2002年5月
株式会社クレス
DSL(Digital Subscriber Line: デジタル加入者線)は、従来の銅対線の加入者電話回線に高度なモデム技術を使って広帯域のデジタル通信を可能にする技術です。特にインターネット・アクセス・サービスのためのADSL(非対称DSL)は、現在急速に普及が進んでいます。日本の場合はISDN(Integrated Services Digital Network: 統合サービスデジタル網)の信号がDSLと干渉を生じやすい方式(いわゆるピンポン方式)が採用されていること、光ファイバー化が他国より先行していることから、長期的にはDSL技術は過渡的なものとして捉えられてはいますが、当面はブロードバンド・アクセスの主流であり続けると考えられます。従ってウェブ・アプリケーションなどに関わるソフトウエア技術者にとって、DSLの基本的な知識を有することが必須となっています。
内容
DSLとSOHO
DSLはご存知のように比較的低料金でブロードバンド・インターネット接続が可能となり、一般ユーザだけでなく、SOHO(Small Office Home Office: 小規模企業や自宅勤務)に適しています。最近は中規模の企業においてもその応用が拡大しています。SOHOでの一般的な構成は次のようなものです。
この図は加入者側に最低どのようなものが必要かを示すものです。実際はインターネット側にはのちほど説明しますが電話局側の施設を含むプロバイダのシステムが介在します。最近のブロードバンド・ルータにはスイッチング・ハブの機能を有するものがあります。また、PPPoA(PPP over ATM)の方式の場合にはブロードバンド・ルータの機能はASDLモデムに含まれており、更に少ない機材で複数のコンピュータをひとつの回線でインターネットとブロードバンド接続できるようになっています。これらの機器の機能を簡単に説明すれば、ADSLモデムは電話回線上に高速でデジタル情報を伝送する装置、ブロードバンド・ルータはひとつのIP(Internet Protocol)アドレスを使ってこのネットワーク上の複数のコンピュータがインターネット接続するための制御装置、スイッチング・ハブはあるネットワークに複数のコンピュータをイーサネットで接続する装置です。
DSLにはいろんな方式がある
DSLの方式を下図に示します。現在はインターネット・アクセスが主流なので、下りの帯域が広いADSL(Asynchronous Digital Subscriber Line: 非対称DSL)が一番多く採用されています。
細かく言えば、実はADSLにも方式が更に分かれます。下表は現在日本で使われている方式を示します。プロバイダが提供するモデムを使用する場合は問題がありませんが、ユーザ側でモデムを用意する場合には、各々の間での互換性がありませんので注意が必要です。最近は8Mbpsや12Mbpsが急速に普及しています。しかしながら局との距離が長いと実質的な伝送速度は低下しますので、注意が必要です。
DSLはインターネットとどう接続されるのか
DSLモデムそのものはデータを高速で転送するためのものですが、実はデータをどのような形(かたまり)にして転送するのかがこの節のテーマです。DSLはそもそもISDNのように多岐にわたるマルチメディア情報(電話、ファックス、ビデオ、ドキュメント・・・)をまとめて転送することを目的にしています。単にインターネットで使われているIPデータを転送することだけを目的にしていないので、DSL回線を通過するデータは下図に示すように細かいATMセルと呼ばれるかたまりにして転送されます。
|
|
ヘッダ領域にはATMスイッチ間の識別情報であるVPI(Virtual Path Indicator)や端末のサービス間の識別情報であるVCI(Virtual Channel Indicator)などの情報が含まれており、これに基づいてセルの転送が行われています。セルがどのようにATMスイッチ間で転送されるかを下図に簡単に示します。ユーザからの接続要求などのシグナリング処理にはVPI=0, VCI=5のシグナリング用のVCをつかうか、VPI=0, VCI=1のメタシグナリング用VCでシグナリングVCを設定してから、そのVCIのATMセルでサービスノードにアクセスします。
|
|
さて、このようなATM網に一体どのようにインターネット・アクセスのサービスが構築されているのでしょうか。WAN(NTTの局間網)は光ファイバーで構成され、最近はATMベースだけでなく、ギガビット・イーサネットも使用されていますが、少なくとも皆さんの加入者宅のDSLモデムと、加入電話回線を集線して上位の電話局に中継する役割を持つ加入者交換局(GUC: Group Unit Center)に設置されたDSLAM(DSL Access Multiplexer)との間はATMによる伝送となっています。
