cisco ace 4710 アプライアンスオンライン製品セミナー① · presentation_id 1...

Presentation_ID 1

2009年8月

シスコシステムズ合同会社

チャネルシステムエンジニアリング

大平伸一

”仮想化” ロードバランサ

Cisco ACE 4710 アプライアンスオンライン製品セミナー①

ACE 4710 の製品概要

(13:00 - 13:40)

Presentation_ID 2© 2009 Cisco Systems, Inc. All rights reserved. Cisco Public

Web セミナー中の QA について

Web セミナー中の説明内容やその他の関連事項について、質問がありましたら、WebEX 画面のチャット機能にて、いつでもご自由に質問の送信をお願い致します。

質問をいただく際の送信先には、“すべてのパネリスト” を選択していただけますようお願い致します。

各セッション内で時間の許す限り、ご回答をさせていただきます。

Cisco SE

xxxxx


自動化 (Automation)自動化 (Automation)

ストレージ

ネットワーク

サーバ

ビジネスの変革に即したサービス指向型

ITサービス

ダイナミックプロビジョニングと情報ライフサイクル管理

ビジネスの変化に迅速に対応

仮想化 (Virtualization)仮想化 (Virtualization)

ストレージネットワークサーバ

エンタープライズアプリケーション

物理インフラに依存しないリソース管理の実現

稼働率と柔軟性の向上、管理工数を削減

サーバファブリックネットワーク

HPCClusterGRID

リソースの集約と標準化

コスト削減と稼働率の改善

統合化 (Consolidation)統合化 (Consolidation)

LANWANMAN

SAN

ストレージネットワーク

データネットワーク

統合ネットワーク（IIN）

統合ネットワーク（IIN）

Cisco Data Center 3.0について

現在


• 幅広いプロダクト

ポートフォリオ

• 将来の安定的なロードマップの提供

• Data Center 3.0 戦略との融合

• TCO（総所有コスト）

の削減

• 主要アプリケーションベンダーとの共同開発・検証

• 満足と安心を提供

• 業界最高水準の性能と機能

• “仮想化” 機能

• グリーン性能

• 世界 No.1 シェア

と、多くの実績

お客さまへの

価値の提供

シスコの

優位性

ACE のセールスポイント

Cisco ACE 訴求ポイント


世界のロードバランサーマーケットシェア

ロードバランサーの世界 No.1 シェアを獲得！

ACE モジュール、ACE4710、CSS11500 シリーズ、CSM

ACE4710は、販売からわずか一年弱で世界で数千台の出荷・導入実績

Source: Sep 2008


Application Control Engine 製品ラインナップ

Cisco ACE Module

4 – 16 Gbps

Modules

ACE XML Gateway30,000 TPS

Cisco ANM 2.0

Global Products and Tools

Appliance

ACE 47100.5 – 4 Gbps

ACE GSS30K DNS RPS

L4 – L7 SwitchingXML Switching & Security

ACE WebApplication

Firewall

Cisco ACE XML Gateway Manager

“One-Click”Migration

Tools

(CSS/CSMACE)

+

Multi-modules(64 Gbps)

GSLB


ACE 4710 ハードウェアについて

前面

背面

ハードウェア： 1 RU, 4 x 10/100/1000 Copper Ethernet Ports

デュアルコア、デュアルCPUアーキテクチャ

搭載メモリ: 6 GB (基本構成に含む)

デバイスマネージャGUI 標準搭載

スループット： 500Mbps – 4Gbps (ライセンス拡張可)HWベース圧縮: 最大2 Gbps (ライセンス拡張可)SSL TPS 最大7500 （ライセンス拡張可）仮想デバイス最大20 （ライセンス拡張可）

ACL行数：40,000以上NATエントリー：1Million仮想デバイス：デフォルト5、最大20SSL Throughput ：1GbpsCPS ：120,000/秒仮想サーバ（VIP）：1000


