資格のまとめ

第一章 ネットワークとTCP/IPの基礎

  • フロー制御はトランスポート層の機能
  • フレームはデータリンク層のプロトコル
  • TCP/UDPはレイヤ4
  • レイヤ2は同じデータリンク上に接続されたノード間の通信を定義している
  • ブリッジとスイッチはデータリンク層のプロトコル
  • レイヤ2のPDUはフレーム
  • MACアドレスはブリッジとかスイッチで識別
  • MACアドレスはピリオドかハイフンで区切っていく
  • ハブは電気信号しか認識できない物理層のデバイス
  • CSMA/CDはコリジョンを減少させるがゼロにはできない
  • 全二重通信は送信線と受信線が異なるのでコリジョンが発生しない
  • CSMA/CDはケーブルにデータが流れていないか監視して、検出した場合はバックオフアルコリズムで遅延させた後優先的にフレームを送信できる
  • ARPリクエストはブロードキャスト、ARPリプライはユニキャストで送信される
  • pingの宛先が不明な場合はICMP Destination Unreachableメッセージを返す
  • pingが成功しない場合はネットワーク層以下に問題があると思われ
  • プロトコルとTTLはIPヘッダに含まれる
  • ポート番号はTCPとUDP両方で使用する。マルチタスクとか実現出来る
  • トランスポート層のポート番号識別によって適切な受信ができる
  • telnetは平文&サーバの許可が必要
  • DHCPクライアントはDISCOVERしてREQUESTする
  • DNSはTCPとUDP両方を利用するシステム
  • ipconfig/allはDHCPサーバ、DNSサーバ、及びリース期間も表示される
  • 100BASETXのセグメント長は10BASETと同じ100m
  • 異なるネットワークへの通信はゲートウェイのMACアドレスと宛先のIPアドレスを使用する

第二章 IPアドレッシング

  • サブネットによってアドレッシング計画が用意になる訳ではない
  • サブネット化されたネットワークの端っこを調べるには2進数に直してホスト部のビット数を見る
  • きちんとネットワークアドレスとブロードキャストアドレスを求めよう

第三章 Cisco IOSソフトウェアの基礎とデバイスの管理

  • SerialはWANのインターフェイス。T1(1.544Mbps)で接続出来る。
  • BRIはISDN用インターフェイス。最大128kbps。
  • FastEthernet?=fa
  • AUIは10Base5で使用するLANのインターフェイス。現在はほとんど使われていない。
  • Config-ifから一気に特権モードに戻る時はend。一段階ずつ戻る時はexit。
  • banner motd コマンドを使用できるのはconfigモード。
  • ユーザーから特権モードへはenableで移行。
  • コマンド履歴はCtrl+P
  • カーソルを先頭に移動するのはCtrl+A
  • 各メモリの保存内容
    • ROM:POST・ブートストラップ・ROMモニタ
    • RAM:running-config・ルーティングテーブル・ARPテーブル
    • NVRAM:startup-config・コンフィギュレーションレジスタ
    • FLASH:Cisco IOS
  • Ciscoルータを起動した時の実行イベント順序
    1. POST
    2. ブートストラップ
    3. Cisco IOSのロード
    4. コンフィギュレーションファイル(startup-config)の検索
    5. startup-configのロード(無い場合はセットアップモードに)
    6. Cisco IOSの実行
  • ブートストラップは最初にNVRAMのコンフィギュレーションレジスタの値を検索してIOSを検索する。
  • passwordコマンドの後はloginコマンドを実行しないとpass無しログイン出来てしまう。
  • service password-encryptionコマンドはconfigモードで実行
  • 暗号化を無効化するにはno service password-encryptionで無効化した後にpasswordコマンドで再設定。
  • transport input SSHコマンドはSSHのみ接続出来るようにする。telnetは無効化される。
  • telnetの中断は Ctrl+Shift+6キーの後Xボタン押下。
  • MotDバナーの変更はconfigモードでbanner motd #任意のメッセージ# と入力。
  • 各インターフェイスの状態判別
    1. Srial0/0 is up, line protocol is up
      物理(レイヤ1)・データリンク層(レイヤ2)が正常動作。
    2. Srial0/0 is up, line protocol is down
      データリンク層に問題有り。以下主な原因。
      1. キープアライブがない
      2. クロックレートが設定されていない
      3. カプセル化タイプが一致していない(フレーミングミス)
    3. Srial0/0 is administratively down, line protocol is down
      shutdownコマンドで意図的に無効。デフォルトだとこの状態。
    4. Srial0/0 is down, line protocol is down
      物理層に問題有り。以下主な原因。
      1. ケーブルが接続されていない。
      2. 対向のデバイスでインターフェイスが無効になっている。
    • pingはレイヤ3のプロトコルを利用しているので成功するかはレイヤ3まで見ないと判らない。
  • ルータに接続されているケーブルはshow controllersコマンドで調べる。
  • CDPはデフォルト60秒でマルチキャストで情報を送信する。ケーブルやアドレスの間違いを調べる事が出来る。
  • show cdp entry*かshow cdp neighborsコマンドで隣接のIP含む詳細情報を表示する。
  • CDPの無効化
    • デバイス全体で無効化 :(config)#no cdp run
    • 特定のIFのみCDP無効化:対象のIFに移ってから(config-if)#no cdp enable
  • コンフィギュレーションレジスタの確認はshow versionコマンド
  • IFの帯域幅を設定するには:(config-if)#bandwidth 64kbps ←任意の数字。単位は必ずkbps。
  • IOSのサイズなど確認:show flash:コマンド色々分かる。
  • コピー先がrunning-configの場合はマージされる。
  • DHCPサーバになってデフォルトゲートウェイの設定をしたい時:(dhcp-config)#default-router <IPアドレス>

