Cisco Roadshow “Next Gen” ~ ルータ、スイッチ、ワイヤレス を売りにいこう!~ Catalystスイッチ編 シスコシステムズ 合同会社 2015/4 Agenda • Catalyst製品ラインアップのご紹介 • Catalyst VSS / Instant Access システム • Converged Access ソリューション • 次世代無線LANに備えたインフラ • Catalyst管理ツール 運用に役立つCatalyst 機能 3 NetfFow, Wireshark 運用に役立つCatalyst 機能 4 <参考資料> EEM 運用に役立つCatalyst 機能 5 <参考資料> EEE, Hibernation mode • • Catalystの提案ポイント 運用に役立つCatalyst 機能 1 Interface template, PI でのVLAN設定, VTP 運用に役立つCatalyst 機能 2 GOLD, Error-disable, TDR これからのキャンパスネットワーク TrustSec NaaS APIC-EM Catalyst製品ラインアップ モジュラー型L2/L3スイッチ Catalyst 4500E Catalyst 2960-CX/3560-CX Catalyst 2960-X/XR Catalyst 3650 固定型L2/L3スイッチ Catalyst 3850 Catalyst 6800 Catalyst 4500-X Catalyst製品ラインアップ モジュラー型L2/L3スイッチ コア ディストリ ビューション Catalyst 4500E アクセス Catalyst 2960-CX/3560-CX Catalyst 3560-CX Catalyst 2960-X/XR Catalyst 3650 固定型L2/L3スイッチ Catalyst 3850 Catalyst 6800 Catalyst 4500-X Catalyst製品ラインアップ モジュラー型L2/L3スイッチ Converged Access Instant Access Catalyst 3560-CX Catalyst 4500E Catalyst 2960-CX/3560-CX Catalyst 2960-X/XR Catalyst 3650 固定型L2/L3スイッチ Catalyst 3850 Catalyst 6800 Catalyst 4500-X Catalyst6500/6800次世代モジュール • Sup2T に対応 • パケットバッファ拡張 • パフォーマンスモードサポート (10GE モジュール) • VSS, IA ソリューション対応 (10GE モジュール) • ファブリック帯域を拡張 (C6800-32P-10G: Catalyst6807-XL利用時) スロットあたり 40G C6800-48P-SFP C6800-48P-TX スロットあたり 40G C6800-32P-10G スロットあたり 160G C6800-16P-10G スロットあたり 80G C6800-8P-10G スロットあたり 80G 新Catalystコンパクトスイッチ Catalyst2960-CX, 3560-CX Hibernation機能に よる電力削減 L2 およびL3 機能 をサポート NetFlow-Lite に対応 UPOE対応 Instant access クライアントに対応 (10 GEアップリンク) APIC-EM に対応 静音/ ファンレス動作 EEE対応 8 x 1 GE 若しくは 12 x 1 GE のダウンリンク 1 GE SFP/copper アップリンク 10 GE SFP+ アップリンク Catalyst2960-CX,3560-CX ラインナップ Port Density (downlink) 8 PoE アクセスポート アップリンクポート PID なし 8 X 1 GE 2 x 1 GE SFP 2 x 1 GE Cu WS-C3560CX-8TC-S 8 X 1 GE 2 x 1 GE SFP 2 x 1 GE Cu WS-C3560CX-8PC-S 12 x 1 GE 2 x 1 GE SFP 2 x 1 GE Cu WS-C3560CX-12TC-S 12 x 1 GE 2 x 1 GE SFP 2 x 1 GE Cu WS-C3560CX-12PC-S 12 x 1 GE 2 x 10 GE SFP+ 2 x 1 GE Cu WS-C3560CX-12PD-S なし 8 X 1 GE 2 x 1 GE SFP 2 x 1 GE Cu WS-C2960CX-8TC-L PoE+ (124 W) 8 X 1 GE 2 x 1 GE SFP 2 x 1 GE Cu WS-C2960CX-8PC-L PoE+ (240 W) 3560-CX (IP Base/ IP Services License) なし 12 PoE+ (240 W) 2960-CX (LAN Base License) 8 生産性向上設備投資促進税制の適用について • 生産性向上設備投資促進税制とは? 経済産業省が新たに設けた税制措置 “一定の要件を満たした設備を事業者が取得し、事業のために使用した場合には、即時償却又は税額控除を受 けることができる” <参考資料> 経済産業省 生産性向上設備投資促進税制 webページ http://www.meti.go.jp/policy/jigyou_saisei/kyousouryoku_kyouka/seisanseikojo.html Cisco製品についてもお客様が機器をどの資産区分で計上されているかにより、本税制を適用できる場 合があります 利用の際には、「機器製造業者(Cisco)」から、「最新モデルである証明を発行」する必要あります。 旧機種では減税が受けられませんので、提案は最新機種でお願いします。 Catalyst 3850 → ○ 適用可 Catalyst 3750X → × 適用不可 Catalystの製品保証 • IOS ソフトウェア の保証 Catalyst 4000シリーズ、3000シリーズ、2000シリーズ、コンパクトスイッチについては、 Catalyst購入後、IOSの無償アップデートを提供 対象ライセンス: LAN Lite、LAN Base、IP Base (IP Servicesは対象外) • ハードウェア保証 LLW(Limited Life time Warranty) Catalyst 3000シリーズ、2000シリーズスイッチが対象 RMA受付後、10営業日内に代替器を送付します 当該機器のEOSアナウンス後、5年まで利用できます (Catalyst6500/6800は本保証の対象外となりますので、通常の 90 日となります) Catalyst VSS Instant Access Catalyst Virtual Switching System (VSS) VSS 2台の物理スイッチを 論理的な1台に 管理デバイスを削減 2台 → 1台に VSS構成のための専用モジュールは不要 SFPを活用で、100m以上離れたデバイスでVSS構成も可能 2台の物理スイッチのデータプレーンはアクティブ/アクティブ動作 高度な冗長/運用管理機能 (NSF/SSO/eFSU) Catalyst6500/6800, Catalyst4500E, Catalyst4500-Xでサポート Catalyst Virtual Switching System (VSS) ルーティングネイバの削減 L3収束の最適化 コア(VSS) 冗長性を確保する為のプロトコル (HSRP/VRRP/GLBP)不要 