hikaku-server
Cisco 機器について
Cisco機器についての紹介です。
IOSについて
IOSのフィーチャセットについて
参照サイト
EBguide(PDF)
以下の4つのカテゴリに大別される。
Base
エントリレベルのパッケージ。
●IP Base
●Enterprise Base
Services
MPLS、IP Telephony、VoIP、VoFR、AIMなどの追加。
●SP Services
●Enterprise Services
Advanced
VPN、CiscoIOSファイアウォール、CiscoIOS IPS、IDS/IPSなどの追加。
●Advanced Security
●Advanced IP Services
Enterprise
IBMサービス、IPX、Appletalkといったマルチプロトコルサポートの追加。
●Enterprise Base
●Enterprise Services
IOS 8つのフィーチャセット
※feature:機能
IP Base
ルーティングプロトコルやファストホップ
ルーティングプロトコル(GLBP/HSRP/VRRP)などのIPを制御する基本機能が
有る。上位のフィーチャセットには全て含まれている。
IP Voice
IP Baseに音声機能(IP Telephony、VoIP、
VoFR(Voice over Frame Relay))が統合されている。
SP Services
IP VoiceをベースにSSH/SSL、NetFlow、ATM、VoATM、
MPLS等が追加されている。
Advanced Security
IP BaseをベースにSSH/SSL、IPSec VPN、ファイアウォール、
IDS/IPS、CiscoEasyVPN
サーバー/クライアント機能が有る。
Enterprise Base
IP Baseをベースにマルチプロトコル(Appletalk、Novell、IPX等)や
SNAなどのIBM系プロトコルがサポートされている。
Enterprise Services
SP ServiceとEnterprise Base。
Advanced IP Services
IPv6とSP ServicesとAdvenced Security。
Advenced Enterprise Services
Advanced IP ServiceとEnterprise Services。
最も多機能。
※以下、Cisco IOS - wikipedia からの引用を元に再構成
IOSのバージョニング
●a メジャーバージョン番号。
●b マイナーバージョン番号。
●c リリース番号。同じa.bの組み合わせの中で
新しいリリースがある際に増える。
●d 暫定的なビルド番号。一般的なリリースからは省略。
●e(0~2個の文字)はリリースされたトレインの識別子である。
なし(下記のメインラインであることを明示)、
●T(テクノロジー用)、
●E(企業用)、
●S(サービスプロバイダ用)、
●XA(臨時機能のためのもの)、
●XB(別の臨時機能のためのもの)等。
IOSのリビルド
単一の問題または脆弱性を解決するために作られる。
例 12.1(8)E14は12.1(8)Eの14個目のリビルド。
IOSのトレイン
IOSは違う機能のセットを含む、いくつかの「トレイン」に分けられる。
トレインはシスコがターゲットとしている顧客の別市場とグループに
多少対応する。
●メインライントレイン
シスコが提供できる最も安定したリリースであるようにデザインされ、
ライフタイムの間決して機能セットは拡張されない。
アップデートは製品中のバグに対処するためだけにリリースされる。
直前のTトレインはメインライントレインの基礎となる。
例えば12.1Tは12.2の基礎となる。
よって、あるメインライントレインのリリースで利用可能な
機能を調べる際には、直前のTトレインを見るとよい。
●T テクノロジートレイン
そのライフタイムの間新しい機能とバグの修正を得る。
よって、メインラインほど安定しない。
(12.0より古いIOSでは、Pトレインが
テクノロジートレインとして役立っていた。)
※シスコはあるTトレインの新しい機能を実装する緊急性が
ない場合における生産現場でのTトレインの使用を推奨しない。
●S サービス・プロバイダトレイン
ある会社のコアルータ製品のみに対応し、
サービス・プロバイダの顧客のために大きくカスタマイズされる。
●E エンタープライズトレイン
