エンタープライズ ブランチ アーキテク チャ設計の概要 【注意】シスコ製品をご使用になる前に、安全上の注意 (www.cisco.com/jp/go/safety_warning/)をご確認ください。 本書は、米国シスコシステムズ発行ドキュメントの参考和訳です。 米国サイト掲載ドキュメントとの差異が生じる場合があるため、正式な内容について は米国サイトのドキュメントを参照ください。 また、契約等の記述については、弊社販売パートナー、または、弊社担当者にご確認 ください。 この設計ガイドでは、Cisco Service-Oriented Network Architecture(SONA)の 1 コンポーネントで あるエンタープライズ ブランチ アーキテクチャの概要について説明します。SONA は、アプリ ケーションおよびビジネス プロセスを加速化し、収益性を向上させるためのガイドラインを提供 する包括的なフレームワークです。エンタープライズ ブランチ アーキテクチャは Cisco SONA フ レームワークに基づいて、ネットワーク接続されたインフラストラクチャ サービス、統合サービ ス、およびアプリケーション ネットワーキング サービスを、一般的なブランチ ネットワーク全 体に組み込みます。この設計ガイドでは、SONA フレームワークに適用されるエンタープライズ ブランチ アーキテクチャ全体の概要について説明します。このエンタープライズ ブランチ アー キテクチャのフレームワークは進化し続けています。シスコはお客様のニーズに適宜応じるため に段階アプローチを採用しています。各設計ガイドでは、主要なサービスの詳細設計と実装につ いて詳しく説明しています。 シスコは、高品質で実証済みの設計ガイドの開発に取り組むことで、ソリューション システムを より確実に、安全に導入できるように支援します。この設計ガイドは、現在も進行中のシリーズ の一部です。シスコの最新の高度なサービス テクノロジーを使用し、エンタープライズ システ ム環境でテストされたベスト プラクティスの設計原理に基づくエンタープライズ ブランチ ソ リューションに対応しています。 Americas Headquarters: Cisco Systems, Inc., 170 West Tasman Drive, San Jose, CA 95134-1706 USA © 2007 Cisco Systems, Inc. All rights reserved. OL-11725-01-J 概要 概要 このマニュアルでは、Cisco SONA フレームワークの一部であるエンタープライズ ブランチ アー キテクチャの概要について説明します。また、エンタープライズ アーキテクチャ フレームワー クの全体的な戦略についても説明します。このフレームワークは、段階的なアプローチをベース に一連のマニュアル シリーズを構成し、さまざまな統合サービスを使用するエンタープライズ ブランチ ネットワーク設計の進化をサポートしています。 図 1 に、エンタープライズ ブランチ アーキテクチャのフレームワークを示します。 図1 エンタープライズ ブランチ アーキテクチャのフレームワーク MeetingPlace IPCC RFID IPC ID WAN LAN M M M M M 191055 IP このアーキテクチャ フレームワークは 3 つのレイヤで構成され、各レイヤには独自のコンポーネ ントがあります。フレームワークの基盤となるのは、ネットワーク接続されたインフラストラク チャ レイヤです。これは、ブランチに存在する共通のすべての物理ネットワーク要素で構成され ます。このアーキテクチャ フレームワークのその他すべてのレイヤは、これらのコンポーネント を基盤としています。次のレイヤは、統合サービス ビルディング ブロック レイヤです。このレ イヤは、使用されているブランチ コンポーネントに関係なく、ブランチのネットワーク インフ ラのファブリック内に組み込まれている主要サービスを編成します。主なサービスは次のとおり です。 • WAN サービス • LAN サービス • ネットワーク基盤 • セキュリティ サービス • ID サービス エンタープライズ ブランチ アーキテクチャ設計の概要 2 OL-11725-01-J 対象読者 • モバイル サービス • Cisco IP Communications(IPC)サービス • ネットワークの仮想化 このマニュアルでは、これらのサービスについてさらに詳しく説明していきます。このアーキテ クチャ フレームワークの上位レイヤは、アプリケーション ネットワーキング サービス レイヤで す。ビデオ、メッセージング、Cisco Unified Contact Center Enterprise などのコラボレーションおよ びコミュニケーションの促進に用いられる業務アプリケーションは、ブランチに必要な要件とな りつつあります。 これらのアプリケーションでは、統合サービス レイヤのインタラクティブ サービスから得られ る効率性が活用されます。アプリケーション指向のネットワーキングにより、集中管理および分 散ネットワーク全体で一貫したポリシーを適用できます。ネットワーク ファブリックと深く統合 することで、アプリケーションの可視性とセキュリティは維持され、クライアントの追加インス トールやプロビジョニングを行う必要はなくなります。これにより、遅延が軽減されポリシー管 理が簡素化されます。 エンタープライズ ブランチ アーキテクチャの各レイヤはそれ自体を基盤として、ブランチ向け の完全なソリューションを提供します。この設計概要では、設計に関する全体的な戦略について 説明します。この概要は、現在も作成過程にある設計に関する章の一部であり、エンタープライ ズ ブランチ ネットワーク向けの包括的なソリューションを構成するものです。 対象読者 この設計ガイドは、シスコのエンジニアおよびカスタマー サポート エンジニアを対象とし、顧 客向け導入に関するガイドラインおよびベスト プラクティスを提供します。 ネットワーク接続されたインフラストラクチャ レイヤ ネットワーク接続されたインフラストラクチャ レイヤは、エンタープライズ ブランチ アーキテ クチャ フレームワークの基礎となるレイヤです。このレイヤは、すべてのサービスおよびアプリ ケーションに適用される基盤となります。ネットワーク接続されたインフラストラクチャ レイヤ は、すべてのブランチ アーキテクチャの基礎となる共通のブランチ ネットワーク要素から構成 されます。エンタープライズ ブランチ アーキテクチャでは、各ブランチ アーキテクチャを示す 3 つのプロファイルが定義されています。これらの 3 つのプロファイルは、フレームワーク全体 のすべてのレイヤを構築するために使用されます。テスト済みの 3 つのプロファイルは次のとお りです。 • 単一層ブランチ プロファイル • 二重層ブランチ プロファイル • 多重層ブランチ プロファイル 図 2 に、これらの 3 つのプロファイルを示します。 エンタープライズ ブランチ アーキテクチャ設計の概要 OL-11725-01-J 3 ネットワーク接続されたインフラストラクチャ レイヤ 図2 ネットワーク接続されたインフラストラクチャ レイヤ — 3 つのプロファイル M M M IP IP IP IP IP M IP 191057 IP M 共通のブランチ ネットワーク コンポーネント エンタープライズ カスタマー スペース全体に対する単一または一般的なブランチ ネットワーク はありません。規模、業界、場所、またはコストに応じて、各ブランチには独自のネットワーク 設計があります。ネットワーク アーキテクチャに関係なく、共通のブランチ ネットワーキング 要素が使用されます。ブランチ ネットワークでネットワーク接続を行うには、ルータ、スイッ チ、およびオプションのセキュリティ アプライアンスが必要です。各ブランチのユーザには、さ まざまなアプリケーションを実行する電話機、ラップトップ、およびビデオ装置の組み合わせが 支給されています。ネットワークでモバイル性を実現し、音声を集中処理する必要があるブラン チでは、アクセス ポイントおよび呼処理装置が必要になることがあります。エンタープライズ ブランチ アーキテクチャでは、共通のブランチ ネットワーク コンポーネントが組み込まれた 3 つのブランチ プロファイルの概念を取り入れています。これらの 3 つのプロファイルは、ブラン チ ネットワークの唯一の推奨アーキテクチャというわけではなく、むしろブランチ ネットワー クに包含する必要のあるさまざまな側面を示すものです。