ネットワーク
- ISP(Internet Service Provider)
- インターネット接続を提供する企業
- Tier 1
- 最上位階層に位置する ISP
- WAN(Wide Area Network)
- 企業の拠点間を接続するために、NTT などの電気通信事業者が作っているネットワークを指す
- WAN のネットワークの構築や管理は、全て NTT のような電気通信事業者が行っている
- インターネットと WAN の違い
- ネットワークの管理者
- WAN のネットワークは、電気通信事業者が全て管理
- インターネットのネットワークは、個々の ISP が自ネットワークを管理している
- 通信相手
- 同じ会社の PC やサーバ
- ネットワークの管理者
- インターネット VPN への移行
宅内装置
- ADSL
- FTTH
- CATV
ルータ
- ネットワーク同士を接続し、通過するパケットの IP アドレスを見てパケットを最適な経路に転送する通信装置
- ネットワーク層は、OSI 基本参照モデル第 3 層に位置するため下層の伝送媒体(物理層)やアクセス制御方式(データリンク層)の方式に影響されることなく接続することが可能
- コリジョンドメイン
- 分割する
- ブロードキャストドメイン
- 分割する
LAN
- 規格
スイッチ
- LAN に接続される各ホストの集線装置
- MAC アドレスに基づいて適切な接続ポートにのみパケットを高速送信することで LAN の交通整理を行う
- スイッチ特有の機能
- ポートの状態によってフレームの転送を制御するフロー制御機能
- 接続された機器の通信速度や通信モード(全二重、半二重) を自動的に最適化するオートネゴシエーション
- スイッチとブリッジの違い
- 処理方式
- ブリッジ
- 各処理をソフトウェアによって行う
- スイッチ
- ASCI(Application Specific Integrated Circuit : 特定用途向け集積回路) と呼ばれる専用のハードウェアチップを用いて行う
- ブリッジ
- 1 台あたりのポート数(ポート密度)
- ブリッジ
- ネットワーク同士を接続することを目的としているためブリッジのポート数は通常数ポート
- スイッチ
- ハブとして数多くの機器を接続することを前提としているため、数十から数百にも及ぶ
- ブリッジ
- フレーム転送方式
- 処理方式
スイッチの必要性
- LAN を論理的に小さなグループに分け、実際のあて先にのみフレームが転送されるように制御することが有効
- 無用なトラフィックの増加を防ぐ
- 通信データの盗聴の危険性を下げる
- LAN を論理的に小さなグループに分け、実際のあて先にのみフレームが転送されるように制御することが有効
-
- ブロードキャストドメイン
- ブロードキャストが届く範囲
- ブロードキャストドメインが大きくなると、その分だけブロードキャストを送信するデバイスの数も多くなる
- ブロードキャストが多くなると、ブロードキャストを受信した際の処理量も増えるので、PCのパフォーマンスの低下
- そのため、ブロードキャストドメインは必要に応じて小さく分割します。
- ブロードキャストストーム
- LANの中で、フレームやパケットと呼ばれるデータが回り続けて、ネットワークの帯域を使いきり、そのネットワークがダウンしてしまう現象
- 通常、ブロードキャストを実行しても、ネットワーク内のすべての機器にデータが到達したらそこで止まる。しかし、複数の LANスイッチやブリッジといった機器を使ってネットワークがループ(環)状になっているとブロードキャストストームが起きてしまう
- 例
- 最低構成の 2台
- 1 台目の LAN スイッチにつながったパソコンからデータが発信される。それを受け取ったスイッチが他の機器に一斉に配信。その中には 2台目のスイッチがある。
- 2 台目のスイッチがまた他の機器に一斉配信。そのデータは 1台目のスイッチにも戻ってくる。
- 1 台目のスイッチが再び一斉配信して 2台目に到達。そしてまた 2台目が…、これが繰り返される。
- LAN スイッチやブリッジが、さらに多い場合も同様に一斉配信が繰り返されてしまう。これを止めるのに、もっとも簡単な方法は物理的に LANケーブルを抜いてループを解消すること。このほか予防策として、機器の設定で一部のポートを使えなくしておく方法もある。
- コリジョンドメイン
- データの衝突が発生する範囲
- コリジョンドメインが大きくなると、その分だけコリジョンの発生する確率が高くなる
- コリジョンが発生した場合は、データを再送することになるので、通信効率が低下
- コリジョンドメインは極力小さく分割する必要がある
- ブロードキャストドメイン
VLAN(Virtual LAN)
