Cisco Catalyst Instant Access ソリューションホワイトペーパー

(1)

ホワイトペーパー

Cisco Catalyst Instant Access ソリューション

目的

Cisco Catalyst®_{Instant Access は、ディストリビューションレイヤとアクセスレイヤのスイッチを 1 つのものとして}

管理および設定できるようにすることで、エンタープライズ_{キャンパスネットワークの設計、導入、運用を大幅に簡} 素化します。このホワイト_{ペーパーでは、Cisco Catalyst Instant Access ソリューションのアーキテクチャ、コンポー} ネント、パケットの流れ、価値について説明します。

概要

Cisco Catalyst Instant Access は、ディストリビューションレイヤとアクセスレイヤの物理スイッチを単一の論理エンティティに統合し、設定、管理、トラブルシューティングの対象を_{1 つにします。このソリューションによってプロビ} ジョニングと運用が簡素化され、エンタープライズ_{キャンパスネットワークがシンプルになります。}

Cisco Catalyst Instant Access には次のようなメリットがあります。

● 設定および管理の一元化 ● ディストリビューション_{レイヤとアクセスレイヤのソフトウェアイメージを統一} ● アクセス_{スイッチの「プラグアンドプレイ」プロビジョニング} ● アクセス_{レイヤのインフラストラクチャの俊敏性に加え、機能とハードウェアの一貫性を保持} ● アクセス_{レイヤのアップリンクの自動設定} ● アクセス_{スイッチのイメージの自動プロビジョニング} ● ディストリビューション_{レイヤとアクセスレイヤ全体に多機能かつ一貫性のある Catalyst 6500/6800 シリー} ズ_{フィーチャセットを使用} 図_{1 は、21 台のアクセススイッチ（1008 ポート）から成るディストリビューションブロックを一元的に管理できること} を示しています。図_{1 単一の論理スイッチ}

最初の_{Cisco Catalyst OS リリース 15.1(2)SY では、Instant Access ソリューションで 21 台の Instant Access ク} ライアント、つまり最大_{1008 個のホストポートをサポートできます。また、Instant Access クライアントは、最大 3} つのクライアントによるスタック構成をサポートします。クライアントのスタック_{サイズは今後のソフトウェアリリースで} 拡大される予定です。

では、具体的なトポロジについて考えてみましょう（図_{2）。たとえば、4032 ポートから成るキャンパスネットワークが} あるとします。このネットワークには_{4 つのディストリビューションブロックがあり、各ブロックは 1008 個のポートで}

(2)

構成されています（_{48 ポートのアクセススイッチが 21 台）。ディストリビューションレイヤでは VSS ペアを使用し、} アクセス_{レイヤではスタックテクノロジーを使用しています。} このキャンパスでは次のものが必要です。 ● デバイス_{29 台の設定管理} ● デバイス_{29 台のイメージ管理} ● アクセス_{スイッチのトランクおよびポートチャネルの設定 48 個} ● SNMP、NTP、TACACS/RADIUS、VLAN DB、管理 IP、ゲートウェイ、ホスト名などの個別設定 29 個図_{3 に示されているように、Cisco Catalyst Instant Access を使用すれば、同じ 4032 ポートのキャンパスが次の} ようにシンプルになります。 ● 管理対象デバイスは合計_{5 台} ● アクセス_{スイッチのイメージ管理は不要} ● アクセス_{スイッチのアップリンクトランクの設定は不要} ● SNMP、NTP、TACACS/RADIUS、VLAN DB、管理 IP、ホスト名の個別設定 5 個図_{2 従来の構成} 図_{3 Instant Access の構成} システム_{コンポーネント}

Cisco Catalyst Instant Access ソリューションは、Instant Access ペアレントと Instant Access クライアントという 2 つのコンポーネントで構成されています（図_4）。

Instant Access ペアレント：ペアレントは、Cisco Catalyst 6500E または 6800 シリーズシャーシのペアです。

シャーシには、_{VSS モードまたは VSS Quad-Sup SSO}1_{モードに設定された Supervisor 2T と、10G モードに設} 定された_{WS-6904 40G/10G ラインカードを搭載します。VSS モードおよび VSS Quad-Sup SSO モードの設定に} ついては、こちらをご覧ください。_{10G モードで動作する 40G ラインカードの詳細については、}こちらをご覧ください。

