WAN : ポイントツーポイント プロトコル(PPP)

Cisco IOS のバーチャル アクセス PPP 機能

2005 年 9 月 9 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2005 年 9 月 9 日) | フィードバック

目次

概要
はじめに
      表記法
      前提条件
      使用するコンポーネント
      用語集
バーチャル アクセス インターフェイスの概要
バーチャル アクセス インターフェイスの適用例
      マルチリンク PPP
      L2F
      VPDN
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、Cisco IOS(R) のバーチャル アクセス PPP アプリケーション全体のアーキテクチャについて説明します。 特定の機能に関する詳細は、「用語集」の最後に一覧されているドキュメントを参照してください。

はじめに

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

前提条件

このドキュメントに適用される特定の前提条件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されています。 このドキュメント内で使用されているデバイスではすべて、クリアな(デフォルト)設定で作業を開始しています。 実稼動中のネットワークで作業する場合は、コマンドの実行によって生じる影響について、事前に理解しておいてください。

用語集

このドキュメント内で使用されている用語は次のとおりです。

  • アクセス サーバ: リモート アクセスのための Cisco アクセス サーバのプラットフォーム(ISDN および非同期インターフェイスなど)。

  • L2F: L2F プロトコル(RFC の Experimental Draft)。 マルチシャーシ MP(MMP)、およびバーチャル プライベート ネットワーク(VPN)双方の基礎となるリンクレベル テクノロジーです。

  • リンク: システムの接続ポイント。 専用のハードウェア インターフェイス(非同期インターフェイスなど)、あるいは、マルチチャンネル ハードウェア インターフェイスのチャンネル(PRI や BRI など)です。

  • MP: マルチリンク PPP プロトコル。RFC 1717 を参照してください。

  • マルチシャーシ MP: MP + SGBP + L2F + Vtemplate。

  • PPP: Point-to-Point Protocol(PPP; ポイントツーポイント プロトコル)。RFC 1331 を参照してください。

  • ロータリー グループ: 外部へのダイヤルやコールの受信に割り当てられた物理インターフェイスのグループ。 このグループは、外部にダイヤルしたりコールを受信したりするためのリンクのプールのような役割を果たします。

  • SGBP: Stack Group Bidding プロトコル。

  • スタック グループ: 2 つ以上のシステムの集まり。グループとして動作するように設定され、他のシステムからのリンクの MP バンドルをサポートします。

  • VPDN: バーチャル プライベート ダイヤルアップ ネットワーク。 Internet Service Provider(ISP; インターネット サービス プロバイダー)からホーム ゲートウェイへの PPP リンクを転送します。

  • Vtemplate: バーチャル テンプレート インターフェイス。

注:このドキュメント内で参照される RFC の情報については、『Cisco IOS リリース 11.2 でサポートされている RFC』、または製品速報を参照してください。また、『RFC および標準に関するドキュメントの入手方法』には InterNIC への直接リンクがあります。

バーチャル アクセス インターフェイスの概要

Cisco IOS リリース 11.2F でサポートされるダイヤル アップ アクセス機能は、 VPDN、マルチシャーシ マルチリンク、VP、バーチャル アクセスによるプロトコル変換、および PPP/ATM です。 これらの機能では、バーチャル インターフェイスを使用して、目的のマシンへ PPP を伝送します。

バーチャル アクセス インターフェイスは Cisco IOS のインターフェイスで、シリアル インターフェイスのような物理インターフェイスです。 シリアル インターフェイスの設定は、シリアル インターフェイス コンフィギュレーションにあります。

 #config
   int s0
   ip unnumbered e0
   encap ppp
   :
 

物理インターフェイスには、スタティックな固定設定があります。 それに対して、バーチャル アクセス インターフェイスは、必要に応じて動的に作成されます(このドキュメントの次のセクションでさまざまな使用法について説明します)。 また、必要がなくなると解放されます。 したがって、バーチャル アクセス インターフェイスのコンフィギュレーション ソースは、他の方法で繋ぎとめておく必要があります。

