ネットワーク基礎
プロトコル
主なプロトコルとポート番号
FTP
・20、21
・TCP
・ファイル転送の際に使用するプロトコル
・TCPポート20番はデータ転送用
・TCPポート21番は制御用で使用する
・サーバクライアント型
・暗号化の機能を持たない
・認証の機能を持つ
SSH
・22
・TCP
・リモートデバイスを遠隔操作する際に使用するプロトコル
・パスワードなどを暗号化して送信する
TELNET
・23
・TCP
・リモートデバイスを遠隔操作する際に使用するプロトコル
・パスワードなどを暗号化せずに送信する
・クリアテキスト形式でデータを送信する
・TELNETを使用する前に、宛先のデバイスで事前設定が必要になる
SMTP
・25
・TCP
・メールを送信する際に使用するプロトコル
DNS
・53
・TCP/UDP
・ドメイン名とIPアドレスを対応させる際に使用するプロトコル
DHCP
・67、68
・UDP
・IPアドレスを自動的に割り当てる際に使用するプロトコル
・UDPポート67番はサーバが使用
・UDPポート68番はクライアントが使用する
TFTP
・69
・UDP
・ファイル転送の際に使用するプロトコル
・UDPポート69番を使用する(TCPのようにコネクションが不要)
・サーバクライアント型
・暗号化、認証の機能を持たない
・低機能な分、軽量で単純
・CiscoルータはTFTPサーバとして動作することができる
・Cisco機器のIOSをアップグレードする際などに利用される
HTTP
・80
・TCP
・WebプラウザとWebサーバが通信する際に使用するプロトコル
・HTTPは暗号化を行わない
POP3
・110
・TCP
・メールを受信する際に使用するプロトコル
SNMP
・161
・UDP
・ネットワーク機器を監視・管理する際に使用するプロトコル
HTTPS
・443
・TCP
・HTTPをSSLで暗号化したもの
・HTTPSは証明書を用いて安全性を確保する
ARP(Address Resolution Protocol)
ARP
既知のIPアドレスから未知のMACアドレスを求めるプロトコル
ARPの動作
・PC-AはPC-Cと通信したいがPC-CのMACアドレスが分からないという場合
1.宛先IPアドレス(PC-CのIPアドレス)と送信元MACアドレス(自身のMACアドレス)を挿入した「ARP要求」をブロードキャスト
2.ブロードキャストされたARP要求がPC-BとPC-Cに届く
3.PC-Cは宛先IPアドレスから自分宛ということを確認し、自身のMACアドレスを挿入した「ARP応答」をARPの送信元に返す(PC-Bは宛先IPアドレスを確認して、自分宛ではないので破棄)
・ホストAからホストBに初めてデータを送信する場合
ホストAのARP要求で使用される宛先MACアドレス → ffff.ffff.ffff
IP(Internet Protocol)
IP
・パケットを転送するために使用される通信プロトコル
・コネクションレス型
・階層型アドレス方式
・ベストエフォート
TCPとUDP
TCP(Transmission Control Protocol)とUDP(User Datagram Protocol)
トランスポート層
・トランスポート層は、通信の信頼性を実現する層
・TCPまたはUDPというプロトコルを使用する
TCPとUDPの特徴
TCP・・・コネクション型、信頼性有り、オーバーヘッドが大きい
UDP・・・コネクションレス型、信頼性無し、オーバーヘッドが小さい
MTU(Maximum Transmission Unit)
・1回の転送で送信可能な最大のパケットサイズ
・「show interfaces」コマンドで確認できる
TCP
TCPコネクション
・PCとWEBサーバー間で確立させる
・TCPコネクションはデータを送信し始める前に確立する
・「SYN」、「ACK+SYN」、「ACK」という3度のやりとりでコネクションを確立する
・「ACK」パケットにより、データが届いていることを確認
通信の信頼性を確保
・3ウェイハンドシェイクによるコネクションの確立(仮想通信路を確立)
・ACKによる到達確認
・ウィンドウサイズを利用したフロー制御
TCPヘッダ
送信元ポート番号(16) 宛先ポート番号(16)
シーケンス番号(32)
確認応答番号(32)
データオフセット(4) 予約(6) 制御ビット(6) ウィンドウサイズ(16)
チェックサム(16) 緊急ポインタ(16)
オプション・パディング(可変)
UDP
UDP
・チェックサムによるエラーチェックを行う
・マルチキャストやブロードキャスト配信で利用される
UDPヘッダ
送信元ポート番号(16) 宛先ポート番号(16)
データ長(16) チェックサム(16)
VoIP
・インターネット電話で利用される技術
・リアルタイム性が求められるためコネクションレス型のUDPが適している
ワイヤレス
無線LAN(Wireless LAN:WLAN)
規格の標準化
・有線LAN(主にEthernet)の関連技術はIEEE 802.3で標準化が行われている
・無線LANの関連技術はIEEE 802.11で標準化が行われている
