9-1～9-4_WANの概要勘所地理的に離れすぎているのでフツーのLANでは繋げられない。⇒WANを使おう。 ★構造CPE-|-loca

1. 9-1～9-4_WANの概要勘所
2.  
3. 地理的に離れすぎているのでフツーのLANでは繋げられない。
4. ⇒WANを使おう。
5.  
6. ★構造
7. CPE-|-localloop-中継網-localloop-|-CPE
8. |=demarc:分界点。
9.  
10. ・概念整理[
11. 中継網とローカルループ：拠点間を接続するための中継回線。
12. CPE=　Customer Premises Equipment
13. = DTE+DCE
14.  
15. DTE=Data Terminal Equipment 早い話がルータなど
16. DCE=Data Communication/Circuit-Terminating Equipment
17. データ回線終端装置。DTEとWANの信号を相互変換して伝送する。
18. 　　 クロック信号を送る。大抵ルータに組み込まれてる。
19. 　　 ＝DCE=CSUorDSUorモデム
20.  
21. CSU= Channel Service Unit
22. DSU=Digital Service Unit
23. MODEM= MOdurator-DEModurator (変調・復調器)
24. 電話用のアナログ信号を電気信号に変換する。
25.  
26. ※DSL=Digital Subscribed Line 電話線を利用した高速データ通信の総称
27. 　　 いくつか種類によってxDSLと呼ばれる。
28. 　　　　ADSLのAはAsymmetricのAで、UP(0.5Mbps)に比べて
29. 　　　　Down(1.5Mbps)が高速なので個人ユーザ向けに普及した。
30. 　　　　普通の電話音声の信号とデータ通信用の信号を分けるスプリッタ
31. LANの信号をアナログ信号に変換するADSLモデムを使用。　
32. 　　自宅側：壁面のモジュラジャック-スプリッタ-電話とADSLモデム-LANという構成。
33. 　　ISP側：電話線-MDF-スプリッタ-交換機を介した電話のPTSN/DSLAMで集約した
34. 　　　　　　インターネット回線という構成。
35.  
36. ★WANサービスの種類
37. -1 専用線：Point-to-point.電気通信事業者が2拠点間を1:1でつなぐ。
38. -2 交換型WAN: 回線交換(PSTN,ISDN)あるいは
39. パケット交換(IP-VPN/広域Ethernet/フレームリレー/ATM)
40. -3 インターネット：ブロードバンドVPN(DSL/CATV/FTTH/Wireless LAN)
41.  
42. ・概念整理
43. -PSTN=Public Switched Telephone Network
44. モデムを使ってダイヤルアップで電話網に接続し使用するWAN
45. -ISDN=電話網を使うが、音声映像FAXデータなどが１NWに統合されているWAN
46. -IP-VPN=中継網は、インターネットではない。
47. 　　　　　通信事業者独自の閉域IP通信網で中継。
48. 　 　　　VPNなので、その通信網をあたかも専用線のように使えるが
49. 　　　　　帯域自体はほかのユーザーと共用しているので輻輳はする。
50. -広域Ethernet=冒頭のWANの説明からすこし矛盾しそうだが
51. 　　　　　　　 SwitchとVlanを駆使して繋げてL2のEthネットワークを広域にしたもの。
52. 　　　　　　　 拠点が複数あっても１つの巨大なLANのように自社NWを構築できる。
53. -フレームリレー(obsolete)=X.25というパケット交換プロトコルから
54. 　　　　　　　　エラー訂正機能を抜いて高速化した方式。
55. 　　　　　　　　フレームリレースイッチの網で中継網を作っておき、
56. 　　　　　　　　その中で論理的な仮想回線を構築して拠点間接続を行う。
57. 　　　　　　　　ということは、例えば10の拠点間接続がしたければ
58. 　　　　　　　　各CPEから中継網に１本ずつシリアルで繋げばよくて、
59. 　　　　　　　　10C2=45本の専用線を用意する必要なんてないということ。
60. -ATM(obsolete)=Asynchronous Transfer Mode:セル交換方式。
61. 　　　セルと呼ばれる53バイトの固定長データにパケットを分割して伝送する。
62. 　　　　
