ネットワークスペシャリスト 私的まとめ その2

network

このエントリーをはてなブックマークに追加

前回の続き。これを今から根性で覚える。

下敷きにした教科書はやっぱりこれ。

3週間完全マスター ネットワークスペシャリスト 2010年版

3週間完全マスター ネットワークスペシャリスト 2010年版

まるごと引用しちゃってるので宣伝しとかないと…

第3章 WAN

  • SLA(Service Level Agreement):サービス品質に関する契約
  • HDLC
    • 専用線、Point to Point
    • マルチプロトコルの取り扱い不可
    • ベンダによる独自拡張多い
    • 構成:フラグシーケンス(フレームの開始と終了)、HDLCヘッダ(アドレス+制御)、データ、HDLCフッタ(エラーチェック)
  • PPP
    • 専用線やリモートアクセス、Point to Point
    • マルチプロトコルに対応
    • 構成:HDLCに、プロトコルフィールドが追加
    • LCP(Link Control Protocol)階層とNCP(Network Control Protocol)階層からなる
    • LCPでリンク確立→認証(設定あれば)→NCP
  • PPPのオプション機能
    • 認証機能
      • PAP(Password Authentication Protocol):クリアテキスト。パスワード平文。リンク確立時のみパスワード認証
      • CHAP(Challenge Handshake Authentication Protocol):チャレンジ/レスポンス方式。パスワード暗号化。定期的にパスワード認証
        • 詳細は要確認
    • PPPマルチリンク機能
      • パケットを分割、分散して送信可能。マルチリンクヘッダを付けて送信
  • ISDNサービス
    • 基本インターフェース(BRI):2B+D
    • 一次群速度インタフェース(PRI):23B+D
    • Bがユーザ情報、Dが呼制御用信号情報。間違えないよう注意
  • フレームリレーサービス
    • パケット交換
    • 信頼性低いが高速
    • Virtual Circuit:論理的な通信路を使用。一つの物理回線で複数の相手と通信可
      • SVCとPVCがあるが多くがPVC接続
    • 契約時、PVCごとにCIR(認定情報速度)と呼ばれる補償速度を設定
  • セルリレーサービス
    • パケット交換
    • ATM技術(48 + 5バイトからなるセル)
  • MPLS詳細
    • IPヘッダの前にラベル(4バイト)をつけ、ラベルスイッチングにより高速転送
    • LSR(Label Switching Router):この機能を備えるルータ
      • ラベルテーブルの作成とラベルスイッチングを行う
        • FEC(Forwarding Equivalence Class, ラベル割り当て単位)に対しラベルを割りあて
        • 隣接するルータ(ネイバー)間でラベル交換
        • ラベルの割り当て・交換のプロトコルはLDP, MP-BGP, RSVP
        • FECごとにLSP(Label Switched Path)が形成される 片方向なので注意
        • ラベルスイッチング:プッシュ、スワップ、ポップ、アンタグからなる
    • 他にVPN機能、トラッフィックエンジニアリング機能、QoS機能も持つ
    • MPLS網のエッジに配置されるルータはLER(Label Edge Router)
  • AS(Autonomous System)
    • 自律システムと訳す
    • インターネットを構成する組織。ISPが例。ASの集合がインターネット
    • ISPのPOP(Point Of Presence)に接続することでISPネットワークに接続
    • ユーザとPOPの間がアクセス回線(ADSL, FTTH, CATV)
  • ADSL
    • DSLAM(DSL Access Multiplexer):多数の加入者を収容するADSLモデムの集合体
    • G.992.1:DMTで変調。搬送波は上り26個、下り223個。リードソロモン符号で誤り訂正。8Mbps。のち16Mbps
    • G.992.2:使用周波数帯を半分に。伝送距離長い。上り512kbps, 下り1.5Mbps
    • オーバラップ、ダブル(クワッド)スペクトラムにより50Mbpsまで高速化
  • FTTH
    • SS(Single Star)方式:占有型、コスト高い
    • ADS(Actie Double Star)方式:多重化装置、銅線も利用
    • PDS(Passive Double Star)方式:光カプラ(電源不要)。自宅まで光。
      • PDSを利用したネットワークはPON(Passive Optical Network)。早いのがGE-PON
      • 収容局がOLT、ユーザ宅がONUWDM、TDM(下り)、TDMA(上り)で多重化。
        • TDMA:各ONUのタイミングを制御。TDMAではOLTからONUにGATEフレームを送信しタイミングを指示。
  • CATV
    • HFC(Hybrid Fiber and Cable):光ファイバ同軸ケーブルで敷設
    • 変調復調は、ユーザ宅のケーブルモデムと、CATV局のCMTS(Cable Modem Termination System)
    • 規格名はDOCSIS(Data Over Cable Service Interface Specifications)
  • インターネットVPN
  • IPsec-VPN
    • IPsec(IPを透過的に保護)を用いて暗号化
    • サイトツーサイトVPN
      • 拠点のLAN同士をVPNで接続
      • 基本はフルメッシュでトンネルを確立するが、高価
      • DMVPN(Dynamic Multipoint VPN)を使うとハブアンドスポークでコストを抑えられる
    • リモートアクセスVPN
  • SSL-VPN
    • クライアントからのリモートアクセスVPNで使用
    • 以下の3つの方式で実現
      1. リバースプロキシ
        • SSLトンネルの終端であるWebサーバの代わりにSSL-VPNゲートウェイを置く
        • Webブラウザしか対応できない
        • cf. フォワードプロキシ(エンドユーザーの近くに置かれる)
      2. ポートフォワーディング
        • Javaアプレットをローカルプロキシとして使用
        • 動的にポートが変わるアプリやUDPを使用したアプリには対応できない
      3. SSL-VPNクライアントソフト
        • 仮想的なインタフェースが追加され、元のIPパケットをそのままカプセル化

