NWメモ

medalotte技術

ネットワークスペシャリスト試験に向けてorg-modeでメモした内容をHTMLに変換したもの。

内容の正しさは保証できません(もし明らかな間違いがあればコメントを頂けると助かります)。

内容に関して、 [nw*[*]][nw<参考文献番号>[<ページ番号>]] を示します。

参考文献は以下の通りです。

  1. 竹下隆史, 村山公保, 荒井透, 苅田幸雄, “オーム社 マスタリングTCP/IP入門編,” 第五版, 2012/2/25
  2. 左門至峰, 平田賀一, “技術評論社 ネスペの基礎力,” 第一版, 2017/06/01
  3. 左門至峰, 平田賀一, “技術評論社 ネスペの魂,” 第一版, 2018/04/26

Table of Contents

1 ネットワークの規模 [nw1[3]]

  • WAN(Wide Area Network)
  • MAN(Metropolitan Area Network)
    • WANよりも狭い都市レベルのネットワーク
  • LAN(Local Area Network)

2 ネットワークアーキテクチャ [nw1[13]]

  • TCP/IP以外にも色々ある
  • 基本的に互換性がない
    1. TCP/IP
      • IETF(Internet Engineering Task Force)で提案や標準化作業が行われている
      • デファクトスタンダードとして世界中でもっとも広く使われている
      • TCPとIPという2つのプロトコルだけでなく、必要となる多くのプロトコル群の総称
      • パケット交換方式を採用している
    2. OSI [nw1[22]]
      • ISO(International Organization for Standardization : 国際標準化機構)が標準化

      • OSI参照モデルは、多くのアーキテクチャでプロトコルを考える際に引き合いに出される

        • プロトコルの階層化により高い拡張性や柔軟性を持つ
        • とはいえ、あくまでモデル
          • プロトコルやインターフェースの詳細を定義している訳ではない
        • 各層の役割 [nw1[24]]
          機能 例/イメージ
        7 アプリケーション層 特定のアプリケーションに特化したプロトコル 電子メール
        6 プレゼンテーション層 機器固有のデータフォーマットとネットワーク 共通のデータフォーマットを交換する データの表現の違いを吸収する
        5 セッション層 通信の管理 コネクションの確立/切断 コネクションをどれだけ張る/どれだけ残す
        4 トランスポート層 ノード間でのデータ転送の管理 データ転送における信頼性の提供 データ転送に抜けがないか
        3 ネットワーク層 アドレスの管理と経路の選択  
        2 データリンク層 直接(物理的に)接続された機器間でのデータフレームの識別と転送 フレームとビット列の変換
        1 物理層 コネクタやケーブルの規定通信に使用する媒体の制御
    3. IPX/SPX
    4. AppleTalk
    5. DECnet
    6. XNS

3 通信相手の数による通信方式の分類 [nw1[38]]

3.1 ユニキャスト [nw1[39]]

  • ある単一のホストへの通信

3.2 ブロードキャスト [nw1[39]]

  • 同じデータリンク内のホストへの通信

3.2.1 ブロードキャストドメイン

  • ブロードキャストによる通信が届く範囲を指す

3.3 マルチキャスト [nw1[39]]

  • ある特定のグループに属するホストへの通信

3.4 エニーキャスト [nw1[39]]

  • 特定のグループに属するの内、最適な条件を持つ1台のホストへの通信
  • 通常、選定されたホストはユニキャストで返信する
    • 以後、ユニキャストによる通信が行われる
  • DNSのルートネームサーバ などで使用される

3.5 フラッディング

  • フォワーディングテーブルに存在しない宛先MACアドレスのフレームをブロードキャストすること

4 アドレス [nw1[42]]

  • 通信相手を一意に特定する識別子
    1. 唯一性
      • MACアドレス・IPアドレス共に備えている
    2. 階層性
      • IPアドレスのみ備えている

4.1 ルーティングテーブル

  • IPアドレスの場合(L3)
  • ネットワーク部が記されている

4.2 フォワーディングテーブル

  • MACアドレスの場合(L2)

5 ネットワークの構成要素 [nw1[43]]

データリンク名 主な用途 媒体と伝送速度
イーサネット LAN 同軸ケーブル(10Mbps), ツイストペアケーブル(10Mbps〜10Gbps), 光ファイバーケーブル(10Mbps〜100Gbps)
無線 LAN〜WAN 電磁波(数Mbps〜)
ATM LAN〜WAN ツイストペアケーブル/光ファイバーケーブル(25Mbps, 155Mbps, 622Mbps)
FDDI LAN〜WAN ツイストペアケーブル/光ファイバーケーブル(100Mbps)
フレームリレー WAN ツイストペアケーブル/光ファイバーケーブル(64k〜1.5Mbps程度)
ISDN WAN ツイストペアケーブル/光ファイバーケーブル(64k〜1.5Mbps)

5.1 通信機器(ノード) [nw1[45]]

5.1.1 NIC(Network Interface Card)

5.1.2 リピーター [nw1[46]]

  • OSI参照モデルの第1層(物理層)で働く機器
  • 信号を延長する
    • 電気や光といった信号を受け取り、増幅・整形する
  • 通信媒体を変換できる
    同軸ケーブル <-> 光ファイバーケーブル

5.1.3 L2SW/ブリッジ [nw1[47]]

  • OSI参照モデルの第2層(データリンク層)で働く機器
  • 受信したフレームを一旦queueに持ち、送出すべきセグメントに送出する
  • 異なる伝送媒体を接続することが出来る
    • 一旦queueに持つため
  • FCS(Frame Check Sequence)の確認を行う
    • イーサネットトレイラ に含まれる
    • 壊れているフレームは送出しない
  • MACアドレスの学習を行うものをラーニングブリッジと呼ぶ
    • フォワーディングテーブルの作成?
  • リピーターの機能を持ち合わせたL2SWをスイッチングハブと呼ぶ
    • 現在ではほとんどがこれ

5.1.4 L3SW/ルーター [nw1[49]]

  • OSI参照モデルの第3層(ネットワーク層)で働く機器
  • TCP/IPにおいては、IPアドレスを用いたパケットの中継を行う
  • 異なるデータリンクを接続することが出来る
    イーサネット <-> FDDI
  • ネットワーク層におけるセグメントを区切る
    • ルーターを適切に配置することでネットワークの負荷を軽減することが出来る
      • データリンクのブロードキャストパケットは他のネットワーク層のセグメントに伝わらないため

5.1.5 L4-L7SW [nw1[50]]

  • OSI参照モデルの第4-7層(トランスポート層-アプリケーション層)で働く機器
  1. ロードバランサ [nw2[276]]
    • 負荷分散装置(LB)
    • 主に以下の機能を持つ
      1. 処理の振分け機能
      2. セッション維持機能
        • セッションを維持するために同じサーバに振り分ける
          レイヤ3方式
          リクエスト元のIPアドレスに基づいてセッションを維持する
          レイヤ7方式
          Cookieに埋め込まれたセッションIDに基づいてセッションを維持する
      3. ヘルスチェック機能
        • サーバの状態を監視し、ダウンしたサーバには振分けを行わない
    • ソースNATによるIPアドレスの付替えを行う
      • 接続元のクライアントが分からなくなる
        • HTTPヘッダの X-Forwarded-For を利用する
          • HTTPヘッダにソースNATで変換前のIPアドレスを記録する
    1. マルチホーミング [nw2[65]]
      • 負荷分散装置を用いて、外部との通信に複数のルータを用いる方法
        • 外部ネットワークとの境界に位置するルータの負荷を軽減することが出来る
        • (クライアント) -> 負荷分散装置 -> (ルータ) -> 接続先
      • 負荷分散装置はイーサネットフレームの 宛先MACアドレス を書き換える
    2. DSR [nw2[281]]
      • Direct Server Return
      • 帰りのパケットをLBを経由させずに直接クライアントに返す仕組み
  2. WAS [nw2[67]]
    • WAN Acceleration System
      • WAN高速化装置
    • WANにおける通信を高速化する
      代理応答
      TCPにおけるACKをWASを代行して行う
      キャッシュ蓄積
      代理応答で得たデータをWASにキャッシュしてまとめて扱う
      データ圧縮
      転送するデータを圧縮する
    • 送信元・宛先の双方に必要
    • 故障時に適切な挙動を行うよう、相応の機能を有効にしておく必要がある
      1. 自動的にケーブル接続と同じ状態になる機能
      2. 対向側の故障を検知し、通信を継続する機能
  3. ファイアウォール

5.1.6 ゲートウェイ [nw1[51]]

  • OSI参照モデルの第4-7層(トランスポート層-アプリケーション層)で働く機器
  • 特に、データ(プロトコル)の変換を行う機器を指す
    TCP/IP <-> OSI
    携帯の電子メール <-> インターネットの電子メール
  1. プロキシサーバ [nw1[52],nw2[200]]
    • アプリケーションゲートウェイとも呼ばれる
    • 導入には主に以下の2つの目的がある
      1. セキュリティの強化
        • サーキットゲートウェイ型FWとしてのセキュリティ機能を持つことが出来る
          1. 内部ネットワークから外部ネットワークへの通信はすべてプロキシサーバを通す
          2. プロキシサーバで通信内容のセキュリティチェックを行う
      2. 帯域効率化と高速化
        • 一度閲覧したコンテンツをキャッシュする
    • 利用にはWebブラウザで適切な設定を行う必要がある
      • 大きく分けて2通りの方法がある
        1. プロキシサーバのIPアドレスを設定する方法
        2. プロキシサーバの利用情報を定義したファイル(自動設定ファイル)をWebサーバ上に置き、そのURLを設定する方法
          • プロキシサーバのIPアドレスを設定する方法と比べて、より複雑な設定を行うことが出来る
            • プロキシサーバの冗長化設定など
    • HTTPS通信では、セッションを中継せずに透過させる CONNECTメソッド を使用する
      • この場合、プロキシサーバにおけるセキュリティチェックを行うことが出来ない
        • 最近はプロキシサーバで一旦復号し、Webサーバに対して別のセッションを確立する
          • この場合でも CONNECTメソッド は使用する
          • クライアントPCにプロキシサーバの証明書をインストールする必要がある
    1. フォワードプロキシ
      • 外部から内部への通信を代理する
      • キャッシュによる高速化などが目的
    2. リバースプロキシ [nw2[207]]
      • 外部から内部への通信を代理する
      • SSL-VPN装置を使ったリモートアクセスなどが目的
      • コンテンツの改ざんを防ぐことにも利用される
    3. プロキシ認証 [nw2[328]]
      • プロキシサーバの利用者を認証する機能
      • プロキシサーバでユーザ名のログを取得する場合に必要
        • 事前にプロキシサーバには 利用者ID を登録しておく
    4. プロキシARP
      • あるホスト宛てのARP要求に対して代理でARP応答を行う機能

6 MTBF/MTTR

  • Mean Time Between Failures / Mean Time To Repair
  • 平均故障間隔/平均修理時間

7 M/M/1モデル

平均待ち時間
(利用率/(1-利用率)) * 平均サービス時間
平均応答時間
平均待ち時間 + 平均サービス時間

8 テンペスト技術

  • ディスプレイやキーボード、ケーブルなどから放射されている電磁波から通信内容を傍受する技術

9 VDI

  • Virtual Desktop Infrastructure
  • サーバ内にクライアントごとの仮想マシンを用意して仮想デスクトップを構築する技術

10 RAID

  • 用語
    ストライピング
    複数のディスクにデータを書き込む
    ミラーリング
    2台のディスクに同じデータを書き込む
  • RAIDは6種類存在する
    RAID0
    ストライピング
    RAID1
    ミラーリング
    RAID2
    ストライピング + ハミング符号
    RAID3
    ストライピング + パリティ(専用ディスク)
    RAID4
    RAID3をブロック単位で行う
    RAID5
    RAID4のパリティを各ディスクに分散させる

11 仮想化技術 [nw1[58]]

11.1 オーケストレーション [nw1[58]]

  • 仮想化されたシステム全体を必要に応じて自動的に制御する仕組み

11.2 シンプロビジョニング

  • HDD装置などのストレージ群を仮想化する技術
  • より多くの利用者に割り当てることが可能

12 SDN [nw3[173]]

  • Software-Defined Network
  • ソフトウェアによる仮想的なネットワーク構築を可能にする技術

12.1 OpenFlow

  • SDNを実現する技術の1つ
  • ONF(Open Networking Foundation)が標準化行っている
  • ネットワーク機器を 1つの制御装置で集中管理 する
    • 複雑な転送制御を行ったり、柔軟にネットワーク構成を変更できる
    • 具体的には、データ転送と経路制御を集中管理することが可能
      • L1〜L3 の制御
  • 以下の機器で構成される
    OpenFlowコントローラ(OFC)
    経路制御の機能 を持つ
    OpenFlowスイッチ(OFS)
    データ転送の機能 を持つ
    • 自身に設定された経路制御情報を保持する フローテーブル を持つ
    • フローテーブルは複数の エントリ で構成される
      エントリ
      パケット識別子(MF : Match Field)パケットの処理方法(Action) の組み合わせ
  • パケットがOFSに転送された時、OFSは自身が持つフローテーブルを確認する
    • パケットがフローテーブルの情報に合致すれば、そのルールに従いパケットを転送する
    • パケットがフローテーブルの情報に合致しなかった場合、OFCに処理方法を問い合わせる

13 NFV

  • Network Functions Virtualization

14 TCP/IPの歴史 [nw1[60]]

14.1 ARPANET [nw1[61]]

  • 1969年にアメリカで構築されたネットワーク
  • TCP/IPはこのネットワークにおける通信プロトコルとして開発された
    • BSD UNIXの内部にTCP/IPが実装されたことで世界的な利用が進んだ

14.2 RFC [nw1[65]]

  • Request For Comments
  • TCP/IPで標準化されたプロトコルのドキュメント群
    • インターネットで公開されている
    • 実装や運用に関する情報(FIY : For Your Information)なども含まれる
  • 情報には番号が振られている
    IP -> RFC793

15 TCP/IPプロトコル [nw1[72]]

  TCP/IP 対応するOSI参照モデル プロトコルの例
5 アプリケーション層 アプリケーション層, プレゼンテーション層, セッション層 DNS, URI, HTML, HTTP, TLS/SSL, SMTP, POP, IMAP, MIME, TELNET, SSH, FTP等
4 トランスポート層 トランスポート層 TCP, UDP, SCUP, DCCP等
3 インターネット層 ネットワーク層 ARP, IP, ICMP, IGMP等
2 ネットワークインターフェース層 データリンク層
1 ハードウェア 物理層

15.1 ハードウェア [nw1[73]]

  • TCP/IPでは、物理層に関する制約を設けていない
    • ネットワークで接続された装置間で通信できることを前提としているため

15.2 ネットワークインターフェース層 [nw1[74]]

  • NICを利用するデバイスドライバと考えて良い

15.3 インターネット層 [nw1[74]]

  • この層に関係する機器(L3SW等)にはIPが実装されていなければならない

15.3.1 IP

  • Internet Protocol
  • インターネット上に存在するあらゆるホストにパケットを届けるためのプロトコル
    • パケット交換プロトコル
    • パケット再送機能など、信頼性を保証する機能は持っていない

15.3.2 ICMP

  • Internet Control Management Protocol
  • パケットが転送出来なくなった際に、パケットの送信元に異常を通知するプロトコル
  • ネットワークの診断などにも使用される

15.3.3 ARP

  • Address Resolution Protocol
  • パケットの送り先のMACアドレスをIPアドレスから取得するプロトコル

15.4 トランスポート層 [nw1[75]]

  • アプリケーションプログラム間の通信を実現する
    • アプリケーションプログラムの識別には ポート番号 が使用される

15.4.1 TCP

  • Transmission Control Protocol
  • コネクション型のプロトコル
  • 両端のホスト間でのデータの 到達性 を保証する
    • パケットのロスが起きたり、順番が入れ替わっても正しく解決する
  • コネクションの確立・切断だけで7回のパケットのやり取りを行う
    • 一定間隔で決められたデータを送るような通信には向いていない
      • 音声データのストリーミング・ビデオ会議等

15.4.2 UDP

  • User Datagram Protocol
  • コネクションレス型のプロトコル
  • パケットが届いたかどうかの確認を行わない

15.5 アプリケーション層 [nw1[76]]

  • OSI参照モデルにおけるセッション層以上の機能はすべてアプリケーションとして実装されると考える

15.5.1 HTML

  • HyperText Markup Language
  • WWWで使用される、プレゼンテーション層に相当するプロトコル

15.5.2 HTTP

  • HyperText Transfer Protocol
  • WWWで使用される、アプリケーション層に相当するプロトコル

15.5.3 SMTP

  • Simple Mail Transfer Protocol
  • 電子メール送信に利用されるプロトコル

15.5.4 MIME

  • Multipurpose Internet Mail Extensions
  • 電子メールにおいて、送信可能なデータ形式を拡張するプロトコル
  • プレゼンテーション層の機能に相当する
  • 現在では電子メール以外でも利用される

15.5.5 FTP

  • File Transfer Protocol
  • ファイル転送プロトコル
  • 制御コネクションとデータコネクションの2つのTCPコネクションを確立する
    • それぞれでポート番号が異なる

