ネットワークの基本

Network
スポンサーリンク

ネットワークの基本

ネットワーク通信の仕組み

通信の仕組みは以下の通りです。

  • 送信元の端末は同一ネットワーク内のブロードキャスト宛にARPリクエスト(IPアドレス情報など)を送信する
  • 該当するIPアドレスが設定されているデバイスはARPリクエストに対してARPリプライを返信する
  • 送信元の端末はARPリプライの情報をもとに送信対象のデバイスに対して通信を行う
Lesson3:必要な情報を詰め込んで運び役のイーサネットに渡す
 Lesson3は,ARPのアドレス調査作業をもう少し具体的に見てみよう。ARP応答とARP要求について,実際にどういった情報をやりとりしているのかを知ることで,ARPのしくみが見えてくる。
Lesson4:ルーターだってARPを使う,実際の通信の流れを知ろう
 ここまで,ARPの役割と動作を見てきた。最後のLesson4では,実際のネットワークにおいて,ARPがどのように使われているのかを見ていこう。

ケーブルの種類

ツイストペアケーブルの特徴は以下の通りです。

  • 主にLAN配線などで利用される
  • RJ45コネクタ
    • MDI(Medium Dependent Interface)…パソコン、ルータのLANポート
    • MDI-X(Medium Dependent Interface Crossover)…ハブ、スイッチのLANポート
    • ストレートケーブル…MDIとMDI-Xを接続するためのケーブル
    • クロスケーブル…MDI同士、またはMDI-X同士を接続するためのケーブル
    • AutoMDI/MDI-Xの機能により双方を意識する必要はほとんどない
  • カテゴリの種類
    • Cat6A(10GBASE/UTPまたはSTP)
    • Cat7(10GBASE-T/STP)

SFP/SFP+ケーブル(ダイレクトアタッチケーブル)の特徴は以下の通りです。

  • 配線長は最大10m以下となり主にラック内配線専用
  • コンピュータとストレージ(外部記憶装置)を結ぶFibre Channel接続で採用される
  • スイッチ間のスタック接続(スタックリンク)で採用される

pingの応答結果

pingが失敗した場合、主に以下の原因が考えられます。

  • Request time out(要求がタイムアウトしました)
    • 送信元端末、または送信先端末のファイアウォールの設定によりICMP通信がブロックされている
    • 経路途中にあるルータなどによりICMP通信がブロックされている
      ICMP以外の通信は可能であることもある
  • Destination net unreachable(宛先ネットワークに到達できません)
    • 経路途中のルーティング情報に転送先情報が無く宛先ネットワークまでパケット転送できていない
  • Destination host unreachable(宛先ホストに到着できません)
    • 経路途中のルーティング情報に転送先情報が無く宛先ホストまでパケット転送できていない
  • TTL expired in transit(転送中にTTLが期限切れになりました)
    • TTLの超過によりパケットが破棄された
    • 経路途中のルーティング情報に誤りがありルーティングループが発生している可能性がある

以下のサイトに詳しく解説してありました。

TCP/IP - ICMPとは(Pingコマンド)
Pingコマンドについてはじめから解説。

DHCPの仕組み

DHCPプロトコルは以下の仕組みで通信します。

  • DISCOVER(DHCPクライアント)
    • 起動時にIPアドレス設定の有無を判定する
    • IPアドレスが設定されていなければリミテッドブロードキャスト宛てにDISCOVERパケットを送信し、DHCPサーバを探索する
    • ネットワークをまたいだDISCOVERパケットを送信する場合はルータ側にDHCPリレーエージェント設定が必要
  • OFEER(DHCPサーバ)
    • DHCPクライアントに対して割り当て可能なIPアドレスをOFEERパケットを返信し、IPアドレスを提案する
  • REQUEST(DHCPクライアント)
    • OFEERパケットに含まれるIPアドレスを受け取り、REQUESTパケットをブロードキャスト宛てに送信し、IPアドレスを要求する
  • ACKNOWLEDGE(DHCPサーバ)
    • REQUESTパケットを受け取ったDHCPサーバは自身が割り当てたIPアドレスであれば以下のパケットを返信する
      • 問題が無い場合(付与する場合)…PACKパケットを返信し、IPアドレスの付与を承認する
      • 問題がある場合(付与しない場合)…PNAKパケットを返信
  • IPアドレス設定(DHCPクライアント)
    • PACKパケットを受信したDHCPクライアントはOFEERで指定されたIPアドレスを自身のIPアドレスとして設定する

通信プロトコルはUDPポート(DHCPクライアント…UDP68番ポート、DHCPサーバ…UDP67番ポート)です。

スポンサーリンク

統合脅威管理の特徴

統合脅威管理(Unified Threat Management)には以下のような機能が備えられています。

項目
機能
ファイアウォール/ACL
ネットワーク間の通信を制御する
Webフィルタリング
業務上、不適切な外部のWebページへのアクセスを制限する
アンチウイルス
通過パケットのウイルスを検出し摘出する
アンチスパム
迷惑メールの受信を防止する
IDS(Intrusion Detection System)
不正な侵入(通信)を検知(ログ収集)する
IPS(Intrusion Prevention System)
不正な侵入(通信)を防御(ブロック)する

その他にもネットワーク機器には以下のような機能が備えられています。

項目機能
IPsec VPN
SSL VPN
遠隔地からのリモートアクセス機能
NAT
NAPT
ネットワーク間でIPアドレスを変換する機能
VRRP
複数のルータを束ねて一体的に運用するための制御情報を伝送するプロトコル
スタック構成
専用のスタックケーブルで接続することにより物理的に複数台の端末を論理的に1台として動作させる機能
HA構成
(High Availability構成)
可用性を高めるために複数台の端末で冗長化された環境

セキュリティ関連用語

セキュリティ関連の主な用語には以下のようなものがあります。

用語意味
シグネチャ
マルウェアの攻撃パターンをデータベース化し、攻撃パターンと一致したファイルを排除する仕組み
サンドボックス
標的型攻撃などによるマルウェアを検証するための仮想環境
レピュテーション
脆弱性情報(送信元など)を自動収集し評価する機能、正常なデータを悪意のあるデータだと誤認識することもある

FortiGateの基本的なコマンド

コマンド内容
execute factoryreset初期化コマンド
execute ping pingコマンド
show基本設定内容の確認
show full-configuration全設定内容の確認
show system interfaceインタフェース情報の確認
show system globalグローバル情報の確認
diag hardware deviceinfo nic <インターフェース名>物理ポートの確認
get system statusBIOS/ファームウェアバージョンなどを確認
get hardware statusASICバージョン確認
get system interface physicalインタフェースのリンクアップ状況を確認
get system performance statusリソース利用率の確認
get system performance topリソース利用率の確認(リアルタイム表示)
show router staticスタティックルートの確認
show firewall policyファイアウォール情報の確認
config system haHA構成の確認
diagnose sys ha reset-uptimeHA構成を切り替える
diagnose sys ha statusHAステータス(マスター/スレーブ)確認
set override enableHAオーバーライド有効化
diagnose sniffer packet パケットキャプチャ取得

コメント

タイトルとURLをコピーしました