機能
スイッチには、アクセス コントロール リスト(ACL)や Quality of Service(QoS)などの基本的なレイヤ 2 インテリジェント機能をサポートする LAN ベース イメージが搭載されています。
• IP サービス イメージには、すべてのレイヤ 2+ 機能と、すべてのレイヤ 3 ルーティング(IP ユニキャスト ルーティング、IP マルチキャスト ルーティング、フォールバック ブリッジング)が含まれています。
(注) IP サービス イメージをダウンロードして、レイヤ 3 機能を使用する場合は、ルーティング Switch Database Management(SDM)テンプレートを使用する必要があります。show sdm prefer コマンドを入力すると、現在アクティブなテンプレートを表示できます。また、必要に応じて sdm prefer routing グローバル コンフィギュレーション コマンドを入力すると、SDM テンプレートをルーティング テンプレートに変更できます。スイッチをリロードして新しいテンプレートをアクティブにするよう求めるプロンプトが表示されます。
この章で取り上げる一部の機能は、ソフトウェアの暗号化(暗号化をサポートする)バージョンだけに対応しています。この機能を使用し、Cisco.com からソフトウェアの暗号化バージョンをダウンロードするには許可を得る必要があります。詳細については、このリリースのリリース ノートを参照してください。
• 「使用および導入を簡素化する機能」
• 「パフォーマンス向上機能」
• 「管理オプション」
• 「管理の簡易性に関する機能」
• 「アベイラビリティおよび冗長性に関する機能」
• 「VLAN 機能」
• 「セキュリティ機能」
• 「QoS および CoS 機能」
• 「レイヤ 3 機能」(IP サービス イメージが必要な機能を含む)
• 「モニタ機能」
使用および導入を簡素化する機能
• Express Setup:基本的な IP 情報、コンタクト情報、スイッチおよび Telnet のパスワード、および Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)に関する情報を使用し、ブラウザ ベースのプログラムを通じて、スイッチの初回設定を迅速に行うことができます。Express Setup の詳細については、スタートアップ ガイドを参照してください。
• ユーザ定義およびデフォルト設定の SmartPort マクロ:ネットワークへの配置を簡単にするためにカスタム スイッチ設定を作成します。
• 着脱式のコンパクト フラッシュ カードに、Cisco IOS ソフトウェア イメージと、スイッチのコンフィギュレーション ファイルが格納されています。ソフトウェア機能を再設定せずに、スイッチの交換やアップグレードを実行できます。更新版のブートローダに含まれるセカンダリ ブートローダ イメージがサポートするコンパクト フラッシュ ファイル システム ドライバにより、コンパクト フラッシュ メモリ カードにアクセスできます。スイッチのブートローダにはプライマリ ブートローダとセカンダリ ブートローダが含まれ、どちらもブート フラッシュに格納されています。
• 組み込みのデバイス マネージャ GUI:単体のスイッチを Web ブラウザから設定、管理します。デバイス マネージャの起動については、スタートアップ ガイドを参照してください。デバイス マネージャの詳細については、スイッチのオンライン ヘルプを参照してください。
• スイッチのクラスタ化テクノロジーの機能概要
– イーサネット、ファスト イーサネット、Fast EtherChannel、Small Form-Factor Pluggable モジュール、ギガビット イーサネット、Gigabit EtherChannel 接続を含めて、地理的な近接にも相互接続メディアにも関係なく、複数のクラスタ対応スイッチの設定、モニタ、認証、およびソフトウェア アップグレードをまとめて実行できます。クラスタ対応スイッチのリストについては、リリース ノートを参照してください。
– 候補スイッチの自動検出と、最大 16 台のスイッチからなるクラスタの作成機能。1 つの IP アドレスを使用してクラスタを管理できます。
– 拡張検出機能により、コマンド スイッチに直接接続されていないクラスタ候補を検出できます。
• Call Home を使用すると、E メールベースおよび Web ベースで重大なシステム イベントの通知を行えます。シスコと直接サービス契約を結んでいるお客様は、Call Home デバイスを TAC へのサービス要求を自動で生成する Cisco Smart Call Home サービスに登録できます。
パフォーマンス向上機能
• Cisco EnergyWise は、Power over Ethernet(PoE)エンティティのエネルギー使用量を管理します。
詳細については、Cisco.com の『 Cisco EnergyWise Version 2 Configuration Guide 』を参照してください。
• すべてのスイッチ ポートの速度自動検知、およびデュプレックス モードの自動ネゴシエーション。帯域幅の利用を最適化します。
• 10/100 Mbps インターフェイス、10/100/1000 Mbps インターフェイス、および 10/100/1000 BASE-TX SFP モジュール インターフェイス上の Auto MDIX 機能により、インターフェイスが必要なケーブル接続タイプ(ストレートまたはクロス)を自動的に検出し、接続を適切に設定。
• ルーテッド フレームの場合は最大 1546 バイト、ハードウェアでブリッジングされるフレームの場合は最大 9000 バイト、ソフトウェアでブリッジングされるフレームの場合は最大 2000 バイトのサポート。
• すべてのポートにおける IEEE 802.3x フロー制御(スイッチはポーズ フレームを送信しません)
• EtherChannel により、耐障害性を高め、スイッチ、ルータ、およびサーバ間に最大 8 Gbps(ギガビット EtherChannel)または 800 Mbps(Fast EtherChannel)全二重の帯域幅を確保
• ポート集約プロトコル(PAgP)および Link Aggregation Control Protocol(LACP)により、EtherChannel リンクを自動的に作成
• ポート単位のストーム制御。ブロードキャスト ストーム、マルチキャスト ストーム、およびユニキャスト ストームを防止します。
