ホワイトペーパーSupervisor Engine 2T 搭載 Cisco Catalyst 6500 シリーズ: Cisco TrustSec の有効化による投資保護の実現このドキュメントの内容このホワイト ペーパーでは、Cisco TrustSec® ネットワークを有効化した Supervisor Engine 2T 搭載の Cisco® Catalyst® 6500 シリーズ向けに設計された 2 つの動作モードについて説明します。この 2 つの動作モードにより、異なる世代のラインカードを混在させて使用するワイヤリング クローゼットおよびアグリゲーション レイヤ展開に対する投資の保護を実現できます。 このホワイト ペーパーでは、Cisco TrustSec ソリューションについての基礎的な知識があることを前提としています。Cisco TrustSec についての詳細は、Web サイト http://www.cisco.com/web/JP/index.html を参照してください。 概要Cisco TrustSec は、ポリシーベースのアクセス制御、ID 認識型のネットワーキング、およびデータ整合性と機密性のサービスにより、ネットワークおよびネットワーク リソースへのセキュアなアクセスを可能にします。また、Cisco TrustSec により、コンプライアンスの改善、セキュリティの強化、および運用効率の向上を実現することができます。ネットワークが拡張され、デバイス、アプリケーション、ユーザが追加されても、Cisco TrustSec ソリューションは、信頼性、一貫性、効率性を備えた ID ベースのビジネス サービスとアプリケーションをいつでも、どこでも、誰にでも提供します。シスコとパートナーは、ポリシーの見直し、分析、および設計の専門知識によって、Cisco TrustSec ソリューションをネットワークに展開する準備をするためのスマートでパーソナライズされたプロフェッショナル サービスを提供します。これらのサービスは、最先端のプラクティスを活用しながら、より迅速かつコスト効率に優れた方法で完全な認証およびアクセスのソリューションを展開するよう支援すると同時に、継続的な運用効率に関する知識を提供します。 Supervisor Engine 2T および 6900 シリーズ ラインカード搭載の Cisco Catalyst 6500 は、Cisco TrustSec ネットワークの実装をフル サポートするハードウェアとソフトウェアです。表 1 に、Supervisor Engine 2T および 6900 シリーズ ラインカード搭載の Cisco Catalyst 6500 で最初から利用可能な主な Cisco TrustSec 関連の機能を示します。 表 1 Supervisor Engine 2T および 6900 シリーズ ラインカードで利用可能な機能
Cisco Catalyst 6500 に Supervisor Engine 2T および 6900 シリーズ ラインカードを構成すると、Cisco TrustSec サービスの提供に関する制限とは無関係に、システムをフルに利用できます。Cisco TrustSec を有効化したシステムの フォワーディング パフォーマンスは、Security Group Tag(SGT; セキュリティ グループ タグ)付けの有無にかかわらず Cisco TrustSec が構成されていないシステムと一致しています。 Supervisor Engine 2T および Cisco TrustSec とのラインカードの互換性従来、Cisco Catalyst 6500 は、ワイヤリング クローゼット、WAN エッジ、データ センター、および中規模から大規模の企業のディストリビューション、コアおよびコアの環境を含む、企業ネットワークにおいてエンドツーエンドで展開されてきました。 Supervisor Engine 2T を使用した Cisco TrustSec ネットワークに移行しても、既存の Cisco Catalyst 6500 スイッチおよびラインカードを引き続き使用したいというお客様の要望が多数ありました。このため、シスコでは Cisco TrustSec ネットワークでの展開時に特定の既存のラインカードと互換性を持つよう、Supervisor Engine 2T を開発しました。 ワイヤ速度での SGT および IEEE 802.1AE MACsec のリンク暗号化などの新しい Cisco TrustSec 機能をサポートするため、新しい Supervisor Engine 2T と 6900 シリーズ ラインカードには専用の Application Specific Integrated Circuit(ASIC; 特定用途向け集積回路)が使用されています。また、この機能では内部のフォワーディング決定プロセスの変更も必要となります。このため、既存のラインカードとの互換性を実現するには、既存または旧世代のラインカードとの互換性を保持するために設計された 2 つの新しい動作モードを使用する必要があります。Cisco TrustSec ネットワークの展開において Cisco Catalyst 6500 がどのように投資保護を実現するかの詳細のを説明する前に、ラインカードおよび各ラインカードにおける異なるレベルの Cisco TrustSec サポートの定義から見て行きましょう。 イーサネット LAN ラインカードについて、Supervisor Engine 2T は次をサポートしています。
表 2 は、Supervisor Engine 2T と Cisco TrustSec をサポートする Cisco Catalyst 6500 ラインカードについて説明しています。 表 2 Cisco Catalyst 6500 ラインカードの Cisco TrustSec のサポートレベル