これらのプロファイルは、統合サービ ス構築ブロックおよびアプリケーション ネットワーキング サービスが構築されるベースライン 基盤として使用します。エンタープライズ ブランチ アーキテクチャ スイートに記載されている 設計ガイドは、各プロファイルのガイドラインおよびモジュール性について説明します。 単一層ブランチ プロファイルの概要 図 3 に、単一層ブランチ プロファイルを示します。 エンタープライズ ブランチ アーキテクチャ設計の概要 4 OL-11725-01-J ネットワーク接続されたインフラストラクチャ レイヤ 図3 単一層ブランチ プロファイル WAN T1 ADSL IP IP 191058 LAN プラットフォームの冗長性および大規模ユーザ ベースを必要としない小規模エンタープライズに は、このプロファイルを推奨します。このプロファイルは、LAN および WAN 接続向けの統合 EtherSwitch ネットワーク モジュール搭載のアクセス ルータとして動作する統合サービス ルータ (ISR)で構成されます。ADSL バックアップを備えた T1 リンクにより、ハイ アベイラビリティ を獲得できます。このテストの第 1 フェーズでは、企業のすべてのリソースが本社内にあること を想定しています。このプロファイルは、できるだけ多くのサービスを 1 つのプラットフォーム ソリューションに組み込みたいブランチ ネットワークを対象としています。また、このプロファ イルは非常に費用対効果に優れており、最小限のデバイスでブランチでの管理を実行します。こ のプロファイルの短所は、ネットワークの復元力およびキャパシティの計画にあります。プラッ トフォーム ソリューションを 1 つにすることで、共通の単一点障害が発生します。プラット フォームの冗長性がないため、ネットワークがユーザに影響を及ぼす可能性があります。この設 計では、ユーザのキャパシティも ISR プラットフォームによってサポートされる LAN ポート数 に制限されます。将来拡張を行うには、外部デスクトップ スイッチを使用する必要があるか、ス ロット容量を増やすために別のルータ プラットフォームが必要になります。 二重層ブランチ プロファイルの概要 図 4 に、二重層ブランチ プロファイルを示します。 エンタープライズ ブランチ アーキテクチャ設計の概要 OL-11725-01-J 5 ネットワーク接続されたインフラストラクチャ レイヤ 図4 二重層ブランチ プロファイル WAN LAN IP 191059 IP このプロファイルは、今日のレガシー ブランチ ネットワークに基づいています。このプロファ イルでは、既存のネットワークのフォークリフト アップグレードや再設計を行うことなく、ブラ ンチ ネットワーク内で高度なサービスを適用する方法を示します。このプロファイルは、外部ス イッチに接続する 2 台の ISR アクセス ルータで構成されます。二重 WAN リンクおよびボックス の冗長性により、単一層ブランチ プロファイルと比べて機器コストが増え、ブランチで管理する コンポーネントが増えますが、ハイ アベイラビリティのレベルが向上します。エンタープライズ ブランチ アーキテクチャのテストの第 1 フェーズでは、すべてのリソースが本社内にあることを 想定しています。このブランチは、従来のエンタープライズ ブランチ ネットワークにおいて最 も一般的なブランチです。WAN および LAN サービスは、このプロファイルには統合されていま せん。WAN 接続が ISR によって終端され、LAN 接続がデスクトップ スイッチによって実行され ます。ユーザ キャパシティを追加するには、EtherChannel でスイッチをさらに追加します。この プロファイルは多くのレガシー ブランチ ネットワークに存在します。このプロファイルは、 Metro Ethernet またはエンタープライズ ブランチ アーキテクチャ フレームワーク全体の統合サー ビス構築ブロック レイヤにリストされている高度なサービスなどの新しい WAN トランスポート にブランチをアップグレードする方法を顧客に示すための移行プロファイルとして機能します。 多重層ブランチ プロファイルの概要 図 5 に、多重層ブランチ プロファイルを示します。 エンタープライズ ブランチ アーキテクチャ設計の概要 6 OL-11725-01-J ネットワーク接続されたインフラストラクチャ レイヤ 図5 多重層ブランチ プロファイル WAN WAN Stackwise IP 191060 IP このプロファイルは、WAN の終端を行うデュアル ISR、セキュリティを管理するデュアル ASA アプライアンス、サービス統合を行うデュアル ISR、および StackWise トポロジの複数のデスク トップ スイッチで構成されます。このプロファイルでは、ネットワーク機器の大半を使用します が、ハイ アベイラビリティおよび冗長性は著しく向上します。上位 ISR ルータは WAN を終端 し、ASA アプライアンスはセキュリティを提供し、中間 ISR は統合サービスの終端を行います。 LAN 接続は StockWise 配置モデルの外部デスクトップ スイッチによって提供されます。一部の サービスはこのプロファイルに統合されませんが、すべてのデバイスで冗長性およびハイ アベイ ラビリティが提供されます。エンタープライズ ブランチ アーキテクチャの第 1 フェーズでは、 企業のリソースすべてが本社に配置されています。ただし、2 番めのフェーズの開始時には、リ ソースはローカルのブランチに配置されます。多重層ブランチ プロファイルは、小規模なキャン パスと大規模なエンタープライズ ブランチに非常に類似しています。外部デスクトップ スイッ チをスタックに追加するだけで、スイッチ ポートを簡単に拡張できます。このプロファイルに は、ほとんどの拡張機能、パフォーマンス、およびアベイラビリティが備わっていますが、デバ イスの管理リソースが最も多く必要になります。 つまり、3 つのプロファイルでは、共通ブランチ ネットワーク要素が 3 種類のコスト、アベイラ ビリティ、規模、拡張性、および機能性のアーキテクチャに組み込まれていることになります。 これらの 3 つのプロファイルは、セキュリティ サービスやモバイル サービスなど、すべての サービスの基本となります。これら 3 つのプロファイル アーキテクチャは、さまざまなハイ ア ベイラビリティ要件を持つ統合サービスの機能を決定して、異なるサービス統合レベルを備えた プラットフォームのブランチ ネットワークに組み込むために使用されます。単一層プロファイル は、1 つのプラットフォームに統合サービスの大半を組み込むことができますが、ハイ アベイラ ビリティが低下します。二重層プロファイルは、デスクトップ スイッチを使用した分散型 LAN 接続、およびブランチ ルータを使用した WAN 接続に対し、ある程度のハイ アベイラビリティを 組み込むことができます。多重層プロファイルは、最も優れたハイ アベイラビリティを実現しま すが、1 つのプラットフォームでの統合サービスは使用できません。 エンタープライズ ブランチ アーキテクチャ設計の概要 OL-11725-01-J 7 統合サービス構築ブロック レイヤ 統合サービス構築ブロック レイヤ 統合サービス構築ブロック レイヤは、ブランチ アーキテクチャの運用に必要な主要テクノロ ジーです。これらのテクノロジーは、個別または共同で使用できます。エンタープライズ ブラン チ アーキテクチャの目標は、段階的アプローチで、各テクノロジーを相互にレイヤ化することに あります。最終的には、すべての主要なインフラストラクチャ サービスを、ネットワーク イン フラストラクチャ レイヤに構築された 3 つのプラットフォーム上で連携させます。主なインフラ ストラクチャ サービスは次のとおりです。 • WAN サービス ― パブリックまたはプライベート ISP ネットワーク経由でキャンパス コアに 接続するブランチ アーキテクチャの基盤です。 • LAN サービス ― ブランチ内の企業ネットワークにエンド デバイスを接続します。 • ネットワーク基盤 ― ネットワーク接続に必要な基本サービスです。 • セキュリティ サービス ― デバイスとネットワークのセキュリティを拡張して、侵入、デー タの盗用、および DoS 攻撃からネットワークを保護し、セキュアなデータ転送を実現しま す。 • ID サービス ― 特定のユーザが特定のリソースにアクセスできるようにします。ネットワー ク デバイスはユーザの ID を問い合わせて、アクセス権限を付与し、ポリシーを実施します。 これらのポリシーは、ユーザとアプリケーションのやりとりを制御し、ネットワークのアク セス権および VLAN(仮想 LAN)割り当てに適用されます。 • モバイル サービス ― ユーザが物理的な場所に関係なく、ネットワーク リソースにアクセス できるようにします。 • Cisco IPC サービス ― 音声およびビデオをネットワーク全体に伝送するための基盤を提供し ます。 • ネットワーク インフラストラクチャ仮想化 ― 1 つのネットワーク リソースを多くのインス タンス(またはできるだけ多くのインスタンス)のように見せ、物理ベースではなく論理 ベースでリソースを処理する機能を提供します。 段階的アプローチでブランチ ネットワークに確立された 3 つのプロファイルの主なサービスにつ いて詳述します。エンタープライズ ブランチ アーキテクチャの第 1 フェーズには、WAN、LAN、 ネットワーク基盤、およびセキュリティ サービスがあります。次のフェーズは第 1 フェーズの上 位にレイヤ化されます。このフェーズは、エンタープライズ ブランチ向けに完全に統合された サービス ソリューションを示します。この概要では、上記のテクノロジーすべてを簡単に説明し て、エンタープライズ ブランチ アーキテクチャのロードマップ全体の概要を読者に示します。 今後のテストが完了すれば、さらに詳細な説明が追加されます。 WAN サービス WAN サービスは、ISP パブリックまたはプライベート ネットワーク(インターネット アクセス の場合もあります)経由でキャンパスまたはデータ センター コアに接続するためのエンタープ ライズ ブランチ アーキテクチャの基盤となります。WAN サービス構築ブロックには 3 つの基本 配置オプションがあり、それぞれ独自の関連属性セットがあります(図 6 を参照) 。 エンタープライズ ブランチ アーキテクチャ設計の概要 8 OL-11725-01-J 統合サービス構築ブロック レイヤ 図6 WAN 配置モデル IPC ID WAN LAN MPLS VPN 191061 WAN インターネット WAN 配置モデルにはデータ プライバシーがないため、セキュア接続メカニズム を使用してトラフィックをセキュリティ保護する必要があります。この配置モデルの場合、すべ てのトラフィックが ISP クラウドを経由します。ルーティング制御は ISP によって決定されるた め、クラウドを経由してサポートされるのは、IP プロトコルのみです。この配置モデルは最もコ ストを削減できますが、この配置モデルが 3 つの配置モデルの中で最もセキュアではありませ ん。 プライベート WAN 配置モデルは、数十年もの間、エンタープライズ ネットワークで利用されて きた典型的なハブ / スポーク モデルです。典型的なフレーム リレーまたは ATM ネットワーク は、プライベート WAN 配置モデルに分類されます。データ プライバシーは、フレーム リレー DLCI または ATM VC などのトラフィック分離によって実現します。ルーティングはプライベー ト WAN 全体でエンタープライズ ルーティング プロトコルによって制御され、IP プロトコルお よび 非 IP プロトコルの両方がサポートされています。この配置モデルは最も一般的に使用され ています。 MPLS 配置では、WAN トランスポート メカニズムとして MPLS を使用します。インターネット 配置モデルと同様に、ルーティング制御は ISP によって行われ、クラウドを経由してサポートさ れるのは、IP プロトコルのみです。ただし、インターネット配置モデルと違うのは、プライベー ト WAN 配置モデルと同様にトラフィック分離によるデータ プライバシーがあることです。トラ フィックの分離はラベルによって提供され、トラフィックは Virtual Route Forwarding(VRF) テーブル内に配置されます。 エンタープライズ ブランチ アーキテクチャ設計の概要 OL-11725-01-J 9 統合サービス構築ブロック レイヤ 3 つの WAN 配置モデルすべてが、エンタープライズ ブランチ アーキテクチャでテストされま す。単一層プロファイルは、インターネット配置モデルを使用します。二重層プロファイルは、 プライベート WAN 配置モデルを使用し、多層プロファイルは MPLS WAN 配置モデルを使用し ます。 WAN および MAN アーキテクチャの詳細については、次の URL にあるエンタープライズ WAN を参照してください。 http://www.cisco.com/en/US/netsol/ns817/networking_solutions_program_home.html LAN サービス LAN サービスには、ブランチ オフィス内の企業ネットワークにエンド デバイスを接続する機能 があります。単一ネットワーク インフラストラクチャにサービスを統合した場合は、コンピュー タ、電話機、ビデオ カメラなどの装置をすべて LAN 経由で企業ネットワークに接続する必要が あります。図 7 に、LAN 接続で使用される 3 種類の物理構成を示します。 図7 LAN 配置モデル IPC ID WAN LAN L2 191062 IP StackWise LAN 接続の 3 種類の構成は次のとおりです。 • アクセス ルータをレイヤ 2 専用スイッチとして物理的に独立した Cisco Catalyst スイッチに接 続する • アクセス ルータと統合スイッチ • Stackwise トポロジで Cisco Catalyst スイッチとアクセス ルータを統合する 個別の Catalyst スイッチに接続するアクセス ルータは、スケーリング機能、広範囲な機能をサ ポートしています。エンド デバイスは Power over Ethernet(PoE)対応のスイッチに接続すること で、インライン電源の供給を受けます。統合スイッチを搭載したアクセス ルータにより、1 つの 管理性を備えた 1 つのデバイスというワンボックス ソリューションが可能になります。エンド デバイスは、電源の投入されたスイッチに接続することで、PoE を受電し続けることができま エンタープライズ ブランチ アーキテクチャ設計の概要 10 OL-11725-01-J 統合サービス構築ブロック レイヤ す。StackWise トポロジのアクセス ルータにより、LAN およびフォールト トレランスのハイ ア ベイラビリティが実現します。LAN 接続の別の問題として、レイヤ 3 ルーティング決定を行う場 所が挙げられます。以前は、スイッチはレイヤ 2 専用デバイスとみなされていましたが、レイヤ 2 デバイスとレイヤ 3 デバイスの間の境界はあいまいになりつつあります。現在、ルータには統 合スイッチ ポートが組み込まれており、最新のスイッチにはレイヤ 3 インターフェイスが備わっ ています。 3 つの LAN 配置モデルすべてが、レイヤ 2 トポロジかレイヤ 3 トポロジのいずれかでテストされ ています。単一層プロファイルでは、アクセス ルータと統合スイッチの配置モデルが使用されま す。このプロファイルでのスイッチは、レイヤ 2 デバイスです。二重層プロファイルでは、物理 的に独立した Cisco Catalyst スイッチにアクセス ルータをレイヤ 2 専用デバイスとして接続しま す。多層プロファイルでは、StockWise トポロジが使用され、すべてのスイッチはレイヤ 3 デバ イスとして機能します。 LAN 配置モデルの詳細については、次のマニュアルを参照してください。 • 『LAN Baseline Architecture Overview-- Branch Office Network』— http://www.cisco.com/en/US/docs/solutions/Enterprise/Branch/Overview.html • 『LAN Baseline Architecture Branch Office Network Reference Design Guide』— http://www.cisco.com/en/US/docs/solutions/Enterprise/Branch/Design.html ネットワーク基盤 ネットワーク基盤は、ネットワーク接続に必要な基本サービスのことです。