ルーテッド ブリッジド カプセル化のベースライン アーキテクチャ
内容
概要
この文書では、Cisco 6400 Universal Access Concentrator(UAC; ユニバーサル アクセス コンセントレータ)のための Routed Bridged Encapsulation(RBE; ルーテッド ブリッジド カプセル化)機能を使用する、エンドツーエンドの asymmetric digital subscriber line(ADSL; 非対称デジタル加入者線)のアーキテクチャについて説明します。RBE は、すでに知られている RFC1483 のブリッジに関する問題を解決するために開発されました。この問題にはブロードキャスト ストームやセキュリティも含まれています。RBE 機能は、ATM 上でのみ動作するということを除いて、ハーフブリッジと同じです。その他のスケーラビリティ、パフォーマンス、およびセキュリティは、xDSL 加入者の固有の特性を使用して実現できます。
前提条件
基本的なアーキテクチャは、ADSL Forum Reference Architecture Model を使用して設計されています。このアーキテクチャには、Network Access Provider(NAP; ネットワーク アクセス プロバイダー)による様々なサービスの提供や、加入者トラフィックを Network Service Provider(NSP; ネットワーク サービス プロバイダー)に転送するさまざまな方式も含まれています。 このアーキテクチャでは、RBEはCisco 6400で使用される想定カプセル化方式です。このドキュメントの内容は、既存の導入に基づくだけでなく、アーキテクチャで実施された社内テストにも基づいています。拡張機能と変更については、Cisco IOS®ソフトウェアの最新リリースのリリースノートを参照してください。現在、RBEはCisco 6400、Cisco 7200、およびCisco 7500プラットフォームでサポートされています。この文書は、Cisco 6400 の説明に限定しています。
テクノロジーの概要
ネットワークの観点から見ると、ATM 接続はルーテッド接続のように見えます。データ トラフィックは RFC1483 のパケットとして受信されますが、これらのパケットは RFC1483 イーサネットまたは IEEE 802.3 のフレームです。イーサネットまたは IEEE 802.3 のフレームをブリッジする代わりに、通常の RFC1483 ブリッジングの場合のように、ルータはレイヤ 3 ヘッダーでルーティングを行います。いくつかの簡単なチェックを除き、ブリッジのヘッダーは無視されます。これについては、次のセクションで詳しく説明します。
動作説明
動作の観点から見ると、ルータはルーテッドブリッジ インターフェイスがイーサネットの LAN に接続されているかのように動作します。この操作は、次の2つの方法で説明します。顧客宅内から発信されたパケットと、顧客宅内宛てのパケット。
顧客宅内機器から発信されたパケットの場合、イーサネット ヘッダーは省略され、宛先の IP アドレスが検査されます。宛先 IP アドレスがルート キャッシュにある場合、そのパケットは発信インターフェイスにファストスイッチされます。宛先 IP アドレスがルート キャッシュにない場合、そのパケットはプロセス交換にキューイングされます。プロセス交換モードでは、ルーティング テーブルを検索して、そのパケットがルートされるときに経由する発信インターフェイスを探します。発信インターフェイスが特定されると、パケットがそのインターフェイスにルートされます。この動作は、ブリッジ グループまたは Bridge Group Virtual Interface(BVI) への要求がなくても発生します。
顧客宅内機器に宛てられたパケットの場合、最初にパケットの宛先 IP アドレスが検査されます。宛先インターフェイスは IP ルーティング テーブルから決定されます。次に、ルータがそのインターフェイスに関連する Address Resolution Protocol(ARP) テーブルから宛先 MAC アドレスを調べ、イーサネット ヘッダーに書き込みます。見つからない場合、ルータがその宛先 IP アドレスに対する ARP 要求を作成します。ARP 要求がフォワーディングされるのは宛先インターフェイスだけです。この動作は、ARP 要求がブリッジ グループ内の全インターフェイスに送信されるブリッジングとは大きく異なっています。
番号なしインターフェイスを使用するシナリオでは(この場合、同じサブネット上で 2 つの加入者が見つかることがあります)、ルーテッドブリッジ インターフェイスでプロキシ ARP を使用します。たとえば、192.168.1.2(ホスト A)が 192.168.1.3(ホスト B)と通信を行いたいとします。 しかし、ホスト A はホスト B と同じサブネット上にあります。