• レイヤ 2 の不明なユニキャスト、マルチキャスト、およびブリッジド ブロードキャスト トラフィック転送に対するポート ブロッキング
• Cisco Group Management Protocol(CGMP)サーバのサポートおよび Internet Group Management Protocol(IGMP)バージョン 1、バージョン 2、およびバージョン 3 対応の IGMP スヌーピング。
– (CGMP デバイスの場合)CGMP が特定のエンド ステーションへのマルチキャスト トラフィックを制限し、ネットワーク全般のトラフィックを軽減
– (IGMP デバイスの場合)IGMP スヌーピングによってマルチメディア トラフィックとマルチキャスト トラフィックを転送。
• IGMP レポート抑制。1 つのマルチキャスト ルータ クエリーにつき 1 つの IGMP レポートだけをマルチキャスト デバイスへ送信します(IGMPv1 または IGMPv2 クエリーだけをサポート)。
• IGMP スヌーピング クエリー サポート。IGMP 一般クエリー メッセージを定期的に生成するようにスイッチを設定します。
• IGMP ヘルパーにより、スイッチでホスト要求を転送して、特定の IP 宛先アドレスにマルチキャスト ストリームを加入させることが可能。
• Multicast VLAN Registration(MVR; マルチキャスト VLAN レジストレーション)により、マルチキャスト VLAN 内でマルチキャスト ストリームを継続的に送信しながら、帯域幅およびセキュリティ上の理由から、加入者 VLAN からストリームを分離します。
• IGMP フィルタリングにより、スイッチ ポート上のホストが所属できるマルチキャスト グループ セットを管理します。
• IGMP スロットリング。IGMP 転送テーブルのエントリ数が最大になったときのアクションを設定します。
• ネットワーク終了の待ち時間を設定できる IGMP の Leave タイマー
• Switch Database Management(SDM)テンプレートにより、ユーザ側で選択する機能へのサポートを最大化するようにシステム リソースを割り当てられます。
• Web Cache Communication Protocol(WCCP)。トラフィックのローカル広域アプリケーション エンジンへのリダイレクト、コンテンツ要求のローカルでの対処、およびネットワーク内の Web トラフィック パターンのローカライズ(IP サービス イメージが必要)を行います。
• Cisco IOS ソフトウェアの一部である Cisco IOS IP Service Level Agreement(SLA; サービス レベル契約)により、アクティブなトラフィック モニタリングを使用してネットワーク パフォーマンスを測定できます。
• 設定可能なスモールフレーム着信しきい値により、スモール フレーム(64 バイト以下)が指定されたレート(しきい値)でインターフェイスに着信した場合のストーム制御を防止します。
• Flex Link に障害が発生したあとのマルチキャスト トラフィックのコンバージェンス時間を短縮するための Flex Link マルチキャスト高速コンバージェンス。
• サーバ グループに均等にアクセスおよび認証要求を分散できるようにするための RADIUS サーバ ロード バランシング。
• CPU 生成トラフィックの QoS マーキングのサポートと、出力ネットワーク ポートへの CPU 生成トラフィックのキュー。
管理オプション
• 組み込みデバイス マネージャ:GUI のデバイス マネージャがソフトウェア イメージに組み込まれています。このデバイス マネージャは、単体のスイッチの設定、管理に使用します。デバイス マネージャの起動については、スタートアップ ガイドを参照してください。デバイス マネージャの詳細については、スイッチのオンライン ヘルプを参照してください。
• Network Assistant:Network Assistant は、Cisco.com からダウンロードできるネットワーク管理アプリケーションです。単一のスイッチ、スイッチ クラスタ、デバイスのコミュニティの管理に使用します。Network Assistant の詳細については、Cisco.com から入手できる『 Getting Started with Cisco Network Assistant 』を参照してください。
• CLI:Cisco IOS ソフトウェアは、デスクトップ スイッチングおよびマルチレイヤ スイッチング機能をサポートします。CLI にアクセスするには、管理ステーションをスイッチ コンソール ポートに直接接続するか、リモート管理ステーションから Telnet を利用します。CLI の詳細については、「コマンドライン インターフェイスの使用方法」を参照してください。
• SNMP:CiscoWorks 2000 LAN Management Suite(LMS)および HP OpenView などの SNMP 管理アプリケーション。HP OpenView、SunNet Manager などのプラットフォームが稼働している SNMP 対応管理ステーションから管理できます。スイッチは豊富な MIB 拡張機能および 4 つの Remote Monitoring(RMON)グループをサポートします。SNMP の詳しい使用方法については、「SNMP の設定」を参照してください。
• Cisco IOS Configuration Engine(旧称 Cisco IOS CNS エージェント):コンフィギュレーション サービスは、ネットワーク デバイスおよびサービスの導入と管理を自動化します。スイッチごとに設定変更の内容を生成してスイッチに送信し、その設定変更を適用した後、その結果を記録することで初期設定および設定の更新を自動化できます。
CNS の詳細については、「Cisco IOS Configuration Engine の設定」を参照してください。
• CIP:Common Industrial Protocol(CIP)はピアツーピアのアプリケーション プロトコルであり、スイッチと工業用装置(I/O コントローラ、センサー、リレーなど)間でアプリケーション レベルの接続を実現します。CIP ベースの管理ツール(RSLogix など)を使用してスイッチを管理できます。スイッチでサポートされる CIP コマンドの詳細については、コマンド リファレンスを参照してください。
• Common Industrial Protocol(CIP)の機能拡張により、CIP で DHCP パラメータを設定できるようになりました。
管理の簡易性に関する機能