15.5.6 TELNET

  • TELetypewriter NETwork
  • 遠隔ログインで利用されるプロトコル

15.5.7 SSH

  • Secure SHell
  • 遠隔ログインで利用されるプロトコル

15.5.8 SNMP

  • Simple Network Management Protocol
  • ネットワーク管理に利用されるプロトコル

16 パケット構造・処理 [nw1[81]]

  • TCP/IPでは各階層のプロトコルがパケットにヘッダをそれぞれ付与する
  • 実際にネットワークを流れるパケットは先頭から順番に以下のようになっている
    イーサネットヘッダ
    ネットワークインターフェース層
    • 宛先MACアドレス・送信元MACアドレス・ 上位のプロトコルが何かを示す情報 が含まれる
    IPヘッダ
    ネットワーク層
    • 宛先IPアドレス・送信元IPアドレス・ 上位がTCPなのかUDPなのかを示す情報 などが含まれる
    TCP/UDPヘッダ
    トランスポート層
    • シーケンス番号・チェックサム・ ポート番号 などが含まれる
    データ
    アプリケーション層のデータ
    イーサネットトレイラ
    ネットワークインターフェース層
    • FCS
  • ヘッダはそれぞれが上位層の情報を持っている
  • パケットを受け取ったとき、以下の処理を行う
    ネットワークインターフェース層
    FCSを確認した後、イーサネットヘッダをみて、MACアドレスが自分宛てかどうかを調べる
    • 自分宛てでなければパケットを捨てる
    • 上位層のプロトコルが非対応であっても捨てる
      • パケットのモニタリングを行うために、パケットを捨てないように設定することも出来る
    ネットワーク層
    IPヘッダをみて、自分のIPアドレスであるかどうかを調べる
    • ルーターの場合、自分宛てでなければフォワーディングテーブル(経路制御表)を参照してパケットを転送する
    • エンドポイントのホストの場合、上位層の処理ルーチンにデータを渡す
    トランスポート層
    チェックサムを確認した後、適切な処理を行い、上位層のアプリケーションにデータを渡す
    • TCPの場合、確認応答をパケットの送信ホストに送る

17 データリンク [nw1[90]]

  • TCP/IPでは透過的に扱われる

18 MACアドレス [nw1[92]]

  • データリンクに接続しているノードを識別するための番号
  • IEEE802.3 で規定されている
  • 48ビットの長さを持つ
    1ビット目
    I/Gビット
    2ビット目
    G/Lビット
    3〜24ビット目
    ベンダ識別子(OUI : Organizationally Unique Identifier)
    25〜48ビット目
    シリアル番号
  • マルチベンダ環境におけるパケットキャプチャによるOUIの確認
    • トラブルの原因特定に有効

18.1 I/Gビット

  • MACアドレスの1ビット目
    • I/Gとは、Individual/Groupの略
      0
      ユニキャストアドレス
      1
      マルチキャストアドレス
  • 01-00-5e-XX-XX-XX [nw2[121]]
    前半24ビット
    01-00-5eで固定
    後半24ビット
    宛先IPアドレスの下位24ビットを使う
    • 宛先マルチキャストIPアドレスが224.1.1.1のとき、宛先MACアドレスは01-00-5e-01-01-01

18.2 G/Lビット

  • MACアドレスの2ビット目
    • G/Lとは、Global/Localの略
      0
      グローバルアドレス
      1
      ローカルアドレス
    • 0ならば世界で唯一であることを示す
    • 実験以外で使われることはほぼ無い

19 媒体共有型ネットワーク [nw1[94]]

  • 通信媒体を複数のノードが共有するネットワーク
  • 基本的には半二重通信
  • 採用しているデータリンク
    • 初期のイーサネット
    • FDDI

19.1 コンテンション方式 [nw1[94]]

  • CSMA/CD(Carrier Sense Multiple Access/Collision Detection)
    • 搬送波が流れていなければ(データが流れていなければ)すべてのノードはデータを送信して良い
    • 衝突が発生した場合には送信を取りやめる
    • 送信を取りやめた場合、 乱数時間 待ってから送信をやり直す

19.2 トークンパッシング方式 [nw1[96]]

  • ネットワーク上にトークンと呼ばれるパケットを流す
  • トークンを持っているノードのみがデータを送信することが出来る

20 媒体非共有型ネットワーク [nw1[97]]

  • すべてのノードがそれぞれ通信媒体を専有しているネットワーク
  • 基本的には全二重通信
  • 採用しているデータリンク
    • イーサネット
  • CSMA/CDの機構が不要で高効率, VLANの構築が可能
  • スイッチが故障すると接続されているノードがすべて使えなくなる

21 L2SW [nw1[99]]

  • 転送表で学習されていない場合、すべてのポートにパケットを転送する
  • 転送表が大きくなれば検索に時間がかかってしまう
    • データリンクのセグメントを分けることで解決する
      • ネットワーク層でIPアドレスの階層性を利用する
  • L2SW自体はMACアドレスを持つ必要はない
    • L2SWの設定用に持つ機器が多い

21.1 オートネゴシエーション [nw2[51]]

  • SWの設定において、全二重か半二重か等の設定を自動で設定する機能
  • 接続先ポートの通信速度を自動検出する機能もある
    • 自装置のポートの通信速度を変更する

21.2 Automatic MDI/MDI-X

  • ストレート/クロスのどちらのケーブルを使用しても、通信相手のポートの種類に応じて適切な方法で接続する機能

21.3 シェーピング

  • パケットの送出間隔を制御し、規定の最大速度を超過しないようにトラフィックを平準化する機能

21.4 ポリシング

  • トラフィックが規定の最大速度を超過した際に、パケットを破棄したり優先度を下げたりする機能

21.5 転送表 [nw1[99],nw2[46]]

  • フォワーディングテーブル
  • どのポートにどのノードが接続されているかを記憶する
    • ポートとMACアドレスの対応関係を持つ
      • 1対多の関係になることがある
        • L2SWのカスケード接続時
      • 多対1の関係になることがある
        • マルチキャスト時
    • 自己学習 を行う
      • パケットを受け取った際にイーサネットヘッダの送信元MACアドレスを見る

21.6 転送方式 [nw1[100]]

21.6.1 ストア&フォワード方式

  • FCSをチェックしてから転送を行う
  • エラーフレームの転送を行わない
  • 遅い

21.6.2 カットスルー方式

  • 送信先MACアドレスが分かり次第転送を行う
  • 速い
  • エラーフレームを送信してしまう恐れがある

21.7 ループ検出 [nw1[100],nw2[52]]

  • ネットワークのループによるネットワーク障害を防ぐ
  • わざとループを作った上でループ検出プロトコルを有効にすることで、ネットワークの冗長性を確保することも可能

21.7.1 STP

  • Spanning tree protocol
  • IEEE802.1D で定義されている
  • 閉路が出来ないように通信に使用するノードを決定する
    1. 各SWにおいて、ルートブリッジにもっとも近いポートを ルートポート とする
    2. 各セグメントにおいて、ルートブリッジにもっとも近いポートを 代表ポート とする
    3. ルートポートでも代表ポートでもないポートを ブロッキングポート とする
  • データリンク内の各ブリッジは BPDU(Bridge Protocol Data Unit) と呼ばれるパケットを互いに交換する
    • BPDU内にはブリッジIDフィールドが存在し、この値を用いてブロッキングポートを決定する
      2オクテット
      ブリッジの優先度
      6オクテット
      MACアドレス
      • 優先度が同じポート同士を比較する際はMACアドレスの大きい方を優先する
  • ネットワークを無向グラフと見立てたうえで、あるノードを親とする全域木を生成する
  • ネットワークの切替時にポートの決定(状態遷移)を行う
    • 40秒ほどかかる
      • ネットワークにPCを接続しても、通信できるまで時間がかかる
      • DHCPによるIPアドレスの割り当てに失敗するなどの弊害がある

21.7.2 RSTP

  • Rapid Spanning Tree Protocol
  • IEEE802.1W で定義されている
  • STPのネットワーク切り替えをより高速にしたもの

21.7.3 メルトダウン

  • ブロードキャストストーム とも呼ぶ [nw2[52]]
  • ループによってフレームが永久に回り続けることで通信不能となった状態

21.8 リンクアグリゲーション [nw2[56]]

  • 複数の物理回線を論理的に1本の回線に束ねる技術
    • 帯域拡大冗長化 を行うことが出来る

21.9 パケットキャプチャ [nw2[20]]

  • SWを通過するパケットを覗き見ること
    • トラブルシューティングに利用される
    • 有名なパケットキャプチャソフトに Wireshark がある
  • L2SWに適切な設定を行わないと別ポートへ流れるパケットを取得することが出来ない
    • フォワーディングテーブルに従って特定のポートにのみ転送を行うため
    • 解決する方法は主に2通りある
      1. シェアードHUB を使用する
        • シェアードHUBはフォワーディングテーブルを作成せず、すべてのポートにパケットを流す
      2. ミラーポート を設定する
        • ミラーポートはミラーリングによって転送する先のポートのこと
          ミラーリング
          あるポートへのみ転送されるべきパケットを別のポートにも転送するL2SWの機能
        • ミラーリングを行う際は、ホスト側でも適切な設定を行う必要がある
          • プロミスキャスモード の設定
            プロミスキャスモード
            別のMACアドレス宛のパケットも取得するモード
          • 設定しなければNICがパケットを破棄してしまう

21.10 VLAN(Virtual LAN) [nw1[101],nw2[25]]

  • データリンクのセグメントを仮想的に分割する技術
    • セグメント間の通信を行う場合はL3SWを介す必要がある

21.10.1 ポートベースVLAN [nw2[26]]

  • L2SWの物理的なポートごとにVLANグループを設定する
    • 柔軟性が低い

21.10.2 タグVLAN [nw1[102]]

  • IEEE802.1Q で標準化されている
  • セグメントごとに一意となるVLAN IDを付与する
    • 付与するのはL2SW
      • ホストでは付与しない
    • イーサネットヘッダの宛先/送信元MACアドレスの後ろにVLANフィールド(4オクテット)が挿入される
      [TPID]タイプ
      16ビット, 0x8100固定
      [TCI]優先度
      3ビット
      [TCI]CFI
      1ビット, Canonical Format Indicator, ソースルーティングを行う場合は1
      [TCI]VLAN ID
      12ビット, $212 – 2$通りのIDを設定することが出来る(0と4096は使用不可) [nw2[17]]
    • Tag Protocol Identifier
    • Tag Control Information
  • 配線の変更を行うことなくセグメントを変更できる
  • 物理的なネットワーク構成と論理的なネットワーク構成が異なるため、管理しにくいネットワークになる可能性がある
  1. ネイティブVLAN [nw2[28]]
    • タグVLANにおいて、唯一タグ付けなしでSWを通過することが出来るVLANのこと
      • Ciscoの場合、VLAN1がネイティブVLAN
  2. IEEE802.1ad [nw2[30]]
    • QinQ, IEEE802.1Qトンネリング とも呼ばれる
    • VLANフィールドの手前にVLANフィールドをもう一つ付ける
  3. VXLAN(Virtual eXtensible Local Area Network) [nw2[32]]
    • VLANを拡張した仕組み
    • VLANはIDが12ビットしかない
      • VXLANは24ビット
    • VLANと異なり、元のイーサネットフレームを丸々カプセル化する
      • L3の技術
      • イーサネット・IP・UDP・VXLANヘッダが付与される

22 イーサネット [nw1[103]]

  • IEEE802.3 で規格化されている
  • ケーブル・通信速度等が異なるさまざまな仕様がある
イーサネットの種類 ケーブルの最大長 ケーブルの種類
10BASE2 185m 同軸ケーブル
10BASE5 500m 同軸ケーブル
10BASE-T 100m ツイストペアケーブル(UTPカテゴリ3〜5)
10BASE-F 1000m 光ファイバーケーブル(MMF)
100BASE-TX 100m ツイストペアケーブル(UTPカテゴリ5/STP)
100BASE-FX 412m 光ファイバーケーブル(MMF)
100BASE-T4 100m ツイストペアケーブル(UTPカテゴリ3〜5)
1000BASE-CX 25m シールドされた銅線
1000BASE-SX 220m/550m 光ファイバーケーブル(MMF)
1000BASE-LX 550m/5000m 光ファイバーケーブル(MMF/SMF)
1000BASE-T 100m ツイストペアケーブル(UTPカテゴリ5/5e)
10GBASE-SR 26m〜300m 光ファイバーケーブル(MMF)
10GBASE-LR 1000m〜2500m 光ファイバーケーブル(SMF)
10GBASE-ER 3000m/4000m 光ファイバーケーブル(SMF)
10GBASE-T 100m ツイストペアケーブル(UTP/FTPカテゴリ6a)
  • BASEの前の数字は伝送速度を表し、数字に対して Mbps が対応する
    • G が付いているものはそのまま Gbps
  • 光ファイバーケーブルには2種類ある
    MMF
    マルチモード
    SMF
    シングルモード(MMFより伝送距離が長い)

  • BASEの後ろに T が付いているものはツイストペアケーブルを使う規格

    STP(Shield Twisted Pair Cable)
    ノイズに強い, 高価, アースが必要
    UTP(Unshifted Twisted Pair Cable)
    ノイズに弱い, 安価, 保証する伝送速度や帯域による区分(カテゴリ)がある
    カテゴリ名 伝送速度 伝送帯域 備考
    Cat1 20kbps 規定なし 音声通話を適用範囲
    Cat2 4Mbps 1MHz
    Cat3 16Mbps 16MHz
    Cat4 20Mbps 20MHz トークンリングを対象とする(あまり使われない)
    Cat5 100Mbps 100MHz 5eが主流なのであまり使われない
    Cat5e(enhanced) 1Gbps 100MHz 現在一般に使用されている
    Cat6 1.2Gbps 250MHz サーバ等、通信速度が求められる環境で使用される
    Cat6a(argumented) 10Gbps 500MHz サーバ等、通信速度が求められる環境で使用される

22.1 PoE [nw2[37]]

  • Power over Ethernet
  • IEEE802.3afIEEE802.3at で規格化されている
    IEEE802.3af
    15.4W
    IEEE802.3at
    30W, PoE+ とも呼ばれる
  • イーサネットのケーブルで電源を供給する仕組み
    • 無線APへの給電など
  • 給電・受電側の機器をそれぞれ PSE, PD と呼ぶ
    • Power Sourcing Equipment
    • Powered Device
  • 給電は、ツイストペアケーブルの 4, 5, 7, 8 番の線を利用して行われる

22.2 フレームフォーマット [nw1[108]]

  • イーサネットフレーム全体は最大 1518オクテット となる(VLANが利用されている場合1522オクテット)
  • イーサネットフレームの先頭には プリアンブル が付与される
    • 通信相手のNICが同期を取れるようにするため
    • 101010108オクテット 並んだもの
      • 最後の1オクテットのみ 10101011 となっている
        • この1オクテットを SFD (Start Frame Delimiter) と呼ぶ

  • プリアンブルの後は以下のように続いている

    [イーサネットヘッダ] 宛先MACアドレス
    6オクテット
    [イーサネットヘッダ] 送信元MACアドレス
    6オクテット
    (VLANフィールド)
    4オクテット
    [イーサネットヘッダ] タイプ
    2オクテット 上位レイヤのプロトコルを表す
    データ
    46〜 1500 オクテット
    FCS
    4オクテット
    主要なタイプ番号 対応するプロトコル
    0800 IPv4
    0806 ARP
    8035 RARP
    8100 IEEE802.1Q Customer VLAN
    814C SNMP over Ethernet
    86DD IPv6
    8863 PPPoE Discovery Stage
    8864 PPPoE Session Stage
    88CC LLDP

23 無線通信 [nw1[112]]

23.1 無線PAN [nw1[112]]

  • IEEE802.15 で規格化されている

23.1.1 Bluetooth [nw1[115]]

  • 通信距離は 10m 前後
  • 802.11b/g などと同じ 2.4GHz 帯の電波を使って通信する
  • 電波強度によって最大1m, 10m, 100mに対応した規格がある
  • 最大8台との通信が可能
    • 1つのマスタと最大7つのスレーブからなる スター型ネットワーク を構成する

23.1.2 ZigBee [nw1[116]]

  • 家電などに組み込むことを前提とした低消費電力・短距離の無線通信
  • 最大 65536 個の端末間を相互接続できる
  • 日本では 2.4GHz 帯の 250kbps の規格が利用可能

23.2 無線LAN [nw1[112],nw2[70]]

  • IEEE802.11 で規格化されている
  • Wi-Fi など
  • 無線LANの電波を発する機器を アクセスポイント(AP) と呼ぶ
  • APは常に ビーコン信号 を発信している
    • クライアントに対して自分の存在を通知する信号
      • APのビーコン信号を受けて端末が接続要求を出すことを パッシブスキャン と呼ぶ
    • 具体的にはSSIDを発信している
      • ビーコン信号を発しないようにすることを SSIDのステルス化 と呼ぶ
        • SSIDのステルス中にAPに接続する場合、端末が接続要求としてSSID入りのビーコン信号を発信する [nw2[324]]
          • アクティブスキャン と呼ぶ
  • 無線LANの接続時、SSIDとMACアドレスは暗号化されない
    • 傍受可能なので、SSIDのステルス化やMACアドレスフィルタリングはセキュリティ対策としては不十分 [nw2[324]]
  • 電波間の干渉を防ぐために チャネル を設定する
    • 11b/11gでは5チャネルの間隔を空けて1, 6, 11チャネルを使うことが多い
  • セキュリティには注意が必要
    • 通信可能範囲内であれば許された利用者以外でも電波を受信することが出来る
      • 電波は目に見えない
    • 盗聴改ざん を防ぐためにデータの暗号化が推奨されている

