Microsoft PowerPoint - InternetOperation1104.ppt

インターネットオペレーション

重近 範行

おさらい：ブロードキャスト

・

同一ブロードキャストドメインに所属している全てのマシンに情報を伝播

おさらい：ブロードキャスト

・

同一ブロードキャストドメインに所属している全てのマシンに情報を伝播

おさらい：ブロードキャスト

・

同一ブロードキャストドメインに所属している全てのマシンに情報を伝播

ブロードキャストアドレス

rg-gate> /sbin/ifconfig vlan2

vlan2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 vlan: 2 parent: wm1

address: 00:02:b3:ec:6c:d4

inet 203.178.143.1 netmask 0xffffff80 broadcast 203.178.143.127

ブロードキャストアドレスは？

• 同一ブロードキャストドメインで

同じ

である

•

IPアドレスとネットマスクから生成される

ホスト部がすべて「１」

サブネット部

の

論理和

論理和

ブロードキャストアドレスの計算

rg-gate> /sbin/ifconfig vlan2

vlan2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 vlan: 2 parent: wm1

address: 00:02:b3:ec:6c:d4

inet 203.178.143.1 netmask 0xffffff80 broadcast 203.178.143.127

「

0xffffff80」 はネットワーク部が「１」でホスト部が「０」

ネットワーク部が「０」でホスト部が「１」のマスク

を作るため、「

0xffffff80」の否定を算出する。

ブロードキャストアドレスの計算

rg-gate> /sbin/ifconfig vlan2

vlan2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 vlan: 2 parent: wm1

address: 00:02:b3:ec:6c:d4

inet 203.178.143.1 netmask 0xffffff80 broadcast 203.178.143.127

「

0xffffff80」

＝

11111111 11111111 11111111 10000000

よって否定は

00000000 00000000 00000000 01111111

= 「0x0000007f」

ブロードキャストアドレスの計算

rg-gate> /sbin/ifconfig vlan2

vlan2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 150 vlan: 2 parent: wm1

address: 00:02:b3:ec:6c:d4

inet 203.178.143.1 netmask 0xffffff80 broadcast 203.178.143.127

「

203.178.143.1」と

ブロードキャストアドレスの計算

rg-gate> /sbin/ifconfig vlan2

vlan2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 150 vlan: 2 parent: wm1

address: 00:02:b3:ec:6c:d4

inet 203.178.143.1 netmask 0xffffff80 broadcast 203.178.143.127

「

203.178.143.1」

= 0xcbb78f01

=11001011 10110111 01111111 00000001

0x0000007f

ブロードキャストアドレスの計算

rg-gate> /sbin/ifconfig vlan2

vlan2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 vlan: 2 parent: wm1

address: 00:02:b3:ec:6c:d4

inet 203.178.143.1 netmask 0xffffff80 broadcast 203.178.143.127

11001011 10110111 01111111 00000001

00000000 00000000 00000000 01111111

+)

11001011 10110111 01111111 01111111

=0xcbb78f01

=「203.178.143.127」

IPアドレスとネットマスクと8bit境界

• Class A,B,C

– Class A

• アドレスの先頭が0から始まる • 8bitマスク

– Class B

• アドレスの先頭が10から始まる • 16bitマスク

– Class C

• アドレスの先頭が110から始まる • 24bitマスク

マスク長が8bit境界からずれると

• 25bitマスク – 255.255.255.128(0xffffff80) • 26bitマスク – 255.255.255.192(0xffffffc0) • 27bitマスク – 255.255.255.224(0xffffffe0 • 28bitマスク – 255.255.255.240(0xfffffff0) • 29bitマスク – 255.255.255.248(0xfffffff8) • 30bitマスク – 255.255.255.252(0xfffffffc) • 23bitマスク – 255.255.254.0(0xfffffe00) • 22bitマスク – 255.255.252.0(0xfffffc00) • 21bitマスク – 255.255.248.0(0xfffff800) • 20bitマスク – 255.255.240.0(0xfffff000) • 19bitマスク – 255.255.224.0(0xffffe000) • 18bitマスク – 255.255.192.0(0xffffc000) • 17bitマスク – 255.255.128.0(0xffff8000)

