■WANサービス
□専用線接続
・接続時間が長い
・距離が短い
・常に大容量トラフィックを扱っている
□回線交換接続
・バックアップ接続が必要
・小規模サイト
・通信時間が短いオンデマンドサービス
・ユーザが少数でトラフィック量が少ない
□ISDN接続
・BRI … 2B+D
・PRI … 23B,30B … T1,E1
□パケット交換接続
○VCの確立
・接続時間が長い
・サイト間の距離が地理的に遠い
・リンクの利用率が高い
・バーストトラフィックが発生する
□ブロードバンドアクセス
・高速なサービスをコストを低く実現
■WANのカプセル化
○PPP … 専用線
○HDLC … 専用線
○フレームリレー … パケット交換
○ATM … 回線交換・パケット交換
+----------+----------------------------------------------------------+
|カプセル化|特徴 |
+----------+----------------------------------------------------------+
|SLIP |専用線で使用するIP専用のカプセル化 |
+----------+----------------------------------------------------------+
|ARAP |専用線で使用するAppleTalk専用のカプセル化 |
+----------+----------------------------------------------------------+
|PPP |非同期・同期接続に使用するマルチプロトコル対応のカプセル化|
+----------+----------------------------------------------------------+
|HDLC |Ciscoオリジナルで非同期・同期で使用 |
+----------+----------------------------------------------------------+
|X.25 |ITU-T規格でフレームリレーの前身。エラー検出を行う |
+----------+----------------------------------------------------------+
|FrameRelay|ITU-T規格でパケット交換に使用。エラー検出を簡易化 |
+----------+----------------------------------------------------------+
□PPP
○非同期シリアル
○ISDN
○同期シリアル … 専用線
○ブロードバンド
■WANサービス選択基準
□考慮事項
○選択基準
・アベイラビリティ
・帯域幅
・コスト
・管理の簡易化
○接続後
・アプリケーショントラフィック
・サービス品質
・アクセス制御 …
■サイトの検討事項
□セントラルサイト
○検討事項
・複数のアクセス
・コスト
・アクセスコントロール
・サービス品質
・冗長性とバックアップ
・拡張性
○回線
・フレームリレー
・ISDN PRI
・シリアル
・ISDN BRI
・POTS
○機器
・モジュール
・WIC
□ブランチサイト
○検討事項
・バックアップ
○回線
・フレームリレー
・ISDN PRI
・シリアル
・POTS
○機器
・WIC … シリアル・BRI
□SOHOサイト
○検討事項
○回線
・ISDN BRI
・POTS
○機器
・WIC … シリアル・BRI
□Ciscoネットワーク機器のLED表示
○RA … リモートアラーム
○LA … ローカルアラーム
○LP … ローカルループバック
○CD … 電話会社のキャリア受信
■Cisco Secure ACS
シスコはAAAにおいてCiscoSecureACSの使用を推奨している
■AAA
□AAAの定義
○認証 … Authentication
○認可 … Authorization
○アカンウンティング … Accounting
□ルータアクセスモード
○キャラクタモード
管理目的でアクセス
対話式ログイン
○パケットモード
リンク・プロトコルセッション
□AAAプロトコル
○TACACS+
TCP/IP
パケット全体を暗号化
シスコ標準
ARAPをサポート(ARAP … AppleTalk)
○RADIUS
UDP/IP
パスワードのみの暗号化
IETF
□AAAコマンド
○AAAの有効化
config)#aaa new-model
・TACACS+
config)#tacacs-server host <ip_addr> [ single-connection ]
config)#tacacs-server key <key>
※ single-connectionオプションをつけると一度結んだ3way-hand-shakeを利用する
・RADIUS
config)#radius-server host <ip_addr>
config)#radius-server key <key>
○AAA認証
config)#aaa authentication login default < method1 , method2 , method3 >
※ method1に接続できない場合にmethod2を利用する
※ method1に接続できていてそこにユーザのリストがない場合、認証に失敗する。
○AAA認可
config)#aaa authorization { network | exec | command <level> | config-command | reserve-access }
○コマンドレベル
レベル0 :enableなどの簡単なコマンド
レベル1 :ユーザモードで使用できるコマンド
レベル2~14:デフォルトでは未定義
レベル15 :すべてのコマンド
■モデムを使用したセントラルサイトへの非同期接続
□モデムとの接続
DTE = Data Terminal Equipment
DCE = Data Comunications Equipment
□---------■----------- Network -----------■---------□
DTE DCE DCE DTE
□シグナリング
DTE DCE
データ転送 送信 |TxD 2|→→→→→→|2 TxD|
データ転送 受信 |RxD 3|←←←←←←|3 RxD|
グラウンド 送信 |GRD 7|←----→|7 GRD|
DTE DCE
ハードウェア |RTS 4|→→→→→→|4 RTS| 送信要求
フロー制御 |CTS 5|←←←←←←|5 CTS| 送信可
