Cisco機器についての紹介です。
参照サイト
EBguide(PDF)
以下の4つのカテゴリに大別される。
エントリレベルのパッケージ。
●IP Base
●Enterprise Base
MPLS、IP Telephony、VoIP、VoFR、AIMなどの追加。
●SP Services
●Enterprise Services
VPN、CiscoIOSファイアウォール、CiscoIOS IPS、IDS/IPSなどの追加。
●Advanced Security
●Advanced IP Services
IBMサービス、IPX、Appletalkといったマルチプロトコルサポートの追加。
●Enterprise Base
●Enterprise Services
※feature:機能
ルーティングプロトコルやファストホップ
ルーティングプロトコル(GLBP/HSRP/VRRP)などのIPを制御する基本機能が
有る。上位のフィーチャセットには全て含まれている。
IP Baseに音声機能(IP Telephony、VoIP、
VoFR(Voice over Frame Relay))が統合されている。
IP VoiceをベースにSSH/SSL、NetFlow、ATM、VoATM、
MPLS等が追加されている。
IP BaseをベースにSSH/SSL、IPSec VPN、ファイアウォール、
IDS/IPS、CiscoEasyVPN
サーバー/クライアント機能が有る。
IP Baseをベースにマルチプロトコル(Appletalk、Novell、IPX等)や
SNAなどのIBM系プロトコルがサポートされている。
SP ServiceとEnterprise Base。
IPv6とSP ServicesとAdvenced Security。
Advanced IP ServiceとEnterprise Services。
最も多機能。
※以下、Cisco IOS - wikipedia からの引用を元に再構成
●a メジャーバージョン番号。
●b マイナーバージョン番号。
●c リリース番号。同じa.bの組み合わせの中で
新しいリリースがある際に増える。
●d 暫定的なビルド番号。一般的なリリースからは省略。
●e(0~2個の文字)はリリースされたトレインの識別子である。
なし(下記のメインラインであることを明示)、
●T(テクノロジー用)、
●E(企業用)、
●S(サービスプロバイダ用)、
●XA(臨時機能のためのもの)、
●XB(別の臨時機能のためのもの)等。
単一の問題または脆弱性を解決するために作られる。
例 12.1(8)E14は12.1(8)Eの14個目のリビルド。
IOSは違う機能のセットを含む、いくつかの「トレイン」に分けられる。
トレインはシスコがターゲットとしている顧客の別市場とグループに
多少対応する。
●メインライントレイン
シスコが提供できる最も安定したリリースであるようにデザインされ、
ライフタイムの間決して機能セットは拡張されない。
アップデートは製品中のバグに対処するためだけにリリースされる。
直前のTトレインはメインライントレインの基礎となる。
例えば12.1Tは12.2の基礎となる。
よって、あるメインライントレインのリリースで利用可能な
機能を調べる際には、直前のTトレインを見るとよい。
●T テクノロジートレイン
そのライフタイムの間新しい機能とバグの修正を得る。
よって、メインラインほど安定しない。
(12.0より古いIOSでは、Pトレインが
テクノロジートレインとして役立っていた。)
※シスコはあるTトレインの新しい機能を実装する緊急性が
ない場合における生産現場でのTトレインの使用を推奨しない。
●S サービス・プロバイダトレイン
ある会社のコアルータ製品のみに対応し、
サービス・プロバイダの顧客のために大きくカスタマイズされる。
●E エンタープライズトレイン
企業における実装のためにカスタマイズされる。
●B ブロードバンドトレイン
インターネットベースのブロードバンド機能をサポートしている。
●XA・XB
文書化される必要のある特別な機能のトレイン。
時々、特定のニーズに対応するために別のトレインがリリースされる。
例えば、12.0AAトレインはCisco AS5800のために必要な新しいコードが
含まれている。
ほとんどのIOSを動作させるシスコの製品は1個以上の「機能セット」
もしくは「パッケージ」を持っている。
典型的にはシスコ製ルータのための8つのパッケージと、
シスコ製スイッチングハブのための5つのパッケージが存在する。
例 Catalystスイッチでの使用を意図しているCisco IOSのリリース
●「標準」バージョン(基本的なIPルーティングのみのサポート)
●「強化」バージョン(完全なIPv4ルーティングのサポート)
●「高度なIPサービス」バージョン(強化された機能とIPv6のサポート
が利用可能。
各パッケージは以下のようなサービスカテゴリーに対応する。
●IPデータ
