■VoIP実装 > インターフェースの種類 ・FXS(Foreign Exchange Station) アナログ電話、FAXのようなアナログデバイスを接続 ・FXO(Foreign Exchange Office) アナログPSTN(公衆交換電話網)へ接続するインターフェース ・E&M(Ear and Mouth または Earth and Magneto) PBXをアナログトランク接続する為のインターフェース ・BRI/PRI デジタルPSTNや、デジタルPBXにトランク接続する際に使用 > デジタルインターフェース IF 64kbpsデータ シグナリング 帯域幅 チャンネル数 kbps kbps -------------------------------------------- BRI 2 16 144 T1 CAS 24 インバンド 1544 T1 CCS 23 64(Dチャンネル) 1544 E1 CAS 30 64 2048 E1 CCS 30 64(Dチャンネル) 2048 CAS(Channel Associated Signaling):個別信号線方式 CCS(Common Channel Signaling ) :共通線信号方式 > VoIPシグナリングプロトコル ・分散型コール制御 プロトコルは「H.323」と「SIP」を使用。 VoIPエンドデバイスにて呼の確立、維持、解放を行う。 それぞれのゲートウェイが処理を行う為、全体に障害が波及することはない。 ・集中型コール制御 プロトコルは「MGCP(Media Gateway Control Protocol)」を使用。 CA(コールエージェント)がコールディング、CAC、呼の確立、解放を行う。 エンドポイントはコール制御機能を実装しない。設定保守が必要なのはCAのみ。 > CAC(Call Admission Control) VoIP同時通話数を制限することで既存通話の品質を保つ。 > Cisco Unified Call Manager 電話での通話を処理する。これは、従来の電話環境であればPBXにあたるもの。 コール処理、ダイヤルプラン管理、シグナリングとデバイス制御、 電話機能管理、ディレクトリサービスとXMLサービス、外部アプリケーション用のAPI等を行う。 > SRST(Survivable Remote Site Telephony) WANリンクの障害などによってCisco Unified CallManagerに アクセスできないことを検出すると、呼処理をルータ自身が実行するように自動設定する。 これによりリモートオフィスでのテレフォニー サービスは継続できる > VAD(Voice Activity Detection) 通話中の無音(会話の途切れ)を検出し、無音部分の音声データを作成しない機能。 1つのリンク上に24個以上のアクティブな音声コールがある場合、35%の帯域幅を節約できる ■コーデック コーデック標準 呼称 帯域幅(kbps) -------------------------------------------- G.711 PCM 64 G.726 ADPCM 40/32/24/16 G.728 LD-CELP 16 G.729 CS-ACELP 8 > デジタル化される音声 IP、UDP、RTP 20byte + 8byte + 12byte + デジタル化された音声 更にイーサネットヘッダ(18byte)を付与する > アナログ→デジタルのエンコード サンプリング → 量子化 → エンコーディング → (圧縮) > デジタル→アナログのデコード デコード と フィルタリング → アナログ信号の再構成 > 帯域幅要件 「フレーム全体サイズ(bit)」x「パケットレート(pps)」 音声サイズ :Codecの帯域幅(bps) x パケット化間隔(s) / 8 フレーム全体サイズ:(58 + 音声サイズ(byte))x8。 パケットレート :1秒間に処理できるパケット数。 ■VoIPゲートウェイ アナログ信号⇔デジタル信号の変換。(DSPにより行う) デジタル音声信号のIPパケットへのカプセル化を行う。 > POTSダイヤルピア(内線番号をローカルVoIPの特定音声ポートに関連付け) (config)# dail-peer voice <タグ(数値)> ports (config-dial-peer)# destination-pattern <内線番号> (config-dial-peer)# port <音声ポート(1/0/0等)> > VoIPダイヤルピア(内線番号とそれを終端するリモートVoIPゲートウェイのIPアドレスを紐付け) (config)# dail-peer voice <タグ(数値)> voip (config-dial-peer)# destination-pattern <宛先内線番号> (config-dial-peer)# session target ipv4:<宛先IPアドレス> ■----------------------------- ■VoIPの遅延要素 > エンドツーエンド遅延 送信元から宛先に届くまでの遅延 > 処理遅延 ルータやL3スイッチなどのデバイスで入力IFから出力IFに移動させる処理にかかる時間 > キューイング遅延 IFの出力キューでキューイング処理にかかる時間 > シリアライゼーション遅延 フレーム中の全ビットを物理回線に乗せるまでの時間 > 伝播遅延 シリアル化されたフレームが物理回線を通過し次のネットワーク機器に届くまでの時間 ■QoS 遅延、ジッタ(遅延変動)、使用可能な帯域幅、パケット損失を管理することで音声品質を確保する。 