モデム制御 |DTR 20|→→→→→→|20 DTR| データ端末レディ
モデム制御 |CD 8|←←←←←←| 8 CD | キャリア検出
モデム制御 |DSR 6|←←←←←←| 6 DSR| データセットレディ
○DTE側からの制御
ルータはDTR信号をOFFにする。
DTRがOFFになったときに接続を終了するようにモデムをプログラムしておく。
○DCE側からの制御
ルータはCDのOFFを検知し接続を終了する。
CD信号がキャリアの状態を反映するようにモデムをプログラムしておく。
□モデムの動作
DTE DCE DCE DTE
ルータ TxD → バッファ フロー制御 バッファ → RxD ルータ
CTS ← ↓ ↑ ← RTS
圧縮器 圧縮解凍 圧縮器
↓ ↑
パケット化 チェックサム パケット化 ↑
↓ 再伝送 ↑
変調器/ 変調器/
復調器 →→→→→→→→ 復調器
□モデム変調規格
V.32 annex 12
V.90
V.92 … Quick Connect,Modem on Hold
※ V.90モデムで回線状態が56.6kbpsで通信できない時には、モデムは2.4kbpsづつ速度を落とし可能な速度で通信する。
※ ルータ間で互いにV.90モデムを使用しているのであれば、最大速度は33.6kbpsを超えることはない。
※ Quick Connect … ユーザがISPの接続にかかる時間を短縮する技術
※ Modem on Hold … オンライン中に着信したコールに応答するためモデムを保留できる技術
□モデム速度と圧縮
例)
□-----------■----------- Network -----------■------------□
DTE DCE DCE DTE
←115.2kbps→ ←115.2kbps→
3:1圧縮 3:1圧縮
←-----33.6kbps-----→
■リバースTelnet
○モデムを設定するためのリバース接続のこと
□EXECコマンド
○telnetで接続
#telnet <host> <port>
○現在のセッションを中断
#ctrl + shift + 6 x
○セッションを切断
#disconnect
□回線のタイプと関連付け
○絶対回線番号
Cisco 3640の背面
+-----------+-----------+
|モジュール3|モジュール2|
| 97~128 | 65~96 |
+-----------+-----------+
|モジュール1|モジュール0|
| 33~64 | 1~32 |
+-----------+-----------+
int s0/1 → モジュール0
↓
2番目のポート → 回線番号2 → リバースTelnetの回線番号(+2000)→ 2002
○回線番号の表示
#show line
□非同期ポートの設定
○プロトコル(論理)設定
config)#interface Async
○物理設定
config)#line <num>
■モデムの基本設定
□基本設定
config)#line <num>
config-line)#logon
config-line)#password <word>
config-line)#flowcontrol <type>
config-line)#speed <value>
config-line)#tranceport input <type>
config-line)#stopbits <num>
config-line)#modem <type>
例)
config)#line 2097
config-line)#logon
config-line)#password cisco
config-line)#flowcontrol hardware
config-line)#speed 115000
config-line)#tranceport input all
config-line)#stopbits 1
config-line)#modem inout
例)
config)#line 2095
config-line)#logon
config-line)#password cisco
config-line)#flowcontrol software
config-line)#speed 115000
config-line)#tranceport input telnet
config-line)#stopbits 1
config-line)#modem dialin
□モデムコマンド
AT14 … 現在のモデム設定の確認
■モデムの自動設定
□自動設定
フロー制御を利用したIPダイヤルインモデムは以下のコマンドを受信する。
① ファクトリ設定に戻る
② ハードウェアフロー制御を実行する
③ その他のモデム設定コマンドを受信する。
□オートディスカバリ
・適切なタイプのモデムを検出し回線に設定
→ ルータは自身に接続されているモデムを自動検出できる
○設定
config)#line <num>
config-line)#modem autoconfigure discovery
□modemcapデータベース
オートディスカバリのオーバーヘッドを少なくするデータベース
config-line)#modem autoconfigure discovery type <type>
○リスト表示
#show modemcap
○内容(entry)表示
#show modemcap <modem_name>
もしくは
config)#modemcap entry <modem_name>
○編集
config)#modemcap edit <modem_name>
□モデム自動設定の動作確認
#debug confmodem
#show line <num>
#clear line <num>
□トラブルシュート
・ケーブル接続されていない
・電源が入っていない
・modemcapファイルがない
□チャットスクリプトの概念
・直接接続をしているモデムを初期化する
・モデムをダイヤルアウトする
・リモートシステムにログインする。
■PPP CHAP/PAP
□PPPのアーキテクチャ
OSIのレイヤ2
+------+-------+--------+---------+
| レ | NCP | IPCP | IPXCP |
| イ | +------------------+
| ヤ +--------------------------+
| 2 | LCP |
+------+--------------------------+
□PPP LCP機能
・認証
・圧縮
・マルチリンク
□PPPの設定
○PPPの有効化
config-if)#encapsulation ppp
