Cisco Catalyst 6800 シリーズ スイッチ

Cisco Catalyst Instant Access ソリューション

ホワイト ペーパー





Cisco Catalyst Instant Access ソリューション



目的


Cisco Catalyst® Instant Access は、ディストリビューション レイヤとアクセス レイヤのスイッチを 1 つのものとして管理および設定できるようにすることで、エンタープライズ キャンパス ネットワークの設計、導入、運用を大幅に簡素化します。このホワイト ペーパーでは、Cisco Catalyst Instant Access ソリューションのアーキテクチャ、コンポーネント、パケットの流れ、価値について説明します。

概要


Cisco Catalyst Instant Access は、ディストリビューション レイヤとアクセス レイヤの物理スイッチを単一の論理エンティティに統合し、設定、管理、トラブルシューティングの対象を 1 つにします。このソリューションによってプロビジョニングと運用が簡素化され、エンタープライズ キャンパス ネットワークがシンプルになります。

Cisco Catalyst Instant Access には次のようなメリットがあります。

  • 設定および管理の一元化
  • ディストリビューション レイヤとアクセス レイヤのソフトウェア イメージを統一
  • アクセス スイッチの「プラグ アンド プレイ」プロビジョニング
  • アクセス レイヤのインフラストラクチャの俊敏性に加え、機能とハードウェアの一貫性を保持
  • アクセス レイヤのアップリンクの自動設定
  • アクセス スイッチのイメージの自動プロビジョニング
  • ディストリビューション レイヤとアクセス レイヤ全体に多機能かつ一貫性のある Catalyst 6500/6800 シリーズ フィーチャ セットを使用

図 1 は、21 台のアクセス スイッチ(1008 ポート)から成るディストリビューション ブロックを一元的に管理できることを示しています。

図 1 単一の論理スイッチ

図 1 単一の論理スイッチ


最初の Cisco Catalyst OS リリース 15.1(2)SY では、Instant Access ソリューションで 21 台の Instant Access クライアント、つまり最大 1008 個のホスト ポートをサポートできます。また、Instant Access クライアントは、最大 3 つのクライアントによるスタック構成をサポートします。クライアントのスタック サイズは今後のソフトウェア リリースで拡大される予定です。

では、具体的なトポロジについて考えてみましょう(図 2)。たとえば、4032 ポートから成るキャンパス ネットワークがあるとします。このネットワークには 4 つのディストリビューション ブロックがあり、各ブロックは 1008 個のポートで構成されています(48 ポートのアクセス スイッチが 21 台)。ディストリビューション レイヤでは VSS ペアを使用し、アクセス レイヤではスタック テクノロジーを使用しています。

このキャンパスでは次のものが必要です。

  • デバイス 29 台の設定管理
  • デバイス 29 台のイメージ管理
  • アクセス スイッチのトランクおよびポート チャネルの設定 48 個
  • SNMP、NTP、TACACS/RADIUS、VLAN DB、管理 IP、ゲートウェイ、ホスト名などの個別設定 29 個

図 3 に示されているように、Cisco Catalyst Instant Access を使用すれば、同じ 4032 ポートのキャンパスが次のようにシンプルになります。

  • 管理対象デバイスは合計 5 台
  • アクセス スイッチのイメージ管理は不要
  • アクセス スイッチのアップリンク トランクの設定は不要
  • SNMP、NTP、TACACS/RADIUS、VLAN DB、管理 IP、ホスト名の個別設定 5 個
図 2 単一の論理スイッチ
図 2 従来の構成 図 3 Instant Access の構成

システム コンポーネント

Cisco Catalyst Instant Access ソリューションは、Instant Access ペアレントと Instant Access クライアントという 2 つのコンポーネントで構成されています(図 4)。

Instant Access ペアレント:ペアレントは、Cisco Catalyst 6500E または 6800 シリーズ シャーシのペアです。シャーシには、VSS モードまたは VSS Quad-Sup SSO1 モードに設定された Supervisor 2T と、10G モードに設定された WS-6904 40G/10G ラインカードを搭載します。VSS モードおよび VSS Quad-Sup SSO モードの設定については、こちらをご覧ください。10G モードで動作する 40G ラインカードの詳細については、こちらをご覧ください

