9-WAN (1)
9-1~9-4_WANの概要勘所
地理的に離れすぎているのでフツーのLANでは繋げられない。
⇒WANを使おう。
★構造
CPE-|-localloop-中継網-localloop-|-CPE
|=demarc:分界点。
・概念整理
中継網とローカルループ:拠点間を接続するための中継回線。
CPE= Customer Premises Equipment
= DTE+DCE
DTE=Data Terminal Equipment 早い話がルータなど
DCE=Data Communication/Circuit-Terminating Equipment
データ回線終端装置。DTEとWANの信号を相互変換して伝送する。
クロック信号を送る。大抵ルータに組み込まれてる。
=DCE=CSUorDSUorモデム
CSU= Channel Service Unit
DSU=Digital Service Unit
MODEM= MOdurator-DEModurator (変調・復調器)
電話用のアナログ信号を電気信号に変換する。
※DSL=Digital Subscribed Line 電話線を利用した高速データ通信の総称
いくつか種類によってxDSLと呼ばれる。
ADSLのAはAsymmetricのAで、UP(0.5Mbps)に比べて
Down(1.5Mbps)が高速なので個人ユーザ向けに普及した。
普通の電話音声の信号とデータ通信用の信号を分けるスプリッタ
LANの信号をアナログ信号に変換するADSLモデムを使用。
自宅側:壁面のモジュラジャック-スプリッタ-電話とADSLモデム-LANという構成。
ISP側:電話線-MDF-スプリッタ-交換機を介した電話のPTSN/DSLAMで集約した
インターネット回線という構成。
★WANサービスの種類
-1 専用線:Point-to-point.電気通信事業者が2拠点間を1:1でつなぐ。
-2 交換型WAN: 回線交換(PSTN,ISDN)あるいは
パケット交換(IP-VPN/広域Ethernet/フレームリレー/ATM)
-3 インターネット:ブロードバンドVPN(DSL/CATV/FTTH/Wireless LAN)
・概念整理
-PSTN=Public Switched Telephone Network
モデムを使ってダイヤルアップで電話網に接続し使用するWAN
-ISDN=電話網を使うが、音声映像FAXデータなどが1NWに統合されているWAN
-IP-VPN=中継網は、インターネットではない。
通信事業者独自の閉域IP通信網で中継。
帯域自体はほかのユーザーと共用しているので輻輳はする。
-広域Ethernet=冒頭のWANの説明からすこし矛盾しそうだが
SwitchとVlanを駆使して繋げてL2のEthネットワークを広域にしたもの。
拠点が複数あっても1つの巨大なLANのように自社NWを構築できる。
-フレームリレー(obsolete)=X.25というパケット交換プロトコルから
エラー訂正機能を抜いて高速化した方式。
フレームリレースイッチの網で中継網を作っておき、
その中で論理的な仮想回線を構築して拠点間接続を行う。
ということは、例えば10の拠点間接続がしたければ
各CPEから中継網に1本ずつシリアルで繋げばよくて、
10C2=45本の専用線を用意する必要なんてないということ。
-ATM(obsolete)=Asynchronous Transfer Mode:セル交換方式。
セルと呼ばれる53バイトの固定長データにパケットを分割して伝送する。
-ブロードバンドVPN=ブロードバンドを介したVPNサービス。
WANの中継網にインターネットを利用しているVPNを
インターネットVPNとも呼ぶ。
インターネットを介したWAN接続では、中継網で
ブロードバンドサービスを経由する。
-CATV=電話線ではなくケーブルテレビ網を使ったインターネット接続サービス。
加入者自宅付近数百mのCoaxケーブルと残部の光ファイバの組み合わせで構成。
ケーブルモデムはテレビ局側にある。
-FTTH=お馴染みのFiber to The Home.
電気信号と光信号を変換するのはONU:Optical Network Unit.
-WirelessWan=携帯電話のワイヤレスネットワークを使ったWANサービス
中継網を含めケーブルの敷設が不要であるため広範囲をカバー可能.
