このドキュメントでは、RFC1483 ブリッジングを使用する場合の、エンドツーエンドの Asymmetric Digital Subscriber Line(ADSL; 非対称デジタル加入者線)のアーキテクチャについて説明します。最も初期のバージョンの xDSL モデムは、ホスト側の 10BaseT イーサネットと、WAN 側の RFC1483 カプセル化ブリッジ フレーム間のブリッジであったことに注意してください。現在でも、実際に導入されている ADSL Customer Premises Equipment(CPE; 宅内装置)の大半は、純粋なブリッジ モードで動作しています。
このベースライン アーキテクチャは、RFC1483 ブリッジング モデルと ATM を中核のバックボーンとして使用して、末端の加入者に高速のインターネット アクセスを提供するという前提で設計されています。このドキュメントの内容は、すでに展開されているアーキテクチャと、いくつかの社内テストに基づくものです。
RFC1483 では、ATM ネットワーク上でコネクションレス型ネットワーク相互接続トラフィックを伝送する方式として、ルーテッド プロトコル データ ユニット(PDU)と、Bridged PDU という、2 つの異なる方式が記述されています。
ルーティングでは、複数のプロトコルを 1 つの ATM Virtual Circuit(VC; バーチャル サーキット)上で多重化できます。 伝送される PDU のプロトコルは、PDU に IEEE 802.2 Logical Link Control(LLC; 論理リンク制御)ヘッダーをプレフィクスとして付けることで識別されます。
ブリッジングでは、ATM バーチャル サーキットを使用して、上位層でのプロトコルの多重化を暗黙的に行います。詳細は、RFC1483 を参照してください。
このドキュメントでは、ブリッジ形式の PDU についてだけ説明します。
RFC1483 のブリッジング アーキテクチャの長所と短所を次に要約します。このアーキテクチャには、重要な短所がいくつかあり、その大部分がブリッジング モデルに起因します。いくつかの短所は、カスタマー サイトでの ADSL の導入時に見つかっています。
シンプルで分かりやすい。
ブリッジングは、ルーティングやユーザへの認証要求などのような複雑な要素がないため、非常にシンプルで理解と実装が容易になっています。
CPE の設定が最小限。
サービス プロバイダーでは、この技術を高く評価しています。それは、大量のトラック ロール(機器設置のためのプロバイダーによる顧客宅への出張サービス)が不要になり、また高いレベルのプロトコルをサポートするための大きな人的投資も不要になるためです。ブリッジ モードでの CPE は、非常に単純な装置として動作します。イーサネット側から着信するものは、すべて直接 WAN 側に渡されるため、CPE でのトラブルシューティングの必要性は最小限になります。
インストールが容易。
ブリッジング アーキテクチャは、構造がシンプルであるため、インストールが容易です。エンドツーエンドの Permanent Virtual Circuit(PVC; 相手先固定接続)が確立されると、IP などの上位層のプロトコルでのアクティビティが透過的になります。
加入者向けにマルチプロトコルをサポート。
CPE がブリッジ モードで動作している場合、CPE はどの上位層のプロトコルがカプセル化されているかは関知しません。
シングル ユーザ環境での理想的なインターネット アクセス。
CPE はセットトップ ボックスとして動作するため、上位層のプロトコルに対する複雑なトラブルシューティングは必要ありません。また、終端の PC にクライアントをさらにインストールする必要がありません。
ブリッジングは、接続を確立する際にブロードキャストに大きく依存する。
何千ものユーザ間でブロードキャストするのは、本質的に拡張性が高いとは言えません。それは、ブロードキャストによってユーザの xDSL ループ全体の帯域幅が消費され、ポイントツーポイント(ATM PVC)メディアでブロードキャストするパケットを複製するために、ヘッドエンド ルータのリソースを必要とするからです。
ブリッジングは本質的に安全性が低く、信頼できる環境を必要とする。
Address Resolution Protocol(ARP; アドレス レゾリューション プロトコル)の応答がスプーフィングされ、ネットワーク アドレスが乗っ取られる可能性があります。さらに、ローカルのサブネットでブロードキャスト攻撃が起きて、ローカル サブネット上の全メンバへのサービス拒否が発生する可能性もあります。
