Catalyst 3560 スイッチ ソフトウェア コンフィギュレーション ガイド Cisco IOS Release 12.2(40)SE

使用および導入を簡素化する機能

スイッチには、使用と導入を容易にするため、次の機能が搭載されています。

• Express Setup：基本的な IP 情報、コンタクト情報、スイッチおよび Telnet のパスワード、および簡易ネットワーク管理プロトコル（SNMP）に関する情報を使用し、ブラウザ ベースのプログラムを通じて、スイッチの初回設定を迅速に行うことができます。Express Setup の詳細については、スタートアップ ガイドを参照してください。

• ユーザ定義およびデフォルト設定の SmartPort マクロ：ネットワークへの配置を簡単にするためにカスタム スイッチ設定を作成します。

• 組み込みのデバイス マネージャ GUI：単体のスイッチを Web ブラウザから設定、管理します。デバイス マネージャの起動については、スタートアップ ガイドを参照してください。デバイス マネージャの詳細については、スイッチのオンライン ヘルプを参照してください。

• Cisco Network Assistant（以降、 Network Assistant ）の機能概要

– 管理コミュニティは、ルータやアクセス ポイントを組み込むことができる点や、セキュリティを強化できる点以外は、クラスタと同じようなデバイス グループです。

– イントラネットの任意の場所からスイッチ、およびスイッチ クラスタを簡単に最小限の手間で管理できます。

– 1 つの GUI を使用して、複数の設定作業を行うことができます。特定の処理を実行するためのコマンドライン インターフェイス（CLI）コマンドを覚える必要はありません。

– 対話式のガイド モードで、VLAN、ACL、Quality of Service（QoS）などの複雑な機能をガイドに従って設定できます。

– 設定ウィザードを使用すると、トラフィックの QoS プライオリティ、データ アプリケーションのプライオリティ レベル、セキュリティといった複雑な機能を設定するために必要な最小限の情報を、プロンプトの指示に従って入力するだけですみます。

– スイッチにイメージをダウンロードできます。

– VLAN および QoS の設定、目録および統計レポート、リンクおよびスイッチ レベルでのモニタとトラブルシューティング、複数のスイッチのソフトウェア アップグレードといったアクションを、複数のポート、複数のスイッチに対して同時に実行できます。

– 相互接続されたデバイスのトポロジを表示して、既存のスイッチ クラスタ、クラスタに参加できる適格なスイッチ、およびスイッチ間のリンク情報を確認できます。

– 前面パネル イメージで表示される LED によって、単独または複数のスイッチの状態をリアルタイムでモニタリングできます。このイメージに表示されるシステム LED、冗長電源システム（RPS）LED、およびポート LED の色は、実際の LED の色と同じです。

• スイッチのクラスタ化テクノロジーの機能概要

– イーサネット、ファスト イーサネット、Fast EtherChannel、Small Form-Factor Pluggable（SFP）モジュール、ギガビット イーサネット、Gigabit EtherChannel 接続を含めて、地理的な近接にも相互接続メディアにも関係なく、複数のクラスタ対応スイッチの設定、モニタ、認証、およびソフトウェア アップグレードをまとめて実行できます。クラスタ対応スイッチのリストについては、リリース ノートを参照してください。

– 候補スイッチの自動検出と、最大 16 台のスイッチからなるクラスタの作成機能。1 つの IP アドレスを使用してクラスタを管理できます。

– 拡張検出機能により、コマンド スイッチに直接接続されていないクラスタ候補を検出できます。

パフォーマンス向上機能

スイッチには、次の機能が搭載されています。

• すべてのスイッチ ポートの速度自動検知、およびデュプレックス モードの自動ネゴシエーション。帯域幅の利用を最適化します。

• 10/100 Mbps インターフェイス、10/100/1000 Mbps インターフェイス、および 10/100/1000 BASE-TX SFP モジュール インターフェイス上の Auto MDIX 機能により、インターフェイスが必要なケーブル接続タイプ（ストレートまたはクロス）を自動的に検出し、接続を適切に設定。

• ルーテッド フレームの場合は最大 1546 バイト、ハードウェアでブリッジングされるフレームの場合は最大 9000 バイト、ソフトウェアでブリッジングされるフレームの場合は最大 2000 バイトのサポート

• すべてのポートにおける IEEE 802.3x フロー制御（スイッチはポーズ フレームを送信しません）

• EtherChannel により、耐障害性を高め、スイッチ、ルータ、およびサーバ間に最大 8 Gbps（ギガビット EtherChannel）または 800 Mbps（Fast EtherChannel）全二重の帯域幅を確保

• ポート集約プロトコル（PAgP）および Link Aggregation Control Protocol（LACP）により、EtherChannel リンクを自動的に作成

• レイヤ 2 およびレイヤ 3 のパケットをギガビット ラインレートで転送します。

• マルチキャスト Virtual Routing and Forwarding（VRF; VPN ルーティングおよび転送）Lite。ネットワーク仮想化およびバーチャル プライベート マルチキャスト ネットワーク用に複数のプライベート ルーティング ドメインを設定します。

• ポート単位のストーム制御。ブロードキャスト ストーム、マルチキャスト ストーム、およびユニキャスト ストームを防止します。

• レイヤ 2 の不明なユニキャスト、マルチキャスト、およびブリッジド ブロードキャスト トラフィック転送に対するポート ブロッキング

• Cisco Group Management Protocol（CGMP）サーバのサポートおよび Internet Group Management Protocol（IGMP）バージョン 1、バージョン 2、およびバージョン 3 対応の IGMP スヌーピング。