★同期/非同期のシリアル回線でデータ転送をする際にデータリンク層でのカプセル化をする
プロトコルは2種類。HDLCとPPP。
High-level Data Link Protocol /Point to point Protocol
・Cisco独自のカプセル化タイプがHDLC(※Ciscoのs/ifではデフォルトでこれ。)
注意:i/fでカプセル化タイプの明示的設定をしないと、デフォルトでHDLCになる。
→これはsh intではEncapsulation HDLCと表示されてくれるが、
sh runでは「何も表示されない」ので注意。
・ベンダフリーのカプセル化タイプがPPP.覚えることが多いのはこっち。
RFC1661により定義されている。
-リンクの確立、維持、切断、認証などに使用するLCPと、
上位のネットワーク層のプロトコルを識別するNCPの2つのサブプロトコルから成る。
PPPは、LCPでリンクを確立させるフェーズ、PAP/CHAPで認証するフェーズ、
NCPでNW層のプロトコルを対応させてパケットを伝送するフェーズの3段階を踏む。
-LCPのオプションとして認証機能があり、その2大プロトコルがPAPとCHAP.
PAP:パスワードが平文で送られる+LCP接続確立と認証の2wayハンドシェイク
送信元から送信先へ接続要求⇒LCPで接続確立
⇒PW送信⇒PW検索・合致・認証許可通知
※デフォルトで無効化されているので、
使いたければ(config-if)#ppp pap sent-username Hogeuser HogePWを入力
CHAP:パスワードは暗号化して送り、MD5でハッシュ値を出して確認。
3wayハンドシェイクで定期的にpeerの認証を実施。
LCP接続確立⇒「送信先」がチャレンジ乱数を送信し認証要求
⇒「送信元」がチャレンジ乱数と認証パスワードを元にMD5でハッシュ値を出す
⇒送信先が、送ってたチャレンジ乱数と、ホスト名に対応する認証PWを使って
MD5でハッシュ値を計算し、一致を確認。
※要はPAPよりもセキュア。
〇LCPでリンクが確立されていると、sh intの結果で対象ifに「LCP Open」が表示される。
リンクが確立されていないと、「LCP Closed」と出る。
★MLPPP -マルチリンクPPP
複数の物理Serial i/fをグループ化して、
EtherChannelみたいなやつだが、それをPPPでやる。
※もともとのifのipは削除する。
●マルチリンクをつくる
(config)#int multilink 1 (1とは、マルチリンクバンドル:リンクの束なりの名前)
(config-if)#ip address 192.168.12.1 255.255.255.0 (マルチリンク用の単一のipを振る)
(config-if)#ppp multilink (明示的にマルチリンクを有効化)
(config-if)#ppp multilink group 10 (インターフェースのグループ名を決定)
●各i/fに設定していく
(config)#int s0
(config-if)#encapsulation ppp
(config-if)#ppp multilink
(config-if)#ppp multilink group 10
(config)#int s1
(config-if)#encapsulation ppp
(config-if)#ppp multilink
(config-if)#ppp multilink group 10
。。。
※sh ppp multilink、 sh int multilink (バンドル番号) で各設定を確認できる。
★PPPoE- PPP over Ethernet
要するに、CPEのクライアントと、ISP側のサーバ(集約ルータ)とのPPP通信。
クライアントPCがブロードバンドサービスでインターネット接続をしたい場合、
素のEthernetフレームには認証機能がなく、それをそのままパケット化として
通信事業者の集約ルータに送るのはまじで危険すぎる。
⇒クライアントPCや、CPEにPPPでフレームをカプセル化するクライアントソフトを入れておいて
CHAPやハンドシェイクなど認証機能を使えるようにし、回線事業者のPPPoEサーバと通信させ
回線事業者の集約ルータまでの通信をセキュアにしようというのがPPPoE。
・PPPoEの通信には下記の通り2種類ある。
-①Discovery Stage: 要はPPPoEサーバの発見とMACアドレスの解決
PADIでクライアントからブロードキャストでWAN側のPPPoEサーバを探索
PADOで応答を返してくれたらMACアドレスがわかるので
PADRでPPPoEセッションの開始要求を出し
PADSでセッションIDの応答を返してもらって、②へ移る。
-②PPP Session Stage:要は認証などによるPPPセッションの確立
LCPでネゴシエートし、CHAP(PAPも一応含む)で認証し、
IPアドレスを取得するためのIPCPネゴシエーションを使ってセッションを確立させる。
※Ciscoルータ●as CPEをPPPoEのクライアントに設定したい
10.1.1.0/24
□\
□ーSW-------(fa0)●(fa1)=====(ISP----◎----Internet
□/
①まず、●~◎のイーサネットリンクをPoint to Pointのようにする。
