目次- 早期WAN技術の概要
- WANとは
- WANとLANの違い
- 早期WAN技術の紹介
- WANネットワークデバイスの役割
- 早期WAN技術の応用
- PPPプロトコルの原理と設定
- PPPプロトコルの概要
- PPPリンク確立プロセス
- PPPリンクインターフェース状態機械
- LCPメッセージ形式
- LCPネゴシエーションプロセス
- PPP認証モード - PAP
- PPP認証モード - CHAP
- NCPネゴシエーション
- PPP基本設定コマンド
- 設定例 - PAP認証
- 設定例 - CHAP認証
- PPPoEの原理と設定
- PPPoEの概要
- PPPoEとは
- PPPoEの応用シナリオ
- PPPoEセッション確立
- PPPoEメッセージ
- PPPoE発見段階
- PPPoEセッション段階
- PPPoEセッション終了段階
- PPPoE基本設定
- 設定例 - PPPoEクライアント
- 設定例 - PPPoEサーバー側
- 設定検証
経済のグローバル化とデジタル変革の加速に伴い、企業規模は拡大し続け、異なる地域に多くの支社が現れています。各支社のネットワークはLAN(Local Area Network、ローカルエリアネットワーク)と見なされますが、本社と各支社間の通信は地理的な位置関係を越える必要があります。そのため、企業はこれらの地理的に分散した支社を接続するためにWAN(Wide Area Network、ワイドエリアネットワーク)を通じて、より良いビジネス展開のために使用する必要があります。
WAN技術の発展は、帯域幅の継続的なアップグレードとともに進化してきました:初期のX.25は64 kbit/sの帯域幅しか提供できませんでしたが、その後のDDN(Digital Data Network、デジタルデータネットワーク)とFR(Frame Relay、フレームリレー)は帯域幅を2 Mbit/sに向上させ、SDH(Synchronous Digital Hierarchy、同期デジタル階層)とATM(Asynchronous Transfer Mode、非同期転送モード)はさらに帯域幅を10 Gbit/sに引き上げ、最終的に現在のIPベースの10 Gbit/s以上の帯域幅を持つWANネットワークに発展しました。
早期WAN技術の概要
WANとは
WANは異なる地域のLANを接続するネットワークであり、通常カバーする範囲は数十キロメートルから数千キロメートルに及びます。それは複数の地域、都市、国を接続し、または複数の大陸をまたいで長距離通信を提供し、国際的なリモートネットワークを形成します。
WANとLANの違い
LANは地理的なエリアをカバーする比較的小さなコンピュータネットワークです。 WANはISPネットワークをレンタルするか、または専用ネットワークを自前で構築することによって、より広い地理的なエリアをカバーするコンピュータネットワークです。
早期WAN技術の紹介
早期のWANとLANの違いは、データリンク層と物理層の相違性にあります。TCP/IP参照モデルでは、他の各層に差異はありません。
WANネットワークデバイスの役割
WANネットワークデバイスの基本的な役割は3種類あり、CE(Customer Edge、顧客エッジデバイス)、PE(Provider Edge、プロバイダーエッジデバイス)、P(Provider、プロバイダーデバイス)です。具体的な定義は: CE:顧客側がプロバイダーに接続するエッジデバイス。CEは1つまたは複数のPEに接続し、ユーザー接続を実現します。 PE:プロバイダーがCEに接続するエッジデバイス。PEは同時にCEとPデバイスに接続し、重要なネットワークノードです。 P:プロバイダーがCEに接続しないデバイス。
早期WAN技術の応用
早期のWAN技術は主に異なる物理リンクタイプに対応し、データリンク層で異なる2層のカプセル化を行います。CEとPEの間では、ユーザーがWANに長距離伝送する問題を解決するために、PPP/HDLC/FRなどのWANカプセル化プロトコルが一般的に使用されます。ISP内部では、主にATMが使用され、骨干ネットワークの高速転送の問題を解決します。
PPPプロトコルの原理と設定
PPPプロトコルの概要
PPP(Point-to-Point Protocol、ポイントツーポイントプロトコル)は一般的なWANデータリンク層プロトコルであり、主に全二重リンク上でポイントツーポイントのデータ転送カプセル化を行います。 PPPはセキュリティ認証プロトコルファミリーPAP(Password Authentication Protocol、パスワード認証プロトコル)とCHAP(Challenge Handshake Authentication Protocol、チャレンジハンドシェイク認証プロトコル)を提供します。 PPPプロトコルは優れた拡張性を持ち、例えば、イーサネットリンク上でPPPプロトコルを担持する必要がある場合、PPPはPPPoEに拡張できます。 PPPプロトコルはLCP(Link Control Protocol、リンクコントロールプロトコル)を提供し、最大受信ユニット、認証モードなどの様々なリンク層パラメータのネゴシエーションに使用されます。 PPPプロトコルは様々なNCP(Network Control Protocol、ネットワークコントロールプロトコル)、例えばIPCP(IP Control Protocol、IPコントロールプロトコル)などを提供し、ネットワーク層プロトコルのサポートをより良くするためにネットワーク層パラメータのネゴシエーションを行います。
PPPリンク確立プロセス
