以下の内容はhttps://minus9d.hatenablog.com/entry/20101016/1287199635より取得しました。
前回の続き。これを今から根性で覚える。
下敷きにした教科書はやっぱりこれ。
まるごと引用しちゃってるので宣伝しとかないと…
第3章 WAN
- SLA(Service Level Agreement):サービス品質に関する契約
- HDLC
- 専用線、Point to Point
- マルチプロトコルの取り扱い不可
- ベンダによる独自拡張多い
- 構成:フラグシーケンス(フレームの開始と終了)、HDLCヘッダ(アドレス+制御)、データ、HDLCフッタ(エラーチェック)
- PPP
- 専用線やリモートアクセス、Point to Point
- マルチプロトコルに対応
- 構成:HDLCに、プロトコルフィールドが追加
- LCP(Link Control Protocol)階層とNCP(Network Control Protocol)階層からなる
- LCPでリンク確立→認証(設定あれば)→NCP
- PPPのオプション機能
- 認証機能
- PAP(Password Authentication Protocol):クリアテキスト。パスワード平文。リンク確立時のみパスワード認証
- CHAP(Challenge Handshake Authentication Protocol):チャレンジ/レスポンス方式。パスワード暗号化。定期的にパスワード認証
- PPPマルチリンク機能
- パケットを分割、分散して送信可能。マルチリンクヘッダを付けて送信
- ISDNサービス
- 基本インターフェース(BRI):2B+D
- 一次群速度インタフェース(PRI):23B+D
- Bがユーザ情報、Dが呼制御用信号情報。間違えないよう注意
- フレームリレーサービス
- パケット交換
- 信頼性低いが高速
- Virtual Circuit:論理的な通信路を使用。一つの物理回線で複数の相手と通信可
- 契約時、PVCごとにCIR(認定情報速度)と呼ばれる補償速度を設定
- セルリレーサービス
- パケット交換
- ATM技術(48 + 5バイトからなるセル)
- IP-VPNサービス
- インターネット網ではなく、キャリアが構築したIP網を使用
- MPLS(Multi-Protocol Label Switching)技術を利用したIP網
- IPヘッダのかわりにラベルを使ってルーティングすることで高速
- IP-VPN網の接続基地局までは専用線を使うのが普通
- インターネットVPNと混同しないよう注意
- MPLS詳細
- IPヘッダの前にラベル(4バイト)をつけ、ラベルスイッチングにより高速転送
- LSR(Label Switching Router):この機能を備えるルータ
- ラベルテーブルの作成とラベルスイッチングを行う
- FEC(Forwarding Equivalence Class, ラベル割り当て単位)に対しラベルを割りあて
- 隣接するルータ(ネイバー)間でラベル交換
- ラベルの割り当て・交換のプロトコルはLDP, MP-BGP, RSVP
- FECごとにLSP(Label Switched Path)が形成される 片方向なので注意
- ラベルスイッチング:プッシュ、スワップ、ポップ、アンタグからなる
- 他にVPN機能、トラッフィックエンジニアリング機能、QoS機能も持つ
- MPLS網のエッジに配置されるルータはLER(Label Edge Router)
- AS(Autonomous System)
- 自律システムと訳す
- インターネットを構成する組織。ISPが例。ASの集合がインターネット
- ISPのPOP(Point Of Presence)に接続することでISPネットワークに接続
- ユーザとPOPの間がアクセス回線(ADSL, FTTH, CATV)
- ADSL
- DSLAM(DSL Access Multiplexer):多数の加入者を収容するADSLモデムの集合体
- G.992.1:DMTで変調。搬送波は上り26個、下り223個。リードソロモン符号で誤り訂正。8Mbps。のち16Mbps
- G.992.2:使用周波数帯を半分に。伝送距離長い。上り512kbps, 下り1.5Mbps
- オーバラップ、ダブル(クワッド)スペクトラムにより50Mbpsまで高速化
- FTTH
- SS(Single Star)方式:占有型、コスト高い
- ADS(Actie Double Star)方式:多重化装置、銅線も利用
- PDS(Passive Double Star)方式:光カプラ(電源不要)。自宅まで光。
- PDSを利用したネットワークはPON(Passive Optical Network)。早いのがGE-PON
- 収容局がOLT、ユーザ宅がONU。WDM、TDM(下り)、TDMA(上り)で多重化。
