CCNAの学習の理解を深めるためにまとめる。
随時更新していく。
参考文献
◆KENスクール 「CCNA 200-301 Vol.1」 「CCNA 200-301 Vol.2」
LANテクノロジー
LAN:ある特定の範囲で作られているネットワーク
WAN:LAN同士を繋ぐネットワーク(物理的に離れている場所を繋ぐ)
ネットワーク:機器同士の繋がり
【ネットワークトポロジー】
トポロジー:ネットワークの繋ぎ方
-LAN➡︎バス型、スター型、リング型、メッシュ型
-WAN➡︎ポイントツーポイント型、パーシャルメッシュ型、フルメッシュ型、ハイブリッド型
※コリジョン:データが壊れること
【LANの標準化】
IEEE(米国電気電子技術者協会):電気通信関連の仕様を標準化する団体
IEEE802委員会:IEEEのサブワーキンググループ、LAN標準化を定義
※標準化:電気通信関連を統一化すること
【Ethernetの規格】
Xero社等開発の通信方式(LAN技術の総称)
IEEEによる国際標準規格として策定
※全二重標準化:同時にやり取りができる仕組み
全部で中身の導線が8本 (※半二重は1本)
※10BASE〜、10GBASE〜:ケーブルの種類
n BASE - x
n:LANのデータ伝送速度、単位Mbps
BASE:伝送方式、ベースバンド方式(現在)、BROAD(ブロードバンド方式、昔)
-x:伝送媒体の種類、記号(現在、種類を示す)数値(昔、伝送距離を示す)
【ケーブルの種類】
UTPケーブル:よく使われているものはこれ、値段安い
光ファイバ:性能高い、病院とか
※最大速度は同じ、最大セグメント長(届けられる距離)が異なる➡︎光ファイバの方が長い
同軸ケーブル:ほとんど使われていない、半二重
ツイストペアケーブル:2本の芯線を均等により分け、雑音や漏話を低減
UTP:よく使われているものはこれ
STP:性能がいい、ノイズに強いシールドがある、工事現場とか音が大きい場所
光ファイバケーブル:電波障害の影響を受けない、遠隔地利用
MMF:よく使われているのはこれ、安価、伝送距離が短い
SMF:高価、伝送距離が長い
ケーブリング
ストレートケーブル:異なる規格同士を繋ぐ 例)コンピュータとスイッチ
クロスケーブル:同規同士を繋ぐ 例)コンピュータとルータの時はクロス
MDIインターフェース:コンピュータ、ルータ
MDI-Xインターフェース:スイッチ、ハブ
【MACアドレス】
コンピュータ版マイナンバー
変更不可のため、被り無
48bit(6オクテット)構成
オクテット:分割
ビット:桁
・特殊MACアドレス
ブロードキャストアドレス
IPv4マルチキャスト
IPv6マルチキャスト
※IPアドレス:コンピュータ版住所、変更可能、被り有
【データ転送方式】
ユニキャスト:1対1
マルチキャスト:1対グループ
ブロードキャスト:1対全体 ※同ネットワーク内のみ
【ハブの動作と特徴】
ネットワークの延長、ケーブルの集線
減衰した電気信号の増幅
フラッディング(受信した電気信号をそのポート以外のすべてのポートに転送)
コリジョンの可能性有
【スイッチの動作と特徴】
ハブのフラッディングを改善したもの
MACアドレステーブルを持つ(送信元MACアドレスを順次学習して、転送すべきポートにのみ転送が可能)
コリジョンが発生しない(バッファ領域に保存後、転送処理を行うため)
【ルータの動作と特徴】
異なるネットワーク間の通信提供➡︎要は案内役
⭐︎ルーティング処理:IPアドレスを参照、目的のネットワークへ転送
転送対象先からブロードキャストパケットは破棄(異なるネットワークには転送しない)
パケットフィルタリング:送信先IPアドレス、宛先IPアドレス、プロトコルに基づいたフィルタリング
TCP/IP
通信手順をまとめたもの(コンピュータ通信の標準化概念)
※データ送信:上から下
※データ受信:下から上
カプセル化:転送先伝票を貼る(送信側)
非カプセル化:転送先伝票を剥がす(受信側)
PDU:データの総称(各層でデータの名称は異なる)
【OSI基本参照モデル】
7層構成
-アプリケーション層
-プレゼンテーション層
-セッション層
-トランスポート層
-ネットワーク層
-データリンク層
-物理層
【TCP/IPモデル】
4層構成
-アプリケーション層
-トランスポート層
-インターネット層
-ネットワークインターフェース層
プロトコル:通信のルール(各層毎に異なる)
◆トランスポート層プロトコル
TCP:コネクション型、高信頼性・通信効率の最適化、メールとか
UDP:コネクションレス型、リアルタイム重視・低信頼性、ライブ配信とか
◆インターネット層プロトコル
IP:送信元・宛先のIPアドレスが含まれる
コネクションレス型
ICMP:IPにカプセル化して使用
導通確認
ARP:宛先MACアドレスを取得する
メモ帳
同一ブロードキャストドメイン内のみ ※ドメイン:範囲
ARPキャッシュ:IPアドレスとMACアドレスの対応情報をメモリ上に一時保存(更新されないと消える)
◆アプリケーション層プロトコル
SMTP:メール転送機能
HTTPS:セキュアなWeb通信
など
※ポート番号:0〜65535まで
コンピュータ版出席番号
Well Known Port:0〜1023
割り当て済み
※1024以降は割り当てられていない
CiscoIOSソフトウェアの基本操作
【ログイン方法】
コンソールポート:制御信号を送受信するインターフェース
ターミナルソフト(⭐︎TeraTerm、PuTTY)を使用して制御
➡︎コンソールポートとシリアルポートをコンソールケーブルで接続
【操作モードの変更】
操作目的に応じた適切なモードに変更(4種類)
◆ユーザー:ログイン直後のモード、機器変更不可、記号「>」
◆特権:設定内容の確認、機器変更不可、ユーザーからenableコマンドで移動、記号「#」
◆グローバルコンフィグレーション:ルータ全体設定、黄色、特権からconfigure terminalコマンドで移動、記号「(config)#」
◆特定コンフィグレーション:ルータ詳細設定、グローバルコンフィグレーションからinterfaceコマンドで指定、記号「(config-if)#」
◆ライン設定:ログインパスワード設定、グローバルコンフィグレーションからlineコマンドで指定、記号「(config-line)#」
◆前:exitコマンド、disableコマンド
Ctrl + Zもしくはendコマンド(特権モードへの移動)
【コマンド補助機能】
◆ヘルプ機能:「?」で入力可能なコマンド表示
◆ヒストリーバッファ機能:「↑」もしくは「↓」で過去の同モード上での履歴表示
◆省略入力機能:コマンドの省略入力が可能、例)conf t
◆コマンド補完機能:「Tab」キーでコマンド補完
【ホスト名の設定】
最初のホスト名は「Router」
機器の識別をわかりやすくする
グローバルコンフィグレーションモードで「hostname ホスト名」
【インターフェースの設定】
Interfaceコマンドでインターフェースタイプとインターフェースナンバーを指定
「Interface タイプ名 ナンバー」
【パスワードの設定】
◆コンソールパスワード:セキュリティ面から必要
「line console 0」でコンソールラインの設定に移動
「password パスワード名」で設定
「login」で認証用のプロンプトを有効化
enable password パスワード名:ユーザから特権へのパスワード
enable secert パスワード名:ユーザから特権へのパスワード、セキュリティ度が高い、優先される(両方設定した場合)
vtyパスワード:リモート回線管理
「line vty 0 4」でvtyラインの設定に移動
「password パスワード名」で設定
「login」で認証用のプロンプトを有効化
【設定情報の確認】
show runnning-configコマンド
runnning-configファイルに反映
【設定情報のセーブとロード】
セーブ
copy コピー元 コピー先
startup-configファイルとして保存
ロード
設定変更前の状態に戻す
copy コピー元 コピー先
IP v4アドレッシング
【アドレスクラス】
◆IPアドレス:32bit(4オクテット)
-クラスA:0〜127
-クラスB:128~191
-クラスC:192~223
-クラスD:224~239
マルチキャストアドレス:特定のグループを指定
例)OSPF
【サブネットマスクとプレフィックス値】
◆ネットワーク部:コンピュータ版苗字
◆ホスト部:コンピュータ版名前
◆サブネットマスク:区切り8bit、ネットワーク部「1」、ホスト部「0」
