資格のまとめ

ネットワーク基礎

  • サブネットワークは全ビットが使用できるがホスト部は-2する!
  • ルートブリッジはブロッキングポートを持たない
  • 1つの物理インターフェースのみでVLAN間ルーティングを行うのがサブインターフェース(論理的に複数のインターフェースに分割する技術)
  • TCPは通信の信頼性を確保するために以下の動作を行います。
    ・3ウェイハンドシェイクによるコネクションの確立
    ・Ackによる到達確認
    ・ウインドウサイズを利用したフロー制御
    • RTP(IP電話などのリアルタイムの通信で利用されるプロトコル)は、TCPではなくUDPを使用します。
  • TCPとUDPに共通しているフィールドは、送信元・宛先ポート番号・チェックサムです。
  • PC-に設定しているDNSサーバのIPアドレスが誤っていると、WEBサイトにアクセスできません。
  • ARP要求は、ブロードキャストで送信するため、宛先MACアドレスは「FFFF.FFFF.FFFF」を使用します。
    (ルータのARP取得を完了したらルータのMAC&IPアドレスで通信する)
  • スイッチはパケットが通過するだけであれば、パケットの宛先/送信元アドレスに影響を与える事はありません。
    (スイッチ自身にアクセスする場合にだけ、スイッチのIPアドレスやMACアドレスが使用されます。)
  • 【コネクション確立までの流れ】
    1. 送信元(通信を開始する側)が「SYN」ビットをオンにした、通信許可要求のパケットを送信
    2. 通信相手が通信を許可するか判断し、許可する場合は「ACK」(通信許可)と「SYN」(通信許可要求)ビットをオンにしたパケットを返信
    3. 送信元は「ACK」ビットをオンにした、通信許可のパケットを返信
  • CIDR:既存のクラス分けを一時的に無視して経路を選択する仕組み
  • 各アドレスクラスでホストから借用できるビット数
    • ・クラスA:22ビット
    • ・クラスB:14ビット
    • ・クラスC:6ビット
  • スイッチがブロードキャストを分割するにはVLANの設定が必要。
  • パケットとは、ネットワーク層においてセグメントにレイヤー3アドレスと制御情報を付け加えたものである。
  • スイッチのコリジョン&ブロードキャストドメイン分割について
    • VLANで区切った範囲がブロードキャストドメインになる。
    • 1ポート事にコリジョンドメインは分割できる。
      • VLANの数=ブロードキャストドメイン。 ポートの数=コリジョンドメインと覚えよう。

Cisco機器基礎

  • 「show cdp neighbors detail」
    レイヤー2における接続が確立しているならば、自ルータと接続している隣接ルータのインタフェースのIPアドレスを確認することができます。
  • show versionコマンドでは、現在稼動しているIOSのバージョン情報、ハードウェアに関する情報、各メモリの容量を確認できます。
  • show flashコマンドでは、Flash上に格納しているIOS情報、Flashメモリの全容量の他、使用量、空き容量も確認できます。
  • pingコマンドはユーザーモード「>」と特権モード「#」で使用可能。
  • 「show version」で「ルータのプラットフォーム」「IOSのバージョン」「起動後の経過時間」「インターフェースの数」を表示します。
  • 「show running-config」は現在のルータの設定を表示させます。
  • 「show startup-config」はNVRAMに保存されたルータの起動時の設定を表示させます。
  • 「show ip route」はルーティングテーブルを表示。
  • 「show interface」は全インターフェースの情報を表示させます。
  • 「show protocols」は全インターフェースの状況とルーティッドプロトコルの確認ができます。
  • ネットワークに接続できない状況で、Cisco機器にIOSをダウンロードするには「XMODEM」というプロトコルを利用します。
  • 保存するコマンドの数を変更するには、terminal history sizeコマンド(デフォルトは10)。
  • スイッチにIPアドレスを割り当てるには、仮想の管理インターフェース(デフォルトはVLAN1)に対してIPアドレスの設定を行います。
    ※ルータの場合は物理インターフェース
    • 【構文:スイッチのIPアドレスの設定】
    1. (config)#interface vlan 1
    2. (config-if)#ip address {IPアドレス} {サブネットマスク}
    3. (config-if)#no shutdown
  • NVRAMには、コンフィグレーションレジスタ値やstartup-configファイルが保存されています。
  • 「(特権モード)#show cdp neighbors」コマンドで実行するデバイスID、種類、プラットフォーム、接続しているインタフェースなどを確認できます。
    • 「show cdp neighbors detail」コマンドで、さらに詳細な情報を表示することができ、IPアドレスも確認することができます。

