ネットワーク方式

Quality of Service (QoS)

Quality of Service (QoS) とは、コンピュータネットワーク上の通信において優先制御や帯域制御を行う技術のことである。ある特定の通信のための帯域を予約して一定の通信速度を保証する。ルータやレイヤ3スイッチに実装されている。IP電話や動画配信など、通信の遅延が許されないサービスにとって重要な技術である。QoSは主に「優先制御」と「帯域制御」に分けられる。

優先制御は、パケットの優先度を決めて、優先度の高いパケットから順に送信する。パケットの優先度を決める方法は大きく分けて2つある。

帯域制御は、WAN回線への入り口などで、使用帯域が限られる場合や最低保証の値を指定するために用いられることが多い。

Remote Access Dial In User Service (RADIUS)

Remote Access Dial In User Service (RADIUS) とは、リモート・アクセス・ユーザーを認証する手法のひとつである。

データ通信と制御

OSI参照モデル

OSI (Open Systems Interconnection)参照モデル とは、通信プロトコルを階層構造で表したモデルである。

OSI参照モデル
レイヤ データ単位
レイヤ7 アプリケーション層 -
レイヤ6 プレゼンテーション層 -
レイヤ5 セッション層 -
レイヤ4 トランスポート層 セグメント
レイヤ3 ネットワーク層 パケット
レイヤ2 データリンク層 フレーム
レイヤ1 物理層 -
アプリケーション層

アプリケーションごとの固有の規定

プレゼンテーション層

データの表現形式の規定(文字コードなど)

セッション層

ツウ銀プログラム間の通信の確立、維持、終了の規定

トランスポート層

ノード間のデータ転送の信頼性を確保するための規定

ネットワーク層

ネットワーク間のエンドツーエンドの通信の為の規定

データリンク層

直接的に接続されたノード間の規定

ルーティング(経路制御)

データを適切に転送するために、どの経路(ルート)を通して転送すべきかを認識している必要がある。この情報のデータベースを「ルーティング(経路情報)テーブル」と呼ぶ。ルーティングには「スタティックルーティング」と「ダイナミックルーティング」の2種類がある。

Windowsでルーティングを確認するには、コマンドプロンプトから route printコマンドを実行する。

route print

スタティックルーティング

ダイナミックルーティング

経路制御プロトコル
IPv4 IPv6
RIP RIPng
OSPF OSPFv3
ISISv4 ISISv6
IGRP なし
BGP BGP4+

デフォルトルート(デフォルト経路)

デフォルト経路のIPv4アドレスは「0.0.0.0」である。ネットワークの経路情報は多いため、ルータがすべての経路情報を持つことは困難である。デフォルト経路でもって外側と内側を仕切り、未知のネットワークへのアクセスはデフォルト経路へ渡すようにしている。デフォルト経路制御により、経路情報をコンパクトにしている。一般のインターネット(プロバイダ)接続の場合のデフォルト経路は、その接点に位置するルータに設定する。

デフォルトルートのサブネットマスクは「0.0.0.0」である。そのため、通信相手の論理積(通信相手のネットワークアドレス)を計算すると、必ず「0.0.0.0」となり、ネットワーク宛先と一致する。

デフォルトゲートウェイ(デフォルトルータ)

ルータ以外の経路制御情報を理解できない機器の場合、どのルータと通信するべきか制御できない状況がある。そのような場合、経路情報を知っているルータのうちどれかをデフォルトゲートウェイ(デフォルトルータ)として設定しておくことで、いろいろなネットワークと通信できる。

スイッチングハブ

ネットワークの中継機器であるハブの一種。OSI参照モデルの物理層(第1層)に属する通常のハブと異なり、データリンク層(第2層)にて処理を行うため、レイヤ2スイッチ(L2スイッチ)とも呼ばれる。通常のハブはリピータとして働くため、ある端末から送られてきたデータをすべての端末に対して送信し、データの取捨選択は各端末が行う。これに対してスイッチングハブはブリッジとして働き、端末から送られてきたデータを解析して宛先を検出し、送り先の端末に向けてのみデータを送信する。このため、ネットワーク全体の負荷が軽減する。宛先を解析するために一時的にデータを蓄えるため、速度の違うネットワーク同士の接続にも使える。

