• CCNA
【CCNA】ネットワークの設計(WAN・VPN)

WAN

WAN(Wide Area Network)は地理的に離れたLANとLANを相互に接続する広域ネットワークです。

【主なWANサービス】

WANサービス特徴、主なサービス名称プロトコル
専用線・シリアルインターフェイスを使用
・1対1で常時接続、ポイントツーポイント
コストが高い
・1つの回線を自社専用で借りるため、帯域とセキュリティと信頼性を確保できる
PPP
HDLC
広域イーサネット
(イーサネットWAN)
・イーサネットインターフェイスを使用
LANと同じインターフェースを使用する
LANと同じプロトコルを使用する
・専用線よりも高速通信が可能
・プロバイダが用意している独自の通信網を使うため、インターネットよりは危険が低い
EoMPLS
Ethernet
インターネットVPN・イーサネットインターフェイスを使用
・公衆回線を仮想的に専用線のように利用できる
IP

<専用線>

回線帯域幅
T4274.176Mbps
T344.736Mbps
T26.312Mbps
T11.544Mbps

CPE

CPE(Customer Premises Equipment)。
ユーザ宅内に設置される機器です。CPEとしてDTEDCEがあります。

  • DTEユーザー側の機器、ルータ、電話機、コンピュータ
  • DCEデータ回線終端装置、モデム
  • ローカルループ…分界点からサービスプロバイダの機器までの回線(アクセス回線
  • CSU/DSU…ISDN(デジタル通信網)やフレームリレーなどの通信回線とDTEのシリアルインターフェイスを相互接続する装置

DCE

DCE(Data Circuit terminating Equipment)。DCEはDTEの信号をアクセス回線に適した信号に変換します。

アナログ回線モデム
デジタル回線
ISDN(デジタル通信網)
CSU/DSU
(Channel Service Unit)/DSU(Digital Service Unit)
光ファイバ回線ONU(Optical Network Unit)

データリンク層のカプセル化

シリアルポイントツーポイントデータリンク層のプロトコルはHDLCPPPがあります。

HDLC

HDLC( High-level Data Link Control )は、シリアルインターフェースで専用線などのポイントツーポイント接続で使用するデータリンク層プロトコル。HDLCは、ISO( 国際標準化機構 )で標準化されていますが、ネットワーク層を識別するフィールドがないため複数のプロトコルを扱えないことからメーカの多くが独自方式をHDLCに実装し、ネットワーク層で複数のプロトコルを使用できるようにしています。

  • オプションとして認証機能を使用することができない。
  • CiscoルータはデフォルトでHDLCが設定されている。
  • HDLCはレイヤ2の技術である
  • Ciscoでは、ISO標準のHDLCにタイプフィールドを追加した、独自のHDLCを使用している

PPP

PPP( Point-to-Point Protocol )は、専用線、PSTN、ISDNなどのポイントツーポイント接続で最もよく使用されるデータリンク層のプロトコル。同期及び非同期のシリアル回線をサポートします。PPPはHDLCをベースに開発されていますが、PPPの場合プロトコルフィールドが設けられているのでIP、IPXなど複数のプロトコルを使用した環境をサポートします。また、PPPはオプションとして認証、圧縮、マルチリンク、エラー制御をサポートしています。

PPPを設定
(config-if)#encapsulation ppp
PPPの認証プロトコル

PAP 2ハンドシェイク

CHAP 3ハンドシェイク

PPP認証のデバッグ(PPP イベントを表示する)
#debug ppp authenthication

PPPoE

PPPoEとはPPPの機能をイーサネットLAN上で利用するためのプロトコルです。

  1. ディスカバリステージ
  2. PPPセッションステージ(PPPの認証
  • RFC2516で定義

物理インターフェイスと論理インターフェイスが対応しているか確認
show pppoe session

VPN

Virtual Private Network (仮想プライベートネットワーク)はインターネット接続とオンラインのプライバシーを保護する仕組みです。VPN接続は、仮想的な専用線(トンネル)を構築することで確立されます。

  • コスト削減
  • 通信を暗号化する
  • 通信相手の認証を行う
  • 拡張性(スケーラビリティ)

インターネットVPN

インタネットVPNには2つの接続形態があります。

  • サイト間VPN
  • クライアントVPN(リモートアクセスVPN

サイト間(Site-to-Site)VPN

  • 拠点間がVPNの端点
  • IPsecを使ったトンネル接続
  • 拠点内のクライアントはトンネルを通っている認識はない
  • ルータ同士でトンネル接続を行う

リモートアクセスVPN(クライアントVPN)

  • IPsecや、SSLまたはTLSを使ったVPN接続
    (SSL/TLSとはSecure Sockets Layer/Transport Layer Securityの略称であり、TLSは情報を暗号化するSSLの次世代規格です。)
  • Cisco AnyConnect