第4章 IPアドレッシング

  • クラス
    • クラスA: 0x0で始まる。ホスト部24ビット。
    • クラスB: 0x10で始まる。ホスト部16ビット。
    • クラスC: 0x110で始まる。ホスト部8ビット。
    • クラスD: 0x1110で始まる。マルチキャストのためホストに設定不可。
    • クラスE: 0x1111で始まる。実験用のためホストに設定不可。
  • プライベートアドレス
    • クラスA: 10.0.0.0〜10.255.255.255
    • クラスB: 172.16.0.0〜172.31.255.255
    • クラスC: 192.168.0.0〜192.168.255.255
  • クラスレスアドレス
    • CIDR(Classless Inter Domain Routing)とも
    • サブネッティングやルート集約を可能に
  • サブネット
    • サブネット部の値には、すべて0およびすべて1は使用しないというルールがある
  • サブネッティング
  • ルート集約

第5章 IPルーティング

  • 特徴
    • 集約ルートを利用
    • ロンゲストマッチの法則
  • ルーティングテーブルへのルート情報の追加
    • スタティックルーティング
      • デフォルトルート(0.0.0.0/0)も登録すること
    • ダイナミックルーティング
      • ルータ同士がアドバタイズし合い、ルーティングテーブルを自動更新
      • プロトコルとしてRIP, OSPF, IS-IS, BGPがある
  • メトリック
    • ホップ数やパスコスト
    • メトリック数が同じの場合は、等コストロードバランシング機能で負荷分散(OSPFなどの場合)
  • ルーティングテーブルの作成方法
    • 距離ベクトル型ルーティング
      • 距離と方向によって最適なルートを決定
      • コンバージェンス遅い
      • RIP
    • リンク状態型ルーティング
      • ネットワーク全体の構成図を再現
      • コンバージェンス速い
      • OSPF, IS-IS
  • RIP(Routing Information Protocol)
    • 距離ベクトル型ルーティングプロトコル
    • メトリックはホップ数
    • バージョン1
      • 定期的にルート情報をブロードキャスト
      • クラスフルルーティングプロトコルのためVLSMに対応不可
    • バージョン2
  • OSPF(Open Shortest Path First)
    • リンクステートルーティング
    • SPF(=ダイクストラ)アルゴリズムを使用
    • ルート情報をマルチキャストで通知
    • コンバージェンス速い
    • 等コストロードバランシング機能をサポート
    • リンクステート情報(LSA: Link State Advertisement)をOSPFルータ同士で交換
    • 受信したLSAからLSDB(Link State Database)を構築→ネットワーク全体の構成図を再現
    • 教科書のSPFアルゴリズムの説明、ほんとにただしいか疑問。ルータ1からルータ4への経路は、ルータ2を通過するルートの方が近くないか?
    • OSPFエリアに分割して管理。階層型にできる
    • エリア間の伝送路の帯域幅をパラメータとして組み込める
  • BGP(Border Gateway Protocol)
    • AS間のルーティングに使用
    • AS-PATHアトリビュートによりループ回避
    • CIDR(クラスレス)をサポート
    • TCP
    • 差分情報をBGPアップデートで送信
  • EIGRP
    • 自律システム内で使用
    • 距離ベクトルとリンクステートの両方のアルゴリズムを採用

