ロング リーチ イーサネット(LRE)とデジタル加入者線(xDSL) : 非対称デジタル加入者線(ADSL)

ルーテッド ブリッジド カプセル化のベースライン アーキテクチャ

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2003 年 4 月 17 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次

CPE

概要

この文書では、Cisco 6400 Universal Access Concentrator(UAC; ユニバーサル アクセス コンセントレータ)のための Routed Bridged Encapsulation(RBE; ルーテッド ブリッジド カプセル化)機能を使用する、エンドツーエンドの asymmetric digital subscriber line(ADSL; 非対称デジタル加入者線)のアーキテクチャについて説明します。 RBE は、すでに知られている RFC1483 のブリッジに関する問題を解決するために開発されました。この問題にはブロードキャスト ストームやセキュリティも含まれています。 RBE 機能は、ATM 上でのみ動作するということを除いて、ハーフブリッジと同じです。 その他のスケーラビリティ、パフォーマンス、およびセキュリティは、xDSL 加入者の固有の特性を使用して実現できます。

前提条件

基本的なアーキテクチャは、ADSL Forum Reference Architecture Model を使用して設計されています。 このアーキテクチャには、Network Access Provider(NAP; ネットワーク アクセス プロバイダー)による様々なサービスの提供や、加入者トラフィックを Network Service Provider(NSP; ネットワーク サービス プロバイダー)に転送するさまざまな方式も含まれています。 このアーキテクチャでは、RBE は Cisco 6400 によって使用される仮定されたエンキャプシュレーションの方法です。 この資料のコンテンツは既存 の 配備に基づいています、またいくつかの社内 テストはアーキテクチャで実行された。 強化された点および修正に関しては、Cisco IOS の最新リリースに関するリリース ノートを参照して下さいか。 ソフトウェア。 現在、RBE は Cisco 6400 で、Cisco 7200 および Cisco 7500 プラットフォーム サポートされます。 この文書は、Cisco 6400 の説明に限定しています。

テクノロジーの概要

ネットワークの観点から見ると、ATM 接続はルーテッド接続のように見えます。 データ トラフィックは RFC1483 のパケットとして受信されますが、これらのパケットは RFC1483 イーサネットまたは IEEE 802.3 のフレームです。 イーサネットまたは IEEE 802.3 のフレームをブリッジする代わりに、通常の RFC1483 ブリッジングの場合のように、ルータはレイヤ 3 ヘッダーでルーティングを行います。 いくつかの簡単なチェックを除き、ブリッジのヘッダーは無視されます。 これは次の セクションで詳しく説明されます。

動作説明

/image/gif/paws/12917/routed_bridged_encap_1.gif

動作の観点から見ると、ルータはルーテッドブリッジ インターフェイスがイーサネットの LAN に接続されているかのように動作します。 オペレーションは 2 つの方法で下記です: カスタマー プレマイズから起きるカスタマー プレマイズに宛てたパケットおよびパケット。

顧客宅内機器から発信されたパケットの場合、イーサネット ヘッダーは省略され、宛先の IP アドレスが検査されます。 宛先 IP アドレスがルート キャッシュにある場合、そのパケットは発信インターフェイスにファストスイッチされます。 宛先 IP アドレスがルート キャッシュにない場合、そのパケットはプロセス交換にキューイングされます。 プロセス交換モードでは、ルーティング テーブルを検索して、そのパケットがルートされるときに経由する発信インターフェイスを探します。 発信インターフェイスが特定されると、パケットがそのインターフェイスにルートされます。 この動作は、ブリッジ グループまたは Bridge Group Virtual Interface(BVI) への要求がなくても発生します。

顧客宅内機器に宛てられたパケットの場合、最初にパケットの宛先 IP アドレスが検査されます。 宛先インターフェイスは IP ルーティング テーブルから決定されます。 次に、ルータがそのインターフェイスに関連する Address Resolution Protocol(ARP) テーブルから宛先 MAC アドレスを調べ、イーサネット ヘッダーに書き込みます。 見つからない場合、ルータがその宛先 IP アドレスに対する ARP 要求を作成します。 ARP 要求がフォワーディングされるのは宛先インターフェイスだけです。 この動作は、ARP 要求がブリッジ グループ内の全インターフェイスに送信されるブリッジングとは大きく異なっています。

