3.3 LAN間接続
3.3.1 LAN間接続の概要
■セグメント
LANの基本構成は、PCとかプリンターとかであるが、この基本構成をセグメントとよび、セグメント同士を接続する機器がLAN間接続機器であり、中継を行うOSI層に対応して、リピーター、ブリッジ、ルーター、ゲートウェイなどがある。
■中継機器の種別
各中継機器はヘッダーを見て処理をする。
スイッチ
L2:MACアドレス(Ethernetヘッダーを見る。)
L3:IPアドレス(EthernetヘッダーとIPヘッダを見る。)
L4:ポート番号(TCP/UDPヘッダーを見る。)
L7:アプリケーションヘッダ(アプリケーションヘッダを見る。)
■PPS
Packet Per Second
・Ethernetフレームの最小の長さ:64バイト
・CSMA/CDの制御情報、待ち時間:20バイト
計 84バイト(=672ビット
100Mbpsのポート
100M=1億/672ビット)≒ 148810pps(ワイヤスピード、回線速度)
※14万8810パケットを1秒間に処理する
3.3.8 NIC
NICに対する要求事項
・対応速度/メディア
・全二重通信/フロー制御(IEEE802.3X)
・自動ネゴシエーション(IEEE802.3u)
・CPU使用率
・全ポートの伝送速度の総和を上回る処理能力(バックプレーン能力)
NICに要求される事項は、スイッチングハブに要求される。
3.3.2 リピーターハブ
信号の増幅、整形用の装置。
リピーター回路、MAUトランシーバー、RJ-45
より構成される。 (MAU: Media Attachment Unit)
■ スタック接続
MDIポートとMDI-Xポートからなり、MID-Xポートをストレートケーブルで接続する。
・10Base-Tは4段セグメントで10Base-Tは2段3セグメント。 この制限は、ネットワーク内のパケットのコリジョンが検出できる範囲の制限によるもの。
・ リピーターハブのみで構築されたネットワークは、同一のサブネットと見なされる。 つまり、ブロードキャストドメインとコリジョンドメインが同じ。
・ 通信は半二重
・ 実際の機器の表示例
LINK 接続状態
100 100Mbps接続
ACT Activity。 データの送受信状態
COL データの衝突
Tx, Rx データ
3.3.3 スイッチングハブ
(1) 概要
・ リピーターハブに2つのネットワークセグメント(コリジョンドメイン)を相互に接続できる状態であるブリッジ機能を追加したもの。 ブリッジの進化形と言える。
・ Ethernetヘッダーの中のMACアドレスにより、どのコネクションポートに信号を出すのか、自らのアドレステーブルで決めている。
■ コリジョンドメイン/ブロードキャストドメインからみたリピーターハブとの違い。
<リピーターハブを使用>
<スイッチングハブを使用>
■ パケットの転送方法
この方式はストアアンドフォワード型
(カットアンドスルー方式というものもあった。)
FCS(Frame Check Sequence)を見て、エラーチェック
・ エラーがあったら転送しない。
・ 処理時間は1〜2マイクロ秒
・ 受信パケットを全てバッファに格納し、FCSを見てパケットエラーをチェック
・ エラーフレームチェックは、Ethernetフレームの最小の長さで統計的に64バイトまで確認すれば良い。
■ Ethernetフレーム
(2) スイッチングハブの構造
メモリーにアドレステーブルが記憶されている。
(3) 機能と特徴
@ MACアドレスの学習により、特定のスイッチの物理ポートに対してのみパケットを送信できる。
A カスケード接続の制限が無い。
B 全二重通信が可能。(半二重通信も可能) 半二重/全二重の判断は、接続するNICの機能と照会を行うオートネゴシエーションという機能で行う。
C フローコントロール
速度の違うクライアントが接続されると、データの受け渡しに支障がでるので、この機能で対応。
擬似的な信号をクライアントに送ることにより、データの送信量を調整する。
D SNMP(RFC1157)を搭載すると、インテリジェントスイッチと呼ばれる。 大抵は、RS-232Cが備えられている。
E PPS(packet per second)という指標で速度が表わされる。
F VLAN機能(Virtual LAN)を持っている。
1) ポートベースLAN
物理ポートを単純にグループ化して分けること。
グループA、B、C内の通信は可能。 自分のグループ以外とは通信不可。
もし、通信するならば、ルーターが必要。
2) タグ付きVALN(VLANタギング)
IEEE802.1Q
Ethernetフレームに4バイトのタグヘッダ(VLAN識別子)をつける。 識別子に応じたポートにパケットを転送できる。
G ネットワークの冗長化構成が可能な「スパニングツリー」
物理的に配線は1つのL2スイッチに対してそれぞれ二重化されているが、転送出来ない経路(ルートB)を作る事が出来る。
H リンクアグリケーション(ポートとランキング、ロードシェアリング)機能 IEEE802.3ad
