CCNA（200-301）WAN

WAN

WAN

WAN（Wide Area Network）

WANとは
・広義では、インターネットを含む広域通信網のこと
・狭義の企業におけるネットワーク環境を指す場合は、拠点間のLANを接続した広域プライベートネットワークのこと

主なWANサービス
・専用線
　シリアルインターフェースを使用
　1対1で常時接続
　1つの回線を自社専用で借りるため、セキュリティと信頼性を確保できる
　専用線の利用料金はVPNなどのWANサービスよりも高額である
　主なサービス名称：T1回線（1.5Mbpsの専用線を提供するサービス）
　プロトコル：PPP、HDLC
・広域イーサネット（イーサネットWAN）
　イーサネットインターフェースを使用
　専用線よりも高速通信が可能なのでテレビ電話を使ったオンライン会議にも対応可能
　プロバイダが用意している独自の通信網を使うため、インターネットよりは危険性が低い
　LANと同じインターフェースを使用する
　LANと同じプロトコルを使用する
　主なサービス名称：EoMPLS（Ethernet over MPLS）
　プロトコル：Ethernet
・インターネットVPN
　イーサネットインターフェースを使用
　公衆回線を仮想的に専用線のように利用できる
　プロトコル：IP

専用線の種類
・T4　274.176Mbps
・T3　44.736Mbps
・T2　6.312Mbps
・T1　1.544Mbps

HDLC
・シリアルインターフェースのデフォルトのカプセル化タイプ
・Ciscoでは、ISO標準のHDLCにタイプフィールドを追加した、独自のHDLCを使用している

WANのトポロジ
・ポイントツーポイント型
　拠点間を1対1で接続する構成
　回線の混雑状況による遅延などがなく通信品質が高い
　契約した通信速度が保証されており可用性が高い
　拠点間に物理的な配線が必要であり柔軟性に欠ける
　主なWANサービス：専用線
・ハブ・アンド・スポーク型（スター型とも呼ばれる）
　ある拠点を中心として他の拠点を放射状に接続する構成
　中心となる拠点は「ハブ」、その他の拠点は「スポーク」と呼ばれる
　スポーク間で通信する場合は、ハブを経由することになる
　ハブを用いてスポーク間通信のアクセス制限を容易に行える
　主なWANサービス：フレームリレー
・パーシャル(部分)メッシュ型
　重要な拠点などの一部をメッシュにする構成
　対障害性はフルメッシュ型に劣る
　必要な場所だけをメッシュとすることでコストと対障害性のバランスの取れた構成
　主なWANサービス：フレームリレー
・フルメッシュ型
　拠点同士が全て直接通信できる構成
　耐障害性が最も高い構成
　主なWANサービス：IP-VPN

VPN（Virtual Private Network：仮想プライベートネットワーク）

VPN
・VPNとは、通信データの盗聴を防ぐ技術のこと
・セキュアな通信を行いたい場合、通信の両端の機器間で「トンネル」という論理的な1対1接続を行う。トンネルの両端の機器同士が相互に認証、通信の暗号化を行うことで、途中で経由する機器ではトンネル内の通信がどのようなものか直接参照できなくなっている
・VPNは、暗号化トンネル（暗号化されたトンネル接続）を使用することで、仮想的なプライベート接続を実現している

インターネットVPN
・拠点間を接続するWANサービスの1つ
・インターネット回線を利用するので「低コスト」な上、VPNを行うので一定のセキュリティが確保される

インターネットVPNの接続形態
・サイト間（Site-to-Site）VPN
・クライアントVPN（リモートアクセスVPN）

サイト間VPN
・拠点間がVPNの端点になり、端点となるルータ同士で、IPsecを使ったトンネル接続を行う
・拠点内のクライアントはトンネルを通っているかどうかは認識していない
・PCはVPNクライアントソフトを必要としない

クライアントVPN（リモートアクセスVPN）
・クライアントPCと接続したい拠点のVPN機器でトンネル接続を行う
・IPsecや、SSLまたはTLSを使ったVPN（SSL/TLS VPN）接続を行う
・Cisco製品を例にすると、Cisco AnyConnect Secure Mobility Client（省略して「Cisco AnyConnect」と呼ばれる）とファイアウォール製品であるASAの接続で、SSL/TLS VPNを使用している

