機能
スイッチには、次のいずれかのソフトウェア イメージがインストールされています。
• メトロ アクセス イメージは、IEEE 802.1Q トンネリング、レイヤ 2 プロトコル トンネリング、ダイナミック Address Resolution Protocol(ARP; アドレス解決プロトコル)検査、IP ソース ガードなどの追加機能を備えています。
• メトロ IP アクセス イメージは、Routing Information Protocol(RIP)、Open Shortest Path First(OSPF)プロトコル、Border Gateway Protocol(BGP)、および Enhanced Interior Gateway Routing Protocol(EIGRP)に対する IP ルーティングのサポート、Intermediate System-to-Intermediate System(IS-IS)ダイナミック ルーティング、Bidirectional Forwarding Detection (BFD; 双方向フォワーディング検出)プロトコル、Customer Edge(CE; カスタマー エッジ)デバイスの Multiple VPN Routing/Forwarding(マルチ VRF)インスタンス(マルチ VRF CE)、および IP マルチキャスト ルーティングの Protocol-Independent Multicast(PIM)の sparse(希薄)モード(SM)および dense(稠密)モード(DM)などのレイヤ 3 機能が追加されています。
(注) 特記されていないかぎり、この章およびこのマニュアルで説明されている機能はいずれも、すべてのイメージでサポートされています。
この章で特記されている機能の中には、スイッチ ソフトウェア イメージの暗号化(暗号化をサポートしている)バージョンでだけ使用可能なものもあります。こうした機能を使用するには、その使用権限を取得し、Cisco.com からソフトウェアの暗号化バージョンをダウンロードする必要があります。詳細については、このリリースのリリース ノートを参照してください。
Cisco ME スイッチには、Network Node Interface(NNI; ネットワーク ノード インターフェイス)および User Network Interface(UNI; ユーザ ネットワーク インターフェイス)という 2 つのタイプのインターフェイスがデフォルトで用意されています。NNI はサービス プロバイダー ネットワークへの接続に使用され、UNI は顧客ネットワークへの接続に使用されます。一部の機能は、このいずれかのポート タイプでだけサポートされます。また、Enhanced Network Interface(ENI; 拡張ネットワーク インターフェイス)を設定することもできます。ENI は通常、ユーザ ネットワーク側インターフェイスとして使用され、そのデフォルト設定および機能は UNI と同じです。ただし、設定により Cisco Discovery Protocol(CDP; シスコ検出プロトコル)、Spanning-Tree Protocol(STP; スパニング ツリー プロトコル)、Link Layer Discovery Protocol(LLDP; リンク レイヤ検出プロトコル)、および EtherChannel の Link Aggregation Control Protocol(LACP; リンク集約制御プロトコル)または Port Aggregation Protocol(PAgP; ポート集約プロトコル)用のプロトコル制御パケットをサポートできます。
• 「パフォーマンスの特長」
• 「管理オプション」
• 「管理機能」(ソフトウェアの暗号化バージョンを必要とする機能を含む)
• 「アベイラビリティ機能」
• 「VLAN 機能」
• 「セキュリティ機能」(スイッチ ソフトウェアの暗号化バージョンを必要とする機能を含む)
• 「QoS 機能および CoS 機能」
• 「レイヤ 2 VPN サービス」
• 「レイヤ 3 機能」(メトロ IP アクセス イメージが必要)
• 「レイヤ 3 VPN サービス」(メトロ IP アクセス イメージが必要)
• 「モニタリング機能」
パフォーマンスの特長
• すべてのスイッチ ポートにおけるポート速度の自動検知とデュプレックス モードの自動ネゴシエーションにより、帯域利用が最適化されます。
• 10/100 Mbps インターフェイスと 10/100/1000 Mbps インターフェイス、および 10/100/1000 BASE-T/TX Small Form-factor Pluggable(SFP)モジュール インターフェイス上の Automatic Medium-Dependent Interface crossover(Auto MDIX)機能によって、インターフェイスは必要なケーブル接続タイプ(ストレートまたはクロス)を自動的に検出し、接続を適切に設定できます。
• ルーテッド フレームの場合は最大 1998 バイト、ハードウェアでブリッジングされるフレームの場合は最大 9000 バイト、ソフトウェアでブリッジングされるフレームの場合は最大 2000 バイトのサポートを実現します。
• すべてのポートで IEEE 802.3x フロー制御(スイッチは、ポーズ フレームを送信しない)を行います。
• EtherChannel により、耐障害性を高め、スイッチ、ルータ、およびサーバ間に最大 8 Gbps(ギガビット EtherChannel)または 800 Mbps(ファスト EtherChannel)の全二重の帯域幅を確保します。