1 環境によっては、ディストリビューション レイヤで VSS ペアを使用できない場合もあります。このような場合は、Cisco Catalyst 6500/6800 スイッチを 1 台だけ使用することもできます。Instant Access ソリューションは各 Instant Access クライアントをリモート ラインカードとして取り扱いますが、リモート ラインカードとしての機能を可能にするために VSS インフラストラクチャを使用しています。そのため、スイッチを VSS モードに設定する必要があります。ディストリビューション レイヤのスイッチを 1 台にして Instant Access を導入することは推奨できません。ただし、このような構成にする場合は、スーパーバイザ エンジンの障害に備えてシャーシにスーパーバイザを 2 つ搭載し、ルート プロセッサの冗長性(RPR)を確保することを推奨します。そうしないと、システム全体に影響する単一障害点が生じてしまいます。これは、ディストリビューション レイヤのデバイスが 1 台だけの設計に共通の問題です。

Instant Access クライアント:クライアントは、ディストリビューション レイヤの Cisco Catalyst 6500E または 6800 シリーズ スイッチを使用してクライアント モードでのみ動作する Cisco Catalyst 6848ia スイッチです。Instant Access クライアントは、48 個の 10/100/1000 インターフェイスと 2 個の 10Gbps アップリンクまたはファブリック インターフェイス ポートをサポートします。Instant Access クライアントの主な機能は次のとおりです。

  • 48 個の 10/100/1000 BASE-T ホスト ポート(PoE+ または非 PoE のオプション有り)
  • 2 個の 10Gbps アップリンク ポート
  • 740W の PoE 電力:
    • 48 ポートすべてでフル PoE(15W)
    • いずれか 24 ポートでフル PoE(30W)
  • 最大 3 つのクライアントをスタック可能
  • 双方向のスタック帯域幅 80 Gbps
  • Instant Access クライアント モードでのみ動作(パケット スイッチングは Instant Access ペアレントで集中処理)

詳細については、こちらをご覧ください

図 4 Cisco Catalyst Instant Access のコンポーネント

図 4 Cisco Catalyst Instant Access のコンポーネント


ペアレントとクライアントだけでなく、これらの間の Fex-Fabric リンクも、Short-Reach、Long-Reach マルチモード、Long-Reach、Extended-Reach の光接続をサポートします。ファブリック リンクでは Cisco 10GBase SFP+ が使用されます。詳細については、こちらをクリックしてください。

Cisco Catalyst Instant Access のアーキテクチャ


コントロール プレーン

Instant Access ソリューションのコントロール プレーンは、すべてのアクセス スイッチを 1 つのエンティティにまとめて論理グループを作成できるように実装されています。コントロール プレーンは 4 つの主要コンポーネントで構成されています。

  • Satellite Discovery Protocol(SDP) このリンクベース プロトコルは、Instant Access のペアレントとクライアント間のすべてのリンクで稼働します。このプロトコルは、ファブリック リンクの接続を確立し、監視し、維持するとともに、ペアレントとクライアントのマルチシャーシ EtherChannel 接続を可能にします。また、SDP は手動操作なしでクライアントにファブリック アップリンクを設定するので、ゼロタッチのクライアント インストレーションが実現します。
  • Satellite Registration Protocol(SRP) このプロトコルは Instant Access クライアントを登録し、クライアントのイメージをチェックして、Instant Access ペアレントのイメージに合わせて自動的にアップグレードします。自動アップグレードは、新しいクライアントが追加された場合および新しいクライアント スタック メンバがスタックに追加された場合に実行されます。SRP はクライアントの活性挿抜(OIR)と自動プロビジョニングの機能を提供します。SRP によってアクセス レイヤのイメージを管理する必要がなくなります。これにより、ディストリビューション レイヤとアクセス レイヤにおける Cisco IOS® ソフトウェアの機能の一貫性も実現します。
  • Satellite Configuration Protocol(SCP) このプロトコルは、Instant Access クライアントの設定管理、メトリック、ステータスの処理を実行します。
  • InterCard Communications(ICC) ICC は、Instant Access のペアレントとクライアントの Syslog、QoS、リモート ログイン、PoE+ などのインフラストラクチャ機能に使用されます。