番号なしインターフェイスを使用するシナリオでは(この場合、同じサブネット上で 2 つの加入者が見つかることがあります)、ルーテッドブリッジ インターフェイスでプロキシ ARP を使用します。 たとえば、192.168.1.2(ホスト A)が 192.168.1.3(ホスト B)と通信を行いたいとします。 しかし、ホスト A はホスト B と同じサブネット上にあります。

ホスト A は、ARP ブロードキャスト をホスト B に送信して、ホスト B の MAC アドレスを学習する必要があります。 集約デバイスのルーテッドブリッジインターフェイスはこのブロードキャストを受信する場合、192.168.1.1 の MAC アドレスのプロキシARP 応答を、ホストA 送信します。 このインターフェイスはその MAC アドレスを使用し、これをイーサネット ヘッダーに書き込んで、そのパケットを送信します。 ルータがこのパケットを受信すると、そのヘッダーを破棄し、宛先 IP アドレスを調べます。その後、このパケットを正しいインターフェイスへルーティングします。

RBE の利点

RBE は、RFC1483 ブリッジング アーキテクチャに関連する問題を解決するために開発されました。 RBE は RFC1483のブリッジング アーキテクチャの主な利点を維持したまま、欠点のほとんどを排除しています。

  • 顧客宅内機器(CPE)での最小限の設定

    サービス プロバイダーでは、この技術を高く評価しています。それは、大量のトラック ロール(機器設置のためのプロバイダーによる顧客宅への出張サービス)が不要になり、また高いレベルのプロトコルをサポートするための大きな人的投資も不要になるためです。 ブリッジ モードでの CPE は、非常に単純な装置として動作します。 イーサネットで送られてくるすべての項目が WAN 側へ直接渡されるため、CPE では最小限のトラブルシューティングを行うだけです。

  • 純粋なブリッジング アーキテクチャから RBE への移行は簡単です。 加入者側で変更する項目はありません。

  • 一般的に見られる純粋なブリッジング アーキテクチャが直面する IP ハイジャックや ARP スプーフィングなどの問題を回避します。 RBE では、ポイントツーポイント接続を使用して、ブロードキャスト ストームも回避します。 純粋なブリッジング アーキテクチャでは、セキュリティが大きな弱点となっています。

  • RBE は、集約装置のレベルでルーティングを実装しているため、純粋なブリッジング アーキテクチャに比較して、優れたパフォーマンスを実現しています。 また、RBE にはブリッジ グループの制限がないため、拡張性に優れています。

  • シスコの Service Selection Gateway(SSG; サービス セレクション ゲートウェイ)を使用する、レイヤ 3 の Web セレクションをサポートしています。

実装の考慮事項

いくつかのこのアーキテクチャを設定する前に RFC1483 ブリッジング ベースライン アーキテクチャ ペーパーに言及されているように考慮するべきキーポイントは同じです。

RBE は、次の状況に適しています。

  • シナリオが既存のブリッジング アーキテクチャと同じ。

  • NAP が CPE では最小限の管理で済むようにしたいと考えている。 CPE が加入者の使用場所に配置された後、CPE の概念として、最小限の設定のみ必要、あるいはまったく設定の必要がない場合。

  • NAP がブリッジド CPE の背後にあるホストでのホスト クライアントの設置や管理を望んでいない場合。 このような設置作業や管理作業は、クライアントを実行するためのクライアント ソフトウェアやオペレーティング システムの知識を備えた人員によるヘルプ デスクの設置が必要になるなど、配備コストや維持費を増加させることになります。

  • NAP が、既存の CPE(RFC1483 ブリッジング モードでのみ動作するもの)を使用して、拡張性とセキュリティを備えたブリッジ ネットワークの配備や、サービス セレクション機能の提供を望んでいる場合。