• PAgP および LACP により EtherChannel リンク(NNI または ENI に限りサポート)が自動的に作成されます。
• レイヤ 2 およびレイヤ 3 パケットをギガビット回線レートで転送します。
• ブロードキャスト ストーム、マルチキャスト ストーム、およびユニキャスト ストーム防止用のポート単位のストーム制御を行います。
• レイヤ 2 の不明なユニキャスト トラフィック、マルチキャスト トラフィック、およびブリッジド ブロードキャスト トラフィックの転送時にポート ブロッキングを行います。
• Internet Group Management Protocol(IGMP; インターネット グループ管理プロトコル)バージョン 1、2、および 3 の IGMP スヌーピングにより、マルチメディア トラフィックおよびマルチキャスト トラフィックを効率的に転送できます。
• IGMP レポート抑制により、マルチキャスト ルータのクエリーごとに 1 つの IGMP レポートがマルチキャスト デバイスに送信されます(IGMPv1 クエリーまたは IGMPv2 クエリーに限りサポート)。
• IGMP スヌーピング クエリアのサポートにより、IGMP 一般クエリー メッセージが定期的に生成されるようにスイッチを設定できます。
• IGMP ヘルパーにより、マルチキャスト ストリームへのホスト加入要求を、スイッチから特定の IP 宛先アドレスへ転送できます(メトロ IP アクセス イメージが必要)。
• Multicast VLAN Registration(MVR; マルチキャスト VLAN レジストレーション)により、マルチキャスト VLAN 内でマルチキャスト ストリームを継続的に送信し、かつ帯域幅およびセキュリティ上の理由から、それらのストリームを加入者 VLAN から分離できます。各スイッチ上では最大 512 のマルチキャスト エントリがサポートされています。
• MVR over trunk port(MVRoT)のサポートにより、トランク ポートを MVR 受信ポートとして設定できます。
• IGMP フィルタリングにより、スイッチ ポート上のホストが所属できるマルチキャスト グループ セットを管理できます。
• IGMP スロットリングにより、IGMP 転送テーブル内のエントリ数が上限に達した場合のアクションを設定できます。
• 設定可能な IGMP 脱退タイマーにより、ネットワークの脱退遅延を設定します。
• Switch Database Management(SDM; スイッチ データベース管理)テンプレートにより、ユーザが選択した機能を最大限サポートできるようなシステム リソースの割り当てを行えます。また、IPv6 アドレスのサポート用として、デュアル IPv4/IPv6 テンプレートが用意されています。
• RADIUS サーバのロード バランシングにより、アクセス要求や認証要求がサーバ グループ全体で均等に分散されます。
• MVR の拡張機能として、スイッチがダイナミック MVR モードの場合には最大 2000 の MVR グループを設定できるだけでなく、新たに追加されたコマンド(mvr ringmode flood)を使用することで、リング トポロジでの転送をメンバー ポートに制限できます。
管理オプション
• Command Line Interface(CLI; コマンドライン インターフェイス):Cisco IOS ソフトウェアでは、デスクトップ スイッチング機能および Multilayer Switching(MLS; マルチレイヤ スイッチング)機能がサポートされています。CLI には、スイッチのコンソール ポートに直接管理ステーションを接続するか、リモート管理ステーションから Telnet を使用してアクセスできます。CLI の詳細については、「CLI の使用方法」を参照してください。
• Cisco Configuration Engine:Cisco Configuration Engine は、スイッチ ソフトウェアに組み込まれた Cisco IOS CNS エージェントと連携するネットワーク管理デバイスです。スイッチ固有の設定変更を生成してスイッチに送信し、設定変更を実行して結果をロギングすることで、初期設定および設定更新を自動化できます。Cisco IOS エージェントの使用に関する詳細については、「Cisco IOS Configuration Engine の設定」を参照してください。
• Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル):SNMP 管理アプリケーションには、CiscoWorks2000 LAN Management Suite(LMS)や HP OpenView などがあります。HP OpenView や SunNet Manager などのプラットフォームが稼動している SNMP 対応管理ステーションを使用してスイッチを管理できます。スイッチは、広範囲の拡張 Management Information Base(MIB; 管理情報ベース)セットおよび 4 種類の (RMON; リモート モニタリング)グループをサポートしています。SNMP の詳細については、「SNMP の設定」を参照してください。
管理機能
(注) ここに列挙した暗号化 Secure Shell(SSH; セキュア シェル)機能は、スイッチ ソフトウェア イメージの暗号化バージョンでだけ使用できます。
