CCNA-要点チェック
⭐︎→重要項目
⭐︎Packet Tracer(パケットトレーサ)
世界最大手の通信機器メーカーCisco社が提供するCisco製のネットワーク機器をソフトウェア上で操作できるネットワークシミュレーターツールのこと。
パソコンさえあれば仮想のネットワーク環境を構築することができ、ネットワーク構築やコマンド実行の練習ができます!
ITスクールの教材としても使われていることもあり、Cisco社主催のCCNA試験の対策としても活躍している安全な無料ツールです。
第1章 ネットワークの基礎
・ノードとリンクの違い
ノード→ネットワークを構成する要素。
リンク→ノードとノードを結ぶ線。
フロー→リンク上のデータの流れ。
トラフィック→ネットワークの情報やその量。
・LANとWANの違い
LAN(Local Area Network)→家庭、企業、ビルといった一つの建物や施設内といった程度の範囲で利用されているネットワーク。
LAN内の人が自由に配線や機器の設置を行えるし、メンテナンスも基本的には自分たちで行う形。
WAN(Wide Area Network)→本社と支社といった地域的に離れたLANとLANを接続するネットワーク。
WANは利用者たちで機器の設置や配線を行うことはできず、通信事業者のWANサービスを利用する。
・ネットワークトポロジ
トポロジ→端末やネットワーク機器をどのように接続しているのか、その接続形態。
バス型→基幹となるケーブル(バス)に各ノードを接続する接続形態。バスに障害が発生するとノード間の通信ができなくなる。
リング型→隣接しているノードを円状に接続する接続形態。1箇所で障害が発生すると全体に影響が出る。
スター型→中央の集線装置に各ノードを接続する接続形態。現在の主流の接続形態。
メッシュ型→ノード間をそれぞれ接続する接続形態。リンクが多くなるが、どこか1箇所で障害が起きても他のノードを経由して通信することができるため
障害に強い構成となる。すべてのノードが互いに接続している形態をフルメッシュ、部分的にメッシュとなっている形態をパーシャルメッシュ(部分メッシュ)という。
1対全員 → ブロードキャスト通信,不特定多数に対して同じデータを送信する方式。全体宛を意味するアドレスを使用する。ただし、全体宛といっても、
同一ネットワークの範囲内の全端末という意味になる。
1対1(個人宛) → ユニキャスト通信,ある特定の宛先に対してのみデータ送信する方式。通信したい相手を指定するアドレスを使用する。
1対複数(グループ宛) → マルチキャスト通信,ある特定のグループに対して同じデータを送信する方式。グループを指定するアドレスを使用する。
⭐︎OSI参照モデルの各層の機能
プロトコル→データ通信を行うための手順や規約を定めたもの。
プロトコルスタック(プロトコルスイート)→プロトコルを階層的に構成したもの。
OSI参照モデル→ISO(国際標準化機構)によって定められた異なるベンダー間でも通信できるような共通の仕様。各階層はレイヤと呼ばれ下位層から番号が与えられる。
通信を行うための機能を7つの階層に分け、それぞれの役割を定めている。
各階層に機能を分けることにより、ネットワーク設計者やアプリケーション開発者が各階層の役割を理解しやすい。
標準化されいるため各ベンダーの製品やプロトコルを組み合わせて設計や構築が可能。プログラムの開発や改修が容易。
階層が分かれているためネットワーク障害などの問題の早期切り分けや解決が可能。
物理層→データを電気信号に変換するといったことや、物理的な接続に関して規定している。
物理層でノード間を接続するケーブルやその接続口の規格などを規定することで機器間を物理的に接続することを提供する。
データリンク層→直接接続されたノード間の通信に関して規定している。通信の最終的な宛先はネットワーク層で規定されたアドレスにより指定できる。
ただそこに向かうためには直接接続している機器間で相手を識別するためのアドレスに関する規定やエラーの検出といった機能が提供されている。
ネットワーク層→複数のネットワークをまたがったエンドツーエンド(通信を開始する送信元から最終的な宛先までの端末間)の通信に関して規定している。
データを送信する際にはそのデータの届け先を指定する必要がある。そうした宛先を識別するために必要となるIPアドレスなどに関するプロトコルが規定されている。
また、宛先に向かうためにはいくつかの機器を経由していく場合がある。その際、どういった経路を通ればよいのかを決定する機能が提供されている。
こうしたネットワーク層の機能により、エンドツーエンドでの通信ができるようになる。
トランスポート層→ノード間の通信の制御に関して規定している。送信元から送られたデータは途中で様々な機器を経由して宛先まで運ばれていく。
経由していく中でデータが欠けてしまうと宛先は正しくデータを処理できない。そうならないように送信元から送信されたデータを欠けることなく
宛先に届けるといった通信の信頼性に関する機能が提供されている。
セッション層→通信が開始してから終了するまでを管理するひとかたまりをセッションといい、そのセッションの確立や終了に関して規定している。
セッションが確立することでアプリケーション間での通信が可能となる。機器では複数のアプリケーションを利用して通信を行っていることがある。
その際に、あるアプリケーションでやり取りしているデータが別のアプリケーションに届かないように制御している。
プレゼンテーション層→通信する際の文字コードなどといった、データの表現形式に関して規定している。
データを送信する際に、プレゼンテーション層で送信側アプリケーションが使用している独自の表現方式から、共通の方式に変換する。
そして受信側では受け取ったデータを受信側アプリケーションで使用する表現形式に復元することで、
送信元と宛先の機器で使用するアプリケーションが異なった表現方式を使用していても通信できるようになる。
アプリケーション層→ユーザが利用するアプリケーション間での通信に関して規定している。WebブラウザであればWeb用のプロトコル、メーラーであればメール用のプロトコルといった、
ユーザが利用するアプリケーションで使用するプロトコルが規定されている。
・カプセル化と非カプセル化
ヘッダ→各階層でデータを送信するために必要な情報。通信データはヘッダ+データの形式で送られる。データリンク層ではデータの後ろにトレーラがつく。
カプセル化→送信側で上の階層の通信データをそのままデータとし、新たなヘッダを付加し下位層に渡すこと。
非カプセル化→受信側で階層のデータからその階層のヘッダを取り除き、データを上位層に渡すこと。
PDU(Protocol Date Unit)→各層で扱う通信データの単位。レイヤ4で扱う通信データはセグメント、レイヤ3で扱う通信データはパケット(IPデータグラム)、レイヤ2で扱う通信データはフレームという。
ペイロード→各層で取り扱うPDUからその層のヘッダを除いた部分。
⭐︎TCP/IPモデルの各層の機能
TCP/IP→現在インターネットで利用されている通信プロトコル群。TCP(Transmission Control Protocol)、IP(Internet Protocol)
リンク層→目的のNIC(ネットワークインタフェースカード)に渡すためにデータを電気信号に変換する。
LANケーブルを通して流れてきた電気信号をフレームに変換し、イーサネットヘッダとトレーラを確認したのち、それらを外してパケットをインターネット層に渡す。
インターネット層→目的の端末にデータを渡すためにエンドツーエンドの通信を制御する。渡されたパケットのIPヘッダを確認したのち、IPヘッダを外したセグメントを上の層に渡す。
トランスポート層→目的のアプリケーションにデータを渡すために通信を制御する。渡されたセグメントのTCPヘッダを確認したのち、TCPヘッダを外したデータをアプリケーション層に渡す。
アプリケーション層→アプリケーション間でデータをやり取りする。HTTPヘッダを確認し最終的にデータを処理する。こうしてクライアントからWebサーバへのデータ送信が完了する。
⭐︎TCPとUDPの違い
TCP(Transmission Control Protocol)→データの信頼性を保証するプロトコル。HTTP、SMTP、POP3、FTPなどで利用される。
TCPで扱うデータをTCPセグメントという。アプリケーション層から渡され、分割したデータにTCPヘッダを付加したもの。サイズは20バイト。
UDP(User Datagramu Protocol)→通信速度を優先するプロトコル。RTP、DHCP、SNMP、DNSなどで利用される。
UDPで扱うデータをUDPデータグラムという。UDPデータグラムはアプリケーション層から渡されたデータにUDPヘッダを付加したもの。サイズは8バイト。
・LANケーブルの種類
同軸ケーブル→伝送用の1本の銅線を絶縁体で囲んだケーブル。LANのほか、テレビのアンテナ用に使用される。
ツイストペアケーブル(より対線、LANケーブル)→銅線を2本ずつペアにしてより合わせたケーブル。2対4線式、4対8線式などがある。
企業や家庭でLANを構築する際にほとんど使う。ノイズに強いシールド付きのSTP(Shielded Twisted Pair)とシールドなしのUTP(Unshielded Twisted Pair)がある。
日本ではUTPが主流。コネクタにある電極1つ1つをピンと呼ばれる。
①ストレートケーブル
ケーブル内で8本の銅線がストレートに配線されているためケーブルの両端でピンの並びが同じになっている。
②クロスケーブル
ケーブル内で8本の銅線の一部がクロスして配線されているためケーブルの両端でのピンの並びが異なっている。
光ファイバケーブル→石英などで作られたコアという芯をクラッドが同心円状に覆う構造で光信号を反射させて利用するケーブル。
FTTx、ギガビットイーサネットなどの光通信に使用される。
⭐︎ストレートとクロスの組み合わせ
同じ仕様を持つ機器同士はクロスケーブル、異なる仕様のポートを持つ機器同士はストレートケーブルで接続するということ。
ストレートケーブルで接続するもの→ルータとスイッチ、PCとスイッチ、ルータとハブ。
クロスケーブルで接続するもの→ルータとルータ、スイッチとスイッチ、PCとPC、PCとルータ、ハブとスイッチ。
・イーサネットの規格(IEEEXXX)
イーサネット→現在LANで最も利用されている規格。もともとはIntel、Xerox、DECによって開発され、IEEE 802.3委員会によって標準化された。
接続方式やアクセス制御方式、ケーブルの伝送速度や長さ、フレームの形式などを規定している。
ネットワーク技術の進歩に合わせて伝送速度が速い仕様が追加されてきた。
⭐︎MACアドレス
【48ビット、6バイト、12桁の16進数】を2桁ごとにハイフン(-)またはコロン(:)で区切って表記する。
MACアドレスは、【物理アドレス】や【ハードウェアアドレス】と呼ばれている
【NIC(ネットワークインターフェイスカード)】に割り当てられている固有の識別子。
MACアドレスの先頭24ビットは何と呼ばれるか?
【OUI(Organizationally Unique Identifier)】、NICのベンダーを識別するID(IEEEが管理している)
MACアドレスの後半24ビットは何と呼ばれるか?
【シリアル番号】、ベンダーが独自に重複しないように割り当てている。
EthernetⅡ形式のイーサネットフレームのフィールド
【プリアンブル】→1と0のビット列の信号で、イーサネットフレームでの通信時に同期をとるために利用されている。
【IEEE 802.3】形式では7バイトのプリアンブルと1バイトの【SFD(Start Frame Delimiter)】で構成される。8バイト
宛先MACアドレス→通信する宛先のMACアドレス。6バイト
送信元MACアドレス→通信する送信元のMACアドレス。6バイト
タイプ→上位層(ネットワーク層/インターネット層)のプロトコルを表す値(IPv4:0x0800、IPv6:0x86DDなど)。IEEE 802.3形式の場合、データ長を格納する。2バイト
データ→最小46バイト、最大1500バイトのデータを格納する。パケットが格納されている。
【FCS(Frame Check Sequence)】→受信したデータに誤りがないかどうかをチェックするためのフィールド。エラーチェック用の【CRC値】が入っている。4バイト
【イーサネットヘッダ】→宛先MACアドレス、送信元MACアドレス、タイプが含まれている。
【トレーラ】→FCS
イーサネットフレームの最大サイズは?
プリアンブルを含まないため【1518バイト】
・半二重通信と全二重通信の違い
【半二重通信】→データの送信と受信を同時に行わず、送信側と受信側が交互にデータを送信することで通信を行う方式。リピータハブや同軸ケーブルでの接続。
【全二重通信】→データの送信と受信を送信側と受信側が同時に行うことができる方式。ツイストペアケーブルが利用されてる環境ではほとんどがこの方式。スイッチングハブ、ルータ。
・CSMA/CDとは?
半二重通信のアクセス制御の方式。
【CSMA/CD(Carrier Sense Multiple Access with Collision Detection)】→端末は通信ルート上にデータが流れていないことを確認(【CS:キャリアセンス】)してからデータを送信する。
その後、データの衝突(【コリジョン】)が発生してないかを監視する。発生した場合、それを検知し衝突が起きたことを知らせるための【ジャム信号】を送信する。
回線を共有している(【多重アクセス】)他の端末は、ジャム信号を受け取るとデータの送信を中止し、【バックオフ】というアルゴリズムによってランダムな時間だけ待機してからデータを再送信する。
近年では全二重で通信することが多くなり、リピータハブを使うこともないため、この方式は使われない。
【トークンパッシング方式】→トークンという小さなデータを通信ルート上で巡回させ、端末はこのトークンを取得したときにデータを送信できる。
ネットワークのトポロジがリング型の場合は【トークンリング方式】、バス型の場合は【トークンバス方式】という。
・主要なネットワーク機器
一般的→サーバやPC、LANケーブル、ルータやLANスイッチなど
【リピータハブ】→受信した電気信号を中継するレイヤ1物理層の機器。端末から届いた電気信号を増幅したり、整えたりする機能を持っているが中継するだけで宛先を見て転送先を決定するといった機能は持っていない。
そのため、リピータハブはあるポートから電気信号を受信すると、受信したポート以外のすべてのポートからデータを送信する。関係のないデータは破棄されるが無駄。
また半二重通信しかできないため、送信と受信を同時に出来ない。そのため接続する端末が増えてくると通信効率が悪くなるしコリジョンが発生しやすい。最近は使われな
☆MACアドレステーブルとは?
【MACアドレステーブル】→CiscoではCAMテーブルともいう。最初からMACアドレスとポート情報が登録されているわけではなく最初はどのポートにどの端末が接続されているかわからない。
データを転送しながらMACアドレスを学習していく。
☆スイッチの機能
【フィルタリング】→受け取った電気信号をフレームに変換し、宛先MACアドレスを確認する。そして宛先MACアドレスを基にMACアドレステーブルを検索し、該当するポートにデータを送信する
【フラッディング】→MACアドレステーブルを検索した結果、情報がない時、フレームを受信したポート以外の全ポートから転送する。
LANスイッチでのこの動作以外にも複数のフレームやパケットなどを同時に送信するという意味でもこの用語を使用する。もともとは「洪水」という言葉に由来する。
⭐︎MACアドレスのエージングタイムとは?
一定時間が経過するとMACアドレステーブルから消去されること。デフォルトだと300秒。
☆スイッチとブリッジの違い
【スイッチ】→ネットワークを構成する上で重要な機器。集線装置であり、接続したコンピュータなどの機器同士の相互通信を可能にする。
LAN内で使用されるスイッチを【LANスイッチ】という。LANスイッチにはレイヤ3スイッチ(L3スイッチ)とレイヤ2スイッチ(L2スイッチ)などがある。
目的の場所に対してデータを送信することができ、また同時に複数の端末が複数の端末が通信可能。フィルタリング、MACアドレスの学習、フロー制御によって実現している。
ハードウェア主体の処理、処理速度速い、ポート密度は複数、ポート仕様MDI-X。専用のASISで処理を行うので負担分散。
【ブリッジ】→ソフトウェア主体の処理、処理速度遅い、ポート密度2-16、ポート仕様MDI。全ての処理がCPU任せ。
・その他の機能
コリジョンドメインとは?
【コリジョンドメイン】→コリジョンが起きる範囲のこと。物理層のリピータハブだけは分割されない。
ブロードキャストドメインとは?
【ブロードキャストドメイン】→ブロードキャスト通信が届く範囲。データリンク層のブリッジ、ハブは分割されない。
オートネゴシエーションとは?
【オートネゴシエーション】→接続する相手によって自分の通信速度や通信モード(半自動または全二重)を自動で切り替える機能。
ノード間で【FLP(Fast Link Pulse)】バーストという【パルス信号】を交換し合う。
⭐︎IPアドレス
IPアドレスは32ビットである
単純計算で2^32≒約43億個。
論理アドレスとも言う
ネットワーク層で動作するプロトコル、IP(Internet Protocol)が提供する機能。
アドレッシング→通信する相手を識別するためのアドレスを指定すること。
ルーティング→目的の場所までのルートを選択すること。
IPで扱うデータはIPパケットといい、そこに含まれるIPヘッダには住所であるIPアドレスが格納されている。
送信元から送られたIPパケットは最寄り駅の郵便局(ルータ)に送られる。IPヘッダのサイズは20~60バイトで送信元IPアドレスや宛先IPアドレスの情報を含む。
ルータ→異なるネットワークを接続するネットワーク層の機器。
ルーティング→ルーティングテーブルを参照し宛先までの最適なルートを選んでパケットを転送すること。
・プライベートIPアドレスとグローバルIPアドレスの違い
プライベートIPアドレス→RFC1918で策定された。社内や家庭内で利用される。同一LAN内で重複しなければ自由に割り当てられる。
グローバルIPアドレス→IANAに管理されている。インターネット上で一意とならなければならず、重複が許されない。
⭐︎IPアドレスとサブネットマスクの関係性
IPアドレス→ネットワークを識別するネットワーク部とそのネットワーク上のホスト(PC、ルータなどのネットワーク機器)を識別するホスト部で構成されている。
サブネットマスク→ネットワーク部がどこまでかを示す。
・プレフィックス長(CIDR)とは?
プレフィックス長→IPアドレスのネットワーク部の長さ。
CIDR(Classless Inter-Domain Routing)表記またはプレフィックス長表記→例 192.168.11.1/22の/22の部分。22ビットがネットワーク部、10ビットがホスト部になる。
ネットワークアドレス→IPアドレスとサブネットマスクのAND演算を行った結果取得出来るホスト部が全て0のアドレス。
ブロードキャストアドレス→ホスト部が全て1のアドレス。
実際にPCやネットワーク機器に割り当てられるアドレスの個数は2^(ホスト部のビット数)-2(ネットワークアドレスとブロードキャストアドレス)。
⭐︎クラスA,B,Cの範囲
クラス→昔の仕様。ネットワーク部とホスト部の境界をアドレスの範囲で決める考え方。
クラスA→0.0.0.0~127.255.255.255(IPアドレスの1ビット目が0)ネットワーク部8ビット、ホスト部24ビット。
クラスB→128.0.0.0~191.255.255.255(IPアドレスの最初の2ビット目が10)ネットワーク部16部ビット、ホスト部16ビット。
クラスC→192.0.0.0~239.255.255.255(IPアドレスの最初の3ビットが110)ネットワーク部24ビット、ホスト部8ビット。
クラスフル→クラスにより分類されるアドレス。
クラスレス→任意の場所で区切ったサブネットマスクを使って分類されるアドレス。
・特殊なアドレス
予約済みでホストに割り当てられないもの。また用途が決まっている特殊なアドレス。ネットワークアドレス、ブロードキャストアドレスが該当する。
デフォルトルート→第1オクテットが0。
ローカルループバックアドレス(127.0.0.1~127.255.255.254)→ネットワーク機器自身を示すアドレス。localhostとして参照される。127.0.0.1が使われることが多い。
クラスD→第1オクテットが224~239。IPマルチキャストアドレスとして利用される。
クラスE→第1オクテットが240~255。実験などに利用するために予約されている。
リンクローカルアドレス(169.254.0.0~169.254.255.255)→DHCPを利用する環境でDHCPを機能せずにIPアドレスが割り当てられないときに仮に割り当てられるアドレス。
⭐︎プライベートIPアドレスの範囲
クラスA:10.0.0.0~10.255.255.255
クラスB:172.16.0.0~172.31.255.255
クラスC:192.168.0.0~192.168.255.255
☆サブネット化とは?