次の説明は異なるビジネスモデルにどのように RBE アーキテクチャ範囲およびスケール説明します。

ネットワーク アーキテクチャ

/image/gif/paws/12917/routed_bridged_encap_2.gif

RBE のネットワーク アーキテクチャは、RFC1483 ブリッジング アーキテクチャに似ています。 そのアーキテクチャで指定されているように、集約装置は NAP または NSP に配置できます。 エンドツーエンドの permanent virtual circuit(PVC; 相手先固定接続)アーキテクチャが使用されている場合、NSP は加入者を終端し、集約装置で RBE を設定します。 NAP でホールセール サービスに加えてサービス セレクションの提供が望まれている場合は、加入者を終端し、ローカルな Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト コンフィギュレーション プロトコル)サーバから IP アドレスを取得することが選択されることもあります。 ホールセール サービスの場合、NAP では NSP からの IP アドレスの取得を選択することがあります。 このようなシナリオについては、この文書の「IP の管理」の項で詳しく説明します。

RBE アーキテクチャの設計に関する考慮事項

RBE では、RFC1483 ブリッジング アーキテクチャに関連するセキュリティ面での主なリスクが排除されています。 さらに、RBE では、サブインターフェイスがルーテッド インターフェイスとして扱われるため、より優れたパフォーマンスを提供し、拡張性にも優れています。

この項では、RBE アーキテクチャを設計する前に考慮する必要のある重要なポイントについて説明します。 加入者側については、設計上での原則は RFC1483 ブリッジング アーキテクチャと同じです。

RBE では、1 つの virtual circuit(VC; 仮想回線)が 1 つのルート、ルートの集合、または 1 つの classless interdomain routing(CIDR)サブネットに割り当てられます。 したがって、信頼できる環境は、ルータの集合または CIDR ブロック内の IP アドレスで表される顧客宅内機器一台だけに絞られます。 また、ISP でもユーザに割り当てられたアドレスを制御します。 これは、ユーザ側のサブインターフェイスにサブネットを設定することで実現します。 したがって、ユーザが装置に割り当てられたアドレス範囲外の IP アドレスを誤って設定していると(ARP パケットをルータまで流す原因となりえます)、ルータで「wrong cable」エラーが発生し、この誤った IP アドレスから MAC アドレスのマッピングを ARP テーブルに入力することが拒否されます。

RBE は、ポイントツーポイントの ATM サブインターフェイスだけを使用して配備できます。 マルチポイント サブインターフェイスには配備できません。 加入者側がブリッジされていても、このサブインターフェイスはルーテッド インターフェイスとして扱われるため、ブリッジ グループや BVI インターフェイスを定義する必要はありません。

ATM ポイントツーポイント サブインターフェイスは、他のインターフェイスに対する番号付きインターフェイスまたは番号なしインターフェイスになることができます。

定義上、番号付きインターフェイスとは、特定の IP アドレスと固定したサブネット マスクを割り当てられたインターフェイスです。 次に、例を示します。

Interface atm0/0/0.132 point-to-point
ip address 192.168.1.1 255.255.255.252

この例で示すように、RBE が番号付きインターフェイスを使用して配備されている場合、各加入者ごとに別個のサブネットが必要です。 加入者側のホストは 192.168.1.2 に設定する必要があります。 加入者側にあるのは、1 つのホストのみです。 複数のホストをサポートする必要がある場合は、サブネット マスクを使用して、複数のホストに対応する必要があります。

番号付きインターフェイスを使用すれば、加入者が CPE の背後で接続しているホストの数を NAP で制御できます。 上で説明したように、RFC1483 ブリッジング アーキテクチャではこの制御ができないことが大きな問題でした。

しかし、この方法では非常に多くの IP アドレスを使用してしまいます。 加入者ごとに 1 つの IP アドレスを割り当て、ATM サブインターフェイスに IP アドレスを 1 つ使用し、ブロードキャスト アドレス とすべてがゼロのアドレスは使用しないままにする必要があります。 そのため、CPE の背後に 1 台のホストを配置するには、最低でもサブネット マスクを 255.255.255.252 として定義する必要があります。 IP アドレスが不足することを考慮すると、NAP または NSP でプライベート アドレス空間を使用し、外側の世界にアクセスするには Network Address Translation(NAT; ネットワーク アドレス変換)を使用しない限りは、この方法は適切ではありません。

IP アドレスを節約するために、代替は非番号 インターフェイスを使用することです。 定義上、番号なしインターフェイスとは、ip unnumbered コマンドを使用して、他のインターフェイスの IP アドレスを使用するインターフェイスです。 次に、例を示します。