• IP アドレス、デフォルト ゲートウェイ、ホスト名、Domain Name System(DNS; ドメイン ネーム システム)、Trivial File Transfer Protocol(TFTP; 簡易ファイル転送プロトコル)サーバ名などのスイッチ情報の設定に関して、Dynamic Host Configuration Protocol(DHCP)をサポートします。
• DHCP リレーにより、IP アドレス要求など DHCP クライアントからの User Datagram Protocol(UDP; ユーザ データグラム プロトコル)ブロードキャストが転送されます。
• DHCP サーバにより、IP アドレスおよびその他の DHCP オプションが IP ホストに自動で割り当てられます。
• DHCP ベースの自動設定およびイメージ アップデートにより、指定された設定および新しいイメージが多数のスイッチにダウンロードされます。
• DHCP サーバによるポート ベースのアドレス割り当てにより、スイッチ ポートには IP アドレスが事前に割り当てられます。
• DNS サーバへの有向ユニキャスト要求により、IP アドレスおよび対応ホスト名からスイッチを特定できるほか、TFTP サーバへの有向ユニキャスト要求により、ソフトウェア アップグレードを TFTP サーバから管理できます。
• ARP によって、IP アドレスおよび対応 MAC アドレスからスイッチを特定できます。
• ユニキャスト MAC アドレス フィルタリングにより、特定の送信元 MAC アドレスまたは宛先 MAC アドレスを持つパケットを廃棄できます。
• 設定可能な MAC アドレス スケーリングにより、VLAN 上での MAC アドレス学習をディセーブルにして、MAC アドレス テーブルのサイズを制限できます。
• CDP バージョン 1 および 2 により、ネットワーク トポロジを検出できるだけでなく、そのネットワーク上にあるスイッチやその他のシスコ製デバイスを相互にマッピングできます(NNI ではデフォルトでサポート、ENI ではイネーブル化可能、UNI ではサポートなし)。
• LLDP および LLDP Media Endpoint Discovery(LLDP-MED)により、サードパーティ製の IP 電話との相互運用性が実現されます(NNI または ENI でだけサポート)。
• LLDP-MED ロケーション TLV のサポートにより、スイッチからエンドポイント デバイスへロケーション情報が送信されます。
• Network Time Protocol(NTP; ネットワーク タイム プロトコル)により、外部ソースから全スイッチへ一貫したタイム スタンプが提供されます。
• Cisco IOS File System(IFS)により、スイッチが使用するすべてのファイル システムに対して共通のインターフェイスを使用できます。
• 帯域内管理アクセスにより、ネットワーク上の複数の CLI ベース セッションに対して、最大 16 の Telnet 接続を同時に行えます。
• 帯域内管理アクセスにより、ネットワーク上の複数の CLI ベース セッションに対して、最大 5 つの暗号化 SSH 接続を同時に行えます(スイッチ ソフトウェアの暗号化バージョンが必要)。
• SNMP バージョン 1、2c、3 の get 要求および set 要求を介した帯域内管理アクセスが可能です。
• スイッチのコンソール ポートから、直接接続された端末への帯域外管理アクセスや、シリアル接続またはモデムを経由したリモート ターミナルへの帯域外管理アクセスが可能です。
• イーサネット管理ポートから PC への帯域外管理アクセスが可能です。
• ユーザ定義のコマンド マクロにより、複数のスイッチ間の配置を単純化するカスタム スイッチ設定を作成できます。
• メトロ イーサネットの Operation, Administration, and Maintenance(OAM; 運用管理および保守)IEEE 802.1ag Connectivity Fault Management(CFM)、カスタマーエッジ スイッチおよびプロバイダーエッジ スイッチにおける Ethernet Line Management Interface(E-LMI)、IEEE 802.3ah イーサネット OAM ディスカバリ、リンク モニタリング、リモート障害検知、およびリモート ループバックをサポートしています。
• イーサネット ループバック機能のサポートにより、リモート デバイスへの接続をテストできます。無停止ループバック テストを行うための VLAN ループバックと、全パスの QoS(Quality Of Service)を双方向でテストするための端末ループバックがあります(メトロ IP アクセス イメージが必要)。
• コンフィギュレーションの置換およびロールバックにより、スイッチ上の実行コンフィギュレーションを、保存されている Cisco IOS コンフィギュレーション ファイルで置換できます。
• Source Specific Multicast(SSM)マッピングにより、マルチキャスト アプリケーションでは送信元のマッピングが可能になります。これにより、IGMPv2 クライアントは SSM を利用できるようになり、リスナーはマルチキャストの送信元にダイナミックに接続できるようになります。またアプリケーションへの依存度も軽減されます。
