレイヤ 3 処理が PFC4(CFC が使用される場合はローカル アップリンク ポート)によって実行され、その転送結果はファブリック インターフェイスまたはレプリケーション ASIC に戻されます。
  6. このパケットが、SPAN、マルチキャスト、およびその他のレプリケーション サービスを必要とする場合は、ファブリック インターフェイスおよびレプリケーション ASIC により追加ルックアップが実行される可能性もあります。
  7. 次に、パケットは宛先がローカルの場合は出力ポート ASIC に、宛先がリモート ファブリック対応のラインカード上にあるポートの場合はスイッチ ファブリックに、パケットの宛先がバスのみに接続されるラインカードの場合はバス レプリケーション ASIC に転送されます。

出力パケット処理(クロスバーから受信したパケット)

  1. パケットは、スイッチ ファブリック チャネルのいずれかから受信します。
  2. スイッチ ファブリックは、このパケットをファブリック レプリケーション ASIC に送信します。
  3. ファブリック レプリケーション ASIC はパケットを格納し、パケットのヘッダー情報をフォワーディング ルックアップ処理のため PFC4 に送信します。
  4. PFC4 はルックアップを実行し、その結果をファブリック レプリケーション ASIC に戻します。
  5. ファブリック レプリケーション ASIC は、レプリケーション サービスが必要な場合に追加ルックアップを実行します。
  6. 次に、ファブリック レプリケーション ASIC は、パケット(該当する場合は複製されたパケット)をポート ASIC に転送します。このパケットには、PFC4 からの宛先情報が含まれています。
  7. ポート ASIC はこのパケットをパケット バッファに格納し、パケットに出力チェックを実行します。
  8. ポート ASIC はパケットの書き換えを行ってから、パケットを CTS ASIC に転送します。
  9. CTS が有効な場合、CTS ASIC は 802.1ae 暗号化を実行し、パケットはケーブルを伝送するため PHY に転送されます。

出力パケット処理(共有バスから受信したパケット)

  1. バスから受信したパケットは、ローカル バスに配置されます。
  2. バス レプリケーション ASIC はこのパケットを格納し、フォワーディング ルックアップ処理のためにパケットのヘッダー情報を PFC4 に送信します。
  3. PFC4 はルックアップを実行し、その結果をバス レプリケーション ASIC に戻します。
  4. バス レプリケーション ASIC は、レプリケーション サービスを必要とする場合に追加ルックアップを実行します。
  5. バス レプリケーション ASIC はパケット(該当する場合は複製されたパケット)をポート ASIC に転送します。このパケットには PFC4 からの宛先情報が含まれます。
  6. ポート ASIC はこのパケットをパケット バッファに格納し、パケットに出力チェックを実行します。
  7. ポート ASIC はパケットの書き換えを行い、パケットを CTS ASIC に転送します。
  8. CTS が有効な場合、CTS ASIC は 802.1ae 暗号化を実行し、パケットはケーブルを伝送するため PHY に転送されます。

次の節では、各処理ブロックの詳細を説明します。

ファブリックおよびバス コネクタ

Catalyst 6500 は、2 つの異なるスイッチ バックプレーンをサポートします。クロスバー スイッチ ファブリック(上の図の左上)とバス バックプレーン(上の図の右上)です。クロスバー スイッチ ファブリックは、スイッチング性能を最適化するために、CEF720 および CEF2T 世代ラインカードで使用される大容量のバックプレーンです。このバックプレーンは、スーパーバイザの名前にも含まれている 2 テラビット バックプレーンを表します。2 つ目のバックプレーン(バス バックプレーンと呼ばれる)も、WS-X61xx ラインカード、サポート対象サービス モジュール、およびフォワーディングにローカル DFC4 を使用しないラインカードのサポートを提示します。

クロスバー スイッチ ファブリックは、ファブリック チャネル(またはデータ パス)のセットを提供します。このチャネルは、ラインカードが挿入されるシャーシのスロットに割り当てられます。これらを総称してクロスバー スイッチ バックプレーンと呼びます。一連のファブリック チャネルは、Any to Any(フルメッシュ)の接続オプションを付属ラインカードに提供し、専用パスを経由して、シャーシに設置されたすべてのラインカードにデータを転送します。

バス バックプレーンは 16 Gbps(全二重方式)の共有データ バスであり、従来の付属ラインカード間への接続の提供に使用されます。データ バスは 62.5 MHz で動作し、256 ビット幅です。ブリッジ ASIC の提供するインターフェイスを経由すると、これらの従来のラインカードは、データ処理サービスのために PFC4 および MSFC5 と通信できるようになります。

クロスバー スイッチ ファブリック

Supervisor 2T 上のクロスバー スイッチ ファブリックは、2,080 Gbps のスイッチング容量を備えています。この容量は、シャーシの各スロットへのデータ パスをプロビジョニングするための 26 本のファブリック チャネルの使用を基準にしています。各ファブリック チャネルは、挿入されたラインカードに応じて、40 Gbps または 20 Gbps のいずれかで動作することができます。スイッチ ファブリックの容量は次のように計算されます。

26 × 40 Gbps = 1,040 Gbps
1,040 Gbps × 2(全二重方式) = 2,080 Gbps

2,080 Gbps 値はマーケティング用の数値(すべてのスイッチ ベンダー間で共通する)であり、データ トラフィックの同時の送受信を実現する、全二重方式伝送を記述するすべての資料に使用されます。スイッチ ファブリックの容量は、全二重方式の数値として記載されますが、従来の E シリーズのスロットごとの容量は全二重方式の数値ではないことに注意してください。

「スロットあたり 80 Gbps」という表現は、各スロットに 40 Gbps のファブリック チャネルが 2 つ割り当てられ、スロットあたり合計 80 Gbps を提供していることを表します。スロットあたりの容量にマーケティング用の計算が使用された場合、E シリーズのシャーシはスロットあたり 160 Gbps を提供することになります。

図 3 6509-E のファブリック チャネルのレイアウト

図 3 6509-E のファブリック チャネルのレイアウト
※画像をクリックすると、大きな画面で表示されますpopup_icon


6513-E を除くすべてのシャーシには、2 つのスーパーバイザ スロットを含むラインカード スロットごとに、デュアル ファブリック チャネルを提供するのに十分なファブリック チャネルが存在します。6513-E は例外となります。6513-E シャーシの場合、スロット 1 から 6 と、スロット 9 から 13 にデュアル ファブリック チャネルが提供されます。スロット 7 および 8 はスーパーバイザ専用スロットとして設計されています。スーパーバイザ専用スロットにラインカードが挿入された場合、電源が投入されなくなります。

図 4 6513-E のファブリック チャネルのレイアウト

図 4 6513-E のファブリック チャネルのレイアウト
※画像をクリックすると、大きな画面で表示されますpopup_icon


ファブリック レプリケーション ASIC

この ASIC を使用して、数多くの重要な機能を提供します。最も重要な機能は、前面パネル GE ポートおよび 10GE ポートからパケットを受信すると、パケット ヘッダーから価値ある情報を推定し、この情報をパケット ルックアップ処理および関連するフォワーディング サービス処理(セキュリティ、QoS、NetFlow、その他)のため PFC4 に転送することです。パケット ルックアップ処理からパケットが戻されると、この ASIC はルックアップの結果に従ってパケットの書き変えを実行します。

この ASIC が実行するもう 1 つの重要な処理は、マルチキャスト レプリケーションです。これにはレイヤ 2 パケット向けの IGMP スヌーピングだけでなく、レイヤ 3 マルチキャスト パケット向けのマルチキャスト拡張も含まれます。また、その他のレプリケーション サービスもサポートしており、スイッチド ポート アナライザ機能(SPAN、ER-SPAN、およびその他)のプロビジョニングが可能です。

新機能には、Cisco TrustSec(CTS)および Virtual Switch Link(VSL)へのサポートも含まれています。これにより前面パネル 10 GE ポートが VSL の一部として使用できるため、Virtual Switching System(VSS)ドメインが効率よく作成できます。

ポート ASIC

スーパーバイザ上で 2 つのポート ASIC を使用して、前面パネルの 10 GE ポート× 2 および 1 GE ポート× 3 をプロビジョニングします。片方のポート ASIC は、単一の 10 GE ポートと単一の 1 GE ポートをサポートします。もう 1 つのポート ASIC は、単一の 10 GE ポートと 2 つの 1 GE ポートをサポートします。次のリストに、このポート ASIC の機能を示します。

  • ポート単位の VLAN 変換
  • VSL サポート(10 GE ポートのみ)
  • Cisco TrustSec サポート(802.1ae リンク レイヤの暗号化)
  • ジャンボ フレーム(最大 9,216 バイト)
  • フロー制御
  • 1 GE ポート(TX):1p3q4t(1 つの完全優先キュー、3 つの標準ラウンド ロビン キュー、標準キューごとの 4 つの Weighted Random Early Detection(WRED; 重み付けランダム早期検出)しきい値)
  • 10 GE ポート(TX):1p7q4t(1 つの完全優先キュー、7 つの標準ラウンド ロビン キュー、標準キューごとの 4 つの WRED しきい値)
  • 1 GE ポート(RX):1q8t(1 つの標準ラウンド ロビン キューとそのキューの 8 つの WRED しきい値)
  • 10 GE ポート(RX):2q4t(2 つの標準ラウンド ロビン キューと標準キューごとに 4 つの WRED しきい値)
  • 合計 256 MB のキュー バッファ(前面パネルの 10 G ポートおよび 1 G ポートで分割)
  • DWRR、WRR、および SRR スケジューリング スキーム
  • WRED およびテール ドロップ輻輳管理
  • 802.1Q VLAN カプセル化
  • ECC 保護

ブリッジ ASIC

ブリッジ ASIC は、主にバスを使用してコントロール プレーン(MSFC5)とデータ プレーン(PFC4)に接続するラインカードのゲートウェイとして機能します。バス バックプレーンへの接続を提供し、ラインカードから受信したパケットを処理のために MSFC5 または PFC4 に転送します。ラインカードからのデータ フローを管理するフロー制御だけでなく、パケット バッファも提供します。パケットの処理が完了すると、ブリッジ ASIC は転送動作の結果をバス経由で従来のラインカードに戻します。

MSFC5/PFC4

どちらも本ホワイト ペーパーの後半で個別に説明されます。

MSFC5


MSFC5 は、Supervisor 2T 用の次世代型 CPU ドーター カードです。オプションではなく、すべての Supervisor 2T に搭載されています。MSFC5 は Supervisor 2T 専用として設計されており、他のいずれの Supervisor 32 または Supervisor 720 にも搭載できません。

MSFC5 はスイッチにコントロール プレーン サービスを実行します。コントロール プレーン機能は通常、専用の ASIC がハードウェアで直接処理しない機能や処理を実行します。MSFC5 CPU が処理するのは、ルーティング プロトコルなどのレイヤ 2 およびレイヤ 3 コントロール プレーン プロセス、SNMP や SYSLOG のような管理プロトコル、レイヤ 2 プロトコル(スパニングツリー、Cisco Discovery Protocol、その他)、スイッチ コンソール、その他です。

図 5 Supervisor 2T の MSFC5

図 5 Supervisor 2T の MSFC5


従来世代の MSFC では、MSFC 上には 2 つの主要な CPU コンプレックスがあり、それぞれ Route Processor(RP; ルート プロセッサ)コンプレックスおよび Switch Processor(SP; スイッチ プロセッサ)コンプレックスと呼ばれていました。RP コンプレックスは、レイヤ 3 コントロール プレーン サービス、IOS 設定と設定に関連する管理、Address Resolution Protocol(ARP; アドレス解決プロトコル)の処理、Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)の処理などを行いました。

他の主要な機能は、PFC ハードウェア メモリ テーブル(SP を経由する)にプログラムされた CEF フォワーディング テーブルを作成することでした。SP コンプレックスは、レイヤ 2 コントロール プレーン サービス、システム電源管理、およびスイッチのさまざまなハードウェア要素のプログラミングを実行していました。これらの従来の MSFC で機能する IOS イメージは、http://www.cisco.com [英語] から 1 つのバイナリ イメージ ファイルとしてダウンロードしますが、実際は、1 つは RP CPU コンプレックス上で動作し、もう 1 つは SP CPU コンプレックス上で動作する 2 つの別個のイメージでした。

MSFC5 における最も大きな強化点は、デュアル CPU コンプレックス(RP/SP)から RP コンプレックスと SP コンプレックスが 1 つに組み合わさった単一の CPU コンプレックスへ移行したことです。これに伴い、Supervisor 2T に新しい IOS イメージが導入され、以前は 2 つ実行されていたイメージが 1 つに統合されました。

新しい MSFC5 のもう 1 つの大きな強化点は、Connectivity Management Processor(CMP; 接続管理プロセッサ)の導入です。CMP はスタンドアロンの CPU であり、管理者はさまざまなリモート管理サービスの実行に使用することができます。以下は、CMP の使用例です。

  • コントロール プレーンのシステム回復
  • システムのリセットおよびリブート
  • プライマリ IOS イメージが万一破損または削除された場合の、IOS イメージ ファイルのコピー

CMP と RP は、プログラム可能なマルチプレクサを介して同じコンソールを共有します。デフォルトでは、ファームウェアはマルチプレクサをプログラムして、RP コンソールが前面パネル上でアクティブになるようにします。マルチプレクサは、あるコンソールから別のコンソールに切り替えるように指示する特定のエスケープ シーケンスをインターセプトします。

このシーケンス(Ctrl+C、Shift+M)が 3 回連続して使用された場合、マルチプレクサはコンソールを CMP に切り替えます。このシーケンス(Ctrl+R、Shift+M)が 3 回連続して使用された場合、マルチプレクサは RP コンソールに戻すように切り替えます。

CMP へは、前面パネルにある新しい 10/100/1000 RJ-45 管理インターフェイスにより外部から IP 接続が可能です。さらにこのポートは、IP アドレス、ゲートウェイ、および接続方法(たとえば、Telnet や SSH)に関して設定できます。これで、RP がダウンしていても、ユーザはリモートでシステムにアクセスして制御することができます。

