WAN
WAN(Wide Area Network)は地理的に離れたLANとLANを相互に接続する広域ネットワークです。
【主なWANサービス】
WANサービス | 特徴、主なサービス名称 | プロトコル |
---|---|---|
専用線 | ・シリアルインターフェイスを使用 ・1対1で常時接続、ポイントツーポイント ・コストが高い ・1つの回線を自社専用で借りるため、帯域とセキュリティと信頼性を確保できる | PPP HDLC |
広域イーサネット (イーサネットWAN) | ・イーサネットインターフェイスを使用 ・LANと同じインターフェースを使用する ・LANと同じプロトコルを使用する ・専用線よりも高速通信が可能 ・プロバイダが用意している独自の通信網を使うため、インターネットよりは危険が低い ・EoMPLS | Ethernet |
インターネットVPN | ・イーサネットインターフェイスを使用 ・公衆回線を仮想的に専用線のように利用できる | IP |
<専用線>
回線 | 帯域幅 |
---|---|
T4 | 274.176Mbps |
T3 | 44.736Mbps |
T2 | 6.312Mbps |
T1 | 1.544Mbps |
CPE
CPE(Customer Premises Equipment)。
ユーザ宅内に設置される機器です。CPEとしてDTEとDCEがあります。
- DTE…ユーザー側の機器、ルータ、電話機、コンピュータ
- DCE…データ回線終端装置、モデム
- ローカルループ…分界点からサービスプロバイダの機器までの回線(アクセス回線)
- CSU/DSU…ISDN(デジタル通信網)やフレームリレーなどの通信回線とDTEのシリアルインターフェイスを相互接続する装置
DCE
DCE(Data Circuit terminating Equipment)。DCEはDTEの信号をアクセス回線に適した信号に変換します。
アナログ回線 | モデム |
デジタル回線 ISDN(デジタル通信網) | CSU/DSU (Channel Service Unit)/DSU(Digital Service Unit) |
光ファイバ回線 | ONU(Optical Network Unit) |
データリンク層のカプセル化
シリアルポイントツーポイントのデータリンク層のプロトコルはHDLCとPPPがあります。
HDLC
HDLC( High-level Data Link Control )は、シリアルインターフェースで専用線などのポイントツーポイント接続で使用するデータリンク層プロトコル。HDLCは、ISO( 国際標準化機構 )で標準化されていますが、ネットワーク層を識別するフィールドがないため複数のプロトコルを扱えないことからメーカの多くが独自方式をHDLCに実装し、ネットワーク層で複数のプロトコルを使用できるようにしています。
- オプションとして認証機能を使用することができない。
- CiscoルータはデフォルトでHDLCが設定されている。
- HDLCはレイヤ2の技術である
- Ciscoでは、ISO標準のHDLCにタイプフィールドを追加した、独自のHDLCを使用している
PPP
PPP( Point-to-Point Protocol )は、専用線、PSTN、ISDNなどのポイントツーポイント接続で最もよく使用されるデータリンク層のプロトコル。同期及び非同期のシリアル回線をサポートします。PPPはHDLCをベースに開発されていますが、PPPの場合プロトコルフィールドが設けられているのでIP、IPXなど複数のプロトコルを使用した環境をサポートします。また、PPPはオプションとして認証、圧縮、マルチリンク、エラー制御をサポートしています。
PPPを設定
(config-if)#encapsulation ppp
PPPの認証プロトコル
PAP 2ハンドシェイク
CHAP 3ハンドシェイク
PPP認証のデバッグ(PPP イベントを表示する)
#debug ppp authenthication
PPPoE
PPPoEとはPPPの機能をイーサネットLAN上で利用するためのプロトコルです。
- ディスカバリステージ
- PPPセッションステージ(PPPの認証)
- RFC2516で定義
物理インターフェイスと論理インターフェイスが対応しているか確認
show pppoe session
VPN
Virtual Private Network (仮想プライベートネットワーク)はインターネット接続とオンラインのプライバシーを保護する仕組みです。VPN接続は、仮想的な専用線(トンネル)を構築することで確立されます。
- コスト削減
- 通信を暗号化する
- 通信相手の認証を行う
- 拡張性(スケーラビリティ)
インターネットVPN
インタネットVPNには2つの接続形態があります。
- サイト間VPN
- クライアントVPN(リモートアクセスVPN)
サイト間(Site-to-Site)VPN
- 拠点間がVPNの端点
- IPsecを使ったトンネル接続
- 拠点内のクライアントはトンネルを通っている認識はない
- ルータ同士でトンネル接続を行う
リモートアクセスVPN(クライアントVPN)
- IPsecや、SSLまたはTLSを使ったVPN接続
(SSL/TLSとはSecure Sockets Layer/Transport Layer Securityの略称であり、TLSは情報を暗号化するSSLの次世代規格です。) - Cisco AnyConnect
DMVPN
DMVPN(Dynamic Multipoint VPN)とは、複数の拠点を接続するVPNの設定作業を簡略化する、Cisco独自のVPN設計です。
