広域イーサネット
回線事業者が提供する閉域ネットワークに接続します。イーサネットの名の通りL2レベルで接続するため上位の層のプロトコルがIPに限定されない。事業者の回線を使用するため帯域保証などのサービスがあります。インターネットVPNと比べると通信の遅延は少ないです。
IP-VPNとの違い
IP-VPNとはよく比較されますが、IP-VPNに比べるとさらにセキュリティが強固で高額になります。
VPN(Virtual Private Network)
離れた場所の間を仮想的な専用線でつないで安全なデータ通信を実現する仕組みです。距離の離れた拠点のLAN同士をつなぐことが可能です。2000年頃に専用線のコスト解消を目的に幅広く企業間ネットワークとして登場しました。専用線に比べても障害が発生した場合は迂回して別経路を探してくれるので可用性は高いです。
インターネットVPN
IPsecなどのセキュリティプロトコルを利用して公衆回線上にVPNを構築します。通信経路にインターネットを利用するため専用線を用いるサービスと比較して安価なことが多いです。通信品質を保証しないベストエフォート型なのでネットワークが混雑していると通信の遅延が生じることがあります。
リモートアクセスVPN
スマートデバイスにVPN接続ソフトウェアを導入することで、外にいても社内ネットワークに入ることができます。
IP-VPN
通信事業者が提供する閉域網を利用して離れた拠点のLANをつなぎます。通信事業者の閉域網は、その通信事業者と契約した企業のみが利用できる閉ざされたネットワークで構築され、抜群の安全性があります。インターネットVPNと違い、通信事業者との契約が必要になります。
VLANとは?
1台のL2SW上に複数のネットワークセグメントを作ることができます。
メリット
コスト低減
もしVLANを使わずにセグメントを分割したい場合はルータ台数分だけルータを用意する必要が出てきてしまう。物理機器導入数を減らせるためコストを低減出来ます。
管理が楽になる。
また、VLANを使わない場合は物理的に配線をつなぎ変える作業が発生して管理が乱雑になりがちになります。
ポートの種類
トランクポート
他のスイッチと接続する際に使うポートで、複数のVLANで流れるデータが通る穴(VLAN10とVLAN20のデータが通る)
アクセスポート
スイッチをPCを接続するポートで、決まったネットワークに属するデータしか流れないポートのことです。
VLANの種類
ポートの種類によるVLAN
ポートVLAN
アクセスポートを指定する。どのポートに接続すればどのVLANに所属できるかがわかりやすい。ただ、デメリットとしてはVLANの数だけポートを消費してしまうので効率的な構築は出来ません。アクセスポートを利用するアクセスリンクと呼びます。VLANの数が増えるたびにスイッチ間で接続するケーブルの本数が増えてしまいます。
タグVLAN
一つのポートを複数のVLANが所属するタグを設定することでスイッチ内にVLANがいくつあろうが、一つの物理ケーブルがあればスイッチ間でVLANを共有することが可能になります。トランクポートを利用してトランクリンクと呼びます。
動的か静的か
スタティックVLAN
ポートとVLANの対応が決まっています。そのポートに指したら無条件でVLANが決まります。
ダイナミックVLAN
ポートと機器の関係が決まっています。同じポートでも挿す機器によって所属するVLANが変わります。
SDN(Software Defined Network)とは?
ソフトウェアによって仮想的なネットワーク環境を作る技術やコンセプトのこと。技術そのものを指している用語ではなく概念を指している用語。管理ツールなどによる操作や事前の設定だけで、ネットワーク構成や性能・機能を動的に変更できるという特長がある。
メリット
今までは、物理的な制約にとらわれていた。
定義
- ネットワーク仮想化
- 制御
VLANとの違いは?
