Comments
Description
Transcript
ネットワーキングの概念
A 付 録 ネットワーキングの概念 この付録では、ネットワーキングの概念について説明します。これらの情報は、ネットワークの設 計時や、このマニュアルの例を参照してルータの設定を行う場合に役立ちます。 この章の具体的な内容は次のとおりです。 • • • • WAN テクノロジ CHAP 認証および PAP 認証 ダイヤラ・インタフェースとダイヤラ・プロファイル アクセス・リストの使用方法 WAN テクノロジ ここでは、ISDN、フレームリレー、X.25など、Cisco 1700 ルータで使用する WANの接続タイプにつ いて説明します。 ISDN ISDNは、地域電話会社を通じて利用できるディジタル・サービス群です。ISDNは、電話網を介して 送信される情報をディジタル化するので、既存の電話線を通じて、音声、データ、テキスト、グラ フィックス、音楽、ビデオ、およびその他の情報を送信することができます。 ISDN のコンポーネント ISDNのコンポーネントは、端末、ターミナル・アダプタ(TA) 、ネットワーク終端デバイス、回線 終端装置、交換−終端装置です。 ISDN 端末 ISDN端末には 2つのタイプがあります。 • 端末装置タイプ 1(TE1)は、ISDN で機能するように特別に設計されています。TE1 は、4 線のツ イストペア・ケーブルを使用して、ISDN ネットワークに接続します。 • 端末装置タイプ 2(TE2)は、ISDN 標準に準拠していない非 ISDN 装置(DTE など)です。TE2 は、 ターミナル・アダプタを使用して、ISDN ネットワークに接続します。 ネットワーキングの概念 A-1 WAN テクノロジ ISDN ネットワーク終端デバイス ルータと電話会社の従来の 2 線ローカル・ループとの接続に使用する ISDN 終端デバイスには、2 つ のタイプがあります。 • ネットワーク終端タイプ 1(NT1)― 米国では、NT1 はユーザが用意します。その他のほとんどの 国では、ISDN サービス・プロバイダがネットワークの一部として NT1 を提供しています。WAN インタフェース・カードに NT1 が統合されていない場合には、外部 NT1 を使用して、ISDN サー ビスに接続する必要があります。Cisco 1604 および ISDN BRI U WAN インタフェース・カードに は、NT1 が統合されています。 • ネットワーク終端タイプ 2(NT2)― 一般的にディジタル PBX(構内交換機)で使用される、より 複雑なデバイスです。 また、NT1 と NT2 の両方の機能を備えた NT1/2デバイスがあります。 サービス ISDNサービスには 2 つのタイプがあります。 • BRI (基本レート・インタフェース)― このサービスは、 B チャネル 2 本と D チャネル 1 本を提供しま す。各 B チャネルは 64 kbps で動作し、ユーザ・データを伝送します。D チャネルは、16 kbps で動 作し、制御情報および信号情報を伝送しますが、ある一定の条件下ではユーザ・データも伝送しま す。BRI は、フレーミング制御とオーバヘッドをサポートし、総ビットレートは 192 kbps です。 • PRI(一次群インタフェース)― 米国および日本のこのサービスは、B チャネル 23 本(それぞれ 64 kbps で動作)と D チャネル 1 本(64 kbps で動作)を提供します。総ビットレートは 1.544 Mbps です。ヨーロッパ、オーストラリア、および他国の PRI サービスは、B チャネル 30 本、D チャ ネル 1 本、およびメンテナンス/エラー・チャネル 1 本で構成されています。各チャネルのビッ トレートは 64 Kbps で、総ビットレートは 2.048 Mbps です。 ネットワーク・コンフィギュレーションの例 図 A-1に、 ユーザとISDNネットワークを接続するデバイスを含むISDNネットワークのコンフィギュ レーション例を示します。 図に示されている 2 つの装置、PCと ISDN 電話は、ISDN 対応装置です。3つ目の装置である標準電話 を NT1または NT2 デバイス経由で ISDN ネットワークに接続するには、TA が必要です。 A-2 Cisco 1700 ルータ・ソフトウェア・コンフィギュレーション・ガイド WAN テクノロジ ISDN ネットワークの例 S1307a 図 A-1 フレームリレー フレームリレーは、ユーザ・デバイス(ルータ、ブリッジ、ホスト・マシンなど)とネットワーク・ デバイス(交換ノード、モデムなど)の間の通信に使用されるパケット交換方式です。