◆　SSL/TLSセッションのハンドシェイク SSLクライアントとSSLサーバとでやりとりされるメッセージのなかで、以下のメッセージについては やりとりを省略した通信が行われる場合もあります。 ・　Server Certificate ・　Server Key Exchange ・　Certificate Request ・　Client Certificate ・　Certificate Verify 例えば、クライアント証明書を使用しないSSL通信であれば「Client CertificateとCertificate Verify」が省略。 ◆　SSL/TLSのメッセージ ・　Client Hello SSLの通信開始をクライアントからサーバに通知するメッセージ。メッセージに含まれている内容は以下です。 ⇒　SSL/TLSのバージョン、乱数、セッションID、クライアントが利用できる暗号

◆　無線LAN（Wi-Fi）とは 無線LANはLANケーブルを必要としないイーサネットの通信技術です。無線LANの特徴は以下の通りです。

◆　リンクアグリゲーションとは リンクアグリゲーションとは、複数の物理リンクを束ねて1つの論理リンクとして扱うことのできる技術の ことです。リンクアグリゲーションは、通信時に複数の物理リンクを同時に使用できることから、下図では 2ポートのGigabitEthernetポートをリンクアグリゲーションしているので 1Gbps×2 = 2Gbps の帯域幅で 通信することができます。 リンクアグリゲーションを使用せず2本のケーブルでスイッチ間を接続すると、スパニングツリーが有効なら ループが発生しないようにブロッキングポートが発生して、1Gbpsしか通信に使用できなくなります。ゆえに 2台のスイッチ間で冗長リンクを設ける場合、リンクアグリゲーションを使用するのが一般的です。ちなみに リンクアグリゲーションはIEEE802.3adで標準化され、CiscoではEtherChannelという用語を使用

◆　IPv6 の PINGコマンド IPv4アドレスの場合、1つのインターフェースに1つのIPアドレスが設定します。一方、IPv6アドレスの場合、 1つのインターフェースに複数のIPアドレスが設定されます。通常、自動で設定されるリンクローカルアドレス とグローバルユニキャストアドレスの2つが設定されます。IPv6でPINGを実行する場合、先ずはそのローカル セグメント上で疎通できるか確認するために、隣接ルータのリンクローカルアドレス宛てにPINGを実行します。 リンクローカルアドレスでPINGを実行する場合には、どのインターフェースからIPv6パケットを送出するのか 指定する必要があります。例えば下図構成では、以下のように ping ipv6 コマンドを実行する必要があります。 グローバルユニキャストアドレスにPINGを実行する場合、アウトプットインターフェースの指定は不要です。 ちなみに

◆　OSPF - エリアとは OSPFのエリアは「LSAを交換する範囲を示す論理グループ」のことです。つまり、「同じLSDBを持つOSPF ルータの論理グループ」とも言えます。各エリア内では詳細なリンクステート情報を保持しますが、エリアの 分割により異なるエリアには集約した情報だけを通知すればよく、LSAのフラッディングを限定的にできます。 その結果、OSPFルータの負荷が軽くなります。このエリアの範囲は管理者が手動で定義することができます。

◆　OSPF - LSAタイプ LSAは、OSPFルータのLSDB（リンクステートデータベース）を作成する上で基礎的な要素となります。 LSAタイプには「1 ～ 11」までありますが、Ciscoルータでサポートしているのは「 1 ～ 5、7 」です。 LSAタイプによって、エリア内だけでフラッディングされるもの、ABRを越えてフラッディングされる ものがあります。各LSAタイプが、どのような範囲で、どのような情報を通知するのかを見ていきます。 ◆　OSPF - LSAタイプ 1 LSAタイプ1は、自身のエリア内でのみフラッディングされます。LSAにはOSPFルータID、リンクの数、 各リンクの詳細情報（IPアドレス、コスト値等）が含まれています。LSAタイプ1は全てのOSPFルータが 生成します。ルーティングテーブルでは、LSAタイプ1の経路情報は「Ｏ」のコードが付けられています。 LSA

◆　ルート再配布とは 企業ネットワークでは、複数のルーティングプロトコルが使用されていることが多くあります。ルータの デフォルト設定では、あるルーティングプロトコルで学習した経路情報は、別のルーティングプロトコル のルートとしてアドバタイズされません。例えば、R1とR2で学習されているOSPFの経路情報は、R3に アドバタイズされません。R3とR2で学習されているEIGRPの経路情報は、R1にアドバタイズされません。 あるルーティングプロトコルで学習した経路情報を、異なるルーティングプロトコルのルートとして通知 させるためには、ルート再配布を行う必要があります。ルート再配布はルーティングプロトコルの境界に 位置するルータ（R2）で行います。ルート再配布により双方のネットワークに通信できるようになります。 ◆　ルート再配布を使用する構成 企業合併に伴いネットワークを統合するにあたり、A社では

