Ch.9 WAN接続

CCENT対策

この章に関しては、Packet Tracerを用いた実践部分と、暗記事項が3:7くらいなので、暗記事項をここへまとめていく。

WAN接続の基本構成

CPE( Customer Premises Equipment )

顧客宅内に配置される機器

DTE

Data Terminal Equipment の略で、実際にデータを送受信する機器のこと。パソコン・ルーター・電話機などがこれに当たる。後述するDCE (Data Communication Equipment)からWAN接続を提供される

DCE

Data Communication Equipment の略で、CPEの中でDTEにクロック信号を送って同期をとりつつ、WAN接続を提供する。WAN接続がアナログ回線ならばモデム、デジタル回線ならCSU/DSUと呼ばれる機器がこれにあたる。

これがモデムで提供されるタイプのインターネット接続はPSTN(アナログダイアルアップ接続)と呼ばれる。

CSU/DSU

WAN接続で、電話回線以外のデジタル回線が提供された場合は DCE はこれになる。WAN接続はほとんどデジタルで提供され、電話網を利用した高速通信のISDN (Integrated Services Digital Network)やフレームリレー、DSL、ケーブルテレビインターネットなどでも、これが用いられる。

アクセス回線

分岐点

ISPとユーザーの責任分岐点となるところ。一般的にCSU/DSUを接続する部分がこれに当たる。

ローカルループ

(別名アクセス回線)分岐点から、ISPの機器までの回線。銅線や光ファイバが用いられる。

中継網

ローカルループの終点。データはここで、中継・交換され、目的地に送られる。

WANサービスの種類

専用線

2拠点を1対1で直接接続するため、コストが高くつく。ポイントツーポイント接続とも呼ばれる。近年は専用線メディアにイーサネットを用いることが多く、社内LANのルーターに直接接続して使うことが出来るようになった。

Ethernet専用線 | BroadLine | TOKAIコミュニケーションズ

PSTN

Public Switched Telephone Network のこと。DCEとしてモデムを利用する。接続中は回線が占有されてしまうため、接続中に電話を受けることなどは出来ない。最大56kbpsと非常に遅い通信速度になっている。2025年には完全廃止される予定のインターネット方式。

ISDN

Integrated Services Digital Networkといい、PSTNと同じ電話回線をいくつかの論理チャンネルに分割して通信を行う。具体的には、論理チャンネルはシグナリング用のDチャンネルと実際のデータ通信を行うBチャンネルがあり、これをBチャンネル2本+Dチャンネルや、Bチャンネル23本+Dチャンネルといったように、決められた本数ずつ回線を集めて接続する。

IP-VPN

CPEの終端となるDTEから専用線ADSL等を経由して、契約者だけが加入できる独立したインターネットに接続する。PPPoEのようなかプセリングは行われず、ADSLなどのローカルループ経由して中継網に到達すると、通常のIPパケットとして扱われる。(そのため、IPパケット以外のAppleTalk等は利用不能)この形の中継網はIP-VPN網と呼ばれ、契約者のみが回線を用いることが出来る。専用線のような帯域幅の保証はないが、それでも加入者が限定されるため、セキュアである。

IP-VPN | ソフトバンク

広域イーサネット

IP-VPNと同じような仕組みだが、中継網の中はすべてスイッチで中継されており、ローカルループの向こう側はイーサネットフレームが中継されている。

Arcstar Universal One(IP-VPNと広域イーサネットの違い) | NTTコミュニケーションズ 法人のお客さま

フレームリレー

IPルーティングやイーサネット規格ではない、全く別のパケット交換プロトコルを用いて、フレームリレースイッチと呼ばれる機器が、宛先に仮想的な専用線を確立する。既にイニシエのテクノロジーの模様。同様の独自プロトコルATMと呼ばれるものがあるが、こちらは実際に利用されことがほとんどないまま終焉している。

ASCII.jp:16年の歴史に終止符!フレームリレーが受け付け終了

Asynchronous Transfer Mode - Wikipedia

DSL/ADSL

アナログ固定電話サービスの高い周波数を利用することで、電話回線とは別に常時インターネット接続(ローカルループ)を維持しておける仕組み。スプリッタという顧客宅内の機器が、アナログ電話の通信とデータ通信をバンドル・分離させ、電話線経由で電話局へと送られる。電話局でもスプリッタが用意され、電話交換機からのアナログ通信とISPからのデジタル通信をバンドル・分離させる。

ADSLは下りの方が帯域幅が大きく、上りの帯域幅はさほど大きくない。また、電話回線の高周波数帯は電波のノイズの干渉を受けやすいため、電話局から5.5km以内の電話回線でしか提供することが出来ない。

ケーブルテレビインターネット

ケーブルテレビで使用される同軸ケーブルで、ケーブルテレビに利用しない、低・高周波数帯を活用してインターネットを提供する。電話線と比べて、同軸ケーブルはノイズの干渉を受けにくいという特徴も持っている。ただし、信号の減衰が激しいので、600mおきに中継器を必要とする、初期コストの高さがデメリットとなる。