• Cisco IOS でサポートされている HTTP クライアントは、IPv4 HTTP サーバおよび IPv6 HTTP サーバのどちらに対しても要求を送信できます。また Cisco IOS でサポートされている HTTP サーバは、IPv4 HTTP クライアントおよび IPv6 HTTP クライアントのどちらから送信された HTTP 要求も処理できます(メトロ IP アクセス イメージが必要)。
• IPv6 では、ステートレス自動設定がサポートされています。これにより、リンク、サブネット、およびサイトのアドレス指定変更を管理できます。ホスト IP アドレスやモバイル IP アドレスの管理に有用です(メトロ IP アクセス イメージが必要)。
• CPU 利用率のしきい値トラップにより、CPU の利用率をモニタできます。
• DHCPDISCOVER パケットのOption 12 フィールドにホスト名を指定できます。これにより、DHCP プロトコルを使用して同一のコンフィギュレーション ファイルを送信できます。
• DHCP スヌーピングの機能拡張として、DHCP の Option 82 フィールドの回線 ID サブオプションに対して固定型ストリング ベース フォーマットを選択できるようになっています。
アベイラビリティ機能
• UniDirectional Link Detection(UDLD; 単方向リンク検出)およびアグレッシブ UDLD により、不適切な光ファイバ配線またはポート障害によって生じる光ファイバ インターフェイス上の単方向リンクを検出してディセーブル化できます。
• IEEE 802.1D Spanning Tree Protocol(STP; スパニング ツリー プロトコル)により、冗長バックボーン接続とループのないネットワークを実現できます(NNI ではデフォルトでサポート、ENI ではイネーブル化可能、UNI ではサポートなし)。STP には次の機能があります。
– 最大 128 のスパニング ツリー インスタンスをサポート
– Per-VLAN Spanning-Tree Plus(PVST+)による VLAN 間のロード バランシング
– Rapid Per-VLAN Spanning-Tree Plus(rapid-PVST+)による VLAN 間のロード バランシングとスパニング ツリー インスタンスの高速コンバージェンス
• NNI または ENI で動作する IEEE 802.1s Multiple Spanning-Tree Protocol(MSTP; マルチ スパニング ツリー プロトコル)により、複数の VLAN をスパニング ツリー インスタンスにグループ化できるほか、データ トラフィックとロード バランシングに使用するフォワーディング パスを複数構成できます。さらに、IEEE802.1w Rapid Spanning-Tree Protocol(RSTP; 高速スパニング ツリー プロトコル)をベースにした rapid PVST+ により、ルートおよび指定ポートの NNI またはスパニング ツリー対応の ENI を即座にフォワーディング ステートへ移行することでスパニング ツリーの高速コンバージェンスが可能です。
• スパニング ツリーがイネーブルになっている NNI および ENI では、Optional spanning-tree features available in PVST+ モード、rapid-PVST+ モード、および MSTP モードで、次のようなオプションのスパニング ツリー機能を使用できます。
– PortFast:スパニング ツリー ポートをブロッキング ステートからフォワーディング ステートに即時に移行することで転送遅延を解消
– Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)ガード:BPDU を受信する PortFast 対応のポートをシャット ダウン
– BPDU フィルタリング:PortFast 対応のポートで BPDU が送受信されるのを防止
– ルート ガード機能:ネットワーク コア外のスイッチがスパニング ツリー ルートとして使用されるのを防止
– ループ ガード: 単方向リンクを引き起こす障害によって代替ポートまたはルート ポートである NNI または ENI が指定ポートとして使用されるのを防止
• STP の代替手段として相互にバックアップする Flex Link レイヤ 2 インターフェイスと、プリエンプションされるスイッチオーバーおよび双方向高速コンバージェンスにより、ループのないネットワークでの基本的なリンク冗長性が確保されます。MAC アドレス テーブル移行更新機能とも呼ばれます。
• Flex Link マルチキャスト高速コンバージェンスにより、Flex Link に障害が発生したあとのマルチキャスト トラフィックのコンバージェンス時間が短縮されます。
• リンクステート トラッキングにより、接続されたホストおよびサーバからのアップストリーム トラフィックを伝送するポートのステートをミラーリングし、他の Cisco Ethernet スイッチ上の動作リンクにサーバ トラフィックをフェールオーバーできます。
• Resilient Ethernet Protocol(REP; レジリエント イーサネット プロトコル)により、スパニング ツリーを使用しないコンバージェンス時間の短縮とネットワーク ループ防止が可能です。
• REP のサポートに合せてカウンタおよびタイマーの機能が拡張されています。ネイバー ポートが REP に対応していない場合に REP エッジ ポートを使用できます。
• Hot Standby Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)により、レイヤ 3 ルータの冗長性が確保されます(メトロ IP アクセス イメージが必要)。