第四章 スイッチの基本動作とスパニングツリープロトコル

  • スイッチの特徴
    • レイヤ2で動作するデバイス。
    • 複数ポートから受信しても同時転送が出来る。
    • コリジョンドメインの分割が出来る。
    • 宛先アドレスがブロードキャスト・マルチキャスト・MACアドレステーブル・未登録の場合はフラッディングする。
  • ブロードキャストアドレスは送信元アドレスになる事が無い為、MACアドレステーブルに登録されることは無い。
  • ブリッジとスイッチについて
    • どちらもレイヤ2デバイスでMACアドレスを基にフレームの転送先を決定する。否IPアドレス。
    • スイッチの方がポート密度(1台あたりのポート数)高い。
    • ブリッジはソフトウェア処理(L2スイッチ)、スイッチはハードウェア処理(L3スイッチ)。 ←もっと良い解釈があるんじゃ…
  • フレーム転送方式の違いは「フレームのどの部分までバッファメモリに読み込まれた段階でフレーム転送を開始するか」
    • カットスルー(速度:高|信頼:中):宛先アドレス(6バイト)まで受信。最もレイテンシーが少ない。
    • フラグメントフリー(速度:中|信頼:中):先頭64バイトまで受信する事でコリジョンエラーのフレーム転送を防ぐ。
    • ストアアンドフォワード(速度:低|信頼:高):フレーム全体を受信してCRCチェックする。
  • 現在はスイッチの高性能化が進み、殆どストアアンドフォワード方式が使用されている。
  • CatalystスイッチにおけるCAMエンジンについて
    • MACアドレステーブル=CAMテーブル
    • テーブルは2種類
      • ダイナミックアドレス:ダイナミック☆自動登録→デフォルトはエージングタイム5分で自動削除
      • スタティックアドレス:管理者によって手動登録→エージングアウトなし
    • テーブルはRAM上に作成するのでリブートで消えるがスタティックアドレスは再登録されるのでおk。
    • テーブルにはVLAN番号・MACアドレス・学習タイプ・ポート番号が格納される。
      • テーブルの内容は[ show mac-address-table ]コマンドで確認できる。
  • 異なるネットワーク間の通信にはIPアドレスとデフォルトゲートウェイが必要。(OSI第3層まで)
  • レイヤ2をリモートでスイッチ管理するにはIPアドレスが必要。デフォルトでの管理IFはVLAN1なのでVLAN1に対して設定する。
  • デフォルトゲートウェイの設定は[ ip default-getaway ]コマンド。サブネットマスク不要。
  • CatalystスイッチのIPアドレスとデフォルトゲートウェイを確認するには特権モードで[ show running-config ]コマンドを実行。
    • [ show interfaces vlan 1 ]コマンドではデフォルトゲートウェイが表示されない。
  • ポートのリンクランプがグリーンにならない時はまず物理層を疑え。(例えIPアドレスが間違っててもランプはグリーンになるので)
  • ポートセキュリティについて
    • 不正接続されたコンピュータに対して、ネットワークへのアクセスを防ぐ。
    • 不正な送信元MACアドレスからの通信を遮断する。
    • ポートセキュリティが有効になったポートに対して、許可するMACアドレスと最大数を指定できる。
    • アクセスポートに対してのみ設定可能。
    • セキュリティ違反が発生した場合の動作を指定できる。
    • ポートセキュリティの設定手順
      1. アクセスポートに設定。
      2. ポートセキュリティを有効化する。
      3. 許可するMACアドレスの最大数指定(デフォルトは1)
      4. 許可するMACアドレスの設定(スタティックかスティッキーコマンド使用でダイナミック)
      5. 違反時のアクションを設定(デフォルトはshutdown)
    • 違反モードの種類と対処法
      • protect :違反フレームのみ破棄。違反発生通知無し。
      • restrict:違反フレームのみ破棄。違反発生通知有り。違反カウンタ増加。
      • shutdown:デフォルトの設定。違反検出後すぐセキュアポートをシャットダウン(err-disableステート)してLED消灯。違反発生通知有り。
  • [ switchport port-security mac-address ]コマンドでアドレスを設定する数が最大数に満たない場合は、セキュリティ違反は起こらない。
  • セキュアMACアドレスについて
    • スタティックとダイナミックの2タイプがある。
    • [ switchport port-security mac-address sticky ]コマンドでダイナミック☆学習されたアドレスをスタティックなセキュアアドレスとして
      running-configに追加する。これをスティッキーラーニングという。セキュアMACアドレスの管理が簡単になる。いいね!
  • [ show port-security ]コマンドで以下の情報を参照できる。
    1. セキュアポートの番号
    2. セキュアMACアドレスの最大数
    3. 現在学習しているMACアドレスとアドレス数
    4. 違反が発生した回数(restrictに設定されていない場合不明)
    5. 違反時のアクション