- スイッチングハブに接続された端末を物理的な構成に関係なくグループ化する機能、またはその機能で形成されたネットワークのこと
- グループとは MAC アドレスで直接通信することが可能なホストの集まりであり、ブロードキャストフレームが届く範囲
- グループ分けに使用される情報により以下の方式がある
- ポートベースVLAN(スタティック VLAN)
- スイッチの接続ポート単位でグルーピング
- ポートベースVLANでは以下のように同一のグループにするポートに"VLAN ID"を設定することで、ネットワークの分割を行う
- ポートに接続しさえすれば誰でも VLAN に参加できる可能性があるため、セキュリティの面では問題がある
- アドレスベース VLAN
- MAC アドレスや IP アドレスを基準にグルーピング
- IP アドレスを用いて VLAN を構成する場合には、L3 スイッチを使用
- スイッチのポートと VLAN グループの間には関連性がないため、柔軟にネットワークを構成することが可能
- ポリシベース VLAN
- ユーザが VLAN を構築するポリシを決定し、それに沿って VLAN を構成する方式
- プロトコルベース VLAN
- IP、IPX、AppleTalk などのネットワークプロトコルごとにグルーピング
- サブネットベース VLAN
- サブネットごとに VLAN を構成
- タグ VLAN
- パケット内の拡張タグに指定された情報によってグルーピング
- ポートベースVLAN(スタティック VLAN)
- 認証 VLAN
- VLAN の方式の1つで、ネットワークの接続前に「MAC アドレス認証」「ID + パスワードによる認証」「IEEE 802.1x」などでユーザを特定し、ユーザごとに所属すべき VLAN に振り分けることで端末のグルーピングを行る
- これにより接続ポート単位やアドレス単位というグルーピングができない無線アクセスポイントへの接続でも VLAN に対応させることができる
- スイッチングハブに接続された端末を物理的な構成に関係なくグループ化する機能、またはその機能で形成されたネットワークのこと
- L3 スイッチ
- スイッチ + ルーティング機能
- TCP/IP
- アプリケーション層
- トランスポート層
- PC やサーバに届いたデータを適切なアプリケーションに振り分ける
- インターネット層
- アプリケーションが動作してるサーバと PC 間のデータ転送
- ネットワークインタフェース層
- 同じネットワーク間のデータ転送
ドメインと IP アドレスの管理
- ICANN(Internet Corporation for Assigned Names and Numbers)
- Tier 1
- インターネット上のすべてのマシンと通信できるのは,プロバイダのルーターが,インターネットに存在するすべてのアドレスに到達するための「経路情報」を持っているから
- プロバイダは,このフル・ルートを持つことでインターネットの全範囲にパケットを送れるようになる。
- どんなに大規模なプロバイダでも1社だけでインターネット上のすべての経路情報を得ることはできない
- 同じ境遇のプロバイダ同士をつないで,それぞれのプロバイダが持つ経路情報を交換し合う。
- こうして,他のプロバイダと経路情報を交換するだけでフル・ルートを入手できるプロバイダを,「Tier1」と呼ぶ
- Tier1 プロバイダ以外は,Tier1 が持つフル・ルートを Tier1 などの上位プロバイダから入手することで,インターネット全体の接続性を確保している。
- Tier1 が集めたフル・ルートを下流のプロバイダのルーターに渡して経路情報を覚えさせていくことで,最終的に末端のプロバイダまでインターネット全体の接続性が保たれるしくみである。
- その結果,すべてのプロバイダが最終的にどこかのTier1につながる格好になる。
- プライベートアドレス
- 10.0.0.0 ~ 10.255.255.255(10.0.0.0/8)
- 172.16.0.0 ~ 172.31.255.255(172.16.0.0/12)
- 192.168.0.0 ~ 192.168.255.255(192.168.0.0/16)
- 次世代 Whois
- 回線品質
- 保証型
- 最低 XX Mbsp 保証
- QoS(Quality of Service) を保証
- ベストエフォート型
- 最大限の努力
- 保証型
- OS のソケット
- ソケットバッファが作られる
- 送信バッファ
- Web ブラウザから送信する場合は送信バッファに書き込む
- 溜まったデータは OS によって TCP セグメントという箱に分割され、TCP ヘッダ、IP ヘッダ、MAC ヘッダという情報を付与されて Ethernet フレームという箱で送信される