バーチャル アクセスがその設定を取得するさまざまな方法には、バーチャル テンプレート インターフェイスによる方法や、認証サーバにある RADIUS および TACAC+ レコードによる方法があります。 後者の方法は、ユーザごとのバーチャル プロファイルと呼ばれています。 バーチャル アクセス インターフェイスは、グローバルなバーチャル テンプレートを使用して構成できるため、1 つのバーチャル テンプレート インターフェイスから同一の設定を、さまざまなユーザのバーチャル アクセス インターフェイスに継承できます。 たとえば、ネットワーク管理者は、システム上のバーチャル アクセスの全ユーザに共通の PPP 認証方法(CHAP)を定義できます。 また、ユーザごとに特化した個別対応の設定に関しては、ネットワーク管理者はバーチャル プロファイルに含まれる特定のユーザに対し、PAP 認証などのインターフェイス コンフィギュレーションを定義することもできます。 バーチャル アクセス インターフェイスでは、一般的なコンフィギュレーション スキームも特定のコンフィギュレーション スキームも利用できるので、ネットワーク管理者は、インターフェイス コンフィギュレーションをすべてのユーザ共通に設定することも、個別のユーザごとに設定することも可能です。

figure1-va.gif

図 1 に、userA と userB が使用する 2 種類のバーチャル アクセス インターフェイスについて説明しています。 Operation 1 は、グローバルなバーチャル テンプレート インターフェイスから 2 つのバーチャル アクセス インターフェイスへ、インターフェイス コンフィギュレーションを適用した様子を示しています。 Operation 2 は、個別のバーチャル プロファイルから 2 つのバーチャル アクセス インターフェイスへ、ユーザごとのインターフェイス コンフィギュレーションを適用した様子を示しています。

バーチャル アクセス インターフェイスの適用例

このセクションでは、Cisco IOS でバーチャル アクセス インターフェイスを使用するさまざまな方法を説明します。

各適用例を同一のテーマで説明します(Operation 1 は適用例に特化した一般的なバーチャル テンプレートで、 Operation 2 は、ユーザごとのバーチャル プロファイルが各ユーザに適用されています)。

マルチリンク PPP

マルチリンク PPP では、各リンクで受信したパケットを再構成したり、各リンクから送信するパケットを断片化するためのバンドル インターフェイスとして、バーチャル アクセス インターフェイスを使用します。 バンドル インターフェイスは、そのコンフィギュレーションをマルチリンク PPP 用のバーチャル テンプレートから入手します。 ネットワーク管理者がバーチャル プロファイルをイネーブルにすると、ユーザ名ごとのバーチャル プロファイルのインターフェイス コンフィギュレーションがユーザのバンドル インターフェイスに適用されます。

figure2-va.gif

図 2 は、シリアル インターフェイスでマルチリンク PPP を使用した場合を示しています。 ダイヤラ インターフェイスがないので、次のようにバーチャル テンプレート インターフェイスを定義します。

 multilink virtual-template 1
int virtual-template 1 ip unnum e0 encap ppp ppp chap authen

任意で設定されたユーザ名ごとのバーチャル プロファイルのコンフィギュレーションが、バンドル インターフェイスに適用されます。 ダイヤラ インターフェイスを使用する場合は、バンドル インターフェイスが受動インターフェイスになり、バーチャル テンプレート インターフェイスは不要になります。

たとえば、図 3 では、マルチリンク PPP をサポートするように PRI se0:23 が構成されています。

figure3-va.gif

バーチャル プロファイルがイネーブルな場合は、スキームが図 2 に戻ることに注意してください。つまり、着信コールがダイヤラ インターフェイスで受信され、バーチャル プロファイルがイネーブルになっている場合、ダイヤラからのコンフィギュレーション ソースは使用されません。 代わりにバンドル インターフェイスがアクティブ インターフェイスになり(図 2 を参照してください)、ここですべてのプロトコルが読み書きされます。 まずバーチャル テンプレート インターフェイスが、次に特定ユーザのバーチャル プロファイルがコンフィギュレーション ソースとなります。