主な無線LANの規格
IEEE 802.11a 5GHz 54Mbps
IEEE 802.11ac 5GHz 292.5M〜6.9Gbps
IEEE 802.11b 2.4GHz 11Mbps/22Mbps
IEEE 802.11g 2.4GHz 54Mbps
IEEE 802.11n 2.4GHz/5GHz 65〜800Mbps
無線LANの規格について
・IEEE 802.11で標準化が行われている
・IEEE 802.11aとIEEE 802.11gは互換性がない
・アクセスポイントと通信機器は同じ規格で通信する必要がある
・通信方式は基本的に半二重通信になるためCSMA/CAによるコリジョンの回避が必要
IEEE802.11で使われるフレームの種類
・管理フレーム
・制御フレーム
・データフレーム
IEEE802.11の管理フレーム
・認証
・関連付け要求
・関連付け応答
・再関連付け要求
再関連付け要求フレームを送信する目的
現在接続しているアクセスポイントよりも強いビーコン信号を持つアクセスポイントに接続を要求するため
IEEE 802.11aのチャネルについて
・チャネル間の重複がないため、間隔を空ける必要がない
・利用可能なチャネル数は20である
IEEE 802.11bを使った無線LANで、オーバーラップさせずに同時に使用できるチャネル
1ch/6ch/11ch
2ch/7ch/12ch
IEEE 802.1Xの構成要素
認証装置であるオーセンティケータの役割を果たすことができるデバイス
・自律型AP
・無線LANコントローラ
接続機器の認証や通信の暗号化機能
WPA
暗号化方式:TKIP
暗号化アルゴリズム:RC4
認証方式:PSK、IEEE802.1X/EAP
改ざん検出:Michael
セキュリティレベル:△
WPA2
暗号化方式:CCMP
暗号化アルゴリズム:AES
認証方式:PSK、IEEE802.1X/EAP
改ざん検出:CBC-MAC
セキュリティレベル:○
WPA3
暗号化方式:GCMP
暗号化アルゴリズム:AES
認証方式:SAE、IEEE802.1X/EAP
改ざん検出:GMAC
セキュリティレベル:◎
BSSID(BSS IDentifier)
・無線ネットワーク識別子の1つで、48ビットの数値で構成される
・通常はAPのMACアドレスと同じものになる
ESSID(ESS IDentifier)
・無線ネットワーク識別子の1つで、最大32文字までの任意の英数字を設定できる
・無線LANクライアントを扱うユーザは、ESSIDを選択して無線ネットワークに接続する
・「SSID」と呼ぶ場合は一般的に「ESSID」を指す
RF(Radio Frequency)
Wi-Fiなどの無線通信で使用する周波数
通信速度の低下や通信断などの通信品質低下の原因
・周波数が重なるようにチャネルが割り当てられている
・適切な場所にAPを設置していない
無線LANコントローラー(Wireless LAN Controller:WLC)
WLC
・オフィスなど大人数で無線LAN(Wi-Fi)を利用する際に、複数台の無線LANアクセスポイント(Wi-Fiアクセスポイント)を管理する装置
・コンソールポートを使った、CLIによる操作や、ブラウザを使ったGUIによる操作が可能
・GUIによる操作を行う場合、メニューバーにあるメニューから行いたい操作を選択する
WLCへのログインに使用
・Console Port
・SSH
・HTTPS
Ciscoのネットワーク機器(スイッチやルータやAPやWLCなど)へのアクセス方法
・Console Portへの直接接続(CLI操作)
・TELNET/SSHを使ったリモート接続(CLI操作)
・HTTP/HTTPSを使ったリモート接続(ブラウザを使ったGUI操作)
WLCの管理アクセス制御
・TELNETサービスを無効にしてセキュリティの強化を図ることができる
・HTTPサービスを無効にしてセキュリティの強化を図ることができる
WLCの操作で使う主なメニュー
・MONITOR(WLC・LAP・無線LANクライアントの情報確認)
・WLANs(WLANを作成)
・CONTROLLER(WLCのインターフェースの設定)
・WIRELESS(LAPの設定)
・SECURITY(RADIUSサーバを登録)
・MANAGEMENT(HTTP/HTTPSによるWLCへのアクセス拒否/許可)
・COMMANDS(WLCへのコンフィグのダウンロードや、WLCからのコンフィグのアップロード)
・HELP(HELPを確認)
WLCでWLANを作成する際に入力(WLANs)
・Profile Name
・SSID
Securityタブ→Layerタブで選択できるセキュリティ(WLANs)
・802.1X
・WPA+WPA2
WLCをGUI操作し、QoSを変更(WLANs)
QoSタブを開く
WLCのWLAN設定で指定できるQoSプロファイル(WLANs)
・Platinum(Voice用に用意、最高品質)
・Gold
・Silver
・Bronze
AAAオーバーライド(WLANs)