PPPリンクの確立には3段階のネゴシエーションプロセスがあります:リンク層ネゴシエーション、認証ネゴシエーション(オプション)、ネットワーク層ネゴシエーション。 リンク層ネゴシエーション:LCPメッセージを通じてリンクパラメータをネゴシエーションし、リンク層接続を確立します。 認証ネゴシエーション(オプション):リンク確立段階でネゴシエーションされた認証方法を使用してリンク認証を行います。 ネットワーク層ネゴシエーション:NCPネゴシエーションを通じてネットワーク層プロトコルを選択し、ネットワーク層パラメータをネゴシエーションします。
PPPリンクインターフェース状態機械
PPPネゴシエーションはリンク両端のインターフェースによって完了します。インターフェースの状態はプロトコルのネゴシエーション段階を示します。
LCPメッセージ形式
PPPメッセージはProtocolフィールドによって異なるタイプのPPPメッセージを識別できます。例えば、Protocolフィールドが0xC021の場合、LCPメッセージを表します。このとき、Codeフィールドによって異なるタイプのLCPメッセージが識別されます。
LCPネゴシエーションプロセス
LCPネゴシエーションプロセス - 正常なネゴシエーション LCPネゴシエーションは異なるLCPメッセージのやり取りによって完了します。ネゴシエーションは任意の一方がConfigure-Requestメッセージを送信することによって開始されます。もし相手がこのメッセージを受信し、パラメータが一致すれば、Configure-Ackで応答し、ネゴシエーションが成功したことを示します。
LCPネゴシエーションプロセス - パラメータの不一致 LCPメッセージのやり取り中出现LCPパラメータの不一致が発生した場合、受信側はConfigure-Nakで応答し、相手にパラメータを修正して再ネゴシエーションするよう通知します。
LCPネゴシエーションプロセス - パラメータの不認識 LCPメッセージのやり取り中出现LCPパラメータの不認識が発生した場合、受信側はConfigure-Rejectで応答し、相手に不認識のパラメータを削除して再ネゴシエーションするよう通知します。
PPP認証モード - PAP
リンクネゴシエーションが成功した後、認証ネゴシエーション(このプロセスはオプション)が行われます。認証ネゴシエーションには2つのモードがあります:PAPとCHAP。 PAP認証には双方で2回のハンドシェイクがあります。ネゴシエーションメッセージは平文の形式でリンク上を転送されます。
PPP認証モード - CHAP
CHAP認証には双方で3回のハンドシェイクがあります。ネゴシエーションメッセージは暗号化された後にリンク上を転送されます。
NCPネゴシエーション
NCPネゴシエーション - 静的IPアドレスネゴシエーション PPP認証ネゴシエーションの後、両方はNCPネゴシエーション段階に入り、データリンク上で転送されるデータパケットの形式とタイプをネゴシエーションします。一般的なIPCPプロトコルを例に取ると、それは静的IPアドレスネゴシエーションと動的IPアドレスネゴシエーションに分かれます。 静的IPアドレスネゴシエーションは、リンク両端で手動でIPアドレスを設定する必要があります。
NCPネゴシエーション - 動的IPアドレスネゴシエーション 動的IPアドレスネゴシエーションは、PPPリンクの一端が相手にIPアドレスを設定することをサポートします。
PPP基本設定コマンド
- インターフェースのPPPプロトコルカプセル化設定
[Huawei-Serial0/0/0] link-protocol pppインターフェースビューで、インターフェースカプセル化プロトコルをpppに変更します。华为のシリアルインターフェースのデフォルトカプセル化プロトコルはpppです。 - ネゴシエーションタイムアウト時間間隔の設定
[Huawei-Serial0/0/0] ppp timer negotiate secondsPPP LCPネゴシエーションプロセス中、本端デバイスは相手デバイスにLCPネゴシエーションメッセージを送信します。指定されたネゴシエーション時間間隔内に相手からの応答メッセージが受信されない場合、再送信します。
PAP認証設定コマンド
- 検証側がPAP方式で相手を認証する設定
[Huawei-aaa] local-user user-name password { cipher | irreversible-cipher } password
[Huawei-aaa] local-user user-name service-type ppp
[Huawei-Serial0/0/0] ppp authentication-mode pap
検証側がPAP方式で相手を認証するには、まずAAAを通じて検証対象のユーザー名とパスワードをローカルユーザーリストに追加し、次に認証モードを選択します。
2.検証対象がPAP方式で相手に認証される設定
[Huawei-Serial0/0/0] ppp pap local-user user-name password { cipher | simple } password
ローカルが相手にPAP方式で検証される場合、ローカルはPAPユーザー名とパスワードを送信します。
CHAP認証設定コマンド
- 検証側がCHAP方式で相手を認証する設定
[Huawei-Serial0/0/0] ppp authentication-mode chap - 検証対象がCHAP方式で相手に認証される設定
[Huawei-Serial0/0/0] ppp chap user user-nameローカルユーザー名を設定し、ローカルが相手にCHAP方式で検証される場合のパスワードを設定します。
設定例 - PAP認証
実験要件:
- R1とR2間のPPPリンクでPAP認証機能を有効にします;
- R1を認証側として設定します;
