Cisco 2960スイッチのLan LiteとLan Baseの違い

こんにちはhabr！ 当社のウェブサイトには、「FAQ」セクションがあります。 最近、「Cisco 2960シリーズスイッチのLAN LiteとLAN Baseの違いは何ですか」という質問がよく見られることに気付きました。 この記事では、Lan LiteとLan Baseの違いについて詳しく説明します。たとえば、多くのシスコシステム比較表にある「高度なセキュリティ機能」、「高度なQoS機能」などの言葉の下に隠されていることを説明します。



Lan LiteとLan Baseの違いの説明に直接進む前に、どの2960スイッチモデル（およびそれらの多くが存在する）、それらの最も重要な違い、および執筆時点で関連している2960モデルをごく簡単に見ていきます。 最も明白なオプションは、テーブルの形式です。 緑は現在のモデルに注意してください。 現在のモデルには薄い緑色が付いていますが、唯一のオプションがある場合、2960-CXはLan Baseのみ、2960-XRはIP Liteのみです。



* 記事の最後にあるUPDをご覧ください



この記事では、Lan LiteとLan Baseの違いは、現在のモデル、つまり2960-C、2960-Plus、および2960-Xについてのみ考慮されます。



選択するCisco 2960スイッチ：Lan LiteまたはLan Base？ Lan LiteからLan Baseに、またはその逆に切り替えることは不可能であるため、機器を購入する前にこの問題を完全に解決する必要があります。LanLiteスイッチはハードウェアがLan Baseと異なります。 2960-Xスイッチの場合、Lan LiteはLan Baseよりも約20％安くなります。 2960-Plusスイッチの場合、特定のモデルによっては価格差が最大40％になる場合があります。 適切な選択を行うためには、スイッチの使用方法とスイッチに必要な機能を正確に理解する必要があります。



ライセンスとしてCisco 2960スイッチのLan LiteおよびLan Baseについて話すと、しばしば混乱が生じます。 3560X、3750X、3650、3850、Lan Baseなどの最新のシスコスイッチの古いモデルがライセンスを示しているため、明らかに混乱が生じています。 リストされているIP BaseおよびIP Servicesスイッチのその他のライセンス。 これらのライセンスにより、Lan Baseと比較してより高度な機能が追加されます。 リストされたスイッチのLan Liteが欠落しています。 Cisco 2960の場合、Lan LiteおよびLan Baseはライセンスではありません 。



また、Lan LiteおよびLan Baseについては、Cisco 2960スイッチ用のソフトウェアのバージョンであるとよく考えられています。 実際、Cisco 2960、Cisco 2960Gスイッチ、および最新のCisco 2960-Plusスイッチのレガシーモデルの場合、Lan LiteモデルにはLan Liteソフトウェアイメージをインストールする必要があり、Lan BaseモデルにはLan Baseイメージが必要です。 Lan LiteスイッチにLan Baseソフトウェアイメージをインストールすることはできません。逆の場合も同様です。 ところで、興味深いのは、Cisco 2960-Plusスイッチのダウンロードセクションのcisco.com Webサイトで、スイッチの「間違った」ソフトウェアをダウンロードできることです。 つまり、Lan Baseスイッチの場合、たとえば、Lan Liteソフトウェアをダウンロードできます。







他のスイッチ（Cisco 2960、Cisco 2960G）の場合、cisco.comからの「間違った」ソフトウェアのダウンロードは失敗します。 最新のCisco 2960-C、Cisco 2960-CX、Cisco 2960-S、Cisco 2960-SF、Cisco 2960-X、およびCisco 2960-XRスイッチには、単一のユニバーサルソフトウェアイメージがあります。 たとえば、Cisco 2960-Xスイッチの場合、c2960x-universalk9-mz.152-2.E3.binソフトウェアは、Lan LiteスイッチとLan Baseスイッチの両方にインストールできます。 この場合にサポートされる機能のセットは、スイッチのモデルによってのみ決定されます。 インストールされたユニバーサルソフトウェアは、ハードウェアプラットフォームに応じて、サポートされる機能のセットを自動的に構成します。 Cisco 2960-XRスイッチが際立っていることは注目に値します。 これらのスイッチの機能セットはIP Liteと呼ばれます（Lan Liteと混同しないでください）。これらのスイッチはLan Baseスイッチに比べて機能が豊富です。 特に、Cisco 2960-XRは、エントリレベルのダイナミックルーティングプロトコル（ルーテッドアクセスのOSPF、EIGRPスタブ）およびその他の高度な機能（ポリシーベースルーティング、HSRPなど）をサポートしています。 Cisco 2960-CXも注目に値します。 このモデルにはLan Liteバージョンはありません。 唯一のオプションはLan Baseです。