現在のケーブルテレビインターネットは、同軸ケーブルだけではく、自宅前数100mまでは光ファイバによる通信網が整備されているため、自宅までの数100mのみを同軸ケーブルによる通信が担っている。このようなハイブリッド型の通信をHFC (Hybrid Fiber Coaxial)と呼んでいる。光ファイバは通信の減衰や干渉に強く、600mおきに増幅器の設置が求められる同軸ケーブルの欠点を補うことが出来る。

CPEとしてADSLのスプリッタに似た`ケーブルモデムが必要で、一方反対側のケーブルテレビ局側には(CMTS)ヘッドエンドというスプリッタに似た役割をする終端装置が設置されている。

https://jcom-cabletv.jp/(ケーブルテレビインターネットの例)

FTTH

Fiber to the homeの文字通り、光ファイバケーブルを自宅まで引き込む方法で、CPEとしてOPU(Optical Network Unit)というDTEが必要になる。現在もっとも利用されている、アクセスループの方式である。

ワイヤレスWAN

携帯電話ネットワークを利用したアクセスループ。ケーブルの設置が不要でかつ、広い範囲をカバーしている。

VPNの種類

VPNは高価で拡張性の低い専用線の代わりに、パブリックネットワーク上に仮想的な専用回線を確立することが出来る。仮想的な専用回線はIPSecというプロトコルによりセキュアに暗号化されるが、もちろん専用線よりは危険になる。

VPNには大きく分けて、インターネットVPNとIP-VPNが存在する。

インターネットVPN

名前の通りインターネットを利用したVPN構築方法で、後述するIP-VPNよりも危険度が高い。そのためIPSecというIP層のパケット暗号化プロトコルが用いられる。ただし、IPSecによる暗号化を行うと、マルチキャスト・ブロードキャストを行えなくなって、ルーティングプロトコルが利用不能になるという致命的な問題を抱えている。IPSecで暗号化されたパケットのマルチキャスト・ブロードキャストを行えるようにするためにGREという、IPパケットのカプセル化プロトコルが用いられる。

インターネットVPNも、ユーザーにコンピューターにVPNトンネルの確立等を行わせることなく、VPNゲートウェイというルーター同士がGREカプセル化IPSecの暗号化・解読を行ってくれるサイト間VPNと、GREカプセル化SSLIPSecの暗号化等の作業をユーザーのコンピュータのアプリケーションに行わせるリモートアクセスVPN(クライアントVPN)が存在する。

以前利用していたCisco AnyConnect Secure Mobility ClientはリモートアクセスVPNを確立するために、PCにインストールしたアプリケーションである。このリモートVPNではIPSecではなく、SSLが用いられ、GREカプセル化が必要ない。

様々なVPNの比較(IPsec-VPN,SSL-VPN) - Qiita

IP-VPN

既にWAN接続の種類の一つとして取り扱っているが、ISPが契約者専用の中継網を提供するためセキュリティや品質が担保されている。このVPNではMPLS(Multi Protocol Label Switching)という方法が用いられ、専用中継網内での高速ルーティングに寄与している。

具体的にはIP-VPN中継網のProvider-Edgeルータが、顧客から送信されたパケットに顧客固有のラベリングを行い、Provider-EdgeルータとProviderルータは顧客ごとに独立したルーティングテーブルを利用して、付与されたラベルを元にルーティングを行う。

(インターネットVPNを支える)IPSec

機密性・(データの改ざんが行われていないことを保証する)整合性・認証機能・リプレイ攻撃機能などを備えている。 2つのセキュリティプロトコルにわかれていて、AH(Authentication Header)は暗号化を行わず、通信相手の認証と整合性の担保だけを行う。(通信の暗号化が禁止されている場面で用いられる) 一方、ESP(Encapsulation Security Payload)は暗号化も同時に行うことが出来る。 IPSecカプセル化の方式が2種類あり、どのカプセル化を利用するか・どのセキュリティプロトコルを利用するかで、暗号化される対象、認証されるかどうかなどが異なる。

カプセル化: トンネルモード

パケットのIPアドレスの前に、新IPヘッダを連結する。VPNトンネル内でのルーティングは、この新IPヘッダに基づいて行われる。VPNゲートウェイとして機能するルータを用いた、サイト間VPNではこちらを用いる。

IPSecによる新しいIPヘッダが用いられれば、ルーティングにも影響を及ぼすので、GREという新たなカプセル化が更に必要になる。これは``GRE over IPSec```と呼び、GRE単体で十分なセキュリティが担保できない点とIPSecのトンネルモードで通常のルーティングが出来なくなってしまう問題を補い合うことが出来る。

GRE over IPsecとは

GRE over IPSecCCNPの範囲になるため、この章では扱われない。

カプセル化: トランスポートモード

新たな、IPヘッダの付与は行わず、AH、ESPヘッダを既存のIPヘッダの後ろに付与する。クライアントのアプリケーションによる、リモートアクセスVPNにおいて、SSLではなくIPSecによるセキュリティの担保が求められる場合はこれを使う。