ユーザ・デ バイスは、DTE(データ端末装置)と呼ばれ、ネットワーク・デバイスは DCE(データ回線終端装 置)と呼ばれています。 フレームリレー・サービスは、パブリック・ネットワーク(公衆網)にも、1つの企業専用に装置を 使用するプライベート・ネットワーク(私設網)のいずれかで提供できます。 フレームリレーは、単純で効率的な高性能プロトコルです。また、次のような性質により、動作が 非常に高速です。 • 1 本の物理リンク上で多くの論理的なデータ通話(仮想回線)を多重化します。多重化によって、 帯域幅を柔軟かつ効率的に使用できます。 • 光ファイバ・メディア/ディジタル伝送リンクを使用します。 このようなタイプの物理接続は、 高レベルのデータ・インテグリティを備えているので、フレームリレーではエラー・チェックを 実行する必要がありません。エラー・チェックを実行すると、時間がかかり、WAN のパフォー マンスが低下する可能性があります。 • フロー制御手順は上位レイヤ・プロトコルで実行されるので、フロー制御を行う必要はありませ ん。フレームリレーは、単純な輻輳通知メカニズムを使用して、ネットワークが輻輳状態になる と、ユーザ・デバイスに通知します。輻輳通知は、フロー制御が必要な上位レイヤ・プロトコル への警告となります。 現在のフレームリレー標準規格は、フレームリレー・ネットワークで設定および管理できる PVC(相 手先固定接続)をサポートしています。Cisco 1700 ルータは、DTE インタフェースに対応する SVC (相手先選択接続)をサポートしています。 また、フレームリレーでは、大型で複雑なインターネットワークをサポートする LMI(ローカル管 理インタフェース)を使用できます。LMI仕様をサポートする場合は、必ず common(共通)LMI拡 張機能を実装しなければなりません。その他の LMI 拡張機能は、optional(任意)と呼ばれています。 ネットワーキングの概念 A-3 WAN テクノロジ LMI拡張機能の内容 • 仮想回線ステータス・メッセージ(共通)― ネットワーク・デバイスとユーザ・デバイスの間の 通信と同期化の提供、新しい PVC の追加および既存の PVC の削除のレポート、および PVC の インテグリティに関する情報を提供します。 • マルチキャスト(任意)― 1 つのフレームを複数の受信者に送信できるようにします。通常、同 時に多数の宛先に送信する必要があるプロトコル・メッセージとアドレス解決手順の効率的な ルーティングをサポートします。 • グローバル・アドレッシング(任意)― ローカルではなくグローバルに有効な接続識別子を提供 し、フレームリレー・ネットワークへの特定のインタフェースを識別するために、その識別子を 使用できるようにします。グローバル・アドレッシングによって、フレームリレー・ネットワー クを(アドレス指定に関して)LAN のように機能させることができます。 X.25 X.25 は、ユーザ・デバイス(ルータ、ブリッジ、ホスト・マシンなど)とネットワーク・デバイス (交換ノード、モデムなど)の間の通信に使用されるパケット交換方式です。ユーザ・デバイスは、 DTE(データ端末装置)と呼ばれ、ネットワーク・デバイスは DCE(データ回線終端装置)と呼ば れています。 X.25 では、一方のコンピュータが他のコンピュータにコールを発信し、通信セッションを要求しま す。コールを受けたコンピュータは、接続を許諾するか、または拒否します。コールが許諾された 場合、2台のコンピュータ間で全二重伝送が開始されます。各コンピュータは、任意の時点で接続を 終了できます。 ユーザ・デバイスは、仮想回線という双方向の関係を使用して通信を行います。ネットワーク上の デバイスは、物理的に直接接続されていなくても、仮想回線を使用し、中継ノードを経由して通信 を行います。仮想回線には、相手先固定接続と相手先選択接続(一時)があります。PVC(相手先固 定接続)は通常、最も頻度の高いデータ転送に使用され、SVC(相手先選択接続)は間欠的なデータ 伝送に使用されます。 BRI(基本レート・インタフェース)は、2本のB チャネル(B1およびB2)と1本のDチャネルで構成 されています。B チャネルは、データ、音声、ビデオの伝送に使用され、D チャネルは信号とコール・ セットアップ情報の伝送に使用されます。IPX、AppleTalk、トランスペアレント・ブリッジング、XNS、 DECnet、およびIPは、すべてX.25としてISDN Bチャネル上でカプセル化することができます。 ISDN は、D チャネルを使用して信号情報を伝搬します。また、BRI の D チャネルを使用して、X.25 パケットを転送できます。