|
|
最初に加入者宅のDSLモデムと、これに対向する加入者交換局内のDSLAMのDSLモデムとの間でATMの制御手順を使ってリンクの確立がされます。これにはモデム間でどの程度の速度でデータ転送が可能かなどの調整作業(トレーニング)が含まれます。DSLモデムの電源を投入するとADSLのLinkと表示されているランプが点滅しますが、その間はこのリンク確立作業中であることを示します。
モデム間のリンクが確立すると、次にアクセスサーバ(BAS: Broadband Access Server)との間でPPPoAまたはPPPoEのセッションによるアクセス認証が行われます。これにはユーザ名とパスワードが使われます。ログインが終了すると引き続きPPP(Point to Point Protocol)のセッションが行われます。これは、インターネットで使われているIPを転送するのに必要な設定を行う手続きです。一番重要なのはIPアドレスの取得でしょう。IPアドレスは貴重な資源です。インターネット接続事業者(ISP: Internet Service Provider)たちはこれを有効に使用するために、接続してきたユーザだけにIPアドレスを付与します。つまりユーザのIPアドレスは一般に固定されていません。IPが固定されていないとユーザ側でWebサーバやメールサーバを持つときに支障がでます。その場合は、追加料金が必要になりますが、固定IPアドレスの付与サービスを利用します。BASはこれ以外にもルータ機能を持ち,加入者やアプリケーションごとの優先制御や帯域管理なども可能です。
PPPoAとPPPoE
さきほどお示しした図では、ユーザとインターネットとはただひとつのISP(あるいはBAS)を介して接続されています。KDDIが提供するDionや日本テレコムのJ-DSLなどは、自分自身がISPでもあるわけで、このような構成で問題がありません。しかしながらNTTが提供するフレッツ・ADSLは、多数のプロバイダがこれを使ってインターネット・接続サービスをするよう義務付けられています。ユーザにとっても、1本のDSL回線を使って同じLANに属するあるPCはAというプロバイダ、他のPCはBというプロバイダと接続という具合にプロバイダを使い分けることが出来るのは便利です。PPPoEというプロトコルはその為に開発された方式です。PPPoAとPPP0Eの技術的な詳細は別資料で紹介してありますが、ここでは初心者むけに簡単にその相違を示します。
PPP(Point To Point Protocol)というのは、もともと一般の通信回線にインターネットで使われているIPパケットを乗せるためにどうカプセル化し、またどのようにリンクの制御を行うかを定めたプロトコルで、IP通信には欠かせないプロトコルです。従来のダイヤルアップ接続の場合は、このプロトコルを使ってユーザ認証やIPアドレスの取得などを行っていました。PPPは、企業のルータ間での接続の際などにも使われ、2拠点間を接続し、通信するためのWAN用プロトコルです。
DSLの場合はもともと高度の機能を持ったATMをベースにしているので、ATMの制御プロトコルを使ってインターネット接続手順を行うというのが素直な発想です。PPPoA(PPP Over ATM)がそうです。詳細は省略しますが、プロトコル上の構成は下図のようになります。
PPPoAは、インターネットの仕様書RFC2364の「PPP over AAL5」で規定されています。しかしながら、PPPoAのリンク制御はモデムが行ってしまい、PC(あるいはそれが持つIPアドレスやそれが出すIPパケット)とは無関係です。したがって、最近のPPPoA機能を有するDSLモデムは同じISPという制約はあるが複数のPCが利用できるようルータの機能や、ひとつのIPアドレスを共有するためのNAPT(Network Address Port Translation: IPマスカレードとも呼ばれる)の機能を持つのが一般的です。そのようなモデムを使うと、安価なハブを追加するだけで簡単に複数台のPC接続が可能になります。もちろん1台のPCしか接続しないときは、ハブは不要ですし、ISPから付与されるグローバルIPアドレスがそのまま使用できます。
|
|