• スイッチ管理、設定ストレージ、および配信を自動化するための CNS の組み込み型エージェント。
• Dynamic Host Configuration Protocol(DHCP)によるスイッチ情報(IP アドレス、デフォルト ゲートウェイ、ホスト名、Domain Name System(DNS; ドメイン ネーム システム)、TFTP サーバ名)の自動設定。
• DHCP リレーによる DHCP クライアントからの UDP ブロードキャストの転送(IP アドレス要求を含む)。
• DHCP サーバによる IP アドレスおよびその他の DHCP オプションの IP ホストへの自動割り当て。
• 新しいイメージの指定された設定を多数のスイッチにダウンロードするために、DHCP ベースの自動設定およびイメージをアップデート。
• 新しいバルク リース クエリー タイプ(RFC5460 で定義)をサポートする DHCPv6 バルクリース クエリー。
• DHCPv6 リレー エージェントの送信元アドレスを設定する DHCPv6 リレー送信元設定機能。
• スイッチ ポートに IP アドレスを前もって割り当てるための DHCP サーバ ポートをベースにしたアドレス割り当て。
• IP アドレスおよび対応するホスト名からスイッチを特定することを目的とした、ユニキャスト要求の DNS サーバへの転送、および TFTP サーバからソフトウェア アップグレードを管理することを目的とした、ユニキャスト要求の TFTP サーバへの転送。
• Address Resolution Protocol(ARP; アドレス解決プロトコル)。IP アドレスおよび対応する MAC アドレスによってスイッチを特定します。
• 特定の送信元 MAC アドレスおよび宛先 MAC アドレスを持ったパケットをドロップするユニキャスト MAC アドレス フィルタリング。
• 設定可能な MAC アドレス スケーリング。これにより、VLAN で MAC アドレス ラーニングをディセーブルにし、MAC アドレス テーブルのサイズを制限することができます。
• Cisco Discovery Protocol(CDP)バージョン 1 および 2。ネットワーク トポロジを検出し、ネットワーク上のスイッチと他のシスコ デバイスとのマッピングを行います。
• リンク層検出プロトコル(LLDP)および LLDP Media Endpoint Discovery(LLDP-MED)によるサードパーティ製 IP 電話との相互運用性の確保。
• スイッチからエンドポイント デバイスへロケーション情報を提供する LLDP メディア拡張(LLDP-MED)ロケーション TLV。
• ネットワーク タイム プロトコル(NTP)により、外部ソースから全スイッチに一貫したタイムスタンプを提供します。
• IPv4 と IPv6 の両方をサポートし、NTPv3 と互換性のある Network Time Protocol version 4(NTPv4)。
• IEEE 1588 標準で定められた Precision Time Protocol(PTP; 高精度時間プロトコル)により、ネットワーク内の装置のリアルタイム クロックをナノ秒精度で同期できます。
– 拡張モジュール ポートの PTP メッセージをサポートする PTP 拡張機能。
• Cisco IOS File System(IFS)。スイッチが使用するすべてのファイル システムに対して単一インターフェイスを提供します。
• マルチキャスト アプリケーションに対する Source Specific Multicast(SSM)マッピング。グループへ送信元をマッピングしてリスナーをマルチキャスト ソースへ動的に接続させ、アプリケーションの依存性を軽減します。
• IPv6 トランスポートを利用し、IPv6 ピアと通信し、IPv6 ルートをアドバタイズするための Enhanced Interior Gateway Routing Protocol(EIGRPIP)v6 のサポート
• IP サービス(HSRP、ARP、SNMP、IP SLA、TFTP、FTP、Syslog、traceroute、ping)をサポート。これらのサービスを VRF 認識にすることで、複数のルーティング インスタンスで動作させます。
• スイッチの設定変更を記録して表示させるコンフィギュレーション ロギング。
• 一意のデバイス ID。 show inventory ユーザ EXEC コマンドで製品の ID 情報が表示されます。
• Netscape Communicator または Microsoft Internet Explorer ブラウザ セッションでデバイス マネージャを使用した帯域内管理アクセス。
• 最大 16 の Telnet 接続を同時に使用できる帯域内管理アクセス。ネットワーク上で複数の CLI ベース セッションを実行できます。
• ネットワーク上の複数の CLI セッションに対する、最大 5 つの同時暗号化 Secure Shell(SSH; セキュア シェル)接続の確立によって帯域内管理アクセス。
• SNMP のバージョン 1、バージョン 2c、およびバージョン 3 の get および set 要求による帯域内管理アクセス。
• 帯域外管理アクセス。スイッチのコンソール ポートに端末を直接接続するか、またはシリアル接続とモデム経由でリモート端末に接続します。
• Secure Copy Protocol(SCP)機能により、セキュアかつ認証済みの方法でスイッチ設定またはスイッチ イメージ ファイルをコピーできます(暗号化バージョンのソフトウェアが必要)。
• 設定の交換およびロールバックは、スイッチ上で一意の保存された Cisco IOS コンフィギュレーション ファイルで稼働している設定を交換します。
• Cisco IOS サポートの HTTP クライアントは、IPv4 と IPv6 の両方の HTTP サーバに要求を送信することができます。また、Cisco IOS の HTTP サーバは、IPv4 と IPv6 の両方の HTTP クライアントから、HTTP 要求にサービスを提供することができます。
• Simple Network and Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)を IPv6 トランスポート経由で設定し、IPv6 ホストが SNMP クエリーを送信し、IPv6 を実行しているデバイスから SNMP 通知を受信できるようにすることができます。
• ホストやモバイル IP アドレスの管理など、リンク、サブネット、およびサイト アドレス指定の変更を管理するための IPv6 ステートレス自動設定。