第6章 アプリケーションプロトコル

  • FQDN(Fully Qualified Domain Name)
    • 例:d.hatena.ne.jp
  • HTTPのメソッド
    • PUT
    • DELETE
    • OPTIONS
    • TRACE:特定のサーバに対してループバックを起こすことを要求
    • CONNECT:プロキシサーバにトンネリングを要求。SSLの通信などで使用
  • DNS
    • TCPUDPも53
    • DNSサーバ同士でゾーンファイルを転送するときにTCPを使用
    • 主なレコード
      • NS: Name Server。ゾーンファイルを管理するDNSサーバを指定
      • MX: Mail eXchange。SMTPサーバを指定
      • A: Address。ホスト名に対応するIPアドレスを指定
  • ダイナミックDNS(DNS UPDATE)
    • 個人ユーザがサーバを公開するとき使う
  • 電子メール
    • SMTP 25, POP 110, IMAP 143
    • SMTPS 465, POP3S 995, IMAP4S 993 (いずれもTLS/SSLを利用)
    • DNSサーバのMXレコードによりメールサーバのIPアドレスを取得
  • FTP
    • TCP20(データ転送), 21(制御用)
    • アクティブモード:サーバからデータ転送コネクション開始。FW通過できない
      • TCP SYNセグメントを通過させれば良いが抜け穴になる
    • パッシブモード:クライアントからデータ転送コネクション開始。FW通過できる。
      • ただしポートは20ではなくランダムポートになる
  • DHCP
    • UDP67(サーバ用), UDP68(クライアント用)
    • アドレスプールからIPアドレスを一定期間リース
    • DHCPDISCOVER, DHCPOFFER, DHCPREQUEST, DHCPACK
    • サブネットを越えるためにDHCPリレーエージェントの機能が必要
      • この機能を持つルータやレイヤ3スイッチはDHCPヘルパーと呼ばれる
  • NTP
    • UDP123
    • Stratum:NTPサーバの階層。Stratum1, Stratum2, ..., Stratum15まで
  • SNMP(Simple Network Management Protocol)
    • ネットワーク管理を行うプロトコル
    • UDP161/162
    • MIB(Management Information Base)と呼ばれるデータベースに管理情報を保持
    • SNMPマネージャが出すメッセージ
      • Get Request
      • Get Next Request
      • Set Request
    • SNMPクライアントが出すメッセージ
      • Response
      • Trap:ネットワークの変化を通知。これのみUDP162を使用
  • MIB(Management Information Base)
    • ツリー型のデータベースにネットワークの管理情報を保持
    • オブジェクトID(OID)を並べてGet Requestする
    • 拡張MIB:各ベンダが機器固有の機能を管理するために用意。private->enterprises以下