D チャネルの容量は 16 kbps、D チャネル経由の X.25 パケット容量は最大 9.6 kbps です。 D チャネル経由の X.25 インタフェースのパラメータは、元の ISDN インタフェース・コンフィギュ レーションを変更せずに設定できます。標準的な ISDN BRIインタフェースでは、D チャネルと B チャ ネルが結合され、1 つのインタフェースとしてみなされます。元の BRIインタフェースには、引き続 き、D チャネル、B1チャネル、B2チャネルが含まれます。 一部のエンド・ユーザ装置はスタティックな TEI(端末終端点識別子)を使用してこの機能にアクセ スするので、スタティック TEI がサポートされています。ダイヤラは D チャネル経由の X.25 コール を認識し、新しいインタフェース上でこれらのコールを開始します。 通常の運用モードが低容量でインタラクティブ・トラフィックが少ない場合には、D チャネル経由 の X.25 トラフィックを一次インタフェースとして使用することができます。この場合、IP、IPX、 AppleTalk、およびトランスペアレント・ブリッジングのトラフィックがサポートされます。 A-4 Cisco 1700 ルータ・ソフトウェア・コンフィギュレーション・ガイド CHAP 認証および PAP 認証 CHAP 認証および PAP 認証 ルータの設定時に、認証方式を選択する必要があります。認証はセキュリティの目的で実行され、 コールの発信者を識別して、ルータがパケットを適正インタフェースに正しく転送できるようにし ます。ダイヤラ・ロータリ・グループを使用して、1つのルータで複数サイトからのコールを受信す る場合には、認証による識別が必要になります。 このマニュアルのコンフィギュレーション例では、セキュリティ用途の認証方式として、CHAP (Challenge Handshake Authentication Protocol)または PAP(Password Authentication Protocol)認証をサ ポートする PPP(ポイントツーポイント・プロトコル)を使用しています。ルータの着信コールは、 PPP カプセル化を使用した CHAP および PAP によって認証されます。 CHAP 認証 CHAP 認証では、ローカル・ルータに接続を試みるリモート・デバイスに対して、チャレンジ応答 が要求されます。ローカル・ルータは、受信したチャレンジ応答から、リモート・デバイス名を検 索して検証します。リモート・デバイスとローカル・ルータのパスワードが一致している必要があ ります。名前とパスワードは、username コマンドを使用して設定します。 次に、Macbeth ルータが Macduff ルータに対して、パスワード [bubble] を使用したコールを許可する 例を示します。 hostname Macbeth username Macduff password bubble ! encapsulation ppp ppp authentication chap 次に、Macduff ルータが Macbeth ルータに対して、パスワード [bubble] を使用したコールを許可する 例を示します。 hostname Macduff username Macbeth password bubble ! encapsulation ppp ppp authentication chap PAP 認証 CHAP と同様に、PAP もまた、PPP と併用する認証プロトコルです。PAP は、CHAP に比べて、セキュ リティ・レベルが低い認証方式です。CHAP 方式では、パスワードが暗号化されて物理リンク上に 渡されますが、PAP 方式では、パスワード、ホスト名またはユーザ名が暗号化されずに渡されます。 非同期回線上で(専用モードではなく)インタラクティブ・モードを使用する場合には、username コマンドを使用して、内部データベースにあるユーザ名を確認してから、そのユーザに対してルー タへのコールを許可することができます。次に、Joe Smith というユーザに対して、パスワード [freedom]を使用したルータへのコールを許可する例を示します。 username JoeSmith password freedom line 1 login ネットワーキングの概念 A-5 アクセス・リストの使用方法 アクセス・リストの使用方法 ここでは、アクセス・リストの概要について説明します。アクセス・リストはネットワークのセキュ リティに影響するので、ネットワークの設定を行う前に、アクセス・リストについて理解しておく 必要があります。