• VLAN の MAC アドレス ラーニングをディセーブルにします。
• スイッチ ポートに IP アドレスを前もって割り当てるための DHCP サーバ ポートをベースにしたアドレス割り当て。
• 有線ロケーション サービスは、接続されているデバイスのロケーション情報およびアタッチメント追跡情報を Cisco Mobility Services Engine(MSE)に送信します。
• CPU 使用率しきい値トラップによる CPU 使用率の監視。
• VLAN、サービス クラス(CoS)、DiffServ コード ポイント(DSCP)、およびタグ付けモードを指定して音声と音声シグナリングのプロファイルを作成する LLDP-MED ネットワークポリシー Time、Length、Value(TLV; 時間、長さ、時間)。
• DHCPDISCOVER パケットの Option 12 フィールドにホスト名の入力をサポート。これにより、DHCP プロトコルを使用して同一のコンフィギュレーション ファイルを複数送信できます。
• DHCP スヌーピング拡張機能。これにより、Option 82 DHCP フィールドで指定する回線 ID サブオプションに、固定文字列ベースのフォーマットを選択できるようになります。
• PROFINET IO(分散型オートメーション アプリケーション用のモジュラ通信フレームワーク)をサポートします。スイッチから IO コントローラへの PROFINET 管理接続が可能です。
• Cisco EnergyWise により、power over Ethernet(PoE)デバイスなどの EnergyWise エンティティおよびデーモンが動作するエンド ポイントの電力消費量を管理します。
アベイラビリティおよび冗長性に関する機能
• HSRP により、コマンド スイッチおよびレイヤ 3 ルータの冗長構成が可能です(IP サービス イメージが必要)
• 拡張オブジェクト追跡により、HSRP から追跡メカニズムが分離され、HSRP 以外のプロセスで使用できる個別のスタンドアロン追跡プロセスが作成されます(IP サービス イメージが必要)。
• Unidirectional Link Detection(UDLD; 単一方向リンク検出)およびアグレッシブ UDLD。光ファイバ ケーブルの配線ミスまたはポート障害に起因する光ファイバ インターフェイス上の単一方向リンクを検出し、ディセーブルにします。
• IEEE 802.1D Spanning-Tree Protocol(STP; スパニングツリー プロトコル)による冗長バックボーン接続およびループフリー ネットワーク。STP には次の機能があります。
– 最大 128 のスパニングツリー インスタンスをサポート。
– Per-VLAN Spanning-Tree Plus(PVST+)による VLAN 間でのロード バランシング。
– Rapid PVST+ による、VLAN 間でのロード バランシングおよびスパニングツリー インスタンスの高速コンバージェンスの実現。
• IEEE 802.1s Multiple Spanning-Tree Protocol(MSTP)により、VLAN をスパニングツリー インスタンスに分類、またデータ トラフィックおよびロード バランシング用に複数の転送パスを確保します。また、IEEE 802.1w Rapid Spanning-Tree Protocol(RSTP)に基づいた Rapid Per-VLAN Spanning-Tree plus(Rapid PVST+)により、ルートと指定ポートをただちにフォワーディング ステートに変更することで、スパニングツリーの高速コンバージェンスが実現されます。
• PVST+、Rapid-PVST+、および MSTP モードで使用できるスパニングツリーのオプション機能は次のとおりです。
– PortFast。ポートをブロッキング ステートからフォワーディング ステートへただちに変更させることによって、転送遅延を防ぎます。
– BPDU ガード。Bridge Protocol Data Unit(BPDU; ブリッジ プロトコル データ ユニット)を受信する PortFast 対応ポートをシャットダウンします。
– BPDU フィルタリング。PortFast 対応ポートで BPDU の送受信ができなくなります。
– ルート ガード。ネットワーク コア外のスイッチがスパニングツリー ルートになることを防ぎます。
– ループ ガード。 代替ポートまたはルート ポートが、単一方向リンクの原因となる障害によって指定ポートになることを防ぎます。
• 等コスト ルーティングにより、リンクレベルおよびスイッチレベルの冗長性を実現します(IP サービス イメージが必要)。
• Flex Link レイヤ 2 インターフェイス。基本リンク冗長の STP に代わるものとして、互いにバックアップします。
• リンクステート トラッキング。接続されたホストとサーバからのアップストリーム トラフィックを伝送するポートの状態をミラーリングします。また、別のシスコ製イーサネット スイッチで動作するリンクへサーバ トラフィックをフェールオーバーすることができます。
• 短い Resilient Ethernet Protocol(REP)hello:REP Link Status Layer(LSL; リンク ステータス レイヤ)のエージング タイマーの範囲を 3000 ~ 10000 ms(500 ms 間隔)から 120 ~ 10000 ms(40 ms 間隔)に変更します。
VLAN 機能
• 最大 1005 の VLAN をサポート。適切なネットワーク リソース、トラフィック パターン、および帯域幅を対応付けて、VLAN にユーザを割り当てることができます。
• IEEE 802.1Q 規格で認められている 1 ~ 4094 の範囲で VLAN ID をサポート。
• ダイナミック VLAN メンバーシップに対応する VLAN Query Protocol(VQP)。
• すべてのポート上で稼働する IEEE 802.1Q トランキング カプセル化。ネットワークの移動、追加、変更や、ブロードキャストおよびマルチキャスト トラフィックの管理および制御、さらに、ハイセキュリティ ユーザおよびネットワーク リソース別の VLAN グループの確立によるネットワーク セキュリティを実現します。
• Dynamic Trunking Protocol(DTP; ダイナミック トランキング プロトコル)。2 台のデバイス間のリンク上でトランキングをネゴシエートするだけでなく、使用するトランキング カプセル化のタイプ(IEEE 802.1Q)もネゴシエートします。