• 等価コスト ルーティングにより、リンク レベルおよびスイッチ レベルでの冗長性が確保されます(メトロ IP アクセス イメージが必要)。
• Shorter REP hello により、REP Link Status Layer(LSL; リンク ステータス レイヤ)の経過時間タイマーの範囲が 3000 ~ 10000 ミリ秒(500 ミリ秒間隔)から 120 ~ 10000 ミリ秒(40 ミリ秒間隔)に変更されています。
VLAN 機能
• 最大 1005 の VLAN がサポートされているため、ユーザを適切なネットワーク リソース、トラフィック パターン、および帯域に対応付けられた VLAN に割り当てることが可能です。
• IEEE 802.1Q 標準によって許可された 1 ~ 4094 の範囲の VLAN ID が完全にサポートされています。
• VLAN Query Protocol(VQP; VLAN クエリー プロトコル)により、ダイナミック VLAN メンバーシップがサポートされています。
• 全ポートでの IEEE 802.1Q トランキング カプセル化により、ネットワークの移動、追加、および変更、ブロードキャストおよびマルチキャスト トラフィックの管理と制御、高度なセキュリティを要するユーザやネットワーク リソースに対して VLAN グループを作成することによるネットワーク セキュリティが実現されています。
• VLAN 1 の最小化によって、VLAN 1 を個々の VLAN トランク リンクでディセーブル化できます。これにより、スパニング ツリー ループまたはストームのリスクが軽減されます。この機能をイネーブルにすると、ユーザ トラフィックはトランク上では送受信されません。スイッチ CPU は、これまでどおり制御プロトコル フレームを送受信します。
• UNI-ENI 独立 VLAN により、カスタマー VLAN を、同一スイッチ上の他のカスタマー VLAN から分離できます。同一の UNI-ENI 独立 VLAN に属するスイッチでは、UNI または ENI 間のローカル スイッチングが実行されません。
• プライベート VLAN により、VLAN のスケーラビリティの問題に対処できるほか、IP アドレスの割り当てをより細かく制御したり、レイヤ 2 ポートを他のスイッチ上のポートから分離したりできます。
• PVLAN ホストのポート セキュリティにより、ポートで学習される MAC アドレスの数を制限できるほか、ポートで学習できる MAC アドレスを定義できます。
• VLAN Flex Link ロード バランシングにより、STP を使用することなく、レイヤ 2 の冗長性を確保できます。プライマリ リンクおよびバックアップ リンクとして設定されるインターフェイスのペアにより、VLAN に基づいてトラフィックの負荷を分散できます。
• カスタマー ネットワークに接続されたトランク ポート上での VLAN マッピング(または VLAN ID 変換) により、Customer VLAN(C-VLAN; カスタマー VLAN)を Service Provider VLAN(S-VLAN; サービス プロバイダー VLAN)にマッピングできます。
セキュリティ機能
スイッチは、加入者、スイッチ、およびネットワークに対するセキュリティ機能を備えています。
加入者に対するセキュリティ
• デフォルトでは、各加入者の独立性を確保するため、加入者ポート間のローカル スイッチングはディセーブルに設定されています。
• DHCP スヌーピングにより、信頼できないホストと DHCP サーバの間で、信頼できない DHCP メッセージのフィルタリング処理を行えます。
• DHCP スヌーピング統計情報の show コマンドにより、DHCP スヌーピング統計情報をサマリー形式または詳細形式で表示できます。また clear コマンドにより、DHCP スヌーピング統計情報を削除できます。
• IP ソース ガードにより、DHCP スヌーピング データベースおよび IP 送信元バインディングに基づいて、ルーティングされないインターフェイス上でトラフィックを制限できます。
• ダイナミック ARP 検査により、無効な ARP 要求や応答を同じ VLAN 内の他のポートにリレーしないことで、スイッチに対する悪意のある攻撃を防御できます。
スイッチ セキュリティ
(注) ここに示した Kerberos 機能は、スイッチ ソフトウェア イメージの暗号化バージョンでだけ使用できます。
• パスワードによって保護された管理インターフェイスへのアクセス(読み取り専用および読み取り/書き込み)により、不正な設定変更を防止できます。
• 認証および許可されたユーザに限ってコンフィギュレーション ファイルにアクセスできるようにしたコンフィギュレーション ファイル セキュリティ機能によって、ユーザがパスワード回復プロセスを使用してコンフィギュレーション ファイルにアクセスするのを防止できます。
• マルチレベルのセキュリティにより、セキュリティ レベル、通知、および対応動作を選択できます。
• ポート セキュリティ オプションにより、ポートへのアクセスを許可するステーションの MAC アドレスを制限したり識別したりできます。
• ポート セキュリティ エージングにより、ポート上のセキュア アドレスに対してエージング タイムを設定できます。