- TDMA:各ONUのタイミングを制御。TDMAではOLTからONUにGATEフレームを送信しタイミングを指示。
- CATV
- HFC(Hybrid Fiber and Cable):光ファイバ+同軸ケーブルで敷設
- 変調復調は、ユーザ宅のケーブルモデムと、CATV局のCMTS(Cable Modem Termination System)
- 規格名はDOCSIS(Data Over Cable Service Interface Specifications)
- IPsec-VPN
- IPsec(IPを透過的に保護)を用いて暗号化
- サイトツーサイトVPN
- 拠点のLAN同士をVPNで接続
- 基本はフルメッシュでトンネルを確立するが、高価
- DMVPN(Dynamic Multipoint VPN)を使うとハブアンドスポークでコストを抑えられる
- DMVPNのプロトコルはNHRP(Next Hop Resolution Protocol)
- リモートアクセスVPN
- SSL-VPN
- クライアントからのリモートアクセスVPNで使用
- 以下の3つの方式で実現
- リバースプロキシ
- SSLトンネルの終端であるWebサーバの代わりにSSL-VPNゲートウェイを置く
- Webブラウザしか対応できない
- cf. フォワードプロキシ(エンドユーザーの近くに置かれる)
- ポートフォワーディング
- SSL-VPNクライアントソフト
- 仮想的なインタフェースが追加され、元のIPパケットをそのままカプセル化
第4章 IPアドレッシング
- クラス
- クラスA: 0x0で始まる。ホスト部24ビット。
- クラスB: 0x10で始まる。ホスト部16ビット。
- クラスC: 0x110で始まる。ホスト部8ビット。
- クラスD: 0x1110で始まる。マルチキャストのためホストに設定不可。
- クラスE: 0x1111で始まる。実験用のためホストに設定不可。
- プライベートアドレス
- クラスA: 10.0.0.0〜10.255.255.255
- クラスB: 172.16.0.0〜172.31.255.255
- クラスC: 192.168.0.0〜192.168.255.255
- クラスレスアドレス
- CIDR(Classless Inter Domain Routing)とも
- サブネッティングやルート集約を可能に
- サブネット
- サブネット部の値には、すべて0およびすべて1は使用しないというルールがある
- サブネッティング
- 固定長サブネットマスク(FLSM: Fixed Length Subnet mask)
- ルータ間のPoint-to-Pointネットワークへの割り当てに無駄が出る
- 可変長サブネットマスク(VLSM: Variable Length Subnet mask)
第5章 IPルーティング
- ルーティングテーブルへのルート情報の追加
- スタティックルーティング
- デフォルトルート(0.0.0.0/0)も登録すること
- ダイナミックルーティング
- ルータ同士がアドバタイズし合い、ルーティングテーブルを自動更新
- プロトコルとしてRIP, OSPF, IS-IS, BGPがある
- メトリック
- ホップ数やパスコスト
- メトリック数が同じの場合は、等コストロードバランシング機能で負荷分散(OSPFなどの場合)
- ルーティングテーブルの作成方法
- 距離ベクトル型ルーティング
- 距離と方向によって最適なルートを決定
- コンバージェンス遅い
- RIP
- リンク状態型ルーティング
- ネットワーク全体の構成図を再現
- コンバージェンス速い
- OSPF, IS-IS
- ルート情報の通知
- クラスフルルーティングプロトコル
- クラスレスルーティングプロトコル
- アドバタイズするルート情報にサブネットマスクを含ませる。VLSMに対応可
- RIPバージョン2, OSPF, IS-IS
- RIP(Routing Information Protocol)
- 距離ベクトル型ルーティングプロトコル
- メトリックはホップ数
- バージョン1
- 定期的にルート情報をブロードキャスト
- クラスフルルーティングプロトコルのためVLSMに対応不可
- バージョン2
- OSPF(Open Shortest Path First)
- リンクステートルーティング
- SPF(=ダイクストラ)アルゴリズムを使用
- ルート情報をマルチキャストで通知
- コンバージェンス速い
- 等コストロードバランシング機能をサポート
- リンクステート情報(LSA: Link State Advertisement)をOSPFルータ同士で交換
- 受信したLSAからLSDB(Link State Database)を構築→ネットワーク全体の構成図を再現
- 教科書のSPFアルゴリズムの説明、ほんとにただしいか疑問。ルータ1からルータ4への経路は、ルータ2を通過するルートの方が近くないか?
