Cisco IOS のバーチャルアクセス PPP 機能

ダウンロード オプション

  • PDF     (380.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (84.4 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (73.7 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 10 月 22 日
Document ID:14943

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

はじめに

このドキュメントでは、Cisco IOS® のバーチャル アクセス PPP アプリケーション全体のアーキテクチャについて説明します。特定の機能の詳細については、「用語集」の終わりの一覧にあるドキュメントを参照してください。

はじめる前に

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

前提条件

このドキュメントに関しては個別の前提条件はありません。

使用するコンポーネント

このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

このマニュアルの情報は、特定のラボ環境に置かれたデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、使用前にその潜在的な影響について確実に理解しておく必要があります。

用語集

このドキュメント内で使用されている用語は次のとおりです。

  • アクセスサーバ:リモートアクセスを提供するISDNおよび非同期インターフェイスを含むCiscoアクセスサーバプラットフォーム。

  • L2F:レイヤ2フォワーディングプロトコル(実験的ドラフトRFC)。 マルチシャーシ MP(MMP)、およびバーチャル プライベート ネットワーク(VPN)双方の基礎となるリンクレベル テクノロジーです。

  • リンク:システムによって提供される接続ポイント。専用のハードウェア インターフェイス(非同期インターフェイスなど)、あるいは、マルチチャンネル ハードウェア インターフェイスのチャンネル(PRI や BRI など)です。

  • MP:マルチリンクPPPプロトコル(RFC 1717を参照)。

  • マルチシャーシMP:MP + SGBP + L2F + Vtemplate

  • PPP:Point-to-Point Protocol(PPP)(RFC 1331を参照)。

  • ロータリーグループ:ダイヤルアウトまたはコール受信用に割り当てられた物理インターフェイスのグループ。このグループは、外部にダイヤルしたりコールを受信したりするためのリンクのプールのような役割を果たします。

  • SGBP:Stack Group Bidding Protocol(スタックグループビディングプロトコル)

  • スタックグループ:グループとして動作し、異なるシステム上のリンクでMPバンドルをサポートするように設定される、2つ以上のシステムの集合。

  • VPDN:仮想プライベートダイヤルアップネットワーク。Internet Service Provider(ISP; インターネット サービス プロバイダー)からホーム ゲートウェイへの PPP リンクを転送します。

  • Vtemplate:仮想テンプレートインターフェイス。

注:このドキュメントで参照されているRFCについては、製品速報の「Cisco IOSリリース11.2でサポートされているRFC」またはInterNICへの直接のリンクに関する「RFCとその他の標準に関するドキュメントの入手」を参照してください。

仮想アクセスインターフェイスの概要

Cisco IOSリリース11.2Fでは、VPDN、マルチシャーシマルチリンク、VP、バーチャルアクセスを使用したプロトコル変換、およびPPP/ATMなどのダイヤルアップアクセス機能がサポートされています。これらの機能では、バーチャル インターフェイスを使用して、目的のマシンへ PPP を伝送します。

バーチャル アクセス インターフェイスは Cisco IOS のインターフェイスで、シリアル インターフェイスのような物理インターフェイスです。シリアル インターフェイスの設定は、シリアル インターフェイス コンフィギュレーションにあります。 

#config
  int s0
  ip unnumbered e0
  encap ppp
  :

物理インターフェイスには、スタティックな固定設定があります。それに対して、バーチャル アクセス インターフェイスは、必要に応じて動的に作成されます(この文書の次のセクションでさまざまな使用法について説明します)。 また、必要がなくなると解放されます。したがって、バーチャル アクセス インターフェイスのコンフィギュレーション ソースは、他の方法で繋ぎとめておく必要があります。

バーチャル アクセスでは、その構成が、バーチャル テンプレート インターフェイス、RADIUS、および認証サーバの TACAC+ レコードなどを介したさまざまな方法で取得されます。後者の方法は、ユーザごとのバーチャル プロファイルと呼ばれるものです。バーチャル アクセス インターフェイスは、グローバルなバーチャル テンプレートを使用して構成できるため、1 つのバーチャル テンプレート インターフェイスから同一の設定を、さまざまなユーザのバーチャル アクセス インターフェイスに継承できます。たとえば、ネットワーク管理者は、システム上のバーチャル アクセスの全ユーザに共通の PPP 認証方法(CHAP)を定義できます。特定のユーザごとのカスタマイズされた設定に対して、ネットワーク管理者は、PAP認証などの仮想プロファイル内のユーザ固有のインターフェイスコンフィギュレーションを定義できます。バーチャル アクセス インターフェイスでは、一般的なコンフィギュレーション スキームも特定のコンフィギュレーション スキームも利用できるので、ネットワーク管理者は、インターフェイス コンフィギュレーションをすべてのユーザ共通に設定することも、個別のユーザごとに設定することも可能です。

figure1-va.gif

図 1 に、userA と userB が使用する 2 種類のバーチャル アクセス インターフェイスについて説明しています。Operation 1 は、グローバルなバーチャル テンプレート インターフェイスから 2 つのバーチャル アクセス インターフェイスへのインターフェイス コンフィギュレーションの適用を示しています。Operation 2 は、個別のバーチャル プロファイルから 2 つのバーチャル アクセス インターフェイスへの、ユーザごとのインターフェイス コンフィギュレーションの適用を示しています。