• VLAN Trunking Protocol(VTP; VLAN トランキング プロトコル)および VTP プルーニング。トラフィックのフラッディングをそのトラフィックを受信するステーションへのリンクだけに制限することによって、ネットワーク トラフィックを削減します。
• 音声 VLAN。Cisco IP Phone から音声トラフィック用のサブネットを作成します。
• VLAN 1 の最小化:VLAN 1 を任意の個々の VLAN トランク リンクでディセーブル化することで、スパニングツリー ループまたはストームのリスクを軽減。この機能をイネーブルに設定すると、トランク上でユーザ トラフィックは送受信されません。スイッチの CPU は、引き続き制御プロトコル フレームの送受信を行います。
• プライベート VLAN により、VLAN のスケーラビリティ問題に対処し、制御性の高い IP アドレス割り当てを実現し、スイッチ上の他のポートからレイヤ 2 ポートを分離することができます(IP サービス イメージが必要)。
• ポートで学習する MAC アドレス数を制限する、またはポートで学習する MAC アドレスを定義する、PVLAN ホストでのポート セキュリティ。
• VLAN Flex Link ロード バランシング:Spanning Tree Protocol(STP; スパニングツリー プロトコル)を必要としないレイヤ 2 冗長性を提供。プライマリおよびバックアップ リンクとして設定したインターフェイスのペアを使用して、VLAN ベースによるトラフィックのロード バランシングが可能です。
• 制限付き VLAN(認証失敗 VLAN とも呼ばれる)による 802.1X 認証のサポート。
• VTP バージョン 3 のサポート。具体的には、任意の VTP モードによる拡張範囲 VLAN(VLAN 1006 ~ 4094)設定のサポート、認証の拡張機能(非表示パスワードまたはシークレット パスワード)、VTP に加えて他のデータベースの伝播、VTP プライマリ サーバおよびセカンダリ サーバ、VTP のポートによるオン/オフの切り替えオプションがあります。
セキュリティ機能
• IP サービス レベル契約(IP SLA)のサポートにより、アクティブなトラフィック モニタリングを使用してネットワーク パフォーマンスを測定できます(IP サービス イメージが必要)。
• IP SLA EOT により、スタンバイ ルータのフェールオーバー引き継ぎを行うために、遅延、ジッタ、パケット損失などのアクションによってトリガーされる IP SLA 追跡動作からの出力を使用できます(IP サービス イメージが必要)。
• Web 認証。IEEE 802.1x 機能をサポートしないサプリカント(クライアント)に Web ブラウザを使用して認証可能になります。
• ローカル Web 認証バナー。これにより、カスタム バナー、またはイメージ ファイルを Web 認証ログイン画面に表示することができます。
• MAC authentication bypass(MAB; MAC 認証バイパス)エージング タイマー。MAB を使用して認証した後に認証された非アクティブのホストを検出します。
• 管理インターフェイス(デバイス マネージャ、Network Assistant、CLI)へのパスワード保護付きアクセス(読み取り専用および読み書きアクセス)。不正な設定変更を防止します。
• セキュリティ レベル、通知、および対応するアクションを選択できる、マルチレベル セキュリティ。
• セキュリティを確保できるスタティック MAC アドレッシング。
• 保護ポート オプション。同一スイッチ上の指定ポートへのトラフィック転送を制限します。
• ポートにアクセスできるステーションの MAC アドレスを制限または特定するポート セキュリティ オプション。
• VLAN 認識ポート セキュリティ オプション。違反の発生時にポート全体をシャットダウンするのではなく、そのポート上の VLAN をシャットダウンします。
• ポート セキュリティ エージング。ポートのセキュア アドレスにエージング タイムを設定します。
• 指定した入力割合を超えたパケットをドロップして、スイッチへの着信プロトコル トラフィックの割合を制御する、プロトコル ストーム プロテクション。
• BPDU ガード。無効なコンフィギュレーションが発生した場合に、PortFast が設定されているポートをシャットダウンします。
• 標準および拡張 IP ACL。ルーテッド インターフェイス(ルータ ACL)と VLAN の双方向およびレイヤ 2 インターフェイス(ポート ACL)の受信方向に関するセキュリティ ポリシーを定義します。
• MAC 拡張アクセス コントロール リスト。レイヤ 2 インターフェイスの着信方向のセキュリティ ポリシーを定義します。
• VLAN ACL(VLAN マップ)により、MAC、IP、および TCP/UDP ヘッダー内の情報に基づいてトラフィックをフィルタリングすることで、VLAN 内のセキュリティを実現できます(IP サービス イメージが必要)。
• 非 IP トラフィックをフィルタリングする、送信元および宛先 MAC ベースの ACL。
• IPv6 ACL をインターフェイスに適用して、IPv6 トラフィックをフィルタリングできます(IP サービス イメージが必要)。
• untrusted(信頼性のない)ホストと DHCP サーバの間の untrusted DHCP メッセージをフィルタリングする DHCP スヌーピング。
• DHCP スヌーピング データベース、および IP ソース バインディングに基づいてトラフィックをフィルタリングすることにより、非ルーテッド インターフェイスでのトラフィックを制限する IP ソース ガード。
• 不正な ARP 要求や応答を同じ VLAN 上のその他のポートにリレーしないことにより、スイッチに対する悪意のある攻撃を回避するためのダイナミック ARP インスペクション。
• IEEE 802.1Q トンネリングにより、サービス プロバイダー ネットワークを介したリモート サイトのユーザがいるカスタマーが、VLAN を他のカスタマーから分離することができます。また、レイヤ 2 プロトコル トンネリングにより、カスタマーのネットワークで全ユーザに関する完全な STP、CDP、および VTP 情報を取得することができます(IP サービス イメージが必要)。
• レイヤ 2 ポイントツーポイント トンネリングにより、EtherChannels を自動的に作成できます(IP サービス イメージが必要)。