○PPPセッション
config-if)#async mode dedicated
○EXECセッション(管理目的)
config-if)#async mode interactive
○自動選択
config)#line <num>
config-line)#autoselect ppp during-login
○アドレッシング
config)#interface Async <num>
config-if)#ip address <ip_addr> <mask>
○非同期インターフェースにUnnumered設定
config-if)#ip unnumbered <type> <num>
例)
config)#int Loopback 0
config-if)#ip 10.1.1.1 255.255.255.0
config-if)#exit
config)#int Async 1
config-if)#ip unnumbered Loopback 0
○リモートノードにアドレッシング
config)#interface Async <num>
config-if)#peer default ip address <ip_addr>
※ DHCPやLocal poolが配布することも可能
■PAP/CHAP認証
□PAP認証
パスワードを暗号化しない
config-if)#encapsulation ppp pap
○インターフェースでのユーザ設定
config)#int Async <nun>
config-line)#ppp pap sent-username <name> password <word> ← このユーザがPPPで使用される
※ 対向ルータにこのユーザを設定しておくこと
□CHAP認証
パスワードを暗号化する
config-if)#encapsulation ppp chap
○インターフェースでのユーザ設定
config-if)#ppp chap hostname <name> ← このユーザがPPPで使用される
config-if)#ppp chap password <word> ← このパスワードが使用される
※ 対向ルータにこのユーザを設定しておくこと
□優先順位をつけて両方設定
config-if)#encapsulation ppp chap pap
※ 先に記述したほうで試み失敗した場合次で試行(上記例ではchapの後papを試行)
■PPPコールバック
□仕組み
・ダイヤルアップリンクで使用されるLCPオプション
① 発信ルータ = コールバッククライアントはリモートルータに認証情報を渡す
② リモートルータ = コールバックサーバはホスト名・パスワードの認証を検査
③ 認証成功ならばリターンコール
④ リターンコールのユーザ名を利用して初期コールとリターンコールを関連付け
※ ポイントtoポイントリンクの両端にPPPコールバックの設定が必要
① コールバックサーバ
② コールバッククライアント
□コールバッククライアント
○設定
config)#username <remote_username> password <word>
config)#int Async0
config-if)#ip address <ip_addr> <mask>
config-if)#encapsulation ppp chap
config-if)#dialer map ip <remote_ip_addr> name <remote_username> <dial_num>
config-if)#dialer-group <num>
config-if)#ppp callback request
config-if)#ppp authentication chap callin
※ 最終行に"callin"がないと着信受付しない
□コールバックサーバ
○設定
config)#username <remote_username> password <word>
config)#int Serial2
config-if)#ip address <ip_addr> <mask>
config-if)#encapsulation ppp
config-if)#dialer callback-secure ← コールバックユーザ以外からのコールを切断
config-if)#physical-layer async ← シリアルポートを非同期に設定※
config-if)#dialer map ip <remote_ip_addr> name <remote_username> class <map_name> <dial_num>
config-if)#ppp callback accept
config-if)#ppp authentication chap
!
config)#map-class dialer <map_name>
config-map-class)#dialer callback-server username
※ シリアルポートはデフォルト同期ポートなので非同期に設定する(必須!)
■マルチリンクPPP
□仕組み
・LCPオプション
・複数の回線を1つにバンドルする
・パケットをフラグメントする
・トラフィックが閾値を超えると物理回線を追加してバーストに対処する
□マルチリンクPPPの設定
○マルチリンクPPPの有効化
config-if)#ppp multilink
config-if)#dailer load-threshold load <num> [ outnbound | inbound | either ]
※ 回線の両端に設定が必要
例)ISDN BRIの場合
config)#int BRI0
config-if)#ip address <ip_addr> <mask>
config-if)#encapsulation ppp
config-if)#dialer map ip <remote_ip_addr> name <remote_username> <dial_num>
config-if)#dialer-group <num>
config-if)#ppp authentication chap
config-if)#isdn spid1 <spid1> <dial_num1> ← 日本では必要ないかも?
config-if)#isdn spid2 <spid2> <dial_num2> ← 日本では必要ないかも?
config-if)#ppp multilink
config-if)#dailer load-threshold load <num> [ outnbound | inbound | either ]