Cisco 800 シリーズ ソフトウェア コンフィギュレーション ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月28日
章のタイトル: 概要
概要
この章では、ISP(インターネット サービス プロバイダー)またはネットワーク管理者がCisco 800シリーズおよびCisco SOHOシリーズ ルータを設定するときに役に立つ機能の概要について説明します。一般的なネットワーク シナリオについては、 第4章「ネットワーク シナリオ」 を参照してください。具体的な設定については、 第7章「ルータ機能の設定」 および 第8章「高度なルータ設定」 を参照してください。
•
「Cisco 800シリーズおよびCisco SOHOシリーズ ルータの概要」
• 「ADSL」
• 「NAT」
• 「VoIP」
• 「QoS」
Cisco 800シリーズおよびCisco SOHOシリーズ ルータの概要
Cisco 801、802、803、および804ルータは、Cisco IOSをベースとする、Cisco 800ルータ製品ライン のメンバーです。ISDN接続をサポートしています。
Cisco 805ルータには10BASE-Tイーサネット ポートが1つ、シリアル ポートが1つ装備されており、EIA/TIA-232、EIA/TIA-449、EIA/TIA-530、EIA/TIA-530A、X.21、およびV.35のData Terminal Equipment(DTE;データ端末装置)またはData Communications Equipment(DCE;データ通信装置)を接続することができます。
Cisco 806および Cisco SOHO 71ルータは、固定コンフィギュレーションのIPルータです。このルータのセキュリティ機能によって、小規模オフィス、支社、およびホーム オフィスのユーザがインターネットにブロードバンド アクセスを行う場合に、イーサネット ゲートウェイの安全性が確保されます。DSL(デジタル加入者線)、ケーブル、またはLRE(長距離イーサネット)モデム、あるいはマルチテナント ユニット対応のイーサネット スイッチと連携するように設計されています。また、ハブとして機能する10BASE-Tイーサネット ポートが4つ、10BASE-TイーサネットWANポートが1つ装備されています。
Cisco 811および813ルータは、ISDN BRI(基本インターフェイス)回線を介して小規模オフィスまたは在宅勤務者を本社LANおよびインターネットに接続します。これらのルータは、LANおよびWANポート間でマルチプロトコル ルーティングを行います。Cisco 813ルータには、811ルータと同じ機能の他に、2つの電話ポート、および4つのイーサネット ポート(811ルータには1つのみ)が装備されています。
Cisco 826/827およびCisco SOHO 76/77ルータは、Cisco IOSをベースとする、Cisco 800ルータ ファミリーのメンバーです。ATMおよびADSLがサポートされています。組み込まれているフィーチャ セットに応じて、ルータはインターネットまたは本社イントラネットに接続された高速ADSL回線を介して、データ、音声、およびビデオを送信します。
データ専用のCisco 826/827/827Hルータおよび Cisco SOHO 76/77ルータには、10BASE-Tイーサネット ポートが1つ、ADSL-over-ISDNまたはADSLネットワーク ポートが1つ装備されています。
データおよび音声両用のCisco 827-4Vルータには、10BASE-Tイーサネット ポートに加え、Foreign Exchange Station(FXS)/Plain Old Telephone Service(POTS;加入電話サービス)ポートが4つ、ADSLネットワーク ポートが1つ装備されています。また、Voice over IP(VoIP)をサポートしています。4つのFXS/POTSポートは、最大500フィート離れたPOTS装置を接続するためのLoop-Start機能をサポートします。Cisco 827-4Vルータには、VoIP over ATM Adaptation Layer 5(AAL5;ATMアダプテーション レイヤ5)プロトコルをサポートするDigital Signal Processor(DSP;デジタル信号プロセッサ)チップが内蔵されています。
AAL5は、データおよび音声両用のADSL物理インターフェイスを介して稼働します。ADSLプロトコルは、Digital Subscriber Line Access Multiplexer(DSLAM;デジタル加入者線アクセス マルチプレクサ)の制限に従って、T1.413 DMT Issue 2で定義されたEOCメッセージ セットをサポートします。ADSLコントローラおよび回線インターフェイス ユニットのベースは、Alcatelチップ セットです。
Cisco 828ルータは、ATM/SHDSLサポート機能を備えたCisco IOSベース ルータです。 Cisco SOHO 78ルータもATM/SHDSLをサポートします。インターネットまたは本社イントラネットに接続された高速G.SHDSL回線を介して、データ、音声、およびビデオを送信します。
Cisco 828ルータおよび Cisco SOHO 78ルータには、G.SHDSLポートに加え、4ポート イーサネット ハブが装備されています。
Cisco 831ルータおよびCisco SOHO 91イーサネット/イーサネット ルータは、ブロードバンド接続またはイーサネット接続を介して、在宅勤務者または小規模オフィスをISPに接続し、さらに本社LANやインターネットへ接続することができます。また、LANとWANポート間のブリッジング機能およびマルチプロトコル ルーティング機能も備えています。Cisco 831ルータは、小規模オフィスおよび企業在宅勤務者にビジネスクラスの機能を提供する、ハードウェアベースの暗号化機能を持つルータです。Cisco SOHO 91ルータを使用すると、ハードウェアベースの暗号化機能がない場合に、ソフトウェアベースの暗号化機能を利用できます。
Cisco 836および Cisco SOHO 96ルータは、統合スイッチを備えたADSLルータです。これらのルータは、LANの場合は4ポート イーサネット スイッチとして、WANとの互換性を保つ場合にはADSL物理インターフェイスとして機能します。Cisco 836ルータは、小規模オフィスおよび企業在宅勤務者にビジネスクラス機能を提供する、ハードウェアベースの暗号化機能を持つイーサネット/ADSLルータです。 Cisco SOHO 96ルータを使用すると、ハードウェアベースの暗号化機能がない場合に、ソフトウェアベースの暗号化機能を利用できます。いずれのルータも、ADSLインターフェイスのバックアップとして、ISDN BRI S/Tインターフェイスを備えています。