– （CGMP デバイスの場合）CGMP が特定のエンド ステーションへのマルチキャスト トラフィックを制限し、ネットワーク全般のトラフィックを軽減

– （IGMP デバイスの場合）IGMP スヌーピングによってマルチメディア トラフィックとマルチキャスト トラフィックを転送。

• IGMP レポート抑制。1 つのマルチキャスト ルータ クエリーにつき 1 つの IGMP レポートだけをマルチキャスト デバイスへ送信します（IGMPv1 または IGMPv2 クエリーだけをサポート）。

• IGMP スヌーピング クエリー サポート。IGMP 一般クエリー メッセージを定期的に生成するようにスイッチを設定します。

• IGMP ヘルパーにより、スイッチでホスト要求を転送して、特定の IP 宛先アドレスにマルチキャスト ストリームを加入させることが可能。

• Multicast VLAN Registration（MVR; マルチキャスト VLAN レジストレーション）により、マルチキャスト VLAN 内でマルチキャスト ストリームを継続的に送信しながら、帯域幅およびセキュリティ上の理由から、加入者 VLAN からストリームを分離します。

• IGMP フィルタリングにより、スイッチ ポート上のホストが所属できるマルチキャスト グループ セットを管理します。

• IGMP スロットリング。IGMP 転送テーブルのエントリ数が最大になったときのアクションを設定します。

• ネットワーク終了の待ち時間を設定できる IGMP の Leave タイマー

• Switch Database Management（SDM）テンプレートにより、ユーザ側で選択する機能へのサポートを最大化するようにシステム リソースを割り当てられます。

• Web Cache Communication Protocol（WCCP）。トラフィックのローカル広域アプリケーション エンジンへのリダイレクト、コンテンツ要求のローカルでの対処、およびネットワーク内の Web トラフィック パターンのローカライズ（IP サービス イメージが必要）を行います。

• Cisco IOS IP Service Level Agreements（SLA）は、Cisco IOS ソフトウェアの一部で、アクティブなトラフィックをモニタリングしてネットワーク パフォーマンスを測定します。Cisco IOS IP SLA responder をサポートし、システムがネットワーク パフォーマンスをモニタリングするために Cisco IOS IP SLA の要求パケットを予期して応答することが可能になります。応答側の設定については、リリース ノートを参照してください。

管理オプション

次のオプションは、スイッチの設定と管理を実行します。

• 組み込みデバイス マネージャ：GUI のデバイス マネージャがソフトウェア イメージに組み込まれています。このデバイス マネージャは、単体のスイッチの設定、管理に使用します。デバイス マネージャの起動については、スタートアップ ガイドを参照してください。デバイス マネージャの詳細については、スイッチのオンライン ヘルプを参照してください。

• Network Assistant：Network Assistant は、Cisco.com からダウンロードできるネットワーク管理アプリケーションです。単一のスイッチ、スイッチ クラスタ、デバイスのコミュニティの管理に使用します。Network Assistant の詳細については、Cisco.com から入手できる『 Getting Started with Cisco Network Assistant 』を参照してください。

• CLI：Cisco IOS ソフトウェアは、デスクトップ スイッチングおよびマルチレイヤ スイッチング機能をサポートします。CLI にアクセスするには、管理ステーションをスイッチ コンソール ポートに直接接続するか、リモート管理ステーションから Telnet を利用します。CLI の詳細については、を参照してください。

• SNMP：CiscoWorks 2000 LAN Management Suite（LMS）および HP OpenView などの SNMP 管理アプリケーション。HP OpenView、SunNet Manager などのプラットフォームが稼働している SNMP 対応管理ステーションから管理できます。スイッチは豊富な MIB 拡張機能および 4 つの Remote Monitoring（RMON）グループをサポートします。SNMP の詳しい使用方法については、を参照してください。

• Cisco Networking Services（CNS）：ネットワーク デバイスとサービスの展開および管理を自動化するコンフィギュレーション サービスとして動作するネットワーク管理ソフトウェアです。スイッチごとに設定変更の内容を生成してスイッチに送信し、その設定変更を適用した後、その結果を記録することで初期設定および設定の更新を自動化できます。

CNS の詳細については、を参照してください。

管理の簡易性に関する機能

次に、管理の容易さに関する機能を示します。

• スイッチ管理、設定ストレージ、および配信を自動化するための CNS の組み込み型エージェント。

• Dynamic Host Configuration Protocol（DHCP）によるスイッチ情報（IP アドレス、デフォルト ゲートウェイ、ホスト名、Domain Name System（DNS; ドメイン ネーム システム）、TFTP サーバ名）の自動設定。

• DHCP リレーによる DHCP クライアントからのユーザ データグラム プロトコル（UDP）ブロードキャストの転送（IP アドレス要求を含む）。

• DHCP サーバによる IP アドレスおよびその他の DHCP オプションの IP ホストへの自動割り当て。

• IP アドレスおよび対応するホスト名からスイッチを特定することを目的とした、ユニキャスト要求の DNS サーバへの転送、および TFTP サーバからソフトウェア アップグレードを管理することを目的とした、ユニキャスト要求の TFTP サーバへの転送。

• Address Resolution Protocol（ARP; アドレス解決プロトコル）。IP アドレスおよび対応する MAC アドレスによってスイッチを特定します。

• 特定の送信元 MAC アドレスおよび宛先 MAC アドレスを持ったパケットをドロップするユニキャスト MAC アドレス フィルタリング。

• Cisco Discovery Protocol（CDP）バージョン 1 および 2。ネットワーク トポロジを検出し、ネットワーク上のスイッチと他のシスコ デバイスとのマッピングを行います。

• リンク層検出プロトコル（LLDP）および LLDP Media Endpoint Discovery（LLDP-MED）によるサードパーティ製 IP 電話との相互運用性の確保。