ネットワークアドレスの表記

IPアドレス

133.27.63.238

Subnetmask 255.255.248.0

の場合

• 21bitマスク

– クラスC相当×8

• 133.27.56.0/21

ブロードキャストアドレスへの通信

• 自分のPCのインターフェースの情報を調べてブ

ロードキャストアドレスにpingを打ってみよう

– Windowsだと反応無いかも。。。

cpu.sfc.wide.ad.jp % ifconfig em0

em0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> mtu 1500

options=1b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING>

inet 203.178.142.143 netmask 0xffffffe0 broadcast 203.178.142.159 inet6 fe80::203:47ff:fedf:7475%em0 prefixlen 64 scopeid 0x3

inet6 2001:200:0:8803:203:47ff:fedf:7475 prefixlen 64 autoconf ether 00:03:47:df:74:75

media: Ethernet autoselect (1000baseSX <full-duplex>) status: active

ブロードキャストアドレスで遊ぼう

• 自分のPCのインターフェースの情報を調べてブ

ロードキャストアドレスにpingを打ってみよう

– Windowsだと反応無いかも。。。

cpu.sfc.wide.ad.jp % ping 203.178.142.159

結果はどうなると思いますか？？？

ブロードキャストアドレスで遊ぼう

• 自分のPCのインターフェースの情報を調べてブ

ロードキャストアドレスにpingを打ってみよう

– Windowsだと反応無いかも。。。

cpu.sfc.wide.ad.jp % ping 203.178.142.159

PING 203.178.142.159 (203.178.142.159): 56 data bytes

64 bytes from 203.178.142.146: icmp_seq=0 ttl=64 time=7.565 ms

64 bytes from 203.178.142.155: icmp_seq=0 ttl=255 time=7.585 ms (DUP! 64 bytes from 203.178.142.131: icmp_seq=0 ttl=255 time=7.633 ms (DUP! 64 bytes from 203.178.142.158: icmp_seq=0 ttl=64 time=7.657 ms (DUP!) 64 bytes from 203.178.142.157: icmp_seq=0 ttl=64 time=7.676 ms (DUP!) 64 bytes from 203.178.142.135: icmp_seq=0 ttl=64 time=9.187 ms (DUP!) 64 bytes from 203.178.142.136: icmp_seq=0 ttl=255 time=9.430 ms (DUP! 64 bytes from 203.178.142.151: icmp_seq=0 ttl=64 time=9.578 ms (DUP!)

では、これではどうなる？

• ping 255.255.255.255

– Limited broadcast address

• ping

[他のセグメントのブロードキャストアドレス]

– Directed broadcast address

原理的にはどちらのパケットがルータを越える事が

できるでしょうか？

なぜ、no ip drected-broadcast ?

• ルータの設定の際に各L3インターフェースで

– no ip directed-broadcast

を見たことはありませんか？

2種類のbroadcast

• Limited broadcast

– 255.255.255.255

ルータ 10.0.1.0/24 10.0.2.0/24

2種類のbroadcast

• Limited broadcast

– 10.0.2.255 （自分のセグメント）

ルータ 10.0.1.0/24 10.0.2.0/24

2種類のbroadcast

• Limited broadcast

– 10.0.1.255 （他のセグメント）

– ルータがコピーして送信

ルータ 10.0.1.0/24 10.0.2.0/24

2種類のbroadcast

• Limited broadcast

– 10.0.1.255

– ブロードキャストメッセージの嵐に

ルータ 10.0.1.0/24 10.0.2.0/24

ブロードキャストを用いたアプリケーション

• DHCP

– dhcp discoverの宛先に使用

– Limited broadcast

• Netbios

– Name service時に使用

– Directed broadcast(自分のセグメント)

– 宛先Mac addressは all ” f ”