1 _{環境によっては、ディストリビューション}_{レイヤで VSS ペアを使用できない場合もあります。このような場合は、Cisco Catalyst}

6500/6800 スイッチを 1 台だけ使用することもできます。Instant Access ソリューションは各 Instant Access クライアントをリ

モートラインカードとして取り扱いますが、リモートラインカードとしての機能を可能にするために VSS インフラストラクチャを使用しています。そのため、スイッチを VSS モードに設定する必要があります。ディストリビューションレイヤのスイッチを 1 台にして Instant Access を導入することは推奨できません。ただし、このような構成にする場合は、スーパーバイザエンジンの障害に備えてシャーシにスーパーバイザを 2 つ搭載し、ルートプロセッサの冗長性（RPR）を確保することを推奨します。そうしないと、システム全体に影響する単一障害点が生じてしまいます。これは、ディストリビューション_{レイヤのデバイスが 1 台だけの設計に} 共通の問題です。

Instant Access クライアント：クライアントは、ディストリビューションレイヤの Cisco Catalyst 6500E または 6800

シリーズ_{スイッチを使用してクライアントモードでのみ動作する Cisco Catalyst 6848ia スイッチです。Instant} Access クライアントは、48 個の 10/100/1000 インターフェイスと 2 個の 10Gbps アップリンクまたはファブリックインターフェイス_{ポートをサポートします。Instant Access クライアントの主な機能は次のとおりです。}

(3)

● 48 個の 10/100/1000 BASE-T ホストポート（PoE+ または非 PoE のオプション有り） ● 2 個の 10Gbps アップリンクポート ● 740W の PoE 電力： ◦ 48 ポートすべてでフル PoE（15W） ◦ いずれか_{24 ポートでフル PoE（30W）} ● 最大_{3 つのクライアントをスタック可能} ● 双方向のスタック帯域幅_{80 Gbps}

● Instant Access クライアントモードでのみ動作（パケットスイッチングは Instant Access ペアレントで集中処理）

詳細については、こちらをご覧ください。

図_{4 Cisco Catalyst Instant Access のコンポーネント}

ペアレントとクライアントだけでなく、これらの間の _{Fex-Fabric リンクも、Short-Reach、Long-Reach マルチモード、} Long-Reach、Extended-Reach の光接続をサポートします。ファブリックリンクでは Cisco 10GBase SFP+ が使用されます。詳細については、こちらをクリックしてください。

Cisco Catalyst Instant Access のアーキテクチャ

コントロール プレーン

Instant Access ソリューションのコントロールプレーンは、すべてのアクセススイッチを 1 つのエンティティにまとめて論理グループを作成できるように実装されています。コントロール_{プレーンは 4 つの主要コンポーネントで構成さ} れています。

● Satellite Discovery Protocol（SDP）このリンクベースプロトコルは、Instant Access のペアレントとクラ

イアント間のすべてのリンクで稼働します。このプロトコルは、ファブリック_{リンクの接続を確立し、監視し、維} 持するとともに、ペアレントとクライアントのマルチシャーシ_{EtherChannel 接続を可能にします。また、SDP} は手動操作なしでクライアントにファブリック_{アップリンクを設定するので、ゼロタッチのクライアントインスト} レーションが実現します。

(4)

● Satellite Registration Protocol（SRP）このプロトコルは Instant Access クライアントを登録し、クライア ントのイメージをチェックして、_{Instant Access ペアレントのイメージに合わせて自動的にアップグレードしま} す。自動アップグレードは、新しいクライアントが追加された場合および新しいクライアント_{スタックメンバが} スタックに追加された場合に実行されます。_{SRP はクライアントの活性挿抜（OIR）と自動プロビジョニングの} 機能を提供します。_{SRP によってアクセスレイヤのイメージを管理する必要がなくなります。これにより、} ディストリビューション_{レイヤとアクセスレイヤにおける Cisco IOS}®_{ソフトウェアの機能の一貫性も実現しま} す。