物理的に複数のケーブルを1つに束ねる事によって、広帯域を確保する。 冗長化にも役立つ。
I ポートミラーリング機能
特定のポートを経由するフレームを、ネットワークア
ナライザーなどを接続する別のポート(ミラーリングポート)にもコピーして転送する機能。
#1のポートはミラーリングポートの必要がある。
J QoS機能 (IEEE802.1p)
8段階までの優先順位の設定が可能。 (実際の製品では4段階迄程度が多い。)
K SNMP機能
[SNMPエージェント] ===SNMP===[SNMPマネージャー]
管理情報(スイッチングハブの設定情報、トラフィック量、エラー回数など)はMIB(Management Information Base)というデータベースになっている。
3.3.3 L3スイッチ
(TTL= 225 (普通)、 プロトコル: 1 (ICMP)、 6 (TCP)、 1 (UDP))
L3スイッチの出現の背景に、ソフトで処理するルーターの祖h理が追いつかななくなった為に、ボトルネックと成った。 よって、これを解消するために、ASICを使ったL3が登場した。 IPヘッダ情報置き換え作業は、L3がルーターの5倍の性能がある。
※メリット:
VLAN構築、大規模なネットワークをワークグループ単位に整理する。
※ L2とL3との比較
ブロードキャキャストパケットは全体の5〜6%程度
3.3.3 ルーター
3.3.3.1 OSIとルーターの役割
OSI参照モデルとルーター
そもそもルーターの役割とは、
1) 異なるネットワーク(ネットワークアドレスが異なる)にパケットを中継する。
2) 1つの大きなネットワークを複数のより小さなネットワークに分割する。(LANの分割)
3) パケットのルーティング(経路選択)
4) アドレス変換
5) フィルタリング、セキュリティー
がある。
■ ルーターの種類
ルーターの種類は、何種類課の分け方もあるが、ローカルーターとアクセスルーターに分けられる。
・ ローカルルーター:LAN内でルーティング。 インターフェースはイーサネットだけ。
・ アクセスルーター:WANやインターネットでルーティング。 インターフェースにはイーサネット、ISDN、高速デジタル回線、ATM等々がある。 機能として、RAS機能(Remote Access Server)、VPN機能、Radiusサードクライアント、SNMP、動的ルーティングがある。
※ Radius: Remote Authentication Dial User Service
3.3.3.1 ルーターの処理能力
※ パケットの処理能力
10Mbps、10Base-Tを利用すると、14,881秒のパケットが流れる。
10,000,000ビット/672bit ≒ 14,881
レガシールーターでCPUが2000インストラクション必要。 ということは、14,881 x 2000 = 29,762,000で約3000万インストラクションがCPUの処理能力として求められる。
3000万インストラクションとは、30MIPSである。
1000Mbpsならば、3億インストラクション、300MIPS
ペンティアムIV(2.2GHz)で4000MIPS
4000MIPS/400MIPS ≒ 13ポート
100Mbpsならば13ポートでぎりぎり
■ インターフェースの例
(ネットボランチ、YAMAHA)
金額によるルーターの機能の違い
設定項目 |
安価 |
高価 |
IPアドレス |
〇 |
× |
ポート |
〇 |
〇 |
プロトコルの種類 |
(×) |
〇 |
パケットの方向 |
(×) |
〇 |
ログ出力 |
× |
〇 |
ダイナミックパケットフィルタフィタリング |
× |
〇 |
不正侵入検知 |
× |
〇 |
3.3.3.1 ルーターのルーティング
(1) 経路表(ルーティングテーブル)で次の宛先(パケットを送信する相手)を見る。
■ ルーティングテーブルの項目
・ 宛先のIPアドレス
・ ゲートウェイのIPアドレス
・ ネットマスク
・ メトリック
・ インターフェースの対応(ネクストホップ)
DOS窓ならば、"routeprint(1 more)"
(2) ルーティングプロトコル
@ 静的ルーティング
A 動的ルーティング
・ RIP (Routing Information Protocol)
・ OSPF (Open Shortest Path Find)
・ BGP-4
(3) RIP
1) ルーティングテーブルのルーター間での交換
2) ホップ数は最大16(15以下のみ可)
3) 収束するのに時間がかかる。
4) 実際的には、50程度のクライアントで用いられる。
(4) OSF
1) エリアとバックボーンの階層の概念
2) リンク情報のみを交換
3) ホップ数の制限無し
4) リンク情報はLSA(Link State Advertisement)
(5) BGP-4
1) サービスプロバイダー間のルーティング
3.3.3.2 アドレス変換
・ グローバルIPアドレス間のみでグルーバルIP空間は相手を特定できる。
・ グローバルIPとプライベートIPは通sン出来ない。(型通信)
アドレス変換には、NAT、NAPT技術が基本としてある。