企業における実装のためにカスタマイズされる。
●B ブロードバンドトレイン
インターネットベースのブロードバンド機能をサポートしている。
●XA・XB
文書化される必要のある特別な機能のトレイン。
時々、特定のニーズに対応するために別のトレインがリリースされる。
例えば、12.0AAトレインはCisco AS5800のために必要な新しいコードが
含まれている。
パッケージング・機能セット
ほとんどのIOSを動作させるシスコの製品は1個以上の「機能セット」
もしくは「パッケージ」を持っている。
典型的にはシスコ製ルータのための8つのパッケージと、
シスコ製スイッチングハブのための5つのパッケージが存在する。
例 Catalystスイッチでの使用を意図しているCisco IOSのリリース
●「標準」バージョン(基本的なIPルーティングのみのサポート)
●「強化」バージョン(完全なIPv4ルーティングのサポート)
●「高度なIPサービス」バージョン(強化された機能とIPv6のサポート
が利用可能。
各パッケージは以下のようなサービスカテゴリーに対応する。
●IPデータ
●集中した音声とデータ
●セキュリティとVirtual Private Network
IOSのアーキテクチャ
IOSでは、ルーティングとパケット転送(LANスイッチング)は別々の機能。
ルーティングなどのプロトコルはCisco IOSのプロセスとして
動作し、ルーティング情報ベース(RIB)に貢献する。
RIBはルータの転送機能が使用する最終的なIP転送テーブル
(FIB、Forwarding Information Base)を作るために処理される。
ソフトウェアのみのよる転送機能を持つルータ(例:Cisco 7200)において、
アクセス制御リストによるフィルタリングと転送を含むほとんどの
トラフィックは、 Cisco Express Forwarding(CEF)もしくは
dCEF(配布されたCEF)によって割り込みレベルで行われる。
これによって、IOSはパケットを転送するために
プロセスコンテキストスイッチを用いる必要がない。
OSPFやBGPのようなルーティング機能はプロセスレベルで動作する。
Cisco 1200シリーズのようなハードウェアベースの転送を行うルータの場合、
IOSはソフトウェアでFIBを作り、実際のパケットを転送する機能を実行する
ハードウェア(ASIC、ネットワークプロセッサなど)にロードする。
IOS XR
IOS XRはサードパーティのリアルタイムオペレーティングシステム(QNX)の
マイクロカーネルを使用し、現在のIOSのコードの大部分は、新しいカーネル
によって提供される機能を利用するために書き換えられている。
マイクロカーネルアーキテクチャは、その中で動作するために完全には
必要でないすべてのプロセスをカーネルから取り除き、類似している
プロセスとして処理する。
その方法を通じて、IOS XRは新しいルータのプラットフォームのための
高い稼動性を達成することができる。
よって、IOSとIOS XRは機能とデザインにおいて関連するが、大きく異なる
コードベースである。
2005年、シスコはCisco 12000シリーズでIOS XRを導入し、
マイクロカーネルアーキテクチャをCRS-1からシスコの広く展開された
コアルータに拡張した。
2006年、シスコはQNXマイクロカーネル環境をより伝統的なIOSの環境に
拡張するIOS Software Modularityを入手可能にしたが、
まだ顧客が要求しているソフトウェアアップグレード機能を提供している。
それはCatalyst6500で入手可能である。
以上、引用を元に再構成終了
用語
スタック接続
Cisco独自の機能で複数スイッチを多段接続して仮想的に
1台のスイッチとして使うこと。
Catalystスイッチは、2つの機能を使用してスタック化することができる。
●①CiscoStackWise
Cisco Catalyst 3750シリーズスイッチ
Cisco EtherSwitchサービスモジュール
で使用可能。
スタックマスターはマスターLEDが緑色。
スタックマスターの選定の際に参照されるのは
プライオリティ値(高い値が優先)やMACアドレス等々。
show switch stack-ports
show switch neighbors
show switch
●②CiscoGigaStack
CiscoCatalyst2900XL
Catalyst2900XLスイッチ用WS-X2931-XLモジュール