CPE(conf)#int dialer 5 (0~255までならなんでも)
CPE(conf-if)#ip address negotiated (PPP/IPCPで集約ルータからipアドレスをもらう)
CPE(conf-if)#ip mtu 1492 (カプセル化の分、ヘッダの最大サイズは小さく。)
CPE(conf-if)#encapsulation ppp
CPE(conf-if)#dialer pool 10 (物理ifに関連付けるための番号)
CPE(conf-if)#ppp authentication chap callin (chap認証)
CPE(conf-if)#ppp chap hostname User1 (chap認証)
CPE(conf-if)#ppp chap password HogePW (chap認証)
CPE(conf-if)#dialer-group 1
CPE(conf-if)#exit
CPE(conf)#dialer-list 1 protocol ip permit (※dialer-group番号から、PPPoEの開始トラフィックを指定し許可)
◎WAN側につながる物理ifの設定
CPE(conf)#int fa1
CPE(conf-if)#pppoe-client dial-pool-number 10
CPE(conf-if)#no ip addr (もともとのipは消す)
●LAN側の物理ifの設定
CPE(conf)#int fa0
CPE(conf-if)#ip addr 10.1.1.1 255.255.255.0
CPE(conf-if)#ip tcp adjust-mss 1452
②プライベートIPを、PATで集約ルータからもらったグローバルIPに変える設定
CPE(conf)#access-list 1 permit 10.1.1.0 0.0.0.255
CPE(conf)#ip nat inside source list 1 interface dialer 5 overload
CPE(conf)#int fa0
CPE(conf-if)#ip nat inside
CPE(conf-if)#int fa1
CPE(conf-if)#ip nat outside
③CPEをDHCPサーバとして機能させて、各端末にipを振る
CPE(conf)#ip dhcp excluded-address 10.1.1.1 10.1.1.100
CPE(conf)#ip dhcp pool CPE
CPE(conf-dhcp)#network 10.1.1.0 255.255.255.0
CPE(conf-dhcp)#default-router 10.1.1.1 (fa0のこと)
CPE(conf-dhcp)#dns-server 10.1.1.5
CPE(conf-dhcp)#domain-name hoge.com
④デフォルトルートをダイヤラーのifに
CPE(conf)#ip route 0.0.0.0 0.0.0.0 dialer 5
・・・以上の設定を#sh ip int bri、#sh pppoe session、#sh ip routeで確認可能
打つがよい。
・telnet先のルータのI/fにつながったケーブルの種類が知りたい。
あと対象のルータがDCEかDTEか知りたい。
DCEの場合、DTEへ送るクロック信号のクロックレートを確認したい。
⇒#show controllers s/0/0/0
・DCEからDTEへ送るクロック信号のクロックレートを変更したい
⇒(config)#int s/0/0
(config-if)#clock rate 128000 ※※単位はbps
・OSPFやEIGRPのメトリック計算で使うので設定帯域幅を変更したい
⇒(config-if)#bandwidth 256 ※※単位はkbps
・シリアルi/fのカプセル化タイプを設定したい
(config-if)#encapsulation ppp ※※HDLCはCiscoルータではデフォルト。
・PPPの認証機能でホスト名、ユーザアカウント、
PWを設定し、PAP/CHAPを指定したい。
(config)#hostname Hogehoge
(config)#username userHoge password pwHoge
またはvtyの設定と同様、内部でMD5で暗号化したい場合
#username userHoge secret pwHoge
(config-if)#ppp pap sent-username userHoge password pwHoge
※※papを使う場合、papはセキュアでないので
デフォで無効化されてるのを有効化してやる必要あり。
(config-if)#ppp authentication chap pap
※※この書き方は先にchap次にpapを実施、ということ。片方だけでも良い。
★WANに使うシリアルi/fの状態で、line protocolだけdownになる
⇒encapsulationが不一致
バックツーバック接続の場合、DCE側にClock rateの設定が抜けてる
9-5 VPN
おそらく今日のEnterprise Networkで一番大事な概念。
WAN構築ソリューションの主流。
公衆回線としてのインターネットを利用する「インターネットVPN」と、
電気通信事業者の専用ネットワークを利用する「IP-VPN」がある。
(詳細はあとまわし)