• スイッチからエンドポイント デバイスへロケーション情報を提供する LLDP メディア拡張（LLDP-MED）ロケーション TLV。

• ネットワーク タイム プロトコル（NTP）により、外部ソースから全スイッチに一貫したタイムスタンプを提供します。

• Cisco IOS File System（IFS）。スイッチが使用するすべてのファイル システムに対して単一インターフェイスを提供します。

• IPv6 トランスポートを利用し、IPv6 ピアと通信し、IPv6 ルートをアドバタイズするための Enhanced Interior Gateway Routing Protocol（EIGRPIP）v6 のサポート

• 次の IP サービスが複数のルーティング インスタンス上で動作できるように、これらを VRF 対応にするサポート機能：HSRP、uRPF、ARP、SNMP、IP SLA、TFTP、FTP、Syslog、traceroute、および ping

• スイッチの設定変更を記録して表示させるコンフィギュレーション ロギング。

• 一意のデバイス ID。 show inventory ユーザ EXEC コマンドで製品の ID 情報が表示されます。

• Netscape Communicator または Microsoft Internet Explorer ブラウザ セッションでデバイス マネージャを使用した帯域内管理アクセス。

• 最大 16 の Telnet 接続を同時に使用できる帯域内管理アクセス。ネットワーク上で複数の CLI ベース セッションを実行できます。

• ネットワーク上の複数の CLI セッションに対する、最大 5 つの同時暗号化 Secure Shell（SSH; セキュア シェル）接続の確立によって帯域内管理が可能です（ソフトウェアの IP ベース イメージおよび IP サービス イメージの暗号化バージョンが必要）。

• SNMP のバージョン 1、バージョン 2c、およびバージョン 3 の get および set 要求による帯域内管理アクセス。

• 帯域外管理アクセス。スイッチのコンソール ポートに端末を直接接続するか、またはシリアル接続とモデム経由でリモート端末に接続します。

• スイッチの設定やスイッチ イメージ ファイルをコピーするための安全な認証方法を提供する Secure Copy Protocol（SCP）機能（ソフトウェアの IP ベース イメージと IP サービス イメージの暗号化バージョンが必要）保存された Cisco IOS コンフィギュレーション ファイルでスイッチの実行コンフィギュレーションを置き換えるコンフィギュレーションの置換とロールバック

アベイラビリティおよび冗長性に関する機能

アベイラビリティおよび冗長性に関する機能を次に示します。

• HSRP により、コマンド スイッチとレイヤ 3 ルータの冗長性を確立します。

• 拡張オブジェクト トラッキングは HSRP とトラッキング メカニズムを分離し、HSRP 以外のプロセスで使用可能な個別のスタンドアロン型トラッキング プロセスを作成します。

• 単一方向リンク検出（UDLD）およびアグレッシブ UDLD。光ファイバ ケーブルの配線ミスまたはポート障害に起因する光ファイバ インターフェイス上の単一方向リンクを検出し、ディセーブルにします。

• IEEE 802.1D スパニングツリー プロトコル（STP）による冗長バックボーン接続およびループフリー ネットワーク。STP には次の機能があります。

– 最大 128 のスパニングツリー インスタンスをサポート。

– Per-VLAN Spanning-Tree Plus（PVST+）による VLAN 間でのロード バランシング。

– Rapid PVST+ による、VLAN 間でのロード バランシングおよびスパニングツリー インスタンスの高速コンバージェンスの実現。

– UplinkFast および BackboneFast によって、スパニングツリー トポロジーの変更後に高速コンバージェンスを実行し、ギガビット アップリンクなどの冗長アップリンク間のロードバランシングを達成。

• IEEE 802.1s Multiple Spanning-Tree Protocol（MSTP）により、VLAN をスパニングツリー インスタンスに分類、またデータ トラフィックおよびロード バランシング用に複数の転送パスを確保します。また、IEEE 802.1w 高速スパニングツリー プロトコル（RSTP）に基づいた Rapid Per-VLAN Spanning-Tree plus（Rapid PVST+）により、ルートと指定ポートをただちにフォワーディング ステートに変更することで、スパニングツリーの高速コンバージェンスが実現されます。

• PVST+、Rapid-PVST+、および MSTP モードで使用できるスパニングツリーのオプション機能は次のとおりです。

– PortFast。ポートをブロッキング ステートからフォワーディング ステートへただちに変更させることによって、転送遅延を防ぎます。

– BPDU ガード。ブリッジ プロトコル データ ユニット（BPDU）を受信する PortFast 対応ポートをシャットダウンします。

– BPDU フィルタリング。PortFast 対応ポートで BPDU の送受信ができなくなります。

– ルート ガード。ネットワーク コア外のスイッチがスパニングツリー ルートになることを防ぎます。

– ループ ガード。 代替ポートまたはルート ポートが、単一方向リンクの原因となる障害によって指定ポートになることを防ぎます。

• 等コスト ルーティングにより、リンク レベルとスイッチ レベルの冗長性を確立します。

• Flex Link レイヤ 2 インターフェイス。基本リンク冗長の STP に代わるものとして、互いにバックアップします。

• リンクステート トラッキング。接続されたホストとサーバからのアップストリーム トラフィックを伝送するポートの状態をミラーリングします。また、別のシスコ製イーサネット スイッチで動作するリンクへサーバ トラフィックをフェールオーバーすることができます。

• Cisco RPS 300 および Cisco RPS 675 による RPS サポート。電源の信頼性が向上します。

VLAN 機能

次に、VLAN に関する機能を示します。

• 最大 1005 個の VLAN をサポート。適切なネットワーク リソース、トラフィック パターン、および帯域幅を対応付けて、VLAN にユーザを割り当てることができます。

• IEEE 802.1Q 規格で認められている 1 ～ 4094 の範囲で VLAN ID をサポート。

• ダイナミック VLAN メンバーシップに対応する VLAN Query Protocol（VQP）。

• すべてのポート上で稼働する ISL（スイッチ間リンク）および IEEE 802.1Q トランキング カプセル化。ネットワークの移動、追加、変更や、ブロードキャストおよびマルチキャスト トラフィックの管理および制御、さらに、ハイセキュリティ ユーザおよびネットワーク リソース別の VLAN グループの確立によるネットワーク セキュリティを実現します。