63. -ブロードバンドVPN=ブロードバンドを介したVPNサービス。
64. 　　　　　　　　WANの中継網にインターネットを利用しているVPNを　
65. 　　　　　　　　インターネットVPNとも呼ぶ。
66. 　　　　　　　　インターネットを介したWAN接続では、中継網で
67. 　　　　　　　　DSL、CATV、FTTH、ワイヤレスWANといった
68. 　　　　　　　　ブロードバンドサービスを経由する。
69. -CATV=電話線ではなくケーブルテレビ網を使ったインターネット接続サービス。
70. 　　　　加入者自宅付近数百mのCoaxケーブルと残部の光ファイバの組み合わせで構成。
71. 　　　　ケーブルモデムはテレビ局側にある。
72.  
73. -FTTH＝お馴染みのFiber to The Home.
74. 　　　　電気信号と光信号を変換するのはONU:Optical Network Unit.
75. -WirelessWan=携帯電話のワイヤレスネットワークを使ったWANサービス
76. 　　　　中継網を含めケーブルの敷設が不要であるため広範囲をカバー可能.
77.  
78. ★同期/非同期のシリアル回線でデータ転送をする際にデータリンク層でのカプセル化をする
79. プロトコルは2種類。HDLCとPPP。High-level Data Link Protocol /Point to point Protocol
80.  
81.  
82. ・Cisco独自のカプセル化タイプがHDLC（※Ciscoのs/ifではデフォルトでこれ。）
83. 　注意：i/fでカプセル化タイプの明示的設定をしないと、デフォルトでHDLCになる。
84. 　　　→これはsh intではEncapsulation HDLCと表示されてくれるが、
85. 　　　　sh runでは「何も表示されない」ので注意。
86.  
87. ・ベンダフリーのカプセル化タイプがPPP.覚えることが多いのはこっち。
88. 　RFC1661により定義されている。
89. 　-リンクの確立、維持、切断、認証などに使用するLCPと、
90. 上位のネットワーク層のプロトコルを識別するNCPの２つのサブプロトコルから成る。
91. 　 PPPは、LCPでリンクを確立させるフェーズ、PAP/CHAPで認証するフェーズ、
92. 　　　　　NCPでNW層のプロトコルを対応させてパケットを伝送するフェーズの3段階を踏む。
93. 　
94.  
95. 　-LCPのオプションとして認証機能があり、その2大プロトコルがPAPとCHAP.
96.  
97. PAP:パスワードが平文で送られる＋LCP接続確立と認証の2wayハンドシェイク
98. 　　　 送信元から送信先へ接続要求⇒LCPで接続確立
99. 　　　　⇒PW送信⇒PW検索・合致・認証許可通知
100. 　　　※デフォルトで無効化されているので、
101. 　　　使いたければ(config-if)#ppp pap sent-username Hogeuser HogePWを入力
102.  
103. 　CHAP：パスワードは暗号化して送り、MD５でハッシュ値を出して確認。
104. 　　　　　3wayハンドシェイクで定期的にpeerの認証を実施。　　　
105. 　　　　　LCP接続確立⇒「送信先」がチャレンジ乱数を送信し認証要求
106. 　　　　　⇒「送信元」がチャレンジ乱数と認証パスワードを元にMD5でハッシュ値を出す
107. 　　　　　⇒ホスト名とハッシュ値を送信先に送る
108. 　　　　　⇒送信先が、送ってたチャレンジ乱数と、ホスト名に対応する認証PWを使って
109. 　　　　　　MD５でハッシュ値を計算し、一致を確認。
110. 　　　　　※要はPAPよりもセキュア。
111.  
112. 　　〇LCPでリンクが確立されていると、sh intの結果で対象ifに「LCP Open」が表示される。
113. 　　　リンクが確立されていないと、「LCP Closed」と出る。
114.  