ハードウェアの置換え不要、成長に合わせた投資が可能

• 500Mbpsスループット• 100 SSL TPS• 100Mbps HTTP圧縮• 5仮想コンテキスト• アプリケーション最適化

4Gbps

ACE 4710: L4-7機能統合の効果ライセンスモデルによる投資保護

upgradelicense

2Gbps

1Gbps

500Mbps

upgradelicense

upgradelicense

• 4Gbpsスループット• 7500 SSL TPS• 2Gbps HTTP圧縮• 20仮想コンテキスト• アプリケーション最適化• スループット

• SSL TPS• HTTPハードウェア圧縮• 仮想コンテキスト• アプリケーション最適化

↑これらのパラメータ毎にダウンタイム無しでの容量拡張が可能

容量不足時のフォークリフト・アップグレードは不要

最小スペック

最大スペック


バンドル製品用型番ライセンス説明

ライセンスバンドル製品本体

ACE-4710-0.5F-K9 本体、0.5 Gbps パフォーマンス、100 TPS SSL、100 Mbps 圧縮、5 仮想コンテキスト、アプリケーション高速化（50 コネクション限定）

ACE-4710-1F-K9 本体、1 Gbps パフォーマンス、5,000 TPS SSL、500 Mbps 圧縮、5 仮想コンテキスト、アプリケーション高速化（50 コネクション限定）

ACE-4710-2F-K9 本体、2 Gbps パフォーマンス、7,500 TPS SSL、1 Gbps 圧縮、5 仮想コンテキスト、アプリケーション高速化（50 コネクション限定）

ACE-4710-4F-K9 本体、4 Gbps パフォーマンス、7,500 TPS SSL、2 Gbps 圧縮、5 仮想コンテキスト、アプリケーション高速化（50 コネクション限定）

ACE-4710-BAS-2PAK 本体2台のセット1 Gbps パフォーマンス、1,000 TPS SSL、100 Mbps 圧縮、5 仮想コンテキスト、アプリケーション高速化（50 コネクション限定）

バンドル製品用アップグレードライセンス

ACE-4710-BUN-UP1= 0.5G から1G へのバンドルアップグレード

ACE-4710-BUN-UP2= 1G から2G へのバンドルアップグレード

ACE-4710-BUN-UP3= 2Gから4G へのバンドルアップグレード

バンドル型番は個別にライセンスを買い揃える場合に比べて、15～30% お得になっています！


バンドル製品のアップグレード

1. バンドル製品間のアップグレード

ACE-4710-＊F-K9 製品は、それぞれのバンドル製品間のアップグレード用ライセンスを提供

ACE-4710-1F-K9 利用時に、ACE-4710-BUN-UP2= を購入することで、ACE-4710-2F-K9 にアップグレード可能

パフォーマンスが 2G になるだけでなく、その他 SSL や圧縮もアップグレードされる

2. 個別アップグレードライセンスによるアップグレード

特定機能のみアップグレードしたい場合、アップグレードライセンスを購入

ACE-4710-1F-K9 利用時に、

ACE-AP-VIRT-020= を購入 → 仮想デバイス数を 20 にアップグレード

ACE-AP-02-LIC= を購入 → スループットが 2G にアップグレード

注意：購入後のアップグレードは、 “＝” 型番のあるものに限られます


個別ライセンス型番

ライセンス説明

ACE 4710 ハードウェア本体、ソフトウェア（必須）

ACE-4710-K9 ACE 4700 本体

ACE-AP-SW-3.2 Software Version 3.2スループットライセンス（いずれか必須）

ACE-AP-01-LIC 1 Gbps LicenseACE-AP-02-LIC 2 Gbps LicenseACE-AP-04-LIC 4 Gbps Licenseアップグレードライセンス