PCごとにリンク制御が出来れば、PCごとにISP接続が出来るようになります。LAN上のPCは通常イーサネットで接続されています。したがってイーサネットのプロトコルにDSLのリンク制御を含めてしまえばこの問題が解決されます。この方式をPPPoE(PPP over Ethernet)と呼びます。プロトコル上での構成は下図のようになります。
PPPoEの場合はモデムではリンクの制御をしないので、これは各PC(PPPoEクライアント・ソフトウエアが必要)またはルータ(ブロードバンド・ルータと呼ばれている)が行います。モデムは本来のATMベースでデータを転送するだけの機能しか必要ありませんので、小型化や低価格化がはかれます。なお、モデムによってはルータの機能を有して、PPPoEでリンク制御をやってしまうものもあります。そのようなモデムの場合は、アクセスするISPがひとつに制限されますが、前図の構成が適用できます。しかしながら、NTTの回線(フレッツ・ADSL)で使用されているモデムはルータの機能はなく、いわゆるブリッジ・タイプと呼ばれるものです。
下図はフレッツ・ADSLの回線を使用して、複数のPCがひとつのISP接続を共有する場合の構成例です。リンクの制御はブロードバンド・ルータが受け持ちます。このルータはまた、ひとつのグローバル・アドレスを複数のプライベートアドレスを持ったPCが共有するためのNAPT(IPマスカレード)や、簡易なファイアウォールの機能を持ちます。
|
|
ルータの機能
例えばルータ機能付のADSLモデムの設定画面を開いてみると下図のような設定項目があります。これらはブロードバンド・ルータでも類似しています。ブロードバンド・ルータを使われる方は、マニュアルに類似した説明が記載されていることに気付かれるでしょう。
|
|
これらの設定項目を見ると、ADSLでISP(Internet Service Provider: プロバイダ)とのリンクの確立と維持をするために何が必要なのか、ルータとしてどの程度の機能を持っているかなどがわかります。まずこのモデムはルータのモードとブリッジのモードを有し、これが選択できるようになっています。ブリッジのモードでは設定するものはカプセル化(LLCを使うかVC多重を使うか)の選択だけです。
|
AAL5上のカプセル化に対しては、すでにRFC
1483(Multiprotocol Encapsulation over ATM Adaptation Layer 5: Obsoleted by
2684)に定められている。RFC 1483ではAAL5でコネクションレス型PDU(Protocol
Data Unit)を運ぶ手段として2つのフォーマットを定めている。ひとつはLLCカプセル化で、複数のプロトコルをひとつのバーチャル・サーキットに載せるもので、IEEE802.2 LLC(論理リンク制御)を使う。もうひとつはVC多重化であり、プロトコル種別毎にバーチャル・サーキットを張るものである。RFC 2364はこの2つをサポートすることとしている。 |
ルータ・モードを選択すると、下図のような設定項目が表示されます。これらはリンクの確立に必要な項目です。カプセリングは、ATMのインターフェイスにどのような形でデータをカプセル化して渡すのかを指定します。PPPoA(PPPoEでも同じですが)でのセッションでなされることはユーザの認証です。PPPoAのセッションが終了すると、PPPのセッションで、ここでログインしてきたユーザにIPアドレスが渡されます。
|
|
ルータの機能にはProxy DNSの機能があります。この機能はDNS(Domain Name Server/Service) サーバの代理(プロキシ)応答を行うものです。各PCのTCP/IP設定の中で、DNSサーバのIPアドレスとしてこのルータのLANポートIPアドレスを設定することにより(後述のDHCP機能が活かされている場合はこのIPアドレスもルータから渡される)、仮にSP側のDNSサーバのIPアドレスが変更となっても、各パソコンのDNSサーバの設定を変更する必要がなくなります。ISPのDNSサーバのIPアドレスはPPPのセッションでISP側から渡されます。
|
|
ルータにはDHCPサーバの機能も含まれます。DHCP(Dynamic Host Configuration Protocol: ダイナミック・ホスト設定プロトコル)は、PCの起動時に必要なネットワークの設定項目をサーバから取得できる機能です。これはTCPのアプリケーションのひとつです。クライアントのPCからDHCPサーバに自分のリンク層(MAC)アドレスを付けたDHCPDISCOVERというメッセージを送ります。DHCPサーバは必要なパラメタをそのリンク層アドレスのPCにDHCPOFFER というメッセージで配布します。ADSLモデムのルータ機能の場合は、下図に示したような項目が各PCに配布されます。この機能により、各PCのIPアドレスを固定する必要がなくなるので、人事移動や組織の変更があってもPCの設定を変更する必要がなくなり、保守の面で有利です。またノートPCのように移動させてもその都度手動で設定を変更する必要もなくなり、ユーザにとっても便利な機能です。