• レイヤ 2 プロトコル トンネリングのバイパス機能。サードパーティ ベンダーとの相互運用性を実現します。
• IEEE 802.1x ポートベース認証。不正なデバイス(クライアント)によるネットワーク アクセスを防止します。次の機能がサポートされています。
– データ装置と IP Phone などの音声装置(シスコ製品またはシスコ以外の製品)の両方が、同じ IEEE 802.1x 対応スイッチ ポートにおいて、単独で認証できるようにする Multidomain Authentication(MDA; マルチドメイン認証)。
– MDA のダイナミック音声 VLAN(仮想 LAN)。ダイナミック音声 VLAN が MDA 対応ポートで可能になります。
– VLAN 割り当て。802.1x 認証ユーザを特定の VLAN に制限します。
– ポート セキュリティ。802.1x ポートへのアクセスを制御します。
– 音声 VLAN。ポートが許可ステートか無許可ステートかにかかわらず、Cisco IP Phone の音声 VLAN へのアクセスを許可します。
– IP Phone 検出機能拡張。Cisco IP Phone を検出し識別します。
– ゲスト VLAN。802.1x に適合しないユーザに限定的なサービスを提供します。
– 制限付き VLAN。802.1x に準拠はしているが、標準の 802.1x で認証するためのクレデンシャルを持っていないユーザに制限付きのサービスを提供します。
– 802.1x アカウンティング。ネットワーク使用をトラッキングします。
– 802.1x と LAN の Wake-on-LAN(WoL)機能。休止状態の PC に、特定のイーサネット フレームを送信して起動させます。
– 802.1x 準備状態チェック。スイッチで IEEE 802.1x を設定する前に、接続されたエンド ホストの準備状態を判断します。
– セキュリティ違反が発生した VLAN だけでトラフィック違反アクションを適用するための音声認識 802.1x セキュリティ。
– MAC 認証バイパス。クライアント MAC アドレスに基づいてクライアントを許可します。
– 802.1X スイッチ サプリカントを持つ Network Edge Access Topology(NEAT)、CISP を使ったホスト認証、および自動イネーブル化。これらにより、別のスイッチへのサプリカントとして、配線クローゼットの外のスイッチが認証されます。
– 認証される前にネットワークへのアクセスをホストに許可するための、オープン アクセスを使用した IEEE 802.1x。
– ダウンロード可能な ACL とリダイレクト URL を使用した IEEE 802.1x 認証。Cisco Secure ACS サーバから認証されたスイッチへのユーザ単位の ACL ダウンロードを使用できるようになります。
– 新しいホストを認証するときに、ポートが思考する認証メソッドの順序を設定するための柔軟な認証シーケンス。
– マルチユーザ認証。複数のホストが、802.1x 対応ポートを認証できるようになります。
• Network Admission Control(NAC)機能:
– デバイスのネットワーク アクセスを許可する前の、エンドポイント システムやクライアントのウイルス対策の状態または ポスチャ に関する NAC レイヤ 2 802.1x 検証
NAC レイヤ 2 802.1x 検証の設定に関する詳細については、「NAC レイヤ 2 802.1x 検証の設定」を参照してください。
– デバイスのネットワーク アクセスを許可する前の、エンドポイント システムまたはクライアントのポスチャに関する NAC レイヤ 2 IP 検証
NAC レイヤ 2 IP 検証の詳細については、『 Network Admission Control Software Configuration Guide 』を参照してください。
– IEEE 802.1x アクセス不能認証バイパス
この機能の設定については、「アクセス不能認証バイパス機能の設定」を参照してください。
– Authentication, Authorization, Accounting(AAA; 認証、許可、アカウンティング)ダウン ポリシー。ポスチャ検証が発生したときに、AAA サーバが利用できない場合のホストの NAC レイヤ 2 IP 検証
この機能の詳細については、『 Network Admission Control Software Configuration Guide 』を参照してください。
• Terminal Access Controller Access Control System Plus(TACACS+)。TACACS サーバを介してネットワーク セキュリティを管理する独自の機能です。
• RADIUS により、AAA サービスを通じてリモート ユーザの ID の確認、アクセス権の付与、アクションの追跡を実行できます。
• IPv6 上での機能向けに、RADIUS、TACACS+、および SSH を拡張。
• Kerberos セキュリティ システム。信頼できるサードパーティを使用して、ネットワーク リソースに対する要求を認証します(ソフトウェアの暗号化バージョンが必要)。
• HTTP 1.1 サーバ認証、暗号化、メッセージ整合性、HTTP クライアント認証用に Secure Socket Layer(SSL)バージョン 3.0 がサポートされ、安全な HTTP 通信が可能になります(ソフトウェアの暗号化バージョンが必要)。
• 音声認識 IEEE 802.1X および MAB セキュリティ違反。セキュリティ違反が発生すると、ポートのデータ VLAN だけがシャットダウンされます。
• スタティック ホストでの IP ソース ガードのサポート。
• RADIUS Change of Authorization(CoA; 認証の変更)。特定のセッションが認証された後で、その属性を変更します。AAA でユーザ、またはユーザ グループのポリシーに変更がある場合、管理者は AAA サーバから、Cisco Secure ACS などの RADIUS CoA パケットを送信し、新しいポリシーに適用することができます。
• IEEE 802.1x ユーザ ディストリビューション。さまざまな VLAN にわたってユーザをロード バランシングすることにより、(ユーザ グループに対して)複数の VLAN を使った配置で、ネットワークのスケーラビリティを向上させることができます。認証されたユーザは、RADIUS サーバにより割り当てられた、グループ内で最も空いている VLAN に割り当てられます。
