8月26日(木)1コマ目

今日、やったこと

  • OSI基本参照モデル
  • ネットワーク接続機器
  • ファイアウォール

今日のホワイトボード

OSI基本参照モデル

OSI基本参照モデルは国際的な規格制定団体ISOがコンピュータ通信のプロトコルとして制定。あくまでも参照モデルであり、実際にこのとおりのプロトコルで動くモノはない。


OSI基本参照モデルはネットワーク接続機器の機能分類の際によく使われる。

図 OSI基本参照モデルとネットワーク接続機器

ネットワーク接続機器

ハブ、リピーター

OSI基本参照モデル1階の物理層の機能を持つ。

物理層だけなので、電気信号の処理しかできない。よって、入力信号を整形、増幅し、他ポートへ出力する。


スイッチ、ブリッジ

OSI基本参照モデル2階のデータリンク層までの機能を持つ。

要はイーサネットの機能を持つ。そのため、イーサネットヘッダを処理することができる

入力パケットのイーサネットヘッダを以下のようにチェック。

①送信元MACアドレスチェック

入力ポートと送信元MACアドレスを学習する。

どのポートにどんなMACアドレスのPCが接続されているかのデータベースを作成する。

②宛先MACアドレスをチェック

作成したデータベースから宛先MACアドレスが接続されているポートを確認。

データがあれば、そのポートだけに出力。なければ全ポートに出力。


※出力ポートを制限するのは、不要なパケットを送信しないため。


ルーター、L3スイッチ

OSI基本参照モデル3階のネットワーク層までの機能を持つ。

要はIPの機能を持つ。そのため、ルーティングができる。


ゲートウェイ

OSI基本参照モデル7階のアプリケーション層までの機能を持つ。

ファイアウォールはゲートウェイの一種。


ファイアウォール

ファイアウォールの仕事はパケットをフィルタリングすること。

パケットをフィルタリングするために、フィルタリングルールをあらかじめ作成する。


ファイアウォールのフィルタリングルール作成の演習問題をやりました。

問1

図 ファイアウォール 演習問題 問1

問2

図 ファイアウォール 演習問題 問2


フィルタリングルール作成について

[基本パターン]

行き、帰りの両方のパケットのルールを作成する。


[ステートフルインスペクション機能あり]

行きのパケットのルールを作成すると、F/Wが自動的に帰りのパケットのルールも作成する。


DMZ

インターネットからのアクセスの可否でゾーンを分ける。

ゾーン アクセス 接続機器
WAN

WAN->LAN : NG

LAN->WAN : OK

WAN->DMZ : 一部OK

DMZ->WAN : OK

 インターネット
LAN

WAN->LAN : NG

LAN->WAN : OK

LAN->DMZ : OK

DMZ->LAN : 一部OK

 社内PC等のクライアント
DMZ

WAN->DMZ : 一部OK

DMZ->WAN : OK

LAN->DMZ : OK

DMZ->LAN : 一部OK

 インターネットから直接アクセスされるサーバー類

図 ファイアウォールによるゾーン分け


次回は

ネットワーク接続機器、ファイアウォールのテストをします。



 

コメント

新しいコメントは書き込めません。

このブログの人気の投稿

8月18日(水)1コマ目

イメージ
今日、やったこと TCPのスライディングウィンドウ 今日のホワイトボード 受信応答なしでデータを送信する TCPは基本的に、 データ送信 受信応答を受け取る データ送信 と、受信応答を受け取って次のデータを送信します。 が、これでは効率が悪い。そのため、 受信応答を受け取らずに連続してデータを送信することができる ようになっています。 図 受信応答なしで連続データ送信可能 受信データを一時保存するバッファ 受信データはバッファに一時保存され、処理されるまで待ちます。 TCPはこの バッファがいっぱいになるまで連続してデータを送信します 。 受信側は自分の空きバッファサイズを送信側に伝えるために、 TCPヘッダのウィンドウサイズで空きバッファサイズを通知 しています。   図 TCPヘッダのウィンドウサイズで自分の空きバッファサイズを通知する バッファサイズは変わる いきなり大量のデータを送信されても、処理できない可能性があるので、初めはバッファサイズを少なめに通知します。 図 ウィンドウサイズははじめ少な目、徐々に増やす 送信側の問題 相手の空きバッファサイズまでは連続してデータを送信できますが、これを簡単に実現する仕組みが用意されています。それが スライディングウィンドウ です。 ウィンドウは窓です。送信データの上に窓があり、窓がある部分のデータを送信します。 ウィンドウは受信側から通知される確認応答番号、ウィンドウサイズで変化します。 ウィンドウは確認応答番号からウィンドウサイズ分になります。 受信応答を受け取ると、確認応答番号も変わるため、窓も移動していきます。データの上の窓が移動(スライディング)しながら、窓の部分のデータが送信されるイメージです。 このイメージからスライディングウィンドウと呼ばれています。 図 TCPヘッダのウィンドウサイズ=空きバッファサイズ=相手のウィンドウの大きさ
続きを読む

