前提
前回の続き(ネスぺに昨年のリベンジ(第四回) – 日曜エンジニアの学習記録)を行います
今回は以下の資料の未知の部分のみメモします
Amazon.co.jp: ネスペの基礎力 -プラス20点の午後対策 (情報処理技術者試験) : 左門 至峰, 平田 賀一: Japanese Books
内容が重複して書くことが少なくなってきたのは覚えてきてる良い兆候だ
メモ
サーバのウィルス対策ソフト(IPS)のせいでpingが反応しないこともある(例:異セグの通信には応答しないなどの仕様)
ミラーリングという単語忘れがち
IEEE802.1ad(Q in Q)はVLANタグを二重に付与するプロトコル→広域イーサなどで使用
VXLAN→VLANが4094個しか作れないためクラウド事業者など大量のNWを作成したい主体が困る→VNIというIDで大量のNWを作成できるようにする
→VNIは24bitあり、ヘッダに新しいL2~L4+VXLANヘッダをカプセル化してオーバレイNW(仮想NW)を実現→L3上のNWにL2のNWを構築
オートネゴシエーションとAUTO MDI-MDI/Xがごっちゃになりがちだが前者がduplexとspeedの自動決定で後者はケーブルの種類を自動設定
LAGは当然VLANなどの設定を統一する必要有
イーサネットには認証機能がないのでSWに接続すればLANで誰でも使用できてしまう→認証機能を付与したPPPoEの必要性
通常のLANはイーサネットケーブルで構成されるが広域イーサネットは光ケーブルを使うので遠く早い
WAS(WAN高速化装置)が高速化を実現する方法は代理応答とキャッシュの蓄積とデータ圧縮機能
フェールオープンは故障時にケーブル接続状態に自動でなる機能
WiFiでb/g/aで2.4GHzのb/gを工場で使用することがあるがこれは工場内の距離が広いためで、b/g/aはそれぞれ互換性がないがb/gなど後継は通信可能
チャンネルボンディングすると使用できるチャンネル数が減るので高速になっても使えるチャンネルがへったらNW全体のスループットは上がらないのでgなどでは使わないことも
フレームアグリゲーション→無線LANのヘッダやプリアンブル部分はオーバーヘッドが重いので複数のフレームを同時に送ってオーバーヘッドの影響を少なくする→宛先が同じなら連結して送って軽くしている
WPAは暗号化のしくみ+認証のしくみ+改ざん検出のしくみ
無線LANの認証の種類の右について認証方法を言えるようにする→WEP,WPA-PSK,MACアドレス,WEB,EAP
IPv6通信を行うために対応しなければならない設定→NW回線・NW機器・PCやSV→NICはv4,v6を混在できるが設定変更の必要だけある
広域イーサネットは拠点間の距離が近いときに使う→LANの延長と考えることが出来るのでFWもルータもエッジに不要でL3SWを使っているところも多いし各拠点で回線速度を分けて設定することも可能
IP-VPNは広域イーサネットと異なりルータ接続がマストで拠点間が遠距離の時に使用
HTTPに必須なメソッドはGET,HEAD
VoIP→音声をパケット化してIP上で通信する技術で一般的な構成は以下
電話→PBX(従来呼制御を行っている機器)→VoIPGW→ルータ→ONU→網
VoIPのメリット→配線や設備の共通化、通信コストの削減、アプリ連携
音声通信は高速化のためにUDPを使っているが、通話内容はパケットの着信順番も大事→UDPにシーケンス番号を付与するのがRTP
実際の音声通信はRTPで呼制御(電話かけたり切ったり保留したり)はSIPで行っていて、SIPを実現するのがユーザエージェント(UA)で、呼制御は(例として)ある内線番号を持つUAから別の内線番号を持つUAにSIPサーバを経由して電話をかけるなど(SIPサーバがDBから相手のIPを調べる)、そして実際の音声通話はPtoPで特定した相手とSIPサーバを介さず通信する
っして肝心のSIPメッセージ(INVITEリクエストなど)はUAの識別にURIを使用している(例:sip:xxx@example.ne.jp)→リクエストはHTTPと似た構成
先頭行→SIPヘッダ→空白行→ボディ(SDP)
FWの分類としてパケットフィルタリング方式とサーキットゲートウェイ方式(プロキシサーバなどが該当)とアプリケーションGW方式(次世代FWのようにデータの中身まで見る)
FWのHAについて①VRRPを利用してVIPを使用する方法と②主系のIP、MACを副系が引き継ぐ方式があるが、ふつうはセッション情報の同期が①では出来ないので②を使う
HAではFWが通信の中継のために管理している次の情報を自動で引き継ぐ→Config,セッション情報,ルーティングテーブル
Standby機器がActの故障を知る方法→HAケーブル経由のハートビートのロスト、Act機が監視しているポートのリンクダウン、デフォゲなど特定端末へのpingやTCPなどのポーリングの失敗
復旧したFWの切り戻しは手動操作の方がベター→切り戻しによる切断時間はわずか数秒だが業務に影響を与える可能性があるので自動切り戻しをせず夜間実施
認証LANとリピータハブの相性最悪→一つのリンクで認証成功したら認証済みのポートにリピータハブの別のリンクのPCから通信できてしまうから
FWの他にIPS,IDSが必要な理由(FortiのようにFWにIPS機能が内在されているものもある)→FWがパケットフィルタリング方式でもデータの中身を確認して検査してくれるから
ハーフオープン→未完了の接続開始処理
証明書はX.509というフォーマットに準拠
SSLVPNはVPN機器がリバースプロキシになって社内システムにアクセスでブラウザだけで利用可能→社外からVPN機器にログインして表示される画面のアクセスしたいSVを選択してそのサーバと通信する
LBのセッション維持機能はL3(IP),L4(ポート),L7(cookie内のセッションID)の情報で実現する
LBは基本的にソースNATをしてくれる(そうでないとLBからPCに戻ってきたIPが不一致を起こしてPCが該当パケットを破棄してしまうから)
しかし上の流れによって送信元IPが全てLBのIPになってしまうためSVに接続したPCのIPが分からなくなってしまう→多くのLBではHTTPヘッダにX-Forwarded-Torという機能で変換前のIPも記載して送ってくれる
それ以外にもDSRというLBを経由した行きのパケットについて戻りでLBを経由せず直接PCに届かせる方法もある