- OSPFエリアに分割して管理。階層型にできる
- エリア間の伝送路の帯域幅をパラメータとして組み込める
- BGP(Border Gateway Protocol)
- AS間のルーティングに使用
- AS-PATHアトリビュートによりループ回避
- CIDR(クラスレス)をサポート
- TCP
- 差分情報をBGPアップデートで送信
- EIGRP
- 自律システム内で使用
- 距離ベクトルとリンクステートの両方のアルゴリズムを採用
- VRRP(Virtual Router Redundancy Protocol)
第6章 アプリケーションプロトコル
- FQDN(Fully Qualified Domain Name)
- HTTPのメソッド
- PUT
- DELETE
- OPTIONS
- TRACE:特定のサーバに対してループバックを起こすことを要求
- CONNECT:プロキシサーバにトンネリングを要求。SSLの通信などで使用
- DNS
- TCPもUDPも53
- DNSサーバ同士でゾーンファイルを転送するときにTCPを使用
- 主なレコード
- NS: Name Server。ゾーンファイルを管理するDNSサーバを指定
- MX: Mail eXchange。SMTPサーバを指定
- A: Address。ホスト名に対応するIPアドレスを指定
- FTP
- TCP20(データ転送), 21(制御用)
- アクティブモード:サーバからデータ転送コネクション開始。FW通過できない
- TCP SYNセグメントを通過させれば良いが抜け穴になる
- パッシブモード:クライアントからデータ転送コネクション開始。FW通過できる。
- DHCP
- UDP67(サーバ用), UDP68(クライアント用)
- アドレスプールからIPアドレスを一定期間リース
- DHCPDISCOVER, DHCPOFFER, DHCPREQUEST, DHCPACK
- サブネットを越えるためにDHCPリレーエージェントの機能が必要
- この機能を持つルータやレイヤ3スイッチはDHCPヘルパーと呼ばれる
- NTP
- UDP123
- Stratum:NTPサーバの階層。Stratum1, Stratum2, ..., Stratum15まで
- SNMP(Simple Network Management Protocol)
- ネットワーク管理を行うプロトコル
- UDP161/162
- MIB(Management Information Base)と呼ばれるデータベースに管理情報を保持
- SNMPマネージャが出すメッセージ
- Get Request
- Get Next Request
- Set Request
- SNMPクライアントが出すメッセージ
- Response
- Trap:ネットワークの変化を通知。これのみUDP162を使用
- MIB(Management Information Base)
- ツリー型のデータベースにネットワークの管理情報を保持
- オブジェクトID(OID)を並べてGet Requestする
- 拡張MIB:各ベンダが機器固有の機能を管理するために用意。private->enterprises以下
第7章 セキュリティ
- DDoS(Distributed Denial of Service)
- SYN Flood:SYNを送る。返ってくるSYN+ACKに対してACK応答をしない
- Smurf:ICMPのEchoを使用。攻撃対象のサーバに偽装してブロードキャストでEchoを投げる
- 共通鍵
- DES(Data Encryption Standard)
- 3DES
- AES
- Rijndaelアルゴリズム。鍵128, 192, 256ビット
- 相手ごとに共通鍵が必要
- ハイブリッド方式
- データの暗号化は共通鍵。共通鍵の配布に公開鍵を使う
- ディジタル証明書
- 公開鍵を正当に所有していることを、第三者に証明してもらう仕組み
- 認証局(CA)に公開鍵や所有者情報を送り、発行してもらう
- CAの大手はVeriSign。
- このような仕組みを公開鍵基盤(PKI: Public Key Infrastructure)と呼ぶ
- 証明書
- USBトークンやスマートカードに保存することで安全性が高まる
- 認証局は、有効期限より前に失効した証明書をCRL(Certificate Revocation List)に登録
