ネットワークスペシャリスト 試験直前にみる復習メモ

プロモーションを含みます。
プロモーションを含みます。
TerraYuuki
TerraYuuki

ネットワークスペシャリスト勉強中に書いたメモです

GARP

同セグメント内の機器の ARP テーブルを書き換える、または、自身の IP アドレスを周囲の機器に知らせるために送信される ARP の一種。

GARP が利用される時の例

  • VRRP バックアップルータがマスタールータ昇格の際に、同セグメント内の機器の ARP テーブルを書き換えるためにブロードキャストする。
  • DHCP で IP アドレスを受け取った際に、この IP アドレスが重複していないか検査するために利用される。

GARP は何の略?

GARP = Gratuitous ARP (Gratuitous Address Resolution Protocol)

”Gratuitous”には「無報酬の」や「余計な」といった意味があります。

読み方

読み方は、「ジーアープ」や「ガープ」「グラチューイタスアープ」などがあります。

GARP は DHCP で IP アドレス配布を受けた際に重複検査のために利用したり、同セグメント内の機器の ARP テーブルを書き換えたりする ARP の一種。

FTPのモード

「アクティブモード」と「パッシブモード」があります。

「どっちがどっちだっけ?」となりやすいですが、「サーバーが主体という風に考える」ことで分かりやすくなり、覚えやすいです。

アクティブモード

「サーバー」→「クライアント」の方向でコネクションを張るモード。

注意点としては、サーバーがインターネット上にあり、クライアントがファイアウォール内にある場合、サーバーからのセッションがファイアウォールによってブロックされる場合があります。

サーバーが能動的にコネクションを張る(アクティブ)

パッシブモード

「クライアント」→「サーバー」の方向でコネクションを張るモード。

サーバーとのコネクション時にクライアントがファイアウォール内にある場合、クライアントからのセッションはブロックされない。

サーバーは待ち受ける(パッシブ)

FTP のモードには「アクティブ」と「パッシブ」の2つがあります。”サーバーが主体という風に考える”と分かりやすくなります。 アクティブは「サーバーからクライアントへ」、パッシブは「クライアントからサーバーへ」コネクションを張ります。
ちなみに、TCP ポート 21番が「制御用(データ転送要求)」ポート、TCP ポート 20番が「データ転送用」ポートとして利用されます。

設定できるVLANの最大数

4,094

VLAN ID は「12ビット」です。

VLAN タグが4バイトで、その中の2バイトが TPID (Tag Protocol Identifier)、残りの2バイトが TCI (Tag Control Information)で、TCI 内の12ビットが VLAN ID です。

12ビットは「4,096」で「0~4,095」がその範囲になります。

「0」と「4,095」は VLAN ID として利用できないので、実際に利用できる数は「4,096」から2を引いた「4,094」が設定できる VLAN の最大数となります。

設定可能な VLAN の最大数は 4,094
設定可能な VLAN の範囲は 1~4094

IPv6マルチキャストアドレスのプレフィックス

IPv6 のプレフィックスとは、IPv4 アドレスでいうとネットワークアドレスに相当します。

プレフィックスの後ろにある「/8」は、プレフィックス長です。これはネットワーク部分のビット数を表します。

IPv6 マルチキャストアドレスのプレフィックスは「FF00::/8」です。

このような表記方法を「プレフィックス表記」や「CIDR(サイダー)表記」と言います。

上記の IPv6 マルチキャストアドレスでは、先頭から8ビット目までがネットワーク部分です。

FF00::/8

先頭8ビットが「1111 1111」のため、16進数表記にすると「FF」となります。

ネットワーク部分が先頭から8ビットのため、プレフィックス長は「/8」と表記されます。

IPv6マルチキャストアドレスのプレフィックスは FF00::/8

NHRP

Next Hop Resolution Protocol の略で「トンネル確立に必要な対向側 IP アドレスを動的に取得するプロトコル」のことです。

次のルータの IP アドレスを解決するプロトコル。

DHCPスヌーピング

DHCP スヌーピングは、DHCP での IP アドレス取得のやりとりをスイッチが「覗き見(スヌーピング)」することをいいます。

IP アドレス取得のやりとりをスイッチが「覗き見」することで、不正に接続された DHCP サーバや、固定 IP アドレスが設定されたクライアントからの通信を遮断することができるようになります。

Trusted(トラステッド)ポートとは
 DHCP サーバや固定で IP アドレスを割り当てるサーバが接続するポート

Untrusted(アン・トラステッド)ポートとは
 DHCP クライアントが接続するポート

スイッチで DHCP Snooping を有効にすると、「Trusted (信頼された) ポート以外」に接続された DHCP サーバからの通信は遮断されます。DHCP サーバは Trusted ポートに接続する必要があります。

