WAN : ポイントツーポイント プロトコル(PPP)

Cisco IOS のバーチャルアクセス PPP 機能

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2005 年 9 月 9 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次

L2F

概要

この資料は Cisco IOS でバーチャルアクセス PPP アプリケーションの全面的なアーキテクチャを記述したものですか。 特定の機能に関する詳細は、「用語集」の最後に一覧されているドキュメントを参照してください。

はじめに

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

前提条件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

用語集

このドキュメント内で使用されている用語は次のとおりです。

  • アクセス サーバ: リモート アクセスのための Cisco アクセス サーバのプラットフォーム(ISDN および非同期インターフェイスなど)。

  • L2F: L2F プロトコル(RFC の Experimental Draft)。 マルチシャーシ MP(MMP)、およびバーチャル プライベート ネットワーク(VPN)双方の基礎となるリンクレベル テクノロジーです。

  • リンク: システムの接続ポイント。 専用のハードウェア インターフェイス(非同期インターフェイスなど)、あるいは、マルチチャンネル ハードウェア インターフェイスのチャンネル(PRI や BRI など)です。

  • MP: マルチリンク PPP プロトコル。RFC 1717 を参照してください。

  • マルチシャーシ MP: MP + SGBP + L2F + Vtemplate。

  • PPP: Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)。RFC 1331 を参照してください。

  • ロータリー グループ: 外部へのダイヤルやコールの受信に割り当てられた物理インターフェイスのグループ。 このグループは、外部にダイヤルしたりコールを受信したりするためのリンクのプールのような役割を果たします。

  • SGBP: Stack Group Bidding プロトコル。

  • スタック グループ: 2 つ以上のシステムの集まり。グループとして動作するように設定され、他のシステムからのリンクの MP バンドルをサポートします。

  • VPDN: バーチャル プライベート ダイヤルアップ ネットワーク。 Internet Service Provider(ISP; インターネット サービス プロバイダー)からホーム ゲートウェイへの PPP リンクを転送します。

  • Vtemplate: バーチャル テンプレート インターフェイス。

この資料で参照される RFC についての情報に関しては Cisco IOS Release 11.2 でサポートされる RFC を製品速報参照して下さい; またはリンクのための RFC および他の規格文書を直接 InterNIC に入手します

仮想アクセスインターフェイスの概要

Cisco IOS リリース 11.2F でサポートされるダイヤル アップ アクセス機能は、 VPDN、マルチシャーシ マルチリンク、VP、バーチャル アクセスによるプロトコル変換、および PPP/ATM です。 これらの機能では、バーチャル インターフェイスを使用して、目的のマシンへ PPP を伝送します。

バーチャル アクセス インターフェイスは Cisco IOS のインターフェイスで、シリアル インターフェイスのような物理インターフェイスです。 シリアル インターフェイスの設定は、シリアル インターフェイス コンフィギュレーションにあります。

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

物理インターフェイスには、スタティックな固定設定があります。 それに対して、バーチャル アクセス インターフェイスは、必要に応じて動的に作成されます(この文書の次のセクションでさまざまな使用法について説明します)。 また、必要がなくなると解放されます。 したがって、バーチャル アクセス インターフェイスのコンフィギュレーション ソースは、他の方法で繋ぎとめておく必要があります。

バーチャル アクセスでは、その構成が、バーチャル テンプレート インターフェイス、RADIUS、および認証サーバの TACAC+ レコードなどを介したさまざまな方法で取得されます。 後者の方法は、ユーザごとのバーチャル プロファイルと呼ばれるものです。 バーチャル アクセス インターフェイスは、グローバルなバーチャル テンプレートを使用して構成できるため、1 つのバーチャル テンプレート インターフェイスから同一の設定を、さまざまなユーザのバーチャル アクセス インターフェイスに継承できます。 たとえば、ネットワーク管理者は、システム上のバーチャル アクセスの全ユーザに共通の PPP 認証方法(CHAP)を定義できます。 各ユーザ に 応じた 設定に関しては、ネットワーク管理者は仮想プロファイルのユーザにインターフェイスコンフィギュレーションを– PAP 認証のような–仕様定義するかもしれません。 バーチャル アクセス インターフェイスでは、一般的なコンフィギュレーション スキームも特定のコンフィギュレーション スキームも利用できるので、ネットワーク管理者は、インターフェイス コンフィギュレーションをすべてのユーザ共通に設定することも、個別のユーザごとに設定することも可能です。