NAT: Network Address Translation
[1 Global IP Address]対[1 Private IP Address]
NAPT: Network Address and Port Translation
[1 Global IP Address]対[多Private IP Address]
・ 動的NAPT:接続毎にダイナミックにポートを割り振る。
・ 静的NAPT:固定的にポートとIPアドレス(プライベート)を割り振る。
[1] LANからの接続要求の例
※そもそもポート番号とは、OSが送られて来たデータをアプリケーションに渡す場合為の識悦番号。 0〜65535番(TCP/IPがこの番号を元に管理している。)
1〜1023
1024〜65535
LAN内は、1024〜49151番を利用。
[2] WAN側からの接続要求
ルーターのIPアドレス [LAN|WAN]
[192.168.0.2]|[210.153.221.45]
ルーティングの設定
LAN:192.168.0.2(クライアントPCのIPアドレス)
WAN:210.140.231.23 (WebサーバーIPアドレス)
※DMZ: Demilitarized Zone
ポート番号に関係なく、インターネットから接続要求のあったすべてのパケットを、設定されたIPアドレスをもつマシンに転送させる。
※AT/NAPTは、インターネット側からLAN側のマシンを隠す程度のセキュリティー度合いであるが、それなりのセキュリティーにはなる。
※ ルーターを越えられない理由
1) ポート閉鎖:
パケットフィルタリングで利用するパートを開けたり閉めたり、DMZの機能をつかう。
2) アドレス変換不備
3) プライベートIPアドレス非認識:
VPN構築、モデムにマシン直結など
4) 接続先が動的ポート割当:
ポート設定見直し、DMZ機能利用(セキュリティーが犠牲になる場合あり。)
※ GapNAT
住友電気工業製品プロトコル
Global Address Proxy with Network Address Translation
GapNATとは、ブロードバンドルーターのWANインターフェースにISPから割り当てられたIPアドレスを、DHCP機能でLAN側の端末に対しても割り当てるというもの。 WAN側から見えるのは、ルーターのWAN側インターフェースのみだが、そこに届いたパケットをLAN側の同じグローバルIPアドレスをもつマシンに転送することで、メッセンジャーなどのアプリケーションに直接インターネットに接続しているように見せかけられる。 DMZの構築も容易となる。 但し、同時に使えるマシンは一台だけという制約はある。
そもそも、NATでは、セキュリティー向上の為、グローバルIPとプライベートIPとは1対1の関係であり、複数の端末が使えない。 そして、NATであると特定のアプリケーションが使えないという制約がある。 基本的に、グローバルIPがあれば通信できないアプリケーションは無い。 また、アプリケーションサーバーを立てれば、特定のアプリケーションが使えないという制限は解消されるが、それとは違う方法がこのGapNATということ。 名前からして、サーバーのような機能である。
ルーターにISPのBAS等から付与されたグローバルIPを端末マシンに付与するものである。 こうすると、端末はグローバルIPが割り振られたので、通信に制限はなくなる。(しかし、同時にセキュリティーが危険となる。) 但し、このグローバルIPアドレスが割り当てられるのは、最初にDHCPでプライベートIPを割り振られたPCだけ。
厳密には、グローバルIPが割り振ってあるPCも同じIPアドレス、同じポートに"書き換えられて"いる。 よって、NATはされているが同じものに書き換えられている。 この書き換えにより、グローバルIPが与えられているマシンもセキュリティーが保たれる。 よってGapNATというようにNATという言葉がついている。
以下の例は、LAN型PPPoE接続時の場合。 これは、マルチGapNAT機能という複数のPCが使える場合である。
※LAN型PPPoE接続とは、複数のグローバルIPアドレスをPPPoEで認証して割り当てることである。
LAN型接続に対する言葉として、端末型接続がある。 これは一台だけWANに接続する場合(端末型)と複数台、但しプライベートだけではなく、グローバルが複数割り振られている。
また、LAN型接続という言葉から、相手のネットワークもLANであるという前提がある。
この例は、LAN内にグローバルIPを持つPCとプライベートIPを持つPCが混在している。
@ #01はグローバルIPアドレスを持ち、この#01からのパケットは、内容はそのままで転送される。
A WAN側から通信かいしされるパケットは、内容が書き換えられることなくそのまま転送される。
B プライベートIPアドレスをもつパソコン(#02、#03)から通信開始されるパケットは、NAT変換されてパケット内のIPアドレス並びにポート番号が書き換えられて転送される。
※ BAS:Broadband Access Server