これらのコントロール プロトコルはバックグラウンドで透過的かつ自動的に実行されます。ユーザによる設定は必要ありません。

VNTAG


Instant Access のクライアントとペアレント間のファブリック リンクを通るフレームはすべて、図 5 のように 6 バイトの VNTAG ヘッダーでカプセル化されます。VNTAG ヘッダーによって Instant Access クライアントはリモード ラインカードのように動作し、ペアレント スイッチはクライアントのホスト ポートを論理インターフェイスとして認識できるようになります。ユニキャスト パケットとマルチキャスト パケットの区別には P ビットが使用されます。

図 5 VNTAG ヘッダー

図 5 VNTAG ヘッダー


Instant Access クライアントをペアレントのリモート ラインカードとして動作させるために、SRP はクライアントの各ホスト ポートに固有の仮想インターフェイス ID(VIF)を関連付けます。Instant Access ペアレントはプロビジョニング プロセス中に VIF をクライアントの各ホスト ポートに割り当てます(図 6)。クライアント アクセス スイッチに入るパケットはすべて、ファブリック リンクを通じてペアレントに送信される前に VNTAG ヘッダーがタグ付けされます。この VNTAG ヘッダーのソース VIF として、入力ポートに割り当てられている VIF が使用されます。反対に、クライアント スイッチを宛先とするパケットについては、ペアレントが VNTAG ヘッダーの宛先 VIF を使用してクライアントの出力ポートを決定します。

図 6 VIF の割り当て

図 6 VIF の割り当て


ユニキャスト フォワーディング


以下では、例を通じて Cisco Catalyst Instant Access ソリューションのユニキャスト トラフィックの流れを説明します(図 7)。

  1. 通常のイーサネット フレームが Instant Access クライアントのホスト ポートに着信します。この例では、ホスト ポートは VIF = VIF1 である IF1 とします。
  2. 入力イーサネット フレームがカプセル化され、VNTAG ヘッダーのソース VIF は VIF1 になり、宛先 VIF は 0 です (Instant Access クライアントのホスト ポートに入るパケットはすべて、宛先 VIF が 0 になり、アップストリームの Instant Access ペアレントに送信されます)。
  3. VNTAG ヘッダーを持つパケットが Instant Access ペアレントの FEX インターフェイスに着信すると、ヘッダーのカプセル化が解除されます。VNTAG のカプセル化解除後に IA ペアレントで MAC ラーニングが実行されます。ペアレント Catalyst スイッチのフォワーディング エンジンで元のイーサネット フレームが処理され、ネイティブ ポートに着信する通常のイーサネット フレームと同様にスイッチングが実行されます。
図 7 Fex-Fabric を通じたクライアントからペアレントへの VNTAG パケット

図 7 Fex-Fabric を通じたクライアントからペアレントへの VNTAG パケット


  1. コア レイヤから Instant Access クライアントのホスト ポート VIF1 へのパケットについては、Instant Access ペアレントがテーブル ルックアップを実行します(図 8)。ペアレントは送信ファブリック リンクのインターフェイスが FEX であると特定し、ソース VIF = 0、宛先 VIF = VIF1 の VNTAG ヘッダーでフレームをカプセル化してから Fex-Fabric を通じて送信します。
  2. Instant Access クライアントの Fex-Fabric に着信したイーサネット フレームは VNTAG ヘッダーのカプセル化が解除され、宛先 VIF に従って、対応するインターフェイス VIF1 にスイッチングされます。
図 8 Fex-Fabric を通じたペアレントからクライアント ホスト ポートへの VNTAG パケット

図 8 Fex-Fabric を通じたペアレントからクライアント ホスト ポートへの VNTAG パケット


このように、Instant Access ソリューションの処理はシンプルです。VNTAG はクライアントとペアレントの間の Fex-Fabric リンク専用であり、ネットワーク内の他の部分で VNTAG が認識されることはありません。

マルチキャスト フォワーディング


Cisco Catalyst 6848ia には、ラベル スイッチド マルチキャストや Medianet など、Catalyst 6500 および 6800X シリーズのすべてのマルチキャスト機能に加えて、ローカル マルチキャスト レプリケーションのようなインテリジェントなマルチキャスト機能があります。Instant Access クライアントのホスト ポートに複数のレシーバが参加している場合、Istant Access は図 9 のようにローカル マルチキャスト レプリケーションを実行します。