● _{Satellite Configuration Protocol（SCP）このプロトコルは、Instant Access クライアントの設定管理、メト}

リック、ステータスの処理を実行します。

● InterCard Communications（ICC） ICC は、Instant Access のペアレントとクライアントの Syslog、QoS、

リモート_{ログイン、PoE+ などのインフラストラクチャ機能に使用されます。}

これらのコントロール_{プロトコルはバックグラウンドで透過的かつ自動的に実行されます。ユーザによる設定は必要} ありません。

VNTAG

Instant Access のクライアントとペアレント間のファブリックリンクを通るフレームはすべて、図 5 のように 6 バイトの_{VNTAG ヘッダーでカプセル化されます。VNTAG ヘッダーによって Instant Access クライアントはリモードライ} ンカードのように動作し、ペアレント_{スイッチはクライアントのホストポートを論理インターフェイスとして認識できるよ} うになります。ユニキャスト_{パケットとマルチキャストパケットの区別には P ビットが使用されます。} 図_{5 VNTAG ヘッダー} Instant Access クライアントをペアレントのリモートラインカードとして動作させるために、SRP はクライアントの各ホスト_{ポートに固有の仮想インターフェイス ID（VIF）を関連付けます。Instant Access ペアレントはプロビジョニン} グ_{プロセス中に VIF をクライアントの各ホストポートに割り当てます（図 6）。クライアントアクセススイッチに入る} パケットはすべて、ファブリック_{リンクを通じてペアレントに送信される前に VNTAG ヘッダーがタグ付けされます。こ} の_{VNTAG ヘッダーのソース VIF として、入力ポートに割り当てられている VIF が使用されます。反対に、クライア} ント_{スイッチを宛先とするパケットについては、ペアレントが VNTAG ヘッダーの宛先 VIF を使用してクライアントの} 出力ポートを決定します。

(5)

図_{6 VIF の割り当て}

ユニキャスト

フォワーディング

以下では、例を通じて_{Cisco Catalyst Instant Access ソリューションのユニキャストトラフィックの流れを説明しま} す（図_7）。

1. 通常のイーサネットフレームが Instant Access クライアントのホストポートに着信します。この例では、ホストポートは_{VIF = VIF}₁_{である IF}₁_{とします。}

2. 入力イーサネットフレームがカプセル化され、VNTAG ヘッダーのソース VIF は VIF1 になり、宛先 VIF は 0 で

す_{（Instant Access クライアントのホストポートに入るパケットはすべて、宛先 VIF が 0 になり、アップストリー} ムの_{Instant Access ペアレントに送信されます）。}

3. VNTAG ヘッダーを持つパケットが Instant Access ペアレントの FEX インターフェイスに着信すると、ヘッダーのカプセル化が解除されます。_{VNTAG のカプセル化解除後に IA ペアレントで MAC ラーニングが実行されま} す。ペアレント_{Catalyst スイッチのフォワーディングエンジンで元のイーサネットフレームが処理され、ネイティ} ブ_{ポートに着信する通常のイーサネットフレームと同様にスイッチングが実行されます。}

図_{7 Fex-Fabric を通じたクライアントからペアレントへの VNTAG パケット}

4. コアレイヤから Instant Access クライアントのホストポート VIF1 へのパケットについては、Instant Access ペ

アレントがテーブル_{ルックアップを実行します（図 8）。ペアレントは送信ファブリックリンクのインターフェイスが} FEX であると特定し、ソース VIF = 0、宛先 VIF = VIF1 の VNTAG ヘッダーでフレームをカプセル化してから

Fex-Fabric を通じて送信します。

5. Instant Access クライアントの Fex-Fabric に着信したイーサネットフレームは VNTAG ヘッダーのカプセル化が解除され、宛先_{VIF に従って、対応するインターフェイス VIF}₁_{にスイッチングされます。}

(6)

図_{8 Fex-Fabric を通じたペアレントからクライアントホストポートへの VNTAG パケット}

このように、_{Instant Access ソリューションの処理はシンプルです。VNTAG はクライアントとペアレントの間の} Fex-Fabric リンク専用であり、ネットワーク内の他の部分で VNTAG が認識されることはありません。