CiscoCatalyst2950
CiscoCatalyst3500XL
CiscoCatalyst3550
で使用可能。
AAA
シスコは、すべてのCisco IOS機器が
●認証(authentication)
●認可(authorization)
●アカウンティング(accounting)
によるセキュリティモデル(AAA)を実装するよう薦めている。
AAAはローカル、RADIUSおよびTACACS+データベースを使用することができる。
IPS
Intrusion Prevention System。
Intrusion:侵入
Prevention:防止
不正アクセスなどの悪意有るトラフィックや有害なトラフィックを検出して
それらの攻撃からシステムを防御する仕組み。
トラフィックの廃棄/アラーム送信/ルータでブロック/接続のリセットを行う。
NAC
Network Admission Control。
Admission:許可、入場
ネットワークへのアクセスを試みる機器に対して、セキュリポリシーを準拠させ、
脆弱性の検査と修正を行う。ポリシーに適合していない機器はアクセスが制限される。
ウィルス拡大などを抑えることができる。
Cisco WAAS
Wide Area Application Services。
WAN高速化ソリューション。
WAN上で配信されるTCPベースアプリケーションのパフォーマンスを改善する。
TCPフローの最適化、データ転送量の削減(キャッシュ)/圧縮、各種アプリケーションの高速化。
Cisco PfR
Cisco Perfomance Routing。
ネットワークパフォーマンスをモニタリングして最適ルートを選択する機能。
ボトルネックや障害発生時、自動的に最適経路が切り替わる。
ロードバランシングの機能も有る。
Cisco NAM
Cisco Network Analysis Module。
パフォーマンスモニタリングのためのデータを収集する。
アプリケーションの応答時間の測定など。
PoE
Power over Ethernet。
元はCiscoのインラインパワー。
近くに電源が無い場所にも機器設置が可能になった。
ワイヤレスネットワーク機器への電力供給にも使われる。
IPS
Intrusion Prevention System。
侵入防止システム
ルーティングプロトコルについて
EGP
Exterior Gateway Protocol。
自律システム間ルーティングプロトコル。
IGP
Interior Gateway Protocol。
自律システム内ルーティングプロトコル。
種類名
EGP
・EGP
Exterior Gateway Protocol
・BGP
Border Gateway Protocol
IGP
・RIP
Routing Information Protocol
・OSPF
Open Shortest Path First
・IS-IS
Intermediate Sysytem to Intermediate Sysytem
・IGRP
Interior Gateway Routing Protocol
・EIGRP
Enhanced Interior Gateway Routing Protocol
ディスタンスベクタ、リンクステート、ハイブリッド。IGPは、以下の3種類が有る。
●ディスタンスベクタ型
・接続相手のみと情報交換。
・ルーティングテーブル自体を交換
・距離と方向(Distance Vector)により最適なパスを決定する。
・古いタイプのルーティングプロトコル。
・RIP、IGRP。
●リンクステート型
・全体と情報交換。
・接続情報(インタフェースのリンクの状態(Link State))を交換。
・情報をデータベース化して計算。
流れは、全ルーターから情報を集め、トポロジテーブル(リンクステート
データベース)として保管。
SPF(Shortest Path First)アルゴリズムを使用してSPFツリーと言う
構成図を作成。その構成図からルーティングテーブルを作成する。
・OSPF、IS-IS。
●ハイブリッド型
・ディスタンスベクタ型とリンクステート型の利点を組み合わせた方式(Hybrid)。
・基本はディスタンスベクタ型のため、拡張ディスタンスベクタ型とも言う。
・EIGRP
コンバージェンス
収束。全ルーターがルーティング・テーブルを
最新状態に更新し終えた状態。
ネットワークの追加/削除/障害発生などで