遅延の主な原因は、"出力キューの輻輳"と"ヘッダのオーバーヘッド" > Qosポリシー定義 ・トラフィックの種類と要件を特定する ・特定した要件を元にトラフィックを分類する ・トラフィックのクラス毎のポリシーを決める →各クラスに最小及び最大の帯域幅を設定する →クラス間の相対的なプライオリティレベルを割り当てる →各クラスに輻輳管理や回避などのQoS機能を割り当てる > IntServ 各アプリケーションが必要とするリソースについてシグナリングによる 明示的な予約・管理を行うことで遅延を保証するQoSを実現。 【メリット】 ・明示的なエンドツーエンドのリソースアドミッションコントロールが行われる ・要求毎にポリシーアドミッションコントロールが行われる ・ダイナミックポート番号のシグナリングが行われる 【有効にする必要がある機能】 ・RSVP(Resource Reservation Protocol) ネットワーク上で送信先までの大域を予約しエンドツーエンドの品質を保証する。 プロトコル番号:46 ポート番号3455を使用 ・アドミッションコントロール ・キューイング ・スケジューリング ・分類 ・ポリシング > DiffServ パケットのIPプレシデンス、送信元IPアドレス、宛先IPアドレスに基づくクラス分けし クラス毎にQoSを適用する。 アプリケーションのフローを認識する訳ではない為、事前シグナリングは不要。 > QoSの実装方式 ・CLI ・MQC(モジュラQoSコマンドラインインターフェース) class-map トラフィッククラスを定義 policy-map トラフィッククラスに対するQoSポリシーを定義 service-policy インターフェースに適用する ・AutoQoS IFでAutoQoSを有効にするには、CEF、NBARを有効化し、当該IFに正しい帯域幅を設定しておく必要がある ・SDM QoS Wizard →GUIベースでQoSの実装、監視、トラブルシューティングが可能。 > Cisco SDM Qos Wizard リアルタイムと、ビジネスクリティカルの帯域を何パーセント使うか決める。 ベストエフォートは上記2つのトラフィックを差し引いた余った分を使う。 設定できるキューイング方式は「LLQ」または「CBWFQ」 トラフィックタイプ トラフィッククラス ------------------------ ------------------ リアルタイムトラフィック 音声 コールシグナリング ビジネスクリティカル ルーティング トラフィック 管理 トランザクション ベストエフォート ベストエフォート > Qos事前分類 トンネリングによってカプセル化される前にIPヘッダをコピーしてトラフィックを分類。 Tos値のみを使用したQosを使用する場合はデフォルトでIPヘッダはコピーされる。 GRE、L2TP、PPTP、IPSecなどに対応。 qos pre-classifyコマンドで設定。トンネルIF、暗号化マップ(crypto map)、バーチャルテンプレートのみに適用可能。 ■CoPP コントロールプレーンポリシング > データプレーン 発信元から宛先へのデータ移動を担当 > マネジメントプレーン SNMP、Telnet、SSHなど管理用トラフィックを処理する > コントロールプレーン ルーティングプロトコルやICMP等を処理する CoPPによって保護されるのは、マネジメントプレーンと、コントロールプレーン。 ■----------------------------- ■DiffServ IPヘッダのToSフィールド(8ビット)をDiffServフィールドとして再定義し、 上位6ビットをDSCPとする。上位3ビットはIPプレシデンス。 DSCPはIPプレシデンスと下位互換がある。 スケーラビリティがある。 > トラフィックシェービング 超過したトラフィックをバッファに溜める。 アウトバウンド(発信)側でのみ定義可能。 FECNやBECN等のフレームリレーの輻輳通知をサポート。 > トラフィックポリシング 超過したトラフィックをドロップ又は再マーキングする。 イン・アウトどちらでも設定可能。 policy-mapのクラスに適用するには policeコマンドを使用する > フラグメンテーション/インターリーブ パケットをフラグメント化し、インターリーブによってフラグメント間に 異なるフローのデータを入り込めるようにする。 