マルチキャスト

フォワーディング

Cisco Catalyst 6848ia には、ラベルスイッチドマルチキャストや Medianet など、Catalyst 6500 および 6800X シリーズのすべてのマルチキャスト機能に加えて、ローカル_{マルチキャストレプリケーションのようなインテリジェント} なマルチキャスト機能があります。_{Instant Access クライアントのホストポートに複数のレシーバが参加している場} 合、_{Istant Access は図 9 のようにローカルマルチキャストレプリケーションを実行します。} 1. Instant Access クライアントのインターフェイス IF1 および IF2 に接続されているマルチキャストグループレシーバは、_{Instant Access ペアレントの (*,G)/ (S,G) エントリの一部としてマルチキャストグループに参加しま} す。

2. Instant Access ペアレントは、Instant Access クライアントをグループ VIF テーブル用にプログラムします。このテーブルには、クライアントのグループ_{レシーバインターフェイスに固有のマルチキャストグループ VIF の} マッピングが維持されます。

3. 各マルチキャストパケットの単一コピーが Fex-Fabric を通じて、Instant Access クライアントに送信されます、その再、宛先_{VIF は group VIF（マルチキャストグループ）、P ビットは 1（マルチキャストパケットを表す）に設} 定されます。

4. Instant Access クライアントは、宛先 VIF が group VIF で、VNTAG ヘッダーにマルチキャストパケットを表す P ビットが設定されている VNTAG カプセル化パケットを受信します。Instant Access クライアントはインターフェイス_{ID マッピングテーブルで group VIF を検索し、そのマルチキャストパケットのローカルレプリケーショ} ンを実行してから、レシーバに接続されている各インターフェイス（_IF₁_{および IF}₂）に各パケットのコピーを送信します。

(7)

図_{9 Instant Access クライアントにおけるマルチキャストパケットレプリケーション}

ソリューションの機能

運用の簡素化：_{Instant Access ソリューションはディストリビューションスイッチとアクセススイッチの管理ポイントを} 1 つにまとめます。すべてのアクセスホストインターフェイスは、Instant Access ペアレントで 4 レベルのインターフェイスとして論理的に表現されます（図_10）。図_{10 インターフェイスの命名}

たとえば、_{FEX 111 のスタックメンバ 2 として設定されている Cat6848ia の GigabitEthernet インターフェイスは、} Instant Access ペアレントでは論理的に次のように表現されます。

interface GigabitEthernet111/2/0/1

図_{11 インターフェイスの命名}

以下のインターフェイス出力に示されているように、各_{Instant Access クライアントのすべての物理ホストポートは、} Instant Access ペアレントで論理的に設定、管理できる論理インターフェイスです。

Cat6500-VSS#show int gig 111/2/0/1

(8)

Hardware is C6k 1000Mb 802.3, address is 0000.0000.0001 (bia 0000.0000.0001)

MTU 1500 bytes, BW 1000000 Kbit, DLY 10 usec, reliability 255/255, txload 1/255, rxload 1/255 Encapsulation ARPA, loopback not set

Keepalive set (10 sec)

ARP type: ARPA, ARP Timeout 04:00:00

Last input never, output never, output hang never Last clearing of "show interface" counters 3w4d

Input queue: 0/2000/0/0 (size/max/drops/flushes); Total output drops: 0 Queueing strategy: fifo

Output queue: 0/40 (size/max)

5 minute input rate 0 bits/sec, 0 packets/sec 5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer Received 0 broadcasts (0 multicasts) 0 runts, 0 giants, 0 throttles

0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored 0 watchdog, 0 multicast, 0 pause input

0 input packets with dribble condition detected 0 packets output, 0 bytes, 0 underruns

0 output errors, 0 collisions, 0 interface resets

同様に、_{Instant Access クライアント FEX ID 111 のスタックメンバ 2 のすべての設定が Instant Access ペアレン} トで論理的に集中管理されます。これも出力を示します。

Cat6500-VSS#show run fex 111 module 2 Building configuration...