◆プレフィックス値:「/数字」、数字前までネットワーク部、残りがホスト部、区切り8bit
【端末に設定できないIPアドレス】
◆ネットワークアドレス:ネットワークそのものを表す
ホスト部すべてが「0」(サブネットゼロorゼロサブネットと呼ぶ)
◆ブロードキャストアドレス:ネットワーク内全体を表す
ホスト部すべてが「1」
【サブネットワーク】
-無駄を無くすために詳細に分けるやり方
-計算方法:「2のn乗-2」
例)サブネット数➡︎2の3乗-2=6
ホスト数➡︎2の5乗-2=30
【VLSM】
-可変長サブネットマスク
-サブネットワークで分けたものをさらに分割したもの
【グローバルアドレスとプライベートアドレス】
-IPアドレスの種類
◆グローバルアドレス:インターネットで直接使用可能(社外用)
◆プライベートアドレス:社内LAN等の閉鎖的なネットワークでのみ使用可能
【ホストのIPアドレスの設定】
通信機器のインターフェースに割り当て(コンピュータ、各種ネットワークデバイス)
割り当て方法:スタティック(静的割り当て)➡︎手動
ダイナミック(動的割り当て)➡︎自動、DHCPサーバの使用
必要情報:IPアドレス、サブネットマスク、デフォルトゲートウェイ、DNSサーバ
IPアドレスの確認方法
WIndows:ipconfigコマンド
Linux、Mac:ifconfigコマンド
◆デフォルトゲートウェイ:他ネットワークとの接続に不可欠なネットワークの出入り口
所属するネットワーク内のルータのIPアドレスを指定
IPルーティングの基礎
◆インターフェースの設定
IPアドレス設定
no shutdownコマンドで有効化
同一ルータ内で同ネットワークアドレスのIPアドレスの設定は不可
インターフェース毎に異なるネットワークアドレスを設定する必要がある
◆状態確認
show interfaceコマンド
物理層 データリンク 状態
up up 両方の層で正常作動している ➡︎使えるようになる
administratively down down インターフェースモードでshutdownされている ➡︎no shutdownコマンドで起動
◆ルーティング
ルータの役割
パケットのアドレス情報を読み取り、それを基に転送先を決定
-ルーティングテーブル:転送先の決定を定めるためリスト
※リストにない転送先は破棄されてしまう
追加方法①直接接続:インターフェースの設定有効化後に自動登録
②スタティック:手動追加
③ダイナミック:ルーティングプロトコルによる自動追加
確認方法
show ip routeコマンド 特権モードで行うshowコマンド
⭐︎①学習方法(ルーティングコード)
-どの手法でネットワーク情報を学習したか
C(直接接続),L(自身),S(スタティック),S*(デフォルトルート),R(RIP),O(OSPF),D(EIGRP)
⭐︎②宛先ネットワーク・サブネットマスク
③アドミニストレーティブディスタンス、メトリック値
ルートの信頼性、重み
⭐︎④ネクストホップアドレス:宛先ネットワーク途中で経由する次のルータのIPアドレス
⑤経過時間
⑥出力インタフェース:転送に使用されるインターフェース
【スタティックルーティング】
-管理者がネットワーク環境を把握、直接ルータのルーティングテーブルに経路情報を手動登録
-デメリット;管理者への負担、ネットワーク全体の把握
-メリット;指定しないネットワークに転送させない、ルータとネットワークのリソースを消費しない
設定方法
-設定パラメータ:宛先ネットワーク、そのサブネットマスク、そこへのネクストホップアドレス(もしくは送出インターフェース)
-設定コマンド:ip routeコマンド ※グローバルコンフィグレーションモードで使用
①ip route →スタティックルーティングの設定
②宛先ネットワーク
③そのサブネットマスク
④ネクストホップアドレスor送出インターフェース
【デフォルトルーティング】
-ルーティングテーブルに該当しないものの転送先-ネクストホップルータ
-Last Resortとも呼ばれる
設定方法
-設定コマンド:ip route ※スタティックと同じ
①ip classless ※デフォルトで有効済
②ip route →デフォルトルートの設定
③0.0.0.0 宛先ネットワークの固定値
④そのサブネットマスク 0.0.0.0は固定値
⑤ネクストホップアドレス
「Gateway of last resort is…」
【ロンゲストマッチ】
複数の経路情報がある場合、エントリされている経路のプレフィックス値に1番長く一致するルートを優先させる
アドミニストレーティブディスタンスやメトリックよりも優先
ダイナミックルーティングの概要
【ルーティングプロトコル】
⭐︎リンクステート型:OSPF、IS-IS(あまり見かけない)
ルータ毎にデータベースを作成、それを軸に宛先ノードへの最短距離を計算(速度重視)
アップデートは隣接関係(DR、BDRを通じて)のみ
トリガーアップデート(イベント発生時のため、対応が速い)
差分で情報を伝えられる
-ディスタンスベクタ方式:RIPv1、RIPv2、IGRP
距離(目的地までのルータの数、少ない方を優先)と方向を軸にネットワークへの最適経路を計算
アップデートは直接接続済のルータのみ(定期更新のため、対応が遅れる)
ルーティングテーブルの全内容を通知(差分通知ができないため、無駄が生じる)
好まれて使われない(使われている場合はRIPv2)
-ハイブリッド型:EIGRP(Ciscoオリジナル、速度重視)
リンクステートとディスタンスベクタのいいとこどり(ベースはディスタンスベクタ)
-パスベクタ型:BGP(CCNA範囲外)
■ルーティングプロトコルの大別
-IGP:AS(ルータの集合体、自律システム)内
⭐︎OSPF、EIGRP、RIP
-EGP:AS間
BGP
【アドミニストレーティブスタンス】
-学習方法の信頼性を示す値➡︎AD値
-より信頼性の高い経路情報を選択、そこから最適経路をルーティングテーブルへ登録
-小さい値ほど、高信頼性(0〜120)
※各社によって、デフォルトAD値は異なる
【メトリック値】
-宛先ネットワークへの距離を示す値
-ルーティングプロトコルによって基準は異なる
-小さい値ほど、優先
【フローティングスタティックルート】
-バックアップ経路(ルーティングプロトコルの経路制御に問題発生時に利用可にする)
-使用時のAD値よりも大きいものを指定(デフォルトスタティックルートAD値は1)
-ip routeコマンド最後にAD値を設定
【CIDR】
-IPアドレスの集約管理手法(クラスに捉われない、任意ビット長のセブネットマスクを使う)
-ルーティング処理の負荷を減少させる狙い
※サブネット化(サブネットマスクを右にずらす)、集約(サブネットマスクを左にずらす)はCIDRの手段
VLSMのサポート環境下でのポイントツーポイントでWAN接続
効率的なIPアドレスのプレフィックス値は/30
シングルエリアOSPF
-リンクステート方式
-トリガーアップデート
-クラスレスルーティングプロトコル
-メトリック値:コスト(帯域幅、自動計算)
計算式:100Mbps / リンクの帯域幅
単位「M」に直す、1000kbps = 1Mbps
出力インターフェースのコスト同士を足す
-負荷分散:同メトリック値が複数存在する場合、その複数経路を利用する➡︎等コストロードバランシング(最大16経路、デフォルトは4経路)
-ルーティングテーブルの流れ
①Helloパケットとネイバー関係
Helloパケットをマルチキャストで他ルータに送信、自動検出
送信間隔10秒
キープアライブ(ルータが動作しているか)
Dead Interval(40秒の間に判断)
ネイバー関係(お互いがHelloを送り合う)
②ネイバー関係の形成
ネイバーテーブルを登録し合い、お互いを認識している状態
ルータID:OSPFルータを識別するための識別子(32bit)
-選出順序
⭐︎router-idコマンドで設定
2. アクティブなloopbackインターフェースで設定した最大値のIPアドレス
loopbackインターフェース:自身宛の実在しない論理インターフェース
3. アクティブな物理インターフェースで設定した最大値のIPアドレス
③DR ,BDRの決定
DR(指定ルータ):OSPFプライオリティ値が最大
BDR(バックアップ指定ルータ):次点
※同じ場合、ルータID最大がDR、次点がBDR
ダウンしない限りは、際選出されない
ポイントツーポイントトポロジー(1対1)では選出されない
ルータIDをrouter-idで設定しても、それが最大値になるわけではない
