ネットワークスペシャリスト(ネスペ)10点UPメモ

プロモーションを含みます
プロモーションを含みます
PR
てこ
てこ

ネットワークスペシャリスト勉強中に書いたメモです

GARP

同セグメント内の機器のARPテーブルを書き換える、または、自身のIPアドレスを周囲の機器に知らせるために送信される ARP の一種。

GARP が利用される時の例

  • VRRP バックアップルータがマスタールータ昇格の際に、同セグメント内の機器の ARP テーブルを書き換えるためにブロードキャストする。
  • DHCP で IP アドレスを受け取った際に、この IP アドレスが重複していないか検査するために利用される。

GARP は何の略?

GARP = Gratuitous ARP (Gratuitous Address Resolution Protocol)

”Gratuitous”には「余計な」といった意味があります。

“ARP”は、本来、フレームを送信するためにパケットの宛先IPアドレスからMACアドレスを解決するプロトコルですが、GARPは自分のMACアドレスを既に知っているにも関わらずARPしようとするので、”余計なARP”と呼ばれるようです。

読み方

読み方は、「ジーアープ」や「ガープ」、「グラチューイタスアープ」などがあります。

GARP は DHCP でIPアドレス配布を受けた際に重複検査のために利用したり、同セグメント内の機器のARPテーブルを書き換えたりする ARP の一種。

FTPのモード

「アクティブモード」と「パッシブモード」があります。

「どっちがどっちだっけ?」となりやすいですが、「サーバーが主体という風に考える」ことで分かりやすく、覚えやすいです。

アクティブモード

「サーバー」→「クライアント」の方向でコネクションを張るモード。

注意点としては、サーバーがインターネット上にあり、クライアントがファイアウォール内にある場合、サーバーからのセッションがファイアウォールによってブロックされる場合があります。

サーバーから能動的にコネクションを張る

パッシブモード

「クライアント」→「サーバー」の方向でコネクションを張るモード。

サーバーとのコネクション時にクライアントがファイアウォール内にある場合、クライアントからのセッションはブロックされない。

サーバーは待ち受ける

FTP のモードには「アクティブ」と「パッシブ」の2つがあります。”サーバーが主体という風に考える”と分かりやすくなります。 アクティブは「サーバーからクライアントへ」、パッシブは「クライアントからサーバーへ」コネクションを張ります。
ちなみに、TCP ポート 21番が「制御用(データ転送要求)」ポート、TCP ポート 20番が「データ転送用」ポートとして利用されます。

設定できるVLANの最大数

4,094

VLAN ID は「12ビット」です。

VLAN タグが4バイトで、その中の2バイトが TPID (Tag Protocol Identifier)、残りの2バイトが TCI (Tag Control Information)で、TCI 内の12ビットが VLAN ID です。

12ビットは「4,096」で「0~4,095」がその範囲になります。

「0」と「4,095」は VLAN ID として利用できないので、実際に利用できる数は「4,096」から2を引いた「4,094」が利用できる VLAN の最大数となります。

利用可能な VLAN の最大数は 4,094
利用可能な VLAN の範囲は 1~4094

IPv6マルチキャストアドレスのプレフィックス

IPv6 のプレフィックスとは、IPv4 アドレスでいうとネットワークアドレスに相当します。

プレフィックスの後ろにある「/8」は、プレフィックス長です。これはネットワーク部分のビット数を表します。

IPv6 マルチキャストアドレスのプレフィックスは「FF00::/8」です。

このような表記方法を「プレフィックス表記」や「CIDRサイダー 表記」と言います。

上記の IPv6 マルチキャストアドレスでは、先頭から8ビット目までがネットワーク部分です。

FF00::/8

先頭8ビットが「1111 1111」のため、16進数表記にすると「FF」となります。

ネットワーク部分が先頭から8ビットのため、プレフィックス長は「/8」と表記されます。

IPv6マルチキャストアドレスのプレフィックスは FF00::/8

NHRP

Next Hop Resolution Protocol の略で「トンネル確立に必要な対向側 IP アドレスを動的に取得するプロトコル」のことです。

次のルータの IP アドレスを解決するプロトコル。

DHCPスヌーピング

DHCP スヌーピングは、DHCP での IP アドレス取得のやりとりをスイッチが「覗き見(スヌーピング)」することをいいます。

IP アドレス取得のやりとりをスイッチが「覗き見」することで、不正に接続された DHCP サーバや、固定 IP アドレスが設定されたクライアントからの通信を遮断することができるようになります。