IPsec
・IPsecはIPを使った通信でセキュリティを確保するための規格
・IPsecで確立した接続を「セッション」と呼ぶ。セッションごとに生成される暗号化用の鍵（セッション鍵）は定期的に変更されるようになっている。IPsecによるVPNでは元のパケットのヘッダを含めた全体をセッション鍵（Session Key）によって暗号化する
・暗号化されたパケットはデータ（ペイロード）として扱われ、新たなパケットとするためにIPヘッダ、VPN用のヘッダをつけてトンネルの対向機器に送信される
・受信した機器は各種ヘッダを取り除き、暗号化されたデータを複合して元のパケットを取り出す。その後、元のパケットのヘッダを参照して送信する
・元のパケットのデータや送信元・宛先アドレスなどは隠蔽され、外部からはVPN機器同士が通信する暗号化されたパケットとしか見えなくなる

IPsecの通信モード
・トランスポートモードはパケットのデータ部のみを暗号化する
・トンネルモードはパケット全体を暗号化する

GRE（Generic Routing Encapsulation）
・トンネリングプロトコルの一つ
・ユニキャスト、ブロードキャスト、マルチキャストをサポートする
・カプセル化するのみで暗号化などは行わない
・動的ルーティングをサポートする

GRE over IPsec VPN
・GRE over IPsec VPNとは、GREとIPsecを組み合わせてVPNを構築する方法
・IPsecのセキュリティ機能と、GREのマルチキャストに対応可能というメリットを兼ね備えたVPNを構築できる

DMVPN（Dynamic Multipoint VPN）
・複数の拠点を接続するVPNの設定作業を簡略化する、Cisco独自のVPN設計
・ハブアンドスポーク構成を取り、スポーク拠点間の通信時はスポーク拠点同士で動的にGRE over IPsecトンネルを作成することができる
・ハブルータの暗号化にかかる処理負荷を減らすことができる

MPLS（Multiprotocol Label Switching）

MPLS
・現在のWAMサービスに使われている技術
・ラベルを使ってデータの宛先、送出インターフェースを特定し、転送する
・ラベルはレイヤ2ヘッダとレイヤ3ヘッダの間に挿入される
・MPLSを使ったネットワーク内ではレイヤ3ヘッダを参照せずにデータを転送することができる
・複数の顧客のネットワークで利用するアドレス範囲が重複していても、正しい宛先に転送できる

ラベルの付加によってWAN上で実現できる機能
・高速転送
・VPN（各顧客のネットワークを仮想的に分離）
・QoS（EXPフィールドに設定した値を使ったサービスクラス定義（Class of Service：CoS）に従って、パケットの転送に優先度が設定できる）
・マルチプロトコル（IPv4、IPv6、Ethernet、ATM、フレームリレーなどをサポート）

レイヤ3でのVPN（L3VPN）
・MPLSではレイヤ3でのVPN（L3VPN）を提供できる
・サービスプロバイダが提供するL3VPNは以下のように動作する
・接続する各顧客ネットワークのサブネット情報を取得する
・顧客ネットワークのサブネット情報を得るためのルーティングプロトコルを動作させる
・各顧客ネットワーク毎のアドレス空間を使用して宛先を決定、転送する

MPLSでの接続
・MPLSでは顧客のネットワークとプロバイダのネットワークを接続する
・各機器は設置場所によってCE（Customer Edge）、PE（Provider Edge）と呼ばれる
・CE-PE間の接続に使うアクセス回線には特に制限がなく、自由に回線を選択できる

MPLS VPN
・MPLS VPNでは顧客ネットワークで使用するEIGRPやOSPFといった動的ルーティングプロトコルを扱うことができる
・CE-PE間で動的ルーティングプロトコルのネイバを確立し、CEから広告された経路情報を他のPE経由で他のCEに広告する
・CE-PE間では任意のルーティングプロトコルを使用可能
・PE-PE間ではMPBGPが使用される

ISP（Internet Service Provider：インターネット接続事業者）

ISP
・企業がISPと契約してインターネットに接続する場合、いくつかの接続パターンがある
・接続パターンは「ISPとの接続リンク数」と「接続するISP数」の組み合わせになる

ISPとの接続リンク数による分類
・シングル：ISPと1本のリンクで接続
・デュアル：ISPと2本以上のリンクで接続

接続するISP数による分類
・シングル：単一のISPのみと接続
・マルチ：複数のISPと接続

シングルホーム
・シンプルな構成でかかる費用も少なくてすむ
・冗長性が低くルータの障害やリンク障害によってインターネットへ接続できなくなる

デュアル マルチホーム
　リンク障害やISP自体の障害が発生しても別のルートでインターネットへの接続を維持できるが、その分コストが上昇する