サブネット化(サブネッティング)→1つのネットワークを複数の小さなネットワーク(サブネット、サブネットワーク)に分割すること。メリットはセキュリティの向上やブロードキャストの制御、IPアドレスの節約。
サブネット計算の公式
サブネット数=2s乗、ホスト数=2h乗-2
・サーバの基礎
OS(オペレーティングシステム)→Windows、Linux、MAC、UNIX(大企業や研究開発で使用される)
スイッチ→個別に管理、ユーザー情報、リソース情報。ワークグループ小規模向け。
ドメインコントローラ→サーバで集中管理、ユーザ情報、リソース情報。ドメイン大規模向け。ログオン認証。
シンクライアント→PC(クライアント)に記録媒体としてのHDD(ハードディスク)を搭載しないまたは利用させないといった制限をかけたい。(情報漏洩やセキュリティを強化したい)
RASIS→R信頼性A可用性S機密性I保全性S保守性
サーバ→サービスを提供する。ファイルサーバ、DBサーバ、メールサーバ、Webサーバ、プリントサーバ、プロキシサーバ、DNSサーバ
PCとファイルを共有し大事なデータはサーバに置きセキュリティを向上させる。規定文書のひな形を共有。グループウェアで情報共有。RAID(ミラーリング)→ハード故障に対応。ユーザのデータバックアップ。
複合機に接続して課金や統計出力を可能にする。複合機ではコピー、プリンター、FAXの機能がある。
規定文書→注文書、見積書、交通費、勤務表...。
クライアント→サービスを依頼する。
☆ネットワーク層のその他の機能
ICMPの機能(pingコマンド、エラー通知、宛先到達不能など)
【ICMP(Intenet Control Message Protocol)】はネットワーク上での通信状況の確認や通信エラー時のメッセージの送信を主な用途とするプロトコル。
pingコマンドは、エコー要求(Echo Request)、エコー応答(Echo REply)
【pingコマンド】→PCやサーバからルータへの通信が可能かどうかを確認する際によく使われる。
ICMPの【エコー要求(Echo Request)】と【エコー応答(Echo Reply)】を利用して通信の可否を確認する。Cisco機器ではエコー要求を送信して2秒以内にエコー応答を受信すれば通信可能。
ネットワークのルート上で通信エラーや設定の変更など何らかの変化が発生した場合、ICMPで定義されている【エラー通知】を送信する。
たとえば、エコー要求に対し、何らかの理由で宛先まで到達できなかった場合には、エコー応答の代わりにエラーを示す【宛先到達不能】メッセージが返ってくる。
ICMPメッセージ→ICMPヘッダとICMPデータから構成される。
【ICMPヘッダ】→タイプ(1バイト)、コード(1バイト)、チェックサム(2バイト)。
タイプ→ICMPメッセージの種類を表す。エコー要求は8、エコー応答は0、宛先到達不能は3
コード→宛先到達不能メッセージの場合にエラーの種類を示す値が入る。
チェックサム→エラーの有無をチェックするためのフィールド。
ICMPはIP上で動作するためICMPヘッダの前にはIPヘッダが付加される。
・ARPとは?
【ARP(Address Resolution Protocol:アドレス解決プロトコル】→IPアドレスからMACアドレスを調べるためのプロトコル。
【ARPテーブル】→ARPのやり取りによって判明したIPアドレスとMACアドレスの関係情報が登録される。
ARPテーブルに宛先IPアドレスとMACアドレスの関係情報があればそのまま通信し、なければARPのやり取りを行う。
・デフォルトゲートウェイとは?
【デフォルトゲートウェイ】→異なるネットワークの出入り口。パソコンにはこれのIPアドレスがあらかじめ登録されている必要がある。
デフォルトゲートウェイのコマンドや設定するIPアドレス
ルータでのMACアドレス書き換え
→ルータはパケットを転送する際に、MACアドレスの情報を書き換える。
※レイヤ3(IPアドレス)のヘッダは書き換えない。
☆トランスポート層の概要
TCPはコネクション型
【TCP(Transmission Control Protocol)】→接続の確立、送信データの順序確保、フロー制御などを行う。【コネクション型】のプロトコル。
データの送信をする前に相手と通信できるかどうかを確認しコネクション確立してからデータの送信を行う。信頼性を確保するためにTCPヘッダ内に様々な情報を格納する。
上位層から渡されたデータにTCPヘッダを付加しそれを【TCPセグメント】として下位層(ネットワーク層)に渡す。
基本的なTCPヘッダは【20バイト】
【ギャランティ型】→通信サービスの保証を行う形態。
TCPの接続の確立(3ウェイハンドシェイク)
【SYN(Synchronize)フラグ】はTCP接続の開始を要求する際に使用するフラグ。このフラグを付けて送信しTCPでやり取りする端末間で同期をとる。
【ACK(Acknowledgement)フラグ】は相手からの要求を承認して応答することを示す。
【シーケンス番号】は送信データの順序、【ACK番号(確認応答番号)】はどこまで受信したかを通知するための数値。
【MSS(Maximum Segment Size)】→データを送信する場合、TCPセグメントで1回に送信できるデータの上限。
【RTO(Retransmission Time Out:再送タイムアウト)】→確認応答が返ってこない場合の待機時間。データを送信してから応答が返るまでの時間を表す
【RTT(Round Trip Time:ラウンドトリップタイム)】を基に決定する。
TCPは信頼性を高めるためにウインドウ制御やフロー制御を行う
【ウィンドウ制御】→ウィンドウというバッファ領域を用意し、送信データがウィンドウサイズに達するまでは確認応答を待たないでデータをまとめて送ることにすれば
転送の効率は向上する。この制御の仕組み。
【フロー制御】→ウィンドウサイズを一時的に小さい値に設定することでやり取り20バイトするデータ量を制御する仕組み。
UDPはコネクションレス型
【UDP(User Datagram Protocol)】→通信速度を重視し、エラーの検出やデータの再送などは行わない。【コレクションレス型】のプロトコル。
上位層から渡されたデータにUDPヘッダを付加しそれを【UDPデータグラム】として下位層に渡す。ヘッダを除いたデータの部分を【UDPペイロード】とも呼ぶ。
UDPヘッダは【8バイト】
【ベストエフォート】→信頼性の確保は行わない通信。
⭐︎アプリケーション層の概要
ポート番号の種類で0~1023の番号は、ウェルノウンポート
【ポート番号】→アプリケーション層で利用されるプロトコルを識別するための番号。
【ウェルノウンポート(well-known ports)】→一般的によく知られたプロトコルが使用しているポートで0-1023の番号が割り当てられている。
DHCP(Dynamic Host Configuration Protocol) 【67(サーバ用)、68(クライアント用)/UDP】
DNS(Domain Name System) 【53/UDP、TCP】
HTTP(Hyper Text Transfer Protocol) 【80/TCP】
HTTPS(Hyper Text Transfer Protocol Secure) 【443/TCP】
FTP(File Transfer Protocol) 【20(データ転送用)、21(制御用)/TCP】
TFTP(Trivial File Transfer Protocol) 【69/UDP】
SMTP(Simple Mail Transfer Protocol) 【25/TCP】
POP3(Post Office Protocol version3) 【110/TCP】
Telnet(Telecommunication network) 【23/TCP】
SSH(Secure Shell) 【22/TCP】
SNMP(Simple Network Management Protocol) 【161、162/UDP】
NTP(Network Time Protocol) 【123/UDP】
第2章 Ciscoルータの初期設定
・Ciscoルータへのアクセス方法(コンソール、vty)
コンソール接続→CiscoルータのconsoleポータとPCをコンソールケーブル(ロールオーバーケーブル)で接続する方法
ルータ側の接続口とPC側の接続口とPC側の接続口の種類によってさまざまな接続方法が可能になっている。
vty→ルータやスイッチの仮想端末回線。
vty接続とは?
物理的に離れたところからネットワークを通じてTELNETまたはSSHで接続する方法
⭐︎Telnet、sshとは?
Telnet→距離の離れた機器に接続し、リモートからの操作を可能にするプロトコル。
入力した情報が暗号化されずそのままの状態でリモート接続先に送信されるためセキュリティが不安。
SSH→入力した情報を暗号化する遠隔操作のためのプロトコル。
・ターミナルエミュレータとは?
サーバやネットワーク機器をPC上で仮想的に操作できるソフトウェア。端末エミュレータともいう。
代表的なもの→Tera TermやPuTTYなどがある。
Cisco IOS→コマンドラインで操作するCLI(Command Line Interface)のOS
Cisco IOSの各モードに移るコマンド
ユーザEXECモード >
↓enable ↑disable
特権EXECモード #
↓configure terminal ↑exitまたはend ↑↑(ログアウト)exitまたはlogout
グローバルコンフィギュレーションモード (config)#
↑exit ↑↑end
各種コンフィギュレーションモード
・設定ファイルと保存場所
startup-config→起動時に読み込まれるファイル。保存場所はNVRAM。
ルータが再起動しても消えることがない設定ファイル。手動で保存する必要がある。
running-config→現在の設定内容が書き込まれているファイル。保存場所はRAM。
ルータが再起動すると消えてしまう設定ファイル。リアルタイムに更新される。
・ルータのメモリの種類、保存される内容
RAM→running-configなど。読み書きが可能で、電源をオフにすると内容が消える。
NVRAM→startup-config、コンフィギュレーションレジスタ。読み書きが可能で、電源をオフにしても内容は消えない。
ROM→Mini IOS、POST、Bootstrap、ROMモニタ。読み込み専用で、電源をオフにしても内容は消えない。
フラッシュメモリ→IOS。読み書きが可能で、電源をオフにすると内容が消えない。
・設定ファイルの確認および保存方法
show running-config
show startup-config
保存→ copy running-config startup-config (フルスペルで書けること)
ルータを初期化する手順
NVRAM上のstartup-configを消去する
erase startup-config
再起動する
reload
エラーメッセージ→モードの間違いやスペルの間違い
% invalid input detected at '^' marker. 間違えてる箇所に^がつく。
コマンドが不完全
% Incomplete command.
文字が短すぎる
% Ambiguous command: "<曖昧なコマンド>"
ホスト名の設定 (config)#hostname <ホスト名>
63文字以下にする。英語で始まり、英語または数字で終わる。先頭と最後の文字の間には英語、数字、ハイフンのみ使用可能である。
・設定するパスワード(コンソール、イネーブル、vty)
コンソールパスワード→コンソール接続でログインするときに入力する
ラインコンフィギュレーションモードに移行
(config)#line console
パスワードを設定する
(config-line)#password <パスワード>
認証を有効化する
(config-line)#login
イネーブルパスワードの設定 ユーザモードから特権モードに移行する際に入力する
(config)#enable password <パスワード>
VTYパスワードの設定 TelnetやSSHでリモート接続(VTY接続)する際に入力する
(config)#line vty 0 4
(config-line)#password <パスワード>
(config-line)#login
イネーブルパスワードの暗号化
enable secret <パスワード>
パスワード全般の暗号化→フルスペルで書けること。
service password-encryption
自動ログアウト機能(デフォルトは10分)
(config-line)#exec-timeout <分> [<秒>]省略すると0が自動的に指定。
<分>に0を指定すると自動ログアウトが無効になるがセキュリティの強度を下げるだけなので注意
☆SSHの設定
準備:IPアドレスとイネーブルパスワードの設定
①ホスト名を設定する
デフォルトホスト名であるRouterでは③で行うRSA暗号鍵を生成することはできないのであらかじめ変更しておく必要がある。
②ドメイン名を設定する
通常、「〇〇.jp」などのように所属している組織のドメインを指定する。ホスト名とドメイン名は、暗号鍵の生成に必要
(config)#ip domain-name <ドメイン名>
③RSA暗号鍵を生成する
公開鍵暗号方式の一つであるRSAで使用される鍵のこと。
(config)#crypto key generate rsa
④ユーザアカウントを作成する
SSH接続でログインする際に必要になる。
(config-line)#username <ユーザー名> [privilege <特権レベル>] password <パスワード>
⑤ローカル認証を設定する
VTYパスワードを用いた方法ではログインすることができないためローカル認証を用いる必要がある。
(config-line)#login local
⑥SSHの接続許可を設定する
(config-line)#transport input <telnet/ssh/all/none>
☆IPアドレスの設定および確認
設定対象のインターフェイス(差込口)のインターフェイスコンフィギュレーションモードに移行する interface <タイプ><ポート番号(スロット番号/インターフェイス番号)>
IPアドレスを設定する ip address <IPアドレス> <サブネットマスク>
インターフェイスを有効化する no shutdown
IPアドレスの確認
show running-config
第3章 ルータの機能とルーティング
・スイッチとルータの違い
スイッチ→受信したフレームの転送先をMACアドレスによって選択する。
ルータ→ネットワーク層の情報を基にIP
によってパケットを転送する。
⭐︎ルーティングテーブルとは?
ルータがパケットの転送先を判断するために参照するテーブル。
ネクストホップ→宛先に向かうために経由する隣接している次のルータ。
☆ルータの基本設定
IPアドレスの設定
シリアルインターフェイスの設定
シリアルインターフェイス→WANで使用するインターフェイス
DCE→家庭内に設置される通信事業者のネットワークに接続するための機器。モデムなど。
DTE→実際に利用者のデータを送信する機器。ルータやパソコンなど。
コネクタの確認
show controllers serial <番号>
DCEのコネクタが接続されているルータの場合クロックレートの設定
clock rate <クロックレート値>
インターフェイスの通信モードと通信速度の設定
duplex <auto/full/half>
speed <10/100/1000/auto>
インターフェイスのIPに関する情報の確認 showコマンド
show interfaces
show ip interface brief
☆接続性の確認
標準pingと拡張pingの違い
標準→ping <IPアドレス/ホスト名>
拡張→ping、ICMPエコー要求の回数や1回で送信するデータサイズ、タイムアウトの秒数などを指定できる。
tracerouteコマンドとは?
宛先までどういう経路でたどり着いたのかを確認できるコマンド、TTLとUDPを使用する
①windows→tracertコマンド
②Cisco ios→tracerouteコマンド
traceroute <IPアドレス/ホスト名>
☆ルーティングの際の動作
ルーティングテーブルの確認方法
show ip route
「C」は直接つながったネットワークであることを表している
最後のインターフェイス番号は、出力のインターフェイスを表している
ローカルルート(ホストルート)→ルータのインターフェイスに設定されているIPアドレス。ルーティングテーブル上には「L」が表示される。
ルーティングの処理
ルータはパケットを受け取ると宛先IPアドレスを確認し、ルーティングテーブルを検索
①該当するルートがあった場合→そのルートを使用してルーティング
②該当するルートがなかった場合→パケットを破棄し、送信元へ宛先到達不能メッセージを送り返す
(③デフォルトルートがあった場合)
(④該当するルートが複数存在した場合)
ロンゲストマッチ→ルーティングの際、該当するルートが複数存在した場合、ネットワークアドレスのビットに最も長く一致しているルートに転送する
・デフォルトルートとは?
宛先がわからないパケットをある特定のルートに送信するようにルーティングテーブルを設定。
デフォルトルートを設定することで、登録しなければならないルートの数が減る。→ルータのCPUの負荷を減らせる
デフォルトルートが設定されていると、ルーティングテーブルに該当しないパケットはすべてデフォルトルートに転送
デフォルトルート=最終手段=ラストリゾートゲートウェイ
※インターネット接続でよく利用される。
・スタティックルートとは?
ルートを「手動」で登録
人に負荷がかかる
ルータやリンクには負荷がかからない
スタティックルートのコマンド
ip route <宛先ネットワーク> <サブネットマスク> <ネクストホップ> [<アドミニストレーティブディスタンス値(AD)>]
デフォルトルートのコマンド
ip route 0.0.0.0 0.0.0.0 ネクストホップ
ルーティングテーブルの読み方(ADやコストがどこに表示されているか)
<コード> <IPアドレス>/<プレフィックス長> [<AD>/<コスト>] via <ネクストホップ>
・ダイナミックルーティングとは?
自動でルーティングテーブルを作成
人にとって負荷がかからない(楽)
ルータやリンクに負荷がかかる
ルータ同士がルーティングテーブルの作成に必要な情報を自動でやり取り
障害が発生した際に迂回ルートがあれば自動で切り替え可能
管理者の手間を軽減
☆ルーティングプロトコルの分類
①IGP=(Interior Gateway Protocol)
AS(拠点)内で使用されるルーティングプロトコル
RIP(ポンコツ)
OSPF(圧倒的シェア率)
EIGRP(高性能、シスコしか使えない)
IS-IS
②EGP=(Exterior Gateway Protocol)
AS(拠点)間で使用されるルーティングプロトコル
BGP→インターネットにおいてISP間の相互接続時に経路情報をやり取りするために使われるEGPルーティングプロトコル。現在はBGP4が使用されている。
・メトリックとは?
宛先ネットワークまでの距離を表すもの
各ルーティングプロトコルにおける最適ルートの判断基準、最もメトリックの値が小さいルートが優先
・各ルーティングプロトコルのメトリック
RIP:ホップ数
OSPF:コスト(帯域幅:通信速度から計算)
EIGRP:帯域幅・遅延、オプションで信頼性・負荷・MTUを追加可能
※ルータ同士で交換しているルート情報=ルーティングアップデート
※ルートの情報を隣接ルータに通知すること=アドバタイズ
・ルーティングアルゴリズム
①ディスタンスベクタ型
距離と方向に基づいて最適ルートを計算する型=RIP
ベルマンフォード(法)アルゴリズム、交換する情報はルーティングテーブル
コンバージェンスは遅く負荷が小さい
②リンクステート型
リンクのステート(帯域幅:通信速度)をもとに最適ルートを計算する型=OSPF
SPFアルゴリズム(ダイクストラアルゴリズム、交換する情報はリンクステート
コンバージェンスは速く負荷が大きい
③拡張ディスタンスベクタ型(ハイブリッド型)
ディスタンスベクタ(IGRP)を拡張(Enhanced)した型=EIGRP
DUAL(アルゴリズム、交換する情報はルーティングテーブルの一部
コンバージェンスは速くリンクステートよりは負荷が小さい
⭐︎アドミニストレーティブディスタンスとは?
ルーティングプロトコルの優先度。小さいほど優先度が高い。
デフォルトのアドミニストレーティブディスタンス値→1
直結ルート(C):0
スタティックルート(S):1
EIGRP(D):90
OSPF(O):110
RIP(R):120
・フローティングスタティックルートとは?