④隣接関係とLSAアドバタイズ
DR、BDR、他ルータ同士の関係
リンクステート情報を交換し合う関係
アップデート方式(DB、BDRに情報を集め、DB、BDRが他ルータへ配
⑤LSAの交換
DR、BDRにリンクステート情報(ネットワークリンクやルータリンク、ネットワーク情報、ルータ情報)が集まる
⑥LSDBの作成
全ルータが同リンクステートデータベースを持つ
⑦SPFアルゴリズムによるルーティングテーブルの作成
SPFアルゴリズム(:コスト)を軸に、各自ルーティングテーブルを作成
その後はキープアライブで確認
【LSDBの同期】
LSDBに変更が生じた場合、LSU(:差分情報)を他ルータに伝える
そのLSUを基に他ルータは直していく
アクセルコントロールリスト
◆ACL
-パケットのパラメータを参照&フィルタリングするパケットの指定
■パケットフィルタリング
①アクセルコントロールリストの作成
-ルータを通過するパケットに対して、許可or拒否設定を行う
②インターフェースへの適用
『種類』
■標準アクセスコントロールリスト
-指定は送信元IPアドレスのみ
-リスト番号(:識別パラメータ)1〜99、1300~1999
『記述方法』
access-list リスト番号 処理指定 送信元IPアドレス・ワイルドカードマスク
interface g0/0
ip access-group リスト番号 inもしくはout
『適用場所』
-宛先に近い場所を指定
■拡張アクセスコントロールリスト
-送信元、宛先、プロトコルの指定が可能
-リスト番号100~199、2000〜2699
『記述方法』
access-list リスト番号 処理指定 プロトコル 送信元アドレス 宛先アドレス (比較演算子)ポート番号
interface g0/0
ip access-group リスト番号 inもしくはout
■比較演算子
-eq:等しい
-neq:等しくない
-gt:より大きい
-lt:より小さい
『適用場所』
-送信元に近い場所を指定
■名前付きアクセスコントロールリスト
-任意名が可能
『記述方法』
-標準アクセスコントロールリスト
Ip access-list standard アクセスリスト名
permitもしくはdeny プロトコル 送信先IPアドレス(ワイルドカードマスク)
-拡張アクセスコントロールリスト
Ip access-list extended アクセスリスト名
permitもしくはdeny プロトコル 送信先IPアドレス(ワイルドカードマスク)宛先IPアドレス(ワイルドカードマスク)(ポート番号)
↓削除時
no Ip access-list extended アクセスリスト名
■アクセスポリシー
-アクセスコントロールリスト適用の向き
-inbound(内向き):パケット受信時
-outbound(外向き):ルーティング処理後の出力インターフェースからの送信時
※同アクセスコントロールリストを複数のインターフェースに設定は可能
ただ1つのインターフェースに設定可能なアクセスコントロールリストはインバウンド・アウトバウンドそれぞれ1ずつのみ
そのため、同一方向に異なるアクセスコントロールリストを複数設置した場合、後設定のものが優先される
『記述』
-複数文構成
-条件と処理からなる
『比較』
-リストの1、2行目から比較
--正しい順番で設定する必要がある
【暗黙のdeny】
-ALCの最終行は「すべて拒否」が存在
◆ワイルドカードマスク
-サブネットマスクの反対表記
-指定IPアドレスのどのビットを比較対象するかを定義
-比較対象ビット「0」※非比較対象「1」
◆キーワード
-ワイルドカードマスクの代用
—host:ワイルドカードマスク「0.0.0.0」の意味
—any:IPアドレス「0.0.0.0」/ワイルドカードマスク「255.255.255.255」の意味
—ポート番号:
■access-class
-ルータへのリモートアクセス接続に対するフィルタリング
-フィルタリング用のACL作成
-vty(:仮想回線)にACLを適用
『ACLの確認』
◆show ip access-listsコマンド
-ACLの内容確認
-特定のACLの内容を確認する場合は、リスト番号を指定
show ip acccess-lists(リスト番号)
◆show ip interfaceコマンド
-インターフェースへの適用確認
-特定のインターフェースを確認する場合は、インターフェース番号を指定
show ip interface(インターフェース番号)
NAT
-Network Address Translation
-プライベートからグローバルへの転送
-送信先IPをグローバルIPに変換
-プライベートアドレスの端末を外部に公開可能
-LAN内のプライベートアドレス体系を、外部から隠蔽可能(外部からは送信元アドレスが変換後のアドレスとして認識される)
【Ciscoルータでの用語】
◆内部←→外部:IPアドレスを持つ機器が、どちら側のネットワークに存在するか
10.レイヤ2 プロトコルの設定と確認
◆CDP
-Cisco Discovery Protocol
-デフォルト有効設定
◆LLDP
11.インフラストラクチャサービス
◆DNSルックアップ動作
-DNSサーバによる名前解決機能(:デフォルトで有効)
-no ip domain-lookup:無効化
-ip name-server DNSサーバのIPアドレス:指定(デフォルトで指定なし)
◆DHCPサーバ
-IPアドレスの管理(:自動割り当て)
■DHCPスコープ
-割り当て可能なIPアドレスの範囲
■DHCPオプション
-IPアドレス以外に配布する追加情報
-リース期間の設定が必須
■CiscoルータをDHCPサーバとして設定
①DHCPアドレスプールの作成
②配布アドレスをネットワーク指定
◆NTP
-Network Time Protocol(:ネットワーク上のNTPサーバの時刻の同期を行う仕組み)
■Stratum(:階層構造)
■SNMPによるデバイスモニタリング
-Simple Network Management Protocol(:ネットワークデバイスの管理プロトコル)
-ネットワークデバイス:ルータ、スイッチ、端末
-MIB(:ネットワークデバイスの管理情報、メモリ消費量、CPU使用率、ハードディスク容量など)を送る
◆SNMPマネージャ
—ボーリング:エージェントに対して要求を送り、情報をもらう
◆SNMPエージェント
—トラップ:マネージャに対して一方的にエラーや障害情報を通知
【バージョン】
v1、v2C、v3
-基本動作や構成要素は同じ
-認証方法が異なる
-暗号化機能(v3/AuthPrivのみ) リモート接続(TELNET;平文、SSH:暗号文)
ハッシュ化:加工した数値、MD5・SHA:作業の違い
-SNMP inform(トラップが伝わらない時の解決策、v2Cから使用可能)
■システムメッセージロギングの設定
◆terminal monitorコマンド
➡︎リモート(:遠隔)接続先の機器で、リアルタイムにシステムログを表示
—コンソール接続(:コンソールケーブルを用いて現地で確認)
ーtelnet接続(:LANケーブルで接続)
※コンソールケーブルだけではLAN通信は行えないため、併せてLANケーブルにも接続しておく必要がある
■logイベント
◆Syslogサーバ
➡︎各デバイスのログデータを一括収集・管理
➡︎ログデータの長期保存
⭐︎ログレベル
➡︎入手したいメッセージレベルの設定
➡︎低レベル程危険
➡︎設定したレベルまでのメッセージが出力される 例)5の場合、0〜5
0/emergence(緊急)
1/alerts(警報)
2/critical(重大)
3/errors(エラー)
4/warinings(警告)
5/notifications(通知)
6/informatinal(情報)
7/debugging(デバッグ)
◆loggingコマンド
➡︎後ろに設定するワードでログの吐き出し先が変わる
◆show loggingコマンド:設定状態の確認
無線LANの基礎
◆無線通信
➡︎ケーブルを用いない電波利用の通信方法
➡︎利用可能な周波数帯、送信出力等は法令で定められている
➡︎セキュリティ管理は最重要(:通信電波盗聴による情報漏洩の危険性有)
➡︎配線スペース不要、設置移動自由、移動体使用可、短時間構築(:配線作業不要)、屋外通信可(:一部)
■規格
➡︎IEEE802.11ac(Wi-Fi5)、IEEE802.11ax(WI-FI6)が最新(:IEEE802.11a、IEEE802.11bが最古)
➡︎周波数帯は5GHz(:通信範囲が狭い、障害物に弱い、屋外使用禁止、昔は伝送速度が早かった)
