ネットワークの基本
ネットワーク通信の仕組み
通信の仕組みは以下の通りです。
- 送信元の端末は同一ネットワーク内のブロードキャスト宛にARPリクエスト(IPアドレス情報など)を送信する
- 該当するIPアドレスが設定されているデバイスはARPリクエストに対してARPリプライを返信する
- 送信元の端末はARPリプライの情報をもとに送信対象のデバイスに対して通信を行う
Lesson3:必要な情報を詰め込んで運び役のイーサネットに渡す
Lesson3は,ARPのアドレス調査作業をもう少し具体的に見てみよう。ARP応答とARP要求について,実際にどういった情報をやりとりしているのかを知ることで,ARPのしくみが見えてくる。
xtech.nikkei.com
Lesson4:ルーターだってARPを使う,実際の通信の流れを知ろう
ここまで,ARPの役割と動作を見てきた。最後のLesson4では,実際のネットワークにおいて,ARPがどのように使われているのかを見ていこう。
xtech.nikkei.com
ケーブルの種類
ツイストペアケーブルの特徴は以下の通りです。
- 主にLAN配線などで利用される
- RJ45コネクタ
- MDI(Medium Dependent Interface)…パソコン、ルータのLANポート
- MDI-X(Medium Dependent Interface Crossover)…ハブ、スイッチのLANポート
- ストレートケーブル…MDIとMDI-Xを接続するためのケーブル
- クロスケーブル…MDI同士、またはMDI-X同士を接続するためのケーブル
- AutoMDI/MDI-Xの機能により双方を意識する必要はほとんどない
- カテゴリの種類
- Cat6A(10GBASE/UTPまたはSTP)
- Cat7(10GBASE-T/STP)
SFP/SFP+ケーブル(ダイレクトアタッチケーブル)の特徴は以下の通りです。
- 配線長は最大10m以下となり主にラック内配線専用
- コンピュータとストレージ(外部記憶装置)を結ぶFibre Channel接続で採用される
- スイッチ間のスタック接続(スタックリンク)で採用される
pingの応答結果
pingが失敗した場合、主に以下の原因が考えられます。
- Request time out(要求がタイムアウトしました)
- 送信元端末、または送信先端末のファイアウォールの設定によりICMP通信がブロックされている
- 経路途中にあるルータなどによりICMP通信がブロックされている
ICMP以外の通信は可能であることもある
- Destination net unreachable(宛先ネットワークに到達できません)
- 経路途中のルーティング情報に転送先情報が無く宛先ネットワークまでパケット転送できていない
- Destination host unreachable(宛先ホストに到着できません)
- 経路途中のルーティング情報に転送先情報が無く宛先ホストまでパケット転送できていない
- TTL expired in transit(転送中にTTLが期限切れになりました)
- TTLの超過によりパケットが破棄された
- 経路途中のルーティング情報に誤りがありルーティングループが発生している可能性がある
以下のサイトに詳しく解説してありました。
TCP/IP - ICMPとは(Pingコマンド)
Pingコマンドについてはじめから解説。
www.infraexpert.com
DHCPの仕組み
DHCPプロトコルは以下の仕組みで通信します。
- DISCOVER(DHCPクライアント)
- 起動時にIPアドレス設定の有無を判定する
- IPアドレスが設定されていなければリミテッドブロードキャスト宛てにDISCOVERパケットを送信し、DHCPサーバを探索する
- ネットワークをまたいだDISCOVERパケットを送信する場合はルータ側にDHCPリレーエージェント設定が必要
- OFEER(DHCPサーバ)
- DHCPクライアントに対して割り当て可能なIPアドレスをOFEERパケットを返信し、IPアドレスを提案する
- REQUEST(DHCPクライアント)
- OFEERパケットに含まれるIPアドレスを受け取り、REQUESTパケットをブロードキャスト宛てに送信し、IPアドレスを要求する
- ACKNOWLEDGE(DHCPサーバ)
- REQUESTパケットを受け取ったDHCPサーバは自身が割り当てたIPアドレスであれば以下のパケットを返信する
- 問題が無い場合(付与する場合)…PACKパケットを返信し、IPアドレスの付与を承認する
- 問題がある場合(付与しない場合)…PNAKパケットを返信
- REQUESTパケットを受け取ったDHCPサーバは自身が割り当てたIPアドレスであれば以下のパケットを返信する
- IPアドレス設定(DHCPクライアント)
- PACKパケットを受信したDHCPクライアントはOFEERで指定されたIPアドレスを自身のIPアドレスとして設定する
通信プロトコルはUDPポート(DHCPクライアント…UDP68番ポート、DHCPサーバ…UDP67番ポート)です。
NICチーミングの概要
複数のNICを束ねて1つのNICとして冗長化する構成、以下の3種類に分類されます。
- フォルトトレランス(Active/Standby構成)
- 稼働系と待機系により障害発生時に切り替わる構成
- ロードバランシング(Active/Active構成)
- 送信時のトラフィックのみを負荷分散させ帯域幅(スループット)を向上
- 受信時のトラフィックは負荷分散されない
- リンクアグリケーション(Active/Active構成)
- 送受信時のトラフィックを負荷分散させ帯域幅(スループット)を向上
- LAG(Link Aggregation Group)構成により論理的に1本の回線となる
- LAG(Link Aggregation Group)の設定は手動設定とLACP(Link Aggregation Control Protocol)による自動設定がある
LAGはチャネルグループ、トランクグループと呼ばれることもあります。
また、サーバ、スイッチ、双方での設定が必要になり、マザーボードやNICなどのハードウェアにも互換性が求められます。
StackWise構成の概要
複数のL2スイッチのスタックポートに対して、専用のケーブルを接続することで、論理的に1台のL2スイッチのように動作させる技術。
1台のL2スイッチに設定を行うことで負荷分散や冗長化の効果がある。接続方法には以下のの2種類がある。
- 複数のL2スイッチをリング状に接続するリンクトポロジー
- 直線で並列に接続するチェーントポロジー
IGMPプロトコル
同一のデータを複数のホストに効率的に送信するマルチキャスト通信を行う際、ホストのグループを管理するためのL3のプロトコル。
IGMPスヌーピング機能
L2スイッチにおいて余計なマルチキャストのフラッディングを制御してネットワーク帯域を無駄に消費しないようにする機能。
VLAN機能
物理的な接続形態とは独立してネットワークを仮想的なセグメントに分ける技術
基本的なVLANとして主に2種類のVLAN方式がある。
- ポートベースVLAN
- L2スイッチの接続ポートごとにVLANを分ける
- タグベースVLAN
- イーサネットフレームの一部に識別番号(VLAN ID)を書き込む
VLAN機能が搭載されたスイッチのポートの種類には以下の2種類があります。
- アクセスポート接続(Untaggedポート接続)
- VLANが設定されたL2スイッチに同一のVLAN(1つのVLAN)のみに所属するポート
- トランクポート接続(Taggedポート接続)
- VLANが設定されたL2スイッチにて複数のVLANに所属するポート
- VLANタグを付与するとランキングプロトコルには主にIEEE802.1Qが採用される
その他のVLAN用語
- ネイティブVLAN
- トランクリンク上で唯一タグを付けずに送受信されるVLAN
DHCPスヌーピング
DHCPサーバおよびDHCPクライアント間でやりとりされるDHCPパケットをスヌーピング(検知)し、IPアドレス情報をもとに通信制御する機能です。
- 固定IPアドレス端末のネットワーク接続を禁止、排除する
- 不正なDHCPや端末のネットワーク接続を禁止、排除する
- スイッチ全体にDHCPスヌーピングの全体設定をする
- ※デフォルトでは全ポートがUntrustedインタフェースになる
- DHCPスヌーピングを有効にするVLANを指定する
- 各クライアント端末が接続されたポートごとにUntrustedインタフェース設定(有効化)する必要がある
- DHCPスヌーピング対象外のポートはTrustedインタフェース設定(無効化)とする
以下のDHCPクライアントの情報はスイッチのバインディングデータベースで管理する- ※ポート番号、MACアドレス、IPアドレス、VLANタグなど
- DHCPによるIPアドレスの割り当てを特定の端末に制限したい場合はDHCPサーバ側でMACアドレス認証を導入する
統合脅威管理の特徴
統合脅威管理(Unified Threat Management)には以下のような機能が備えられています。
| 項目 | 機能 |
|---|---|
| ファイアウォール/ACL | ネットワーク間の通信を制御する |
| Webフィルタリング | 業務上、不適切な外部のWebページへのアクセスを制限する |
| アンチウイルス | 通過パケットのウイルスを検出し摘出する |
| アンチスパム | 迷惑メールの受信を防止する |
| IDS(Intrusion Detection System) | 不正な侵入(通信)を検知(ログ収集)する |
| IPS(Intrusion Prevention System) | 不正な侵入(通信)を防御(ブロック)する |
その他にもネットワーク機器には以下のような機能が備えられています。
| 項目 | 機能 |
|---|---|
| IPsec VPN SSL VPN | 遠隔地からのリモートアクセス機能 |
| NAT NAPT | ネットワーク間でIPアドレスを変換する機能 |
| VRRP | 複数のルータを束ねて一体的に運用するための制御情報を伝送するプロトコル |
| スタック構成 | 専用のスタックケーブルで接続することにより物理的に複数台の端末を論理的に1台として動作させる機能 |
| HA構成 (High Availability構成) | 可用性を高めるために複数台の端末で冗長化された環境 |
セキュリティ関連用語
セキュリティ関連の主な用語には以下のようなものがあります。
| 用語 | 意味 |
|---|---|
| シグネチャ | マルウェアの攻撃パターンをデータベース化し、攻撃パターンと一致したファイルを排除する仕組み |
| サンドボックス | 標的型攻撃などによるマルウェアを検証するための仮想環境 |
| レピュテーション | 脆弱性情報(送信元など)を自動収集し評価する機能、正常なデータを悪意のあるデータだと誤認識することもある |
FortiGateの基本的なコマンド
| コマンド | 内容 |
|---|---|
| execute factoryreset | 初期化コマンド |
| execute ping | pingコマンド |
| show | 基本設定内容の確認 |
| show full-configuration | 全設定内容の確認 |
| show system interface | インタフェース情報の確認 |
| show system global | グローバル情報の確認 |
| diag hardware deviceinfo nic <インターフェース名> | 物理ポートの確認 |
| get system status | BIOS/ファームウェアバージョンなどを確認 |
| get hardware status | ASICバージョン確認 |
| get system interface physical | インタフェースのリンクアップ状況を確認 |
| get system performance status | リソース利用率の確認 |
| get system performance top | リソース利用率の確認(リアルタイム表示) |
| show router static | スタティックルートの確認 |
| show firewall policy | ファイアウォール情報の確認 |
| config system ha | HA構成の確認 |
| diagnose sys ha reset-uptime | HA構成を切り替える |
| diagnose sys ha status | HAステータス(マスター/スレーブ)確認 |
| set override enable | HAオーバーライド有効化 |
| diagnose sniffer packet | パケットキャプチャ取得 |
コメント