また、「Untrusted (信頼できない) ポート」に正規 DHCP サーバから IP アドレス払い出しを受けていないクライアント(手動で固定 IP アドレスを設定したクライアント)が接続された場合は、スイッチのポートセキュリティにより、クライアントからの通信は遮断されます。

DHCP スヌーピングを設定すると

  • Trusted ポート以外に接続された DHCP サーバを排除することができる
  • Untrusted ポートに接続された固定 IP アドレスを設定したクライアントを排除することができる
  • 正規 DHCP サーバから IP アドレスの払い出しを受けたクライアントのみが通信可能になる

BGP

BGP は、Border Gateway Protocol の略で、ルーティングプロトコルの一つです。

AS (Autonomous System) 間の経路情報を交換するために利用されます。AS とは言ってみれば ISP のことです。

RIP や OSPF、EIGRP などの IGP に対し、BGP は EGP と呼ばれます。

Interior Gateway Protocol = IGP
 企業内、AS 内で利用されるルーティングプロトコルの総称。
 IGPs(複数形)と表記することがあります。

Exterior Gateway Protocol = EGP
 インターネット上、AS 間で利用されるルーティングプロトコルの総称。
 EGPs(複数形)と表記することがあります。

BGP は、TCP のポート 179番 を使用します。

BGP はバージョン4のため、BGP-4 と表記することがあります。

BGP を簡単に説明すると、インターネットサービスプロバイダ同士が経路情報を交換するために使われるルーティングプロトコルのことです。EGP の一種で、TCP の ポート179番を使用します。BGP と BGP-4 は同義です。

SSL-VPNの基本的な3つの方式

SSL-VPN の基本的な動作には【  】【  】【  】の3方式がある。

リバースプロキシ方式
 SSL-VPN 装置をリバースプロキシとして動作させる。HTTPS でアクセスするため、Web ブラウザ上で動作するアプリケーションしか使えない。

ポートフォワーディング方式
 Web アプリケーション以外も通信可能。事前に VPN 装置にサーバの IP アドレスとポート番号を定義しておく必要がある。

L2フォワーディング方式
 VPN クライアントから送出されたデータは、OSI 参照モデルのレイヤー2のデータであるため「L2フォワーディング方式」と呼ばれる。Web アプリケーション以外も通信可能。

IEEE802.11i とは

IEEE802.11 は、IEEE によって策定された無線LAN規格のことで、IEEE802.11i (アイ) は、IEEE によって策定された無線 LAN セキュリティに関する標準規格のことです。

IEEE (アイトリプルイー)
 Institute of Electrical and Electronics Engineers
 米国電気電子技術者協会

Wi-Fi Alliance による認証プログラム

Wi-Fi Alliance (ワイファイアライアンス) によって、以下の認証プログラムが発表されています。

Wi-Fi アライアンス
ある無線LAN製品を作るときに、メーカーごとに仕様が違ったりすることで相互通信がうまくできなかったりするなどの不都合を防ぐため、異なるメーカー同士の製品でも問題なく相互通信できるよう統一した規格を策定する、無線LAN製品を普及・促進させることを目的とした業界団体。

2002年 発表
 WPA (Wi-Fi Protected Access)

2004年 発表
 WPA2 (Wi-Fi Protected Access 2)

2018年 発表
 WPA3 (Wi-Fi Protected Access 3)

WPAIEEE802.11i の草案を基に策定されましたが、WPA2IEEE802.11i の完成版を基に策定されました。

WPA2 に対応した製品は「Wi-Fi CERTIFIED」ロゴを表記することができます。

てこ
てこ

家電量販店の無線LANルータなどでよく見かけますね

無線LAN(IEEE802.11)セキュリティは愛( i

ちなみに、IEEE802.3 はイーサネット(LAN)の規格です。

VRRPメッセージ

VRRP メッセージ(VRRP advertisement または VRRP 広告)は、マスタールータ → バックアップルータへ定期的に、マルチキャスト(224.0.0.18)で送信されます。

マスタールータからの VRRP メッセージが届かなくなったら、バックアップルータがマスタールータへと昇格します。

VRRP メッセージはマルチキャストで送信される

SMTPコマンド

  1. HELO or EHLO (接続開始)
  2. MAIL FROM (送信者メールアドレスを送る)
  3. RCPT TO (宛先メールアドレスを入れる)
  4. DATA (メール本体を送信)
  5. QUIT (切断)

HELO は「Hello」、EHLO は「Extended Hello」

RCPT は「Recipient」(受信者)