2.4GHz(電子レンジ等の電波干渉を受けやすい)
➡︎伝送速度は理論値であり、実際はそこまで出ない
➡︎CSMA/CA(:キャリア検出多重アクセス/衝突回避、Wi-Fi6のみ) ※CSMA/CD(:有線版衝突回避)
※bps:ビットパーセカンド
1秒間に何ビットやり取りできるか
◆無線LANトポロジ
⭐︎Infrastructureモード
➡︎アクセスポイント(AP)を介したやり取り(アクセスポイント1台で機器約20台)
Ad-Hocモード
➡︎LANアダプタ同士で通信を行う
◆SSID
➡︎Service Set IDentifier
➡︎アクセスポイントの識別に使う
➡︎アクセスポイントとクライアントに同値設定
➡︎異なるSSID同士の通信はできない
◆ESSID
➡︎複数APで構成されるSSID
➡︎ローミング機能(:自動的に異なるAPに対してアソシエーションを切り替える#)
◆BSS
-Basic Service Set
➡︎1つのAPとその配下のクライアントで構成されるネットワーク
◆ESS
-Extended Service Set
➡︎複数のBSSで構成されるネットワーク
■企業向け無線LANアクセスポイント
➡︎自律型:1台で認証や通信処理を行う
現在は 2.4GHz、5.0GHz両方を使うものが多い
➡︎WLC(無線LANコントローラー):複数APを一元効率良く管理するための装置
◆CAPWAP
➡︎Control and Provisioning of Wireless Access Points
➡︎Ciscoにおける中央集権型WLANアーキテクチャ基盤プロトコル
➡︎APとWLC間の設定、管理を行う
➡︎CAPWAP制御:ポート番号5246
➡︎CAPWAPデータ:APからWLCに転送、ポート番号5247
—Split MAC
➡︎通常AP上で行われる処理をAP、WLCで分割処理
WLC側(認証、ローミング、802.11フレームの変換・ブリッジ)
LIghtweightアクセスポイント:WLCと連携動作するAP
LWAPP:IETF定義のCAPWAP前のプロトコル
—L3ベーストンネル
➡︎異なるサブネット(ネットワーク)上のWLCでも構成可
➡︎IP UDPパケットを使用
➡︎CAPWAPでのみ(LWAPPはL2、L3でも可能)
➡︎IPアドレスの提示が必要
—WLCディスカバリ
➡︎WLCの検出と接続の仕組み(APからWLCへ接続していいか確認)
◆APプライミング:WLCのIPアドレスを事前に保存しておくこと
◆セル
➡︎APから届く電波範囲
➡︎セル内のホスト数が増えると、スループット(:処理能力)は低下する
■変調方式
—電波干渉:無線LANが使用する周波数帯は幅広いため、干渉が起こりやすい
◆スペクトラム拡散
➡︎周波数分布の拡散により電波干渉の軽減、秘匿性の向上を促す
-FHSS
ノイズや電波干渉に強い、拡張性に優れる
-DSSS
カバーエリアが広い、スループットが高い
■チャネル設計
➡︎データ送受信時に必要な周波数幅のこと
➡︎隣接するAP同士では、異なるチャネルを設定しなければならない(電波干渉防止のため)
➡︎36、40、44、48、52、56、60、64の8チャネル(2005年法改正、昔は13チャネル)
◆シングルチャネル
➡︎同一チャネルを使用するタイプ(届く電波範囲を拡張する際に便利)
➡︎隣接APが同一チャネルを使用する場合は、チャネル設計は不要
◆マルチチャネル
➡︎異なるチャネルを使用するタイプ
➡︎通信が途切れる可能性有(ハンドオーバー時に再接続や認証が必要になるため)
➡︎APが切り替わらない可能性有
■セキュリティ対策
◆SSIDの隠匿
-ステルス機能、SSIDブロードキャスト無効化、ANY接続拒否、Closed Network(全て同一名)
※ ビーコン:何かを伝えるために、信号(電波とか光とか)を出している装置のこと
➡︎完全対策にはならない(アクティブないしパッシブなスキャニングからSSIDを守るに留まる)
◆MACアドレスフィルタリング
➡︎APに接続するホストのMACアドレスを登録
➡︎登録済MACアドレスからの通信のみ接続許可
➡︎48ビット、前半24bitがメーカー、後半24bitがメーカー製造番号
◆WEP
➡︎無線LANの通信を暗号化
➡︎ほとんど使われていない(脆弱性を持ち、共通鍵暗号方式のため)
◆WPA
-Wi-Fi Protected Access
➡︎WPA2、WPA3が主流
➡︎TKIPによる定期的な暗号鍵変更
-Temporal Key Integrity Protocol
■認証方式
➡︎PSKモード
-Pre-Shared Key
-クライアント、AP双方に事前共有鍵を設定、比較
➡︎EAPモード
-認証完了時に暗号化鍵が交換される
◆WPA2
➡︎AESアルゴリズム(:暗号強度強固)を採用
◆CCMP
-Counter Mode with CBC-MAC Protocol
-WPA2で使用
-AESカウンターモード暗号化とCBC-MAC(暗号ブロック連鎖認証コード)
◆GCMP
-Galois/Counter Mode Protocol
-WPA3で使用
-AESカウンターモード暗号化とGMAC(ガロアメッセージ認証コード)
◆EAP(Extensible Authentication Protocol)
➡︎PPP拡張バージョン
➡︎IEEE802.1xで採用
➡︎さまざま認証方式で対応可
LEAP(Cisco社、脆弱性により廃止)
EAP-FAST(Cisco社、RADIUSサーバが必要)
PEAP(Microsoft社)
EAP-TLS(証明書が必要)
TTLS(証明書不要なEAP-TLS簡易版)
LANスイッチングテクノロジー
◆スイッチとハブの違い
➡︎ベースはどちらもLANケーブルを集線するための機器
➡︎MACアドレス学習(受信したフレームのMACアドレスを参照、受信ポートと送信元MACアドレスを関連付ける)/転送機能を行う
➡︎学習した情報はMACアドレステーブル(=CAMテーブル)に登録
➡︎pingコマンド:疎通確認(1回目失敗、2回目以降正常通信) ※1回目の失敗はMACアドレステーブルが覚えている間に制限時間が過ぎただけ。
※Catalystスイッチ:Cisco社スイッチ
◆MACアドレステーブル
➡︎電源投入時は空っぽ
➡︎フレーム受信時にエントリ
➡︎学習内容は5分保持
⭐︎show mac-address-tableコマンド
■スイッチング方式(:パケットをどのようにバッファして転送するか)
◆カットスルー方式
➡︎宛先MACアドレス(先頭6バイト)のみ
+バッファ領域が少なく、スイッチへの負荷軽減
−フレームのエラーチェックがなく、エラーフレームも転送される恐れ有
◆フラグメトリー方式
➡︎先頭64バイト
➡︎ラントフレーム(:規格値未満のフレーム)はエラーフレーム扱いEthernetフレームでは64バイトが規格値
◆ストアアンドフォワード方式
◆VLAN
➡︎Virtual LAN
➡︎スイッチを論理的なグループに分割する機能
➡︎仮想的なネットワークを作成(ブロードキャストはそれぞれ異なるため、他LANとの通信不可)
■スタティックVLAN
◆default VLAN
➡︎初期デフォルトVLAN-ID1
全てのポートが入っている
◆show vlan:VLAN構成状況の確認
◆ポートベースVLAN
➡︎管理者が手動で定義作成するVLAN
➡︎作成後はポートをVLANに割り当てる(そうしないと利用できない)
conf t
Int f0/1
switchport accedd vlan 2
show vlan
◆アクセスリンク
➡︎VLAN毎に接続ケーブルが必要
◆トランクリンク
➡︎トランク接続用ケーブル一本でOK
➡︎VLANタグの付加(どのVLANトラフィックかを判断するため)
※ただしどちらも同じVLANでなければ接続できない
■VLANフレーム
◆IEEE802.1Q
➡︎業界標準フレーム
➡︎VLANタグ(4バイト)
➡︎FCS(4バイト、データエラー検出)
◆ネイティブVLAN
➡︎例外
➡︎VLANタグが付加されない
➡︎デフォルトでVLAN1にあたる
➡︎通常のVLANをネイティブVLANに変更することも可能(ただやり取りする機器と同じVLANにしなければならない)
switchport trunk native vlan VLAN番号
■トランクリンクの設定
◆トランクの設定
➡︎conf t
Int f0/24
switchport trunk encapsulation dot1qもしくはisl
switchport mode trunk