RMON2プローブ

RMON2(Remote Networking Monitoring)エージェントが実装されている機器。

Network Address and Port Translation (NAPT)

Network Address and Port Translation (NAPT) とは、1個のグローバルIPアドレスを複数のプライベートIPアドレスで共有するネットワークアドレス変換技術のひとつ。NATと異なり、TCP/UDPのポート番号まで動的に変換されるため、ひとつのグローバルアドレスで複数のホストから同時に接続することができる。LinuxにおけるNAPTの実装を「 IPマスカレード」と呼ぶ。

Unnumbered

Unnumbered とは、ルータのWAN側ポートにIPアドレスを割り当てることなく、LAN側だけにIPアドレスを割り当てることで2台のルータをまるで1台のルータのようにする技術。これによりアドレスが節約できる。

通信プロトコル

通信プロトコルの一覧を示す。

通信プロトコル一覧
通信プロトコル 説明
ARP アドレス解決プロトコル(ARP: Address Resolution Protocol)とは、IPアドレスからイーサネットのMACアドレスを得るために用いられるプロトコルである。
BGP Border Gateway Protocol (BGP)とは、異なる管理ポリシが適用された領域間のエクステリアゲートウェイプロトコルである。ルーティングプロトコルは、大きくIGP(内部)とEGP(外部)の2つに分類できる。BGPはAS間の経路交換のためのEGPであり、経由するAS数が少ない形の経路が優先される。 Autonomous System (AS)とは、共通のポリシや同じ管理下で運用されているルータやネットワークの集合を意味する。各AS内では独立したIGPやポリシが運用されており、インターネットはこのASの集合体ととらえることができる。
CORBA
DHCP コンピュータがネットワーク接続する際に必要な情報を自動的に割り当てるプロトコル
HTTP
IP
TCP

ポート番号

Proxy DNS

LAN内端末からのDNSの問い合わせ内容をDNSサーバに代理で問い合わせ、DNSサーバからの応答内容をLAN内端末に代理で応答する。LAN内端末がDNSサーバに直接問い合わせる方法と比べ、DNSサーバの負荷を低減させることができる。

Internet Group Management Protocol (IGMP)

Internet Group Management Protocol (IGMP)とは、IPネットワーク上でマルチキャストを行うために、マルチキャストに参加するホストのグループを設定して、ネットワークに通知するための通信プロトコルである。

Internet Protocol Control Protocol (IPCP)

Internet Protocol Control Protocol (IPCP)とは、PPPリンクの上でIPを構成し、確立するためのNetwork Control Protocolである。

Internet Small Computer System Interface (iSCSI)

Internet Small Computer System Interface (iSCSI)とは、TCP/IPネットワーク上でSCSIプロトコルを実現する規格である。ネットワークに接続されたストレージデバイスが別の端末のローカルディスクとして認識される。接続される側はiSCSIターゲット、接続する側はiSCSIイニシエータと呼ぶ。iSCSI Qualified Name (IQN)でiSCSIターゲットを一意に識別する。

Lightweight Directory Access Protocol (LDAP)

Lightweight Directory Access Protocol (LDAP)はディレクトリ・サービスにアクセスするためのプロトコルである。

ITU-T勧告のX.500では,ディレクトリの利用者であるDUA(Directory User Agent)とディレクトリサービスを提供するDSA(Directory System Agent)とのあいだで情報を交換するための通信プロトコルとして,DAP(Directory Access Protocol)が規定されている。しかし,DAPはインターネットで利用するにはオーバーヘッドが大きすぎることから,IETFがX.500に準拠してインターネット上で利用できるように軽い通信プロトコルを策定した。これが,RFC1777で提唱されているLDAP(Lightweight Directory Access Protocol)である。LDAPは,TCP/IP経由でディレクトリ管理システムにアクセスするときに使用され,DAPの提供する機能のほとんどを低コストで実現できるように開発されている。

Network Time Protocol (NTP)

Network Time Protocol (NTP)は、ネットワークに接続される機器において、機器が持つ時計を正しい時刻へ同期させるための通信プロトコルである。UDPポートの123番を使用する。

