WANとは
WAN(Wide Area Network、広域ネットワーク)は、NTTなどの通信事業者が提供するサービスを利用して、本社と支社など地理的に離れた拠点同士を接続するためのネットワークです。LANは企業が自ら機器を所有して設計・構築しますが、WANはキャリアの回線を借りて利用するため、毎月の利用料金が発生します。
キャリアはサービス品質を保証するためにSLA(Service Level Agreement、サービス品質保証制度)を定めています。SLAとは利用者とキャリアとの間で取り決めるサービス品質の合意のことで、例えば「往復遅延が月平均10ms以内」「障害発生時は1時間以内に復旧」といった条件を満たせない場合、利用料金の一部が返還されるといった内容になります。
WANサービスの種類
WANサービスには、古くから存在するアナログ専用線、デジタル専用線、ISDN、フレームリレー、ATM(セルリレー)などがあります。現在では、広域イーサネット、IP-VPN、インターネットVPNといったサービスが主流です。
個人やSOHOがインターネットに接続したり企業ネットワークへアクセスしたりする場合には、アナログ回線、ISDN、ADSL、FTTHといったアクセス回線が利用されます。
WANで利用されるプロトコル
WANでは、フレームリレー、ATM、HDLC、PPPといったプロトコルが使われます。これらはOSI参照モデルのデータリンク層(Layer2)で動作し、通常はシリアルインターフェースを使用します。
一方で、広域イーサネットはLANと同様にEthernetで動作し、ONUにEthernetポートを直接接続できます。IP-VPNはネットワーク層(Layer3)で動作し、キャリア側のサービス仕様に応じて柔軟にインターフェースを選べます。
デジタル専用線は64kbpsから数十Gbpsまで幅広く利用でき、プロトコルに制限がないため、さまざまなWANプロトコルを利用可能です。
インターネットVPNの導入方法
インターネットVPNは、キャリアがVPN機器をレンタルし、あらかじめ設定された状態で提供される場合もあります。この方式は導入が容易ですが、設定変更には追加費用がかかるなど柔軟性に欠けます。
多くの企業では、光回線(Bフレッツなど)を契約して、自社ルータにIPsecを設定し、自前でインターネットVPNを構築する方法が一般的です。この方法ならコストを抑えつつ柔軟に管理が可能です。
現在のサービス名称
| キャリア | IP-VPN (MPLS-VPN) | 広域イーサネット | インターネットVPN (IPsec-VPN) |
|---|---|---|---|
| NTTコミュニケーションズ | Arcstar Universal One L3 | Arcstar Universal One L2 | OCNビジネスパックVPN |
| KDDI | Wide Area Virtual Switch L3 | Wide Area Virtual Switch L3 | マネージドサービス |
過去のサービス名称
| キャリア | IP-VPN (MPLS-VPN) | 広域イーサネット | インターネットVPN (IPsec-VPN) |
|---|---|---|---|
| NTTコミュニケーションズ | Arcstar IP-VPN | e-VLAN | OCNビジネスパックVPN |
| KDDI | KDDI IP-VPN | Powered Ethernet | マネージドサービス |
試験対策としては、WANサービスの種類、利用されるプロトコルの階層、そして現在主流となっている「広域イーサネット」「IP-VPN」「インターネットVPN」の違いを押さえておくことが重要です。
WANの基本構成とデバイス
WANを構成する際には、キャリアが提供するサービスと、利用者が所有する機器とが組み合わさって動作します。使用されるデバイスや役割はWANサービスの種類によって異なります。
WANで使われる主要デバイス
DTE(Data Terminal Equipment)
ユーザ側の端末機器で、実際にデータを送受信する装置です。DCEを介してWANに接続し、通信を行います。シリアル回線を利用する場合は、DCEから供給されるクロック信号に従って通信します。ルータやパソコンがDTEに該当します。日本語では「データ端末装置」と呼びます。
DCE(Data Circuit-Terminating Equipment)
DTEから受け取った信号をキャリアの回線に適した信号へ変換し、逆にキャリア網からの信号をDTEに適した信号に変換して渡す装置です。シリアル回線の場合はDCEがクロック信号を生成します。モデム、DSU、ONUが該当します。日本語では「データ回線終端装置」と言います。
CPE(Customer Premises Equipment)
加入者宅に設置される通信機器の総称で、DTEもDCEも含まれます。日本語では「顧客宅内機器」と呼ばれます。
責任分解点
キャリアと加入者の責任が分かれる境界です。日本ではDSUやONUはキャリアからのレンタル機器となるため、責任分解点はDCE以降がキャリア側、それまでの配線が加入者側となります。
ローカルループ
責任分解点からキャリア網のWAN機器までの回線区間を指します。PSTNやISDNの場合はローカルループ、それ以外のWANサービスではアクセス回線と呼びます。
DCEの代表例
モデム
公衆電話網(PSTN)との接続に使用されます。アナログ回線を利用するため、モデムはアナログのローカルループを終端します。現在ではWAN接続に利用されることはほとんどなく、保守用のダイヤルアップアクセスに限定されるケースが一般的です。
DSU(Digital Service Unit)
ISDNやデジタル専用線で利用されます。デジタル信号を扱うため、デジタルのローカルループを終端します。
ONU(Optical Network Unit)
光回線サービスに用いられる装置で、IP-VPNや広域イーサネットのDCEとして利用されます。ONUは光ファイバーを終端する装置であり、現在主流のDCEです。
DTEとDCEのケーブル接続
近年のWANサービス(IP-VPNや広域イーサネットなど)では、DCEがONUとなるケースが多いため、DTEとDCEの接続にはRJ45のLANケーブルが使われます。
一方、従来のWANサービスではDTEとDCEをシリアルケーブルで接続していました。Ciscoルータでは複数のシリアル規格をサポートしており、実際に使用している規格は次のコマンドで確認できます。
Router# show controllers s0/0
Interface Serial 0/0
Hardware is …
DTE V.35 ← V.35規格であることを確認Ciscoルータでの検証接続(レガシー)
検証環境では、キャリアを介さずに2台のCiscoルータを直結してWAN接続をシミュレーションできます。これに用いるシリアルケーブルをバックツーバックケーブルと呼びます。この場合、1台がDTE、もう1台がDCEとして動作し、DCE側はクロック信号を供給する必要があります。
R1(config)# interface s0/0
R1(config-if)# clock rate 64000設定後に次のように確認できます。
R1# show controllers s0/0
Interface Serial 0/0
DCE V.35, clock rate 64000帯域幅の設定
clock rateで定義した値は物理的な通信速度ですが、ルーティングプロトコルはインターフェースの帯域幅(BW)を基にメトリックを計算します。そのため、正確なルーティングを行うにはbandwidthコマンドで調整する必要があります。
R1(config)# interface s0/0
R1(config-if)# bandwidth 64確認すると次のように表示されます。
R1# show interfaces s0/0
Serial 0/0 is up, line protocol is up
MTU 1500 bytes, BW 64 Kbit, DLY …ここで注意すべきは、bandwidthコマンドは実際の通信速度を変えるものではなく、メトリック計算に使う論理的な値であるという点です。
試験では「DTEとDCEの役割の違い」「責任分解点」「clock rateとbandwidthの違い」などが問われやすいため、しっかり区別して理解しておくことが重要です。
WAN回線の種類
WANの回線サービスは大きく「専用型」と「交換型」に分けられます。
専用型は、回線を丸ごと1社が占有する仕組みで、常に自社専用の道を確保できるイメージです。
交換型は、複数の利用者が同じ道を順番に使ったり、分け合ったりする方式です。交換型の中には「回線交換方式」と「パケット交換方式」があります。
例えば「専用型」は毎日自分の車線が確保された高速道路を走れる感覚に近く、「交換型」はその時に応じて通行できる一般道のようなイメージです。
以下に代表的なWAN回線サービスを整理します。
| 回線のタイプ | 特徴 | WANサービスの例 | 使用プロトコル |
|---|---|---|---|
| 専用型 | 自社専用の回線を1対1で利用可能。セキュリティ・信頼性が高いがコストは高め。 | 専用線 | PPP, HDLC, Ethernet |
| 交換型(回線交換) | 通信時だけ回線を確保し、終了後は切断。料金は従量制で速度も遅め。 | PSTN, ISDN | PPP, HDLC |
| 交換型(パケット交換) | 1本の回線を複数ユーザで仮想的に分割。コストは安めで速度・信頼性も確保。 | フレームリレー, ATM, IP-VPN, 広域イーサネット | Frame Relay, ATM, IP, Ethernet |
試験のポイントとしては、「専用型はコスト高だがセキュリティが強い」「回線交換は古く速度が低い」「パケット交換はその中間で効率的」という関係性を押さえておくと問題に対応しやすくなります。
WAN回線サービス:専用線
専用線は企業が通信事業者と契約し、拠点間を1対1で結ぶための回線です。利用者以外はその回線を使えないため、セキュリティが強く、通信速度も常に保証されます。
料金は月額の定額制ですが、拠点間の距離が長いほど、また通信速度や拠点数が多いほど高額になります。試験対策としては「専用線=速度保証・セキュリティ保証・高コスト」という3点セットで覚えておきましょう。
WAN回線サービス:PSTN
PSTNは「公衆電話網」を利用したサービスです。電話をかける時と同じように、通信を始めるときに回線を確立し、終了すると切断されます。
料金は「距離」と「時間」に応じて課金される従量制です。データ通信を行う場合は、PCやルータをモデムに接続して相手先にダイヤルアップする方式が取られていました。
通信速度は最大で56kbpsと非常に低く、さらに接続開始にも時間がかかるため、現在ではWAN回線としての利用はほぼありません。ただし昔は外出先から会社へダイヤルアップしてメール送受信を行うなど、リモートアクセス手段として広く利用されていました。今でもまれに機器メンテナンス用の簡易接続などで利用される場合があります。
WAN回線サービス:ISDN
ISDNは音声とデータをまとめて扱える回線サービスです。仕組みはPSTNと似ており、通信を始めるときに回線を確保し、終われば解放されます。こちらも従量課金制です。
ISDNの特徴は「1つの物理回線に複数の論理チャネルがある」という点です。主なチャネルは次の2種類です。
| チャネル | 役割 |
|---|---|
| Bチャネル | データや音声の送受信に使う通信チャネル |
| Dチャネル | 接続の確立や切断など制御信号を流すチャネル |
さらにインターフェース規格としてBRIとPRIがあります。
| 規格 | 内容 |
|---|---|
| BRI(基本インターフェース) | 64kbpsのBチャネルが2本、16kbpsのDチャネルが1本。Bチャネルを束ねれば128kbps通信も可能。 |
| PRI(一次群速度インターフェース) | 64kbpsのBチャネルが23本、Dチャネルが1本。最大で1.544Mbpsの通信が可能。 |
ISDNはかつて「専用線より安価で、PSTNより高速」という立ち位置でよく使われていましたが、現在はブロードバンドやVPNの普及によりWAN回線としての利用は減少しています。ただし、障害時のバックアップ回線として導入されるケースもあるため、試験ではまだ問われやすい分野です。
「Bチャネル=データ用、Dチャネル=制御用」「BRI=2B+D」「PRI=23B+D」というキーワードを確実に押さえておきましょう。
WANの回線タイプ:パケット交換
パケット交換方式のWANでは、データを小さな単位(パケット)に分割し、それぞれに宛先を示す識別情報を付けてキャリア網を通過させます。各パケットは独立して送られるため、同じ回線を複数のユーザが共有できます。この仕組みは道路に例えると、トラックが荷物を細かく小包に分けて輸送するイメージに近いです。小包には「届け先の住所(宛先情報)」が書かれているため、最終的に正しい相手に届きます。
ただし、回線を常に占有しているわけではないため、利用者が増えると混雑(輻輳)が起こる可能性があります。しかし、現在主流のIP-VPNや広域イーサネットではキャリア網のバックボーンが非常に高速で大容量のため、実質的には契約した帯域が保証されます。回線交換方式のようなコールセットアップは不要です。
WANの回線サービス:フレームリレー
フレームリレーは、かつて広く使われていたパケット交換型WANサービスです。X.25からエラー訂正機能を取り除き、高速化を実現したものです。誤り制御は行わず、あくまで高速なフレーム転送に特化しています。1本の物理回線上で複数の仮想回線(VC)を作り、複数拠点と同時に通信できます。
VCには次の2種類があります。
- PVC(Permanent Virtual Circuit):契約時に固定された相手先と常時接続する方式。
- SVC(Switched Virtual Circuit):必要に応じて動的に接続し、通信終了後に切断する方式。ただし日本ではほぼサポートされず、PVCが一般的でした。
現在フレームリレーはほとんど利用されていません。多くの企業はIP-VPNや広域イーサネットに移行しています。
フレームリレーで重要な用語
試験で問われやすい用語を整理します。
| 用語 | 説明 |
|---|---|
| PVC | Permanent Virtual Circuit。固定的に接続する仮想回線。 |
| SVC | Switched Virtual Circuit。一時的に接続する仮想回線。 |
| DLCI | データリンク接続識別子。フレームリレーヘッダ内の番号でVCを識別。ローカルのFRスイッチ間のみで意味を持つ。 |
| Inverse ARP | DLCIと宛先IPを自動的に関連付ける仕組み。 |
| LMI | Local Management Interface。ルータとFRスイッチ間で状態をやり取りするシグナリング。cisco、ansi、q933aの3種類。 |
| ローカルアクセスレート | ルータとFRスイッチ間の物理回線速度。 |
| CIR | Committed Information Rate。PVCごとに契約で保証される最低速度。 |
| FECN | Forward Explicit Congestion Notification。輻輳を宛先に通知する仕組み。 |
| BECN | Backward Explicit Congestion Notification。輻輳を送信元に通知する仕組み。 |
また、LMIには「Active」「Inactive」「Deleted」の3つのステータスがあり、通信状態を判断するため試験でもよく出題されます。
- Active:正常に通信可能
- Inactive:ローカル側は正常だが相手側に問題あり
- Deleted:ローカルとFRスイッチ間に問題あり
試験対策としては、「DLCI=仮想回線の識別番号」「FECN=宛先通知」「BECN=送信元通知」のようにキーワードを短く整理すると覚えやすいです。
WANの回線サービス:ATM(セルリレー)
ATM(Asynchronous Transfer Mode)は、フレームリレーと同様に仮想回線を利用するWANサービスですが、特徴はデータを53バイト固定長のセルに分割して送信する点です。固定長にすることで遅延が安定し、音声や動画などリアルタイム性を求められる通信に適していました。
ATMセルは 5バイトのヘッダ+48バイトのデータ で構成され、ヘッダ内の情報で宛先を識別します。
ATMセルのヘッダ内容
| フィールド | ビット数 | 説明 |
|---|---|---|
| GFC | 4 | フロー制御やステーション識別 |
| VPI | 8 | 仮想パス識別子 |
| VCI | 16 | 仮想チャネル識別子 |
| PT | 3 | データの種類や輻輳状態を示す |
| CLP | 1 | 輻輳時にセルを破棄する優先度 |
| HEC | 8 | ヘッダのエラーチェック |
ATMの仕組みは3つの層に分かれており、上位データを48バイトに分割・再構築するAAL層、セルを生成するATM層、物理回線に送るATM物理層で構成されます。
AAL(ATM Adaptation Layer)には以下の種類があり、試験では特にAAL5が重要です。
| AALの種類 | 特徴 |
|---|---|
| AAL1 | コネクション型。動画配信用。 |
| AAL2 | コネクション型。音声通信向け。 |
| AAL3/4 | コネクションレス型。データ通信向け。 |
| AAL5 | AAL3/4を簡略化。Ethernet over ATM、IP over ATM などで利用。 |
現在、ATMは企業WANとしてほとんど利用されていませんが、キャリアのバックボーン技術としては一部で使われていた歴史があり、試験では「53バイト固定長セル」「VPIとVCIで識別」「AAL5が主流」といった特徴を覚えておくことが重要です。
WANの回線サービス:IP-VPN
IP-VPNは、現在もっとも多くの企業で利用されている代表的なWANサービスです。キャリアのIPネットワークを複数の企業で共有しつつ、MPLS(Multi-Protocol Label Switching)という技術で企業ごとの通信を分離します。仕組みとしてはフレームリレーやATMと似ており「1つの網を共有する」考え方ですが、キャリアのバックボーンが非常に大容量であるため、輻輳が起きにくく安定して利用できます。
IP-VPNでは利用できるレイヤ3プロトコルがIPに限られますが、今日の企業ネットワークはIPが主流なので特に制約とはなりません。
IP-VPNの仕組み
利用者側のルータは、キャリア網内で使われるMPLSを意識する必要はありません。企業のルータ(CE:Customer Edge)は、キャリアのルータ(PE:Provider Edge)へデフォルトルートを設定するか、BGPを利用して動的にルーティング情報を交換します。
キャリア網内では、PEルータが受信したパケットにMPLSラベルを付与し、途中のルータ(LSR:Label Switching Router)がラベルを付け替えながら転送していきます。そして最終的に宛先のPEルータでラベルが外され、企業ネットワークにパケットが届けられます。このため、他社のトラフィックが混ざることなく安全に通信できます。
また、アクセス回線部分は専用線やFR、ATM、Ethernet、FTTH、ADSLなどから選択でき、対向拠点と同じ方式である必要はありません。
MPLSの仕組みと用語
MPLSでは、イーサネットヘッダとIPヘッダの間に4バイトの「ラベル」を挿入し、このラベルに基づいてパケットを転送します。IPルーティング(20バイトのヘッダを参照)よりも高速に転送できる点が特徴です。
キャリア網内では以下の要素が重要になります。
| 用語 | 説明 |
|---|---|
| LER(Label Edge Router) | MPLS網の入り口・出口にあるPEルータ。ラベルの付与・削除を担当。 |
| LSR(Label Switching Router) | MPLS網の中継ルータ。ラベルを見て転送先を決め、必要に応じてラベルを付け替える。Pルータとも呼ばれる。 |
| ラベル配布プロトコル | 各ルータ間でラベル情報を共有するプロトコル。LDP、TDP、RSVP、BGPなどがある。 |
| FEC(Forwarding Equivalence Class) | 同じ転送経路や扱いをされるパケットの集まり。 |
| LSP(Label Switched Path) | ラベルを使って形成される転送経路。片方向のため、双方向通信には両方向のLSPが必要。 |
MPLS-VPNではさらに「VPNラベル」が追加され、これにより企業ごとのVPNを分離します。このVPNラベルはPEルータ間でMP-BGPにより交換され、最終的に宛先企業ネットワークに到達する時に取り外されます。
試験対策としては、「CE=企業側ルータ」「PE=キャリア網との境界」「P=キャリア網内部」「MPLSラベルは4バイト」「LSPは片方向」というポイントをしっかり覚えておきましょう。
WANの回線サービス:広域イーサネット
広域イーサネットは、企業のLANをそのままWANに広げたようなサービスです。キャリアが提供するイーサネット網に、企業のLANを直接接続して利用します。そのため、東京本社と大阪支社をあたかも同じLANセグメントのように扱えることが特徴です。
IP-VPNがMPLSによって通信を分離していたのに対し、広域イーサネットでは「VLANタグ」を活用して企業ごとに通信を分離しています。
広域イーサネットの仕組み
企業側からはIEEE802.1Qフレーム(VLAN ID付きのフレーム)がキャリア網に流れ込みます。キャリア側のスイッチはこれに対してさらに別のVLANタグを付加します。この仕組みを Q-in-Q と呼びます。
例えば、A社の社内ネットワークがVLAN20を利用していた場合、キャリア網ではA社専用に「VLAN2000」を割り当て、外部のB社のトラフィックとは分離します。この結果、企業内のVLAN番号が他社と重複していても、キャリア網内で問題なく分離して通信できるわけです。
また、広域イーサネットはLayer2ベースのサービスであるため、上位のLayer3プロトコル(IP以外も含む)を自由に利用できる柔軟性があります。
試験では「IP-VPNはMPLSによるL3 VPN」「広域イーサネットはQ-in-QによるL2 VPN」という違いがよく問われます。どちらも現在の企業WANの主流サービスなので、仕組みの違いをしっかり整理しておく必要があります。
MPLSとは
MPLS(Multi-Protocol Label Switching)は、パケットに「ラベル」と呼ばれる短いタグを付けて転送する仕組みです。従来のIPルーティングが20バイトのIPヘッダを読み取って経路を決めていたのに対し、MPLSでは4バイトのラベル情報だけで転送できるため、処理が単純化され高速になります。
また名前の通り、MPLSはIPv4やIPv6だけでなく、かつて使われていたIPXなど複数のプロトコルに対応できます。実際には今日の企業ネットワークがIP中心であるため、MPLSの活用例として最も有名なのはIP-VPNです。
ただし現在では「高速化」よりも「付加価値サービスの実現」がMPLSの主な役割になっています。例えば以下のような技術がMPLSと組み合わせて提供されています。
| MPLSの技術 | 説明 |
|---|---|
| MPLS-VPN | MPLSを用いたVPNサービス(代表例がIP-VPN) |
| MPLS-QoS | トラフィックの種類に応じて優先度制御を行うQoSサービス |
| MPLS-Traffic Engineering | ネットワークの利用状況を見て効率的に経路を選択する技術 |
試験対策としては「MPLS=ラベルによる転送技術」「4バイトラベル」「VPN・QoS・Traffic Engineeringに応用」という点を確実に覚えておきましょう。
MPLSにおけるルータの役割
MPLS網ではルータがそれぞれ役割を持っています。用語を整理すると次の通りです。
| 用語 | 説明 |
|---|---|
| CE(Customer Edge) | 顧客側のルータ。MPLSは動作させない。 |
| LER(Label Edge Router) | MPLS網の入り口と出口にあるルータ。企業のCEと接続し、パケットにラベルを付けたり外したりする。PE(Provider Edge)とも呼ばれる。 |
| LSR(Label Switching Router) | MPLS網の中継ルータ。受け取ったパケットのラベルを付け替えて次に転送する。Pルータとも呼ばれる。 |
ここで重要なのは「Ingress LER」と「Egress LER」という呼び方です。ある通信フローにおいて、ラベルを付ける入口側のLERをIngress、ラベルを外す出口側のLERをEgressと呼びます。逆方向の通信フローでは役割が逆になる点も試験で狙われやすいです。
MPLSによるパケット転送のステップ
MPLSでパケットを転送する流れは大きく3段階に分かれます。
- FECに対するラベル割り当て
FEC(Forwarding Equivalence Class)とは同じ扱いを受けるパケットのグループです。宛先IPアドレスやマルチキャストグループ、IPヘッダのToS値などを基準に定義されます。例えば「10.1.1.0/24宛のトラフィック」を1つのFECと考えます。 - ラベル配布プロトコルでラベル情報交換
MPLSルータはラベル値を隣接ルータと交換してラベルテーブルを作成します。主なプロトコルは次の通りです。- LDP(Label Distribution Protocol)
- TDP(Tag Distribution Protocol、古い)
- RSVP(Resource Reservation Protocol、Traffic Engineering向け)
- MP-BGP(Multi-Protocol BGP、MPLS-VPN向け)
- ラベル情報に基づいた転送
16~1048575の範囲で割り当てられたラベル値を見て転送します。これにより、従来のIPルーティングよりも効率的にパケットを処理できます。
試験では「ラベル値の範囲」「FECの定義方法」「LDPとMP-BGPの使い分け」などが問われやすいです。
MPLSのラベル値について
MPLSの面白い点は、ラベル値がローカルで決められ、配布されるという仕組みです。例えば、あるルータが「172.16.0.0/16宛はラベル21」と決めたとすると、その情報を隣接ルータに通知します。隣接ルータは同じ宛先に対して「ラベル20」という自分の値を決め、さらに手前のルータに伝えます。
つまり、同じ宛先FECに対してもルータごとに異なるラベル値が割り当てられ、隣接間で伝達されていきます。この仕組みによってMPLS網全体にラベルスイッチパス(LSP)が形成されるのです。
ここは「ローカルでのラベル割り当て → 隣接へ配布 → LSP形成」という流れを押さえておくことが大切です。
WANカプセル化プロトコル:HDLC
WANで使われるカプセル化プロトコルには代表的に HDLC と PPP があります。これらは主に専用線やISDN、PSTNのようなシリアル回線で利用されます。一方で、広域イーサネットではLANと同じ Ethernet が使われます。
HDLCの特徴
HDLC(High-level Data Link Control)は、専用線などで利用されるデータリンク層のプロトコルで、ポイントツーポイント接続に適しています。ISOによって標準化されていますが、ネットワーク層を識別するフィールドが存在しないため、複数のプロトコルを同時に扱えないという制限があります。