|
|
ADSLの場合に重要なルータの機能はNAPT(Network Address Port Translation : IPマスカレードと呼ばれる)です。ISPから配布されるグローバルIPアドレスをLAN上の複数のPCが共有する機能です。LAN上のPCはプライベート・アドレスを使用します。NAPTサーバはそこを通過するTCPパケットのポート番号からIPアドレスの対応づけをします。下図はその動作を簡単に示したものです。
|
|
この図ではNAPTルータは218.222.15.70というひとつのグローバルアドレスに到来したIPデータグラムをTCPのパケットに組み立て、そのポート番号からプライベート・アドレスを持った4台のPCに振り分けます。NAPTの設定は下図のようにシンプルです。
|
|
|
IP masquerade: IPの上位プロトコルであるTCP/UDPのポート番号も識別することで、異なる通信ポートを利用するものについては、1つのグローバルIPアドレスを利用して、複数のローカルノードが外部と通信できるようにしたソフトウェア。UNIXシステムの1つであるLinux上で最初に開発された。「masquerade」は「仮面舞踏会」という意味。 |
企業の場合
新しいブロードバンド・インターネット・アクセス、特にDSLによるインターネット環境は、これからの企業活動とりわけSME(Small and Medium Enterprises)と呼ばれる中小企業にとっては、大きなツールとなるだけでなく、新たなビジネス・チャンスを与えるものであります。ブロードバンドは単に高速ということだけではなく、ビジネスのあり方を変える可能性を持ちます。例えば顧客との取引のありかた(オンライン・ビジネス)、従業員の仕事のありかた(ノマディックな業務、リモートや在宅業務)などの改革に活用することで、皆さんの会社を革新的なビジネスの世界の先導的な位置に置くことが出来ます。調査会社IDCの報告では、米国では約70万の小企業(従業員100名以下)が既にブロードバンド接続を利用しています。
企業の場合は通常メール・サーバやWWWサーバを自社で持つのが一般的でしょう。その場合は固定アドレスにしないと不都合が生じます。これらのサーバは外部から接続が開始されます。外部から見たIPアドレスが変化すると、DNSサーバやルータが直ちにこれに対応してくれる保証はありませんし、IPアドレスが外部のコンピュータに登録されている可能性があるからです。また、拠点間をDSLを使ってネットワーク化するVPNも、従来の専用線接続に比べれば大幅なコストダウンと帯域の拡大が得られます。
固定アドレスを取得して、メール・サーバやWWWサーバを持ったネットワーク、あるいはVPNを構築される場合は、専門家に相談されることをお勧めします。自分たちで全部を構築するよりも、専門家の助言を得たほうが遥かに早く、また効率的に事業に活かせます。
以下にDSLによる接続を企業が利用する場合のポイントを幾つか紹介します:
ファイアウオール
ブロードバンドの常時接続は企業にとっては新たな機会を提供するものではありますが、安全性に関してはより注意が必要になります。ブロードバンド化されるということはそれだけハッカーの攻撃に遭う機会も多くなることを意味します。万一ハッカーに侵入された場合は、企業に与える損害は大きなものとなります。攻撃の例としては:
・ 認証されていないのに入り込んでデータを盗んだり破壊したりする
・ DOS(Denial Of Services: サービス拒否)攻撃は、LAN内の装置への正規のユーザからのアクセスを拒否させてしまう
・ ビールス:e-メール、ファイルやアプリケーションに添付され、破壊活動を起こすと共に伝染する
・ インターネット上のデータを盗聴する
・ インターネット上の不適切なコンテントが従業員の効率やモラルを低下させる
などがあります。ファイアウオールはその総てに対応するものではありませんが、基本的にインターネット側からLAN側にアクセスしてくるパケットを排除することで、セキュリティのレベルを上げるものです。
|
|