Point-to-Point Protocol (PPP)

Point-to-Point Protocol (PPP)とは、主に電話回線でのインターネット接続に使われる通信プロトコルである。認証機能やIPアドレス配布機能、IP以外の上位層プロトコルにも対応可能、などの特徴がある。

PPPの通信は、リンク制御プロトコル(LCP: Link Control Protocol)とネットワーク制御プロトコル(NCP: Network Control Protocol)という2つの通信を使用している。

LCPによってパスワード認証プロトコル(PAP: Password Authentication Protocol)やCHAP(Challenge-Handshake Authentication Protocol)を使ってユーザー認証を行う。

ダイヤルアップ接続で用いるPPPで、ISPからIPアドレスを配布する際のプロトコルは、通常はDHCPではなく、IPCPを用いる。

PPP over Ethernet (PPPoE)

PPP over Ethernet (PPPoE)とは、イーサネットのフレーム(パケット)を用いてPPPフレームを運ぶものである。

PPPoEクライアントは、PPPoEサーバを探すためにPADI (PPPoE Active Discovery Initiation)パケットをブロードキャスト送信する。その後、PPPoEクライアントはPPPoEサーバにセッションの開始を要求するPADRパケットを送信する。

Routing Information Protocol (RIP)

Routing Information Protocol (RIP)とは、UDP/IP上で動作するルーティングプロトコルである。

RIPが経路情報を交換する際には、隣接するネットワークへ30秒ごとにレギュラーアップデート(更新メッセージ)をブロードキャストする。同様に、隣接するネットワークのほかのルータから30秒ごとにレギュラーアップデートを受信する。

IPsec (Security Architecture for Internet Protocol)

IPsecとは、データの改ざん防止や暗号化などの機能をIP層で提供する通信プロトコルである。セキュリティサービスを実施するために、IPsecにはSAとSPIという概念が導入されている。

Security Association (SA)とは、IPsecにおいて、セキュリティゲートウェイ間で構築されるトンネルのことである。IPsecにおけるSAでは、IKEという標準手順によって、暗号化方式の決定や鍵の交換、相互の認証が行われる。SAは定期的に更新され、身元の確認と暗号かぎの再発行・再交換が行われる。

Internet Key Exchange (IKE)とは、IPsecで暗号化通信を行うのに先立って、暗号鍵を交換するために利用される通信プロトコルである。その場限りの暗号化通信を行って、IPsecに必要な暗号化アルゴリズムの決定と暗号鍵の共有を行う。また、SAに有効期限を定め、自ら作り出したSAを監視し、有効期限の切れたSAを作り直す。

Security Parameter Index (SPI)とは、ESP、AHにおいてSAを識別するための識別子である。

Authentication Header (AH)とは、認証及び改ざん防止機能を提供するプロトコルである。

Encapsulated Security Payload (ESP)とは、ペイロード部(パケットのうちヘッダを除いた部分)を暗号化するプロトコルである。

改ざん検知 暗号化 IPヘッダを認証の対象と
AH あり なし する
ESP あり あり しない

IPsecによる通信には、大きく分けて「トンネルモード」と「トランスポートモード」の2種類がある。

トンネルモードは、IPsecによるVPN (Virtual Private Network)を利用するためのモードである。ヘッダを含めたパケット全体をデータとして認証又は暗号化して、新たなIPヘッダを付加する。ルーターがセキュリテイゲートウェイとなり、LAN上に流れるIPパケットデータを暗号化して、対向のセキュリティゲートウェイとの間でやり取りする。ルーターがIPsecに必要な処理をすべて行うので、LAN上の始点や終点となるホストには特別な設定を必要としない。

トランスポートモードは特殊なモードであり、ルーター自身が支店又は終点になる通信に対してセキュリティを保証するモードである。パケットデータ部のみを認証又は暗号化する。ルーターからリモートのルーターへTELNETで入るなどの特殊な場合に利用できる。

Internet Key Exchange Protocol Version 1 (IKEv1)では、フェーズ1とフェーズ2の2段階の手順で鍵交換を行う。

まず、IKEv1フェーズ1でIKE同士の認証と暗号交換を行う。IKEv1フェーズ2でIPsecの適用条件と鍵情報の交換を行う。鍵交換手順のアルゴリズムには「Diffie-Hellman (DH-MODP)鍵共有」などがある。