- 失効」していないかを確認する方法は以下の2通り
- CRLをDLしてローカルでチェック。デルタCRLという方法もある
- OCSP(Online Certificate Status Protocol)レスポンダのみがCRLをDL。クライアントは照合の以来を送信する
- IPSec
- ネットワーク層レベルでデータの認証、暗号化を行う
- トランスポートモード:コンピュータ同士でセキュリティ確保。データは暗号化されるがヘッダ部分は平文
- トンネルモード:IPsec VPNゲートウェイ同士でセキュリティ確保。ヘッダ部分も含めて暗号化(新たなIPヘッダをつける)
- IPSecの認証・暗号化
- AH(Authentication Header:相手がなりすましをしていないかを認証+改ざんされていないことを保証
- ESP(Encapsulating Security Payload):トラフィックの暗号化
- SA(Security Association)
- IPsecにより確立されるコネクション(トンネル)のこと
- 以下の2つのトンネルを順番に作成
- ISAKMP(Internet SA Key Management Protocol) SA:IPSec SAを確立するための情報を安全にやりとりするためのトンネル
- IPSec SA:実際の通信を行うトンネル。送信・受信で2つ必要
- SPI(Security Parameter Index):SAを識別するもの
- 鍵管理
- IKE(Internet Key Exchange):自動的に鍵を交換するためのプロトコル
- IKEは以下の3つからなる
- ISAKMP(Internet SA Key Management Protocol):SAや鍵の管理を行う
- OAKELY:鍵交換
- SKEME(a versatile Secure Key Exchange MEchanism for internet):鍵交換
- UDP500を使用(UDPを用いた鍵交換と言えば、IKEを指す。)
- IKEの動作(よくわからない)
- IKEフェーズ1:対向との相互認証を行ない、ISAKMP SAを確立
- メインモード
- 事前共有鍵を使う認証とディジタル署名を使う認証がある。以下は前者の方法
- SAペイロードにて、使用する暗号や認証アルゴリズムの提案と合意を行う
- Diffie-Hellmanの鍵交換アルゴリズムで使用するパラメータなどを交換(共有鍵をイニシエータとレスポンダで共有)
- IDを確認し相手を認証(IDにはIPアドレスを使う。なので固定IPアドレスが必要)
- アグレッシブモード
- 最初の段階でID情報を交換するため、クライアントのIPアドレスが固定されない環境で使用可能
- IDにはIPアドレス以外の情報を用いる
- どちらのモードもデバイス単位の認証である
- ユーザ単位で認証したければXAUTH(Extended Authentication within IKE)認証をIKEフェーズ1の後に行う
-
- IKEフェーズ2:ISAKMP SAを通して、IPsec SAを確立
- クイックモードによりIPsec SAを2個確立
- 三つのメッセージを使い、暗号化アルゴリズムやセキュリティプロトコル、鍵作成用の乱数をやりとり
- 通信用の鍵は、IKEフェーズ1で使用した情報と、IKEフェーズ2で区間した乱数を使用して生成
- 通信用の鍵を、再度Diffie-Hellmanを使用した鍵交換により鍵情報を交換することもできる(PSF(Perfect Forward Security))
- ハードライフタイム:既存のSAの有効期限
- ソフトライフタイム:現在のSAが確立してから新しいSAの確立を行うまでの時間
- Re-keying:期限切れになる前に新しいSAを確立する仕組み
- NATトラバーサル(NAT越え)
- NAPTの場合、ESPによりポート番号の部分が暗号化されてしまうのでIPsecが使えない。
- 新IPヘッダとESPヘッダの間にUDPヘッダを追加するのがNATトラバーサル
- SSL/TLS
- SSL(Secure Socket Layer)はセッション層で動作
- 後継がTLS(Transport Layer Security)
- httpsで利用、ポート443
- データ暗号化に共通鍵を使用。共通鍵の生成にディジタル証明書の仕組みを使用