では、ネットワーク構築！：

ネットワークをどんどん接続

？？？ _？？？ ？？？ ？？？

– 何でつなぐ？

• ハブ？スイッチ？ルータ？

では、ネットワーク構築！：

ネットワークをどんどん接続

？？？ _？？？ ？？？ ？？？

– 結局それぞれの特性が掴めないと決定できない

• リンクの特性、拠点間の距離、使い方、アドレス数

…etc

リピータとブリッジの違い

• ブロードキャストドメイン

ハブ ハブ ハブ ハブ sw

リピータとブリッジの違い

• ？？？？ドメイン

ハブ ハブ ハブ ハブ sw

リピータとブリッジの違い

• コリジョンドメイン

ハブ ハブ ハブ ハブ sw

コリジョンドメインが同一である意味

• あなたのPCをCNSへの接続する場合

– リピータにつなぐ

ｰ> 無線LANで接続

• 同じAPにつながっている人と手前の回線資源を奪い

合う

– ブリッジにつなぐ

• 同じSWにつながっている人と奪い合うのは上流の回

線資源のみ

状況１：あなたはどっちに接続するとお得？

AP(11Mbps) SW(10Mbps) ITCへ ITCへ Aさん _{Bさん cさん} Aさん _{Bさん cさん}

•Aさん、Bさん、Cさんはそれぞれ3Mbpsで

外部の

FTPサーバからファイルを転送中

Uplink : 10M Uplink : 100M

状況２：あなたはどっちに接続するとお得？

AP(11Mbps) SW(10Mbps) ITCへ ITCへ Aさん _{Bさん cさん} Aさん _{Bさん cさん}

•Aさん、Bさん、Cさんはそれぞれ3Mbpsで

お互いにファイルを交換中

Uplink : 10M Uplink : 100M

リピータのやってること：コリジョンって何？

• 全てのポートに同じ電気信号をコピーして送信

A _B C D E F G H 宛先：B

リピータのやってること：コリジョンって何？

• 宛先：B の電気信号が全てのノードに送信

リピータのやってること：コリジョンって何？

• 全てのノードが宛先を確認し、Bのみが受信

リピータのやってること：コリジョンって何？

• AとHが同時に送信を始めるとコリジョンが発生。

A _B C D E F G H

コリジョン回避手法

• CSMA/CD

– Carrier Sense Multiple Access with Collision

Detection

• CSMA/CA

– Carrier Sense Multiple Access with Collision

Avoidance

CSMA/CDによる衝突回避

• AとHが同時に送信を始めるとコリジョンが発生。

A _B C D E F G H

CSMA/CDによる衝突回避

• AとHは自分が出した電気信号が戻ってこないの

で、衝突が起こったことを把握する。

A _B C D E F G H

？

？

CSMA/CDによる衝突回避

• AとHは一定時間待って、データを再送信する。

A _B C D E F G H 宛先：B

リピータのやってること：コリジョンって何？

• 全てのノードが宛先を確認し、Bのみが受信

CSMA/CDによる衝突回避

• AとHは一定時間待って、データを再送信する。

A _B C D E F G H

リピータのやってること：コリジョンって何？

• 同様に全てのノードが宛先を確認し、Gのみが受信

CSMA/CAによる衝突回避

• 無線は有線と同じCDを使うことができない

CSMA/CAによる衝突回避

• 誰も使っていないことを検知したら、

A _B C D E F G H

ん？誰も

使ってな

さそう！

CSMA/CAによる衝突回避

• 一定時間待って、

A _B C D E F G H

大丈夫か

な？

CSMA/CAによる衝突回避

• データを送信

A _B C D E F G H

リピータを用いたネットワークの限界

• 段数

– 10-baseT ： 4段まで

– 100-baseT： 2段まで

• 距離

– 伝送媒体の特性に拠って異なる

ブリッジの働き：コリジョンドメインの分離手法

• とにかくFrameが目的のノードに届けばいい

– どのポートに誰がいるか覚えておけばいい

MACアドレス学習による送信ポート選択

• Bを宛先とするデータが送信された場合

A _B C D E F G H 宛先：B

MACアドレス学習による送信ポート選択

• 左から2番目のポートにBがつながっているのを

知っていれば、無駄のないデータ送信ができる

MACアドレスとポートを結びつけるには？

• さて、MACアドレスを覚えていないデータが

到達した場合、どうなる？

– （選択肢１）：全てのポートにデータを送信

– （選択肢２）：ARP-requestを送信し、ポートを特

定する

->答えは、「選択肢１番」。

ARPで解決するのは、MACアドレスとIPアドレス

の対応情報です。

セグメント

• ブロードキャストドメインの限定

– ブロードキャストパケットが届く範囲

– 最小単位のネットワーク

• 要求に応じたオペレーションをするために分割

– 無線LANセグメント

• 広い範囲でユーザに自由に開放

– ファイアーウォールセグメント

• ユーザのPCを外部の攻撃から守りたい

– サーバーセグメント

• セキュリティの観点からユーザセグメントとは分割したい

VLAN(仮想LAN)

• 要求

– 1つのネットワーク機器で、複数のセグメントを管

理したい

– 複数のネットワーク機器で、1つのセグメントを共

有したい

• VLAN

– Port VLAN

– Tagged VLAN(802.1q)