ディストリビューション (VSS) 複数アップリンクの活用 STP設計が不要 アクセス Catalyst Instant Access System (IA) Catalyst IAクライアント コア(VSS) IAシステム ディストリ ビューション (VSS) アクセス アクセススイッチを IAクライアントに 2台の物理スイッチと 複数のアクセススイッチ を論理的な1台に Catalyst Instant Access System (IA) Catalyst IAクライアント コア(VSS) ディストリビューション 兼 アクセス (IA) 管理デバイスを削減 複数のアクセススイッチを統合 ネットワークのシンプル化 3階層モデルを2階層に 容易なポート拡張 プラグアンドプレイでアクセススイッチを追加 Instant Access プラットフォーム 構成コンポーネント Instant Access ペアレント Catalyst 6500-E Sup2T WS-X6904-40G C6800-32P10G/XL FourX (40G–10Gx4 変換) Instant Access クライアント C6800-16P10G/XL Catalyst6800IA C6800-8P10G/XL Catalyst 6807-XL Sup2T WS-X6904-40G C6800-32P10G/XL C6800-16P10G/XL C6800-8P10G/XL FourX (40G–10Gx4 変換) C6800IA-48TD C6800IA-48FPD (PoE) C6800IA-48FPDR (PoE,電源冗長) コンパクトスイッチ Catalyst 6880-X C3560CX-12PD Catalyst Instant Access (IA)の特徴 ブロックポート スタック可能 PoE/PoE+対応 IAホストポートで STP利用可能 Catalyst Instant Access スケーラビリティ 6880X 最大 Client ノードポート数 15.1 SY 15.2(1)SY 1008 2016 最大 FEX ID 数 12 42 最大 Client スイッチ数 21 42 3 5 144 240 最大 スタック数 スタック時の最大ポート数 SUP2T 最大 Client ノードポート数 15.1 SY 15.2(1)SY 15.2(1)SY1 * 1008 1200 1500 最大 FEX ID 数 12 25 32 最大 Client スイッチ数 21 25 32 3 5 5 144 240 240 最大 スタック数 スタック時の最大ポート数 * 拡張予定 Catalyst Instant Access Catalyst6880-X展開パターン例 8 ノード x 240 ポート/スタック + 1 ノード x 96ポート/スタック= 2016ポート FEX 101 FEX 102 FEX 103 FEX 104 FEX 105 FEX 106 FEX 107 FEX 108 FEX 109 42ノード x 48ポート = 2016ポート FEX 101 FEX 102 FEX 103 FEX 104 FEX 105 …… FEX 137 FEX 138 FEX 139 FEX 140 FEX 141 FEX 142 Catalyst Converged Access 無線LAN の導入形態 Autonomous FlexConnect コントローラ Centralized Converged Access コントローラ スイッチに コントローラ を統合 WAN AP AP 自律型 AP 対象 メリット 注意点 無線のみ トラフィックを AP で転送 無線のみ AP トラフィックをコントローラ で転送 無線のみ AP トラフィックをスイッチで転送 有線および無線 • 小規模ネットワークに おいては、シンプルで 費用対効果が高い • 多数のリモート拠点に対し てスケーラビリティが高い • シンプルな無線LAN運用 が可能 • シンプルな運用 • コントローラで無線LAN トラフィックを可視化 • 有線と無線で共通の運用 • 同一OS (IOS-XE) • 全てのネットワークレイヤでトラフィック を可視化 • 802.11acパフォーマンスの最適化 • RRMに制限あり、 不正AP検知ができな い • L2 ローミングのみ • WAN帯域と遅延の要件に 注意 • コントローラにトラフィッ クが集中する • APは、Converged Access Switchに 直接接続する Converged Access サポート製品 Catalyst 4500E Catalyst 3850 Catalyst 3650 サポートAP数 が2倍に! コントローラ内蔵 無線LAN Catalyst 3850 Catalyst 3650 ✔ 100AP ✔ 100AP ✔ 50AP ✔ Ready 802.11ac Wave1 CleanAir ✔ 対応 侵入防御(IPS) ✔ 対応 スイッチ容量 冗長 有線LAN Catalyst4500E Sup8 928Gbps ✔ Sup 冗長 480Gbps 160Gbps ✔ Stackによる冗長 10Gインターフェース ✔ 対応 TrustSec ✔ 対応 POE/POE+/UPOE ✔ 対応 Converged Access の導入メリットと効果 導入コスト低減 フロア2 • 3階層モデルから2階層モデルで導入コスト低減 • アクセスポイントは、LANスイッチの位置付け。 Catalyst 3850 コンパクトスイッチ デスクトップPC /プリンタ(有線LAN) アクセスポイント スマートフォン ノートPC(無線LAN) Catalyst 3850 無線LANコントローラ プリンタ POE給電 PC フロア1 無線LANコントローラのアプライアンスの POE給電 必要なし 追加設置スペースの必要無し Catalyst 3850 OSも設定も有線LANと統合 有線・無線LANを併せて管理できます。 • Prime Infrastructureで干渉源や通信品質を可視化できます。 無線LANコントローラ プリンタ PC 次世代無線LANに 備えたインフラ 次世代無線LAN 802.11acの利用 無線LANの高速化 IEEE 802.11ac (Wave2) 無線LAN規格 IEEE 802.11ac (Wave1) IEEE 802.11n 11Mbps 2000年 IEEE 802.11g 54Mbps 2003年 450Mbps 2009年 1.3Gbps 2013年 Wave1 AP数 x 1.3 Gbps Wave2 AP数 x 2.34 Gbps 2.34 Gbps Wave1: 規格値 1.3Gbps Wave2: 規格値 2.34Gbps 2015年以降 無線アクセスポイントとLANスイッチ間の帯域がボトルネックに 下位〜上位スイッチ間の帯域もボトルネックになる可能性 10Gbps接続には、光ファイバやカテゴリ6A品質のケーブルが必要 1.3G/2.34 Gbps の帯域に対応するネットワークインフラが必要です NBASE-Tアライアンスの創設 www.nbaset.org アライアンスの目的 • カテゴリ5e/6のケーブルで、より高速な伝送速を実現するソリューションを推進していく。 • 業界内での合意と推進力をNBASE-Tアライアンスを通じて構築していく。 • IEEEのような標準化に向けて調整していく。 2014年12月 Ciscoを含む 4社にて発表。 