  • 物理層

    • 802.11X (Xは英小文字)規格は物理層に関しての規格
    • 802.11n は以下の技術で通信速度の向上を達成している
      MIMO(Multiple-Input Multiple-Output)
      複数のアンテナを同期させて通信する
      チャネルボンディング
      複数のチャネルを用いて通信する
      フレームアグリゲーション
      複数のフレームをまとめて転送する(ヘッダのオーバヘッドを削減)
    規格名 最大速度 周波数 二次変調方式
    802.11 2Mbps 2.4GHz ?
    802.11a 54Mbps 5GHz OFDM
    802.11b 11Mbps 2.4GHz DSSS/CCK
    802.11g 54Mbps 2.4GHz OFDM
    802.11n 600Mbps 2.4GHz/5GHz OFDM
    802.11ac 6.93Gbps 5GHz OFDM
  • データリンク層
    • 利用される規格は全て統一されている
    • データリンク層は MAC層LLC層 に分かれる
      MAC層
      IEEE802.11 CSMA/CA(Carrier Sense Multiple Access/Collision Avoidance)
      • データ送信前に RTS/CTSフレーム をやり取りすることで他の端末の送信を抑制する
      LLC層
      IEEE802.2 論理リンク制御

23.2.1 SSID [nw2[71]]

  • Service Set Identifier
  • 無線LANの識別子

23.2.2 暗号方式 [nw2[76]]

  • 無線LANでは暗号化が重要となる
暗号方式 暗号化方式 暗号化アルゴリズム 鍵の自動更新 暗号キーの更新機能 改ざん検知 備考
WEP WEP RC4 なし なし なし 非推奨
WPA TKIP RC4 あり あり あり
WPA2 CCMP AES あり あり あり

23.2.3 認証方式 [nw2[77]]

認証の種類 認証方法 備考
WEP WEPキー 非推奨
WPA-PSK 事前共有鍵(PSK : Pre Shared Key) PSKは一定の長さ以上で十分に複雑な 文字列
MACアドレス認証 MACアドレス MACアドレスは偽装が可能
WEB認証 ユーザID/パスワード
EAP PEAP, EAP-TLS IEEE802.1X認証

23.2.4 プライバシセパレータ機能

  • 同じ無線LANのアクセスポイントに接続している機器同士の直接通信を禁止する

23.2.5 OFDM

  • Orthogonal Frequency Division Multiplexing
  • 直交周波数分割多重
    • データ信号を複数のサブキャリアに分割し,各サブキャリアが互いに干渉しないように配置する方式
  • IEEE802.11a/g/n/acで採用されている

23.3 無線MAN [nw1[112]]

23.3.1 WiMAX [nw1[116]]

  • Worldwide Interoperability for Microwave Access
  • IEEE802.16 の中で標準化が行われている
  • ISPから家庭や企業に回線を引くときの ラストワンマイル を無線で実現する

23.4 無線WAN [nw2[322]]

  • 携帯電話向けの広域通信網
  • 通常、通信事業者が契約者を識別する情報が記録されている SIMカード で接続認証を行う
  • 接続するISPに応じた APN(Access Point Name) を設定する必要がある

24 LLDP [nw3[165]]

  • Link Layer Discovery Protocol
  • IEEE802.1AB で規定されている
  • 機器の装置名やポートIDなどをマルチキャストMACアドレス宛に定期的に送信する
    • OpenFlowにおけるOPS同士の接続情報の取得などに用いられる

25 PPP [nw1[117],nw2[59]]

  • Point-to-Point Protocol
  • データリンク層の機能で1対1の通信を行うプロトコル
  • IDとパスワードによる認証機能がある
    方式
    PAP, CHAP
  • 通信する双方向で認証が可能
    • ただしISPに接続する場合、ISP側からの認証は使用しないことが一般的
  • 利用時間による課金などが可能
    • コネクションの確立と切断が明確なため
  • 既存の電話回線を用いたネットワークへの接続が可能
    • PPPモデムを介する
    • RJ11端子を接続する
  • PPPはソフトウェアとして実装されるため、コンピュータに大きな負荷をかける

25.1 PAP [nw1[118]]

  • Password Authentication Protocol
  • PPPのコネクション確立時に一回だけIDとパスワードのやり取りを行う認証方式
  • パスワードを平文でやり取りする
    • 盗聴の恐れがあるため非推奨

25.2 CHAP [nw1[118]]

  • Challenge Handshake Authentication Protocol
  • OTP(One Time Password) を使用して盗聴を防ぐ
  • パスワードを暗号化してやり取りする
  • コネクション確立後も定期的にパスワードの交換を行う
  • 以下の手順でユーザ認証を行う
    1. クライアントがサーバにユーザIDを送信する
    2. サーバは チャレンジ と呼ばれる乱数値をクライアントに返す
    3. クライアントはチャレンジとパスワードを組み合わせたものをハッシュ化してユーザIDと共にサーバに送信する
    4. サーバはハッシュ値の確認による認証を行う

25.3 EAP [nw2[61],nw2[236]]

  • Extensible Authentication Protocol
  • PPPを認証が出来るように拡張したプロトコル
    • IEEE802.1X における認証プロトコル
  • 認証方式としては以下のものがある
認証方式 クライアントの認証 サーバの認証 セッション鍵 備考
EAP-MD5 ID/パスワード(ユーザ認証) なし なし
PEAP ID/パスワード(ユーザ認証) サーバ証明書 あり
EAP-TLS クライアント証明書(端末認証) サーバ証明書 あり クライアントごとに証明書が必要

25.4 LCP [nw1[117]]

  • Link Control Protocol
  • PPPの機能の内、上位層に依存しないプロトコル
  • 主に以下の機能を備えている
    1. コネクションの確立や切断
    2. パケット長(MRU : Maximum Receive Unit) の設定
    3. 認証プロトコルの設定(PAPかCHAPか)
    4. 通信品質の監視を行うかどうかの設定

25.5 NCP [nw1[117]]

  • Network Control Protocol
  • PPPの機能の内、上位層に依存するプロトコル

25.5.1 IPCP [nw1[117]]

  • IP Control Protocol
  • 上位層のプロトコルがIPのときのNCP
  • 主に以下の機能を備えている
    1. IPアドレスの設定
    2. TCP/IPのヘッダ圧縮を行うかどうか

25.6 PPPoE [nw1[119]]

  • PPP over Ethernet
  • イーサネットのデータ部にPPPのフレームを格納して転送する方式
  • 安価なイーサネット用のNICを用いたサービスの提供が可能
  • 利用時間による課金が不可能(イーサネットには認証機能がないため)

25.7 MLPPP

  • Multi Link Point to Point Protocol
  • PPPによるデータリンクを複数束ねることができるように拡張したプロトコル

26 ATM [nw1[120]]

  • Asynchronous Transfer Mode
  • データを セル と呼ばれる単位で処理するデータリンク
    • セルは「 ヘッダ5オクテット + データ48オクテット 」で構成されている
    • このヘッダはATM網における非同期多重接続のため [nw1[121]]
      • VPI (Virtual Path Identifier), VCI (Virtual Channel Identifier)が格納されている
        • これらは直接通信するATMスイッチ間で定められたID
        • IDにより、どの通信かを識別することが出来る
  • 通信に先立ち、途中の交換機に通信回線の設定を要求する
    • この仕組みを シグナリング と呼ぶ
    • 電話とは異なり、同時に複数の相手との接続が可能
  • ATMでは一度に48オクテットのデータしか転送できない [nw1[122]] AALを用いて分割転送しても、TCPの場合、セルが1つでも失われると全てのセルを再送しなくてはならない 輻輳 のリスクが高い

26.1 AAL [nw1[122]]

  • ATM Adaptation Layer
  • ATMを用いてTCP/IP等のデータを転送する際に利用される上位層
  • データを複数のセルに分割して転送を行う
    • IPに対応した AAL5 は最大 192 個まで分割出来る

27 POS [nw1[123]]

  • Packet over SDH/SONET
  • 物理層の規格
  • デジタル信号の光ファイバーでのやり取りを可能にする

28 FDDI [nw1[123]]

  • Fiber Distributed Data Interface
  • トークンパッシング方式によるデータリンク
    • 光ファイバーやツイストペアケーブルを用いた100Mbpsの通信が可能
  • 媒体非共有のイーサネットが主流となり、現在ではあまり使われていない
    • ギガビットイーサネットの方が高速・安価なため
  • 2重のリングを構成する
    • 切れたときに通信不能になるのを防ぐため
    • 2重リングに属するステーションのこと
    • 1重リングに属するステーションのこと

29 Token Ring [nw1[124]]

  • IBMによって開発されたトークンパッシング方式のLAN
  • 4Mbps, 16Mbpsの規格がある
  • 現在では使われない

30 100VG-anyLAN [nw1[124]]

  • IEEE802.12 で標準化されたプロトコル
  • 現在では使われない

31 Fiber Channel [nw1[124]]

  • 高速なデータチャネルを実現するデータリンク
    伝送速度
    133Mbps〜4Gbps
  • SCSIのように周辺機器を接続するバスに近い
  • SAN (Storage Area Network) を構築するためのデータリンクとして利用されている

31.1 FCoE

  • Fibre Channel over Ethernet
  • Fiber Channelのフレームをカプセル化し、イーサネット上で利用する技術
    • Fiber Channelのフレーム長は最大 2112オクテット
      • イーサネットのジャンボフレームが使用される

32 HIPPI [nw1[125]]

  • スパコン同士を接続するために利用されるデータリンク
    伝送速度
    800Mbps, 1.6Gbps
    最大ケーブル長
    25m(光ファイバー変換装置を接続すれば数km)

33 IEEE1394 [nw1[125]]

  • 家庭用AV機器の接続に利用されるデータリンク
  • FireWire, i.Link とも呼ばれる
    伝送速度
    100Mbps〜800Mbps

34 HDMI [nw1[125]]

  • High-Definition Multimedia Interface
  • v.1.4からTCP/IPによる通信が可能となる

35 iSCSI [nw1[125]]

  • SCSIをTCP/IPで利用できるようにした規格

36 InfiniBand [nw1[125]]

  • ハイエンドサーバ向けの超高速インターフェース
  • 高速・高信頼性・低遅延
    伝送速度
    2Gbps〜数百Gbps

37 高速PLC [nw1[126]]

  • Power Line Communications
  • 電力線搬送通信
    伝送速度
    数十Mbps〜200Mbps
  • 元々通信を行う前提でない電力線に高周波の信号を流す
    • 電波の漏洩がある
      • 屋内での利用に限定される

38 公衆アクセス網 [nw1[126]]

  • 公衆通信サービスとして通信事業者(プロバイダ)が提供している

38.1 アナログ電話回線 [nw1[126]]

  • 固定電話回線を利用して通信を行う
    • 利用者のコンピュータとISPは PPP で通信する
    • 56kbps程度
  • 現在ではほとんど利用されていない

38.2 移動体通信サービス [nw1[127]]

  • 携帯電話等

38.3 ADSL [nw1[127]]

  • Asymmetric Digital Subscriber Line
  • 既存のアナログ電話回線を拡張利用する
    • 音声(低周波)とデータ(高周波)を混在させる
      • スプリッタ を用いて分離する
    • 伝送速度
      ISP -> 家庭・オフィス
      1.5Mbps〜50Mbps
      家庭・オフィス -> ISP
      512kbps〜2Mbps
  • アナログ電話回線 -> スプリッタ -> ADSLモデム -> LAN

38.4 FTTH [nw1[128]]

  • Fiber To The Home
  • 光ファイバーを家庭や会社の建物に直接引き込む
    • ISP -> 光スプリッタ -> |家庭内へ| -> ONU -> 無線ルータ等

38.4.1 FTTB

  • Fiber To The Building
  • 建物の手前まで光ファイバーを引く

38.4.2 FTTC

  • Fiber To The Curb
  • 複数の家庭で一つの光回線を共有する

39 ホスト

  • IPアドレスが割り振られているが経路制御を行わない機器

40 ルータ

  • IPアドレスが割り振られており経路制御を行う機器
    • 通常、2つ以上のIPアドレスが割り振られる

41 ノード

  • ホストとルータの総称

42 IPアドレス [nw1[136]]

  • ネットワーク層におけるアドレス
    • TCP/IPで通信するすべてのノードには必ず設定される
    • 物理層・データリンク層のでパケットを中継する機器には必要ない
      • ただし、SNMPで管理される機器には設定される

42.1 IPv4 [nw1[143]]

  • 32ビットの正整数で表される
  • ネットワーク部ホスト部 に分けられる
    • サブネットマスク(ネットワークプレフィックス) によって分けられる
    • データリンクのセグメントごとに値が割り当てられる
    • 同一セグメント内で重複しないように値が割り当てられる
      • すべてを0、もしくは、1に設定することは出来ない
        すべて0
        IPアドレスが分からない(不定である)際に利用する
        すべて1
        ブロードキャストアドレス として利用する
      • よって、サブネットマスクが \(N\) のとき、ホスト部は最大で \(2^{32-N} – 2\) 個の割り当てとなる

42.1.1 IPブロードキャスト [nw1[147]]

  • 同一セグメントのすべてのホストにパケットを送信する
  • ホスト部をすべて1にするとブロードキャストアドレスになる
    192.168.0.0/24 -> 192.168.0.255
  • イーサネットにおけるブロードキャスト時、宛先MACアドレスはすべてのビットが1となる
    FF:FF:FF:FF:FF:FF
  1. ローカルブロードキャスト [nw1[148]]
    • 自分の属しているネットワークに対するブロードキャスト
  2. ダイレクトブロードキャスト [nw1[148]]
    • 異なるネットワークに対するブロードキャスト
      • 恣意的にネットワーク負荷をかけることが出来る等の問題がある
        • ルーターで転送しないように設定されていることが多い

42.1.2 IPマルチキャスト [nw1[149]]

  • 特定のグループに所属するホストにパケットを送信する
    • クラスD(1110で始まるアドレス) が使用される
      • 224.0.0.0 から 239.255.255.255 まで
  • アドレスによって用途が決められている
  • すべてのホストは 224.0.0.1 に属している必要がある
  • すべてのルータは 224.0.0.2 に属している必要がある
  • 実用には IGMP(Internet Group Management Protocol) などの仕組みが必要となる
用途が決められている主なアドレス 用途・ルール
224.0.0.0〜224.0.0.255 経路制御されない 同一セグメント内におけるマルチキャスト
224.0.0.1 同一セグメント内のすべてのホスト
224.0.0.2 同一セグメント内のすべてのルータ
224.0.0.5 OSPFルータ
224.0.0.12 DHCPサーバ/リレーエージェント

42.1.3 CIDR [nw1[153]]

  • Classless InterDomain Routing
  • 任意のビット長でのIPアドレスの配布を指す
    • クラスによるグローバルIPアドレスの配布は廃止された
      • グローバルIPアドレスの不足が起きたため
    • 連続する複数のクラスCグローバルIPアドレスを束ねて利用することが出来るようになった
      203.183.224.0/24(ホスト254個) + 203.183.223.0/24(ホスト254個) -> 203.183.224.0/23(ホスト510個)
      • スーパーネット化(経路集約) と呼ぶ

42.1.4 VLSM [nw1[155]]

  • Variable Length Subnet Mask
  • ひとつの組織内でネットワークごとにサブネットマスク長が変えられるようにする仕組み
    • ルーティングプロトコルとして RIP2OSPF を適用する

42.1.5 グローバルIPアドレス [nw1[156]]

  • インターネットに接続されたネットワークにおけるIPアドレス
  • 世界的には ICANN で一元管理されている
    • 日本では JPNIC が割り当て機関として活動している
      • ISPがJPNICに割り当てを申請する

42.1.6 プライベートIPアドレス [nw1[155]]

  • インターネットに直接接続しない独立したネットワークにおけるIPアドレス
  • 以下の3種類に分けられる
    クラスA
    10.0.0.0/8
    クラスB
    172.16.0.0/12
    クラスC
    192.168.0.0/16
  • NAT によるグローバルIPアドレスとの変換により、インターネットとの接続が可能

