シスコネットワーク基礎トレーニング - CiscoIOS...

シスコネットワーク基礎トレーニング

シスコシステムズ合同会社

P-Led SE 清水武

2014/05/14

Cisco Catalyst シリーズ：提案入門編その２

Cisco Confidential 2 © 2013-2014 Cisco and/or its affiliates. All rights reserved.

• IOSの紹介

• Switchの選択基準


IOSの紹介


ネットワーク機器ではOS (Operating System) によってさまざまな動作を行う事が出来ます。シスコのルータ/スイッチ等の機器にはOSとしてIOS (Internetwork Operating System )が実装されています。

• IOSのメリット

スイッチング/ルーティングの各種機能がFeature Setとして提供されます。

IOSが稼働する全ての機器で統一されたオペレーションが行えます。

IOSの最新版をネットワーク機器に投入する事により最新の機能追加を行う事が出来ます。

IOSは業界最高水準の機能数を誇ります。

IOSとは？


Switch用に2種類のIOS

・Catalyst コンパクトSwitch, Catalyst 2960X/XR用IOS 従来型のIOSでOSの構造はモノリシックです。

モノシック構造ではカーネル本体と周辺装置に依存したデバイスドライバーなどが一体となっている構造になります。

シスコが長期に渡って開発をして来た構造で非常に実績のあるOSの構造になっています。

• Catalyst 3850/3650, Catalyst 4500X用IOS-XE 最新型のIOSでOSの構造はモジュラーです。

モジュラー構造ではLinux カーネル上に構築されたモジュラ型のオペレーティングシステムに成っており、各機能が独立した構造になっています。

最新のOS構造をしており、之までのOS構造よりさらに柔軟に新機能等を追加する事が可能です。

IOSの種類


モノシック構造とモジュール構造

Linux カーネル

共通管理インフラストラクチャ

ホスト

アプリケーション Wireshark

Wireless LAN Controller etc… 機種依存ドライバ

IOS

共通管理インフラ機種依存ドライバ

カーネル

機能コンポーネント

IOSd (IOS daemon)

マルチコアCPUへの対応柔軟な運用管理の移行(既存IOSと同様の感覚) 各プロセスの独立性を確保し可用性を向上ホストアプリケーション/サービスの追加柔軟性向上

ハードウェアへの柔軟性も向上

従来型IOS 最新IOS XE


Cisco IOSリリースナンバリングの読み方 IOS版

15.2 (3) T 3 メジャーリリース番号

メンテナンスリリース

トレイン識別子

リビルドリリース

母体コードとなるメインラインを示す

何回メンテナスを行ったかを示す

母体コードから派生したトレインを表す、他にM、S, SE, SX などがある

何回リビルドを行ったのか、その回数を示す、数値が多いほうがより安定している 15.2(3)T3 は、15.2(3)T を3回リビルドして作成されたことを表す。


Cisco IOS-XEリリースナンバリングの読み方 IOS-XE版

cat3k_caa-universalk9.SPA.03.03.03.SE.150-1.EZ3.bin

対応機種

対応feature set

メジャー

メインテナンスリリース

リビルド

母体コードとなるメインラインを示す

何回メンテナンスを実施したかの回数

何回リビルドを実施したかの回数

OSに含めれているFeature Setを示す

IOS-XEが載るPlatform

IOS 15.0相当版数


Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 CY2015

CY2012 CY2013 CY2014

Catalyst アクセススイッチ Software Roadmap

EM Release

EM: Extended Maintenance Release

3.3.2SE

C3850 Fiber

Catalyst 4500E/X Release

Catalyst 2K/3K Feature Release

IOS-XE NG3K Releases

2K/3K/4K One Release

XE 3.6.0E/15.2(2)E XE 3.7.0/15.3(1)E XE 3.3.0SG/ IOS 15.1.(1)SG XE 3.4.0SG/ IOS 15.1(2)SG XE 3.5.0E/IOS 15.2(1)E

4K Release

15.0(2)SE

2960-SF

XE 3.2.0SE 3.3.0SE

3K-X UPOE

C3850 Launch

2K/3K Release

C3850/5760 FCS Release

Sup-8E Launch

15.0(2)EX

2960X/XR

IOS XE 3.3.0XO

EM Release

EM Release

C3650

C3850 Fiber

各機種に跨って統一したリリース


IOS feature Setとは？

Feature Setとは機能毎に纏められたパッケージライセンスになります。

同じIOSの版数でもFeature Setが異なると使用できる機能に差分が出てきます。

IOS Feature Setの特長

Feature SetはLayer 2 Feature ライセンスパッケージとLayer 3 Feature ライセンスパッケージに分別する事が出来ます。また、各々のLayer用Feature Setでは更に用途に合わせて細かくFeature ライセンスが用意されています。