フェーズ2で生成されるIPsec SAの鍵情報は、原則としてフェーズ1で生成された共有鍵情報から生成される。しかし、複数個のIPsec SAをまとめて生成するような使用法の場合、すべてのIPsec SA情報がひとつの秘密鍵情報に依存するのは好ましくない場合がある。このような場合、IKEv1では、「Perfect Forward Security (PFS)」と呼ばれるオプション機能の利用が可能である。PFSは個々のフェーズ2交換時に新たなOakley鍵交換を行い、個々に異なった共有鍵を生成してIPsecの秘密鍵生成時に適用するものである。PFSは一般に通信秘匿性を向上させるが、処理負荷も向上させる。

Layer 2 Tunneling Protocol (L2TP)

Layer 2 Tunneling Protocol (L2TP)とは、インターネットなどの公衆回線上に仮想的にトンネルを生成し、そこを通じてPPP接続を確立することにより、VPNを構築するためのプロトコルである。

インターネット上のIPネットワークで使用されているIPにはPPPのような認証機能はない。一方で、PPPはWANのシリアル回線のように2点間がポイントツーポイント接続されている回線でしか利用できない。PPPoEではIP網でPPP認証を行うため、PPPフレームをIPデータグラムに埋め込み、カプセル化して送信を行い、認証サーバーの受信側でカプセル化解除を行うことにより実現している。

このように、ある通信プロトコル上で異なる通信プロトコルを透過的に伝送することをトンネリングと呼ぶ。PPPはL2(OSI参照モデル第2層)のデータリンク層であることから、この場合はレイヤ2トンネリングと呼ばれる。L2トンネリングの例を次に示す。

L2トンネリングプロトコル
プロトコル カプセル化対象 暗号化 備考
PPTP PPP MPPE Microsoft、3Com、Lucentが開発したプロトコル
L2F PPP - Ciscoが開発したプロトコル
L2TP PPP - PPTPとL2Fを統合してIETFが標準化したもの(RFC 2661)

L2TPには暗号化機能が無いため、L3トンネリングプロトコルであるIPsecを併用する。

Multicast Listener Discovery (MLD)

Multicast Listener Discovery (MLD)とは、IPv6ルーターで利用されるIPv6マルチキャストグループ管理プロトコルである。マルチキャストリスナの各IPv6ルーターが検知して、どのマルチキャストアドレスが必要かを探し出すことができる。IPv4においてのIGMPに相当するプロトコルである。

Maximum Transmission Unit (MTU)

Maximum Transmission Unit (MTU)とは、通信ネットワークにおいて、1回の転送で送信できるデータの最大値のことである。

経路MTU探索

経路MTU探索とは、パケット分割によるスループット低下を防ぐ技術である。送信元から宛先ホストまでを通過する各データリンクのMTUを調査することで、パケットが分割されない最大のサイズを採用する。送信元ホストがIPv4ヘッダのDF (Don't Fragment)ビットに1を設定したうえで、そのIPパケットを分割せざるを得ないことを判断した経路上のホストが、一つ先のデータリンクのMTU値を「ICMP到達不能メッセージ機能」によって、送信元ホストに通知することで実現する。

Simple Mail Transfer Protocol (SMTP)

Simple Mail Transfer Protocol (SMTP)は、インターネットで電子メールを転送するプロトコルである。

SSH File Transfer Protocol (SFTP)

SSH File Transfer Protocol (SFTP)は、Secure Shell (SSH)を利用したファイル転送プロトコルである。File Transfer Protocol (FTP)がネットワーク上に平文でパスワードやファイルを送信してしまうのに対して、SFTPではSSHの暗号や認証の技術を利用して、コンピュータ間でファイルを安全に送受信することができる。

Universal Plug and Play (UPnP)

Universal Plug and Play (UPnP)とは、機器を接続しただけで、ネットワークに参加することを可能にするプロトコルである。UPnPでサービスを提供する機器を「デバイス」、デバイスを検出して操作するコントローラを「コントロールポイント」と呼ぶ。「デバイス検索」、「グローバルアドレス通知」、「ポートマッピング追加・削除」などの機能がある。