VLANも一台の物理スイッチを論理的に分割する技術ではあるが、基本的に一度設定したら変えないのが普通。
アーキテクチャ
アプリケーションレイヤ
これらのAPIを通じて、さまざまなネットワークの振る舞いに関するプログラムを実装している。
コントローラレイヤ
SouthboundのプロトコルやAPIを用いた機器の制御を司る心臓部になるレイヤで、インフラストラクチャレイヤの機器のネットワーク機能を抽象化したAPIをアプリケーションレイヤに提供する。
通信制御テーブル
物理L2スイッチごとに通信制御テーブルを指定します。通信制御テーブルは「送信元MACアドレス」、「宛先MACアドレス」、「アクション(スイッチの宛先ポート)」を指定してどこのサーバーを使用するかどうかの経路をルーティングさせます。また、ブロードキャストフレームを送付することによって同一ネットワーク内のサーバやFWのMACアドレスを取得して通信に利用する設定が必要になります。
インフラストラクチャレイヤ
データ転送を実際に行うネットワーク機器のレイヤ、これらの機器の制御にはOpenFlowやNETCONFなどの標準プロトコルや、機器ごとに定義されたAPI(Application Programming Interface)を利用する。この部分のインタフェースを「Southbound」と呼ぶこともある。
OpenFlow
Southboundを実現するプロトコルの一つ。ルータやスイッチでのパケットの取り扱い方を自由にプログラミングすることができます。ただし、これによる仮想化の導入は全ての機器をOpenFlowに対応させる必要があったりと大変です。
オーバーレイ方式によるSDN
IPパケットでカプセル化して通常のIPパケットとしてトンネルリンク上でやりとりさせるようにするオーバーレイ方式にすれば、SDN導入コストを大幅に下げることが可能です。以下のようなプロトコルがあります。
- VXLAN
- NVGRE
- STT
無線LAN
SSID(サービスセットID)
無線LANのアクセスポイントにおいてネットワークを識別するための識別子になります。アクセスポイントを用意する側で自由に設定することができます。(なので、攻撃者は企業が使っているSSIDと似たような名前をつけることで不正アクセスポイントへの誘導目的でつけられていたりします。)
ESSID(Extended SSID)
SSIDの拡張版です。ただ、一般的に「SSID」と呼んだ場合もほとんどがESSIDを指していることがほとんどなのであまり使い分けを意識することはないです。
モード
アドホックモード
無線LANのクライアント端末同士がアクセスポイントを介さずに通信するモード
インフラストラクチャモード
アクセスポイントを介して通信する普通のモード
無線LAN同士が干渉を防ぐ対策
近接するネットワークとの電波干渉を避けるために、使用する周波数帯をネットワークごとに微妙にずらすことが可能になっています。このときに設定する値をチャネル(チャンネル)と呼びます。ネットワーク同士が干渉しあわないように設定するチャンネルをズラすことが必要です。5GHz帯を使用するIEEE802.11acでは19チャネルが使用可能です。
また、DHCPによりIPアドレスとMACアドレスの対応を固定化することで所定外の機器に不正にアクセスポイントにアクセスされることを防ぐことが可能になります。
CSMA/CA(搬送波感知多元接続/衝突回避)
無線LANのアクセス制御方式で、IEEE802.11シリーズにおいて基本的な伝送制御方式として利用されています。ただ、待ち時間が発生してしまいますので一つのアクセスポイントにアクセスが集中すると転送効率が低下してしまいます。そこで、いくつかのグループに分けてESSIDを設定することで転送効率が低下しないようにすることが可能です。
データ暗号化方式
WPA2
暗号化アルゴリズムを脆弱性のある「RC4」から「AES」に変更しています。
利用者認証
「PSK認証(パーソナルモード)」と「IEEE802.1X認証(エンタープライズモード)」が使えます。
PSK認証(パーソナルモード)
PSK(Pre-Shared Key)は「事前共有鍵」のことです。
IEEE802.1X認証(エンタープライズモード)
LAN内のユーザ認証の方式を定めたIEEE規格で、正当な端末以外がLANに参加することを防ぐ技術です。
PoE(Power over Ethernet)
イーサネットのLANケーブルを通じて電力を供給する技術です。屋外に設置されるネットワークカメラや、天井や壁に設置される無線LANアクセスポイントのように、電源コンセントがない又は電源配線が難しい場合に利用されます。「PoE+」という上位の規格もあります。
この記事へのコメントはありません。