ネットワークの基本
ネットワーク通信の仕組み
通信の仕組みは以下の通りです。
- 送信元の端末は同一ネットワーク内のブロードキャスト宛にARPリクエスト(IPアドレス情報など)を送信する
- 該当するIPアドレスが設定されているデバイスはARPリクエストに対してARPリプライを返信する
- 送信元の端末はARPリプライの情報をもとに送信対象のデバイスに対して通信を行う
Lesson3:必要な情報を詰め込んで運び役のイーサネットに渡す
Lesson3は,ARPのアドレス調査作業をもう少し具体的に見てみよう。ARP応答とARP要求について,実際にどういった情報をやりとりしているのかを知ることで,ARPのしくみが見えてくる。
xtech.nikkei.com
Lesson4:ルーターだってARPを使う,実際の通信の流れを知ろう
ここまで,ARPの役割と動作を見てきた。最後のLesson4では,実際のネットワークにおいて,ARPがどのように使われているのかを見ていこう。
xtech.nikkei.com
ケーブルの種類
ツイストペアケーブルの特徴は以下の通りです。
- 主にLAN配線などで利用される
- RJ45コネクタ
- MDI(Medium Dependent Interface)…パソコン、ルータのLANポート
- MDI-X(Medium Dependent Interface Crossover)…ハブ、スイッチのLANポート
- ストレートケーブル…MDIとMDI-Xを接続するためのケーブル
- クロスケーブル…MDI同士、またはMDI-X同士を接続するためのケーブル
- AutoMDI/MDI-Xの機能により双方を意識する必要はほとんどない
- カテゴリの種類
- Cat6A(10GBASE/UTPまたはSTP)
- Cat7(10GBASE-T/STP)
SFP/SFP+ケーブル(ダイレクトアタッチケーブル)の特徴は以下の通りです。
- 配線長は最大10m以下となり主にラック内配線専用
- コンピュータとストレージ(外部記憶装置)を結ぶFibre Channel接続で採用される
- スイッチ間のスタック接続(スタックリンク)で採用される
pingの応答結果
pingが失敗した場合、主に以下の原因が考えられます。
- Request time out(要求がタイムアウトしました)
- 送信元端末、または送信先端末のファイアウォールの設定によりICMP通信がブロックされている
- 経路途中にあるルータなどによりICMP通信がブロックされている
ICMP以外の通信は可能であることもある
- Destination net unreachable(宛先ネットワークに到達できません)
- 経路途中のルーティング情報に転送先情報が無く宛先ネットワークまでパケット転送できていない
- Destination host unreachable(宛先ホストに到着できません)
- 経路途中のルーティング情報に転送先情報が無く宛先ホストまでパケット転送できていない
- TTL expired in transit(転送中にTTLが期限切れになりました)
- TTLの超過によりパケットが破棄された
- 経路途中のルーティング情報に誤りがありルーティングループが発生している可能性がある
以下のサイトに詳しく解説してありました。
TCP/IP - ICMPとは(Pingコマンド)
Pingコマンドについてはじめから解説。
www.infraexpert.com
DHCPの仕組み
DHCPプロトコルは以下の仕組みで通信します。
- DISCOVER(DHCPクライアント)
- 起動時にIPアドレス設定の有無を判定する
- IPアドレスが設定されていなければリミテッドブロードキャスト宛てにDISCOVERパケットを送信し、DHCPサーバを探索する
- ネットワークをまたいだDISCOVERパケットを送信する場合はルータ側にDHCPリレーエージェント設定が必要
- OFEER(DHCPサーバ)
- DHCPクライアントに対して割り当て可能なIPアドレスをOFEERパケットを返信し、IPアドレスを提案する
- REQUEST(DHCPクライアント)
- OFEERパケットに含まれるIPアドレスを受け取り、REQUESTパケットをブロードキャスト宛てに送信し、IPアドレスを要求する
- ACKNOWLEDGE(DHCPサーバ)
- REQUESTパケットを受け取ったDHCPサーバは自身が割り当てたIPアドレスであれば以下のパケットを返信する
- 問題が無い場合(付与する場合)…PACKパケットを返信し、IPアドレスの付与を承認する
- 問題がある場合(付与しない場合)…PNAKパケットを返信
- REQUESTパケットを受け取ったDHCPサーバは自身が割り当てたIPアドレスであれば以下のパケットを返信する
- IPアドレス設定(DHCPクライアント)
- PACKパケットを受信したDHCPクライアントはOFEERで指定されたIPアドレスを自身のIPアドレスとして設定する
通信プロトコルはUDPポート(DHCPクライアント…UDP68番ポート、DHCPサーバ…UDP67番ポート)です。
統合脅威管理の特徴
統合脅威管理(Unified Threat Management)には以下のような機能が備えられています。
| 項目 | 機能 |
|---|---|
| ファイアウォール/ACL | ネットワーク間の通信を制御する |
| Webフィルタリング | 業務上、不適切な外部のWebページへのアクセスを制限する |
| アンチウイルス | 通過パケットのウイルスを検出し摘出する |
| アンチスパム | 迷惑メールの受信を防止する |
| IDS(Intrusion Detection System) | 不正な侵入(通信)を検知(ログ収集)する |
| IPS(Intrusion Prevention System) | 不正な侵入(通信)を防御(ブロック)する |
その他にもネットワーク機器には以下のような機能が備えられています。
| 項目 | 機能 |
|---|---|
| IPsec VPN SSL VPN | 遠隔地からのリモートアクセス機能 |
| NAT NAPT | ネットワーク間でIPアドレスを変換する機能 |
| VRRP | 複数のルータを束ねて一体的に運用するための制御情報を伝送するプロトコル |
| スタック構成 | 専用のスタックケーブルで接続することにより物理的に複数台の端末を論理的に1台として動作させる機能 |
| HA構成 (High Availability構成) | 可用性を高めるために複数台の端末で冗長化された環境 |
セキュリティ関連用語
セキュリティ関連の主な用語には以下のようなものがあります。
| 用語 | 意味 |
|---|---|
| シグネチャ | マルウェアの攻撃パターンをデータベース化し、攻撃パターンと一致したファイルを排除する仕組み |
| サンドボックス | 標的型攻撃などによるマルウェアを検証するための仮想環境 |
| レピュテーション | 脆弱性情報(送信元など)を自動収集し評価する機能、正常なデータを悪意のあるデータだと誤認識することもある |
FortiGateの基本的なコマンド
| コマンド | 内容 |
|---|---|
| execute factoryreset | 初期化コマンド |
| execute ping | pingコマンド |
| show | 基本設定内容の確認 |
| show full-configuration | 全設定内容の確認 |
| show system interface | インタフェース情報の確認 |
| show system global | グローバル情報の確認 |
| diag hardware deviceinfo nic <インターフェース名> | 物理ポートの確認 |
| get system status | BIOS/ファームウェアバージョンなどを確認 |
| get hardware status | ASICバージョン確認 |
| get system interface physical | インタフェースのリンクアップ状況を確認 |
| get system performance status | リソース利用率の確認 |
| get system performance top | リソース利用率の確認(リアルタイム表示) |
| show router static | スタティックルートの確認 |
| show firewall policy | ファイアウォール情報の確認 |
| config system ha | HA構成の確認 |
| diagnose sys ha reset-uptime | HA構成を切り替える |
| diagnose sys ha status | HAステータス(マスター/スレーブ)確認 |
| set override enable | HAオーバーライド有効化 |
| diagnose sniffer packet | パケットキャプチャ取得 |
コメント