42.1.7 IPv4ヘッダ [nw1[171]]

  • 前から順に以下のようになっている

    1. バージョン

      • 4ビットで構成されている
      バージョン 略称 プロトコル名
      4 IP Internet Protocol
      6 IPv6 Internet Protocol version 6
    2. ヘッダ長(IHL : Internet Header Length)
      • 4ビットで構成されている
      • 単位は4オクテット
        • IPヘッダがオプションを持たない場合は 0101 となる(20オクテット)
    3. サービスタイプ(TOS : Type Of Service)
      • 8ビットで構成されている
      • パケットのサービス品質を表す
        • アプリケーションによって指定される
      • このフィールドに従う制御機構を実現するのが難しかったため現在では使われていない
        • 代わりに DSCP, ECNフィールド として使用されている
    4. DSCP, ECNフィールド
      • TOSフィールドとして定義されていた箇所
      • DiffServ と呼ばれる品質制御で使用される
      • ネットワークの輻輳に関するフラグ
        ビット1 ECT(ECN-Capable Transport)
        上位層のトランスポートプロトコルがECNに対応してるかを示すフラグ
        ビット2 CE(Congestion Experienced)
        輻輳が発生しているかを示すフラグ
    5. パケット長(Total Length)
      • 16ビットで構成されている
      • IPヘッダとデータを加えたパケット全体のオクテット長を表す
        • 最大 \(2^{16}\) オクテット
    6. 識別子(ID)
      • 16ビットで構成されている
      • フラグメントを復元する際に利用する
        • パケットを送信する度に1ずつ増える
    7. パケットの分割に関するフラグ
      • 3ビットで構成されている
        ビット0
        未使用, 0でなければならない
        ビット1
        分割してよいかを示す(0 : 分割可, 1 : 分割不可)
        • 経路IMU探索で使用される
        ビット2
        分割されたパケットにおいて、最後のパケットかどうかを示す(0 : 最後のフラグメント, 1 : 途中のフラグメント)
    8. フラグメントオフセット(FO : Fragment Offset)
      • 13ビットで構成されている
      • フラグメントがどの位置のデータであるかを示す
    9. 生存時間(TTL : Time To Live)
      • 8ビットで構成されている
      • ルータを通過する度に1ずつ減る
      • 0になったらパケットは破棄される

    10. 上位プロトコル番号

      • 主な番号は以下の通り
      番号 略称 プロトコル名
      1 ICMP Internet Control Message Protocol
      2 IGMP Internet Group Management Protocol
      6 TCP Transmission Control Protocol
      17 UDP User Datagram Protocol
      • 上位と言っても ICMP, IGMP はネットワーク層のプロトコル
    11. チェックサム
      • 16ビットで構成されている
      • IPヘッダ のみのチェックサムを計算する
        • TCP/UDPヘッダは データ全体
    12. 送信元IPアドレス
      • 32ビットで構成されている
    13. 宛先IPアドレス
      • 32ビットで構成されている
    14. オプション
      • 可変長の長さを持つ
      • テストやデバッグを行う際に利用される
    15. パディング
      • オプションによりヘッダ長が32ビットの倍数にならない場合に付与される

42.2 IPv6 [nw1[166],nw2[109]]

  • IPv4のアドレス枯渇問題を解決するために新たに標準化されたインターネットプロトコル
    • IPv4の4倍の 128ビット の長さを持つ
  • IPv4の他の問題点も同時に解決している
    • IPアドレスの拡大と経路制御表の集約
    • パフォーマンスの向上
      • ヘッダを固定長にする
      • チェックサムの廃止
      • ルータに分割処理をさせない(経路MTU探索)
        • IPv6では最小のMTUが1280オクテットと決められている
        • リソースに制限のある組込み機器では、経路MTU探索を行わず、最初から1280オクテットに分割して送信する
    • プラグ&プレイを必須にする
      • DHCPサーバなしでもアドレスの自動割り当てを可能にする
    • IPsecの実装を必須にする
      • 認証と改ざん検出機能
  • 16進数で表し、16ビットごとに : で区切る
    1080:0:0:0:8:800:200C:417A
  • 0 が連続している箇所は、アドレスの中で1箇所だけ省略することが出来る
    1080::8:800:200C:417A

42.2.1 グローバルユニキャストアドレス [nw1[168],nw2[115]]

  • インターネット内でユニークなアドレス
  • 2000::/3
    ネットワーク部
    グローバルルーティングプレフィックス + サブネットID
    ホスト部
    インターフェースID
  1. グローバルルーティングプレフィックス
    • 組織に割り当てられた値
    • 現在は48ビットが使われている
  2. サブネットID
    • 組織内で自由に割り振ることが可能な識別子
    • 現在は16ビットが使われている
  3. インターフェースID
    • 64ビット版のMACアドレス(IEEE EUI-64識別子) を用いて自動的に割り当てられる
      • MACアドレスを知られたくない場合、乱数を用いて 一時アドレス を生成することも出来る

42.2.2 リンクローカルユニキャストアドレス [nw1[169],nw2[115]]

  • 同一セグメント内で一意に決まるアドレス
  • fe80::/10
    前半64ビット
    111111101000…0
    後p半64ビット
    インターフェースID
  • ルータを介さない通信で利用可能

42.2.3 ユニークローカルアドレス [nw1[170],nw2[115]]

  • 組織内のサブネット内でユニークなアドレス
  • fd00::/8
    7ビット
    1111110
    1ビット
    L(通常1にする)
    40ビット
    グローバルID(乱数で決定する)
    16ビット
    サブネットID
    64ビット
    インターフェースID

42.2.4 マルチキャストアドレス

  • FF00::/8

42.2.5 ループバックアドレス

  • ::1/128

42.2.6 デフォルトルート

  • ::/0

42.2.7 IPv4埋め込みアドレス

  • ::FFFF:<IPv4アドレス>

42.2.8 IPv6ヘッダ [nw1[176]]

  • チェックサムが廃止され、分割処理のためのフィールドはオプションになった
    • ヘッダは固定長
      • 40オクテット
  • オプションは拡張ヘッダとして付与される [nw1[179]]
  • 前から順に以下のようになっている
    1. バージョン
      • IPv4と同等
    2. トラフィッククラス(Traffic Class)
      • 8ビットで構成されている
      • IPv4のTOSにあたるフィールド
        • 同様に、 DSCPECN で利用される
    3. フローラベル(Flow Label)
      • 20ビットで構成されている
      • 品質制御に利用されることを想定したフィールド
        • 利用しない際はすべて0で埋める
      • RSVP(Resource Reservation Protocol) などで利用する
    4. ペイロードの長さ(Payload Length)
      • ヘッダを除いたデータの長さを表す
        • オプションはデータとみなされる

    5. 次のヘッダ(Next Header)

      • IPv4におけるプロトコルフィールド
      • 拡張ヘッダがある場合、そのプロトコル番号が入る
      番号 拡張ヘッダ
      44 フラグメントヘッダ(IPv6-Flag)
      50 ペイロードの暗号化(ESP)
      51 認証ヘッダ(AH)
      59 ヘッダの終わり(IPv6-NoNxt)
    6. ホップリミット(Hop Limit)
      • IPv4のTTLにあたるフィールド
      • 意味を明確にするため名前が変更された
    7. 送信元IPアドレス
    8. 宛先IPアドレス

42.3 IPv4/IPv6共存技術

42.3.1 トンネリング

  • カプセル化
  • 6to4, Teredo, ISATAP

42.3.2 デュアルスタック

  • 単一機器にIPv4とIPv6の双方の機能を実装すること
  • 通信を行う機器が対応しているプロトコルで通信を行う

42.3.3 トランスレータ

  • ヘッダを付け替える
  • Proxy方式, NAT-PT方式, TRT方式

43 経路制御 [nw1[137]]

  • パケットを宛先IPアドレスのホストまで届けるための機能
  • 経路制御が行われて次の経路制御が行われるまでの1区間を 1ホップ と呼ぶ
    • つまり、1ホップは データリンク層以下の機能でフレームが伝送される区間 を指す
  • IPは ホップバイホップルーティング

43.1 経路制御表 [nw1[159]]

  • ルーティングテーブル
  • IPパケットを次にどのルータに転送すれば良いかを保持する表
  • ルータだけでなく、ホストも持っている
  • 主に2通りの作成方法がある
    静的経路制御(スタティックルーティング)
    管理者が事前に作成する
    動的経路制御(ダイナミックルーティング)
    ルータが他のルータと情報を交換して自動的に作成する
    • ルータ間で経路制御情報をやり取りするため、 ルーティングプロトコル を設定する必要がある
  • 一致するネットワークアドレスが複数ある場合、一致するビット列が長い方を選択する
    • 最長一致

43.1.1 デフォルトルート [nw1[160]]

  • 経路制御表に登録されているどのアドレスにもマッチしなかった場合の転送先
    • 0.0.0.0/0 もしくは default と表す
  • デフォルトルートを用いて経路制御を階層的に行うことで、経路制御表を小さくすることが出来る
    • 経路制御表にすべてのネットワークやサブネットを記録することは出来ない

43.1.2 ホストルート [nw1[160]]

  • <IPアドレス>/32 のこと
  • IPアドレスのすべてのビットを使って経路制御を行う
    • ネットワークアドレスによる経路制御を利用したくない場合に使用
      • どういう場合?
    • 多用すると経路制御表が大きくなり、ネットワークの性能が低下する

43.1.3 ループバックアドレス [nw1[161],nw2[100]]

  • その経路制御表を持つホストを指す
  • 同じホスト内の異なるプログラム間で通信を行いたい場合に利用される
    • 127.0.0.1 もしくは localhost
      • 実際は 127.0.0.0/8 なので 127.0.0.1〜127.255.255.254
    • 外部からの不正利用が発生しないのでセキュア

43.1.4 経路アグリゲーション [nw1[161]]

  • ネットワークアドレスのビットのパターンを考慮してセグメントを階層構造に分けること

44 分割処理 [nw1[162]]

  • IPが持つ、下位層を抽象する機能のひとつ
    • IPフラグメント とも呼ぶ
  • MTU はデータリンクによって異なる
    イーサネット
    1500オクテット(ジャンボフレームでは9000オクテット前後)
    FDDI
    4352オクテット
  • 分割処理では、大きなIPパケットを複数の小さなIPパケットに分割する
    • 経路上でデータリンクの相違が合った場合
    • 上位層へは複数のパケットを統合してから渡す
  • IPでは最大65535オクテットのパケットを転送可能
    • 主要なデータリンクはすべてこれ以下
  • IPヘッダには分割に関する情報が格納されている
    1. 分割された断片の位置
    2. 最後の断片化を示すフラグ
  • 途中のルータは分割処理を行うが、再構築処理は行わない
    • 再構築処理は終点の宛先ホストでのみ行われる

44.1 経路MTU探索 [nw1[164]]

  • PMTU, PMTUD
  • 宛先ホストまでで分割処理が必要にならない最大のMTUのこと
    • 経路上に存在するデータリンクの最小のMTU
  • 分割処理は出来る限り行わない方がよい
    理由1
    ルータへの負荷が大きくなるため
    • ルータではセキュリティに関するフィルタリング処理などを行っている
    理由2
    ネットワークの利用効率が低下するため
    • 分割された断片の内一つでもロスした場合、元のIPデータグラムのすべてが失われる
  • 経路MTU探索によって経路MTUを得た後、送信元ホストが最初からパケットを分割して送信する
    • ネットワーク層での分割処理は行われない
    • ルータの負荷が軽減される
  • 以下の手順で行われる
    1. 送信元ホストがIPヘッダ中の分割禁止フラグを1に設定してパケットを送信する
    2. 分割が必要な場合、パケットが送信できなくなるため、ルータが送信元ホストにICMPでメッセージを返す
    3. MTUが判明するため、次回以降(TCPの場合は再送)分割済みのパケットを複数送信する

45 ARP [nw1[189], nw2[41]]

  • Address Resolution Protocol
  • データリンク層のプロトコル
  • アドレス解決のためのプロトコル
    • IPアドレスからMACアドレスを取得する
  • IPv4でのみ利用される
    • IPv6では ICMPv6の近隣探索メッセージ が利用される
  • ARP要求パケットARP応答パケット の2種類が使用される
    1. 送信元ホストがARP要求パケットを ブロードキャスト する
      • ARP要求パケットは宛先IPアドレスの情報を持っている
    2. 該当するホスト(宛先ホスト)がARP要求パケットを受け取る
      • このとき、該当するホストは送信元ホストのIPアドレスとMACアドレスの関係を記録する
    3. 該当するホスト(宛先ホスト)が送信元ホストにARP応答パケットを ユニキャスト する
  • アドレスの解決は動的に行われるため、上位層ではIPアドレスのみを意識すれば良い
    • 通常、MACアドレスは数分間キャッシュされる
      • MACアドレスとIPアドレスの関係を保持したものを ARPテーブル と呼ぶ
      • ホスト側で保持される

45.1 GARP

  • Gratuitous ARP
  • 自分自身のIPアドレスに対するARPのこと
  • 主に以下の目的で使用される
    1. 自分自身に設定するIPアドレスが重複していないかどうかを検出する
    2. 同一セグメントのネットワーク機器上のARPキャッシュを更新させる
      • VRRPやHSRPによる冗長化設計に置いて、障害時のL3機器の切り替わりを他の機器(SW)に通達する目的
        • ARPテーブルは更新する必要がないが、フォワーディングテーブルは更新する必要がある

46 RARP [nw1[193]]

  • Reverse Address Resolution Protocol
  • データリンク層のプロトコル
  • MACアドレスからIPアドレスを取得する
  • RARPサーバを用意する必要がある

47 ICMP [nw1[194],nw2[102]]

  • Internet Control Message Protocol
  • ネットワーク層におけるパケットの状態を通知するための使用されるプロトコル
    • さまざまな目的で利用される
タイプ 内容
0 エコー応答(Echo Reply)
3 到達不能(Destination Unreachable)
5 リダイレクト(Redirect)
8 エコー要求(Echo Request)
11 時間超過(Time Exceeded)

47.1 ICMPエコーメッセージ [nw1[198]]

  • Type0, 8
  • 通信したいホストやルータにIPパケットが到達するかを確認したいとき利用される
    • エコー要求(Type8) を送信して エコー応答(Type0) が返ってくれば到達可能

47.1.1 ping [nw1[198]]

  • ICMPエコーメッセージを利用して対象のホストに到達可能かを確認する

47.2 ICMP到達不能メッセージ [nw1[195]]

  • Type3
  • ルータがIPパケットをホストに配送できない場合に使われる
    • 送信元ホストに 理由(エラーコード)と共に メッセージを送信する
  • 以下のようなエラーコードがある
エラーコードの例 内容
0 Network Unreachable
1 Host Unreachable
4 Fragmentation Needed and Don’t Fragment was Set
  • よく発生するのは エラーコード0エラーコード1
    エラーコード0
    そのIPアドレスへの経路情報を持ってなかったとき
    エラーコード1
    そのコンピュータがネットワークに接続されていなかったとき
  • エラーコード4経路MTU探索 で利用される
    エラーコード4
    分割処理が必要なのにIPヘッダの分割許可フラグが立ってなかったとき

47.3 ICMPリダイレクトメッセージ [nw1[196],nw2[105]]

  • Type5
  • 送信元ホストが最適でない際に最適な経路を通知するために使われる
    • 経路制御表(ルーティングテーブル)に追記される
    • サブネットマスクの情報を伝えることが出来ないので/32のホストルートとして追記される

47.4 ICMP時間超過メッセージ [nw1[197]]

  • Type11
  • IPヘッダのTTLフィールドの値が0になったとき
  • 分割したパケットの再構築処理がタイムアウトしたとき

47.4.1 traceroute [nw1[197],nw2[106]]

  • 特定の宛先ホストに辿り着くまでに通過するルータを表示するアプリケーション
  • ICMP時間超過メッセージを利用している
    • 送信時のTTL値を1から順に増やしていく
    • 特定の宛先ホストに辿り着かなければICMP時間超過メッセージが返ってくる
      • その送信元IPアドレスの順が通過するルータの順になる

47.5 ICMPヘッダ構造 [nw2[104]]

  • IPv4ヘッダの後に続く
  • 前から順に以下のようになっている
    1. タイプ
    2. コード
    3. チェックサム
    4. 識別子
    5. シーケンス番号
    6. データ

47.6 ICMP Flood攻撃

  • サイズの大きいICMPエコーメッセージを送り続けることでトラフィックを圧迫させる攻撃
    • 上位プロトコルがUDPなので、送信元IPアドレスの偽装が容易
  • IPスプーフィング 攻撃に分類される
    IPスプーフィング
    送信元IPアドレスを偽装して通信を行う攻撃手法
  • 類似の攻撃に SYN Flood攻撃 がある
    • 存在しない送信元IPアドレスを用いてTCPコネクション確立におけるSYNメッセージを送信し続ける

48 ICMPv6 [nw1[199]]

  • IPv6におけるICMP
    • IPv6では必須
      • IPv4ではICMPがなくても通信することが可能
    • エラーメッセージ
    • 情報メッセージ
  • Type133〜127までの 近隣探索メッセージ はIPv6のマルチキャストアドレスが使用される

49 NAT [nw1[204],nw2[86]]

  • Network Address Translation
  • プライベートIPアドレスを用いてインターネット上のホストと通信するために開発された
    • 最近ではNATと言っても実際は NAPT のことを指すことが多い
      NAPT(Network Address Port Translator)
      TCPやUDPのポートも付け替える技術, IPマスカレード とも呼ぶ
  • アドレス変換のための対応表が自動的に作られる(下表は例)
LAN WAN
10.0.0.10:1025 to 163.221.120.9:80 202.244.174.37:1025 to 163.221.120.9:80
10.0.0.11:1025 to 163.221.120.9:80 202.244.174.37:1026 to 163.221.120.9:80
  • 送信元IPアドレスを書き換えるNAT処理を 送信元NAT(ソースNAT), 宛先IPアドレスを書き換えるNAT処理を 宛先NAT と呼ぶ