IOS Feature Setの変更 Feature Setの変更に関しては変更が出来る物と出来ないSwitchが有ります。

例）出来る例

○ Catalyst 3850 IP Base → Catalyst 3850 IP Service

出来ない例

× Catalyst 2960X LAN Lite → Catalyst 2960X LAN Base

IOS Feature Setとは？


• Feature Setの一覧

• LAN Lite ------- 小規模な導入環境の基本要件を満たす、限定された機能と拡張性を提供

• LAN Base ------- 最大 VLAN数が225で包括的なLayer 2 機能を含む、高度なインテリジェントサービスを提供

• IP Lite ------- 全LAN Base 機能に加えてStatic Route, RIP, OSPF Stub, EIGRP Stub等の簡易的L3機能を提供

• IP Base ------- 全LAN Base 機能に加えて、VLAN数を1,000設定等の基礎的な Enterprise Serviceの提供。

また、IP Base ではWireless Controller 機能 , Router経由でのアクセス, Smart Operations,

FNF 等のサポートも含みます。

• IP services ------- EIGRP, OSPF, BGP, PIM 等の高度なLayer 3 機能、及び OSPFv3や EIGRPv6 等の IPv6 Routing

を含む、完全なEnterprise Serviceを提供

• Enterprise Service --Catalyst 4500X用の完全なEnterprise向けの機能を提供

Feature Setの種類


機種毎のIOS Feature Set一覧表

LAN Lite

LAN Base

IP Lite

IP Base

IP Services

Enterprise Services

対応シリーズ

Catalyst 2960-C ● ●

Catalyst 3560-C ●

Catalyst 2960-Plus ● ●

Catalyst 2960-SF ● ●

Catalyst 2960-X ● ●

Catalyst 2960-XR ● ●

Catalyst 3650 ● ●

Catalyst 3850 ● ●

Catalyst 4500-X ● ●


IOS Release について


MaintenanceとEarly Deploymentの違いについて

- IOS ダウンロードのページで MD と表示されているもの

- 大きな変更を伴う機能の追加は行わずBugの修正を繰り返す

→ ED より安定したリリース

- リビルド数が多く予定されている。

- IOS ダウンロードのページで ED で表示されているもの

- 機能追加がリリースのメインテナンス番号が代わるごとに行われる。

- 機能追加に伴う bug が出現する。

→ MD に比べると安定性に欠ける。

Early Deployment

Maintenance Deployment


Maintenance, Early Deployment の確認

Maintenance なのか Early Deployment なのかは IOS を Download するページで確認できる。 Download Software http://software.cisco.com/download/navigator.html

MD となっているものが Maintenance Deployment ED となっているものが Early Deployment


Cisco IOS ソフトウェアライフサイクルのマイルストーン

顧客配布（FCS）：リリースを Cisco.com でお客様に最初に提供する日。販売終了（EoS）の発表：リリースに予定された EoS の日付の通知。このマイルストーンは、実際の EoS の日付の 6 ヵ月前となります。販売終了（EoS）：リリースのオーダーが終了、またはシスコハードウェアの製造出荷に含まれなくなる日。販売終了日は顧客配布日から最長 36 ヵ月とされます。ソフトウェアメンテナンス終了（EoSWM または EoSW）：シスコエンジニアリングが最終のソフトウェアメンテナンスリリースまたはリリースのソフトウェア修正を提供する最終日。EoSWM は EoS から 1 年（12 ヵ月）後とされ、FCS から 4 年（48 ヵ月）を超えることはありません。EoSWM 以後のリリースのサポートは、後継のサポート対象リリースで提供されます。脆弱性/セキュリティ修正の終了：シスコエンジニアリングが脆弱性/セキュリティの問題に対応したソフトウェアメンテナンスリリースを提供する最終日。この日付はリリースやトレインによって異なり、EoSWM の後間もなく脆弱性のリビルドが提供される場合があります。サポート終了日：リリースのシスコ TAC サービスとサポートを受けられる最終日。この日を過ぎるとリリースのすべてのサポートサービスは提供されなくなり、製品は廃止となります。