Current configuration : 5554 bytes !

interface GigabitEthernet111/2/0/1 switchport access vlan 90

switchport voice vlan 91 switchport host

!

! …

各_{Instant Access クライアントは Instant Access ペアレントのラインカードのように扱われるので、次のように、} show module の出力でもラインカードのように表示されます。

Cat6500-VSS#show module fex 111

Switch Number: 111 Role: FEX --- ---

(9)

Mod Ports Card Type Model Serial No. --- --- --- -- --- 1 48 C6848ia 48GFPwr 2SFP C6800IA-48FPD FHH1707P00S 2 48 C6848ia 48GFPwr 2SFP C6800IA-48FPD FHH1707P010

Mod MAC addresses Hw Fw Sw Status

--- -- -- ---

1 0022.bdf4.6600 to 0022.bdf4.6633 7.0 15.0(2.0.57) Ok(FLIC Enabled) 2 0022.bdf4.6d80 to 0022.bdf4.6db3 7.0 15.0(2.0.57) Ok(FLIC Enabled) Mod Online Diag Status

---- --- 1 Pass 2 Pass 最大_{21 個の 48 ポートスイッチがリモートラインカードのように管理され、1008 個のポートがすべて Instant} Access ペアレントに論理的に表示されるので、ディストリビューションブロック全体を 1 つのエンティティとして設定し管理できます。

アクセス

クライアントの自動プロビジョニング

Instant Access では、Instant Access クライアントが Instant Access ペアレントのリンクに接続すると、クライアントの自動プロビジョニングが実行されるので、アクセス_{レイヤの初期プロビジョニングも簡素化されます。Instant} Access ペアレントは Instant Access クライアントを検出し、クライアントのイメージが Instant Access ペアレントのイメージと異なる場合はクライアントのソフトウェア_{イメージをアップグレードします。これらのアクションは両方とも自} 動的に実行され、ユーザの介入は必要ありません。_{Instant Access クライアントは FlexStacking-Plus スタッキング} プロトコルを使用し、双方向スタック帯域幅_{80 Gbps でメンバ間のスタックを可能にします。最大 3 台の Instant} Access クライアントでスタックを構成できます（スタック密度は今後のソフトウェアリリースで拡大されます）。 FlexStack-Plus と同様に、Instant Access ペアレントによってスタックマスターが自動選択され、新しいスタックメンバが自動的に検出されてプロビジョニングが実行されます。これはペアレント_{スイッチのラインカードと同様の処} 理です。

物理的な導入の前に、_{Instant Access クライアントスイッチの設定を事前にプロビジョニングできます。Instant} Access クライアントが接続されると、事前にプロビジョニングされた設定が Instant Access クライアントのホストポートに自動的に適用されるので、導入が簡単になります。ネットワーク管理者がネットワークのディストリビューション_{レイヤから Instant Access クライアントを事前にプロビジョニングしておけば、ネットワーキングの知識の有無に} 関係なく誰でも現地で_{Instant Access クライアントの導入と配線を行うことができます。}

Instant Access クライアント（FEX 112）を 2 台のスタックとして事前にプロビジョニングする場合の例を示します。

mod provision create fex 112 type 6800IA-48TD

mod provision create fex 112 module 2 type 6800IA-48TD Config# Interface range 112/1/0/1 – 3

(10)

Config# switchport voice vlan 101 Config# switchport host

クライアント_{ID（FEX-ID 112）の事前プロビジョニングが実行されると、Instant Access クライアントのインターフェイ} ス_{ホストポートの設定が Instant Access ペアレントの running-config に表示されます。この設定は、コマンド} show run fex 112 で確認できます。

Cat6500-VSS#show run fex 112

Building configuration...