仮想アクセスインターフェイスのアプリケーション

このセクションでは、Cisco IOS でバーチャル アクセス インターフェイスを使用するさまざまな方法を説明します。

各アプリケーションの繰り返しテーマに気付くでしょう – それらはアプリケーションに固有の一般的な仮想テンプレートを許可します(操作1) 。 Operation 2 は、ユーザごとのバーチャル プロファイルが各ユーザに適用されています)。

マルチリンク PPP

マルチリンク PPP では、各リンクで受信したパケットを再構成したり、各リンクから送信するパケットを断片化するためのバンドル インターフェイスとして、バーチャル アクセス インターフェイスを使用します。バンドル インターフェイスは、そのコンフィギュレーションをマルチリンク PPP 用のバーチャル テンプレートから入手します。ネットワーク管理者がバーチャル プロファイルをイネーブルにすると、ユーザ名ごとのバーチャル プロファイルのインターフェイス コンフィギュレーションがユーザのバンドル インターフェイスに適用されます。

figure2-va.gif

図 2 は、シリアル インターフェイスでマルチリンク PPP を使用した場合を示しています。ダイヤラ インターフェイスがないので、次のようにバーチャル テンプレート インターフェイスを定義します。

multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

任意で設定されたユーザ名ごとのバーチャル プロファイルのコンフィギュレーションが、バンドル インターフェイスに適用されます。ダイヤラインターフェイスを使用する場合、バンドルインターフェイスはパッシブインターフェイスになります。バーチャルテンプレートインターフェイスは必要ありません。

たとえば、図 3 では、マルチリンク PPP をサポートするように PRI se0:23 が構成されています。

figure3-va.gif

バーチャルプロファイルが有効な場合、スキームは図2に示すように戻ることに注意してください。つまり、着信コールがダイヤラインターフェイスで受信され、バーチャルプロファイルがイネーブルになっている場合、ダイヤラからの設定元は使用されません。代わりにバンドル インターフェイスがアクティブ インターフェイスになり(図 2 を参照してください)、ここですべてのプロトコルが読み書きされます。まずバーチャル テンプレート インターフェイスが、次に特定ユーザのバーチャル プロファイルがコンフィギュレーション ソースとなります。

L2F

リンクレベルのレイヤ 2 送信(L2F)では、PPP をリモートの宛先で終端させることができます。通常、L2F を使用しない場合、ダイヤルしたクライアントと着信コールに応答した NAS 間では PPP が使用されます。L2F を使用すると、宛先ノードに PPP が投影されます。クライアントでは、PPP を介して宛先ノードに接続していると認識されています。実際には、NAS が PPP フレームを転送しています。L2F の用語では、宛先ノードはホームゲートウェイと呼ばれます。

ホームゲートウェイでは、バーチャル アクセス インターフェイスを使用して PPP リンクを終端させます。コンフィギュレーション ソースとしてバーチャル テンプレートが使用されます。バーチャル プロファイルが定義されている場合は、バーチャル アクセス インターフェイスにユーザごとのインターフェイス コンフィギュレーションが適用されます。

一般的に、L2F トンネルは UDP/IP で伝搬されます。

figure4-va.gif

L2Fトンネリングテクノロジーは、現在、Cisco IOS 11.2の2つの機能、VPDN(Virtual Private Dialup Network)とMultichassis Multilink PPP(MMP)で使用されています。

VPDN

VPDN では、クライアントから、直接、選択したホーム ゲートウェイにまで、プライベート ネットワークを広げることができます。たとえば、HP のモバイル ユーザ(営業担当者など)は、常にどこでも、選択した HP のホームゲートウェイに接続できる状態である必要があります。HP は、ISP に PDN をサポートしてもらう契約をします。ISP では、jsmith@hp.com が ISP が提供した番号にダイヤルすると、自動的に NAS が HP のホームゲートウェイに転送するように設定します。これによって、ISP は、HP ユーザの IP アドレス、ルーティング、その他 HP ユーザに密接した機能を管理する必要がなくなります。そして、ISP の HP 管理者では、HP ホームゲートウェイへの IP 接続の問題が軽減されます。