ハードウェキュー遅延や、大きなデータが存在する場合の遅延を緩和できる。 低速リンクに有効なオプション。 > NBAR(Network-Based Applicati Recognition) プロトコル検出、トラフィックの統計情報収集、トラフィックの分類を行う。(サブポートの分類) 検出できるプロトコルはPDMLファイルを読み込ませることで拡張できる 【制限事項】 ・FastEthernetChannelの論理インターフェースでは機能しない ・同時に処理できるURL、ホスト、MIMEタイプは最大24件 ・TCP/UDPのペイロード解析を先頭400バイトまでしか行わない ・CEFしかサポートしない > レイヤ2のマーカー ・イーサネットフレームは 802.1Q/p Cos ヘッダ内に3ビットのプライオリティを設定する。トランクリンクのみ設定される ・フレームリレーはDE(Discard Eligible:廃棄適性) 1ビットのフラグ(0:廃棄しない 1:廃棄すべき) ・ATMセルはCLP(Cell Loss Priority:セル優先廃棄) > VPN 主な機能は、機密保持、データ整合性、認証。 有効なタイプは、イントラネット、クライアント開始リモートアクセス、NAS開始リモートアクセス。 > PHB(Per-Hop Behavior) ネットワーク中の個々のホップ毎にトラフィックの各クラスに与えるべきサービスレベルを事前に定義する仕組み。 DSCP値を設定することでホップ単位の挙動を制御する。 ---000:クラスレスセレクタ(ToSベースのIPプレシデンスとの下位互換) 000000:デフォルト(ベストエフォート) 001--0〜 100--0:AF(帯域幅保証) 101110:EF(遅延の少ないサービス提供、ジッタやパケット損失を最小限に抑える) ■キューの種類 > FIFO 最初にキューに入ったパケットが最初にネットワークに送出される 低速でないIFのデフォルト。 > WFQ(Weigthed Fiar Queuing:重み付け均等化キューイング) ・トラフィックをフローに分割する ・アクティブなフローに帯域幅を均等に割り当てる ・低ボリュームのインタラクティブフローを優先する ・優先度の高いフローに大きな帯域幅を提供する 【フローの識別と差別化のフィールド】 ・送信元、宛先IPアドレス ・送信元、宛先ポート番号 ・プロトコル番号 ・ToS 【特徴】 ・設定が簡単で明示的な分類を必要としない ・フローを枯渇せず、すべてのフローに対してスループットを保証する ・殆どのアグレッシブフローからのパケットをドロップする為、 アグレッシブでないフローを優先的に処理できる ・殆どのCiscoプラットフォームでサポートされる標準的で単純なキューイングメカニズム 【制限事項】 ・分類およびスケジューリングの設定変更ができない ・低速なリンク(2.048MBps)でしかサポートされない ・トラフィックフローに対する帯域幅の遅延や保証がない ・WFQシステム内の同じキューに複数のトラフィックフローが割り当てられる可能性がある > PQ(Priority Queuing) 優先度を 高 中 普 低 の4つのキューに分けてキューイングし高のキューを必ず優先させる > WRR(Weigthed Round-Robin:重み付けラウンドロビン) 4つのキューにパケットをキューイングし順番にスケジューリングする。 その際に設定重み付けが可能。重みの数だけパケットを流す度、次のキューを処理する。 > CQ(Custom Queuing) WRRがベースになっており、各キューに帯域幅を割り当ててスケジューリングする。 > CBWFQ(Class-Based Weigthed Fiar Queuing:クラスベース重み付け均等化キューイング) CQを発展させてより正確な帯域幅の割り当てが出来るようにしたもの。 各キューに対して最小帯域幅を設定し保証する。 キューは最大パケット数に上限があるFIFO、最大数に達したらテールドロップされる。 > LLQ(Low-Latency Queuing:低遅延キューイング) CBWFQにPQ(完全優先キュー)を加えたもの。音声トラフィックで適してる。 【設定例】 policy-map Pol-Voice class voice priority 50 ← 50kbpsの帯域幅を保証(priorityコマンドは完全優先キュー) class datapacket bandwidth 200 ← 200kbpsの帯域幅を使用可能(完全優先キューではない) class default fair-queue > SRR WRRと同じ仕組みを踏襲し、スケジューリングの際、同時にシェイピング処理を行うことが可能 > RED(Random Early Detection:ランダム早期検出) 輻輳時に行われるデフォルトのキューイングは テールドロップ(キュー長が廃棄閾値を超えるとパケットを廃棄する機能)であり、 キューが満杯になる前にランダムに選択したパケットをドロップする。 