以降、18社がNBASE-Tアライアンスに加入 2015.4現在 Multi Gigabit Ethernet (mGig) ポート 10 Mbps Cat5e ケーブル 1本で1Gbps以上(2.5Gbps, 5Gbps)の通信速度を実現します 100 Mbps mGig PHY は、1GE のPHYとは異なります mGig ポートがサポートする速度: − 100 Mbps, 1 Gbps, 2.5 Gbps, 5 Gbps, 10 Gbps − mGigポートでは、10 Mbpsは使用不可 2.5Gbps と 5 Gbps の標準化が進行中です 1000 Mbps 2.5 Gbps 5 Gbps 10 Gbps 次世代無線LAN 802.11acに備えたインフラ mGig (Multi-Gigabit Ethernet) 接続による高速化 既設のUTPカテゴリ5eケーブルを利用し て、2.5Gbps、5Gbps接続を実現します。 ケーブル長100m対応可能です。 POE+(802.11at)でアクセスポイントに給 電できます。(AP用の電源不要) 下位からのトラフィックに 応じて 10Gbps化 mGig 2.5Gbps Wave1: 規格値 1.3Gbps Wave1 AP数 x 1.3 Gbps Wave2 AP数 x 2.34 Gbps mGig 5 Gbps Wave2: 規格値 2.34Gbps mGig 対応LANスイッチ 今春夏 販売開始(予定) Catalyst 4500-E/3850/3560-CX スタック接続可能 無線LANコントローラ内蔵 モジュラー型LANスイッチ 無線LANコントローラ内蔵 固定型LANスイッチ コンパクトスイッチ Catalyst 4500-E Catalyst 3850 Catalyst 3560-CX 48 port mGig対応ラインカード 48 / 24 port mGig対応ラインカード 12 ports mGig対応 12 / 24 ports mGig対応 10Gアップリンクにも対応可 10Gアップリンクにも対応可 8 port Multi gigabit Switch 2 ports mGig対応 10Gアップリンクにも対応可 mGig ポートの表示 switch#show ip int br | i up TenGigabitEthernet2/1 unassigned YES unset up up TenGigabitEthernet2/2 unassigned YES unset up up TenGigabitEthernet2/3 unassigned YES unset up up TenGigabitEthernet2/4 unassigned YES unset up up TenGigabitEthernet2/5 unassigned YES unset up up TenGigabitEthernet2/6 unassigned YES unset up up TenGigabitEthernet2/7 unassigned YES unset up up TenGigabitEthernet2/8 unassigned YES unset up up TenGigabitEthernet2/9 unassigned YES unset up up switch#show int TenGigabitEthernet 2/1 TenGigabitEthernet2/10 unassigned YES unset up up TenGigabitEthernet2/1 is up, line protocol is up (connected) YES(bia unset up up Hardware is Ten Gigabit TenGigabitEthernet2/11 Ethernet Port, address unassigned is 18e7.28d8.55e0 TenGigabitEthernet2/12 unassigned YES unset up up 18e7.28d8.55e0) GigabitEthernet2/13 unassigned YES unset up up MTU 1500 bytes, BW 10000000 Kbit/sec, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set Keepalive set (10 sec) Full-duplex, 10Gb/s, link type is auto, media type is 100/1000/2.5G/5G/10GBaseTx Catalyst管理ツール ネットワークの管理 • 全部カバーするも のないのかな? • • • 機器の資産管理(Inventory=インベントリ) どこにどれだけどのような機器があるのか? EoSやリプレースが必要な機器は? エクセルの資産管理台帳と実際の機器が一致しないんですが… 機器の設定管理(Config=IOSのコマンド設定、ソフトウエアアップグレード) ソフトウエアは最新にしなくちゃいけないけど台数が多くてやりきれない セキュリティ対策で設定変更が必要と言われたけどコマンドよく分からなくて… 機器・ネットワークの監視・モニタリング(Fault=障害、Performance=性能) 障害アラームが上がってますが、どこでどんな問題が起きてるかよく分からないんです 利用者から無線LANが良く切れるとかネットワーク遅いと言われたけど実際はどうなの? ネットワーク全体の最適化(Capacity=余裕度合い) 新しい端末追加したい、サービス提供したいけどホントにネットワーク大丈夫? One Management = Prime Infrastructure (PI) 有線・無線LAN統合管理システム Prime Infrastructure 運用性向上 有線・無線LAN 統合 ライフサイクル マネジメント ベストプラクティスの 統合 Day 0/1サポート ユーザの利用満足度向上 アプリ性能 ユーザ・サイトの 可視化 リアルタイム トラブルシューティング User/Device 360 Views Prime Infrastructure (PI) Device 360 View 機器の詳細情報(機器種別、CPU/メモリ使用率、アラーム情報, モ ジュール情報etc)を表示 トポロジー上どこに位置して いるか表示 Prime Infrastructure (PI) ダッシュボード • トラフィック量・レスポンス時間の状況をモニタ 例)拠点における直近1時間のパフォーマンス情報表示 アプリケーショントラフィック (最も通信の多いアプリケーション) 通信相手のトラフィック (誰と誰が最も通信しているか) 端末トラフィック (最も多く通信している端末) 端末アプリケーションレスポンス (最も時間のかかっているユーザアプリ ケーションのトランザクション時間) Cisco Network Assistant(CNA) CNA Topology view • PCベースのネットワーク管理アプリ ケーション(無償) • 管理ノード数が 80台以下での利用に 最適化 • ドラッグ & ドロップによる Cisco IOS ソフトウェア アップグレード • VLAN のハイライト表示: VLAN 番号と 色を関連付けて、VLAN 内に存在する デバイスをすばやく確認 http://cisco.com/go/cna Cisco Network Assistant(CNA) CNA Device view CNA 6.1 インストール要件 CPU: 1 GHz DRAM: 1 GB Hard-disk space: 50 MB Number of colors: 65536 Resolution: 1024 x 768 サポートOS Windows 7 Enterprise Windows 7 Professional Windows 8 Professional Windows Vista Windows XP Professional SP3 Windows 2008 Windows 2003 Server Macintosh OS X VLAN の設定変更が多い 設定間違いによるトラブルはもち ろん、そもそも簡単に変更作業が できないかな? 