115. ★MLPPP -マルチリンクPPP
116. 複数の物理Serial i/fをグループ化して、1つのIPを振り、帯域幅の確保＋冗長化する。
117. 　EtherChannelみたいなやつだが、それをPPPでやる。※もともとのifのipは削除する。　
118.  
119. ●マルチリンクをつくる
120. 　(config)#int multilink 1 (1とは、マルチリンクバンドル：リンクの束なりの名前)
121. 　(config-if)#ip address 192.168.12.1 255.255.255.0 (マルチリンク用の単一のipを振る)
122. 　(config-if)#ppp multilink (明示的にマルチリンクを有効化）
123. 　(config-if)#ppp multilink group 10 (インターフェースのグループ名を決定)
124.  
125. 　●各i/fに設定していく
126. 　(config)#int s0
127. (config-if)#encapsulation ppp
128. (config-if)#ppp multilink
129. (config-if)#ppp multilink group 10
130.  
131. 　(config)#int s1
132. (config-if)#encapsulation ppp
133. (config-if)#ppp multilink
134. (config-if)#ppp multilink group 10
135. 　。。。
136.  
137. 　※sh ppp multilink、 sh int multilink (バンドル番号) で各設定を確認できる。
138.  
139. ★PPPoE- PPP over Ethernet
140. 　
141. 　要するに、CPEのクライアントと、ISP側のサーバ(集約ルータ)とのPPP通信。
142. 　
143. クライアントPCがブロードバンドサービスでインターネット接続をしたい場合、
144. 　素のEthernetフレームには認証機能がなく、それをそのままパケット化として
145. 　通信事業者の集約ルータに送るのはまじで危険すぎる。
146. 　⇒クライアントPCや、CPEにPPPでフレームをカプセル化するクライアントソフトを入れておいて
147. 　　CHAPやハンドシェイクなど認証機能を使えるようにし、回線事業者のPPPoEサーバと通信させ
148. 　　回線事業者の集約ルータまでの通信をセキュアにしようというのがPPPoE。
149.  
150. 　・PPPoEの通信には下記の通り2種類ある。
151. -①Discovery Stage: 要はPPPoEサーバの発見とMACアドレスの解決
152. 　　　PADIでクライアントからブロードキャストでWAN側のPPPoEサーバを探索
153. 　　　PADOで応答を返してくれたらMACアドレスがわかるので
154. 　　　PADRでPPPoEセッションの開始要求を出し
155. 　　　PADSでセッションIDの応答を返してもらって、②へ移る。
156.  
157. -②PPP Session Stage：要は認証などによるPPPセッションの確立
158. 　　　LCPでネゴシエートし、CHAP(PAPも一応含む）で認証し、
159. 　　　IPアドレスを取得するためのIPCPネゴシエーションを使ってセッションを確立させる。
160.  
161. ※Ciscoルータ●as CPEをPPPoEのクライアントに設定したい
162. 10.1.1.0/24
163. 　　□＼
164. 　　□ーSW-------(fa0)●(fa1)=====（ISP----◎----Internet
165. 　　□／
166. 　
167. 　　①まず、●～◎のイーサネットリンクをPoint to Pointのようにする。
168. 　　CPE(conf)#int dialer 5 (0～255までならなんでも)
169. CPE(conf-if)#ip address negotiated (PPP/IPCPで集約ルータからipアドレスをもらう)
170. CPE(conf-if)#ip mtu 1492 (カプセル化の分、ヘッダの最大サイズは小さく。)
171. CPE(conf-if)#encapsulation ppp
172. CPE(conf-if)#dialer pool 10 (物理ifに関連付けるための番号)
173. CPE(conf-if)#ppp authentication chap callin (chap認証)
174. CPE(conf-if)#ppp chap hostname User1 (chap認証)
175. CPE(conf-if)#ppp chap password HogePW (chap認証)
176. CPE(conf-if)#dialer-group 1
177. CPE(conf-if)#exit
178. CPE(conf)#dialer-list 1 protocol ip permit (※dialer-group番号から、PPPoEの開始トラフィックを指定し許可)
179.  