これらのサービスに は、ハイ アベイラビリティ、IP アドレッシングとルーティング、および QoS があります(図 8 を参照)。 図8 ネットワーク基盤 IPC ID WAN LAN IP QoS WAN EIGRP OSPF BGP RIP NBAR DSCP/COS 191063 NAT IPv6 エンタープライズ ブランチ アーキテクチャ設計の概要 OL-11725-01-J 11 統合サービス構築ブロック レイヤ ハイ アベイラビリティは、最新のブランチ アーキテクチャには欠かすことはできません。ブラ ンチに組み込まれている統合サービス構築ブロック レイヤのテクノロジーの種類が何であって も、障害や停止が発生した場合に、ネットワークが無停止で動作し続けていることが重要です。 ブランチ ネットワークには、ネットワークのダウンタイムを受け入れる余裕はありません。ブラ ンチ オフィスでは、複数の方法を使用してハイ アベイラビリティを達成できます。その方法に ついては、3 つのプロファイルで説明していきます。ブランチでは、WAN で障害が発生したと きに、本社へのデュアル WAN リンクを使用できます。ブランチでは、ルータの障害または停止 に備えて、デュアル WAN リンクだけでなく、デュアル デバイスも使用できます。完全なハイ ア ベイラビリティを達成するため、ブランチでは、デュアル WAN リンクとデュアル デバイス ハイ アベイラビリティ モデルの両方をご用意しています。 単一層プロファイルでは、T1 を備えたデュアル WAN リンク ハイ アベイラビリティをプライマ リ WAN タイプとして使用し、ADSL をバックアップ リンクとして使用します。二重層プロファ イルでは、デバイスのフェールオーバーに備えて、Hot Standby Router Protocol(HSRP)を利用し たデュアル デバイス モデルが使用されます。多層プロファイルでは、両方のハイ アベイラビリ ティ配置モデルが使用されます。プロファイルの各デバイスは、デバイス フェールオーバーに備 えて複製されます。また、本社へのデュアル WAN リンクもあります。さらに、多層プロファイ ルでは、LAN フォールト トレランス用として、StackWise トポロジで外部 Cisco Catalyst スイッチ を用意することで、もう 1 つのハイ アベイラビリティのレイヤを追加します。 StackWise トポロジの詳細については、次の URL にある『Cisco Stackwise Technology White Paper』 を参照してください。 http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps5023/prod_white_paper09186a00801b096a .html ネットワークのセットアップおよび接続を行う際、IP アドレッシングおよびルーティング プロ トコルの選択が重要となります。現時点では、エンタープライズ ブランチ アーキテクチャでは IP のみ(特に IPv4)が使用されています。IPv6 は現在も調査中であり、今後のフェーズで追加 される予定です。 ルーティング プロトコルの選択は、ブランチ アーキテクチャと同様に独特です。ルーティング プロトコルには、それぞれ長所と短所があります。別途指定がない限り、エンタープライズ アー キテクチャではルーティング プロトコルとして EIGRP を使用します。EIGRP はシスコにより開 発されました。このプロトコルはブランチ ネットワーク全体で幅広く使用されています。OSPF、 BGP、RIP、およびスタティック ルーティングはすべて有効なプロトコルですが、テストの第 1 フェーズでは EIGRP が選択されています。 QoS は、ネットワークの基盤としてみなされています。ブランチ ネットワークでは、LAN 内部 または WAN 経由で、高品質な音声またはビデオを提供し続けることが必要です。QoS では、信 頼するポートを定義することで、QoS の不正使用を禁止して、ブランチ ネットワークでの優先処 理を実行します。アクセス ルータおよびスイッチでは、次の QoS ポリシーを使用します。 • 適切な(エンドポイント依存)信頼ポリシー • 分類およびマーキング ポリシー • ポリシングおよびマークダウン ポリシー • キューイング ポリシー スカベンジャ クラス QoS は、高品質の音声またはビデオを維持することはできませんが、 Network-Based Application Recognition(NBAR)を使用することで、DoS、ワーム攻撃などのネッ トワークの異常を検知することができます。既知のワーム トラフィックを即座に特定して廃棄す るには、NBAR 分類でトラフィックを分類してマーキングを行うことが必要です。 QoS の詳細については、次の URL にある『Enterprise QoS Solution Reference Network Design Guide Version 3.3』を参照してください。 http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/QoS_SRND/QoS-SRND-Book.h tml エンタープライズ ブランチ アーキテクチャ設計の概要 12 OL-11725-01-J 統合サービス構築ブロック レイヤ セキュリティ サービス セキュリティ サービスは、デバイスとネットワークのセキュリティを拡張して、侵入、データの 盗用、および DoS 攻撃からネットワークを保護し、セキュアなデータ転送を実現します。図 9 に、セキュリティ サービスの主要な領域を示します。 図9 セキュリティ サービス IPC ID LAN 191064 WAN これらのセキュリティ サービスの 3 つの領域は次のとおりです。 • インフラストラクチャ保護 • セキュア接続 • 攻撃防御の検出および軽減 インフラストラクチャ保護を使用すると、インフラストラクチャ デバイス(この場合、Cisco IOS ソフトウェアベースのルータ、スイッチ、およびアプライアンス)を、直接攻撃や間接攻撃 から事前に保護することができます。インフラストラクチャ保護は、ネットワーク トランスポー トの継続、アベイラビリティの維持に役立ちます。インフラストラクチャ保護サービスの例とし て、不必要なサービス、パスワードとログイン管理、および SSH を無効にする対策があります。 セキュア接続は情報の盗用、または信頼できない伝送メディアによるエンド ユーザ データの変 更から、ネットワークを保護します。ブランチに配置されるネットワーク セキュリティのレベル は、選択された WAN タイプおよび配置モデルによって異なります。一般的なエンタープライズ ブランチの WAN タイプは通常、ケーブル /DSL(小規模ブランチ)、T1/E1(中規模ブランチ)、 T3/E3(大規模ブランチ)です。これらの WAN タイプの一般的な WAN 配置モデルは、インター ネット、プライベート WAN(フレーム リレー) 、および MPLS 配置モデルです(WAN サービス [p.8] を参照)。 フレーム リレーと MPLS は、FR DLCI または MPLS VRF によって実現されるトラフィック分離 を使用することで、セキュアなレベルの接続を可能にします。トラフィックは各ユーザから分離 されますが、データは暗号化されません。インターネット配置モデルには、暗号化のレイヤを適 用する必要があります。フレーム リレーおよび MPLS は、暗号化をセキュア接続の追加レイヤと エンタープライズ ブランチ アーキテクチャ設計の概要 OL-11725-01-J 13 統合サービス構築ブロック レイヤ して実行できます。ネットワーク トラフィックの暗号化では基本的に、IP Security(IPSec)など の標準的な暗号化方式を使用します。IPSec 標準を使用することで、セキュアなデータ転送を行 うための複数の暗号ピア間の認証およびデータ保護を管理することができます。IP セキュリティ 標準を使用して WAN 内の接続を保護するための、4 つの方法を以下に示します。 • ダイレクト IPSec 暗号化 • IPSec を介した point-to-point Generic Routing Encapsulation(p2p GRE) • Dynamic multipoint GRE(DMVPN) • Virtual Tunnel Interface(VTI) ダイレクト IPSec 暗号化だけを使用した場合、IP マルチキャスト、IGP のダイナミック ルーティ ング プロトコル、または非 IP プロトコルに対応する必要のない、IP ユニキャストのみのプライ ベート復元ネットワークが実現します。