第六章 ルーティング基礎とディスタンスベクタールーティング

  • ルーティングに必要な動作
    • 受け取ったパケットの宛先アドレスを認識。
    • ルートの情報源を判別。
    • 宛先までの使用可能なルートを判別。
    • 最適なルートを決定。
    • ルーティング情報を保守する。
      • ルーター自身がルーティングプロトコルを選択したりIPヘッダのアドレスを変更することはない(ヾノ・∀・`)
  • [ show ip route ]でルーティングテーブルを表示。
  • 通信するためには往復のルート情報が必要になる。
  • ネクストホップアドレスはスイッチではなくルータのIPを指定。
  • デフォルトルートの設定は[ ip route ]コマンド。ネットワークアドレスとネットマスクは全部0を指定。
  • シリアルポイントツーポイント接続の場合ip routeコマンドでIFを指定してもok(s0/0など)
  • [ ip classless ]コマンドで不明なサブネット宛のパケットをデフォルトルートでルーティング出来る。(IOS12.0以降はデフォで有効)
  • ルータが経路を決定する時はまずアドミニストレーティブディスタンス値を見てルーティングテーブルに登録する。
  • アドミニストレーティブディスタンス値を低くすればスタティックで設定してもRIPのテーブルに影響を与えない。
  • <代表的なルーティングプロトコルのメトリック>
    ルーティングプロトコルメトリック説明
    RIPv1、RIPv2ホップカウントルータから宛先サブネットの間に存在するルータの数(ホップ数)
    IGRP、EIGRP帯域幅、遅延IFに設定された帯域幅(bandwidth)と遅延(delay)を基に計算。オプションで不可や信頼性を使用出来る
    OSPFコストコスト=参照帯域幅/インターフェイス帯域幅
  • ルーティングプロトコルのディスタンス値でどれを使うか決めるのでまずはそれを確認。EIRGPは帯域幅を計算する。
  • ディスタンスベクタールーティングプロトコルについて
    • RIPとIGRPが代表格
    • 隣接するルータの情報しかないので全体のトポロジを把握していない。
    • バケツリレー方式なので信頼性は低め。
    • シンプルで情報量も少ないのでCPUやメモリに負担をかけない。
    • ループを回避する為にコンバージェンスに時間がかかる。
  • ホールドダウンタイマー解除のタイミング
    • ホールドダウンが終了したとき
    • フラッシュが終了したとき
    • 元のメトリックよりも優先度の高いメトリックルート情報を受信したとき
  • RIPの特徴
    • RFC準拠の標準プロトコル
    • ディスタンスベクタールーティングプロトコル
    • メトリックはホップカウント
    • 最大ホップカウントは「15」
    • 等メトリックのロードバランシング(デフォルト4、最大16迄)
  • RIPの設定コマンド
    • [ (config)#router rip ] ←まずは起動
    • [ (config-router)#network <ネットワークアドレス>] ←個々のIPではなくクラスフルネットワークアドレスを指定すればok
    • [ (config-router)#version 2 ] ←ヴァージョンを指定する
  • [ show ip protocols ]コマンドで詳細を表示できる
  • RIPのデフォルト設定ではルート情報削除までは到達不能通知より60s
  • debugモードコマンド例
    • [ debug ip rip ]  ←RIPのデバックを有効化
    • [ no debug all ]  ←すべてのデバックを無効化
    • [ undebug all ]   ←同上
    • [ no debug up rip ]←RIPのでバックのみ無効化
  • [ (config-router)#passive-interface <IF名(s0/0とか)> ]で不要なIFのみ無効化出来る。
  • [ (config)#ip default-network <ネットワークアドレス> ]でラストリゾートゲートウェイを設定
    • 他ルータにアドバダイズする時は「0.0.0.0」で通知する。なんで?
  • ルータ同士のサブネットマスクが違う時はクラスレス(RIPv2、EIRGP、OSPF、IS-IS)を使う
  • クラスフルがアドバダイズする時はナチュラルマスクで集約して通知する。
  • VLSM(可変長サブネットマスク)の利点はIPアドレスを効率よく利用できる点。
  • 経路集約はサブネットを左にずらして行う。
  • 経路が複数ある場合はロンゲストマッチ(最長一致)で経路を決める。