Cisco 837および Cisco SOHO 97ルータは、統合スイッチを備えたADSLルータです。これらのルータは、LANの場合は4ポート イーサネット スイッチとして、WANとの互換性を保つ場合にはADSL物理インターフェイスとして機能します。Cisco 837ルータは、小規模オフィスおよび企業在宅勤務者にビジネスクラス機能を提供する、ハードウェアベースの暗号化機能を持つイーサネット/ADSLルータです。 Cisco SOHO 97ルータを使用すると、ハードウェアベースの暗号化機能がない場合に、ソフトウェアベースの暗号化機能を利用できます。
Cisco 831/836/837、および Cisco SOHO 91/96/97ルータは、10/100 BASE-T装置としてルータを接続するためのスイッチ機能をサポートします。これらのルータでは、クロスオーバー機能を使用することにより、ストレート ケーブルまたはクロス ケーブルを介した他の任意のPCまたはハブとのMDI/MDIXを検出することができます。
表 1-1 に、シスコ ルータ モデルがそれぞれサポートするインターフェイスを示します。
|
|
|
ADSL
ADSLは、データと音声の両方を同一回線を介して伝送するためのテクノロジーです。ADSLのパケットベース ネットワーク テクノロジーを使用すると、NSP(ネットワーク サービス プロバイダー)のセントラル オフィスとカスタマー サイト間のローカル ループ(「ラスト マイル」)、または建物やキャンパス内で形成されるローカル ループ上で、ツイストペア銅線による高速伝送を実現できます。
シリアル回線またはダイヤルアップ回線を介してADSLを行う利点は、常時接続状態になり、ダイヤルアップ回線または専用線に比べて帯域幅が増え、コストが低下することです。ADSLテクノロジーは非対称的であり、カスタマーサイトからNSPのセントラル オフィス方向での帯域幅よりも、セントラル オフィスからカスタマー サイト方向での帯域幅を大きくすることができます。この非対称性と常時アクセス(コール セットアップが不要)を組み合わせることにより、ADSLはインターネットとイントラネットへのアクセス、ビデオオンデマンド、およびリモートLANアクセスに最適な手段になります。
SHDSL
SHDSLは、データと音声の両方を同一回線を介して伝送するための、G.SHDSL(G.991.2)標準に基づくテクノロジーです。SHDSLのパケットベース ネットワーク テクノロジーを使用すると、NSPのセントラル オフィスとカスタマー サイト間で、または建物やキャンパス内で形成されるローカル ループ上で、ツイストペア銅線による高速伝送を実現できます。
G.SHDSL装置は、セントラル オフィスおよびリモート端末からの到達距離を約26,000フィートに拡張することができます(72 kbps~2.3 Mbpsの対称的なデータ速度の場合)。また、より低速でリピートすることができるため、到達距離は事実上、無制限になります。
SHDSLテクノロジーは対称的であり、NSPのセントラル オフィスとカスタマー サイト間の両方向の帯域幅を同じにすることができます。この対称性と常時アクセス(コール セットアップが不要)を組み合わせることにより、SHDSLはLANアクセスに最適な手段になります。
DNSベースのX.25ルーティング
これまでX.25は、信頼できるトランスポート メカニズムとして特にTCPを使用して、IPネットワーク上で動作してきました。この方法は、X.25 over TCP(XOT)といいます。ただし、大規模ネットワークおよび従来の金融環境では、TCPを介してコールをスイッチングするルータごとに宛先を設定する必要があったため、手動設定が必要なルート設定が増えるという問題が発生しました。ホスト ルータからのすべての宛先には、スタティックIPルート ステートメントが必要でした。大規模環境では、これらのステートメントの個数は、ルータにつき数千に達することがありました。これまで、X.121アドレスおよびIPアドレスをマッピングする唯一の方法は、x25 route x121address xot ipaddressコマンドを使用して、1対1でマッピングすることでした。
この問題は、ルート設定を1つの場所に集中させて、ルータが接続要求に応じてアクセスできるようにすることで解決されます。この集中化は、Domain Name System(DNS;ドメイン ネーム システム)ベースのX.25ルーティング機能によって行われます。DNSサーバは、ネットワーク上のすべてのドメインおよびアドレスを検索し、提供することができるためです。
DNSベースのX.25ルーティング機能を使用すると、X.121/IPアドレスの対応関係およびニーモニック/X.121アドレスの対応関係の管理が容易になります。ルータはすべての宛先が指定されたルート ステートメントを設定する必要がなくなり、DNS内のすべてのアドレスを対象とするワイルドカード ルート ステートメントを設定するだけですみます。
ネットワーク プロトコル
ネットワーク プロトコルを使用すると、送信元から特定の宛先に、LANまたはWANリンクを介してデータを渡すことができます。ネットワーク プロトコルには、ネットワークを介してデータを送信するための最適パスが格納されたルーティング アドレス テーブルが組み込まれています。
IP
インターネットワーク レイヤで最も一般的なTCP/IPプロトコルはIPです。IPは、すべてのTCP/IPネットワークに基本的なパケット配信サービスを提供します。IPプロトコルは、物理ノード アドレスの他に、IPアドレスと呼ばれる論理ホスト アドレス システムを実装します。IPアドレスは、インターネットワーク以上のレイヤで、装置を特定したり、インターネットワーク ルーティングを実行するために使用されます。Address Resolution Protocol(ARP)を使用すると、IPは所定のIPアドレスと一致する物理アドレスを識別できるようになります。
IP以外のレイヤ内のすべてのプロトコルでは、データを配信するためにIPを使用しています。つまり、最終宛先に関係なく、送受信されるTCP/IPデータはすべてIPを通過します。
IPはコネクションレス プロトコルであるため、データを伝送する前に、制御情報(ハンドシェイク)を交換してエンドツーエンド接続を確立することはありません。対照的に、コネクション型プロトコルはリモート コンピュータと制御情報を交換して、データ受信準備が完了したことを確認してから、データを送信します。ハンドシェイクに成功した場合は、コンピュータによって接続が確立されています。コネクション型サービスが必要な場合、IPは他のレイヤ内のプロトコルによって接続を確立します。
IPは、動的なディスタンス ベクタ ルーティング プロトコルであるRouting Information Protocol(RIP)を使用して、ルーティング情報を交換します。RIPについては、この後で詳細に説明します。