Cisco IOS ソフトウェアライフサイクルのマイルストーン


End-of-Sale and End-of-Life Announcement

End-of-Sale and End-of-Life Announcement の例を示します。以下のように End-of-Sale and End-of-Life Announcement は S/W, H/W 共に存在します。 http://www.cisco.com/c/en/us/products/switches/catalyst-2960-series-switches/eos-eol-notice-listing.html

http://www.cisco.com/c/en/us/products/switches/catalyst-2960-series-switches/eos-eol-notice-listing.html















Switch選定基準


案件提案時の考慮点企業向けネットワーク案件でSwitchの提案を行う場合、考慮を行う点は色々と存在すると思います。当然、コスト等を意識しなければ成らないのは前提と考えた場合でも、提案自体に特色を出すことも必要な時が有ると考えます。

※ そこで提案時にCiscoのSwitch機器をご提案して頂く事によって、次の特長が出るものと考えます。是非、ご考慮の参考点として頂ければと存じます。

安定的で安全な通信の実現

有線と無線の統合

GUIによるデバイス管理

Switch選定時の考慮点


安定的な通信への取組

重要なデータを安定的な通信で行う為には様々の工夫が必要に成ります。冗長化として通信経路及び筐体の冗長化等を行い信頼性と安定性の向上を実現しています。Cisco の安定的な通信への取組として下記の機能をご紹介します。

EtherChannel

Stack

HSRP

VSS

安全な通信への取組データ通信の安全な通信を行う為にCisco のSwitchが取り組んでいる機能をご紹介します。

ポートセキュリティー

802.1X認証

安定的で安全な通信の実現


Etherchannel

EtherChannel概要 EtherChannel は、スイッチ間またはスイッチとホスト間に、最大 8 Gb/s（ギガビット EtherChannel）または 80

Gb/s（10 ギガビット EtherChannel）の全二重帯域幅を提供します。

各 EtherChannel は、互換性のある設定のEthernet portを 8 個まで使用して構成できます。各 EtherChannel 内のすべてのPortは、L 2 またはL3 Portのいずれかとして設定する必要があります。EtherChannel の最大数は 48 に制限されています。

Etherchannelは最大8本を束ねられる


SwitchのStack構成

Switch Stack概要 • Switch Stackは専用のStack Portに専用のCableを使用してSwitch間を接続する形態です。Switch Stackは

Cableに接続されていた筐体が一つのシステムとして稼働します。

• 各PlatformによるStackの特長

2960-S 2960X/XR 3650 3850

Stackの種類 Flex-Stack Flex-Stack Stack-Wise160 Stack-Wise480

Stack の速度 40G 80G 160G 480G

Stackの段数 4 8 9 9

Stack方式 Active + N Active + N Active + N Active/Standby + N


HSRP構成

HSRP概要 HSRP は、Default Gateway IP addressが設定された IEEE 802 LAN 上の IP hostにファーストホップの冗長性を確保することでNetworkの可用性を高めるCiscoの独自仕様です。LAN 上のHostへDefault Gatewayとして機能させることができます。HSRP が設定された複数のRouterは、仮想Routerの MAC addressおよび IP Network addressを使用できるようになります。


VSSとは？ VSS (Virtual Switching System)はCatalyst 4500シリーズ, Catalyst 6500/6800シリーズに実装されている技術です。VSSはスイッチをクラスタ化し、1 台の仮想スイッチとして再構成します。これにより、従来の限界を超えるパフォーマンスと可用性、運用管理の効率向上を実現します。VSSにより次の3点のメリットが有ります。

• シンプルなトポロジー（STP 不要のループのないネットワーク）

• ネットワーク構成をシンプルかつ運用負荷の軽減

• 単一のルーティングインスタンス

• ループが発生しないデザインかつ帯域を2倍利用可能

• ネットワークの管理性

• あらゆる障害に対して、システムの無停止へ近づけるアプローチ

VSS

MEC

Catalyst 4500X Catalyst 4500X


ポートセキュリティー

登録PC

SiSi

未登録PC

ポートセキュリティを

設定した Catalyst

○ 接続

X

動作: • Catalyst に、予め接続を許可するMACアドレスを登録しておきます。

MACアドレスそのものではなく、最大数を設定することも可能です。

• 未登録の機器を接続 (または最大数を超えた場合)すると、

自動的にポートを閉塞するか、未登録の機器からの通信を止めます。

効力: • 持ち込みPCや不正PC対策 (ただし、MACアドレスの詐称は容易なので注意)