運用に役立つ Catalyst 機能 1 Catalyst には、VLAN設定をス ムーズにできる機能があります • インタフェーステンプレート • PI CLI テンプレート • VTP CatalystのVLAN 設定方法 1 インタフェーステンプレート を利用したポート設定 • インタフェーステンプレート機能は、データ VLAN 、音声 VLAN 、QoS パラメータなど、物理 インタフェースに必要な設定をテンプレート化する機能 1 つのコマンドで複数の設定をインタフェースに適用 コンフィグサイズが小さくなり、管理が容易に 設定例 実際のインタフェースの設定 template PC_port spanning-tree portfast spanning-tree bpduguard enable switchport access vlan 20 switchport mode access load-interval 30 ! ! interface GigabitEthernet1/0/1 source template PC_port ! Switch#sh derived-config interface gig 1/0/1 テンプレートを作成 テンプレートを適用 同一設定を使用するポートすべてに適用可能 →テンプレートを変更すれば、各ポートに即時反映 Derived configuration : 163 bytes ! interface GigabitEthernet1/0/1 switchport access vlan 20 switchport mode access load-interval 30 spanning-tree portfast spanning-tree bpduguard enable end CatalystのVLAN 設定方法 1 インタフェーステンプレートを利用したポート設定 Built-in テンプレート Switch#show template Template -------AP_INTERFACE_TEMPLATE DMP_INTERFACE_TEMPLATE IP_CAMERA_INTERFACE_TEMPLATE IP_PHONE_INTERFACE_TEMPLATE LAP_INTERFACE_TEMPLATE MSP_CAMERA_INTERFACE_TEMPLATE MSP_VC_INTERFACE_TEMPLATE PRINTER_INTERFACE_TEMPLATE ROUTER_INTERFACE_TEMPLATE SWITCH_INTERFACE_TEMPLATE TP_INTERFACE_TEMPLATE Switch# Built-in テンプレートは、running-config に表示されません。変更を加えた場合のみ表示されます。 テンプレート詳細 Switch#sh template interface source built-in IP_PHONE_INTERFACE_TEMPLATE Template Name : IP_PHONE_INTERFACE_TEMPLATE Modified : No Template Definition : spanning-tree portfast spanning-tree bpduguard enable switchport mode access switchport block unicast switchport port-security maximum 3 switchport port-security maximum 2 vlan access switchport port-security violation restrict switchport port-security aging time 2 switchport port-security aging type inactivity switchport port-security storm-control broadcast level pps 1k storm-control multicast level pps 2k storm-control action trap mls qos trust cos service-policy input AUTOCONF-SRND4-CISCOPHONE-POLICY ip dhcp snooping limit rate 15 load-interval 30 srr-queue bandwidth share 1 30 35 5 priority-queue out CatalystのVLAN 設定方法 2 Prime Infrastructureを利用したVLAN変更 コンフィグレーションテンプレートの利用により、VLAN変更操作を容易に ※日本語でのラベル表示は一部では動作確認されていますが、正式に テストされたものではありません。 CatalystのVLAN 設定方法 2 Prime Infrastructureを利用したVLAN変更 上位APIの利用により、操作画面のカスタマイズも可能 動作イメージ お客様の ウェブサイト HTTP/HTTPS (REST-API) PI2.2 CLI Template PIサポート機器へ コマンドラインアクセス LAN/WAN 参考資料 CatalystのVLAN 設定方法 3 VLAN Trunk Protocol (VTP) VTPは、同じ管理ドメイン内の全てのスイッチにわたってVLANの追加、削除、VLAN名の変更を配布、同期を 取る機能です。 VTPを使用することによって、機器のVLAN設定の手間を省くと同時にVLANの設定漏れ、VLAN名の重複と いった設定の誤りや矛盾を防ぐことができます。 VTPドメイン :cisco VTPサーバ で 新規VLANを作成 VTPサーバ VTPサーバのみがコマンド等によるVLANの 追加、削除を実行できます。 VTPクライアントでは、VLANの追加等はでき ません VLAN設定情報を伝搬 受信したVLAN情報から 新規VLANを自動で作成 VTPクライアント VTPクライアント VTPクライアント ハードウェア障害は、できる限り 未然に防ぎたい。万が一障害が 起きても、影響は最小限に留めた いのだけど… 運用に役立つ Catalysyt機能 2 Catalyst には、装置の診断機能 や、障害検知時にはポートをダウ ンさせ、影響を抑える機能があり ます • GOLD • TDR • err-disable Generic OnLine Diagnostics : GOLD • GOLDとは機器の稼働中に診断(Diagnostics)を行う機能です。 • 起動時の診断だけでは稼働中にしか判明しない問題に対応できません。 『ASICなどはダウンしていないが内部動作がおかしい』 『内部的な接続部分の障害』 この様な障害は、起動時の診断では検知することができず、障害検知や復旧に時間を要 することがありました。 GOLDによるいち早い検出 • GOLDは、機器稼動中に診断を行う機能です • GOLDでは、機器内部でパケットを送受し、これが正しく処理されない場合は、エラーメッセージを表示す る、あるいはActive/Standby を切り替えるといった動作を行います。 