■3日目の復習 問 フレームリレーにおいて明示的にCIRを設定しない場合はデータ転送速度はいくらか 解 56kbps 問 フレームリレーのLMIタイプは ・______ ・______ ・______ の三つ 解 ・ANSI ・Q.933A ・Cisco 問 バックアップの設定方法の1つに監視しているネットワーク情報が消えたら発呼する______という機能がある 解 ダイヤラウォッチ 問 T1インターフェースのデフォルトキューイング方式は 解 WFQ 問      DLCI 150  R1 S0/0 -------------- FR網 --------------- S0/0 R2 --- 192.168.0.0/24      DLCI 250    |          1.1.1.2/24               1.1.1.1/24      |              +------------------ S0/0 R3 --- 192.168.1.0/24                        1.1.1.3/24 上図のトポロジで通信しようとしている。R1の設定を条件に従ってせよ <条件> ・LMIのタイプは自動設定 ・各拠点においてRIPを動作させる ・DLCI番号でIPアドレスとの関連付けを自動的に行う 解1 R1 config)#int s0/0 config-if)#ip address 1.1.1.1 255.255.255.0 config-if)#no ip split-horizon config-if)#encapsulation franme-relay config-if)#frame-relay inverse-arp     ← デフォルト有効、明示的に設定しなくてもよい 本日はここから ■NATの確認とトラブルシュート □NAT変換の確認 ○ アドレス変換の確認 #sh ip nat transelations □トラブルシュート ○ 追跡 #debug ip nat ○ NATテーブルのクリア #clear ip nat translations ※ clearコマンドを使用しなくても自動的にテーブルはクリアされる ICMP:1min UDP :1min TDP :24h ■ブロードバンド接続 □覚える用語 ○ ケーブルオプション  ・ヘッドエンド ○ DSLオプション  ・ローカルループ ○ CPE:顧客宅内装置 ○ ワイヤレスオプション  ・ポイントツーポイントマイクロ波接続   → より高い周波数の採用     → 小さいアンテナの使用が可能 □ケーブルテクノロジー ○ ダウンストリーム  ・ヘッドエンドから加入者へのRFフロー ○ アップストリーム  ・加入者からヘッドエンドへのRFフロー ○ DOCSIS  ・ケーブルテレビのネットワーク通信に使用する際の規格 ケーブルテレビ(CATV)を使ってのインターネット接続。   ユーザ--[CM]==cable=(HFC)=[CMTS]---[ルータ]---(インターネット) CMはCable Modem(ケーブルモデム)、加入者宅端末 CMTSはCable Modem Termination Systemの略、ヘッドエンド CMTSはCMをまとめて周波数変調を行う。 CMとCMTSの間は同軸ケーブルで接続する。 HFC (Hybrid Fiber and Coax) という同軸ケーブルと光ファイバの混在ネットワークにすることでノイズを減らす。 CMとCMTS間のデータ通信には、最近はDOCSIS(ドクシスと読む)というITU-T J.112 Annex.Bという標準が使われる。 DOCSISはData Over Cable Service Interface Specificationsの略 DOCSIS 2.0:上り30Mbps、下り38Mbps  A-TDMAとS-CDMAという多重化アクセス方式を利用  DOCSICのプロトコルスタック   +--------------------+----------------------+------------+   | 上位層 | 各アプリケーション | |   +--------------------+----------------------+ DOCSIC |   | トランスポート層 |  TCP, UDP | 制御 |   +--------------------+----------------------+ メッセージ |   | ネットワーク層 | IP | |   +--------------------+----------------------+------------+   | | IEEE802.2 |   | データリンク層 +-----------------------------------+   | | DOCSIS MAC |   +--------------------+----------------+------------------+   | | Up Stream TDMA | Down Stream TDM |   | +----------------+------------------+   | 物理層 | 5〜65MHz | 8MHz ITU-T J.83 |   | +----------------+------------------+   | | HFC |   +--------------------+-----------------------------------+ ■DSLの種類 □ADSL ・低速なアップストリーム(加入者からCO):1Mbps ・高速なダウンストリーム(COから加入者):8Mbps ○ POTとADSLのサービスは同じ銅線上に共存可能 ○ 三つの技術 ・CAP   電話回線寺領の信号を明確に3つの帯域に分ける ・DMT ・G.lite … 上り640kbps、下り1.5Mbps   DMTの半分のサブチャンネルを使用(120個) □VDSL ・短距離において非常に高速 ・シスコの長距離イーサネット(LRE:Long Reach Ethernet)の元技術 ○ POTとSDSLのサービスは同じ銅線上に共存不可 ○  □DSLの制限 ・ローカルループから装荷コイルを取り除く ・COからCPEまでの距離が遠いほど速度は低下する ・ローカルループで使用しているワイヤの径が太いほど高速に対応する ・ワイヤ径が変化するとインピーダンスの不一致が発生し減速につながる ・ローカルループにブリッジタップを設置するとエコーが発生し減速につながる ・バンドル内で異なるワイヤ間にクロストロークが発生すると減速につながる ・AMラジオの干渉は減速につながる □PPPoE ○ Discoverプロセス  @ PPPoEクライアントがPADIをブロードキャスト  A PPPoEサーバがPADOを送信 ○ Sessionプロセス  B PPPoEクライアントがPADRをPPPoEサーバにユニキャスト  C PPPoEサーバがPADSを送信 □PPPoEクライアントのDHCP設定 ○ IPCPからDNSとWINSの情報をインポート config-dhcp)#impoprt all ■VPN □概要 ・VPNはトンネリングと暗号化 ○ リモートアクセスVPN  ・クライアント生成VPN  ・ネットワークアクセスサーバ生成VPN ○ サイトツーサイトVPN(拠点間)  ・イントラネットVPN  ・エクストラネットVPN □トンネリングプロトコル ・GRE  マルチプロトコル対応 ・L2TP  マルチプロトコル対応 ・IPSEC IPユニキャストのみ □用語 ○ Kerbers認証  ・Tacacs+やRadiusと異なり、DES暗号化認証をサポート ■IPSec □フレームフォーマット +--------+--------+---------+----------------------------+-----------+ |IPヘッダ|AHヘッダ|ESPヘッダ|IPデータ(暗号化ペイロード)|ESPトレーラ| +--------+--------+---------+----------------------------+-----------+        ↑ ※ ESPパケットでもAHヘッダは存在する □IKE/IPsecの準備 @ IKEポリシーの決定 ・鍵配布方式:手動 or CA ・認証方式 :事前共有 or RSA ・IKE Phase1ポリシー:暗号化アルゴリズム            ハッシュアルゴリズム            IKE SAライフタイム      ↓ A IPSecポリシーの決定 ・保護対象のトラフィック ・IPSecトランスフォームセット:認証ヘッダーや暗号化ヘッダー                 認証アルゴリズム                 暗号化アルゴリズム      ↓ B 現在設定の確認      ↓ C ネットワーク動作の確認      ↓ D アクセスリストとIPSecの互換性確認 ○ トランスフォームセット ・暗号化アルゴリズム DES, 3DES, AES ・鍵交換アルゴリズム Diffie-Hellman ・ハッシュアルゴリズム MD5, SHA-1 ○ 許可するプロトコル ・IKE(UDPポート500) ・AH (protocol番号51) ・ESP(protocol番号50) 例)#sh access-lists 102 sccess-list 102 permit ahp host 172.30.2.2 host 172.30.1.2 sccess-list 102 permit esp host 172.30.2.2 host 172.30.1.2 sccess-list 102 permit udp host 172.30.2.2 host 172.30.1.2 eq isakmp □IKEの設定 @ IKEの有効化 config)#crypto isakmp enable      ↓ A IKEポリシーの設定 config)#crypto isakmp policy      ↓ B ISAKMP IDの設定 config)#crypto isakmp identity { ip_addr | host_name }      ↓ C 事前共有鍵の設定 config)#crypto isakmp key      ↓ D 設定確認 config)#sh crypto isakmp policy □IPSecの設定 @ トランスフォームセットの設定 config)#crypto isakmp transform-set [ method ]      ↓ A IPSec SAのグローバルパラメータの設定 config)#crypto isakmp security-association lifetime seconds      ↓ B 暗号アクセスリストの設定 config)#access-list permit protocol < address > ※ 対向のルータのアクセスリストはミラー(鏡)イメージで設定すること      ↓ C 暗号マップの設定 config)#crypto map ipsec-isakmp      ↓ D インターフェースへの暗号マップの適用 config-if)#crypto map ※ インターネット側のインターフェイスに設定すること □IPSecのテスト ○ ISAKMPポリシーの表示 #sh crypto isakmp policy ○ 設定済みトランスフォームセットの表示 #sh crypto ipsec transform-set  Transform set mine : {esp-des}  will negotiate = { Tunnel } ○ SA設定および状態の表示 #sh crypto isakmp sa  Dst src state conn-id slot  172.30.2.2  172.30.1.2  QM_IDLE  47    5 #sh crypto ipsec sa ○ 暗号マップ設定表示 #sh crypto map ○ SAの消去 #clesr crypto sa ○ 動作表示 #debgu crypto isakmp #debgu crypto ipsec http://www.rccm.co.jp/~juk/krb/#MIT%20KfW