そこで各メーカーは独自拡張を加え、複数プロトコルを利用できるようにしてきました。Ciscoの場合は Cisco独自のHDLC を採用しており、他社製ルータとは互換性がありません。つまり、Ciscoルータ同士であればHDLCを利用できますが、異なるメーカー間で接続する場合は PPPを使用する必要がある という点が試験でも狙われやすいです。
Ciscoルータでの設定例
HDLCを利用する場合は、シリアルインターフェースに以下のように設定します。
Router(config)# interface serial0/0
Router(config-if)# encapsulation hdlc現在のインターフェースで利用中のカプセル化方式は、show interfaces serial0/0 で確認できます。
WANカプセル化プロトコル:PPP
PPP(Point-to-Point Protocol)は、HDLCをベースに開発されたプロトコルで、専用線やISDN、PSTNなどのポイントツーポイント接続で広く利用されます。HDLCにはない「プロトコルフィールド」を持つため、IPやIPXなど複数のネットワーク層プロトコルを同時に扱えるのが特徴です。
さらに、PPPは以下の機能をオプションでサポートしています。
- 認証(PAP、CHAP)
- データ圧縮
- マルチリンク(複数のリンクを1つにまとめる)
- エラー検出
PPPの構成
PPPは LCP(Link Control Protocol) と NCP(Network Control Protocol) で構成されています。
- LCP:リンクの確立、維持、切断を行う。オプションとして認証や圧縮、マルチリンク、エラー検出を利用可能。
- NCP:ネットワーク層のプロトコルを識別し、接続を確立する。例えばIPならIPCP、IPXならIPXCPを使用。
PPP接続は以下の手順で進みます。
- LCPによるリンク確立
- 認証(必要な場合のみ)
- NCPによるネットワーク層プロトコルの接続確立
LCPオプション
| 機能 | 使用するプロトコル | 説明 |
|---|---|---|
| 認証 | PAP、CHAP | PAPはパスワードを平文送信、CHAPはハッシュ化して送信。 |
| 圧縮 | Predictor、Stac、MPPC | データ圧縮で効率化。ただし実運用では問題が出やすいため非推奨。 |
| マルチリンク | Multi-link Protocol | 複数のPPPリンクを束ねて1つの論理リンクにする。 |
| エラー検出 | Quality、Magic Number | リンク品質の確認やループ検出を行う。 |
認証方式:PAPとCHAP
PPPで利用される認証方式は PAP と CHAP です。
- PAP(Password Authentication Protocol)
クライアントがユーザ名とパスワードを送信し、サーバ側で登録情報と照合します。シンプルですが平文で送信されるためセキュリティは弱い(2ウェイハンドシェイク)。 - CHAP(Challenge Handshake Authentication Protocol)
サーバから乱数(チャレンジ)を送り、クライアントはこれにパスワードを組み合わせてハッシュを計算して応答します。サーバは自分で計算したハッシュと照合して認証を行います。クリアテキストを送らないため安全性が高く、3ウェイハンドシェイクを採用。
試験では「PAPは平文、CHAPは暗号化」「PAPは2ウェイ、CHAPは3ウェイ」という違いを確実に押さえておきましょう。
CiscoルータでのCHAP設定例
CHAP認証を使ったPPP接続を設定する際のポイントは以下の通りです。
- ホスト名の設定
- シリアルインターフェースのカプセル化をPPPに設定
- 認証方式をCHAPに設定
- 相手ルータのホスト名と同じ名前をユーザ名として登録し、共通パスワードを設定
Router(config)# hostname R1
Router(config)# username R2 password cisco
Router(config)# interface serial0/0
Router(config-if)# encapsulation ppp
Router(config-if)# ppp authentication chapステータス確認は show interfaces serial0/0、動作確認は debug ppp authentication で行います。
試験では設定コマンドとともに「CHAPは相互認証」「ユーザ名は相手ルータのホスト名と一致させる」という部分が頻出ポイントです。