/image/gif/paws/14943/figure1-va.gif

図 1 に、userA と userB が使用する 2 種類のバーチャル アクセス インターフェイスについて説明しています。 Operation 1 は、グローバルなバーチャル テンプレート インターフェイスから 2 つのバーチャル アクセス インターフェイスへのインターフェイス コンフィギュレーションの適用を示しています。 Operation 2 は、個別のバーチャル プロファイルから 2 つのバーチャル アクセス インターフェイスへの、ユーザごとのインターフェイス コンフィギュレーションの適用を示しています。

仮想アクセスインターフェイスのアプリケーション

このセクションでは、Cisco IOS でバーチャル アクセス インターフェイスを使用するさまざまな方法を説明します。

各アプリケーションの再発テーマに注意します–それらはアプリケーション(1) オペレーションに汎用バーチャルテンプレート仕様を可能にします。 Operation 2 は、ユーザごとのバーチャル プロファイルが各ユーザに適用されています)。

マルチリンク PPP

マルチリンク PPP では、各リンクで受信したパケットを再構成したり、各リンクから送信するパケットを断片化するためのバンドル インターフェイスとして、バーチャル アクセス インターフェイスを使用します。 バンドル インターフェイスは、そのコンフィギュレーションをマルチリンク PPP 用のバーチャル テンプレートから入手します。 ネットワーク管理者がバーチャル プロファイルをイネーブルにすると、ユーザ名ごとのバーチャル プロファイルのインターフェイス コンフィギュレーションがユーザのバンドル インターフェイスに適用されます。

/image/gif/paws/14943/figure2-va.gif

図 2 は、シリアル インターフェイスでマルチリンク PPP を使用した場合を示しています。 ダイヤラ インターフェイスがないので、次のようにバーチャル テンプレート インターフェイスを定義します。

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

任意で設定されたユーザ名ごとのバーチャル プロファイルのコンフィギュレーションが、バンドル インターフェイスに適用されます。 ダイヤラーインターフェイスが複雑なとき、bundle interface は受動インターフェイスです–バーチャル テンプレート インターフェイスが必要となりません。

たとえば、図 3 では、マルチリンク PPP をサポートするように PRI se0:23 が構成されています。

/image/gif/paws/14943/figure3-va.gif

バーチャル プロファイルがイネーブルな場合は、スキームが図 2 に戻ることに注意してください。つまり、着信コールがダイヤラ インターフェイスで受信され、バーチャル プロファイルがイネーブルになっている場合、ダイヤラからのコンフィギュレーション ソースは使用されません。 代わりにバンドル インターフェイスがアクティブ インターフェイスになり(図 2 を参照してください)、ここですべてのプロトコルが読み書きされます。 まずバーチャル テンプレート インターフェイスが、次に特定ユーザのバーチャル プロファイルがコンフィギュレーション ソースとなります。

L2F

リンクレベルのレイヤ 2 送信(L2F)では、PPP をリモートの宛先で終端させることができます。 通常、L2F を使用しない場合、ダイヤルしたクライアントと着信コールに応答した NAS 間では PPP が使用されます。 L2F を使用すると、宛先ノードに PPP が投影されます。 クライアントでは、PPP を介して宛先ノードに接続していると認識されています。 実際には、NAS が PPP フレームを転送しています。 L2F の用語では、宛先ノードはホームゲートウェイと呼ばれます。

ホームゲートウェイでは、バーチャル アクセス インターフェイスを使用して PPP リンクを終端させます。 コンフィギュレーション ソースとしてバーチャル テンプレートが使用されます。 バーチャル プロファイルが定義されている場合は、バーチャル アクセス インターフェイスにユーザごとのインターフェイス コンフィギュレーションが適用されます。

一般的に、L2F トンネルは UDP/IP で伝搬されます。

/image/gif/paws/14943/figure4-va.gif

L2F トンネリング テクノロジーは、現在 Cisco IOS 11.2 の次の 2 つの機能に使用されています。 これらの機能は VPDN(バーチャル プライベート ダイヤルアップ ネットワーク)とマルチシャーシ マルチリンク PPP(MMP)です。