Current configuration : 11103 bytes !

switchport voice vlan 101 swtichport host

!

switchport voice vlan 101 switchport host ! 新しい_{Instant Access クライアントが物理的に接続されると、コントロールプロトコルがペアレントへのクライアント} のアップリンクを自動的に設定します。その後、事前にプロビジョニングされた設定がクライアントのホスト_{ポートイ} ンターフェイスに適用されます。

ソフトウェア管理の簡素化

Cisco Catalyst 6500/6800 のソフトウェアイメージと Instant Access クライアントのイメージが 1 つのイメージとして結合され、クライアントはペアレントのラインカード_{イメージとまったく同じように扱われます。新しい Instant} Access クライアントが起動し、Instant Access ペアレントによって検出されると、Instant Access クライアントのイメージが_{Instant Access ペアレントのソフトウェアイメージと一致するかどうかが自動的に確認されます。一致して} いない場合は、_{Instant Access ペアレントによってクライアントのイメージが自動的にアップデートされます。これに} より、アクセス_{レイヤでソフトウェアをアップグレードする必要がなくなり、ディストリビューションレイヤとアクセスレ} イヤの機能が統一され、俊敏なインフラストラクチャが確立されます。

(11)

高可用性

Instant Access ソリューションは重層的な復元力を提供します。ディストリビューションレイヤでは、Instant Access ペアレントが_{Cisco Virtual Switching System（VSS）とクアッドスーパーバイザ VSS（Quad Sup VSS）に対応して} いるので、あらゆる障害ポイントについて高い可用性が実現されます。ディストリビューション_{レベルで Quad} Supervisor Stateful Switchover（SSO）を使用し、Instant Access クライアントのスタックが Instant Access ペアレントにデュアル_{ホーム接続されている場合、3 つのスーパーバイザに障害が発生しない限りネットワーク接続がす} べて失われることはありません（図_12）。図_{12 Instant Access ペアレントの高可用性} ペアレントとクライアントの間の複数のファブリック_{リンク接続が 1 つのマルチシャーシ EtherChannel 接続に結合} されることで、_{VSS ペアとクライアントスタックの間の 6 つの 10G リンクにより最大容量が 60 Gbps に拡大します。} また、ファブリック_{リンクの冗長性も確保されます。ファブリックリンクに含まれるスタックメンバも冗長性の向上に} 役立ちます。_{Instant Access のペアレントとクライアントは Fex-Fabric を通じて EtherChannel のロードシェアリン} グをサポートしているので、複数の_{Fex-Fabric リンクによって高レベルの冗長性が実現されます（図 13）。}

(12)

Instant Access クライアントはホストポートの EtherChannel をサポートしています。最大 8 つのホストポートを 1 つの_{EtherChannel に結合できます。すべてのスタックメンバを EtherChannel に含めることができます（図 14）。}

図_{14 ホストポートの高可用性}

Enhanced Fast Software Upgrade（eFSU）

Cisco Catalyst 6500E および 6800X シリーズは Enhanced Fast Software Upgrade（eFSU）をサポートしています。これにより、_{VSS ペアの 2 つのスーパーバイザのソフトウェアアップグレードで生じるダウンタイムが短縮され、} ネットワークの可用性が向上します。_{eFSU を使用すると、2 つの異なるソフトウェアバージョンで稼働している 2 つ} のスーパーバイザ（アクティブとスタンバイのスーパーバイザ）が同期_{Stateful Switchover（SSO）モードになります。} VSS の両方のスイッチにアクティブデータプレーンがあるので、アップグレードプロセス中のネットワーク可用性が向上します。 eFSU は、次の 4 段階のプロセスで実行されます。ステップ_{1. issu loadversion：VSS ペアのスタンバイスーパーバイザに新しいソフトウェアイメージがロードされ} ます。ステップ_{2. issu runversion：スタンバイスーパーバイザエンジンに新しいソフトウェアがロードされている間、アク} ティブ_{スーパーバイザエンジンは前のソフトウェアバージョンで稼働しています。アップグレードの一} 環として、スタンバイ_{スーパーバイザは SSO ホットスタンバイ段階になり、スイッチオーバーが発生し} て、スタンバイ_{スーパーバイザがアクティブになり、新しいソフトウェアバージョンで稼働します。} ステップ_{3. issu acceptversion を使用すれば、アップグレードが継続し、もう 1 つのプロセッサに新しいソフトウェ} アがロードされます。また、_{issu abortversion を使用すれば、アップグレードは中止され、古いソフト} ウェアで稼働が再開します。ステップ_{4. issu commitversion によって、スタンバイスーパーバイザに新しいソフトウェアバージョンがロードさ} れることで、_{eFSU プロセスが完了します。eFSU の詳細をご覧になるには、}こちらをクリックしてください。図_{15 eFSU の各段階}