IP アドレスが乗っ取られる可能性がある。
RFC1483 ブリッジング アーキテクチャを実装する前に、次の点について考慮してください。
サービスを受ける加入者の現在の人数および今後見込まれる人数。
加入者が相互に通信する必要があるかどうか。
これらの加入者はシングルユーザが使用する、家庭での利用者か。CPE の背後に小規模な LAN を構成する可能性のあるスモール オフィス、ホームオフィス(SOHO)のカスタマーをサービス対象にするか。
CPE、Digital Subscriber Line Access Multiplexers(DSLAM; デジタル加入者回線アクセス マルチプレクサ)、および集約 Post Office Protocol(POP)の展開とプロビジョニングをどのようにするか。
Network Access Provider(NAP)および Network Service Provider(NSP)は同じエンティティにするか。NAP のビジネス モデルに、安全性の高い企業向けアクセスなどの大規模なサービスや、音声やビデオなどの付加価値サービスの販売も含むか。
NSP がサービス セレクション機能の提供を望んでいるか。
課金や請求をどのように行うか。使用量単位か、帯域幅単位か、サービス単位か。
企業のビジネス モデルは、独立系地域通信事業者(ILEC)か、Competitive Local Exchange Carrier(CLEC; 競争的地域通信事業者)か、または Internet Service Provider(ISP; インターネット サービス プロバイダー)か。
NSP がどのようなタイプのアプリケーションを終端の加入者に提供したいか。
アップストリームとダウンストリームのデータ フロー量はどの程度か。
次に、これらの点を考慮した上で、RFC1483 ブリッジング アーキテクチャがさまざまなビジネス モデルにどのように適合するかについて説明します。
RFC1483 ブリッジング:ネットワーク アーキテクチャ
前述したように、RFC1483 ブリッジング アーキテクチャには、いくつかの本質的な問題があります。
IOS の加入者ブリッジング機能で、これらの問題のいくつかを解決できます。ブリッジ グループに対して加入者ポリシーを選択的に適用することにより、ARP のフラッディング、不明なパケット、および個々の ADSL ループをダウンさせる原因を制御できます。たとえば、ARP がブロードキャストされるのを防げば、悪意のあるユーザは他のユーザの IP アドレスを発見できません。
もう 1 つのソリューションは、すべての加入者を 1 つのサブインターフェイスに入れることです。通常のブリッジングの動作では、フレームを受信したポートにそのフレームを転送することはありません。つまりこれよって、加入者間のすべてのパケットがフィルタされるような加入者ブリッジングを実施します。ただし、この方法には次のような欠陥があります。
加入者ポリシーは、サブインターフェイス間にだけ適用されます。加入者ポリシーを異なる 2 つのユーザ間に適用するには、各ユーザが別々の ATM サブインターフェイスに入っている必要があります。
レイヤ 2 からレイヤ 3 へのアドレス マッピングは(ARP によって)学習されるため、依然として悪意のあるユーザが他のユーザの接続を乗っ取ることが可能です。これは、他のユーザの IP アドレスを持つ ARP トラフィックを生成し、異なる MAC アドレスを使用することで実行されます。
2 つ目のシナリオは、通信事業者や ISP にとってはさらに深刻です。この状況では、どのユーザも PC やプリンタなどのイーサネット接続されたデバイスに誤ったアドレスを割り当てる可能性があるため、他のユーザに接続トラブルを引き起こすことがあります。攻撃者の MAC アドレスをトレースする以外にトラッキングの方法がないため、このようなエラーまたは攻撃の特定および修正は困難です。
通信事業者の一部は、ユーザをブリッジ グループに振り分け、サブインターフェイス間の加入者ブリッジングを行うことで、この問題を回避しようとしています。この場合、Integrated Routing and Bridging(IRB)が必要なときには、各ユーザに個別のブリッジ グループと Bridge Group Virtual Interface(BVI)が割り当てられます。 この方式では加入者ごとに 2 つのインターフェイスを使用するため、管理が難しくなることがあります。