ホスト A は、ARP ブロードキャスト をホスト B に送信して、ホスト B の MAC アドレスを学習する必要があります。集約デバイスのルーテッドブリッジインターフェイスがこのブロードキャストを受信すると、プロキシARP応答を送信し、MACアドレス192.168.1.1、ホストAを使用します。このインターフェイスはその MAC アドレスを使用し、これをイーサネット ヘッダーに書き込んで、そのパケットを送信します。ルータがこのパケットを受信すると、そのヘッダーを破棄し、宛先 IP アドレスを調べます。その後、このパケットを正しいインターフェイスへルーティングします。
RBE の利点
RBE は、RFC1483 ブリッジング アーキテクチャに関連する問題を解決するために開発されました。RBE は RFC1483のブリッジング アーキテクチャの主な利点を維持したまま、欠点のほとんどを排除しています。
-
顧客宅内機器(CPE)での最小限の設定
サービス プロバイダーでは、この技術を高く評価しています。それは、大量のトラック ロール(機器設置のためのプロバイダーによる顧客宅への出張サービス)が不要になり、また高いレベルのプロトコルをサポートするための大きな人的投資も不要になるためです。ブリッジ モードでの CPE は、非常に単純な装置として動作します。イーサネットで送られてくるすべての項目が WAN 側へ直接渡されるため、CPE では最小限のトラブルシューティングを行うだけです。
-
純粋なブリッジング アーキテクチャから RBE への移行は簡単です。加入者側で変更する項目はありません。
-
一般的に見られる純粋なブリッジング アーキテクチャが直面する IP ハイジャックや ARP スプーフィングなどの問題を回避します。RBE では、ポイントツーポイント接続を使用して、ブロードキャスト ストームも回避します。純粋なブリッジング アーキテクチャでは、セキュリティが大きな弱点となっています。
-
RBE は、集約装置のレベルでルーティングを実装しているため、純粋なブリッジング アーキテクチャに比較して、優れたパフォーマンスを実現しています。また、RBE にはブリッジ グループの制限がないため、拡張性に優れています。
-
シスコの Service Selection Gateway(SSG; サービス セレクション ゲートウェイ)を使用する、レイヤ 3 の Web セレクションをサポートしています。
実装に関する考慮事項
このアーキテクチャを実装する前に考慮すべき重要なポイントの一部は、RFC1483 Bridging Baseline Architectureのドキュメントで説明されているとおりです。
RBE は、次の状況に適しています。
-
シナリオが既存のブリッジング アーキテクチャと同じ。
-
NAP が CPE では最小限の管理で済むようにしたいと考えている。CPE が加入者の使用場所に配置された後、CPE の概念として、最小限の設定のみ必要、あるいはまったく設定の必要がない場合。
-
NAP がブリッジド CPE の背後にあるホストでのホスト クライアントの設置や管理を望んでいない場合。このような設置作業や管理作業は、クライアントを実行するためのクライアント ソフトウェアやオペレーティング システムの知識を備えた人員によるヘルプ デスクの設置が必要になるなど、配備コストや維持費を増加させることになります。
-
NAP が、既存の CPE(RFC1483 ブリッジング モードでのみ動作するもの)を使用して、拡張性とセキュリティを備えたブリッジ ネットワークの配備や、サービス セレクション機能の提供を望んでいる場合。
次のディスカッションでは、RBEアーキテクチャが異なるビジネスモデルにどのように適合し、拡張されるかについて説明します。
ネットワーク アーキテクチャ
RBE のネットワーク アーキテクチャは、RFC1483 ブリッジング アーキテクチャに似ています。そのアーキテクチャで指定されているように、集約装置は NAP または NSP に配置できます。エンドツーエンドの permanent virtual circuit(PVC; 相手先固定接続)アーキテクチャが使用されている場合、NSP は加入者を終端し、集約装置で RBE を設定します。NAP でホールセール サービスに加えてサービス セレクションの提供が望まれている場合は、加入者を終端し、ローカルな Dynamic Host Configuration Protocol(DHCP; ダイナミック ホスト コンフィギュレーション プロトコル)サーバから IP アドレスを取得することが選択されることもあります。ホールセール サービスの場合、NAP では NSP からの IP アドレスの取得を選択することがあります。このようなシナリオについては、この文書の「IP の管理」の項で詳しく説明します。