- 手順(よくわからない)
- クライアントとサーバが、SSLトンネルを確立するためのアルゴリズムの合意を行う
- 認証局を使い、サーバの公開鍵が正規のものであることをクライアントが確認
- クライアントとサーバでプリマスターシークレットを共有
- クライアントとサーバでプリマスターシークレットからマスターシークレットおよびセッションキー(共通鍵)をそれぞれ生成
- レイヤ2レベルの認証
- ポートセキュリティ
- IEEE802.1X認証
- イーサネットや無線LANで使われる
- サプリカント(嘆願者の意味):クライアントのこと。ID・パスワードを用いるか、ディジタル証明書を用いるかを指定する
- 認証サーバ:RADIUSサーバのこと。接続を許可するサプリカントのID・パスワードやディジタル証明書を保持し、サプリカントを認証。結果をオーセンティケータに通知。----クライアントを接続するVLAN情報も通知する。
- 認証失敗時は、LANへの接続を許可しないか、制限付きのVLANに接続を許可する
- オーセンティケータ:スイッチやAPのこと。認証サーバの結果に基づいて接続許可
- ファイアウォール
- ステートフルインスペクション:通信の状況に応じてフィルタリングルールを動的に変更
- 不正アクセス監視
- IDS(Intrusion Detection System):NW上のパケットを監視。不正なアクセスが検出されると管理者に通知(のみ)
- NIDS:ネットワーク型IDS。
- HIDS:ホスト型IDS。サーバマシンに組み込まれる
- IPS(Intrusion Prevention System):不正なアクセスが検知されると即座に通信を防御
- IDSやネットワークアナライザは、スイッチのミラーポートに接続
第8章 IPテレフォニー
- VoIP
- 従来の電話機やPBX(Private Branch eXchange)を使用。音声ゲートウェイでIP化
- IPテレフォニーと狭義のVoIPとを合わせてVoIPと呼ぶこともあるので注意
- VoWLAN(Voice over WLAN(Wireless LAN))
- RTP
- シーケンス番号を使って順序を並び替え、タイムスタンプによりタイミングを決める
- RTCP
- 通信状況(送出/受信パケット数、パケット損失率など)を伝える
- IPテレフォニーのシグナリングプロトコル
- H.323
- MGCP, MEGACO, H.248
- SIP(Session Initiation Protocol)
- テキスト形式でメッセージをやりとりする
- UA(User Agent):端末
- UAC(User Agent Client):リクエストを送信する側
- UAS(User Agent Server):レスポンスを返す側
- アドレスとしてURIを使用
- sip:user:password@host:port:uri-parameters?headers
- SIPサーバ:UA間のセッションを確立
- プロキシサーバ:UAの代理としてSIPメッセージを転送。UAが相手先のアドレスを知る必要なし。ロケーションサービスを使用
- レジストラサーバ:UAからのロケーションサービスへの登録を受け付ける
- リダイレクトサーバ:プロキシサーバからのリクエストメッセージを受け入れ、転送先の経路情報だけ返答
- SIPメソッド
- INVITE, ACK, BYE, CANCEL, OPTIONS, REGISTER
- レスポンスコード
- 100 Trying
- 180 Ringing
- 200 OK
- SIPシーケンス
- 手順
- 電話をかければINVITE
- 100 TryingがSIPサーバから, 180 Ringingが発信先から返る
- 電話機を取れば200 OKが返る
- 電話機が直接ACKを送信
- 電話を切ればBYE
- 200 OK
- 通話時間も管理するためにはSIPサーバを通す(Record-RouteとRoute)
- Record-Route:リクエストメッセージがどのサーバを経由すべきか通知
- Route:Record-Routeの情報を基に生成され、経由するサーバを指定するために使用
- 音声品質評価
- 主観的評価
- 客観的評価
- PSQM(Perceptual Speech Quality Measurement):従来の電話システム向け