これらの問題は、Cisco 6400のCisco IOS®ソフトウェアリリース12.0(5)DCで導入されたRouted Bridged Encapsulation(RBE)機能によって、いくつかの方法で解決されています。
ブリッジングのいくつかの短所を考慮すると、なぜブリッジング アーキテクチャが実装されるのか不思議に思われるかもしれません。答えはシンプルです。実際に設置されている ADSL CPE のほとんどは、ブリッジングされたフレームの転送だけが可能です。このような状況では、NSP ではブリッジングを実装する必要があります。
現在、CPE では、Point-to-Point Protocol over ATM(PPPoA)、RFC1483 ブリッジング、および RFC1483 ルーティングを実行できます。ブリッジングを実行するか、PPP を実行するかは NSP が決定します。各アーキテクチャの長所と短所に加え、前述した実装の際の考慮事項に基づいて決定されます。
ブリッジング アーキテクチャには欠点があるものの、(NAP ではない場合もある)小規模な ISP や、少数の加入者に対してサービスを提供する NAP/NSP には適している場合があります。このようなシナリオでは、NAP は通常はすべての加入者トラフィックを、これらの加入者を終端させている ISP/NSP に転送します。NAP では、レイヤ 2 プロトコルとして ATM またはフレームリレーを使用して、加入者トラフィックを送ることを選択できます。
現世代の DSLAM を使用している NAP では、加入者トラフィックの転送に ATM しか使用できません。この場合、ISP では ATM による Permanent Virtual Circuit(PVC; 相手先固定接続)をルータで終端させる必要があります。
ISP/NSP に ATM インターフェイスがない場合は、着信するブリッジ形式の PDU の受け入れに、カプセル化 ATM Data Exchange Interface(DXI; データ交換インターフェイス)(補助デバイス上にある場合があります)を使用する通常のシリアル インターフェイスを使用できます。
いずれのシナリオでも、NSP/ISP ではルータに IRB を設定する必要がある場合があります(カプセル化 ATM DXI を使用している場合や、透過ブリッジングの場合を除く)。 現在、NSP/ISPルータでブリッジされた加入者を終端させる最も一般的な方法は、IRBを実装することです(サービスプロバイダーは徐々にRBEに移行することが期待されます)。
前述したいくつかの制限により、NSP/ISP では、複数の加入者一組ごとに別々のブリッジ グループを設定する方法か、すべての加入者を 1 つのブリッジ グループに設定する方法を選んでいると考えられます。一般的な方法は、少数のブリッジ グループを設定して、すべての加入者を別々のマルチポイント インターフェイスに設定する方法です。前述したように、同じマルチポイント インターフェイス下にある加入者は、互いに通信できません。一部のユーザが通信する必要がある場合には、これらの加入者を異なるインターフェイス下に設定します(これらの加入者は同じブリッジ グループに属することができます)。
小規模な ISP/NSP の場合は、Cisco 3810、Cisco 3600、および Cisco 7200 がブリッジされたサブスクライバを終端するためによく使用されます。大規模なサブスクライバ ベースを持つ ISP/NSP の場合は、Cisco 6400 をお勧めします。これらのルータのメモリ要件を計算する前に、他の環境と同じ要素(ユーザ数、帯域幅、およびルータ リソース)も考慮してください。
このアーキテクチャの要点を次に示します。
シスコでは、シスコおよびシスコ以外の DSLAM と一緒に使用できるさまざまな CPE を用意しています。これらの CPE の設定には問題が発生する可能性はなく、加入者側から何かを入力する必要はありません。CPE で ATM の Virtual Path Identifier/Virtual Channel Identifier(VPI/VCI; 仮想パス識別子/仮想チャネル識別子)を定義することが重要な要件です。 これによって、CPE は DSLAM 接続され、トラフィックの搬送を開始します。ほとんどの場合、NAP はすべての加入者に対して同じ VPI/VCI を設定することを選択します。NAP では、通常は CPE を加入者の使用場所に設置する前に、事前プロビジョニングを行います。