RBE アーキテクチャの設計に関する考慮事項
RBE では、RFC1483 ブリッジング アーキテクチャに関連するセキュリティ面での主なリスクが排除されています。さらに、RBE では、サブインターフェイスがルーテッド インターフェイスとして扱われるため、より優れたパフォーマンスを提供し、拡張性にも優れています。
この項では、RBE アーキテクチャを設計する前に考慮する必要のある重要なポイントについて説明します。加入者側については、設計上での原則は RFC1483 ブリッジング アーキテクチャと同じです。
RBE では、1 つの virtual circuit(VC; 仮想回線)が 1 つのルート、ルートの集合、または 1 つの classless interdomain routing(CIDR)サブネットに割り当てられます。したがって、信頼できる環境は、ルータの集合または CIDR ブロック内の IP アドレスで表される顧客宅内機器一台だけに絞られます。また、ISP でもユーザに割り当てられたアドレスを制御します。これは、ユーザ側のサブインターフェイスにサブネットを設定することで実現します。したがって、ユーザが装置に割り当てられたアドレス範囲外の IP アドレスを誤って設定していると(ARP パケットをルータまで流す原因となりえます)、ルータで「wrong cable」エラーが発生し、この誤った IP アドレスから MAC アドレスのマッピングを ARP テーブルに入力することが拒否されます。
RBE は、ポイントツーポイントの ATM サブインターフェイスだけを使用して配備できます。マルチポイント サブインターフェイスには配備できません。加入者側がブリッジされていても、このサブインターフェイスはルーテッド インターフェイスとして扱われるため、ブリッジ グループや BVI インターフェイスを定義する必要はありません。
ATM ポイントツーポイント サブインターフェイスは、他のインターフェイスに対する番号付きインターフェイスまたは番号なしインターフェイスになることができます。
定義上、番号付きインターフェイスとは、特定の IP アドレスと固定したサブネット マスクを割り当てられたインターフェイスです。以下に、いくつかの例を示します。
Interface atm0/0/0.132 point-to-point ip address 192.168.1.1 255.255.255.252
この例で示すように、RBE が番号付きインターフェイスを使用して配備されている場合、各加入者ごとに別個のサブネットが必要です。加入者側のホストは192.168.1.2に設定する必要があります。加入者側のホストは1つだけです。複数のホストをサポートする必要がある場合は、サブネット マスクを使用して、複数のホストに対応する必要があります。
番号付きインターフェイスを使用すれば、加入者が CPE の背後で接続しているホストの数を NAP で制御できます。上で説明したように、RFC1483 ブリッジング アーキテクチャではこの制御ができないことが大きな問題でした。
しかし、この方法では非常に多くの IP アドレスを使用してしまいます。加入者ごとに 1 つの IP アドレスを割り当て、ATM サブインターフェイスに IP アドレスを 1 つ使用し、ブロードキャスト アドレス とすべてがゼロのアドレスは使用しないままにする必要があります。CPEの背後に1台のホストを配置するには、少なくともサブネットマスク255.255.255.252を定義する必要があります。IPアドレスの不足を考慮すると、NAP/NSPがプライベートアドレス空間を使用してネットワークアドレス変換(NAT)を実行しない限り、これは有効ではありません。
IPアドレスを節約するには、非番号インターフェイスを使用する方法もあります。定義上、番号なしインターフェイスとは、ip unnumbered コマンドを使用して、他のインターフェイスの IP アドレスを使用するインターフェイスです。以下に、いくつかの例を示します。
! interface loopback 0 ip address 192.168.1.1 255.255.255.0 ! interface atm0/0/0.132 point-to-point ip unnumbered loopback 0 ! interface atm0/0/0.133 point-to-point ip unnumbered loopback 0