GOLD の動作例 GOLDでは、以下のような障害を検知するために 診断内容に応じて、内部的にパケットを送受し、動 作を確認します。 ① アクティブなルートプロセッサ内のフォワーディングエ ンジンは正常に機能しているか? ② スタンバイルートプロセッサはフェイルオーバが発生 しても正常に切り替われる状態か? ③ ラインカードは正常にパケットをフォワーディングして いるか? →CPUからラインカードのフォワーディング用ASICを 経由するパケットを送出して検査 ④ ポートは正常に動作する状態か? →CPUからポートASICを経由するパケットを送出して 検査 ③ Fabric Forwarding Engine ① CPU ④ ② TDR(Time Domain Reflectometry) TDRは、ケーブル配線の問題を診断する機能です。この機能は、ポートに接続されたケーブルに対し信号を送 信し、送信した信号と反射された信号を比べることにより、問題を検出します。 TDR実行結果例 検出可能項目 • ケーブル長 • ケーブルの終端、断線、ショート • ピンアサイン P O R T Switch#show cable-diagnostics tdr interface GigabitEthernet 1/0/1 TDR test last run on: February 24 09:10:57 Interface Speed Local pair Pair length --------- ----- ---------- -----------------Gi1/0/35 1000M Pair A 15 +/- 10 meters Pair B 15 +/- 10 meters Pair C 15 +/- 10 meters Pair D 15 +/- 10 meters Switch# Remote pair ----------Pair A Pair B Pair C Pair D P O R T Pair status --------------Normal Normal Normal Normal エラーディセーブル(err–disable) 機能 参考資料 物理ポートがイネーブルな状態(リンクアップが可能な状態/リンクアップしている状態)において、ポートのエラー 状態を検出した場合、スイッチは自動でそのポートをシャットダウンします。このときのポートのシャットダウン状 態が エラーディセーブルです。 ポートがエラーディセーブルになると、そのポートではトラフィックの送受信は行われず、検出したエラーによる 影響を最小限に抑えます。 異常検出! ポート状態 → err-disable 接続先のポートがerr-disableに なると、ポートはリンクダウン状態 ※ エラーディセーブルになったポートは、“err-disable リカバリー” 機能を利用し て、一定時間経過後に自動で復旧させることも可能です <ポートをエラーディセーブルになる理由> ・リンクフラップ の発生 ・GBIC/SFP/Cable の異常 ・PoE の異常 ・ポートチャネルの設定ミス ・BPDUガードによるBPDU検出 ・UDLDによるリンク異常検出 ・DAIによる閾値以上のARP受信 ・ストームコントロールによる閾値以上 のトラフィック検出 など ネットワークにどんなトラフィックが 流れているかわからない。 パケット収集するのも手間がか かって大変なんです。 運用に役立つ Catalyst機能 3 Catalyst なら、装置を流れるトラ フィックの監視機能があります パケット収集に役立つ機能もあり ます • NetFlow • Wireshark NetFlow / Flexible NetFlow • IOSによるトラフィック監視機能 • 実際に流れているトラフィックを基にフロー分類/解析を行うパッシブモニタリング機能 • フローを識別するための情報をフローキー、フロー毎に収集する情報をノンキーと呼ぶ • NetFlow では7つの固定フローキーを基にトラフィックを分類/計測 • Flexible NetFlow では、フローの条件を自由(約80種類から選択可)に定義可能 (用途に応じて、フローキー/ノンキー を設定し、必要データを測定) Flexible NetFlow の利用 1)トラフィック分析 - ネットワーク利用の通常状態(ベースライン/トレンド)を把握 - キャパシティプランニング/ネットワークリソースの適切な割当の実施 2)セキュリティ分析 - 特殊なフローを監視することで、セキュリティ対策すべきポイントを把握 ex. DoS/DDoS攻撃の簡易検知 取得したNeFlow情報をPIにて表示 NetFlow のサポート Catalyst 2960-X , Catalyst2960-CX : LAN Baseライセンス Catalyst 2960-XR :IP-Liteライセンス Catalyst 3850/3650, Catalyst3560-CX : IP Base ライセンス Catalyst4500E, Catalyst6500 :IP BASE ライセンス Catalyst Wireshark機能 IOS-XEを搭載したCatalyst4500E,4500XおよびCatalyst3850/3650 上で Wireshark を利用したパケットキャプチャが可能です。 PC等を接続することなくスイッチ単体でキャプチャ可能 SPAN/RSPAN の設定不要 Telnet等を利用してリモートからでも利用可能 EEMを利用し、何らかの事象発生時に自動でキャプチャを 実行することも可能 <操作概要> ① CLIにてWiresharkを設定し、キャプチャを開始 (キャプチャ時にフィルタ可能) ② キャプチャーしたファイルは.pcap形式で保存可能 ③ ファイルの保存先はFlashやUSB Flashに対応 ④ 保存したファイルをTFTP等で入手すれば、PC等でも キャプチャデータを確認可能 Catalyst3850 によるWireshark設定例 設定例 3850#monitor 3850#monitor 3850#monitor 3850#monitor 3850#monitor capture capture capture capture capture CAP CAP CAP CAP CAP interface GigabitEthernet 1/0/48 match ipv4 any any limit packets 20 duration 30 file location flash:CAP.pcap start both Gi1/0/48 にて送受信されるIPv4パ ケットをキャプチャし、CAP.pcap と いうファイル名で保存 キャプチャ開始。