ハローメール私から 受取人へ データ 送ります。バイバイ

SPF(送信ドメイン認証)では、受信メールサーバが送信元メールサーバから送られてきた MAIL FROM に含まれるメールアドレス(ドメイン名)を基に送信元ドメインの DNS サーバに IP アドレスを問合せ、送信元メールサーバの IP アドレス検証します。

TLSコネクションハンドシェイク

TLS コネクションは、まずクライアントから【】メッセージをサーバに送信し、それを受け取ったサーバが【】メッセージを返信するところから開始されます。

クライアントからのメッセージには「TLS のバージョン」「クライアント乱数(共通鍵の算出に使用)」「クライアントが利用できる暗号方式」などが含まれます。

サーバはクライアントから受け取ったメッセージを基に「これから使う暗号方式」や「ハッシュ関数のアルゴリズム」を決定してクライアントに通知します。

答え

Client Hello
Server Hello

TCP/UDPポートの総数と番号の範囲

TCP/UDP ポート番号は、16ビットの整数である。

16ビットなので 216 = 65,536(総数)

ポート番号の範囲は 0 ~ 65535

ちなみに、ウェルノウンポート(Well-known Ports)は 0 ~ 1023 です。

0 番は エニーポート(any port)と呼ばれる特殊なポート番号です。

  • TCP/UDP ポートの総数は 65,536
  • TCP/UDP ポート番号の範囲は 0 ~ 65535

SPIとは

SPI は、IPsec における SA を識別するための番号のこと。

Security Parameter Index の略。

ESP ヘッダ内の 32ビット の値で、整数で割り当てられる。

  • IPsec: Security Architecture for Internet Protocol
    (セキュリティ・アーキテクチャ・インターネット・プロトコル)
  • SA: Security Association
    (セキュリティ・アソシエーション)
  • SPI: Security Parameter Index
    (セキュリティ・パラメータ・インデックス)

STARTTLS

スタート・ティーエルエス

「途中から TLS 通信を開始する」

SMTPPOP3 プロトコルなどのポート番号を変えずに暗号化できる技術。

SMTP では 25番ポート、POP3 では 110番ポートのまま暗号化通信が可能となる。

SMTPS (SMTP over SSL、ポート番号465) や、POP3S (POP3 over SSL、ポート番号995) とは違うものなので注意が必要だ。

接続開始時には平文で通信するが、途中から暗号化に切り替える

途中からスタートする TLSポート番号は変わらない。

GRE

通称「グレ」。「ジーアールイー」とも呼ばれる。

GRE は、Generic Routing Encapsulation の略。

トンネリングプロトコルの一つ。

通常ユニキャストパケットしか転送できない IPsec において、GRE を利用すれば「マルチキャストパケット」や「ブロードキャストパケット」を転送することができる(GRE over IPsec)。

TLS1.3で規定されている鍵交換方式

】【】【

3つあります。

その前に「TLS」とは何だったかをおさらいしておきましょう。

TLS は、盗聴改ざんなりすましを防止するための暗号化プロトコルである「SSL」の後継の暗号化プロトコルです。

SSLは、SSL 1.0 → SSL 2.0 → SSL 3.0 とバージョンアップしていきました。

ただしこの SSL は、2014年に脆弱性が見つかり、現在では SSL を基に開発された TLS (Transport Layer Security) が使われるようになっています。