以下の表に、MSFC3(Supervisor 720)と比較した MSFC5 CPU コンプレックスの仕様を示します。

表 8 MSFC5 と MSFC3 の比較

機能 MSFC3(Supervisor 720-10G) MSFC5(Supervisor 2T)
CP CPU の速度 SP CPU - 600 MHz
RP CPU - 600 MHz
デュアル コア(各コアは 1.5 GHz で動作)
CPU コア数 1 2
Connectivity Management Processor(CMP; 接続管理プロセッサ)CPU CMP 未対応 シングル コア(266 MHz)
32 MB ブート フラッシュ
256 MB システム メモリ
NVRAM 2 MB 4 MB
OBFL フラッシュ なし 4 MB
ブート ディスク SP CPU - 1 GB
RP CPU - 64 MB
CF ベース - 1 GB
スーパーバイザ前面パネルの CF カード あり- CF スロット× 1 あり- CF スロット× 1
DRAM SP - 最大 1 GB
RP - 最大 1 GB
2 GB(XL 以外)
4 GB(XL)


MSFC5 ではアクセス速度の向上のために DDR-II メモリを使用しています。メモリ ソケットは 2 つ搭載されており、現在、Supervisor 2T の XL 以外のバージョンには 2 GB DIMM が 1 枚、XL バージョンには 2 GB DIMM が 2 枚取り付けられています。On Board Failure Logging(OBFL; オンボード障害ロギング)フラッシュも搭載されており、温度の読み取りや各種診断情報の記録用に 4 MB のメモリを提供します。4 MB のバッテリ駆動型 NVRAM メモリ ブロックも搭載されています。このメモリ ブロックは、startup-config、VLAN データベース、およびシステムの起動に必要なその他の情報を保存します。

MSFC5 には 2 つの温度センサーがあり、それぞれボードの端部に配置されています。右側にあるセンサーは、専用「吸気口」センサーであり、ボードの左側にあるセンサーは、専用の「排気口」センサーです。これらのセンサーが提供する情報は、環境サブシステムに取り込まれ、そこで温度のしきい値の評価に使用されます。

MSFC5 コンプレックスは、オンボードの Compact Flash(CF; コンパクト フラッシュ)ブート ディスクもサポートしています。このディスクは、最大 8 GB のディスク密度を備えた標準 CF Type-II ディスクをサポートします。MSFC5 にはデフォルトで 1 GB のブート ディスクが付属します。CF ブート ディスクは、IOS イメージおよびコンフィギュレーション ファイルはもとより、管理者がスイッチに対してローカルに保存しておきたい他のユーザ ファイルの記憶域として使用できます。

ブート ディスクに加えて、MSFC5 は Supervisor 2T 前面パネル CF スロットも管理します。ブート ディスクと同様に、この CF スロットは、最大 8 GB のディスク密度を備えた CF Type-II ディスクをサポートしています。外部 CF スロットには CF スロットが使用中であることを示す LED があり、前面パネルから確認できます。

上記で説明された CMP は新しい機能拡張であり、Supervisor 2T で初めて登場しました。多くの点で、CMP は、大きな意味での MSFC5 CPU コンプレックスの中にある CPU コンプレックスといえます。そのため、CMP には、MSFC5 に存在するものとは別に、独自の CPU とメモリがあります。CMP は、前面パネルの 10/100/1000 管理ポートをサポートします。このポートは、自動ネゴシエーション、ペア スワップの検出と修正(MDI クロスオーバー)、およびサイズが最大 9,216 バイトのジャンボ フレームをサポートします。また、前面パネル ポートで 2 色 LED によりアクティビティとリンク ステータスを表示します。前面パネルのイーサネット ポートに加えて、CMP は前面 USB ポートへの直接インターフェイスを備えており、USB コンソールを CMP に接続できるようになっています。

以下に、MSFC5 ボードの詳細を示します。

図 6 MSFC5 のブロック図

図 6 MSFC5 のブロック図
※画像をクリックすると、大きな画面で表示されますpopup_icon


PFC4 および DFC4


PFC4 は、スイッチを通過するパケットにハードウェア アクセラレーション フォワーディングを提供します。これに含まれるのは、IPv4 ユニキャスト/マルチキャスト、IPv6 ユニキャスト/マルチキャスト、Multi-Protocol Label Switching(MPLS; マルチプロトコル ラベル スイッチング)、およびレイヤ 2 パケットのフォワーディングです。フォワーディングに加えて、PFC4 はフォワーディング ルックアップ処理中に扱われる複数のサービスの処理も受け持ちます。これに含まれるのは、セキュリティ Access Control List(ACL; アクセス コントロール リスト)、レート制限ポリシーの適用、サービス品質(QoS)の分類とマーキング、NetFlow フローの収集とフローの統計情報の作成、EtherChannel のロード バランシング、パケット書き換えルックアップ、およびパケット書き換えの統計情報の収集などですが、これらに限定されません。

DFC4 は、選択されたラインカードに配置されたドーター カードです。DFC4 には、PFC4 にあるブロックと同じ ASIC 機能ブロックが含まれています。DFC4 の主要な目的は、ラインカードにローカル フォワーディング サービスを提供することであり、この機能に関して PFC4 の負荷を軽減します。DFC4 を使用すると、シャーシ全体のパフォーマンスの拡張が容易になります。シャーシに DFC4 が存在しない場合、Supervisor 2T を装備したシャーシのパフォーマンスは最大で 60 Mpps(IPv4 フォワーディングの場合)になります。DFC4 を 1 枚追加するごとに、さらに 60 Mpps のフォワーディング パフォーマンスが、シャーシの集約フォワーディング容量に追加されます。PFC4 に関して以下に記載されたすべての情報は、DFC4 にも同様に適用されます(機能、スケーラビリティ、およびパフォーマンス)。

次の図に示すとおり、PFC4 は Supervisor 2T ベースボードの右側に配置されています。

図 7 Supervisor 2T に設置されたポリシー フィーチャ カード 4

図 7 Supervisor 2T に設置されたポリシー フィーチャ カード 4


次の図に、ラインカードでの DFC4 の位置を示します。次の写真では、保護カバーの下に DFC4 が配置されています。保護カバーには、ラインカードがシャーシに挿入されたり、取り外される場合にドーター カードを損傷から守る役目があります。

図 8 WS-X6908-10GE ラインカード上の DFC

図 8 WS-X6908-10GE ラインカード上の DFC


PFC4 および PFC4XL 機能のレビュー

PFC4 は、多くの機能拡張と、従来世代の PFC よりも高度な新機能を提供します。次の表に、これらのハードウェア機能をまとめます。

表 9 PFC4 の新規機能拡張

機能範囲 機能
フォワーディング L2、IPv4 および MPLS のフォワーディング パフォーマンスは最大 60 Mpps に、IPv6 のフォワーディング パフォーマンスは最大 30 Mpps に増加しました。
8 ビット ハッシュを利用した EtherChannel ロード バランシングの向上
マルチキャスト ルートを 256 K に増加
16 K ブリッジ ドメインのサポート
128 K 論理インターフェイスのサポート
MAC アドレス テーブルを 128 K に拡大
ハードウェアでの IGMPv3 スヌーピング
ハードウェアでの PIM 登録
ハードウェアでの IPv6 MLDv2 スヌーピング
IPv6-in-IPv6 トンネリング
IPv6-in-IPv4 トンネリング
フル パイプ トンネル モード
トンネル送信元アドレス共有
ネットワーク セキュリティ RBACL をサポートする Cisco TrustSec(CTS)(802.1ae リンク レイヤの暗号化は、ポート ASIC の機能であり、PFC4 の機能ではないことに注意してください)
ハードウェア コントロール プレーン ポリシング(マルチキャスト CoPP を含む)およびハードウェア レート リミッタ数の増加
共有 ACL テーブル(QoS を使用)が最大 256 K エントリに増加
L2+L3+L4 ACL
ACE 値との 1:1 のマスク比
ACL のドライ ランとヒットレス コミット
IP ヘッダーのより多くのフィールドを使用した分類
送信元 MAC + IP バインディング
送信元 MAC ミスのドロップ
プロトコルごとのドロップ
Ipv4 および IPv6 uRPF
uRPF への最大 16 パス ルックアップ
NetFlow サービス 出力 NetFlow
NetFlow テーブル サイズが 512 K(XL 以外)または 1 M(XL)に増加
NetFlow ハッシュの向上
ハードウェアでの Flexible NetFlow および NetFlow v9 サポート
ハードウェアによる Sampled NetFlow
サービス品質(QoS) ポート単位 VLAN 単位のポリシー
分散型ポリシング(最大 4 K ポリサー)
集約ポリシング(最大 16 K ポリサー)およびマイクロフロー ポリシング(最大 128 ポリサー)のスケーラビリティの拡大
フロー マスク数の増加による機能の非互換性の低減
出力マイクロフロー ポリシング
DSCP 変更マップの増加
パケットまたはバイトベースのポリシング
仮想化 Layer 2 over GRE
MPLS 集約ラベルが最大 16 K に増加
ネイティブ H-VPLS
MPLS over GRE
16 K EoMPLS トンネル


次のセクションでは、上の表に記載された機能拡張のそれぞれについて、簡潔な概要を示します。説明は、レイヤ 2 およびレイヤ 3 の機能グループごとに行います。

レイヤ 2 - MAC アドレス サポートの増加
PFC4 のどちらのモデルでも、128 K の MAC アドレス テーブルが標準です。MAC アドレス テーブルは、MAC アドレスの一部となるブリッジ ドメイン(BD)など、MAC アドレス テーブル エントリの追加フィールドをサポートするために拡張されています。

レイヤ 2 - ブリッジ ドメイン
ブリッジ ドメインは、PFC4 で導入された新しい概念です。ブリッジ ドメインは、従来の VLAN の拡張に役立つだけでなく、スイッチ内の内部レイヤ 2 フォワーディングの拡張にも使用されます。ブリッジ ドメインは、ユーザが設定するそれぞれの VLAN にマッピングされるだけでなく、EoMPLS/VPLS トンネル、L3 サブインターフェイス、およびマルチキャスト入力レプリケーションモードなど、その他のリソースにもマッピングされます。基本的に、ブリッジ ドメインは VLAN(12 ビット ID で、4,096 の一意な値が利用可能)と同等です。ブリッジ ドメインは 14 ビット ID(12 ビットは VLAN ID)を使用し、合計 16 K のブリッジ ドメインが PFC4 によりハードウェアでサポートされています。

レイヤ 2 - 論理インターフェイスの増加
PFC4 に導入されている Logical Interface(LIF; 論理インターフェイス)の概念は、ハードウェアに依存しないインターフェイス(つまりポート)の参照インデックスであり、フォワーディング エンジンに入力されるすべてのフレームに関連付けられます。LIF は 72 ビットの内部アドレスであり、ブリッジ ドメイン(BD)、送信元ポート インデックス、およびフォワーディングの特定を効率化するために PFC4 で使用される、その他の関連情報(たとえば、プロトコル タイプ)で構成されます。この機能により、レイヤ 2 フォワーディングの特性は、レイヤ 3 の特性とは論理的に区別されます。PFC4 では、新たに最大 128 K の LIF がハードウェアによりサポートされるようになりました。

レイヤ 2 - EtherChannel ハッシュの向上
スキュー テーブルは、EtherChannel リンク バンドルの一部を構成する、奇数個のリンク(3、5、6、7)を経由するトラフィック分散についての問題を克服するために導入されています。以前の PFC3x エンジンは、偶数個のリンク(2、4、および 8)バンドル全体に平衡型分散を提供していました。しかし、3、5、6、または 7 メンバ ポートを使用するリンク バンドルでは、分散の不均衡が発生することもありました。スキュー テーブルを使用すると、バンドルでのリンク選択に対する処理ロジックの一部として機能し、従来の問題が軽減します。

ハッシュに使用する入力(フィールド)自体も拡張されています。入出力インターフェイスをハッシュに含めるオプションを使用すると、VLAN ID との併用によって、リンクをより詳細に選択できるようになります。これらのオプションも、VLAN トランクを経由するマルチキャスト トラフィックに対するリンクの選択に関して従来あった問題の克服に役立ちます。VLAN トランクでは、バンドルのリンクが他のリンクより優先されるためです。

レイヤ 2 - VSL サポート
VSL は、2 つの物理的な Catalyst 6500 スイッチに対して、単一の論理ユニットとしての動作を可能にするテクノロジーです。このモードでは、1 つのシャーシの Supervisor Engine 2T が SSO アクティブであり、もう 1 つのシャーシの Supervisor Engine 2T は SSO スタンバイです。スタンドアロン(非 VSS)HA の場合、アクティブ スーパーバイザがコントロール プレーンを受け持ちます。仮想スイッチ設定でコントロール プレーンは 2 つのうちアクティブなのが片方だけでも、データ プレーンは両方ともアクティブです。両方のデータ プレーンがアクティブになっていると、仮想スイッチ システムはハードウェア フォワーディングを最適化し、両方の PFC4 エンジンを使用してそれぞれのシャーシにハードウェア対応型タスクを実行できます。VSL は PFC4 でサポートされていますが、内容は、従来の PFC3C/PFC3C-XL Supervisor Engine 720 でサポートされていたものと同じです。

レイヤ 2 - ポート単位 VLAN 単位
この機能は、ポート単位および VLAN 単位の両方のポリシー ベースの展開を必要とする、メトロポリタン イーサネットの展開のために設計されています。通常、これらのシナリオで定義されるネットワーク展開モデルでは、さまざまなカスタマー トラフィックを伝送するさまざまな VLAN が、同一の物理インターフェイス上で処理されています。従来の PFC エンジンでは、ポートベースまたは VLAN ベースのポリシーは 1 度に 1 つのポートにしか適用されませんでした。ポートベース ポリシーを適用すれば VLAN の情報は無視され、同様に、VLAN ベース ポリシーを適用すればポートの情報は無視されていました。PFC4 には新しいインターフェイス タイプがサポートされたため、ポート単位 VLAN 単位ポリシーが適用され、割り当てられたポリシーで VLAN およびポートの両方が考慮されるようになりました。

レイヤ 3 - レイヤ 3 フォワーディング パフォーマンスの向上
現在、PFC4 のフォワーディング エンジンは、レイヤ 2 および IPv4 レイヤ 3 フォワーディングに対して、ともに最大 60 Mpps のフォワーディング パフォーマンスをサポートしています。技術的には、実際のフォワーディング エンジンは 120 Mpps ですが、それぞれのパケットが PFC4 を 2 回通過するため(後述のとおり 1 回は入力処理、1 回は出力処理のため)、フォワーディング パフォーマンスの実効値は 60 Mpps と等しくなります。

アドレスが長いため、IPv6 は追加の内部サイクルを必要とし、IPv6 に対するフォワーディング パフォーマンスの実効値は 30 Mpps になります。PFC3B/XL フォワーディング エンジンは、IPv4 には最大 30 Mpps および IPv6 には 15 Mpps のフォワーディング パフォーマンスをサポートしており、PFC3C/XL のフォワーディング エンジンは、IPv4 には最大 48 Mpps および IPv6 には 24 Mpps のフォワーディング パフォーマンスをサポートしていました。