G.DMT
G.DMTフルレートADSLは、既存の銅電話回線の使用可能な帯域幅を拡張して、最大10 Mbpsの速度で高速データ通信を行うことができるテクノロジーです。これにより、通常の電話サービスを中断しなくても、フルモーション ビデオ、効率的な在宅勤務、および自宅または企業への高速データ伝送がすべて可能になります。
ANSI(米国規格協会)は、米国内のフルレートADSLに対する業界標準(T1.413)を公開しています。International Telecommunication Union(ITU;国際電気通信連合)は、フルレートADSLに対するほぼ同じ内容のグローバルな業界標準(G.992.1)を承認しています。ANSIおよびITUの仕様では、電話回線を介して通信した場合に、最大18,000フィートの距離で、最大8 Mbps(ダウンストリーム)および最大640 Kbps(アップストリーム)の動作速度が必要となります。
標準準拠のフルレートADSLは、Discrete Multitone(DMT)と呼ばれる変調方式を使用しています。DMTはアップストリームおよびダウンストリームの帯域をより小さな周波数帯(約4 kHz)のサブチャネルの集まりに分割し、各サブチャネルで合計データ速度を分担します。伝送帯域幅をサブチャネルの集まりに分割することにより、DMTは各電話回線の特性に合わせてデータ伝送速度を最大化することができます。電話回線は、音声トラフィック(0~4 kHz)に対応する低周波数の伝送に最適です。フルレートADSL伝送に使用される高周波数を電話回線を介して送信すると、周波数が高くなるほど減衰量が増加するなど、歪みや減衰が生じます。DMTはデータをより帯域幅が小さな伝送の集まりに効率的に分割します。分割された伝送は周波数範囲が小さくなり、その範囲内でデータ スループットが最大となるように最適化されます。DMTは、ANSIとITUの両方の標準で、フルレートADSLの標準変調方式として確立されています。
U-R2
U-R2は、基本帯域(低周波数)でISDNが稼働している銅線ループ上でADSLを使用するためのGerman Deutsche Telekom仕様です。ITU-T G.992.1 Annex B標準に従って、ADSL信号を送受信します。U-R2はG.992.1 Annex B標準のスーパーセットであり、ベンダ間のインターオペラビリティを高めることができます。
ルーティング プロトコルのオプション
• Routing Information Protocol(RIP)
• Enhanced Interior Gateway Routing Protocol(EIGRP)
RIPおよびEIGRPプロトコルには、いくつか異なる点があります( 表 1-2 を参照)。
|
|
|
|
|
|---|---|---|---|
距離情報。後継ルータ(ルーティング ループを形成しないことが保証され、宛先までのコスト パスが最小になる近接ルータ)を基準にします。 |
RIP
RIPはIPに対応づけられたプロトコルです。インターネット プロトコル トラフィックをルーティングするために、広範に使用されます。RIPは、ディスタンス ベクタ ルーティング プロトコルです。つまり、ルート選択のためのメトリックとして距離(ホップ カウント)を使用します。 ホップ カウント は、パケットが宛先に到達するために経由しなければならないルータ数です。たとえば、あるルートのホップ カウントが2である場合、パケットを宛先に送るには2台のルータを経由しなければなりません。
デフォルトでは、RIPのルーティング アップデートは30秒おきにブロードキャストされます。ルーティング アップデートをブロードキャストする間隔は、ユーザ側で再設定することができます。さらに、RIPのトリガ拡張機能を使用して、ルーティング データベースが更新されたときにだけルーティング アップデートを送信するように設定することもできます。RIPのトリガ拡張機能については、Cisco IOS 12.0(1)Tのマニュアルを参照してください。マニュアルのアクセス方法については、「Cisco IOSのマニュアルに関する記述」を参照してください。
EIGRP
EIGRPは、シスコ独自仕様による高度なディスタンス ベクタおよびリンク ステート ルーティング プロトコルであり、距離(ホップ カウント)よりも洗練されたメトリックに基づいてルートを選択します。EIGRPは、後継ルータ(ルーティング ループを形成しないことが保証され、宛先までのコスト パスが最小になる近接ルータ)を基準とするメトリックを使用します。特定の宛先への後継ルータが存在しないにもかかわらず、近接ルータが宛先をアドバタイズしている場合、ルータはルートを再計算しなければなりません。
EIGRPが稼働する各ルータは、5秒おきにhelloパケットを送信して、近接ルータに自らが動作していることを知らせます。所定時間内にhelloパケットを送信しないルータがあれば、EIGRPは宛先のステートに変化があったとみなし、差分更新を送信します。
EIGRPはIPをサポートするので、マルチプロトコル ネットワーク環境でいずれかのルーティング プロトコルを使用して、ルーティング テーブルのサイズおよびルーティング情報の量を最小限に抑えることができます。
PPP認証プロトコル
PPP(ポイントツーポイント プロトコル)は、ポイントツーポイント リンクを介して送信されるネットワーク レイヤ プロトコル情報をカプセル化します。
本来、PPPはポイントツーポイント リンクを介してIPトラフィックをトランスポートするためのカプセル化プロトコルとして開発されました。また、IPアドレスの割り当てと管理、非同期(スタート/ストップ)カプセル化とビット型同期カプセル化、ネットワーク プロトコルの多重化、リンク コンフィギュレーション、リンク品質テスト、エラー検出、およびネットワーク レイヤ アドレス ネゴシエーションやデータ圧縮ネゴシエーションなどのオプションのネゴシエーション機能に関する標準も、PPPによって確立されました。
上記機能をサポートするために、PPPには拡張可能なLink Control Protocol(LCP)およびNetwork Control Protocol(NCP)ファミリーが備わっており、これらによってオプションの設定パラメータおよびファシリティをネゴシエートします。
PPPの最新の実装では、PPPセッションを認証するためのセキュリティ認証プロトコルが2つサポートされています。
• Password Authentication Protocol(PAP)
• Challenge Handshake Authentication Protocol(CHAP)
通常、PPPとPAPまたはCHAP認証の組み合わせは、接続されているリモート サイトを中央サイトに通知する場合に使用されます。
PAP
