W2KのRAS関連
W2KのRAS関連
0.更新履歴
- 2001.11.24 新規作成.
- 2001.12.01 暗号化を追加.
1.はじめに
このドキュメントでは,Windows2000のRAS機能について記述する.
2.RASで使用できる回線の種類について
- Windows2000で利用できる回線は,次のとおりである.
|
回線種類 |
説明 |
|
PSTN |
一般アナログ回線 |
|
ISDN |
Integrated Services Digital Network |
|
X.25 |
パケット交換 |
|
ATM |
Asynchronous Transfer Mode:非同期転送モード |
|
PC-PC直接接続 |
|
|
赤外線ポート |
|
|
PPTP(MPP) |
Point-To-Point Tunneling Protocol
Microsoft Point-To-Point Encryption |
|
L2TP |
Layer 2 Tunnering Protocol |
|
回線種類 |
説明 |
|
PSTN |
電話のアナログ回線とモデムを使用する形式. |
|
ISDN |
ISDNデジタル回線とTAを使用する形式. |
|
X.25 |
パケット交換回線とパケット交換モデムを使用する. |
|
ATM |
ATM回線とATM LANカードを使用する. |
|
PC-PC直接接続 |
NULLモデムケーブル(クロスケーブル)を使用してシリアルポートで接続する. |
|
赤外線ポート |
IrDAデバイスを使用する. |
|
PPTP(MPP) |
NT4.0から実装されており,インターネット上等でVPNを構築し,暗号化を行って通信する. |
|
L2TP |
PPTPと同じようにVPN上で構築し,暗号化にIPSecを併用する事でより安全に通信する. |
3.RASで使用するプロトコル
- W2KのRASで使用できるネットワークプロトコルは,次のとおりとなる.
- PPP(Point to Point Protocol)
- TCP/IP,NWLink(Netware),NetBEUI,AppleTalk
- SLIP
4.RADIUSとは
- W2Kでは,RADIUS(Remote Authentication Dial-In User Service)をサポートしている.
- RADIUSとは,次のような場合でも,RASクライアントの認証を集中して行う事ができる機能である.
- RASサーバが複数ある.
- RASサーバが異なるOS上で実行されている.
- セキュアなユーザ認証とデータ転送時を確保するために,IPSecを使用している.
- ユーザ認証のデータベースは,ActiveDirectoryを使用するが,切り離して使用することも可能である.
5.ルーティングとリモートアクセスについて
- W2KでRASというと,モデム経由の接続のことだけでなく,ルータになる機能等を含んだ形になっていることである.
- この設定によって可能な機能について,以下の一覧で説明する.
|
種類 |
説明 |
|
インターネット接続サーバ |
NATを使用できるようにする. |
|
リモートアクセスサーバ |
モデム等で電話回線を使用して接続する. |
|
仮想プライベートネットワークサーバ |
VPN経由のRASサーバ. |
|
ネットワークルータ |
複数のNICを搭載した場合のルータとして稼働する. |
|
手動で構成したサーバ |
RASやルータ機能を手動で設定する. |
6.認証方式と暗号化
- W2Kでサポートされている認証方式は次のようになる.
W2Kが実装しているユーザ認証方式 その1
|
方式名 |
日本語での言い方 |
|
EAP |
拡張認証プロトコル |
|
MS-CHAP V2 |
Microsoft 暗号化認証 Ver2 |
|
MS-CHAP |
Microsoft 暗号化認証 |
|
CHAP |
暗号化認証 |
|
SPAP |
Shivaパスワード認証プロトコル |
|
PAP |
暗号化されていないパスワード |
W2Kが実装しているユーザ認証方式 その2
|
方式 |
説明 |
|
EAP |
TokenRing,ワンタイムパスワード,,KerberosV5やSmartCard等を使用した公開キー認証や証明書等の認証方式. |
|
MS-CHAP V2 |
MS-CHAPの問題点を改善した拡張版で,W2Kのみで利用できる. |
|
MS-CHAP |
ユーザ名,パスワードや,データも暗号化して通信することができる. |
|
CHAP |
業界標準のプロトコル. 暗号化してユーザ承認を行う. |
|
SPAP |
Shiva社のRAS製品で使用されているプロトコルで. |
|
PAP |
認証情報を暗号化せず,クリアテキストでサーバに送信する. |
暗号化とMS以外の互換性
|
方式名 |
パスワード |
データ |
互換性 |
|
EAP |
○ |
○ |
× |
|
MS-CHAP V2 |
○ |
○ |
× |
|
MS-CHAP |
○ |
○ |
× |
|
CHAP |
○ |
× |
○ |
|
SPAP |
○ |
× |
○ |
|
PAP |
× |
× |
○ |
- リモートアクセスの際,データを暗号化するためにMPPE(Microsoft Point-to-Point Encryptionが使われる.
