スイッチ
L2：MACアドレス（Ethernetヘッダーを見る。）
L3：IPアドレス（EthernetヘッダーとIPヘッダを見る。）
L4：ポート番号（TCP/UDPヘッダーを見る。）
L7：アプリケーションヘッダ（アプリケーションヘッダを見る。）

■PPS
Packet Per Second
・Ethernetフレームの最小の長さ：64バイト
・CSMA/CDの制御情報、待ち時間：20バイト
計　84バイト（=672ビット

100Mbpsのポート

100M＝1億／672ビット）≒　148810pps（ワイヤスピード、回線速度）
※14万8810パケットを1秒間に処理する


3.3.8　NIC
NICに対する要求事項
・対応速度/メディア
・全二重通信/フロー制御（IEEE802.3X)
・自動ネゴシエーション(IEEE802.3u)
・CPU使用率
・全ポートの伝送速度の総和を上回る処理能力（バックプレーン能力）

NICに要求される事項は、スイッチングハブに要求される。


3.3.2　リピーターハブ

信号の増幅、整形用の装置。
リピーター回路、MAUトランシーバー、RJ-45
より構成される。　（MAU: Media Attachment Unit）




■　スタック接続




MDIポートとMDI-Xポートからなり、MID-Xポートをストレートケーブルで接続する。


・10Base-Tは4段セグメントで10Base-Tは2段3セグメント。　この制限は、ネットワーク内のパケットのコリジョンが検出できる範囲の制限によるもの。

・ リピーターハブのみで構築されたネットワークは、同一のサブネットと見なされる。　つまり、ブロードキャストドメインとコリジョンドメインが同じ。
・ 通信は半二重
・ 実際の機器の表示例
LINK 接続状態
100 100Mbps接続
ACT Activity。　データの送受信状態
COL データの衝突
Tx,　Rx データ



3.3.3 スイッチングハブ
(1) 概要
・ リピーターハブに2つのネットワークセグメント（コリジョンドメイン）を相互に接続できる状態であるブリッジ機能を追加したもの。　ブリッジの進化形と言える。
・ Ethernetヘッダーの中のMACアドレスにより、どのコネクションポートに信号を出すのか､自らのアドレステーブルで決めている。

■　コリジョンドメイン／ブロードキャストドメインからみたリピーターハブとの違い。

＜リピーターハブを使用＞



＜スイッチングハブを使用＞



■　パケットの転送方法


この方式はストアアンドフォワード型
（カットアンドスルー方式というものもあった。）

FCS(Frame Check Sequence)を見て、エラーチェック
・ エラーがあったら転送しない。
・ 処理時間は1〜2マイクロ秒
・ 受信パケットを全てバッファに格納し、FCSを見てパケットエラーをチェック
・ エラーフレームチェックは、Ethernetフレームの最小の長さで統計的に64バイトまで確認すれば良い。

■　Ethernetフレーム




(2)　スイッチングハブの構造




メモリーにアドレステーブルが記憶されている。


(3)　機能と特徴
�@　MACアドレスの学習により、特定のスイッチの物理ポートに対してのみパケットを送信できる。

�A　カスケード接続の制限が無い。

�B　全二重通信が可能。（半二重通信も可能）　半二重／全二重の判断は、接続するNICの機能と照会を行うオートネゴシエーションという機能で行う。

�C　フローコントロール
　速度の違うクライアントが接続されると、データの受け渡しに支障がでるので、この機能で対応。
擬似的な信号をクライアントに送ることにより、データの送信量を調整する。

�D　SNMP（RFC1157）を搭載すると、インテリジェントスイッチと呼ばれる。　大抵は、RS-232Cが備えられている。

�E　PPS(packet per second)という指標で速度が表わされる。

�F　VLAN機能（Virtual LAN）を持っている。

1)　ポートベースLAN




物理ポートを単純にグループ化して分けること。
グループA、B、C内の通信は可能。　自分のグループ以外とは通信不可。
もし、通信するならば、ルーターが必要。

2)　タグ付きVALN（VLANタギング）
IEEE802.1Q
Ethernetフレームに4バイトのタグヘッダ（VLAN識別子）をつける。　識別子に応じたポートにパケットを転送できる。