• LLDP および LLDP-Media Extensions(LLDP-MED; LLDP メディア拡張)により、マルチベンダー ネットワークでの相互運用性に対して IEEE 802.1AB リンク レイヤ検出プロトコルがサポートされます。スイッチは、速度、デュプレックス、および電力の設定を IP 電話などのエンド デバイスと交換します。
• UNI および ENI のデフォルト ポート ステートはディセーブルです。
• 自動コントロール プレーン保護機能により、UNI または ENI 上のレイヤ 2 制御トラフィックによって偶発的または意図的に生じる過負荷から CPU が保護されます。
• サービス プロバイダーの柔軟な対応を可能にする設定可能コントロール プレーン セキュリティ機能により、カスタマーのコントロール プレーン トラフィックをポート単位およびプロトコル単位で廃棄できます。CDP、STP、LLDP、LACP、または PAgP に対して ENI プロトコル制御パケットを設定できます。
• Terminal Access Controller Access Control System Plus(TACACS+)は、TACACS サーバを介してネットワーク セキュリティを管理するシスコ独自の機能です。
• Remote Authentication Dial-In User Service(RADIUS)により、Authentication, Authorization, and Accounting(AAA; 認証、許可、アカウンティング)サービスを使用して、リモート ユーザの ID の検証、アクセスの許可、およびアクションの追跡を実行できます。
• Kerberos セキュリティ システムにより、信頼できる第三者を通じてネットワーク リソースの要求を認証できます(スイッチ ソフトウェアの暗号化バージョンが必要)。
ネットワーク セキュリティ
• スタティック MAC アドレス指定を使用することで、セキュリティを確保できます。
• 標準および拡張 IP Access Control List(ACL; アクセス制御リスト)により、ルーテッド インターフェイス(ルータ ACL)と VLAN の両方向およびレイヤ 2 インターフェイス(ポート ACL)の受信方向に関するセキュリティ ポリシーを定義できます。
• インターフェイスに適用される IPv6 ACL により、IPv6 トラフィックのフィルタリングを行えます。
• 拡張 MAC ACL により、レイヤ 2 インターフェイスの受信方向に関するセキュリティ ポリシーを定義できます。
• VLAN ACL(VLAN マップ)により、MAC ヘッダー、IP ヘッダー、および TCP/UDP ヘッダー内の情報を基にしたトラフィックのフィルタリングを行い、VLAN 内のセキュリティを確保できます。
• 送信元および宛先 MAC ベースの ACL により、非 IP トラフィックのフィルタリングを行えます。
• IEEE 802.1X ポートベースの認証により、不正なデバイス(クライアント)がネットワークにアクセスするのを防止できます。次の機能がサポートされています。
– VLAN 割り当て:IEEE 802.1X 認証ユーザを特定の VLAN に制限できます。
– ポート セキュリティ:IEEE 802.1X ポートへのアクセスを制御できます。
– IEEE 802.1X アカウンティング:ネットワークの使用状況を追跡できます。
– 802.1x 準備状態チェック:スイッチ上で 802.1x の設定を行う前に、接続されているエンド ホストの準備状態を判定できます。
– 802.1x スイッチ サプリカントによる Network Edge Access Topology(NEAT; ネットワーク エッジ アクセス トポロジ)、Client Information Signalling Protocol(CISP; クライアント情報シグナリング プロトコル)によるホスト許可、および自動イネーブル化:ワイヤリング クローゼット外部のスイッチを、他のスイッチに対するサプリカントとして認証できます。
• スタティック ホスト上では、IP ソース ガードがサポートされています。
• IEEE 802.1x ユーザ分散により、複数の VLAN でユーザのロードバランシングを行えます。これにより、複数の VLAN が配置されたネットワークのスケーラビリティを向上させることが可能です。認可されたユーザは、RADIUS サーバにより割り当てられたグループ内でメンバーが最も少ない VLAN に割り当てられます。
• SNMP バージョン 3(SNMPv3)で Triple Data Encryption Standard(3DES; トリプル DES)および Advanced Encryption Standard(AES; 高度暗号化規格)がサポートされています。このリリースでは、SNMPv3 に対する暗号化アルゴリズムとして、168 ビットの 3DES および 128 ビット、192 ビット、および 256 ビットの AES が新たにサポートされています。
• IPv6 MLD スヌーピング、IPv6 eBGP、IPv6 SNMP、syslog、HTTP を含め、IPv6 が追加サポートされています。
QoS 機能および CoS 機能
• 設定可能コントロール プレーン キュー割り当てにより、CPU で生成されたトラフィックのコントロール プレーン トラフィックを、特定の出力キューに割り当てることが可能です。
• Cisco Modular Quality of Service Command Line Interface(MQC; モジュラ QoS コマンドライン インターフェイス)が実装されています。