ルーティングに影響を及ぼさないので、GREのような新しいルーティングプロトコルが不要である。

EBGP

自宅からのWAN接続は、一社のISPとしか契約していない場合、当然ルーターにはデフォルトルートを設置しておけばよい。このような状況のネットワークをスタブAS、またはシングルホームASと呼び、BGPなどのBorder Gateway Protocolは特に必要ない。

ところが、2社以上のISPと契約している場合、独立した2つのAS(自立システム)(=ISP)の外側とのルーティングになるので、Interior Gateway ProtocolであるOSPFやRIPは利用できない。代わりに自立システム間のルーティングのためのBGP(Border Gateway Protocol)が利用される。

なお、Interior Gateway Protocolの反義語としてExternal Gateway Protocolもあるが、このプロトコルは1980年代までしか使われておらず、代わって現在は進化系であるBorder Gateway Protocolが使われている。

ISPなどのインターネットサービスを供給される側である一般企業のネットワークであれば、自社のネットワークに関係のない、外部AS-外部AS間のパケットは基本的に受け取る必要がない。このような状況のASをマルチホーム非トランジットASと呼び、自社のネットワークを外部のASにアドバタイズし、ルータは自社のネットワークで必要なパケットだけを受け取る。(受け取るルーティング情報については後述する)

一方、ISPはインターネットサービスを提供する立場にいるので、自社のAS内で自分のルーターとは関係のないパケットの交換も行う。ルーティング情報も全て受け取って最適なルートを計算する必要がある。

マルチホーム非トランジットASにおいて、受信するルーティング情報に関しては3つオプションがあり、

  • ISPはデフォルトルートのみアドバタイズ
  • ISPがデフォルトルートと、その他特定のルートのみアドバタイズ
  • ISPが全てのルートをアドバタイズ

受け取るルーティング情報が多いほど、社内ASのルーターは、大量の最適ルーティングの計算とルート情報の保存にリソースを消費することになるが、ルーターはより最適なルートを(契約しているISPを)選ぶことができるようになる。

BGPの具体的な仕組み

BGPは隣接するBGPルータと、TCP接続を維持してルーティング情報の変更をリアルタイムで同期している。

  1. Idle状態からTCPコネクションをリクエスト(Connect状態)

  2. TCPコネクションを確立するとActive状態となる。OPENメッセージを送り(Open sent)し相手のOPENメッセージも受信する(Open Confirm)、自身のAS番号や自身のルーターIDなどを告知する。 この時、BGPデータベースのネイバーテーブルにコネクションを確立したルータを追記する。(Established状態)

  3. 新しいルーティング情報が入るとUPDATEメッセージで送られる。こうした、ルーティング情報はすべてBGPデータベースのBGPテーブルに追記される。このテーブルを利用した最適ルーティング計算の結果がルーティングテーブルに反映される。

  4. 新しいルーティング情報が入らなくても、定期的に生存確認を行うKEEP-ALIVEメッセージが送られる。

  5. 何らかのエラー、例えば決められた時間の間KEEP ALIVEを受け取ることが出来なかった等の事由が発生するとNOTIFICATIONメッセージを送ってその旨を伝えて、TCPセッションを終了する。(Idle状態)

ルート情報の中身

実際に交換されるルート情報の詳細を見る前に、BGPが用いられる状況が2つあることを説明しておく。

  • Internal BGP 2つ以上のBGPインスタンスを1つのAS内で利用している場合の2つのルータの関係性。BGPというプロトコル自体がEGPなので、やや不自然な状態。IP到達可能である必要がある。

  • External BGP 2つのBGPインスタンスが別々のASに所属している場合の2つのルータの関係性。直接接続の必要がある。

BGPで交換されるルーティング情報にはパスアトリビュートという付加情報が記されていて、これらの振る舞い方(変化の仕方)が前述した2つの関係性によって大きく異なることに注意する。

ORIGIN

全てのBGPルータが必ず実装しているパスアトリビュートの一つ。 そのBGPルートの発生源を示すもので、 - AS内のIGP(OSPF, RIP, EIGRP etc)などによって通知されたパスであれば『i』 - BGPの前身であるExternal Gateway Brotocolによって通知されたパスであれば『e』 - ルートの発生元が不明な場合は『?』

がそれぞれ付加される。

AS_PATH

これも全てのBGPルータが 必ず実装しているアトリビュートの一つ。 そのルート情報がどのASを経由して、自分のASにやってきたかを示す数列。

同じアドレスに対する複数のルート情報が一つのルータに通知されたとき、ルータはこのAS_PATHの数列がもっとも短いルートを最適ルートとして選ぶ。 つまり、最も経由するASの数が少ないルートが最適ルートとして選ばれる。

なお、経由したASの数を示すものだから、ルート情報の送信元がInternal BGPであった場合、この値は更新されない。

NEXT_HOP

これも全てのBGPルータが実装しているアトリビュートの一つ。 ルート情報に自分のASに到達するためのIPアドレス、つまり自身のGateway IP Addressを書きこんで(上書きして)送る。

Internal BGPへ送信するルート情報である場合、更新する必要がないので、同じAS内のBGPルータは一つのルート情報に対して、同じNEXT_HOOPを持つことになる。