Port VLAN

• 同じスイッチのポート間で LAN を分離

– 各VLANは物理的に独立したスイッチと同じように動作

独立したルータによるVLAN転送

• 同じスイッチで VLAN1,2 を設定した場合でもVLAN

間接続のためにルータが必要

ルータ

ルータとして機能するスイッチ

(Layer 3 スイッチ)とVLAN

• スイッチがVLAN間転送をする

– ルータ接続のための物理ポートが不要

VLAN１

VLAN2

ルータ

Tagged VLAN

• あるフレームがどの VLAN に対するものなのかを

Ethernetフレームにtagをつける

– 一本の物理回線に複数の VLAN を通せる

– Ethetnetフレームに、VLAN tag(VLANのID)のためのフィー

ルドを追加

VLAN１

VLAN2

VLAN１

VLAN2

両方のVLANに属するパケットが流れる

2

1

広域Ethernet

• 遠隔地点間を、Ethernetの技術で接続

– 光ファイバ網の整備

• 高額な専用線が不必要

– 比較的安価/高性能なスイッチ

– Ethernetの広域化

• 1000BASE-LX

5km

• 10GBASE-ER

40km

広域Ethernet

東京

大阪

名古屋

東京

大阪

名古屋

専用線の場合

VLAN 1 VLAN 2 VLAN 1 VLAN 2 VLAN 1 VLAN 2

各地点で2本ずつの回

線が必要

各地点で1本ずつ線があ

ればいい

VLANを用いたセグメント

の共有が簡単

何故、広域Etnernetが流行っているか

– 複数地点を接続するには、Shared Link を使うと

効率がいい

• Point-to-Point回線だと、たくさんのリンクが必要

• 広域Ethernet技術を用いると、LAN環境を遠隔複数

拠点で共有することができる

– ネットワーク管理者の要望

• LANの延長で管理したい

• 機器(カード)が安い

広域Ethernetサービス

• CWC「高速バックボーンサービス」

• NTTCom「ギガウェイ」

• KDDI「

KDDI Ether-VPNサービス

」

• Poweredcom「powered ethernet」

• NTT-communications「 e-VLAN 」

• その他いろいろ

• 回線導入コストは、20km離れた場所で100Mbpsの

回線を引く場合、月額70万円(ギガウェイの場合)

ブロードキャストドメインの分割

• ブロードキャストドメイン

ハブ ハブ ハブ ハブ ルータ

L3に上げることの意味

• ブロードキャストの嵐を回避

• 折り返しのトラフィックの軽減

IPアドレスの割り当て

• 管理組織から組織/ISPにざっくり割り当て

– 日本国内はJPNIC

– ISPがさらにその顧客に割り当て

133.27.0.0～

133.27.255.255

を使ってください

慶応大学

ISP

企業

JPNIC

アドレッシング

• 配られたアドレスブロック

– 部署によって使い分けしたい

– キャンパスによって使い分けしたい

• などのポリシーに対応

ｰ> サブネットの導入

サブネット

• あるネットワーク内では、割り当てられたIPアドレス空間を

使って、

サブネット

を構築 ( セグメント )

• 例:133.27.4.0 netmask 255.255.254.0

– 133.27.4.0 ～ 133.27.5.255 まで

– その他は自由にホストに割り当てできる

133.27.0.0～133.27.255.255 ( 65536個 ) 133.27.0.0 ～133.27.3.255 133.27.4.0 ～5.255 先頭から 2048個 次の 256個 次の 256個 133.27.5.0 ～5.255 ユーザセグメント サーバ 事務局セグメント

DHCPアドレス取得までの流れ

DHCP server node A

• MACアドレスを用いた通信

1. DHCP DISCOVER

• node Aからのブロードキャスト宛のDHCPサーバ向けのパケット

2. DHCP OFFER

• node A宛のDHCPサーバからのパケット

3. DHCP REQUEST

• node Aからのブロードキャスト宛のDHCPサーバ向けのパケット

4. DHCP ACK

• node A宛のDHCPサーバからのパケット

DHCPサーバのログ

lease 203.178.139.168 {

starts 4 2003/12/04 05:07:31;

ends 4 2003/12/04 05:17:31;

binding state active;

next binding state free;

hardware ethernet 00:02:2d:07:bb:2e;

uid "¥001¥000¥002-¥007¥273.";

client-hostname "sirokuma-t23";

}

HTTPDのログ

83.31.146.183 - - [16/Mar/2004:08:07:09 +0900] "GET / HTTP/1.1" 403

283 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

65.41.142.225 - - [16/Mar/2004:09:17:52 +0900] "GET / HTTP/1.1" 403

283 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

67.4.59.221 - - [16/Mar/2004:11:07:59 +0900] "GET / HTTP/1.1" 403 284

"-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

24.77.24.64 - - [16/Mar/2004:11:22:49 +0900] "GET / HTTP/1.1" 403 284

"-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

203.81.64.24 - - [16/Mar/2004:13:49:19 +0900]

"XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

XXXXXXXXXXXXXXXXXXXXXXXX%u9090%u6858%ucbd3%u7801

%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u

9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078

%u0000%u00=a HTTP/1.1" 400 307 "-" "-"

12.129.97.254 - - [16/Mar/2004:14:50:26 +0900] "GET / HTTP/1.1" 403

283 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

ホスト特定の方法

• 通信履歴より

– IPアドレス

– ホスト名

– MACアドレス

– netbios名(Windows)

– 認証用アカウント名

• アカウントデータベースより

– 契約名

まとめ

• ブリッジとルータ

– ブロードキャストドメイン

• サービスとログ