LAN
「LAN」は「Local Area Network(ローカル・エリア・ネットワーク)」の頭文字です。
決められた敷地内や建物内といった限定したエリアで構築するネットワークのこと
特徴
・限られたエリアで使用
・ケーブルを使う「有線LAN」と、
無線を使う「無線LAN」がある
WAN
「WAN」は「Wide Area Network(ワイド・エリア・ネットワーク)」の頭文字です。
広いエリア同士をつなぐネットワークのこと
特徴
・離れた拠点にあるそれぞれのLANを繋いで一つのネットワークにした
・セキュリティを確保して、LANとLANを安全に接続することが不可欠
|_VPN接続
|_SD-WAN の導入
VPN
「VPN」は「Virtual Private Network (仮想プライベートネットワーク)」の頭文字です。
LANよりも広い場所をカバーするネットワークのことです。
遠く離れた拠点間をつなぐ社内ネットワークとしてWANが利用されています。WANは、Wide Area Networkの略語であり、WANの中で最も利用されている接続方法がVPN(Virtual Private Network)です。
企業の社内ネットワーク構築に必要な機器一覧
1. ルータ
ルータとは、コンピュータネットワークを接続する機器のひとつ
2. ハブ
ハブとは、LANケーブルの敷設に必要な集線(中継)装置
3. ハブサーバ
サーバとは、情報の保存や共有などに使用されるコンピュータ
4. アクセスポイント
Wi-Fiの電波を送受信する機器のこと。パソコンやスマートフォン、ゲーム機など、Wi-Fiに接続可能な端末と無線ルーターをWi-Fiの電波で接続し、光ケーブルを経由してインターネットに接続する役割を果たしています。
5. UTM
UTMとは「Unified Threat Management」を略
コンピュータウイルスやハッキングなどの脅威から、コンピューターネットワークを効率的かつ包括的に保護する管理手法のこと
ネットワーク構成図
ネットワーク構成図とは、ネットワークを構成する機器同士がどのように接続されているかを可視化した図。主に5種類存在。
1. バス型
2. スター型
3. リング型
4. ツリー型
5. フルメッシュ型
ロードバランサーの種類
機器を配置(構成)する位置により以下の2種類に分類
| (1) Two-Arm (inline)/インライン構成 | (2) One-Arm/ワンアーム構成 | |
|---|---|---|
| 配置場所 | 通信経路上 | 見た目はサーバー類と並列 |
| メリット | 構成がシンプルでわかりやすい | 負荷軽減、ロードバランサー自体がボトルネックにならない |
| デメリット | ロードバランサー自体を冗長化しないと機器の障害対応ができない | 通信経路を把握しづらい |
| 採用の規模 | 小〜中規模 | 大規模 |
| 特徴 | 管理性重視 | 拡張性重視 |
ワンアーム構成
クライアント ⇔ サーバ間の通信経路上のスイッチに横付けに配置
1. ワンアーム構成①
通信要件によって、下図の
ように、リアルサーバ、バーチャルサーバ、デフォルトゲートウェイを同セグにするケース
行きのパケット : クライアント ⇒ ロードバランサ ⇒ リアルサーバ
戻りのパケット : リアルサーバ ⇒ クライアント
2. ワンアーム構成②(SNAT)
ロードバランサからリアルサーバにパケットを送信する際、
送信元アドレスをLBの I/F のアドレスにNAT(Network Address Translation)変換することで回避できて、行きと戻りが同じ経路となります。
つまり、行き帰りの通信経路が異なる場合、LBはセッションを確立することができないため、NAT(Network Address Translation)機能を利用して、送信元IPをLBのIPに変換することで強制的にLBを通すということが可能です。
3. ワンアーム構成② DSR(Direct Server Return)
Real ServerのディフォルトGWがL3SW-IPを向いている場合
ツーアーム(Two-arm)構成
1. ツーアーム(インライン)構成
ツーアーム構成はその名の通り2本の腕で通信経路中に挟み込まれる構成です。
セキュリティアプライアンス
Fire eyeなどのセキュリティアプライアンスを導入する場合の成方法
1. スパン/SPAN(Switched Port Analyzer)構成
SPAN(はポートミラーリングとも呼ばれ、通信をミラーリンング(コピー)して特定のポートへの転送するという機能です。スイッチやルーターの本来もつ機能の一つとして、SPANの導入に機器の増設が不要になるわけです。
2.タップ構成/ネットワークタップ(Terminal Access Point)
ネットワーク内に新たな機器(TAP製品)を導入したことにより、通信パケットの抽出・トラフィックの分岐が実現される。ネットワークTAPは主にトラフィック・セキュリテイの監視に用いられ、通信をミラーリングして取り出すという仕組みでネットワークの管理を行う。
インライン構成は「inline」
クライアント・ロードバランサー・サーバーが列をなしている構成です。 クライアントとサーバーの間に仮想IPアドレスを設定したロードバランサーを配置し、受け取ったアクセスをすべて集約してから各サーバーに割り振ります。
ファイアウォール
冗長化対応
※VRRP(Virtual Router Redundancy Protocol)とHSRP(Hot Standby Router Protocol)は基本的にActive/Standbyのゲートウェイ冗長化機能を提供する機能です。
VRRPとは. VRRP( Virtual Router Redundancy Protocol )は、デフォルトゲートウェイなどを冗長化するための RFC3768で標準化されたプロトコルです。
HSRPとは. HSRP(Hot Standby Router Protocol)とは、デフォルトゲートウェイを冗長化するためのシスコ独自の プロトコルのことです。
Ciscoシステムズが開発したルータ冗長化プロトコルです。
Cisco機器でしか動作しません。
ネットワーク管理コマンド
代表的なものを以下の表
| コマンド | 主な役割 |
|---|---|
| ifconfig(MacOS) ipconfig(WindowsOS) |
利用しているパソコンのIPアドレスを確認 |
| nslookup | 対象となるホストのDNS問い合わせ |
| hostname | ホスト名を表示 |
| nbtstat(WindowsOS) | TCP/IP接続の状態を確認 |
| netstat | ネットワークステータス確認 |
| ping | ネットワーク疎通確認(死活を確認) |