したがって、Lan LiteおよびLan Baseの概念は、一連の機能、またはCisco Systemsの製造元の公式ドキュメント-IOS Feature Setで呼ばれているとおりです。



それでは、Lan LiteスイッチとLan Baseスイッチの違いに直接行きましょう。 Lan LiteまたはLan Baseの選択は、新しいスイッチを注文する際に最も重要であるため、現在のスイッチモデルのみの違いを考慮します（FAQには、モデル範囲全体の違いの短いリストが既にあります）。 現在のモデルから、Cisco 2960-CX（Lan Baseのみ）とCisco 2960-XR（IP Liteのみ）を削除します。 Cisco 2960-C（コンパクト）、Cisco 2960-Plus、およびCisco 2960-Xは引き続き検討対象です。



ハードウェアの違い



Cisco 2960-Cスイッチ



Lan Liteは、唯一のCatalyst 2960C-8TC-Sスイッチで表されます。

外部の違いはありません。

違いは、サポートされるSFPトランシーバーのリストのみです。 Lan Liteスイッチは、GLC-SX-MM、GLC-SX-MMD、GLC-LH-SM、GLC-LH-SMDのみをサポートしています。 Lan Baseスイッチは、1 GBトランシーバーの完全なリストをサポートしています（ロングリーチシングルモードファイバー、拡張ロングリーチシングルモードファイバー、およびシングルコアオプティクス用のトランシーバーを含む）。



Cisco 2960-Plusスイッチ



外部の違い...ここ：











左Lanベース、右Lan Lite。 Lan Liteの右上隅には「Catalyst 2960 Plus Series SI」と表示され、Lan Baseには「Catalyst 2960-Plus Series」と表示されます。



違い：

1. サポートされているトランシーバーのリスト。 Lan LiteはGLC-SX-MM、GLC-SX-MMD、GLC-LH-SM、GLC-LH-SMDのみをサポートし、Lan Baseは完全なリストです。
2. Cisco Redundant Power System（RPS）2300のサポート

Cisco 2960-Xスイッチ



Lan Liteモデルは、WS-C2960X-24TS-LLとWS-C2960X-48TS-LLの2つのスイッチで表されます。



外部の違い。



スイッチのフロントパネルには、一連の機能が明示的に含まれています。







スイッチの背面にあるLan Baseには、スタックモジュールを取り付けるためのスロットがあります。 Lan Liteスイッチはスタッキングをサポートしていないため、モジュールをインストールするためのスロットはありません。 写真では、スタックモジュールがすでにインストールされているLan Baseスイッチの背面パネル：







また、2960-Xスイッチでは、他の2960スイッチとは異なり、show licenseコマンドプロンプトから機能セットを見つけることができます。



違い：

1. スタッキングのサポート。 既に述べたように、Lan Liteモデルはスタックにマージ/追加できません。
2. サポートされているSFPトランシーバーのリスト。 Lan LiteはGLC-SX-MM、GLC-SX-MMD、GLC-LH-SM、GLC-LH-SMD、GLC-EX-SMDのみをサポートし、Lan Baseは完全なリストです。
3. SFP +トランシーバーのサポート。 Lan LiteモデルはSFP +をサポートしていません。
4. Cisco Redundant Power System（RPS）2300バックアップ電源システムのサポートここで注目に値するのは、外部RPSをサポートするのはLan Baseモデルのみです。 Lan liteモデルはサポートしていません。IPLiteモデルもサポートしていませんが、独自の冗長電源を装備できます。
5. PoE / PoE +をサポートします。 2960-Plusとは異なり、2960-X PoEスイッチのLan Liteモデルは使用できません。
6. RAM Lan Liteモデルには256 MB DRAMが搭載され、Lan Baseモデルには512 MB DRAMが搭載されています。
7. フラッシュメモリ。 Lan Liteモデルには64 MB DRAMが搭載され、Lan Baseモデルには128 MB DRAMが搭載されています。
8. パフォーマンス切り替え工場。 Lan Liteモデルは50 Gb / s、Lan Baseモデルは108 Gb / sです。