(13)

eFSU の機能によって、ラインカードのアップグレードと同様に Instant Access をアップグレードできるようになります。クライアントのソフトウェア_{イメージは Catalyst 6500/6800 のソフトウェアイメージとバンドルされます。新しい} CLI が導入され、Instant Access クライアントスタック（FEX ID）の AHupgrade が可能となり、これによって eFSU プロセスの_{issu commitversion（ステップ 4）の前に Instant Access クライアントのソフトウェアバージョンをアップ} グレードできます。

issu runversion [fex[range] <num | all >]

issu runversion fex によって Instant Access クライアントの新ソフトウェアバージョンへのアップグレードが開始されます。ユーザはローリング_{アップグレードの対象とする FEX ID の組み合わせ（または範囲）を指定して、Instant} Access のリロードを実行できます。すべてのクライアントのアップグレード後に、ユーザは eFSU プロセスを中止して前のバージョンに戻ることも、_{issu commitversion を使用して eFRU を完了することもできます。図 16 を参照し} てください。

図_{16 eFSU による Instant Access クライアントのアップグレード}

QoS（Quality of Service）

Instant Access ソリューションは、VSS ペアに、スタック（3 つの Instant Access クライアント）あたり最大 60 Gbps の_{Fex-Fabric アップリンク接続を提供し、サブスクリプション比は 2.4：1 です。}

Instant Access のファブリックリンクは 4 つのキュー（1P3Q3T）をサポートしています。プライオリティキューが 1 つ、標準キューが_{3 つです。Instant Access ペアレントのラインカードは、ファブリックリンクで 8 つのキュー} （_{1P7Q4T）をサポートしています（図 17）。}

(14)

図_{17 Instant Access のクライアントとペアレントの QoS キュー}

ファブリック_{リンクの QoS は、入力パケットの DSCP/CoS 値に厳密に従って実行されます。Instant Access のペ} アレントとクライアントは、_{DSCP とキューのデフォルトマップおよび CoS とキューのデフォルトマップを維持し、こ} れらに基づいて_{Fex-Fabric インターフェイス上のパケットをプライオリティキューまたは標準キューに適切に振り分} けます。図_{18 に示すとおり、COS=5 にマーク付けされている IP はプライオリティキュー 1 に送られ、COS=3 の IP は標} 準キュー_{3 に送られます。Instant Access のペアレントとクライアントの間の通信が輻輳によって失われることがな} いように、_{Instant Access の制御トラフィックもプライオリティキューを通じて送信されます。}

図_{18 Instant Access クライアントの QoS}

IP パケットがファブリックリンクを通じて Instant Access ペアレントに着信すると、これらのパケットのマーク付け、再マーク付け、分類、またはポリシングが実行されます。

同様に、ファブリック_{ポートを通じた Instant Access ペアレントから Instant Access クライアントのホストポートへの} ダウンストリーム_{トラフィックも、DSCP/COS とキューのデフォルトマップに基づいて、適切なキューに送信されます。}

(15)

統一的なセキュリティ

キャンパス_{ネットワークを構築する際には、重要な問題としてセキュリティを考慮する必要があります。Cisco} Instant Access は Catalyst 6500/6800 の機能を継承し、Cisco TrustSec® に対応できます。

Cisco Catalyst Instant Access はエンタープライズキャンパスネットワーク全体に統一的なセキュリティポリシーを提供します。サポートする機能は次のとおりです。

● セキュリティ_{グループタギング（SGT）によるロールベースアクセスコントロール}

● セキュリティ_{グループアクセスコントロールリスト（SGACL）}

● IP サブネット、VLAN、ポートベースの SGT マッピング ● ネットワーク_{デバイスアドミッションコントロール（NDAC）}

● 802.1x、Web Auth および Mac 認証バイパス（MAB）の認証による識別

セキュリティ_{ポリシーはすべて IA ペアレントのみに適用され、アクセスレイヤでの設定は必要ありません。アクセス} リストが適用されるのは、_{IA ペアレントだけです。IA クライアントのホストポートに着信したパケットは VNTAG でカ} プセル化され、_{IA ペアレントに送信されてから、VNTAG が解除され、アクセスリストポリシーが適用されます（図} 19）。

