仮題

学習用

9-WAN (1)

9-1~9-4_WANの概要勘所   

https://pastebin.com/DDMCTa9P

地理的に離れすぎているのでフツーのLANでは繋げられない。

⇒WANを使おう。

★構造

CPE-|-localloop-中継網-localloop-|-CPE

|=demarc:分界点。

・概念整理

中継網とローカルループ:拠点間を接続するための中継回線。

CPE= Customer Premises Equipment

  = DTE+DCE


  DTE=Data Terminal Equipment 早い話がルータなど

  DCE=Data Communication/Circuit-Terminating Equipment

    データ回線終端装置。DTEとWANの信号を相互変換して伝送する。

   クロック信号を送る。大抵ルータに組み込まれてる。

   =DCE=CSUorDSUorモデム

CSU= Channel Service Unit

DSU=Digital Service Unit

MODEM= MOdurator-DEModurator (変調・復調器)

            電話用のアナログ信号を電気信号に変換する。

DSL=Digital Subscribed Line 電話線を利用した高速データ通信の総称

   いくつか種類によってxDSLと呼ばれる。

    ADSLのAはAsymmetricのAで、UP(0.5Mbps)に比べて

    Down(1.5Mbps)が高速なので個人ユーザ向けに普及した。

    普通の電話音声の信号とデータ通信用の信号を分けるスプリッタ

        LANの信号をアナログ信号に変換するADSLモデムを使用。 

  自宅側:壁面のモジュラジャック-スプリッタ-電話とADSLモデム-LANという構成。

  ISP側:電話線-MDF-スプリッタ-交換機を介した電話のPTSN/DSLAMで集約した

      インターネット回線という構成。

★WANサービスの種類

-1 専用線:Point-to-point.電気通信事業者が2拠点間を1:1でつなぐ。

-2 交換型WAN: 回線交換(PSTN,ISDN)あるいは

                   パケット交換(IP-VPN/広域Ethernet/フレームリレー/ATM)

-3 インターネット:ブロードバンドVPN(DSL/CATV/FTTH/Wireless LAN)

・概念整理

-PSTN=Public Switched Telephone Network

モデムを使ってダイヤルアップで電話網に接続し使用するWAN

-ISDN=電話網を使うが、音声映像FAXデータなどが1NWに統合されているWAN

-IP-VPN=中継網は、インターネットではない。

     通信事業者独自の閉域IP通信網で中継。

     VPNなので、その通信網をあたかも専用線のように使えるが

     帯域自体はほかのユーザーと共用しているので輻輳はする。

-広域Ethernet=冒頭のWANの説明からすこし矛盾しそうだが

        SwitchとVlanを駆使して繋げてL2のEthネットワークを広域にしたもの。

        拠点が複数あっても1つの巨大なLANのように自社NWを構築できる。

-フレームリレー(obsolete)=X.25というパケット交換プロトコルから

        エラー訂正機能を抜いて高速化した方式。

        フレームリレースイッチの網で中継網を作っておき、

        その中で論理的な仮想回線を構築して拠点間接続を行う。

        ということは、例えば10の拠点間接続がしたければ

        各CPEから中継網に1本ずつシリアルで繋げばよくて、

        10C2=45本の専用線を用意する必要なんてないということ。

-ATM(obsolete)=Asynchronous Transfer Mode:セル交換方式。

   セルと呼ばれる53バイトの固定長データにパケットを分割して伝送する。

     -ブロードバンドVPN=ブロードバンドを介したVPNサービス。

        WANの中継網にインターネットを利用しているVPNを 

        インターネットVPNとも呼ぶ。

        インターネットを介したWAN接続では、中継網で

        DSL、CATV、FTTH、ワイヤレスWANといった

        ブロードバンドサービスを経由する。

-CATV=電話線ではなくケーブルテレビ網を使ったインターネット接続サービス。

    加入者自宅付近数百mのCoaxケーブルと残部の光ファイバの組み合わせで構成。

    ケーブルモデムはテレビ局側にある。

-FTTH=お馴染みのFiber to The Home.

    電気信号と光信号を変換するのはONU:Optical Network Unit.

-WirelessWan=携帯電話のワイヤレスネットワークを使ったWANサービス

    中継網を含めケーブルの敷設が不要であるため広範囲をカバー可能.