Trusted(トラステッド)ポートとは
 DHCP サーバや固定で IP アドレスを割り当てるサーバが接続するポート

Untrusted(アン・トラステッド)ポートとは
 DHCP クライアントが接続するポート

スイッチで DHCP Snooping を有効にすると、「Trusted (信頼された) ポート以外」に接続された DHCP サーバからの通信は遮断されます。DHCP サーバは Trusted ポートに接続する必要があります。

また、「Untrusted (信頼できない) ポート」に正規 DHCP サーバから IP アドレス払い出しを受けていないクライアント(手動で固定 IP アドレスを設定したクライアント)が接続された場合は、スイッチのポートセキュリティにより、クライアントからの通信は遮断されます。

DHCP スヌーピングを設定すると

  • Trusted ポート以外に接続された DHCP サーバを排除することができる
  • Untrusted ポートに接続された固定 IP アドレスを設定したクライアントを排除することができる
  • 正規 DHCP サーバから IP アドレスの払い出しを受けたクライアントのみが通信可能になる

BGP

BGP は、Border Gateway Protocol の略で、ルーティングプロトコルの一つです。

AS (Autonomous System) 間の経路情報を交換するために利用されます。AS とは言ってみれば ISP のことです。

RIP や OSPF、EIGRP などの IGP に対し、BGP は EGP と呼ばれます。

Interior Gateway Protocol = IGP
 企業内、AS 内で利用されるルーティングプロトコルの総称。
 IGPs(複数形)と表記することがあります。

Exterior Gateway Protocol = EGP
 インターネット上、AS 間で利用されるルーティングプロトコルの総称。
 EGPs(複数形)と表記することがあります。

BGP は、TCP のポート 179番 を使用します。

BGP はバージョン4のため、BGP-4 と表記することがあります。

BGP を簡単に説明すると、インターネットサービスプロバイダ同士が経路情報を交換するために使われるルーティングプロトコルのことです。EGP の一種で、TCP の ポート179番を使用します。BGP と BGP-4 は同義です。

SSL-VPNの基本的な3つの方式

SSL-VPN の基本的な動作には【  】【  】【  】の3方式がある。

リバースプロキシ方式
 SSL-VPN 装置をリバースプロキシとして動作させる。HTTPS でアクセスするため、Web ブラウザ上で動作するアプリケーションしか使えない。

ポートフォワーディング方式
 Web アプリケーション以外も通信可能。事前に VPN 装置にサーバの IP アドレスとポート番号を定義しておく必要がある。

L2フォワーディング方式
 VPN クライアントから送出されたデータは、OSI 参照モデルのレイヤー2のデータであるため「L2フォワーディング方式」と呼ばれる。Web アプリケーション以外も通信可能。

IEEE802.11i とは

IEEE802.11 は、IEEE によって策定された無線LAN規格のことで、IEEE802.11i (アイ) は、IEEE によって策定された無線 LAN セキュリティに関する標準規格のことです。

IEEE (アイトリプルイー)
 Institute of Electrical and Electronics Engineers
 米国電気電子技術者協会

Wi-Fi Alliance による認証プログラム

Wi-Fi Alliance (ワイファイアライアンス) によって、以下の認証プログラムが発表されています。

Wi-Fi アライアンス
ある無線LAN製品を作るときに、メーカーごとに仕様が違ったりすることで相互通信がうまくできなかったりするなどの不都合を防ぐため、異なるメーカー同士の製品でも問題なく相互通信できるよう統一した規格を策定する、無線LAN製品を普及・促進させることを目的とした業界団体。

2002年 発表
 WPA (Wi-Fi Protected Access)

2004年 発表
 WPA2 (Wi-Fi Protected Access 2)

2018年 発表
 WPA3 (Wi-Fi Protected Access 3)

WPAIEEE802.11i の草案を基に策定されましたが、WPA2IEEE802.11i の完成版を基に策定されました。

WPA2 に対応した製品は「Wi-Fi CERTIFIED」ロゴを表記することができます。

てこ
てこ

家電量販店の無線LANルータなどでよく見かけますね

無線LAN(IEEE802.11)セキュリティは愛( i

ちなみに、IEEE802.3 はイーサネット(LAN)の規格です。

VRRPメッセージ

VRRP メッセージ(VRRP advertisement または VRRP 広告)は、マスタールータ → バックアップルータへ定期的に、マルチキャスト(224.0.0.18)で送信されます。