- 受信バッファ
- 送信バッファ
- 大量のデータ送信を行いためにスループットをあげたい場合はソケットバッファのサイズを大きくしたり、MTU サイズを大きくしたりしてチューニングを行う
- ソケットバッファが作られる
- ジャーナリング
- ジャーナルを残すこと
- ジャーナル
- トランザクションや日々更新されるデータの変更履歴の事を指す
- ジャーナルの特徴
- データ自身ではなく、処理(トランザクション) の内容が記録される
- データの一貫性や整合性が取れた時点で不要になる
- データ復旧時のロールバックやロールフォワードに利用される
標準化団体
IEEE
- 電気電子学会
ボトルネック
トラブルシューティング
- LAN ケーブル
- 正しく接続されているか
- リンクアップしているか
- ルータへの接続はできるか
- DNS サーバの設定はしてあるか
- 名前解決ができるか
- 外部と通信ができるか
セキュリティ
SPI(Stateful Packet Inspection)
- 家庭内ネットワークから開始された通信の返事だけを許可するファイアウォールの仕組み
DMZ(DeMilitarized Zone)
IPS(Intrusion Prevention System : 侵入防止システム)
- 防止することが目的
プロミスキャスモード
- 監視がメインで、IDS と同様に攻撃を完全に防御できない
- 通常のネットワークとは別の経路で監視を行うため、IPS に障害が発生しても本来のネットワークには影響を与えない
インラインモード
- ネットワークの通り道に設置することで不正な通信を遮断
- デメリット
- IPS に障害が発生するとネットワークの機能が停止する可能性がある
- IDS(Intrusion Detection System : 侵入検知システム)
- 検知することが目的
- ネットワーク型 IDS(NIDS)
- ネットワークに設定する
- パターンマッチングなどの方法を用いて不正な通信を検出するほか、通常の利用ではあり得ないような通信を異常として検出
- ホスト型 IDS(HIDS)
- コンピュータに設置
- Tripwire
オーバーレイネットワーク
接続方式
パケット交換方式
- IP パケット or IP データグラム
- 特徴
- 利用者がアプリケーションを使うと、通信が勝手に始まって、勝手に終わる
- 同時に複数の相手と通信できる
- 利用者は誰と通信しているか意識できているとは限らない
- 通信には制限がないが、ネットワークが混雑すると通信速度が遅くなる
- 利用者が意識していないときに、システムやアプリケーションが勝手に通信している場合がある
- メリット
- 1 つの回線を多くのコンピュータで共有できる
- デメリット
- ネットワークが混雑する可能性
回線交換方式
- コンピュータをネットワークで接続するには、コンピュータ 1 台につき 1 本の通信回線が必要
- 特徴
- 利用者が通信の開始と終了を明示的に指示する
- 通信できる回線数に制限がある
- 同時に通信できる相手は一人
- 通話が開始できたら、他の人の通信は自分の通信に影響しない
通信方式
全二重(full duplex)
- 同時に双方向で通信できる通信方式
半二重(half duplex)
- 一方が信号を送っているときにもう一方が受信できる通信方式
Other
- ジャンボフレーム
- イーサネットの 1 パケット 1500 バイトという制限を大きくしたパケットに関する技術のこと
- 一度にたくさんのデータが送信でき、パケットの数が減るので CPU 使用量も減る
プロトコルスタック
- あるプロトコル群の機能を実現するソフトウェアやハードウェアなどの実装のこと
- TCP/IP
- ネットワークハードウェア
- NIC、ハブ
- ネットワーク OS
- ネットワーク機器などを制御する機能を備えた OS
- ネットワークアプリケーション
- OS のパケット到着監視
ビジーウェイト型
- 定期的に NIC の状態を検査
割り込み型
- NIC にパケットが入ってきたときに、CPU に割り込みを入れて、パケットが到着したことを伝える方法
通信用途
ユニキャストアドレス
- 1 : 1 の通信
ブロードキャストアドレス
- 1 : 多の通信
- 同一ネットワーク上の全てのホストに対して送信
マルチキャストアドレス
- 1 : 多の通信
- 何らかの特徴によってグルーピングされたホスト
エニーキャスト
- エニーキャストで送ったパケットは、同じ宛先を持つノードのうち、送る人にとって最も近いノードに届く
- => 連続してパケットを送っても同じノードに届くとは限らない
- DNS で利用される
- エニーキャストで送ったパケットは、同じ宛先を持つノードのうち、送る人にとって最も近いノードに届く