�G　ネットワークの冗長化構成が可能な｢スパニングツリー｣

物理的に配線は1つのL2スイッチに対してそれぞれ二重化されているが、転送出来ない経路（ルート�B）を作る事が出来る。




�H　リンクアグリケーション（ポートとランキング、ロードシェアリング）機能　IEEE802.3ad

物理的に複数のケーブルを1つに束ねる事によって、広帯域を確保する。　冗長化にも役立つ。

�I　ポートミラーリング機能
特定のポートを経由するフレームを、ネットワークア
ナライザーなどを接続する別のポート（ミラーリングポート）にもコピーして転送する機能。



＃１のポートはミラーリングポートの必要がある。

�J　QoS機能　（IEEE802.1ｐ）
8段階までの優先順位の設定が可能。　（実際の製品では4段階迄程度が多い。）

�K　SNMP機能
[SNMPエージェント]　＝＝＝SNMP＝＝＝[SNMPマネージャー]

管理情報（スイッチングハブの設定情報、トラフィック量、エラー回数など）はMIB（Management Information Base）というデータベースになっている。

3.3.3 L3スイッチ


(TTL= 225 （普通）、　プロトコル： １ （ICMP）、　6 （TCP）、　1 （UDP）)


L3スイッチの出現の背景に、ソフトで処理するルーターの祖h理が追いつかななくなった為に、ボトルネックと成った。　　よって、これを解消するために、ASICを使ったL3が登場した。　IPヘッダ情報置き換え作業は、L3がルーターの5倍の性能がある。

※メリット：
VLAN構築、大規模なネットワークをワークグループ単位に整理する。

※　L2とL3との比較



ブロードキャキャストパケットは全体の5〜6％程度


3.3.3 ルーター
3.3.3.1 OSIとルーターの役割

OSI参照モデルとルーター



そもそもルーターの役割とは、
1) 異なるネットワーク（ネットワークアドレスが異なる）にパケットを中継する。
2) 1つの大きなネットワークを複数のより小さなネットワークに分割する。（LANの分割）
3) パケットのルーティング（経路選択）
4) アドレス変換
5) フィルタリング、セキュリティー
がある。

■　ルーターの種類
ルーターの種類は、何種類課の分け方もあるが、ローカルーターとアクセスルーターに分けられる。　

・ ローカルルーター：LAN内でルーティング。　インターフェースはイーサネットだけ。
・ アクセスルーター：WANやインターネットでルーティング。　インターフェースにはイーサネット、ISDN、高速デジタル回線、ATM等々がある。　機能として、RAS機能（Remote Access Server）、VPN機能、Radiusサードクライアント、SNMP、動的ルーティングがある。
※ Radius: Remote Authentication Dial User Service

3.3.3.1 ルーターの処理能力
※　パケットの処理能力
10Mbps、10Base-Tを利用すると、14,881秒のパケットが流れる。

10,000,000ビット/672bit ≒ 14,881

レガシールーターでCPUが2000インストラクション必要。　ということは、14,881 x 2000 = 29,762,000で約3000万インストラクションがCPUの処理能力として求められる。
3000万インストラクションとは、30MIPSである。

1000Mbpsならば、3億インストラクション、300MIPS

ペンティアムIV（2.2GHｚ）で4000MIPS
4000MIPS/400MIPS ≒　13ポート

100Mbpsならば13ポートでぎりぎり

■　インターフェースの例
（ネットボランチ、YAMAHA）




金額によるルーターの機能の違い

3.3.3.1 ルーターのルーティング

(1) 経路表（ルーティングテーブル）で次の宛先（パケットを送信する相手）を見る。
■　ルーティングテーブルの項目
・ 宛先のIPアドレス
・ ゲートウェイのIPアドレス
・ ネットマスク
・ メトリック
・ インターフェースの対応（ネクストホップ）

DOS窓ならば、"routeprint(1 more)"

(2) ルーティングプロトコル
�@　静的ルーティング
�A　動的ルーティング
・ RIP (Routing Information Protocol)
・ OSPF (Open Shortest Path Find)
・ BGP-4

(3) RIP
1) ルーティングテーブルのルーター間での交換
2) ホップ数は最大16（15以下のみ可）
3) 収束するのに時間がかかる。
4) 実際的には、50程度のクライアントで用いられる。

(4) OSF
1) エリアとバックボーンの階層の概念
2) リンク情報のみを交換
3) ホップ数の制限無し
4) リンク情報はLSA(Link State Advertisement)