【デフォルトルートを設定するためのコマンド例】

  1. Router(config)#ip route 0.0.0.0 0.0.0.0 {ネクストホップのIPアドレス}
  2. Router(config)#ip route 0.0.0.0 0.0.0.0 {送信インタフェース}
  3. Router(config)#ip default-network {ネットワークアドレス}
  • CDPデバイスの有効/無効
    【デバイス全体で有効/無効にする】
    • Router(config)#[no] cdp run
      【特定のインタフェースで有効/無効にする】
    • Router(config-if)#[no] cdp enable
  • 「show ip interface brief」:インターフェースの一覧情報を表示する。
  • 「show interfaces」:1つ1つのインターフェースの詳細情報が確認できる。
  • Router(config-if)#clock rate {クロックレイト} ←clockとrateの間には半角スペース有り。
  • show interfacesの情報
    ・no buffer:受信したが、バッファが足りずに廃棄したフレームの数
    ・ignored:バッファが足りず、受信せずに無視したフレームの数
    ・giants:IEEE 802.3フレームの最大サイズを超えるサイズのフレームを受信した数
    ・dribble condition:わずかに長いフレームを受信した数
    ・collisions:フレームが衝突した回数
    • 全二重通信ではコリジョンが発生しないため、「collisions」のカウンタは増加しません。
  • 特権モードより深い階層の場合はendで特権モードに戻る。
  • #copy {コピー元} {コピー先}でコピーするお。
  • 拡張pingコマンドについて
    • pingコマンドの後に何もパラメータを指定しないで実行、様々なパラメータを入力するように促されます。
    • 特権モードでのみ使用できる
    • 送信するエコー要求パケットのサイズを指定できる
    • 送信するエコー要求パケットの数を指定できる
      <拡張pingコマンド実行例>
      Router#ping
      Protocol [ip]:
      Target IP address: 192.168.10.6
      Repeat count [5]: 10
      Datagram size [100]:
      Timeout in seconds [2]:
      Extended commands [n]:
      Type escape sequence to abort.
      Sending 10, 100-byte ICMP Echos to 192.168.10.6, timeout is 2 seconds:
      ! ! ! ! ! ! ! ! ! !
      Success rate is 100 percent (10/10), round-trip min/avg/max = 1/2/2 ms

ルーティング

  • フローティングスタティックルートとは
    動的経路制御(Dynamic)で経路情報が得られなくなった際、静的経路制御(Static)でトラフィックを救済する技法。
    Staticでのアドミニストレーティブディスタンス値をDynamicの値より大きくしておきます。
  • ルーティングプロトコル…ルーティングするプロトコルでルーティングテーブルを作成する。RIP、IGRPなど
  • ルーティッドプロトコル…ルーティングされるプロトコルでルーティングテーブルを利用する。IP、IPXなど

【RIPv1のコマンド構文】

  1. [ (config)#router rip ] ←RIPの設定はじめるよー
  2. <RIPv2の場合>[ (config-router)#version 2 ] ←RIPv2の時は宣言しとく
  3. [ (config-router)#network {ネットワークアドレス} ] ←RIPを有効にしたいIFのネットワークアドレスだけ指定すればok。
  • メトリックとは、宛先までの経路の近さを意味する値です。数値が小さい程近いと判別する。
  • ルータの機能として、「異なるネットワークへの相互接続」「パケットの転送」「パケットのフィルタリング」などがある。
  • スイッチを経由してもルータを経由しても宛先と送信元のIPアドレスは変わらない。
    MACアドレスの付け替えで通信をしていく。スイッチは経由するだけならやっぱりスルー。
  • passive-interfaceコマンドについて
    • ルータコンフィグレーションモードで使用する
    • 特定のインタフェースで、ルーティングアップデートを受信はするが、送信はしないようにする
      【コマンド例】
      Router(config)#router rip
      Router(config-router)#passive-interface Serial0/0
  • ルータがパケットを転送するには、パケットの宛先IPアドレスに対応する経路情報が必要。
    経路情報をもたせるためには、スタティックルートまたは、RIPなどの「ルーティングプロトコル」の設定を行う必要があります。
    宛先IPアドレスに対応する経路情報を学習していない場合は、そのパケットを破棄することになります。
    ※デフォルトゲートウェイの設定が必要なのはルータよりもホスト側。
  • スタティックルートのコマンド構文
    Router(config)#ip route {宛先} {ネクストホップのIPアドレス | 自分の送信インタフェース(serial0/0とか)}
  • RIPでアドレスを指定する時はクラスフルネットワークにする。
    • 間違えてクラスレスネットワークアドレスで指定しても自動的に修正される。
  • [ #show protocols ]コマンドで、ルータで有効なネットワーク層プロトコル(IPやIPXなどのルーテッドプロトコル)を表示できる。