PAPは双方向のハンドシェイクを使用して、ルータ間のパスワードを検証します。PAPの仕組みを理解するために、リモート オフィスのCisco 827ルータが本社オフィスのCisco 3600ルータに接続されているネットワーク トポロジーを例にとります。PPPリンクが確立されたあと、リモート オフィス ルータは、本社オフィス ルータが認証を受け付けるまで、設定されているユーザ名およびパスワードの送信を繰り返します。
• 認証のパスワード部分は、リンク上をクリア テキストで送信されます(スクランブル処理または暗号化は行われません)。
CHAP
CHAPは3方向ハンドシェイクを使用して、パスワードを検証します。CHAPの仕組みを理解するために、リモート オフィスのCisco 827ルータが本社オフィスのCisco 3600ルータに接続されているネットワーク トポロジーを例にとります。
PPPリンクが確立されたあと、本社オフィス ルータはリモート オフィス ルータに対し、チャレンジ メッセージを送信します。リモート オフィス ルータは可変の値で応答します。本社オフィス ルータは、独自に計算した値と照らし合わせて、この応答をチェックします。両方の値が一致していれば、本社オフィス ルータは認証を受け付けます。リンクを確立したあとは、いつでも認証プロセスを繰り返すことができます。
• 認証プロセスでは、パスワードではなく、可変のチャレンジ値を使用します。
• CHAPは、一意の予測不可能な可変のチャレンジ値の使用により、プレイバック攻撃から保護します。チャレンジの反復により、1回の攻撃にさらされる時間を限定します。
• 認証試行の頻度およびタイミングは、本社オフィス ルータが制御します。
(注) 2つのプロトコルのうち、より安全性の高いCHAPの使用を推奨します。
TACACS+
Cisco 800シリーズ ルータは、Telnetを介してTerminal Access Controller Access Control System Plus(TACACS+)プロトコルをサポートします。TACACS+は、リモート アクセス認証および関連するネットワーク セキュリティ サービス(イベント ロギングなど)を提供する、シスコ独自の認証プロトコルです。ユーザ パスワードは各ルータではなく、中央データベースで管理されます。TACACS+は、ルータごとに設定された、別個のモジュールであるAuthentication,
Authorization, Accounting(AAA;認証、許可、アカウンティング)ファシリティもサポートします。
ネットワーク インターフェイス
ここでは、Cisco 800シリーズ ルータがサポートするネットワーク インターフェイス プロトコルについて説明します。サポートされるネットワーク インターフェイス プロトコルは、次のとおりです。
イーサネット
イーサネットは、CSMA/CD(キャリア検知多重アクセス/衝突検知)を使用してデータおよび音声パケットをWANインターフェイスに送信するベースバンドLANプロトコルです。イーサネットという用語は、通常、すべてのCSMA/CD LANを表します。イーサネットは、散発的な、場合によっては大量のトラフィックが発生するネットワーク内で機能するように設計されました。IEEE 802.3仕様は、本来のイーサネット トポロジーに基づいて、1980年に開発されました。
イーサネットCSMA/CDメディアアクセス プロセスでは、CSMA/CD LAN上のすべてのホストはいつでもネットワークにアクセスできます。データを送信する前に、CSMA/CDホストはネットワークを通過するトラフィックを待ち受けます。データを送信するホストは、トラフィックが検出されなくなるまで待機してから、データを送信します。イーサネットでは、ネットワーク上をデータが流れていない場合、ネットワーク上のすべてのホストがデータを送信できます。トラフィックを待ち受けていた2台のホストがトラフィックを検出せず、同時にデータを送信すると、衝突が発生します。衝突が発生すると両方の送信内容が破壊されるため、ホストは後に再送信する必要があります。衝突したホストがいつ再送信を行うかは、アルゴリズムによって決まります。
ATM
Asynchronous Transfer Mode(ATM;非同期転送モード)は、音声、データ、ビデオ、画像など複数のトラフィック タイプをサポートする、高速な多重化およびスイッチング プロトコルです。
ATMは、ネットワークのすべての情報をスイッチングおよび多重化する固定長セルで構成されます。ATM接続は、単に宛先ルータまたはホストに情報を転送するために使用されます。ATMネットワークは、帯域幅を幅広く利用できるLANと考えられます。コネクションレス型であるLANと異なり、ATMを使用してユーザにLAN環境を提供するには、特定の機能が必要となります。
各ATMノードは、通信する必要があるATMネットワーク内のすべてのノードに対して、接続を個別に確立する必要があります。このような接続はすべて、Permanent Virtual Circuit(PVC;相手先固定接続)によって確立されます。
PVC
PVCはリモート ホストとルータ間の接続です。PVCは、ルータが通信するATMエンド ノードごとに確立されます。PVCの作成時に確立されるPVCの特性は、AALおよびカプセル化タイプによって設定されます。AALは、ユーザ情報をセルに変換する方法を定義します。AALは、送信時に上位レイヤ情報をセルに分割し、受信時にセルを再び組み立てます。
シスコ ルータはAAL5形式をサポートしています。AAL5は、AAL3/4よりもオーバーヘッドが少なく、エラー検出および訂正機能が優れている最新のデータ トランスポート サービスを提供します。AAL5は通常、Variable Bit Rate(VBR;可変ビット レート)トラフィックおよびUnspecified Bit Rate(UBR;無規定ビット レート)トラフィックを対象とします。Cisco 800シリーズ ルータは、AAL1およびAAL2形式もサポートします。
ATMカプセル化は、特定のプロトコル ヘッダーによりデータをラップする機能です。接続しているルータのタイプにより、ATM PVCカプセル化タイプが決まります。
ルータがサポートするATM PVCカプセル化タイプは、次のとおりです。
各PVCは、宛先ノードへの完全な、独立したリンクとみなされます。ユーザは必要に応じて、接続間でデータをカプセル化できます。ATMネットワークは、データの内容を無視します。必要となるのは、特定のAAL形式に従って、ルータのATMサブシステムにデータを送信することのみです。
ダイヤラ インターフェイス
ダイヤラ インターフェイスは、PVCにPPP機能(認証方法やIPアドレス割り当て方法など)を割り当てます。PPP over ATMを設定する場合に使用します。
ダイヤラ インターフェイスは、すべての物理インターフェイスから独立して設定し、必要に応じて動的に適用することができます。
ダイヤル バックアップ