• 「MACアドレステーブル溢れ」による盗聴対策


ユーザや機器の情報に基づいた認証

ユーザに合わせたポリシーを適用 (VLAN, ACL, etc)

LAN

スイッチの各ポートでアクセス制御を行う

認証されたユーザだけをネットワークに接続する

認証成功時に、ユーザ毎に動的に VLAN や ACLを割り当てることが可能

802.1x に対応していない機器をゲストVLAN (セキュリティレベルが低い)に割り当てたり、Webで認証することも可能

認証されたユーザや機器認証されていないユーザや機器

IEEE 802.1x認証


有線/無線の統合ネットワーク Catalyst 3850/3650のUnified Accessは有線と無線のネットワークを融合させます。

今まで別々に構築されてきた有線ネットワークと無線ネットワークを統合して構築から運用・管理までを全て統合する事により次のようなメリットが出来ます。

有線と無線の統合

One Policy

One Management

One Network

多要素認証

従来の人（特定のID)、だけではなく、デバイス、用途、接続方法の“多要素”を自動で認識する一元認証システム

一元管理ツール

有線、無線、VPNを問わず、あらゆるトラフィクの管理一元化

全体最適化かつシンプル構成

有線、無線を問わず、ネットワーク全体を統合運用


クラス最高のパフォーマンス、セキュリティ、復元力

5760 ワイヤレスコントローラ

Cisco Prime

誰が？何を？いつ？どこで？どうやって？

ISE

Catalyst 3850 • 業界初の完全統合された有線/ワイヤレススイッチ

• ワイヤレス：480 G スタック、 50 AP、2,000 クライアント、40 G

• Flexible NetFlow、詳細な QoS

ポリシーの一元化 Identity Services Engine（ISE1.2）

• BYOD ポリシー管理

• デバイスのプロファイリングとポスチャ

• ゲストアクセスポータル

Catalyst 4500-E SUP

• 有線/ワイヤレスの全管理

• ユーザ/デバイス中心のビュー

• 直感的なトラブルシューティングのワークフロー

管理の一元化 Cisco Prime 2.1

Catalyst 4500E Sup 8E • 888 Gbps Sup 7-E 相当の TCAM

• ワイヤレス：40 G 容量、 50 AP、2,000 クライアント

• 8 x 10 G SFP+

• FNF、VSS*

5760 ワイヤレスコントローラ

• Catalyst 3850 と一貫した IOS

• 60 G、1,000 AP、12,000 クライアント、N+1 の冗長性

• FNF、詳細な QoS

Catalyst 3850


Switchデバイスの管理 Cisco では視覚的に分かり易く、またCisco 製ネットワーク機器の管理、運用を行うツールを各種用意してお客様のネットワークへの対応を行っています。

今回はCiscoの代表的な管理ツールとして下記の商品をご紹介します。

Cisco Network Assistant(CAN)

Cisco Prime Infrastructure(PI)

GUIによるデバイス管理


Cisco Network Assistant(CAN)の特徴

Switch及びRouterが合計で40台未満のNetworkに最適

ネットワークの構成、導入、及び継続的な管理とメンテナンスを簡素化

中ネットワーク管理者は、シスコ製のSwitch, Router, Access Point等のネットワーク全体にわたって、共通サービスの適用、インベントリレポート作成、パスワード同期を実行

実行央集中型のネットワークトポロジービューを使いやすいGUIで表示

GUI的なデバイス管理 Cisco Router , Switch各デバイの管理・運用ソリューション


Cisco Prime Infrastructure の主な機能

有線/無線の統合ライフサイクル管理のための一元的な管理

無線周波数(RF)管理の為の無線機能、ユーザアクセスの可視化、レポート、トラブルシューティングなどの機能を提供します。

NetFlow、Network-Based Application Recognition 2.0（NBAR2）、メディアネットなどのテクノロジーを使用した、アプリケーションとサービス保証の可視性により、パフォーマンス問題の分離とトラブルシューティングを促進できます。

Cisco Prime Infrastructure

Thank you.

シスコネットワーク基礎トレーニング - CiscoIOS...

Documents

Transcript of シスコネットワーク基礎トレーニング - CiscoIOS...

シスコ ネットワーク基礎 トレーニング - CiscoIOS...

Documents

Transcript of シスコ ネットワーク基礎 トレーニング - CiscoIOS...

シスコネットワーク基礎トレーニング - CiscoIOS...

Transcript of シスコネットワーク基礎トレーニング - CiscoIOS...