新米ネットワークエンジニアだわよ!

ネットワークエンジニアとして勉強していく中で大事だなー!!と思ったことを忘れないようにするために書いてます。このブログで不明点が解決できたら嬉しいです。

冗長構成について HSRPとか NSRPとか

基本的にネットワーク機器は冗長化するのが一般的。 理由は言わずもなが。 そして、その際には主系、副系があってそれを仮想化するアドレスと 3種類IPアドレスを設定することになる。 仮想のIP 主系のIP 副系のiP 仮想で設定している場合、基本主系が応答す…

full Duplex 全二重と半二重 オートネゴシエーション

全二重は、送信と受信同時に行えて、 半二重は、送信と受信が同時にできず片方ずつしかできない。 基本的に、対応同士はスピード、デュプレックスを合わせる必要がある。 その際に、よく使われる機能がオートネゴシエーション。 スピード、duplexをautoで設…

fw ステートフルインペクション

fw1以外ゾーンの概念がある、 例えば、trust > Untrust 192.168.1.1 202.202.202.202 any permit で許可してるとする。 んで戻り通信syn ackとか。 これはuntrust > Trustでpermitルールしないといけないの?って思うけど fwにはステートフルインペクション…

IPS/IDSについて

FWができることは基本的に、パケットフィルタリングで 指定したipアドレスを通す、通さないの判断をする。 でも、その指定したアドレスが不正な悪意のある アドレスかどうかの判断ができないそんなときに活躍するのが!!!!! IPS/IDS!! IDSとIPSの差は…

FTPについて

FTPはみなさんご存知、tcp 20 21の ファイル送受信のプロトコルである。 TFTPってのもあるけどあれはたしか16MGとかまでしか送らなかった気がする。。 FTPの大きな特徴は、二つセッションを結ぶところにある! 制御用と データ用の二つ。 だから、フィルタリ…

コアダンプとは?

突然クラッシュつまり障害が発生した時に、 その時のメモリ内容をコピーして保存したもの。 これを解析すれば、 原因究明に役立てられる。

タイムスタンプとは

ログやデバッグが表示される際に先頭に表示される時間表記のこと。

Ip SLA

ネットワークの状態を把握する機能。 SNMPとの違いは、snmpはインタフェースに流れてるパケットの統計を取ってたけど これは、テストパケットを作成して宛先に送信することで状態を計測する! 送信するip sla sender と応答するip sla respomderがある。 レ…

NTP

定期的に時刻サーバと同期をして時刻のズレをなくすプロトコルをNTPという。 123 udp 自身をサーバにしたり、クライアントにしたりできる。 基本的にインタフェースに入って設定するる

Netflowキー項目とノンキー項目

キー項目とは フローを、識別するためのチェックする情報。 7つあって一つでも異なっていれば別フローと判断される。 ノンキー項目とは 収集される情報をノンキー項目という。 送信元先情報とかインタフェースとかやね。

GUI and CUI

GUI ブラウザ上で操作 CUI Linuxやteratermなどで操作 dos窓とか

フェールオーバーとフェールバック

フェールオーバーとは、 主系が倒れた時に副系に切り替わることを言う フェールバックは、 副系で稼働中に主系に切り戻ることを言う。

Netflow

ルータ上のインタフェースを流れるトラフィックの統計情報を確認する機能。 SNMPは、ネットワーク上の機器を監視してインタフェースを通過するトラフィックの総量は確認できるけど細かい中身まではわからん。 その細かい部分を確認するのがねっとふろう!

SNMPトラップとインフォーム

エージェントからマネージャに対してメッセージを送信できる。 ※普段は逆だけど。 これがSNMPトラップ。 トラップは、マネージャへ送るだけで返答はないので届いたのかどうか不明なので信頼性は高くない。 ちなみに、送る際はCPU利用率が増えまくってたりイ…

SNMPポーリング

マネージャが定期的にエージェントに対して情報を要求ふるメッセージを送信する方式。

SNMPについて

TCP ipネットワーク上で動作している機器を管理するためのプロトコル。 CPUやメモリの使用率などの情報を収集可能。 SNMPエージェントとSNMPマネージャから構成され、普段はマネージャからエージェントの情報を収集する。

mGRE NHRP

mGRE:マルチポイントでGREトンネリングを確立する技術。 NHRP:異なるサブネット上にいるルータのIPアドレスを調べられる。 これで、自動でトンネルを確立してる。 NHS(ハブ側)、NHC(スポーク側)でNHCは起動時に自身のIPアドレスを通知する。 その際に、NHSの…