  1. Instant Access クライアントのインターフェイス IF1 および IF2 に接続されているマルチキャスト グループ レシーバは、Instant Access ペアレントの (*,G)/ (S,G) エントリの一部としてマルチキャスト グループに参加します。
  2. Instant Access ペアレントは、Instant Access クライアントをグループ VIF テーブル用にプログラムします。このテーブルには、クライアントのグループ レシーバ インターフェイスに固有のマルチキャスト グループ VIF のマッピングが維持されます。
  3. 各マルチキャスト パケットの単一コピーが Fex-Fabric を通じて、Instant Access クライアントに送信されます、その再、宛先 VIF は group VIF(マルチキャスト グループ)、P ビットは 1(マルチキャスト パケットを表す)に設定されます。
  4. Instant Access クライアントは、宛先 VIF が group VIF で、VNTAG ヘッダーにマルチキャスト パケットを表す P ビットが設定されている VNTAG カプセル化パケットを受信します。Instant Access クライアントはインターフェイス ID マッピング テーブルで group VIF を検索し、そのマルチキャスト パケットのローカル レプリケーションを実行してから、レシーバに接続されている各インターフェイス(IF1 および IF2)に各パケットのコピーを送信します。
図 9 Instant Access クライアントにおけるマルチキャスト パケット レプリケーション

図 9 Instant Access クライアントにおけるマルチキャスト パケット レプリケーション


ソリューションの機能


運用の簡素化:Instant Access ソリューションはディストリビューション スイッチとアクセス スイッチの管理ポイントを 1 つにまとめます。すべてのアクセス ホスト インターフェイスは、Instant Access ペアレントで 4 レベルのインターフェイスとして論理的に表現されます(図 10)。

図 10 インターフェイスの命名

図 10 インターフェイスの命名


たとえば、FEX 111 のスタック メンバ 2 として設定されている Cat6848ia の GigabitEthernet インターフェイスは、Instant Access ペアレントでは論理的に次のように表現されます。

interface GigabitEthernet111/2/0/1

図 11 インターフェイスの命名

図 11 インターフェイスの命名


以下のインターフェイス出力に示されているように、各 Instant Access クライアントのすべての物理ホスト ポートは、Instant Access ペアレントで論理的に設定、管理できる論理インターフェイスです。

Cat6500-VSS#show int gig 111/2/0/1
GigabitEthernet111/2/0/1 is up, line protocol is up (connected)
   Hardware is C6k 1000Mb 802.3, address is 0000.0000.0001 (bia 0000.0000.0001)
  MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec,
     reliability 255/255, txload 1/255, rxload 1/255
  Encapsulation ARPA, loopback not set
  Keepalive set (10 sec)
  ARP type: ARPA, ARP Timeout 04:00:00
  Last input never, output never, output hang never
  Last clearing of "show interface" counters 3w4d
  Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0
  Queueing strategy: fifo
  Output queue: 0/40 (size/max)
  5 minute input rate 0 bits/sec, 0 packets/sec
  5 minute output rate 0 bits/sec, 0 packets/sec
     0 packets input, 0 bytes, 0 no buffer
     Received 0 broadcasts (0 multicasts)
     0 runts, 0 giants, 0 throttles
     0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
     0 watchdog, 0 multicast, 0 pause input
     0 input packets with dribble condition detected
     0 packets output, 0 bytes, 0 underruns
     0 output errors, 0 collisions, 0 interface resets

同様に、Instant Access クライアント FEX ID 111 のスタック メンバ 2 のすべての設定が Instant Access ペアレントで論理的に集中管理されます。これも出力を示します。

Cat6500-VSS#show run fex 111 module 2
Building configuration...