- R2を検証対象として設定します。
R1の設定は以下の通り:
#検証対象ユーザー情報の追加
[R1-aaa]local-user testuser password cipher testpass123
[R1-aaa]local-user testuser service-type ppp
#認証ユーザー業務タイプの指定
[R1]interface Serial 1/0/0
[R1-Serial1/0/0]link-protocol ppp
[R1-Serial1/0/0]ppp authentication-mode pap
#認証モードをPAPに指定
[R1-Serial1/0/0]ip address 10.1.1.1 30
R2の設定は以下の通り:
[R2]interface Serial 1/0/0
[R2-Serial1/0/0]link-protocol ppp
[R2-Serial1/0/0]ppp pap local-user testuser password cipher testpass123 #PPP認証のユーザー情報を追加
[R2-Serial1/0/0]ip address 10.1.1.2 30
設定例 - CHAP認証
実験要件:
- R1とR2間のPPPリンクでCHAP認証機能を有効にします;
- R1を認証側として設定します;
- R2を検証対象として設定します。
R1の設定は以下の通り:
[R1]aaa
#検証対象ユーザー情報の追加
[R1-aaa]local-user testuser password cipher testpass123
[R1-aaa]local-user testuser service-type ppp
#認証ユーザー業務タイプの指定
[R1]interface Serial 1/0/0
[R1-Serial1/0/0]link-protocol ppp
[R1-Serial1/0/0]ppp authentication-mode chap
#認証モードをCHAPに指定
R2の設定は以下の通り:
[R2]interface Serial 1/0/0
[R2-Serial1/0/0]link-protocol ppp
[R2-Serial1/0/0]ppp chap user testuser
[R2-Serial1/0/0]ppp chap password cipher testpass123
#PPP認証のユーザー情報を追加
PPPoEの原理と設定
PPPoEの概要
PPPoEとは
PPPoE(PPP over Ethernet、イーサネット上のPPPプロトコル)はPPPフレームをイーサネットフレームにカプセル化するリンク層プロトコルです。PPPoEはイーサネットネットワーク内の複数のホストがリモートのブロードバンドアクセスサーバーに接続できるようにします。 PPPoEはPPPとEthernetの両方の技術の利点を集約しています。イーサネットの柔軟なネットワーク構成の利点を持ちながら、PPPプロトコルを使用して認証、課金などの機能を実現できます。
PPPoEの応用シナリオ
PPPoEはイーサネット上でポイントツーポイントの接続を提供します。PPPoEクライアントとPPPoEサーバー間でPPPセッションを確立し、PPPデータパケットをカプセル化し、イーサネット上のホストにアクセスサービスを提供し、ユーザーコントロールと課金を実現します。企業ネットワークとオペレーターネットワークで広く応用されています。 PPPoEの一般的な応用シナリオには、家庭ユーザーのダイヤルアップ接続、企業ユーザーのダイヤルアップ接続などがあります。
PPPoEセッション確立
PPPoEセッションの確立には3つの段階があります:PPPoE発見段階、PPPoEセッション段階、PPPoE終了段階。
PPPoEメッセージ
• PPPoEセッションの確立は異なるPPPoEメッセージのやり取りによって実現されます。PPPoEメッセージの構造と一般的なメッセージタイプは以下の通りです:
PPPoE発見段階
PPPoEプロトコルの発見には4つのステップがあります:クライアントがリクエストを送信、サーバーがリクエストに応答、クライアントが応答を確認、セッションを確立。
PPPoEセッション段階
PPPoEセッション段階ではPPPネゴシエーションが行われ、LCPネゴシエーション、認証ネゴシエーション、NCPネゴシエーションの3つの段階に分かれます。
PPPoEセッション終了段階
PPPoEクライアントが接続を閉じたい場合、PPPoEサーバーにPADTメッセージを送信して接続を閉じます。 同様に、PPPoEサーバーが接続を閉じたい場合も、PPPoEクライアントにPADTメッセージを送信して接続を閉じます。
PPPoE基本設定
- ダイヤルルールを通じてPPPoEセッションを開始する条件を設定します
[Huawei] dialer-rule - ダイヤルインターフェースのユーザー名を設定します。このユーザー名は相手サーバーのユーザー名と一致する必要があります
[Huawei-Dialer1]dialer user username - インターフェースをダイヤルアクセスグループに配置します
[Huawei-Dialer1]dialer-group group-number - 現在のダイヤルインターフェースが使用するダイヤルバインディングを指定します
[Huawei-Dialer1]dialer bundle number - 物理ポートとdialer-bundleをバインドします
[Huawei-Ethernet0/0/0]pppoe-client dial-bundle-number number
設定例 - PPPoEクライアント
実験要件:
-