DMVPNとは

通常のvpnの場合、接続する拠点が複数あるとすっごい設定めんどい。 ハブアンドスポークにしても結局同じだし。負荷高いし。 その問題を解決するのがーーー!!DMVPNってわけよ。 簡単に概要を説明すると、 スポークルータが起動すると、ハブとの間にトンネ…

ISAKMP SAとIpsec SA

簡単にいうと、IKEを対向機と設定するにあたっての準備で 1つめはISAKMPSAを作成して2つ目は、Ipsec SAを確立する情報を交換するってこと。 isakmp saを使用してipsec saの確立に必要なパラメータを安全に交換。 それぞれpeerと合わせる必要あり。

vpn ipsec gre 相関図

vpn----------------------------------| ↓ | ↓ ↓ ↓ ipsec ---------------------------------↓ ↓ | AH ↓ トンネリング ESP ↓ 暗号化 ↓trans or tunnel インターネットvpn 完全性、機密性 ip vpn SA IKE ↓ ↓ フェーズ1 フェーズ2 GRE ↓ ↓ ↓ GRE over Ipsec

ipsec もいっこまとめ

AH・・・認証は行うが暗号化は行わない ESP・・・暗号化まで行う。 上記二つのセキュリティプロトコルを使用する。 それぞれトランスポートモードとトンネルモードがある。 サイト間VPNではトンネルモード IKEはISAKMP SAとIPsec SAという二つのコネクション…

GREとは?

トンネリングプロトコルの1つ。 GREを使用することで、通信したいネットワーク層のプロトコルを 他のネットワーク層のプロトコルにカプセル化することができる。 特徴は下記 マルチキャストやブロキャスのパケットをトンネリング可能。 複数のネットワーク層…

Ipsec SA

IpsecSAはユーザのデータを暗号するためのもの。 フェーズ2では、IpsecSAを確立するための情報を交換。 こっちも対向ルータと合わせる必要がある部分がある。 ipsecのセキュリティプロトコル・・・ESPかAH指定 ipsecの暗号化アルゴリズム・・・なんで暗号化…

ISAKMP SAってなんぞ?

ipsecで使用する暗号鍵やパラーメータなどを安全に交換するために使用。 IKEには2つのフェーズが分かれてる。 フェーズ1は、isakmp saを作成するための情報を交換。 そのために合わしておかなければいけないものがある。 ・暗号化アルゴリズム・・・どのアル…

SAってなんじゃらほい あとIKE

ipsecであvpn接続する機器同士でコネクションを確立する。 これをSAという。 vpn対応ルータでは、このSAの情報をデータベースに保存してる。 IKE・・・暗号鍵交換プロトコル vpnで使用する暗号化の鍵を送信元ルータと受信ルータ間のみで持っておくのと。 あ…

vpn まとめ

local(1)-------vpn router1----vpn-------vpn router2-------local(2) local1でパケットをlocal2宛へ送信。 vpn router1でipsecを用いて、トンネリングと暗号化を行う。 トンネリングは、新たにカプセル化を実施して 送信元がvpn router1送信先がvpn router…

AHとESP

IpsecではAHとESPを二つのセキュリティプロトコルによって、 完全性だとかを実現してる。 AH・・・完全性、送信元認証、アンチリプレイを実現。 トランスポートモードとトンネルモードの違いは、 元のパケットのIPヘッダーをそのまま使うかどうか。 トランス…

IPSecとは?

ネットワーク層で動作するプロトコル。 ネットワークを流れるデータの保護ができる技術。 実現可能な機能↓↓↓ 完全性・・・データが変更されていないか保証 機密性・・・盗聴されないことを保証 データ発信元の認証・・・本当にvpn接続してる相手からなのか保…

IP-VPN

通信事業者の用意した閉域IP網を利用したvpn ip網なので、利用できるプロトコルはipだけ。 インターネットに繋がらないのでインターネットvpnよりも安全。 帯域保証のサービスプランがあったりする。 トンネリングと暗号化をつかって、構築したりする。 トン…

インターネットVPN

インターネットVPN =読んで字のごとく、インターネットを利用したVPN vpn対応のルータに変えるだけでいいので 低コストでvpnを実現できる。 ただし、通信保証はされず暗号化の必要がある。 インターネットvpnには、サイト間vpnとリモートアクセスvpnという…