★同期/非同期のシリアル回線でデータ転送をする際にデータリンク層でのカプセル化をする

プロトコルは2種類。HDLCとPPP。

High-level Data Link Protocol /Point to point Protocol

Cisco独自のカプセル化タイプがHDLC(※Ciscoのs/ifではデフォルトでこれ。)

 注意:i/fでカプセル化タイプの明示的設定をしないと、デフォルトでHDLCになる。

   →これはsh intではEncapsulation HDLCと表示されてくれるが、

    sh runでは「何も表示されない」ので注意。

・ベンダフリーのカプセル化タイプがPPP.覚えることが多いのはこっち。

 RFC1661により定義されている。

 -リンクの確立、維持、切断、認証などに使用するLCPと、

 上位のネットワーク層のプロトコルを識別するNCPの2つのサブプロトコルから成る。

  PPPは、LCPでリンクを確立させるフェーズ、PAP/CHAPで認証するフェーズ、

     NCPでNW層のプロトコルを対応させてパケットを伝送するフェーズの3段階を踏む。

 -LCPのオプションとして認証機能があり、その2大プロトコルがPAPとCHAP.

PAP:パスワードが平文で送られる+LCP接続確立と認証の2wayハンドシェイク

    送信元から送信先へ接続要求⇒LCPで接続確立

    ⇒PW送信⇒PW検索・合致・認証許可通知

   ※デフォルトで無効化されているので、

   使いたければ(config-if)#ppp pap sent-username Hogeuser HogePWを入力

 CHAP:パスワードは暗号化して送り、MD5でハッシュ値を出して確認。

     3wayハンドシェイクで定期的にpeerの認証を実施。   

     LCP接続確立⇒「送信先」がチャレンジ乱数を送信し認証要求

     ⇒「送信元」がチャレンジ乱数と認証パスワードを元にMD5ハッシュ値を出す

     ⇒ホスト名とハッシュ値送信先に送る

     ⇒送信先が、送ってたチャレンジ乱数と、ホスト名に対応する認証PWを使って

      MD5でハッシュ値を計算し、一致を確認。

     ※要はPAPよりもセキュア。

  〇LCPでリンクが確立されていると、sh intの結果で対象ifに「LCP Open」が表示される。

   リンクが確立されていないと、「LCP Closed」と出る。

★MLPPP -マルチリンクPPP

複数の物理Serial i/fをグループ化して、

1つのIPを振り、帯域幅の確保+冗長化する。

 EtherChannelみたいなやつだが、それをPPPでやる。

※もともとのifのipは削除する。 

マルチリンクをつくる

 (config)#int multilink 1 (1とは、マルチリンクバンドル:リンクの束なりの名前)

 (config-if)#ip address 192.168.12.1 255.255.255.0 (マルチリンク用の単一のipを振る)

 (config-if)#ppp multilink (明示的にマルチリンクを有効化)

 (config-if)#ppp multilink group 10 (インターフェースのグループ名を決定)

 ●各i/fに設定していく

 (config)#int s0

(config-if)#encapsulation ppp

(config-if)#ppp multilink

(config-if)#ppp multilink group 10

 (config)#int s1

(config-if)#encapsulation ppp

(config-if)#ppp multilink

(config-if)#ppp multilink group 10

 。。。

 ※sh ppp multilink、 sh int multilink (バンドル番号) で各設定を確認できる。

★PPPoE- PPP over Ethernet

 

 要するに、CPEのクライアントと、ISP側のサーバ(集約ルータ)とのPPP通信。  

クライアントPCがブロードバンドサービスでインターネット接続をしたい場合、

 素のEthernetフレームには認証機能がなく、それをそのままパケット化として

 通信事業者の集約ルータに送るのはまじで危険すぎる。

 ⇒クライアントPCや、CPEにPPPでフレームをカプセル化するクライアントソフトを入れておいて

  CHAPやハンドシェイクなど認証機能を使えるようにし、回線事業者のPPPoEサーバと通信させ

  回線事業者の集約ルータまでの通信をセキュアにしようというのがPPPoE。

 ・PPPoEの通信には下記の通り2種類ある。

-①Discovery Stage: 要はPPPoEサーバの発見とMACアドレスの解決

   PADIでクライアントからブロードキャストでWAN側のPPPoEサーバを探索

   PADOで応答を返してくれたらMACアドレスがわかるので

   PADRでPPPoEセッションの開始要求を出し

   PADSでセッションIDの応答を返してもらって、②へ移る。

-②PPP Session Stage:要は認証などによるPPPセッションの確立

   LCPでネゴシエートし、CHAP(PAPも一応含む)で認証し、

   IPアドレスを取得するためのIPCPネゴシエーションを使ってセッションを確立させる。

Ciscoルータ●as CPEをPPPoEのクライアントに設定したい

10.1.1.0/24

  □\

  □ーSW-------(fa0)●(fa1)=====(ISP----◎----Internet

  □/  

  ①まず、●~◎のイーサネットリンクをPoint to Pointのようにする。

  CPE(conf)#int dialer 5 (0~255までならなんでも)