ACE-AP-02-LIC= 2 Gbps スループットアップグレードライセンス

ACE-AP-04-UP1= 1Gbps から 4 Gbps スループットアップグレードライセンス

ACE-AP-04-UP2= 2Gbps to 4 Gbps スループットアップグレードライセンス

ACE-AP-C-UP1= 500 Mbpsから1Gbps 圧縮アップグレードライセンス

ACE-AP-C-UP3= 1 Gpbs から2 Gbps 圧縮アップグレードライセンス

ACE-AP-SSL-UP1-K9= 5000 から7500 TPS アップグレードライセンス


個別ライセンス型番（オプション）ライセンス説明

オプションライセンス

ACE-AP-C-500-LIC 500 Mbps 圧縮ライセンス

ACE-AP-C-1000-LIC 1 Gbps 圧縮ライセンス

ACE-AP-C-2000-LIC 2 Gbps 圧縮ライセンス

ACE-AP-SSL-05K-K9 5000 TPS ライセンス

ACE-AP-SSL-7K-K9 7500 TPS ライセンス

ACE-AP-OPT-LIC-K9 アプリケーション最適化ライセンス

ACE-AP-VIRT-020 20 仮想コンテキストライセンス

スペアライセンス

ACE-AP-C-500-LIC= 500 Mbps 圧縮ライセンススペア

ACE-AP-C-1000-LIC= 1 Gbps 圧縮ライセンススペア

ACE-AP-C-2000-LIC= 2 Gbps 圧縮ライセンススペア

ACE-AP-SSL-05K-K9= 5000 TPS ライセンススペア

ACE-AP-SSL-7K-K9= 7500 TPS ライセンススペア

ACE-AP-OPT-LIC-K9= アプリケーション最適化ライセンススペア

ACE-AP-VIRT-020= 20 仮想コンテキストライセンススペア


個別ライセンス購入の例

（例 1） ACE 4710 の個別オーダ時の最小構成

– ACE 4710 本体（ACE-4710-K9）

– 1Gbps スループットライセンス（ACE-AP-01-LIC）

その他の機能（HTTP 圧縮、SSL、仮想デバイス、アプリケーション高速化）はデフォルト値で動作

（例 2） 2Gbps スループット＋20 仮想デバイスが必要な構成

– ACE 4710 本体（ACE-4710-K9）

– 2Gbps スループットライセンス（ACE-AP-02-LIC）

– 20 仮想デバイスライセンス（ACE-AP-VIRT-020）

その他の機能（HTTP 圧縮、SSL、アプリケーション高速化）はデフォルト値で動作

本体購入後のアップグレードライセンスは、スペア or アップグレードライセンス（“＝”型番）のあるものに限られます


0.5G

仮想デバイス（VC）数

SSL 性能（TPS）

圧縮性能（bps）

パフォーマンス（bps）

1G 2G 4G

20 VC

5 VC

1,0005,0007,500

2G

1G

500M

100M

アプリケーション最適化性能の追求

仮想化機能による統合化の促進

サーバオフロード

による最適化

段階的な高性能化による投資の保護

100

Cisco ACE 4710 アプライアンス1RU のハードウェアで必要に応じたライセンスアップグレードが可能


ACE 4710 の業界最高パフォーマンス

第三者機関でのパフォーマンステスト結果（他社比較データ含む）

数段上のクラスの他社

製品と比較しても、

ACE 4710 はさらに高

い性能を発揮

http://www.miercom.com/

他社(10G)他社(2G)他社(1G)

他社(10G)他社(2G)他社(1G)

※ ACE4710 は 2Gbpsライセンスで検証


ACE モジュールの業界最高パフォーマンス

第三者機関でのパフォーマンステスト結果（他社比較データ含む）

http://www.cisco.com/en/US/prod/collateral/modules/ps2706/ps6906/prod_brochure0900aecd806d1c8a.pdf

ACE モジュールあたり、L4 / L7 ともに

最大約 14 Gbps の性能を実証

→ 4 枚搭載時、最大約 60 Gbps !!