レイヤ 3 - IPv6 の uRPF
Unicast Reverse Path Forwarding(uRPF; ユニキャスト リバース パス転送)は、アドレス スプーフィングの防御に使用できるツールです。uRPF チェックは、FIB へのルックアップにより行いますが、このとき、(宛先アドレスではなく)送信元アドレスをルックアップ インデックスとして使用します。ルックアップを行うことにより、パケットが到着したインターフェイスで、パケットの送信元アドレスとそのインターフェイスで検出されるネットワークが一致するかが判断されます。パケットには「A」の送信元 IP アドレスが含まれているが、着信したインターフェイスからはネットワーク「A」の存在が確定できない場合、このパケットは偽装されていると認識され、ドロップされます。

PFC4 では uRPF のサポートが拡張されており、PFC3x ではサポートされていなかった IPv6 が含まれています。より重要なのは、PFC3x でサポートされていたルックアップのプレフィクスが 2 つだけだった点と比較して、現在 PFC4 では IPv4 および IPv6 uRPF の両方のルックアップで 16 個のプレフィクスをサポートしていることです。

レイヤ 3 - トンネル送信元アドレス共有
PFC3x ファミリでは、固有の送信元 IP アドレスをトンネル送信元として使用するためには、それぞれにトンネルが必要でした。同じ送信元アドレスを使用して 2 つ以上のトンネルが設定されている場合、2 番目およびそれ以降のトンネルが設定されたパケットは、ソフトウェアでスイッチングされます。PFC4 ではこのシナリオが拡張されており、複数のトンネルを設定して、同じ送信元アドレスを共有できるようになりました。このとき、トンネリング パケットはハードウェアでスイッチングされます。

レイヤ 3 - IPv6 トンネリング
PFC3x では、外部ヘッダーが IPv6 ヘッダーである IPv6 トンネリング オプションがサポートされていませんでした。この動作は、PFC4 では変更されています。PFC4 では、以下の新しい IPv6 トンネリング オプションがサポートされるようになりました。

  • ISATAP(Intra-Site Automatic Tunnel Address Protocol): ISATAP トンネリング プロトコルによって、IPv6 パケットを IPv6 ネットワークを経由してグローバルにルーティングし、一方でサイト内のローカル IPv4 クラウドを経由して自動的にトンネリングすることも可能です。ISATAP トンネリングで、64 ビットの EUI-64 インターフェイス ID が特別に構築されたアドレス形式が使用されます。PFC4 は、PFC3x では一部しかサポートされていなかった ISATAP トンネルを完全にサポートします。
  • GRE パケット向け IPv6 トンネル: PFC4 のサポートする IPv6 GRE トンネリング モードでは、IPv4 および IPv6 パケットの両方が IPv6 GRE ヘッダーにカプセル化され、IPv6 ネットワークにわたってトンネリングされます。PFC3x では、このトンネリング モードへのサポートが制限されていました。PFC4 は最大 256 の IPv6 GRE トンネルをサポートできます。
  • IPv6 汎用トンネリング: IPv6 パケットは、IPv6 または IPv4 ヘッダーにカプセル化され、IPv6 ネットワークにわたってトンネリングされます。PFC4 はこのモードをサポートしており、256 のトンネル送信元アドレスがサポートされています。PFC3x ファミリは、このトンネリング オプションをサポートしていませんでした。

レイヤ 3 - VPLS
Virtual Private LAN Service(VPLS; 仮想プライベート LAN サービス)を使用すると、レイヤ 3 MPLS ネットワークは、レイヤ 2 イーサネットベース ネットワークのように動作します。これにより、ネイティブなイーサネット フレームは、あたかも通常のイーサネット LAN 上にあるかのように、Any-to-Any 接続を提供する MPLS ネットワーク全体に伝送されるようになります。従来の PFC エンジンは、VPLS をサポートするためには OSM または SIP-400 などの外部 WAN カードを必要としました。PFC4 では、VPLS はネイティブでサポートされており、このサポートのための外部 WAN カードは必要ありません。

レイヤ 3 - MPLS over GRE
PFC4 では、MPLS over GRE トンネリング オプションがハードウェアでサポートされるようになりました。これは、従来の PFC3x エンジンではサポートされていませんでした。この機能は、共通の IP ネットワーク上において MPLS バックボーンの結合を行いたい場合に重要となります。

レイヤ 3 - MPLS トンネル モード
MPLS には、Experimental(EXP)ビットの設定方法を制御するのに多くのオプションがあります。EXP 値は、MPLS パケットにプライオリティ値を割り当てる方法を提供します。EXP 設定は、3 ビットで 23(= 8)種類の値を提供します。EXP ビットの設定を制御するのに使用されるメカニズムは、トンネル モードと呼ばれ、RFC-3270 で定義されています。トンネル モードには、均一、ショート パイプ、およびパイプの 3 つがあります。

均一モードでは、ラベル スタックでの最上位の EXP 値に行われる変更は、新しいラベルが追加されるか、ラベルが削除されると、上位方向と下位方向のどちらにも伝播されます。

ショート パイプ モードでは、IP パケットでの IP precedence ビットは、ラベルが追加されると上位方向のラベル スタックに伝播されます。ラベルがスワップされても、既存の EXP 値は維持されます。最上位の EXP 値が変更されると、この変更は下位方向のラベル スタック内だけに伝播され、IP パケットには伝播されません。

フル パイプ モードはショート パイプとほぼ同じですが、mpls2ip リンクでの PHB(Per-Hop Behavior)の選択が、最近公開されたサービス値のタイプではなく、削除済みの EXP 値に基づいている点が異なります。パケットの IP ヘッダーにおけるサービスの基本タイプは、修正されません。

MPLS トンネル モードに対するサポートの現在のレベルについて、従来の PFC3x のフォワーディング エンジンでは、ショート パイプ モードと均一トンネル モードがサポートされていました。PFC4 では、フル パイプ トンネル モードのサポートが追加されています。

レイヤ 3 - Ethernet over MPLS(EoMPLS)トンネルのサポートの増加
Ethernet over MPLS(EoMPLS)は、2 つの個別の LAN ネットワークを MPLS ネットワーク上で結合することで、イーサネット フレームの MPLS クラウド上の通過を実現するメカニズムを提供します。PFC3x は、最大 4 K の EoMPLS トンネルをサポートしていました。PFC4 では、ハードウェアでサポートされるトンネル数が 16 K に増加しました。

レイヤ 3 - MPLS 集約ラベルのサポート
PFC4 でサポートされる MPLS 集約ラベル数は、PFC3x でサポートされていた数よりも大幅に増加しています。集約ラベルのサポートは 16 K に増加されており、以前の PFC3x ファミリの 512 から向上しました。

レイヤ 3 - Layer 2 Over GRE
PFC4 ファミリでは、Generic Route Encapsulation(GRE; 総称ルーティング カプセル化)トンネル上でのレイヤ 2 パケットの転送をサポートします。これは、PFC4 ハードウェアに追加された新機能です。

レイヤ 3 - マルチキャスト ルートの増加
PFC3x は、最大 32 K のマルチキャスト ルートをハードウェアでサポートしていました。PFC4 でサポートされるマルチキャスト ルートの数は、256 K に増加しています。ただし、初期リリースでの最大マルチキャスト ルートは、IPv4 が 128 K、IPv6 が 128 K に制限されています。

レイヤ 3 - IPv4 および IPv6 での PIM レジスタのカプセル化/カプセル化の解除
PIM(Protocol Independent Multicast)は、マルチキャスト パケットにネットワークへのフォワーディング パスを構築するために使用されます。PIM で使用されるフォワーディング パス構築処理の一部として、マルチキャスト ルータおよびスイッチにより、PIM レジスタ パケットが Rendezvous point(RP; ランデブー ポイント)と呼ばれるデバイスに送信されます。送信時に PIM レジスタ パケットは、IPv4 ユニキャスト ヘッダーにカプセル化されます。Catalyst 6500 に PIM ランデブー ポイント(RP)が設定されていると、これらの PIM レジスタ パケットの処理により、ソフトウェアでのパケットのカプセル化の解除が必要となります。

PFC4 は、これらの PIM レジスタ パケットをカプセル化する機能とカプセル化を解除する機能の両方をハードウェアでサポートするようになりました。これにより、Supervisor で以前起こっていたような、これらのパケット処理に伴うパフォーマンスの低下はなくなりました。

レイヤ 3 - IGMPv3/MLDv2 スヌーピング
マルチキャスト プロトコルである IGMP は、ホストがマルチキャスト ストリームを受信する意志があることをネットワークに示すことができます。ネットワークはこの情報を使用してマルチキャスト トポロジを構築し、これによりマルチキャスト パケットがホストへ効率的に転送されるようになります。IGMP の最新バージョンである IGMPv3 を使用すると、トラフィックを受信する送信元リストがホストに指定できるため、不適切な送信元からのパケットをドロップするようにネットワークを設定できます。

従来の PFC3x エンジンでは、IGMPv1 および IGMPv2 に対して、ハードウェアベースの IGMP レイヤ 2 スヌーピングをサポートしていました。IGMPv3 で採用された送信元特定型のスヌーピングは、ソフトウェア モデルおよびハードウェア モデルを組み合わせることで、ソフトウェアを使用して特定の送信元をトラッキングしてから、送信元を特定しないハードウェア エントリに関連付けます。PFC4 では、IGMP v3 用にハードウェアベースのスヌーピングがサポートされるようになりました。

MLDv2 スヌーピングは、IPv6 マルチキャスト パケット対応のレイヤ 2 スヌーピングです。PFC4 は、IPv6 ホストにハードウェアベースの MLDv2 スヌーピングをサポートし、同様に IPv4 ホストに GMPv3 スヌーピングをサポートします。

レイヤ 3 - NetFlow エントリのサポートの向上
PFC4 には最大 512 K の NetFlow エントリが、PFC4XL には最大 1 M の NetFlow エントリ(入力 NetFlow に 512 K および出力 NetFlow に 512 K)が保存可能になりました。これは、同グレードの PFC3x フォワーディング エンジンで提供されるエントリ数の 4 倍です。

レイヤ 3 - NetFlow ハッシュの向上
すべての PFC フォワーディング エンジンでの NetFlow の実装に使用されるハッシュは、NetFlow テーブルのエントリについて保存と取得の両方を行います。PFC エンジンの世代を経るごとに、ハッシュの効率が向上し、NetFlow テーブルの利用率は増加してきました。PFC2 および PFC3a でのハッシュの効率は 50% でした。それに続く PFC3x では 90% に向上しました。PFC4 でもハッシュはさらに向上しており、ほぼ 99% のハッシュ効率を提供しています。

レイヤ 3 - 出力 NetFlow
これまで、NetFlow は入力データ トラフィックのみをサポートしていました。出力 NetFlow は、パケットに入力処理が適用された後と、出力インターフェイスから発信される前における、パケット フローの統計情報の収集をサポートします。たとえば、VPN に入出力されるデータ フローの統計情報を収集するユーザには、特に有用です。

レイヤ 3 - Sampled NetFlow
Sampled NetFlow は PFC4 の新機能であり、NetFlow レコードを、フローと一致するトラフィックのサンプルを基準にして生成できるようになります。Sampled NetFlow が使用する 1/N ベース サンプリングは、N パケットごとに 1 つのパケットに検査を行います。PFC3x はサンプリングの実行機能を備えていましたが、この動作は検査処理の後に実行されていました。PFC4 では検査処理中にサンプリングを実行するため、NetFlow エントリの量を効果的に削減します。PFC4 では 1 K のグローバル NetFlow サンプルがサポートされています。

レイヤ 3 - MPLS NetFlow
PFC4 は プロバイダー エッジ(PE)で集約ラベルをサポートします。この機能を使用すると、MPLS ラベル(ip2mpls)が追加される前と、最後にラベルが削除された(mpls2ip)後に、特定の VPN に所属する IP トラフィックの検査を実行できます。また、MPLS NetFlow は、P デバイス(mpls2mpls)で非集約ラベルに対応する IP ヘッダーの検査も実行します。

レイヤ 3 - レイヤ 2 Netflow
PFC4 のレイヤ 2 Netflow 機能を使用すると、IPv4、IPv6 および MPLS ベースのパケットに対する Netflow ルックアップが、レイヤ 2 ヘッダーを使用して実行されるようになります。

レイヤ 3 - Flexible NetFlow
PFC4 では、NetFlow v9 レコード形式に基づいた Flexible NetFlow(FNF)をサポートするようになりました。FNF を使用すると、ユーザは v9 レコードに使用するレコード タイプをより柔軟に定義できるようになります。より重要なのは、現在 FNF には多くの新しいフィールド オプションが含まれており、NetFlow レコードにある MPLS、IPv6、およびマルチキャストの情報を収集できることです。

レイヤ 3 - 分散型ポリシング
DFC3 を使用する PFC3x ベースのシステムでは、DFC3 対応型の異なるラインカードにあるポートを含む VLAN に適用される集約ポリサーでは、トークン バケットを同期できませんでした。同様に、それぞれの DFC3 対応型のラインカードは、独自の集約ポリシング カウントを維持するため、実際の集約レートは、ポリサーが適用される DFC3 の数を掛けたものになっていました。

PFC4 ではこの問題の解決のため、分散型ポリサーを導入しました。この機能により、ポリシング ステートが複数の DFC4 対応型のラインカード全体で同期されるようになり、マルチポート マルチモジュール ポリシングを提供します。PFC4 では、合計 1 K の分散型ポリサーがサポートされます。

レイヤ 3 - DSCP 変更
PFC4 でサポートされるサービス品質(QoS)は、複数の入出力 Differentiated Services Code Point(DSCP; DiffServ コード ポイント)の変更マップへのサポートにより拡張されています。DSCP 変更マップは、パケットの既存 DSCP 値への変更を定義するテーブルです。DSCP 変更マップによってマーキング処理(またはパケットの優先順位の変更)が効率化されます。PFC4 では、最大で 14 個の入力 DSCP 変更マップと、最大で 16 個の出力 DSCP 変更マップを定義できます。