●集中した音声とデータ
●セキュリティとVirtual Private Network
IOSでは、ルーティングとパケット転送(LANスイッチング)は別々の機能。
ルーティングなどのプロトコルはCisco IOSのプロセスとして
動作し、ルーティング情報ベース(RIB)に貢献する。
RIBはルータの転送機能が使用する最終的なIP転送テーブル
(FIB、Forwarding Information Base)を作るために処理される。
ソフトウェアのみのよる転送機能を持つルータ(例:Cisco 7200)において、
アクセス制御リストによるフィルタリングと転送を含むほとんどの
トラフィックは、 Cisco Express Forwarding(CEF)もしくは
dCEF(配布されたCEF)によって割り込みレベルで行われる。
これによって、IOSはパケットを転送するために
プロセスコンテキストスイッチを用いる必要がない。
OSPFやBGPのようなルーティング機能はプロセスレベルで動作する。
Cisco 1200シリーズのようなハードウェアベースの転送を行うルータの場合、
IOSはソフトウェアでFIBを作り、実際のパケットを転送する機能を実行する
ハードウェア(ASIC、ネットワークプロセッサなど)にロードする。
IOS XRはサードパーティのリアルタイムオペレーティングシステム(QNX)の
マイクロカーネルを使用し、現在のIOSのコードの大部分は、新しいカーネル
によって提供される機能を利用するために書き換えられている。
マイクロカーネルアーキテクチャは、その中で動作するために完全には
必要でないすべてのプロセスをカーネルから取り除き、類似している
プロセスとして処理する。
その方法を通じて、IOS XRは新しいルータのプラットフォームのための
高い稼動性を達成することができる。
よって、IOSとIOS XRは機能とデザインにおいて関連するが、大きく異なる
コードベースである。
2005年、シスコはCisco 12000シリーズでIOS XRを導入し、
マイクロカーネルアーキテクチャをCRS-1からシスコの広く展開された
コアルータに拡張した。
2006年、シスコはQNXマイクロカーネル環境をより伝統的なIOSの環境に
拡張するIOS Software Modularityを入手可能にしたが、
まだ顧客が要求しているソフトウェアアップグレード機能を提供している。
それはCatalyst6500で入手可能である。
以上、引用を元に再構成終了
Cisco独自の機能で複数スイッチを多段接続して仮想的に
1台のスイッチとして使うこと。
Catalystスイッチは、2つの機能を使用してスタック化することができる。
●①CiscoStackWise
Cisco Catalyst 3750シリーズスイッチ
Cisco EtherSwitchサービスモジュール
で使用可能。
スタックマスターはマスターLEDが緑色。
スタックマスターの選定の際に参照されるのは
プライオリティ値(高い値が優先)やMACアドレス等々。
show switch stack-ports
show switch neighbors
show switch
●②CiscoGigaStack
CiscoCatalyst2900XL
Catalyst2900XLスイッチ用WS-X2931-XLモジュール
CiscoCatalyst2950
CiscoCatalyst3500XL
CiscoCatalyst3550
で使用可能。
シスコは、すべてのCisco IOS機器が
●認証(authentication)
●認可(authorization)
●アカウンティング(accounting)
によるセキュリティモデル(AAA)を実装するよう薦めている。
AAAはローカル、RADIUSおよびTACACS+データベースを使用することができる。
Intrusion Prevention System。
Intrusion:侵入
Prevention:防止
不正アクセスなどの悪意有るトラフィックや有害なトラフィックを検出して
それらの攻撃からシステムを防御する仕組み。
トラフィックの廃棄/アラーム送信/ルータでブロック/接続のリセットを行う。
Network Admission Control。
Admission:許可、入場
ネットワークへのアクセスを試みる機器に対して、セキュリポリシーを準拠させ、
脆弱性の検査と修正を行う。ポリシーに適合していない機器はアクセスが制限される。
ウィルス拡大などを抑えることができる。
Wide Area Application Services。
WAN高速化ソリューション。
WAN上で配信されるTCPベースアプリケーションのパフォーマンスを改善する。
TCPフローの最適化、データ転送量の削減(キャッシュ)/圧縮、各種アプリケーションの高速化。
Cisco Perfomance Routing。
ネットワークパフォーマンスをモニタリングして最適ルートを選択する機能。
