Advertisement
Not a member of Pastebin yet?
Sign Up,
it unlocks many cool features!
- 9-1~9-4_WANの概要勘所
- 地理的に離れすぎているのでフツーのLANでは繋げられない。
- ⇒WANを使おう。
- ★構造
- CPE-|-localloop-中継網-localloop-|-CPE
- |=demarc:分界点。
- ・概念整理[
- 中継網とローカルループ:拠点間を接続するための中継回線。
- CPE= Customer Premises Equipment
- = DTE+DCE
- DTE=Data Terminal Equipment 早い話がルータなど
- DCE=Data Communication/Circuit-Terminating Equipment
- データ回線終端装置。DTEとWANの信号を相互変換して伝送する。
- クロック信号を送る。大抵ルータに組み込まれてる。
- =DCE=CSUorDSUorモデム
- CSU= Channel Service Unit
- DSU=Digital Service Unit
- MODEM= MOdurator-DEModurator (変調・復調器)
- 電話用のアナログ信号を電気信号に変換する。
- ※DSL=Digital Subscribed Line 電話線を利用した高速データ通信の総称
- いくつか種類によってxDSLと呼ばれる。
- ADSLのAはAsymmetricのAで、UP(0.5Mbps)に比べて
- Down(1.5Mbps)が高速なので個人ユーザ向けに普及した。
- 普通の電話音声の信号とデータ通信用の信号を分けるスプリッタ
- LANの信号をアナログ信号に変換するADSLモデムを使用。
- 自宅側:壁面のモジュラジャック-スプリッタ-電話とADSLモデム-LANという構成。
- ISP側:電話線-MDF-スプリッタ-交換機を介した電話のPTSN/DSLAMで集約した
- インターネット回線という構成。
- ★WANサービスの種類
- -1 専用線:Point-to-point.電気通信事業者が2拠点間を1:1でつなぐ。
- -2 交換型WAN: 回線交換(PSTN,ISDN)あるいは
- パケット交換(IP-VPN/広域Ethernet/フレームリレー/ATM)
- -3 インターネット:ブロードバンドVPN(DSL/CATV/FTTH/Wireless LAN)
- ・概念整理
- -PSTN=Public Switched Telephone Network
- モデムを使ってダイヤルアップで電話網に接続し使用するWAN
- -ISDN=電話網を使うが、音声映像FAXデータなどが1NWに統合されているWAN
- -IP-VPN=中継網は、インターネットではない。
- 通信事業者独自の閉域IP通信網で中継。
- VPNなので、その通信網をあたかも専用線のように使えるが
- 帯域自体はほかのユーザーと共用しているので輻輳はする。
- -広域Ethernet=冒頭のWANの説明からすこし矛盾しそうだが
- SwitchとVlanを駆使して繋げてL2のEthネットワークを広域にしたもの。
- 拠点が複数あっても1つの巨大なLANのように自社NWを構築できる。
- -フレームリレー(obsolete)=X.25というパケット交換プロトコルから
- エラー訂正機能を抜いて高速化した方式。
- フレームリレースイッチの網で中継網を作っておき、
- その中で論理的な仮想回線を構築して拠点間接続を行う。
- ということは、例えば10の拠点間接続がしたければ
- 各CPEから中継網に1本ずつシリアルで繋げばよくて、
- 10C2=45本の専用線を用意する必要なんてないということ。
- -ATM(obsolete)=Asynchronous Transfer Mode:セル交換方式。
- セルと呼ばれる53バイトの固定長データにパケットを分割して伝送する。
- -ブロードバンドVPN=ブロードバンドを介したVPNサービス。
- WANの中継網にインターネットを利用しているVPNを
- インターネットVPNとも呼ぶ。
- インターネットを介したWAN接続では、中継網で
- DSL、CATV、FTTH、ワイヤレスWANといった
- ブロードバンドサービスを経由する。
- -CATV=電話線ではなくケーブルテレビ網を使ったインターネット接続サービス。
- 加入者自宅付近数百mのCoaxケーブルと残部の光ファイバの組み合わせで構成。
- ケーブルモデムはテレビ局側にある。
- -FTTH=お馴染みのFiber to The Home.
- 電気信号と光信号を変換するのはONU:Optical Network Unit.