ダイナミック ルーティングおよび IP マルチキャスト (IPmc)が必要な場合は、ポイントツーポイント GRE over IPSec、DMVPN、または VTI を使用し ます。非 IP プロトコルに対応する必要がある場合は、ポイントツーポイント GRE over IPSec を使 用します。IPSec を使用するこれらの 4 つのセキュアな接続設計の詳細については、次の URL に ある WAN/MAN の SRND を参照してください。 http://www.cisco.com/en/US/netsol/ns817/networking_solutions_program_home.html セキュア接続に使用できるその他のトンネリング プロトコルは次のとおりです。 • Secure Socket Layer/Transport Layer Security(SSL/TLS) • VPN(Web VPN) • ポイントツーポイント トンネリング プロトコル(PPTP) • Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル) これらのプロトコルは、一般に「リモート アクセス ソリューション」と呼ばれるユーザとゲ― トウェイ間またはクライアントとゲートウェイ間の VPN 接続をベースにしています。これらの プロトコルは、このソリューションの第 1 フェーズでは実装しません。単一層プロファイルで は、セキュア接続のメカニズムとして DMVPN を使用します。二重層プロファイルまたは多層プ ロファイルには暗号化は使用されません。これらのプロトコルで使用されるセキュア接続のメカ ニズムは、それぞれフレーム リレーと MPLS となります。これらの 2 つのプロファイルおよび SSL 上で IPSec 暗号化を統合する計画については、今後のテスト フェーズで調査されます。 セキュア接続は、スイッチ レベルでも適用できます。IPSec 標準は使用されませんが、トラ フィック分離は MPLS 環境の VLAN および VRF によって行われます。VLAN を使用すると、レ イヤ 2 で個別のブロードキャスト ドメインを分離できます。VLAN は、クロス VLAN ホッピング および同じ LAN セグメント上のユーザ間のスヌーピングが行われないようにすることで、非常 に基本的なレベルのセキュア接続を提供します。そのため、ネットワーク管理者は、セキュア接 続およびアドレッシング用の小規模なレイヤ 2 ドメインを作成して、それを全社規模でレイヤ 3 ルーティング型ネットワークにマップできます。VRF は MPLS ネットワークと連動して、LAN スイッチ上の VLAN ごとにプライベート転送テーブルを提供します。この機能は VRF-Lite と呼 ばれ、RFC-2547 で定義されているように 1 人の LAN ユーザを MPLS VPN にマッピングできま す。VLAN および VRF により、LAN トラフィックは分離され、セキュア接続が保証されます。 攻撃防御の検出および軽減機能は、境界やエンド ポイント セキュリティなどにおける違反およ び不正イベントを検出および軽減し、これらのイベントからデバイスを保護します。ルータおよ びアプライアンスでは、ファイアウォールと侵入保護システム(IPS)によってこれらの機能が 実現します(図 10 を参照)。 エンタープライズ ブランチ アーキテクチャ設計の概要 14 OL-11725-01-J 統合サービス構築ブロック レイヤ 図 10 ルータおよびアプライアンスの攻撃防御メカニズム 191065 IPS ファイアウォールはブランチ ネットワークに出入りするプロトコルごとに、ステートフル セ キュリティおよびアプリケーション インスペクションを実行します。ステートフル インスペク ション ファイアウォールでは、アクセス制御とアプリケーション インスペクションが使用され て、承認された応答のみがファイアウォールを通過します。多重層プロファイルでは、ASA など の外部アプライアンスを介してファイアウォールを使用できます。単一層および二重層プロファ イルでは、ファイアウォールと Cisco IOS フィーチャ セットと組み合わせて、Cisco IOS ルータに 使用できます。 Cisco IOS ファイアウォール フィーチャ セットおよび ASA ファイアウォール アプライアンスの詳 細については、次の URL にある『Cisco IOS Firewall Feature Set and the Cisco ASA 5500 Series Adaptive Security Appliances』を参照してください。 • http://www.cisco.com/en/US/docs/ios/11_3/feature/guide/firewall.html • http://www.cisco.com/en/US/products/ps6120/index.html 侵入保護機能は、ブランチを通過するパケットおよびセッションを監視し、各パケットをスキャ ンして、いずれかの IPS シグニチャと一致させます。IPS が稼働するデバイス、Cisco IOS IPS フィーチャ セットが組み込まれたアクセス ルータや IPS フィーチャ セットがロードされた外部 ASA、またはスタンドアロン IPS センサーは、不審なアクティビティを検出すると、ネットワー ク セキュリティが損なわれる前に問題に対処することができます。IPS シグニチャと一致した場 合、次のアクションが実行されます。 • アラームを Syslog サーバまたは集中管理インターフェイスに送信する。 • パケットを廃棄する。 • 接続をリセットする。 • 何も行わない。 Cisco IPS フィーチャ セットの詳細については、次の URL にある『Cisco IOS Intrusion Prevention System(IPS)』を参照してください。http://www.cisco.com/en/US/products/ps6634/index.html Catalyst スイッチには、ポート単位で適用される、攻撃防御用の追加メカニズムが搭載されてい ます。これらのメカニズムには、ポート セキュリティ、DHCP スヌーピング、ダイナミック ARP インスペクション(DAI)、および IP ソース ガードがあります(図 11 を参照) 。 エンタープライズ ブランチ アーキテクチャ設計の概要 OL-11725-01-J 15 統合サービス構築ブロック レイヤ 図 11 スイッチの攻撃防御メカニズム IP ARP 191066 DHCP ポート セキュリティは、スイッチに接続できる MAC アドレス数を制限して、承認された MAC アドレスのみがスイッチにアクセスできるようにします。この機能により、MAC アドレスのフ ラッディングは防止され、承認されたユーザのみがネットワークにログオンできるようになりま す。DHCP スヌーピング機能が有効な場合、スイッチ ポートは信頼できるアクセス ポートから の DHCP 要求のみを転送し、それ以外のすべてのタイプの DHCP トラフィックを廃棄します。 DHCP スヌーピングにより、不正デバイスは DHCP サーバとして動作することができなくなりま す。 DAI は、DHCP スヌーピングを使用することで、動的に読み込まれた IP および MAC アドレス ア ソシエーションを含むバインディング テーブルを保持します。この機能により、ユーザとデフォ ルト ゲートウェイの情報の整合性が維持され、トラフィックがキャプチャされなくなります。 ARP スプーフィングまたは ARP ポイズニング攻撃は、この機能によって軽減されます。 IP ソース ガードは、IP アドレスのポート ACL を自動的に設定し、ポートのポート セキュリティ リストに MAC アドレスを追加します。DHCP スヌーピングは IP ソース ガードで定義されたポー ト ACL を使用して、DHCP バインディング テーブルの構築を支援します。ACL または MAC エ ントリのリース期間が満了すると、これらエントリは DHCP スヌーピングによりテーブルから削 除されます。これらの 2 つの機能が連携することで、データのスヌーピングまたは匿名での攻撃 起動が防止されます。