◆　DSCP（Differentiated Services Code Point）とは DSCP（Differentiated Services Code Point）は、IP Precedenceと同じようにIPパケットに優先度を 付加するために使用します。IP Precedenceでは、IPヘッダのToSフィールド（8bit）のうち3bitを使用 していましたが、DSCPでは、diffservアーキテクチャで再定義されたToSフィールド（8bit）のうち6bit をその値に使用します。 IP Precedenceは「0～7の8段階」の優先度をつけられることに対して、DSCPでは「0～63の64段階」の 優先度を定義することができることから、DSCPでは、より細かく優先度付けが行われます。DSCPによる IPパケットへのマーキング方法（優先度付けの方法）は、IP Precedenceと

◆　IGMPスヌーピングとは IGMPスヌーピングとは、IGMP Joinメッセージを盗み見（スヌーピング）することにより、参加したい マルチキャストグループのアドレスを識別して、どのスイッチポートにどのマルチキャストグループの Receiverがいるのか認識できることから、適切にマルチキャストパケットを転送できる機能のことです。 IGMPスヌーピング機能の必要性を理解するために、まずスイッチのデフォルトの動作を見てみましょう。 ◆　フラッディングするL2スイッチの問題 L2スイッチのデフォルト設定では、ブロードキャストフレーム同様にマルチキャストフレームを同一の セグメント上の全てのポートにフラッディングするので、無駄なトラフィックが発生してしまいます。 下図で、192.168.0.13 が「239.1.1.5」のマルチキャストパケットが欲しいとIGMP Joinメッセージを 通知したと

◆　GNS3：ダウンロード方法 ： GNS3のダウンロード方法、PCの動作要件 ◆　GNS3：インストール方法 ： GNS3 X.X.X all-in-one のインストール方法 ◆　GNS3：設定方法、操作方法 ： Cisco IOS Routerテンプレートの作成方法 ◆　GNS3：設定方法、操作方法 ： Cisco IOS Routerの起動、I/F接続、保存方法 ◇　GNS3で検証する上で役立つ解説 ◆　GNS3：TeraTerm Pro の使用 ： TeraTerm Proをコンソールで使用する方法 ◆　GNS3：Wireshark の使用方法 ： GNS3のルータ間のパケットキャプチャの方法 ◆　GNS3：Ethernetハブ、スイッチの使用方法 ： ハブ、L2スイッチの使用方法 ◆　GNS3：VPCS（Virtual PC Simulator）の使用方法 ： 仮想PC（IPv

◆　ケルベロス認証とは ケルベロス認証とは、ネットワーク認証方式の1つでありサーバとクライアント間の身元確認のために使用 するプロトコルです。Kerberosはクライアントとサーバとを相互認証できるだけでなくデータ保全のために クライアントとサーバ間の通信を暗号化します。現在ではKerberosバージョン 5 が主に使用されています。 そのため、Kerberosは「 KRB5 」とも呼ばれています。 KerberosはWindows Server Active Directoryのユーザ認証の際に使用しているプロトコルとして有名です。 なお、Active Directoryは単一のサービスではなく、主な機能だけでも3つのプロトコルが使用されています。

LLDPは、隣接機器の検出に際してTLVと呼ばれるタイプ（Type）長さ（Length）値（Value）の属性を を使用してネイバーから情報を認識することができます。LLDPで送信する「必須のTLV」は次の3つです。 ・　Chassis ID ・　Port ID ・　Time To Live 以下の5つのTLVについてはオプション（Optional）となります。 ・　Port Description ・　System Name ・　System Description ・　System Capabilities ・　Management Address

◆　メトリックとは 複数のルーティングプロトコルが動作していて、複数の情報源により得られた宛先ルートが複数ある場合は AD（administrative distance）値に従い、1つの最適な宛先ルートがルーティングテーブルに登録されます。 そして、ある1つのルーティングプロトコルで得られた宛先ルートが複数ある場合、メトリックの値が小さい 経路が最適な宛先ルートとしてルーティングテーブルに登録されます。このメトリックを以下で説明します。 下図では「172.16.1.0/24」から「172.16.4.0/24」という宛先ネットワークへは、2つの通り道があります。 1つは「R1 ⇒ R2 ⇒ R3」という経路、もう1つは「R1 ⇒ R4」という経路。下図の各ルータにてRIPが有効な 場合、RIPではメトリック値にホップ数（ルータから宛先ルートまでに経由するルータの数）を使用すること になりま