第7章 セキュリティ

  • IPスキャン
  • ポートスキャン
  • DDoS(Distributed Denial of Service)
    • SYN Flood:SYNを送る。返ってくるSYN+ACKに対してACK応答をしない
    • Smurf:ICMPのEchoを使用。攻撃対象のサーバに偽装してブロードキャストでEchoを投げる
  • 共通鍵
    • DES(Data Encryption Standard)
      • データを64ビットに分割。鍵64ビット
    • 3DES
      • 2or3個の鍵を使用
    • AES
    • 相手ごとに共通鍵が必要
  • ハイブリッド方式
    • データの暗号化は共通鍵。共通鍵の配布に公開鍵を使う
  • ディジタル証明書
    • 公開鍵を正当に所有していることを、第三者に証明してもらう仕組み
    • 認証局(CA)に公開鍵や所有者情報を送り、発行してもらう
    • CAの大手はVeriSign
    • このような仕組みを公開鍵基盤(PKI: Public Key Infrastructure)と呼ぶ
  • プライベートCA
    • 企業などが自由に証明書発行を行う認証局
  • 証明書
    • USBトークンやスマートカードに保存することで安全性が高まる
    • 認証局は、有効期限より前に失効した証明書をCRL(Certificate Revocation List)に登録
    • 失効」していないかを確認する方法は以下の2通り
      • CRLをDLしてローカルでチェック。デルタCRLという方法もある
      • OCSP(Online Certificate Status Protocol)レスポンダのみがCRLをDL。クライアントは照合の以来を送信する
  • IPSec
    • ネットワーク層レベルでデータの認証、暗号化を行う
    • トランスポートモード:コンピュータ同士でセキュリティ確保。データは暗号化されるがヘッダ部分は平文
    • トンネルモード:IPsec VPNゲートウェイ同士でセキュリティ確保。ヘッダ部分も含めて暗号化(新たなIPヘッダをつける)
  • IPSecの認証・暗号化
    • AH(Authentication Header:相手がなりすましをしていないかを認証+改ざんされていないことを保証
    • ESP(Encapsulating Security Payload):トラフィックの暗号化
  • SA(Security Association)
    • IPsecにより確立されるコネクション(トンネル)のこと
    • 以下の2つのトンネルを順番に作成
      • ISAKMP(Internet SA Key Management Protocol) SA:IPSec SAを確立するための情報を安全にやりとりするためのトンネル
      • IPSec SA:実際の通信を行うトンネル。送信・受信で2つ必要
    • SPI(Security Parameter Index):SAを識別するもの
  • 鍵管理
    • IKE(Internet Key Exchange):自動的に鍵を交換するためのプロトコル
    • IKEは以下の3つからなる
      • ISAKMP(Internet SA Key Management Protocol):SAや鍵の管理を行う
      • OAKELY:鍵交換
      • SKEME(a versatile Secure Key Exchange MEchanism for internet):鍵交換
    • UDP500を使用(UDPを用いた鍵交換と言えば、IKEを指す。)
  • IKEの動作(よくわからない)
    • IKEフェーズ1:対向との相互認証を行ない、ISAKMP SAを確立
      • メインモード
        • 事前共有鍵を使う認証とディジタル署名を使う認証がある。以下は前者の方法
        1. SAペイロードにて、使用する暗号や認証アルゴリズムの提案と合意を行う