VPDN

VPDN では、クライアントから、直接、選択したホーム ゲートウェイにまで、プライベート ネットワークを広げることができます。 たとえば、HP のモバイル ユーザ(営業担当者など)は、常にどこでも、選択した HP のホームゲートウェイに接続できる状態である必要があります。 HP は、ISP に PDN をサポートしてもらう契約をします。 ISP では、jsmith@hp.com が ISP が提供した番号にダイヤルすると、自動的に NAS が HP のホームゲートウェイに転送するように設定します。 これによって、ISP は、HP ユーザの IP アドレス、ルーティング、その他 HP ユーザに密接した機能を管理する必要がなくなります。 そして、ISP の HP 管理者では、HP ホームゲートウェイへの IP 接続の問題が軽減されます。

NAS: isp

  vpdn outgoing hp.com isp ip 1.1.1.2 

ホームゲートウェイ: hp-gateway

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

マルチシャーシ

PPP マルチリンクでは、複数のリンクから形成されている論理パイプ(バンドル)でパケットを分割したり再構成することによって、必要な帯域幅を増やすことができます。 これによって、低速の WAN リンクでの転送遅延が軽減され、最大受信ユニットを増やすことができます。 マルチリンクは、アクセス サーバが 1 つの環境でサポートされます。

たとえば、ISP では、効率良く 1 つのロータリー番号を複数のアクセス サーバ上の複数の PRI に割り当てるため、柔軟性と拡張性が求められます。

マルチシャーシ マルチリンクでは、同一クライアントからの複数のマルチリンクを異なるアクセス サーバで終端させることができます。 同一バンドルの各 MP リンクを異なるアクセス サーバで終端できるますが、MP クライアントから見ると、1 つのアクセス サーバで終端しているかのようになります。 マルチシャーシと VPDN のコンポーネントの違いは、マルチリンク バンドルをビッディングおよび調停するために追加する StackGroup Bidding プロトコル(SGBP)だけです。 SGBP でスタック グループの宛先 IP アドレスが決定すると、マルチシャーシでは、L2F を使用して、その NAS からスタック グループの宛先になった他方の NAS へ投影します。

たとえば、スタック グループでは次の 2 つの NAS の stackq を呼び出します。 nasa と nasb です。

nasa:

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

nasb:

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2  

プロトコル変換

仮想アクセスインターフェイス(ツー ステップ変換)として終わるべきゲートウェイを渡る Protocol Translation 割り当て PPP カプセル化されたトラフィック– X.25/TCP のような–。 バーチャル アクセス インターフェイスは、ワンステップ変換でもサポートされます。

ツーステップのプロトコル変換例:

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1 

ワンステップのプロトコル変換例:

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP over ATM

この機能により、データがシスコの(StrataCom)フレーム転送カプセル化の形式になっている場合、ルータ ATM インターフェイスで複数の PPP 接続を終端させることができます。 PPP プロトコルは、一般的な PPP シリアル インターフェイスから受信した場合と同様に、ルータで終端します。 各 PPP 接続は、個別の ATM VC でカプセル化されます。 別のタイプのカプセル化を使用する VC も同じインターフェイスに設定できます。

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

仮想プロファイル

バーチャル プロファイルは、独特の PPP アプリケーションで、ルータにダイヤルするユーザごとにコンフィギュレーション情報を定義して適用します。 バーチャル プロファイルでは、コールのダイヤルに使用されたメディアの種類に関係なく、ユーザ特定のコンフィギュレーション情報が適用されます。 バーチャル プロファイルのコンフィギュレーション情報は、バーチャル インターフェイス テンプレートか AAA サーバに格納されたユーザごとのコンフィギュレーション情報、またはその両方から取得されます。これは、ルータと AAA サーバの設定方法によって異なります。 バーチャル プロファイルのアプリケーションは、VPDN ホームゲートウェイ、またはマルチシャーシ環境内のシングルボックス環境にあります。

バーチャル プロファイルのコンフィギュレーション ソースとしてバーチャル テンプレートを定義する手順は次のとおりです。

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

バーチャル プロファイルのコンフィギュレーション ソースとして AAA を定義する手順は次のとおりです。

virtual-profile aaa

この例では、システム管理者が John にアドバタイズされるルートをフィルタリングすることと、Rick のダイヤルイン接続にアクセス リストを適用することを決定しています。 John または Rick がインターフェイス S1 または BRI 0 でダイヤルして認証すると、バーチャル プロファイルが作成されます。 ルート フィルタが John に適用され、アクセス リストが Rick に適用されます。

John と Rick の AAA 構成:

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

AAA cisco-avpairs に、特定のユーザに適用される Cisco IOS のインターフェイスごとのコマンドが含まれています。


関連情報


Document ID: 14943