スイッチング

<ポートセキュリティの設定で使用する主なコマンド>

  • [ (config-if)# switchport port-security ]
    ポートセキュリティの有効化
  • [ (config-if)# switchport port-security maximum {最大数} ]
    インターフェースに登録できるセキュアMACアドレスの最大数を設定(デフォルトは1)
  • [ (config-if)# switchport port-security mac-address {MACアドレス} ]
    インターフェースに登録するセキュアMACアドレスを静的に設定
  • [ (config-if)# switchport port-security mac-address sticky ]
    動的に学習したMACアドレスをrunning-configに保存
  • [ (config-if)# switchport port-security violation { shutdown | protect | restrict } ]
    セキュリティ違反時の動作を指定(デフォルトはshutdown)
  • スイッチにIPアドレスを設定する場合は、ルータのようにポートごとの設定は必要なく、「管理VLANインターフェース」に対して設定を行います
    ※デフォルトの設定では「管理VLAN」は「VLAN1」
  • ルータが受信したパケットヘッダ内のIPアドレスを置き換えることは、基本的にありません。(但し、ルータがNATを使用している場合は別)
  • show port-security interfaceコマンドの出力結果
    • Port Security … このポートでポートセキュリティが有効かどうか。"Enabled"か"Disabled"
    • Port Status … このポートでのポートセキュリティ機能の状態。"Secure-up"か"Secure-down"か"Secure-shutdown"
      • 物理結線されていない場合では"Secure-down"になる。
    • Violation Mode … セキュリティ違反時の動作。"Shutdown","Protect","Restrict"のいずれか。
    • Aging Time … エージングタイム
    • Aging Type … エージングタイム満了時の動作
    • SecureStatic? Address Aging … セキュアスタティックMACアドレスのエージング
    • Maximum MAC Addresses … 登録可能なセキュアMACアドレスの最大数
    • Total MAC Addresses … 現在このポートに登録されているセキュアMACアドレスの数(自動・手動含む)
    • Configured MAC Addresses … このポートに手動で設定されたセキュアMACアドレスの数
    • Sticky MAC Addresses … このポートにStickyラーニングで学習したセキュアMACアドレスの数
    • Last Source Address … このポートで最後に受け取ったフレームの送信元MACアドレス
    • Security Violation Count … このポートで発生したセキュリティ違反の回数
  • ポートセキュリティは、スイッチに接続するデバイスのMACアドレスを基に、接続の可否を行う機能です。
  • トランクポートとは…複数のVLANに対応。スイッチ同士やスイッチとルータを接続(VLAN間通信の際に利用)するポートなどに利用される。
    トランクリンクではトランクプロトコルを使用して、VLAN情報を伝達します。トランクプロトコルには「IEEE802.1q」 や 「ISL」などが存在します。
  • スイッチはIPアドレスを割り当てない状態でも、スイッチとしての動作(フレームを転送など)をすることが可能です。
    割り当てるのはリモート管理の為。
  • MACアドレステーブルはスイッチのRAMメモリに作成されます。
  • イッチはMACアドレステーブルの内容を最新に保つため、一定時間内にフレームを受信しないとMACアドレスを削除する機能も持っています。
    この一定時間をエージングタイムといい、デフォルトでは300秒に設定されています。
  • デフォルトゲートウェイの設定
    Switch(config)#ip default-gateway {デフォルトゲートウェイとなるルータのIPアドレス}
    デフォルトとの混同に注意
  • スイッチは、受信フレームが持つ宛先MACアドレスの情報がMACアドレステーブルに載っていない場合、
    このフレームを受信したポート以外の全ポートから送信します。この動作がフラッディング。

WAN

<インターフェイスの設定例(s0/0 192.168.1.53/30の場合)>

  • [ (config)#interface serial 0 ]
    設定するインターフェースのモードへ移行
  • [ (config-if)#ip address 192.168.1.53 255.255.255.252 ]
    IPアドレスとサブネットマスクを設定
  • [ (config-if)#no shutdown ]
    インターフェースを有効化
  • [ (config-if)#encapsulation { ppp | hdlc | frame-relay } ]
    シリアルインターフェースで他ベンダーのルータと接続する場合は、カプセル化タイプを変更する必要があります。
    Cisco製ルータのデフォルトはHDLC。標準プロトコル(マルチベンダー対応)はPPP。
    ※更に対抗先がDTEであればclock rateコマンドも必要になる。