• IP precedence、Differential Service Code(DSCP)、および IEEE 802.1p Class of Service(CoS; サービス クラス)パケット フィールドに基づく分類、ACL 検索、または出力分類への QoS ラベルの割り当てが可能です。
• ポリシング
– 平均レートおよびバースト レートに基づく 1 レート ポリシング:1 つのポリサーが対象
– 2 カラー ポリシング:レートに適合するパケットまたはレートを超過するパケットにより異なる動作を許可
– 集約ポリシング:複数のトラフィック クラスで共有されるポリサーが対象
– 入力 2 レート、3 カラー ポリシング:個別のポリサーまたは集約ポリサーが対象
• 輻輳回避メカニズムである Weighted Tail Drop(WTD; 重み付きテール ドロップ)により、キューの長さを管理し、異なるトラフィック分類ごとに廃棄優先順位を決定できます。
• テーブル マップにより、DSCP、CoS、IP precedence の各値をマッピングできます。
• キューイングおよびスケジューリング。
– Shaped Round Robin(SRR; シェイプド ラウンド ロビン)トラフィック シェーピングにより、すべてのキューのパケットを混在させて、トラフィック バーストを最小化できます。
– クラスベース トラフィック シェーピングにより、トラフィック クラスの最大許容平均レートを指定できます。
– ポート シェーピングにより、ポートの最大許容平均レートを指定できます。
– Class-based Weight Queuing(CBWFQ; クラス ベース均等化キューイング)により、トラフィック クラスに合せて帯域幅を制御できます。
– WTD により、指定されたトラフィック クラスのキュー サイズを調整できます。
– 低遅延プライオリティ キューイングにより、特定のトラフィックへの優先処理を許可できます。
• ポート単位、VLAN 単位 QoS により、所定のインターフェイスのユーザ指定 VLAN で伝送されるトラフィックを制御できます。IOS ソフトウェア リリース 12.2(25)SEG 以降では、VLAN 単位の分類に階層型ポリシーマップを使用して、トランク ポートにポート単位、VLAN 単位の階層型ポリシー マップを適用できます。
• CPU 保護をディセーブルにするオプションにより、使用できる QoS ポリシング機能が、1 ポートにつき 45 から 64 (4 ポートごとに 63)に増加しました。
レイヤ 2 VPN サービス
• IEEE 802.1Q トンネリングにより、サービス プロバイダーはカスタマーに複数のポイント レイヤ 2 VPN サービスを提供できます。
• レイヤ 2 プロトコル トンネリングにより、カスタマーは BPDU、CDP、VLAN Trunking Protocol(VTP; VLAN トランキング プロトコル)、PAgP、LACP、および UDLD などのプロトコルを制御して、サービス プロバイダー ネットワーク間でトンネリングを行えます。
• カスタマー ネットワークに接続されたトランク ポート上での VLAN マッピング(または VLAN ID 変換) により、Customer VLAN(C-VLAN; カスタマー VLAN)を Service Provider VLAN(S-VLAN; サービス プロバイダー VLAN)にマッピングできます。
レイヤ 3 機能
(注) レイヤ 3 機能は、スイッチでメトロ IP アクセス イメージが稼動している場合に限り使用できます。
• HSRP バージョン 1(HSRPv1)および HSRP バージョン 2(HSRPv2)により、レイヤ 3 ルータの冗長性が確保されます。
• 次の IP ルーティング プロトコルにより、ロード バランシングとスケーラブルなルーテッド バックボーンを構築できます。
– RIP バージョン 1 および 2
– OSPF
– EIGRP
– BGP バージョン 4
– IS-IS ダイナミック ルーティング
– BFD プロトコル:OSPF、IS-IS、BGP、EIGRP、または HSRP の各ルーティング プロトコルのフォワーディング パス障害を検出できます。
• 2 つ以上の VLAN 間における完全レイヤ 3 ルーティングに対応した IP ルーティング(VLAN 間ルーティング)により、各 VLAN は独自の自律データリンク ドメインを維持できます。
• Policy-Based Routing(PBR; ポリシー ベース ルーティング)により、トラフィック フローに定義済みポリシーを設定できます。
• スタティック IP ルーティングにより、ネットワーク パス情報のルーティング テーブルを手動で作成できます。
• 等価コスト ルーティングにより、ロード バランシングおよび冗長構成が可能です。
• Internet Control Message Protocol(ICMP; インターネット制御メッセージ プロトコル)および ICMP Router Discovery Protocol(IRDP)により、ルータのアドバタイズメントおよびルータ請求メッセージを使用して、直接接続されたサブネット上にあるルータのアドレスを検出できます。
• PIM により、ネットワーク内でのマルチキャスト ルーティングが可能です。これにより、ネットワーク内のデバイスは要求されたマルチキャスト フィードを受信できるほか、マルチキャストに参加しないスイッチをプルーニングできます。PIM-SM モード、PIM-DM モード、および PIM sparse-dense モードもサポートされています。