Virtual LAN (VLAN)

Virtual LAN (VLAN)とは、レイヤ2スイッチのLANポートを論理的なグループにまとめ、そのグループ内だけで通信を行う「ポートベースVLAN」と、イーサネットフレームに「VLAN ID」を含めて制御する「タグVLAN (IEEE 802.1Q)」とがある。

IEEE 802.1Qでは、イーサネットフレームに12ビット幅のVLAN IDを付加し、VLANには1から4094までの番号を与える。VLANの構成を管理するプロトコルとしてGVRP (GARP VLAN Registration Protocol)がある。ポートVLANは、複数のポートを論理的なグループにまとめ、グループ内だけの通信を可能にする。

Virtual Router Redundancy Protocol (VRRP)

Virtual Router Redundancy Protocol (VRRP)とは、インターネット上でのルーターの冗長化をサポートするプロトコルである。

デフォルトゲートウェイのルータを複数用意し、ルータに冗長性を持たせる際に用いる。各クライアントに設定するデフォルトゲートウェイのIPアドレスとして仮想的な1個のIPアドレス値を設定し、ルータ間でそのIPアドレス値を共有する形をとる。

ネットワーク管理

ネットワーク運用管理(SNMP)

SNMPは、TCP/IPにおけるネットワークの管理プロトコルである。マネージャとエージェントが管理情報(MIB)を送受信してネットワークを管理する。

コミュニティ

装置状態を通知するSNMPメッセージをトラップと呼ぶ。

SNMPにおけるコミュニティとは、監視対象をグルーピングする概念であり、エージェント、マネージャ間でコミュニティ名を共有することで情報のやり取りを実現している。コミュニティ名とは、SNMPプロトコルでMIB値にアクセスるために必要なパスワードである。

SNMPv1及びSNMPv2では、コミュニティと呼ばれるグループの名前を相手に通知し、同じコミュニティに属するホスト間でのみ通信する。この時、読み出し専用と読み書き可能の2つのアクセスモードに対して別々にコミュニティ名を設定することができる。

管理サーバ(トラップ送信先)とターゲットサーバ(監視対象)の双方に同じコミュニティ名を設定する必要がある。

発行されたトラップをSNMPマネージャが受信するためには、両方が同じコミュニティ(管理グループ)に存在することが必要である。

コミュニティ名はSNMPエージェントとSNMPマネージャの間手MIBを取得する際に、相互で事前に設定したコミュニティ名を照合する認証用の情報である。

SNMPv3はコミュニティの概念を廃し、新たにUSM (User-based Security Model)とVACM (View-based Access Control Model)と呼ばれるセキュリティモデルを利用している。

USM (User-based Security Model)は、メッセージレベルのセキュリティ確保を行うモデルで、共通鍵暗号に基づく認証と暗号化、メッセージストリーム改竄に対する防御を行う。

VACM (View-based Access Control Model)は、SNMPメッセージのアクセス制御を行うモデルである。VACMではアクセスポリシーをユーザごとではなく、グループごとに定義する。

SNMPエンジンは、SNMPメッセージの送信、SNMPメッセージの認証と暗号化、管理対象オブジェクトへのアクセス制御のサービスを提供する。SNMPv3では、マネージャとエージェントをSNMPエンティティと表現する。SNMPエンティティはひとつのSNMPエンジンを持つ。

SNMP内部に存在する複数のコンテキスト(MIB実装)から一意に識別するためにコンテキスト名を指定する。

SNMPv3ではユーザ単位にアクセスできるMIBオブジェクトの集合を定義できる。このMIBオブジェクトの集合をMIBビューと呼ぶ。MIBビューは、MIBのOIDのツリーを表すビューサブツリーを集約することによって表現できる。集約する際には、ビューサブツリーごとにinclude(MIBビューに含む)またはexclude(MIBビューに含まない)を選択する。

ネットワーク応用

無線LAN

無線LANの主な規格
IEEE 802.11a
IEEE 802.11b
IEEE 802.11g
スポンサーリンク