かといって総ての到来アクセスを拒否するわけには行きません。WWWサーバ、SMTP(Simple Mail transfer Protocol)のメール、DNSへのアクセスは最低限必要です。WWWサーバはDMZ(De-militarized Zone: 非防護ゾーン)と呼ばれる特別のセグメントに配置するのが一般的です。
ファイアウオールの形式は、IPパケット・フィルタリング、ステートフル・インスペクション、アプリケーション・ゲートウエイの3つがありますが、一般的な企業システムでは最初の2つが使われています。
比較的簡単に構成できるのがIPパケット・フィルタリングです。DSLやイーサネット用ルータにはこの機能が通常含まれています。
|
|
この方式は、その名のとおりIPパケットを検査して、これを通過させるか否かの判断をします。IPパケットのヘッダ部分には送り元と送先のIPアドレスが含まれています。所定のホストやLAN内のネットワーク以外のパケットを排除できます。更に、このヘッダには上位プロトコル(TCP、UDP、ICMP..)の情報も含まれていますので、これも許されたものかどうかの判断に使用します。またヘッダに含まれているIPオプションの部分も検査します。ほの方式では更にTCPやUDPに対しては、開始ポート番号が許可されたものかどうか検査します。例えば、WWWサーバへの外部からのアクセスを許す場合は、受付ポート番号が80のパケットを通過させるよう設定します。
ステートフル・インスペクションは、更に上位のプロトコルを検査します。そしてそのアプリケーションでの通過パケットの判断を行います。
|
|
この方式の特徴は次のようになります:
・ アプリケーションをベースにして、TCP接続の状態遷移を監視する
・ UDPやICMPも「仮想接続」を監視する
・ FTPやRealAudioなどの複数の接続を同時に行うアプリケーションの状態も監視
・ パケット・フィルタリングよりセキュリティのレベルがあがる
・ 詳細な記録(ログ)がとれる
ただ、その分検査する内容が大きくなります(もともとTCPはネットワークの途中で動作することを考えていないピアのプロトコルであり、かなり複雑で重い)ので、通常専用の装置(ファイアウオール・アプライアンス)を使用します。特徴としては、専用のハードウエアやOSを使っているので処理能力(スループット)が高い、設定や運用に高度な知識を要さなくなってきている、トラブルが生じたときは装置の交換で問題の切り分けができる、などです。最近中小企業を対象とした手頃な装置も出回っており、比較的簡単にセキュアな網を構築できるようになってきました。ファイアウオール・アプライアンスは、次に述べるVPNのための機能も通常持っています。またDHCPサーバ、PPPoEログイン、NAPTなどの機能をも通常持っていますので、この種のファイアウオールはブロードバンド・ルータと置き換えるだけでセキュアなシステムにすることが出来るようになっています。
VPN
企業の場合は一般に本社、支店、工場、営業所など複数の拠点間を接続することになります。拠点間を広域網を使ってネットワーク接続し、あたかもひとつの企業内ネットワークのように使うことをVPN(Virtual Private Network: バーチャルな専用線網)と呼びます。DSLを使ってVPNを構築する二つの方式を紹介します。
|
|
最初の方式は「インターネットVPN」と呼ばれるもので、インターネットをVPNの一部として使うものです。インターネットは世界中の人たちに共有されますのでセキュリティ対策が重要となります。そのために専用のVPN装置を使用するほうが無難です。これはIPを暗号化するIpsec技術を使った装置です。これにはファイウオール機能(ファイアウオール装置の殆どがVPN機能を持っています)やルータ機能(むしろVPN機能つきルータと捉えたほうが良いかもしれません)を持つものなど多種のものがあります。各拠点がサブネット化されているときは、ルータ機能がどこかに必要になります。なお、インターネット・アクセスの窓口は本社に限定する(つまり拠点からインターネットへアクセスするトラフィックは必ず本社を経由する)のが無難です。
もうひとつのVPNの構成法は、下図に示すように、通信事業者が提供するIP-VPNサービスを利用することです。この場合はセキュリティの問題が少なく、便利かつ安全ではありますが、その分料金がかかります。またルータ等に制約がかかる場合があります。
|
|
MTUとRWIN
ここでおまけ(TIP)にひとつ、せっかくのDSLの速度を無駄にしないためのコンピュータの設定について説明します。それはMTUとRWINの設定に関するものです。MTUはIP層とMAC層間の設定パラメータであり、RWINはトランスポート制御層での設定パラメータです。