ソフトウェアの違い



2960スイッチモデルに関係なく、ソフトウェアにはLan LiteとLan Baseの一般的な違いがあります。 基本的な違い：Lan LiteスイッチはOSIモデルレイヤー2ネットワークデバイス（L2デバイス）であり、Lan BaseスイッチはOSIモデルレイヤー3デバイス（L3デバイス）です。 つまり、Lan Liteスイッチはデータリンクレイヤー（L2）でのみパケットを送信し、Lan BaseスイッチはL3およびL4ヘッダーと連携してパケットを送信および処理できます。 Lan LiteとLan Baseの機能のその他の違いは、主にこの事実の結果です。 この機能またはその機能がLan Liteスイッチで機能するかどうかを判断するには、多くの場合、機能の実装に送信パケットのIPヘッダーの分析/処理が必要かどうかを理解するだけで十分です。 特定の例を使用して、このステートメントをさらに詳しく検討してみましょう。



Lan LiteとLan Baseを比較する場合、機能セットは通常次のグループに分けられます。

• レベル2;
• レベル3;
• 安全性;
• サービス品質（QoS）。
• 管理性;

各グループの違いを詳細に検討してください。



レベル2



Lan Liteスイッチは、基本的なデータリンク機能を提供します。

• 802.1Q;
• STPおよび拡張機能。
• CDP;
• LLDP
• DTP
• UDLD;
• VTP v2;
• PAgP / LACP;
• ストームコントロール

Lan Baseスイッチは次の追加機能を提供します。

• フレックスリンク
• LLDP MED;
• VTP v3。

このグループについては詳しく説明しません。リストされている違いは、L3 / L4ヘッダーを処理する能力に依存しません。



レベル3



これは根本的な違いです。 Lan Baseスイッチは、L3 / L4ヘッダーの処理をサポートし、ゲートウェイルーティングの機能を実行します。 静的ルーティングのみがサポートされています。 最大16のスタティックルートを設定できます。



安全性



Lan Baseスイッチ機能は、次の追加のセキュリティ機能を提供します。

• DHCPスヌーピング;
• IPソースガード。
• ダイナミックARPインスペクション（DAI）。
• ポートアクセスリスト（pACL）;
• 追加します。 802.1XツールとCisco ISEとの統合。

DHCPスヌーピングを使用すると、ブロードキャストドメイン内のすべてのDHCP要求を監視し、信頼できないDHCPサーバーが接続できるポートでDHCP応答をブロックできます。 したがって、DHCPスヌーピングを使用すると、敵のDHCPサーバーがネットワークに接続するのを防ぐことができます。 さらに、DHCPスヌーピングは、クライアントのMACアドレス、発行されたIPアドレス、リース時間などに一致するデータベースをコンパイルします。 DHCPプロトコルはOSIモデルのL4層を使用してパケットを送信するため、スイッチはこの機能を実装するためにL3 / L4ヘッダーを解析できる必要があります。 したがって、DHCPスヌーピングはLan Baseスイッチでのみ機能します。



IPソースガードを使用すると、ソースIPアドレスのなりすましの攻撃に対処できます。 このため、IPソースガードはDHCPスヌーピングを使用して取得したデータベースを使用します。 もちろん、このデータベースには静的エントリを手動で追加できます。 もちろん、IPソースガードを実装するには、スイッチがL3 / L4ヘッダーを操作できる必要があるため、この機能はLan Baseスイッチでのみ実装できます。



ダイナミックARPインスペクション（DAI）を使用すると、正当なデバイスから自身のゲートウェイにトラフィックをリダイレクトするために、攻撃者がARP応答を偽造しようとするARPポイズニングやARPスプーフィングなどの攻撃に対処できます。 DAIが有効な場合、ARP応答が信頼できないポートに表示されると、スイッチはARPパケットを検査し、DHCPスヌーピングおよび静的エントリからの既存のデータベースとデータを比較します。 ARPプロトコルはデータリンク層で機能しますが、DAIを完全に実装するには、DHCPスヌーピングを有効にする必要があります。 したがって、本格的なDAIはLan Baseスイッチでのみ機能します。



ポートアクセスリスト。 Lan ACLスイッチでのみpACLを実装できる理由をさらに説明する必要はないと思います。 私は1つのニュアンスだけに注目したいと思います。pACLは着信方向にのみ適用できます。 out方向では、pACLは機能しませんが、通常はスイッチポートでこの設計を構成（コマンドを入力）することができます。