<PPPのオプション>

  • 認証 ・・・ 着信側が発信側を認証(PAP/CHAP)
  • 圧縮 ・・・ データを圧縮
  • エラー検出 ・・・リンク品質の監視
  • マルチリンク ・・・ 複数の物理リンクを合わせて(束ねて)、1つの論理リンクとしてデータ通信に使用
  • PPPコールバック ・・・ コールバック機能

<PAPの設定>

  • [ (config)#username [対向ルータのホスト名] password [同一パスワード] ]
    対抗先ルータホスト名と対抗先と同じPasswordを入力する
  • [ (config-if)#ppp pap sent-username [自分のホスト名] password [同一パスワード] ]
    該当のインターフェースでpapを有効化するコマンド。平文の為PAPはデフォルトでは無効化されている。
  • [ show frame-relay map ]
    宛先IPアドレスとDLCIの対応付けを確認できる。
  • 標準のHDLCカプセル化と比べて、Cisco独自のHDLCカプセル化では、タイプフィールド(使用するプロトコルを識別)が追加されています。
  • DTE・・・WANと接続する機器。主にルータ。
  • DCE・・・エンドユーザ側で接続。以下DCEの主な機器
    • DSU/CSU ・・・デジタル回線用
    • モデム ・・・公衆交換電話網用
    • ONU ・・・光ファイバ回線用
    • ケーブルモデム ・・・CATV用

無線LAN セキュリティ

  • IEEE802.11nの変調方式は OFDMです。
  • クライアントが802.11gのみだった場合、802.11bとの互換用でサポートしている「1/2/5.5/11Mbps」は使用しません。
  • IBSS・・・WLANクライアント同士が直接通信を行う(アドホックモード)
  • BSS・・・1つのアクセスポイントで構成されたWLANの形態
  • ESS・・・複数のアクセスポイントで構成されたWLANの形態
    • 2つのAPが近くに設置されている場合、電波干渉が発生する可能性があります。これを防ぐために、2つのAPでは異なるチャネルを使用するべきです。
  • 各規格で利用できるチャネル数
    • IEEE802.11a:19チャネル
    • IEEE802.11b:14チャネル
    • IEEE802.11g:13チャネル
      • 14chは日本だけの特殊なチャネルなので、使用出来るアクセスポイントが限られます。
  • 「service password-encryption」から、パスワードを暗号化していることがわかります。
  • 「no cdp run」で、CDPを無効にできる。CDPは隣接する機器に情報を与えることになるので、必要のない場合は無効化しておくことが推奨される。
  • バナーメッセージには攻撃者に対しての警告文を載せることが推奨されています。文章的に許容しちゃ駄目っぽい。
  • 「transport input telnet ssh」でtelnetとSSHを許可しているが、SSHだけにした方が良い。
<スイッチに対する脅威の防御法>
スイッチに対する脅威として、二重タグ付け(ダブルタギング)攻撃、スイッチスプーフィングなどがあります。
これらの攻撃は、ネイティブVLANがデフォルト(VLAN1)のままや、使っていないポートでDTPを動作させているスイッチを利用して行う攻撃です。
よって、ネイティブVLANは使用していないVLAN番号に変更、DTPは無効化することが有効な防御法となります。
  • 無線LANローミングとは、既にアソシエーションを確立させたAPから、同じSSID(ESSID)を持つ別のAPに移動し通信をする事を言います。
  • SSIDは最大32文字までの英数字を任意に設定でき、SSID宛のブロードキャストを無効にする事ができる。

追加

  • ユニキャストアドレスとは、ホストやインタフェースに割り当てることができるアドレスのことです。
  • PAT(オーバーロードとも呼ばれる)は、IPアドレスとポート番号を変換することで、複数のIPアドレスを単一のグローバルアドレスにマッピングするNAT形式です。
  • PPPは、LCP(リンク制御プロトコル)と、NCP(ネットワーク制御プロトコル)で構成されています。
    • LCPは、PPPリンクの確立、維持、切断の一連の制御機能を担当、オプションとして認証機能もあります。
    • NCPは、マルチプロトコル環境に対応するための機能です。

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2013-06-26 (水) 20:52:48 (2332d)