現在 M365 において「TLS 1.0」「TLS 1.1」での接続はできなくなっており、「TLS 1.2」での接続が必須となっています。

ちなみに TLS の現在の最新バージョンは、「1.3」です。

さて話を最初に戻します。

TLS1.3で規定されている鍵交換方式は次の3つです。

「DHE」「ECDHE」「PSK」

DHE について詳しくみていきましょう。

DH は、Diffie-Hellman(ディフィー・ヘルマン)鍵交換のことです。

Diffie-Hellman は、スタンフォード大学の研究員「ディフィー氏」と「ヘルマン氏」が考案した公開鍵暗号方式であるため、DH と略されます。

DHEの「E」は、”一時的な“を意味する Ephemeral (イフェマラル) という単語から来ています。

DHE = Diffie-Hellman Ephemeral

まとめると、

DHEは、ディフィー氏とヘルマン氏が考案した、一時的な鍵を用いる鍵交換方式。

ECDHE の EC は、Elliptic Curve、つまり楕円曲線のことです。

ECDHE = Elliptic Curve Diffie-Hellman Ephemeral

PSK は、事前共有鍵(Pre-Shared Key)のことです。

TLS 1.3 では、前方秘匿性を備えた「DHE」「ECDHE」が推奨されています。

前方秘匿性(ぜんぽうひとくせい)とは
鍵交換に使った秘密鍵が流出したとしても、過去に暗号化したデータは解読されないという性質のことを言います。

インテリジェントスイッチ

SNMP エージェント機能を持つスイッチのこと。IP アドレス、サブネットマスク、デフォルトゲートウェイが設定されている。

フラッピング

同じ送信元 MAC アドレスからのフレームを複数のポートから、ほぼ同時に受信する現象。

ループしている時に発生しやすい。

スイッチのファームウェアのバグによっても発生することがある。

PoE

PoE とは、”Power over Ethernet” の略で LAN ケーブルを経由して電力を供給する技術のこと。

供給先ネットワーク機器には、AP(アクセスポイント)や IP 電話機などがある。

電力供給側ネットワーク機器のことを “PSE (Power Source Equipment)” と呼び、受電側ネットワーク機器のことを “PD (Powered Device)” と呼ぶ。

主な規格は以下のとおり。

  • IEEE802.3af … 最大 15.4 W
  • IEEE802.3at … 最大 30 W(通称 PoE+)
  • IEEE802.3bt … 最大 90 W(通称 PoE++)

私は「アフ、アット、ビーティー」という語呂で覚えました。

ワット数に関しては、2倍になったあと、そこからさらに3倍になったというふうに覚えています。

MED

Multi Exit Discriminator(直訳:複数出口識別子)

MEDメド と読む。

BGP におけるパス属性の1つで、アクティブ/スタンバイ型のマルチホーム接続で使用される。

自 AS 内のアクティブ側回線に小さい MED 値を、スタンバイ側回線に大きい MED 値を設定し、これらを隣接する BGP ピアに広告することで、どちらの回線を優先して欲しいかを伝える。

MED は、自 AS 内に複数の宛先ネットワークがある場合に BGP ピアに対し、どちらを優先して欲しいかを伝えるための BGP パス属性。値が小さい方が優先される。MED は、メトリックとも呼ばれる。

URLリライティング

Cookie を使用することができないクライアントと Web サーバ間のセッション維持・管理を行うための仕組みのこと。

具体的には、Web サーバがクライアントに送信する HTML ソース内にセッション ID を埋め込むことをいう。

クライアント(ブラウザ)は、Web サーバから受け取ったセッション ID を(Web サーバに送信する)URL 内に埋め込みセッション ID を通知する。

(HTML ソース内に埋め込まれる)セッション ID 表記について、Java の場合は「jsessionid」となる。

DHCPリレーエージェント

DHCPリレーエージェントは、DHCP サーバとクライアント PC のセグメントが異なっている場合に、スイッチに必要な機能です。

クライアントからの DHCP ブロードキャストパケットは、通常、同一セグメント内にしか届きません。

DHCP サーバが別セグメントにある場合、DHCP リレーエージェント機能を利用します。

SIP

SIPシップ とは、”Session Initiation Protocol”の略で、2つ以上のクライアント間でセッションを確立するための通信プロトコルです。IP 電話間通信で利用されています。

通信を中継するために”SIP サーバ”が必要です。

SIP は通常、UDP ポート 5060 を利用します。

SIPメソッド

REGISTER
REGISTER は、SIP-UA(IP 電話機)の位置情報の登録を意味します。具体的には、SIP サーバーに”ユーザー名”と”IP アドレス”を登録します。

INVITE
INVITE は「発呼~通話」を意味します。電話をかける際の発信と通話のことです。

ACK
ACK は、INVITE に対する最終レスポンスです。

re-INVITE
re-INVITE は、INVITE 状態を変更するという意味で”re”が付いています。
具体的には「相手の電話機を保留状態にする」です。
電話をかけた相手の状態(発呼~通話)を新しい状態(保留状態)にします。

REFER
REFER は「転送」のことです。

BYE
BYE は「終話」を意味します。電話を切るリクエストです。

SDP

SDP は、”Session Description Protocol”の略で、セッションを記述するための書式のことです。
メディアの種類(音声・映像)プロトコル(たとえば RTP)、ポート番号などが記載されています。

たとえば上記の re-INVITE 内に含まれており、どのような保留音を出すか等が記述されています。

RTP

セッション確立後の通話時には、RTP(Real-time Transport Protocol)が利用されます。

セッション確立後は、SIP サーバを経由せずに通信を行います。

MPLS

MPLS は、IP-VPN 事業者の設備内で利用されます。

顧客それぞれのネットワークを識別し、高速な転送を可能にします。

RFC 3031 で標準化されています。

Multi-Protocol Label Switching の略

ネスペおすすめ参考書

説明がめちゃくちゃ分かりやすい参考書です。もっと早く出会いたかった。最初に読むべきと思った本。