- -WirelessWan=携帯電話のワイヤレスネットワークを使ったWANサービス
- 中継網を含めケーブルの敷設が不要であるため広範囲をカバー可能.
- ★同期/非同期のシリアル回線でデータ転送をする際にデータリンク層でのカプセル化をする
- プロトコルは2種類。HDLCとPPP。High-level Data Link Protocol /Point to point Protocol
- ・Cisco独自のカプセル化タイプがHDLC(※Ciscoのs/ifではデフォルトでこれ。)
- 注意:i/fでカプセル化タイプの明示的設定をしないと、デフォルトでHDLCになる。
- →これはsh intではEncapsulation HDLCと表示されてくれるが、
- sh runでは「何も表示されない」ので注意。
- ・ベンダフリーのカプセル化タイプがPPP.覚えることが多いのはこっち。
- RFC1661により定義されている。
- -リンクの確立、維持、切断、認証などに使用するLCPと、
- 上位のネットワーク層のプロトコルを識別するNCPの2つのサブプロトコルから成る。
- PPPは、LCPでリンクを確立させるフェーズ、PAP/CHAPで認証するフェーズ、
- NCPでNW層のプロトコルを対応させてパケットを伝送するフェーズの3段階を踏む。
- -LCPのオプションとして認証機能があり、その2大プロトコルがPAPとCHAP.
- PAP:パスワードが平文で送られる+LCP接続確立と認証の2wayハンドシェイク
- 送信元から送信先へ接続要求⇒LCPで接続確立
- ⇒PW送信⇒PW検索・合致・認証許可通知
- ※デフォルトで無効化されているので、
- 使いたければ(config-if)#ppp pap sent-username Hogeuser HogePWを入力
- CHAP:パスワードは暗号化して送り、MD5でハッシュ値を出して確認。
- 3wayハンドシェイクで定期的にpeerの認証を実施。
- LCP接続確立⇒「送信先」がチャレンジ乱数を送信し認証要求
- ⇒「送信元」がチャレンジ乱数と認証パスワードを元にMD5でハッシュ値を出す
- ⇒ホスト名とハッシュ値を送信先に送る
- ⇒送信先が、送ってたチャレンジ乱数と、ホスト名に対応する認証PWを使って
- MD5でハッシュ値を計算し、一致を確認。
- ※要はPAPよりもセキュア。
- 〇LCPでリンクが確立されていると、sh intの結果で対象ifに「LCP Open」が表示される。
- リンクが確立されていないと、「LCP Closed」と出る。
- ★MLPPP -マルチリンクPPP
- 複数の物理Serial i/fをグループ化して、1つのIPを振り、帯域幅の確保+冗長化する。
- EtherChannelみたいなやつだが、それをPPPでやる。※もともとのifのipは削除する。
- ●マルチリンクをつくる
- (config)#int multilink 1 (1とは、マルチリンクバンドル:リンクの束なりの名前)
- (config-if)#ip address 192.168.12.1 255.255.255.0 (マルチリンク用の単一のipを振る)
- (config-if)#ppp multilink (明示的にマルチリンクを有効化)
- (config-if)#ppp multilink group 10 (インターフェースのグループ名を決定)
- ●各i/fに設定していく
- (config)#int s0
- (config-if)#encapsulation ppp
- (config-if)#ppp multilink
- (config-if)#ppp multilink group 10
- (config)#int s1
- (config-if)#encapsulation ppp
- (config-if)#ppp multilink
- (config-if)#ppp multilink group 10
- 。。。
- ※sh ppp multilink、 sh int multilink (バンドル番号) で各設定を確認できる。
- ★PPPoE- PPP over Ethernet
- 要するに、CPEのクライアントと、ISP側のサーバ(集約ルータ)とのPPP通信。
- クライアントPCがブロードバンドサービスでインターネット接続をしたい場合、
- 素のEthernetフレームには認証機能がなく、それをそのままパケット化として
- 通信事業者の集約ルータに送るのはまじで危険すぎる。
- ⇒クライアントPCや、CPEにPPPでフレームをカプセル化するクライアントソフトを入れておいて
- CHAPやハンドシェイクなど認証機能を使えるようにし、回線事業者のPPPoEサーバと通信させ
- 回線事業者の集約ルータまでの通信をセキュアにしようというのがPPPoE。
- ・PPPoEの通信には下記の通り2種類ある。
- -①Discovery Stage: 要はPPPoEサーバの発見とMACアドレスの解決
- PADIでクライアントからブロードキャストでWAN側のPPPoEサーバを探索