Catalyst スイッチ全体の攻撃防御メカニズムは、3 つのプロファイルで使用 されます。これは、各プロファイルに、Catalyst スイッチに接続しているユーザ ベースが含まれ ているためです。 ID サービス ID サービスを使用すると、特定のユーザが特定のリソースにアクセスできます。ネットワーク デバイスはユーザの ID を問い合わせて、アクセス権限を付与し、ポリシーを適用します。これ らのポリシーは、ユーザとアプリケーションのやりとりを制御し、ネットワークのアクセス権お よび VLAN(仮想 LAN)管理に適用されます。ID サービスは、ID ベースのネットワーキングお よびネットワーク アクセス コントロール(NAC)の 2 つの主要な領域に分けられます。図 12 に、ID サービスでの主な考慮点を示します。 エンタープライズ ブランチ アーキテクチャ設計の概要 16 OL-11725-01-J 統合サービス構築ブロック レイヤ 図 12 ID サービス IPC ID LAN STOP 191067 WAN ID ベースのネットワーキングでは、ネットワーク上のユーザまたはデバイスを特定し、正しい ネットワーク リソースにアクセスできるようにします。ブランチ ネットワークは、ユーザまた はデバイスの場所に関係なく、ユーザ ログオン情報および 802.1x 機能、MAC 認証バイパス、 WebAuth、またはスタティック割り当てに基づいて、認証を行いアクセス許可を付与します。 802.1x 機能は RADIUS サーバと連動して、ネットワークにアクセスするユーザを認証します。 ユーザは、ユーザ名とパスワードに基づいて許可を得ます。ID ベースのネットワーキングの場 合、ネットワークへのログオン方法に関係なく指定の権限のみがユーザに付与され、不正アクセ スが報告されます。 NAC はエンドポイント デバイスにポリシーの適合性を問い合わせることで、ネットワーク アク セスを制限します。NAC は、ウイルス対策ソフトウェア、保護または操作システム / アプリケー ション プログラムの正しいバージョンまたはパッチ レベルがエンドポイント デバイスにインス トールされているかどうかを確認します。NAC を使用すると、攻撃の特定、回避、および適合 を実行するネットワーク機能が強化されます。 (注) エンタープライズ ブランチ アーキテクチャの第 1 フェーズには、ID ベースのネットワーキング および NAC は両方とも存在しません。現在、これらの機能については調査中で、今後のテスト フェーズで 3 つのプロファイルに追加される予定です。 モバイル サービス モバイル サービスにより、ユーザは物理的な場所に関係なく、ネットワーク リソースにアクセ スできるようになります。モバイル サービスは、社内(パブリックと比較して)ワイヤレス LAN(WLAN)、携帯電話、パブリック WLAN などを使用して、世界のどこからでも企業イント ラネットにアクセスできるソリューションを提供します。図 13 に、ブランチ ネットワークでの エンタープライズ ブランチ アーキテクチャ設計の概要 OL-11725-01-J 17 統合サービス構築ブロック レイヤ モバイル サービスに必要な、アクセス ポイント、ワイヤレス コントローラ、およびワイヤレス エンド デバイスなどのコンポーネントを示します。 図 13 モバイル サービス IPC ID WAN IP IP LAN M LWAPP CallManager ECT IP HA HA LWAPP 8 0 2.1 1 MAR LWAPP AAA LWAPP ISR WiFi WISM LWAPP LWAPP 191068 WISM LWAPP LWAPP ブランチ ネットワーク内の固定された場所にいる有線ユーザとは異なり、ワイヤレス ユーザは ブランチ ネットワークの内部や外部からブランチ ネットワークにアクセスすることができます。 本社間で IPSec トンネリングを確立するための、クライアントレス SSL または IPSec VPN クライ アント ソフトウェアを使用した VPN 接続は、前述の ID ベースのネットワーキング ID サービス がベースになっています。このサービスにより、信頼されたモバイル ユーザはどこからでもネッ トワークに接続できます。 (注) モバイル サービスは、エンタープライズ ブランチ アーキテクチャの第 1 フェーズでは使用され ません。3 つのプロファイルごとのモバイル製品およびこれらの製品の配置場所については、今 後のテスト フェーズに向けて調査中です。 エンタープライズ ブランチ アーキテクチャ設計の概要 18 OL-11725-01-J 統合サービス構築ブロック レイヤ Cisco IP Communications(IPC)サービス IPC サービスには、音声およびビデオをネットワーク全体に伝送するための基盤となるすべての サービスが含まれます。IP サービスでは、高レベルな QoS、アベイラビリティ、およびセキュリ ティを維持しながら、IP を使用してデータ、音声、およびビデオを 1 つのネットワーク インフ ラストラクチャに伝送できます。IPC には多数の機能とサービスがあります。図 14 に、データ、 音声、およびビデオ用のブランチ ネットワーク設計における主な特徴を示します。 図 14 IPC サービス IPC ID WAN LAN CallManager M M M M E911/CER CCM SRST CCME/CUE CAC M WAN IP M V PSTN IP ISN IP IP PSTN IP IP IP V IP V V IP IP MMCU MoH XCode V V WAN 191069 MMCU WAN V IP コール ルーティングは、呼処理が中央またはローカルのどこで行われるかを示します。集中呼処 理は主に、本社に中央集中型 CallManager クラスタおよび Unity ボイスメール システムがあるブ ランチで使用され、ブランチ内のリモート IP 電話に対し、すべての呼処理およびボイスメール サービスを提供します。ローカルの処理は、CallManager Express(アクセス ルータのソフトウェ アの 1 機能)がローカル呼処理を行い、NM-CUE(Cisco Unity Express ハードウェア モジュール) がローカルのボイスメールおよび自動アテンダント サービスを行うブランチで使用されます。 エンタープライズ ブランチ アーキテクチャ設計の概要 OL-11725-01-J 19 統合サービス構築ブロック レイヤ 音声向けの IPC サービスはコール ルーティングのほか、ネットワーク統合音声コンポーネントと 分散音声制御コンポーネントの 2 つの部分に分けられます。ネットワーク統合音声コンポーネン トは、統合ゲートウェイとメディア リソースで構成されます。Voice over IP(VoIP)ゲートウェ イは、テレフォニー(PSTN)ネットワークと IP ネットワーク(インターネットなど)の間を接 続するネットワーク デバイスです。特に、VoIP ゲートウェイはアナログ音声信号をでデジタル 化してデジタル パケットにします。シスコのアクセス ルータは、音声 IOS イメージ、音声イン ターフェイス、および DSP リソースを使用する音声ゲートウェイとして機能します。メディア リソースには、Music on Hold(MoH)などのアプリケーションのほか、カンファレンス、DSP 変 換があります。 分散音声制御サービスには、コール ルーティングに必要な呼制御とダイアル プランがあります。 これらのサービスには、Survivable Remote Site Telephony(SRST)などのフェールオーバー メカ ニズムやコール アドミッション制御などのコール輻輳メカニズムがあります。 ビデオは、遠距離学習アプリケーションのように、ストリーミング ビデオを使用してブランチ ネットワーク経由で転送されるか、Cisco VT Advantage 製品を使用して IP ビデオ テレフォニーで 転送されます。いずれの場合でも、リモート ブランチ ネットワークに高品質のビデオを送信す るには高レベルの QoS を維持する必要があります。 (注) IPC サービスは、エンタープライズ ブランチ アーキテクチャの第 1 フェーズにはありません。現 在、これらの機能については調査中で、今後のテスト フェーズで 3 つのプロファイルに追加され る予定です。 