Ingress Reflector モードIngress Reflector モードは、Cisco TrustSec を使用できないラインカードと Cisco TrustSec を有効化した Supervisor Engine 2T アップリンクとの間の互換性を提供します。目的は、ワイヤリング クローゼットまたはアクセス レイヤの実装を行うためです。Ingress Reflector モードでは集中型フォワーディングのみがサポートされているため、パケット フォワーディング(ルックアップ決定)はすべて Supervisor Engine 2T PFC 上で発生することになります。6148 シリーズ、または 6748-GE-TX ラインカードなどファブリック対応の CFC ラインカードのみがサポートされています。Ingress Reflector モードを有効化した場合、DFC を備えたラインカードまたは 10 ギガビット イーサネット ラインカードはサポートされません。サポートされていないラインカードは、Ingress Reflector モードが構成された状態では電源を投入しても起動しません (図 1 を参照)。 Ingress Reflector モードは、グローバル コンフィギュレーション コマンドを使用して有効化され、システムのリロードを必要とします。 図 2 に、必要な CLI を示します。システムのリロードを実行する前に、必ず実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存してください。 前述のように、Ingress Reflector モードはクラシック バス1 および CEF 720 アーキテクチャ2 に構築されたラインカードとの互換性を提供することを目的としています。この場合の課題は、これらのラインカードには、ソース SGT と共に提供されるフォワーディング結果を解釈できるハードウェアが搭載されていないことです。このため、Ingress Reflector モードを有効化すると、システムは Supervisor Engine 2T PFC に組み込まれたパケット レプリケーション ASIC を使用して、追加のフォワーディング ルックアップ サイクルのパケットを反映(複製)します。2 番目のフォワーディング結果は、結果を SGT 情報と併せて処理することが可能なレプリケーション ASIC レプリケーションによって処理されます。 Ingress Reflector モードでの動作最も数多く設置されているアクセス レイヤ ラインカードとの互換性を提供することが主な利点ですが、Ingress Reflector モードを使用するときに生じるパフォーマンスと制限について理解することも重要です。Ingress Reflector モードがどのように機能するかをよりよく理解するために図 3 にハイレベル パケット ウォークの例を示します。 この例では、パケットはステップ 1 でラインカード ポートを使用してシステムに進入し、ラインカード ポート ASIC が内部システム ヘッダーをパケット全体に付加し、パケットを転送するためにパケットを共有システム バスに入れます。この場合、PFC がスーパーバイザ エンジン上のレプリケーション ASIC にパケットを振り分けるフォワーディング決定を実行します。次にレプリケーション ASIC は PFC にパケット ヘッダーを送信することによって、2 番目のフォワーディング決定を初期化します。これは、この特定のフレームの PFC フォワーディング プロセスの 2 番目のサイクルであることに注意してください。このフォワーディング決定により、SGT タグ情報と、必要な関連パケット上書き情報が生成されます。この場合、レプリケーション ASIC は、SGT タグ情報を含むルックアップ決定を処理でき、スーパーバイザ エンジン アップリンクを使用してパケットを転送します。さらに、トラフィック統計は PFC の最初のパスでは更新されず、PFC の 2 番目および最後のパスでのみ更新されることにも注意してください。 フォワーディング決定サイクルを追加すると、システム全体のパフォーマンスが低下しますが、フォワーディング プロセスはフルにハードウェア アクセラレーションされた状態になります。6148 シリーズ ラインカードを使用したシステムの場合、集約フォワーディングのパフォーマンスは約 7.5 Mpps です。6700 シリーズなどのすべてのファブリックで有効化されたラインカードを使用したシステムの場合、パフォーマンスは約 24 Mpps です。 表 3 に、さまざまな方向の可能性および関連する最大フォワーディング パフォーマンスの概要を示します。 表 3 Ingress Reflector モードのパフォーマンス
Ingress Reflector モードの概要:
Egress Reflector モードEgress Reflector モードは、システムレベルの動作モードで、Cisco TrustSec が既存ラインカードとの下位互換性を提供した状態で、Supervisor Engine 2T および 6900 シリーズ ラインカードで有効化されるようにします。目的は、ディストリビューション レイヤなどにあるネットワークのアグリゲーション ポイントのためです。Egress Reflector モードにより、お客様はスーパーバイザ エンジン モジュールおよび DFC をアップグレードし、既存のラインカードを引き続き使用することができます (図 4 を参照)。 Egress Reflector モードでの動作Egress Reflector モードは、2 番目のパケット フォワーディング決定を開始する組み込みパケット レプリケーション ASIC のフォワーディング エンジンを使用して、レガシー ラインカードとの互換性を提供します。