dot1q➡︎業界標準
isl➡︎Cisco
➡︎show interface trunkコマンド
もしくはshow interface switchportコマンド
:トランクリンク上にネイティブVLANの不一致がないかの確認
◆カプセル化の指定
◆ネイティブVLANの設定
◆許可VLANの設定
◆DTPモードの設定
➡︎対向ポートをアクセスポートかトランクポートかを定義
◆DTPの無効化
■管理VLAN
【ローカルネットワーク】
➡︎スイッチ内VLANにIPアドレス指定が可能
➡︎デフォルトでVLAN1
conf t
interface vlan 1
iP address 番号
no shutdown
【リモートネットワーク】
➡︎デフォルトゲートウェイも必要
■電源供給
◆PoE
➡︎Ethernet配線で利用される、カテゴリ5以上のUTPケーブルを通じて電力供給する技術
■音声VLAN
➡︎Cisco IOS独自機能
➡︎Cisco IP Phoneとコンピュータを異なるVLAN配置が可能
➡︎通常データは「ネイティブVLAN」、音声データは「音声VLAN」
➡︎リンク自体はトランクリンク
➡︎スイッチ側でCDPを有効にしなければならない
VLAN間ルーティング
◆サブインターフェース
➡︎1つの物理インターフェース上に、仮想インターフェースを作成したもの(複数ネットワーク間でのルーティングが可能)
➡︎Router on a stick(:ルータとスイッチ間をトランク接続、VLAN-ID情報を交換)
➡︎物理インターフェースではIPアドレス設定✖️、有効化
➡︎サブインターフェースではサブインターフェース番号を指定
➡︎show runコマンド:作成確認
◆レイヤ3スイッチ←→今までのスイッチは「レイヤ2スイッチ」
➡︎SVI:各VLANインターフェースにIPアドレスを設定
➡︎デフォルトではレイヤ2と同じ機能
【ルーティング機能の有効化】
ip routing
➡︎デフォルトでは無効
【SVIの設定】
interface VLAN番号
ip address IPアドレス サブネットマスク
no shutdown
【レイヤ3ポートの設定】
interface インターフェース番号
no switchport
ip address IPアドレス サブネットマスク
no shutdown
➡︎show ip route:ルーティングテーブルの確認
スイッチポートセキュリティ
◆ポートセキュリティ
➡︎MACアドレスを「セキュアMACアドレス」としてアクセス許可のエントリ
➡︎コマンド入力完了するまで、ケーブルは繋がない
リにする
➡︎スタティックMACアドレス:手動設定
running-configに保存
int f0/1
switchport mode access
switchport port-security
switchport port-security mac-address MACアドレス
➡︎ダイナミックMACアドレス:自動設定(早い者勝ち、そのため制限を掛けて使う)
再起動時に削除
int f0/1
switchport mode access
switchport port-security
switchport port-security mac-address
switchport port-security maximum 数字 ➡︎MACアドレスのエントリ数制限(デフォルトで1、制限を超える接続は拒否される)
➡︎stickyセキュアMACアドレス:スタティック、ダイナミックのハイブリッド
startup-configとしてNVRAMに保存すれば、再起動時にも有効
switchport port-security
switchport port-security maximum 数字
switchport port-security mac-address sticky
■セキュリティ違反時の処理
switchport port-security violation 処理内容
➡︎デフォルトはshut down(1番重い、トラップやメッセージは送信される、ポートがerrdisable状態になる、ポートLEDが消灯)
➡︎restrict:パケットの破棄、トラップやメッセージが送信される
➡︎protect:パケットの破棄、トラップやメッセージは送信されない
■ポートセキュリティの設定確認
◆show port-security interface インターフェース番号 コマンド
-Secure-Shutdoown:セキュリティ違反によるシャットダウン (ポートの状態)
-セキュリティ違反回数はshutdownとrestrict時にカウントされる
■インターフェースの復旧
errdisable状態のポートはno shutdownでは✖️
ケーブルは抜いた状態で行う
int f0/1
shutdown ⭐️管理的にshutdown
no shutdown ※インターフェース有効化
STPによる冗長構成
◆冗長構成
➡︎ネットワークダウン時の業務停止の防止
➡︎冗長リンク:そのバックアップルート
◆スイッチンググループ
➡︎ブロードキャストが永遠に転送され続ける現象
➡︎発生直後にネットワークがダウン
◆STP(Spanning Tree Protocol)
➡︎ループを発生させずに冗長リンクを作り出すプロトコル
➡︎スイッチは「ブリッジ」とも呼ぶ
➡︎ルートブリッジ(:ネットワークが1本のツリーとして成立しているか、常時監視)を定義
➡︎ルートポート:BPDUを受け取る
➡︎指定ポート:BPDUを送る、ルートブリッジのポートすべて
➡︎ブロッキングポート(:単一なアクティブパス、ループの防止、残ったポートすべて、パスコスト値が低いもの)の作成
◆BPDU
➡︎SPDを有効にしたスイッチで送信されるフレーム
➡︎BPDUフレームフォーマット
➡︎TCN BPDUフレームフォーマット
➡︎コンフィグレーションBPDU
Root ID
Root Path Cost
Bridge ID
◆パスコスト
➡︎ルートブリッジからの距離の尺度値
➡︎ポート速度が早いほど、パスコストは小さくなる
◆ブリッジID
➡︎ルートブリッジを選ぶための基準値(:STPプライオリティ値とMACアドレスで構成、最小値が選出、デフォルト値は32768)
◆ポートステート
➡︎STPツリー構成確立までのステータス
・ブロッキング ブロッキングポート
・リスニング
・ラーニング
・フォワーディング 指定、ルート
■障害発生時
・ブロッキングポートの解放(最低50秒掛かる)
◆STPタイマー
・Helloタイム(ルートブリッジがBPDU送信時間隔、デフォルト2秒)
■ステータス確認
◆show spanning-treeコマンド
・プライオリティ値はSystemID + VLAN番号
・Role(ポートの役割)
Root:ルートポート
Desg:指定ポート
Altn:代替ポート(ブロッキングポート)
・Sts(ポートの状態)
LIS:リスニング
LRN:ラーニング
FWD:フォワーディング(転送可能)
BLK:ブロッキング
■動作確認
◆debugコマンド
■ルートブリッジの変更
➡︎ネットワークにSTP導入した場合、選出されたブロッキングポートが必ずしも最適とは限らない
⭐︎プライオリティ値の指定(:4069の倍数で)
➡︎spanning-tree vlan VLANリスト priority プライオリティ値
プライマリ・セカンダリの指定(一般的ではない)
STPモードと関連オプション機能
【SPTモードの種類】※用途に応じて、切り替える
①PVST+:Per-VLAN Spanning Tree Plus
IEEE802.1D規格
デフォルト設定
各VLANがそれぞれのスパニングツリーインスタンスを持つ(負荷分散)
➡︎これによりロードバラシングが可能
- VLANの数だけ、STPインスタンスが必要になり、BPDUが増えてしまい、CPUリソースが消費されてしまう
②RPVST+:Rapid Spanning Tree Protocol
IEEE802.1W規格
RSTPポートステート:STPポートステートの高速版(STP計算が数秒以内)
ディスカーディング、ラーニング、フォワーディング (リスニングが無くなった)
RSTPポート:ルートポート、指定ポート、代替(オルタネート)ポート、バックアップポート (ブロッキングが代替、バックアップに分別)
トポロジー変更:スイッチがTCビットがセットされたBPDUをフラッティング
プロポーザル/アグリメントプロセスで高速収束
(③MST)
⭐︎モード変更コマンド➡︎spanning-tree mode モード名