ダイヤル バックアップを使用すると、ユーザはバックアップ モデム回線接続を設定できるようになるため、WANのダウンタイムが短縮されます。Cisco IOSソフトウェアのダイヤル バックアップ機能を起動するために、以下を使用できます。
バックアップ インターフェイス
バックアップ インターフェイスは、WANダウンタイムなど、自らが起動する特定の環境が発生するまで、アイドル状態にとどまるインターフェイスです。バックアップ インターフェイスとして設定できるのは、BRIなどの物理インターフェイス、またはダイヤラ プールで使用されるように割り当てられたバックアップ ダイヤラ インターフェイスです。プライマリ回線が起動している場合、バックアップ インターフェイスはスタンバイ モードです。スタンバイ モードのバックアップ インターフェイスは、イネーブルになるまで、事実上のシャットダウン状態です。バックアップ インターフェイスに関連づけられたルートは、ルーティング テーブルに格納されません。
バックアップ インターフェイス コマンドは、インターフェイスが物理的にダウンしていることを識別したルータによって異なるため、通常は、ISDN BRI接続、非同期回線、および専用線をバックアップするために使用されます。プライマリ回線に障害が発生すると、上記接続に対するバックアップ インターフェイスが起動して、これらの障害をただちに識別します。
フローティング スタティック ルート
フローティング スタティック ルートは、管理距離がダイナミック ルートよりも長いスタティック ルートです。スタティック ルートに管理距離を設定すると、スタティック ルートの優先度をダイナミック ルートよりも小さくすることができます。この方法では、ダイナミック ルートが使用可能な場合、スタティック ルートは使用されません。ただし、ダイナミック ルートが失われると、スタティック ルートが引き継ぎ、この代替ルートを通してトラフィックを送信できます。この代替ルートにDial-on-Demand Routing(DDR;ダイヤル オンデマンド ルーティング)インターフェイスが使用されている場合は、このインターフェイスをバックアップ インターフェイスとして使用できます。
ダイヤラ ウォッチ
ダイヤラ ウォッチは、ダイヤル バックアップとルーティング機能を統合するバックアップ機能です。ダイヤラ ウォッチを使用すると、中央ルータにおいて発信コールをトリガするトラフィックを定義しなくても、信頼できる接続を確立できます。したがって、ダイヤラ ウォッチは対象トラフィックに関する条件がない正規のDDRとみなすことができます。プライマリ インターフェイスを定義するウォッチ対象ルートを設定することにより、ウォッチ対象ルートの追加および削除にともない、プライマリ インターフェイスのステータスをモニタし追跡することができます。
ウォッチ対象ルートを削除すると、ダイヤラ ウォッチはウォッチ中のいずれかのIPアドレスまたはネットワークに対して、有効なルートが少なくとも1つ存在するかどうかを確認します。有効なルートが存在しない場合、プライマリ回線はダウンしており、使用不可能であるとみなされます。定義済みのウォッチ対象IPネットワークの少なくとも1つに有効なルートが存在し、このルートがダイヤラ ウォッチに設定されたバックアップ インターフェイス以外のインターフェイスを示している場合、プライマリ リンクは起動しているとみなされ、ダイヤラ ウォッチはバックアップ リンクを起動しません。
NAT
Network Address Translation(NAT;ネットワーク アドレス変換)はプライベートにアドレス指定されたネットワークから、インターネットなどの登録済みネットワークにアクセスするためのメカニズムを提供します。サブネット アドレスが登録されている必要はありません。このメカニズムにより、ホスト番号の再設定は不要になり、複数のイントラネットで同じIPアドレス範囲を使用できます。
NATは、 内部ネットワーク (登録されていないIPアドレスを使用するネットワーク)と 外部ネットワーク (グローバルに一意なIPアドレスを使用するネットワーク[この場合はインターネット])の境界に配置されたルータに設定されます。NATは内部ローカル アドレス(内部ネットワークのホストに割り当てられた登録されていないIPアドレス)をグローバルに一意なIPアドレスに変換してから、パケットを外部ネットワークに送信します。
NATが設定されている場合、内部ネットワークは既存のプライベート アドレスまたは古い形式のアドレスを引き続き使用します。これらのアドレスが有効なアドレスに変換されたあと、パケットは外部ネットワークに転送されます。変換機能は標準ルーティングと互換性があります。この機能が必要となるのは、内部ネットワークと外部ドメインを接続しているルータのみです。
変換はスタティックにもダイナミックにも行えます。スタティック アドレス変換は、内部ネットワークと外部ドメインの1対1のマッピングを確立します。ダイナミック アドレス変換は、変換されるローカル アドレスと、外部アドレスの割り当て元となるアドレス プールとを指定することによって、定義されます。割り当ては番号順に行われ、連続するアドレス ブロックからなる複数のプールを定義できます。
NATを使用すると、外部へのアクセスが必要なすべてのホストにアドレスを再指定する必要がなくなるため、時間が短縮され、コストが削減されます。また、アプリケーション ポートレベルの多重化によって、アドレスも節約されます。NATが設定されていると、内部ホストはすべての外部通信に対して、1つの登録済みIPアドレスを共有できます。このタイプの設定では、多数の内部ホストをサポートするために必要な外部アドレスが比較的少なくてすむため、IPアドレスが節約されます。
内部ネットワークのアドレス指定方式は、インターネット内で割り当てられた登録済みアドレスと競合することがあります。したがって、NATは重複ネットワークごとに個別のアドレス プールを使用して、適切に変換することができます。
Easy IP(フェーズ1)
Easy IP(フェーズ1)機能は、NATとPPP/Internet Protocol Control Protocol(IPCP)を組み合わせた機能です。この機能を使用すると、シスコ ルータは、独自の登録済みWANインターフェイスIPアドレスを中央サーバから自動的にネゴシエートし、すべてのリモート ホストがこの単一の登録済みアドレスを使用してインターネットにアクセスできるようにします。Easy IP(フェーズ1)では、Cisco IOSソフトウェアに組み込まれた既存のポートレベル多重化NAT機能が使用されるため、リモートLAN上のIPアドレスはインターネットから参照できません。