R1をPPPoEクライアント、R2をPPPoEサーバーとして設定します;
-
R1上でPPPoEクライアントダイヤルインターフェースを設定します;
-
R1上でPPPoEクライアントダイヤルインターフェースの認証機能を設定します;
-
R1のダイヤルインターフェースはPPPoEサーバーから割り当てられたIPアドレスを取得します;
-
R1はダイヤルインターフェースを通じてサーバーにアクセスできます。
-
ダイヤルインターフェースを作成し、検証対象のユーザー名とパスワードを設定します:
[R1]dialer-rule
[R1-dialer-rule]dialer-rule 1 ip permit
[R1-dialer-rule]quit
[R1]interface dialer 1
[R1-Dialer1] dialer user clientuser
[R1-Dialer1] dialer-group 1
[R1-Dialer1] dialer bundle 1
[R1-Dialer1] ppp chap user clientuser@huawei
[R1-Dialer1] ppp chap password cipher clientpass123
[R1-Dialer1] ip address ppp-negotiate
- ダイヤルインターフェースを送信インターフェースにバインドします:
[R1]interface GigabitEthernet 0/0/1
[R1-GigabitEthernet0/0/1]pppoe-client dial-bundle-number 1
[R1-GigabitEthernet0/0/1]quit
- 本端からサーバーへのデフォルトルートを設定します:
[R1]ip route-static 0.0.0.0 0.0.0.0 dialer 1
設定例 - PPPoEサーバー側
実験要件:
- PPPoEサーバー上でクライアントにIPを割り当てるためのアドレスプールを作成します;
- PPPoEサーバーはPPPoEクライアントの認証を完了し、合法的なIPアドレスを割り当てます。
[R2]ip pool serverpool
[R2]interface Virtual-Template 1
[R2]aaa
- アドレスプールと仮想テンプレートを作成します:
#アドレスプールを作成し、割り当てるIPアドレスとゲートウェイを指定します
[R2-ip-pool-serverpool]network 192.168.1.0 mask 255.255.255.0
[R2-ip-pool-serverpool]gateway-list 192.168.1.254
#仮想テンプレートインターフェースを作成します
[R2-Virtual-Template1]ppp authentication-mode chap
[R2-Virtual-Template1]ip address 192.168.1.254 255.255.255.0
[R2-Virtual-Template1]remote address pool serverpool
- 物理インターフェースと仮想テンプレートをバインドします:
[R2]interface GigabitEthernet 0/0/0
[R2-GigabitEthernet0/0/0]pppoe-server bind virtual-template 1
[R2-GigabitEthernet0/0/0]quit
- アクセスユーザーを作成します:
#認証ユーザー情報を追加します
[R2-aaa]local-user serveruser password cipher serverpass123
[R2-aaa]local-user serveruser service-type ppp
設定検証
1、ダイヤルインターフェースの詳細情報を表示します
<R1>display interface Dialer 1
Dialer1 current state: UP
Line protocol current state: UP (spoofing)
Description: HUAWEI, AR Series, Dialer1 Interface
Route Port, The Maximum Transmit Unit is 1500, Hold timer is
10(sec)
Internet Address is negotiated, 192.168.10.254/32
Link layer protocol is PPP
LCP initial
Physical is Dialer
Bound to Dialer1:0:
Dialer1:0 current state : UP
Line protocol current state : UP
Link layer protocol is PPP
LCP opened, IPCP opened
2、PPPoEクライアントセッションの初期状態情報を表示します
[R1]display pppoe-client session summary
PPPoE Client Session:
ID Bundle Dialer Intf Client-MAC Server-MAC State
0 1 1 GE0/0/1 54899876830c 000000000000 IDLE
3、PPPoEクライアントセッションの確立状態情報を表示します
[R1]display pppoe-client session summary
PPPoE Client Session:
ID Bundle Dialer Intf Client-MAC Server-MAC State
1 1 1 GE0/0/1 00e0fc0308f6 00e0fc036781 UP