2 番目のフォワーディング決定は、Cisco TrustSec SGT 情報を取得するために使用されます。 Egress Reflector モードは、グローバル コンフィギュレーション コマンドを使用して有効化され、システムのリロードを必要とします。 図 5 に、必要な CLI を示します。システムのリロードを実行する前に、必ず実行コンフィギュレーションをスタートアップ コンフィギュレーションに保存してください。 Egress Reflector モードが機能する方法をよりよく理解するため、Cisco TrustSec を使用できないラインカード と Supervisor Engine 2T アップリンク ポートの間でのパケット フォワーディング プロセスの概要を 図 5 に示します。この例では出力インターフェイスが Supervisor Engine 2T のインターフェイスと示されていますが、出力インターフェイスは 6900 シリーズ ラインカードの任意のルーテッド インターフェイスになる場合もあります。出力インターフェイスが 6900 シリーズ ラインカード上にある場合、フレームの反映には、スーパーバイザ エンジン PFC ではなく、カード上のレプリケーション ASIC が使用されます。 最初のステップで、パケットは 6700 シリーズ ラインカードのポートからスイッチに進入します。ラインカードはローカル ポートとファブリック ASIC を使用して、標準的なレイヤ 2 およびレイヤ 3 のフォワーディング プロセスを実行します。出力レプリケーション モードが設定されているため、結果の PFC フォワーディング ルックアップ決定はスーパーバイザ エンジン PFC 上のレプリケーション ASIC の宛先インデックスを示します。ラインカード ファブリックは、クロスバー スイッチ ファブリック インターフェイス を使用してフレーム全体を PFC レプリケーション ASIC に送信します。PFC レプリケーションは、フレームを反映(複製)し、2 番目のフォワーディング ルックアップ決定を開始します。2 番目のルックアップ決定の結果は、SGT 情報およびパケット上書き情報を含みます。次に、PFC レプリケーション エンジンは、適切な SGT でスーパーバイザ エンジン アップリンク ポートに全体のフレームを転送します。さらに、トラフィック統計は PFC の最初のパスでは更新されず、PFC の2 番目および最後のパスでのみ更新されることにも注意してください (図 6 を参照)。 Egress Reflector モードの主な利点は、旧世代のラインカードとの互換性を提供することです。SGT 伝播がレイヤ 3 ルーテッド ポートでのみ有効にすることができるという要件などの、若干の制限があります。Cisco TrustSec はラインカードを認識し、Cisco TrustSec を使用できないラインカードは、レイヤ 2 またはレイヤ 3 を使用して、システムでダウンリンクとしてサポートされます。ダウンリンク インターフェイスは、たとえば、ネットワーク デバイス アドミッション制御の実装に構成されている場合、ソフトウェアベースの Cisco TrustSec 構成で引き続き使用されます。 表 4 に、さまざまな方向の可能性および関連する最大フォワーディング パフォーマンスの概要を示します。 表 4 Egress Reflector モードのパフォーマンス
Egress Reflector モードには次の制限が適用されます。
まとめCisco Catalyst 6500 は Supervisor Engine 2T および 6900 シリーズ ラインカードのリリースとともに進化を続けていきます。Cisco Catalyst 6500 には大規模なインストール ベースおよび多彩な展開オプションがあるため、Cisco Catalyst 6500 が Cisco TrustSec のフル スイートをサポートすることが特に重要です。Cisco Catalyst 6500 が Cisco TrustSec をサポートすることで、真のエンドツーエンドの展開が可能になります。 ポリシーの見直し、分析および専門知識を提供するシスコとパートナーのスマートでパーソナライズされたプロフェッショナル サービスを利用して、ネットワークに Cisco TrustSec ソリューションを展開する準備をしてください。これらのサービスは、最先端のプラクティスを活用しながら、より迅速かつコスト効率に優れた方法で完全な認証およびアクセスのソリューションを展開するよう支援すると同時に、継続的な運用効率に関する知識を提供します。 そして、Supervisor Engine 2T および 6900 シリーズ ラインカードを使用した Cisco Catalyst 6500 システムを選択したお客様は、Cisco TrustSec のフル スイートの機能および利点を活用することができます。また、このホワイト ペーパーで説明した Ingress Reflector モードおよび Egress Reflector モードを利用することにより、既存のラインカードのインストール ベースを Cisco TrustSec ネットワークで使用することも選べます。したがって、お客様はニーズに応じて、Cisco TrustSec ネットワークに移行していただくことが可能になります。
1 クラシック バス ラインカードは、32 Gbps 共有バス スイッチ ファブリックを使用するラインカードです。6148 シリーズ ラインカードは、Supervisor Engine 2T でサポートされている唯一のクラシック バス シリーズ ラインカードです。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
![]() |