!
interface loopback 0
ip address 192.168.1.1 255.255.255.0
!
interface atm0/0/0.132 point-to-point
ip unnumbered loopback 0
!
interface atm0/0/0.133 point-to-point
ip unnumbered loopback 0

上の例で示したように、IP アドレスとサブネットはループバック インターフェイスにだけ適用されます。 すべての ATM サブインターフェイスは、そのループバック インターフェイスに対する番号なしインターフェイスになります。 このシナリオでは、ATM サブインターフェイスで(ループバックに終えられているすべてのサブスクライバ ループバック 0 のそれとして同じ サブネットに 0)あって下さい非番号。 これはサブスクライバが同じ サブネットにあるが意味しましたり、異なるルーテッドインターフェイスを通ってことを入っていました。 この状態では、どの加入者が、どの ATM サブインターフェイスの背後にいるかを識別することが、ルータにとっての問題になります。 Cisco IOS に関しては、192.168.1.0 は interface loopback 0 およびそれによって(IP管理ダイアグラムで)直接決して他のどのインターフェイスによっても送信 することを行っていません送信されるそのサブネットのホスト アドレスの何れかにトラフィックを接続されません。 この問題を解決するために、明示的に 静的ホスト ルーティングを設定する必要があります。 次に、例を示します。

ip route 192.168.1.2 255.255.255.255 atm0/0/0.132
ip route 192.168.1.3 255.255.255.255 atm0/0/0.133

この例で設定したように、ルータでルーティングの決定を行い、192.168.1.2 を宛先とするトラフィックを転送する必要がある場合は、発信インターフェイスとして ATM 0/0/0.132 が選択されます。他も同様です。 このようなスタティックなホスト ルートが指定されていないと、ルータは 発信インターフェイスに loopback 0 を選択し、パケットをドロップします。

番号なしインターフェイスによって IP アドレスを節約しても、各加入者に対する Node Route Processor(NRP; ノード ルート プロセッサ)にスタティックなホスト ルートを設定するという追加の作業が必要になります。 ただし、たとえば加入者が CPE の背後に 14 台のホストを所有している場合でも、それぞれのホストに対してスタティックなホスト ルートが必要ではないことに注意してください。 ATM サブインターフェイスには、集約ルートを設定できます。

ここまでの説明では、CPE の背後にあるホストにスタティックな IP アドレスが設定されていると仮定してきました。 この仮定は、実際の設計には必ずしも該当しません。 実際の環境では、NAP は CPE と CPE に接続するホストに対する設定と管理が最小限で済むことを望んでいます。 それを実現させるために、ホストは DHCPサーバを使用してアドレスを動的に取得する必要があります。

IP アドレスを動的に取得するために、ホストは DHCPサーバから IP アドレスを取得するために設定する必要があります。 ホストが起動するとき、DHCP 要求を送信します。 この要求は適切な DHCP サーバにリレーされます。DHCP サーバは事前に定義されている範囲から、IP アドレスを 1 つ割り当てます。

ホストから適切な DHCPサーバに最初の DHCP 要求を転送するために、ブロードキャストを受信しているインターフェイスに ip helper-address コマンドを適用する必要があります。 ブロードキャストが受信されると、Cisco IOS がそのインターフェイスに対する ip helper-address の設定を調べ、この要求をユニキャスト パケットの形で適切な DHCP サーバにフォワーディングします。この DHCP サーバの IP アドレスは ip helper-address に指定されています。 DHCP サーバが IP アドレスを返した後、DHCP サーバは、最初にその要求をフォワーディングしたルータのインターフェイスに応答を送ります。 このインターフェイスは、最初にサービスを要求したホストへ DHCP サーバの応答を送るための発信インターフェイスになります。 ルータはこのアドレスに対するホスト ルートを自動的に設定します。

RBE がサブインターフェイス上で有効になっていて、IEEE 802.3 ブリッジ protocol data unit(PDU; プロトコル データ ユニット)である場合、ATM ブリッジのカプセル化の後でイーサネットのカプセル化が検査されます。 IP パケットまたは ARP パケットの場合、他の IP パケットまたは ARP パケットと同様に処理されます。 IP パケットはファストスイッチされます。 これに失敗した場合、プロセス交換にキューイングされます。