キューサイズが大きいほどドロップ率が高い。 最小閾値、最大閾値、マーク確率値(パケット何個に対して1パケットドロップするか)を設定する。 最小閾値〜最大閾値の間にある時はマーク確率値にてドロップされるレートが決まる。 最大閾値を超えてる場合はテールドロップと同じ動作になる 【動作モード】 ・ノードロップ 平均キューサイズが最小閾値以下の場合、ドロップをしない ・ランダムドロップ 平均キューサイズが最小閾値〜最大閾値の愛大の場合、MPD値毎に1つのパケットを廃棄 ・テールドロップ 平均キューサイズが最大閾値以上の場合、全てのパケットが廃棄 > WRED(Weighted Random Early Detection) REDにトラフィックのプライオリティを付与したもの ■----------------------------- ■AutoQoS 第1世代のAutoQoS VoIP、第2世代のAutoQoS Enterpriseがある。 AutoQoS Enterpriseはルータのみサポートで以下の2ステップを行う。 @NBARプロトコル検出を利用し自動検出を行う。 (config-if)# auto qos discovery [trust] trustは予め設定したQoSに基づくマーキング、省略するとNBARに基づく分類。 A自動生成されたQoSポリシーを適用する。 (config-if)# auto qos [voip [trust] [fr-atm]] voip :AutoQoS VoIPを有効にする trust :予め設定された入力パケットに基づくQoSポリシーを適用 fr-atm:フレームリレー/ATM間のインターワーキング用のVoIPが有効になる 【ルータ設定の前提条件】 ・IFにQoSポリシーを適用できない ・IFでCEFを有効にする必要がある ・IFまたはサブIFで正しい帯域幅を設定する必要がある ・低速IF(768kbps以下)ではIPアドレスを設定する必要がある 【設定する機能】 ・LLQ VoIPトラフィック用にプライオリティキューを確保しその他のキューはCBWFQでクラス毎の帯域幅保証を設定 ・cRTP IP/UDP/RTPヘッダを40byteから2/4バイトに減らす。低速シリアルIFで有効になる ・LFI 低速IFでデータパケットをフラグメント化し、その間に音声パケット挿入をすることでジッタや遅延を減らす機能 【有効にできるIF】 ・PPPまたはHDCLでカプセル化が行われるシリアルIF ・フレームリレーのポイントツーポイントサブIF ・ATMポイントツーポイントサブIF ・フレームリレー/ATM間インターワーキングリンク 【確認コマンド】 > show auto qos AutoQosのテンプレートと初期設定を表示 > show auto discovery qos  NBARによるプロトコル自動検出の結果を表示(ルータのみサポート) > show mls qos [interface] QoS設定情報を確認 > show mls qos maps [cos-dscp|dscp-cos] DSCP⇔Cosのマッピング情報を表示(スイッチのみサポート) 【分類オプション】 > トラフィックが入ってくる特定の入力IFに基づく分類 match input interface > レイヤ2 CoS値に基づく分類 match cos [...] > レイヤ3 IPプレシデンス値に基づく分類 match ip precedence [ ...] > レイヤ3 IP DSCP値に基づく分類 match ip dscp [...] > RTPポート値の範囲に基づく分類 match ip rtp <ポート番号> <ポート範囲> > 有効になるDiffServ Qos DiffServ機能 AutoQosが仕様するCiscoIOS Qos機能 ------------ ----------------------------------------------- 分類 NBARの仕様(信用されないリンク) IPプレシデント、DSCP、Cosの使用(信用されるリンク) ------------ ----------------------------------------------- マーキング クラスベースマーキング ------------ ----------------------------------------------- 輻輳管理 帯域幅のパーセントテージを利用したLLQ(PQ+CBWFQ) WRR(Catalystスイッチ) ------------ ----------------------------------------------- シェービング CBTS(Class-Base Traffic Shaping) FRTS(Frame Relay Traffic Shaping) ------------ ----------------------------------------------- 輻輳回避 WRED(Weighted Random Early Detection) ------------ ----------------------------------------------- リンク効率化 LFI、MLP、cRTP ------------ ----------------------------------------------- ■AutoQos VoIP Catalystスイッチで唯一対応しているQoS。 (config-if) auto qos [cisco-phone | trust] ・PQとWRRの設定を生成する。 ・ポートの出力キューイングとバッファ割り当てを自動的に設定する ・アクセスポートとアップリンク/ダウンリンク上に境界を設ける ■----------------------------- ■WLANセキュリティ > スプリットMACアーキテクチャ 802.11データ、管理プロトコル処理、AP機能を LWAPと集中型WLANコントローラーに分散した仕組み。 ビーコン生成、プローブの送信と応答、電源管理、スケジューリング、キューイング MACレイヤデータ暗号化・復号化、コントロールフレーム・メッセージプロセシング、パケットフィルタ > WEP 暗号化アルゴリズムはRC4を使う。 オープン認証では、キーやパスワードによる認証は行われずAPに接続できる。 認証は使用しないがデータを暗号化したい場合、オープン認証とWEPキーを組み合わせる。 WEPキーが異なる場合、AP接続はできるがデータ転送はできない 共有鍵認証ではWEPキーがAP間で一致しているか認証を行う。 異なっていた場合は認証失敗しAP接続もデータ転送もできない。 > WPA(Wi-Fi Protected Access) TKIPを使用して暗号化キーを動的に変更するが暗号化アルゴリズムはWEPと同じ。 Enterpriseモードでは802.x認証、PersonalモードではPSK認証を行う。 MICを使用してパケットの改ざんを検出する。 > WPA2 AES暗号化を使用する。 > LEAP(Lightweight Extensible Authentication Protocol) 無線LAN用の802.1x認証の一種。 ・Cisco製、またはCisco互換のクライアントとの高速でセキュアなローミング(レイヤ2、3) ・Active Directory使った既存のユーザー名、パスワードによる本来のシングルログイン > EAP-FAST ・シングルサインインのサポート ・802.11i、802.1x、TKIP、AESの完全なサポート ・WPA、WPA2の認証キー管理のサポート ・無線ドメインサービスによる高速セキュアローミングのサポート > EAP-TLS インターネットのようなパブリックドメイン上でセキュアな通信を提供する。 PKIを使用する為、以下の要件を満たす必要がある。 ・クライアントは証明書を取得しなければならない。 ・AAAサーバは信頼性をクライアントに保証する為に証明書を必要とする。 ・認証局サーバはAAAサーバとクライアントに証明書を発行する必要がある。 > PEAP PKI証明書を使ったサーバ認証だけが行われる。(デジタル証明書が不要) @サーバ側の認証が行われ暗号化したトンネル(TLS)が作成されデータが暗号化される。 ATLSトンネル内でEAP-GTCまたはEAP-MSCHAPv2のどちらかを使ってクライアント認証する EAP-MSCHAPv2はシングルログオン、ワンタイムパスワードをサポートする > Cisco Unified Wireless Network クライアントデバイス、AP、ネットワーク統合、ネットワーク管理、モビリティサービス の5つを相互接続要素を介して無線LANの全てのレイヤに対処する。 > WLSE(Wireless LAN Solution Engine) Autonomous無線LANにパフォーマンス最適化と高可用性を提供するソリューション。 ・自動再サイトサーベイ 効率のよいチャンネルを選択し電力レベルを調整。 ・セルフヒーリング AP障害を検知すると自動で電力を上げ他のAPへアクセスできるようにする AutonomousAPが無線監視等の情報をWDS(Wireless Doman Services)に送り、 WDSがこの情報を集約してWLSEに送る。 【バージョン】 WLSE 2500台のAP管理 WLSE Express 100台のAP管理、AAAサーバー統合 > WCS(Wireless Control System) LightWeight無線LANの管理ツール。監視及び制御を行う。 50台のWLC(WLAN コントローラ)と、1500のAPをサポートする。 【バージョン】 WCS Base WCS Location 不正APを数メート以内の精度で特定できる