NAS:isp 

  vpdn outgoing hp.com isp ip 1.1.1.2

ホームゲートウェイ:hp-gateway 

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp chap authen

  vpdn incoming isp hp-gateway virtual-template 1

マルチシャーシ

PPP マルチリンクでは、複数のリンクから形成されている論理パイプ(バンドル)でパケットを分割したり再構成することによって、必要な帯域幅を増やすことができます。これによって、低速の WAN リンクでの転送遅延が軽減され、最大受信ユニットを増やすことができます。マルチリンクは、アクセス サーバが 1 つの環境でサポートされます。

たとえば、ISP では、効率良く 1 つのロータリー番号を複数のアクセス サーバ上の複数の PRI に割り当てるため、柔軟性と拡張性が求められます。

マルチシャーシ マルチリンクでは、同一クライアントからの複数のマルチリンクを異なるアクセス サーバで終端させることができます。同一バンドルの各 MP リンクを異なるアクセス サーバで終端できるますが、MP クライアントから見ると、1 つのアクセス サーバで終端しているかのようになります。マルチシャーシと VPDN のコンポーネントの違いは、マルチリンク バンドルをビッディングおよび調停するために追加する StackGroup Bidding プロトコル(SGBP)だけです。SGBP でスタック グループの宛先 IP アドレスが決定すると、マルチシャーシでは、L2F を使用して、その NAS からスタック グループの宛先になった他方の NAS へ投影します。

たとえば、スタックグループでは、nasanasbという2つのNASのstackqを呼び出します。

nasa: 

  username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

nasb: 

username stackq password hello
  multilink virtual-template 1

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  sgbp stack stackq
  sgbp member nasb 1.1.1.2

プロトコル変換

プロトコル変換(PT)を使用すると、X.25/TCPなどのゲートウェイを通過するPPPカプセル化トラフィックを、仮想アクセスインターフェイスとして終端させることができます(2段階変換)。 バーチャル アクセス インターフェイスは、ワンステップ変換でもサポートされます。

ツーステップのプロトコル変換例: 

  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  vty-async virtual-template 1

ワンステップのプロトコル変換例: 

int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap

  translate tcp 1.1.1.1 virtual-template 1

PPP over ATM

この機能により、データがシスコの(StrataCom)フレーム転送カプセル化の形式になっている場合、ルータ ATM インターフェイスで複数の PPP 接続を終端させることができます。PPP プロトコルは、一般的な PPP シリアル インターフェイスから受信した場合と同様に、ルータで終端します。各 PPP 接続は、個別の ATM VC でカプセル化されます。別のタイプのカプセル化を使用する VC も同じインターフェイスに設定できます。 

interface Virtual-Template1
  ip unnumbered e0/0
  ppp authentication chap

  interface ATM2/0.2 point-to-point
  atm pvc 34 34 34 aal5ppp virtual-template 1

仮想プロファイル

バーチャル プロファイルは、独特の PPP アプリケーションで、ルータにダイヤルするユーザごとにコンフィギュレーション情報を定義して適用します。バーチャル プロファイルでは、コールのダイヤルに使用されたメディアの種類に関係なく、ユーザ特定のコンフィギュレーション情報が適用されます。バーチャル プロファイルのコンフィギュレーション情報は、バーチャル インターフェイス テンプレートか AAA サーバに格納されたユーザごとのコンフィギュレーション情報、またはその両方から取得されます。これは、ルータと AAA サーバの設定方法によって異なります。バーチャル プロファイルのアプリケーションは、VPDN ホームゲートウェイ、またはマルチシャーシ環境内のシングルボックス環境にあります。

バーチャル プロファイルのコンフィギュレーション ソースとしてバーチャル テンプレートを定義する手順は次のとおりです。 

virtual-profile virtual-template 1
  int virtual-template 1
  ip unnum e0
  encap ppp
  ppp authen chap
  :

バーチャル プロファイルのコンフィギュレーション ソースとして AAA を定義する手順は次のとおりです。

virtual-profile aaa

この例では、システム管理者が John にアドバタイズされるルートをフィルタリングすることと、Rick のダイヤルイン接続にアクセス リストを適用することを決定しています。JohnまたはRickがインターフェイスS1またはBRI 0を介してダイヤルインして認証すると、仮想プロファイルが作成され、ルートフィルタがJohnに適用され、アクセスリストがRickに適用されます。

John と Rick の AAA 構成: 

john Password = ``welcome''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'',
           cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'',
           cisco-avpair = ``ip:rte-fltr-out#5=permit any''
  rick Password = ``emoclew''
       User-Service-Type = Framed-User,
       Framed-Protocol = PPP,
           cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'',
           cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'',
           cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''

AAA cisco-avpairs に、特定のユーザに適用される Cisco IOS のインターフェイスごとのコマンドが含まれています。

更新履歴

改定 発行日 コメント
1.0
14-Dec-2001
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています