このドキュメントでは、Cisco IOS® のバーチャル アクセス PPP アプリケーション全体のアーキテクチャについて説明します。特定の機能の詳細については、「用語集」の終わりの一覧にあるドキュメントを参照してください。
ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。
このドキュメントに関しては個別の前提条件はありません。
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。
このマニュアルの情報は、特定のラボ環境に置かれたデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのようなコマンドについても、使用前にその潜在的な影響について確実に理解しておく必要があります。
このドキュメント内で使用されている用語は次のとおりです。
アクセスサーバ:リモートアクセスを提供するISDNおよび非同期インターフェイスを含むCiscoアクセスサーバプラットフォーム。
L2F:レイヤ2フォワーディングプロトコル(実験的ドラフトRFC)。 マルチシャーシ MP(MMP)、およびバーチャル プライベート ネットワーク(VPN)双方の基礎となるリンクレベル テクノロジーです。
リンク:システムによって提供される接続ポイント。専用のハードウェア インターフェイス(非同期インターフェイスなど)、あるいは、マルチチャンネル ハードウェア インターフェイスのチャンネル(PRI や BRI など)です。
MP:マルチリンクPPPプロトコル(RFC 1717を参照)。
マルチシャーシMP:MP + SGBP + L2F + Vtemplate
PPP:Point-to-Point Protocol(PPP)(RFC 1331を参照)。
ロータリーグループ:ダイヤルアウトまたはコール受信用に割り当てられた物理インターフェイスのグループ。このグループは、外部にダイヤルしたりコールを受信したりするためのリンクのプールのような役割を果たします。
SGBP:Stack Group Bidding Protocol(スタックグループビディングプロトコル)
スタックグループ:グループとして動作し、異なるシステム上のリンクでMPバンドルをサポートするように設定される、2つ以上のシステムの集合。
VPDN:仮想プライベートダイヤルアップネットワーク。Internet Service Provider(ISP; インターネット サービス プロバイダー)からホーム ゲートウェイへの PPP リンクを転送します。
Vtemplate:仮想テンプレートインターフェイス。
注:このドキュメントで参照されているRFCについては、製品速報の「Cisco IOSリリース11.2でサポートされているRFC」またはInterNICへの直接のリンクに関する「RFCとその他の標準に関するドキュメントの入手」を参照してください。
Cisco IOSリリース11.2Fでは、VPDN、マルチシャーシマルチリンク、VP、バーチャルアクセスを使用したプロトコル変換、およびPPP/ATMなどのダイヤルアップアクセス機能がサポートされています。これらの機能では、バーチャル インターフェイスを使用して、目的のマシンへ PPP を伝送します。
バーチャル アクセス インターフェイスは Cisco IOS のインターフェイスで、シリアル インターフェイスのような物理インターフェイスです。シリアル インターフェイスの設定は、シリアル インターフェイス コンフィギュレーションにあります。
#config int s0 ip unnumbered e0 encap ppp :
物理インターフェイスには、スタティックな固定設定があります。それに対して、バーチャル アクセス インターフェイスは、必要に応じて動的に作成されます(この文書の次のセクションでさまざまな使用法について説明します)。 また、必要がなくなると解放されます。したがって、バーチャル アクセス インターフェイスのコンフィギュレーション ソースは、他の方法で繋ぎとめておく必要があります。
バーチャル アクセスでは、その構成が、バーチャル テンプレート インターフェイス、RADIUS、および認証サーバの TACAC+ レコードなどを介したさまざまな方法で取得されます。後者の方法は、ユーザごとのバーチャル プロファイルと呼ばれるものです。バーチャル アクセス インターフェイスは、グローバルなバーチャル テンプレートを使用して構成できるため、1 つのバーチャル テンプレート インターフェイスから同一の設定を、さまざまなユーザのバーチャル アクセス インターフェイスに継承できます。たとえば、ネットワーク管理者は、システム上のバーチャル アクセスの全ユーザに共通の PPP 認証方法(CHAP)を定義できます。特定のユーザごとのカスタマイズされた設定に対して、ネットワーク管理者は、PAP認証などの仮想プロファイル内のユーザ固有のインターフェイスコンフィギュレーションを定義できます。バーチャル アクセス インターフェイスでは、一般的なコンフィギュレーション スキームも特定のコンフィギュレーション スキームも利用できるので、ネットワーク管理者は、インターフェイス コンフィギュレーションをすべてのユーザ共通に設定することも、個別のユーザごとに設定することも可能です。
図 1 に、userA と userB が使用する 2 種類のバーチャル アクセス インターフェイスについて説明しています。Operation 1 は、グローバルなバーチャル テンプレート インターフェイスから 2 つのバーチャル アクセス インターフェイスへのインターフェイス コンフィギュレーションの適用を示しています。Operation 2 は、個別のバーチャル プロファイルから 2 つのバーチャル アクセス インターフェイスへの、ユーザごとのインターフェイス コンフィギュレーションの適用を示しています。
このセクションでは、Cisco IOS でバーチャル アクセス インターフェイスを使用するさまざまな方法を説明します。
各アプリケーションの繰り返しテーマに気付くでしょう – それらはアプリケーションに固有の一般的な仮想テンプレートを許可します(操作1) 。 Operation 2 は、ユーザごとのバーチャル プロファイルが各ユーザに適用されています)。
マルチリンク PPP では、各リンクで受信したパケットを再構成したり、各リンクから送信するパケットを断片化するためのバンドル インターフェイスとして、バーチャル アクセス インターフェイスを使用します。バンドル インターフェイスは、そのコンフィギュレーションをマルチリンク PPP 用のバーチャル テンプレートから入手します。ネットワーク管理者がバーチャル プロファイルをイネーブルにすると、ユーザ名ごとのバーチャル プロファイルのインターフェイス コンフィギュレーションがユーザのバンドル インターフェイスに適用されます。
図 2 は、シリアル インターフェイスでマルチリンク PPP を使用した場合を示しています。ダイヤラ インターフェイスがないので、次のようにバーチャル テンプレート インターフェイスを定義します。
multilink virtual-template 1 int virtual-template 1 ip unnum e0 encap ppp ppp chap authen
任意で設定されたユーザ名ごとのバーチャル プロファイルのコンフィギュレーションが、バンドル インターフェイスに適用されます。ダイヤラインターフェイスを使用する場合、バンドルインターフェイスはパッシブインターフェイスになります。バーチャルテンプレートインターフェイスは必要ありません。
たとえば、図 3 では、マルチリンク PPP をサポートするように PRI se0:23 が構成されています。
バーチャルプロファイルが有効な場合、スキームは図2に示すように戻ることに注意してください。つまり、着信コールがダイヤラインターフェイスで受信され、バーチャルプロファイルがイネーブルになっている場合、ダイヤラからの設定元は使用されません。代わりにバンドル インターフェイスがアクティブ インターフェイスになり(図 2 を参照してください)、ここですべてのプロトコルが読み書きされます。まずバーチャル テンプレート インターフェイスが、次に特定ユーザのバーチャル プロファイルがコンフィギュレーション ソースとなります。
リンクレベルのレイヤ 2 送信(L2F)では、PPP をリモートの宛先で終端させることができます。通常、L2F を使用しない場合、ダイヤルしたクライアントと着信コールに応答した NAS 間では PPP が使用されます。L2F を使用すると、宛先ノードに PPP が投影されます。クライアントでは、PPP を介して宛先ノードに接続していると認識されています。実際には、NAS が PPP フレームを転送しています。L2F の用語では、宛先ノードはホームゲートウェイと呼ばれます。
ホームゲートウェイでは、バーチャル アクセス インターフェイスを使用して PPP リンクを終端させます。コンフィギュレーション ソースとしてバーチャル テンプレートが使用されます。バーチャル プロファイルが定義されている場合は、バーチャル アクセス インターフェイスにユーザごとのインターフェイス コンフィギュレーションが適用されます。
一般的に、L2F トンネルは UDP/IP で伝搬されます。
L2Fトンネリングテクノロジーは、現在、Cisco IOS 11.2の2つの機能、VPDN(Virtual Private Dialup Network)とMultichassis Multilink PPP(MMP)で使用されています。
VPDN では、クライアントから、直接、選択したホーム ゲートウェイにまで、プライベート ネットワークを広げることができます。たとえば、HP のモバイル ユーザ(営業担当者など)は、常にどこでも、選択した HP のホームゲートウェイに接続できる状態である必要があります。HP は、ISP に PDN をサポートしてもらう契約をします。ISP では、jsmith@hp.com が ISP が提供した番号にダイヤルすると、自動的に NAS が HP のホームゲートウェイに転送するように設定します。これによって、ISP は、HP ユーザの IP アドレス、ルーティング、その他 HP ユーザに密接した機能を管理する必要がなくなります。そして、ISP の HP 管理者では、HP ホームゲートウェイへの IP 接続の問題が軽減されます。
NAS:isp
vpdn outgoing hp.com isp ip 1.1.1.2
ホームゲートウェイ:hp-gateway
int virtual-template 1 ip unnum e0 encap ppp ppp chap authen vpdn incoming isp hp-gateway virtual-template 1
PPP マルチリンクでは、複数のリンクから形成されている論理パイプ(バンドル)でパケットを分割したり再構成することによって、必要な帯域幅を増やすことができます。これによって、低速の WAN リンクでの転送遅延が軽減され、最大受信ユニットを増やすことができます。マルチリンクは、アクセス サーバが 1 つの環境でサポートされます。
たとえば、ISP では、効率良く 1 つのロータリー番号を複数のアクセス サーバ上の複数の PRI に割り当てるため、柔軟性と拡張性が求められます。
マルチシャーシ マルチリンクでは、同一クライアントからの複数のマルチリンクを異なるアクセス サーバで終端させることができます。同一バンドルの各 MP リンクを異なるアクセス サーバで終端できるますが、MP クライアントから見ると、1 つのアクセス サーバで終端しているかのようになります。マルチシャーシと VPDN のコンポーネントの違いは、マルチリンク バンドルをビッディングおよび調停するために追加する StackGroup Bidding プロトコル(SGBP)だけです。SGBP でスタック グループの宛先 IP アドレスが決定すると、マルチシャーシでは、L2F を使用して、その NAS からスタック グループの宛先になった他方の NAS へ投影します。
たとえば、スタックグループでは、nasaとnasbという2つのNASのstackqを呼び出します。