CATVインターネットやxDSL、FTTHなどといった高速なインターネット常時接続サービスを提供するために、通信局舎内に設置されるアクセスサーバ。CMTSやDSLAMと接続され、上位回線へのアグリゲーションを行なう。ルーター機能を持ち、ユーザからの接続要求の認証や、提携したインターネットサービスプロバイダや上位回線への接続、優先制御や帯域管理を行なう。
※DMZとGapNAT
LAN内のネットワークと外部ネットワークの間に、LAN内への侵入を阻止するために設定されるサブネットをDMZと言う。通常、外部に公開するWWWサーバーなどをDMZに設置する。 GapNAT機能付きルーターを使うと、特定のLANポートをDMZポートと設定し、DMZとして運用することが出来る。
@ WAN側から通信開始されたものは、DMZネットワークに依存するPCに転送可能。(GapNATで1台、マルチGapNATで複数台)
ADMZポートと他のLANポートとは、相互に通信は不可能。
BLAN内のPCからは、NAT機能によりWANとの接続は可能。 これらの仕組みにより、WABN側からのDMZへ侵入された場合でも、DMZと他のLANとの通信は遮断されているため、DMZまでで食い止めることが出来て、外部に公開していない他のLANに存在するPCは、侵入者から保護される。
3.3.3.1 フィルタリング
通過するパケットを、一定の条件で「ふるい」にかけることで、セキュリティー度合いや、帯域効率の向上が可能となる。 (不正パケットの遮断、無駄な通信を防ぐ。)
条件設定
1) プロトコルの種別 (TCP/UDP)
2) IPアドレス(送信元/受信元)
3) パケットの方向
4) ポート番号
5) ログへの出力
6) タイプ(Pass, Reject, Restrict)
・ 動的パケットフィルタリング
不正侵入検知機能。 予め登録されている侵入パターンと比較し、合致したら遮断。 弱点は、登録外パターンに対処できない。
3.3.4 L4スイッチ
TCP/UDPヘッダのポート番号を元に、パケットの流れ方を制御することでレイヤー3までのスイッチが実現できない高度な機能が提供できる。
レイヤー4のTCPセグメントに含まれる情報
つまり、L4スイッチとは、L3、L3の情報に加えて、アプリケーションの種類まで経路制御の判断材料にする。 そして、よりきめ細かい処理を実現する。
■ L4スイッチの利用
@ トランスペアレントキャッシュサーバとの併用。 インターネットとの接続速度を落とさずに、利用可能帯域を確保する。 対応として、L4スイッチとキャッシュサーバーとの組み合わせであるProxyサーバーの利用がある。(しかし、設定では問題がある。)
トランスペアレントキャッシwwwサーバーの例
A ファイアーウォールとして使う。
ルーター、サーバーマシンの性能がボトルネックになるような組み合わせでなく、インターネット接続の帯域幅を最大限に活かせる。
B フィルタリング機能
C QoS(帯域制御)
優先度の高いアプリケーションから利用できる帯域を確保
3.3.3 L7スイッチ
・ 負荷分散に適している。
・ ウェッブサイトのセキュリティーを向上させる。 ファイアーウォールやIDS(不正侵入検知装置)の手前に設置DDoS(分散型サービス拒否)攻撃もアプリケーションとして認識している。
■ 他のスイッチとの比較
L2, L3, L4 ⇒ パケットの中継を行うもの
L7 ⇒ トラフィックやコンテンツを中継するもの
3.3.3 NIC
パソコンやプリンタなどを構内ネットワーク(LAN)に接続するための拡張カード。本体に用意された拡張スロットに挿入して使用する。「NIC」「LANボード」「LANカード」などとも呼ばれる。LANの規格によって仕様が違うが、
現在最も普及しているのはEthernetであるため、単にネットワークカードと言った場合はEthernetに接続するためのカードである場合が多い。
3.3.3 ケーブル
(1) 比較表
|
10Base-T
|
100Bae-TX
|
1000Base-L
|
1000Base-SX
|
1000Base-T
|
規格
|
IEEE802.3
|
IEEE802.3u
|
IEEE802.3z
|
IEEE802.3z
|
IEEE802.2ab
|
帯域(Mbps)
|
10
|
100(全二重200)
|
1000(全二重2000)
|
1000(全二重2000)
|
1000(全二重2000)
|
L
(m)
|
100
|
10
|
5000
(SMF) 550 (MMF/全二重)
|
550
(MMF/全二重)
|
100
|
ケーブル種類
|
UTP
cat.3以上
|
UTP
cat.5以上
|
62.5μm
(MMF) 10μm (MMF)
|
62.5μm
(MMF) 50μm (MMF)
|
UTP
cat.5
|
SMF: Single Mode
Fiber MMF: Multi Mode Fiber
(1) UTPケーブル
カテゴリー3 10Mbps
カテゴリー5 100Mbps (1000Mbps)
エンハンスドカテゴリー5 100Mbps
(1) ケーブルの結線
|