CCNA試験対策 下巻ch14: WAN Architecture 2/2
https://www.ciscopress.com/store/ccna-200-301-official-cert-guide-volume-2-9781587147135www.ciscopress.com
Multiprotocol Label Switch (MPLS)
- SPからみたとき、全顧客のネットワークを同一のIPアドレス空間で管理するわけにはいかない
- たとえば
10.0.0.0/8
を全顧客ぶん同じIPアドレス空間で管理したら、ルーティングテーブルが甚大になる
- たとえば
- MPLSを利用することで顧客ごとにルートを別々に分けられる
- 【所感】IEE802.1Q trunkingのL3版みたいな
- L2.5プロトコルなどと呼ばれる
- L2ヘッダとL3ヘッダの間にMPLSヘッダを加えるから
- VPN実装のひとつ
MPLS VPN Physical Design and Topology
- MPLSはL3の技術なので、SPのネットワークについてrouterのことまで意識する必要が出てくる
- CE: Customer Edge
- PE: Provider Edge
- Access Link: CE-PE間のL3接続
- L2のUNIは何でも良いことになる
- 専用線
- Metro-E
- 4G/5G
- CATV
- L2のUNIは何でも良いことになる
MPLS and Quality of Service
- DSCP: Differentiated Services Code Point
- MPLS VPN上でも使えるよという話
Layer 3 with MPLS VPN
- MetroEはL2なので顧客のroutingのことなどは知ったこっちゃない
- MPLS VPNは真逆 -- CEルータ間のルーティング情報の学習の世話をする
- CE間はneighborではないのでPEがルーティング情報をadvertiseする(CE2-PE2-CE3)
- CE-PE間のBGPとPE-PE間のBGPが異なるのでルートの再配布(redistribution)が行われる(CE1-PE1-PE2-CE2,CE3)
- MPBGP: Multiprotocol BGP
Internet VPNs
Internet Access
- L2の接続方式
Digital Subscriber Line
- 上り/下り帯域幅がAsymmetricなもの=ADSL
- 敷設済の電話回線で高速なインターネットを提供できるので電話会社は潤った
- 中央局のDSLAM: DSL access multiplexerでデジタル信号とアナログ音声信号とを分離する
Cable Internet
- CATV
- DSLとそっくり
Wireless WAN (3G, 4G, LTE, 5G)
Fiber (Ethernet) Internet Access
Internet VPN Fundamentals
- Private WANのセキュリティ機能
- Confidentiality (privacy)
- 盗聴できない
- Authentication
- パケットの送信者の正当性
- Data integrity
- パケットが改竄されていない
- Anti-replay
- 正当なユーザにより送信されたパケットがコピーされ再送されるのを防ぐ
- Confidentiality (privacy)
- 同じものを安価なpublicネットワーク上で実現したい -- Internet VPN
Site-to-Site VPNs with IPsec
- 拠点-拠点間を1本のVPNトンネルで結び、拠点内のデバイスで共用する
- edgeルータで設定を行う
- IPsec
- フレームワークの構成要素
- ESP: Encapsulated Security Payload
- 暗号化
- AES, DESなどを選択
- AH: Authentication Header
- 認証
- SHA, MD5などを選択
- IKE: Internet Key Exchange
- 共通鍵(session key)の交換
- DH3,DH2,DH1などを選択
- ESP: Encapsulated Security Payload
- GRE: Generic Routing Encapsulation
- 暗号化をサポートしていないトンネリングプロトコル
- セキュアなSite-to-Site VPNを実現するにあたっては、GRE over IPsecのようなスタックを組む