レイヤ 3 - 集約ポリサー
集約ポリサーはレート制約ポリシーであり、ポート、ポート グループ、VLAN、または VLAN グループに適用することができ、これらのポートまたは VLAN を通過するトラフィックの合計を事前に決定しておいた帯域幅に制限します。限度を超過するトラフィックは、マーク ダウンして転送するか、ドロップすることができます。従来の PFC3x フォワーディング エンジンでは、シャーシごとに最大 1,023 の集約ポリサーをサポートしていました。PFC4 では、サポートされる集約ポリサーの限度が 6 K に増加しています。

レイヤ 3 - マイクロフロー ポリサー
集約ポリサーと同様に、マイクロフロー ポリサーもレート制約ポリシーであり、ポート、ポート グループ、VLAN、または VLAN グループに適用することができ、これらのポートまたは VLAN を通過する個々のフローに対するトラフィックの合計を特定の帯域幅に制限します。限度を超過するトラフィックは、マーク ダウンして転送するか、ドロップすることができます。従来の PFC3x フォワーディング エンジンでは、シャーシごとに最大 63 のマイクロフロー ポリサーをサポートしました。PFC4 では、サポートされるマイクロフロー ポリサーの限度が 127 K に増加しています。

マイクロフロー ポリシングへのもう 1 つの機能拡張は、PFC4 では、マイクロフロー ポリサーが入出力の両方に設定されたことです。従来、マイクロフロー ポリサーは、入力方向しか設定できませんでした。

レイヤ 3 - パケットまたはバイトによるポリシング
PFC4 では、ポリサーがパケットまたはバイト カウントのいずれかを使用したレートを実行できるようになりました。従来は、バイト カウントだけがサポートされていました。

レイヤ 3 - Cisco TrustSec(CTS)
CTS はアクセス コントロール アーキテクチャであり、IP または MAC アドレスではなく、グループのメンバーシップに基づいてセキュリティ ポリシーが強制されます。グループ メンバーシップ ポリシーは、CTS ドメインに入力されるパケットごとに Security Group Tag(SGT)を追加することで、各パケットへ本質的に組み込まれます。SGT は入力スイッチによって割り当てられ、出力スイッチではアクセス権の特定のために使用されます。SGT は Roles Based ACL(RBACL; ロールベース アクセス コントロール リスト)と連携して使用します。

レイヤ 3 - ロールベース ACL
RBACL は CTS モデルに不可欠な部分であり、CTS ドメイン内にアクセス コントロールを適用するためにスケーラブルな方法を提供します。RBACL を使用して適用されたポリシーは、割り当て済みのユーザ グループ ポリシーであり、複数のエンド ホストを含んでいます。ホストによって送信されるデータには SGT がタグ付けられ、CTS ヘッダー内部に伝送されます。この SGT はハードウェアによって割り当てられ、ネットワークを通過するパケットとともに伝送されます。中間ノードでは、分類 ACL を使用して SGT を変更または再割当することができます。パケットがネットワーク エッジに到着すると、RBACL を使用して、割り当て済みの SGT によって定義されたセキュリティ ポリシーを強制できます。

レイヤ 3 - レイヤ 2 ACL
PFC4 で導入されたレイヤ 2 ACL への拡張サポートにより、すべてのレイヤ 2 フィールドの検査を実行できます。ACL では、送信元および宛先 MAC アドレス、Ethertype、VLAN ID、802.1p ユーザ プライオリティ(またはサービス クラス)ビット、および外部および内部タグ(802.1Q トンネル パケットの場合)を検査できます。

レイヤ 3 - ACL ドライ ラン
PFC4 に導入された機能は、レイヤ 3 ACL のドライ ラン(またはコミット前テスト)を実行します。従来の Ternary Content Addressable Memory(TCAM)の実装では、十分なスペースが有効であるかどうかを確認せずに ACL をプログラムしようとしていました。新しい ACL ドライ ラン機能を使用すると、ユーザは ACL TCAM の一部を一時的に使用して、設定された ACL が適切であるかどうかを最初にテストできます。これにより、レイヤ 3 ACL のハードウェア プログラミングを、コミット前に確実に完了させることが可能になります。

レイヤ 3 - ACL ヒットレス コミット
PFC3x およびそれ以前の TCAM プログラミング実装は、設定がコミットされるとすぐに実行されます。ACL がインターフェイスに適用されてから設定が変更されると、TCAM プログラミングは最初に以前の ACL 設定を削除してから、新しい設定を適用する必要があります。しかし、TCAM プログラミングが実行を完了する前のごく短時間のあいだですが、ACL エントリに暗黙の deny しか存在しない(デフォルト)期間ができ、この期間内にインターフェイスをヒットするパケットは、更新される TCAM プログラミング処理が完了するまでドロップされてしまいます。

PFC4 では、特別なポインタを使用して ACL TCAM エントリをプログラムする機能を導入しています。この ACL ヒットレス コミットという新しい機能では、変更された ACL が新しい TCAM エントリによってプログラムされる間、元の ACL エントリはそのまま保持されます。新しい TCAM プログラミングが完了すると、以前の ACL TCAM ポインタが削除され、新しいポインタで置き換えられます。これで、移行期間中に一時的な暗黙の deny によるドロップが発生しなくなります。

レイヤ 3 - レイヤ 2 + レイヤ 3 + レイヤ 4 ACL
PFC3x は、レイヤ 2 またはレイヤ 3/4 ACL をサポートしていましたが、同時に両方はサポートしていませんでした。新しい ACL タイプを使用すると、PFC4 はレイヤ 2、レイヤ 3、およびレイヤ 4 の情報を同時に検査できるようになります。この機能は、移動によりユーザの送信元 IP アドレスが頻繁に変更される可能性があるワイヤレス ネットワークで特に便利です。ACL を構築して、送信元 MAC アドレスと並んで他のより上位のレイヤ情報(レイヤ 4 ポート情報など)を検査して、セキュリティ ポリシーを適用できます。

レイヤ 3 - 分類の機能拡張
PFC4 エンジンは、分類 ACL に複数の機能拡張を提供します。IP アドレス、TCP/UDP ポートなど、従来の分類オプションで照合が可能なだけでなく、PFC4 では、パケット長、Time to Live(TTL; 存続可能時間)、IP オプション、および IPv6 拡張ヘッダーによる照合も提供します。一部のワームやその他の攻撃形式は、これらのフィールドでの照合を要求してポジティブ ID を作成する場合もあります

レイヤ 3 - プロトコルごとのドロップ(IPv4、IPv6、MPLS)
PFC4 では、インターフェイス上で有効になっている場合に、プロトコル トラフィックの転送だけを行う機能が新たにサポートされています。インターフェイス レベルで定義できるプロトコルは、IPv4、IPv6、および MPLS です。定義したプロトコルと一致しないトラフィックはドロップされます。

レイヤ 3 - ACL ラベル サポートの増加
ACL ラベルは、同じアクセス コントロール リストに関連付けられたアクセス コントロール エントリ(ACE)のグループ化に使用されます。「access-list 101....」で始まるアクセス コントロール リストのエントリは、ラベル「101」を使用して、このエントリがどの ACL グループに所属するかを示します。従来、PFC3B/XL および PFC3C/XL は最大 4,096 個の ACL ラベルをサポートしていました。PFC4 でサポートされる ACL ラベルの数は 16 K に増加しました。

レイヤ 3 - ACL TCAM 容量の増加
PFC4 フォワーディング エンジンは、TCAM バンクを分類用に 2 つ実装し、DFC4XL に合計 256 K、DFC4 には 64 K のアクセス コントロール エントリを提供します。これらの ACE は、入力ルックアップおよび出力ルックアップの両方について、セキュリティと QoS 間で共有できます。また、対応するマスク対エントリ比も増加します。この機能の詳細は、このホワイト ペーパーで後述します。ひとことで言えば、セキュリティ ポリシーを定義する場合に、TCAM スペースをより効率的に使用できるようになります。

レイヤ 3 - 送信元 MAC + IP バインディング
IP アドレス、VLAN、および MAC アドレスのバインディングにより、転送パケットの意思決定プロセスを効率化できます。この機能拡張は PFC4 によってハードウェアで実行され、特に、アドレス スプーフィングの防御に便利です。IP ソース ガードは、この機能の活用例の 1 つです。

レイヤ 3 - 送信元 MAC ミスでのドロップ
この機能もハードウェア拡張であり、ポート セキュリティ機能をさらに拡張するために使用します。ポート セキュリティは特定のポートへの MAC アドレスのバインドに使用でき、定義された MAC アドレスを持つパケットだけが転送されるようになります。

レイヤ 3 - RPF チェック インターフェイス
Reverse Path Forwarding(RPF; リバース パス転送)チェックを使用すると、パケットが偽装された場合の判断に役立ちます。リバース ルックアップが使用されるため、送信元アドレスを使用してルックアップを開始します。パケットがインターフェイスに到着すると、そのインターフェイスで送信元アドレスが既存のものとして確認されない場合は、偽装パケットと認識されてドロップされます。RPF チェックを使用すると、複数のパスをルックアップに組み込むことができます。従来の PFC3x エンジンは、RPF ルックアップで 2 つのパスをサポートしていました。PFC4 では、ルックアップに含まれるパスの数が 16 に増加しました。

レイヤ 3 - IP マルチキャスト パケットへの RPF チェック
IP マルチキャスト パケットへの RPF チェックは、従来はソフトウェアで実行されていましたが、適切な RPF インターフェイスがハードウェアのフォワーディング エントリにプログラムされました。PFC4 では、IP マルチキャストにフル ハードウェアベースの RPF チェックを実行できます。この機能により、デュアル RPF チェックでも、PIM-SM の Shortest Path Tree(SPT; 最短パス ツリー)スイッチオーバーがハードウェアで発生するようにサポートします。

PFC4 アーキテクチャの機能拡張の概要

次のセクションでは、PFC4 アーキテクチャとパフォーマンス メトリックの詳細、および導入された機能拡張の一部について説明します。

PFC4 フォワーディング アーキテクチャとパフォーマンス メトリック
新しい Supervisor 2T のフォワーディング アーキテクチャは、Supervisor 720 で使用されるフォワーディング アーキテクチャと同様に、Cisco Express Forwarding(CEF; シスコ エクスプレス フォワーディング)アーキテクチャに基づいています。Supervisor 2T(Supervisor 720 と比較して)の主要な機能拡張の 1 つは、集中型フォワーディング パフォーマンスが 2 倍の 60 Mpps になったことです。

以降のセクションでは、PFC4 でサポートされるレイヤ 2 およびレイヤ 3 のフォワーディング機能について、機能、スケーラビリティ、およびパフォーマンスの主な変更点の概要を説明します。

表 10 PFC4 レイヤ 2 およびレイヤ 3 機能に関する従来世代の PFC との比較

機能 PFC3B
Sup 720-3B
PFC3BXL
Sup 720-3BXL
PFC3C
Sup 720-10G-3C
PFC3CXL
Sup 720-10G-3CXL
PFC4
Sup 2T
PFC4XL
Sup 2T-XL
IPv4
フォワーディング
30 Mpps 30 Mpps 48 Mpps 48 Mpps 60 Mpps 60 Mpps
IPv6
フォワーディング
15 Mpps 15 Mpps 24 Mpps 24 Mpps 30 Mpps 30 Mpps
MPLS
フォワーディング
30 Mpps 30 Mpps 48 Mpps 48 Mpps 60 Mpps 60 Mpps
レイヤ 2
フォワーディング
30 Mpps 30 Mpps 48 Mpps 48 Mpps 60 Mpps 60 Mpps
EoMPLS
インポジション
30 Mpps 30 Mpps 48 Mpps 48 Mpps 60 Mpps 60 Mpps
EoMPLS
ディスポジション
15 Mpps 15 Mpps 24 Mpps** 24 Mpps** 30 Mpps 30 Mpps
FIB TCAM 256 K 1 M 256 K 1 M 256 K 1 M
隣接関係テーブル 1 M 1 M 1 M 1 M 1 M 1 M
MAC(CAM) 64 K(32K)* 64 K(32K)* 96 K(80K)* 96 K(80K)* 128 K 128 K
EtherChannel ハッシュ 3 ビット 3 ビット 3 ビット 3 ビット 8 ビット 8 ビット

* かっこ外にある数値は、ハードウェアの最大容量です。かっこ内にある数値は、ハッシュベースのテーブル プログラミングに基づいた、予想されるユーザの平均使用量です。平均使用量は、ハードウェアの上限に達する可能性もあるが、ハッシングの結果によって異なることに注意してください。
** これらの数値は、IPv4 トラフィックだけを基準にしています。

MAC アドレス ラーニングは、Supervisor 720 と同様、ハードウェアで実行されます。Supervisor 2T での MAC(CAM)テーブルは、サイズが 128 K に増加し、新しいアーキテクチャによって効率が 99% に向上しています。

シャーシの集約フォワーディング パフォーマンスは、シャーシに設置された DFC4 ベースのラインカードに 60 Mpps を掛けた値になります。このため、6513-E では、集約システムのパフォーマンスは最大 720 Mpps に高速化されることが想定されます。

PFC4 のセキュリティおよび QoS アーキテクチャ
Supervisor 2T では、セキュリティおよび QoS 機能が拡張されています。主要な機能拡張の 1 つは、セキュリティ ACL および QoS ACL を保持する統合型 TCAM(メモリ)バンクへの移行です。従来、これらの ACL は、スイッチ設定のセキュリティおよび QoS ポリシーで定義されていました。従来の PFC3x フォワーディング エンジンでは、この目的のために 2 つの TCAM バンクが個別に使用されており、それぞれのサイズは 32 K でした。1 つの TCAM バンクはセキュリティ ACL に使用され、もう 1 つのバンクは QoS ACL に使用されていました。

Supervisor 2T では、最大 256 K のエントリを使用できます(PFC4XL の場合)。デフォルトでは PFC4XL は QoS 用に 64 K のエントリを予約するため、セキュリティ ACL および関連する ACL 機能(NAT、WCCP など)に利用可能なエントリは 192 K です。ユーザ指定のソフトウェア設定に基づいて、最大 128 K エントリが QoS ACL 用として利用可能にできます。

もう 1 つの主要な機能拡張は、ACE 対マスクの比です。ACE は、ACL のフレームワーク内に存在する 1 つの ACL の許可/拒否ステートメントです。ACE ステートメントにおいて、マスクは、着信または発信アドレスの照合にアドレス スペースのどの部分を使用すべきかを特定するために使用します。次の例により、ACE を構成する個々の機能上の要素について解説します。

access-list 101 permit ip 10.1.1.0 0.0.0.255 any

上の例では、行全体が 1 つの ACE を表します。通常、ACE は ACL の一部分を占めており、複数のコンフィギュレーション行から構成されます。上記の ACE の例では、マスクは ACE の「0.0.0.255」の部分であり、「10.1.1.0」の部分が値になっています。この例のマスクにより、分類されたパケットの照合には IP アドレスの最初の 24 ビットだけを使用することが指定されています。

PFC3x フォワーディング エンジンでは、ハードウェア テーブルは 32 K の ACE および 4 K のマスクをサポートするため、ACE 対マスクの比は 8:1 になります。ACL の構築内容によっては、ACE が消費される前にマスクが消費される可能性があり、これにより、セキュリティ TCAM が十分使用されなくなる恐れが出てきます。Supervisor Engine 2T では、マスク対値の比率が変更されており、1:1 比のサポートによって、ACE(値)ごとにマスクが 1 つになります。この機能により ACL 展開の柔軟性が向上し、テーブル エントリが十分使用されない可能性は最小になります。

以下の図に、ハードウェア TCAM でマスクおよび値が PFC3x(左側)および Supervisor 2T(右側)でどのように表現されるかを示します。

図 9 ACL TCAM マスク レイアウト - 従来(PFC3x)および現在(PFC4)

図 9 ACL TCAM マスク レイアウト - 従来(PFC3x)および現在(PFC4)


Supervisor 2T での QoS は、分散型ポリシングをサポートするようになりました。Supervisor 720 ベースのシステムでは、レート制限ポリシーは VLAN に適用されていましたが、VLAN のメンバ ポートが DFC3 対応型のラインカード全体に分散しているため、結果的にそれぞれの DFC3 で独自のトークン バケットが維持されていました。つまり、2 Gbps のレート制約ポリシーによって、結果的にそれぞれの DFC3 で 2 Gbps のレート制約カウントが個々に維持されていたことになります。Supervisor 2T では、関与している DFC4 対応型のラインカード間でレート制限ポリシーが同期されます。これにより、その VLAN での集約トラフィックの負荷は、設定されたレートに正確に限定されます。

以下の表に、Supervisor 2T に組み込まれたセキュリティおよび QoS に関する機能拡張をまとめます。

表 11 PFC4 のセキュリティおよび QoS に関する従来の PFC との比較

機能 PFC3B PFC3BXL PFC3C PFC3CXL PFC4 PFC4XL
セキュリティ ACL エントリ 32 K 32 K 32 K 32 K 最大 48 K* 最大 192 K*
セキュリティ ACL ラベル 4 K 4 K 4 K 4 K 16 K 16 K
セキュリティ ACL マスク 4 K 4 K 4 K 4 K 最大 48 K 最大 192 K
ACE 対マスク比 8:1 8:1 8:1 8:1 1:1 1:1
ACL LOU 64 64 64 64 104 104
ACL L4OP ACL ごとに 10 ACL ごとに 10 ACL ごとに 10 ACL ごとに 10 ACL ごとに 10 ACL ごとに 10
Cisco TrustSec なし なし なし なし あり あり
ロールベース ACL なし なし なし なし あり - 最大 32 K あり - 最大 64 K
IPv6 uRPF なし なし なし なし あり あり
IPv4 uRPF ロード シェアリング パス 最大 6 最大 6 最大 6 最大 6 16 16
QoS ACL エントリ 32 K 32 K 32 K 32 K 最大 32 K* 最大 128 K*
QoS ACL ラベル 4 K 4 K 4 K 4 K 最大 16 K* 最大 16 K*
QoS ACL マスク 4 K 4 K 4 K 4 K 最大 32 K* 最大 128 K*
分散型ポリサー なし なし なし なし 最大 4 K 最大 4 K
出力マイクロフロー ポリシング なし なし なし なし あり あり
集約ポリサーの数 1023 1023 1023 1023 16 K 16 K
マイクロフロー ポリサーの数 63 63 63 63 127 127
パケットまたはバイトベースのポリシング なし なし なし なし あり あり

* PFC4 および PFC4XL では、ACL TCAM はセキュリティおよび QoS に関して統合されている

Supervisor 2T の前面パネルのポートは、ポートに設定されたモードによって QoS 設定が異なります。10 G スイッチ ポートが VSL として設定されている場合とそうでない場合とでは、QoS 設定は異なります。また、ポートは、10 G モードとしてのみ動作するように設定することもできます(結果的には、1 GE × 3 ポートが無効になります)。これにより、関連するスイッチ ポートがどのモードで動作しているかに応じて、QoS 設定に影響を与えます。次の表に、前面パネル ポートの QoS 設定を示します。

表 12 Supervisor 2T 前面パネル ポートの QoS 設定

  10 GE ポート 1 GE × 3 ポート
VSL なし(10 G ポートおよび 1 G ポートがアクティブ) 4 キュー 4 キュー
VSL なし(10 GE モードのみ) 8 キュー シャットダウン
VSL(10 G ポートおよび 1 G ポートがアクティブ) 4 キュー 4 キュー
VSL(10 G モードのみ) 8 キュー シャットダウン


PFC4 NetFlow
PFC4 における NetFlow のサポートは、スケーラビリティおよび機能面の両方で拡張されています。最も重要な点の 1 つは出力 NetFlow がサポートされたことです。パケットが処理される方法が変更されたことと、PFC4 のパケット処理に新しいパイプライン処理方法が使用されたことで、パケットは 2 つの独立した処理パスを使用することになりました。1 つは入力サービス用であり、もう 1 つは出力サービス用です。

この機能の詳細については、このホワイト ペーパーで後述しますが、PFC4 では、入力/出力の両方の NetFlow サービスをすべてのパケットに実行できるようになりました。出力 NetFlow の最大の利点の 1 つは、トンネルからカプセル化またはカプセル化が解除されるパケット、および MPLS クラウドに入力/出力されるパケットが扱えるようになることです。もう 1 つの例は、単一の入力パケットから複製される出力マルチキャスト パケットが扱えることです(Outgoing Interfaces(OIF; 発信インターフェイス)の数)。

Flexible NetFlow(FNF)は、ハードウェアに組み込まれた形でサポートされるようになりました。FNF によりフロー モニタがさらに柔軟に作成できるようになるため、ユーザの指定したテンプレートを満たすデータを収集できるようになります。この方法で、管理者はフロー モニタを作成して 1 つのインターフェイスで IPv6 に固有の情報を収集できますが、IPv4 マルチキャストに固有の情報を収集するには、別のインターフェイスで別のフロー モニタを作成します。

Cisco TrustSec(CTS)
このアーキテクチャでは、アクセス コントロール、認証、および暗号化を使用して、スケーラブルで安全性の高いネットワークを構築します。Cisco TS アーキテクチャは Supervisor 2T のハードウェア機能の一部であり、以下の 3 つの重要な要素があります。

  • SGT および DGT のタグ付けのサポート
  • ロールベース ACL(RBACL)リンク レイヤの暗号化(IEEE 802.1ae)

IEEE 802.1ae リンク レイヤの暗号化のサポートは、Supervisor 2T ベースボードに配置されたポート ASIC 固有の機能であり、PFC4 または PFC4XL の機能の一部ではありません。

Security Group Tag(SGT)および Destination Group Tag(DGT)は、パケットに挿入されるタグであり、このパケットが CTS クラウドを通過するときに適用されるセキュリティ ポリシーの定義に使用します。Cisco TrustSec では 8 バイトのヘッダーを使用し、そのパケットに関する SGT または DGT を示すための 16 ビットが含まれています。RBACL は、SGT または DGT を使用してパケットの分類を行い、セキュリティ ポリシーを適用する方法を提供します。

PFC4 は、次の方法で SGT、DGT、および RBACL のサポートを提供します。

  • PFC4 では SGT および DGT の両方の割り当てを実行できる
  • 入力パケットまたは入力 ACL からのパケットを処理中に SGT を取得できる
  • 宛先 IP ルックアップ(FIB において)または NetFlow プロセス、または入力 ACL から DGT を取得できる
  • RBACL は出力インターフェイス上でサポートされる
  • CTS トンネル カプセル化

PFC4 のアーキテクチャ

PFC4 は、2 つの主要な ASIC 処理ブロックで構成されており、多数の高速メモリ ブロックが連携して機能し、選択した機能のハードウェア アクセラレーションを実現します。一方の ASIC ブロックではレイヤ 3 サービスが、もう一方の ASIC ブロックではレイヤ 2 サービスが実行されます。次の図に、PFC4 の概要を示します。

図 10 PFC4 機能ブロック

図 10 PFC4 機能ブロック
※画像をクリックすると、大きな画面で表示されますpopup_icon


PFC4 コンプレックスの中心には、2 つのフォワーディング エンジンがあります。これらの 2 つの ASIC コンプレックスは、すべてのレイヤ 2 およびレイヤ 3 パケットのハードウェアによる転送を受け持ちます。それぞれの ASIC ブロックには一連のテーブルが付随し、ハードウェアでのパケットの転送を効率化する情報の保存に使用されます。

以降のセクションでは、これらの 2 つのフォワーディング エンジンと、エンジンとインターフェイスする関連テーブルの詳細を説明します。

レイヤ 2 フォワーディング エンジン
このエンジンは、レイヤ 2 パケットの処理を受け持ち、従来の PFC3x コンプレックスでのレイヤ 2 フォワーディング エンジンで見られた以上の機能拡張が数多くサポートされています。フォワーディング エンジン ASIC には、128 K のエントリを含む MAC アドレス テーブルが組み込まれています。MAC アドレス テーブルは、行あたり 16 エントリを含む 4 K 行を備えた 2 つのメモリ バンクで構成されています(2 × 4 K × 16 = 128 K エントリ)。MAC アドレス テーブルの各エントリは 115 ビット長であり、これに含まれるフォワーディング情報とエージング情報は、宛先 MAC エントリと関連するブリッジ ドメインの組み合わせに関するものです。

最初のバンクへのポインタを検出するハッシュ操作を実行してから 2 番目のバンクへのポインタを取得するハッシュを実行するのではなく、2 つのハッシュ機能を一度に実行して、それぞれのメモリ バンクへのポインタを提供します。この方法により、レイヤ 2 ルックアップ パフォーマンスが最大化します。

PFC4 以前は、システム上の各インターフェイスは、L3 サブインターフェイス、VPN、トンネル、および出力マルチキャスト レプリケーション モードなどの内部使用を含め、VLAN ID によって識別されていました。このため、固有のインターフェイスの合計数は 4,096 に制限されていました。新しいブリッジ ドメイン(BD)の概念は、PFC4 に導入されたより重要性の高い機能拡張の 1 つであり、VLAN のスケールを内部のスイッチまで拡張するように設計されています。ユーザが VLAN を作成すると、固有のブリッジ ドメインに内部的にマッピングされます。PFC4 のハードウェアには、16 K のブリッジ ドメインのサポートが組み込まれています。ただし、出荷開始時(FCS)には、Supervisor 2T で実行されるソフトウェアによってサポートされる VLAN は 4 K だけです。

レイヤ 2 フォワーディング エンジンに入力されるすべてのフレームは、Logical Interface(LIF; 論理インターフェイス)に関連付けられています。LIF は、基本的に、スイッチに入力されるフレームのポート インデックスおよび VLAN ペアへのマッピングです。512 K エントリの LIF データベース(それぞれが BD、LIF、およびコントロール ビットで構成される)は、レイヤ 2 フォワーディング エンジンに存在します。それぞれの LIF エントリは、パケットがレイヤ 3 フォワーディング エンジンに渡される場合は、最終的には必ずレイヤ 3 の処理を効率化するために使用されます。LIF データベースには LIF 統計情報テーブルが付随します。このテーブルは、入力/出力 LIF ごとのバイトおよびフレーム カウントの統計情報とともに、診断用 VLAN カウンタを保持し、100 万エントリから構成されます。

レイヤ 2 フォワーディング エンジンは、一連のアクセス コントロール エントリ(ACE)カウンタを維持します。レイヤ 3 フォワーディング エンジンが分類処理を実行する場合、ACE に対するヒットが登録されると(ACL リスト内の 1 行など)、レイヤ 2 フォワーディング エンジンと通信して ACL カウンタを更新します。

次の表では、PFC4 でサポートされるレイヤ 2 と、以前の PFC3x バージョンとの主要な相違点をまとめています。

表 13 PFC4 レイヤ 2 フォワーディング エンジンの機能

レイヤ 2 機能 PFC3B/PFC3BXL PFC3C/PFC3CXL PFC4/PFC4XL
MAC アドレス テーブル 64 K 96 K 128 K
VLAN の数 4 K 4 K 16 K(ブリッジ ドメイン)
VPLS フォワーディングおよびラーニング なし なし あり
送信元 MAC
リダイレクト ミス
なし なし あり
EtherChannel ハッシュ 3 ビット 3 ビット 8 ビット
ACE カウンタ 32 K(L3 ASIC 上) 32 K(L3 ASIC 上) 256 K
LIF* 4 K 4 K 128 K
物理インターフェイス 4 K 4 K 16 K
LIF/VLAN の統計情報 VLAN 統計:4 K × 6 カウンタ VLAN 統計:4 K × 6 カウンタ LIF 統計:1 M カウンタ
レイヤ 2 レート リミッタ 4 4 20 入力/6 出力
VSL のサポート なし あり あり

* PFC3x では、論理インターフェイスおよび VLAN が同じ 4 K プールを共有していました

レイヤ 3 ルーテッド フローの場合でも、レイヤ 2 フォワーディング エンジンは、レイヤ 3 処理のためにレイヤ 3 フォワーディング エンジンにパケットを渡す前に、多くの重要なサービスを実行します。この処理リストには、次の機能が含まれます。

  • CRC エラー チェックの実行
  • LIF および BD(ブリッジ ドメイン)ルックアップの実行
  • LIF 統計情報の維持
  • レイヤ 2 MAC テーブル ルックアップの実行
  • Result Bundle Hash(RBH)または EtherChannel ロード バランシング ハッシュの計算
  • システム フレーム(CDP、BPDU およびその他)の 16 スタティック MAC の照合条件の決定
  • IGMP/MLD/PIM スヌーピングの実行
  • ハードウェア レート制限の実行
  • ACE カウンタの提供

レイヤ 3 フォワーディング エンジン
レイヤ 3 フォワーディング エンジンは、スイッチを通過するパケットに対して、レイヤ 3+ サービスを実行しますが、これには、IPv4、IPv6、および MPLS フォワーディング ルックアップだけではなく、セキュリティ QoS、および NetFlow ポリシーも含まれます。この PFC4 レイヤ 3 フォワーディングに組み込まれた機能拡張は、数多くあります。