6月7日(月)2コマ目

イメージ
今日、やったこと ルーティングテーブルからパケットの経路をたどる 今日のホワイトボード 演習内容 ネットワークは下図のとおり。 図 ネットワーク図 ルーティングテーブルは以下のとおり。 図 ルーティングテーブル その1 ホストA -> ホストB 図 ホストA -> ホストB ①ホストAでルーティング ホストAで作られたホストBあてパケットをIPがルーティング。 ホストAでルーティングした結果、  ホストA  から  ルーター1のポート2 へ送信 することに決定。ホストAのイーサネットがパケットをルーター1のポート2へ送信。 ②ルーター1でルーティング ルーター1に到着したパケットをルーター1のIPがルーティング。 ルーター1でルーティングした結果、  ルーター1のポート3 から ホストB へ送信 することに決定。ルーター1のイーサネットがパケットをホストBへ送信。   ここからはルーティングテーブルを変更。 図 ルーティングテーブル その2 ホストA -> ホストB ①ホストAでルーティング ホストAで作られたホストBあてパケットをIPがルーティング。 ホストAでルーティングした結果、  ホストA  から  ルーター1のポート2 へ送信 することに決定。ホストAのイーサネットがパケットをルーター1のポート2へ送信。 図 ホストAでルーティング ②ルーター1でルーティング ルーター1に到着したパケットをルーター1のIPがルーティング。 ルーター1でルーティングした結果、  ルーター1のポート1  から  ルーター2のポート1 へ送信 することに決定。ルーター1のイーサネットがパケットをルーター2のポート1へ送信。 図 ルーター1でルーティング ③ルーター2でルーティング ルーター2に到着したパケットをルーター2のIPがルーティング。 ルーター2でルーティングした結果、  ルーター2のポート2  から  ホストB へ送信 することに決定。ルーター2のイーサネットがパケットをホストBへ送信。 図 ルーター2でルーティング ホストC -> ホストA ①ホストCでルーティング ホストCで作られたホストAあてパケットをIPがルーティング。 ホストCでルーティングした結果、  ホストC  から  ルーター2のポート3 へ送信 することに決定。ホストCのイー...
続きを読む

5月31日(月)2コマ目

イメージ
今日、やったこと IPアドレス、サブネットマスク、ネットワークアドレス、ブロードキャストアドレスのテスト IPのルーティング 今日のホワイトボード IPのルーティング ルーティング=経路制御 です。 経路制御とはパケットがとおる経路を決めることです。 IPのルーティングは 送信元で宛先までの経路を決定しない 行った先々でルーティングをして、宛先にたどり着く  です。 図 IPのルーティング そもそもIPが生まれたのは1960~70年代で、ネットワークのケーブルの品質もいまいちな時代でした。そのため、「もしケーブルが断線したら」のときのことを考えて、送信元で宛先までの経路を決めず、途中のルーター(パケット交換機)で経路を決めて、一歩ずつ宛先にたどり着くスタイルを採用したわけです。 ルーティングのやりかた ルーティングに使うのは パケットのIPヘッダ中の宛先IPアドレス ルーティングするPCやルーターが持っているルーティングテーブル を使います。 図 ルーティングのやりかた ルーティングテーブルは 宛先 マスク インタフェース ゲートウェイ の4列。 1行ずつ、順に評価(評価方法は下のとおり)し、マッチした時点で終了 パケットのIPヘッダ中の宛先IPアドレスをルーティングテーブルのマスクのビットが1のところはそのまま、0のところは0にする。(ネットワークアドレスを求める計算と同じ) 結果とルーティングテーブルの宛先を比較。 一致する場合は、「インタフェース」列から「ゲートウェイ」列へ送信。 一致しない場合は、次行で同じことをする。 次回の予告 今日のテストと同じ範囲のテストをします。
続きを読む