ネットワーク全体の構成が変わることがある。
アドミニストレーティブディスタンス
ルーティングテーブルには最適なパス
=アドミニストレーティブディスタンスの
小さい方しか載らない。
機器とその特徴
ルータ
ブランチ
ISR G2
第2世代のサービス統合型ルータのこと。
Cisco3900シリーズ
Cisco2900シリーズ
Cisco1900シリーズ
Cisco890、880、860シリーズ
ISRとの違いは以下
http://www.cisco.com/web/JP/product/hs/routers/isrg2/whats-new-isrg2.html
ISR
サービス統合型ルータのこと。
Cisco3800シリーズ
Cisco2800シリーズ
Cisco1800シリーズ
Cisco870、850シリーズ
1812J
VPNルータ。日本のブロードバンド環境に最適。
YAMAHA RTX1100とよく比較される。
WAN
ASR1000シリーズ アグリケーションサービスルータ
7200シリーズルータ
Catalyst6500シリーズ スイッチ
サービスプロバイダー
Cisco Carrier Routing System
ASR9000シリーズアグリケーションサービスルータ
ASR1000シリーズアグリケーションサービスルータ
最大40Gbpsをサポート。
統合型ソフトウェア対応サービス。
XR12000/12000シリーズルータ
最大1.28Tbpsまでサポート。
7600シリーズルータ
10-Gbpsiインターフェース。
最大720Gbps、またはスロットあたり40Gbpsの処理容量。
スイッチ
キャンパスLAN・コアスイッチ
Cisco Catalyst 6500シリーズ
Cisco Catalyst 4500シリーズ
Cisco Catalyst 4900Mシリーズ
キャンパスLAN・アクセススイッチ
Cisco Catalyst 4500シリーズ
Cisco Catalyst 3750-X シリーズ スイッチ
スタッカブル固定構成スイッチ。
StackPowerで実現する高い可用性と運用効率。
Cisco Catalyst 3560-X シリーズ
スタンドアロン固定構成スイッチ。
Cisco Catalyst 2960 シリーズ スイッチ
Cisco FlexStack搭載のスタッカブルスタンドアロンスイッチ。
PoE Plus。
データセンター スイッチ
Cisco Nexus 7000 シリーズ
Cisco NX-OSオペレーティングシステム
Cisco Nexus 5000 シリーズ
Cisco Nexus 1000V 仮想スイッチ
サーバ ハイパーバイザと直接統合。
Cisco Catalyst 6500 シリーズ
Cisco Catalyst 4900 シリーズ
最大10ギガビットのイーサネットインターフェースをサポート。
最大320Gbpsの転送容量を実現。
ホットスワップ可能な冗長電源とファンを装備。
サービスプロバイダー・アグリケーション スイッチ
Cisco Catalyst 6500 シリーズ
Cisco Catalyst 4500 シリーズ
Cisco ME 4900 シリーズ
サービスプロバイダー・イーサネット アクセス スイッチ
Cisco Catalyst 3750 Metro シリーズ
Cisco ME 3400 シリーズ
Cisco ME 3400E シリーズ
Cisco ME 4900 シリーズ
Cisco ME 6500 シリーズ
セキュリティ
Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス
4つの基本パッケージ(Edition)
●ファイアウォール
業界トップシェアのファイアウォール
IPフォンなど、最新のアプリに対応
仮想ファイアウォールに対応
●VPN
柔軟なリモートアクセス
IPsec、SSL-VPNに両方対応
情報漏えいの防止に効果
ASA5505のVPN設定については以下のページに記載しました。
●Content Security
不正なファイルによる侵入の防止
スパムメールに対する機能
専用ハードウェアによる分散処理
●IPS
ネット経由の攻撃や感染を抑止
Cisco IPS 専用機と同等の機能
専用ハードウェアによる分散処理
●Cisco ASA 5510について
大別してファイアウォールとIPS(不正侵入防御)で成り立っている。
この機器のIPSモジュールは本体と独立したCPUで処理するため
スループットの低下が無い。