  CPE(conf-if)#ip address negotiated    (PPP/IPCPで集約ルータからipアドレスをもらう)

  CPE(conf-if)#ip mtu 1492  (カプセル化の分、ヘッダの最大サイズは小さく。)

  CPE(conf-if)#encapsulation ppp   

  CPE(conf-if)#dialer pool 10          (物理ifに関連付けるための番号)

  CPE(conf-if)#ppp authentication chap callin  (chap認証)

  CPE(conf-if)#ppp chap hostname User1       (chap認証)

  CPE(conf-if)#ppp chap password  HogePW   (chap認証)

  CPE(conf-if)#dialer-group 1   

  CPE(conf-if)#exit


  CPE(conf)#dialer-list 1 protocol ip permit  (※dialer-group番号から、PPPoEの開始トラフィックを指定し許可)



  ◎WAN側につながる物理ifの設定


  CPE(conf)#int fa1

  CPE(conf-if)#pppoe-client dial-pool-number 10

  CPE(conf-if)#no ip addr (もともとのipは消す)

  ●LAN側の物理ifの設定

  CPE(conf)#int fa0

  CPE(conf-if)#ip addr 10.1.1.1 255.255.255.0

  CPE(conf-if)#ip tcp adjust-mss 1452



  ②プライベートIPを、PATで集約ルータからもらったグローバルIPに変える設定


  CPE(conf)#access-list 1 permit 10.1.1.0 0.0.0.255

  CPE(conf)#ip nat inside source list 1 interface dialer 5 overload

  CPE(conf)#int fa0

  CPE(conf-if)#ip nat inside

  CPE(conf-if)#int fa1

  CPE(conf-if)#ip nat outside


 ③CPEをDHCPサーバとして機能させて、各端末にipを振る


  CPE(conf)#ip dhcp excluded-address 10.1.1.1 10.1.1.100

  CPE(conf)#ip dhcp pool CPE

  CPE(conf-dhcp)#network 10.1.1.0 255.255.255.0

  CPE(conf-dhcp)#default-router 10.1.1.1   (fa0のこと)

  CPE(conf-dhcp)#dns-server 10.1.1.5

  CPE(conf-dhcp)#domain-name hoge.com


 ④デフォルトルートをダイヤラーのifに


  CPE(conf)#ip route 0.0.0.0 0.0.0.0 dialer 5

  ・・・以上の設定を#sh ip int bri、#sh pppoe session、#sh ip routeで確認可能

打つがよい。

telnet先のルータのI/fにつながったケーブルの種類が知りたい。

 あと対象のルータがDCEかDTEか知りたい。

DCEの場合、DTEへ送るクロック信号のクロックレートを確認したい。

⇒#show controllers s/0/0/0

・DCEからDTEへ送るクロック信号のクロックレートを変更したい

⇒(config)#int s/0/0

(config-if)#clock rate 128000 ※※単位はbps

・OSPFやEIGRPのメトリック計算で使うので設定帯域幅を変更したい

⇒(config-if)#bandwidth 256 ※※単位はkbps

・シリアルi/fのカプセル化タイプを設定したい

 (config-if)#encapsulation ppp ※※HDLCはCiscoルータではデフォルト。

・PPPの認証機能でホスト名、ユーザアカウント、

PWを設定し、PAP/CHAPを指定したい。

 (config)#hostname Hogehoge

(config)#username userHoge password pwHoge

             またはvtyの設定と同様、内部でMD5で暗号化したい場合

    #username userHoge secret pwHoge

 (config-if)#ppp pap sent-username userHoge password pwHoge

              ※※papを使う場合、papはセキュアでないので

        デフォで無効化されてるのを有効化してやる必要あり。

 (config-if)#ppp authentication chap pap

       ※※この書き方は先にchap次にpapを実施、ということ。片方だけでも良い。

★WANに使うシリアルi/fの状態で、line protocolだけdownになる

 ⇒encapsulationが不一致

  バックツーバック接続の場合、DCE側にClock rateの設定が抜けてる

9-5 VPN

おそらく今日のEnterprise Networkで一番大事な概念。

WAN構築ソリューションの主流。

公衆回線としてのインターネットを利用する「インターネットVPN」と、

電気通信事業者の専用ネットワークを利用する「IP-VPN」がある。

(詳細はあとまわし)