- PESQ(Perceptual Evaluation of Speech Quality):PSQMがベース。ジッタやパケット損失に対応
- R値:雑音、音量、エコー、遅延などのパラメータを代入して算出。R値とエンドツーエンド遅延からクラスA, B, Cに分けられる
- QoS
- IntServ(Integrated Services)
- エンドツーエンドで、RSVP(Resource reSerVation Protocol)により帯域を予約
- アドミッション制御とも呼ばれる
- 拡張性がない。フローが発生するたびに帯域を予約しなければならない
- DiffServ(Differentiated Services)
- トラフィックを分類してグループ(クラス)化し、グループごとに差をつける
- クラス分けに柔軟性あり
- プロセスは以下
- 分類:クラス分け
- マーキング:クラスへの優先度つけ
- キューイング:トラフィックをクラスごとのキューに振り分け
- スケジューリング:キューに設定した優先度にしたがって出力
- トラフィックの分類方法は以下
- IPアドレス
- ポート番号
- CoS(Class of Service):レイヤ2。VLANで用いられるトランクプロトコル(IEEE802.1Q)のTCIフィールドの値。
- IP Precedence, DSCP:レイヤ3。IPヘッダの優先度フィールドの値。IP Precedenceは3ビット。DSCPは6ビット(優先度と廃棄レベルがそれぞれ3ビット)
- マーキングはユーザに一番近いNW機器で行うことが多い
- キューイング&スケジューリング
- FIFO
- PQ(Priority Queuing):高い優先度が絶対有線
- RR(Round Robin):完全平等
- WRR(Weighted Round Robin)
- WFQ(Weighted Fair Queuing):優先度に応じて帯域幅を自動調整、トラフィックサイズ小&高優先度を有線
- CBWFQ(Class Based WFQ):クラスの定義と帯域幅を設定可能
- LLQ(Low Latency Queuing):CBWFQに絶対優先キューを追加
- QoSの他の機能
- ドロップ制御:キューが満杯にならないよう破棄
- RED(Random Early Detection):キューが満杯になる前に、ある確率に応じて少しずつランダムに破棄
- WRED(Weighted RED):優先度で重み付け
- レート制御
- ポリシング:設定したレートを超過した場合は、廃棄または再マーキング
- シェイピング:設定したレートを超過した場合は、バッファに格納
- 圧縮:遅延が発生
第9章 ストレージネットワーキング
- DAS(Direct Attached Storage)
- SAN(Strage Area Network)
- FC-SAN
- Fiber Channelを使用
- ファイバチャネルプロトコルを使用
- FCスイッチを中心としてスター型を構成
- IP-SAN
- IPネットワークを使用
- iSCSIを使用
- FCIP(Fiber Channel over IP), iFCP(internet Fiber Channel Protocol):ファイバチャネルプロトコルをIPネットワーク上で転送するために使用
- ローデバイス方式
- ゾーニング
- ハードウェアゾーニング:FCスイッチのポートで制御
- ソフトウェアゾーニング:サーバやストレージ装置のWWN(World Wide Name)アドレスに基づいて制御
- IP-SANの場合VLANでもゾーニングできる
- NAS(Network Attached Storage)
- NFS, CIFS(Common Interface File System)(Windows系)によってファイル共有
- 他のコンピュータが利用しているファイルにアクセスすると、その旨が通知されて編集がロックされる
- NASの利用IDによって各ファイルに対するアクセス権が決まる
以上の内容はhttps://minus9d.hatenablog.com/entry/20101016/1287199635より取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます
不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14