◆PortFast:Cisco独自のSTP拡張機能(接続済ポートをリンクアップ)
ブロッキングからフォワーディングまで即時移行(リスニング、ラーニングを省略)
⭐︎グローバル設定コマンド➡︎spanning-tree portfast dafault
⭐︎インターフェース設定コマンド➡︎(config-if)# spanning-tree portfast (オプション名)
⭐︎マクロ設定コマンド➡︎switchport host
◆BPDU Guard
その他の冗長化
◆EtherChanel:複数の物理インターフェースを論理的に1本に集約する機能(信頼性の向上)
帯域幅が増大(集約本数に比例)
⭐︎スタティック設定コマンド➡︎(config-if)# channel-group グループ番号 mode on
⭐︎ダイナミック設定:ネゴシエーションプロトコルを使用
PAgP:Port Aggreagation Protocol
Cisco独自(desirableモード、autoモード)
LACP:Link Aggregation Control Protocol
IEEE推奨(activeモード、passiveモード)
※プロトコル名が異なるだけで、仕組みは同じ
コマンド➡︎(config-if)# channel-group グループ番号 mode モード名
⭐︎負荷分散コマンド➡︎port-channel load-balance method値
method値:src-ip、dst-ip、src-dst-ip、src-mac、dst-mac、src-dst-mac ※デフォルトは「src-mac」
⭐︎ネイバー情報確認コマンド➡︎
⭐︎Ether channelのステータス確認コマンド➡︎
⭐︎Ether channelのロードバランシング設定確認コマンド➡︎
◆ゲートウェイの冗長化
◆HSRP
-仮想MACアドレス(:HSRPグループ番号を基に自動割り当て)
◆プリエンプション(:ルータプライオリティが最大値のものを常時アクティブルータとして選出する機能)
WANテクノロジー
Wide Area Network
物理的に離れているLAN同士の接続に使用されるネットワーク
【主サービス】
①専用線➡︎接続先固定の1対1接続
『種類』T1(通信速度1.5Mbps)、T3(通信速度45Mbps)
+別ユーザのトラフィック影響を受けない
ー導入コストが掛かる
②回線交換➡︎接続先未固定の1対1接続
回線番号で一時占有
③パケット交換➡︎同時に複数接続が可能(接続先は未固定)
宛先情報の付加によって、宛先を識別
『種類』ATM(Asynchronous Transfer Mode)、IP-VPN、メトロイーサネット
物理的なアクセス回線:PSTN、ISDN、DSL、FTTH、CATV
【最新サービス】
IP-VPN(MPLS-VPN)、メトロイーサネット(広域Ethernet)、インターネットVPN(IPsec-VPN)
◆VPN(Virtual Private Network)
ーセキュリティ機能を用いたパブリックネットワーク上でVPNトンネル(:仮想的な専用線)による安全なデータ通信を行う仕組み
ー比較的低コストで高いセキュリティを持つため、使われている
・暗号化(:接続拠点のLAN同士以外の読み取り不可)
・認証(:不正な第三者へのパケットの送信不可、不正な第三者からの受信拒否)
・パケットの完全性確保(:パケットの改ざん防止)
『種類』インターネットVPN(低コスト、セキュリティ弱)
IP-VPN(高コスト、セキュリティ強)※閉域網利用
『インターネットVPNの接続形態』①サイト間VPN(拠点同士のLAN接続)
②リモートアクセスVPN(拠点VPN装置とリモートアクセス端末間でVPN接続)
◆MPLS(Multi Protocol Label Switching)
ーラベル(:タグ)によるパケット転送技術
ーネットワーク識別のためにラベル付けが行われている
ールーティングテーブルとラベルテーブルを学習する
◆メトロイーサネット(広域Ethernet)
ーイーサネット網(:通信事業者に用意されたサービス網)にLANを直接接続することでLAN間接続を促す
ーQ-in-Q()によって、スイッチがタギングを行い、識別
■WANトポロジー(諸要件に応じて選択)
①ポイントツーポイント(:拠点間1対1接続)
②ハブアンドスポーク(:ハブ拠点、それ以外の拠点接続、必ずハブ拠点経由しなければならない)
③フルメッシュ(:各拠点間すべて、高信頼性、高コスト)
④パーシャルメッシュ(:ハブアンドスポーク+重要拠点にメッシュ接続、よく使われている)
⑤Wireless WAN(:拠点間同士を無線通信接続、低安定性)
■WANプロトコル(使用回線に応じて異なる)
①PPP(ポイントツーポイントプロトコル)(専用線、PSTN、ISDN、IP-VPN)
◆IPsec(暗号化技術によるネットワーク層におけるデータのセキュリティ保護を行うプロトコル、AH、ESP、IKEから構成)
『通信モード』①トンネルモード(:パケットの元のIPヘッダが変更されない)
②トランスポートモード(:元のパケットに新たなIPヘッダが付加される)
※AHパケット(:IPv4ではあまり使われていない)
※ESPパケット(:暗号機能、認証機能を持つ)
QoSの概要
■ネットワーク利用の問題点
-ネットワーク利用の拡大
・トラフィック量の増大
・トラフィック種類の多様化
◎トラフィックの優位性
・効率良いデータ転送の要求
➡︎トラフィック毎の優先度設定
◆QoS(Quality of Service)
-通信品質を保証するための技術
①帯域制御(データ送信帯域をあらかじめ確保しておく)
➡︎ネットワーク混雑による遅延防止
②優先制御(優先度高いデータを先に通す)
❶アプリケーション毎に優先順位を定義
■QoSモデル
◆DiffServモデル
-一般的にはこちらが使用される
-差別化サービス
◆IntServモデル
-統合サービス
①クラス分け(特定条件で優先させるパケットを分類)
【主な条件キーワード】
送信元、宛先IPアドレス
送信元、宛先ポート番号
入力インターフェース
パケットサイズ
CoS(Class of Service)
②マーキング(分類されたパケットを優先度毎にグループ化)
❶L3マーキング
-「IP Precrdence値(先頭3ビット)」もしくは「DSCP値(先頭6ビット)」を使う
➡︎IPv4ヘッダ内のTOS(Type of Service、8ビット)で定義
;DiffServモデルでは、DS(DiffServ)で定義(TOSの代わり)
※※※PHB(Per-Hop Behavior、ホップ単位動作)
-DSCPに割り当てられる転送動作(優先される度合いを定義)
※※※PSB毎のDSCP値
①Default
②CS
③AF
④EF
❷L2マーキング
-Cos(Class of Service)値を使う
③キューイング(インターフェースにあるキューにパケットを格納)
スケジューリング(どのキューにあるパケットから送出していくか定義)
※※※キュー(パケットの格納場所、1つのインターフェイスに複数ある)
『方式』
◎LLQ(Low Latency Queuing)
-CBWFQにPQを追加したもの(帯域幅の割り当て+最優先処理キューの割り当て)
FIFO(First In First Out)
-着信順でパケット送出
■帯域制御
-事前に定義した帯域上限を超えたトラフィックを制御する仕組み
『方式』
◆ポリシング
①帯域上限を超えたパケットの破棄
②CAR、CB-Policingなど
◆シェーピング
①キューに格納、一定時間後に送信(ー遅延発生の可能性有)
②GTS、CB-Shaping、FRTSなど
■WLANコントローラーにおける
Plantinum(voice)
Gold(video)
Silver(best effort)
Bronze(background)
IPv6アドレッシング
■表記方法
-16進数形式で16ビット毎にコロン区切り
-各フィールド内で先頭「0」の連続部は省略可能
-「0」が連続する場合は、二重コロンで省略可能(1回のみ)
■IPv6アドレスタイプ
①ユニキャスト
②マルチキャスト(ブロードキャストアドレスを含む)
③エニーキャスト(1対複数のうち最も近い1つのものと1対1の通信)
■IPv6アドレスのスコープ
◆スコープ(パケットの到達範囲)
①リンクローカル(ルータで区切られた範囲のみ)
②ユニークローカル(組織内のみ)
③グローバル(インターネット全体、制限なし)
■IPv6アドレスの構成
◆リンクローカルアドレス