        2. Diffie-Hellmanの鍵交換アルゴリズムで使用するパラメータなどを交換(共有鍵をイニシエータとレスポンダで共有)
        3. IDを確認し相手を認証(IDにはIPアドレスを使う。なので固定IPアドレスが必要)
      • アグレッシブモード
        • 最初の段階でID情報を交換するため、クライアントのIPアドレスが固定されない環境で使用可能
        • IDにはIPアドレス以外の情報を用いる
      • どちらのモードもデバイス単位の認証である
      • ユーザ単位で認証したければXAUTH(Extended Authentication within IKE)認証をIKEフェーズ1の後に行う
    • IKEフェーズ2:ISAKMP SAを通して、IPsec SAを確立
      • クイックモードによりIPsec SAを2個確立
      • 三つのメッセージを使い、暗号化アルゴリズムやセキュリティプロトコル、鍵作成用の乱数をやりとり
      • 通信用の鍵は、IKEフェーズ1で使用した情報と、IKEフェーズ2で区間した乱数を使用して生成
      • 通信用の鍵を、再度Diffie-Hellmanを使用した鍵交換により鍵情報を交換することもできる(PSF(Perfect Forward Security))
      • ハードライフタイム:既存のSAの有効期限
      • ソフトライフタイム:現在のSAが確立してから新しいSAの確立を行うまでの時間
      • Re-keying:期限切れになる前に新しいSAを確立する仕組み
  • NATトラバーサル(NAT越え)
    • NAPTの場合、ESPによりポート番号の部分が暗号化されてしまうのでIPsecが使えない。
    • 新IPヘッダとESPヘッダの間にUDPヘッダを追加するのがNATトラバーサル
  • SSL/TLS
    • SSL(Secure Socket Layer)はセッション層で動作
    • 後継がTLS(Transport Layer Security)
    • httpsで利用、ポート443
    • データ暗号化に共通鍵を使用。共通鍵の生成にディジタル証明書の仕組みを使用
    • 手順(よくわからない)
      1. クライアントとサーバが、SSLトンネルを確立するためのアルゴリズムの合意を行う
      2. 認証局を使い、サーバの公開鍵が正規のものであることをクライアントが確認
      3. クライアントとサーバでプリマスターシークレットを共有
      4. クライアントとサーバでプリマスターシークレットからマスターシークレットおよびセッションキー(共通鍵)をそれぞれ生成
  • レイヤ2レベルの認証
    • ポートセキュリティ
    • IEEE802.1X認証
      • イーサネット無線LANで使われる
      • サプリカント(嘆願者の意味):クライアントのこと。ID・パスワードを用いるか、ディジタル証明書を用いるかを指定する
      • 認証サーバ:RADIUSサーバのこと。接続を許可するサプリカントのID・パスワードやディジタル証明書を保持し、サプリカントを認証。結果をオーセンティケータに通知。----クライアントを接続するVLAN情報も通知する。
        • 認証失敗時は、LANへの接続を許可しないか、制限付きのVLANに接続を許可する
      • オーセンティケータ:スイッチやAPのこと。認証サーバの結果に基づいて接続許可
  • ファイアウォール
    • ステートフルインスペクション:通信の状況に応じてフィルタリングルールを動的に変更
  • 不正アクセス監視
    • IDS(Intrusion Detection System):NW上のパケットを監視。不正なアクセスが検出されると管理者に通知(のみ)
      • NIDS:ネットワーク型IDS。
      • HIDS:ホスト型IDS。サーバマシンに組み込まれる
    • IPS(Intrusion Prevention System):不正なアクセスが検知されると即座に通信を防御
    • IDSやネットワークアナライザは、スイッチのミラーポートに接続