容量の観点では、根本的により迅速になったパケット処理、より多くの NetFlow エントリや ACL のサポートですが、これらは、動作上の制限が引き上げられた広範囲な機能のほんの一部に過ぎません。出力 NetFlow、出力マイクロフロー ポリシング、および分散型ポリシングのサポートなど、新機能もいくつか導入されています。

次の表に、このレイヤ 3 ASIC に関する主要な変更をまとめて、以前のスーバーバイザ エンジンに見られた従来の PFC3x と比較した説明を示します。

表 14 PFC4 レイヤ 3 フォワーディング エンジンの機能

レイヤ 3 機能 PFC3B/PFC3BXL PFC3C/PFC3CXL PFC4/PFC4XL
FIB テーブル 最大 1 M(XL) 最大 1 M(XL) 最大 1 M(XL)
隣接関係テーブル 1 M 1 M 1 M
隣接統計情報 512 K 512 K 512 K
CEF ロード
シェアリング パス
16 16 16
SVI の合計 4 K 4 K 128 K(XL 以外では 64 K)
VPN の数 4 K 4 K 16 K
MPLS の集約 VPN
ラベル
512 512 16 K
集約 VPN ラベルの
場所
L2 フォワーディング エンジン L2 フォワーディング エンジン L3 フォワーディング エンジン
NetFlow エントリ 最大 256 M(XL) 最大 256 M(XL) 1 M(XL)
(入力:512 K)
(出力:512 K)
出力 NetFlow なし なし あり
NetFlow フロー マスク 4 4 IPv4 は 80 〜 32、IPv6 は 32、L2 は 8、MPLS は 8
Flexible NetFlow なし なし あり
コピー ベース NetFlow なし なし あり
ハードウェアでの
サンプリング
なし なし あり
NetFlow サンプル数 なし なし 1 K
MPLS over GRE なし なし あり
ワン パスでの
ラベル動作
プッシュ 3
ポップ 2
プッシュ 3
ポップ 2
プッシュ 5
ポップ 1
EoMPLS VC の数 4 K 4 K 128 K
MPLS QoS モード 均一、ハーフ パイプ 均一、ハーフ パイプ 均一、ハーフ パイプ、パイプ
ACL ラベル 4 K 4 K 16 K
セキュリティ ACL 32 K 32 K 48 K(XL 以外のデフォルト)
192 K(XL のデフォルト)
ACL カウンタ 32 K 32 K 256 K
ACL LOU 64 64 104
QoS ACL 32 K 32 K 16 K(XL 以外のデフォルト)
64 K(XL のデフォルト)
ポート ACL 2 K 2 K 8 K
ACL アカウンティング
統計情報
なし なし 4 K
RPF インターフェイス チェック 2 2 16
ハードウェア レート
リミッタ
8(L3) 8(L3) 32(L3)
集約ポリサー 1023 1023 16 K
集約ポリサー
プロファイル
なし なし 1 K
マイクロフロー ポリサー バケット 最大 256 M 最大 256 M 512 K IFE および 512 K OFE*
共有マイクロフロー
ポリサー
63 63 512
出力マイクロフロー
ポリシング
なし なし あり
分散型ポリサー なし なし 4 K
パケットまたはバイトベースのポリシング なし なし あり
QoS ポリシー グループ 0 0 128
DSCP 変更マップ 1 1 14 入力
16 出力

* IFE および OFE は次のセクションで定義されています

レイヤ 3 フォワーディング エンジン処理のパス
レイヤ 3 フォワーディング エンジンには 2 つの基本的な処理パスがあります(パイプラインとも呼ばれます)。1 つは入力フォワーディング(IFE)であり、もう 1 つは出力フォワーディング(OFE)です。これらの 2 つのパイプラインは、次の機能を実行します。

  • IFE パイプラインが実行する入力機能は、入力の分類、入力 QoS、ACL、RPF チェック、入力 NetFlow、および L3 FIB ベースのフォワーディングなど。
  • OFE パイプラインが実行する出力機能は、隣接関係ルックアップ、出力分類、および書き換え指示の生成など。

パケット ヘッダーが L3 ASIC に入力されると、IFE パイプラインがパケット処理を行う最初のパイプラインになります。IFE 処理の完了後、このヘッダーは IFE 処理の結果とともにその先の OFE パイプラインに渡されます。この様子は、次の図で確認することができます。

図 11 レイヤ 3 フォワーディング エンジン処理のパイプライン

図 11 レイヤ 3 フォワーディング エンジン処理のパイプライン
※画像をクリックすると、大きな画面で表示されますpopup_icon


IFE および OFE 処理の処理サイクルは、常に IFE/OFE の順序で行われます。OFE 処理が完了すると、レイヤ 3 フォワーディング エンジンは結果を照合し、このパケットをレイヤ 2 フォワーディング エンジンに戻し、さらに処理を行います。以下の表に、この ASIC で実行される処理を示します。

表 15 PFC4 レイヤ 3 フォワーディング エンジンの IFE および OFE 機能

機能 IFE(入力処理) OFE(出力処理)
L2 エンジンからの着信フレームへの CRC チェック あり なし
OFE 処理を実行する前の IFE 処理結果のチェック なし あり
入力 LIF マップ テーブルのルックアップ あり なし
出力 LIF マップ テーブルのルックアップ なし あり
RPF チェック あり なし
セキュリティ ACL 分類 あり あり
SGT に基づくセキュリティ ACL 分類 あり あり
DGT に基づくセキュリティ ACL 分類 なし あり
RBACL - SGT/DGT の生成 あり なし
QoS ACL 分類 あり あり
ACL リダイレクト あり あり
集約ポリシング あり あり
マイクロフロー ポリシング あり あり
分散型ポリシング あり あり
入力 DSCP 変更 あり なし
出力 DSCP 変更 なし あり
ACL ベースのアカウンティング あり あり
NetFlow フローの作成 あり あり
NetFlow リダイレクト(WCCP、NAT、TCP インターセプト、その他) あり あり
MTU チェック なし あり
TTL チェック なし あり
書き換え情報の生成 IFE および OFE とは独立して実行される  
隣接関係統計の更新 IFE および OFE とは独立して実行される  
アカウンティング統計情報の更新 IFE および OFE とは独立して実行される  
CPU レート リミッタの実行 IFE および OFE とは独立して実行される  


PFC4(および PFC4XL)の機能要素
レイヤ 3 フォワーディング エンジンには、数多くの機能要素が含まれており、そのすべてが連携してパケットにレイヤ 3 処理を提供しています。主要な機能要素は、次の図で確認される順序で実行されます。

図 12 レイヤ 3 フォワーディング エンジンの機能要素

図 12 レイヤ 3 フォワーディング エンジンの機能要素<


それぞれの機能要素については、以降のセクションで詳しく説明します。

インターフェイス処理および LIF マップ テーブル

LIF は PFC4 で導入された新しい概念です。LIF は、レイヤ 3 の特性にはないレイヤ 2 独自の特性である、ポート単位 VLAN 単位のインターフェイス処理の有効化に役立ちます。LIF マップ テーブル(レイヤ 2 フォワーディング エンジンに配置される LIF テーブルとは別であり、マッピング先テーブルです)には 128 K エントリが含まれ、PFC4 でサポートされるレイヤ 3 インターフェイスとサブインターフェイス数を増加させるのに便利です。レイヤ 3 フォワーディング エンジンは 2 つの LIF マップ テーブルを使用します。1 つは入力 LIF であり、もう 1 つは出力 LIF です。

LIF マップ テーブル エントリ内に組み込まれた複数のフィールドは、それぞれの LIF に関連付けられる動作の特性を定義します。LIF エントリ内に含まれる情報の一部は、その他のレイヤ 3 フォワーディング エンジン処理により、後続のテーブル ルックアップに対する入力として使用されます。

以下に、LIF マップ テーブル エントリ内に含まれる情報の例を示します。

  • Security Group Tag(SGT)- CTS 処理に適用される
  • トンネル インターフェイス情報(GRE、EoMPLS、IPv6、およびその他)
  • RPF ルックアップ要件
  • MPLS および EoMPLS インターフェイス情報
  • MPLS VPN ID
  • IPv4/IPv6 VPN ID
  • 信頼できるステートまたは信頼できないステート(QoS の観点より)
  • ACL ラベル

入力処理の場合、LIF テーブルによって次の機能が効率化されます。

  • ACL ラベル、VPN、その他(この情報のいくつかは、その他のテーブルでルックアップ キーの一部に含まれる)など、論理インターフェイスごとに設定されたパラメータの取得に役立つ
  • PACL(ポート ACL)ルックアップに使用される情報の保持
  • IP マルチキャスト フィルタリングのサポート
  • レイヤ 3 での MPLS パケットのフィルタ

出力処理の場合、LIF テーブルは以下を実行するのに便利です。

  • ACL ラベル、VPN、その他(この情報のいくつかは、その他のテーブルでルックアップ キーの一部に含まれる)など、論理インターフェイスごとに設定されたパラメータの取得に役立つ
  • ルーテッド パケットに対してインターフェイス チェックを実行
  • マルチキャスト パケットに対して送信元フィルタリングを提供
  • IPv6 パケットに対してスコープ強化を実行
  • FRR-TE トンネルに対して MPLS Fast Reroute をサポート

RPF 処理および RPF マップ テーブル

Reverse Path Forwarding(RPF; リバース パス転送)チェックを使用して、フレームに関連付けられた送信元 IP アドレスが、FIB テーブルで適切な送信元または RPF インターフェイスとしてリストされているインターフェイスで受信されることを確認します。ユニキャスト フォワーディングの場合、RPF チェックを実行して、不正な形式または偽装された送信元 IP アドレスによる IP アドレスのスプーフィングを阻止します。

PFC4 は、IPv4 および IPv6 のどちらに対しても最大 16 の RPF インターフェイスをサポートします。PFC3B/XL および PFC3C/XL は、どちらも RPF ルックアップ実行中に 2 つのインターフェイス ルックアップをサポートしていましたが、IPv6 RPF ルックアップをサポートする PFC3x フォワーディング エンジンはありませんでした。

次に、RPF の使用方法の例を示します。インターフェイス 3/1 に着信したパケットの送信元アドレスに、サブネット 193.10.1.x の一部が含まれているとします。RPF 処理は、フォワーディング テーブルでリバース ルックアップを実行します。宛先アドレスに対してではなく、送信元アドレスを使用してルックアップを行います。ルックアップは、ネットワーク 193.10.1.x からのパケットはインターフェイス 3/5 に着信すべきであると判断します。この例では、パケットはインターフェイス 3/1 に着信したため、偽装パケットと認識されてハードウェアでドロップされます。

RPF チェックを受け持つ RPF 処理ブロックは、その他多くの処理チェックも担当します。これらの追加処理チェックには、以下が含まれます。

  • IP マルチキャスト フォワーディングは、自身のディストリビューション ツリー構築のため RPF チェックを必要とする。PIM は RPF 情報を使用して、ある IP 送信元について、Join メッセージおよび Prune メッセージの送信先とするインターフェイスを決定する
  • MPLS 集約 VPN サポートを行うため、MPLS ラベルを使用したルックアップを実行して、関連する MPLS VPN ID を決定できる
  • IPv4 および IPv6 パケットの場合、IP バインディングへの送信元 MAC のチェックを実行できる
  • IPv4 および IPv6 パケットの場合、送信元 AS のマッピングをチェックして、後に行われる ACL TCAM へのルックアップを迅速化できる
  • IPv4 および IPv6 パケットの場合、Source Group Tag(SGT)ルックアップを実行できる
  • MPLS パケットに対する VPN および QoS マッピングがサポートされる

分類処理および分類メモリ(ACL)

2 つの TCAM バンクにより、合計で最大 256 K のアクセス コントロール エントリを分類 ACL に利用できます。PFC4 では、QoS ACE に 16 K エントリ、セキュリティ エントリに 48 K エントリが、デフォルトで予約されています。PFC4XL では、QoS ACE に 64 K エントリ、セキュリティ エントリに 192 K エントリが、デフォルトで予約されています。最初の ACL TCAM バンクは、標準 QoS エントリおよびセキュリティ ACL エントリに使用し、2 番目の TCAM バンクは、ラベルベース機能を必要とするセキュリティ エントリおよび CTS(RBACL)エントリに使用されます。この統合型 TCAM 設計は、セキュリティ ACL、QoS ACL、RBACL、またはアカウンティング結果の保存に使用されます。

レイヤ 3 フォワーディング エンジンでは、それぞれのバンクにデュアル ルックアップが実行可能で、4 つのルックアップを同時に実行することができます。つまり、入力パケットごとに最大 4 つの分類ルールを IFE(入力)処理中に照合し、最大 4 つの分類ルールを OFE(出力)処理中に照合できます。

それぞれの分類 TCAM エントリは 144 ビット長であり、ルックアップ キーを使用して TCAM へのルックアップを開始します。このルックアップ キーは、ACL ラベル(LIF テーブルから取得される)やパケット タイプ(IPv4、IPv6、およびその他)、その他の入力フィールドを使用して、キーを生成します。TCAM ルックアップの結果により、実際の ACE エントリを保有する分類 SRAM へのポインタが提供されます。

レイヤ 3 フォワーディング エンジンは、アクセス コントロール エントリごとにヒット カウンタを保有し維持するレイヤ 2 フォワーディング エンジンと連携して機能します。IFE または OFE 処理の実行中は、分類 ACL が照合されるたびに、レイヤ 2 フォワーディング エンジンの ACL カウンタが更新されてヒットを反映します。

分類 TCAM には次の機能があります。

  • 入力 DSCP 変更は、LIF マップ テーブル ルックアップにより 14 の入力 DSCP 変更マップから選択された 1 つを使用する
  • TCAM ルックアップ前の IPv6 アドレスのアドレス圧縮
  • セキュリティ ACL(入力/出力分類)により、設定済みの ACL ポリシーに基づいてパケットに permit/deny を返す
  • ACL リダイレクト(入力/出力分類)により、リダイレクトされるパケットを定義する(このメカニズムは、入力分類を経由したポリシーベース ルーティングなどの機能に使用できる)
  • RPF+(入力分類のみ)により、特定の分類されたフローに対する入力 RPF 結果を無視する機能を実現
  • RBACL のサポート IP 分類に基づく SGT および DGT の生成。また、パケットの SGT(入力/出力分類)または DGT(出力分類のみ)に基づくフローの分類は、これらの TCAM によって有効化される。
  • ACL ベースの VPN を生成する機能(入力分類のみ)は、VRF の選択の実装、または Multi-Topology Routing(MTR)などの最新ルーティング メカニズムの実装に役立つ
  • サービス カード仮想化により、入力/出力分類に基づいて仮想 ID を生成する機能の提供
  • 入力/出力分類に基づき、分類されたフローに QoS および集約ポリシング用のポリサー インデックスを指定する機能
  • ACL ベースのアカウンティング(入力/出力分類)に加えて、各 ACE にドロップ カウンタを装備し ACL ベースアカウンティングを実装
  • NetFlow ルックアップ(入力/出力分類)に必要なフィールドの生成
  • 分類 TCAM と相互作用し、レイヤ 2 フォワーディング エンジンとも相互作用して ACE 統計情報を維持するコード論理