マスタールータからの VRRP メッセージが届かなくなったら、バックアップルータがマスタールータへと昇格します。

VRRP メッセージはマルチキャストで送信される

SMTPコマンド

  1. HELO or EHLO (接続開始)
  2. MAIL FROM (送信者メールアドレスを送る)
  3. RCPT TO (宛先メールアドレスを入れる)
  4. DATA (メール本体を送信)
  5. QUIT (切断)

HELO は「Hello」、EHLO は「Extended Hello」
RCPT は「Recipient」(受信者)

ハローメール私から受信者へデータ 送ります。クイット

SPF(送信ドメイン認証)では、受信メールサーバが送信元メールサーバから送られてきた MAIL FROM に含まれるメールアドレス(ドメイン名)を基に送信元ドメインの DNS サーバに IP アドレスを問合せ、送信元メールサーバの IP アドレス検証します。

TLSコネクションハンドシェイク

TLS コネクションは、まずクライアントから【】メッセージをサーバに送信し、それを受け取ったサーバが【】メッセージを返信するところから開始されます。

クライアントからのメッセージには「TLS のバージョン」「クライアント乱数(共通鍵の算出に使用)」「クライアントが利用できる暗号方式」などが含まれます。

サーバはクライアントから受け取ったメッセージを基に「これから使う暗号方式」や「ハッシュ関数のアルゴリズム」を決定してクライアントに通知します。

答え

Client Hello
Server Hello

TCP/UDPポートの総数と番号の範囲

TCP/UDP ポート番号は、16ビットの整数である。

16ビットなので 216 = 65,536(総数)

ポート番号の範囲は 0 ~ 65535

ちなみに、ウェルノウンポート(Well-known Ports)は 0 ~ 1023 です。

0 番は エニーポート(any port)と呼ばれる特殊なポート番号です。

  • TCP/UDP ポートの総数は 65,536
  • TCP/UDP ポート番号の範囲は 0 ~ 65535

SPIとは

SPI は、IPsec における SA を識別するための番号のこと。

Security Parameter Index の略。

ESP ヘッダ内の 32ビット の値で、整数で割り当てられる。

  • IPsec: Security Architecture for Internet Protocol
    (セキュリティ・アーキテクチャ・インターネット・プロトコル)
  • SA: Security Association
    (セキュリティ・アソシエーション)
  • SPI: Security Parameter Index
    (セキュリティ・パラメータ・インデックス)

STARTTLS

スタート・ティーエルエス

SMTPPOP3 プロトコルなどをポート番号を変えずに暗号化できる技術。

STARTTLS は、途中から TLS 通信(暗号化)をスタートします。

接続開始時には平文で通信しますが、途中から暗号通信に切り替えます

SMTP では 25番ポート、POP3 では 110番ポートのまま暗号化通信が可能となります。

SMTPS (SMTP over SSL、ポート番号465) や、POP3S (POP3 over SSL、ポート番号995) とは違うものなので注意が必要です。

途中からスタートする TLSポート番号は変わらない。

GRE

通称「グレ」。「ジーアールイー」とも呼ばれる。

Generic Routing Encapsulation の略。

トンネリングプロトコルの一つ。

通常ユニキャストパケットしか転送できない IPsec において、GRE を利用すれば「マルチキャストパケット」や「ブロードキャストパケット」を転送することができるようになります。(GRE over IPsec

TLS1.3で規定されている鍵交換方式

】【】【

3つあります。

その前に「TLS」とは何だったかをおさらいしておきましょう。

TLS は、盗聴改ざんなりすましを防止するための暗号化プロトコルである「SSL」の後継の暗号化プロトコルです。

SSLは、SSL 1.0 → SSL 2.0 → SSL 3.0 とバージョンアップしていきました。

ただしこの SSL は、2014年に脆弱性が見つかり、現在では SSL を基に開発された TLS (Transport Layer Security) が使われるようになっています。