第十章 NATおよびPAT

  • NATの特徴
    • LANからWANへの変換をしてくれる
    • LAN1:WAN1の変換しか出来ない
      • 多:1の変換はPAT(NAPT)の機能です
    • スタティックNATとダイナミック☆NATの変換方法がある。
  • NATにおけるオーバーロードとはレイヤ4のTCT/IPポートを使って複数のLANIPを一つのWANIPでさばけるつまりPATとかNAPTとかIPマスカレードとかです。

第十一章 WANプロトコルとシリアルポイントツーポイント接続

  • WANで使用されるデータリンク層プロトコルは、
    HDLC、PPP、フレームリレー、ATMがある。
  • 専用線はポイントツーポイント接続ともいう。
  • 回線交換はPSTNやISDNを使用した接続タイプ。
  • 交換機とCPEの境界となる接合部が分界点となる。
    • ルータ
      契約したWANサービスと接続する。専用線およびフレームリレーではシリアルIFが必要。
    • CPE
      ISPと契約した加入者の宅内機器。モデムやルータなど。
    • 分界点
      スイッチとCPEの境界。
    • ローカルループ
      分界点からISPの機器までの回線。銅線または光ファイバーを使用する。PSTNとISDN以外ではアクセス回線という。
    • 交換機
      ISPの網に設置。フレームリレー網ではフレームリレースイッチが設置される。
    • CSU
      ISDNやフレームリレーなどの通信回線とDTEのシリアルインターフェイスを相互接続する機器。現在はDSUと統合されている。
    • DSU
      DTEデバイスを回線に接続し、信号の同期や通信速度の制御などを行う回線終端装置。現在はCSUと統合されている。
    • DTE
      実際にデータを送受信するユーザ側のデータ端末装置。DCEを介して通信する。ルータ、電話機、ファクシミリなど。
    • DCE
      データ回線終端装置のこと。DTEとWAN側の通信を相互変換して最適化する。CSU/DSU、モデムなど。
  • CiscoルータのシリアルIFをDTEとして専用線にWAN接続する場合はCSU/DSUによって外部クロックが提供される。
  • フレームリレーはシリアルIFの規格ではなくデータリンク層プロトコル
  • バックツーバックの出力表示の見分け方
    • DCE→DTEの接続方向になる。DCEに対してclock rateが設定される。
    • 接続された方はDTEになる。[ show controllers ]コマンドで出力の3行目に表示がでるので確認。
  • HDLCについて
    • 認証機能は無い。
    • 同期シリアル伝送のカプセル化プロトコル。
    • マルチプロトコル環境をサポートしている。
    • シリアルインターフェイスのデフォルトのカプセル化タイプ。
  • NCPは複数のルーテッドプロトコルをカプセル化するPPPのサブモジュール。
  • CiscoルータでPPPの圧縮オプションとして使用できるプロトコルは「Stacker」と「Predictor」である。
  • マルチプロトコルはPPPのLCPオプションに含まれない。(NCPの機能)
  • PPPセッションの順番
    リンク確立フェーズ→認証フェーズ→ネットワーク層プロトコルフェーズ
  • [ debug ppp authentication ]コマンドでCHAPおよびPAP認証の様子をリアルタイムで表示できる。
  • CHAP認証に失敗する場合はデータリンク層だけ問題あり。(IFはup,down状態)
  • 「CHALLENGE」前の「O」か「I」で送信側と受信側を判別できる。(Oが送信Iが受信)
  • CHAPはPPPの機能なのでHDCLは無い「Encapsulation PPP」になっている必要がある。