ボトルネックや障害発生時、自動的に最適経路が切り替わる。
ロードバランシングの機能も有る。
Cisco Network Analysis Module。
パフォーマンスモニタリングのためのデータを収集する。
アプリケーションの応答時間の測定など。
Power over Ethernet。
元はCiscoのインラインパワー。
近くに電源が無い場所にも機器設置が可能になった。
ワイヤレスネットワーク機器への電力供給にも使われる。
Intrusion Prevention System。
侵入防止システム
Exterior Gateway Protocol。
自律システム間ルーティングプロトコル。
Interior Gateway Protocol。
自律システム内ルーティングプロトコル。
EGP
・EGP
Exterior Gateway Protocol
・BGP
Border Gateway Protocol
IGP
・RIP
Routing Information Protocol
・OSPF
Open Shortest Path First
・IS-IS
Intermediate Sysytem to Intermediate Sysytem
・IGRP
Interior Gateway Routing Protocol
・EIGRP
Enhanced Interior Gateway Routing Protocol
●ディスタンスベクタ型
・接続相手のみと情報交換。
・ルーティングテーブル自体を交換
・距離と方向(Distance Vector)により最適なパスを決定する。
・古いタイプのルーティングプロトコル。
・RIP、IGRP。
●リンクステート型
・全体と情報交換。
・接続情報(インタフェースのリンクの状態(Link State))を交換。
・情報をデータベース化して計算。
流れは、全ルーターから情報を集め、トポロジテーブル(リンクステート
データベース)として保管。
SPF(Shortest Path First)アルゴリズムを使用してSPFツリーと言う
構成図を作成。その構成図からルーティングテーブルを作成する。
・OSPF、IS-IS。
●ハイブリッド型
・ディスタンスベクタ型とリンクステート型の利点を組み合わせた方式(Hybrid)。
・基本はディスタンスベクタ型のため、拡張ディスタンスベクタ型とも言う。
・EIGRP
収束。全ルーターがルーティング・テーブルを
最新状態に更新し終えた状態。
ネットワークの追加/削除/障害発生などで
ネットワーク全体の構成が変わることがある。
ルーティングテーブルには最適なパス
=アドミニストレーティブディスタンスの
小さい方しか載らない。
第2世代のサービス統合型ルータのこと。
Cisco3900シリーズ
Cisco2900シリーズ
Cisco1900シリーズ
Cisco890、880、860シリーズ
ISRとの違いは以下
http://www.cisco.com/web/JP/product/hs/routers/isrg2/whats-new-isrg2.html
サービス統合型ルータのこと。
Cisco3800シリーズ
Cisco2800シリーズ
Cisco1800シリーズ
Cisco870、850シリーズ
VPNルータ。日本のブロードバンド環境に最適。
YAMAHA RTX1100とよく比較される。
最大40Gbpsをサポート。
統合型ソフトウェア対応サービス。
最大1.28Tbpsまでサポート。
10-Gbpsiインターフェース。
最大720Gbps、またはスロットあたり40Gbpsの処理容量。
スタッカブル固定構成スイッチ。
StackPowerで実現する高い可用性と運用効率。
スタンドアロン固定構成スイッチ。
Cisco FlexStack搭載のスタッカブルスタンドアロンスイッチ。
PoE Plus。
Cisco NX-OSオペレーティングシステム
サーバ ハイパーバイザと直接統合。
最大10ギガビットのイーサネットインターフェースをサポート。
最大320Gbpsの転送容量を実現。
ホットスワップ可能な冗長電源とファンを装備。
4つの基本パッケージ(Edition)
●ファイアウォール
業界トップシェアのファイアウォール
IPフォンなど、最新のアプリに対応
仮想ファイアウォールに対応
●VPN
柔軟なリモートアクセス
IPsec、SSL-VPNに両方対応
情報漏えいの防止に効果
ASA5505のVPN設定については以下のページに記載しました。
●Content Security
不正なファイルによる侵入の防止
スパムメールに対する機能
専用ハードウェアによる分散処理
●IPS
ネット経由の攻撃や感染を抑止
Cisco IPS 専用機と同等の機能
専用ハードウェアによる分散処理
●Cisco ASA 5510について
大別してファイアウォールとIPS(不正侵入防御)で成り立っている。
この機器のIPSモジュールは本体と独立したCPUで処理するため
スループットの低下が無い。