停止は、limitで設定した項目の他、コマンドによっても可能 キャプチャ結果の表示(サマリ) 3850#sh monitor capture file flash:CAP.pcap 1 0.000000 10.10.99.3 -> 10.10.99.4 2 0.000000 10.10.99.3 -> 10.10.99.4 3 1.609969 10.10.10.3 -> 10.10.10.4 4 1.613967 10.10.10.3 -> 10.10.10.4 5 1.617964 10.10.10.3 -> 10.10.10.4 UDP Source port: UDP Source port: ICMP Echo (ping) ICMP Echo (ping) ICMP Echo (ping) 12134 12135 reply reply reply Destination port: 12134 Destination port: 12135 (id=0x0009, seq(be/le)=0/0, ttl=255) (id=0x0009, seq(be/le)=1/256, ttl=255) (id=0x0009, seq(be/le)=2/512, ttl=255) Catalyst3850 によるWireshark設定例 キャプチャ結果の表示(詳細) 3850#sh monitor capture file flash:CAP.pcap detailed Frame 1: 1374 bytes on wire (10992 bits), 1374 bytes captured (10992 bits) Arrival Time: Mar 26, 2015 05:01:46.201985000 UTC Epoch Time: 1427346106.201985000 seconds [Time delta from previous captured frame: 0.000000000 seconds] [Time delta from previous displayed frame: 0.000000000 seconds] [Time since reference or first frame: 0.000000000 seconds] Frame Number: 1 Frame Length: 1374 bytes (10992 bits) Capture Length: 1374 bytes (10992 bits) [Frame is marked: False] [Frame is ignored: False] [Protocols in frame: eth:ip:udp:data] Ethernet II, Src: 3c:08:f6:e4:e3:5d (3c:08:f6:e4:e3:5d), Dst: b8:38:61:3a:3d:dd (b8:38:61:3a:3d:dd) Destination: b8:38:61:3a:3d:dd (b8:38:61:3a:3d:dd) Address: b8:38:61:3a:3d:dd (b8:38:61:3a:3d:dd) .... ...0 .... .... .... .... = IG bit: Individual address (unicast) .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default) --More-- TFTP/FTPを利用してキャプチャファイルを転送すれば、PC上でアプリケーションを利用して確認可能 参考資料 Switched Port ANalyzer (SPAN) スイッチのポートやVLANを通過するトラフィックの分析にパケットキャプチャを必要とする場合 があります。SPAN は、該当するトラフィックを複製し、複製したトラフィックをスイッチ上の他の ポートに送信するミラーリング機能です。 PC–A (SPAN送信元ポート)の トラフィックを複製して、SPAN 宛先ポートに送信 SPAN送信元ポート SPAN 複製トラフィック PC–A で送受信されているトラ フィックをキャプチャして、分析 したい パケットアナライザ/IT管理者 PC-A SPAN宛先ポート PC-B PC-C 参考資料 Remote SPAN (RSPAN) スイッチのポートやVLANを通過するトラフィックの分析にパケットキャプチャを必要とする場合 があります。RSPAN は、該当するトラフィックを複製し、複製したトラフィックをトラフィックアナラ イザが接続されている別のスイッチに送信する機能です RSPAN VLAN にて複製ト ラフィックを転送 RSPAN VLAN RSPAN VLAN は、RSPANにより複製したトラフィックだけを 転送するVLANであり、このトラフィックを中継 するすべてのスイッチで設定します。 複製トラフィック 複製トラフィックをSPAN 宛先ポートに送信 PC–A からのトラフィックを複製 して、RSPAN VLANに送信 RSPAN RSPAN RSPAN宛先ポート RSPAN送信元ポート PC–A からのトラフィックをキャプチャ して、分析したい PC-A PC-B パケットアナライザ/IT管理者 参考資料 定期的に設定のバックアップをし たり、CPUやメモリの監視したい のだけど、専用装置を入れないと だめ? 運用に役立つ Catalyst機能 4 Catalyst なら、自動で任意のロ グを取得や、CPU、メモリの使用 を監視して、異常時だけ通知をす ることもできます • EEM 参考資料 EEM 概要 • EEMは、IOSで実行されるモニタリング機能です。 装置内で発生するイベントを検知し、アクションを実行 → xxx というsyslog が出力されたら、ログを取得 → CPUの使用率が xx% を超えたら、メールを送信 など 装置内でイベント監視を行うことにより、リモート管 理システムだけでは得られない情報を適切に得るこ とができます • 各々の機器が自分を監視 ・ネットワーク帯域が不要 ・ネットワークが接続されていない場合 でも監視可能 Config方法は 2種類 EEM アプレット : 他のコマンドと同様にIOS上に設定 Tcl スクリプト : Tcl によるスクリプトファイルをFlash に保存し、実行 EEM EEM 装置内部からの状況把握 参考資料 EEM サポートイベントとアクション イベント例 • • • • • • • • • • • • • • • • • • • • • • • syslog SNMP Timer (Watchdog, CRON, カウントダウン) インターフェースカウンタ CLI OIR None (手動) RF (Redundancy Framework) IOS Watchdog/System Monitor Generic Online Diagnostic (GOLD) System Manager Watchdog/System Monitor (Modular IOS) ERM (EEM 2.2) Enhanced Object Tracking SNMP Proxy XML-RPC Parser Routing Flexible Netflow IP SLA Neighbor Discovery Identity Mac Address Table アクション例 • • • • • • • • • • • • • • • • IOS CLIコマンドの実行と結果の取得 システム情報の取得 SNMPデータへのアクセス(ローカル、リモート) XML-RPCリクエストの送信 再起動 CNSイベントの送信 他のEEMポリシーから参照できるようデータを保存 他のEEMポリシーの呼び出し EEMカウンタのインクリメント・デクリメント 冗長構成におけるスイッチオーバー システム情報の収集 Eメールの送信(SMTP/MUA) Application Specificなイベントの呼び出し カスタマイズしたSNMPトラップの送信 カスタマイズしたシスログの送信 トラックオブジェクトの読み込み、書き込み 参考資料 EEM設定例 インターフェイスカウンターのThreshold GigabitEthernet0/0の受信負荷(rxload)が50%を超えるか、受信パケットレートが10Kppsを超えた場合に syslogにアラートメッセージを出力し、rxloadが40%を下回るか、受信パケットレートが8Kppsを下回った場合に もsyslogにメッセージを出力するようにします。 