現在 M365 において「TLS 1.0」「TLS 1.1」での接続はできなくなっており、「TLS 1.2」での接続が必須となっています。

ちなみに TLS の現在の最新バージョンは、「1.3」です。

さて話を最初に戻します。

TLS1.3で規定されている鍵交換方式は次の3つです。

「DHE」「ECDHE」「PSK」

DHE

DH は、Diffie-Hellman(ディフィー・ヘルマン)鍵交換のことです。

Diffie-Hellman は、スタンフォード大学の研究員「ディフィー氏」と「ヘルマン氏」が考案した公開鍵暗号方式であるため、DH と略されます。

DHEの「E」は、”一時的な“を意味する Ephemeral (イフェマラル) という単語から来ています。

DHE はセッションのたびに使い捨てされる鍵交換方式のことです。

DHE = Diffie-Hellman Ephemeral

覚え方は「ディフィー・ヘルマン・一時鍵」

DHEは、ディフィー氏とヘルマン氏が考案した、セッションのたびに使い捨てられる鍵を交換する方式。

ECDHE

ECDHE の EC は、Elliptic Curve、つまり楕円曲線のことです。

ECDHE = Elliptic Curve Diffie-Hellman Ephemeral

基本的なアイデアは DHE と似通っていますが、ECDHE は、より複雑な仕組みを用いています。

覚え方は「楕円曲線・ディフィー・ヘルマン・一時鍵」

PSK

PSK は、事前共有鍵(Pre-Shared Key)のことです。

同じパスワードを事前に共有しておく、というような方式です。

TLS 1.3 では、前方秘匿性を備えた「DHE」「ECDHE」が推奨されています。

前方秘匿性(ぜんぽうひとくせい)とは
鍵交換に使った秘密鍵が流出したとしても、過去に暗号化したデータは解読されないという性質のことを言います。

インテリジェントスイッチ

SNMP エージェント機能を持つスイッチのこと。

IP アドレス、サブネットマスク、デフォルトゲートウェイが設定されている。

インテリジェントスイッチに対して「何の設定もできない」「ただのHUBとして」しか利用することができないスイッチは、アンマネージド(非管理型)スイッチと呼ばれます。

フラッピング

L2スイッチ等で同じ送信元 MAC アドレスからのフレームを、複数のポートからほぼ同時に受信する現象のこと指す。

ループしている時に発生しやすい。

スイッチのファームウェアのバグによっても発生することがある。

PoE

PoE とは、”Power over Ethernet” の略で LAN ケーブルを経由して電力を供給する技術のこと。

電源供給される側のネットワーク機器には、AP(無線アクセスポイント)や IP電話機などがあります。

電力供給側ネットワーク機器のことを “PSE (Power Source Equipment)” と呼び、受電側ネットワーク機器のことを “PD (Powered Device)” と呼びます。

主な規格は以下のとおり。

  • IEEE802.3af … 最大 15.4 W
  • IEEE802.3at … 最大 30 W(通称 PoE+)
  • IEEE802.3bt … 最大 90 W(通称 PoE++)

私は「アフ、アット、ビーティー」という語呂で覚えました。

ワット数に関しては、15Wから2倍になったあと、そこからさらに3倍になったというふうに覚えています。

MED

Multi Exit Discriminator(直訳すると、複数出口識別子)

MEDメド と読む。

BGP におけるパス属性の1つで、アクティブ/スタンバイ型のマルチホーム接続で使用される。

自 AS 内のアクティブ側回線に小さい MED 値を、スタンバイ側回線に大きい MED 値を設定し、これらを隣接する BGP ピアに広告することで、どちらの回線を優先して欲しいかを伝える。

MED は、自 AS 内に複数の宛先ネットワークがある場合に BGP ピアに対し、どちらを優先して欲しいかを伝えるための BGP パス属性。値が小さい方が優先される。MED は、メトリックとも呼ばれる。

パス属性は「パスアトリビュート」とも呼ばれる。

URLリライティング

Cookie を使用することができないクライアントと Webサーバ間のセッション維持・管理を行うための仕組みのこと。

具体的には、Webサーバがクライアントに送信するHTMLソース内にセッションIDを埋め込みます。

クライアント(ブラウザ)は、Webサーバから受け取ったセッションIDをURL内に埋め込み、セッションIDをWebサーバへ通知します。

HTML ソース内に埋め込まれるセッションIDの表記について、Javaの場合は「jsessionid」となります。

URLリライティングは、クライアントが Cookie を使用することができない場合に利用される仕組みのこと。

DHCPリレーエージェント

DHCPリレーエージェントは、DHCP サーバとクライアント PC のセグメントが異なっている場合に、スイッチに必要な機能です。

クライアントからの DHCP ブロードキャストパケットは、通常、同一セグメント内にしか届きません。

なので、DHCP サーバが別セグメントにある場合は、DHCP リレーエージェント機能を利用します。

SIP

SIPシップ とは、”Session Initiation Protocol”の略で、2つ以上のクライアント間でセッションを確立するための通信プロトコルです。IP 電話間通信で利用されています。