• マルチ ホスト認証を使った、重要な VLAN のサポート。これにより、ポートがマルチ認証用に設定され、AAA サーバが到達不能になった場合でも、重要なリソースへのアクセスができるように、このポートが重要な VLAN に配置されます。
• カスタマイズ可能な Web 認証機能強化。ローカル Web 認証で、ユーザ定義の login、success、failure、および expire Web ページの作成ができるようになります。
• ポート ホスト モードを変更し、オーセンティケータのスイッチ ポートに標準ポート設定を適用するために Network Edge Access Topology(NEAT)をサポート。
• VLAN-ID ベースの MAC 認証。ユーザ認証のために VLAN と MAC のアドレス情報を結合して、許可されていない VLAN からのネットワーク アクセスを阻止します。
• MAC Move。モビリティのイネーブル化を制約することなく、ホスト(IP 電話の背後で接続されたホストを含む)が同じスイッチ内のポート間を移動できるようになります。MAC Move では、もう 1 つのポートに同じ MAC アドレスが再登場した場合、スイッチはこれをまったく新しい MAC アドレスと同様に扱います。
• Simple Network Management Protocol バージョン 3(SNMPv3; 簡易ネットワーク管理プロトコル バージョン 3)を使った 3DES および AES のサポート。このリリースでは、168 ビット Triple Data Encryption Standard(3DES)と、SNMPv3 への 128 ビット、192 ビット、および 256 ビットの Advanced Encryption Standard(AES; 高度暗号化規格)暗号化アルゴリズムに対するサポートが追加されます。
QoS および CoS 機能
• auto-QoS(自動 QoS)。トラフィックの分類と出力キューの設定を自動化することで既存の QoS 機能の展開を簡略化します。
• ポートベースの信頼の自動 Quality of Service(QoS)VoIP 拡張と DSCP および出力トラフィックのプライオリティ キューイング
• 分類
– IP Type of Service/Differentiated Services Code Point(IP ToS/DSCP)および IEEE 802.1p CoS のポート単位でのプライオリティ設定。ミッション クリティカルなアプリケーションのパフォーマンスを保護します。
– IP ToS/DSCP および IEEE 802.1p CoS(サービス クラス)のフローベースのパケット分類(MAC、IP、および TCP/UDP ヘッダーに含まれる情報に基づく)によるマーキング。ネットワーク エッジで高性能な QoS 機能を提供し、ネットワーク トラフィックのタイプ別に差別化されたサービス レベルを可能にするとともに、ネットワーク上のミッション クリティカルなトラフィックにプライオリティを設定します。
– QoS ドメイン内および別の QoS ドメインとの境界ポートにおける、trusted(信頼性のある)ポート ステート(CoS、DSCP、および IP precedence)。
– 信頼境界機能。Cisco IP Phone の存在を検出し、受信した CoS 値を信頼して、ポート セキュリティを確保します。
• ポリシング
– 特定のトラフィック フローに対してどの程度のポート帯域幅を割り当てるかを管理する、スイッチ ポート上のトラフィック ポリシング ポリシー。
– 階層型のポリシーマップで複数のクラスマップを作成する場合、各クラスマップを自身のポートレベル(第 2 レベル)ポリシーマップと関連付けることができます。第 2 レベルのポリシーマップは、それぞれ異なるポリサーを保有できます。
– トラフィック フローのポリシングをまとめて行う集約ポリシング。特定のアプリケーションまたはトラフィック フローをあらかじめ定義された特定のレートに制限します。
• 不適合
– 帯域幅の使用制限を超過したパケットの不適合マークダウン。
• 入力キューイングおよびスケジューリング
– ユーザ トラフィック用に設定可能な 2 つの入力キュー(一方のキューをプライオリティ キューにできます)。
– 輻輳回避メカニズムとしての Weighted Tail Drop(WTD)。キュー長を管理し、トラフィックの分類ごとに異なる廃棄優先順位を設定します。
– シェイプド ラウンドロビン(SRR):パケットがキューからリングへ送出されるときのレートを決定するスケジューリング サービス(入力キューでサポートされる唯一のモードはシェアリング)。
• 出力キューおよびスケジューリング
– 1 ポートに 4 つの出力キュー。
– 輻輳回避メカニズムとしての WTD。キュー長を管理し、トラフィックの分類ごとに異なる廃棄優先順位を設定します。
– スケジューリング サービスとしての SRR。キューからパケットを出して出力インターフェイスに入れる速度を指定します(出力キューではシェーピングおよび共有がサポートされます)。シェーピング型出力キューは、ポート帯域幅の割り当てが保証されますが、割り当てられたポート帯域幅の使用に制限されています。共有型出力キューは、設定された帯域幅の割り当てが保証されるだけではなく、他のキューが空になり、その割り当て分の帯域幅が使用されない場合、保証された割り当てより多く使用できます。
レイヤ 3 機能
次に、レイヤ 3 機能について説明します。
(注) ここに記載する機能は、IP サービス イメージだけで使用できます。
• レイヤ 3 ルータの冗長性を確保するための HSRP バージョン 1(HSRPv1)および HSRP バージョン 2(HSRPv2)
• IP ルーティング プロトコルによるロード バランシングとスケーラブルなルーテッド バックボーンの構築
– RIP バージョン 1 および 2
– OSPF
– Enhanced Interior Gateway Routing Protocol(EIGRPIP)IPv6。IPv6 トランスポートを利用し、IPv6 ピアと通信し、IPv6 ルートをアドバタイズします。
– HSRP for IPv6
– Border Gateway Protocol(BGP; ボーダー ゲートウェイ プロトコル)バージョン 4。
• OSPFv2 の NSF IETF モード:IPv4 の OSPFv2 グレースフル リスタートのサポート
• OSPFv3 の NSF IETF モード : IPv6 の OSPFv3 グレースフル リスタートのサポート
• 2 つ以上の VLAN 間の完全レイヤ 3 ルーティング対応の IP ルーティング(VLAN 間ルーティング)により、各 VLAN が独自の自律データリンク ドメインのメンテナンスが可能
• ポリシーベース ルーティング(PBR)。トラフィック フローに定義済みポリシーを設定。
• カスタマー エッジ装置内の Multiple VPN Routing/Forwarding(multi-VRF)インスタンスにより、サービス プロバイダーが複数の Virtual Private Networks(VPN; 仮想私設網)をサポートし、VPN 間で IP アドレスが重複できるようにします。
• フォールバック ブリッジングにより、2 つ以上の VLAN 間で非 IP トラフィックを転送できます。
• スタティック IP ルーティングによるネットワーク パス情報のルーティング テーブル手動作成
• 等価コスト ルーティングによるロード バランシングおよび冗長構成
• Internet Control Message Protocol(ICMP)および ICMP Router Discovery Protocol(IRDP):ルータのアドバタイズおよびルータ請求メッセージによる直接接続サブネット上のルータのアドレス検索
• Protocol-Independent Multicast(PIM)によるネットワーク内マルチキャスト ルーティング。これにより、ネットワーク内のデバイスは要求されたマルチキャスト フィードの受信が可能になり、マルチキャストに参加しないスイッチのプルーニングが可能になります。PIM Sparse Mode(PIM-SM; PIM sparse(スパース)モード)、PIM Dense Mode(PIM-DM; PIM dense(デンス)モード)、および PIM sparse-dense モードのサポートが含まれます。
• Multicast Source Discovery Protocol(MSDP)により、複数の PIM-SM ドメインを接続できます。
• Distance Vector Multicast Routing Protocol(DVMRP)トンネリングにより、非マルチキャスト ネットワークを経由した 2 つのマルチキャスト対応ネットワーク間のインターオペラビリティが実現されます。
• DHCP リレーによる、IP アドレス要求など DHCP クライアントからの UDP ブロードキャストの転送
• IPv6 のリレー、クライアント、サーバ アドレス割り当て、プレフィックス委任に対応した DHCP
• 新しいバルク リース クエリー タイプ(RFC5460 で定義)をサポートする DHCPv6 バルクリース クエリー
• DHCPv6 リレー エージェントの送信元アドレスを設定する DHCPv6 リレー送信元設定機能
• IPv6 ユニキャスト ルーティング機能により、設定したインターフェイスを通じて IPv6 トラフィックを転送できます。
• IPv6 Default Router Preference(DRP; デフォルト ルータの初期設定)。ホスト性能を改善することで、適切なルータを選択します。
• Nonstop Forwarding(NSF; ノンストップ フォワーディング)認識により、プライマリ ルート プロセッサ(RP)に障害が発生したためにバックアップ RP が引き継ぐ場合や、中断のないソフトウェア アップグレードのためにプライマリ RP が手動でリロードされる場合に、レイヤ 3 スイッチが NSF 対応の隣接ルータからパケット転送を継続できるようにします。
• Intermediate System-to-Intermediate System(IS-IS)ルーティングは、Connectionless Network Service(CLNS)ネットワーク用にダイナミック ルーティング プロトコルをサポート
• Virtual Router Redundancy Protocol(VRRPv4; 仮想ルータ冗長プロトコル)。LAN 上の VRRP ルータに対し、1 台または複数台の仮想ルータの役割をダイナミックに割り当て、マルチアクセス リンク上にある複数台のルータが同じ仮想 IP アドレスを使用できるようにします。
モニタ機能
• EOT および IP SLA EOT スタティック ルートのサポート。事前に設定したスタティック ルートまたは DHCP ルートがダウンした場合に特定します。
• デバイスおよびシステム管理用の Embedded Event Manager(EEM)。主なシステム イベントをモニタし、ポリシーに従って動作します(IP サービス イメージが必要)。
• MAC アドレス通知トラップおよび RADIUS アカウンティング。スイッチが学習または削除した MAC アドレスを保存することによって、ネットワーク上のユーザをトラッキングします。
• Switched Port Analyzer(SPAN; スイッチド ポート アナライザ)および Remote SPAN(RSPAN)。任意のポートまたは VLAN について、トラフィック モニタリングが可能です。
• Intrusion Detection System(IDS; 侵入検知システム)における SPAN および RSPAN のサポート。ネットワーク セキュリティ違反をモニタ、撃退、およびレポートします。
• 組み込み RMON エージェントの 4 つのグループ(履歴、統計、アラーム、およびイベント)を使用して、ネットワークをモニタし、トラフィック解析を行うことができます。
• Syslog 機能。認証または許可エラー、リソースの問題、およびタイムアウト イベントに関するシステム メッセージを記録します。
• レイヤ 2 traceroute。パケットが送信元デバイスから宛先デバイスへ送られる物理パスを識別します。
• Time Domain Reflector(TDR)。10/100 および 10/100/1000 の銅線イーサネット ポートでケーブル接続の問題を診断し、解決します。
• SFP モジュール診断管理インターフェイス。SFP モジュールの物理または動作ステータスをモニタします。
• 温度、電源状態、イーサネット ポートのステータスに関するアラームの処理機能が備わっています。
• 外部のリレー システムに使用できるアラーム リレー接点が備わっています。
• HSRP に対する拡張オブジェクト トラッキング
• Digital Optical Monitoring(DOM; デジタル オプティカル モニタリング)。X2 SFP モジュールのステータスを確認します。