- トポロジのタイプはハブ&スポーク
- シスコ独自
- ハブルータの負荷を軽減
- NHRP(next hop resolution protocol)プロトコルを使用して、IPsec-VPNゲートウェイのグローバルIPアドレスを解決します。
- トンネルモードをマルチポイントGRE(mGRE)に設定する必要がある。
MPLS
MPLS(Multi-Protocol Label Switching)マルチプロトコルラベルスイッチングではレイヤ2ヘッダとレイヤ3ヘッダの間に「ラベル」と呼ばれるタグを付加する技術です。IPv4、IPv6、IPXなど様々なプロトコルに対応
- CE(Cusotmer Edge)…顧客側のルータ
- PE(Provider Edge)…サービスプロバイダ側のルータ
レイヤ2ヘッダMPLSヘッダレイヤ3ヘッダ
<MPLSヘッダフォーマット>
- ラベル(VPNなどで利用)
- EXP(QoSで利用)
- S(ラベルが続くかの情報)
- TTL(生存時間)
<MPLSは以下の機能を実現>
- ルータ間を高速転送
- VPN(仮想的にネットワークを分離)
- QoSに従ってパケットの転送に優先度を設定できる
- IP-VPN
IP-VPNとは、地理的に離れた構内ネットワーク(LAN)同士を接続して一体的に運用するVPN(Virtual Private Network:仮想専用ネットワーク)の方式の一つで、通信事業者の運用するIP(Internet Protocol)ベースの閉域網を経由して拠点間を接続するもの。
- 高速転送
- VPN(各顧客のネットワークを仮想的に分離)
- QoS(EXPフィールドに設定した値を使ったサービスクラス定義(Class of Service:CoS)に従って、パケットの転送に優先度が設定できる)
- マルチプロトコル(IPv4、IPv6、Ethernet、ATM、フレームリレーなどをサポート)
IPsec
IPsec「Internet Protocol Security」はIPパケットを暗号化し、安全に接続する規格です。
- ネットワーク層のセキュリティ技術
- 機密性
- 整合性
- 送信元認証
- リプレイ攻撃防止
- ユニキャストしかできないというデメリット(GREとIPsecを組み合わせた GRE over IPsec VPNを使用することで、ブロードキャストやマルチキャストにも対応できるようになります。)
- トランスポートモード:IPヘッダの暗号化は行わない
- トンネルモード:IPヘッダを含めたパケットの全体
ISDN
ISDNとは、Integrated Services Digital Networkの略で、電話、映像、データを総合的に扱うデジタル回線である。
GRE
シスコが開発したトンネルリングプロトコル。トンネルインターフェイスを使用して仮想のポイントツーポイントの接続を構成。
GRE over IPsec
- マルチキャストが使用可能である
⇒OSPFやRIPなどのルーティングプロトコルが使用できる - 暗号化を行う
【GREトンネルインターフェイスの状態がup/downの理由】
- tunnel sourceで使用したインターフェイスがダウンしている
- tunnel destinationのアドレスへのルートが存在しない
- トンネルの宛先アドレスへのルートをトンネル経由で学習している
トンネルインターフェイスの作成
(config)#interface tunnel <number>
トンネルインターフェイスにIPアドレスを設定
(config-if)#ip address <ip-address> <subnet-mask>
GREトンネルの送信元IPアドレスの指定
(config-if)#tunnel source { <ip-address> | <interface> }
GREトンネルの宛先IPアドレスの指定
(config-if)#tunnel destination <ip-address>
トンネルモードをGREに設定(デフォルト)
(config-if)#tunnel mode gre ip
BGP
BGP(Border Gateway Protocol)は、AS間でルート情報の交換を行うEGPに分類されるルーティングプロトコルです。
【BGPの有効化】
(config)#router bgp <as-number>
(config-router)#neighbor <ip-address> remote-as <as-number>(ネイバーのIPアドレス、AS番号)
(config-router)#network 172.16.0.0 mask 255.255.255.0(サブネットアドレス)
BGPテーブルの表示
show ip bgp
EBGP
EBGP(External BGP)は異なるASに属するネイバーとルート情報を交換します。
- ルータが調節接続されている必要がある。
- デフォルトのアドミニストレーティブディスタンスの値はEBGPは20、IBGPは200
Cisco AnyConnect
Cisco AnyConnect Secure Mobility Client
- SSL/TLS VPNを使用する
- リモートアクセスVPN構成である
ISP
企業がISP(Internet Service Provider:インターネット接続事業者)と契約しインターネットを接続する場合いくつかパターンがあります。
ISPとの接続リンク数 | 接続するISPの数 | |
---|---|---|
シングルホーム | 1 | 1 |
デュアルホーム | 2本以上 | |
マルチホーム | 複数 |