上の例で示したように、IP アドレスとサブネットはループバック インターフェイスにだけ適用されます。すべての ATM サブインターフェイスは、そのループバック インターフェイスに対する番号なしインターフェイスになります。このシナリオでは、ATM サブインターフェイスで終端されている加入者(loopback 0 に対して unnumbered)は、すべて同じ loopback 0 のサブネットに属することになります。このことは、加入者が同じサブネットに属し、異なるルーテッド インターフェイスを経由して着信することを意味します。この状態では、どの加入者が、どの ATM サブインターフェイスの背後にいるかを識別することが、ルータにとっての問題になります。Cisco IOSの場合、192.168.1.0(IP管理図)はインターフェイスループバック0を介して直接接続され、他のインターフェイスを介してそのサブネット上のホストアドレス宛てのトラフィックを送信することはありません。この問題を解決するには、スタティックホストルートを明示的に設定する必要があります。以下に、いくつかの例を示します。
ip route 192.168.1.2 255.255.255.255 atm0/0/0.132 ip route 192.168.1.3 255.255.255.255 atm0/0/0.133
この例で設定したように、ルータでルーティングの決定を行い、192.168.1.2 を宛先とするトラフィックを転送する必要がある場合は、発信インターフェイスとして ATM 0/0/0.132 が選択されます。他も同様です。このようなスタティックなホスト ルートが指定されていないと、ルータは 発信インターフェイスに loopback 0 を選択し、パケットをドロップします。
番号なしインターフェイスによって IP アドレスを節約しても、各加入者に対する Node Route Processor(NRP; ノード ルート プロセッサ)にスタティックなホスト ルートを設定するという追加の作業が必要になります。ただし、たとえば加入者が CPE の背後に 14 台のホストを所有している場合でも、それぞれのホストに対してスタティックなホスト ルートが必要ではないことに注意してください。ATM サブインターフェイスには、集約ルートを設定できます。
ここまでの説明では、CPE の背後にあるホストにスタティックな IP アドレスが設定されていると仮定してきました。この仮定は、実際の設計には必ずしも該当しません。実際の環境では、NAP は CPE と CPE に接続するホストに対する設定と管理が最小限で済むことを望んでいます。そのためには、ホストはDHCPサーバを使用して動的にアドレスを取得する必要があります。
IPアドレスを動的に取得するには、DHCPサーバからIPアドレスを取得するようにホストを設定する必要があります。ホストが起動するとき、DHCP 要求を送信します。この要求は適切な DHCP サーバにリレーされます。DHCP サーバは事前に定義されている範囲から、IP アドレスを 1 つ割り当てます。
最初のDHCP要求をホストから適切なDHCPサーバに転送するには、ブロードキャストを受信するインターフェイスにip helper-addressコマンドを適用する必要があります。ブロードキャストが受信されると、Cisco IOS がそのインターフェイスに対する ip helper-address の設定を調べ、この要求をユニキャスト パケットの形で適切な DHCP サーバにフォワーディングします。この DHCP サーバの IP アドレスは ip helper-address に指定されています。DHCP サーバが IP アドレスを返した後、DHCP サーバは、最初にその要求をフォワーディングしたルータのインターフェイスに応答を送ります。このインターフェイスは、最初にサービスを要求したホストへ DHCP サーバの応答を送るための発信インターフェイスになります。ルータはこのアドレスに対するホスト ルートを自動的に設定します。
RBE がサブインターフェイス上で有効になっていて、IEEE 802.3 ブリッジ protocol data unit(PDU; プロトコル データ ユニット)である場合、ATM ブリッジのカプセル化の後でイーサネットのカプセル化が検査されます。IP パケットまたは ARP パケットの場合、他の IP パケットまたは ARP パケットと同様に処理されます。IP パケットはファストスイッチされます。これに失敗した場合、プロセス交換にキューイングされます。
RBE の性能は非常に優れています。現在の標準的なブリッジング コードには、フォワーディングの決定が行われる前に、1 つのパケットに対して 2 つの別個の分類が必要という従来からの問題があります。この分類は、フォワーディング情報のためのパケット ヘッダーの検査プロセス(アップストリーム側)と変更プロセス(ダウンストリーム側)として定義されており、かなりコストがかかります。レイヤ 2 のルックアップは、パケットがルートされるかブリッジされるかを判断するために必要です。その後、レイヤ 3 では、パケットがルートされる先の場所を識別するためのルックアップが必要です。この分類はアップストリーム方向とダウンストリーム方向で同様に行われ、パフォーマンスに影響を与えます。