他社製品他社製品（HTTP）

他社製品（標準モード）


Q and A


ACE 高機能な負荷分散アルゴリズム

Adaptive Response Predictor （サーバレスポンスタイムベース）サーバからのレスポンスタイムをベースにロードバランスを行う（サポート対象は HTTP ）

Least Loaded Predictor （サーバ MIB 値ベース）SNMP Probeによる実サーバの SNMP オブジェクト ID の値をベースにロードバランスを行う（例； CPU 使用率、メモリ空き容量）

Least Bandwidth Predictor （サーバ平均使用帯域ベース）実サーバに対する双方向の平均使用帯域（Bytes/sec）をベースにロードバランスを行う

拡張負荷分散アルゴリズムは動的なサーバ負荷にも対応可能

※上記以外にも標準的なロードバランスアルゴリズムである、ラウンドロビン（重付け可能）、最小コネクション（重付け可能）、IPアドレスやヘッダー、Cookie、URLのハッシュ関数などもサポート


• サーバのレスポンスタイムに応じて負荷分散を行う• レスポンスタイムは設定されたサンプル数に基づいて計算される• 応答の計測方法として3つのオプションを用意

Adaptive Response Predictor

ACE4710からHTTPリクエストを送信し、サーバからHTTP レスポンスを受信するまでの時間

ACE4710からHTTPリクエストを送信し、サーバからHTTP レスポンスを受信するまでの時間

ACE4710からSYNを送信し、サーバからSYN-ACK を受信するまでの時間

ACE4710からSYNを送信し、サーバからSYN-ACK を受信するまでの時間

ACE4710からSYNを送信し、サーバから FIN/RSTを受信するまでの時間

ACE4710からSYNを送信し、サーバから FIN/RSTを受信するまでの時間

ACE4710 Serverfarm

SYN to CloseSYN to Close App. Request to ResponseApp. Request to ResponseSYN to SYN-ACKSYN to SYN-ACK


サーバの CPU 使用率、メモリ／ディスク空き容量などの情報を取得するために SNMP ベースのプローブを使用。

SNMP オブジェクト ID

CPU UtilizationMemory ResourcesDisk Drive Availability……. ……. Query Result

CPU Utilization = 14%Memory Resources= 947300k freeDisk Drive Availability= 440GB free

Query ResultCPU Utilization = 14%Memory Resources= 947300k freeDisk Drive Availability= 440GB free

Query Result CPU Utilization = 24%Memory Resources= 885300k freeDisk Drive Availability= 307GB free

Query Result CPU Utilization = 24%Memory Resources= 885300k freeDisk Drive Availability= 307GB free



サーバ側にはSNMP エージェントが必要。（特別な追加ソフトウェアは不要）

Least-loaded Predictor（SNMP使用）

ACE

Server Farm


Least-bandwidth Predictor

Least-bandwidth predictor とは、

決められたサンプリング時間内の実際のトラフィックをベースにネットワークトラフィック量を計測し、最小負荷のサーバを選択

ACEとサーバ間の双方向のトラフィック統計を取得し、サンプリング時間内の

利用ネットワーク帯域幅を計算

トラフィックのサンプリング結果に基づき、順序づけされたサーバリストを作成

最も帯域使用量の少ないサーバを選択

トラフィックボリュームが多いアプリケーションサーバのロードバランスに最適


アプリケーションレベルでのサーバヘルスチェック

Webサービス

Application

サービス

CISCO-service

HTTP GETリクエストを送信

http://www.cisco.ace4710.com

Webサーバファーム

HTTP 200OK レスポンスを返信

指定したURLに対するHTMLのレスポンス

連携

Webサービス

Application

サービス

連携

Webサービス

Application

サービス

連携

クライアントPC

面倒のスクリプトを作成することなく、HTTP ResponseのBODY部分に含まれるStringをチェックしサーバのヘルスチェックをL7レベルで容易に監視することが可能

probe http http-testrequest method get url / www.cisco.ace4710.com expect regex CISCO-service