49.1 NAT-PT [nw1[206]]

  • NAPT Protocol Translation
    • 単に トランスレータ とも呼ぶ
  • IPv4ヘッダとIPv6ヘッダを付け替える技術
  • DNSと連携してIPヘッダを付け替える DNS-ALG 方式が期待されている

49.2 NAT超え [nw1[207]]

  • NATの外側のホストがNATの内側のホストへ接続するための手法
    1. NATの内側のホストがダミーのパケットをNATの外側のホストへ送信する
    2. NATのテーブルが作成される
    3. NATの外側のホストは、受け取った送信元IPアドレス+ポート番号を用いてNATの内側のホストに接続する

49.2.1 STUNサーバ [nw2[365]]

  • Session Traversal Utilities for NAT
  • Webサーバを介さずクライアント同士が直接通信する際に、通信ルートにNATが存在するかを検知するために使用される
    • 外部ネットワークはNAT超えを行う必要があるため
  • WebRTCシグナリング で利用される
    • SDP 交換による自身のIPアドレス・ポート番号の通信相手への通知
  • 以下のような通信が行われる
    1. クライアントはSTUNサーバに billingリクエスト を送信する
    2. STUNサーバはデータ部に billingリクエストの送信元IPアドレスと送信元ポート番号 を記録した Billingレスポンス を返す
      • クライアントはNAT変換後のIPアドレスとポート番号を得ることが出来る

49.3 CGN [nw2[89]]

  • Carrier Grade NAT
    • NAT444 と呼ばれる
    • LSN(Large Scale NAT) とも呼ぶ
  • 少数のIPv4グローバルアドレスでより多くの端末をインターネットに接続するための仕組み
    • 主にISP内で使用される
    • IPv4の枯渇問題に対する応急処置
      • 根本的に解決するにはIPv6へ移行すれば良い
  • ISPにおいて、複数の顧客間で一つのグローバルIPアドレスを共用する
    • 顧客に割り当てられるアドレスは シェアードアドレス と呼ばれる
      • 100.64.0.0/10 と決められている

50 IPトンネリング [nw1[208]]

  • IPパケット自体をデータとし、それにIPヘッダを付加する手法
  • 以下のような場面で利用される
    1. Mobile IP
    2. マルチキャストパケットの中継(マルチキャストトンネリング)
      • マルチキャストパケットの経路制御に対応していないルータを越えることが出来る(GRE)
    3. IPv4ネットワークでIPv6パケットを送信する(6to4)
    4. IPv6ネットワークでIPv4パケットを送信する
    5. データリンクフレームをIPパケットで送信する(L2TP)

50.1 L2TP [nw1[209]]

  • データリンクのPPPパケットをIPパケットを利用して転送する技術
  • L2のトンネリング技術

50.2 GRE [nw2[400]]

  • Generic Routing Encapsulation
  • L3のトンネリング技術
  • IPsecと併せてセキュリティを保ちつつトンネリングを行うことが出来る
    • GRE over IPSec
      • インターネットVPNにおいて、ルーティングプロトコルを使用することが可能

51 IGMP/MLD [nw1[210],nw2[123]]

  • マルチキャストを実現する技術
    • ルータ にマルチキャストを受信したいことを伝える
  • IPv4とIPv6で使用されるプロトコルが異なる
    IGMP(Internet Group Management Protocol)
    IPv4で使用される
    MLD(Multicast Listener Discovery)
    IPv6で使用される, ICMPv6 の機能
  • 主に2種類のメッセージがある
    IGMP join
    あるマルチキャストグループに参加する時に使用する
    IGMP leave
    あるマルチキャストグループから離脱する時に使用する

51.1 IGMP(MLD)スヌーピング [nw1[210]]

  • 通常、L2SWはユニキャストアドレスしか学習しない
    • L2SWは送信元MACアドレスを学習する
    • マルチキャストアドレスは宛先にしか使用されないので学習出来ない
  • IGMP(MLD)スヌーピングに対応したL2SWは、ポートを通過するIGMP/MLDパケットを検知する
    • マルチキャスト受信を希望するポートを特定することが出来る

52 IntServ [nw1[213]]

  • アドミッション制御 に位置付けられる
  • IPにおける品質制御の仕組み
    • RSVP を用いてエンドツーエンドできめ細かい優先制御を提供する
    • 特定アプリケーション間の通信に対して品質を保証する
      • 特定アプリケーションとは、以下の5つが同じアプリケーションのこと
        • 送信元IPアドレス・宛先IPアドレス・送信元ポート番号・宛先ポート番号・トランスポート層のプロトコル

52.1 RSVP

  • Resource Reservation Protocol
  • ネットワーク資源の予約 を行い、ノード間のマルチメディア通信などのリアルタイム通信を実現する
  • RSVPでは、受信する側から送信する側に向けて制御パケットが流れる
    • その間に存在する ルータ に品質制御のための設定が行われる
      • フローのセットアップ と呼ばれる
      • このため、RSVPを用いたIntServは大規模なネットワークでは設定が複雑になってしまう

53 DiffServ [nw1[214]]

  • IPにおける品質制御の仕組み
    • IPヘッダ内の DSCPフィールド を用いて特定のネットワーク内で大雑把に品質制御を行う
    • DiffServにより品質制御を行うネットワークを DiffServドメイン 呼ぶ
      • DiffServドメイン内の境界にあるルータは、外から入ってくるIPパケットのDSCPフィールドを書き換える
        • DiffServドメイン内では、DSCPフィールドの値に応じて品質制御を行う
          • 「優先度が低いほど輻輳時に破棄されやすい」など
      • DiffServドメインは基本的にプロバイダのネットワークに相当する

54 輻輳通知 [nw1[215]]

  • IPパケットを使った明示的な輻輳通知の機能として ECN(Explicit Congestion Notification) がある
    • IPヘッダの ECNフィールド と TCPヘッダの予約ビットを用いる
    • 行きのIPヘッダに輻輳の有無を記録し、帰りのTCPヘッダで輻輳が起きていたことを送信元に伝える

55 Mobile IP [nw1[216]]

  • ホストが接続しているサブネットが変わってもIPアドレスが変わらないようにする技術
    • IPトンネリング を使用して、エージェントを介して通信を継続する
    • 登場する名称
      移動ホスト(MH : Mobile Host)
      移動するホスト, IPアドレスは変わらない
      ホームアドレス
      MHのIPアドレス
      気付けアドレス(CoA : Care-of Address)
      移動した先のサブネットにおけるIPアドレス
      ホームエージェント(HA : Home Agent)
      MHの位置を監視し、同一サブネット内に居ない場合、MHが存在するサブネットにIPトンネリングでパケットを転送する
      外部エージェント(FA : Foreign Agent)
      MHが移動する可能性のあるすべてのサブネットに必要
  • 問題点がいくつか存在する
    • MHは外部エージェントが存在しないサブネットに移動できない
    • ホームネットワークから移動した場合、HAを経由する必要があり、経路に無駄がある
    • 送信元IPアドレスが違うサブネットのもの(つまりホームアドレス)だとFWで弾かれてしまう恐れがある
  • Mobile IPv6では問題点が解決されている
    • MH自身がFAの役割を担う
    • 移動してもHAを経由することなく(IPトンネリングを使うことなく)直接通信できる
      • IPv6拡張ヘッダのモビリティーヘッダを利用する

56 VRRP [nw2[283]]

  • Virtual Router Redundancy Protocol
  • ルータやサーバの冗長化を可能とするプロトコル
  • 複数の機器に1つの仮想MACアドレス・IPアドレスを割り振ることが出来る
    • 機器には優先度を設定することが可能
      • 優先度がもっとも高い機器をマスタ、それ以外をバックアップとする
    • VRRPのMACアドレスは 00-00-5E-00-01-XX(XXはVRRPのグループID)
    • マスタがダウンしたかどうかは VRRP Advertisement(VRRP広告) で知ることが出来る
      • HELLOパケット とも呼ぶ
      • マルチキャストで送信される
      • 主に以下の情報が含まれる
        1. VRRPグループID
        2. 優先度
        3. 仮想IPアドレス
      • マスタがバックアップに定期的に送信する
        • このパケットが途切れたらバックアップはマスタに昇格する
        • このとき、GARPを送信してSWのフォワーディングテーブルを更新させる

57 AS [nw1[261],nw2[145]]

  • Autonomous Sysytem
  • 経路制御に関するルールを決めて、それを元に運用する範囲のこと
    • 通常、地域ネットワークやISP単位となる
  • 16ビット、もしくは、32ビットのAS番号が割り振られる [nw1[277]]
    • 日本国内では JPNIC が管理している
    • 64512〜65535プライベートAS と呼ばれ、自由に割り当てることが出来る

  • 58 経路制御アルゴリズムの種別 [nw1[262]]

    • 大きく 距離ベクトル型リンク状態型 に分けられる

    58.1 距離ベクトル型 [nw1[262]]

    • Distance-Vector
    • 距離(Metric)方向 によって目的のネットワークやホストの位置を決定する方法
      メリット
      実装が容易
      デメリット1
      ネットワーク構造が複雑になると経路制御情報が安定するまでに時間がかかる
      デメリット2
      ループが生じやすくなる
      • 情報が少ないため
    • 距離はルータを経由する回数、すなわち ホップ数 となる

    58.2 リンク状態型 [nw1[263]]

    • Link-State
    • ネットワーク全体の接続状態から全ルータで共通の経路制御表を生成する
      メリット
      ネットワーク構造が複雑でも正しい経路制御を行うことが出来る
      デメリット
      潤沢な計算器リソースを必要とする
      • ネットワークトポロジから経路制御表を求める計算はかなり複雑

59 IGP [nw1[262]]

  • Interior Gateway Protocol
  • ドメイン内ルーティングプロトコル
    • AS内の経路制御で利用される

59.1 RIP [nw1[264],nw2[138]]

  • Routing Information Protocol
  • アプリケーション層のプロトコル
  • 距離ベクトル型のIGP
    • 30秒に一回自分の知っている経路制御情報をブロードキャストする
      • ホールドタイム(6回分(180秒)) 待って情報が来なければ、接続が切れたと見做す
    • 受け取ったルータは距離に1を足してから他のネットワークにブロードキャストする
    • 保持している距離ベクトルDBから、それぞれのサブネットに対する、最短ホップ数を持つサブネットを決定する
  • サブネットマスクの情報は交換しない
    • 保持しているIPアドレスからサブネットの大きさを推定する機能がある
  • デメリットが多く、現在はあまり使われない
    デメリット1
    経路に障害が起きた場合、経路変更に時間がかかる
    デメリット2
    回線速度を考慮することが出来ないため、最適な経路を選択できない場合がある
    • ホップ数だけで判断するため

59.1.1 無限カウント [nw1[268]]

  • RIPパケットがループしてしまい、距離の値が無限に増えること
  • RIPパケットの伝達中にネットワークの切断が起こると発生する
  • 解決するために以下の方法が取られる
    1. 距離16を通信不能とする
    2. 経路情報が流れてきたインターフェースには経路情報を流さない
      • スプリットホライズン(Split Horizon) と呼ぶ
    3. 経路が切れた時、そのサブネットへの距離を16として経路情報を流す
      • ポイズンリバース(Poisoned Reverse) と呼ぶ
    4. 接続状態に変化があった場合、30秒待たずに経路情報を流す
      • トリガードアップデート(Triggered Update) と呼ぶ

59.1.2 RIPng [nw2[141]]

  • RIPのIPv6版

59.2 RIP2 [nw1[270]]

  • RIP version2
  • RIPを拡張したプロトコル
  • 以下の機能が追加されている
    1. マルチキャストの使用
      • RIPではブロードキャストを使っていた
      • トラフィックの軽減
    2. サブネットマスク対応
    3. ルーティングドメイン
      • 1つのネットワーク上で論理的に独立した複数のRIPが使用可能
      • OSPFのエリア機能みたいなもの
    4. 外部ルートタグ
      • BGPなどから得たAS外部の経路情報をAS内に通知することが出来る
    5. 認証キー
      • パスワードを持っているパケットのみを受容する
      • セキュリティ性の向上

59.3 OSPF [nw1[271],nw2[141]]

  • Open Shortest Path First
  • データリンク層のプロトコル
  • リンク状態型のIGP
    • OSIの IS-ISプロトコル を参考にして作られた
    • ループのあるネットワークでも安定した経路制御を行うことが出来る
    • サブネットマスクをサポートしている
    • OSPFv2
    • OSPFv3
  • 各インターフェースに コスト を設定することが可能
    • 経路制御表はDijkstra法で生成される
      • 辺の重みは送信側のコストを利用する
      • すべてのルータで生成される
    • コスト数の最大値は65535
  • 役割ごとに以下の5種類のパケットが使用される
タイプ パケット名 機能
1 HELLO 隣接ルータの確認・指名ルータの決定
2 データベース記述(Database Description) データベースの要約情報
3 リンク状態要求(Link State Request) データベースのダウンロード要求
4 リンク状態更新(Link State Update) データベースの更新情報
5 リンク状態確認応答(Link State ACK) リンク状態更新の確認応答
  • 経路情報表は以下のようにやり取りされる
    1. HELLOパケットによる接続確認
      • 各ルータは10秒に1度HELLOパケットを流す
      • 4回(40秒)待っても来なくなった場合は接続が切れたと判断する
        • 接続が切れた場合、リンク状態更新パケットを利用して他のルータにネットワークの変更を知らせる
    2. データベース記述パケットのやり取りによるバージョン管理
    3. タイプ3〜5のパケットによる経路情報表の同期(バージョンが違った場合)

59.3.1 エリア [nw1[274],nw2[143]]

  • AS内でネットワーク同士やホスト同士をまとめてグループ化したもの
    • 適切にエリアを設計すれば、トラフィックの軽減、経路制御表の軽量化を実現することが出来る
  • 各エリアには エリアID が付与される
  • 各エリアは必ず バックボーンエリア(エリアID:0) に接続されていなければならない
  • 各ルータはどのネットワークに接続しているかによって分類することが出来る
    隣接ルータ
    同一リンクに接続されているルータ
    内部ルータ
    エリア内のルータ
    指名ルータ(DR)
    エリア内で1つ選出される, Designated Router
    エリア境界ルータ(ABR)
    エリアとバックボーンエリアを結ぶルータ, Area Border Router
    バックボーンルータ
    バックボーンエリアにのみ接続されているルータ
    AS境界ルータ(ASBR)
    AS外部と接続しているルータ, AS Border Router
  • 各エリア内のルータは、そのエリア内のトポロジーのデータベースを持つ
  • エリア境界ルータは、隣接するエリアに対して、エリア内のリンク状態の情報を距離情報でのみ伝える
    • エリア境界ルータが1つしかないエリアに対しては距離情報を伝える必要がない
      • このようなエリアは スタブエリア と呼ばれる
      • スタブエリアでは、エリア境界ルータがデフォルトルートとなるように経路情報を流す

59.3.2 LSA [nw1[273],nw2[144]]

  • Link State Advertisement
  • リンク状態更新パケットで伝える情報のこと(リンク状態広告)
LSAの種類 作成元 内容・目的
Router-LSA 各ルータ どのネットワークが接続されているかを示す
Network-LSA DR 存在するネットワークそれぞれに関して、どのルータが接続されているかを示す
Summary-LSA ABR エリア間のネットワーク情報を伝播する
AS-External-LSA ASBR AS間のネットワーク情報を伝播する

59.4 IS-IS

  • リンク状態型のIGP

60 EGP [nw1[262]]

  • Exterior Gateway Protocol
  • ドメイン間ルーティングプロトコル
    • AS間の経路制御で利用される

60.1 BGP [nw1[276]]

  • Border Gateway Protocol
    • 現在使われているのは Version4
  • AS間、つまりISPの接続部分などで利用されている
  • RIPやOSPFといったIGPとBGPが協調的に経路制御を行うことでインターネット全体の経路が制御されている
  • パケットが流れる場所によって2通りに分けられる
    EBGP(External BGP)
    AS間で経路情報を交換するBGP
    IBGP(Internal BGP)
    AS内で経路情報を交換するBGP
  • BGPでは、場合によっては他のASと契約を結んでパケットを中継してもらう必要がある
    ピアリング
    他のASと接続すること
    トランジット
    他のASにパケットを中継してもらうこと
  • BGPにより経路制御情報を交換するルータを BGPスピーカー と呼ぶ
  • 目的とするネットワークアドレスに到達するまでに通過するASのAS番号のリストを AS経路リスト(AS Path List) と呼ぶ
    • 複数のAS経路リストが存在する場合、通過するAS数の少ない方を選択する