バックアップ用のスタティックルート
アドミニストレーティブディスタンスの値を変更してスタティックルートの設定を行う
IPv4アドレスの経路集約→経路集約をすると、トポロジに変更があってもその影響を少なくすることができる
第4章 OSPF
☆OSPFの特徴
今最も利用されているルーティングプロトコル
RFC(Request for Comments)で標準仕様が規定されている。
マルチベンダ対応のプロトコル
シスコ以外のルータでも使用可能
リンクステート型のプロトコル
OSPFは【LSA】という情報(リンクステート)を互いに交換し、隣から受け取ったLSAを【LSDB】に保存
LSDBに集められたLSAの情報をもとに、【SPFアルゴリズム】を使用して最適ルートを計算→最適ルートを【ルーティングテーブル】に登録
ルーティングプロトコルのトラフィック量を軽減
サイズの小さい【Helloパケット】を送信しあい、ルータ同士で生存確認を行う。
Helloパケットは容量が小さいため、RIPに比べてトラフィック量を軽減
コンバージェンスが速い
コンバージェンス→処理の収束(障害の復旧)
ネットワークに変更(障害)があった場合、すぐにその内容を隣接ルータへ送信。
VLSMに対応している→可変長サブネットマスクを利用し異なるサブネットマスクのネットワークが存在している環境でも問題なく対応。
OSPFのデメリット→ルータのメモリやCPUへの負荷が大きい。
☆OSPFの動作
①Helloパケットを交換し、ネイバー関係を確立。→ネイバーの情報を【ネイバーテーブル】に登録
全OSPFルータ宛を意味するマルチキャストアドレスの224.0.0.5宛に送信する。
②ネイバー同士でLSA(リンクステート)を交換→隣から受け取ったLSAを【LSDB(トポロジテーブル)】に保存
③LSDBの内容をもとにSPF(ダイクストラ)アルゴリズムを使用し、最適ルートを計算→最適ルートを【ルーティングテーブル】に登録
OSPFのパケット
Helloパケット=ネイバーの発見と生存確認
バックボーンエリア(エリア0)とは?
※バックボーンエリアのみ使用している場合、エリアIDが異なってはならない。
OSPFは【エリア】という概念を使用することで、大規模なネットワークに対応可能
エリア分割の際は中心となるエリア【バックボーンエリア】を中心に分割
・OSPFのメトリック
コストである
通信速度(帯域幅)をもとに計算
コスト=10*8÷帯域幅(bps)
※通信速度が速ければ速いほどコストは小さくなる
合計が最小値になるルートが最適ルート
ネイバーテーブルにネイバーを登録するには、
・隣接ルータと一致させる情報
Hello/Deadインターバル
※Helloインターバル=Helloパケットを送信する間隔
※Deadインターバル=Helloパケットを受信しなくなり、隣接ルータがダウンしたとみなすまでの時間
デフォルトではHello/Dead=10/40
スタブフラグ→そのエリアでスタブエリア(エリア内に流れているLSAを集約しているエリア)等の設定がされているかどうかを表す。
サブネットマスク
認証の情報
エリアID(通常はエリア0)を使用
・OSPFの状態遷移
Downステート→Helloパケットを受け取る初期状態
Initステート→ネイバーからHelloパケットを受け取ったが、相手はまだこちらを認識していない状態
2-Wayステート→ルータが相互に認識している状態
Exstartステート→DBDパケットを交換するためのマスターとスレーブを選択している状態
Exchangeステート→DBDパケットを交換してお互いのLSDBを同期させている状態
Loadingステート→LSRパケットを送信して最新のLSAをLSUパケットとして取得している状態
Fullステート→完全な隣接関係を築いた状態
・OSPFで使用するテーブル
①ネイバーテーブル=ネイバーの情報を登録するテーブル
②トポロジテーブル(LSDB)=隣から受け取ったLSAを登録するテーブル
③ルーティングテーブル=最適ルートを登録するテーブル
☆マルチアクセスの場合の動作
DR/BDR/DROtherとは?
DRとBDRを選択し、完全な隣接関係をDRおよびBDRとの間のみに限定することで、LSUパケットなどのトラフィックを軽減する。
DR=代表ルータ、全ルータと完全な隣接関係を築いてそれぞれのルータのLSAを収集し集めた情報を全ルータへと送信
BDR=バックアップ代表ルータ、DRがダウンした際の予備
DROther=その他のルータ
・DR/BDRの選択基準
①ルータプライオリティを比較(大きいほうが優先)
②ルータIDを比較(大きいほうが優先)
①ルータプライオリティはデフォルト「1」(0~255で変更可能)
0に設定すると、絶対にDRおよびBDRに選出されなくなる
②ルータIDを決定する順序
1.コマンドによる手動設定
2.ルータの有効なループバックインターフェイスのIPアドレスの中で最大のアドレス
3.ルータの有効な物理インターフェイスのIPアドレスの中で最大のアドレス
※ループバックインターフェイス=仮想的なインターフェイス。実験や検証目的で使用される。
☆ルートの選択
メトリックの計算
コスト値を使用する。コストは、10^8÷帯域幅(bps)で求められる。ファストイーサネットおよびギガビットイーサネットのインターフェイスでは、コストは1になる。
等コストロードバランシング→最適ルートが複数存在する場合、デフォルトで4つまでルーティングテーブルに登録し、トラフィックを分散可能
☆OSPFでの考慮事項
パッシブインターフェイス→OSPFを有効にしつつもHelloパケットを送信しないようにすることができる。PCを接続している側のインターフェイスからHelloパケットを送信する意味はない。
MTUのサイズ→一回の通信で送信することができるパケットの最大サイズの事。対向のルータと合わせる必要がある。
ネットワークの階層化→複数のエリアを作成して、個々のルータのLSAをエリア内にのみ保存し、エリア間ではルート情報をLSAをやり取りすることで、トラフィック量を減らしメモリやCPUへの負荷を軽減します。複数のエリアを作成することをマルチエリアOSPFという。
エリアを作成する際の注意点→バックボーンエリアを作成する
他のエリアをバックボーンエリアに接するように作成する
ルータをエリアの境界に配置する
☆OSPFの設定
ワイルドカードマスクとは?
IPアドレスの範囲を指定するために使用
ワイルドカードマスクの求め方
0.0.0.0 【255.255.255.255】
(サブネットマスクの逆)
192.168.1.0 0.0.0.255
固定させたい箇所を【0】で指定、固定させない箇所【1】で指定
192.168.1.0/24
192.168.1.0~192.168.1.255
00000000.00000000.00000000.11111111→0.0.0.255
・OSPFの設定コマンド
(networkコマンドやip ospf areaコマンドの使い方)
①OSPFの有効化(router ospfコマンド)
router ospf <プロセスID> 1~65535
②インターフェイスの有効化(networkコマンド)
(router)network <ipアドレス> <ワイルドカードマスク> area <エリアID>
(if)ip ospf <ipアドレス> area <エリアID>
③パッシブインターフェイスの設定
passive-interface <インターフェイス>
パッシブインターフェイス
OSPFは有効にしつつもHelloパケットを送信しないようにする機能
パッシブインターフェイスの設定をしたインターフェイスでは、Helloパケットの送受信をしなくなる
・ルータIDの指定方法
優先順位
①手動設定 router-id <ルータID>
②ループバックインターフェイス interface Loopback <番号>
③物理インターフェイス
☆OSPFの設定の確認
ネイバーの確認方法
show ip ospf neighbor
LSDBの要約情報を確認
show ip ospf database
プロトコルの確認
show ip protocols
インターフェイスの確認
show ip ospf interfce <インターフェイス>
・OSPF関連のパラメータの調整
ルータプライオリティの変更
ip ospf priority <ルータプライオリティ値>
コストの変更
ip ospf cost <コスト値>
帯域幅の変更
bandwidth <帯域幅>
Helloインターバルの変更
ip ospf dead-interval <秒数>
MTUのミスマッチ検出機能の無効化
ip ospf mtu-ignore
デフォルトルートの配布
default-information oreginate[always]
ルーティングテーブル→コードは「O」
[110/2]の110=アドミニストレーティブディスタンス、2=コスト(メトリック)
viaに続くアドレス=ネクストホップアドレス
第5章 ACL
⭐︎ACLとは?
通過するパケットをチェックし、許可された通信だけを転送するよう通信の制御ができる機能
パケットフィルタリング=送られてきた通信を許可する通信と拒否する通信により分けること
ルータはACLの内容に基づいてフィルタリングする
・ACLの種類(標準ACLと拡張ACLの違い)
標準ACLと拡張ACLの番号の範囲
標準ACLと拡張ACLのチェックされる条件
①標準ACL
送信元IPアドレスのみチェック
使用できる番号:1~99、1300~1999
単純なフィルタリング
②拡張ACL
送信元IPアドレスだけでなく、宛先IPアドレス・プロトコル・ポート番号がチェック可能
使用できる番号:100~199、2000~2699
柔軟なフィルタリングが可能
・ACLのルール
上から順番にチェックされる
条件にマッチしたら以降のACLはチェックしない
ACLの書く順番を間違えると想定外の動きをする
最終行には暗黙ですべて拒否という行が存在する→暗黙のdeny
ACLにpermit(許可)が1行もないと、すべて拒否される
許可したい通信は明示的に許可の設定が必要
1つのIPアドレスのみを条件とするワイルドカードマスク→
①192.168.1.12 0.0.0.0
②host 192.168.1.12
上記の様に2種類あることを覚える
上記の様にワイルドカードマスクを0.0.0.0を指定した場合は
指定したIPアドレスのみが条件となる。
すべてのIPアドレスを条件とするワイルドカードマスク
①0.0.0.0 255.255.255.255
②any
上記の様に2種類あることを覚える
上記の場合、すべてのIPアドレスが条件となる
ACLの適用
・インバウンドACLとアウトバンドACLの違い
①インバウンド
パケット受信時にフィルタリング
(フィルタリング→ルーティング)
②アウトバウンド
パケット発信時にフィルタリング
(ルーティング→フィルタリング)
※適用する際はパケットの流れ(フロー)に注意して適用
間違えると正しく動作しないことがある。
※ルータ自身が送信する通信はチェックの対象外
☆標準ACLの設定と確認
番号付き標準ACLの設定コマンド
標準ACLの作成(グローバルコンフィギュレーション)
access-list 番号 {permit/deny} 送信元IPアドレス ワイルドカードマスク
作成例
access-list 10 deny 192.168.10.0 0.0.0.255
access-list 10 permit any
インターフェイスに適用するコマンド
※標準ACLは、宛先に近いインターフェイスに適用する
ip access-group 番号 {in/out}
ACLの最後には暗黙のdenyが入るため、ACLにpermitがないと残りすべて拒否される。
つまりどのネットワークからも通信できなくなる(すべて拒否される)
標準ACLの確認方法
show access-lists
・ACLを適用したインターフェイスの確認方法
show interface
running-configからのACLの確認
show run
VTYアクセス制御とは?
その端末へのVTYアクセス(telnet/ssh)のみを制御する機能
VTYアクセス制御の設定コマンド
access-class 番号 <in/out>
☆拡張ACLの設定コマンド
拡張ACLの作成
access-list 番号 {permit/deny}プロトコル 送信元IPアドレス ワイルドカードマスク [送信元ポート番号] 宛先IPアドレス ワイルドカードマスク [宛先ポート番号]
プロトコルはip、tcp、udp、icmp
拡張ACLは、送信元に近いインターフェイスに適用する(P274)
ip access-group 番号 {in/out}
・拡張ACLの確認方法
show access-lists
show interface
show run
ACLリストの削除
no access-list
第6章 NAT・DHCP・DNS
・NATとは?
NAT=Network Address Translation
NATとはプライベートIPアドレスをグローバルIPアドレスに変換する技術
LAN内のホスト(プライベートIPアドレス)がインターネット通信するために使用
NATで使用される用語→内部ローカルアドレス、内部グローバルアドレス、外部ローカルアドレス、外部グローバルアドレス
NATテーブル=NAT変換を記録するテーブル
※一定時間経過すると内容は削除される(自動の場合)
内部ローカルアドレスと内部グローバルアドレスの違い
①内部ローカルアドレス=LAN内のネットワークに割り当てられているIPアドレス(NATによって変換される前のプライベートIPアドレス)
②内部グローバルアドレス=NATによって変換された後のグローバルIPアドレス
☆NATの種類
スタティックNATとは?
1対1のアドレス変換
使われない(アドレスの節約ができないため)
外部からの変換を受け付ける際に使用
ダイナミックNATとは?
多対多のアドレス変換
使われない(アドレスの節約ができないため)
アドレスプールの中にグローバルアドレスを用意しておく
NAPT(PAT)とは?
=NATオーバーロード
1対多のアドレス変換(最もよく利用される)
TCP/UDPのポート番号も変換
☆NATの設定
スタティックNATの設定コマンドと確認
①ルータのインターフェイスにインサイド・アウトサイドの指定をする
(config-if)#ip nat<inside/outside>
②内部ローカルアドレスと内部グローバルアドレスを手動で紐づける
(config-if)#ip nat inside source static<内部ローカルアドレス><内部グローバルアドレス>
確認→show ip nat translaitons
ダイナミックNATの設定コマンド
①ルータのインターフェイスにインサイド・アウトサイドの指定をする
(config-if)#ip nat <inside/outside>
②変換の対象となる内部ローカルアドレスのリストを作成する
(config)#access-list <ACL> permit <IPアドレス> <ワイルドカードマスク>
③アドレスプールを作成し、グローバルアドレスを用意する
(config)#ip nat pool <プール名> <開始アドレス> <終了アドレス> netmask <サブネットマスク>
④内部ローカルアドレスのリストとアドレスプールを紐づける
(config)#ip nat inside source list <ACL> pool <プール名>
NAPT(PAT)の設定コマンド
①ルータのインターフェイスにインサイド・アウトサイドの指定をする
②変換の対象となる内部ローカルアドレスのリストを作成する
③アドレスプールを作成し、グローバルアドレスを用意する(なくても問題ない)
④内部ローカルアドレスのリストとアドレスプールまたは外部インターフェイスを紐づける
(config)#ip nat inside source list <ACL> interface FastEthernet0/1 overload
④でoverloadというキーワードをつければNAPTの設定になる。なければダイナミックNATの設定
→overload(フルスペルで書けること)
NAT、ダイナミックNAT、PATの違いが理解できていること。
NATテーブルの確認コマンド
show ip nat translaitons
NATのアドレス変換の統計情報の確認
show ip nat statistics
NATの変換情報のリアルタイム確認
#debug ip nat
NATテーブルの削除
#clear ip nat translation
・DHCPについて
DHCP=IPアドレスやサブネットマスクなどの情報を自動的に設定するプロトコル
Gratuitous ARP
DHCPサーバからDHCPクライアントにIPアドレスが割り当てられる際にDHCPクライアントが他のホストへすでに同じIPアドレスが割り当てられているかどうかを確認するために使用。
主な目的は、クライアントのIPアドレスの重複(コンフリクト)の検出
☆DHCPの設定
DHCPサーバ
①アドレスプールの作成
(config)#ip dhcp pool <プール名>
②配布するIPアドレスのネットワークとサブネットマスクを指定
(dhcp-config)#network<ネットワーク><サブネットマスク/プレフィックス>
③デフォルトゲートウェイの指定
default-router <IPアドレス>
リース期間の指定
lease <日にち><時間><分> 設定を省略したらデフォルトの1日
DNSサーバの指定
dns-server <DNSサーバーのIPアドレス>[<DNSサーバのIPアドレス>]
除外アドレスの指定
(config)# ip dhcp excluded-address <開始アドレス> <終了アドレス>
DHCPクライアント
①クライアントの設定
(config-if)#ip address dhcp
・DHCPの確認
アドレスプールの確認 show ip dhcp pool
IPアドレスの割り当て状況の確認 show ip dhcp binding
コンフリクトの発生したIPアドレスの確認 show ip dhcp conflict (情報消去 clear ip dhcp conflict)
コンフリクト検出の為にpingやGratuitous ARPを使用する。
DHCPクライアントの確認
show running-configではどういったIPアドレスが振り当てられたか確認できない。
show ip interface brief
show interfaces
show dhcp lease
☆DHCPリレーエージェントの機能
DHCPリレーエージェントの設定を行うと、クライアントからのブロードキャストメッセージをDHCPサーバへ転送可能
(ip helper-addressコマンドを使用)
ip helper-address <DHCPサーバのIPアドレス>
・DNS
ドメイン名とIPアドレスの対応情報を管理するプロトコル。
権威DNSサーバ→ドメイン名とIPアドレスが対応づけられたゾーン情報を保持して、他のDNSサーバに 問い合わせることなく応答を返せるDNSサーバのこと。自身が管理するゾーン情報と委任先の権威サーバに関する情報を保持し、名前解決の問い合わせには自身が管理する情報のみ応答する。
キャッシュDNSサーバ→LAN内のWebクライアントから問い合わせを受け、代わりにインターネットへ問い合わせるDNSサーバのこと。Webクライアントからドメイン名に対する名前解決の問い合わせを受け付けて、該当するドメイン名を管理する権威DNSサーバに問い合わせをしていく。そして、そのドメイン名に対応するIPアドレス情報をクライアントへ応答して、問い合わせた結果はキャッシュする。
第7章 VLAN
☆VLANの基本
VLANとはスイッチの内部でネットワークを仮想的に分ける技術
(VLAN = ブロードキャストドメイン = サブネット(論理ネットワーク))
VLANを使えば、1台の物理的なスイッチ上で仮想的に複数のネットワークを分けることができる
端末の物理的な配置に依存しないネットワークを構成できる
ブロードキャストドメインを分割できる
複数のネットワークを分けることができるということはセキュリティ対策になる。
☆VLANのポート
アクセスポート・・・1つのVLANに属しているポート、PCやサーバがつながったポート
アクセスポートに設定する方法
手動で行う(ポートベースVKANまたはスタティックVLAN)
自動で行うダイナミックVLAN
トランクポート・・・複数のVLANに属しているポート、スイッチやルータがつながったポート
トランクポートに設定すると、1つのリンクを複数のVLANの通信ができるようになる。(スイッチ間は通常トランクポートにする)
☆トランキングプロトコル(ISL / IEEE802.1q)
トランクリンクにおけるVLANの識別をするためのプロトコル
ISL(シスコ独自)は、タグを挿入せずイーサネットフレームの前にヘッダを付加し新たにFCSを再計算して末尾に付加する。
ISLの最大フレームサイズ:1548バイト
IEEE802.1q(標準化されたプロトコル)は、VLANタグを挿入するため、タギングプロトコルとも言う
IEEE802.1qの最大フレームサイズ:1522バイト
ネイティブVLAN(タグなしVLAN)→あえてタグをつけずに送信することで、VLANの識別を行う技術。
デフォルトでは「VLAN1」がネイティブVLAN
ネイティブVLANの番号は、必ずお互いのスイッチ同士で合わせておく必要がある
ベビージャイアントフレーム→通常のイーサネットフレームよりも少し大きなフレーム。ISL/IEEE802.1Qフレーム。1518~1600バイト。
☆DTP:Dynamic Trunking Protocol
シスコ独自
お互いのポート同士でネゴシエーションをして、トランクorアクセスを調整してくれる
DTPのモード
①dynamic desirable:積極的なモード
②dynamic auto:消極的なモード
☆VTPについて
VLAN Trunking Protocol(シスコ独自)トランクリンクを通じて、VLAN情報を同期してくれるプロトコル
リビジョン番号を基にVLAN情報のデータベースが最新かどうかを判断し、最大のリビジョン番号を持つデータベースを最新とみなして同期する。
VTPのモード
①サーバモード(デフォルト):VLANの作成・変更・削除可能。自身の情報を他のスイッチにアドバタイズ
②クライアントモード:VLANの作成・変更・削除不可。サーバのVLAN情報を同期し、情報を他のスイッチに転送。
③トランスペアレントモード:VLANの作成・変更・削除可能。自身の情報を他のスイッチにアドバタイズしない。サーバから送られてきた情報は他のスイッチに転送
ポートのネゴシエーションをする動作モード
dynamic desirable、dynamic auto
※スイッチのデフォルトのモードは製品により異なる
ポートの動作モード組み合わせ
trunk-access ミスマッチ
trunk/dynamic desirable-access以外 トランク
access-trunk以外、dynamic auto-dynamic auto アクセス
VLAN間ルーティング=異なるVLAN間での通信を可能にすること
VLAN間ルーティングをするためにはルータorレイヤ3スイッチが必要
ルータを使用したVLAN間ルーティングの構成=ルータオンアスティック(Router on a Stick)
物理インターフェイスに直接IPは振らずに、VLANごとのサブインターフェイスを作成し、サブインターフェイスにVLANごとのIPアドレスを割り当て。
サブインターフェイス:VLAN用のインターフェイス
レイヤ3スイッチを使用したVLAN間ルーティング
①SVI:レイヤ3スイッチで使用するVLAN用の仮想的なインターフェイス
②ルーテッドポート:レイヤ3スイッチで使用する外部接続用のポート。(物理ポートをルータのポートのように設定が可能になり、直接IPを設定できるようになる)
③スイッチポート:レイヤスイッチ2の役割となる。VLANごとに分割された内部のスイッチと接続する。
☆スイッチで行う設定
①VLANの作成
1~4094が使用可能。1~1005までは標準範囲、1006~4094までは拡張範囲。標準範囲の1、1002~1005は最初から作成されている。
標準範囲のVLANは作成するとVLANデータベース(フラッシュメモリ内のvlan.datファイル)に情報が保存される。拡張範囲のVLANはrunning-configに保存される。
全てのポートは初期状態でVLAN1に所属している。
VLANデータベースコンフィギュレーションモードでのVLAN作成
#vlan database
(vlan)#vlan <vlan番号> [name <vlan名>]
(vlan)#apply or exit
・グローバルコンフィギュレーションモードでの作成
vlan <VLAN番号>
name <VLAN名>
ex
VLANの削除
no vlan <VLAN番号>
②アクセスポートの設定(VLANの割り当て)
インターフェイスコンフィギュレーションモードに移行する→モードをアクセスに設定する switchport mode access→VLANを指定する switchport access vlan <VLAN番号>
③トランクポートの設定
インターフェイスコンフィギュレーションモードに移行する→トランキングプロトコルの種類を設定する
switchport trunk encapsulation <dot1q/isl>
モードをトランクに設定する switchport mode trunk→ネイティブVLANを変更する(任意) switchport trunk native vlan <VLAN番号>→許可するVLANを変更する(任意) switchport trunk allowed vlan <VLAN番号>
DTPによるポートのネゴシエーション設定
決定 switchport mode dynamic <auto/desirable>
停止 switchport nonegotiate
音声VLANの設定
switchport voice vlan <VLAN番号>
スイッチの初期化手順
①NVRAM上のstartup-configを消去する
②フラッシュメモリ上のvlan.datを消去する delete <ファイル名>
③再起動する
確認コマンド
show vlan [brief](VLANの確認) 特定のVLAN表示→show vlan id <vlan番号>
・show int [<インターフェイス>] trunk (トランクポートの確認)
show int [<インターフェイス>] switchport (スイッチポートの確認)
show int status (インターフェイスの状態を確認)
show mac-address-table(MACアドレステーブルの確認)
VTPドメインの設定
vtp domain <ドメイン名>
VTPモードの設定
vtp mode <server/client/transparent>
ルータで行う設定
①サブインターフェイスを作成
int <インターフェイス>.<論理番号>
②サブインターフェイスにトランクプロトコルを指定
encapsulation <dot1q/isl> <VLAN番号> [native]
③サブインターフェイスにIPアドレスの設定
→VLANの数に応じて設定
④物理インターフェイスの有効化
no shut
レイヤ3スイッチでの設定コマンド SVI作成
int vlan <VLAN番号>
ルーティングの有効化
ip routing
ルーテッドポートの設定
有効→np switchport
PCの設定
①IPアドレスの設定
②デフォルトゲートウェイの設定(各サブインターフェイスのIPアドレス)
第8章 STP
・STPとは?
スパニングツリープロトコル。ブロードキャストストームが起きないように対策する。
☆STPが機能するために必要な動作の順序
①ルートブリッジ(中心となるスイッチ)の決定②ルートポートの決定③指定ポートの決定④非指定ポート(ブロッキングポート)の決定
【ブロードキャストストーム】(レイヤ2ループ)→スイッチでの冗長化構成においてフレームが回り続ける現象。
【冗長化】→障害に備えて予備のリソースを用意しておくこと。
IEEE802.1d(STP)→冗長化構成においてすべてのポートを使用するのではなく一部のポートの通信を行わない状態にする。
ネットワークを【ツリー構造】として考えるとループが発生しないため物理的にはつながっていても論理的にツリー構造になるようにブロックするポートを決定します。
・ルートブリッジ、RP、DP、NDPの役割の選出方法
【ルートブリッジ】→ツリー構造の起点となる中心でブリッジIDが最も小さいスイッチ。
【ブリッジID】→前半ブリッジプライオリティ(ブリッジプライオリティ値はデフォルトで32768、0または4096の倍数)と後半MACアドレスから構成される。
.
【BPDU】→スイッチ間でルートブリッジなどを決定するための管理用のフレーム
【ルートポート:RP】→各スイッチのポートのうちルートブリッジまでの最短までのパスコストを持つポート。
パスコストの値はショート法とロング法の2通りの値が定められている。デフォルトではショート法。
パスコストのデフォルト値→10Mbps:100、100M:19、1G(1000M):4
ファストイーサネットは100mbpsであるためパスコストは19
選出基準①累計のルートパスコストが最も小さいポート②送信元ブリッジIDが最も小さいBPDUを受け取ったポート。③送信元ポートIDが最も小さいBPDUを受け取ったポート。
【指定ポート:DP】→スイッチ間のセグメント(区切られている範囲)で最も上位のBPDUを送信するポート。各リンクごとに一つずつ選出、各リンクにおいてルートブリッジに最も近いポート。
選手基準①ルートパスコストが最も小さいBPDUを送信するポート②送信元ブリッジIDが最も小さいBPDUを送信するポート③送信元ポートIDが最も小さいBPDUを送信するポート。
☆指定ポートを選出する際は、ポートではなくスイッチ単位で注目
【非指定ポート:NDP】→ブロックするポート(ブロッキングポート)RPとDPに指定されなかったポート。※BPDUの受信はするが、その他フレームの送受信は行わない。
非指定ポートがあることによってレイヤ2のループが防がれる。
☆ポートの状態
⓪(ディセーブル)
①ブロッキング
↓ 最大エイジタイマー 20秒
②リスニング
↓ 転送遅延タイマー 15秒
③ラーニング(MACアドレスの学習)
↓ 転送遅延タイマー 15秒
④フォワーディング(MACアドレスの学習+フレームの転送可能)
コンバージェンス=役割が決定し、安定した状態になること ①か④
タイマー
Helloタイマー→BPDUが送信される間隔でデフォルトでは2秒
最大エイジタイマー→最後に受け取ったBPDUを保持している時間。障害が発生したと判断して再計算を始めるまでの時間でデフォルトでは20秒
転送遅延タイマー→ルートブリッジから離れているスイッチのことを考慮してリスニングとラーニングの状態で待つ時間でデフォルトでは15秒
STPの場合ブロッキング→フォワーディングに移行するまで最大50秒かかる。
直接障害の場合30秒
間接障害の場合50秒
復旧に時間がかかる
☆PortFastとBPDUガード(P431~)
・PortFast
一瞬でフォワーディング状態までもっていくCisco独自の技術
PCやサーバとつながったポートに設定。
スイッチとつながっているポートでは、ループの原因となる危険性があるので絶対に設定してはいけない
BPDUガード(PortFastとセットで覚える)→BPDU(本来受け取るべきでないフレーム)を受け取った際にポートを強制シャットダウンしてくれる機能
エラーデイセーブル状態=強制シャットダウン状態
※戻すためには「shutdown」→「no shutdown」
ルートガード→有効になっているポートに上位のBPDUが送信されてくるとルート不整合になりブロッキングになる。上位のBPDUが送信されてこなくなれば通常のポートに戻る。
☆STPとRSTPの状態の違い、STPのステート(状態)
RSTP(Rapid STP)→RSTPはSTPの完全上位互換のプロトコル ラビッドスパニングツリープロトコル
コンバージェンスが高速なSTP
RSTPのポート
非指定ポートが2つに分割
①代替ポート
ルートポートの予備、上位のBPDUを受信しておりブロックされているポート。
②バックアップポート(リピータハブを使用した際にのみ出現)
指定ポートの予備、ブロックされており同一セグメントに対して複数の接続を持つポート。
・RSTPのディスカーティングについて
RSTPのポートのステータス MAC 転送
フォワーディング 〇 〇
ラーニング 〇 ×
ディスカーディング × ×
RSTPでは、STPで使われていたディセーブル・ブロッキング・リスニングがディスカーディングに統一
BPDUを3回(6秒)受け取らなかったら障害発生。ルートを切り替えるときはプロポーザルとアグリーメントをやり取りすることで役割を決定する。
エッジポート=PCやサーバとつながったポート、PortFastを設定したポート
非エッジポート=スイッチとつながったポート
CST(Common Spanning Tree)→VLANが各スイッチにどのように分散しているかなどとは関係なくルートブリッジの位置を決定してツリー構成を考える方法。
・PVST+
シスコ独自
VLANごとにプライオリティ値を変更し、ルートブリッジを変更可能
Ciscoのcatalystスイッチでは特に設定していなくてもデフォルトでPVST+が動作する
接続して電源を入れると自動でブロックするポートが選出される。
☆STPの確認
STPの状態の確認
show spanning-tree [vlan <VLAN番号>]
RootID:ルートブリッジの情報
BridgeID:そのスイッチの情報
インターフェイスの役割(Root,Desg,Altn)、状態(FWD,LIS,LRN,BLK)を確認することが重要。
STPが動作しているインターフェイスの確認
show spanning-tree interface <インターフェイス>
障害発生時の確認
debug spanning-tree events
負荷がかかるので必要な時だけ。パケットややり取りの変化がリアルタイムに表示される。
☆トポロジに関連するオプション
ブリッジプライオリティの変更
spanning-tree vlan <VLAN番号> priority <プライオリティ> PVST+の場合4096の倍数
ダイナミックにルートブリッジを指定
spanning-tree vlan <VLAN番号> root primary
パスコストの変更
if)#spaaning-tree vlan <VLAN番号> cost <パスコスト値>
パスコストのデフォルト値の変更
spaaning-tree pathcost method <short/long>
ポートプライオリティの変更
if)#spaaning-tree vlan <VLAN番号> port-priority <プライオリティ>
☆PortFastの設定と確認
PortFastの設定
if)#spanning-tree portfast
BPDUガードの設定
グローバルの場合
spanning-tree portfast bpduguard default
インターフェイスの場合
spanning-tree bpduguard <enable/disable>
☆ルートガードの設定と確認
ルートガードの有効化
if)#spanning-tree guard root
☆RSTPを設定するコマンド
すべてのスイッチで実行する
spanning-tree mode <pvst/rapid-pvst>
pvst→PVST+、repid-pvst→Rapid-PVST+
第9章 EtherChannel
・EtherChannelとは?
複数の物理リンクを1つの論理的なリンクとしてみなし、複数のリンクを効率よく利用する技術、ポートの冗長化
EtherChannel(シスコ独自)=リンクアグリゲーション(一般)
一本のリンクにまとめること=バンドル
最大8本までバンドル可能
このバンドルした論理的なポートをPort-channelという。
EtherChannelのメリット
①帯域幅(通信速度)の増加
②トラフィックの負荷分散が可能
③耐障害性の向上(フェイルオーバーが可能)
☆EtherChannel設定時の考慮事項
バンドルの条件
通信モード(半二重/全二重)を合わせること、速度が同じこと
アクセスポートとして設定する場合、同一のVLANに所属させる必要がある。
トランクポートとして設定する場合、バンドルするポートをすべてトランクポートに設定する必要がある。
トランクポートでのカプセル化(ISLまたはIEEE 802.1Q)やトランクリンクの通過を許可するVLANとネイティブVLANを統一する必要がある。
スイッチのポートはスイッチポートと呼ばれるレイヤ2のポートだが、レイヤ3スイッチではルータのインターフェイスのように扱うルーテッドポートとして動作させることもできる。
・EtherChannelのネゴシエーション
PAgP(シスコ独自) desirable(積極)・auto(消極)
LACP(業界標準:IEEE 802.3ad) active(積極)・passive(消極)
手動:on
☆EtherChannelの設定コマンド
設定途中に片側のスイッチだけでイーサチャネルが形成されると対向のスイッチに送ったフレームが戻ってくるループが発生する可能性があるので
設定する際はケーブルを外した状態で作業する。
channel-group 番号 mode <on/auto/desirable/active/passive>[non-silent]
ネゴシエーションプロトコルの設定 (自動で決まるためなくてもよい)
channel-protocol<lacp/pagp>
Creating a port-channel interface Port-channel 番号
負荷分散方法の設定
port-channel load-balance <負荷分散方法>
rangeコマンドを使ったインターフェイスの指定
interface range <インターフェイス> f0/1,f0/3 or f0/1-f0/3
EtherChannelの確認
show etherchannel summary/detail
☆UもしくはPになっていることを確
負荷分散方法の確認
show etherchannel load-balance
PAgP、LACP設定時の隣接ポートの確認
show <pagp/lacp> neighbor
レイヤ3EtherChannelの設定
no switchport
フェイルオーバーとは?→障害時に他のポートに振り合分ける機能
第10章 IPv6
・IPv6アドレス
128ビットで2^128≒340澗個利用できる。
①手動による設定
②DHCPサーバによる自動設定
③オートコンフィギュレーションによる自動設定(SLAAC) ※IPv6から追加
ルータがLAN上のホストに対してネットワークアドレスを送信し、ホスト側で受信したネットワークアドレスとホストのMACアドレスから一意のIPv6アドレスを生成する。
プラグアンドプレイ→起動するだけでネットワークに接続するために必要な情報を自動で設定する機能
サブネットプレフィックス(ネットワーク部)
インターフェイスID(ホスト部)→①48ビットのMACアドレスを24ビットずつに分割する。②16ビットのFFFEを中央に挿入する。③先頭から7ビット目を反転する。④最終的に16進数に戻す
EUI-64フォーマット(FFFE)
☆IPv6アドレスの種類
ユニキャストアドレス→1対1で通信を行う際に使用する。ルータのホストやインターフェイスに割り当てられる。
リンクローカル、ユニークローカル、グローバルユニキャストストの範囲
グローバルユニキャストアドレス→最初の3ビットが001で始まる。2000::/3と表記できる。インターネット上で一意。IPv4のグローバルアドレスに相当。
ユニークローカルユニキャストアドレス→最初の7ビットが1111110で始まり、FC00::/7と表記できる。(8ビット目が1になるから結局FD00:8)企業などのローカル(LAN)で使用される
リンクローカルユニキャストアドレス→最初の10ビットが1111111010で始まり、FE80::/10と表記できる。同じサブネット上での通信が可能。
マルチキャストアドレス→特定のグループに対して送信する際の宛先。最初の8ビットが11111111で始まり、FF00::/8と表記できる。
フラグ→マルチキャストアドレスのタイプを表す 0000→永続的 0001→一時的 4バイト
スコープ→有効範囲を表す 4バイト
要請ノードマルチキャストアドレス→FF02::1:FFxx:xxxxで表記できる。IPv6アドレスとMACアドレスの解決に使用される。
エニーキャストアドレス→複数の機器に同じアドレスを割り当て、ネットワーク的に最も近いところと通信する際に使用されるアドレス。
☆ステートレスアドレス自動設定(SLAAC)
ルータがクライアントに対してプレフィックス情報を送信。
その際ルータがクライアントの状態を管理しないことからステートレスアドレス自動設定と呼ばれる。
NDP(Neighbor Discovery Protocol)というプロトコルを使用する
NS(ネイバー要請)、NA(ネイバーアドバタイズメント)、RS(ルータ要請:FF02::2)、RA(ルータアドバタイズメント)、ICMPv6を使用
DAD→MACアドレスを解決させる仕組み
☆IPv6ルーティングの有効化
(config)#ipv6 unicast-routing
IPv6アドレスとして有効なアドレス
IPv6アドレスの省略ルール(必ずしもではない)
①各フィールドの先頭にある0を省略
②0000のフィールドが連続している場合は1回だけ::に省略する
(連続するフィールドが複数存在する場合はより多く省略できるフィールドを省略
リンクローカルユニキャストアドレスの設定
自動で設定する方法→(config-if)#ipv6 enable
手動(→config-if)#ipv6 address アドレス(FE80で始まる) link-local
グローバルユニキャストアドレスの設定
(config-if)#ipv6 address <アドレス>/<プレフィックス長> [eui-64]
ステートレスアドレス自動設定の有効化
(config-if)#ipv6 address autoconfig
☆IPv6のルーティング
スタティックルートの設定
(config)#ipv6 route 宛先ネットワーク/プレフィックス長 ネクストホップ
デフォルトルートの設定
(config)#ipv6 route ::/0 <転送先>
ルーティングテーブルの確認
#show ipv6 route
ルータの設定の確認
#show ipv6 interface <インターフェイス>
疎通の確認
#ping ipv6
第11章 インフラストラクチャサービスと運用
FHRP→ネットワーク上で複数のルータを束ねて一体的に運用するための制御情報を伝送するプロトコル(通信規約)の総称。HSRPやVRRP、GLBPが含まれる。
☆HSRPの概要
HSRP=ルータ(デフォルトゲートウェイ)を冗長化するためのプロトコル
HSRP=デフォルトゲートウェイを冗長化することができる
HSRPを使用することで、PCのデフォルトゲートウェイの設定を変更しなくても自動で切り替えが可能
シスコ独自
ファーストホップルータ=デフォルトゲートウェイ
①複数のルータ(インターフェイス)をグループ化
②グループに対して、IPアドレスを設定(仮想IPアドレスの設定)
③仮想IPアドレスを各ホストのデフォルトゲートウェイに設定
HSRPスタンバイグループ→使用できる番号の範囲=0~255
仮想IPアドレス→スタンバイグループ内のルータで共有するIPアドレス
※ネットワーク内で使用されていないアドレスを使用(最後のホストアドレスが適切)
⭐︎HSRPの仮想MACアドレスは?
仮想MACアドレス→前半の5オクテット0000.0C07.AC(バージョン1の場合)固定、後半の6オクテット目はスタンバイグループ番号を16進数に変換した値。
・HSRPグループ内におけるルータの役割
①アクティブルータ
デフォルトゲートウェイとしての役割を担うルータ(ホストからのパケットを転送)メインルータ。
HSRPプライオリティ値が最大のルータがアクティブルータになる
HSRPプライオリティ値のデフォルト=100(0~255の範囲で変更可能)
プライオリティ値が同じ場合は、インターフェイスのIPアドレスを比較し、最も大きいルータがアクティブルータ
②スタンバイルータ
バックアップルータ。アクティブルータがダウンした際に、役割を引き継ぐ。
HSRPプライオリティ値が2番目に大きいルータがスタンバイルータになる
プライオリティ値が同じ場合は、インターフェイスのIPアドレスを比較し、2番目に大きいルータがスタンバイルータ
☆HSRPの動作
①Helloパケットの交換→Helloパケット(UDP1985)をマルチキャストアドレスの224.0.0.2に送信する。HSRPで使用するHelloインターバルは3秒
②アクティブルータとスタンバイルータの選出→Helloパケットにより送信された情報を基にアクティブルータとスタンバイルータを選出。
③Helloパケットによる生存確認→HSRPで使用するDeadインターバルは10秒
④PCからの通信→PCは異なるネットワークに通信するとき、デフォルトゲートウェイのMACアドレスを問い合わせるARP要求を送信する。
⑤障害発生時の動作→アクティブルータに障害が発生するとスタンバイルータがアクティブルータになる
・HSRPの状態遷移
Initial→最初の状態。
Learn→ルータがアクティブルータからHelloパケットを受け取っておらず、仮想Pアドレスを認識していない状態
Listen→アクティブにもスタンバイにもならなかったルータがこの状態となる。Helloパケットを送信していないが受信はしている。
Speak→Helloパケットを送信してアクティブルータとスタンバイルータの選出を行っている状態
Standby→スタンバイルータの状態。
Active→アクティブルータの状態
・HSRPの機能
プリエンプト→プリエンプトを有効化すると、プライオリティが大きいルータを常にアクティブルータにすることが可能
インターフェイストラッキング→HSRPを動作させていないインターフェイスを追跡し、そのアップダウンによってプライオリティ値を変更できる機能
HSRPの認証機能
プレーンテキスト認証→パスワードを暗号化しない
MD5認証→パスワードを暗号化する
MHSRP→HSRPを複数のグループで構成することによって負荷分散が可能。
・HSRPの設定コマンド
HSRPの有効化
(config-if)#standby [<スタンバイグループ番号>] ip [<仮想IPアドレス>]
スタンバイグループ番号→HSRPバージョン1であれば0~255。省略すると0
仮想IPアドレス→省略した場合、スタンバイグループ内の他のルータから送信されてきたHelloパケットから学習
そのため、スタンバイグループ内の1台は必ず仮想IPアドレスを設定しておく必要がある。
ルータに設定されているIPアドレスは仮想IPアドレスにできない。
HSRPプライオリティ値の変更
(config-if)#standby [<スタンバイグループ番号>] priority [<プライオリティ値>]
プライオリティ値→0~255の間から指定。省略するとデフォルトの100
プリエンプトの設定
(config-if)#standby [<スタンバイグループ番号>] preempt
インターフェイストラッキングの設定
stanby [<スタンバイグループ番号>] track <インターフェイス> [<減少値>(デフォルトは10)]
HSRPの要約情報の確認:show standby brief
HSRPの詳細情報の確認:show standby
クライアントの確認
ipconfig→ping <PCのIPアドレス>→arp -a(ARPテーブルの確認)
☆GLBP
Cisco独自のプロトコル。一つのグループで負荷分散が可能になっている。
GLBPグループ 1024まで作成可能
最大で4つの仮想MACアドレス。0007.B40X.XXYY X部分にGLBPグループ番号を16進数に変換した値が、Y部分に01~04までの値が使用される。
・GLBPの動作
グループ内のルータからAVG(Active Virtual Gateway)と最大4台のAVF(Active Virtual Forwarder)を選出
プライオリティ1~255
AVGはパケットの転送は行わず、AVFに対して末尾が異なる仮想MACアドレスをそれぞれ割り当てる。
PCから仮想IPアドレス宛に送られてきたARPの応答を行い、各PCに対して異なる仮想ACアドレスを応答する。
☆VRRP
様々なベンダーの機器で使用。
HSRPと似ている。
マスタールータ→アクティブルータ バックアップルータ→スタンバイルータ
VRRPプライオリティ デフォルト100
仮想IPアドレスにルータに実際に割り当てられているIPアドレスを割り当てることが可能。
割り当てるとそのルータのプライオリティが255と最大になり必ずマスタールータになる
デフォルトでプリエンプトが有効になっている 仮想MACアドレスは0000.5E00.01にグループ番号を16進数に変換した値を付加したもの
・QoS(Quality of Service)
ネットワークを介して提供しているサービスの品質を保つための技術。パケットの重要度によって優先的に転送させられる。
☆QOSのアーキテクチャ
ベストエフォート→デフォルト動作。パケットの優先順位などは考慮せず先に来たものを先に出すという処理を行う。通信品質は保証されない。
IntServ→フローが必要とする帯域をあらかじめ確保しておくアーキテクチャ。RSVP(リソース予約プロトコル)を使用する。普及していない。
DiffServ→各ルータやスイッチごとにパケットの優先順位に基づいて区別して転送処理を行うアーキテクチャ。
☆QoSの仕組み
分類→届いたパケットの種類などを調べてクラスと呼ばれるカテゴリに分ける。
マーキング→分類されたパケットに優先順位を設定していく。
CoS→イーサネットの優先度を表す。IEEE802.1Q(4バイト)というタグの中にあるPRI(3ビット)を使用する。
3ビット→0~7の8通り Cisco推奨 音声5 ビデオ会議4 普通0~2
DSCP→IPパケットの優先度を表す。IPヘッダには8ビットのToSフィールド
同様にIP Precedenceというものもありサービスタイプの前半の3ビットだけを使用。
DSCPではサービスタイプフォールドの前半6ビットを使用する。前半3ビットで優先度を表し、残り3ビットで破棄されやすさを表す。後半3ビットの最後のビットは常に0
ポップごとの動作を決めたPHBに応じてトラフィックは処理される。
信頼境界→DSCPやCoSの値を信頼する部分と信頼しない部分の境界。一般的に送信元に近いところに設定する。
ポリシング→設定値や最低限保証されいてる伝送速度を超過したり優先度を変更する。パケットを着信した際や発信する際に使用できる。
シェーピング→設定値やCIRを超過した分は破棄ではなくバッファに保持しておいて遅れて送信する。パケットを発信する際に使用できる。
・キューイングとスケジューリング
PQ→優先度が異なるキューを4つ用意する方式。
WFQ→アプリケーションのフローごとにキューを自動的に作成し、どのキューからのパケットも転送されるようにしたキューイング方式。
CB-WFQ→クラスごとにキューを割り当てる方式。
LLQ→優先的に送信するプライオリティキューとクラスごとのキューを使用するキューイング方式。
・輻輳の管理
輻輳→同時に大量の通信が届くなどの状況でネットワーク機器の処理が追いつかなくなり、送受信ができなくなる状況。
テールドロップ→キューが一杯になると以後到達するパケットは全て優先順位に関係なく破棄すること。
これらの現象を回避するために
RED(ランダム早期検出)→キューが一杯になる前に少しずつパケットを放棄していく方式。優先順位無視
WRED(重み付けランダム早期検出)→REDと同じ仕組みだが優先順位考慮
☆SNMPの基本
SNMP→TCP/IPネットワーク上の機器の状態を監視し、様々な情報を収集するためのプロトコル、UDP
構成要素
①SNMPマネージャ 161
ネットワーク管理ステーション
SNMPエージェントを監視するプログラム。情報収集するサーバの役割
②SNMPエージェント 162
クライアントPC、ルータ、スイッチ、サーバなどの機器で動作するプログラム。
情報をSNMPマネージャに送信する。
③MIB
ツリー構造で機器の情報が保存されていて、SNMPマネージャはOIDを使用して取得したい情報を指定する。
標準MIB→RFCで規定されている。ベンダーやサーバ、ルータといった機器の種類を問わずに対応している一般的なシステムの情報などが規定されている。例 ホスト名やインターフェイスの情報。
拡張MIB→ベンダーが独自に規定したもの。例 Ciscoが自社の機器を管理している物
④SNMPポーリング
SNMPマネージャから要求を出してSNMPエージェントの情報を受け取る方式。
⑤SNMPトラップ
SNMPエージェントから通知を行う方式。SNMPインフォームは確認応答を返すので信頼性が確保される。
・SNMPの設定
SNMPビューの設定
(config)#snmp-server view <ビュー名> <OID> <include/exclude>
コミュニティ名を設定
(config)#snmp-server community <コミュニティ名> [view<ビュー名>][ro/rw][<ACL>] SNMPマネージャに対してro→読み取り許可 rw→読み書き許可
通知機能の設定
snmp-server host <ipアドレス> [traps/informs] [version<1/2c/3<auth/noauth/priv>>]<コミュニティ名/ユーザ名>
トラップの有効化
(config)#snmp-server enable traps [<トラップ対象>]
SNMPv3の設定
SNMPグループの作成
(config)#snmp-sever group <グループ名> v3 <auth/noauth/priv> [read<ビュー名>] [write<ビュー名>] [access<ACL>]
SNMPユーザの作成
(config)#snmp-sever user <ユーザ名> <グループ名> v3 [auth<md5/sha> <パスワード>][priv<des/3des/aes<128/192/256>><パスワード>]
SNMPの確認
SNMPビューの確認 show snmp view
SNMPグループの確認 show snmp group
SNMPユーザの確認 show snmp user
第12章 デバイスの管理
Syslogメッセージの重大度(シビリティ)
システムログ=システムの動作の記録
障害が発生した際のトラブルシューティングに役立つ
ファシリティ=システムログの種類
デフォルトのファシリティ=Local7
→システムログを「0~7」の重大度で表示する形式
☆システムログのレベル
システムログのレベル(重大度)のことを「シビリティ」と呼ぶ
0 緊急(emergencies)システムが不安定
1 警報(alerts) ただちに対応が必要
2 重大(critical) クリティカルな状態
3 エラー(errors) エラー状態
4 警告(warnings) 警告状態
5 通知(notifications) 正常だが注意を要する状態
6 情報(informational) 単なる情報メッセージ
7 デバッグ(debugging) デバッグメッセージ
☆システムログの設定
システムログの出力先の設定
コンソールライン→デフォルトでログが出力される。レベルは7。7以下、全て
レベル変更 (config)#logging console <レベル>
仮想ターミナルライン→出力 #terminal monitor 停止 #terminal no monitor
レベル変更 (config)#logging monitor <レベル>
ルータやスイッチのRAM
サイズ指定 (config)#logging buffered <サイズ> 4096以上
レベル変更 (config)#logging buffered <レベル> 0~7の値
Syslogサーバ
サーバ指定 (config)#logging host <IPアドレス/ホスト名>
システムログ、デバッグメッセージのタイムスタンプ設定
(config)#service timestamps < debug | log >[<datetime[localtime][msec][show-timezone][year] | uptime>]
シーケンス番号の設定
(config)#service sequence-numbers
システムログの確認
show logging
デバッグの設定と表示
出力 #debug <表示したいメッセージ> 停止 #undebug all(#no debug all)
・NTPの概要
NTP=Network Time Prtocol
時刻の同期をするためのプロトコル
UTC(協定世界時)→世界共通の標準時を把握している時刻サーバ
UDP/123
NTPサーバ:時刻の同期を行ってあげる側の端末
NTPクライアント:サーバに時刻同期してもらう側
NTPはstratum(ストラタム)と呼ばれる階層構造を持っている
☆NTPの設定
シスコルータをNTPクライアントとして設定
(config)#ntp server <NTPサーバのIPアドレス> [prefer]
シスコルータでNTPサーバとして有効化
(config)#ntp master [<stratum数>] 1~15 デフォルト8
NTP認証の設定
認証機能の有効化 (config)#ntp authenticate
認証鍵の定義 (config)#ntp autentication-key <鍵番号> md5 <文字列>
定義した鍵番号の指定 (config)#ntp trusted-key <鍵番号>
同期有効化時の鍵番号の指定 (config)#ntp server <IPアドレス> key <鍵番号> [prefer]
・タイムゾーンの指定
(config)#clock timezone <タイムゾーンの略称> <時差>
ローカルルータ内の時間の確認 #show clock
NTPの設定の確認
show ntp status
NTPの時刻同期の確認
show ntp associations
☆CDP(Cisco Discovery Protocol)
シスコ独自、データリンク層で動作
直接接続されているCisco機器を検出し、その機器の情報を収集可能
隣接シスコデバイスの確認コマンド
①show cdp neighbors=隣接機器の要約情報(ザックリとした情報)
②show cdp neighbors detail=隣接機器の詳細情報(IPアドレスを含めた細かな情報)
もしくはshow cdp entry
CDPの有効化/無効化
全体で有効/無効
(config)#[no] cdp run
インターフェイス単位で有効/無効
(config-if)#[no] cdp enable
CDPの有効化の確認 show cdp
インターフェイスの確認 show cdp interface
隣接機器の要約情報の確認 show cdp neighbors
☆LLDP(Link Layer Discovery Protocol)
業界標準、データリンク層で動作
直接接続されているデバイスの検出・情報収集が可能(マルチベンダーに対応)
自身の情報を「TLV」形式で定期的に隣接機器へ送信
LLDPの有効化
(config)#lldp runまたは(config-if)#lldp <transmit/receive>
transumit→LLDPフレームの送信の有効化、receive→LLDPフレームを受信して情報を取得できる
LLDPの動作状況の確認
show lldp
LLDPパケットの送信間隔の変更
(config)#lldp timer <秒数> デフォルトでは30秒
LLDPパケットのホールド時間の変更
(config)#lldp holdtime <秒数> デフォルトでは120秒
再初期化時の遅延時間の変更
(config)#lldp reinit <秒数>
送信する情報の変更
(config)#lldp tlv-select <TLV名>
LLDPの設定確認
#show lldp neighbors
#show lldp neighbors detail
#show lldp entry <* | 機器名>
・パスワードリカバリ
パスワードを忘れてログインできなくなった際に設定はそのままでパスワードだけを変更すること。
ポイント
①再起動時に60秒以内に「ブレーク信号(実行中の処理を停止させる信号)」を送信し、ROMモニタモードで起動をすること
Altキーを押しながらBキー
②コンフィギュレーションレジスタの値(通常起動時は0x2102)を「0x2142」に変更すること
confreg 0x2142
0x2102→デフォルトの状態
0x2142→startup-configを読み込まずにルータが起動する
③リセットをかけて再起動する reset
④セットアップモードでの返答(yes/no)が表示された場合 Ctrlキー+Cキー
⑤既存のバックアップ(start-config)をrunning-configにマージさせる
copy start run
⑥特権パスワードを再設定する
⑦コンフィギュレーション値を元に戻す
(config)#config-register <コンフィギュレーションレジスタ値>(0x2102)
⑧設定を保存する → copy run start
・ルータやスイッチからのTELNET・SSH接続
#telnet <IPアドレス/ホスト名>
#SSH -l <ユーザ名> <IPアドレス/ホスト名>
リモート接続の切断 #exit
セッションの中断 Ctr+Shift+6キー押下した後Xキーを押す。
セッションの確認、再開、中断→切断
show session、resume[<セッション番号>]、disconnect<セッション番号>
ログインしてきてるセッションの確認
show users
バナーメッセージ(ユーザがデバイスにリモート接続やコンソール接続した際に認証の前に出すメッセージ)の設定
#banner motd <区切り文字>
第13章 ネットワークアーキテクチャ
ネットワークアーキテクチャ→LANの設計モデル
キャンパスネットワーク→ある一つの建物内、または地理的に一つの範囲内にある複数の建物内で構成された企業、組織、団体などのLANを指す。
構内ネットワーク、エンタープライズネットワークと呼ぶこともある。
階層型ネットワーク設計モデル→企業や組織のLANを構築する際にどういったことを考慮してネットワークを設計すればよいかを示す目安となるモデル。
・3階層ネットワーク設計モデル
大規模ネットワーク
アクセス層→ユーザが使用するPCなどの機器がネットワークに接続する層。ポート密度が高いレイヤ2スイッチやスイッチングハブが配置される。
ディストリビューション層→アクセス層の各ネットワークを集約する層。ルータやレイヤ3スイッチなどを使用しルーティングやACLなどによるパケットのフィルタリングを行う。
コア層→ディストリビューション層の機器が集約される層。ネットワークの中心(バックボーン)を構成する。光ファイバーポートを多く持ち、より高速な通信が可能で高機能なハイエンドモデルのスイッチなどが配置される。
☆2階層ネットワーク設計モデル
小・中規模ネットワーク
比較的容易なネットワークの場合、コア層とディストリビューション層を統合して一つの層(コラプストコア)とし2階層のみで構成する。
SOHO→マンションの一室といった小さな敷地内や自宅を仕事場として働く業務形態を指す。
Cisco ISR(サービス統合型ルータ)を使用する。一台で複数のLANポートを持つスイッチとしての機能、アクセスポイントの機能、SOHOネットワークを保護するファイアウォールとしての機能など兼ね備えている。
☆PoE
イーサネットケーブル上で電力を供給する技術。通常はスイッチがPSE(給電機器)として機能しイーサネットケーブルを介して接続する機器に対して電力を供給する。
またこのように電力を供給できるデバイスをPD(受電機器)と呼ぶ。電力を供給する前に送るべきかネゴシエーションで自動で識別する。
PSEでポートに割り当てられた電力のしきい値を越えるとポートを自動でシャットダウンしエラーディセーブル状態になり自身が電力不足になりダウンするのを未然に防ぐ。
WAN接続を行うためには、通信事業者(キャリア)のサービスを利用する必要がある。
毎月一定のコスト(ランニングコスト)がかかる
・WANサービスの種類
専用線(高い信頼性)1対1で接続し回線を占有する形。
回線交換(今はあまり使われない)公衆交換電話網(PSTN)など。通信するときだけ回線を占有する。
パケット交換(現在の主流)IP-VPNや広域イーサネット。回線をほかのユーザーと共有する。
WANの構成
①DTE=顧客側のデバイス
②DCE=通信事業者側のデバイス
デジタルネットワークではDSU、アナログネットワークではモデム、光ネットワークではONUを使用する
ローカルループ(アクセス回線)
顧客の設備と通信事業者の設備との責任範囲の境界(責任分界点)
顧客側に設置されている機器から通信事業者の基地局までの回線の事。
ISDNなどはデジタルローカルループ、末端がDSU、PTSNではアナログローカルループ、末端がモデム。
WANのトポロジ
①ポイントツーポイント(1対1でつながったトポロジ)
②フルメッシュ 全拠点をそれぞれ接続
③パーシャルメッシュ 重要な拠点間だけを接続
④ハブアンドスポーク(=スター型)中心→ハブ その他→スポーク
・WANのプロトコル
専用線=1対1で拠点間を接続するサービス
メリット:非常に安定した通信、信頼性やセキュリティが高い、専門技術は不要
デメリット:コストが高い、拡張性に欠ける
専用線で使われるプロトコル
①HDLC=あまり使われない
ISOにより標準化されたプロトコル。ポイントツーポイント接続。各ベンダが独自に実装しているため対向のルータが別ベンダ製である場合、通信できない。
②PPP(Point to Point Protocol)=業界標準なので、一般的にはこちらを使用
電話回線といったアナログ回線、ISDNといったデジタル回線、ダイアルアップ接続に利用されている。複数のネットワーク層のプロトコルを転送できる。
標準化されていてデータ部のプロトコルを識別するフィールドを持つため別ベンダの機器と接続して通信できる。
ユーザ認証や圧縮機能がある。複数のPPPリンクを一つのリンクとして扱うマルチリンク機能やエラー検出機能も備えている。
RFCでの規定
複数のプロトコルのカプセル化
HDLCをベースに作られている。プロトコルフィールドにはデータ部にカプセル化している上位層のプロトコルの識別子が入る。
リンク制御プロトコル(LCP)→リンクの通信の設定、確立、終了などを処理する。通信設定を行うために最初にLCPのパケットを送信する。
ネットワーク制御プロトコル(NCP)→ネットワーク層のプロトコルの設定を行う。IPにはIPCPが使用される。
⭐︎PPPの認証プロトコル
PAP:2ウェイハンドシェイク。暗号化はしない→簡易的な認証 クリアテキスト
CHAP:3ウェイハンドシェイク。暗号化を行う→安全な認証 チャレンジメッセージとパスワードを基にハッシュ関数を使用して計算を行いその結果を返す
PPPにおけるフェーズの遷移
リンクデッドフェーズ→物理層の準備がされていない状態
リンク確立フェーズ→LCPを使用してリンク確立を始めるフェーズ。
認証フェーズ→PAPまたはCHAPを使用する。失敗するとリンク終了フェーズ。
ネットワーク層プロトコルフェーズ→NCPを使用してネットワークの設定を行い、NCPがオープンになるとネットワーク層のプロトコルが運ばれる。
リンク終了フェーズ→認証の失敗やリンクの管理上の終了などにより遷移する。LCPを使用してリンクをクローズする。
☆VPN(Virtual Private Network)
現在の主流のWANサービス
公共回線の中で、各拠点間をプライベートネットワークがあたかも直接つながっているかのように見せかけることができる
メリット:拠点間で安全な通信が可能、低コスト、拡張性が高い
☆VPNの種類
①インターネットVPN:インターネットを利用するVPN
導入コストは抑えられるが、セキュリティや速度などには気を付けなければならない。
サイト間VPN→拠点間のLANを接続するためのVPN接続
リモートアクセスVPN→モバイル端末などが社内のネットワークに接続するためのVPN接続
②IP-VPN:通信事業者が用意したネットワーク(キャリア網)を利用したVPN
インターネットは隔離されているため安全に利用できるがコストが掛かる。しかし専用線よりは安価。
他の契約ユーザーの通信が混在して届いたりしないようにに通信事業者側でMPLSという技術を使用して宛先を識別する。
MPLSでは4バイトの短い固定長のラベルを付けその情報に完全一致するネクストホップをLFIBから検索してパケットを転送する。もともとはL2とL3の間で動作する。
現在では高速化というよりは、ラベルの情報を基にQoSの実装やIP-VPN網での顧客識別に利用するなど様々な機能を実現する目的で使用される。
☆VPNの技術
①トンネリング
相手と通信するためのパケットを別のプロトコルのデータ部に隠ぺいすることで、
通信したい端末の間にネットワーク上でトンネルを作成し、仮想的な専用線を作成する技術。
PPTP→PPPを拡張したプロトコル。暗号化の機能がないため暗号化プロトコルMPPEを組み合わせる。
L2TP→データリンク層のプロトコル。暗号化の機能がないため多くの場合はIPsecと組み合わせる。
②暗号化
パケットの盗聴による情報の漏洩を防ぐ。
IPsec=暗号化・トンネリングを実現するプロトコル
IPsecにより実現できる機能
①完全性(データの整合性)
②機密性(セキュリティ)
③データ発信元の認証
④アンチリプレイ(リプレイ攻撃防止)不正だった場合破棄する
AH(認証機能とデータが改ざんされていないことを保証する機能)とESP(AHの機能+暗号化)という2つのセキュリティプロトコルから成り立っている。
動作モード
トランスポートモード→元のIPヘッダを使用しデータ部のみを暗号化する
トンネルモード→IPヘッダとデータ部の両方を暗号化し新しいIPヘッダを付加する。VPNでは多い。
SSL-VPN→SSLを使用して暗号化を行う技術。リモートアクセスVPNで利用される。
広域イーサネット→拠点間を接続するために利用するサービス。通信事業者の広域イーサネット網では顧客の通信を識別するためにVLANタグやEoMPLSなどの技術を使用する。
GRE=トンネリングプロトコルの一種
GREトンネリング→通信したいネットワーク層のプロトコルを他のネットワーク層のプロトコルにカプセル化する。
マルチプロトコルに対応している
マルチキャストやブロードキャストのパケットをトンネリング可能=ユニキャスト化
セキュリティ機能がデフォルトでない
安全にトンネリングしたい場合は「GRE over IPsec」を使用し、IPsecと組み合わせて使用。
クラウド→様々なコンピューターリソースをインターネットなどのネットワークを通じて利用する形態を指す。
オンプレミス→自社の敷地内にサーバなどのリソースを所有して利用・管理すること
☆クラウドの技術
仮想化→クラウドを支える根幹の技術。
従来型のサーバと仮想サーバ→仮想化の技術が誕生する以前のサーバでは、一台の物理マシンに一つのOSをインストールして動かすのが主流。
そのため物理的にサーバの台数が増えてしまい導入コストや運用・保守コストが高くなりリソースを有効に利用できないという欠点や、サーバを設置するスペースを十分に確保しなければならないなどの問題があった。
ハイパーバイザ→一台の物理的なサーバー上にコンピュータを仮想化するためのソフトウェアを使用し仮想マシン(VM:バーチャルマシン)を動かす。
仮想マシンを複数構築したりそれぞれの仮想マシンを別々のOSで動かしたりするといったことが可能。
仮想サーバーの通信方法
仮想スイッチ(Virtual Switch)→仮想サーバーの物理サーバー内に形成される仮想的なレイヤ2スイッチ。物理NICと接続し外部との通信可能。
仮想NIC→仮想マシンが持っている仮想的な接続ポート。
☆クラウドサービスの実態
プライベートクラウド→その企業専用のクラウドとして利用できる形態。コストが上がるがセキュリティの向上やその企業に合わせた環境の構築が可能。
パブリッククラウド→利用者を限定せずに複数のユーザや企業に向けてクラウド環境を提供する形態。申し込めば初期費用がほとんどかからずメンテナンスも不要。
SaaS(Software as a Service)→サーバー上で機能するアプリケーションまで含めたすべてをクラウド事業者が管理・提供する。例 icloud Microsoft Office 365 Google Drive
PaaS(Platform as a Service)→アプリケーション開発環境などミドルウェアまでを揃えた形まで提供される。 例 Microsoft Azure、Google App Engine
IaaS(Infrastructure as a Service)→物理サーバ、ネットワーク、OSのインフラ部分のリソースだけ提供されるサービス。独自の仮想サーバや開発環境を使用したい場合に選ぶ。 例 Amazon Elastic Compute Cloud(Amazon EC2)、Google Compute Engine
第14章 セキュリティ機能
・基本的なセキュリティ用語
インシデント→情報セキュリティを脅かす実際に発生した事件や事故
脆弱性→何らかのプログラム上の欠陥やシステム設計、ネットワーク設計上の問題点といったセキュリティ上の欠陥全般を指す。
エクスプロイト→社内ネットワークやシステムが抱えている脆弱性を悪用して攻撃するために作成されたプログラムや実際の攻撃
脅威→社内ネットワークやシステムに対して攻撃や気概を加える要因すべてを指す。
技術的脅威→不正アクセスやコンピュータウイルス、通信データの盗聴、改ざんなどを指す。
人的脅威→操作ミスや機密データの紛失、悪意の有無にかかわらず発生する社内ネットワークの利用者による不正利用などといった人に起因する脅威。
物理的脅威→地震などの天災や火災、敷地内への不法侵入や機器の破壊行動を指す
☆一般的なセキュリティ脅威と攻撃手法
なりすまし攻撃(スプーフィング攻撃)→IPアドレスやMACアドレスを偽造することで、攻撃者が別の人物に見せかけて行う攻撃の総称。
DoS攻撃(サービス拒否攻撃)→サーバなどに過剰な負荷をかけることでサービスを妨害する攻撃の総称。
DDoS攻撃(分散型サービス拒否攻撃)→DoS攻撃を発展させた攻撃手法でウイルスなどに感染させて不正に乗っ取った複数のPCを操作してDoS攻撃を行う。
ウイルスに感染したPCはボットと呼ばれ、普段は正常に動作している。
中間者攻撃→ターゲットに直接損害を与えることよりも攻撃対象の通信内容を盗聴、改ざんすることを目的とした攻撃手法。
マルウェア→悪意のある目的のために作成されたソフトウェアやプログラムの総称。マルウェアに感染したコンピュータでは、情報漏洩やファイルの破壊、遠隔操作のためのバックドア(侵入経路)の作成などが実行される。
トロイの木馬→一見有用そうなソフトウェアや電子メールの添付ファイルを装って配布される。ウイルスやワームとは異なり自己増殖はしない。
ウイルス→単体では動作できず、他のアプリケーションやファイルに挿入されることで実行が可能となる。自己増殖機能がある。
ワーム→独立したプログラムとして動作可能。ネットワーク経由でコンピュータに感染し、独自に増殖、伝播を繰り返す。
バッファオーバーフロー攻撃→攻撃対象のコンピュータが許容できるサイズを超えた巨大なデータを送り付けること事で誤作動を起こさせ、悪意のあるコードを実行させる攻撃手法。
ソーシャルエンジニアリング攻撃 マルウェアをなりすまし攻撃等の技術的な要素に頼らず、人の社会的、心理的な弱点を利用して情報を取得する攻撃手法の総称。
身分を偽造してパスワードなどの機密情報を聞き出す。パスワードを入力する手元をのぞき見する(ショルダーハッキング)
フィッシング→被攻撃者を悪意のあるWebサイトに誘導する手法の総称
スピアフィッシング→特定の個人、団体を狙って行われる終章。
ピッシング→電話などの音声案内を通じて非攻撃者を誘導する手法。
スミッシング→SMSメッセージを用いた手法。
ブルートフォースアタック(総当たり攻撃)→パスワー度に使用されている文字列を推測し、パスワードが解除できるまで考えられるパターンを試行し続ける。
イネーブルパスワードの暗号化
enable algorithm-type <md5/scrypt/sha256> secret <パスワード>
ローカル認証に使用するユーザアカウントパスワードの暗号化
username <ユーザ名> [privilege<特権レベル>] secret <パスワード>
ファイアウォール→インターネットなどの外部のネットワークから企業や家庭内ネットワークを守るためのソフトウェアや機器。内部からの許可されていない通信をブロックすることもできる。パケットのフィルタリング機能
ステートフルインスペクション→内部から出ていった通信を確認しそれに対する戻りの通信を自動で判断し許可する機能
☆ファイアウォールの構成例
ファイアウォールによって外部ネットワーク、DMZ(非武装地帯)、内部ネットワークに分けます。
外部ネットワーク→インターネットのような領域、内部ネットワーク→社内のネットワーク
DMZ→内部ネットワークと外部ネットワークの中間にある領域。内部からも外部からもアクセス可能な領域でインターネットに公開するサーバなどを配置する。
こうしたサーバを内部ネットワークに置いてしまうと不正アクセスされ乗っ取られた場合に内部のネットワークに影響が出る。そうした危険を回避するためのもの。
・IDS(侵入検知システム)とIPS(侵入防止システム)
シグネチャと呼ばれる様々な不正パターン、攻撃パターンのデータベースを利用して通信のチェックを行う。
IDS→外部からの異常な通信や不正アクセスが発生した際にその通信を検知・記録し管理者に通知することができる。それらの通信はブロックしない。
IPS→異常を検出した場合、管理者に通知し即座に通信をブロックする
次世代ファイアウォール
AVC→従来のIPアドレスとポート番号に基づいたパケットフィルタリングの方法ではなく、アプリケーション単位で識別・フィルタリングする機能。
AMP(高度なマルウェア防御)→ネットワークを行き来するファイルを観測、記録し続けることで侵入したマルウェアを検知した際に過去にさかのぼって感染経路を特定することができる機能。
URLフィルタリング→HTTP通信に用いられるURLに基づいて通信トラフィックをフィルタリングすることができる機能
次世代IPS
IPS自動チューニング→社内ネットワーク内のPCなどからデバイス収集することで本来そのネットワークで必要なIPSシグネチャを自動で判断し選択する機能
現在ではどちらの機能も統合され一つの製品になってることが多い
ネットワークにおけるセキュリティ対策の実施
各種ネットワーク機器の物理的な保護
多要素認証→特に異なる2要素を組み合わせて行うものを2要素認証。
知識要素→IDやパスワードなど、所持要素→ワンタイムパスワード、デジタル証明書など、生体要素→指紋、顔、音声、虹彩
OSや各種ソフトウェアの定期的なアップデートの実施
セキュリティホールを防ぐことができる。
ネットワーク機器の技術的な対策
☆ポートセキュリティの概要
想定外の端末がスイッチに接続されてその通信が不正にネットワークを通過することを防ぐ
→正規のMACアドレス=セキュアMACアドレスを事前に登録
万が一セキュアMACアドレス以外のフレームを受信した場合、その通信をブロック
・ポートセキュリティの設定コマンド
ポートセキュリティを有効化
(config-if)#switchport port-security
※事前に「switchport mode access」もしくは「switchport mode trunk」の設定が必要
最大数の指定
(config-if)#switchport port-security maximum <最大数>
ポートセキュリティの最大MACアドレスのデフォルト値は? 1
手動登録の場合
(config-if)#switchport port-security mac-address MACアドレス
自動登録の場合→スティッキーラーニング(自動で登録されたセキュアMACアドレスをrunning-configに保存できる)
(config-if)#switchport port-security mac-address sticky
・ポートセキュリティの違反モード
デフォルトでは「shoutdownモード」
→もしセキュリティ違反が発生した場合、インターフェイスは「エラーディセーブル状態」となり、強制シャットダウンされる。
違反モードの設定
switchport port-security violation <モード> <protect/restrict/shutdown>
protectモード→通信をブロックするだけのモード
restrictモード→通信をブロックするだけではなくSNMPトラップとSyslogメッセージを送信しセキュリティ違反時のカウンタを加算
shutdownモード→restrictモードと同様、加えてシャットダウンしエラーディセーブル状態になる。デフォルトではこのモード。
ポートセキュリティの設定の確認
show port-security
セキュアMACアドレスの確認
show port-security address
インターフェイスの確認
show port-security interface <インターフェイス>
エラーディセーブル状態の自動復旧方法
エラーの確認方法 show errdisable recovery
[no] errdisable recovery cause <エラーの原因>
errdisable recovery interval <秒数>
DHCPスプーフィング→DHCPサーバになりすまし、誤った情報を伝えて盗聴などをする手法。防止策がDHCPスヌーピング(信頼できるポートと信頼できないポートに分ける)
DHCPメッセージをチェックし、その情報はDHCPスヌーピングバインディングデータベースに保存される。
DHCPスヌーピングの設定
ip dhcp snooping
ip dhcp snooping vlan <VLAN番号リスト>
信頼できるポートの設定
ip dhcp snooping trust
リレーエージェント情報オプション(オプション82)
ip dhcp snooping information option
DHCPスヌーピングの設定確認
show ip dhcp snooping
DHCPスヌーピングバイディングデータベースの設定確認
show ip dhcp snooping biding
・ダイナミックARPインスペクションとは?
ARPスプーフィング(ARPポイズニング)を防止する。ARPポイズニング→ARPの応答になりすまし、誤った情報を教える攻撃手法。中間者攻撃の一つ。
ダイナミックARPインスペクション有効化
ip arp inspection vlan <VLAN番号リスト>
信頼できるポートの指定
ip arp inspection trust
ダイナミックARPインスペクションの設定と設定確認
show ip arp inspetion vlan <VLAN番号>
VACL(VLAN ACL)→スイッチ内のVLANにACLを適用するもの。
ダブルタキング攻撃→トランクリンクのカプセル化がIEEE 802.1Qの際にネイティブVLANを利用した攻撃手法。
.ネイティブVLANでもタグが付くように
vlan dot1q tag native
☆AAA
Authentication:認証→ネットワークサービスやリソースを利用する際、ユーザIDやパスワードなどの情報を基にアクセスが許可されたユーザなのかどうかの確認を行うこと
Authorization:認可→認証により確認が行われたユーザがどういった機能を利用できるのかを決定すること。管理者であればすべてのものにアクセス可能とし、その他のユーザーであれば限られたものにしかアクセスできないといった制限をかけることになる。
Accounting:アカウンティング→ネットワークサービスやリソースを利用しているユーザがいつログインしてどのようなことを行っているか、行動を監視し記録すること
AAAの有効化
aaa new-model
ログイン時の認証方法の設定
aaa authentication login <default/リスト名> <認証方式1> [<認証方式2>]
認証方式の適用
line)#login authentication <default/リスト名>
☆RADIUS
認証やアカウンティングの機能を持ったプロトコル。UDPを使用するサーバクライアント型。認証には1812、アカウンティングには1813。
やり取りする際、パケットのパスワードだけが暗号化。コマンド制限不可。IEEE 802.1Xという不正なアクセスを防止するための規格でも使用されている。
☆TACACS+
認証、認可、アカウンティングの機能を持ったプロトコル。TCPを使用するサーバークライアント型。49ポート。やり取りする際にパケット全体が暗号化。コマンド制限可能。
ログイン認証→コンソールパスワード、VTYパスワード、ローカル認証
☆IEEE 802.1 X
社内ネットワークにアクセスする前に認証を行える。
構成
サプリカント→ユーザーが入力した認証情報をオーセンティケータに送信するPC側のソフトウェアEAPというデータリンク層のプロトコルを使用して運ぶ。LANで使用できるようにEAPOL(EAP or LAN)を使用する。
オーセンティケータ→PCから送信されてくるユーザ名やパスワードなどの認証情報をRADIUSサーバに中継する機器。IEEE802.1X対応のスイッチや無線のアクセスポイント。RADIUSクライアント。
認証サーバ→ユーザ認証を行う。IEEE 802.1XではRADIUSのみをサポートしているためRADIUSサーバが認証サーバとなる。
第15章 ワイレヤスLAN
・ワイヤレスLAN(無線LAN)
LANケーブルや光ファイバケーブルといった有線ケーブルを使用せずに、電波を使用した通信技術。
利便性とモビリティの向上、電波の干渉による通信への影響、セキュリティ実装の重要性、電波によるデータの転送。
チャネル→無線で利用できる周波数帯をいくつかに分割してできるうちの一つ。
2.4GHz帯→他の機器でも使用する周波数帯のため電波干渉が起こりやすいが、障害物があっても回り込んで伝わりやすい特徴がある。
電波干渉を起こさずに同時に使用するにはチャネルの間隔を5つ以上空ける必要がある。
5.0GHz帯→他の機器では使用されていない周波数なので安定した通信が可能ですが、障害物の影響を受けやすいという特徴。
・IEEE802.11
b 2.4GHz 11Mbps 1999年
a 5GHz 54Mbps 1999年
g 2.4GHz 54Mbps 2003年
n 2.4GHz/5GHz 600Mbps 2009年
ac 5GHz 6.9Gbps 6.9Gbps 2013年
ax 2.4GHz/5GHz 9.6Gbps 2020年
b→電波干渉を起こさずに同時に使用するにはチャネルの間隔を5つ以上空ける必要がある。同時に使用することができるチャネル数は最大で1,6,11,14(日本のみ)
g→使用可能なチャネル数は1ch~13chまでの13チャネル。1,6,11の3チャネルを割り当てるのが一般的。
a→使用可能なチャネル数は全部で19チャネル、周波数は重複していないため19チャネル全てを同時使用することが可能
n/ac→MIMO:送信と受信のアンテナを複数使用し、ストリームと呼ばれるデータの複数確立して通信を分散・同時送信することを可能にする技術
nでは最大4ストリーム。理論上4倍まで高速化。acでは最大8ストリームまで利用可能。
チャネルボンディング:ワイレヤスLANでは使用する周波数の幅が広ければ広いほど多くの電波を伝送できるため高速通信が可能。
隣り合うチャネルを束ねることで使用する周波数の幅を広げ高速通信を実現している。
nでは2つのチャネルを束ねて40MHzにし2倍、acでは最大8つのチャネルを束ねて160MHzの周波数の幅、8倍の伝送速度。
・ワイヤレスLANの通信方式
アドホックモード→アクセスポイントを使用せず機器同士で直接通信を行う。IBSSモードと呼ばれている。
インフラストラクチャモード
アクセスポイント(AP)→ワイレヤスLAN環境で使用される機器
BSS→単一のアクセスポイントとそのアクセスポイントの電波の届く範囲に存在するワイレヤスLANクライアント端末で構成されている範囲を指す
BSSID→BSSを識別するIDで、48ビットの値で構成されている。通常はアクセスポイントのMACアドレスと同じ値になる。
ESS→複数のBSSで構成された範囲を指す。
ESSID→ESSを識別するIDで、アクセスポイントを識別するために付けるID。最大32文字まで設定。
ローミング→ワイヤレスLANクライアントの電波状況に応じて接続するアクセスポイントを自動的に切り替える機能。
・ワイレヤスLANクライアントとアクセスポイントの間の接続
管理フレーム、制御フレーム、データフレームという3つのフレームを使用。
①アクセスポイントはビーコンという信号を周囲に対して定期的に送信している。ビーコンに含まれる情報にはESSIDや暗号化の方式などが含まれているため
ワイレヤスLANクライアントは接続可能なアクセスポイントの情報を取得することができる。ワイレヤスLANクライアントはESSIDの情報を確認後、③の認証フェーズに移る。
②ワイレヤスLANクライアントからアクセスポイントを探すことも可能で、その場合、ワイレヤスLANクライアントから接続したいアクセスポイントのESSID情報をプローブ要求で送信する。
アクセスポイントからプローブ応答が得られれば認証フェーズに移る。
③ワイレヤスLANクライアントとアクセスポイント間で互いに設定していた認証方式を用いて認証を行う。ワイレヤスANクライアントから認証要求を送信し、アクセスポイントが認証応答で認証の可否を返す。
④認証を行った結果、アクセスポイントから正しいクライアントと判断されるとワイレヤスLANクライアントからアソシエーション要求という接続要求を行う。
アクセスポイントは接続許可をアソシエーション応答で返答する。アソシエーション応答を受け取ることでワイレヤスANクライアントとアクセスポイントの接続が確立する。
⑤接続完了後、データの暗号化処理を行い送受信が行われる。
接続確立後に暗号化処理などを行いデータフレームの送受信を行う。制御フレームはコリジョン発生を制御するCSMA/CA方式に使用される。
☆ワイレヤスLANアーキテクチャ
自律型アクセスポイント(Autonomous AP)
アクセスポイント上でIOSが動作し、設定を行うことでワイヤレスLANを構築することができる。小規模なネットワークで使用。
集中管理型アクセスポイント(Lightweight AP)
アクセスポイント自体に直接設定を行うのではなく、ワイレヤスLANコントローラ(WLC)を介して一括で管理・設定を行う。中・大規模なネットワークで使用。
スプリットMACアーキテクチャ→ワイレヤスLANコントローラと集中管理型アクセスポイントを使用したワイレヤスLAN構成においてIEEE802.11における処理を分離する概念。
アクセスポイント→電波の送受信、データの暗号化と復号、ビーコンやプローブ応答など
ワイレヤスLANコントローラ→セキュリティポリシー、認証、ローミング管理、モビリティ管理など
CAPWAP→ワイレヤスLANコントローラと集中管理型アクセスポイント間のやり取りで使用されるプロトコル。CAPWAP制御メッセージとCAPWAPデータ.
FlexConnect→ワイレヤスLANコントローラとの接続が失われたとしても独立して動作することができます。
☆ワイレヤスLANのセキュリティ規格
WEP→40ビットまたは104ビットの固定長のWEPキーという共通鍵を用いて認証と暗号化を行う。パスワードの役割も兼ねている。RC4という暗号化アルゴリズムで暗号化する。現在では脆弱性が発見されているため使用しない。
WPA→1暗号化方式にTKIPを使用して堅牢なセキュリティを実現している。RC4を採用しているがTKIPを使用して一定時間ごとに暗号鍵を変更するなどの処理をすることで暗号の解読がより困難になっている。データ部分にMICというフィールドを付加し、メッセージの改ざんを検知できるようになっている
WPA2→暗号化方式にCCMPを採用しAESという暗号化アルゴリズムを採用。CCMPではCBC-MACという仕組みを使用してメッセージの改ざん検知をおこなう。現在、社内ワイレヤスLANにおいて最も普及している。事前共有鍵認証はWPA2パーソナル、IEEE802.1X認証はWPAエンタープライズとも呼ばれる。
WPA3 2017年にWPA2の脆弱性を突いたKRACK攻撃が発見されたため対策として発表された。2018年6月にはSAEという新しいハンドシェイクの手順を実装。一定回数のログイン失敗をした場合ブロックする機能が追加。
・ワイレヤスLANコントローラのポートの概念
物理ポートの役割
ディストリビューションシステムポート→ワイレヤスLANコントローラを有線LANに接続する物理インターフェイス。通常IEEE802.1Qトランクリンクでスイッチと接続する論理ポートと接続する。リンクアグリゲーション(LAG)を使用することで複数のポートを1つにバンドルし、帯域を向上させられる。
サービスポート→ワイレヤスLANコントローラへ管理アクセスするための物理インターフェイス。通常のデータとは異なるネットワーク上でデータの送受信を行うため、アウトバウンド管理(通常のトラフィックと管理トラフィックを分離した管理方式)
コンソールポート→ワイレヤスLANコントローラにコンソール接続し、CLI操作を行うためのポート。初期設定を行う際に利用。
冗長ポート→2台のワイレヤスLANコントローラの冗長ポートをLANケーブルで接続することで冗長化
論理ポートの役割
ダイナミックインターフェイス→アクセスポイントに割り当てられるSSIDやVLANとの紐づけを行うポート。IPアドレスを設定する。
バーチャルインターフェイス→モビリティ機能を提供するための仮想ポート。通常は使用しないIPアドレスを設定。
サービスポートインターフェイス→サービスポートと結びつけられるインターフェイス。アウトオブバウンド管理に使用される。
管理インターフェイス→WLCの管理用ポート。pingの宛先やWLC間の通信の制御などで使用され通常のデータと同じネットワーク上でデータの送受信するため
インバウンド管理(通常のトラフィックと管理トラフィックを分離した管理方式)となる。
☆ワイレヤスLANコントローラの設定
ダイナミックインターフェイスの設定(ダイナミックインターフェイスを作成し、使用するポート、VLAN番号、IPアドレスなどを設定する)
まず、[CONTROLLER] > [Interfaces]の順に選択し、インターフェイスの一覧画面を表示する。
次に[NEW]をクリックしてインターフェイスの新規作成を行う。(初期設定で管理インターフェイスとバーチャルインターフェイスは作成されている)
次に新規作成画面から「Interface Name」と「VLAN id」を指定する。指定後、右上の[Apply]を選択する。
ダイナミックインターフェイスの詳細な設定画面に切り替わり、使用する物理ポートおよび、IPアドレス、サブネットマスク、ゲートウェイのアドレスを入力する。
ワイレヤスLANクライアントにDHCPによるアドレスの自動割り当てを行う場合は「Primary DHCP Server」の項目でDHCPサーバのIPアドレスを入力する。
必要な項目を入力後、画面右上の[Apply]を選択し設定を完了する。
SSIDの作成→アクセスポイントに割り当てるSSIDを設定するには、[WLANs]を選択する。選択すると現在定義されているワイレヤスLANの一覧が表示される。
新たに作成する場合は、右上の[Create New]をメニュー選択している状態で「Go」を選択して新しいSSIDを作成。
次にWLANに割り当てるプロファイル名とSSIDをそれぞれ「Profile Name」と「SSID」の欄に入力し画面右上の[Apply]を選択する。(デフォルトでIDは自動で一意の番号が割り当てられる)
WLANの詳細な設定画面に切り替わる。複数のタブにより、さらに項目が分かれている。
Generalタブの設定→プロファイル名およびSSID名の変更、作成したWLANの有効/無効の切り替え、有効にするIEEE802.11規格、紐づけるインターフェイスの指定などを行う。
Radio Policyでは使用するIEEE802.11規格を選択することができる。
Interface/Interface Group(G)では、紐づけるインターフェイスを選択することができる。作成したダイナミックインターフェイスなどが表示される。
双方ともドロップダウン式で項目を選択できる。
Securityタブの設定①Layer 2タブ
使用するワイレヤスLANセキュリティ規格の設定を行う。
画面を少しスクロールした先にある「Authentication Key Management」の項目で認証方法を設定する。
事前共有鍵認証を行う場合は「PSK」(パスフレーズ(事前共有キー)の入力を行う必要がある)を、IEEE802.1X認証を行う場合は「802.1X」を選択する。
②Layer 3タブ
レイヤ3のセキュリティ機能であるWeb認証の設定を行うことができる。
Web認証とはWebブラウザを使ってネットワークにHTTPまたはHTTPSでアクセスする際にユーザ認証を行う機能。
Web認証を有効化することでWebアクセス時にユーザに対してユーザIDとパスワードを入力するWeb認証ページを表示し、正しい情報を入力したユーザのみに対してWebアクセスを許可。
主に公共のFree Wi-Fiサービスや、社内に来訪したゲストに対してインターネット接続サービスを提供する際に用いられる。
Web認証機能を有効にするには「Layer 3 Security」のドロップダウンから「Web Policy」を選択し、表示される項目の中から「Authentication」にチェックを入れる。
Web認証にはワイレヤスLANコントローラに作成したデータベースを使用したローカル認証もしくはRADIUSサーバなどを使用した外部サーバによる認証の方法がある。
なお、「Passthrough(パススルー)」の項目を選択すると、ユーザ認証を行うページを表示せずに利用契約や警告といったページのみを表示することができる
③AAA Serverサブ
使用するRADIUSサーバーなどの認証サーバーなどの指定を行う。
QoSタブの設定→ワイレヤスLANにおけるQoSを実装することができる。
QoSレベル 説明
Platinum(voice) Voice over Wireless LAN用の高品質のサービスを提供
Gold(video) 高品質のビデオアプリケーション用のサービスを提供
Silver(best effort) クライアント用の通常の帯域幅を提供。デフォルトの指定
Bronze(back ground) ゲストサービス用の最小の帯域幅を提供
WLANのQoSレベルを変更するには「Quality of Service(QOS)」のドロップダウンから任意のレベルを選択する。
RADIUSサーバの指定→RADIUSサーバを用いたIEEE802.1X認証を行うには、まずワイレヤスLANコントローラ上でRADIUSサーバのIPアドレス、RADIUSサーバとワイレヤスLANコントローラ間で行う認証のパスワードなどを登録する必要がある
[SECURITY]>[AAA]>[RADIUS]>[Authentication]の順に選択し、登録されているRADIUSサーバの一覧画面を表示する。次に[New]をクリックしてRADIUSサーバの新規登録を行う。
次に新規登録画面からRADIUSサーバのIPアドレス、事前共有キー、ポート番号などを入力する。事前共有キーには英数字を指定するASCIIもしくはHex(16進数文字)が指定可能。
必要な項目を入力後、画面右上の[Apply]を選択し登録を完了する。再度RADIUSサーバの一覧画面が表示される。
IEEE802.1X認証の設定→[SECURITY]>[Layer2]タブで設定した認証方式を「PSK」から「802.1X」の項目に変更する。
次に[AAA Server]タブで使用する認証に用いるRADIUSサーバを指定する。
「Authentication Servers」の項目のドロップダウンから、登録したRADIUSサーバを選択する。RADIUSサーバは複数登録することができる。
・その他の設定
リンクアグリゲーション(LAG)の設定→ワイレヤスLANコントローラでも設定することができる。
物理ポートであるディストリビューションシステムポートすべてをバンドルし、1つのポートチャネルにまとめることで帯域幅の向上を実現、冗長構成としても機能し耐障害性がアップする
なお、ワイレヤスLANコントローラはLACPやPAgPのプロトコルをサポートしていないため、EtherChannelのモードはonで設定する必要がある。
リンクアグリゲーションを有効化するには、[CONTROLLER]>[General]タブ内の「LAG on next reboot」のドロップダウンから「Enabled」を選択し、[Apply]を選択する。
次回起動時にリンクアグリゲーションが有効になる。
ACLの作成と適用→ワイレヤスANコントローラにACLを作成し適用することでクライアント端末の通信をフィルタリングすることができる。
ACLを作成するには[SECURITY]>[Access Control Lists]>[Access Control Lists]タブを選択し、画面右上の[NEW]を選択する
次にACLの名前とIPv4かIPv6どちらかを選択し[Apply]を選択する
ACLが作成されるため続いて作成したACLを選択する。
選択したACLの詳細画面へと切り替わる。画面右上の[Add New Rule]を選択する
条件を指定して画面右上の[Apply]を選択する。なお、ワイレヤスLANコントローラのACLはワイルドカードマスクではなくサブネットマスクで指定する。
作成したACLは2つの場所に適用することができる。
ダイナミックインターフェイスや管理インターフェイスにACLを適用すると、そのインターフェイスを通過して送受信されるパケットに対してフィルタリングすることができる。
ACLを適用するには[CONTROLLER]>[Interfaces]を選択し、任意のインターフェイスを選択する。
インターフェイスの詳細設定画面が表示されるので、画面下部の「Access Cotrol List」の項目から適用するACLを選択する。最後に右上の[Apply]を選択し、設定を完了する
CPU ACLを適用すると、管理インターフェイスに対して送信されるパケットをフィルタリングし、WLCを保護できる。
[SECURITY]>[Access Control Lists]>[CPU Access Control Lists]タブを選択し、[ACL Name]の項目から適用するACLを選択する。最後に画面右上の[Apply]を選択し、設定を完了する。
第16章 ネットワークの自動化とプログラマビリティ
☆SDNの概要
SDN→ソフトウェアによりネットワークを管理・制御するための新しい考え方と、それに基づいたネットワークを構成するための技術のこと。
従来のネットワーク構成ではそれぞれの機器上でコントロールプレーンとデータプレーンが動作し、機器を1つ1つ設定・管理する必要がある。
これに対してSDNではデータプレーンの処理とコントロールプレーンの処理を分けて考える。
ネットワーク上に配置された各機器はデータプレーンの機能である転送処理だけを行い、コントロールプレーンで行う各種テーブル作成などの処理はネットワーク上に配慮したSDNコントローラで集約し一括で行う。
従来のネットワークでは機器ごとに個別に設定を行いコントロールプレーンもそれぞれの機器に分散されているネットワーク構成になる。
それに対してSDNを実装したネットワークではSDNコントローラ上にコントロールプレーンの機能が集約されSDNコントローラで集中管理・集中制御を行う。
この構成では各ネットワーク機器上ではデータプレーンのみが動作する。
SDNではSDNコントローラですべてのコントロールプレーンの機能を集中管理・集中制御する。各ネットワーク機器ではデータプレーンの機能のみが動作し、コントローラからの制御によってデータ処理を行う。
・SDNのアーキテクチャ
インフラストラクチャレイヤ→データ転送を実際に行うネットワーク上に配置されたルータやスイッチなどの機器が設当するレイヤ。
データブレーンの機能を実現する。コントロールレイヤからの制御により動作し、データ転送の役割を担う。
コントロールレイヤ→SDNコントローラが該当するレイヤ。
コントロールプレーンの機能を実現。インフラストラクチャレイヤのネットワーク機器を制御し、同時にインフラストラクチャレイヤの各機器のネットワーク機能をアプリケーションレイヤに提供する。
またアプリケーションレイヤとインフラストラクチャレイヤの橋渡しを行う。
アプリケーションレイヤ→SDNコントローラを操作する各種アプリケーションが該当するレイヤ。これらのレイヤ間でやり取りする際に使用されるのがAPI。
・API
他のプログラムなどの機能を使用するための仕様。
サウスバウンドAPI(サウスバウンドインターフェイス)→コントロールレイヤとインフラストラクチャレイヤをつなぎ、やり取りするためのプロトコルやAPIをまとめて呼ぶ。
コントロールレイヤから見て、下(南)に位置するためこのような名前が付けられている。
【OpenFlow、NETCONF、RESTCONF、OpFlex】といったプロトコルがある。
また、従来の機器でも使用可能な TELNET、SSH、SNMPといったプロトコルを用いてSDN コントローラからネットワーク機器を制御することもあるため、これらのプロトコルもサウスバウンドAPIに含まれます。
ノースバウンドAPI(ノースバウンドインターハイフェイス)→アプリケーションレイヤとコントロールレイヤをつなぎ、やり取りするためのAPIをまとめて呼ぶ。
コントロールレイヤから見て、上(北)に位置するためこのような名前が付けられている。
サウスバウンドAPIとは異なり、標準的なプロトコルやAPは存在しない。SDNコントローラを提供する各ベンダーによってAPIが提供されている。
SDNコントローラと、SDNコントローラを操作するアプリケーションがインストールされた端末は、多くの場合ネットワーク上の異なる場所に配置される。
そのため、アプリケーションとSDNコントローラはネットワークを介してデータのやり取りを行う。
HTTPやHTTPSを用いてやり取りを行う場合、【REST API (RESTful API)】というAPIを使用している。この場合はノースバウンドAPIにREST APIが使用されていることになる。
・OpenFlowの概要
SDNを実現するための技術の1つに、ONF (Open Networking Foundation) という、SDNのアーキテクチャ開発と標準化を推進する団体によって確立されたプロトコルであるOpenFlowがある。
OpenFlowにより、コントロールプレーンとデータプレーンの処理を分離させることができ、【OpenFlowコントローラ】と【OpenFlowスイッチ】で構成される。
OpenFlowによってこれら2つのやり取りは行われる。
・OpenFlowにおける通信の流れ
OpenFlowでは、OpenFlowコントローラによってOpenFlow スイッチの動作を一括
管理・制御します。
ネットワーク管理者がOpenFlowコントローラ上で【フローテーブル】というデータ転送を行うための通信ルールを定義したテーブルを作成すると、そのフローテーブルがOpenFlowコントローラからネットワーク上のOpenFlow スイッチへと配布される。
各OpenFlowスイッチは配布されたフローテーブルの条件に従いデータの転送を行います。OpenFlowを実装したSDNでは、OpenFlowスイッチはそれぞれが保持しているフローテーブルに従って通信を転送するため、【ホップバイホップ方式】と呼ばれる通信転送方式となる。
OpenFlowのフローテーブルを用いた転送方式は条件や動作を細かく制御することができるため、柔軟なネットワークを構築することができるという特徴がある。
また、従来のネットワークとは異なりコントローラによる一括管理を行うことにより、それぞれの機器に個別に設定を行う必要もなくなる。
ただし、フローテーブルの設定や維持・管理が難しいことや、ネットワーク内のすべての機器がOpenFlowに対応している必要がある
・OpenDaylight
ベンダーの垣根を越えたOpenFlowコントローラを共同開発するためのプラットフォームとして、OpenDaylightプロジェクトにより開発されたオープンソースのSDNコントロープです。
OpenFlowのみならず、様々なノースバウンドAPIに対応した汎用的なコントローラとなっており、各ベンダーはOpenDaylightを利用して独自のSDNコントローラを開発することが可能。
Ciscoでは、このOpenDaylightコントローラを基にしたCisco Open SDN Controler
をリリースしたが、現在では生産・販売は行っていない。
・Cisco ACIの概要
Cisco ACI (Cisco Application Centric Infrastructure)→Ciscoによって提供されているデータセンター向けのSDNソリューション。
SDNコントローラにはCiscoによって提供されている【APIC (Application Policy Infrastructure Controller)】を、サウスバウンドAPIにはCiscoが独自に開発した【OpFlex】を使用します。またネットワーク機器には、データセンター向けのCisco製スイッチNexus 9000シリーズを使用する。
OpFlex→OpenFlow と比較して、シンプルなネットワークポリシーを定義するだけで
SDNを構築することができるという利点がある。
・スパイン/リーフ型の物理トポロジ
Cisco ACIでは従来の3階層モデルに代わり、【スパイン/リーフ型】というファブリック型ネットワークトポロジを採用している。
従来のネットワークは2階層もしくは3階層の階層モデルによって構成されていた。コア層の機器から複数の機器へ枝分かれしているように見える構成のため【ツリー型】とも呼ばれている。
それに対してファブリック型ネットワークは、ネットワーク構成をその名の通り繊維のようなメッシュ構造にすることで高可用性・
帯域の向上・拡張性の向上を実現することができる。データセンターのようにサーバの仮想化が一般化したネットワークに適しています。
Cisco ACIのスパイン/リーフ型ネットワークでは、ファブリックネットワークを【スパインスイッチ】と【リーフスイッチ】によって形成する。
スパイン/リーフ型の構成の特徴
①各リーフスイッチはすべてのスパインスイッチに接続する。つまり、各スパインス
イッチはすべてのリーフスイッチに接続する
②リーフスイッチは相互に接続できない
③スパインスイッチは相互に接続できない
④エンドポイントであるサーバなどはリーフスイッチにのみ接続する
スパイン/リーフ型の構成では、リーフスイッチもすべてレイヤ3スイッチで構成されるため、従来の構成ではディストリビューション層の機器に集中していた負荷をリーフス
イッチに分散することができる。
また、2階層のシンプルな特成を取ることにより、エンドポイントの接続ポートを増やす場合はリーフスイッチを、帯域を増やす場合はスパインスイッチを増やすといったようにネットワークの拡張もスムーズに行うことができる。物理構成が簡素化する、配線の煩雑さが抑えられるといった利点も挙げられる。
・インテントベースネットワーク
CisooACIは、【インテントベース(意図ベース)ネットワーク (Intent Base Network)】
の構築を実現することができる。
具体的には、リーフスイッチに接続しているエンドポイントのサーバなどを、物理的な配置ごとではなく機能ごとなどの分類によって【EPG (End Point Group)】というグループに分ける。
そして、EPG間の通信の許可・拒否を定義した通信ポリシーを作成し適用することで、それらの設定に基づいて動的にネットワークを構成してる。
グループ単位でポリシーを決定することができるため、シンプルな定義のみでネットワーク全体の通信ルールを設定することができる。
・APIC-EM
企業ネットワーク向けのSDNコントローラ。既存のネットワーク機器をTelnet、SSH、SNMPといったプロトコルを使用して制御できる。
⭐︎Cisco SD-Accessの概要
Cisco SD-Access (Cisco Software-Defined Access) →Cisco が提供する企業向けの新しいSDNソリューション。SDNコントローラには後述するCisco DNA Centerを使用し、Web GUIで提供されている各種アプリケーションや、自作プログラムによって制御することができる。
ファブリックネットワーク(インフラストラクチャレイヤ)を構成するのは、社内ネットワークの各機器。
Cisco SD-Accessのアーキテクチャではファブリックネットワークにおいてアンダーレイネットワーク、オーバーレイネットワークという考え方を取り入れている。
・アンダーレイ
オーバーレイの機能を提供するための基盤となる物理ネットワーク。Cisco SD-Accessファブリックネットワークのアンダーレイを構成する機器は、ファブリックネットワーク上で配置される位置と役割から、大きく次の3つに分類される。
①ファブリックエッジノード
エンドポイントデバイスに接続する機器,従来のアクセス層のスイッチに該当する。
②ファブリックボーダーノード
Cisco SD-Accessの制御外の機器であるWANルータなどと接続する機器。
③ファブリックコントロールノード
後述するLISPのマップサーバ(LISP Map Server) として動作する機器。
・オーバーレイ
アンダーレイの上に構築される論理的なネットワーク。VXLANとLISPという2つの機能から成り立っている。
①VXLAN
レイヤ2フレームをカプセル化することで、物理的に異なるレイヤ3ネットワーク上に論理的なレイヤ2ネットワークを構築することができる技術。
もともと論理的にネットワークを分割する技術にVLANがあったが、VLANは番号が1から4094までのため、約4000のネットワークしか作成することができない。
一般的な企業LANでしたら十分な数だが、データセンターのような大規模ネットワークでは数が不足してしまう可能性がある。
ネットワークの分割は、IPサブネットでも行うことができる。サブネットによる分割を行えば4000よりももっと多くのネットワークに分割することができるため、ネットワークの数が不足するといった問題は解消できる。
しかし、サーバの仮想化が主流になった近年では、物理サーバ間での仮想マシンの移動やコピーといった、エンドポイント間の横の移動が多く発生する。
ネットワークが異なる物理サーバ間で移動が発生した場合、移動前と移動後ではネットワークが異なるので、同じIPアドレスが使用できない。
これらの問題を解決するために新たに考えられた技術がVXLAN。元のEthernetフレームをカプセル化し、VXLANヘッダ内に格納されたVXLAN Network ID (VNI) によってネットワークを識別することができる。VNIは24ビットのフィールドで構成されているため、VXLANでは約1600万ものネットワークを識別することが可能となる。
VXLANを使用することで、同じVNIが割り当てられたデバイス同士は、物理的なレイ
ャ3ネットワークをまたいで同一のネットワークを構築することが可能になる。
IPアドレスのID(端末の識別子)としての役割と、ロケータ(ネットワーク内での端末の位置)としての機能を分離してルーティングを行うトンネリングプロトコル。
【EID】と【RLOC】という値を用いて通信を行う。
EID→エンドポイントの端末のIPアドレス
RLOC→LISPが有効になっているルータのIPアドレス
エッジノート間でVXLANによる仮想的なトンネルが作成され、通信が転送される。エッジノードにはルーティングテーブルのような情報は必要なく、データプレーンの動作である通信の転送のみを行う。
⭐︎Cisco DNA Centerの概要
Cisco SD-Accessで使用されるSDNコントローラ。
ノースバウンドAPIはREST APIを、サウスバウンドAPIはTELNET、SSH、SNMP、NETCONF、RESTCONFといった複数のプロトコルをサポートしている。
そのため、NETCONF、RESTCONFに対応している比較的新しいネットワーク機器だけではなく、これらのプロトコルに対応していない既存のネットワーク機器も従来通り管理することが可能。
Cisco DNA Centerを利用することにより、SD-Accessで構成されたネットワークをGUIによって一元管理したり、自動化の機能を利用することができる。
スケーラブルグループ→ 管理者がエンドポイントのユーザやデバイスをグループとして定義し、一意のSGT (Scalable Group Tag:スケーラブルグループタグ)を割り当てる。そしてGUIを用いてそのSGTごとに許可や拒否のポリシーを適用していく。
管理者は適用する機器を考える必要がなく、Cisco DNA Centerにポリシーを指定するだけで完了する。具体的な設定はサウスバウンドAPIを通じてCisco DNS Centerからファブリックネットワーク全体へと自動で行われる。
・Cisco DNA Centerの特徴
GUIによる一元管理→管理者がポリシーやネットワークの設定を行うための機能がGUIで提供されている。例えば、トポロジマップを自動で作成する機能により、管理者はネットワークの全体構成を簡単に把握することができる。
ネットワーク機器のフラグアンドプレイ→従来のネットワーク機器では初期段定はCLIまたはGUIで1台ずつ個別に設定を行う必要があったがDNA Centerが導入されたネットワークでは、接続すると自動的にDNA centerに認識される。そしてDNA Centerから初期設定などか自動で行われ、接続後すぐにネットワーク内の機器として動作を開始する。
ネットワーク全体の可視可→Cisco DNA Centerで各ネットワーク機器の情報を収集し、運用監視視に必要な情報を可視化することでスムーズな運用監視を実現する。
Easy QoSの機能→従来のQoSの設定では機器や機種ごとに最適なQoSポリシーを管理者が判断して適用する必要があり、運用や管理に非常に手間が掛かってしまう問題がありました。Easy QoSではそのQoSの設定をGUIからポリシーを選択して機器に適用するだけで簡単に設定ができる。
・ネットワークの自動化とプログラマビリティ
昨今のクラウドサービスの利用拡大やネットワークの複雑化により、ニーズが多様になる。ネットワーク管理者がその都度機器の設定を行っていたのであれば、迅速に対応するのは難しい。
プログラマビリティ→ プログラム言語を使用し、ネットワークの管理運用を行うということ。Cisco DNA Centerにもある機能。
⭐︎REST APIの概要
REST API (RESTfuI API)→RESTというアプリケーションの設計思想に従って作成されたAPIを指す。
REST (REpresentational State Transfer)の設計思想。これらすべての項目を満たすAPIがREST APIとなる。
①クライアント/サーバ型の構成となっていること
②ステートレスであること
③キャッシュの可否を制御できること
④統一されたインターフェイスであること
⑤階層化されたシステム構成であること
⑥コードオンデマンドであること
・HTTPの概要
多くのREST APIはHTTPプロトコルを使用する。これはHTTPが、クライアント/サーバ型の構成、ステートレス、キャッシュ可否などの機能をサポートしており、RESTの原則と親和性が高いためです。そのため、以降ではHTTPを使用してリソースの操作を行う方法について解説していく。
リソースの操作は、リソースを識別するURIと、リソースへの命令であるHTTPメソッドによってなされる。
URI→リソースが行在する位置を示す文字列。
構造
(httos ①)://(00.com ②)/(shop/sampleapi/vl ③)/[?keyword=French ④]
それぞれの意味
①使用するプロトコルを表している。今回はHTTPSを使用しる。
②リソースを保持しているホストを表している。名前解決されたホスト名もしくはIP
アドレスが該当する。
③リソースが保持されているホスト内のパスを表す。
④一覧の中から特定の情報のみを検索するなど、クライアントからサーバ側へ値を渡す必要がある場合は上記のURIの後ろにパラメータを追加することができる
・HTTPメソッド
HTTPではHTTPメソッド(HTTPリクエストメソッド)呼ばれるリソースに対して実行した操作を示すいくつかのアクションが用意されている。クライアントが指定したHTTPメソッドに応じて、サーバは自身のリソースに対して送信・更新・削除などの動作を実行する。
このようなリソースに対して行う主要な動作を【CRUD】と呼ぶ。
CRUD HTTPメソッド 意味
------------------------------
Create Post/PUT 作成
Read GET 読み取り
Update PUT 更新
Delete DELETE 削除
・汎用的なデータ形式
クライアントとサーバはREST APIを通してデータのやり取りを行うが、その際双方で扱っているプログラム言話が異なると、受け取ったデータをうまく処理することができない。サーバとクライアント間で正常にデータの受け渡しができるように、データを汎用的なデータ形式に変換(シリアル化)し通信を行うことが一般的。
このデータ形式には【JSON、XML、YAML】といったものがある。
JSON (JavaScript Obiect Notation) →人間と機械の双方にとって可読性のバランスに優れたデータ形式です。人間にとってはデータ形式が簡易で読み書きがしやすく、機械にとってはJSONからプログラム言語への変換が容易に行えます。
・JSONのデータ形式のルール
1.「{}」(波括弧)で囲まれたデータの塊を【オブジェクト】という
2.データ全体を「{}」(波括弧)で囲む
3.オブジェクトは【メンバ】で構成されている
4.メンバは「"キー":値」のペアで構成されている
5.キーは必ず「"」(ダブルクォーテーション)で囲み、次にメンバが続く際はメンバ
間を「,」(カンマ)で区切る
6.オブジェクト内の最後のメンバには「,」(カンマ)は付けない
7.値には文字列、数値、配列、オブジェクトを指定することができる
8.値が文字列の場合、「"」(ダブルクォーテーション)で囲む
9.値が数値の場合、引用符(' や")は付けない
10.配列は[値1,値2,値3,…]のように、複数の値を「[]」(大括弧)で囲む
11.配列内のそれぞれの値の間を「,」(カンマ)で区切り、最後の値には「,」(カンマ)
は付けない
12.オブジェクトは{メンバ1,メンバ2,メンバ3,...}のように、複数のメンバを「{}」(波括弧)で囲む
13.オブジェクト内のそれぞれのメンバの間を「,」(カンマ)で区切り、最後のメンバ
には「,」(カンマ)は付けない
JSON形式のデータではキーに意味を持たせることで、値がどういった要素であるかを明確にすることができます。
・XMLのデータ形式
XMLはマークアップ言語の1つで、データをタグで囲むことで表現する。<⚪︎⚪︎⚪︎>-</⚪︎⚪︎⚪︎>のように開始タグと/(スラッシュ)が記載された終了タグで囲む必要がある。タグ内の要素名は自由に決めることができるためデータが何を意味しているか直感的に理解できるという特徴がある。
例 <name> James</name>
<age>24</age>
・YAMLのデータ形式
YAMLはスペースによるインデントを使って構造化されたデータを表現する。視覚的にも読みやすいという特徴がある。設定を定義するファイルなどで用いられることが多く、後述するAnsibleの設定ファイルなどでも利用されている。
例 languages:
ーEnglish
ーSpanish
ネットワークを安定して稼働させ、各機器間で正しい設定に保つためには、構成管理を適切に行う必要がある。なおここでの構成管理とは、各ネットワーク機器設定を意図した状態に保つことを指す。
從来の構成管理の問題点
以下のような手順
①対象デバイスにログイン
②設定コマンドの実行
③copy running-config startup-confgコマンドで設定を保存
④設定した内容をファイルに保存して保管
⑤修正を行ったら設定投入後、ファイルを更新して保管
・構成ドリフト
管理者間での情報共有の不足やファイルの管理の未徹底などにより、本来同一の設定が行われているべき機器間で発生する設定の差異を指す。
①ネットワーク機器上のrunning-configからは変更履歴を確認できない
②変更が数多く実施された場合に、どのバージョンが最適であるかの判断が難しい
③実際の設定と管理されているファイルのどちらが正しいかを分析するには高度な知識が必要
こういった人的ミスから構成ドリフトが発生しないように、構成管理を自動化する+菜
管理ツールが開発された。
・構成管理ツールの概要
構成管理ツールを使ったアーキテクチャでは、各機器の設定ファイルを共有フォルダで一元的に管理する。そして、構成管理ツールをインストールしたサーバが、共有フォルグ上の設定ファイルを参照して機器に対して設定を行う。そのため、管理者は共有フォルダ上の設定ファイルを紹集するだけで、機器に変更を加えることができる。
構成管理ツールの導入によって、設定投入の一元化が可能になり、人的ミスの低減作業時間の短縮などの効率化を図ることができる
・Ansible、Puppet、Chef
構成管理ツールの代表的なもの
Ansible →RedHad社が開発するオープンソースの構成管理ツール。構成管理サーバ側から各ネットワーク機器へ設定を送るPush型の通信形態。エージェントレスモデル(エージェントと呼ばれるソフトウェアをインストールするなく設定を流し込むこと)を採用。
・構成ファイル
YAMLを使って記述する。
①プレイブック(Playbook)
構成管理の対象デバイスやAnsibleが実行すべきタスク(コマンド等)を記述するファイル
②インベントリ(Inventory)
構成管理の対象となるデバイスリストを記述するファイル
③テンプレート(Template)
複数のデバイスに共通の設定内容について記述するファイル
④変数(Variablnt)
各デバイス固有の設定項目について記述するファイル
Puppet→Puppet Labs本社が開発するオープンソースの構成管理ツール。
クライアント側にもソフトウェアのインストールが必要なエージェントモデルを採用。
ネットワーク機器が構成管理サーバから設定を習得するPull型の通信形態。TCPB140番ポート
Puppet独自の言語
①マニフェスト(Manifest)
デバイスの設定終了時のあるべき状態を記述したファイル
②リソース(Resource)
構成管理の最小単位・構成管理対象:ファイルやユーザ、サービスとそれらのパラメータを記述したコード
③クラス(Class)
複数のリソースをまとめた単位・コード
chef→Chef社が開発するオープンソースの構成管理ツール。
管理対象のデバイスがchefに対応している必要があるため、Cisco機器の構成管理にはあまり採用されない。PULL型
プログラミング言語のRubyで記述する。
①リソース(Resource)→リンクに構成管理の最小単位、構成管理対象と実行すべき作業が記述されたコード
②レシピ(Recipe)
リソースをまとめたファイル。条件分岐やその繰り返し等のステートメントでリソースを操作
③クックブック(CookBooks)
レシピを含め、その他レシピの実行に必要なファイルやデータがまとまったディレクトリ
④ランリスト(Runlist)
特定のデバイスに対して使用するレシピのリスト
章外 EIGRP
・EIGRPの特徴
シスコ独自のプロトコル
ルーティングアルゴリズムは「DUAL」
部分的なアップデート
メトリック:デフォルトでは帯域幅・遅延、オプションで信頼性・負荷・MTUを追加可能
アドミニストレーティブディスタンス:90
使用するテーブル:ネイバーテーブル・トポロジテーブル・ルーティングテーブル
AS番号:インターネットを構成する個々の独立したネットワーク(AS:自律システム)に対して割り当てられる一意の識別番号。
2バイトまたは4バイトの値で各国のNICが発行している。
K値:メトリック計算に使用される係数(値)10100
②サクセサおよびフィージブルサクセサの選出について
DUALにおいて「FD」と「AD」を算出
FD(フィージブルディスタンス)=自身から宛先NWまでのメトリック
AD(アドバタイズドディスタンス)=隣接ルータから宛先NWまでのメトリック
最もFDが小さいルート=サクセサ
サクセサのFD>AD=フィージブルサクセサ
サクセサ→トポロジテーブル+ルーティングテーブルに登録
フィージブルサクセサ→トポロジテーブルに登録
③ネイバーの確立について
AS番号・K値は必ず一致させること
※一致しない場合ネイバー確立しない
④不等コストロードバランシング=バックアップルート(メインルートじゃないルート)をルーティングテーブルに登録し、トラフィックを負荷分散する機能
この記事が気に入ったらサポートをしてみませんか?