-自動生成
-「FE80」(ネットワークブレフィックス)
※※※プレフィックス(IPv4のネットワーク部)
※※※インターフェースID(IPv4のホスト部)
◆修正EUI-64(Extended Universal Identifer-64bit)
-インターフェースID(64ビット)をMACアドレス(48ビット)から自動生成
-ほとんど使われていない
◆グローバルユニキャストアドレス
-「2001」(グローバルユニキャスト)
◆ユニークローカルアドレス(ULA)
-「FD00」(ネットワークプレフィックス)「FC00」もあるが、使用不可
※※※サイトローカルアドレス(ULAの前身)
◆マルチキャストアドレス
-「FF00」(ネットワークプレフィックス)
■IPv6アドレスの自動設定
⭐︎⭐︎⭐︎ipv6 unicast-routing【IPv6ルーティングの有効化】
◆ステートレス自動設定(=オートコンフィグレーション)
-プレフィックスが自動設定
-インタフェースIDは修正EUI-64などで生成
-ルータと端末間でRSとRAのやり取り
※※※RS(Router Solicitation、ホストからルータに対してプレフィックスやデフォルトゲートウェイなどを要求するメッセージ)
※※※RA(Router Advertisiment、ルータからホストに対してRSの応答メッセージ)
◆ステートフル自動設定
-DHCPv6サーバから割り当て(プレフィックスとインターフェースID)
-オプション情報も付与可能(デフォルトゲートウェイやDNSサーバなど)
■IPv6スタティックルーティングの設定と確認
⭐︎⭐︎⭐︎ipv6 route prefix/length ネクストホップ 出力インターフェース distance(デフォルトは「1」) 【IPv6スタティックルートの設定】
⭐︎⭐︎⭐︎ipv6 route ::/0 ネクストホップ 出力インターフェース番号【IPv6デフォルトルートの設定】
⭐︎⭐︎⭐︎show ipv6 route 【ルーティングテーブル全体確認】
⭐︎⭐︎⭐︎show ipv6 (route) static 【スタティックルートのみ確認】
⭐︎⭐︎⭐︎ping ipv6アドレス 【疎通確認】
セキュリティと管理アクセス
■主要概念
①脅威(情報資産に悪影響を与える原因や要因)
②脆弱性(潜在的に持つ弱点)
③エクスプロイト(ソフトウェアの脆弱性を攻撃するためのソースコード、もしくはその攻撃そのもの)
④軽減対策(脆弱性への対策)
■一般的なセキュリティの脅威と攻撃
◆アドレスなりすまし(=スプーフィング、Spoofing)
①DoS攻撃(DDoS攻撃、Denial of Service)
②リフレクション・アンプ攻撃
③中間者(Man-in-the-Middle)攻撃
◆偵察(攻撃者によるシステム攻撃前の事前調査)
◆バッファオーバフロー(メモリにデータの上書き)
◆マルウェア(悪意のあるソフトウェアの総称)
①トロイの木馬(有用ソフトウェアに見せかけた不正プログラム)
②ウィルス(不正プログラム、感染源プログラムが必要)
③ワーム(不正プログラム、単独で存在が可能)
■脆弱性と攻撃
◆人的脆弱性と攻撃
①ソーシャルエンジニアリング(社会的手段を用いて情報を不正収集)
②フィッシング(偽サイトに誘導、個人情報を不正収集)
(スピアフィッシング、ホエーリング、ヴィッシング、スミッシング、ファーミング、ウォータリングホール)
◆パスワードの脆弱性と攻撃
①辞書攻撃(文字列による検証)
②ブルートフォース攻撃(総当たり攻撃、文字すべてによる組み合わせ検証)
◆軽減策
①パスワードポリシーの実装
②パスワードの代替(デジタル証明書、バイオメトリクス(生体認証)、多要素認証(マルチファクタ認証))
◆多要素認証(マルチファクタ認証)
⭐︎Something you know
⭐︎Something you have
Something you are
Somewhere you are
Something you do
※※※二要素認証(Something you know、Something you haveの組み合わせ)
■AAAによるデバイス管理
◆AAA(トリプルエー、3つの異なるセキュリティ機能を設定するためのアーキテクチャ上の仕組み)
①Authentication(認証、ユーザーの本人確認)
②Authorization(認可、ユーザーの権限確認)
③Accounting(アカウンティング、ユーザーの操作記録)
+認証用のユーザー情報を一括管理できる
※※※IEEE802.1x認証と併せて使われることが多い
◆認証サーバ
①RADIUS
-IETFオリジナル
-暗号化(アクセス要求のパスワードのみ)
-UDP1812/18131を使用
-アカウンティングのみ分離
②TACACS+
-Ciscoオリジナル
+暗号化(パケット全体)
+TCP49を使用
-AAAを別々制御
■セキュリティプログラムの開発
⭐︎ユーザー意識(それぞれが情報セキュリティに対する意識を持ち、組織ポリシーに従う)
⭐︎ユーザー訓練(定期的な訓練による組織ポリシーや運営ルールを精通させる)
③物理的アクセス制御(入退館やアクセス管理を厳格にする)
◆ファイアウォール(外部ネットワークからの不正アクセスや侵入を防ぐための仕組み)
-公開サーバはDMZ内配置
※※※ゾーン(どのホストが新しい接続を開始できるかの定義概念、「inside」「outside」「dmz」で作成)
①パケットフィルタリング(パケット単位で行われるアクセスコントロール)
-TCPヘッダー、IPヘッダーを参照、ポリシーに基づき制御
ー従来型はポート番号のみで判断(トラフィックの中身は確認されない)
②ステートフル・インスペクション(通信の状態情報を収集、次のパケットを予測、矛盾がないか確認してアクセス制御を行う)
-常時動的にアクセス制御リストを作成、更新
◆IPS(Intrusion Prevention System、不正侵入防止システム)
-検知精度の向上(複数の検知方式を併用)
-不正通信の遮断(検知モジュールをネットワークにインラインで組み込み)
※※※シグネチャベース(検知方式)
◆次世代ファイアウォール
+アプリケーションの可視性と制御(ランダムなポート番号使用による攻撃から守る)
+高度なマルウェア保護
+URLフィルタリング
◆DHCPスプーフィング(不正DHCPの応答)
◆DHCPスヌーピング
-DHCPサーバとクライアントのやり取りを覗き見
-信頼(trust)するポートに正規のDHCPサーバを接続
-その他ホストは信頼しない(untrust)ポートに接続
⭐︎⭐︎⭐︎ip dhcp snooping【DHCPスヌーピングの有効化】
⭐︎⭐︎⭐︎ip dhcp snooping vlan VLAN番号【VLAN単位でのDHCPスヌーピングの有効化】
⭐︎⭐︎⭐︎ip dhcp snooping trust【DHCPスヌーピングの有効化】
◆ARPスプーフィング
◆DAI(ダイナミックARPインスペクション)
-ネットワーク内のARPパケットを検証するセキュリティ機能
-信頼できるバインディングデータベースに保存された有効なIPアドレスとMACアドレスのバインディングを基にARPパケットの有効性を判断
「有効なバインディングデータベース」
①DHCPスヌーピングバインディングテーブル
②スタティックなバインディングテーブル
trustでは、検査せずに転送
Untrustでは、有効性が確認できたパケットのみ転送
※※※Gratutious ARP(自身のIPアドレスをリクエストするためのARPパケット)
➡︎設定ミス等によるIPアドレスの重複を検知するため
➡︎他ホストのキャッシュエントリ(ARPテーブル)の更新を促すため
⭐︎⭐︎⭐︎ip arp inspection vlan VLAN番号
⭐︎⭐︎⭐︎ip arp inspection trust
■パスワードの暗号化設定
⭐︎⭐︎⭐︎service password-encryption【パスワードすべての暗号化有効】
⭐︎⭐︎⭐︎no service password-encryption【パスワードすべての暗号化無効】※暗号化済のものはそのまま
■リモートアクセスの強化
◆SSH(Secure SHell)
-通信内容の暗号化、ネットワーク機器の遠隔操作
-バージョン2が主流
※※※TELNETは暗号化できない
『設定に必要な情報』
①ホスト名、ドメイン名の設定
⭐︎⭐︎⭐︎hostname ホスト名
⭐︎⭐︎⭐︎ip domain-name ドメイン名
②ユーザー認証の設定(一般的にパスワード認証)