ブリッジング アーキテクチャでは、CPE とその展開に関する一番の考慮事項は、CPE が実際に設置された後の NAP による管理方法です。これは、ブリッジングでは CPE の IP アドレスが必要とされないために、懸案事項となります。しかし、シスコの CPE では、ブリッジ モードで IP アドレスによるプロビジョニングが可能です。NAP ではこの機能を使用して CPE に Telnet でアクセスし、統計情報を収集したり、加入者のトラブルシューティングを手助けしたりできます。CPE を DSLAM 経由で管理できるようにするために、新しいプロキシ エレメント機能が追加されています。
ブリッジ モードでは、管理用の IP アドレスが CPE に割り当てられていない場合、オペレータは CPE を CPE の管理ポート経由で管理するしかありません。管理用の IP アドレスが割り当てられている場合は、オペレータは Hypertext Transfer Protocol(HTTP; ハイパーテキスト転送プロトコル)ブラウザを使用して、デバイスを管理できます。ただし、このオプションは通常は使用できなくなっています。
CPE がブリッジ モードの場合は、サービス先(NSP/ISP など)は、CPE の背後にある PC のデフォルト ゲートウェイとして使用される IP アドレスを提供する必要があります。これらの PC には、正しいデフォルト ゲートウェイが設定されている必要があります。正しく設定されていないと、モデムが接続されている場合(つまり CPE と DSLAM との間の物理層の状態が良好)でも、加入者はトラフィックを送ることができない可能性があります。Dynamic Host Configuration Protocol(DHCP)を使用して加入者に DHCP アドレスが割り当てられている場合には、DHCP サーバによってデフォルト ルータが返されるため、これは問題にはなりません。
RFC1483 ブリッジング:IP 管理
ブリッジ接続の環境では、サービス先(通常は NSP/ISP ネットワーク)にある DHCP サーバによって、端末に IP アドレスが割り当てられます。これは最も一般的な方法であり、このモデルを使用しているほとんどの NSP/ISP で実装されています。
もう 1 つの方法は、加入者に固定 IP アドレスを割り当てる方法です。この場合、加入者の要件に応じて、加入者ごとに IP アドレスのサブネットまたは 1 つの IP アドレスを割り当てます。たとえば、Web サーバやメール サーバをホスティングする加入者には、1 つの IP アドレスではなく、複数の IP アドレスが必要になります。これに伴う問題は、NSP/ISP がパブリック IP アドレスを提供する必要があり、IP アドレスがすぐに枯渇することです。
NSP/ISP の中には、加入者にプライベート IP アドレスを提供しているところもあります。この場合は、サービス先のルータで Network Address Translation(NAT; ネットワーク アドレス変換)を行っています。
(複数の加入者を含む)1 つのブリッジ グループに 1 つのサブネット全体を提供する NSP/ISP では、あるユーザが PC またはプリンタなどのイーサネット接続されたデバイスに誤ったアドレスを割り当ててしまい、それによって他のユーザに接続トラブルを引き起こす場合があることを理解しておく必要があります。
NSP/ISP では、同時にサービスにアクセスできる PC の数を制限することもできます。これを行うには、イーサネット インターフェイスに最大ユーザ数を設定します。
ただし、この方法には次のような欠陥があります。3 台の PC がサービスを利用するように設定されているときに、ある加入者が、いずれかの PC がアイドル状態になっているときに(独自の MAC アドレスを持つ)ネットワーク プリンタを追加してしまうと、その PC の MAC アドレスが CPE の ARP エントリから削除されてしまいます。
PCがアイドル状態のときにプリンタがアクティブになると、プリンタのMACアドレスがARPエントリに入力されます。ユーザがこの PC を使用してインターネットにアクセスしようとしても、CPE ですでに 3 つの MAC エントリが許可されているために、この PC からはアクセスできなくなります。CPE 上のユーザに制限を設けるという方法は使用できますが、数の決定には注意してください。