• Dynamic Trunking Protocol（DTP; ダイナミック トランキング プロトコル）。2 台のデバイス間のリンク上でトランキングをネゴシエートするだけでなく、使用するトランキング カプセル化のタイプ（IEEE 802.1Q または ISL）もネゴシエートします。

• VLAN トランキング プロトコル（VTP）および VTP プルーニング。トラフィックのフラッディングをそのトラフィックを受信するステーションへのリンクだけに制限することによって、ネットワーク トラフィックを削減します。

• 音声 VLAN。Cisco IP Phone から音声トラフィック用のサブネットを作成します。

• VLAN 1 の最小化：VLAN 1 を任意の個々の VLAN トランク リンクでディセーブル化することで、スパニングツリー ループまたはストームのリスクを軽減。この機能をイネーブルに設定すると、トランク上でユーザ トラフィックは送受信されません。スイッチの CPU は、引き続き制御プロトコル フレームの送受信を行います。

• プライベート VLAN。VLAN スケーラビリティ問題に対応します。より制限された IP アドレスを割り当て、スイッチ上で、レイヤ 2 ポートを他のポートから切り離します。

• ポートで学習する MAC アドレス数を制限する、またはポートで学習する MAC アドレスを定義する、PVLAN ホストでのポート セキュリティ。

• VLAN Flex Link ロード バランシング：スパニングツリー プロトコル（STP）を必要としないレイヤ 2 冗長性を提供。プライマリおよびバックアップ リンクとして設定したインターフェイスのペアを使用して、VLAN ベースによるトラフィックのロード バランシングが可能です。

セキュリティ機能

スイッチには、次のセキュリティ機能が搭載されています。

• アクティブ トラフィック モニタリングを使用してネットワーク パフォーマンスを測定するための IP Service Level Agreement（IP SLA; IP サービス レベル契約）のサポート。

• IP SLA EOT。スタンバイ ルータ フェールオーバーを実行するために、遅延、ジッタ、またはパケット損失などのアクションによってトリガーされた IP SLA 追跡動作の出力を使用します。

• Web 認証。IEEE 802.1x 機能をサポートしないサプリカント（クライアント）に Web ブラウザを使用して認証可能になります。

• MAC authentication bypass（MAB; MAC 認証バイパス）エージング タイマー。MAB を使用して認証した後に認証された非アクティブのホストを検出します。

• 管理インターフェイス（デバイス マネージャ、Network Assistant、CLI）へのパスワード保護付きアクセス（読み取り専用および読み書きアクセス）。不正な設定変更を防止します。

• セキュリティ レベル、通知、および対応するアクションを選択できる、マルチレベル セキュリティ。

• セキュリティを確保できるスタティック MAC アドレッシング。

• 保護ポート オプション。同一スイッチ上の指定ポートへのトラフィック転送を制限します。

• ポートにアクセスできるステーションの MAC アドレスを制限または特定するポート セキュリティ オプション。

• VLAN 認識ポート セキュリティ オプション。違反の発生時にポート全体をシャットダウンするのではなく、そのポート上の VLAN をシャットダウンします。

• ポート セキュリティ エージング。ポートのセキュア アドレスにエージング タイムを設定します。

• BPDU ガード。無効なコンフィギュレーションが発生した場合に、PortFast が設定されているポートをシャットダウンします。

• 標準および拡張 IP アクセス コントロール リスト（ACL）。ルーテッド インターフェイス（ルータ ACL）と VLAN の双方向およびレイヤ 2 インターフェイス（ポート ACL）の受信方向に関するセキュリティ ポリシーを定義します。

• MAC 拡張アクセス コントロール リスト。レイヤ 2 インターフェイスの着信方向のセキュリティ ポリシーを定義します。

• VLAN ACL（VLAN マップ）。MAC、IP、および TCP/UDP ヘッダーの情報に基づいてトラフィックをフィルタリングし、VLAN 内のセキュリティを確保します。

• 非 IP トラフィックをフィルタリングする、送信元および宛先 MAC ベースの ACL。

• インターフェイスに適用される IPv6 ACL。IPv6 トラフィックをフィルタリングします。

• untrusted（信頼性のない）ホストと DHCP サーバの間の untrusted DHCP メッセージをフィルタリングする DHCP スヌーピング。

• DHCP スヌーピング データベース、および IP ソース バインディングに基づいてトラフィックをフィルタリングすることにより、非ルーテッド インターフェイスでのトラフィックを制限する IP ソース ガード。

• 不正な ARP 要求や応答を同じ VLAN 上のその他のポートにリレーしないことにより、スイッチに対する悪意のある攻撃を回避するためのダイナミック ARP インスペクション。

• IEEE 802.1Q トンネリングにより、サービスプロバイダーのネットワークをまたがるリモート サイトにユーザがいるカスタマーは、その他のカスタマーから VLAN を分離できます。レイヤ 2 プロトコル トンネリングにより、すべてのユーザに関する完全な STP 情報、CDP 情報、VTP 情報が、カスタマー ネットワークに含まれます。

• レイヤ 2 ポイントツーポイント トンネリング。EtherChannel を自動的に作成します。

• レイヤ 2 プロトコル トンネリングのバイパス機能。サードパーティ ベンダーとの相互運用性を実現します。

• IEEE 802.1x ポートベース認証。不正なデバイス（クライアント）によるネットワーク アクセスを防止します。次の機能がサポートされています。

– データ装置と IP Phone などの音声装置（シスコ製品またはシスコ以外の製品）の両方が、同じ IEEE 802.1x 対応スイッチ ポートにおいて、単独で認証できるようにするマルチドメイン認証（MDA）。