使用するイベント: event tagを用いたcorrelate event <Tips> “event tag”により、負荷とパケットレートの2つのイベントを監視し、今回の場合はどちらかの条件が成立す ればログを出力するので”correlate event”はOR条件。 また、使用するパラメータはrxloadとreceive_rate_pps $_interface_nameにはインターフェイス名、 $_interface_parameterにはイベントが発生した(条件が成立した)パラメータ、 $_interface_valueにはその値が格納されます。 参考資料 EEM設定例 インターフェイスカウンターのThreshold 定義例 event manager applet G00_MONITOR event tag TAG1 interface name GigabitEthernet0/0 parameter receive_rate_pps entry-op gt entry-val 10000 entry-type value exit-op lt exit-val 8000 exit-type value exit-event true poll-interval 1 event tag TAG2 interface name GigabitEthernet0/0 parameter rxload entry-op gt entry-val 127 entry-type value exit-op lt exit-val 102 exit-type value exit-event true poll-interval 1 trigger correlate event TAG1 or event TAG2 action 010 if $_interface_exit_event eq 0 action 020 syslog priority alerts msg ”ALERT: $_interface_name $_interface_parameter is $_interface_value” action 030 else action 040 syslog priority informational msg ”$_interface_name $_interface_parameter is $_interface_value” action 050 end 参考資料 ネットワーク装置にかかる電気代 を節約したいのだけど… 運用に役立つ Catalyst機能 5 Catalyst は、装置そのものの省 電力化に加え、機器を使用しない 夜間などには電力を抑える機能 がありますよ! • EEE • Hibernation mode Energy Efficient Ethernet (EEE) - IEEE 802.3az Energy Efficient Ethernet は省電力イーサネットとも呼ばれるトラ フィックの送受信がない時に消費電力を減らす機能 IEEE 802.3az として 2010年に標準化 100/1000/10G Base-T インターフェースが対象 Data Mode(Active) と LPI Mode(省電力)を規定 PHYは、トラフィック転送中は稼働、データがなければリンクアップ 状態を保ったままスリープ リンクアップを保つために周期的なwake up 接続される両装置でEEEのサポートが必要 参考資料 参考資料 Energy Efficient Ethernet (EEE) - 802.3az 一般的なサーバ・クライアントのトラフィック Burst Burst 利用率% 100 0 Time EEE 無効 EEE 有効 Active Active トラフィックがない時には電力を削減 Data/ IDLE Quiet Wake Quiet Active Refresh Quiet Refresh Sleep Data/ IDLE Data IDLE Data IDLE Data IDLE Date IDLE Data イーサネットポートはトラフィックの有無 に関わらず常に電力を消費 Low-Power 参考資料 EEEの設定 Microsoft windows 7 コントロールパネル → デバイスマネージャ → 対象のNICを右クリックし、プロパティを選択 → 詳細設定にてEEEを有効にする 参考資料 Catalyst EEEの設定 EEE を有効にする Switch(config-if)#power efficient-ethernet auto 状態の確認 Switch#sh eee status interface gigabitEthernet 1/0/1 Gi1/0/1 is up EEE(efficient-ethernet): Operational Rx LPI Status : Received Tx LPI Status : Received Wake Error Count : 0 EEE Enabled (ASIC) : yes Tx LPI Active (ASIC) : yes Rx LPI Detected (ASIC) : yes Switch# 参考資料 Switch Hibernation Mode スイッチが使用されていないとき、ハイバーネーションモードとし計画的に電 力を落とすことが可能です CPUコア、ASIC 、接続された PoE デバイスの電源を落とします DRAMはリフレッシュモードとし、データを保ちます DRAMとメモリコントロールユニットを除くほとんどのコンポーネントをダウン コマンドラインで設定したタイマー(時間)かスイッチ前面のモードボタンにより 正常状態に復旧 オフィスで… 就業時間後にオフィスのワークスペース向けに設置されたスイッチをハイバーネーショ ンモードにしてダウン。翌日の就業時間前にアップ 小売店など… データ通信を行わない 10pm から翌 6am までは毎日ダウン 参考資料 Hibernation Modeを利用した電力削減 100% 負荷時の 消費電力 [W] Hibernation時の 消費電力 [W] 削減率 (%) C2960X-48TD-L 47.8 8.7 82% C2960X-24TD-L 33.1 6.3 81% C2960XR-48TD-I 45.6 8.0 82% C2960XR-24TD-I 38.1 8.0 79% WS-C2960CX-8TC-L 18.8 4.2 78% WS-C3560CX-8TC-S 18.8 3.7 80% WS-C3560CX-12TC-S 20.8 4.4 79% WS-C3560CX-12PD-S 29.5 9.3 68% http://www.cisco.com/c/en/us/products/collateral/switches/catalyst-2960-x-series-switches/white_paper_c11-728857.html 参考資料 Switch Hibernation 設定例 Switch(config)#energywise Switch(config)#energywise Switch(config)#energywise Switch(config)#energywise domain cisco security shared-secret 0 cisco importance 70 name c3560cx management security shared-secret 0 cisco