通信を中継するために”SIP サーバ”が必要です。

SIP は通常、UDP ポート 5060 を利用します。

SIPメソッド

REGISTER
REGISTER は、SIP-UA(IP 電話機)の位置情報の登録を意味します。具体的には、SIP サーバーに”ユーザー名”と”IP アドレス”を登録します。

INVITE
INVITE は「発呼~通話」を意味します。電話をかける際の発信と通話のことです。

ACK
ACK は、INVITE に対する最終レスポンスです。

re-INVITE
re-INVITE は、INVITE 状態を変更するという意味で”re”が付けられています。
具体的な状態変更の例は「相手の電話機を保留状態にする」です。
電話をかけた相手の状態(発呼~通話)を新しい状態(保留状態)にします。

REFER
REFER は「転送」のことです。

BYE
BYE は「終話」を意味します。電話を切るリクエストです。

SDP

SDP は、”Session Description Protocol”の略で、セッションを記述するための書式のことです。
メディアの種類(音声・映像)プロトコル(たとえば RTP)、ポート番号などが記載されています。

SDP は、たとえば上記の re-INVITE 内に含まれており、どのような保留音を出すか等が記述されています。

RTP

セッション確立後の通話時には、RTP(Real-time Transport Protocol)が利用されます。

セッション確立後は、SIP サーバを経由せずに通信を行います。

MPLS

MPLS は、IP-VPN 事業者の設備内で利用されます。

顧客それぞれのネットワークを識別し、高速な転送を可能にします。

RFC 3031 で標準化されています。

Multi-Protocol Label Switching の略

ステートフルパケットインスペクション

戻りパケットを自動的に許可する仕組みのことです。

通常、行きと帰りの通信許可を FW に設定するところを、ステートフルパケットインスペクション機能が有効な FW であれば戻りの通信許可設定をせずとも自動的に許可してくれます。

DMZ

外部公開用セグメントのことです。

インターネットに公開すべきサーバーが設置されます。

セキュリティが強固な内部セグメントに比べ、インターネットから誰でもアクセス可能ゾーンなため非武装地帯(DeMilitarized Zone)と呼ばれています。

C&Cサーバ

インターネット上に存在するサーバで、マルウェアに感染した社内PC等に対し、悪意あるコマンドを送信し、コントロールしようとする悪の親玉サーバ。

Command & Control サーバの略。

ちなみにマルウェアと C&C サーバ間の通信は、HTTP や HTTPS を利用します。

uRPF

ISP ルータで利用されているパケットフィルタリング技術のことです。

unicast Reverse Path Forwarding の略。

通常、ルータは受信したパケットから「宛先アドレス」を取り出し、ルーティングテーブルと照らし合わせ、送出先ネットワークを決定しますが、uRPF では「宛先アドレス」ではなく「送信元アドレス」を取り出します。

「送信元アドレス」がルーティングテーブルに存在しなかった場合は、そのパケットを破棄します。

これが uRPF の仕組みです。

マルウェアに感染した PC は送信元アドレスが詐称されていることが多く、このような不正 PC からの送信パケットを防ぐために uRPF の技術が用いられます。

ループバックアドレスの利用可能な範囲

ループバックアドレスの利用可能な範囲は以下の範囲です。

127.0.0.1~127.255.255.254

個人的に「いにな」から始まるアドレスというふうに覚えています。

ループバックアドレスはは、自分のコンピュータを指す特別な IP アドレスのことです。

デフォルトでは「localhost」がホスト名として割当てられています。

IPv4では「127.0.0.1」が、IPv6では「::1」が割り当てられています。

リキー(Re-Key)