(16)

同様に、_{IA ペアレントに着信し、IA クライアントのホストポートに向かうパケットは、IA への Fex-Fabric リンクを通} じたスイッチングの前に、_{IA ペアレントでポリシーが適用されます（図 20）。}

図_{20 出力アクセスリスト}

IA ペアレントは、セキュリティグループタグ（SGT）の適用ポイントとして、またセキュリティグループアクセスコントロール_{リスト（SGACL）の適用ポイントとしても機能します。Cisco ISE は IA ペアレントと通信し、ネットワーク管理} 者が_{Cisco ISE で設定したポリシーを適用します。また、IA ペアレントは、ネットワークに Cisco ISE がない場合に} も、_{IP サブネット、VLAN、またはレイヤ 3 ポートに基づく SGT および SGACL ベースのポリシーをサポートします。} IA は、物理インフラストラクチャのセキュリティを保証するネットワークデバイス認証（NDAC）をサポートしています。 NDAC は IA ペアレントのみで実行され、IA クライアントには必要ありません。そのため、アクセスレイヤでの NDAC 認証のオーバーヘッドが軽減されます。

IA クライアントは、IA ペアレントへの Fex-Fabric リンクと IA クライアントリンクの MacSec にハードウェアで対応します。これは今後のリリースでサポートされます。

Instant Access は、802.1x、MAC 認証バイパス、Web-Auth ポートベースのアイデンティティサービスをサポートしています。_{IA ペアレントは、ネットワークへのアクセスを制御する Cisco ISE と通信します。これにより、ネットワー} ク全体のすべてのセキュリティ_{ポリシーの管理ポイントと設定ポイントが 1 つになります。}

(17)

図_{21 SGT および SGACL}

一元的なアプリケーション可視性

Cisco Catalyst Instant Access によって、ディストリビューションブロック全体のアプリケーションの可視性と制御が一元化されます。_{Instant Access ペアレントの設定やエクスポートの対象が 1 つになるので、個々のアクセスス} イッチからの複数のエクスポートや_{NetFlow Collector の複数のレコードによる複雑性が大きく緩和されます（図} 22 を参照）。

(18)

多彩な機能をキャンパス全体で統一

表_{1 は、Instant Access クライアントのホストポートの機能を簡単にまとめたものです。Instant Access と機能の} 詳細をご覧になるには、こちらをクリックしてください。

表_{1 Instant Access の機能概要}

カテゴリ _{Instant Access}

インフラストラクチャ_{PoE、PoE+、マルチシャーシ EtherChannel、FlexStack}

レイヤ₂ EtherChannel、PAgP、LLDP、(A)VPLS、GRE トンネリング、MPLS、MPLS-VPN

IPv6 IPv6 First Hop Security、マルチキャストルーティング、QoS、ステートレス自動設定

レイヤ₃ PBR、EVN、VRF-Lite、PIM SM、WCCPv2、VLAN 間ルーティング、ECMP、レイヤ 3 ルーティングプロトコルセキュリティ 802.1x ゲスト VLAN、SGT、SGACL、IP ソースガード、DHCP スヌーピング、VACL、RACL、PACL、FnF

QoS ポリシング、マーキング、レート制限、SRR

Medianet Mediatrace、パフォーマンスモニタリング

まとめ

Cisco Catalyst Instant Access は、ディストリビューションレイヤ全体の設定、管理、トラブルシューティング、アプリケーション可視化の対象を_{1 つにまとめることで、エンタープライズキャンパスネットワークの導入を簡素化します。} Instant Access を使用することで、キャンパス全体を統一的に機能させることができます。1 つのイメージでの管理、そしてアクセス_{レイヤのプラグアンドプレイプロビジョニングによって、導入や展開にかかる時間が大幅に短縮さ} れます。