NetFlow 処理および NetFlow ハッシュおよびデータ テーブル

NetFlow はハードウェア対応型処理であり、スイッチを通過するパケット フローに関する統計情報を収集します。フローを特定するフロー マスクは、パケット ヘッダーのフィールドを使用してフローの構成要素を判断します。デフォルトのフロー マスクは、フローを特定するために、送信元および宛先 IP アドレス、送信元および宛先ポート番号、および IP プロトコルを使用します。

ここでは、使用方法の例を示します。ユーザが、E メール、Web、および印刷の 3 つのセッションを開始するとします。それぞれのパケット フローは、同じ送信元 IP アドレスを使用しますが、宛先 IP アドレスとポート番号ペアは異なります。デフォルトの full フロー マスクを使用すると、それぞれのセッションが個別のフローとして表示され、フローごとの統計情報が個別にカウントされます(full フロー マスクは、IP プロトコル フィールド、送信元/宛先 IP アドレス、および送信元/宛先ポート番号を使用して、固有フローを特定します)。

しかし、管理者が、たとえば source-only フロー マスクを使用すれば(それぞれのフローは送信元 IP アドレスのみで特定されるため)、統計情報カウントの結果は異なる場合もあります。source-only フロー マスクは、同じ送信元 IP アドレスに関連付けられたすべてのパケットを、同じフローの一部として識別します。上記の例に当てはめると、3 つのセッション(E メール、Web、および印刷)を開始した同じユーザが、他のフロー マスクを使用すると 3 つの個別フロー レコードとして収集できるところを、そうではなく、1 つのフロー レコードにすべてのセッション データを収集しようとすることになります。ユーザによって選択できるフロー マスクは数多く存在し、管理者は必要に応じて設定することができます。

フロー処理のこの段階では、NetFlow 処理は Reduced Latency DRAM(RLDRAM)の 2 つのバンクに実装されています。1 つのバンク(NetFlow ハッシュ テーブル)はハッシュ テーブルとして機能し、もう 1 つのバンク(NetFlow データ テーブル)へのポインタを保有しています。このテーブルには実際の NetFlow データが維持されています。NetFlow データ テーブルは 288 ビット長であり、そのうち 160 ビットは NetFlow キーを表し、それ以外の 128 ビットは NetFlow データの保有に使用されます。NetFlow エントリは合計 100 万個保存することができ(PFC4XL の場合)、IFE および OFE 間で均一に分割されます。入力(IFE)NetFlow の場合、レイヤ 3 フォワーディング エンジンは 512 K のエントリを維持します。同様に、出力(OFE)NetFlow には、さらに 512 K のエントリも提供されます。XL 以外のバージョンの PFC4 の場合、NetFlow テーブルは最大 512 K エントリを保有できます。これらのエントリは IFE および OFE の両方で共有できます。

NetFlow のフロー レコードは、IPv4 フロー、IPv6 フロー、および VPN フローに対して作成できます。IPv4 および VPN では 1 つのエントリが消費されますが、IPv6 フローでは 2 つのエントリが消費されます。NetFlow 統計情報はフローごとに維持されます。

パケットが NetFlow 処理のために着信すると、フロー マスクによってパケット ヘッダーでどのフィールドを使用してルックアップ キーを構築するか特定します。このキーは、NetFlow ハッシュ テーブルで既存エントリを検索するために使用します。エントリが検出されると、ルックアップは NetFlow テーブルと NetFlow 統計情報テーブルにポインタを戻します。エントリが検出されないと、ポインタ エントリが作成され、NetFlow テーブルにはフロー レコードが作成されます。

NetFlow エントリが増加するにつれて、サポートされるフロー マスクの数も増加します。フロー マスクは NetFlow 処理に重要な要素であるため、さらに注意が必要です。上で述べたとおり、フロー マスクはフローの構成要素を定義するため、さまざまなパケット ストリームから統計情報を収集する方法に影響を与えます。以前の PFC3x フォワーディング エンジンでは、フロー マスクは 6 つあり、そのうち 2 つはシステム用に予約されていました。このため、残りの 2 つのフロー マスクをユーザが使用できました。2 つの異なるフロー マスクの主な用途はユーザベースのレート制限(UBR)であり、ユーザは各種フロー マスクによってさまざまなポリサーを設定できました。PFC4 では、80 のフロー マスクを使用できます。80 のうち、32 のフロー マスクは IPv4、32 のフロー マスクは IPv6、8 つのフロー マスクは MPLS、8 つのフロー マスクはレイヤ 2 パケット フローで利用されます。

マイクロフロー ポリシングは、NetFlow データ テーブルの NetFlow エントリごとに実行できます。つまり、システムが PFC4XL モードで動作する場合、可能性としては、512 K の入力マイクロフロー ポリサーと、512 K の出力マイクロフロー ポリシングを同時に稼動できることになります。

Sampled NetFlow は PFC3x フォワーディング エンジンでも利用できましたが、ソフトウェア上でコントロール プレーンによって実行されていました。Sampled NetFlow は PFC4 の新機能であり、レイヤ 3 フォワーディング エンジンによりハードウェア処理としてサポートされます。Sampled NetFlow は、特定のフローに関して収集される情報量を削減する方法を提供します。Supervisor 2T は 1 対 N のサンプリングをサポートし、N 個のパケットの中から任意の 1 つのパケットを選択できます(例:1,000 あたり 1 件)。サンプリングはランダム モードで動作します。つまり、サンプル N 内で任意のパケットがランダムに選択されます。サンプラはグローバルであり、合計 1 K の NetFlow サンプラがサポートされます。

3 番目のメモリ(ICAM)も、NetFlow に使用されます。このメモリは、プライマリ NetFlow テーブルでのハッシュの衝突またはページ フル条件が原因で、衝突が含まれるフローの保存に使用します。ICAM は、IFE および OFE 処理間で共有される NetFlow エントリを 16 サポートできます。NetFlow のハッシング アルゴリズムと、終了したフローを有効期限切れにするエージング メカニズムの効率が 99% と仮定すると、この ICAM の必要性は大幅に減少する可能性があります。

レイヤ 3 処理および Forwarding Information Base(FIB; 転送情報ベース)/隣接関係テーブル

転送情報ベース(FIB)テーブルには、コントロール プレーンで確認されるレイヤ 3 フォワーディング テーブルのハードウェア表現が含まれています。Catalyst 6500 では、Cisco Express Forwarding(CEF; シスコ エクスプレス フォワーディング)アーキテクチャを使用して、ハードウェア フォワーディングを有効化しています。ルーティング プロトコルによって、ルーティング トポロジに関するネクストホップ情報を収集し、この情報をコントロール プレーンにおけるそれぞれのプロトコル テーブルに維持します。この転送情報は、Routing Information Base(RIB)と呼ばれるグローバル ルーティング テーブルに統合されます。次に、CEF でこの情報グローバル RIB が取得されると、FIB テーブルが作成され、それが PFC4/DFC4 FIB TCAM まで伝達されます。ハードウェアによるレイヤ 3 フォワーディングは、すべてこの FIB テーブルを使用してレイヤ 3 フォワーディング ルックアップを実行します。

PFC4 の FIB には 256 K エントリが含まれますが、PFC4XL の FIB には 100 万エントリが含まれています。これらは、PFC3x のフォワーディング エンジンの場合と同じです。PFC4 の FIB には、Pv4 と IPv6 のグローバル アドレス、IPv4 と IPv6 のマルチキャスト アドレス、および MPLS ラベル エントリに対するプレフィクス エントリが含まれています。パーティショニングには、フォワーディング エントリのさまざまなタイプに応じて、常にある規模の空間が利用可能になるようなレベルが存在します。これらのパーティション境界を変更して、より多くのフォワーディング エントリのタイプにも対応できるようにすることで、ユーザ設定の観点からの柔軟性も確保されています。たとえば、PFC4XL では、512 K の IPv4 エントリがデフォルト設定ですが、これは設定コントロールで増加できるため、必要に応じて最大 100 万エントリをサポートできます。

実際は、PFC4 の FIB は 2 つのメモリ ブロックで構成されており、1 つは TCAM ベース、もう 1 つは RLDRAM ベースです。レイヤ 3 ルックアップを実行する場合、最初に FIB TCAM ルックアップを実行します。ルックアップを実行するには、FIB TCAM ルックアップ キーを取得し、着信パケットのタイプとその他のフィールドに基づいて FIB TCAM ルックアップを実行します。FIB ルックアップの結果により、FIB RLDRAM へのポインタが返されます。これにより、通常の転送済みパケットに関する隣接関係テーブルへのポインタが維持されます。隣接関係ポインタが指す宛先が複数のパスを経由して到達できる場合、パスごとに固有の隣接関係ポインタが計算されます。

Supervisor 720 での以前の PFC3x では、隣接関係テーブルには、パケットがスイッチを離れる際のレイヤ 2 ヘッダーの書き換えに関する情報も含まれていました。PFC4 では、この情報は書き換えテーブルに移動されました(後述します)。隣接関係テーブルには、LTL(Local Target Logic)インデックスへのポインタが含まれます。LTL インデックスは、スイッチのインターフェイスを表す内部ポインタであり、パケットの送信先となる出力インターフェイスを実質的に特定します。隣接関係テーブルには、複数のインターフェイスにパケットを送信する場合に備えて、フラッド インデックスも含まれています。

FIB は、IP マルチキャスト パケットに RPF チェックを実行する際にも使用されるようになりました。これは PFC4 の新機能であり、従来の PFC3x フォワーディング エンジンには存在していません。

OFE 処理の場合、FIB はバイパスされ、そのパイプラインのパケット処理には関与しません。

ポリサー処理および NetFlow 統計情報テーブル

ポリシング ロジックにより、以下の機能が実行されます。

  • IFE および OFE TTL チェックの実行
  • 出力ポリシングの前に MTU チェックを実行
  • 分散型および非分散型の 3 色集約ポリシングを実行
  • 2 色共有および非共有 NetFlow(マイクロフロー)ポリシングを実行
  • NetFlow および集約ポリシング統計情報の維持
  • 集約および NetFlow ポリシングへの、パケットおよびバイトベースのポリシングの両方をサポート

NetFlow 統計情報テーブルはポリシング処理ロジックで維持され、100 万エントリから構成されます。このテーブルは 3 つのメモリ バンクで構成され、システムでアクティブなフローごとに NetFlow 統計情報エントリを維持するために使用されます。NetFlow 統計情報エントリは複数のフィールドで構成されており、パケットのタイムスタンプ、NetFlow ポリシング パケット用バイト カウント、転送されたパケットとバイト カウント、最近使用されたタイムスタンプ、TCP フラグ、その他が含まれます。

書き換え処理および書き換え情報テーブル

レイヤ 3 フォワーディング エンジンの書き換え処理エンジンは、発信パケットに関するネクストホップ書き換え指示の生成に関連するタスクを実行する設計になっています。書き換え処理によって新しい送信元または宛先 MAC アドレスが生成され、Multicast Expansion Table(MET)への書き換えポインタが提供されます。書き換えエンジンの他の重要な要素には、以下が含まれます。

  • 送信元および宛先 MAC アドレスに関する書き換え情報
  • Multicast Expansion Table(MET)ポインタを使用して、すべての発信インターフェイス(またはマルチキャスト パケットを複製する必要のある OIF)を指定する
  • VPLS、GRE トンネリング、および IPv6 トンネリング動作などの特別な処理ため、パケット再循環を開始できる
  • ラベルをプッシュ、ポップ、およびスワッピングする MPLS の動作
    • 最大 5 つのラベルのプッシュ
    • 1 つまたは 2 つのラベルのポップ
    • 1 つのラベルのスワップ
    • 1 つのラベルのスワップ + 最大 4 つのラベルのプッシュ
    • 2 つのラベルのスワップ
  • 最大 5 つのラベルの EoMPLS カプセル化
  • 1 つの非ヌル ラベルまたは上位ラベルがヌル ラベルの 2 ラベルを使用した EoMPLS のカプセル化の解除
  • IPv4 Network Address Translation(NAT; ネットワーク アドレス変換)
  • Fast Re-Route(FRR)のサポート
  • TOS、トラフィック クラス、および EXP 書き換え
  • TTL 書き換えの提供

書き換え情報テーブルには 100 万エントリが含まれており、LIF テーブルのサポート対象を照合します。この機能で生成される書き換え指示セットは、発信パケットのレイヤ 2 フレーム アドレッシングの使用対象に関する指示を提供します。

パケット処理および隣接関係統計テーブル

このコンポーネントの主な目的は、上記のすべての処理ブロックの処理結果をビルドし、レイヤ 2 のフォワーディング エンジンに戻すことです。パケット プロセッサは、IFE および OFE 処理をつなぐパイプの役割を果たし、IFE 処理の結果を取得し、OFE 処理に必要な入力を構築します。

隣接関係統計テーブルには 512 K のエントリが含まれており、パケットと(パケットのコピーではなく)本来のパケットのバイト カウンタが維持されます。つまり、SPAN 処理が適用されたパケットは、隣接関係統計ではカウントされません。

この処理ブロックは、アカウンティング統計情報(4 K エントリ)を保有するテーブルも維持しています。

PFC4(および PFC4XL)パケット ウォーク
PFC4 および PFC4X では、レイヤ 2 およびレイヤ 3 で処理されたパケットの両方に、最大 60 Mpps の処理を行うことができます。パケット ウォークには 4 つの段階があります。以下のリスト図に、これらの段階を示します。

  1. レイヤ 2(レイヤ 3 前)入力処理
  2. レイヤ 3 IFE 処理
  3. レイヤ 3 OFE 処理
  4. レイヤ 2(レイヤ 3 後)出力処理
図 13 PFC4 レイヤ 3 フォワーディング エンジンのパケット ウォーク