◆　VRRPとは VRRP（ Virtual Router Redundancy Protocol ）は、デフォルトゲートウェイなどを冗長化するための RFC3768で標準化されたプロトコルです。VRRPは、デフォルトゲートウェイとなる Layer3 デバイスに IPアドレスとMACアドレスを共有させることができるので、PCなどの「デフォルトゲートウェイのパスを 冗長化」させることができます。VRRPはIETF標準プロトコルなのでマルチベンダー環境で実装できます。 VRRPを使用することで、物理的には2台あるルータが論理的（仮想的）には、1台のルータに見せられます。 下図で、R1とR2でVRRPを実装しています。ホストAのデフォルトゲートウェイのIPアドレスは、R1やR2の 物理IPアドレスではなく仮想IPアドレス（VIP）を指定する。ホストAからパケットを受信した仮想ルータは 物理的には

◆　IPv6 - RA（Router Advertisement）の設定コマンド IPv6ホストが、ステートレスのIPアドレスの自動設定をする上で必要となるIPv6ルータからの RAメッセージの各パラメータを以下のコマンドで調整することができます。 ◆　IPv6 RAメッセージの送信インターバルの設定 (config-if)# ipv6 nd ra interval maximum-secs [minimum-secs] | msec maximum-ms [minimum-ms]

◆　ARPスプーフィングとは ARPスプーフィングは、正規のクライアントからのARP要求に対して、攻撃者が「不正なARP応答」を ブロードキャストすることでLAN上の通信機器になりすます攻撃手法のことです。これにより、正規の クライアントは意図しない通信相手にトラフィックを転送する結果、情報を盗聴される恐れがあります。 ①　正規のクライアントは、デフォルトゲートウェイのルータにパケットを転送するべくARP要求を送信。 ②　ルータは正規のARP応答を送信して、自身のIPアドレスに対するMACアドレス情報を送信。 ③　不正なクライアントは連続して、不正なARP応答（ 偽装したARP応答 ）をブロードキャストで送信。 ④　正規のクライアントは、不正なARP応答を受信して攻撃者のMACアドレスをARPテーブルにキャッシュ してしまう結果、攻撃者にパケット転送してしまい、トラフィックを盗聴されてしま

◆　DNSとは DNS ( Domain Name System ) は、ドメイン名（コンピュータを識別する名称）をIPアドレスに自動的に 変換してくれるアプリケーション層プロトコルです。DNSの仕組みにより、覚えにくいIPアドレスではなく ローマ字でURLを入力しWebアクセスしたり、ローマ字でメールアドレスを入力してメール送信ができます。 DNSの仕組みがないと、例えばYahooのWebサーバにアクセスするために https://www.yahoo.co.jp/ と 入力するのではなく「https://192.168.100.212」のようにIPを入力しアクセスすることが必要になります。 ◆　ドメイン名の構造 DNSはドメイン名をIPアドレスに変換してくれるのですが、先ずそのドメイン名の構造について解説します。 ドメイン名は、コンピュータを識別する名称のことです。ドメイン名はホスト名や

◆　ARPとは ARP（Address Resolution Protocol）は、IPアドレスからEthernetのMACアドレスの情報を得られる プロトコルです。LANに接続されたコンピュータ間で通信するためには、IPパケットは下位のレイヤで L2ヘッダが付加された上で伝送されることからMACアドレスの情報が必要となります。しかしこれらの IPアドレスとMACアドレスは自動的な関連づけがないので、ARPでMACアドレスを得る必要があります。 ※　TCP/IPを利用したコンピュータのLAN通信では、IPアドレスとMACアドレスの2つのアドレスが分かることで通信できます。 ◆　ARPの仕組み ARPには「ARPリクエストとARPリプライ」という2種類のパケットがあります。ARPは、これら2種類の パケットを利用し、宛先となるIPアドレスを持つノードのMACアドレスの情報を得ます。例を見てみ

◆　Ethernetタイプ番号 ( Ethernet Type Number ) Ethernetタイプ番号は、上位層のプロトコルを識別するための番号のことでありEthernetヘッダの16ビット の情報です。例えばタイプ番号が 0800 の場合はIP、0806 の場合はARPとなります。この番号は16進数で 表示されます。以下は主要なタイプ番号表です。なお、タイプ番号の最新情報はIANAサイトで確認できます。

◆　MPLSとは MPLS（ Multi-Protocol Label Switching ）は、ラベルと呼ばれるタグを使用したパケット転送技術です。 MPLSではIPv4、IPv6、IPXなど様々なプロトコルに対応したラベルを付加しデータをスイッチングできます。 MPLSはIP-VPNと呼ばれるキャリアのWANサービスで使用されていることで有名です。なお、IP-VPNでは レイヤ3のIPv4パケットをラベル付けし網内でラベルスイッチングしていることから、IPv4しか使えません。 ※　ラベルの付加方法にはフレームモード（パケットモード）とセルモードの2種類がありますが、上図はフレームモードが前提。 MPLSでは、20byteのIPヘッダを参照したIPルーティングではなくて、4byteのMPLSヘッダのみを参照した ラベルスイッチングが行われるため、IPルーティングよりルータの処理を軽減した