IPSec の SA(論理コネクション)には、Life Duration(寿命)が設定されています。

同じ暗号鍵を使い続けると漏えいする可能性が高まるからです。

SA の寿命を迎える前に、定期的に SA を再作成しています。

この動作を「リキー」と呼びます。

コンティンジェンシープラン

非常事態時に、被害を最小限に抑えるために実施する計画のこと。

Contingency には「不測の事態」という意味が含まれています。

詳しくは、以下参照。(※ e-Words より抜粋)

コンティンジェンシープラン(contingency plan)とは、事故や災害など非常事態が発生した場合に備えて、対応策をまとめた計画。「緊急時対応計画」と訳されることもある。

事業や業務の遂行を困難にする事象を想定し、それぞれについて予想される事態や損害の大きさを見積もり、組織や人員の行動計画などを定める。損害を軽減するための事前の対策などが含まれることもある。

「BCP」(Business Continuity Plan:事業継続計画)に似た概念だが、BCPが事象発生後の事業の継続や復旧に力点が置かれるのに対し、コンティンジェンシープランは発生直後に被害を最小限に抑えるための緊急対応・初動計画という意味合いが強い。BCPの一部としてコンティンジェンシープランを組み込むとする考え方もある。

https://e-words.jp/w/%E3%82%B3%E3%83%B3%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B8%E3%82%A7%E3%83%B3%E3%82%B7%E3%83%BC%E3%83%97%E3%83%A9%E3%83%B3.html

ZigBeeとは

ジグビーと読みます。

「ジグザグに飛ぶミツバチ」が由来です。

ミツバチが仲間たちと情報交換する様が、次に説明する「センサーネットワーク」に似ているからと言われています。

センサーネットワークとは、無線機能を持つ小型端末を協調して働かせるための無線ネットワークのことです。

ZigBee は、主にセンサーネットワークで利用される近距離無線通信規格です。

伝送速度は 250kbps と非常に低速ですが、消費電力が非常に少なく、ボタン電池1個で1年間稼働できると言われています。

ZigBee は、無線PAN(Personal Area Network)規格である「IEEE 802.15.4」よって定められています。

DNSフォワーダ

DNSフォワーダとは、自らは名前解決をせずフルサービスリゾルバへ DNS クエリを転送する DNS サーバのことです。

フルサービスリゾルバから返ってきた名前解決の結果をスタブリゾルバ(PC)へ返します。

[PC] -> [DNSフォワーダ] -> [フルサービスリゾルバ] -> [権威DNSサーバ]

  1. PC「Google にアクセスしたい、グローバルIPアドレス教えろ」
  2. DNSフォワーダ「親分に頼んでみるわ」
  3. フルサービスリゾルバ「大親分なら知っているはずだ」
  4. 権威DNSサーバ「グローバルIPアドレスはこれだ」
  5. フルサービスリゾルバからDNSフォワーダ「グローバルIPアドレスはこれだ」
  6. DNSフォワーダからPC「グローバルIPアドレスはこれだ」
  7. PC「Google にアクセスできた」

ちなみにフルサービスリゾルバは「キャッシュDNSサーバ」とも呼ばれ、権威DNSサーバは「コンテンツDNSサーバ」とも呼ばれます。

プロトコルごとの「生存通知メッセージの呼び名」

自身の生存を知らせるために定期的に送信されるメッセージの呼び名

OSPF

Helloパケット

VRRP

VRRP広告(VRRPアドバタイズメント)

BGP

キープアライブメッセージ

ネイバーとは隣接機器のこと
neighbor…隣人、同胞、仲間

BGPの標準仕様

ネットワークスペシャリスト試験において「BGPの標準仕様ではトラフィックを分散する経路制御はできません」という本文の内容から「BGPの標準仕様とはどのような内容か」という問が過去問にありました。

解答
BGP テーブルに存在する、同じ宛先ネットワークアドレスの経路情報の中から、最適経路を一つだけ選択し、ルータのルーティングテーブルに反映する。

令和3年 ネットワークスペシャリスト 午後2 問2 設問2(5)

ICMP Pingパケットでは輻輳を検知できない理由

以下の2つの問題点があり、Ping パケットでは輻輳を検知することはできない。

  • 輻輳時にエコー応答を受信する可能性があるから(見逃し)
  • 機器故障のためエコー応答がないのにも関わらず輻輳していると誤解するから(誤検知)

