【職業訓練】【CCNA】【7日目】サブネットマスクはそんなに重要ではないの?
7日目です。
今日は
・TCP/IPの復習
・SMTP
・Telnet
・2進法/16進法
・IPアドレスの構成
・サブネット
です。
サブネットについてはネットワーク話の中でわかりにくくて、重要な気がするんだけど、講師は今までで一番はしょった気がしする。
FTPの復習から始めます。
単語リスト
・FTP(File Transfer Protocol)
ポート番号:20(データ転送用のデータコネクション。アップロードやダウンロード)
ポート番号:21(制御用のコントロールコネクション。認証、ファイル要求)
両方のTCPコネクションを使用する。
どちらもコントロールコネクションはクライアントが確立。
どちらも3wayhandshakeによるセッションの確立を行う
アクティブモード
サーバからクライアントに足してデータコネクションの確立
(クライアント側にファイアウォールがあるとセッションの確立が出来ない)
クライアントが使用するポートをサーバに伝える。
パッシブモード
クライアントからサーバに対してデータコネクションを確立
TFTP(Traival File Transfer Protocpl)
UDP上で動作する。
認証などは行わない。
512バイトごとで区切る
ポート番号は69(最初のリクエスト時だけ、あとはランダムポートで接続)
自身でACKを返す機能
データフォーマットのOPコードには常に3が入っている
FTPS(File Transfer Protocolo over SSL/TLS)
SSL(Secure Socket Layer)/TLS(Transport Layer Security)による暗号化・認証化
FTPSで使用するポート番号は、FTP転送/制御ポートである(989/990)
FTPSには2つの実行モードが存在
接続実行後にAUTHコマンドによる暗号化通信を実行する「Explicitモード」と、サーバーに接続後に暗号化通信を実行する「Implicitモード」があります。
FTPSのメリットとして、アスキー/バイナリモードの転送がサポートされていることが挙げられます。そのため転送先で、ファイルの改行コードによる文字化けのリスクを減らせます。
SFTP(SSH File Transfer Protocol)
SSH(セキュアシェル)による暗号化・認証化を行う。
リモートネットワーク上の端末と、暗号化された通信経路を通して、ファイルの送受信などの通信が行えるプロトコルSSHが使用できる環境ならSFTPのサービスも利用可能
ポート番号はSSHと同じく22番ポートを使用
SCP(Secure Copy Protocol)
SFTPと同じくSSHによる認証を行うので、セキュリティが確保されます。
SFTPとの違いはファイルの転送が再開できないことや、SFTPより通信が高速
フォルダの転送はできませんが、フォルダをzipやtar形式で圧縮して転送することは可能です。
・SMTP(Simple Mail Trandfer Protocol)
メッセージを送信するプロトコル。TCP上で動作。
ポート番号:25
587番ポート
サブミッションポート
TCP 25番ポート以外でメールの送信を行うためのポート(サブミッションポート)の1つ。メールの送信には一般的にTCP 25番ポートというものが使われてきましたが、TCP 25番ポート以外でメールの送信を行うためのポートとして提供しています。
このTCP 587番ポートを利用することで、25番ポートブロック(OP25B)を実施済みの他プロバイダ回線による接続でもメールの送信が可能になります。
・SMTPS(SMTP over SSL)
465番ポート
SSLで暗号化したSMTP通信。
SMTP over TLS
TCP25番ポート
・SMTP-AUTH(587番ポート)
メール送信をする際に認証が必要
S/MINE(Secure / Multipurpose Internet Mail Extensions)エスマイム
電子メールの暗号化方式のひとつ
電子証明書を用いて、メールへ電子署名を行う
送受信側が対応している必要がある
公開鍵
PGP(Pretty Good Privacy)
公開鍵暗号を使用,その鍵の管理は各利用者の責任で鍵を管理し,取得した公開鍵をチェック。ハイブリッド暗号で暗号化されます.メッセージまたはファイルは,セッション鍵と呼ばれる乱数の値を鍵として,対称暗号により暗号化され,そのセッション鍵は,受信者の公開鍵で暗号化される。
・POP before SMTP
SMTPで送信する前にPOP3によるユーザ認証を行う
・POP3(Post Office Protocol version3)
メールボックスにアクセスし格納されているメールを受信する。
ポート番号:110
・POP3S(POP3 over SSL/TLS)
SSL/TLSによって伝送路を暗号化された通信を行うプロトコル
認証情報、メールデータともに暗号化されている
暗号化されるのはPOP3サーバからクラインと(MUA)間の通信のみ
・APOP(Authenticated Post Office Protocol)
ユーザ認証情報をMD5(関数)を用いて暗号化
メール本文は暗号化されていない
・IMAP4(Internet Message Access Protocol version 4)
メールボックスで管理されたメールのタイトルや発信者を確認してから受信するかどうか決める。(フィルタリングが可能)
モバイル環境で便利な方式。
SSHのポートフォワーディング機能
SSHが暗号化したデータを送ることが出来る機能
認証情報、メールデータともに暗号化POP3サーバとクライアント間で暗号化
e-mail処理ソフトウェア
・MUA(Mail User Agent):CLが使用するメールソフト
・MTA(Mail Transfer Agent):SVで動作するメールソフトMUAからのメールを自ドメイン、ほかドメインに振り分ける
・MDA(Mail Delivery Agent):SVで動作するメールソフト。MTAから振り分けられたメールをCL毎にメールボックスに配送する
・Telnet
TCP/IPネットワーク上のルータやサーバに対してリモートログインするためのプロトコル。
ポート番号:23
ターミナルソフト:PuTTY,Tera Term,RLogin
