新米ネットワークエンジニアだわよ!

ネットワークエンジニアとして勉強していく中で大事だなー!!と思ったことを忘れないようにするために書いてます。このブログで不明点が解決できたら嬉しいです^^

ospfv3 ルータIDについて

問題でもよく出るので記載。。

 

ルータIDは基本的に、Ipv4のアドレスで設定される。

ospfv3の時も同様で、ipv6のアドレスでは設定されない。

 

なので、ipv4のアドレスを使ってない場合、

意図的に設定する必要がある。

 

これはなんでかというと、ospfはDR,BDRを選出する時に

プライオリティ設定がない場合、ルータIDで決めるため必須の設定なんだと思う。

 

※たしか、ループバックインタフェースに設定するのがベターなはず。

トンネリング Tunnelingとは

vpnや、ipv6でもよく使われる技術のこと。

 

簡単に言うと、インターネット内にトンネルを掘って

存在するネットワークをつなげて直結してるみたいに通信できるようにするもの。

 

また、実際のトンネルを想像してほしいが

トンネルの中で通信してる内容は外から見てもわからない。

 

それにだいたい、暗号化される中の情報は。

 

ipv6では、このトンネリングによって

ipv6 - ipv4 network - ipv6 などの通信の際にipv4カプセル化して

トンネリングして通信したりするみたい。

クラスフル、クラスレスについて

ひと昔前は、頭のアドレスでネットワーク部とホスト部の間を見ていた。

 

クラス 上位ビット アドレス範囲   ネットワーク部のビット数 最大ホスト数

A          0                0.0.0.0 ~ 127.255.255.255      8ビット      16,777,214

B         10              128.0.0.0 ~ 191.255.255.255  16ビット     65,534

C        110             192.0.0.0 ~ 223.255.255.255  24ビット     254

 

上記がクラスフルになる。

192ときたら、/24で区切るみたいな感じかな。

 

クラスレスは、172.16.10.0/24みたいに上記でみるとクラスフルから

逸脱したプレフィックスになっている。※/28、/30とかも。

 

これがクラスレスになる。

自動集約時や、再配送時ときなどクラスフルになったりと絡んでくるので

注意が必要。

反復復習とは

俺もそうなんだが、覚えた!と思っても大事な仕事の時にあれってなんだっけ?

ってなることが多い。

 

それは、ずばり反復復習をしないから!忘れるんだ!!!

 

だから、新たに反復復習のカテゴリーを作った

大事なことをまとめてるから、一週間に一度ぐらい見て反復復習して長期記憶に

つなげよう!

ネットワークの通信の流れや構成について

 

                                RT 100.100.100.254/24

Untrust           |

100.100.100.1/24

                                FW -----------------DMZ

                                       1.1.1.1/24

Trust                         |

192.168.1.1/16

                            Switch

 

FWもルーティングするので

三つのセグメントを持ってる。

 

※アドレスは適当

 セグメント内の通信であればルーティングは不要。

 だって、ネクストポップが宛先だから。

 

セグメント内であれば、Arpをブロードキャストして通信。

外であれば、デフォゲ宛にFWにArp解決する。

 

Mip 100.100.100.100 host 192.168.1.100

 

上記staticNATだとしたら、

帰ってくるときにセグメントか経路が適用されるのかは、ロンゲストマッチによって配送される。

 

ルータ同士は、繋がるインタフェースが

どうネットワークつまりどうセグメント

同じネットワーク部になる。

 

別ネットワークのアドレスになる場合、上記の制約が無視される。

でもまぁちゃんと上位で経路入れときゃ大丈夫。

 

ssgの場合だけど、経路でゾーン判定して

変換後アドレスを経路でみてネクストホップ決めて配送する。

 

 

折り返し通信について

 

内部から内部への通信なんだけど、

内部からグローバルIP>内部みたいな経路をたどりたい場合に使う。

 

 

Proxy arp

 

代理応答。本当はfw側のアドレスは100.100.100.1なんだけど100.100.100.100に

してて、そのアドレスでarpを返して100側にアドレスが来た時mipとかで切り替える。

 