3つのWANサービスの特徴

専用線
  • レイヤ:レイヤ1
  • ブロードキャスト通る
  • 主な利用範囲:近距離2点間
広域イーサ網
  • レイヤ:レイヤ2
  • ブロードキャスト通る
  • 主な利用範囲:同一県内の複数拠点間
IP-VPN網
  • レイヤ:レイヤ3
  • ブロードキャスト通らない
  • 主な利用範囲:国内・海外の複数拠点間

ブラウザがサーバ証明書を検証する時の検証内容

PC(ブラウザ)がサーバにアクセスする際、TLS セッション確立のためにブラウザはサーバから送られてきた電子証明書の内容を検証します。

  • サーバ証明書が信頼できる CA から発行されているか
  • サーバ証明書の「サブジェクト」や「シリアル番号」などの内容が改ざんされていないか
  • サーバ証明書を送った本人が、サーバ証明書に格納されている公開鍵の所有者かどうか
  • サーバ証明書の有効期限が切れていないか
  • サーバ証明書が「証明書失効リスト(CRL)」に含まれていないか

CRL は、Certificate Revocation List の略で、証明書の「シリアル番号」と「失効日」が記載されています。

主なプロトコル番号

  • 1 ICMP (Internet Control Message)
  • 2 IGMP (Internet Group Management)
  • 6 TCP (Transmission Control)
  • 17 UDP (User Datagram)
  • 41 IPv6 (IPv6 encapsulation)
  • 47 GRE (General Routing Encapsulation)
  • 112 VRRP (Virtual Router Redundancy Protocol)

ICMP は「TCP」か「UDP」か、といった疑問を持つことがありますが、ICMP のプロトコル番号は「1」、TCP・UDPのプロトコル番号は「6」・「17」のため、ICMP は「TCP」でも「UDP」でもないということが分かります。

迷惑メール対策の送信ドメイン認証(SPF・DKIM・DMARC)

SPF

メールアドレスのドメインをもとに IP アドレスを割り出し、送信側ドメインが管理するDNSサーバーで公開されている「SPF レコード(IP アドレス情報)」と比較し、検証する。

DKIM

メールに付与されたデジタル署名を、送信側ドメインが管理するDNS サーバーで公開されている「公開鍵」を使って復号しハッシュ値を得る。メール自体のハッシュ値も計算し、それぞれのハッシュ値が一致しているかを検証する。

DMARC

「SPF」「DKIM」いずれかの認証に失敗した際の振る舞いをメール送信側があらかじめ規定する。

以下3つのいずれか

None(何もしない)・・・メール受信者へそのまま配送
・Quarantine(隔離する)・・・迷惑メールフォルダ行き
・Reject(拒否する)・・・全く配送されない

「SPF」「DKIM」「DMARC」の詳細については次の記事にまとめました。

DNSメッセージ

DNS メッセージは、基本的には「UDP」を利用し、最大データサイズは 512 バイトとなっています。

ただし、データサイズが 512 バイトを超える場合は、「TCP」を利用します。

また、「ゾーン転送」でも「TCP」を利用します。

IP Unnumberedとは

IP Unnumbered は、Point to Point 接続において、WAN 側インターフェイスに明示的に IP アドレスを割り当てずに他のインターフェイスから IP アドレスを借りることで IP 通信を可能にする技術です。

また IP Unnumbered を利用することによって、アドレス空間の節約と設定の簡易化を実現します。

別の言い方をすると「対向のルータと1対1で直結している場合、インターフェイスにわざわざ IP アドレスを設定しなくても IP 通信ができる技術」

実際のところ、インターフェイスに Unnumbered 設定をするため手間はさほど変わりません。

  • Numbered・・・IP アドレスを割り当てる
  • Unnumbered・・・IP アドレスを割り当てない

IP アドレス借用元のインターフェイスがダウンしていた場合、Unnumbered が設定されているインターフェイスもダウンしてしまうので、ループバックインターフェイスに設定することが良策です。

ループバックインターフェイスはルータ自身がクラッシュしない限りダウンしません。

まとめ
  • 対向のルータと 1 対 1 で直結していることが前提
  • WAN 側インターフェイスに IP アドレスを割り当てない
  • 他インターフェイスから IP アドレスを借用する
  • アドレス空間の節約と設定の簡易化
  • Point to Point 接続で利用される技術

ネスペおすすめ参考書

説明がめちゃくちゃ分かりやすい参考書です。もっと早く出会いたかった。最初に読むべきと思った本。

詳しい内容が書かれている本。幅広い基礎を深く学べます。