L2F

リンクレベルのレイヤ 2 送信(L2F)では、PPP をリモートの宛先で終端させることができます。 通常、L2F を使用しない場合、ダイヤルしたクライアントと着信コールに応答した NAS 間では PPP が使用されます。 L2F を使用すると、宛先ノードに PPP が投影されます。 クライアントでは、PPP を介して宛先ノードに接続していると認識されています。 実際には、NAS が PPP フレームを転送しています。 L2F の用語では、宛先ノードはホームゲートウェイと呼ばれます。

ホームゲートウェイでは、バーチャル アクセス インターフェイスを使用して PPP リンクを終端させます。 コンフィギュレーション ソースとしてバーチャル テンプレートが使用されます。 バーチャル プロファイルが定義されている場合は、バーチャル アクセス インターフェイスにユーザごとのインターフェイス コンフィギュレーションが適用されます。

一般的に、L2F トンネルは UDP/IP で伝搬されます。

figure4-va.gif

L2F トンネリング テクノロジーは、現在 Cisco IOS 11.2 の次の 2 つの機能に使用されています。 これらの機能は VPDN(バーチャル プライベート ダイヤルアップ ネットワーク)とマルチシャーシ マルチリンク PPP(MMP)です。

VPDN

VPDN では、クライアントから、直接、選択したホーム ゲートウェイにまで、プライベート ネットワークを広げることができます。 たとえば、HP のモバイル ユーザ(営業担当者など)は、常にどこでも、選択した HP のホームゲートウェイに接続できる状態である必要があります。 HP は、ISP に PDN をサポートしてもらう契約をします。 ISP では、jsmith@hp.com が ISP の提供した番号にダイヤルすると、自動的に NAS が HP のホームゲートウェイに転送するように設定されます。 これによって、ISP は、HP ユーザの IP アドレス、ルーティング、その他 HP ユーザに密接した機能を管理する必要がなくなります。 そして、ISP の HP 管理者では、HP ホームゲートウェイへの IP 接続の問題が軽減されます。

NAS: isp

   vpdn outgoing hp.com isp ip 1.1.1.2 
 

ホームゲートウェイ: hp-gateway

 int virtual-template 1
   ip unnum e0
   encap ppp
   ppp chap authen
vpdn incoming isp hp-gateway virtual-template 1

マルチシャーシ

PPP マルチリンクでは、複数のリンクから形成されている論理パイプ(バンドル)でパケットを分割したり再構成することによって、必要な帯域幅を増やすことができます。 これによって、低速の WAN リンクでの転送遅延が軽減され、最大受信ユニットを増やすことができます。 マルチリンクは、アクセス サーバが 1 つの環境でサポートされます。

たとえば、ISP では、効率良く 1 つのロータリー番号を複数のアクセス サーバ上の複数の PRI に割り当てるため、柔軟性と拡張性が求められます。

マルチシャーシ マルチリンクでは、同一クライアントからの複数のマルチリンクを異なるアクセス サーバで終端させることができます。 同一バンドルの各 MP リンクを異なるアクセス サーバで終端できるますが、MP クライアントから見ると、1 つのアクセス サーバで終端しているかのようになります。 マルチシャーシと VPDN のコンポーネントの違いは、マルチリンク バンドルをビッディングおよび調停するために追加する StackGroup Bidding プロトコル(SGBP)だけです。 SGBP でスタック グループの宛先 IP アドレスが決定すると、マルチシャーシでは、L2F を使用して、その NAS からスタック グループの宛先になった他方の NAS へ投影します。