Switch(config)#time-range off Switch(config-time-range)#periodic daily 21:30 to 23:59 Switch(config-time-range)#periodic daily 00:00 to 08:00 Switch(config-time-range)#exit Switch(config)#energywise level 1 recurrence importance 100 time-range off If required set the clock time using Switch# clock set 09:27:30 22 may 2013 For immediate hibernation (all the above Cisco EnergyWise™ configurations are required) Switch#energywise query importance 100 name c3560cx set level 1 PCはもちろん、タブレットやそのほか の端末も接続します。もちろんセキュ リティも確保しなくちゃいけません。 SDNを使えば、どうにかなりますか? これからのキャンパス ネットワークに向けて Catalyst には、設計/管理を容易に したり、ネットワーク装置を利用した セキュリティソリューションがあります。 もちろん、SDNにも対応していきま す! ・ Trust Sec ・ NaaS ・ APIC-EM ネットワークの設定・管理・セキュリティ ユーザ認証とVLAN・ACL設定の管理 データセンター オフィス VLAN毎のACL設定 アクセス先、プロトコル等 VLANとACL設定 アクセス先、プロトコル等 VLANとACL設定 アクセス先、プロトコル等 ユーザグループ毎の VLAN割当て 会社支給 PC Servers VLANトランク 会社支給 PC 無線LAN アクセスポイント Si Si LANスイッチ (アクセス) LANスイッチ (コア・ディストリビューション) BYOD PC 802.1X認証に加え、 VLAN・ACL割当て 会社支給とBYODで SSIDを分ける? 1つのSSIDなら無線 LANでACL設定要 Si Si IT管理者 VLAN毎のACL設定 アクセス先、プロトコル等 ユーザグループ毎に VLAN接続のルート 管理・設計 ルート設計後のVLAN 内のACLの設計 インターネット 企業ネットワークの設定・管理・セキュリティ Cisco TrustSecによる設計・管理のシンプル化 ネットワーク アクセスのプロビジョニングと管理を簡素化し、セキュリティ オペレーションを迅速化 ネットワーク上のあらゆる場所で一貫したポリシーを適用 オフィス データセンター 設計変更によるシンプル化 「1つのVLAN」「1つのSSID」 「1つのVLAN」も可能 「1つのVLAN」 会社支給 PC データセンターグループ ユーザグループB 会社支給 PC Servers 無線LAN アクセスポイント Si LANスイッチ Si (アクセス) LANスイッチ (コア・ディストリビューション) BYOD PC Si Si ユーザグループA 設計変更によるシンプル化 「1つのSSID」 インターネット Cisco ISE (IdentityServices Engine) IT管理者 DC DC A ✔ B ✔ C ✔ A ✔ N N B ✔ N ✔ C ✔ N ✔ - ユーザグループ毎 マトリックス管理 企業ネットワークのセキュリティ NaaS(Network as a Sensor)ソリューション ネットワーク装置から網内を流れるトラフィックの「フロー」情報を収集し、内部ネットワークの セキュリティ検知・隔離等を実行 NetFlow インターネット 端末/ユーザ 情報 ワームの検出 Cisco ISE NetFlow Lancope (NetFlowコレクタ) データ漏えいの疑い フロー情報の解析 Botnet検出 ネットワークスキャンの検出 DoS攻撃の検出 エンタープライズ向けポリシーコントローラ APIC-EM • LAN/WAN環境に対してのコントローラの役割を担い、主にポリシー制御機能を提供 →ビジネス要求に応じたセキュリティポリシーやQoSポリシーといった情報を適切なネットワーク機器に提供 従来モデル 管理者はWhatと Howの両方を考 える必要がある ポリシーモデル The What The What “A拠点向けの “A拠点向けの セキュリティポリシー” セキュリティポリシー” The How “特定装置のACL変更” ポリシー管理者は Whatにフォーカス 上位 API REST-API/JSON The How “特定装置のACL変更” APIC EM LAN/WAN環境に対して コントローラの役割 エンタープライズ向けポリシーコントローラ APIC-EM • APIC-EMで提供されるGUI トポロジービュー ACL分析 Cisco Catalyst LANスイッチ製品群 モジュラー型L2/L3スイッチ 適用箇所に合せたCatalystを選択頂け るようになっています。 最新技術により、運用管理コストの低減、 投資コストの最適化をご提案できます。 Converged Access Catalyst 4500E Instant Access Catalyst 3560-CX Catalyst 6800 L2/L3固定型セキュアスイッチ Catalyst 2960-CX/3560-CX Catalyst 2960-X Catalyst 3650 Catalyst 3850 Catalyst 4500-X 高密度10G対応 固定型コアスイッチ 固定型L2/L3スイッチ © 2013-2014 Cisco and/or its affiliates. All rights reserved. © 2013-2014 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 76 パートナー様向けポータルサイトのご案内 CPCP CSC PEC Cisco.com/JP Partner Central Cisco Partner Contents Portal Cisco Support Community Partner Education Connection 公式サイト パートナー様向けサイ ト リセラー様向け コンテンツポータル 製品技術の情報交換 コミュニティサイト パートナー様向け eラーニングポータル アクセス 権限 • ゲスト • Cisco.com ID パートナー権限のある Cisco.com ID 登録制 Cisco.com ID不要 ゲスト パートナー権限のある Cisco.com ID 内容 製品、サービス、ソ リューション情報 • 製品やテクノロジー 資料のご提供 • 認定プログラムご紹 介 • トレーニング、イベン トのご案内 中堅中小企業向けの 製品・ソリューションの 提案ブローシャ等を掲 載 製品やテクノロジーに ついて、ユーザ同士の コミュニケーションが図 れるスペース スキルアップ、スペシャ ライゼーション取得のた めのトレーニング等のご 提供 イメージ
© Copyright 2024 ExpyDoc
![[PDF資料]Global Catalyst Partners Japan 投資事業有限責任組合 設立](http://s1.expydoc.com/store/data/005781301_1-5c6e0e6f1fecfd1ee3cf67cd46dc23d6-250x500.png)