- VPNでPPTPを使用したとき,MPPEが使われる.
- MPPEの暗号化のレベルについては,[ダイアルインプロファイル]の[暗号化]タブで設定することができる.
|
暗号化レベル |
内容 |
|
暗号化なし |
暗号化をしない. |
|
基本 |
40bit暗号化. |
|
強力 |
56bit暗号化. |
|
最高 |
128bit暗号化 |
- W2Kでは,「高度暗号化パック」をインストールすると128bitキーを使った暗号化が可能である.
7.VPN(Virtual Private Network)
- W2Kでは,VPN機能として,PPTPとL2TPを実装している.
- PPTPとL2TPの機能の違いについては,次のとおりである.
|
PPTP |
L2TP |
|
トンネルの構築 |
〇 |
〇 |
|
暗号化 |
〇 |
△
IPSecを併用すれば可能 |
|
ユーザ認証 |
〇 |
× |
|
マシン認証 |
× |
〇 |
|
NATデバイスの通過 |
〇 |
× |
8.マルチリンクとBAPについて
- W2KのRASサーバでは,接続されている複数のモデム等を論理的に1つとしてまとめる機能として,マルチリンクとBAPを実装している.
- マルチリンク
- たとえば,ISDNでは,64KBのチャンネルを2つ持っているが,この二つのチャンネル(回線)を同時に使うようにするのがマルチリンクである.
- BAP(Bandwidth Allocation Protocol
- 前出の例のISDNでいうと,ある一定の条件(大量のデータ送受信中)等になった場合に,2つめの回線に接続する様な機能である.
9.ルータ機能について
- W2Kでは,ネットワークカードを2つ搭載していると,ネットワークルータとして稼働することができる.
- ルーティング情報の保持については,2つの方法がある.
- 静的ルーティング
- routeコマンドを使って,定義する.
- [ルーティングとリモートアクセス]画面を使用して定義する.
- 動的ルーティング
- 動的ルーティングには,2つの方法がある.
- RIP(Routing Information Protocol)
- W2Kでは,RIPのVer1,Ver2をサポートしている.
- RIPルータは,お互いが持っている経路情報を隣のルータに30秒に一回流して,経由するルータの数(ホップ数)が少ないものがもっとも良い経路とされる.
- RIPではホップ数(メトリック)が最大15となっている.
- よって,大規模なネットワークには適さない.
- OSPF(Open Shortest Path First)
- 情報更新頻度は,管理者によって設定できる.
- RIPでは,「ホップ数が一番少ないものが良い」とされているが,OSPFではコストや信頼性,スループット等を考慮して設定することができる.
10.デマンドダイヤルルーティング
- LANの中から,インターネットやVPNに接続する必要が出てきたときだけ,モデムやTAが接続されているコンピュータがダイアルアップを行って接続する方式.
- 常時接続するよりも,コストが安い場合がある.
11.NAT(ネットワークアドレス変換)
- NATとは,複数のプライベートアドレスを1つのグローバルアドレスに変換する機能.
- TCPやUDPのポートも変換できる.
- NATで変換するアドレスは任意の物をつけられるが,一般的にプライベートアドレス空間を利用する.
12.インターネット接続の共有
- インターネット接続の共有とは,W2K Pro,Serverで実装されている機能で,次のようなことを実現する.
- LAN上の1台のW2Kコンピュータにモデム等を取り付ける.
- ISPに接続する.
- そのマシン経由でLAN内のほかのPCがインターネットに接続できる.
- この時の共有を行うマシンのIPアドレスは192.168.0.1/255.255.255.0に固定される.
- LAN内のPCは,192.168.0.0/255.255.255.0に固定される.