• SSM PIM プロトコルのサポート:ビデオなどのマルチキャスト アプリケーションを最適化できます。
• Multicast Source Discovery Protocol(MSDP)により、複数の PIM-SM ドメインを接続できます。
• DHCP リレーにより、IP アドレス要求など DHCP クライアントからの UDP ブロードキャストを転送できます。
• DHCP for IPv6 のリレー、クライアント、サーバ アドレス割り当て、およびプレフィクス委任がサポートされています。
• IPv6 ユニキャスト ルーティング機能により、スタティック ルーティング、RIP、または OSPF を使用し、設定済みインターフェイスを介して IPv6 トラフィックを転送できます。
• IPv6 Default Router Preference(DRP; デフォルト ルータ プリファレンス)により、ホストが適切なルータを選択するための機能が向上しています。
• IPv6 トランスポートを利用する EIGRP IPv6 のサポートにより、IPv6 ピアとの通信および IPv6 ルートのアドバタイズが可能です。
レイヤ 3 VPN サービス
ここで説明する機能は、スイッチでメトロ IP アクセス イメージが稼動している場合にだけ使用できます。
• マルチ VRF CE により、サービス プロバイダーは、複数の VPN をサポートし、VPN 間で 重複した IP アドレスを使用できます。
• マルチ VRF Lite により、ネットワーク バーチャライゼーション用のプライベート ルーティング ドメインや、バーチャル プライベート マルチキャスト ネットワークを構成できます。
• VRF と EIGRP には互換性があります。
モニタリング機能
• スイッチ LED により、ポート レベルおよびスイッチ レベルのステータスを確認できます。
• 設定可能外部アラーム入力により、アラームの場合と同様、取り外された電源や故障した電源、入力のない電源を特定できます。
• MAC アドレス通知トラップおよび RADIUS アカウンティングにより、スイッチが学習または削除した MAC アドレスを保存して、ネットワークのユーザを追跡できます。
• Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)および Remote SPAN(RSPAN; リモート SPAN)により、任意のポートまたは VLAN のトラフィックをモニタリングできます。
• Intrusion Detection System(IDS; 侵入検知システム)における SPAN および RSPAN のサポートにより、ネットワーク セキュリティ違反のモニタリング、対処、および報告を行えます。
• 組み込み RMON エージェントの 4 つのグループ(履歴、統計、アラーム、イベント)により、ネットワークのモニタリングとトラフィックの分析が可能です。
• Syslog 機能により、認証エラーまたは許可エラー、リソースの問題、およびタイムアウト イベントに関してシステム メッセージをロギングできます。
• レイヤ 2 traceroute により、パケットが送信元デバイスから宛先デバイスへ送られる物理パスを特定できます。
• Time Domain Reflector(TDR; タイム ドメイン反射率計)により、銅線イーサネット 10/100 ポートにおけるケーブル配線の問題の診断と解決を行います。
• SFP モジュール診断管理インターフェイスにより、SFP モジュールの物理ステータスおよび動作ステータスをモニタリングできます。
• オンライン診断により、稼動中のネットワークにスイッチを接続したまま、そのスイッチのハードウェア機能をテストできます。
• On-Board Failure Logging(OBFL; オンボード障害ロギング)により、スイッチおよびそれに接続されている電源についての情報を収集できます。
• HSRP クライアントの拡張オブジェクト トラッキング(メトロ IP アクセス イメージが必要)。
• IP Service Level Agreement(IP SLA; IP サービス レベル契約)のサポート:アクティブなトラフィック モニタリングによりネットワーク パフォーマンスを測定できます。
• IP SLA EOT により、遅延、ジッタ、パケット損失などのアクションによってトリガされる IP SLA トラッキング動作からの出力に基づいて、フェールオーバーによるスタンバイ ルータへの引き継ぎが行われます。
• EOT および IP SLA EOT スタティック ルートのサポートにより、事前設定されたスタティック ルートまたは DHCP ルートがダウンした場合に、それを検出できます。
• メトロ イーサネット対応の IP SLA により、IEEE 802.1ag イーサネット OAM 機能を使用して、メトロ イーサネット ネットワークにおける接続性、ジッタ、および遅延の検証を行えます。
• Embedded Event Manager(EEM)により、主要なシステム イベントのモニタリングとポリシーに基づいたイベント処理を行うことで、デバイスおよびシステムを管理できます。
• EEM 3.2 のサポートにより、近隣探索、ID、および MAC アドレス テーブルに関するイベントの検出が可能です。
• TWAMP 基準のサポートにより、このプロトコルをサポートする 2 つのデバイス間でラウンドトリップ ネットワーク パフォーマンスを測定できます。