– MDA のダイナミック音声 VLAN（仮想 LAN）。ダイナミック音声 VLAN が MDA 対応ポートで可能になります。

– VLAN 割り当て。802.1x 認証ユーザを特定の VLAN に制限します。

– ポート セキュリティ。IEEE 802.1x ポートへのアクセスを制御します。

– 音声 VLAN。ポートが許可ステートか無許可ステートかにかかわらず、Cisco IP Phone の音声 VLAN へのアクセスを許可します。

– IP Phone 検出機能拡張。Cisco IP Phone を検出し識別します。

– ゲスト VLAN。802.1x に適合しないユーザに限定的なサービスを提供します。

– 制限付き VLAN。IEEE 802.1x に準拠はしているが、標準の IEEE 802.1x で認証するための資格情報を持っていないユーザに制限付きのサービスを提供します。

– IEEE 802.1x アカウンティング。ネットワーク使用を追跡します。

– IEEE 802.1x と LAN のウェイクアップ機能。休止状態の PC に、特定のイーサネット フレームを送信して起動させます。

• MAC 認証バイパス。クライアント MAC アドレスに基づいてクライアントを許可します。

• Network Admission Control（NAC）機能：

– デバイスのネットワーク アクセスを許可する前の、エンドポイント システムやクライアントのウイルス対策の状態または ポスチャ に関する NAC レイヤ 2 IEEE 802.1x 検証

NAC レイヤ 2 IEEE 802.1x 検証の設定に関する詳細については、を参照してください。

– デバイスのネットワーク アクセスを許可する前の、エンドポイント システムまたはクライアントのポスチャに関する NAC レイヤ 2 IP 検証

NAC レイヤ 2 IP 検証の詳細については、『 Network Admission Control Software Configuration Guide 』を参照してください。

– IEEE 802.1x アクセス不能認証バイパス

この機能の設定については、を参照してください。

– 認証、許可、アカウンティング（AAA）ダウン ポリシー。ポスチャ検証が発生したときに、AAA サーバが利用できない場合のホストの NAC レイヤ 2 IP 検証

この機能の詳細については、『 Network Admission Control Software Configuration Guide 』を参照してください。

• Terminal Access Controller Access Control System Plus（TACACS+）。TACACS サーバを介してネットワーク セキュリティを管理する独自の機能です。

• RADIUS により、AAA サービスを使用して、リモートユーザの ID の検証、アクセスの許可、アクションのトラッキングを実行

• Kerberos セキュリティ システム。信頼できるサードパーティを使用して、ネットワーク リソースに対する要求を認証します（ソフトウェアの IP ベース イメージと IP サービス イメージの暗号化バージョンが必要）。

• HTTP 1.1 サーバ認証、暗号化、メッセージ整合性、HTTP クライアント認証用に Secure Socket Layer（SSL）バージョン 3.0 がサポートされ、安全な HTTP 通信が可能になります（ソフトウェアの IP ベース イメージと IP サービス イメージの暗号化バージョンが必要）。

QoS および CoS 機能

次に、QoS および CoS 機能を示します。

• auto-QoS（自動 QoS）。トラフィックの分類と出力キューの設定を自動化することで既存の QoS 機能の展開を簡略化します。

• ポートベースの信頼の自動 Quality of Service（QoS）VoIP 拡張と DSCP および出トラフィックのプライオリティ キューイング

• 分類

– IP Type of Service/Differentiated Services Code Point（IP ToS/DSCP）および IEEE 802.1p CoS のポート単位でのプライオリティ設定。ミッション クリティカルなアプリケーションのパフォーマンスを保護します。

– IP ToS/DSCP および IEEE 802.1p CoS（サービス クラス）のフローベースのパケット分類（MAC、IP、および TCP/UDP ヘッダーに含まれる情報に基づく）によるマーキング。ネットワーク エッジで高性能な QoS 機能を提供し、ネットワーク トラフィックのタイプ別に差別化されたサービス レベルを可能にするとともに、ネットワーク上のミッション クリティカルなトラフィックにプライオリティを設定します。

– QoS ドメイン内および別の QoS ドメインとの境界ポートにおける、trusted（信頼性のある）ポート ステート（CoS、DSCP、および IP precedence）。

– 信頼境界機能。Cisco IP Phone の存在を検出し、受信した CoS 値を信頼して、ポート セキュリティを確保します。

• ポリシング

– 特定のトラフィック フローに対してどの程度のポート帯域幅を割り当てるかを管理する、スイッチ ポート上のトラフィック ポリシング ポリシー。

– Cisco IOS Release 12.2(25)SED 以降では、階層型のポリシーマップで複数のクラスマップを作成する場合、各クラスマップを自身のポートレベル（第 2 レベル）ポリシーマップと関連付けることができます。第 2 レベルのポリシーマップは、それぞれ異なるポリサーを保有できます。

– トラフィック フローのポリシングをまとめて行う集約ポリシング。特定のアプリケーションまたはトラフィック フローをあらかじめ定義された特定のレートに制限します。

• 不適合

– 帯域幅の使用制限を超過したパケットの不適合マークダウン。

• 入力キューイングおよびスケジューリング

– ユーザ トラフィック用に設定可能な 2 つの入力キュー（一方のキューをプライオリティ キューにできます）。

– 輻輳回避メカニズムとしての Weighted Tail Drop（WTD）。キュー長を管理し、トラフィックの分類ごとに異なる廃棄優先順位を設定します。

– シェイプド ラウンドロビン（SRR）：パケットがキューから内部リングへ送出されるときのレートを決定するスケジューリング サービス（入力キューでサポートされる唯一のモードはシェアリング）。