nasa:
username stackq password hello multilink virtual-template 1 int virtual-template 1 ip unnum e0 encap ppp ppp authen chap sgbp stack stackq sgbp member nasb 1.1.1.2
nasb:
username stackq password hello multilink virtual-template 1 int virtual-template 1 ip unnum e0 encap ppp ppp authen chap sgbp stack stackq sgbp member nasb 1.1.1.2
プロトコル変換(PT)を使用すると、X.25/TCPなどのゲートウェイを通過するPPPカプセル化トラフィックを、仮想アクセスインターフェイスとして終端させることができます(2段階変換)。 バーチャル アクセス インターフェイスは、ワンステップ変換でもサポートされます。
ツーステップのプロトコル変換例:
int virtual-template 1 ip unnum e0 encap ppp ppp authen chap vty-async virtual-template 1
ワンステップのプロトコル変換例:
int virtual-template 1 ip unnum e0 encap ppp ppp authen chap translate tcp 1.1.1.1 virtual-template 1
この機能により、データがシスコの(StrataCom)フレーム転送カプセル化の形式になっている場合、ルータ ATM インターフェイスで複数の PPP 接続を終端させることができます。PPP プロトコルは、一般的な PPP シリアル インターフェイスから受信した場合と同様に、ルータで終端します。各 PPP 接続は、個別の ATM VC でカプセル化されます。別のタイプのカプセル化を使用する VC も同じインターフェイスに設定できます。
interface Virtual-Template1 ip unnumbered e0/0 ppp authentication chap interface ATM2/0.2 point-to-point atm pvc 34 34 34 aal5ppp virtual-template 1
バーチャル プロファイルは、独特の PPP アプリケーションで、ルータにダイヤルするユーザごとにコンフィギュレーション情報を定義して適用します。バーチャル プロファイルでは、コールのダイヤルに使用されたメディアの種類に関係なく、ユーザ特定のコンフィギュレーション情報が適用されます。バーチャル プロファイルのコンフィギュレーション情報は、バーチャル インターフェイス テンプレートか AAA サーバに格納されたユーザごとのコンフィギュレーション情報、またはその両方から取得されます。これは、ルータと AAA サーバの設定方法によって異なります。バーチャル プロファイルのアプリケーションは、VPDN ホームゲートウェイ、またはマルチシャーシ環境内のシングルボックス環境にあります。
バーチャル プロファイルのコンフィギュレーション ソースとしてバーチャル テンプレートを定義する手順は次のとおりです。
virtual-profile virtual-template 1 int virtual-template 1 ip unnum e0 encap ppp ppp authen chap :
バーチャル プロファイルのコンフィギュレーション ソースとして AAA を定義する手順は次のとおりです。
virtual-profile aaa
この例では、システム管理者が John にアドバタイズされるルートをフィルタリングすることと、Rick のダイヤルイン接続にアクセス リストを適用することを決定しています。JohnまたはRickがインターフェイスS1またはBRI 0を介してダイヤルインして認証すると、仮想プロファイルが作成され、ルートフィルタがJohnに適用され、アクセスリストがRickに適用されます。
John と Rick の AAA 構成:
john Password = ``welcome'' User-Service-Type = Framed-User, Framed-Protocol = PPP, cisco-avpair = ``ip:rte-fltr-out#0=router igrp 60'', cisco-avpair = ``ip:rte-fltr-out#3=deny 171.0.0.0 0.255.255.255'', cisco-avpair = ``ip:rte-fltr-out#4=deny 172.0.0.0 0.255.255.255'', cisco-avpair = ``ip:rte-fltr-out#5=permit any'' rick Password = ``emoclew'' User-Service-Type = Framed-User, Framed-Protocol = PPP, cisco-avpair = ``ip:inacl#3=permit ip any any precedence immediate'', cisco-avpair = ``ip:inacl#4=deny igrp 0.0.1.2 255.255.0.0 any'', cisco-avpair = ``ip:outacl#2=permit ip any any precedence immediate'', cisco-avpair = ``ip:outacl#3=deny igrp 0.0.9.10 255.255.0.0 any''
AAA cisco-avpairs に、特定のユーザに適用される Cisco IOS のインターフェイスごとのコマンドが含まれています。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
14-Dec-2001 |
初版 |