(5) BGP-4
1) サービスプロバイダー間のルーティング


3.3.3.2 アドレス変換

・ グローバルIPアドレス間のみでグルーバルIP空間は相手を特定できる。
・ グローバルIPとプライベートIPは通sン出来ない。（型通信）

アドレス変換には、NAT、NAPT技術が基本としてある。

NAT: Network Address Translation
[1 Global IP Address]対[1 Private IP Address]

NAPT: Network Address and Port Translation
[1 Global IP Address]対[多Private IP Address]

・ 動的NAPT：接続毎にダイナミックにポートを割り振る。
・ 静的NAPT:固定的にポートとIPアドレス（プライベート）を割り振る。

[1]　LANからの接続要求の例




※そもそもポート番号とは、OSが送られて来たデータをアプリケーションに渡す場合為の識悦番号。　0〜65535番（TCP/IPがこの番号を元に管理している。）

１〜1023
1024〜65535

LAN内は、1024〜49151番を利用。

[2]　WAN側からの接続要求

ルーターのIPアドレス　[LAN|WAN]
[192.168.0.2]|[210.153.221.45]
ルーティングの設定
LAN：192.168.0.2（クライアントPCのIPアドレス）
WAN：210.140.231.23 (WebサーバーIPアドレス)

※DMZ: Demilitarized Zone
ポート番号に関係なく、インターネットから接続要求のあったすべてのパケットを、設定されたIPアドレスをもつマシンに転送させる。

※AT/NAPTは、インターネット側からLAN側のマシンを隠す程度のセキュリティー度合いであるが、それなりのセキュリティーにはなる。

※　ルーターを越えられない理由
1) ポート閉鎖：
パケットフィルタリングで利用するパートを開けたり閉めたり、DMZの機能をつかう。
2) アドレス変換不備
3) プライベートIPアドレス非認識：
VPN構築、モデムにマシン直結など
4) 接続先が動的ポート割当：
ポート設定見直し、DMZ機能利用（セキュリティーが犠牲になる場合あり。）


※ GapNAT
住友電気工業製品プロトコル
Global Address Proxy with Network Address Translation


GapNATとは、ブロードバンドルーターのWANインターフェースにISPから割り当てられたIPアドレスを、DHCP機能でLAN側の端末に対しても割り当てるというもの。　WAN側から見えるのは、ルーターのWAN側インターフェースのみだが、そこに届いたパケットをLAN側の同じグローバルIPアドレスをもつマシンに転送することで、メッセンジャーなどのアプリケーションに直接インターネットに接続しているように見せかけられる。　DMZの構築も容易となる。　但し、同時に使えるマシンは一台だけという制約はある。　



そもそも、NATでは、セキュリティー向上の為、グローバルIPとプライベートIPとは1対1の関係であり、複数の端末が使えない。　そして、NATであると特定のアプリケーションが使えないという制約がある。　基本的に、グローバルIPがあれば通信できないアプリケーションは無い。　また、アプリケーションサーバーを立てれば、特定のアプリケーションが使えないという制限は解消されるが、それとは違う方法がこのGapNATということ。　名前からして、サーバーのような機能である。　
ルーターにISPのBAS等から付与されたグローバルIPを端末マシンに付与するものである。　こうすると、端末はグローバルIPが割り振られたので、通信に制限はなくなる。（しかし、同時にセキュリティーが危険となる。）　但し、このグローバルIPアドレスが割り当てられるのは、最初にDHCPでプライベートIPを割り振られたPCだけ。　
厳密には、グローバルIPが割り振ってあるPCも同じIPアドレス、同じポートに"書き換えられて"いる。　よって、NATはされているが同じものに書き換えられている。　この書き換えにより、グローバルIPが与えられているマシンもセキュリティーが保たれる。　よってGapNATというようにNATという言葉がついている。

以下の例は、LAN型PPPoE接続時の場合。　これは、マルチGapNAT機能という複数のPCが使える場合である。
※LAN型PPPoE接続とは、複数のグローバルIPアドレスをPPPoEで認証して割り当てることである。
LAN型接続に対する言葉として、端末型接続がある。　これは一台だけWANに接続する場合（端末型）と複数台、但しプライベートだけではなく、グローバルが複数割り振られている。
また、LAN型接続という言葉から、相手のネットワークもLANであるという前提がある。



この例は、LAN内にグローバルIPを持つPCとプライベートIPを持つPCが混在している。

�@　#01はグローバルIPアドレスを持ち、この#01からのパケットは、内容はそのままで転送される。
�A　WAN側から通信かいしされるパケットは、内容が書き換えられることなくそのまま転送される。
�B　プライベートIPアドレスをもつパソコン（#02、#03）から通信開始されるパケットは、NAT変換されてパケット内のIPアドレス並びにポート番号が書き換えられて転送される。