RBE では、アップストリーム側でパケットがルーティングされることが設定によって事前に定義されています。したがって、ブリッジング転送パスを通過する必要はありません。これは、標準ブリッジングの場合に必要でした。
RBE の要点
CPE
CPE の設定は、標準的なブリッジングと同じままです。RBE の配備に CPE 側での変更は必要ありません。
IP 管理
RBE に番号付きインターフェイスを配備している場合、ブリッジド CPE の背後にあるホストへの IP アドレスの割り当ては、通常は DHCP サーバから制御されます。先に説明したように、DHCP サーバは NAP または NSP に配置できます。どちらの場合でも、番号付き ATM サブインターフェイスは、ip helper-address コマンドで設定する必要があります。DHCP サーバを NSP に置く場合、NAP の集約装置にはそのサーバへのルートが設定されている必要があります。NAP で DHCP サーバと IP アドレス範囲を使用する唯一のケースは、加入者にセレクション機能を提供することを望み、その加入者が NAP に LAN 接続している場合です。
NAP で NSP の IP アドレス空間を使用したい場合、各サブネットの IP アドレスの 1 つを ATM サブインターフェイスに割り当てる必要があります。また、NAP と NSP 間で相互に取り決めを行い、NAP が正しいアドレスを設定できるようにする必要があります。NSP の DHCP サーバが IP アドレスを割り当てるとき、この取り決めによってサーバから正しいデフォルト ゲートウェイ情報がホストに送られるようにします。その後、NAP は、加入者に割り当てられたすべてのアドレスに対するスタティック ルートを要約するか、NSP と一緒にルーティング プロトコルを実行してルートをアドバタイズすることができます。ほとんどの場合、NAP と NSP の両方でルーティング プロトコルは使用しません。スタティック ルートを設定する方が好ましい選択肢です。
次に、番号付きインターフェイスを使用してRBEを展開するためにNRPで必要な基本設定を示します。
! interface ATM0/0/0.132 point-to-point ip address 192.168.1.1 255.255.255.0 ip helper-address 192.168.3.1 no ip directed-broadcast atm route-bridged ip pvc 1/32 encapsulation aal5snap ! interface ATM0/0/0.133 point-to-point ip address 192.168.2.1 255.255.255.0 ip helper-address 192.168.3.1 no ip directed-broadcast atm route-bridged ip pvc 1/33 encapsulation aal5snap
IP アドレスを節約するには、番号なしインターフェイスを使用することが最善の方法です。先に説明したように、番号なしインターフェイスが DHCP と一緒に使用されているとき、ホストへのルートはダイナミックに設定されます。これは RBE の配備のために最も優れた方法です。DHCP サーバは NAP または NSP に番号付きインターフェイスとして設置できます。
これは、非番号インターフェイスを使用してRBEを展開するためにNRPで必要な基本設定です。
interface Loopback0 ip address 192.168.1.1 255.255.255.0 no ip directed-broadcast ! interface ATM0/0/0.132 point-to-point ip unnumbered Loopback0 no ip directed-broadcast ATM route-bridged ip pvc 1/32 encapsulation aal5snap ! interface ATM0/0/0.133 point-to-point ip unnumbered Loopback0 no ip directed-broadcast ATM route-bridged ip pvc 1/33 encapsulation aal5snap
サービス宛先への到達のしかた