図 13 PFC4 レイヤ 3 フォワーディング エンジンのパケット ウォーク


このセクションでは、IPv4 ユニキャスト パケットに対応する PFC4 全体でのパケット ウォークを詳しく説明します。

レイヤ 2(レイヤ 3 前)入力処理

パケット ウォークの全体の過程はフレームの着信から始まり、DBUS を経由してレイヤ 2 フォワーディング エンジン ASIC に進みます。この段階に関連する処理ステップは次のとおりです。

  1. パケットは、DBUS またはファブリック レプリケーション ASIC を経由して着信します。
  2. レイヤ 2 フォワーディング エンジンによって CRC チェックが実行されます。
  3. LIF データベース ルックアップが実行されると、入力 LIF、ブリッジ ドメインおよび後で行うレイヤ 3 フォワーディング エンジン ルックアップ用のルックアップ インデックスが返されます。
  4. Result Bundle Hash(RBH)が生成され、該当する場合は使用される EtherChannel バンドルのリンクが表示されます。
  5. コントロール パケット(CDP、BPDU、その他)にスタティック MAC アドレス照合を実行します。
  6. レイヤ 2 テーブルの MAC アドレス ルックアップ
  7. 上記の処理(L2 ルックアップ、RBH、その他)結果を統合し、作成したフレームをレイヤ 3 フォワーディング エンジンに転送して処理します。

レイヤ 3 IFE 処理

レイヤ 3 フォワーディング エンジンの IFE 処理ステップの詳細は次のとおりです。

  1. レイヤ 3 フォワーディング エンジンは、レイヤ 2 フォワーディング エンジンからフレームを受信し、CRC エラーをチェックしてから IFE パイプラインに転送します。
  2. LIF マップ テーブル ルックアップが実行されて、パケットが着信するインターフェイスに関する情報(たとえば、入力分類に関する ACL ラベル、RPF モード、VPN 番号、その他)を収集します。
  3. RPF チェックが送信元アドレスに対して実行されます。
  4. このパケットに、ACL TCAM へのルックアップを使用して、パケット分類が実行されます。
  5. TCAM ルックアップの結果は、ACL 結果、QoS 結果、アカウンティング結果、および CTS 結果に統合されます。
  6. レイヤ 2 エンジンに、ACL 統計情報を更新するように通知します(レイヤ 2 エンジンにある ACL ヒット カウンタを使用する)。
  7. 入力 NetFlow ルックアップが、ステップ 5 での結果を使用して実行されます。
  8. a. これがヒットの場合、NetFlow 統計情報が更新され、該当する場合はマイクロフロー ポリシングも実行されます。

    b. ヒットが検出されない場合、新しい NetFlow エントリが作成されます。

  9. レイヤ 3 FIB ルックアップが実行されると、隣接関係ポインタおよびリンク カウントが返され、このプレフィクスに対する等コスト パスがいくつ存在するかが特定されます。
  10. その後、入力集約および NetFlow ポリシングが実行されます。
  11. すべての入力ルックアップが完了し、結果を生成できます。

レイヤ 3 OFE 処理
IFE パイプライン処理が終了すると、パケットは OFE パイプラインに渡されてさらに処理されます。OFE ステップの詳細は次のとおりです。

  1. 隣接関係ポインタは、IFE 処理中に FIB ルックアップで取得され、出力 LIF インデックスおよび書き換えポインタを返すために使用されます。書き換えポインタは、その後の OFE 処理において、このパケットを書き換えテーブルから取得するために書き換え情報が必要になる場合に備えて保持されます。
  2. 出力 LIF ルックアップが実行されると、パケットの送信先となる出力インターフェイスに関する情報が取得されます。
  3. 出力分類ルックアップは、セキュリティ ACL および QoS ACL に対応する ACL TCAM に対して実行されます。リダイレクトが検出されると(PBR、VACL、リダイレクト、その他)、書き換えテーブルに対して後で行われるルックアップ用に新しい書き換えポインタを受信します。
  4. 出力 NetFlow ルックアップが実行されます。
  5. 該当する場合は、出力集約およびマイクロフロー ポリシングが適用されます。
  6. 先に取得された書き換えポインタを使用して、書き換え情報テーブル(RIT)へのルックアップが実行されます。
  7. OFE ルックアップから取得された情報を含む、最終的な結果が生成されます。
  8. 結果フレームがレイヤ 2 エンジンに戻されます。このフレームには、宛先 VLAN、出力 LIF および書き換え情報などの情報が含まれます。

レイヤ 2(レイヤ 3 後)出力処理

レイヤ 3 エンジンが処理を終了した後、この動作の結果はレイヤ 2 エンジンに戻されて、最終的な処理段階が開始されます。最終ステップの詳細について、以下に説明します。

  1. レイヤ 3 エンジンの結果をチェックして CRC エラーを検出します。
  2. L2 の結果を、レイヤ 3 エンジンからの L3 の結果と統合します。
  3. レイヤ 3 エンジン処理の結果を検査し、LIF などの L2 後テーブル ルックアップを行います。
  4. 該当する場合は、CPU レート制限機能を実行します。
  5. 結果を BUS を経由して発信インターフェイスに送信します。
  6. LIF 統計情報が更新されて、このパケットのフォワーディングが反映されます。

これで、PFC4 コンプレックスを通過する 1 個のパケットへの処理が完了します。これらのパケット ルックアップは、1 秒間に最大 6,000 万件を処理できます。同じ処理シーケンスおよびパフォーマンス メトリックは、PFC4 とは別に、DFC4 コンプレックスにも当てはまります。このため、6513-E システムでは、集約ルックアップ レートは 720 Mpps になります。

PFC4 ボードのレイアウト
以下に、PFC4 ボードを示します。

LIF 統計情報が更新されて、このパケットのフォワーディングが反映されます。

※画像をクリックすると、大きな画面で表示されますpopup_icon


以下に、番号が付けられた各コンポーネントの一覧を示します。

  1. L2 フォワーディング エンジン - LIF(論理インターフェイス)テーブル
  2. L2 フォワーディング エンジン - 隣接関係統計(1/2)
  3. L3 フォワーディング エンジン - 分類テーブル
  4. L2 フォワーディング エンジン - 隣接関係統計(2/2)
  5. L3 フォワーディング エンジン - RPF マップ テーブル
  6. L3 フォワーディング エンジン - LIF マップ テーブル
  7. L3 フォワーディング エンジン - 隣接関係テーブル
  8. L2 フォワーディング エンジン - LIF 統計情報
  9. レイヤ 2 フォワーディング エンジン ASIC
  10. L3 フォワーディング エンジン - 書き換え情報テーブル
  11. L3 フォワーディング エンジン - NetFlow 統計情報
  12. L3 フォワーディング エンジン - NetFlow データ テーブル
  13. L3 フォワーディング エンジン - NetFlow ハッシュ
  14. L3 フォワーディング エンジン - FIB テーブル
  15. L3 フォワーディング エンジン - 分類 TCAM
  16. L3 フォワーディング エンジン - FIB TCAM
  17. L3 フォワーディング エンジン - XL PFC(+ 16)の FIB TCAM
  18. レイヤ 3 フォワーディング エンジン ASIC

スイッチ ファブリックおよびファブリック接続ドーター カード


次のセクションでは、新しいスイッチ ファブリックの設計と Supervisor 2T での Fabric Connection Daughter Card(FCDC; ファブリック接続ドーター カード)についての詳細を説明します。

Supervisor Engine 2T のスイッチ ファブリック

LAN スイッチでは、スイッチ バックプレーンには、主として共有メモリ スイッチ ファブリックまたはクロスバー スイッチ ファブリックのいずれかを使用します。Supervisor 2T に実装されたスイッチ ファブリックはクロスバー アーキテクチャを使用しますが、これは Supervisor 720 で使用されるバックプレーン アーキテクチャと同じです。クロスバー アーキテクチャでは、異なるラインカード間で複数データの同時伝送が実行可能です。

シャーシの各ラインカード スロットは、専用のチャネル セットを独自に保持しており、このチャネルを経由してデータをスイッチ ファブリックに送信します。Supervisor 2T のスイッチ ファブリックでは、40 Gbps ファブリック チャネルが 26 提供されるため、シャーシのラインカード スロットごとに 2 つのファブリック チャネルが分配されます。

Supervisor 2T で使用されるファブリック ASIC は、Supervisor 720 で使用されるファブリック ASIC からのメジャー アップグレードです。以下に、主要な機能拡張の一部を示します。

  • バッファリングされたクロスバー設計
  • 26 のファブリック チャネル(Supervisor 720-10G のファブリック チャネルは 20)
  • それぞれのチャネルは、新しい WS-X69xx ラインカードをサポートするよう 40 Gbps で動作するか、WS-X67xx および WS-X68xx ラインカードに下位互換性を提供するために 20 Gbps 動作するかの、いずれかが可能
  • 複数宛先の調停機能の強化
  • 2 つの専用入力キューおよび 2 つの出力キューによる、2 つのプライオリティ レベル データ パスのサポート
  • キュー別パケット カウンタにより、デバッグ目的でパケット履歴を表示
  • 非共有の入力/出力キューイングを、ポート単位キュー単位で分離
  • バックプレッシャーをサポートする複数モード
    • 入力バッファからダウンリンク ラインカードへのキュー別のフロー制御
    • 出力バッファから入力バッファへのキュー別のフロー制御(ファブリック ASIC 内部)
    • ラインカードから出力バッファへのキュー別のフロー制御
  • 最大 9,248 バイト サイズのジャンボ フレームのサポート

スイッチ ファブリックのアーキテクチャ

Supervisor 2T のスイッチ ファブリックには、2 つの同一のクロスバー スイッチ ファブリックが実装されています。それぞれのクロスバーは、プライオリティの高いまたは低いトラフィックの処理に使用されます。以下の図を参照してください。

図 14 Supervisor 2T クロスバーのアーキテクチャ

図 14 Supervisor 2T クロスバーのアーキテクチャ


ラインカードがファブリック ポートを経由してパケットを転送する場合、パケットはファブリックで受信され、ファブリック ポートの入力バッファに保存されます。入力ファブリック ポート上の入力バッファには、プライオリティの高いキューと低いキューがあります。パケットが入力ファブリック ポートに着信すると、ポートに割り当てられたプライオリティに応じて、2 つのキューの 1 つに逆多重化されます。2 つのキューの 1 つにパケットが割り当てられると、パケットがどのファブリックを通過するかを決定できるようになります(プライオリティの高いまたは低いファブリック)。

パケット ヘッダー内にある Fabric Port of Exit(FPOE)インデックス フィールドにより、出口のスイッチ ファブリック ポートが表示されます。スイッチ ファブリックは、出力ファブリック ポートに関連する出力バッファを調停します。調停が正常に行われると、パケット データは入力ファブリック ポート上の入力パケット バッファから、出力ファブリック ポート上の出力パケット バッファへ進みます。この移行中に、3 倍の速度によってスイッチングの遅延が最小化され、Head of Line Blocking(HOLB; ヘッド オブ ライン ブロッキング)の競合が減少します。データ パケット全体が出力ファブリック インターフェイス ASIC で受信され、出力ファブリック ポート バッファにすべて保存されてから、出力ラインガードによって伝送されます。

ファブリック接続ドーター カード

Supervisor 720 では、ファブリック チャネルは 20 しかサポートされませんでした(ラインカードに 18、スーパーバイザ アップリンクに 2 つ)。6513 に設置された場合、単一のチャネルへのスロットは最大 8 つに制限されていました。これにより、ラインカード オプションはスロット 1 〜 8 に制限され、デュアル ファブリック ラインカード(WS-X67xx)の挿入先はスロット 9 〜 13 に限定されていました。Supervisor 2T のクロスバー スイッチ ファブリックと 6513-E シャーシが、この制限を解消しました。

このシャーシとスーパーバイザの組み合わせにより、すべてのラインカード スロット(スロット 1 〜 6 およびスロット 9 〜 13)でシャーシに組み込まれたデュアル ファブリック チャネルが使用できるため、デュアル ファブリック ラインカード(WS-X67xx、WS-X68xx および WS-69xx)がすべてのスロットで動作できるようになります。ファブリック接続ドーター カードは、スーパーバイザ ベースボードに新しく追加されました。このドーター カードにより、さらにスロット 1 〜 6 にわたる 6 つのチャネルへ接続できるようになります。この機能は、以前の 6513 には存在しませんでした。この様子は、次の図で確認することができます。

図 15 ファブリック接続ドーター カード(FCDC)

図 15 ファブリック接続ドーター カード(FCDC)


上の図は、Supervisor 2T の背面から見た FCDC を表示しています。従来の Supervisor 720 モデルに元々あったファブリック コネクタの上部に、第 2 のコネクタが設置されています。すべてのシャーシ モデルで(6513-E を除く)、このコネクタはいずれのラインカード スロットへのファブリック チャネルのプロビジョニングについても役割を果たしていません。6513-E では、FCDC で使用されるシャーシ バックブレーン上のスロット 7 およびスロット 8 に追加コネクタがあります。この追加バックプレーン コネクタは、以下の 6513-E の図に示されています。

図 16 Catalyst 6513-E バックプレーン コネクタ

図 16 Catalyst 6513-E バックプレーン コネクタ
※画像をクリックすると、大きな画面で表示されますpopup_icon


この追加スロット コネクタによって、さらに 6 つのファブリック チャネルが 6513-E にある最初の 6 つのラインカード スロットにリレーされるようになり、すべてのラインカード スロットにデュアル ファブリック チャネル接続を提供します。

用語集


次のセクションでは、このホワイト ペーパー全体で使用される主要な略語を簡単に説明します。

表 16 略語の定義

略語 説明
ACE アクセス コントロール エントリ
ACL アクセス コントロール リスト
ASIC 特定用途向け集積回路
BD ブリッジ ドメイン
CMP 接続管理プロセッサ(ポート)
CTS Cisco TrustSec
DFC 分散型フォワーディング カード
DSCP DiffServ コード ポイント
EoMPLS Ethernet over MPLS
FCDC ファブリック接続ドーター カード
FNF Flexible NetFlow
GRE 総称ルーティング カプセル化
LIF 論理インターフェイス
MSFC マルチレイヤ スイッチ フィーチャ カード
MPLS マルチプロトコル ラベル スイッチング
PFC ポリシー フィーチャ カード
QoS Quality of Service
TCAM Tertiary Content Addressable Memory
VLAN 仮想ローカル エリア ネットワーク
VPLS/H-VPLS 仮想プライベート LAN サービス(または階層型 VPLS)