RBE の性能は非常に優れています。 現在の標準的なブリッジング コードには、フォワーディングの決定が行われる前に、1 つのパケットに対して 2 つの別個の分類が必要という従来からの問題があります。 この分類は、フォワーディング情報のためのパケット ヘッダーの検査プロセス(アップストリーム側)と変更プロセス(ダウンストリーム側)として定義されており、かなりコストがかかります。 レイヤ 2 のルックアップは、パケットがルートされるかブリッジされるかを判断するために必要です。 その後、レイヤ 3 では、パケットがルートされる先の場所を識別するためのルックアップが必要です。 この分類はアップストリーム方向とダウンストリーム方向で同様に行われ、パフォーマンスに影響を与えます。

RBE では、アップストリーム側でパケットがルーティングされることが設定によって事前に定義されています。 従って、標準ブリッジングの場合には必要だったブリッジ フォワーディング パスを通過することは必要ではないです。

RBE の要点

CPE

CPE の設定は、標準的なブリッジングと同じままです。 RBE の配備に CPE 側での変更は必要ありません。

IP 管理

routed_bridged_encap_3.gif

RBE に番号付きインターフェイスを配備している場合、ブリッジド CPE の背後にあるホストへの IP アドレスの割り当ては、通常は DHCP サーバから制御されます。 先に説明したように、DHCP サーバは NAP または NSP に配置できます。 どちらの場合でも、番号付き ATM サブインターフェイスは、ip helper-address コマンドで設定する必要があります。 DHCP サーバを NSP に置く場合、NAP の集約装置にはそのサーバへのルートが設定されている必要があります。 NAP で DHCP サーバと IP アドレス範囲を使用する唯一のケースは、加入者にセレクション機能を提供することを望み、その加入者が NAP に LAN 接続している場合です。

NAP で NSP の IP アドレス空間を使用したい場合、各サブネットの IP アドレスの 1 つを ATM サブインターフェイスに割り当てる必要があります。 また、NAP と NSP 間で相互に取り決めを行い、NAP が正しいアドレスを設定できるようにする必要があります。 NSP の DHCP サーバが IP アドレスを割り当てるとき、この取り決めによってサーバから正しいデフォルト ゲートウェイ情報がホストに送られるようにします。 その後、NAP は、加入者に割り当てられたすべてのアドレスに対するスタティック ルートを要約するか、NSP と一緒にルーティング プロトコルを実行してルートをアドバタイズすることができます。 ほとんどの場合、NAP と NSP の両方でルーティング プロトコルは使用しません。 スタティック ルートを設定する方が好ましい選択肢です。

これが番号がつけられたインターフェイスとの RBE を展開するために NRP で必要な基本設定です:

!
interface ATM0/0/0.132 point-to-point
ip address 192.168.1.1 255.255.255.0
ip helper-address 192.168.3.1
no ip directed-broadcast
atm route-bridged ip
pvc 1/32
encapsulation aal5snap
!
interface ATM0/0/0.133 point-to-point
ip address 192.168.2.1 255.255.255.0
ip helper-address 192.168.3.1
no ip directed-broadcast
atm route-bridged ip
pvc 1/33
encapsulation aal5snap

IP アドレスを節約するには、番号なしインターフェイスを使用することが最善の方法です。 先に説明したように、番号なしインターフェイスが DHCP と一緒に使用されているとき、ホストへのルートはダイナミックに設定されます。 これは RBE の配備のために最も優れた方法です。 DHCP サーバは NAP または NSP に番号付きインターフェイスとして設置できます。

これが非番号 インターフェイスとの RBE を展開するために NRP で必要な基本設定です:

interface Loopback0
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
!
interface ATM0/0/0.132 point-to-point
ip unnumbered Loopback0
no ip directed-broadcast
ATM route-bridged ip
pvc 1/32
encapsulation aal5snap
!
interface ATM0/0/0.133 point-to-point
ip unnumbered Loopback0
no ip directed-broadcast
ATM route-bridged ip
pvc 1/33
encapsulation aal5snap