• 出力キューおよびスケジューリング

– 1 ポートに 4 つの出力キュー。

– 輻輳回避メカニズムとしての WTD。キュー長を管理し、トラフィックの分類ごとに異なる廃棄優先順位を設定します。

– スケジューリング サービスとしての SRR。キューからパケットを出して出力インターフェイスに入れる速度を指定します（出力キューではシェーピングおよび共有がサポートされます）。シェーピング型出力キューは、ポート帯域幅の割り当てが保証されますが、割り当てられたポート帯域幅の使用に制限されています。共有型出力キューは、設定された帯域幅の割り当てが保証されるだけではなく、他のキューが空になり、その割り当て分の帯域幅が使用されない場合、保証された割り当てより多く使用できます。

レイヤ 3 機能

次に、レイヤ 3 機能について説明します。

（注） ここで取り上げる一部の機能は IP サービス イメージだけに対応しています。

• レイヤ 3 ルータの冗長性を実現する HSRP

• IP ルーティング プロトコルによるロード バランシングとスケーラブルなルーテッド バックボーンの構築

– RIP バージョン 1 および 2

– OSPF（IP サービス イメージが必要）。

– Enhanced Interior Gateway Routing Protocol（EIGRPIP）IPv6。IPv6 トランスポートを利用し、IPv6 ピアと通信し、IPv6 ルートをアドバタイズします。

– Border Gateway Protocol（BGP; ボーダー ゲートウェイ プロトコル）バージョン 4（IP サービス イメージが必要）

• 2 つ以上の VLAN 間の完全レイヤ 3 ルーティング対応の IP ルーティング（VLAN 間ルーティング）により、各 VLAN が独自の自律データリンク ドメインのメンテナンスが可能

• ポリシーベース ルーティング（PBR）。トラフィック フローに定義済みポリシーを設定。

• カスタマー エッジ デバイスの Multiple VPN Routing/Forwarding（Multi-VRF）インスタンス。サービス プロバイダーが、複数のバーチャル プライベート ネットワーク（VPN）をサポートし、VPN 間で IP アドレスを重複できるようにします（IP サービス イメージが必要）。

• フォールバック ブリッジング。2 つ以上の VLAN 間で非 IP トラフィックを転送します（IP サービス イメージが必要）。

• スタティック IP ルーティングによるネットワーク パス情報のルーティング テーブル手動作成

• 等価コスト ルーティングによるロード バランシングおよび冗長構成

• Internet Control Message Protocol（ICMP）および ICMP Router Discovery Protocol（IRDP）：ルータのアドバタイズおよびルータ請求メッセージによる直接接続サブネット上のルータのアドレス検索

• Protocol-Independent Multicast（PIM）によるネットワーク内マルチキャスト ルーティング。これにより、ネットワーク内のデバイスは要求されたマルチキャスト フィードの受信が可能になり、マルチキャストに参加しないスイッチのプルーニングが可能になります。PIM Sparse Mode（PIM-SM; PIM スパース モード）、PIM Dense Mode（PIM-DM; PIM デンス モード）、および PIM スパース-デンス モードのサポートが含まれます（IP サービス イメージが必要）。

• Multicast Source Discovery Protocol（MSDP）による複数の PIM-SM ドメインの接続（IP サービス イメージが必要）

• Distance Vector Multicast Routing Protocol（DVMRP）トンネリングによる非マルチキャスト ネットワークでの 2 つのマルチキャスト対応ネットワークの相互接続（IP サービス イメージが必要）

• DHCP リレーによる、IP アドレス要求など DHCP クライアントからの UDP ブロードキャストの転送

• 設定されたインターフェイスを介して IPv6 トラフィックを転送するための IPv6 ユニキャスト ルーティング機能（拡張 IP サービス イメージが必要）

• Nonstop Forwarding（NSF）認識。プライマリ ルート プロセッサ（RP）で障害が発生していて、バックアップ RP が引き継ぐ場合、またはプライマリ RP で無停止のソフトウェア アップグレードのリロードが手動で行われる場合、レイヤ 3 スイッチは NSF 対応隣接ルータからのパケットを継続して転送することができます（IP サービス イメージが必要）。

Power over Ethernet の機能

次に、Power over Ethernet（PoE）機能について説明します。

• 回路に電気が流れていないことがスイッチにより検出されたときに、PoE 対応ポートから、接続された Cisco 準規格の受電デバイス、および IEEE 802.3af 準拠の受電デバイスに電力を提供することができます。

• 電力消費を伴う CDP のサポート。受電デバイスは、スイッチが消費している電力量を、このスイッチに知らせます。

• Cisco インテリジェント電力管理のサポート 受電デバイスとスイッチは、電力消費レベルの合意に向け、電力ネゴシエーション CDP メッセージを通じてネゴシエーションします。このネゴシエーションにより、高性能の Cisco 受電デバイスが最高の電力モードで動作できるようになります。

• 自動検出および電力バジェット。スイッチは、電力バジェットの維持、電力要求のモニタおよび追跡を行いながら、電力が使用可能である場合だけ電力を許可します。

モニタ機能

次に、モニタリング機能を示します。

• スイッチ LED によるポートレベルおよびスイッチレベルのステータス。

• MAC アドレス通知トラップおよび RADIUS アカウンティング。スイッチが学習または削除した MAC アドレスを保存することによって、ネットワーク上のユーザをトラッキングします。

• Switched Port Analyzer（SPAN; スイッチド ポート アナライザ）および Remote SPAN（RSPAN）。任意のポートまたは VLAN について、トラフィック モニタリングが可能です。

• Intrusion Detection System（IDS; 侵入検知システム）における SPAN および RSPAN のサポート。ネットワーク セキュリティ違反をモニタ、撃退、およびレポートします。

• 組み込み RMON エージェントの 4 つのグループ（履歴、統計、アラーム、およびイベント）を使用して、ネットワークをモニタし、トラフィック解析を行うことができます。