追加します。 802.1XツールとCisco ISEとの統合。 この問題を完全に検討することは非常に難しく、この記事のフレームワークに深く入り込むことは理にかなっていないと思います。 ただし、一部の機能はLan Liteスイッチで機能することに注意してください。 たとえば、Lan Liteスイッチでは、802.1XゲストVlanを実装できます。 この機能は、エンドデバイスに802.1Xクライアントがインストールされておらず、スイッチの802.1Xポートで認証および承認できない場合に役立ちます。 この場合、ローカルネットワークへのアクセスが制限されているVLAN（またはゲストVLAN）によってデバイスを一時的に隔離できます。 ただし、さまざまな機能を含めてCisco ISEと完全に統合し、クライアントデバイスの比較的複雑な認証ロジックを実装する予定がある場合は、Lan Baseスイッチを使用することをお勧めします。 Lan Baseスイッチでのみ、Web認証やダウンロード可能なACLなどの機能を実装できます。 Web認証では、ユーザーのWebトラフィックを、ユーザーがユーザー名/パスワードを入力できる特別なWebページにリダイレクトする必要があります。 したがって、このタスクに対応できるのはLan Baseスイッチのみです。 ダウンロード可能なACLについては、説明は必要ないと思います。



サービス品質（QoS）



Lan Liteスイッチは、DSCP値がToSフィールドのIPヘッダーで渡されるため、DSCP値に基づいてQoSポリシーを実行できません。 したがって、Lan LiteスイッチのQoSポリシーは、リンクレイヤーヘッダーで送信されたCoS値に基づいてのみ適用できます。



ただし、QoSを検討する場合、L3 / L4ヘッダーを処理する能力によって明確に決定されない重要な違いを強調する必要があります。 私の意見では、最も重要な違いは、Lan LiteスイッチにはAutoQoSを有効にするオプションがないことです。 Lan Baseスイッチでは、ポートに接続されているメディアデバイスに応じて、AutoQosが自動的にQoS設定を生成します。 2960-Xの可能なオプション：

• auto qos voip {cisco-phone | cisco-softphone | 信頼}
• 自動QoSビデオ{cts | IPカメラ| メディアプレーヤー}
• 自動QoS分類[ポリス]
• auto qos trust {cos | dscp}

同時に、AutoQosは次の「細かい」QoS設定を実行します。

• 着信パケットのCoSからDSCPへのマッピングを構成します。
• CoS値に従って、パケットを4つのキューとWTD（重み付けテールドロップ）のしきい値に分配します。
• DSCP値に従ってパケットを4つのキューと3つのWRTしきい値に分配します。
• キューサイズとWRTしきい値、およびSRR（シェーピングラウンドロビン）キューアルゴリズムのキューの重みを構成します。

さらに、auto qos voip cisco-softphone、auto qos classifyの場合、AutoQoS機能は特定のポリシーマップを含めるなど、追加の設定を実行します。 AutoQoSは、シスコのベストプラクティスに従ってこれらの設定をすべて実行します。 AutoQoSの詳細については、 こちらをご覧ください 。



AutoQosに加えて、Lan Liteで次のQoS機能の設定を使用または変更することはできません。

• 信頼境界—接続されたデバイスのタイプに基づいてQoSラベルを信頼するかどうかを決定します。 接続されているデバイスのタイプは、CDPの動作に基づいて決定されます。
• ポリシング-流量を評価します（プロファイル内で、フローが指定速度を超えていない場合、またはプロファイルを超えている場合）。 また、クラスマップとポリシーマップを構成することはできません。
• マーキング-ポリシングステップの結果に応じて、データストリームにアクションを適用します-インプロファイルまたはアウトプロファイル。 アクションは、パス（データストリームを渡す）、マークダウン（ストリームのQoSラベルを変更してサービスクラスを削減/低下させる）、またはドロップ（ストリームのパケットをドロップ）です。
• マッピングテーブル-CoSからDSCPへのマッピング、IP優先順位からDSCPへのマッピング、DSCPからDSCPへのマッピング、またはDSCPからQoSへの着信パケットのマッピングの変更。 Lan LiteスイッチはCoSでのみ機能するため、この項目は考慮に値しません。
• 重み付けテールドロップ-WRTアルゴリズムのしきい値を変更します。
• イングレスキューイング-Lan Baseスイッチでのみ2つの着信キューの設定を変更できます。 さらに、2960-S、2960-CX、および2960-Xスイッチは、入力キューイングをまったくサポートしていません。
• 出力キューイング-Lan Baseスイッチでのみ4つの送信キューの設定を変更できます。

Lan Liteスイッチのリストされた制限からわかるように、QoS機能は可能な限り最小の方法で実装されます。 この記事のフレームワーク内で2960スイッチのQoS設定をさらに深く掘り下げる意味はありません。 必要に応じて、 ここで2960-XスイッチのQoSを構成します。