第8章 IPテレフォニー

  • VoIP
    • 従来の電話機やPBX(Private Branch eXchange)を使用。音声ゲートウェイでIP化
    • IPテレフォニーと狭義のVoIPとを合わせてVoIPと呼ぶこともあるので注意
  • IPテレフォニー
  • VoWLAN(Voice over WLAN(Wireless LAN))
  • 符号化
  • RTP
    • シーケンス番号を使って順序を並び替え、タイムスタンプによりタイミングを決める
  • RTCP
    • 通信状況(送出/受信パケット数、パケット損失率など)を伝える
  • IPテレフォニーのシグナリングプロトコル
    • H.323
      • 非常に複雑
    • MGCP, MEGACO, H.248
      • ネットワーク側から端末を集中制御
    • SIP(Session Initiation Protocol)
      • テキスト形式でメッセージをやりとりする
      • UA(User Agent):端末
      • UAC(User Agent Client):リクエストを送信する側
      • UAS(User Agent Server):レスポンスを返す側
      • アドレスとしてURIを使用
        • sip:user:password@host:port:uri-parameters?headers
      • SIPサーバ:UA間のセッションを確立
        • プロキシサーバ:UAの代理としてSIPメッセージを転送。UAが相手先のアドレスを知る必要なし。ロケーションサービスを使用
        • レジストラサーバ:UAからのロケーションサービスへの登録を受け付ける
        • リダイレクトサーバ:プロキシサーバからのリクエストメッセージを受け入れ、転送先の経路情報だけ返答
  • SIPメソッド
    • INVITE, ACK, BYE, CANCEL, OPTIONS, REGISTER
  • レスポンスコード
    • 100 Trying
    • 180 Ringing
    • 200 OK
  • SIPシーケンス
    • 手順
      1. 電話をかければINVITE
      2. 100 TryingがSIPサーバから, 180 Ringingが発信先から返る
      3. 電話機を取れば200 OKが返る
      4. 電話機が直接ACKを送信
      5. 電話を切ればBYE
      6. 200 OK
    • 通話時間も管理するためにはSIPサーバを通す(Record-RouteとRoute)
      • Record-Route:リクエストメッセージがどのサーバを経由すべきか通知
      • Route:Record-Routeの情報を基に生成され、経由するサーバを指定するために使用
  • アーランB式
    • 呼量、呼損率、回線数の関係式
  • 音声品質評価
    • 主観的評価
      • MOS(Mean Opinion Score)
    • 客観的評価
      • PSQM(Perceptual Speech Quality Measurement):従来の電話システム向け
      • PESQ(Perceptual Evaluation of Speech Quality):PSQMがベース。ジッタやパケット損失に対応
      • R値:雑音、音量、エコー、遅延などのパラメータを代入して算出。R値とエンドツーエンド遅延からクラスA, B, Cに分けられる
  • QoS
    • IntServ(Integrated Services)
      • エンドツーエンドで、RSVP(Resource reSerVation Protocol)により帯域を予約
      • アドミッション制御とも呼ばれる
      • 拡張性がない。フローが発生するたびに帯域を予約しなければならない
    • DiffServ(Differentiated Services)
      • トラフィックを分類してグループ(クラス)化し、グループごとに差をつける
      • クラス分けに柔軟性あり
      • プロセスは以下
        1. 分類:クラス分け
        2. マーキング:クラスへの優先度つけ
        3. キューイング:トラフィックをクラスごとのキューに振り分け
        4. スケジューリング:キューに設定した優先度にしたがって出力
      • トラフィックの分類方法は以下
        • IPアドレス
        • ポート番号
        • CoS(Class of Service):レイヤ2。VLANで用いられるトランクプロトコル(IEEE802.1Q)のTCIフィールドの値。
        • IP Precedence, DSCP:レイヤ3。IPヘッダの優先度フィールドの値。IP Precedenceは3ビット。DSCPは6ビット(優先度と廃棄レベルがそれぞれ3ビット)
      • マーキングはユーザに一番近いNW機器で行うことが多い
  • キューイング&スケジューリング
    • FIFO
    • PQ(Priority Queuing):高い優先度が絶対有線
    • RR(Round Robin):完全平等
    • WRR(Weighted Round Robin)
    • WFQ(Weighted Fair Queuing):優先度に応じて帯域幅を自動調整、トラフィックサイズ小&高優先度を有線
    • CBWFQ(Class Based WFQ):クラスの定義と帯域幅を設定可能
    • LLQ(Low Latency Queuing):CBWFQに絶対優先キューを追加
  • QoSの他の機能
    • ドロップ制御:キューが満杯にならないよう破棄
      • RED(Random Early Detection):キューが満杯になる前に、ある確率に応じて少しずつランダムに破棄
      • WRED(Weighted RED):優先度で重み付け
    • レート制御
      • ポリシング:設定したレートを超過した場合は、廃棄または再マーキング
      • シェイピング:設定したレートを超過した場合は、バッファに格納
    • 圧縮:遅延が発生

第9章 ストレージネットワーキング

  • DAS(Direct Attached Storage)
    • サーバに直接ストレージ装置を接続
  • SAN(Strage Area Network)
    • FC-SAN
      • Fiber Channelを使用
      • ファイバチャネルプロトコルを使用
      • FCスイッチを中心としてスター型を構成
    • IP-SAN
      • IPネットワークを使用
      • iSCSIを使用
      • FCIP(Fiber Channel over IP), iFCP(internet Fiber Channel Protocol):ファイバチャネルプロトコルをIPネットワーク上で転送するために使用
    • ローデバイス方式
    • ゾーニング
      • ハードウェアゾーニング:FCスイッチのポートで制御
      • ソフトウェアゾーニング:サーバやストレージ装置のWWN(World Wide Name)アドレスに基づいて制御
      • IP-SANの場合VLANでもゾーニングできる
  • NAS(Network Attached Storage)
    • NFS, CIFS(Common Interface File System)(Windows系)によってファイル共有
    • 他のコンピュータが利用しているファイルにアクセスすると、その旨が通知されて編集がロックされる
    • NASの利用IDによって各ファイルに対するアクセス権が決まる