• Syslog 機能。認証または許可エラー、リソースの問題、およびタイムアウト イベントに関するシステム メッセージを記録します。

• レイヤ 2 traceroute。パケットが送信元デバイスから宛先デバイスへ送られる物理パスを識別します。

• Time Domain Reflector（TDR）。10/100/1000 の銅線イーサネット ポートでケーブル接続の問題を診断し、解決します。

• SFP モジュール診断管理インターフェイス。SFP モジュールの物理または動作ステータスをモニタします。

• 汎用オンライン診断。スイッチが稼働中のネットワークに接続している間に、スーパーバイザ エンジン、モジュール、およびスイッチのハードウェア機能をテストします。

• HSRP に対する拡張オブジェクト トラッキング

スイッチを使用する場合の設計概念

ネットワーク帯域幅をめぐってネットワーク ユーザが競合すると、データの送受信に要する時間が長くなります。ネットワークを設計する時点で、ネットワーク ユーザが必要とする帯域幅を考慮するとともに、ユーザが使用する各種ネットワーク アプリケーションの相対的な優先順位について検討する必要があります。

表 1-1 に、ネットワーク パフォーマンスが低下する原因を説明するとともに、ネットワーク ユーザが使用できる帯域幅を増加させるための、ネットワークの設計方法を示します。

ネットワーク設計では、帯域幅が唯一の考慮事項というわけではありません。ネットワーク トラフィックのプロファイルが発展するにしたがって、音声とデータの統合、マルチメディアの統合、アプリケーションのプライオリティ処理、およびセキュリティに対応するアプリケーションをサポートできるようなネットワーク サービスの提供を検討してください。 表 1-2 で、ネットワークに対する需要について説明し、その需要を満たす方法を示します。

スイッチを使用して、次のものを作成できます。

• 高性能ワークグループに適したコスト効率の高いギガビットツーデスクトップ（図 1-1）：ネットワーク リソースへの高速アクセスを実現するには、Cisco Catalyst 3560 スイッチをアクセス レイヤで使用して、デスクトップにギガビット イーサネットを提供します。輻輳を回避するために、各スイッチ上で QoS DSCP マーキングによるプライオリティ設定を使用します。ディストリビューション レイヤで高速 IP 転送を実現するには、アクセス レイヤのスイッチを、Catalyst 3750 スイッチなどのルーティング機能を備えたギガビット マルチレイヤ スイッチまたはルータに接続します。

最初の図は、分離された高性能なワークグループを示します。ここでは、Catalyst 3560 スイッチがディストリビューション レイヤ内の Catalyst 3750 スイッチに接続されています。2 番目の図は、支店内の高性能なワークグループを示します。ここでは、Catalyst 3560 スイッチがディストリビューション レイヤ内のルータに接続されています。

この構成では、各スイッチはネットワーク リソースにアクセスするための、専用の 1 Gbps 接続をユーザに提供します。また、SFP モジュールを使用すると、光ファイバ接続におけるメディアおよび距離のオプションに柔軟性が提供されます。

図 1-1 高性能なワークグループ（GTTD）

• サーバ集約（図 1-2）：スイッチを使用してサーバ グループを相互に接続し、ネットワークの物理的なセキュリティと管理を一元化できます。ディストリビューション レイヤで高速 IP 転送を実現するには、アクセス レイヤ スイッチを、ルーティング機能を備えたマルチレイヤ スイッチに接続します。ギガビットの相互接続によって、データ フローの遅延を最小限に抑えることができます。

スイッチ上の QoS およびポリシングによって、特定のデータ ストリームが優先的に処理されます。トラフィック ストリームはいくつかの経路に分けられて処理されます。スイッチのセキュリティ機能によって、パケットの高速処理が保証されます。

サーバ ラックからコアへの耐障害性は、冗長ギガビット EtherChannel を持つスイッチに接続された、デュアル ホーミング サーバによって達成されます。

スイッチのデュアル SFP モジュール アップリンクを使用すると、ネットワーク コアに冗長アップリンクが提供されます。SFP モジュールを使用すると、光ファイバ接続におけるメディアおよび距離のオプションに柔軟性が提供されます。

図 1-2 サーバ集約

Catalyst 3560 スイッチを使用した中小規模のネットワーク

図 1-3 に、最大 500 人の社員を対象とするネットワークの構成例を示します。このネットワークでは、2 つのルータへの高速接続を実現する Catalyst 3560 レイヤ 3 スイッチを使用します。ネットワークの信頼性とロード バランシングのために、このネットワークではルータとスイッチで HSRP をイネーブルにしてあります。これによって、ルータまたはスイッチの 1 つに障害が発生しても、インターネット、WAN、およびミッション クリティカルなネットワーク リソースへの接続が保証されます。スイッチは、より高速にフェールオーバーを実行するためにルーテッド アップリンクを使用しています。また、ロード バランシングと冗長構成用に等コスト ルーティングが設定されています

スイッチは、ワークステーション、ローカル サーバ、および IEEE 802.3af 準拠（および非準拠）の受電デバイス（Cisco IP Phone など）に接続されています。サーバ ファームには、Cisco CallManager（CCM）ソフトウェアを実行するコール処理サーバが含まれます。CCM は、コール処理、ルーティング、および Cisco IP Phone 機能とその設定を制御します。スイッチは、ギガビット インターフェイスによって相互接続されています。

このネットワークでは、VLAN を使用してネットワークを明確なブロードキャスト グループとして論理的に分割し、セキュリティ管理を行っています。データ トラフィックおよびマルチメディア トラフィックは同じ VLAN 上で設定されます。Cisco IP Phone からの音声トラフィックは、別個の VVID 上に設定します。データ、マルチメディア、および音声トラフィックを同じ VLAN に割り当てる場合は、ワイヤリング クローゼットごとに 1 つの VLAN しか設定できません。