180. ◎WAN側につながる物理ifの設定
181. CPE(conf)#int fa1
182. CPE(conf-if)#pppoe-client dial-pool-number 10
183. CPE(conf-if)#no ip addr (もともとのipは消す)
184.  
185. 　 ●LAN側の物理ifの設定
186. CPE(conf)#int fa0
187. CPE(conf-if)#ip addr 10.1.1.1 255.255.255.0
188. CPE(conf-if)#ip tcp adjust-mss 1452
189.  
190. ②プライベートIPを、PATで集約ルータからもらったグローバルIPに変える設定
191. CPE(conf)#access-list 1 permit 10.1.1.0 0.0.0.255
192. CPE(conf)#ip nat inside source list 1 interface dialer 5 overload
193. CPE(conf)#int fa0
194. CPE(conf-if)#ip nat inside
195. CPE(conf-if)#int fa1
196. CPE(conf-if)#ip nat outside
197.  
198. ③CPEをDHCPサーバとして機能させて、各端末にipを振る
199. CPE(conf)#ip dhcp excluded-address 10.1.1.1 10.1.1.100
200. CPE(conf)#ip dhcp pool CPE
201. CPE(conf-dhcp)#network 10.1.1.0 255.255.255.0
202. CPE(conf-dhcp)#default-router 10.1.1.1 (fa0のこと)
203. CPE(conf-dhcp)#dns-server 10.1.1.5
204. CPE(conf-dhcp)#domain-name hoge.com
205.  
206. ④デフォルトルートをダイヤラーのifに
207. CPE(conf)#ip route 0.0.0.0 0.0.0.0 dialer 5
208.  
209. 　　・・・以上の設定を#sh ip int bri、#sh pppoe session、#sh ip routeで確認可能
210.  
211. ---------------------------------------------
212. 打つがよい。
213.  
214. ・telnet先のルータのI/fにつながったケーブルの種類が知りたい。
215. 　あと対象のルータがDCEかDTEか知りたい。
216. DCEの場合、DTEへ送るクロック信号のクロックレートを確認したい。
217. ⇒#show controllers s/0/0/0
218.  
219. ・DCEからDTEへ送るクロック信号のクロックレートを変更したい
220. ⇒(config)#int s/0/0
221. (config-if)#clock rate 128000 ※※単位はbps
222.  
223. ・OSPFやEIGRPのメトリック計算で使うので設定帯域幅を変更したい
224. ⇒(config-if)#bandwidth 256 ※※単位はkbps
225.  
226. ・シリアルi/fのカプセル化タイプを設定したい
227. 　(config-if)#encapsulation ppp ※※HDLCはCiscoルータではデフォルト。
228.  
229. ・PPPの認証機能でホスト名、ユーザアカウント、PWを設定し、PAP/CHAPを指定したい。
230. 　(config)#hostname Hogehoge
231. (config)#username userHoge password pwHoge
232. またはvtyの設定と同様、内部でMD5で暗号化したい場合
233. 　　　 #username userHoge secret pwHoge
234. 　(config-if)#ppp pap sent-username userHoge password pwHoge
235. ※※papを使う場合、papはセキュアでないので
236. 　　　　　　　　デフォで無効化されてるのを有効化してやる必要あり。
237. 　(config-if)#ppp authentication chap pap
238. 　　　　　　 ※※この書き方は先にchap次にpapを実施、ということ。片方だけでも良い。
239.  
240.  
241.  
242. ★WANに使うシリアルi/fの状態で、line protocolだけdownになる
243. 　⇒encapsulationが不一致
244. 　　バックツーバック接続の場合、DCE側にClock rateの設定が抜けてる
245.  
246.  
247. ----------------------------------------------------------------------------------
248. 9-5 VPN
249. おそらく今日のEnterprise Networkで一番大事な概念。
250. WAN構築ソリューションの主流。
251. データをトンネル化して専用線っぽい通信にする。
252.  
253. 公衆回線としてのインターネットを利用する「インターネットVPN」と、
254. 電気通信事業者の専用ネットワークを利用する「IP-VPN」がある。
255.  
256.  
257. IPsecについて：
258. 　　　　・サイト間VPNではトンネルモード
259. 　　　　　(元のIPヘッダ含め、全部を暗号化して新しいIPヘッダをかぶせる)
260. ・リモートアクセスVPNではトランスポートモード
261. 　　　　　(ペイロード分だけ暗号化して、IPヘッダはそのまま)
262.  
263. 　　よく問題に出るIPsecの４特長：機密性＋データ整合性＋認証＋リプレイ攻撃防止
264. 　　★4つ揃えているプロトコルがESP: encapsuling security payload
265. ★機密性(暗号化)だけサポートしてなくて、暗号化が禁止されてるところ以外では使わないのが
266. 　　　AH: Authenticaiton Header
267. ★よりセキュアなプロトコル：IKE(Internet Key Exchange):鍵生成、更新、ピア認証を自動化
268.  
269.  
270. ★インターネットVPN
271. IPsecトンネル：サイト間VPN。
272. 　　　　レイヤ３のIPsecトンネルというフレームワークで暗号化する。
273. 　　　　　　　　マルチキャスト、ブロードキャストは使えない。
274. GRE over IPsec：サイト間VPN
275. 　同じくレイヤ３のプロトコルGRE(generic Routing Encapsulation)
276. 　　　　　　　　　※Cisco独自：というトンネル化とIPsecを組み合わせて
277. 　　　　　　　　　マルキャもブロキャもセキュリティも全部乗せしたもの。
278. DMVPN：サイト間VPN
279. (Dynamic Multipoint VPN) IPsecのVPNは専用線っぽい通信なので、
280. 　　　　　拠点がたくさんあるとフルメッシュでないとすべての相互通信を実現できないと
281. 　　　　　思うじゃん？⇒実は、ハブ-スポークのトポロジーを都度動的に構成するようにして、
282. 　　　　　フルメッシュに近いパフォーマンスにすることは何とか可能。
283. 　　　　　使う技術は、下記の３つ。
284. 　　　　　IPsec、マルチポイントGRE、NHRP(マルチポイントGREの宛先IPアドレスを解決)
285.  
286. あと、IPsec VTI (仮想ifを使うIPsec):サイト間VPN
287.  
288. クライアントVPN:リモートアクセスVPN。
289. 　　　　　　 VPNゲートウェイのクライアント側のルータは使わず、端末から
290. VPN cliantソフトを使って、中央のVPNゲートウェイルータにアクセスする方式。
291. 　　　　　　　IPsecやSSLを使うよ。
292.  
293. ★IP-VPN：電気通信事業者の専用NWを使い、インターネットは使わない。
294.  
295. 　・MPLS：multiprotocol switching.. スイッチングとあるが、使うのはIPパケット。
296. 　　　　　　IPパケットに４バイトのラベルを付けて、宛先IPの代わりにラベルを識別して
297. 　　　　　　高速でWAN網内を転送させる、。レイヤ２と３の間で動作してるイメージ。
298. 　
299. 　　PE:Provider Edgeルータ
300. 　　CE:Customer Edgeルータ
301. 　　P:Providerルータ
302. 　　
303. 　　CE ＼　　　　　／CE
304. 　　　　　PE-P-P-PE
305. 　　CE／　　　　　 ＼CE
306.  
307. ・※拠点間で、VPNを介した疑似的な巨大LANセグメントのようなものを作ることもできる。
308. 　　レイヤ２だけ使った、レイヤ２MPLS VPNというのもある。
309. 上手で言うPE-P-P-PEのルータ網が、L2のスイッチ網になっている感じ。
310.