Current configuration : 5554 bytes
!
interface GigabitEthernet111/2/0/1
 switchport access vlan 90
 switchport voice vlan 91
 switchport host
!
interface GigabitEthernet111/2/0/2
 switchport access vlan 90
 switchport voice vlan 91
 switchport host
!
…

各 Instant Access クライアントは Instant Access ペアレントのラインカードのように扱われるので、次のように、show module の出力でもラインカードのように表示されます。

Cat6500-VSS#show module fex 111
 Switch Number:   111 Role:                     FEX
----------------------  -----------------------------
Mod Ports Card Type                              Model              Serial No.
--- ----- -------------------------------------- ------------------ -----------
  1   48  C6848ia 48GFPwr 2SFP                   C6800IA-48FPD      FHH1707P00S
  2   48  C6848ia 48GFPwr 2SFP                   C6800IA-48FPD      FHH1707P010

Mod MAC addresses                       Hw    Fw           Sw           Status
--- ---------------------------------- ------ ------------ ------------ -------
  1  0022.bdf4.6600 to 0022.bdf4.6633   7.0  15.0(2.0.57)  Ok(FLIC Enabled)
  2  0022.bdf4.6d80 to 0022.bdf4.6db3   7.0  15.0(2.0.57)  Ok(FLIC Enabled)

Mod  Online Diag Status
---- -------------------
  1  Pass
  2  Pass

最大 21 個の 48 ポート スイッチがリモート ラインカードのように管理され、1008 個のポートがすべて Instant Access ペアレントに論理的に表示されるので、ディストリビューション ブロック全体を 1 つのエンティティとして設定し管理できます。

アクセス クライアントの自動プロビジョニング


Instant Access では、Instant Access クライアントが Instant Access ペアレントのリンクに接続すると、クライアントの自動プロビジョニングが実行されるので、アクセス レイヤの初期プロビジョニングも簡素化されます。Instant Access ペアレントは Instant Access クライアントを検出し、クライアントのイメージが Instant Access ペアレントのイメージと異なる場合はクライアントのソフトウェア イメージをアップグレードします。これらのアクションは両方とも自動的に実行され、ユーザの介入は必要ありません。Instant Access クライアントは FlexStacking-Plus スタッキング プロトコルを使用し、双方向スタック帯域幅 80 Gbps でメンバ間のスタックを可能にします。最大 3 台の Instant Access クライアントでスタックを構成できます (スタック密度は今後のソフトウェア リリースで拡大されます)。FlexStack-Plus と同様に、Instant Access ペアレントによってスタック マスターが自動選択され、新しいスタック メンバが自動的に検出されてプロビジョニングが実行されます。これはペアレント スイッチのラインカードと同様の処理です。

物理的な導入の前に、Instant Access クライアント スイッチの設定を事前にプロビジョニングできます。Instant Access クライアントが接続されると、事前にプロビジョニングされた設定が Instant Access クライアントのホスト ポートに自動的に適用されるので、導入が簡単になります。ネットワーク管理者がネットワークのディストリビューション レイヤから Instant Access クライアントを事前にプロビジョニングしておけば、ネットワーキングの知識の有無に関係なく誰でも現地で Instant Access クライアントの導入と配線を行うことができます。

Instant Access クライアント(FEX 112)を 2 台のスタックとして事前にプロビジョニングする場合の例を示します。

mod provision  create fex  112 type 6800IA-48TD
mod provision  create fex  112 module 2 type 6800IA-48TD

Config# Interface range 112/1/0/1 - 3
Config# switchport access vlan 100
Config# switchport voice vlan 101
Config# switchport host

クライアント ID(FEX-ID 112)の事前プロビジョニングが実行されると、Instant Access クライアントのインターフェイス ホスト ポートの設定が Instant Access ペアレントの running-config に表示されます。この設定は、コマンド show run fex 112 で確認できます。

Cat6500-VSS#show run fex 112
Building configuration...

Current configuration : 11103 bytes
!
interface GigabitEthernet112/1/0/1
 switchport access vlan 100
 switchport voice vlan 101
 swtichport host
!
interface GigabitEthernet112/1/0/2
 switchport access vlan 100
 switchport voice vlan 101
 switchport host
!
interface GigabitEthernet112/1/0/3
 switchport access vlan 100
 switchport voice vlan 101
 switchport host
!