ここまでは、RBEをカプセル化方式として使用する基本的なアクセステクノロジーについて説明してきました。しかし、このアーキテクチャを使用すると、NAP から加入者トラフィックを NSP にフォワーディングできる場合に、NAP および NSP からさまざまなサービスや各種のオプションを提供できるようになります。これらの概念については、次のセクションで説明します。
インターネットアクセスの提供
このシナリオでは、NSP の主要な機能は加入者に高速なインターネット アクセスを提供することです。NSPは最終的なサービスを提供するため、IPアドレス管理がNSPの責任となります。DHCP サーバを使用してパブリック IP アドレスを加入者に割り当てることも、プライベート IP アドレスを加入者に割り当ててから NATを使用して外側の世界にアクセスすることもできます。
卸売サービス
NAP から他の ISP にホールセール サービスを提供することができます。この場合、通常 NAP は異なる NSP に対してすべての加入者の IP アドレスを制御することはしません。NAP は ISP と協定を結び、その加入者に IP アドレスを提供します。これは、NAP が加入者から送られた DHCP 要求を NSP にある DHCP サーバにフォワーディングすることで実現します。NAP では、ATM サブインターフェイスを決められた範囲に属する IP アドレスで設定し、それらのルートを NSP にアドバタイズする必要があります。ルートのアドバタイズメントは、スタティック ルートか、NAP と NSP との間のルーティング プロトコルの形式で行われます。スタティック ルートは NAP と NSP の双方に適した方法です。
法人アクセス
企業へのアクセスには、通常は Virtual Private Network(VPN; バーチャル プライベート ネットワーク)サービスが必要です。このことは、企業は IP アドレスを NAP に提供せず、また NAP が NAP の IP コアにある企業の IP アドレス空間をアドバタイズすることも許可しないことを意味します。これはセキュリティ侵犯となる場合があるためです。企業は、通常は自身の固有の IP アドレスをクライアントに適用することを望み、Multiprotocol Label Switching/Virtual Private Network(MPLS/VPN; マルチプロトコル ラベル スイッチング/バーチャル プライベート ネットワーク)や Layer 2 Tunneling Protocol(L2TP; レイヤ 2 トンネリング プロトコル)のような安全な手段でのアクセスを許可します。
企業への安全なアクセスを提供するその他の方法は、NAP が加入者に初期 IP アドレスを提供する方法です。加入者は NAP に LAN 接続されることになります。加入者は、初期 IP アドレスを取得した後、ホスト上で実行されている L2TP クライアント ソフトウェアを介して企業へのトンネルを開始できます。次に、企業がこの加入者を認証し、自身の IP アドレス空間から IP アドレスを提供します。この IP アドレスは、L2TP VPN アダプタによって使用されます。この方法により、加入者は ISP にアクセスしてインターネット接続を行うか、安全な L2TP トンネル アクセスを経由して企業へのアクセスを行うかの選択肢を得ます。ただし、これには NAP の IP コアを経由してルーティング可能なトンネルの宛先 IP アドレスを企業から加入者に提供することが必要です。
サービス選択機能
NAP では、シスコの SSG の機能を使用して、さまざまなサービス セレクション機能を提供することができます。SSGには、サービス選択を提供する2つの方法があります。レイヤ2(PTA-MDと呼ばれる)およびレイヤ3 Web選択を介して行われます。RBE では、レイヤ 3 Web セレクション方法だけが使用できます。これには、加入者がNAPにLAN接続されている必要があります。つまり、NAPは加入者に初期IPアドレスを提供し、Cisco Service Selection Dashboard(SSD)へのアクセスを提供します。
RBE アーキテクチャの場合には、シスコ SSG の Web セレクション方式が加入者トラフィックを把握するのに優れています。
結論
RBE は、標準的なブリッジングよりも優れたパフォーマンスと拡張性を備えています。また、標準的なブリッジングが抱えているセキュリティ問題のすべてを克服しています。RBE では、標準的なブリッジングに見られるブロードキャスト ストームを回避します。さらに、RBE では、クライアント ホストのソフトウェアの管理やブリッジに関連する問題を避け、より安価な配備コストを必要とする NAP 向けの強固なアーキテクチャを備えています。RBE を使用すれば、既存のブリッジング アーキテクチャを使用しながら、これらがすべて可能になります。
フィードバック