サービス宛先への到達のしかた

これまでのところ、この資料はエンキャプシュレーションの方法として RBE を使用して基本的なアクセス テクノロジーを説明しました。 しかし、このアーキテクチャを使用すると、NAP から加入者トラフィックを NSP にフォワーディングできる場合に、NAP および NSP からさまざまなサービスや各種のオプションを提供できるようになります。 これらの概念は次の セクションで説明されます。

インターネットアクセスの提供

このシナリオでは、NSP の主要な機能は加入者に高速なインターネット アクセスを提供することです。 NSP が最終的なサービスを提供する行っているので IPアドレス管理は NSP の責任になります。 DHCP サーバを使用してパブリック IP アドレスを加入者に割り当てることも、プライベート IP アドレスを加入者に割り当ててから NATを使用して外側の世界にアクセスすることもできます。

卸売サービス

NAP から他の ISP にホールセール サービスを提供することができます。 この場合、通常 NAP は異なる NSP に対してすべての加入者の IP アドレスを制御することはしません。 NAP は ISP と協定を結び、その加入者に IP アドレスを提供します。 これは、NAP が加入者から送られた DHCP 要求を NSP にある DHCP サーバにフォワーディングすることで実現します。 NAP では、ATM サブインターフェイスを決められた範囲に属する IP アドレスで設定し、それらのルートを NSP にアドバタイズする必要があります。 ルートのアドバタイズメントは、スタティック ルートか、NAP と NSP との間のルーティング プロトコルの形式で行われます。 スタティック ルートは NAP と NSP の双方に適した方法です。

法人アクセス

企業へのアクセスには、通常は Virtual Private Network(VPN; バーチャル プライベート ネットワーク)サービスが必要です。 このことは、企業は IP アドレスを NAP に提供せず、また NAP が NAP の IP コアにある企業の IP アドレス空間をアドバタイズすることも許可しないことを意味します。これはセキュリティ侵犯となる場合があるためです。 企業は、通常は自身の固有の IP アドレスをクライアントに適用することを望み、Multiprotocol Label Switching/Virtual Private Network(MPLS/VPN; マルチプロトコル ラベル スイッチング/バーチャル プライベート ネットワーク)や Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)のような安全な手段でのアクセスを許可します。

企業への安全なアクセスを提供するその他の方法は、NAP が加入者に初期 IP アドレスを提供する方法です。 加入者は NAP に LAN 接続されることになります。 加入者は、初期 IP アドレスを取得した後、ホスト上で実行されている L2TP クライアント ソフトウェアを介して企業へのトンネルを開始できます。 次に、企業がこの加入者を認証し、自身の IP アドレス空間から IP アドレスを提供します。 この IP アドレスは、L2TP VPN アダプタによって使用されます。 この方法により、加入者は ISP にアクセスしてインターネット接続を行うか、安全な L2TP トンネル アクセスを経由して企業へのアクセスを行うかの選択肢を得ます。 ただし、これには NAP の IP コアを経由してルーティング可能なトンネルの宛先 IP アドレスを企業から加入者に提供することが必要です。

サービス選択機能

NAP では、シスコの SSG の機能を使用して、さまざまなサービス セレクション機能を提供することができます。 SSG はサービス セレクションを提供する 2 つのメソッドを提供します: (PTA-MD として知られている)レイヤ2 およびレイヤ3 Web選択によって。 RBE では、レイヤ 3 Web セレクション方法だけが使用できます。 これはサブスクライバが NAP に LAN 接続であるように要求します; すなわち、NAP はサブスクライバに初期IPアドレスを提供し、Ciscoサービス 選択ダッシュボード(SSD)にアクセスを提供します。

RBE アーキテクチャの場合には、シスコ SSG の Web セレクション方式が加入者トラフィックを把握するのに優れています。

結論

RBE は、標準的なブリッジングよりも優れたパフォーマンスと拡張性を備えています。 また、標準的なブリッジングが抱えているセキュリティ問題のすべてを克服しています。 RBE では、標準的なブリッジングに見られるブロードキャスト ストームを回避します。 さらに、RBE では、クライアント ホストのソフトウェアの管理やブリッジに関連する問題を避け、より安価な配備コストを必要とする NAP 向けの強固なアーキテクチャを備えています。 RBE を使用すれば、既存のブリッジング アーキテクチャを使用しながら、これらがすべて可能になります。


関連情報


Document ID: 12917