61 MPLS [nw1[279]]

  • Multi Protocol Label Switching
  • それぞれのIPパケットにラベルを付与し、そのラベルに基づいてルーティングを行う
    メリット1
    転送処理の高速化
    • 他のルーティングプロトコルと異なり、可変長のネットワークアドレスではなく固定長のラベルを使用するため
    メリット2
    仮想的なパスを張り、品質制御やVPNの構築を行うことが出来る
  • LER(Label Edge Router) “>MPLSネットワーク外部との境界に存在するLSRのこと
    • MPLSタグ(ラベル)を付与したり除去したりする
  • LSRがパケットを転送することを フォワーディング と呼ぶ
    Push
    ラベルを付けてフォワーディングすること
    Swap
    ラベルを付け替えてフォワーディングすること
    Pop
    ラベルを外してフォワーディングすること
  • イーサネットの場合、イーサネットヘッダとIPヘッダと間にMPLS用のヘッダを挿入する
    • このヘッダを シムヘッダ と呼ぶ
      • ヘッダ長は32ビット
        20ビット
        MPLSタグ(ラベル)
        3ビット
        reserved
        1ビット
        末尾を表す(?)
        8ビット
        TTL
  • MPLSでは、宛先が同じパケットはどれも同じ経路を通る
    • この経路を LSP(Lable Switch Path) と呼ぶ
      ポイントツーポイントLSP
      1対1の接続
      マージLSP
      同じ宛先のものを別経路で複数束ねた接続

62 TCP [nw1[222,230],nw2[127]]

  • Transmission Control Protocol
  • 信頼性のあるストリーム型のプロトコル
    • 再送制御・流量制御などによる信頼性が保証される
      • チェックサム確認応答コネクション管理ウィンドウ制御
    • 送信した順番が保たれる
      • アプリケーション層では、区切りのない連続したデータ構造としてやり取りされる
  • TCPの確認応答では、次のシーケンス番号を情報として返す

62.1 コネクション管理 [nw1[235]]

  • TCPのコネクション確立・切断には最低でも7つのパケットがやり取りされる
    • コネクション確立(クライアント <-> サーバ)
      1. -> SYN(コネクション確立要求)
      2. <- ACK(確認応答) & SYN(コネクション確立要求)
      3. -> ACK(確認応答)
    • コネクション切断(クライアント <-> サーバ)
      1. -> FIN(コネクション切断要求)
      2. <- ACK(確認応答)
      3. <- FIN(コネクション切断要求)
      4. -> ACK(確認応答)

    • 62.1.1 ビギーパック [nw1[245]]

      • 確認応答と返事のデータを1つのパケットで同時に送信すること

62.1.2 再送タイムアウト時間 [nw1[234]]

  • パケットを送信してから確認応答が返ってくるまでの時間がこの時間を超えた場合、パケットを再送する
  • パケット送信時の ラウンドトリップタイム(RTT)ゆらぎ から決定する

62.1.3 最大セグメント長(MSS) [nw1[236]]

  • 通常、IPで分割されない最大のデータ長が設定される
  • スリーウェイハンドシェイク時に送受信ホスト間で決定される
    • TCPヘッダにMSSオプションが付加される

62.1.4 ウィンドウ制御 [nw1[237]]

  • 確認応答を待たずに一度に複数のパケットを転送する制御
  • 例えば、MSSが1000、ウィンドウサイズが4000のとき、4並列で送受信のハンドシェイクを行う
    • スライディングウィンドウ方式 と呼ぶ
  1. 高速再送制御 [nw1[240]]
    • スライディングウィンドウ方式 では、一度受け取った確認応答と同じものをさらに連続して3回受け取ったら再送を行う
      • 重複確認応答
      • 3回以内であれば確認応答のみのパケットロスが起きたと考え再送を行わない
      • 通常のタイムアウトによる再送制御に比べて高速に動作する

62.1.5 流量制御(フロー制御) [nw1[240]]

  • TCPでは、受信側の受信能力に合わせてパケット送信量を制御する
    • 受信ホストが送信ホストに受信可能なデータサイズを通知する
      • これが ウィンドウサイズ になる
  • 送信ホストは ウィンドウプルーブ を時々送信してウィンドウサイズの最新情報を得る
    ウィンドウプルーブ
    1オクテットのデータだけを含むセグメント
  1. 遅延確認応答 [nw1[244]]
    • バッファを空けるために確認応答を返す時間を少し遅らせる手法
      • データを受信したホストが確認応答をすぐに返す場合、小さいウィンドウサイズを返してしまう場合がある

62.1.6 輻輳制御 [nw1[241]]

  • ネットワークの輻輳を抑えるため、 スロースタート と呼ばれるアルゴリズムが適用される
  • 送信側でデータの送信量を調節するための値
  • 輻輳ウィンドウとウィンドウサイズの小さい方の値以下でデータを送信する
    • 輻輳ウィンドウはコネクション確立時は1MSS
      • 確認応答ごとに2倍していく
    • 輻輳ウィンドウは指数関数的に増えるので スロースタートしきい値 を利用する
      • 重複確認応答があったタイミングで輻輳ウィンドウの半分の大きさを スロースタートしきい値 とする
      • スロースタートしきい値を超えた時点で輻輳ウィンドウは線形に増加するようになる
        • 具体的には、確認応答ごとに \(\frac{MSS^2}{CongestionWindowSize}\) だけ輻輳ウィンドウを大きくする

62.2 TCPヘッダ [nw1[251]]

  • パケット長の情報はない
    • 必要な場合、IP層からTCPのパケット長を得る
  • 前から順に以下のようになっている
    1. 送信元ポート番号
    2. 宛先ポート番号
    3. シーケンス番号
      • 32ビットで構成されている
      • データを送信する度にMSSのオクテット数だけ加算される
      • コネクション確立時に乱数で初期化される
    4. 確認応答番号
      • 32ビットで構成されている
      • 実際には、次に受信すべきデータのシーケンス番号が格納されている
        • 確認応答番号から1引いたデータまで受信したことを示している
    5. データオフセット
      • 4ビットで構成されている
      • TCPヘッダ長を4オクテット単位で表す
        0101 -> 20オクテット
    6. Reserved
      • 4ビットで構成されている
    7. コントロールフラグ
      • 8ビットで構成されている
      • それぞれのビットにフラグが割り振られている
        CWR(Congestion Window Reduced)
        ECEフラグが1のパケットを受け取り、輻輳ウィンドウを小さくしたことを示す
        • IPヘッダのECNフィールドと共に使われる
        ECE(ECN-Echo)
        ネットワークが輻輳していることを示す
        • IPヘッダのECNフィールドと共に使われる
        URG(Urgent Flag)
        緊急に処理すべきデータが含まれていることを示す
        ACK(Acknowledgement Flag)
        確認応答であることを示す
        PSH(Push Flag)
        1の場合、バッファに貯めず、すぐに上位のアプリケーションに渡す必要がある
        RST(Reset Flag)
        強制的にコネクションを切断することを示す
        SYN(Synchronize Flag)
        コネクションの確立に使用される
        • SYNが1のときのシーケンス番号フィールドの値がシーケンス番号の初期値となる
        FIN(Fin Flag)
        コネクションの切断に使用される
    8. ウィンドウサイズ
      • 16ビットで構成されている
      • 受信可能なデータサイズがオクテット単位で記録されている
      • このフィールドが0のときのみ ウィンドウプルーブ を送信することが許される
    9. チェックサム
      • データ全体に対するチェックサムを計算する
      • 必須
        • UDPでは省略可能
    10. 緊急ポインタ
      • 16ビットで構成されている
      • URGフラグが1のときのみ有効なフィールド
      • データ領域の先頭からこのフィールドで示されている数値分のデータ(オクテット)が緊急データとなる

    11. オプション

      • 可変長
        • 最大40オクテットまで
      • 代表的なオプションを以下に示す
      タイプ 長さ(オクテット) 意味
      4 4 Maximum Segment Size(MSS)
      8 10 TSOPT – Time Stamp Option
      • TSOPT(Type8) は高速通信時のシーケンス番号の管理に利用される
        • 32ビットのシーケンス番号が数秒以内に巡回してしまうため

63 UDP [nw1[222,229],nw2[133]]

  • User Datagram Protocol
  • 信頼性のないデータグラム型のプロトコル
    • パケットが途中でロスしても再送制御などは行わない
    • 輻輳を回避するような制御(流量制御)も行わない
    • パケット単位でデータのやり取りが行われる
      • 細かい処理はアプリケーション層が担う
  • 高速性やリアルタイム性を重視する通信や同報通信で利用される
    • IP電話、DHCP、DNS、SNMPなど

63.1 UDPヘッダ [nw1[249]]

  • 前から順に以下のようになっている
    1. 送信元ポート番号
    2. 宛先ポート番号
    3. パケット長
      • 16ビットで構成されている
      • UDPヘッダとデータの長さの和が格納される
      • 単位はオクテット
    4. チェックサム
      • データ全体に対するチェックサムを計算する
      • 16ビットで構成されている
      • オプション
        • 使用が推奨されている

64 ポート番号 [nw1[224]]

  • 上位層のアプリケーションプログラムを指定するための識別子
    • UNIXでは、アプリケーション層でパケットを待つサーバプログラムを デーモン と呼ぶ

64.1 ウェルノウンポート番号 [nw1[225]]

  • Well-known Port Number
  • 広く使われているアプリケーションプロトコルのポート番号
    • 0〜1023までの番号が割り振られている

    • TCPの場合

      ポート番号 サービス名 内容
      20 ftp-data File Transfer [Default Data]
      21 ftp File Transfer [Control]
      22 ssh SSH Remote Login Protocol
      23 telnet Telnet
      25 smtp Simple Mail Transfer Protocol
      53 domain Domain Name Server
      80 http World Wide Web HTTP
      110 pop3 Post Office Protocol-Version 3
      123 ntp Network Time Protocol
      143 imap Internet Message Access Protocol v2,v4
      179 bgp Border Gateway Protocol
      443 https http protocol over TLS/SSL
      587 submisson Message Submisson
      989 ftps-data ftp protocol, data, over TLS/SSL
      990 ftps ftp protocol, control, over TLS/SSL
      993 imaps imap4 protocol over TLS/SSL
      995 pop3s pop3 protocol over TLS/SSL

    • UDPの場合

      ポート番号 サービス名 内容
      53 domain Domain Name Server
      67 bootps Bootstrap Protocol Server(DHCP)
      68 bootpc Bootstrap Protocol Client(DHCP)
      161 snmp SNMP
      162 snmptrap SNMP TRAP
      520 router RIP

65 TELNET [nw1[286]]

  • 遠隔ログインのアプリケーション
    • 1つのTCPコネクションを確立する
    • 通常は23番ポートを利用する
    • 他のポート番号で他のアプリケーションに接続することも出来る
      $telnet <ホスト名> 21 (“$fpt <ホスト名>”と同等)
  • ルータや高性能スイッチなどのネットワーク機器にログインして設定を行う際に使用される
  • 主に2つのモードがある
    行モード
    改行キーが入力されるごとに1行ずつ送信する
    透過モード
    文字が入力するされるごとに送信する
  • 通信内容が暗号化されない
    • 盗聴・改ざんの恐れがある

66 SSH [nw1[288]]

  • Secure SHell
  • 遠隔ログインのアプリケーション
    • 22番ポートを利用する
  • 通信内容がすべて暗号化される
  • ポートフォワード機能が利用できる
    • 特定のポート(SSHの場合22)に届けられたデータを他の特定のIPアドレス・ポートに転送する

67 FTP [nw1[289],nw2[197]]

  • File Transfer Protocol
  • ファイル転送のアプリケーション
    • 2つのTCPコネクションを確立する
    • 20番と21番の2つのポートを利用する
      20
      データ転送用
      • PORTコマンドで別のポートを指定することも可能
        • 最近はセキュリティの向上のために乱数で割り当てることが多い
      21
      制御用
  • 制御用のTCPコネクションでコマンドが実行されるごとにデータ転送用のTCPコネクションが確立される
    • データ転送用のTCPコネクションは制御用のTCPコネクションと逆向きに確立される
      • NATを介しているなどの場合、データ転送用のTCPコネクションを確立することが出来ない
        • PASVコマンド(PASSIVE) でデータ転送用のTCPコネクションの向きを変更する
  • ID・パスワード・データのすべてが平文で流れる
    • 盗聴される危険がある

67.1 SFTP [nw2[198]]

  • SSH FTP
  • FTP通信をSSHで暗号化したプロトコル

67.2 TFTP [nw2[198]]

  • Trivial FTP
  • 簡易型ファイル転送プロトコル
  • ユーザ認証を行わず、さらに、UDPを利用する

68 電子メール [nw1[293]]

  • 現在ではメールサーバを介してメールの送受信が行われる

68.1 メールアドレス [nw1[295]]

  • 電子メールの配送先を表すアドレス
  • DNSによって管理されている
    • MXレコード でメールアドレスとメールサーバのIPアドレスの紐付けを行う

68.2 MIME [nw1[295]]

  • Multipurpose Internet Mail Extensions
  • メールで転送出来るデータ形式を拡張する仕組み
    • 初期の電子メールではテキスト形式しか扱えなかった
  • Content-Typeにヘッダに続くデータの形式の詳細が示される
主なContent-Type 内容
text/plain 通常のテキスト
image/jpeg JPEG
audio/basic AU形式のオーディオファイル
video/mpeg MPEG

68.3 SMTP [nw1[293],nw2[179]]

  • Simple Mail Transfer Protocol
  • 電子メールを提供するためのプロトコル
    • 1つのTCPコネクションを確立する
      • 制御・データの転送の両方を行う
    • 25番ポートを利用する
      • 多くのISPは、スパムメール等の対策のために、自ISP外へ25番ポートによる通信を行えないようにしている
        • OP25B(Outbound Port 25 Blocking) と呼ぶ
        • 代わりにプロバイダのメールサーバを利用して587番ポート(サブミッションポート)でメールの送信を行う方法が取られる
          • サブミッションポートでのメールの送信には認証が必要
            • SMTP-AUTH
          • 通常、グローバルIPアドレスを動的割り当てしている顧客にのみ適用する
        • プロバイダのメールサーバは25番ポートの利用が可能
  • クライアントはコマンドで要求を出し、サーバは3桁の数字で応答を返す
    • それぞれのコマンドや応答の後には必ず改行コード(CR, LF)が付加される
    • メール送信時、これらのコマンドはすべてメール送信側から受信側へ送られる
主なコマンド 内容
HELO/EHLO 通信開始の通知
MAIL FROM 送信元メールアドレスの通知
RCPT TO 宛先メールアドレスの通知
DATA 電子メール本文の送信
QUIT 終了

68.3.1 POP before SMTP [nw2[179]]

  • SMTPにおいて認証を行うための仕組み
  • SMTPによるメール送信を行う前にPOPを実行する
    • POPは認証を行うので、これを利用する

68.3.2 SMTP-AUTH [nw2[305]]

  • SMTP認証 とも呼ぶ
  • POPと同様にユーザ名とパスワードによる認証を行う
  • 587番ポートを利用する

68.4 POP3 [nw1[299]]

  • Post Office Protocol version 3
  • 電子メールを受信するためのプロトコル
    • 110番ポートを利用する
  • SMTPによってメールを受信したメールサーバ(POPサーバ)からメールを受信する
  • 認証機能がある
    • ただし、 パスワードが平文で流れる ため、盗聴されると第三者にアカウントが乗っ取られる可能性がある
  • メールサーバ上の電子メールの管理をクライアント側で行う
    • 複数のPCから同じメールを読むことが出来ない

68.4.1 APOP [nw2[181]]

  • Authentication POP
  • POPがパスワードを平文で送信するのに対し、APOPはパスワードを暗号化して送信する
    • しかし本文は暗号化しない
  • あまり普及していない

68.4.2 POP3S [nw2[183]]

  • POP3 over TLS/SSL
    • 995番ポートを利用する
  • 本文も暗号化することが可能

68.5 IMAP4 [nw1[301],nw2[181]]

  • Internet Message Access Protocol version 4
  • 電子メールを受信するためのプロトコル
    • 143ポートを利用する
  • メールサーバ上の電子メールの管理をサーバ側で行う
    • 複数のコンピュータでメールサーバを共有することが出来る
  • メールデータの移行も容易
    • POPには移行機能はない

68.6 STARTTLS [nw2[183],nw2[309]]

  • SMTPやPOP3に適用可能なTLS/SSLによる暗号化技術
    • そのままのポート番号(SMTP(25), POP3(110))で利用可能
      • SMTPS(465), POP3S(995)とは異なる
  • サーバと暗号化通信が出来ると確認した上で 途中から 暗号化通信を行う
    • サーバと暗号化通信が出来ない場合、通常のSMTPやPOP3による通信を行う
    • 例えばPOP3では以下のような流れで通信を行う
      1. TCPの3ウェイハンドシェイク
      2. POP3通信
        • ここでSTARTTLSによるTLS通信を行うための STLS コマンドが送られる
      3. TLSネゴシエーション
      4. TLSで暗号化されたPOP3通信

68.7 SPF [nw2[189]]

  • Sender Policy Framework
  • 送信メールサーバの正当性を受信メールサーバ側で確認する仕組み
  • 送信側 に用意されたDNSサーバのSPFレコードに問合せを行い、IPアドレスの確認を行う
    • SPFレコードには送信メールサーバのFQDNとIPアドレスの対応が記されている
    • MXレコードとは別
      • MXレコードは受信メールサーバの名前解決に使用する
      • SPFレコードは送信メールサーバの認証に使用する

68.8 DKIM [nw2[192]]

  • DomainKeys Identified Mail
  • 証明書 を利用して、送信メールサーバの正当性を確認する仕組み

68.9 メールサーバのNW構成 [nw2[185]]

  • 通常、DMZに1つ、内部ネットワークに1つの合計2つのメールサーバを設置する
    • 外部(中継)メールサーバ内部メールサーバ
    • 2つ設置するのはセキュリティを確保するため
      • 公開するメールサーバはDMZに設置するべきだが、メールのデータ自体をDMZに長時間置いておくのは適切ではない
      • 外部メールサーバはメールを受信したら、内部メールサーバへ SMTPで データを転送する
        • FWのポリシー設定に注意する
    • DMZのメールサーバは、外部ドメインへメールを転送しないように設定する [nw2[306]]
      • 不正メールの踏み台にされるリスクがあるため
      • 内部ネットワークから転送されたメールのみ転送出来るようにする

69 WWW [nw1[302]]

  • World Wide Web
  • インターネット上の情報をハイパーテキスト形式で参照できる情報提供システム

69.1 HTML [nw1[304]]

  • HyperText Markup Language
  • Webページを記述するためのデータ形式

69.2 HTTP [nw1[306]]

  • HyperText Transfer Protocol
  • Webページの情報を転送するためのプロトコル
    • 1つのTCPコネクションを確立する
    • 通常、80番ポートを利用する
メソッド 内容 備考
GET 指定したURLのデータを取得 実装が必須
POST 指定したURIにデータを登録 応答がキャッシュされない
CONNECT プロキシサーバを介する際に利用され、HTTPS通信を透過する

69.2.1 Request-URI [nw2[328]]

  • コンテンツ要求の内、URI部分を表すパラメータ
    • 接続先ホスト名と接続先ポート番号の情報が含まれる

69.2.2 HTTPヘッダ

  • HTTPヘッダにはさまざまな情報が含まれる
ヘッダの種類 内容
Upgrade HTTP/1.1以外のプロトコルに切り替える [nw2[371]]/
HSTS HTTPSで接続することを強制する
  1. HSTS
    • HTTP Strict Transport Security
    • HTTPSへのリダイレクトでは、リダイレクト前に攻撃を受ける可能性がある
      • リダイレクト先の書き換え
      • 中間者攻撃
        • 通信している2人のユーザーの間に第三者が介在し、送信者と受信者の両方になりすます
          • 通信を盗聴したり制御したりする
    • HSTSではこれらの攻撃を防ぐことが出来る

69.3 WebDAV

  • HTTPの使用を拡張し、ファイルのアップロード/ダウンロードを行えるようにしたプロトコル
    • 属性の設定などのファイル管理も可能

69.4 WebSocket [nw2[371]]

  • クライアントとサーバの間で双方向の通信が可能なプロトコル
  • Ajaxではない
    • Ajaxではクライアントからサーバへのリクエストが送られ、それに応じてサーバがレスポンスを返す
      • サーバからクライアントへの通信ではない
  • 以下の流れでWebSocketの接続が確立される

    1. クライアントが HTTP でサーバにリクエストを送る 

      GET /chat HTTP/1.1
Host: server.example.com
*Upgrade: websocket*
Connection: Upgrade
Sec-WebSocket-Key: dGhlIHNhbXBsZSBub25jZQ==
Origin: http://example.com
Sec-WebSocket-Protocol: chat, superchat
Sec-WebSocket-Version: 13

    2. サーバが応答を返し、WebSocketに切り替える 

      *HTTP/1.1 101 Switching Protocols*
Upgrade: websocket
Connection: Upgrade
Sec-WebSocket-Accept: s3pPLMBiTxaQ9kYGzzhZRbK+xOo=
Sec-WebSocket-Protocol: chat

69.5 SAML

  • Security Assertion Markup Language
  • インターネット上でユーザID/パスワード等の認証情報を安全に交換するためのマークアップ言語
  • XMLベース
  • 同一ドメインに留まらない大規模なサイトにおいて、シングルサインオンの仕組みを実現可能
    • リバースプロキシやクッキーによる方法では認証を受けたドメインに限られる

69.6 クッキー [nw1[310]]

  • Cookie
  • Webサーバがクライアント側に情報を格納する仕組み

70 DHCP [nw1[201],nw2[159]]

  • Dynamic Host Configuration Protocol
  • ホストのプラグ&プレイを可能にするプロトコル
    • IPアドレスなどを手作業で設定する煩雑さをなくす
    • ネットワークに接続されたホストにIPアドレスを自動的に割り振る
      1. 新規ホスト(DHCPクライアント)が DHCP DISCOVERブロードキャスト する
      2. DHCPサーバが DHCP OFFERユニキャスト で返送する
        • サブネットマスクやDNSなどのオプション情報も含まれる
      3. 新規ホスト(DHCPクライアント)が DHCP REQUESTブロードキャスト する
        • ブロードキャストするのはネットワーク上に他のDHCPサーバが存在する可能性があるから
      4. DHCPサーバが DHCP ACKユニキャスト で返送する
    • 上記の手順中は新規ホスト(DHCPクライアント)はIPアドレスを保持していない
      送信元IPアドレス
      0.0.0.0
      宛先IPアドレス
      255.255.255.255
    • UDPが使用される
  • ネットワークセグメント内にDHCPサーバを設置する
    • セグメントのルータがDHCPサーバになることが多い
  • DHCPサーバは冗長性を確保することが推奨されている
    • 複数台の設置を行う
      • もっとも早く応答したDHCPサーバを利用する
        • バックアップ用のDHCPサーバの応答をわざと遅らせることがある
      • 重複してIPアドレスを割り振ってしまう恐れがある
        • サーバ・クライアントでそれぞれ対策を行う
          DHCPサーバ
          IPアドレスを配布する前に ICMPエコー要求メッセージ(Type8) を送信する
          • ICMPエコー応答メッセージ(Type0) が返ってこないことを確認する
          DHCPクライアント
          配布されたIPアドレスに対して、 ARP要求パケット を送信する
          • 応答がこないことを確認する

70.1 DHCPリレーエージェント [nw1[203]]

  • 複数セグメントのDHCPの機能を一元管理する際に使用される
    • それぞれのセグメントにDHCPサーバを設置するのではなくDHCPリレーエージェントを設置する
    • 通常、ルータがDHCPリレーエージェントの機能を持つ
    • DHCPリレーエージェントにはDHCPサーバのIPアドレスを設定しておく
      • DHCP要求パケットなどを受け取ったらユニキャストでDHCPサーバに転送する
    • DHCPサーバには、配布するIPアドレスの範囲(リース範囲)をセグメント毎に設定する

70.2 DHCPスヌーピング [nw2[165]]

  • DHCPメッセージを監視することで、正規のDHCPサーバからIPアドレスを割り振られた端末のみが通信できるようにするL2SWの機能
  • 不正なネットワーク接続に関する以下の2点を防ぐことが出来る
    1. 不正なDHCPサーバを設置して端末にIPアドレスを払い出すこと
      • 指定したポート以外にDHCPサーバを接続してもDHCPの払い出しをさせない
        • 指定していないポートからの DHCP OFFERDHCP ACK を破棄する
    2. PCに固定でIPアドレスを割り当てること
      • 正規のDHCPサーバから割り当てられたIPアドレスからのパケットでなければ破棄する

71 DNS [nw1[182],nw2[167]]

  • Domain Name System
  • ドメイン名とIPアドレス(ホスト名)の対応関係を効率よく管理するための手段
    • 多数のDNSサーバで構成される 分散型データベース
    • ドメイン名の中でも特定のホストを表現したものを FQDN(Full Qualified Domain Name) と呼ぶ
    • ドメイン名に関する完全な情報を持つネームサーバを 権威サーバ と呼ぶ
    • 自らが解決できなければ他のDNSサーバに問合せを行う
      • DNSフォワーダ と呼ぶ
  • IPv4, IPv6のどちらでも利用されている
  • DNSは上記の対応関係以外にもさまざまな情報を管理している
レコード名 番号 詳細 備考
A 1 FQDN に対応する IPv4 アドレスを指定する Address
NS 2 上位や下位のDNSサーバ、もしくはそのDNSサーバ自体のIPアドレス Name Server
CNAME 5 ホストの別名に対する正式名を示す Canonical NAME
SOA 6 他のDNSサーバのキャッシュ領域に情報を残す許可時間や、ゾーン情報の更新をチェックする間隔等を指定する Start Of Authority
PTR 12 IPアドレスに対応するホスト名(逆引き用) PoinTeR
MX 15 メールサーバの FQDN を指定する Mail eXchanger
AAAA 28 FQDN に対応する IPv6 アドレスを指定する
  • メールサーバを指定するにはMXレコードとAレコードの2つが必要
    • MXレコードでFQDNを引き、Aレコードで対応するIPアドレスを得る

71.1 IDN

  • Internationalized Domain Name
  • 国際化ドメイン
  • ドメイン名に漢字やひらがな、アラビア語などの文字を利用しているドメイン名
    • クライアント側では英数字からなるドメイン名に変換される

71.2 ネームサーバ [nw1[186]]

  • DNSサーバ
  • ドメイン名を管理しているホストやソフトウェアのこと
  • DNSは階層構造になっている
    • それぞれのDNSサーバが管理する階層のことを ゾーン と呼ぶ
    • もっとも上位のDNSサーバを ルートネームサーバ と呼ぶ
      • ルートネームサーバIPエニーキャスト で運用されている
      • インターネットには、 負荷分散可用性 を考慮して 13 のルートDNSサーバが設置されている
  • ある階層に新たにドメイン名やIPアドレスを設定する場合、その上位階層のDNSサーバに設定を追加する必要がある
  • すべてのDNSサーバはルートネームサーバの情報を持つ
  • 管理するDNSの領域を ゾーン と呼ぶ
    • ゾーンの情報はSOAレコードで管理される
  • 通常、可用性を考慮して2台のサーバで構成される
    • プライマリDNSサーバセカンダリDNSサーバ
      • セカンダリDNSサーバは、 特定のタイミング でプライマリDNSサーバからゾーン情報をコピーする
        • ゾーン情報のコピーを ゾーン転送 と呼ぶ
          • 以下のように行われる
            1. セカンダリDNSサーバがプライマリDNSサーバにゾーン転送要求を送信する
            2. プライマリDNSサーバがセカンダリDNSサーバにゾーン情報を転送する
          • FWを跨ぐ場合、FWのポリシーには双方向のDNS通信を許可する必要がある [nw2[338]]
        • 特定のタイミング として、主に以下の3点が挙げられる
          1. 前回のゾーン転送からSOAレコードで定義される リフレッシュ間隔 が経ったとき
          2. セカンダリDNSサーバが起動した時
          3. プライマリDNSサーバから更新通知(NOTIFYメッセージ)を受け取った時

71.3 DNSラウンドロビン [nw2[339]]

  • 1つのドメイン名に複数のIPアドレスを割り当てる負荷分散技術
    • 問合せがあるごとにラウンドロビン的に別のIPアドレスを返す
  • 運用の際は挙動に注意する必要がある
    メリット1
    設定が容易
    メリット2
    ネットワーク的に離れたサーバーに分散できる
    デメリット1
    分散の偏りが大きい
    • DNSのTTLが経過するまで同じサーバに割り振られる
      • 特に接続元が分散先よりも少数の場合、長時間使用されないサーバが存在してしまう
    デメリット2
    セッションが維持できない
    • 接続の継続性が求められるサーバの場合に問題が起きる可能性がある
      • 接続ごとに接続先が違う場合があるので
      • Webアプリケーションの セッション管理暗号化通信 など
    デメリット3
    分散先サーバの障害検知が不可能
    • DNSラウンドロビンでは、基本的に分散先サーバの状態が取得できない
      • ヘルスチェック機能 がない
      • 分散先サーバが応答不可能な状態になっていても分散先として割り振ってしまう
  • DNSラウンドロビンとVRRPを併用することで冗長化と負荷分散を両立することが出来る [nw2[342]]

71.4 DNSキャッシュサーバ [nw2[177]]

  • ドメイン情報を管理せず、キャッシュ情報を保持してリゾルバからの問合せに答えるサーバ
    • 問合せ先のDNSサーバを フォワーダ として登録する
  • WANトラフィックが減少する
    • DNS情報がキャッシュされているので
  • FWの設定が少なく済む
    • DMZにDNSキャッシュサーバをおけば、外部のDNSサーバからネットワーク内部へのDNSに関するルールを設定する必要がなくなる
  • キャッシュの脆弱性を突いた攻撃が行われる可能性がある
    • DNSキャッシュポイズニング幽霊ドメイン名(攻撃ではない)

71.4.1 DNSキャッシュポイズニング

  • キャッシュの内容を意図的に書き換えることで、任意のホストへのアクセスを誘導する手法
  • いくつかの対策によって攻撃のリスクは軽減されているが十分ではない
    • DNSSEC(DNS Security Extensions) と呼ばれる公開鍵暗号方式を用いた技術の導入が進んでいる

71.4.2 幽霊ドメイン名

  • Ghost Domain Names
  • 権威サーバのAレコードにおいて、FQDNのみを意図的に書き換えることで、キャッシュサーバのTTLを更新し続ける手法
    • レジストリが何らかの理由でドメイン名を登録抹消もしくは変更したとしても、そのドメイン名を利用し続けられる

71.5 リゾルバ [nw1[187]]

  • Resolver
  • DNSに問い合わせを行うホストやソフトウェアのこと
  • リゾルバは最低でも1つ以上のDNSサーバのIPアドレスを知っておく必要がある

71.5.1 再帰問合せ [nw2[174]]

  • リゾルバがDNSサーバに対して行う問合せ
    • 一度で結果が返ってくる

71.5.2 反復問合せ [nw2[174]]

  • DNSサーバがリゾルバからの問合せに答えるため、ルートネームサーバから順に問合せを行うこと
    • ネストしている分だけ問合せを繰り返す

71.6 ダイナミックDNS [nw2[178]]

  • RFCでは DNS UPDATE として定義されている
  • クライアントが自分に割り当てられたIPアドレスをDNSサーバに通知して、動的にゾーン情報を更新する仕組み

71.7 DNS amp

  • 脆弱性のある公開DNSサーバを利用したDDoS攻撃
    • 多数の公開DNSサーバに送信元IPアドレスを攻撃先としたクエリを送信する
  • 再帰問合せを許可する範囲を限定することで対策が可能

71.8 DNSSEC

  • DNS Security Extensions
  • DNSにおける応答の正当性を保証するための拡張仕様
  • ドメイン応答に ディジタル証明書 を付加する
    • 正答な管理者による応答であることを示す

72 SNMP [nw1[311],nw2[290]]

  • Simple Network Management Protocol
  • UDP/IP上で動作するネットワーク管理のプロトコル
    • 161, 162番ポートを利用する
      161
      PDU
      162
      トラップ
  • 管理される側(ルータやスイッチ)を エージェント と呼ぶ
    • SNMPに対応したSWを インテリジェントSW 呼ぶ
  • 管理する側(監視サーバ)を マネージャ と呼ぶ
    • マネージャはエージェントに対して以下のコマンドを送信する
      参照要求(GetRequest-PDU)
      MIBの取得を要請する
      設定要求(SetRequest-PDU)
      機器の設定が正しく行われているかを確認する
    • エージェントはマネージャに対して以下のコマンドを送信する
      Trap
      警告情報(Trap)を送信する
  • SNMPでは管理の対象範囲に対して コミュニティ と呼ばれる名前をつける
    • 多くの場合、デフォルトで public という名前になっている
    • コミュニティ名は暗号化されずに流れる

72.1 MIB [nw1[313],nw2[291]]

  • Management Information Base
  • SNMPでやり取りされる情報のこと
    • 木構造になっている
      • 各オブジェクトはOIDで識別される
    • 標準化されている 標準MIB と メーカー独自の 拡張MIB がある
  • MIBによって主に以下のことが可能になる
    • コリジョンの回数の取得
    • トラフィック量の取得
    • インターフェースのIPアドレスの変更
    • ルーティングプロトコルの起動・停止
    • 機器の再起動やシャットダウン

72.1.1 RMON [nw1[314]]

  • Remote Monitoring MIB
  • ネットワークトポロジのノードの情報に加えてエッジ(回線)の情報も取得する
    • 通信トラフィックの統計情報など、有益な情報を取得することが可能になっている

72.2 監視サーバのNW構成 [nw2[225]]

  • 監視サーバの管理画面へはHTTPによるアクセスが行われる

73 SIP [nw1[316],nw2[211]]

  • Session Initiation Protocol
  • 端末間でマルチメディア通信を行う際の 呼制御 を行う
    呼制御
    セッションの転送・終了などのやり取りを行うこと
    • マルチメディア通信ではUDPが使用されるため呼制御が必要
  • SIPだけではマルチメディア通信を行うことは出来ない
    • 実データのやり取りはRTPで行う
  • セッションを管理するため、主に以下のメッセージが用意されている
メッセージ 内容
INVITE セッションを開始する呼びかけ
ACK INVITEにたいする確認応答
BYE セッションの終了
  • SIPのINVITEメッセージのデータ部は、 SDP(Session Discription Protocol) で書かれている
    • テキスト形式の記述
    • MIMEに対応している
      • Content-Type: application/sdp

74 RTP [nw1[318]]

  • Real-Time Protocol
  • UDPでマルチメディア通信を行うために使用されるプロトコル
    • パケットの順番を表すシーケンス番号やパケットの送信間隔の制御を行う

74.1 RTCP [nw1[318]]

  • RTP Control Protocol
  • マルチメディア通信の情報の発生源を遠隔制御するプロトコル
  • RTPによる通信を補助する
    • パケット喪失率など通信回線の品質管理をアプリケーションとして行う

75 LDAP [nw1[320]]

  • Lightweight Directory Access Protocol
  • ディレクトリサービスにアクセスするためのプロトコル

76 VoIP [nw2[208]]

  • Voice over Internet Protocol
  • 音声をパケット化してIP上で通信する技術
    アナログ電話機 -> レガシーPBX -> VoIPゲートウェイ -> ルータ -> ONU -> 広域イーサネット
  • アナログ電話回線による公衆電話網への接続と比べて以下の利点がある
    1. 配線や設備の共通化
      • ネットワークと共通のケーブルで利用が可能
    2. 通信コストの削減
      • インターネットを経由するので無料
        • ただしVoIP化の初期コストがかかることには留意する
    3. アプリケーション連携
  • 呼制御データ音声データ の2つを扱う
    • SIPRTP が使用される
  • 呼制御には通常 SIPサーバ が利用される
    • SIPサーバには以下の役割がある
      1. IPアドレス対応表管理
        • 接続要求として送られてくるURIに対応するIPアドレスを保持する
          • DNSライクな機能
          • UAがそれぞれで宛先情報を保持するのは非効率なため
          • IPアドレスが動的である場合、各UAは起動時にSIPプロトコルを使ってIPアドレスをSIPサーバに登録する
      2. メッセージの仲介
        • SIPによる呼制御

76.1 B2BUA [nw2[373]]

  • 種類の異なるUA間での通信を仲介する
  • IP-PBXなどが備えている
    UA –WebSocket(WebRTC)–> IP-PBX –SIP–> IP電話

76.2 アーラン

  • 単位時間あたりのトラフィック量を表す単位
  • 単位時間に1本の回線を100%利用した時のトラフィック量を1アーランと表す

77 NTP

  • Network Time Protocol
  • ネットワーク経由でシステム時刻の同期を行うプロトコル

77.1 NPT DDoS

  • NPTサーバを踏み台として利用したDDoS攻撃
    • 送信元IPアドレスを攻撃先としてNTPサーバにリクエストを投げる
    • DNSサーバを踏み台として利用したDDoS攻撃(DNS amp)と同様の手法
  • リクエストパケットに monlistコマンド を指定する
    monlistコマンド
    過去にやり取りしたアドレスのリストを返す
  • リクエストに対するレスポンスが膨れ上がる(パケットの増幅率が高い)ため、悪用時の効率が高い
    • 対策として、公開サーバであればmonlistコマンドを無効にすることが挙げられる

78 DMZ [nw1[327]]

  • DeMilitarized Zone
  • インターネットから直接通信できる専用のサブネットのこと

79 FW [nw1[325],nw2[220]]

  • Fire Wall
  • 組織内部のネットワークを不正アクセスから守るために設置される機器
    • 通常、内部ネットワークと外部ネットワークの境界に配置する
      • ネットワークはFWによって内部ネットワーク・外部ネットワーク(インターネット)・DMZの3つのセグメントに分けられる
  • インターネットからアクセスが可能なホストを制限することでセキュリティを向上させる

79.1 パケットフィルタリング方式 [nw2[222]]

  • 特定のパケット(特定のポート番号等)のみを通過させる
    • この 特定のパケット を指定するための定義を ポリシー と呼ぶ
      • 通常、送信元・宛先IPアドレスやポート番号に対して 通過禁止か通過許可 のアクションが設定される
      • ポリシーの設定では以下の点に注意する
        1. 外部 -> DMZ は、公開しているサーバで使用するプロトコルのみ許可する
        2. 外部 -> 内部 は、基本的にすべて許可しない
          • 外部からのアクセスはDMZに限定するべき
        3. 内部 -> 外部 は、使用の可能性があるプロトコルのみ許可する
          • 何でも許可すると、マルウェアに感染したPCが不正にデータを流出させる恐れがある
            • プロキシサーバをDMZに配置し、 内部 -> プロキシ(DMZ) -> 外部 とするのが適切
      • ポリシーは複数設定することが可能
        • IDが振られる
        • FWを通過するパケットに対して、ポリシーのIDの順にポリシーチェックが行われる
          • ポリシーに違反した時点でパケットは捨てられ、以降のチェックは行われない
      • 戻りのパケットに対するポリシーチェックは動的に行われる
        • 通常は設定する必要がない
  • TCPのコネクションにおいて、外部から内部へのコネクションの確立を遮断することも出来る
    • 外部からの SYN : 1, ACK : 0 のパケットを遮断する

79.2 アプリケーションゲートウェイ方式

  • アプリケーションを介して不正なアクセスを検出する

79.3 サーキットゲートウェイ方式

79.4 HA機能 [nw2[228]]

  • High Availability
  • FWの冗長化設計に関する機能
  • FWを2つ設置し、それぞれをL2SWで接続する
    • FWはそれぞれ設定される優先度に応じて 主系副系 と呼ばれる
      • 通常時、主系が アクティブ状態 、副系が スタンドバイ状態 として動作する
    • FW間の接続は フェールオーバリンク と呼ばれる
    • 以下の用途で使用される
      1. 設定情報の同期
      2. 管理情報の複製
        管理情報
        セッション情報ルーティングテーブル
      3. 対向FWの動作状態の識別
        • 主に以下の3通りの方法で故障を知ることが出来る
          1. HELLOパケットのロスト
            • 副系が検知する
            • HELLOパケットは主系から副系の方向へ一定間隔で送信される
              • ハートビートとも呼ぶ
          2. ポートのリンクダウン
            • 主系が検知する
          3. デフォルトゲートウェイなどの特定端末へのpingなどによるポーリングの失敗
            • 主系が検知する
    • 2つのFWの冗長化を行うには以下の2通りの方法がある
      1. VRRP(Virtual Router Redundancy Protocol)を利用する方法
        • 仮想IPアドレスが使用される
        • VRRPでは管理情報が同期されないためあまり利用されない
      2. 独自プロトコルを使用する方法
        • 主系が故障した場合、副系が同じアドレスを引き継ぐ
    • 通常、障害が起きた際の副系から主系への切り戻しは手動で行う
      • ネットワークの切断による業務への影響があるため、夜間などに行うべき

80 UTM [nw2[227]]

  • Unified Threat Management
  • FWやIDS/IPSなどのセキュリティに関する機器の機能を一つの筐体に統合した製品のこと
  • 例として、以下のような機能を持つ製品がある
機能 概要
FW機能 パケットフィルタリングを行う
VPN機能 暗号化技術による仮想的なプライベートネットワークを構築する
侵入防止機能 シグネチャとのパターンマッチングにより、不正アクセスを遮断する
バッファオーバーフロー攻撃遮断機能 通過するパケット全体を走査し、攻撃を遮断する

81 IDS [nw1[326],nw2[244]]

  • Intrusion Detection System
    • 侵入検知システム
  • FWで遮断できなかった不正アクセスや攻撃を管理者に通知するシステム
    • FWはパケットのヘッダしか確認しない
      • 設定したポリシーに従っていればパケットが通過出来てしまう
  • 利用箇所によって種類がある
    ネットワーク型IDS(NIDS)
    ネットワーク上の通信を監視する
    ホスト型IDS(HIDS)
    コンピュータ上で異常を検知する
  • 検出方法は以下の2通りに分けられる
    シグネチャ型
    既存の攻撃に基づいて、パターンマッチングによる検出を行う
    アノマリ型
    プロトコル仕様やユースケースと比較して、異様なパケットの検出を行う

82 IPS [nw2[244]]

  • Intrusion Prevention System
    • 侵入防御システム

83 WAF [nw2[247]]

  • Web Application Firewall
  • IDS/IPSでも止められないようなWebサーバに対する攻撃を遮断する
    • SQLインジェクションなど

84 PKI [nw1[328],nw2[255]]

  • Public Key Infrastructure
  • 通信相手が本物かどうかを第三者に証明して貰うための仕組み
    • HTTPSによるWebサーバとの暗号化通信や暗号化メールで利用される
  • ディジタル署名 による正当性の確認が行われる
  • 以下の3点を目的とする
    1. 改ざん防止(完全性)
    2. なりすまし防止(真正性)
    3. 否認防止

84.1 CA [nw1[328,332]]

  • Certificate Authority
  • ディジタル証明書(電子証明書) を発行する第三者
    ディジタル証明書
    公開鍵を証明する証明書
  • クライアント側は電子証明書に付随する 公開鍵 で通信内容を暗号化する
    • 暗号化されたデータは、サーバが持っている 秘密鍵 でのみ復号することが出来る
    • 公開鍵暗号化方式

84.2 CRL [nw2[262]]

  • Certificate Revocation List
  • 失効した証明書のリスト
  • 公開鍵証明書の シリアル番号 と失効した 日時 を登録する

85 SSL/TLS [nw2[263]]

  • Secure Socket Layer / Transport Layer Security
  • データを暗号化するプロトコル
  • 暗号化による 盗聴防止MAC(Message Authentication Code) による 改ざん防止 が可能
  • 以下の2つのプロトコルに分けられる
    1. SSLハンドシェイクプロトコル
      • サーバの正当性確認と鍵交換を行う
    2. SSLレコードプロトコル
      • 暗号化通信を行う
  • ICカード等に格納して利用する例もある
  • 40〜256ビットの共通鍵による暗号化通信が行われる

86 IEEE802.1X [nw1[333],nw2[234]]

  • 承認された機器のみをネットワークに接続可能にする仕組み
    • 無線アクセスや構内LANで使用される
  • 認証には EAP(Extensible Authentication Protocol) が使用される
  • 認証システムには以下の3つが必要とされる
    1. サプリカント
      • クライアントPCにインストールするソフトウェア
    2. オーセンティケータ(RADIUSクライアント)
      • 認証SWのこと
    3. 認証サーバ(RADIUSサーバ)
  • 認証は以下の流れで行われる
    1. クライアントPCを認証SWに接続する
      • 認証開始時用の特別な接続要求フレームによる接続を行う
        • このフレームのことを EAPOL と呼ぶ
          MACアドレス
          01-80-C2-00-00-03
    2. 認証SWから 来る認証要求に対して、サプリカントがEAPによる認証を行う
    3. 認証SWが認証サーバに認証が正しいかを問合せる
    4. 正しい認証が行われていれば、認証SWはポートの状態を認証済みに設定する
      • 問題点として、認証SWにL2SWをカスケード接続すると多数のポートが利用可能になってしまう

86.1 認証VLAN [nw1[333]]

  • VLANを利用して認証〜接続の仕組みを実現する方法
    1. 接続要求が来たら、接続確認用のVLANに振り分け、一時的なIPアドレスを付与する
      • この時点では認証サーバとしか接続できない
    2. ユーザIDとパスワードによる認証を行う
      • 認証が成功したら接続の切り替えを行う
        • ネットワークに接続可能なVLANへ
      • 端末側ではVLANの切替後にIPアドレスのリセットを行う必要がある

87 VPN [nw1[130,331],nw2[62]]

  • Virtual Private Network

87.1 IP-VPN [nw1[130]]

  • IPを用いてVPNを構築する
    • ネットワーク層における接続が行われる
    • プロバイダが提供している MPLS網 を利用する
      • 通信帯域が保証される

87.2 インターネットVPN [nw1[331]]

  • IPsecを用いて企業等が独自にVPNを構築することが出来る
    • ネットワーク層における接続が行われる
    • 通信帯域は保証されない

87.2.1 IPsec [nw1[331],nw2[249]]

  • 暗号技術を用いてインターネット上でデータを安全に送信するための規格
  • 基本的に、IPsecルータ間ではユニキャスト通信しか行えない
  • IPsecルータ間でネゴシエーションを行うことで SA(Security Association) と呼ばれる合意を結ぶ
  • IKEを用いる場合、以下の流れで通信が行われる
    1. IKEによるSAの作成
      • ISAKMP SA と呼ぶ
        • Internet Security Association and Key Management Protocol SA
      • 以下のパラメータを決定する
        1. ISAKMPメッセージの暗号化方式
        2. ISAKMPメッセージのハッシュ方式
        3. ISAKMPの ライフタイム
        4. 鍵交換方式
    2. IPsec用のSAの作成
      • IPsec SA と呼ぶ
      • IPsec SAには SPI(Security Parameters Index)と呼ばれる32ビットの整数値が割り振られる [nw2[394]]
        • IPsec通信の各パケットに埋め込まれ、SAの識別キーとして機能する
      • 以下のパラメータを決定する
        1. セキュリティプロトコル
        2. IPsecで使用する暗号化方式
        3. IPsecで使用する認証方式
          • データの 完全性 を保証する
            • 送受信されるデータが改ざんされていないことを保証する
        4. IPsecの ライフタイム
          • ライフタイムが経過すると リキー(ReKey) と呼ばれる処理によりSAが再作成される
        5. 通信モード
          • トンネルモードトランスポートモード
    3. ESP(AH)による通信
      • IPsec用のSAの作成時に決定した暗号化方式や認証方式を用いて通信が行われる
  1. SA [nw2[253]]
    • Security Authentication
    • セッションのようなもの
  2. AH [nw2[249]]
    • Authentication Header
    • 認証ヘッダ とも呼ぶ
    • 認証機能のみを持つ
      • 暗号化機能がないためあまり利用されない
  3. ESP [nw2[249]]
    • Encapsulating Security Payload
    • 暗号ヘッダ とも呼ぶ
    • 暗号化と認証の機能を持つ
    • パケットは前から順に以下のようになる
      1. IPヘッダ
      2. ESPヘッダ
        • シーケンス番号など
      3. ペイロード
        • 元のパケット
        • 暗号化される
      4. ESPトレーラ
        • パケット長を調節するためのパディング
        • 暗号化される
      5. ESP認証データ
        • パケットの改ざんを検出するためのデータ
          • ESPヘッダ〜ESPトレーラのデータをSAごとに作成された共通鍵でハッシュ化し、これを格納する
    • ポート番号がないためNAPTが利用できない
      • VPNパススルーNATトラバーサル を利用する
  4. IKE [nw2[250]]
    • Internet Key Exchange
    • 鍵交換を行うプロトコル
    • IPsec通信のための鍵交換を安全に実施するための仕組み
      • 必須ではないが利用が推奨される
    • 2つの実行モードがある
      1. メインモード
        • 接続先IPアドレスも認証情報として利用する
        • 双方が静的IPアドレスでないと利用できない
      2. アグレッシブモード
        • 接続先IPアドレスは認証情報として利用しない
        • 動的IPアドレスでも利用できる
        • メインモードと比べるとセキュリティが弱い
          • IPアドレスは偽装が難しいため
          • 認証サーバ(RADIUSサーバ)と連携して接続先の認証を行う XAUTH という拡張機能を利用することがある
  5. 通信モード [nw1[332],nw2[252]]
    • 2つの通信モードがある
      1. トランスポートモード
        • トランスポート層以降のデータを暗号化して通信する
      2. トンネルモード
        • IPヘッダも含めてデータを暗号化して通信する
          • IPトンネリングを使用する
        • 送信元・先それぞれにVPNルータを設置する必要がある
        • LAN内のPCにIPsecの設定をする必要がないため主流
  6. NATトラバーサル [nw2[254]]
    • ESPパケットをUDPでカプセル化し、NATによるアドレス変換を可能にする手法
    • パケットは前から順に以下のようになる
      1. 新しく付与されるIPヘッダ
      2. 新しく付与されるUDPヘッダ
      3. ESPヘッダ
      4. ペイロード
      5. ESPトレーラ
      6. ESP認証データ
  7. VPNパススルー [nw2[254]]
    • IPsecの通信を識別して適切な機器にパケットを転送するNATルータの機能
      • ESPヘッダ内の SPI をもとに識別する

87.3 広域イーサネット [nw1[130]]

  • プロバイダの VLAN を用いてVPNを構築する
    • データリンク層における接続が行われる
    • 専用の回線を使用するため高価

87.4 SSL-VPN [nw2[266]]

  • HTTPSを利用してWebベースの社内システム等にアクセスするための仕組み
    • リバースプロキシ(SSL-VPN機器)を介する方法が一般的
      • クライアントPC(外部) –443–> リバースプロキシ(DMZ) –80–> Webサーバ(内部)
      • SSL-VPN機器は、最近ではUTMに組み込まれていることが多い

88 APT [nw2[268]]

  • Advanced persistent Threat
  • 標的型攻撃
  • 対策方法として以下の方法が挙げられる
    1. 入口対策
      • FW, IPS, URLフィルタリングなどを用いて攻撃を防ぐ
    2. 出口対策
      • FWとプロキシサーバを用いた内部から外部へのパケットフィルタリング
    3. 多層防御
      • サーバのアクセス権の設定など

Author: medalotte

Created: 2019-10-19 土 20:48

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です