- PADOで応答を返してくれたらMACアドレスがわかるので
- PADRでPPPoEセッションの開始要求を出し
- PADSでセッションIDの応答を返してもらって、②へ移る。
- -②PPP Session Stage:要は認証などによるPPPセッションの確立
- LCPでネゴシエートし、CHAP(PAPも一応含む)で認証し、
- IPアドレスを取得するためのIPCPネゴシエーションを使ってセッションを確立させる。
- ※Ciscoルータ●as CPEをPPPoEのクライアントに設定したい
- 10.1.1.0/24
- □\
- □ーSW-------(fa0)●(fa1)=====(ISP----◎----Internet
- □/
- ①まず、●~◎のイーサネットリンクをPoint to Pointのようにする。
- CPE(conf)#int dialer 5 (0~255までならなんでも)
- CPE(conf-if)#ip address negotiated (PPP/IPCPで集約ルータからipアドレスをもらう)
- CPE(conf-if)#ip mtu 1492 (カプセル化の分、ヘッダの最大サイズは小さく。)
- CPE(conf-if)#encapsulation ppp
- CPE(conf-if)#dialer pool 10 (物理ifに関連付けるための番号)
- CPE(conf-if)#ppp authentication chap callin (chap認証)
- CPE(conf-if)#ppp chap hostname User1 (chap認証)
- CPE(conf-if)#ppp chap password HogePW (chap認証)
- CPE(conf-if)#dialer-group 1
- CPE(conf-if)#exit
- CPE(conf)#dialer-list 1 protocol ip permit (※dialer-group番号から、PPPoEの開始トラフィックを指定し許可)
- ◎WAN側につながる物理ifの設定
- CPE(conf)#int fa1
- CPE(conf-if)#pppoe-client dial-pool-number 10
- CPE(conf-if)#no ip addr (もともとのipは消す)
- ●LAN側の物理ifの設定
- CPE(conf)#int fa0
- CPE(conf-if)#ip addr 10.1.1.1 255.255.255.0
- CPE(conf-if)#ip tcp adjust-mss 1452
- ②プライベートIPを、PATで集約ルータからもらったグローバルIPに変える設定
- CPE(conf)#access-list 1 permit 10.1.1.0 0.0.0.255
- CPE(conf)#ip nat inside source list 1 interface dialer 5 overload
- CPE(conf)#int fa0
- CPE(conf-if)#ip nat inside
- CPE(conf-if)#int fa1
- CPE(conf-if)#ip nat outside
- ③CPEをDHCPサーバとして機能させて、各端末にipを振る
- CPE(conf)#ip dhcp excluded-address 10.1.1.1 10.1.1.100
- CPE(conf)#ip dhcp pool CPE
- CPE(conf-dhcp)#network 10.1.1.0 255.255.255.0
- CPE(conf-dhcp)#default-router 10.1.1.1 (fa0のこと)
- CPE(conf-dhcp)#dns-server 10.1.1.5
- CPE(conf-dhcp)#domain-name hoge.com
- ④デフォルトルートをダイヤラーのifに
- CPE(conf)#ip route 0.0.0.0 0.0.0.0 dialer 5
- ・・・以上の設定を#sh ip int bri、#sh pppoe session、#sh ip routeで確認可能
- ---------------------------------------------
- 打つがよい。
- ・telnet先のルータのI/fにつながったケーブルの種類が知りたい。
- あと対象のルータがDCEかDTEか知りたい。
- DCEの場合、DTEへ送るクロック信号のクロックレートを確認したい。
- ⇒#show controllers s/0/0/0
- ・DCEからDTEへ送るクロック信号のクロックレートを変更したい
- ⇒(config)#int s/0/0
- (config-if)#clock rate 128000 ※※単位はbps
- ・OSPFやEIGRPのメトリック計算で使うので設定帯域幅を変更したい
- ⇒(config-if)#bandwidth 256 ※※単位はkbps
- ・シリアルi/fのカプセル化タイプを設定したい