たとえばスタック グループでは、次の 2 つの NAS の stackq を呼び出します。 nasanasb です。

nasa:

   username stackq password hello
   multilink virtual-template 1
int virtual-template 1 ip unnum e0 encap ppp ppp authen chap
sgbp stack stackq sgbp member nasb 1.1.1.2

nasb:

 username stackq password hello
   multilink virtual-template 1
int virtual-template 1 ip unnum e0 encap ppp ppp authen chap
sgbp stack stackq sgbp member nasb 1.1.1.2

プロトコル変換

プロトコル変換により、ゲートウェイ(X.25/TCP など)を流れる PPP カプセル化トラフィックを、バーチャル アクセス インターフェイスとして終端させることができます(ツーステップ変換)。 バーチャル アクセス インターフェイスは、ワンステップ変換でもサポートされます。

ツーステップのプロトコル変換例:

   int virtual-template 1
   ip unnum e0
   encap ppp
   ppp authen chap
vty-async virtual-template 1

ワンステップのプロトコル変換例:

 int virtual-template 1
   ip unnum e0
   encap ppp
   ppp authen chap
translate tcp 1.1.1.1 virtual-template 1

PPP over ATM

この機能により、データがシスコの(StrataCom)フレーム転送カプセル化の形式になっている場合、ルータ ATM インターフェイスで複数の PPP 接続を終端させることができます。 PPP プロトコルは、一般的な PPP シリアル インターフェイスから受信した場合と同様に、ルータで終端します。 各 PPP 接続は、個別の ATM VC でカプセル化されます。 別のタイプのカプセル化を使用する VC も同じインターフェイスに設定できます。

 interface Virtual-Template1
   ip unnumbered e0/0
   ppp authentication chap
interface ATM2/0.2 point-to-point atm pvc 34 34 34 aal5ppp virtual-template 1

バーチャル プロファイル

バーチャル プロファイルは、独特の PPP アプリケーションで、ルータにダイヤルするユーザごとにコンフィギュレーション情報を定義して適用します。 バーチャル プロファイルでは、コールのダイヤルに使用されたメディアの種類に関係なく、ユーザ特定のコンフィギュレーション情報が適用されます。 バーチャル プロファイルのコンフィギュレーション情報は、バーチャル インターフェイス テンプレートか AAA サーバに格納されたユーザごとのコンフィギュレーション情報、またはその両方から取得されます。これは、ルータと AAA サーバの設定方法によって異なります。 バーチャル プロファイルのアプリケーションは、VPDN ホームゲートウェイ、またはマルチシャーシ環境内のシングルボックス環境にあります。

バーチャル プロファイルのコンフィギュレーション ソースとしてバーチャル テンプレートを定義する手順は次のとおりです。

 virtual-profile virtual-template 1
   int virtual-template 1
   ip unnum e0
   encap ppp
   ppp authen chap
   :
 

バーチャル プロファイルのコンフィギュレーション ソースとして AAA を定義する手順は次のとおりです。

 virtual-profile aaa
 

この例では、システム管理者が John にアドバタイズされるルートをフィルタリングすることと、Rick のダイヤルイン接続にアクセス リストを適用することを決定しています。 John または Rick がインターフェイス S1 または BRI 0 でダイヤルして認証すると、バーチャル プロファイルが作成されます。 ルート フィルタが John に適用され、アクセス リストが Rick に適用されます。

John と Rick の AAA 構成:

 john Password = ``welcome''
        User-Service-Type = Framed-User,
        Framed-Protocol = PPP,
            cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
            cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
            cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
            cisco-avpair = ``ip:rte-fltr-out#5=permit any''
   rick Password = ``emoclew''
        User-Service-Type = Framed-User,
        Framed-Protocol = PPP,
            cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
            cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
            cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
            cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''
 

端的に言うと、AAA cisco-avpairs には、特定のユーザに適用される Cisco IOS のインターフェイスごとのコマンドが含まれています。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報