ある VLAN のエンド ステーションが別の VLAN にあるエンド ステーションと通信する必要がある場合、ルータまたはレイヤ 3 スイッチが宛先 VLAN にトラフィックをルーティングします。このネットワークでは、スイッチが VLAN 間ルーティングを行います。スイッチ上の VLAN アクセス コントロール リスト（VLAN マップ）が VLAN 内セキュリティを設定し、不正ユーザがネットワークの重要な領域にアクセスしないようにします。

VLAN 間ルーティング以外に、マルチレイヤ スイッチが DSCP プライオリティなどの QoS メカニズムを使用して各種ネットワーク トラフィックに優先順位を付け、ハイ プライオリティ トラフィックを配信します。輻輳が発生した場合、QoS が低優先順位トラフィックをドロップし、高優先順位トラフィックを伝送できるようにします。

Catalyst PoE スイッチと接続している先行標準の受電デバイスおよび IEEE 802.3af 準拠の受電デバイスでは、IEEE 802.1p/Q QoS を使用することにより、音声トラフィックをデータ トラフィックよりも優先的に転送できます。

Catalyst PoE スイッチ ポートは、シスコの先行標準の受電デバイスおよび IEEE 802.3af 準拠の受電デバイスの接続を自動的に検出します。各 PoE スイッチ ポートは、各ポートに 15.4 W の電力を供給します。受電デバイス（Cisco IP Phone など）が AC 電源に接続されている場合、冗長化された電力供給を受けることができます。Catalyst PoE スイッチに接続していない受電デバイスは、電力を得るために AC 電源に接続する必要があります。

CCM は、コール処理、ルーティング、および Cisco IP Phone 機能とその設定を制御します。Cisco SoftPhone ソフトウェアを実行しているワークステーションを使用するユーザは、PC からのコールを配置、受信、および制御できます。Cisco IP Phone、CCM ソフトウェア、および Cisco SoftPhone ソフトウェアを使用することで、テレフォニーと IP ネットワークを統合でき、IP ネットワークが音声とデータをサポートします。

VLAN 間ルーティングや他のネットワーク サービスを提供するマルチレイヤ スイッチを使用することで、ルータが重点を置くのは、ファイアウォール サービス、ネットワーク アドレス変換（NAT）サービス、Voice over IP（VoIP）ゲートウェイ サービス、WAN およびインターネット アクセスです。

図 1-3 コラプスト バックボーン構成の Catalyst 3560 スイッチ

Catalyst 3560 スイッチを使用した大規模ネットワーク

ワイヤリング クローゼット内のスイッチは、従来、レイヤ 2 デバイスだけでしたが、ネットワーク トラフィック プロファイルが拡大するにつれ、ワイヤリング クローゼット内のスイッチでマルチキャスト管理やトラフィック分類などのマルチレイヤ サービスがますます採用されつつあります。図 1-4に、ワイヤリング クローゼットに Catalyst 3560 マルチレイヤ スイッチ と、最大 10 のワイヤリング クローゼットを集約する 2 台のバックボーン スイッチ（Catalyst 6500 スイッチなど）だけを使用するネットワークの構成を示します。

ワイヤリング クローゼットの各スイッチは、IGMP スヌーピングがイネーブルになっていて、効率的にマルチメディアおよびマルチキャスト トラフィックを伝送します。帯域幅制限に基づいて不適合トラフィックを廃棄またはマークする QoS ACL も、各スイッチ上で設定されます。VLAN マップは VLAN 内セキュリティを提供し、不正ユーザがネットワークの重要な部分にアクセスしないようにします。QoS 機能は、ポート単位またはユーザ単位で帯域幅を制限します。スイッチ ポートは trusted または untrusted で設定します。CoS 値、DSCP 値、または IP precedence を信頼するように trusted ポートを設定できます。untrusted でポートを設定した場合は、ACL を使用し、ネットワーク ポリシーに従ってフレームをマークできます。

各スイッチは、VLAN 間ルーティングを提供します。これらは、プロキシ ARP サービスを提供して IP および MAC アドレスのマッピングを取得するので、ルータからこのタスクを取り除き、WAN リンクでのこのタイプのトラフィックを削減します。また、各アップリンク ポートを trusted ルーテッド アップリンクに設定し、アップリンク障害が生じた場合は高速コンバージェンスを行うように設定して、バックボーン スイッチに対して冗長アップリンク接続を行います。

ルータおよびバックボーン スイッチでは、HSRP をイネーブルにして、ロード バランシングおよび冗長接続を実行可能にして、ミッションクリティカルなトラフィックを保証します。

図 1-4 バックボーン構成でのワイヤリング クローゼットの Catalyst 3560 スイッチ

長距離広帯域トランスポートの構成

図 1-5に、8 Gbps のデータを 1 本の光ファイバ ケーブルで伝送する構成を示します。Catalyst 3560 スイッチには、Coarse Wavelength-Division Multiplexer（CWDM）光ファイバ SFP モジュールが搭載されています。CWDM SFP モジュールに応じて、データは 1470 ～ 1610 nm の波長で送信されます。波長が高くなるほど、伝送できる距離が長くなります。長距離伝送用に使われる一般的な波長は 1550 nm です。

CWDM SFP モジュールは、最大 393,701 フィート（74.5 マイルまたは 120 km）の距離で、CWDM Optical Add/Drop Multiplexer（OADM; オプティカル Add/Drop マルチプレクサ）モジュールに接続します。CWDM OADM モジュールは、さまざまな CWDM 波長を結合（ 多重化 して）、同じ光ファイバ ケーブル上で同時に伝送できるようにします。受信側エンドの CWDM OADM モジュールは、さまざまな波長を分離（ 逆多重化 ）します。

CWDM SFP モジュールおよび CWDM OADM モジュールの詳細については、『 Cisco CWDM GBIC and CWDM SFP Installation Note 』を参照してください。

図 1-5 長距離広帯域トランスポートの構成