第十四章 ネットワークセキュリティと無線LANの基礎

  • クラッカーの脅威が増加した要因はクラッキングツールの高度化とクラックツールの敷居低下にある。
  • セキュリティアプライアンスとしてIDS(侵入検地システム)とIPS(侵入防止システム)がある。
  • IEEE802.11bはDSSS、aはOFDMを変調方式に使用している。
  • アドホックはIBSS、インフラストラクチャはBSSかESSがある。ESSはBSSの拡張版。広い。便利。
  • 無線LANはCSMA/CA方式でアクセス制御をしている。
  • 隠れ端末問題を回避するのはCSMA/CA with RTS/CTSである。
  • 無線トポロジはBSAとESAに分類できる。BSAを拡張したのがESAである。
  • IEEE802.1xの認証を利用するには、認証サーバ(RADIUS)、サプリカント、認証装置が必要である。
  • IEEE802.1x/EAPの種類
    • MD5
      IDとパスワードで認証する。サーバ側の認証は行わず、ユーザとRADUSでチャレンジおよびレスポンスを行う。
    • TLS
      クライアントとRADIUSサーバ間でデジタル証明書を交換することで相互認証をする。SSLの後継となるプロトコル。
    • TTLS
      サーバ認証にデジタル証明書を使用し、ユーザ認証にはユーザ名とパスワードを使用する事でコストと手間を削減。
    • PEAP
      シスコとマイクロソフトが提案したプロトコル。TLSを拡張した。
    • LEAP
      シスコが提案した認証方式でクライアント側にシスコのアダプタが必要。TLS拡張プロトコル。
  • WEPよりもWPAが推奨される理由は動的にWEPキーを変更できるからである。
  • WPA2はAESに基づいて構築されたCCMP暗号化方式を採用している。現時点で最高峰。

第十六章 総仕上げ

  • RIPはposssibly downより240sでルーティングテーブルからエントリを削除する。
  • [ (configi-if)#frame-relay map <protocol> <address> <dlci> broadcast ]
    リモートルータのネットワーク層アドレスとローカルCLCIをマッピングする。
  • RIPの最大許容ホップ数は15で最大値が16。ルートポイズニングとかで表示されるのは16です。
  • IPアドレスを基にMACアドレスを取得するのがARP。RARPはその逆。
  • シリアルポイントツーポイント接続でも最低2つはアドレスが必要なので/30とかでネットマスクを設定する。
  • コリジョンドメインとブロードキャストドメインの数に関してはハブ・スイッチ・ルータを適切に判別すること。
  • [ (config)#config-refister 0x2102 ]
    レジスタ値の変更
  • DTEからDCEにつなぐ
  • [ (config)#ip route <network address> <subetmask> <ipaddress(next hop)> ]
    スタティックルートを作成する。最後はネクストホップアドレスになるので注意。
  • Catalystスイッチにtelnet接続してコンフィギュレーションモードに移行するにはイネーブルシークレットとVTYパスワードを設定しておく。
  • 無線アクセスポイントの不正アクセス保護には管理者パスワードの設定とSSIDの変更が良い。
  • [ (config)#ip default-gateway 192.168.20.1 ]
    スイッチのデフォルトゲートウェイを設定。ネットマスクは不要。
  • ギガビットイーサネットでも半二重通信の場合はCSMA/CDが使用される。
  • [ (config-if)#switchport port-security mac-address sticky ]
    スティッキーラーニングの設定。running-configに登録なのでcopyコマンドでstartup-configに保存しておくのが推奨されている。
  • LCPのオプション機能は認証・圧縮・マルチリンク・コールバック・エラー検出。
  • PAP認証は2方向ハンドシェイク。CAHP認証では3方向ハンドシェイク。
  • PAT変換の方式にはプールに定義されたアドレスを使用する方法と外部インターフェイスのアドレスを使用する方法がある。
  • 無線LANのビーコンを無効にした場合は、APとクライアントのSSIDを同じ値に手動設定するh実用がある。
  • 複数拠点を接続するのに適しているのはパケット交換(パケットスイッチング)。サービスにはX.25・フレームリレー・ATMがある。
  • ホストが外部のサーバと通信する時はルータにARPする。
  • [ debug ip rip ]コマンドでRIPのアップデート状況をリアルタイムで表示できる。
    (illegal Version)はバージョン違いで受付不可。(ignored)は無視の意。
  • DHCPの設定確認
    • excluded-addressはdhcpで指定しない範囲。
    • dhcp poolのネットワークアドレスとネットマスクで範囲がわかる。
  • CDPはレイヤ2の接続性確認と隣接デバイスのIPアドレスを取得できるのでTelnetのIPアドレスを確認できる。

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2013-06-26 (水) 20:52:30 (2330d)