ローカル認証の設定
③RSA暗号鍵の設定
⭐︎⭐︎⭐︎crypt ley generate rsa
④SSHバージョンの設定
⑤SSH接続許可の設定
⑥特権モードのパスワード設定
仮想化とクラウド
◆仮想化(物理的リソースだけでなく論理的リソースを自由に扱えるようにする)
+サーバの保守性や可用性の向上
+省スペース化(管理コストや電力コストの低減)
+ライフサイクルギャップの吸収化
(ハードウェアとソフトウェアの分離が可能、どのハードウェア環境においても古いOSやアプリケーションの利用が可能になる)
+ハードウェアリソースの効率化(CPUやメモリ等システムリソースを無駄なく使用できる)
+事業継続、災害対策(バックアップ側にメイン側データをコピーでき、復旧が短期間で済む)
ー破損時の被害が大きい
※※※サーバ仮想化技術(近年の主流になっている)
■仮想化技術の方式
①ホストOS型(ホストOSにアプリケーションとしてインストール、ハードウェアリソースの入出力を行う)ハードウェアリソースーOSリソース=ゲストOS
ー低パフォーマンス(仮想化のオーバーヘッドが大きいため)
⭐︎ハイパーバイザ型(ホストOS✖️、ハードウェアリソースの入出力を直接行う、よく使われている)ハードウェアリソース=ホストとゲストで共有
+高パフォーマンス
(③コンテナ型(アプリケーションの話))
■仮想スイッチの使用によるネットワーク
『ポート構成』
①仮想マシンに接続されたポート(VLANを他仮想マシンと共有、仮想マシンへVLANトラッキング)
②物理NICに接続されたポート(物理NICによって仮想スイッチを外部物理スイッチに隣接させる)
①自動構成
※※※仮想スイッチ(物理NICと仮想NICを紐付ける)
※※※NIC(Network Interface Card、ケーブル口を持つインターネット接続に必要な部品)
■Cisco UCS Server
◆UCS(Unified Computing System) Server
-Cisco独自IA(Intel Architecthre)サーバ
+さまざまなOSで使用可能(Windows、Linux、VMware ESXIなど)
+関連コーポネントの提供(ラックマウント型、ブレード型)
+物理的機器数の削減(高速インターフェースによるサーバ間接続統合)
※※※CPUメーカー(Intel、AMD)
※※※サーバラック(サーバを置いておくための棚、記号「U」)
■クラウドサービス
◆クラウド(インターネット上で提供されているサービスを時間・場所・端末を問わずに利用できる形態)
『利用形態(企業向け)』
①パブリック・クラウド(各クラウド・プロバイダ社から提供されているクラウド・コンピューティング環境を利用する形態)
②プライベート・クラウド(自社内構築による自社サービスとして利用する形態)
③ハイブリッド・クラウド(パブリックとプライベートの連携、データやアプリケーションの利用形態に応じて使い分けできる)
④バーチャル・プライベート・クラウド(VPN網による物理サーバが自社外にあるプライベート・クラウド)
※※※オンプレミス(情報システムを使用者が管理する設備内に設置して運用する自社運用)との違いに注意
『サービスの種類』
①SaaS(Software as a Service)
+アプリケーションを使うだけ
ー高コスト
ー自由が利かない
-Gmail等
②PaaS(Platform as a Service、ソフトウェア開発時に使用されることが多い)
+アプリケーションを使う+カスタマイズができる
-Google App Engine等
③IaaS(Infrastructure as a Service)もしくはHaaS(Hardware as a Service)
ー0から作り出す
+低コスト
+自由が利く
-AWSやMicrosoft Azure等
自動化とプログラマビリティ
■プレーン
①データプレーン(ネットワーク機器がデータ転送を行うタスク)
-フレームの際カプセル化、MACアドレステーブルとのマッチング、IPルーティングテーブルとのマッチング
-暗号化と新しいIPヘッダーの追加、NATのアドレス変換、ACLやポートセキュリティのメッセージ破棄
②コントロールプレーン(データプレーンの転送処理に必要な情報収集、管理)
-ルーティングテーブル、IPv4 ARP、IPv6 NDP SwitchのMACアドレス学習、STP
③マネージメントプレーン(ネットワークエンジニアによるデバイス管理のための仕組み)※プロトコルを含む
-TELNET、SSH、SNMP、Syslog
■コントローラと集中制御
①分散コントロールプレーン(ネットワーク内の各デバイス上で動作)
-従来型
②集中コントロールプレーン(ネットワーク内の1つのデバイスもしくはサーバ上で動作)
-SDA(Software Defined Architecture)
※※※(SDN)コントローラ(ネットワークデバイス制御のためのソフトウェア)
※※※SDN(Software Defined Network、ネットワーク構成や設定を柔軟に動的に変更できる仕組み)
■SDNアーキテクチャ
①アプリケーションレイヤ(ネットワーク利用のビジネスアプリケーション)
❶ノースバウンドインターフェース(ノースバウンドAPI、アプリケーションがネットワークサービスを利用するためのAPI)
-RESTベースAPI、Java API等
※※※API(Application Programming Interface)
②コントロールレイヤ(アプリケーションとインフラストラクチャを分離してアクセス提供を行うソフトウェア)
❷サウスバウンドインターフェース(サウスバウンドAPI、ネットワークデバイスがコントローラに対してサービス提供を行うためのAPI)
⭐︎OpenFlow、NETCONF、TELNET、SSH、SNMP
③インフラストラクチャレイヤ(ネットワークデバイス)
※※※3層の間は2つのインターフェースで結ばれている
■SDNソリューション
-Cisco独自のSDNおよびネットワークプログラマビリティソリューション
①OpenDaylight Controller(普及率が最も高い、オープンソース)
②Cisco ACI(Application Centric Infrastructure、データセンター向けソリューション)
③Cisco APIC(Application Policy Infrastructure Controller)-EM(Enterprise Module)
-現在は提供終了、後継にはCisco DNA Center
+デバイスの設定コマンドを考慮する必要がなくなった
+合理化された一貫した設定が可能(時短、エラー減少)
+ネットワーク構成を考慮できる運用モデル
+ノースバウンドAPIによる自動化
+DevOpsアプローチが可能(開発・運用両方から確実かつ迅速にエンドユーザに提供し続けるという概念)
■SDA(Software Defined Access)
-SDNによる新たなキャンパスLANを構築する方法
-Cisco DNA Centerをコントローラとして、GUIによる自動化
-サウスバウンド
①Fabric(UnderlayとOverlayの組み合わせによるネットワーク全体にデータ配信を行うためのすべての機能を提供)
②Underlay(OverlayのVXLANトンネル作成プロセスの一部、すべてのSDAデバイスとエンドポイントの動的検出を目的とした、Fabric内すべてのノードにIP接続を提供するネットワーク)
③Overlay(SDAスイッチ間にVXLANトンネルを作成する仕組み、Fabricを介してエンドポイントから別エンドポイントのトラフィックを転送させる)
◆Cisco DNA Center
◆REST(REpresentational State Transfer、WEBアプリケーションを設計するための原則)
◆RESTベースAPI(RESTful API、RESTに倣ってサーバ内のリソース操作の手法定義)
-ノースバウンドインターフェース
①操作ではHTTP(HTTPS)を使用
②操作対象のリソースはURIで指定
『データ記述方式』
①JSON(JavaScript Object Notation、軽量なデータ記述言語の1つ)
■構成管理ツール
+ネットワーク上のサーバ等の構成を自動実行
+冪等性(何度繰り返しても同じ)
①Ansible(Playbook、SSH.NETCONF、不要、プッシュ)
②Puppet(Manifest、HTTP、要、プル)
③Chef(Recipe,Runlist、HTTP、要、プル)