※　BAS：Broadband Access Server
　CATVインターネットやxDSL、FTTHなどといった高速なインターネット常時接続サービスを提供するために、通信局舎内に設置されるアクセスサーバ。CMTSやDSLAMと接続され、上位回線へのアグリゲーションを行なう。ルーター機能を持ち、ユーザからの接続要求の認証や、提携したインターネットサービスプロバイダや上位回線への接続、優先制御や帯域管理を行なう。

※DMZとGapNAT




LAN内のネットワークと外部ネットワークの間に、LAN内への侵入を阻止するために設定されるサブネットをDMZと言う。通常、外部に公開するWWWサーバーなどをDMZに設置する。　GapNAT機能付きルーターを使うと、特定のLANポートをDMZポートと設定し、DMZとして運用することが出来る。　

�@　WAN側から通信開始されたものは、DMZネットワークに依存するPCに転送可能。（GapNATで1台、マルチGapNATで複数台）
�ADMZポートと他のLANポートとは、相互に通信は不可能。
�BLAN内のPCからは、NAT機能によりWANとの接続は可能。　これらの仕組みにより、WABN側からのDMZへ侵入された場合でも、DMZと他のLANとの通信は遮断されているため、DMZまでで食い止めることが出来て、外部に公開していない他のLANに存在するPCは、侵入者から保護される。


3.3.3.1 フィルタリング
通過するパケットを、一定の条件で｢ふるい｣にかけることで、セキュリティー度合いや、帯域効率の向上が可能となる。　（不正パケットの遮断、無駄な通信を防ぐ。）

条件設定
1) プロトコルの種別　（TCP/UDP）
2) IPアドレス（送信元/受信元）
3) パケットの方向
4) ポート番号
5) ログへの出力
6) タイプ（Pass, Reject, Restrict）

・ 動的パケットフィルタリング
　不正侵入検知機能。　予め登録されている侵入パターンと比較し、合致したら遮断。　弱点は、登録外パターンに対処できない。


3.3.4 L4スイッチ

TCP/UDPヘッダのポート番号を元に、パケットの流れ方を制御することでレイヤー3までのスイッチが実現できない高度な機能が提供できる。

レイヤー4のTCPセグメントに含まれる情報



つまり、L4スイッチとは、L3、L3の情報に加えて、アプリケーションの種類まで経路制御の判断材料にする。　そして、よりきめ細かい処理を実現する。

■　L4スイッチの利用
�@　トランスペアレントキャッシュサーバとの併用。　インターネットとの接続速度を落とさずに、利用可能帯域を確保する。　対応として、L4スイッチとキャッシュサーバーとの組み合わせであるProxyサーバーの利用がある。（しかし、設定では問題がある。）

トランスペアレントキャッシwwwサーバーの例




�A　ファイアーウォールとして使う。
　ルーター、サーバーマシンの性能がボトルネックになるような組み合わせでなく、インターネット接続の帯域幅を最大限に活かせる。

�B　フィルタリング機能

�C　QoS（帯域制御）
　優先度の高いアプリケーションから利用できる帯域を確保


3.3.3 L7スイッチ




・ 負荷分散に適している。
・ ウェッブサイトのセキュリティーを向上させる。　ファイアーウォールやIDS（不正侵入検知装置）の手前に設置DDoS（分散型サービス拒否）攻撃もアプリケーションとして認識している。

■　他のスイッチとの比較
L2, L3, L4　⇒　パケットの中継を行うもの
L7　⇒　トラフィックやコンテンツを中継するもの

3.3.3 NIC
パソコンやプリンタなどを構内ネットワーク(LAN)に接続するための拡張カード。本体に用意された拡張スロットに挿入して使用する。「NIC」「LANボード」「LANカード」などとも呼ばれる。LANの規格によって仕様が違うが、 現在最も普及しているのはEthernetであるため、単にネットワークカードと言った場合はEthernetに接続するためのカードである場合が多い。





3.3.3 ケーブル
(1) 比較表

SMF: Single Mode Fiber          MMF: Multi Mode Fiber

(1) UTPケーブル
カテゴリー3 10Mbps
カテゴリー5 100Mbps (1000Mbps)
エンハンスドカテゴリー5 100Mbps


(1) ケーブルの結線