・WLCのGUI操作でAAAオーバーライドを有効にするには、「Advanced」タブを開く
・設定を有効にするとRADIUSサーバの認証情報に基づいて動的にVLANを割り当てることができる
Band Select(WLANs)
Band Selectを有効にすることで、デュアルバンド(2.4GHzと5GHzの両方)対応のクライアントがアクセスしてきた場合は、5GHz帯の周波数を優先的に使用するようになる
WLCとスイッチ間のLAG
・LAGのメンバーポートが1つでも稼働していればAPからのトラフィックを中継できる
・ディストリビューションシステムポートで使用可能である
・EtherChannelのモードを「ON」にする必要がある
AP(アクセスポイント)
・APはスイッチなどのネットワーク機器と有線接続している
・集中型APの場合、WLANコントローラを使用して管理や設定を行う
・無線LANクライアントがWi-FiやBluetoothを使い接続するデバイスである
APのモード
・Local
・FlexConnect(Hybrid REAP)
・Monitor
・Rogue Detector
・Sniffer
・Bridge
・SE-Connect
Local
・LAPのデフォルトのモード
・電波を使って無線LANクライアントとデータを送受信する
FlexConnect
・主にWAN経由でWLCと接続する時に使用するモード
・WLCとの接続が切断された場合でもアクセスポイントの動作を続ける
無線アクセスポイントとWLC間の通信に使用するプロトコル
CAPWAP
CAPWAPトンネル
・LAPとWLC間に作られる
・制御用とデータ用で2つのトンネルが作られる
Ciscoの無線アクセスポイント
・自律型アクセスポイント
・集中管理型アクセスポイント(WLCによって制御される)
Ciscoが提供しているWLANで使用するAPの特徴
・APは無線LANデバイスが有線LANネットワークに接続するために必要
・SOHO環境では自律型APを用いる
・エンタープライズ環境では集中管理型APを用いる
集中管理型の無線LANネットワークの構成
・LAPとスイッチはLANケーブルで接続する
・LAPとWLCはCAPWAPトンネルを使ってデータを送受信する
集中管理型の無線LANネットワークの接続
・LAPとスイッチ間はアクセスリンクにする
・スイッチとWLC間はLANケーブルで接続する
・スイッチとWLC間はトランクリンクにする
無線LANで複数のAPを配置(ベストプラクティス)
・カバレッジホールが無いように配置する
・オーバーラップしないようにチャネルの割り当てを行う
APに適切なチャネルを動的に割り当てるための解析内容
・ノイズ
・利用率
スプリットMACアーキテクチャ
・APとWLCで役割をわける方式
・ビーコンの送信はAPが行う
・無線LANクライアントの認証はWLCが行う
WLCの主な論理インターフェース
Service Portインターフェース
サービスポートと関連付けられるインターフェース
Managementインターフェース(管理インターフェース)
・WLCの管理用インターフェース
・WLCの設定時のアクセス先や、Pingの宛先や、WLC間の通信の制御などで使用する
・インバンド管理で使われる
Virtualインターフェース(仮想インターフェース)
・代理DHCPサーバや、Web認証などの宛先になる仮想的なインターフェース
Dynamicインターフェース(動的インターフェース)
・SSIDとVLANのマッピングを行うインターフェース
・無線LANクライアントにVLANを割り当てるために使用する
管理インターフェースに対するパケットをフィルタリング
「CPU Access Control Lists」にACLを適用
LAG
複数の物理インターフェースを一つの論理インターフェースとして利用する技術
WLCの主な物理ポート
コンソールポート
・PCを直接接続する際に使用する
・コンソールケーブルによりPCと接続
・WLCの設定や、WLCの障害対応を行うために使われる
ディストリビューションシステムポート
・LANケーブルによりスイッチと接続(スイッチ側はトランクポートモードにする)
・通常のトラフィックや管理トラフィックを送受信するために使われる
・LAGに対応(複数のポートを同一のスイッチに接続して帯域幅を拡張する技術)
サービスポート
・LANケーブルによりスイッチと接続(スイッチ側はアクセスポートモードにする)
・ネットワーク障害時のシステム復旧とメンテナンスで使用する
・アウトオブバンド管理になる(通常のトラフィックは流さない)ので、ディストリビューションシステムポートで輻輳などがあっても、影響を受けずに障害対応が可能
・TELNETやSSHによるリモート接続ができる
・DHCPによるIPアドレス取得ができる
冗長ポート
・LANケーブルによりWLCと接続
・大規模なネットワークでWLCを冗長化するために使われる
Cisco Meraki
Cisco Meraki
・自律型アクセスポイント(AP)を始めとしたネットワーク機器の設定やネットワークの管理をクラウド上で行うシステム
・GUIで操作できる