Easy IP(フェーズ1)機能は、NATとPPP/IPCPを組み合わせた機能です。NATが設定されているルータは、LAN装置で使用される登録されていないIPアドレスを、ダイヤラ インターフェイスで使用されるグローバルに一意なIPアドレスに変換します。複数のLAN装置でグローバルに一意な同一IPアドレスを使用する機能は、オーバーローディングといいます。NATは、内部ネットワーク(登録されていないIPアドレスを使用するネットワーク)と外部ネットワーク(グローバルに一意なIPアドレスを使用するネットワーク[この場合はインターネット])の境界に配置されたルータに設定されます。
PPP/IPCPが設定されている場合、シスコ ルータは、ISPルータからダイヤラ インターフェイス用のグローバルに一意な(登録済み)IPアドレスを自動的にネゴシエートします。
Easy IP(フェーズ2)
Easy IP(フェーズ2)機能は、Dynamic Host Configuration Protocol(DHCP)サーバとリレーを組み合わせた機能です。DHCPは、IPネットワーク上の装置(DHCPクライアント)がDHCPサーバ内のコンフィギュレーション情報を要求できるようにするためのクライアント/サーバ プロトコルです。DHCPは必要に応じて、中央プールのネットワーク アドレスを割り当てます。DHCPは、一時的にネットワークに接続されているホストにIPアドレスを割り当てる場合や、永久的なIPアドレスが不要なホスト グループ間で、限られたIPアドレス プールを共有する場合に便利です。
DHCPを使用すると、クライアントごとにIPアドレスを手動で割り当てる必要がなくなり、IPアドレス要求などのUDPブロードキャストをDHCPクライアントから転送するようにルータが設定されます。
DHCPには、自動化を促進しネットワーク管理の問題を減少させるために、次の機能が備わっています。
• 各コンピュータ、プリンタ、および共有ファイル システムの手動設定が不要
• 2つのクライアントで同じIPアドレスが同時に使用される状況を防止
(注) Cisco 800シリーズ ルータでは、NATを使用している場合に、DHCPリレーを使用できません。DHCPリレーの代わりに、内蔵DHCPサーバが使用されます。
Cisco Easy VPN Client
ルータおよびその他の形態のブロードバンド アクセスを使用すると、インターネット接続のパフォーマンスが向上します。ただし、高レベル認証を行ったり、2つの特定のエンドポイント間で暗号化を行う場合は、多くのアプリケーションで、Virtual Private Network(VPN;仮想私設網)接続のセキュリティも確保する必要があります。2台のルータ間でVPN接続を確立する作業は複雑な場合があります。通常は、2台のルータのVPNパラメータを設定するために、ネットワーク管理者間で長時間の調整が必要です。
Cisco Easy VPN Client機能を使用すると、シスコのUnity Clientプロトコルが実装されて、この面倒な作業の大部分が不要になります。このプロトコルによって、IPSecサーバとして機能するVPN 3000コンセントレータでほとんどのVPNパラメータを定義することができるためです。
IPSecサーバが設定されたあと、サポート対象のCisco 800シリーズ ルータなどのIPSecクライアント上で最小限の設定を行うことにより、VPN接続を作成できます。その後、IPSecクライアントがVPNトンネル接続を開始すると、IPSecサーバはIPSecクライアントにIPSecポリシーを設定し、対応するVPNトンネル接続を作成します。
VoIP
Cisco 827-4Vルータは、Voice over IP(VoIP)機能を提供する音声/データ対応ルータです。IPネットワークを介して、音声トラフィック(電話コールやFaxなど)を伝送できます。
シスコ音声サポートは、音声パケット テクノロジーを使用して実装されます。VoIPには、主に次に示す2つの用途があります。
• 複数の音声対応リモート オフィス ファシリティから送信されたVoIPトラフィックのための、中央サイト電話終端ファシリティとして使用する。
• インターネット電話トラフィックのためのPSTNゲートウェイとして使用する。VoIPをPSTNゲートウェイとして使用すると、H.323ベースのインターネット電話クライアント アプリケーションを標準的に使用することができます。
VoIPでは、Digital Signal Processor(DSP;デジタル信号プロセッサ)によって音声信号がフレームに分割され、音声パケットに格納されます。これらの音声パケットは、H.323信号標準に従って、IPを使用して転送されます。
H.323
H.323は、パケットベースのビデオ、音声、およびデータ会議について記述されたITU-T標準です。H.323は、会議システムのアーキテクチャを記述し、さらに実際のプロトコルを記述するその他の標準(H.245、H.225.0、およびQ.931)にも言及している包括的な標準です。Cisco H.323 Version 2サポートは、バージョン2仕様の必須要件およびオプション機能の一部に適合するように、Cisco IOSソフトウェアをアップグレードします。このアップグレードを行うと、既存のVoIPゲートウェイおよびMultimedia Conference Manager(ゲートキーパおよびプロキシ)が強化されます。ゲートウェイは、H.323端末がプロトコルを変換して、H.323以外の端末と通信できるようにします。ゲートウェイは、LAN上のH.323端末とWAN内のその他のITU-T端末の間、または別のH.323ゲートウェイとの間のリアルタイム双方向通信を可能にする、LAN上のエンドポイントです。
ゲートキーパは、マルチメディア ネットワーク内の装置のレジストリを保持します。装置は起動時にゲートキーパに登録して、ゲートキーパからのコールに対するアドミッションを要求します。ゲートキーパはLAN上のH.323エンティティであり、H.323端末およびゲートウェイに、アドレス変換およびLANへのアクセス制御を提供します。また、H.323端末およびゲートウェイに、帯域幅管理やゲートウェイの特定など、他のサービスを提供することもできます。
音声ダイヤル ピア
ダイヤル ピアを使用すると、特定の電話からコールを発信することができます。すべての音声テクノロジーがダイヤル ピアを使用して、コール レグに対応づけられる特性を定義しています。
コール レグは、接続の2地点間にある、コール接続の独立したセグメントです。これらの用語は、あくまでも ルータ の観点から定義されたものであることを覚えておいてください。着信コール レグは、着信コールがルータ に 着信したことを意味します。発信コール レグは、発信コールがルータ から 発信されたことを意味します。ダイヤル ピアは、着信と発信両方のコール レグに使用されます。
着信コール レグの場合、ダイヤル ピアが発信番号または音声ポート番号に対応づけられることがあります。発信コール レグは常に、ダイヤル ピアと対応づけられます。発信ダイヤル ピアの識別には、宛先パターンが使用されます。コールは確立時に発信ダイヤル ピアと対応づけられます。