ネットワーク仮想化サービス ネットワーク仮想化サービスは、複数のリソースを 1 つのリソースに(または 1 つのリソースを 複数に)見せる機能です。また、物理ベースではなく論理ベースでリソースを処理する機能でも あります。図 15 に、ネットワーク仮想化の主要な領域であるアクセス制御、パス分離、および サービス エッジについて簡単にまとめます。 エンタープライズ ブランチ アーキテクチャ設計の概要 20 OL-11725-01-J 統合サービス構築ブロック レイヤ 図 15 ネットワークの仮想化 IPC ID WAN DNS LAN DHCP ACS VLAN/.1Q WLAN SSID MPLS L2TPv3 CSM ACE GRE VRF-Lite RFC2547 over X DMVPN IPC ATM Robot PC PoS 802.1x ID NAC MAC CDP LLDP 191070 IP BBSM ブランチのアーキテクチャでは、現在のところ上述したクライアントのアクセス制御およびパス 分離のみが必要です。サービス エッジは主に、キャンパスまたはデータ センターでの要件であ り、リストされているサービスはユーザ グループ間で仮想化されます。アクセス制御により、 ネットワークにアクセスしようとしているユーザおよびデバイスが特定および認証されます。ID サービスと同様に、ユーザは同じグループにいない他のユーザから完全に分離されたセグメント に分類されます。パス分離により、各セグメントのトラフィックは、ネットワーク全体(エンド ツーエンド)で、相互に分離されます。サービス エッジは、各セグメントがキャンパスまたは データセンター環境にアクセスする際に、主要なサービスを提供します。セグメント化されたト ラフィック上で統合サービスを有効にすることは、サービス エッジでの課題となっています。 すべての統合サービス構築ブロックレイヤは、ネットワーク仮想化により、完全に統合された仮 想化ネットワークに組み込まれます。これをエンタープライズ ブランチ ネットワークなどの企 業ネットワーク全体で実現するため、シスコはさらなる作業に取り組みます。エンタープライズ ブランチ アーキテクチャの第 1 フェーズにはネットワーク仮想化は含まれていませんが、調査を 始めるにあたって、3 つのプロファイルの基盤として設定されています。ネットワーク仮想化は 今後のテスト フェーズに追加される予定です。 (注) ネットワーク仮想化サービスは、エンタープライズ ブランチ アーキテクチャの第 1 フェーズに はありません。現在、これらの機能については調査中で、今後のテスト フェーズで 3 つのプロ ファイルに追加される予定です。 エンタープライズ ブランチ アーキテクチャ設計の概要 OL-11725-01-J 21 アプリケーション ネットワーキング サービス アプリケーション ネットワーキング サービス アプリケーション ネットワーキング サービスには、統合サービス構築ブロックレイヤおよび ネットワーク インフラストラクチャレイヤの効率性を利用したコラボレーション アプリケー ションがあります。Cisco Wide Area Application Service(WAAS)などのアプリケーション配信、 および Application-Oriented Networking(AON)により付加価値が生まれ、ブランチ サイトで生産 性を向上させるために重要な統合ネットワーク上のアプリケーションの動作を加速化させます。 WAAS ソフトウェアは WAN 最適化やアプリケーション固有の加速化技術を組み込むことで、企 業のリモート オフィス インフラストラクチャを統合し、WAN の利用率を最適化して、アプリ ケーションの応答性を向上させます。AON は、ネットワーク内で共通のインフラストラクチャ 機能を直接提供することで、企業アプリケーションの配置、統合、および管理の複雑さを軽減し ます。AON および WAAS の両方が、インスタント メッセージング、Unified Messaging、Cisco MeetingPlace、IPCC、RFID、ビデオ配信などのコラボレーション アプリケーションの実行に役立 ちます。エンタープライズ ブランチ アーキテクチャの第 1 テスト フェーズには、アプリケー ション ネットワーキング サービス レイヤはありません。このレイヤについては、複数のチーム が個別のマニュアルを作成しています。この作業の完了後、この領域の作業全体がエンタープラ イズ ブランチ アーキテクチャに定義されている 3 つのプロファイルに組み込まれます。 (注) アプリケーション ネットワーキング サービスは、エンタープライズ ブランチ アーキテクチャの 第 1 フェーズにはありません。現在、これらの機能については調査中で、今後のテスト フェーズ で 3 つのプロファイルに追加される予定です。 設計の選択 ここでは、エンタープライズ ブランチ アーキテクチャ フレームワークに組み込まれたテスト フェーズについて簡単に説明します。これらの設計ガイドは、次の URL で別途公開されます。 http://www.cisco.com/en/US/netsol/ns816/networking_solutions_program_home.html ここでは、エンタープライズ ブランチについてテストが行われている作業ロードマップを示しま す。 Enterprise Branch Security 設計の章 この章では、ネットワーク インフラストラクチャ レイヤにおける 3 つのブランチ プロファイル (単一層プロファイル、二重層プロファイル、および多層プロファイル)の構築について、重点 的に説明します。3 つの LAN および WAN 配置モデルのすべてについて調査が実施されていま す。ネットワーク基盤およびセキュリティ サービスについて、詳細に説明しています。この章で は、3 つのプロファイルの基盤作りに重点的に取り組むことで、エンタープライズ ブランチ アー キテクチャ フレームワークの今後のテスト中に、他の統合サービス構築ブロック レイヤ サービ スの統合を開始します。 概要 この設計ガイドでは、SONA フレームワークに適用されるエンタープライズ ブランチ アーキテ クチャ全体の概要について説明します。エンタープライズ ブランチ アーキテクチャのフレーム ワーク全体を完成させるには、複数のフェーズが必要です。それぞれの設計ガイドでは、主要な サービスの詳細設計と実装について詳しく説明しています。 エンタープライズ ブランチ アーキテクチャ設計の概要 22 OL-11725-01-J 付録 A — 評価対象のシスコ プラットフォーム 付録 A — 評価対象のシスコ プラットフォーム 表 1 に、各プロファイルで評価するシスコ プラットフォームを示します。 表1 評価対象のシスコ プラットフォーム 単一層プロファイル アクセス ルータ シスコ統合サービス ルータ ― 2800 および 3800 シリーズ LAN EtherSwitch サービス モジュール WAN T1 ― マルチフレックス トランク音声 /WAN インターフェイス カード ADSL ― Dying Gasp を備えた ADSLoPOT WIC 二重層プロファイル アクセス ルータ シスコ統合サービス ルータ ― 2800 および 3800 シリーズ LAN Catalyst 3750 WAN T1 ― マルチフレックス トランク音声 /WAN インターフェイス カード 多重層プロファイル アクセス ルータ シスコ統合サービス ルータ ― 2800 および 3800 シリーズ LAN Catalyst 3750 WAN T1 ― マルチフレックス トランク音声 /WAN インターフェイス カード セキュリティ ASA5510 付録 B — 評価対象の Cisco IOS リリース 表2 評価対象の Cisco IOS リリース シスコ プラットフォーム 評価対象の Cisco IOS リリース アクセス ルータ Cisco IOS Release 12.4(7.7)T、Advanced IP Service フィーチャ セット Cisco Catalyst スイッチ Cisco IOS Release 12.2(25)SEE、Advanced IP Service フィーチャ セット ASA セキュリティ アプライアンス Cisco Adaptive Security Appliance Software Version 7.0(4) 付録 C — 参考資料および推奨資料 ここでは、このマニュアルの内容に関連した参考資料および追加情報を示します。 • 参考資料 – 『IPsec VPN WAN Design Overview』― http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/IPSec_Over.html エンタープライズ ブランチ アーキテクチャ設計の概要 OL-11725-01-J 23 付録 C ― 略語 – 『IPsec Direct Encapsulation Design Guide』― http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/Dir_Encap.html – 『p2p GRE over IPsec Design Guide』― http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/P2P_GRE_IPSec/P2P_ GRE_IPSec.html – 『Dynamic Multipoint VPN (DMVPN) Design Guide』― http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/DMVPDG.html – 『Voice and Video Enabled IPsec VPN (V3PN) Design Guide』― http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/V3PN_SRND/V3PN_S RND.html – 『LAN Baseline Architecture Overview-Branch Office Network』― http://www.cisco.com/en/US/docs/solutions/Enterprise/Branch/Overview.html – 『LAN Baseline Architecture Branch Office Network Reference Design Guide』― http://www.cisco.com/en/US/docs/solutions/Enterprise/Branch/Design.html • Request For Comment(RFC; コメント要求)ペーパー – RFC-2547(BGP/MPLS VPNs)― http://www.ietf.org/rfc/rfc2547.txt • Web サイト – 『Cisco Stackwise Technology White Paper』― http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps5023/prod_white_paper09186a00 801b096a.html – 『Wireless/Mobility Solutions for Large Enterprise』― http://www.cisco.com/en/US/netsol/ns820/networking_solutions_program_home.html – 『Enterprise QoS Solution Reference Network Design Guide Version 3.3』― http://www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/QoS_SRND/QoS-SRN D-Book.html – 『Cisco IOS Firewall Feature Set』― http://www.cisco.com/en/US/docs/ios/11_3/feature/guide/firewall.html – 『Cisco ASA 5500 Series Adaptive Security Appliances』― http://www.cisco.com/en/US/products/ps6120/index.html – 『Cisco IOS IPS Feature Set』― http://www.cisco.com/en/US/products/ps6634/index.html – 『Cisco Unified Communications SRND Based on Cisco Unified CallManager 5.0』― http://www.cisco.com/en/US/docs/voice_ip_comm/cucm/srnd/5x/uc5_1.html – 『Network Virtualization ― Access Control Design Guide』― http://www.cisco.com/en/US/docs/solutions/Enterprise/Network_Virtualization/AccContr.html – 『Network Virtualization ― Guest and Partner Internet Access Deployment Guide』― http://www.cisco.com/en/US/docs/solutions/Enterprise/Network_Virtualization/GuestAcc.html – 『Network Virtualization ― Path Isolation Design Guide』― http://www.cisco.com/en/US/docs/solutions/Enterprise/Network_Virtualization/PathIsol.html – 『Network Virtualization ― Services Edge Design Guide』― http://www.cisco.com/en/US/docs/solutions/Enterprise/Network_Virtualization/ServEdge.html 付録 C ― 略語 用語 定義 ATM Asynchronous Transfer Mode:非同期転送モード エンタープライズ ブランチ アーキテクチャ設計の概要 24 OL-11725-01-J 付録 C ― 略語 DHCP Dynamic Host Configuration Protocol DMVPN Dynamic Multipoint Virtual Private Network DSL Digital Subscriber Line:デジタル加入者線 EIGRP Enhanced Interior Gateway Routing Protocol FR Frame Relay:フレームリレー FTP File Transfer Protocol:ファイル転送プロトコル GRE Generic Route Encapsulation:総称ルーティング カプ セル化 HSRP Hot Standby Router Protocol:ホットスタンバイ ルー タ プロトコル IOS Internetwork Operating System IPSec IP Security:IP セキュリティ ISP Internet Service Provider:インターネット サービス プ ロバイダー MPLS Multi-Protocol Label Switching:マルチプロトコル ラ ベル スイッチング OSPF Open Shortest Path First p2p GRE Point-to-Point GRE:ポイントツーポイント GRE PVC Permanent Virtual Circuit:相手先固定接続 QoS Quality of Service RADIUS Remote Authentication Dial In User System VoIP Voice over IP V3PN Voice and Video Enabled IPsec VPN VPN Virtual Private Network:バーチャル プライベート ネットワーク VTI Virtual Tunnel Interface WAN Wide Area Network:ワイドエリア ネットワーク エンタープライズ ブランチ アーキテクチャ設計の概要 OL-11725-01-J 25 付録 C ― 略語 エンタープライズ ブランチ アーキテクチャ設計の概要 26 OL-11725-01-J
© Copyright 2024 Paperzz