MTU (Maximum Transmission Unit)というのは皆さんのPCがネットワーク(この場合はイーサネット)に送出するIPデータグラムの最大サイズのことです。MTUはいくらでも大きくても良いわけではありません。イーサネットのフレームには上限があり、それより大きなパケットは複数のフレームに分割(フラグメント化)されてしまいます。
WindowsのデフォルトのMTU設定値は1500または576(外部ネットワーク用)となっています。1500という値はPPPoEやIPSecを使っていない限り良い値です(PPPoAの場合もこの値のままで結構です)。576というのはブロードバンドの環境では小さすぎて効率的な値ではありません。 皆さんがPPPoEを使っている場合は、MTUは1492を超えてはいけません。IPデータグラムをPPPoEでくるむ(ラップする)ために更に8バイトが必要だからです。
下図はPPPoEの場合にどのようなイーサネットのフレームになるかを示したものです。
このように1500バイトのイーサネットのペイロードのうち、PPPoEヘッダに6バイト、プロトコル識別に2バイト、計8バイトがとられてしまいますので、MTUは1492かそれ以下でなければせっかくのIPデータグラムが更にこの長さの範囲に収まるよう分割(フラグメント化)されてしまい、効率がぐっと低下してしまいます。
参考までにMTUに関わる幾つかのポイントとなる数字をお示しします。詳細は別のチュートリアルでお教えします。
|
1. スタート/プログラム/MSDOSプロンプト(またはスタート右クリック/MS-DOS Prompt)でMSDOSのプロンプトのウインドウを開く 2. ping –f –l 1472 www.XXX.co.jp を実行する(ダッシュ・エフ/スペース/ダッシュ・エル/スペースに注意) 3. "packet needs to be fragmented"というメッセージがでたら、1472という数から10ずつ減らしてこのメッセージが出なくなるまで繰り返す。 4. 次に1ずつ増やしていって"packet needs to be fragmented"というメッセージがでるひとつ前の数を見つける 5. その数に28を加える(pingのパケットサイズにIPとICMP問合せヘッダ(+パッディング)の28バイトを加える) 6. それが求めるMTUになる。最初の1472で"packet needs to be fragmented"が出なければ直ちにあなたのMTUは1500だということになる。 |
ところで自分の環境に最適なMTUが判ったけれど、どのように自分のコンピュータにこの値を設定すれば良いかをお知らせしましょう。そのためには簡単なツールをダウンロードして使うことをお薦めします。そのようなツールとしてDr. TCPがあります。このツールはhttp://www.dslreports.com/front/drtcp.htmlから取得できます。
DrTCPというのはコンパクトなユーティリティ・プログラムで、これを使うとレジストリを直接いじることなくPPPベースのインターネット接続のTCP受信ウインドウ(RWIN)やIPにおける最大パケットサイズ(MTU)の値を変更することが出来ます。DSLによるブロードバンド接続などの場合は、これによりダウンロード速度を大幅に改善できる場合があります。
- Adapter Settings: 使っているネットワーク・インターフェイスを選択します。通常はLANカード(NIC)を選択することになります。
- このツールで変更(Applyをクリック)された内容を有効とするには、Windows 2000やXPの場合はRestart Networking の確認を、それ以外のWindowsの場合はPCの再起動(リブート)をかけないといけないことを忘れないでください。
もうひとつ、RWIN(Default Receive Window)について説明します。
詳細はTCPを理解しないと説明しづらいのですが、TCP層では、送信側は送ったセグメントが相手に届いたことを確認する前に受信Window内であれば続けてデータが送れる仕組みになっています。このWindow値は受け側が通知してきます。誤りの少ないリンクなら、この値が大きいほど効率が上がることになります。大きければ大きいほど良いというわけではありません。大きすぎるとメモリの負担が大きくなります。また誤り率が大きい回線では再送量が多くなってしまいます。
以上