新しい Instant Access クライアントが物理的に接続されると、コントロール プロトコルがペアレントへのクライアントのアップリンクを自動的に設定します。その後、事前にプロビジョニングされた設定がクライアントのホスト ポート インターフェイスに適用されます。

ソフトウェア管理の簡素化


Cisco Catalyst 6500/6800 のソフトウェア イメージと Instant Access クライアントのイメージが 1 つのイメージとして結合され、クライアントはペアレントのラインカード イメージとまったく同じように扱われます。新しい Instant Access クライアントが起動し、Instant Access ペアレントによって検出されると、Instant Access クライアントのイメージが Instant Access ペアレントのソフトウェア イメージと一致するかどうかが自動的に確認されます。一致していない場合は、Instant Access ペアレントによってクライアントのイメージが自動的にアップデートされます。これにより、アクセス レイヤでソフトウェアをアップグレードする必要がなくなり、ディストリビューション レイヤとアクセス レイヤの機能が統一され、俊敏なインフラストラクチャが確立されます。

高可用性


Instant Access ソリューションは重層的な復元力を提供します。ディストリビューション レイヤでは、Instant Access ペアレントが Cisco Virtual Switching System(VSS)とクアッド スーパーバイザ VSS(Quad Sup VSS)に対応しているので、あらゆる障害ポイントについて高い可用性が実現されます。ディストリビューション レベルで Quad Supervisor Stateful Switchover(SSO)を使用し、Instant Access クライアントのスタックが Instant Access ペアレントにデュアル ホーム接続されている場合、3 つのスーパーバイザに障害が発生しない限りネットワーク接続がすべて失われることはありません(図 12)。

図 12 Instant Access ペアレントの高可用性

図 12 Instant Access ペアレントの高可用性


ペアレントとクライアントの間の複数のファブリック リンク接続が 1 つのマルチシャーシ EtherChannel 接続に結合されることで、VSS ペアとクライアント スタックの間の 6 つの 10G リンクにより最大容量が 60 Gbps に拡大します。また、ファブリック リンクの冗長性も確保されます。ファブリック リンクに含まれるスタック メンバも冗長性の向上に役立ちます。Instant Access のペアレントとクライアントは Fex-Fabric を通じて EtherChannel のロード シェアリングをサポートしているので、複数の Fex-Fabric リンクによって高レベルの冗長性が実現されます(図 13)。

図 13 Fex-Fabric の高可用性

図 13 Fex-Fabric の高可用性


Instant Access クライアントはホスト ポートの EtherChannel をサポートしています。最大 8 つのホスト ポートを 1 つの EtherChannel に結合できます。すべてのスタック メンバを EtherChannel に含めることができます(図 14)。

図 14 ホスト ポートの高可用性

図 14 ホスト ポートの高可用性


Enhanced Fast Software Upgrade(eFSU)


Cisco Catalyst 6500E および 6800X シリーズは Enhanced Fast Software Upgrade(eFSU)をサポートしています。これにより、VSS ペアの 2 つのスーパーバイザのソフトウェア アップグレードで生じるダウンタイムが短縮され、ネットワークの可用性が向上します。eFSU を使用すると、2 つの異なるソフトウェア バージョンで稼働している 2 つのスーパーバイザ(アクティブとスタンバイのスーパーバイザ)が同期 Stateful Switchover(SSO)モードになります。VSS の両方のスイッチにアクティブ データ プレーンがあるので、アップグレード プロセス中のネットワーク可用性が向上します。

eFSU は、次の 4 段階のプロセスで実行されます。

ステップ 1. issu loadversion:VSS ペアのスタンバイ スーパーバイザに新しいソフトウェア イメージがロードされます。

ステップ 2. issu runversion:スタンバイ スーパーバイザ エンジンに新しいソフトウェアがロードされている間、アクティブ スーパーバイザ エンジンは前のソフトウェア バージョンで稼働しています。アップグレードの一環として、スタンバイ スーパーバイザは SSO ホット スタンバイ段階になり、スイッチオーバーが発生して、スタンバイ スーパーバイザがアクティブになり、新しいソフトウェア バージョンで稼働します。

ステップ 3. issu acceptversion を使用すれば、アップグレードが継続し、もう 1 つのプロセッサに新しいソフトウェアがロードされます。また、issu abortversion を使用すれば、アップグレードは中止され、古いソフトウェアで稼働が再開します。

ステップ 4. issu commitversion によって、スタンバイ スーパーバイザに新しいソフトウェア バージョンがロードされることで、eFSU プロセスが完了します。eFSU の詳細をご覧になるには、こちらをクリックしてください。

図 15 eFSU の各段階

図 15 eFSU の各段階


eFSU の機能によって、ラインカードのアップグレードと同様に Instant Access をアップグレードできるようになります。クライアントのソフトウェア イメージは Catalyst 6500/6800 のソフトウェア イメージとバンドルされます。新しい CLI が導入され、Instant Access クライアント スタック(FEX ID)の AHupgrade が可能となり、これによって eFSU プロセスの issu commitversion(ステップ 4)の前に Instant Access クライアントのソフトウェア バージョンをアップグレードできます。

issu runversion [fex[range] <num | all >] 

issu runversion fex によって Instant Access クライアントの新ソフトウェア バージョンへのアップグレードが開始されます。ユーザはローリング アップグレードの対象とする FEX ID の組み合わせ(または範囲)を指定して、Instant Access のリロードを実行できます。すべてのクライアントのアップグレード後に、ユーザは eFSU プロセスを中止して前のバージョンに戻ることも、issu commitversion を使用して eFRU を完了することもできます。図 16 を参照してください。

図 16 eFSU による Instant Access クライアントのアップグレード

図 16 eFSU による Instant Access クライアントのアップグレード


QoS(Quality of Service)


Instant Access ソリューションは、VSS ペアに、スタック(3 つの Instant Access クライアント)あたり最大 60 Gbps の Fex-Fabric アップリンク接続を提供し、サブスクリプション比は 2.4:1 です。

Instant Access のファブリック リンクは 4 つのキュー(1P3Q3T)をサポートしています。プライオリティ キューが 1 つ、標準キューが 3 つです。Instant Access ペアレントのラインカードは、ファブリック リンクで 8 つのキュー(1P7Q4T)をサポートしています(図 17)。

図 17 Instant Access のクライアントとペアレントの QoS キュー

図 17 Instant Access のクライアントとペアレントの QoS キュー


ファブリック リンクの QoS は、入力パケットの DSCP/CoS 値に厳密に従って実行されます。Instant Access のペアレントとクライアントは、DSCP とキューのデフォルト マップおよび CoS とキューのデフォルト マップを維持し、これらに基づいて Fex-Fabric インターフェイス上のパケットをプライオリティ キューまたは標準キューに適切に振り分けます。

図 18 に示すとおり、COS=5 にマーク付けされている IP はプライオリティ キュー 1 に送られ、COS=3 の IP は標準キュー 3 に送られます。Instant Access のペアレントとクライアントの間の通信が輻輳によって失われることがないように、Instant Access の制御トラフィックもプライオリティ キューを通じて送信されます。

図 18 Instant Access クライアントの QoS

図 18 Instant Access クライアントの QoS


IP パケットがファブリック リンクを通じて Instant Access ペアレントに着信すると、これらのパケットのマーク付け、再マーク付け、分類、またはポリシングが実行されます。

同様に、ファブリック ポートを通じた Instant Access ペアレントから Instant Access クライアントのホストポートへのダウンストリーム トラフィックも、DSCP/COS とキューのデフォルト マップに基づいて、適切なキューに送信されます。

統一的なセキュリティ


キャンパス ネットワークを構築する際には、重要な問題としてセキュリティを考慮する必要があります。Cisco Instant Access は Catalyst 6500/6800 の機能を継承し、Cisco TrustSec® に対応できます。

Cisco Catalyst Instant Access はエンタープライズ キャンパス ネットワーク全体に統一的なセキュリティ ポリシーを提供します。サポートする機能は次のとおりです。

  • セキュリティ グループ タギング(SGT)によるロールベース アクセス コントロール
  • セキュリティ グループ アクセス コントロール リスト(SGACL)
  • IP サブネット、VLAN、ポートベースの SGT マッピング
  • ネットワーク デバイス アドミッション コントロール(NDAC)
  • 802.1x、Web Auth および Mac 認証バイパス(MAB)の認証による識別