アクセス・リストの機能および設定方法の詳細については、『Network Protocols Configuration Guide, Part 1』の「Configuring IP Services」の章を参照してください。この資料は、ルー タに付属の Documentation CD-ROMに収録されています。 アクセス・リストは、特定のユーザまたはデバイスからのトラフィックを制限したり、ネットワー クの使用を制約することによって、Ciscoルータ上でのパケット・フィルタリングを制御します。ア クセス・リストを使用する目的はいくつかありますが、このマニュアルのコンフィギュレーション 例では、アクセス・リストを使用して特定のインタフェースでのパケット転送を制御しています。 アクセス・リストは、ネットワーク・アドレスに適用する許可条件と拒否条件の順次集合です。パ ケットのアドレスは、ルータに設定された全アクセス・リストの条件と比較されます。最初に一致 した条件によって、ルータがそのパケットを許可するか、拒否するかが決まります。パケットが1 つ の条件に一致すると、以降の条件は審査されないので、アクセス・リストの条件をどのような順序 で定義するかが非常に重要になります。パケットがアクセス・リストのどの条件とも一致しない場 合、ルータはそのパケットを拒否します。 ダイヤラ・インタフェースとダイヤラ・プロファイル ダイヤラ・インタフェースは、リモート・デバイスに常時接続しているわけではなく、接続が必要 になった場合だけリモート・デバイスに接続するルータ上の WAN インタフェースです。Cisco ルー タのインタフェースが、指定した時間に指定したリモート・デバイスにダイヤルするよう設定する には、ダイヤラ・プロファイルの設定が必要になります。 ダイヤラ・プロファイルを使用すると、コールに必要な論理設定と切り離して、ルータの物理イン タフェースを設定することができます。また、論理設定と物理設定を、コール単位で動的に結合す ることができます。同じ宛先サブネットワークとのすべての発信/着信コールに、同じダイヤラ・プ ロファイルが使用されます。 ダイヤラ・プロファイルは次の要素で構成されています。 • ダイヤラ・インタフェース ― 1 つ以上のダイヤル・ストリングを持つコンフィギュレーション (論理エンティティ)で、特定の宛先サブネットワークに到達するために使用されます。 • ダイヤラ・マップ・クラス ― 特定のダイヤル・ストリング(電話番号)へのコールに関するす べての特性を定義します。 • ダイヤラ・プール ― ダイヤラ・インタフェースが使用する物理インタフェースの集合です。ダイ ヤラ・プール内の物理インタフェースは、プライオリティによって順序づけられています。 ダイヤラ・インタフェース ダイヤラ・インタフェース・コンフィギュレーションは、ルータがリモート・ネットワークに接続 するために使用する設定値の集合です。1 つのダイヤラ・インタフェースに複数のダイヤル・ストリ ング(電話番号)を設定することができます。各ダイヤル・ストリングは、それぞれ固有のダイヤ ラ・マップ・クラスに関連づけられています。ダイヤラ・マップ・クラスには、特定のダイヤル・ス トリングへのコールに関するすべての特性を定義します。たとえば、ある宛先用のダイヤラ・マッ プ・クラスには 56-kbps の ISDN 速度を定義し、別の宛先へのマップ・クラスには 64-kbps の ISDN 速 度を定義できます。 A-6 Cisco 1700 ルータ・ソフトウェア・コンフィギュレーション・ガイド ダイヤラ・インタフェースとダイヤラ・プロファイル ダイヤラ・プール 各ダイヤラ・インタフェースは、ダイヤラ・プールと呼ばれる物理インタフェースのグループを使 用します。ダイヤラ・プール内の物理インタフェースは、プライオリティに基づいて順序づけられ ています。1つの物理インタフェースを複数のダイヤラ・プールに入れることができます。ISDN BRI インタフェースでは、ダイヤラ・プールに予約する B チャネルの最大数と最小数を制限することが できます。ダイヤラ・プールによって予約されているチャネルは、そのプールへのトラフィックが 発生するまでアイドル状態になります。 ダイヤル・プロファイルを使用して DDR(ダイヤルオンデマンド・ルーティング)を設定する場合 には、カプセル化およびインタフェースが属すダイヤラ・プールに対してだけ、物理インタフェー スを設定します。コール生成に使用するその他の特性はすべて、ダイヤラ・マップに定義します。 ネットワーキングの概念 A-7 ダイヤラ・インタフェースとダイヤラ・プロファイル A-8 Cisco 1700 ルータ・ソフトウェア・コンフィギュレーション・ガイド