各音声の実装時に、2種類のダイヤル ピアを設定する必要があります。
• POTS ― (別名、「加入電話サービス」または「基本電話サービス」)物理音声ポートをローカル電話に対応づけます。設定時に使用する主なコマンドは、portおよびdestination-patternコマンドです。destination-patternコマンドは、POTSダイヤル ピアに対応づける電話番号を定義します。portコマンドは、POTSダイヤル ピアを特定の論理ダイヤル インターフェイス(通常は、ルータをローカルPOTSネットワークに接続する音声ポート)に対応づけます。
• VoIP ― 電話番号をIPアドレスに対応づけます。設定時に使用する主なコマンドは、destination-patternおよびsession targetコマンドです。
destination-patternコマンドは、VoIPダイヤル ピアに対応づける電話番号を定義します。session targetコマンドは、VoIPダイヤル ピアの宛先IPアドレスを指定します。また、VoIPダイヤル ピアを使用して、IP precedence、その他のQoSパラメータ、コーデックなどの特性を定義することができます。
QoS
ここでは、Quality of Service(QoS;サービス品質)パラメータについて説明します。具体的な内容は、次のとおりです。
• CBWFQ
• RSVP
• LLQ
QoSは、ATM、イーサネットおよびIEEE 802.1ネットワーク、これらの基本テクノロジーの一部またはすべてを使用できるIPルーテッド ネットワークなど、さまざまなテクノロジーを介して、選択されたネットワークトラフィックに対し、より優れたサービスを提供するためのネットワーク機能です。QoSの主な目的は、専用帯域幅の確保、ジッタおよび遅延の制御(一部のリアルタイム トラフィックおよび対話型トラフィックで必要)、および損失特性の改善です。QoSテクノロジーは、キャンパス、WAN、およびサービス プロバイダー ネットワークの今後のビジネス用途に対応するための基本的な構成単位を提供します。
音声ネットワークのパフォーマンスを高めるには、VoIPが稼働しているルータだけでなく、ネットワーク全体にQoSを設定する必要があります。すべてのQoS技術が、あらゆるネットワーク ルータに適しているとは限りません。ネットワーク内のエッジ ルータとバックボーン ルータは、必ずしも同じ動作をするわけではありません。同様に、実行するQoSの作業もそれぞれ異なる場合があります。リアルタイム音声トラフィックに対応するようにIPネットワークを設定するには、ネットワーク内のエッジ ルータとバックボーン ルータの両方の機能を検討する必要があります。
QoSソフトウェアを使用すると、複雑なネットワークにおいて、さまざまなネットワーク アプリケーションおよびトラフィック タイプを制御し、予測どおりに処理することができます。ほとんどすべてのネットワークは、小規模企業ネットワーク、ISP、エンタープライズ ネットワークのいずれであるかに関係なく、QoSを利用して効率を最適化できます。
IP precedence
IP precedenceを使用すると、最大6つのサービス クラスにトラフィックを分類できます(他の2つは、内部ネットワーク用に予約されています)。ネットワークに適用されたキューイング テクノロジーは、この信号を使用して処理を促進することができます。
ポリシーベース ルーティングやCommitted Access Rate(CAR;専用アクセス レート)などの機能を使用すると、拡張アクセスリスト分類に基づいて優先順位を設定できます。これにより、アプリケーション別、ユーザ別、または宛先および送信元サブネット別など、優先順位をきわめて柔軟に割り当てることができます。通常、この機能は可能な限りネットワーク(または管理ドメイン)のエッジ付近に配備されるため、これ以降のネットワーク要素は決定されたポリシーに基づいてサービスを提供できます。
オプションの信号方式を使用している場合は、ホストまたはネットワーク クライアントにIP precedenceを設定することもできます。IP precedenceを使用すると、既存ネットワーク キューイング メカニズム(Class-Based Weighed Fair Queuing[CBWFQ]など)を使用して、サービス クラスを確立できます。既存アプリケーションまたは複雑なネットワーク要件を変更する必要はありません。
PPPフラグメンテーションおよびインターリーブ
マルチクラス マルチリンクPPPインターリーブにより、大きいパケットをマルチリンクでカプセル化し、リアルタイム音声トラフィックの遅延条件を満たす小さいパケットに分割することができます。もともと小さいリアルタイム パケットは、マルチリンクでカプセル化されず、大きいパケットのフラグメントの合間に伝送されます。インターリーブ機能はさらに、小型で遅延に敏感なパケット用に特殊な送信キューを提供するので、そのようなパケットを他のフローより先に送信できます。インターリーブ機能は、他のベスト エフォート型トラフィックに使用される低速リンク上で、遅延に敏感な音声パケットに遅延限度を設定します。
マルチリンクPPPインターリーブは、通常、CBWFQおよびRSVPまたはIP precedenceと組み合わせて使用し、音声パケットの配信を保証します。データの管理方法を定義する場合は、マルチリンクPPPインターリーブおよびCBWFQを使用します。音声パケットにプライオリティを設定する場合は、Resource Reservation Protocol(RSVP)またはIP precedenceを使用します。
CBWFQ
通常、CBWFQはマルチリンクPPPインターリーブおよびRSVPまたはIP precedenceと組み合わせて使用し、音声パケットの配信を保証します。データの管理方法を定義する場合は、CBWFQとマルチリンクPPPを組み合わせて使用します。音声パケットにプライオリティを設定する場合は、RSVPまたはIP precedenceを使用します。
ATMキューとCisco IOSキューの2つのキューイング レベルがあります。CBWFQはCisco IOSキューに適用されます。PVCが作成されると、First-in first-out(FIFO;先入れ先出し)Cisco IOSキューが自動的に作成されます。CBWFQを使用してクラスを作成し、それらをPVCに関連づけると、クラスごとにキューが作成されます。
CBWFQにより、キューに十分な帯域幅が確保され、トラフィックは予測どおりのサービスを受けます。小容量トラフィック ストリームが優先されます。大容量トラフィック ストリームに残りの容量が分配され、同等または比例配分された帯域幅が与えられます。
RSVP