管理性



「管理可能性」セクションの機能の違いは、L3 / L4ヘッダーの処理機能から明示的には従いません。 最も重要な違いの中で、次のものを区別できます。

• サポートされるSPANセッションの数（Lanベーススイッチのモデルに応じて、Lan Liteスイッチで1セッション）;
• リモートSPANサポート。
• IP SLA Responderのサポート。
• より広い範囲のMIB。
• サポートされているVLANの数。
• サポートされているSTPプロセスの数。

2960スイッチの各モデルについて、Lan LiteとLan Baseの機能の違いをより詳細に検討する意味はありません。 シスコは、 Feature Navigatorを使用して、必要な機能を常に改善することを提案しています。 私の意見では、Feature Navigatorは常に役立つとは限りませんが、特定のモデルの構成ガイドは、より議論の多い問題を明確にするのに役立ちます。



便宜上、ソフトウェアの違いを表形式で示します。 特定のスイッチモデルに固有のいくつかの定量的および/または一意の違いもこの表に示します。











ほとんどの場合、Lan Liteスイッチを構成するときに、Lan Baseスイッチに固有の機能を含むコマンドを指定できることに注意してください。 たとえば、Lan Liteスイッチでdhcp-snoopingを含むコマンドを入力できます。







ただし、スイッチで機能を設定できるという事実にもかかわらず、Lan Liteバリアントでは実際に適用されるコマンドは機能しないことを理解する必要があります。



おわりに



この記事では、現在のCisco 2960スイッチのLan LiteバージョンとLan Baseバージョンの違いを調べ、現在のモデルに2960-C、2960-Plus、および2960-Xモデルを含めました。 Lan LiteとLan Baseの違いは、ハードウェアとソフトウェアとしてレビューしました。 ソフトウェアの違いを検討する際に、基本的な違い、つまりOSIモデルの第3レベルと第4レベルで動作し、L3 / L4ヘッダーを処理するスイッチの能力を導き出しました。 この違いに基づいて、セキュリティ機能の例と、一部はQoS機能を使用して、スイッチのLan Liteバージョンで動作する機能とLan Baseバージョンでのみ機能する機能を決定する方法を示しました。 また、根本的な違いによるものではないいくつかの点を強調し、特定のスイッチモデルに固有の違いを示しました。



もう一度注意を払いたいのですが、Lan LiteからLan Baseへ、またはその逆への移行は不可能です。 2960-Xスイッチの場合、価格差はそれほど大きくありません（約20％）が、同時に、Lan Liteバージョンを購入すると、大量の機能が失われます。 私の意見では、Lan Liteスイッチの最も大きな損失は、ゲートウェイルーティング、ACL、およびAutoQosの欠如です。 一方、2960-Plusスイッチの場合、特定のモデルでは価格差が40％になる場合があるため、Lan LiteまたはLan Baseの選択には注意が必要です。 おそらく、Lan Base機能は実際にはタスクに需要がなく、Lan Liteバージョンで2960-Plusスイッチを購入すると、予算を大幅に節約できます。 特に、スイッチのバッチを購入する場合。



この記事が、Cisco 2960スイッチのLan LiteバージョンとLan Baseバージョンを選択するためのガイドとなり、いくつかの論争の的となっている問題に光を当てることを願っています。



UPD（2016年11月7日）：

2016年の秋、2960-Lスイッチの新しいラインが登場しました。









これらはLan Lite機能セットを備えた固定ギガビットスイッチです。 実際、これらのスイッチは、ギガビットポートを備えたL2スイッチのポートフォリオを拡大します。 その前には、Lan Liteを搭載した2960-Xしかありませんでした（コンパクトモデルを考慮しない場合）。 2960-Xラインは、WS-C2960X-24TS-LLとWS-C2960X-48TS-LLの2つのモデルのみで表されます。 2960-Lラインには、8、16、24、および48ポートスイッチがあります。 アップリンク2または4 SFP。 PoEを備えたモデルがあります。 2960-Lには、より多くのDRAM（2960-X Lan Liteで512対256）およびフラッシュ（2960-X Lan Liteで256対64）があります。



前述のように、2960-Lラインは排他的にL2スイッチです。つまり、Lan Lite機能のセットを備えています。 ただし、これらのスイッチには、次のようなより高度なLan Base機能も備わっています。

• ポートアクセスリスト（pACL）;
• 802.1x;
• 高度なQoS。 これで、IPヘッダーのIPアドレスとポート番号に基づいてCoSを再マークできます。 また、加重ラウンドロビン（WRR）、加重テールドロップ（WTD）のサポートが追加されました。

2ポートのPoEスイッチ（WS-C2960L-48PS-LL）を除き、2960-Lラインはファンレスです。