そのままでは平文で送信が行われてしまうので暗号化を行う
・SSH(Secure SHell)
TCP/IPネットワーク上のデバイスを遠隔操作する点ではTelnetと同じだが、パスワードを含む通信全てが暗号化される。
通信の暗号化
なりすまし防御
認証
SSHv2などがある。
・SNMP(Simple Network Management Protcol)
ポート番号:161,162
ルータ、スイッチ、サーバなどTCP/IPネットワークに接続された通信機器に対し、ネットワーク経由で監視、制御するためのアプリケーション層プロトコル
管理する側のSNMPマネージャ、管理される側のSNMPエージェントの2つにより構成されます。
SNMPv1、SNMPv2c、SNMPv3のバージョンがある。v3ではセキュリティ機能が強化
NTP(Network Time Protocol)
ネットワーク上で時間を同期するプロトコル。コンピュータの時間合わせなどに使う。
SNTP(Simple Network Time Protocol)
NTPパケットを利用した簡易時間補正プロトコル
2進/16進
IPアドレスの構成要素
IPアドレスは32ビット。
ネットワーク部(ネットワークID)とホスト部(ホストID)
同一ネットワーク内のすべてのホストはネットワーク部は同じ。
アドレスクラス
クラスA(超大規模なネットワーク)
第一オクテットの先頭1ビットは「0」に固定
第一オクテット:0000 0000 ~ 0111 1111 の範囲
ただし、0000 0000(10進数:0)と0111 1111(10進数:127)は予約されていてユニキャスト用のIPアドレスとしては利用できない。
0000 0000 はネットワークアドレス:ネットワーク自体を示すアドレス
0111 1111はループバックアドレス:自分自身を表すアドレス:localhostのこと
ネットワーク部は第一オクテットのみ
ホスト部は24ビット
ホストアドレス数:16777214(2^24-2)
クラスB(比較的大規模なネットワーク)
第一オクテットの先頭2ビットは「10」に固定
第一オクテット:1000 0000 ~ 1011 1111の範囲
128.0.0.0~191.255.255.255の範囲
ネットワーク部は16ビット(第二オクテットまで)ホスト部は16ビット
ホストアドレス数は65534(2^16-2)
クラスC(中規模なネットワーク)
第一オクテットの先頭3ビットは「110」
第一オクテット:1100 0000 ~ 1101 1111の範囲
192.0.0.0 ~ 223.255.255.255
ネットワーク部は24ビット(第三オクテットまで)ホスト部は8ビット
ホストアドレス数は254(2^8-2)
クラスD(マルチキャスト用に使用されるアドレス)
第一オクテットの先頭4ビットは「1110」に固定
第一オクテット:1110 0000 ~ 1110 1111の範囲
224.0.0.0 ~ 239.255.255.255の範囲
ただし、224.0.0.0 ~ 224.0.0.255のアドレスは同一ネットワーク上のみ送信され、ルータによって転送されません
クラスE(ベンチマーク、テスト用)
・予約済みアドレス
ネットワークアドレス
ホスト部のビットをすべて0にしたアドレス
ルータがルーティングするときに使用する。ルーティングテーブルに登録されている。
ローカルブロードキャストアドレス
自身のネットワーク内の全ホストにデータを送信する
ルータは超えない。
ホスト部のビットをすべて1にするアドレス
32ビットすべてを255にしても同じことが起きる
ダイレクトブロードキャストアドレス
所属していないネットワークへブロードキャストする際に使用するアドレス。
Ciscoルータでは初期設定では無効になっている。
セキュリティとしてあまりよくない。
ループバックアドレス
第一オクテットが127で始まるアドレス。
自分自身を表す仮想的なアドレス。
自動設定アドレス
APIPA(Automatic Private IP Addressing)
DHCPクライアントが何らかの障害により、IPアドレスの取得に失敗した場合、自動的に169.254.0.0/16プレフィックス範囲のIPアドレスが設定される。
この宛先アドレスへは他のネットワークで同じアドレスがあるかもしれないため、ルータによる転送は出来ません。
同一ネットワーク内でのみ通信を行うためリンクローカルアドレスと呼ばれる。
グローバルIPアドレス
IPアドレスはIANA(ICANN)を頂点に世界的に管理されている。
インターネットに接続す利用者はグローバルIPアドレス(パブリックアドレス)を取得する必要がある。管理はISPが行っている。(プライベートアドレス以外のもの)
プライベートアドレス
組織(家庭)の内部ネットワークで使用
RFC1918によって範囲が定義されている。
クラスA:10.0.0.0~10.255.255.255
クラスB:172.16.0.0~172.31.255.255
クラスC:192.168.0.0~192.168.255.255
インターネット上のルータはプライベートIPアドレスが宛先のパケットを転送しないためインターネットでプライベートIPアドレスを使用することは出来ない。
NAT(Network Address Translation)
プライベートアドレスをグローバルIPアドレスに相互変換する仕組み
・サブネット
1つのネットワークに収容できるコンピュータには限界があるが、サブネットにすることで多くの端末をネットワークにつなぐことが出来る。
利点
ブロードキャストドメインを分割できる
ネットワークで扱うトラフィックを局所化できるので全体的なパフォーマンスが改善される
ネットワークの構成が柔軟になり、管理の手間が軽減する
ネットワークセキュリティの適用が容易になる。
1つのネットワークを小さなサブネットワークに分割する仕組みをサブネット化
サブネット数=2^s sはサブネットワーク部のビット数
ホストアドレス数=2^h-2(hはホスト部のビット数)
プレフィックス長(CIDR表記:Clasless Inter-Domain Routing)例:192.168.1.20/25
ナチュラルマスク 例:192.168.1.20/24
フラットネットワーク
フラットなネットワークトポロジ
帯域幅の使用効率が低下
セキュリティポリシーの適用が困難
サブネットに関してはもう一度書くと思います。