あとすりーうぇい

 

tcp通信の場合、syn syn-ack ackの通信があってから

通信が流れる

その場合、行きと帰りの通信の道が違うことを非対称経路という。

これはね、よくないとっても。

 

なので基本的にfwもルータも通過するだけの機器なので

そのことを念頭に置いてから考える。

 

折り返し通信でいうと、trust > untrust > dmzで通信してるけど

帰りがdmz > trustになったらおかしいってわけよ。

 

ちゃんとuntrust側でNATしないとだめってこと。

ユニキャストRPF uRPF

ユニキャストRPFとは、

着信したパケットをそのパケットの送信元IPと自身のルーティングテーブルの

情報を基にフィルタリングする。

 

要は、自分の知ってるところからきてるパケットなら通すってこと。

偽装されたパケットの転送を防止できる!

 

もーとが三つある!

 

Loose routing tableに有ったら転送、無ければ破棄

Strict 着信インタフェースも見る。

VRF   VRFによって仮想化されたネットワークごろのルーティングテーブルを使用

冗長構成について HSRPとか NSRPとか

基本的にネットワーク機器は冗長化するのが一般的。

理由は言わずもなが。

 

そして、その際には主系、副系があってそれを仮想化するアドレスと

3種類IPアドレスを設定することになる。

 

仮想のIP

主系のIP

副系のiP

 

仮想で設定している場合、基本主系が応答することになる。

なので副系のIPいる?って思うかもしれないが設定しないと副系のiPに入れなくなるでしょ?

 

そして主系がdownしたら副系が応答することになる。

※インタフェースのip設定ってネットワークのこのアドレス!って指定の仕方になる。

   192.168.1.100/24みたいな。

 

full Duplex 全二重と半二重 オートネゴシエーション

全二重は、送信と受信同時に行えて、

半二重は、送信と受信が同時にできず片方ずつしかできない。

 

 

基本的に、対応同士はスピード、デュプレックスを合わせる必要がある。

その際に、よく使われる機能がオートネゴシエーション

 

スピード、duplexをautoで設定することによって機能が有効化されるが、

お互いの一番最適な設定にして設定してくれる便利な機能。

 

ただ、ちょっとやっかいなのが固定で設定した場合、100m全二重とか。

オートネゴシエーション機能が片方だけ有効になってる状態なので、

うまく最適化ができない。

 

対向機器と設定に差異が発生するので注意する。

そして、なぜかは不明だが有効化されてる方は半二重になることもあるらしい。。

 

対向機の設定を確認して欲しい場合は、まずautoになってるのかを確認して

んで、自分の設定もautoになってるか確認すれば回答ができる。

 

というか設定するときに対向と設定を合わせるのが一番良いと思う。。

 

 

 

fw ステートフルインペクション

fw1以外ゾーンの概念がある、

 

例えば、trust > Untrust 192.168.1.1 202.202.202.202 any permit

 

で許可してるとする。

 

んで戻り通信syn ackとか。

これはuntrust > Trustでpermitルールしないといけないの?って思うけど

fwにはステートフルインペクションって機能があって、

許可してる側からの戻り通信。は許可するってのがある。

だから新たにポリシー作る必要はない!

IPS/IDSについて

FWができることは基本的に、パケットフィルタリングで

指定したipアドレスを通す、通さないの判断をする。

 

でも、その指定したアドレスが不正な悪意のある

アドレスかどうかの判断ができないそんなときに活躍するのが!!!!!

 

IPS/IDS!!

 

IDSとIPSの差は不正だと検知した際に、

検知するだけか通信遮断もするかって違い。

 

※なのでipsの方が高性能でよく使われる?

 

シグネチャっていう攻撃パターンデータベースを参照して

監視しているときにそのパターンに一致すると通信をばす!っと遮断する。

 

これによって、synフラッドとかワームとかその辺が

遮断することができる、FWと合わせるととてもセキュリティが上がる!

 

fw ---------- ips/ids-----------untrust