RSVPを使用すると、ルータはインターフェイス上に十分な帯域幅を確保して、信頼性および品質性能を高めることができます。RSVPにより、エンド システムはネットワークに特定のQoSを要求できます。リアルタイム音声トラフィックには、ネットワークの一貫性が不可欠です。一貫したQoSが得られなかった場合、リアルタイム トラフィックにジッタ、帯域不足、遅延変動、または情報損失が生じる可能性があります。RSVPは、最新のキューイング メカニズムと連動します。予約がどのように実行されるかは、インターフェイス キューイング メカニズム(CBWFQなど)に依存します。
RSVPは、PPP、HDLC、および同様なシリアル回線インターフェイス上で適切に動作します。マルチアクセスLAN上では、適切に動作しません。RSVPは、パケット フローに関するダイナミック アクセス リストと同様のものと考えることができます。
LLQ
Low Latency Queuing(LLQ)は、リアルタイム トラフィック用の低遅延完全優先送信キューを提供します。完全優先キューを使用すると、(他のキュー内のパケットがキューから取り出される前に)最初に遅延に敏感なデータをキューから取り出して送信することにより、遅延に敏感なデータを他のトラフィックよりも優先的に処理することができます。
CAR
CARを使用すると、トラフィックの送信元および宛先に基づいて帯域幅または伝送速度を制限したり、指定された割り当て帯域を超えるトラフィックを処理するためのポリシーを指定することができます。CARは、送信、廃棄、優先順位の設定、QoSグループの設定など、トラフィックが速度制限に適合する場合や超過する場合に設定可能なアクションを規定します。
• 柔軟な設定が可能な基準に基づいて、インターフェイスまたはサブインターフェイスの入出力伝送速度を制限します。
• ルータ内部のクラス識別子であるIP precedenceまたはQoSグループを設定して、パケットを分類します。
CARをイネーブルにするには、ATMインターフェイス コンフィギュレーション モードでrate-limitコマンドを入力します。
速度制限
CARの速度制限機能を使用すると、ネットワーク オペレータは、レイヤ3一括または個別アクセス/出力の帯域幅速度制限を定義したり、トラフィックが指定の速度制限に適合する場合や超過する場合におけるトラフィック処理ポリシーを指定することができます。一括アクセスまたは出力では、インターフェイスまたはサブインターフェイス上のすべてのパケットが比較されます。個別アクセスまたは出力では、優先順位に基づいて特定タイプのトラフィックが比較されます。CAR速度制限ポリシーは、物理ポート、パケット分類、IPアドレス、MACアドレス、アプリケーション フロー、アクセスリストまたは拡張アクセス リストで指定可能なその他の基準に基づいて指定できます。CAR速度制限は、フレーム リレーやATMサブインターフェイスなど、入力または出力のいずれかのインターフェイス/サブインターフェイスに実装できます。
CARの速度制限機能を使用する例として、HTTP WWWトラフィックをリンク帯域幅の50%に制限し、Web以外のトラフィック(ミッションクリティカル アプリケーションなど)の容量を確保する、アプリケーションベースの速度制限があります。
IP precedenceのマーキング
拡張アクセス リスト分類を使用すると、クラスベース トラフィック シェーピングやCARなどの機能に必要となることがある優先順位を設定することができます。これにより、アプリケーション別、ユーザ別、または宛先および送信元サブネット別など、優先順位をきわめて柔軟に割り当てることができます。通常、この機能は可能な限りネットワーク(または管理ドメイン)のエッジ付近に配備されるため、これ以降のネットワーク要素は決定されたポリシーに基づいてサービスを提供できます。
オプションの信号方式を使用している場合は、ホストまたはネットワーク クライアントにIP precedenceを設定することもできます。IP precedenceを使用すると、既存ネットワーク キューイング メカニズム(CBWFQなど)を使用して、サービス クラスを確立できます。既存アプリケーションまたは複雑なネットワーク要件を変更する必要はありません。
WFQ
Weighted Fair Queuing(WFQ;均等化キューイング)を使用すると、シリアル リンクなどの低速リンクで、すべてのトラフィック タイプを均等に処理できます。WFQは、IPアドレスやTCPポートなどのレイヤ3およびレイヤ4情報に基づいて、トラフィックを複数のフロー(カンバセーション)に分類します。アクセス リストを定義しなくても、WFQはこの分類を実行できます。つまり、低帯域トラフィックには、事実上、高帯域トラフィックよりも高いプライオリティが設定されることになります。これは、高帯域トラフィックは、割り当てられた重みに比例して伝送メディアを共有するためです。現在、WFQはIPベースおよびIPファイアウォールCisco IOSイメージで使用できます。
WRED
Random Early Detection(RED;ランダム早期検出)は、TCPの輻輳制御メカニズムを利用する輻輳回避メカニズムです。REDは輻輳が激しくなる前にランダムにパケットを廃棄して、パケット送信元に伝送速度を下げるように要求します。パケット送信元でTCPが動作している場合、すべてのパケットが宛先に到達するまで伝送速度を下げて、輻輳を解消します。
通常、シスコが実装したREDであるWeighted RED(WRED;重み付きランダム早期検出)は、IP precedenceに基づいてパケットを選択的に廃棄します。IP precedenceが高いパケットは、優先順位が低いパケットよりも廃棄される可能性が小さくなります。したがって、プライオリティが高いトラフィックは、プライオリティが低いトラフィックよりも高い確率で配信されます。インターフェイスが輻輳し始めると、プライオリティの低いトラフィックが選択的に廃棄され、サービス クラス別に異なるパフォーマンス特性が提供されます。WREDはRSVPにも対応します。
ATMトラフィック ポリシング
• ユーザが定義した基準に基づいて、トラフィック クラスの入出力伝送速度を制限します。
• IP precedence値、QoSグループ、またはDifferentiated Service Code Point(DSCP)値を設定して、パケットをマーキングします。
アクセス リスト
基本的な標準アクセス リストおよびスタティック拡張アクセス リストを使用すると、permitコマンドにキーワードを指定して、セッション フィルタリングと同様の処理を行うことができます。指定されたキーワードは、ACKまたはRSTビットが設定されているかどうかに基づいて、TCPパケットをフィルタリングします(ACKまたはRSTビットが設定されているパケットはセッション内の最初のパケットではないため、このパケットは確立されたセッションに属します)。このフィルタ基準は、インターフェイスに永久的に適用されるアクセス リストの一部になります。
フィードバック