DMVPN

DMVPN(Dynamic Multipoint VPN)とは、複数の拠点を接続するVPNの設定作業を簡略化する、Cisco独自のVPN設計です。

  • トポロジのタイプはハブ&スポーク
  • シスコ独自
  • ハブルータの負荷を軽減
  • NHRP(next hop resolution protocol)プロトコルを使用して、IPsec-VPNゲートウェイのグローバルIPアドレスを解決します。
  • トンネルモードをマルチポイントGRE(mGRE)に設定する必要がある。

MPLS 

MPLS(Multi-Protocol Label Switching)マルチプロトコルラベルスイッチングではレイヤ2ヘッダとレイヤ3ヘッダの間に「ラベル」と呼ばれるタグを付加する技術です。IPv4、IPv6、IPXなど様々なプロトコルに対応

  • CE(Cusotmer Edge)…顧客側のルータ
  • PE(Provider Edge)…サービスプロバイダ側のルータ

レイヤ2ヘッダMPLSヘッダレイヤ3ヘッダ

<MPLSヘッダフォーマット>

  • ラベル(VPNなどで利用)
  • EXP(QoSで利用)
  • S(ラベルが続くかの情報)
  • TTL(生存時間)

<MPLSは以下の機能を実現>

  • ルータ間を高速転送
  • VPN(仮想的にネットワークを分離)
  • QoSに従ってパケットの転送に優先度を設定できる
  • IP-VPN

IP-VPNとは、地理的に離れた構内ネットワーク(LAN)同士を接続して一体的に運用するVPN(Virtual Private Network:仮想専用ネットワーク)の方式の一つで、通信事業者の運用するIP(Internet Protocol)ベースの閉域網を経由して拠点間を接続するもの。

  • 高速転送
  • VPN(各顧客のネットワークを仮想的に分離)
  • QoS(EXPフィールドに設定した値を使ったサービスクラス定義(Class of Service:CoS)に従って、パケットの転送に優先度が設定できる)
  • マルチプロトコル(IPv4、IPv6、Ethernet、ATM、フレームリレーなどをサポート)

IPsec

IPsec「Internet Protocol Security」はIPパケットを暗号化し、安全に接続する規格です。

  • ネットワーク層のセキュリティ技術
  • 機密性
  • 整合性
  • 送信元認証
  • リプレイ攻撃防止
  • ユニキャストしかできないというデメリット(GREとIPsecを組み合わせた GRE over IPsec VPNを使用することで、ブロードキャストやマルチキャストにも対応できるようになります。)
  • トランスポートモード:IPヘッダの暗号化は行わない
  • トンネルモード:IPヘッダを含めたパケットの全体

ISDN

ISDNとは、Integrated Services Digital Networkの略で、電話、映像、データを総合的に扱うデジタル回線である。

GRE

シスコが開発したトンネルリングプロトコル。トンネルインターフェイスを使用して仮想のポイントツーポイントの接続を構成。

GRE over IPsec

  • マルチキャストが使用可能である
    ⇒OSPFやRIPなどのルーティングプロトコルが使用できる
  • 暗号化を行う

【GREトンネルインターフェイスの状態がup/downの理由】

  • tunnel sourceで使用したインターフェイスがダウンしている
  • tunnel destinationのアドレスへのルートが存在しない
  • トンネルの宛先アドレスへのルートをトンネル経由で学習している

トンネルインターフェイスの作成
(config)#interface tunnel <number>

トンネルインターフェイスにIPアドレスを設定
(config-if)#ip address <ip-address> <subnet-mask>

GREトンネルの送信元IPアドレスの指定
(config-if)#tunnel source { <ip-address> | <interface> }

GREトンネルの宛先IPアドレスの指定
(config-if)#tunnel destination <ip-address>

トンネルモードをGREに設定(デフォルト)
(config-if)#tunnel mode gre ip

BGP

BGP(Border Gateway Protocol)は、AS間でルート情報の交換を行うEGPに分類されるルーティングプロトコルです。

【BGPの有効化】
(config)#router bgp <as-number>
(config-router)#neighbor <ip-address> remote-as <as-number>(ネイバーのIPアドレス、AS番号)
(config-router)#network 172.16.0.0 mask 255.255.255.0(サブネットアドレス)

BGPテーブルの表示
show ip bgp

EBGP

EBGP(External BGP)は異なるASに属するネイバーとルート情報を交換します。

  • ルータが調節接続されている必要がある。
  • デフォルトのアドミニストレーティブディスタンスの値はEBGPは20IBGPは200

Cisco AnyConnect

Cisco AnyConnect Secure Mobility Client

  • SSL/TLS VPNを使用する
  • リモートアクセスVPN構成である

ISP

企業がISP(Internet Service Provider:インターネット接続事業者)と契約しインターネットを接続する場合いくつかパターンがあります。

ISPとの接続リンク数接続するISPの数
シングルホーム11
デュアルホーム2本以上
マルチホーム複数