- (config-if)#encapsulation ppp ※※HDLCはCiscoルータではデフォルト。
- ・PPPの認証機能でホスト名、ユーザアカウント、PWを設定し、PAP/CHAPを指定したい。
- (config)#hostname Hogehoge
- (config)#username userHoge password pwHoge
- またはvtyの設定と同様、内部でMD5で暗号化したい場合
- #username userHoge secret pwHoge
- (config-if)#ppp pap sent-username userHoge password pwHoge
- ※※papを使う場合、papはセキュアでないので
- デフォで無効化されてるのを有効化してやる必要あり。
- (config-if)#ppp authentication chap pap
- ※※この書き方は先にchap次にpapを実施、ということ。片方だけでも良い。
- ★WANに使うシリアルi/fの状態で、line protocolだけdownになる
- ⇒encapsulationが不一致
- バックツーバック接続の場合、DCE側にClock rateの設定が抜けてる
- ----------------------------------------------------------------------------------
- 9-5 VPN
- おそらく今日のEnterprise Networkで一番大事な概念。
- WAN構築ソリューションの主流。
- データをトンネル化して専用線っぽい通信にする。
- 公衆回線としてのインターネットを利用する「インターネットVPN」と、
- 電気通信事業者の専用ネットワークを利用する「IP-VPN」がある。
- IPsecについて:
- ・サイト間VPNではトンネルモード
- (元のIPヘッダ含め、全部を暗号化して新しいIPヘッダをかぶせる)
- ・リモートアクセスVPNではトランスポートモード
- (ペイロード分だけ暗号化して、IPヘッダはそのまま)
- よく問題に出るIPsecの4特長:機密性+データ整合性+認証+リプレイ攻撃防止
- ★4つ揃えているプロトコルがESP: encapsuling security payload
- ★機密性(暗号化)だけサポートしてなくて、暗号化が禁止されてるところ以外では使わないのが
- AH: Authenticaiton Header
- ★よりセキュアなプロトコル:IKE(Internet Key Exchange):鍵生成、更新、ピア認証を自動化
- ★インターネットVPN
- IPsecトンネル:サイト間VPN。
- レイヤ3のIPsecトンネルというフレームワークで暗号化する。
- マルチキャスト、ブロードキャストは使えない。
- GRE over IPsec:サイト間VPN
- 同じくレイヤ3のプロトコルGRE(generic Routing Encapsulation)
- ※Cisco独自:というトンネル化とIPsecを組み合わせて
- マルキャもブロキャもセキュリティも全部乗せしたもの。
- DMVPN:サイト間VPN
- (Dynamic Multipoint VPN) IPsecのVPNは専用線っぽい通信なので、
- 拠点がたくさんあるとフルメッシュでないとすべての相互通信を実現できないと
- 思うじゃん?⇒実は、ハブ-スポークのトポロジーを都度動的に構成するようにして、
- フルメッシュに近いパフォーマンスにすることは何とか可能。
- 使う技術は、下記の3つ。
- IPsec、マルチポイントGRE、NHRP(マルチポイントGREの宛先IPアドレスを解決)
- あと、IPsec VTI (仮想ifを使うIPsec):サイト間VPN
- クライアントVPN:リモートアクセスVPN。
- VPNゲートウェイのクライアント側のルータは使わず、端末から
- VPN cliantソフトを使って、中央のVPNゲートウェイルータにアクセスする方式。
- IPsecやSSLを使うよ。
- ★IP-VPN:電気通信事業者の専用NWを使い、インターネットは使わない。
- ・MPLS:multiprotocol switching.. スイッチングとあるが、使うのはIPパケット。
- IPパケットに4バイトのラベルを付けて、宛先IPの代わりにラベルを識別して
- 高速でWAN網内を転送させる、。レイヤ2と3の間で動作してるイメージ。
- PE:Provider Edgeルータ
- CE:Customer Edgeルータ
- P:Providerルータ
- CE \ /CE
- PE-P-P-PE
- CE/ \CE
- ・※拠点間で、VPNを介した疑似的な巨大LANセグメントのようなものを作ることもできる。
- レイヤ2だけ使った、レイヤ2MPLS VPNというのもある。
- 上手で言うPE-P-P-PEのルータ網が、L2のスイッチ網になっている感じ。
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement