書籍を読んでまとめたものを記載する。
ネットワークの種類
・一般利用者向け
電子メールやウェブプラウザなど利用するアプリケーションの種類が少ない。
また、ネットワークの物理的な規模が小さい。
・法人向け
利用するアプリケーションの種類が多い。
また、社内専用ネットワークなどの考慮すべきものが多く規模が大きい。
・サービスプロバイダー向け
企業に通信回線サービス(WAN)を提供するために、通信事業者やISPによって構築されている。
ネットワークの形態
・ネットワークは、範囲に応じてLANとWANの2つに分けられる。
・LANは会社のビル構内や家庭内といった、比較的狭い範囲でのコンピューターネットワークのこと。
・WANは遠く離れたLAN間を相互に接続する、通信事業者の網を使用して構築されたネットワークのこと。
・イントラネットは、インターネットの技術を利用して構築された、企業内の独自ネットワーク。
一般的なネットワーク構成
・企業内ネットワーク構成は、大規模拠点、中規模拠点、小規模拠点に区分けされる。
・小規模拠点は、3フロア以内でのシンプルなネットワーク構成になる。
・中規模拠点は、複数フロアでの、冗長構成を考慮したネットワーク構成になる。
・大規模拠点は、多数フロアでの、あらゆる局面で冗長構成を考慮したネットワーク構成になる。
OSI基本参照モデル
・「あ・ぷ・せ・ト・ネ・デ・ブ」で覚える。
・プロトコルとは、コンピュータ間で通信するための共通手順を取り決めたもの。
・OSI基本参照モデルは、異なるメーカーのコンピュータやシステムを相互接続することを目的として制定されたもの。7階層に分けてモデル化している。
・OSI基本参照モデルの各階層ごとのPDU(制御情報とデータによって構成されている単位)の呼び名は違う。
第4層 トランスポート層:セグメント
第3層 ネットワーク層:パケット
第2層 データリンク層:フレーム
LAN
・各拠点ではルータがLANとWANの境界になる。
・イーサネットの通信ではMACアドレスという端末固有のアドレスを使用しています。
・異なるネットワーク間の通信のことを現場用語でルータ越えという。
・UTPケーブルには、ストレートケーブルとクロスケーブルがある。
・ストレートケーブルは、PC端末とスイッチ間、スイッチとルータ間に接続に使う。
・クロスケーブルは、スイッチ同士や、ルータとPC端末を直接接続する際に使う。
IPアドレス
・IPv6は、IPv4アドレス枯渇問題に対処する方法の1つとして策定されたIPv4の後継規格。
・IPv6アドレスは128ビットで構成され、約340潤のアドレスを使用できる。
・IP6vアドレス表記のポイントは以下。
・16ビットごとに区切って16進数で書く。
・区切り文字は「:」
・IP6vアドレスのうち、ネットワークアドレス部分に当たる部分をプレフィックスと呼び、その長さを「/」の後に書く。
・IP6vアドレスでは以下の省略表記ができる。
・各ブロックの先頭の連続する「0」は省略可能。
・「0000」は「0」と表現する
・連続する「0」のブロックは、1回に限り「::」に置き換え可能。
WANとは
・WANの構成
・宅内装置(アクセスルータ)
・回線終端装置
・アクセス回線
・WAN中継網
・アクセスルータは、WANに繋ぐためのルータ。LAN側とWAN側のパケットの橋渡しをする。
・アクセスルータのWAN側のインターフェースが、LANとWANの責任分解点。
・回線終端装置は、WAN伝送方式とLAN伝送方式を変換する。例えば、WANの光ファイバーケーブルの光信号とLANno UT Pケーブル(イーサネット)の電気信号を変換する。
・アクセス回線は、WANのアクセスポイントまで接続する回線です。
・WAN中継網は、アクセスポイント同士を中継する役割を担う。
WAN回線のサービス
・WANサービスの枠組みは、大きく次の2つに分類できる。
・通信事業者が提供する通信網
・インターネット網
・通信事業者が提供する通信網には、IP-VPN網や広域イーサネット網がある。
・IP-VPN網は、通信事業者が自前で構築した閉域IP網。用途として次の3つが挙げられる。
・中規模から大規模拠点ネットワークでの利用
・セキュリティが重視されるネットワークでの利用
・通信品質が求められるネットワークでの利用
・インターネットVPNは、インターネット上で実現されるVPN。用途としては次の2つ。
・小規模から中規模拠点ネットワークでの利用
・多店舗での利用
・広域イーサネット網は、通信事業者が自前で構築した閉域網。拠点間にネットワークはまたがるが、あたかも1つのLANであるかのようにネットワーク構成することができる。広域イーサネット網には次のような利点と欠点がある。
・IP上の多様なルーティングプロトコロを設定可能
・ルーティング情報の管理など、運用面が頻雑となる。
・インターネット網は、利用コストがかからない。その代わりセキュリティ面が脆弱になるため、自らがセキュリティ対策を施す必要がある。
リピータハブとブリッジ
・ネットワーク環境の変化により、CSMD/CD方式によるデータの衝突(コリジョン)の問題が大きくなり、リピータハブは使われなくなりました。
・コリジョンドメインを分割するネットワーク機器として、スイッチとブリッジがあります。
・コリジョンドメインの問題は、フレーム中の宛先MACアドレスとブリッジ(またはスイッチ)の持つMACアドレステーブルを照らし合わせるフィルタリング処理によって解決されます。
スイッチの基本
・リピータハブは装置自体がコリジョンドメインだが、ブリッジやスイッチは各ポートがコリジョンドメイン。
・ブリッジは、フレームの解析と転送処理をソフトウェアで行うが、スイッチはこれをハードウェアで処理する。ハードウェアによる高速なデータ解析と転送処理により、今では完全にスイッチが主役となる。
・スイッチはOSI基本参照モデルの第2層(データリンク層)に対応する中継機。これをレイヤ2スイッチと呼ぶ。
・レイヤ2スイッチは、MACアドレステーブルを参照してフレームの転送先ポートを決めるが、宛先MACアドレスがブロードキャストアドレス(FFFF:FFFF:FFFF)になっているブロードキャストフレームについては、全てのポートに転送する。ただし、VLAN機能があればこれをコントロールできる。
・スイッチは、接続している端末のMACアドレスを自動的に学習し、MACアドレステーブルへ登録する。ネットワーク管理者が手動で登録することも可能。
VLANとは
・V LANとは、1つの物理的なネットワークを複数の論理的なネットワークを複数の論理的なネットワークに分割する技術。
・VLANの利点としては、次の3つが挙げられる。
・ネットワークの構成を容易に変更できる。
・組織に合わせてネットワークを分割することで、セキュリティを強化できる。
・ブロードキャストによるネットワークの帯域幅の消費を抑制できる。
・VLANの種類には、スイッチのポートとVLANを対応させたポートVLAN(スタティックVLAN)や、スイッチのポートに接続したホストの情報を見て所属するVLANを動的に変更するダイナミックVLANがある。
・トランクリンクを使ってイーサネットフレームワークにタグをつけることで、1本のケーブルに複数のVLANフレームを束ねて通信させることができる。
・トランクリンクのVLAN識別情報(タグ)を付加するための方法には、ISL(Inter-Switch Link)とIEEE802.1Qという2種類の規格が存在する。ただし、現在はIEEE802.1Qが主流。
・所属先VLANの異なるホスト同士が通信するためには、ルータやレイヤ3スイッチでルーティングする必要がある。
スイッチの種類
・スイッチには、OSI基本参照モデル7階層のどのレベルを扱うかによって、レイヤ2スイッチ、レイヤ3スイッチ、レイヤ4−7スイッチという種類がある。
・レイヤ3スイッチはレイヤ2スイッチにルータの機能を持たせたもの。
・レイヤ3スイッチの特徴は以下のもの。
・VLAN越え通信ができる。
・IPパケットの転送をハードウェア処理する。
・「Webサーバはレスポンスが悪い」といったアプリケーションレベルの問題には、2つの切り口がある。
・ネットワークインフラ全体に起因する問題なのか
・Webサーバ(アプリケーション)そのものの問題なのか
・レイヤ4以上のアプリケーションレベルの強化に使われるのがレイヤ4−7スイッチ。
冗長化でネットワークの信頼性を高める
・中・大規模拠点のLANでは、スイッチ本体および各フロアでのスイッチへの構内LA N配線を冗長化して障害に備える。
・現在の企業ネットワークでは、「スタック接続+リンクアグリゲーション」の冗長化技術が主流となっている。
ネットワーク全体におけるルータの位置付け
・ルータは各拠点のLA Nをつなぐ、WANとLANの境界線に位置するネットワーク機器。
・小規模拠点におけるルータは、データの橋渡しからセキュリティ機能まで、さまざまな役割を1台で担う。
・中・大規模拠点におけるルータは、外部とのデータの橋渡しに特化する。
ネットワークを止めることなく高速にパケットを転送することが役割。
ルータの役割と基本原理
・ルータは、OSI基本参照モデルの第3階層(ネットワーク層)に該当するネットワーク機器。
・ルータは、ルーティングテーブル上の情報に基づいてパケットをルーティングする。
・宛先のネットワークアドレス
・宛先のネットワークに向けてパケットを出力すべき自分のインターフェース。
・宛先のネットワークにパケットを送るにあたっての、次のルータアドレス。
・宛先への最適なルートを選択するための値。
・ルーティングテーブルにルーティング情報を学習させるためには、2つの方式がある。
・スタティックルーティング方式
・ダイナミック方式
・スタティックルーティング方式は、ネットワーク管理者がルーティングテーブルに、ルーティング情報1つ1つを登録していく方法
・ダイナミックルーティング方式は、ルーティング情報を他のルータから自動的に取得する方法。そのためにルーティングプロトコルを使う。
・ルーティングプロトコルの学習の手順(アルゴリズム)には、大きく分けて次の3つがある。
・ディスタンスベクターアルゴリズム
・リンクステートアルゴリズム
・パスベクターアルゴリズム
・RIPはディスタンスベクターアルゴリズムのルーティングプロトコル。
・OSPFはリンクステートアルゴリズムのプロトコル。
・デフォルトルートを設定しておけば、ルーティングテーブル内に一致するルーティング情報がないときにもパケットを破棄することなく、デフォルトルートにパケットを送る。
ルータの種類
・ルータには、使われる場面やネットワークの規模によって、いくつかの種類がある。
・IP-VPN網や広域イーサネット網とお行ったサービスプロバイダー向けネットワークで使われるルータが、コアルータやエッジルータ。ともに大量データを扱うことと高速な処理が求められる。
・WANネットワークで使われるルータのことを、通信事業者はカスタマーエッジルータ、顧客側はアクセスルータと呼ぶ。WANへアクセス回線を介して接続する部分に用いられます。
・構内ネットワーク(大規模拠点ネットワーク、中小規模ネットワーク、サーバーファーム)では、レイヤ3スイッチがルーティングを行う。
・アクセスルータ(小規模拠点ネットワーク向け)は、主に光回線をアクセス回線に使ったインターネット接続に使われるルータ。
レイヤ3スイッチとの違い
・ルータは、簡易的なセキュリティ機能として、パケットフィルタリング機能を備える。
・中・大規模拠点ネットワークでは、ネットワークの信頼性を高めるためにルータの冗長化を行う。
・冗長化には、次の2つの方法がある。
・複数のルータでそれぞれWAN回線を保有
・1つのルータで複数のWAN回線を保有
ネットワークセキュリティの考え方
・現在のネットワークでは、ただ繋がっているだけでなく、安全性を確保し、ユーザーが安心して利用できる環境を提供するという考え方が必要。
・セキュリティ全般の考え方として、何を守るか?何から守るのか?という視点が必要。
外部からの犯行例
・外部からの犯行の代表例として以下がある。
・不正侵入
・情報の盗聴
・なりすまし
・Dos攻撃
・コンピュータウイルス
・各種業務サーバや認証サーバに対し、許可のないアカウント権限で不正にアカウントすることを不正侵入。
・ネットワーク上をデータが通過するのを待ち受けて、他人の電子メールやパスワード、クレジットカード番号などの情報を盗む行為を、情報の盗聴という。
・不正に入手したデータを利用して、本人のふりをして情報を利用することを「なりすまし」という。
・Dos(Denial of Service)攻撃は、ネットワークそのものや、サーバ、ホストなどの端末に対して膨大なデータを送りつけ、正常な情報の処理をできなくさせる行為です。
・コンピュータウイルスには、データやシステム自体を破壊し、業務を停止させてしまうような悪質なものもある。外部に感染を広げる点も、自然界のウイルスと同じ。
外部からの犯行への対策
・インターネットに接続されたネットワークにおいて、外部ネットワーク(インターネット)からも内部ネットワークからも隔離された場所として、DMS(非武装地帯)を設けることがある。外部に公開するサーバはDMSに設置する。
・ファイアウォールは、社内ネットワークと外部ネットワークの境界で、データの入出力のアクセス制御をする。ファイアウォールはDMZを作るためには絶対に必要な機器。
・ファイアウォールの機能のポイントは次の3つ。
・アクセス制御(フィルタリング)
・アドレス変換
・ログ収集
・ファイアウォールは全ての犯行に対する特効薬ではない。次の2つはファイアウォールでは対処できない。
・コンピュータウイルス
・社内ネットワーク(内部)からの攻撃
内部からの攻撃に備える
・内部(社内)からも次のような攻撃が考えられる。
・不正侵入
・なりすまし
・情報の持ち出し
・コンピュータウイルス
外部からの犯行の違いは、その侵入口がファイアウォールを越えてのものかどうか。
・内部ネットワークを守るために「誰がネットワークを使うか」という本人確認(ユーザー認証)が必要となる。
・ネットワークにおけるユーザ認証は大きく分けて2つある。
・認証サーバによる認証
・ネットワーク機器単体による認証(ローカル認証)
・機密情報を第3社に盗まれるという最悪の事態に備えるには、データ(ファイル)に暗号化するのは一番効果的。
・マシンルームへの入場許可社を明確にし、非許可者の侵入を阻止することが不可欠。
そのためにも、情報セキュリティを全体で考えるのがより効果的。
次世代ファイアウォール
・UTMはファイアウォールを発展させた機器で、IDSやIPS、ウイルス対策、スパム対策などのセキュリティ機能を統合した製品。さらにはVPN機能を有する製品が多く、この1台でインターネット接続、そして外部からのセキュリティ対策に至るまで一元的に対応できる。
・次世代ファイアウォールが誕生し、アプリケーション単位での不正データの検知や遮断ができるようになった。
・次世代ファイアウォールの代表的な特徴は次の5つ。
①IPアドレスだけでなく、ユーザやグループ(組織)単位で識別可能
②ポート番号やプロトコルだけでなく。アプリケーションによる識別ができる。
④アプリケーションの優先度が決定できる。
⑤ユーザのアプリケーション利用状況の可視化及びアクセス制御を実現できる。
・次世代ファイアウォールの動作は大きく次の3つからなる。
①識別
②分類
③制御
Vo Ip
・VoIpはIPネットワーク網上に音声を載せて通話する技術。
・広義のIP電話とは、VoIp技術を利用した電話サービス、およびそのネットワーク内にあるIP機能を持った電話網のこと。
・VoIpの利用形態は次の3つがある。
・インターネット網を使う
・音声が通せる社内イントラネット網を構築する。
・通信事業者(キャリア)が提供するサービスを利用する。
IP電話
・IP電話の構成要素は、端末、IPネットワーク網、サーバの3つに大別される。
・端末とは。VoIPゲートウェイ、IP電話機、ソフトフォンをいう。
・サーバとは、VoIPサーバを指す。
・VoIPゲートウェイは、アナログ電話機をIPネットワーク網へ接続するための装置。
・ソフトフォンは、アナログ電話機をIPネットワーク網へ接続するための装置。
・端末は、音声であるアナログ信号をIPパケットへ変換し、端末間を接続するための信号を制御する。
・IPネットワーク網では、絶対有線制御機能や帯域制御機能によって音声品質を保証する。
・Vo IPサーバは、端末を認証する機能や電話機から発信される電話番号を IPアドレスに変換するアドレス変換機能を持っている。
・社内イントラネットでは、音声以外の通信への影響を避けるために、音声用とデータ用で論理的にネットワークを分ける。
・音声信号が IPパケット化されるまでの流れは以下。
①アナログ音声信号をデジタル化し、圧縮する。
②効率の良い伝送となるような長さの単位にまとめる(フレーム化)
③宛先のアドレスなど、伝送に必要な制御情報(ヘッダ)を付加する(パケット化)
・リアルタイム性のあるデータをネットワーク上で転送するためのプロトコルにはRTP(Real Time Transport Protocol)がる。
・音声をアナログからデジタル(またはその逆)へ変換することをコーテデック(音声符号化・復号)という。代表的なコーデック方式としては、G.711,G.729a,G.722がある。
VoI Pシグナリングプロトコル
・VoIPシグナリングプロトコルとは、次の手順を規定してもの。
①通話相手を特定してセッションを確立
②通話相手を呼び出す
・現在はVoIPシグナリングプロトコルにはSIPが使われている。
音声品質の基礎知識
・音声品質に影響を与える要因は、大きく5つに分類される。
・コーデック
・遅延
・ジッタ(揺らぎ)
・パケットロス
・エコー
・コーデックの圧縮率が高くなる(ビットレートが低くなる)ほど、音声品質は低下する。
・遅延の発生するポイントは、次の3つ。
・送信側のVoIPゲートウェイ
・ IPネットワーク
・受信側のVoIPゲートウェイ
・ジッタ(揺らぎ)への対処は、受信側のVoIPゲートウェイのジッタバッファ(揺らぎ吸収バッファ)機能の調整で行う。
・パケットロスが発生すると、音がブツブツ途切れる現象が起こる。
・エコーは、話し手の声が聞き手の電話機スピーカーで再生され、その音声が聞き手のマイクから回り込み、話し手に戻る現象。エコーへの対処法として、エコーキャンセラーを使う方法と、音声レベルを調整する方法がある。
無線LANとは
・無線LANは、ケーブルの代わりに電波を利用してLANを構築する。
・無線LANのメリットは次のもの。
・モビリティ(移動性)に優れている。
・ケーブル配線の煩雑さから解放されている。
・無線LANのデメリットは次のもの。
・通信が不安定
・セキュリティ対策が必須
・企業ネットワークにおける無線LANの基本構成は、次の3つの要素からなる。
・無線LANクライアント
・無線LANアクセスポイント
・無線LANコントローラ
・Wi-Fiは、無線LANの設定規格の1つ。Wi-Fi認定テストに合格した製品にはWi-Fi認定テストに合格した製品にはWi-Fi認定ロゴが与えられ、他の機種との相互運用性が保証されている。
無線LANの仕組み
・無線LANの接続にはSSIDという、論理的なグループを識別する識別情報を用いる。
・無線LANの接続手順では、CSMAを使う。CSMA/CAは、複数の無線LANクライアントが電波を共有して通信を行うためのアクセス制御方式。
・隣接する無線LANアクセスポイント同士では「電波干渉を起こさないチャンネル」を使用するよう、チャンネル設計が必要。
・無線LANでは、2.4GHzと5GHzの周波数帯が利用できる。
・2.4GHz帯は、遮蔽物に強いが、使えるチャンネル数は少ないという特徴を持つ。電子レンジなど、無線LAN以外の干渉源も多く存在するので注意が必要。
・5GHz帯は遮蔽物に弱いが、使えるチャンネル数は多いという特徴がある。
・5GHzのうち、W52(5.2GHz帯)とW53(5.3GHz帯)は屋外利用はできない。
・5GHzのうち、W53(5.3GHz帯)とW56(5.6GHz帯)は気象レーダーや軍事レーダーと同じ周波帯を使っている。無線LANアクセスポイントは、レーダー波との干渉を検知したら無線サービスを停止し、1分後にチャンネルを変更して再度接続する。
無線LANのセキュリティ
・無線LANを利用するには、高度なセキュリティ機能が必要不可欠。現状では次の2つの機能を組み合わせて使う。
・WPA2(IEEE802.11I)
・IEEE802.1X認証
・企業からの機密情報など重要な情報を送信する場合には、無線LANクライアントから通信相手先までのエンドツーエンドでセキュリティを確保することが必要不可欠。
仮想化
・仮想化の大きなメリットは次の3つ。
・容易に拡張が図れる
・可用性が向上する
・資源を有効活用できる
・仮想化と一言で言っても、適用範囲はユーザが使うPCからネットワーク、サーバ、ストレージまで多岐にわたる。ネットワークという視点にフォーカスすると、企業内LANにおいては大きく次の3つが挙げられる。
・PCの仮想化
・ネットワーク経路の仮想化
・ネットワーク機器の仮想化
・ネットワーク機器を仮想化する技術は大きく分けて2つある。
・複数の機器を1つの危機に見せる。(スタッキング)
・1つの機器を複数の機器に見せる。
ネットワークから見たスマートデバイス
・スマートデバイスは、「スマートフォン」と「タブレット端末」の総称。
・スマートフォンとタブレット端末の大きな違いは次のもの。
・スマートフォンは通話機能を搭載している
・タブレット端末は通話機能を搭載していない。
・スマートデバイスは、次のうような流れでデータ通信を行う。
・無線LANがない場合は、携帯電話網を経由してインターネットへアクセスする。
・無線LANがある場合は、LANを通じて直接インターネットへアクセスする。