セキュリティ ポリシーはすべて IA ペアレントのみに適用され、アクセス レイヤでの設定は必要ありません。アクセス リストが適用されるのは、IA ペアレントだけです。IA クライアントのホスト ポートに着信したパケットは VNTAG でカプセル化され、IA ペアレントに送信されてから、VNTAG が解除され、アクセス リスト ポリシーが適用されます (図 19)。

図 19 入力アクセス リスト

図 19 入力アクセス リスト


同様に、IA ペアレントに着信し、IA クライアントのホスト ポートに向かうパケットは、IA への Fex-Fabric リンクを通じたスイッチングの前に、IA ペアレントでポリシーが適用されます (図 20)。

図 20 出力アクセス リスト

図 20 出力アクセス リスト


IA ペアレントは、セキュリティ グループ タグ(SGT)の適用ポイントとして、また セキュリティ グループ アクセス コントロール リスト(SGACL)の適用ポイントとしても機能します。Cisco ISE は IA ペアレントと通信し、ネットワーク管理者が Cisco ISE で設定したポリシーを適用します。また、IA ペアレントは、ネットワークに Cisco ISE がない場合にも、IP サブネット、VLAN、またはレイヤ 3 ポートに基づく SGT および SGACL ベースのポリシーをサポートします。

IA は、物理インフラストラクチャのセキュリティを保証するネットワーク デバイス認証(NDAC)をサポートしています。NDAC は IA ペアレントのみで実行され、IA クライアントには必要ありません。そのため、アクセス レイヤでの NDAC 認証のオーバーヘッドが軽減されます。

IA クライアントは、IA ペアレントへの Fex-Fabric リンクと IA クライアント リンクの MacSec にハードウェアで対応します。これは今後のリリースでサポートされます。

Instant Access は、802.1x、MAC 認証バイパス、Web-Auth ポート ベースのアイデンティティ サービスをサポートしています。IA ペアレントは、ネットワークへのアクセスを制御する Cisco ISE と通信します。これにより、ネットワーク全体のすべてのセキュリティ ポリシーの管理ポイントと設定ポイントが 1 つになります。

図 21 SGT および SGACL

図 21 SGT および SGACL


一元的なアプリケーション可視性


Cisco Catalyst Instant Access によって、ディストリビューション ブロック全体のアプリケーションの可視性と制御が一元化されます。Instant Access ペアレントの設定やエクスポートの対象が 1 つになるので、個々のアクセス スイッチからの複数のエクスポートや NetFlow Collector の複数のレコードによる複雑性が大きく緩和されます (図 22 を参照)。

図 22 NetFlow

図 22 NetFlow


多彩な機能をキャンパス全体で統一


表 1 は、Instant Access クライアントのホスト ポートの機能を簡単にまとめたものです。Instant Access と機能の詳細をご覧になるには、こちらをクリックしてください。

表 1 Instant Access の機能概要

カテゴリ Instant Access
インフラストラクチャ PoE、PoE+、マルチシャーシ EtherChannel、FlexStack
レイヤ 2 EtherChannel、PAgP、LLDP、(A)VPLS、GRE トンネリング、MPLS、MPLS-VPN
IPv6 IPv6 First Hop Security、マルチキャスト ルーティング、QoS、ステートレス自動設定
レイヤ 3 PBR、EVN、VRF-Lite、PIM SM、WCCPv2、VLAN 間ルーティング、ECMP、レイヤ 3 ルーティング プロトコル
セキュリティ 802.1x ゲスト VLAN、SGT、SGACL、IP ソース ガード、DHCP スヌーピング、VACL、RACL、PACL、FnF
QoS ポリシング、マーキング、レート制限、SRR
Medianet Mediatrace、パフォーマンス モニタリング


まとめ


Cisco Catalyst Instant Access は、ディストリビューション レイヤ全体の設定、管理、トラブルシューティング、アプリケーション可視化の対象を 1 つにまとめることで、エンタープライズ キャンパス ネットワークの導入を簡素化します。Instant Access を使用することで、キャンパス全体を統一的に機能させることができます。1 つのイメージでの管理、そしてアクセス レイヤのプラグ アンド プレイ プロビジョニングによって、導入や展開にかかる時間が大幅に短縮されます。

関連情報


詳細については、Cisco Catalyst Instant Access をご覧ください。