＜HTMLデータ＞


①HTML ページリクエストGET Index.html

200 OK

③HTMLページ内のLink をリクエスト

GET xxx.html?sessionid=123

Cookie に非対応 ②サーバに転送

GET Index.html

200 OK

端末が Cookie に非対応なため、Cookie ヘッダ情報は含められないが、セッション情報付きの URI にリクエストする

セッション情報が追加されているコンテンツリンク（URI）を返信http://www.ciscosystems.com/?sessionid=123サーバで Set-cookie ヘッダの返信もしてもらうSet-cookie: sessionid = “123”

Cookie 非対応端末におけるセッション維持（クエリストリングをサポート）

ACE では Cookie を動的に学習して Sticky database を作成

ACE は、自身の Sticky database とHTTP リクエストのURI 内セッション情報に基づき同じサーバにセッションを維持

④学習済みの Cookie 情報と URI に含まれるセッション情報を結びつけ

同じサーバにセッション維持可能

ACE


仮想デバイスを最大20台生成

最大20台の仮想のデバイス(コンテキスト)とAdmin専用の仮想デバイス

システム、アプリケーション、テスト用途に仮想デバイスを展開

仮想デバイス毎の多岐に渡る柔軟なリソース制御: bandwidth, CPS, SSL, sticky, ACL等

仮想デバイス毎のリソースのOversubscription設定も可能

仮想デバイス単位での冗長化やフェールオーバーが可能

Router (NAT), Bridge, One-Armなど、多彩なデザインに柔軟に対応

各仮想デバイスが個別管理Configurationファイル

専用のディレクトリストラクチャ

ルーティングテーブル

リソースクラス

RBAC、ユーザアカウント等

SLBポリシー

ACE 仮想SLBソリューション

Admin Context残り(25%)

IT Context全体の50%

Eng Context全体の25%

保証されたリソースを各コンテキストに割り当てることでACE仮想デバイスはプラットホームのリソース利用効率を最大に


ACEのWebアプリケーションの最適化

特許取得済の技術であるFlashForwarding機能

ページダウンロード時間を高速化

ラウンドトリップタイムを最小限に抑制

効率的なコネクション管理

Latency Reduction

Bandwidth Reduction 特許取得済の技術であるDelta Encoding機能

Webページの差分データのみを返信

HTTP Compression機能

Webコンテンツを専用HWでGzip圧縮

Server Offload

SSL

TCP

ACE4710で終端することでサーバ負荷を軽減

SSL termination

TCP Reuse

Static および Dynamic Caching


ACEのFirewall機能ペイロード攻撃を回避The Last Line Of Server Defense

PerimeterNetworkFirewall

ServersAnd

Applications

Data Center

Deep Packet Attacks通常のFirewallだけではアプリケーションデータの保護という観点で不十分

ACEはDPIを行い、アプリケーションへの攻撃をブロック

『Generic Protocol Parsing』はDPIによる防御をどんなプロトコルにも適用可

ペイロード攻撃の対象

パケット

Data

ACE4710のセキュリティ機能とパフォーマンス:4Gbps, 64k NAT (1M PAT), 40K ACL エントリー, 1M SYN Blocks/sec

InteriorAttacks

BLOCKED

内部からの攻撃: サーバの直前に位置するACEを活用する

DDoS、プロトコル脆弱性、悪意あるアクセスからサーバファームを保護

Header Data


Cisco ACE 4710 のセールスポイントがわかる !!Cisco ACE 4710 アプライアンスカタログ

100% 日本語書き下ろし製品紹介用カタログ

http://www.cisco.com/jp/go/ace/

セールスポイント

構成・見積例

・仮想化構成

・VDI 構成


Q and A

cisco ace 4710 アプライアンスオンライン製品セミナー① · presentation_id 1...

Documents