RFC1483 ブリッジング:エンドツーエンドの PVC
ブリッジングによるエンドツーエンドの PVC アーキテクチャでは、各ホップ間に PVC を構築することでサービス先に到達できます。しかし、NAP/NSP にとっては、これらの PVC の管理が難しくなる可能性があります。さらに、ATM クラウドで定義できる PVC の数には制限があります。この制限は、エンドツーエンドの PVC モデルを採用している NAP/NSP の多くに影響します。各加入者に対しては、パス全体に沿って、固定された、固有の VPI/VCI の組が存在します。Switched virtual circuit(SVC; 相手先選択接続)は、これらの問題の一部を解決するのに役立ち、多くのアクセス プロバイダーは IP 対応のコア ネットワークに移行して、VC が枯渇する問題を解決しています。
NSP/ISP には、シスコの Service Selection Gateway(SSG)機能を使用して、加入者にさまざまなサービスを提供するというオプションもあります。
このアーキテクチャでは、企業ゲートウェイへのセキュアなアクセスは、レイヤ2の企業ルータで加入者トラフィックPVCを直接終端することで実現されます。PVCベースのアーキテクチャは、他のサービス宛先とデータを共有する際に本質的にセキュアです。
RFC1483 ブリッジング:動作説明
Cisco 6xx CPE は、デフォルトでルーティング モードになっています。これをブリッジ モードで設定して、必要なスプリッタやマイクロフィルタと一緒に加入者の使用場所に設置すると、電源投入時に自動的に接続されます。CPE が接続された場合、CPE と DSLAM との間の物理層が良好であることがわかります。エンドステーションのIPアドレスの設定方法(つまり、DHCPサーバ経由で割り当てられているか、デフォルトゲートウェイ情報を含むスタティックIPアドレス)に応じて、サービスの宛先と通信できます。
パケットのフローを次で説明します。
ユーザのデータはPCからIEEE 802.3にカプセル化され、Cisco 6xx CPEに入ります。次に、論理リンク制御/サブネットワークアクセスプロトコル(LLC/SNAP)ヘッダーにカプセル化され、ATMアダプテーションレイヤ5(AAL5)にカプセル化されて、ATMレイヤに渡されます。
次に、ADSL の伝送テクノロジー、Carrierless Amplitude and Phase(CAP)変調、または Discrete Multi-Tone(DMT)を使用して ATM セルを変調させ、DSLAM 宛てに回線上に送信します。DSLAM では、これらの変調された信号を最初に POTS スプリッタで受信し、信号の周波数が 4 kHz より低いか高いかをチェックします。信号が 4 kHz より高いと識別された場合は、これを DSLAM の ADSL Transmission Unit - Central Office(ATU-C)に送ります。
ATU-C では、この信号を復調して、ATM セルを取得します。次にこれを Multiplexing Device(MUX; 多重化装置)の Network Interface Card(NIC; ネットワーク インターフェイス カード)に送ります。 NIC では ATM ヘッダーの中の加入者側の VPI/VCI 情報を参照し、サービス先のルータに転送されることになる別の VPI/VCI へのスイッチング判定を行います。サービス先のルータが特定の ATM インターフェイスでこれらのセルを受信すると、これらを再構築し、上位層を調べて、この情報を BVI インターフェイスに送ります。BVI インターフェイスではレイヤ 3 情報を調べ、このパケットを搬送する先を判別します。
RFC1483 ブリッジング モデルは、小規模な ISP や、スケーラビリティを問題にしない企業でのアクセスに適しています。このモデルは非常にシンプルでわかりやすく実装しやすいため、多くの小規模 ISP で採用されています。しかし、いくつかのセキュリティやスケーラビリティの問題のために、ブリッジング アーキテクチャの採用は減少する傾向にあります。NSP/ISP では、RBE を選択したり、スケーラブルで高度にセキュアな PPPoA や PPPoE へ移行しつつありますが、これらの仕組みは複雑で、実装は難しくなります。