• 検索結果がありません。

ネットワーク基盤応用 (5)

N/A
N/A
Info
ダウンロード
Protected

Academic year: 2021

シェア "ネットワーク基盤応用 (5)"

Copied!
53
0
0

読み込み中.... (全文を見る)

今ダウンロードする ( 53 ページ )

全文

(1)

ネットワーク基盤応用

(5)

(2)

暗号化の必要性

• 無線LAN = 電波が飛んでいきます。 • 意図しないところまで電波が飛びます。 – 家の中のつもり家の外まで飛ぶ • 携帯電話とおなじ – ケーブルがなくてイイ!線がないので、誰がつ ないでいるのか「直感的に」わかりません。 • 安全に使えるようにすること=暗号化と認証

(3)

暗号化と認証

• 暗号化 – 通信(無線LAN)の内容を「見にくくする」 • いろんな方法があります。 • 認証 – 無線 LANの利用者を管理する。 • 知らない人には、使わせない。

(4)

無線

LANでの暗号化・認証

方法(規格) 認証 暗号化 備考 なし なし なし SSIDが必要 WEP 40bit なし・あり 5バイト(五文字)の「鍵(パス ワード)」で暗号化 SSIDが必要 きわめて脆弱 WEP 128bit 13バイトの鍵で暗号化 SSIDが必要

まあ脆弱 TKIP 13バイトの鍵で暗号化

ただし鍵がどんどん変更

SSIDが必要 まあ脆弱 WPA TKIP *) 13バイトの鍵で暗号化 SSIDが必要

(5)

おすすめ

=WPA/WPA2

• WPA – WPA-パーソナル • PSK:Pre-Shared-Key 共有鍵方式 – WPA-エンタープライズ • 外部のサーバなどと連携したより強力な方式 • 暗号化と個人証明 • WPA2 – WPA-パーソナル • PSK:Pre-Shared-Key 共有鍵方式

(6)

パーソナル

/エンタープライズ

• パーソナル – 鍵を知っている人が無線LANに接続できる。 • 「鍵」が「暗号化の鍵」と「利用者の認証」を兼ねている。 • シンプルなので、個人向け、つまり、パーソナル • エンタープライズ – 個人証明書(SSL証明書)による利用者の認証 • 認証

(7)

ポイント

パーソナルの場合 エンタープライズの場合

共通の鍵

この子に無線LANを使わせな

(8)

今回は、

WPA/WPA2 personal

• WPA personal 設定方法

(勉強のために) 設定済みのSSIDを no dot11 ssid [あなたのSSID]

で消してから、設定すること。 • コンフィグモードのDot11 ssid の項に設定す る。3つのステップ – 認証モードを(authentication open)にする。 – WPAの使用するバージョンを指定(WPA or WPA2 or WPA/WPA2)

(9)

今回は、

WPA/WPA2 personal

まず、dot11 ssid あなたのSSID に入る。 (SSIDがtsunamiの場合)

ap(config)#dot11 ssid tsunami

ap(config-ssid)#authentication open 認証なしの設定 ap(config-ssid)#guest-mode

*WPAとWPA2ともに使うとき

ap(config-ssid)#authentication key-management wpa

(10)

今回は、

WPA/WPA2 personal

次に、PSK(共有鍵)の設定をする。 (SSIDがtsunamiの場合)

ap(config)#dot11 ssid tsunami

ap(config-ssid)#authentication open

ap(config-ssid)#authentication key-management wpa

(以上、設定済み)

共有鍵を ”hage-hoge-mage” とするとき

ap(config-ssid)#wpa-psk ascii 0 hage-hoge-mage

注意点:鍵の大きさは、8文字から63文字まで ap(config-ssid)#wpa-psk ascii 0 hage-h

(11)

各インターフェースに

SSIDを設定

• 暗号化していない時と同じく、dot11radio 0 と 1 に SSIDを割り当てる。 – このとき、暗号化(WPA)で使う方式(AES方式を使う。) を指定しないといけない。 – ただし、すでに設定済みのssid(dot11radioにもssid が設定してある。)に対して、WPAへ変更した時は、自 動的に、” encryption vlan 101 mode ciphers

(12)

次にブリッジの設定をする。

• 無線LAN側のVLAN 101インターフェースを割 り当てる。

ap(config)#int dot11Radio 0.1

ap(config-subif)#encapsulation dot1Q 101

ap(config-subif)# bridge-group 2

(13)

有線

LAN側の設定

ap(config)#interface fastEthernet 0.1 ap(config-subif)#encapsulation dot1Q 101 ap(config-subif)#bridge-group 2 (dot11radio0.1 と有線LAN間をブリッジ(つな ぐ)する設定)

(14)

テストしてみよう。

• SSIDを決める(前回のでもOK) • WPAでつかう共有鍵(PSK)をきめる – WPAの共有鍵で使える文字 8-63文字で 英数(A-Z,a-z,0-9)と記号が使えます。 記号: !%)-;?]{“&*.<@^|#’+/=[_}$(,:>¥`~ アクセスポイントを設定する

(15)
(16)

WPAでの接続方法

• Windows XP(SP2以降)

1. XPの通知領域にある[ワイヤレス ネットワーク接続]ア イコンを右クリックし、「利用できるネットワークの表

(17)

2. 接続する無線LANアクセスポイントのネット ワーク名(SSID)を選択し、接続をクリックする。 3. [詳細設定の変更]をクリックする

(18)

4.接続する無線LANアクセ スポイント(親機)のネット ワーク名(SSID)を選択し、 [プロパティ]をクリックする

(19)

• 「WPA-PSK」を選択する(6) • 「データの暗号化」から 「AES」を選択する(7) • 「ネットワークキー」に共 有鍵の値(アクセスポイン トに設定した値)を入力し、 同じものを[ネットワーク キーの確認入力]に再入 力する。(8)

(20)

WPAでの接続方法

• Windows VISTA 1.[スタート](Windowキー) -[ネットワーク]-[ネット ワークと共有センター]-[ネットワークに接続]を クリックします。 (※ 通知領域(タスクトレイ)に表示されているワイヤレス ネットワーク接続アイコンを右クリックして[ネット ワークに接続]をクリックする方法もあります。) 2.無線LANアクセスポイントのネットワーク名(SSID)を選 択します。 • Windows 7 1.右下タスクトレイ内に表示され ているワイヤレスネットワーク 接続アイコンをクリックして 接続するSSIDを選択する。 「自動的に接続する」のチェックを外す。

(21)

Vista / 7 共通

3.[接続]をクリックします。 ※接続に失敗した場合 • 一度接続した際に保存されていたネットワーク設定を削除 する。 (1) [ネットワークと共有センター]-[ワイヤレスネットワークの 管理]をクリックする (2) 接続するネットワーク名(SSID)を選択して右クリックし、 [ネットワークの削除]をクリックする

(22)

4. 無線LANアクセス ポイントの共有鍵 を[セキュリティ キーまたはパスフ レーズ]に入力し、 [接続](OK)をク リックします。 Vista

(23)

• 接続が成功した ら、閉じて完了し ます。 (うまくつながらな いときは、次のス ライドへ) Vista

(24)

• 手動設定の方法

• [ネットワークと共有センター]-[接続または ネットワークをセットアップします]をクリック

(25)

• ワイヤレスネットワークに手動で接続します]を選択し、[次へ]を クリック

(26)

• ネットワーク名にSSIDを入力 する。 • [セキュリティの種類]で [WPA2-パーソナル]を選択 する • [暗号化の種類]で[AES]を 選択する • [ネットワークセキュリティ キー]に共有鍵を設定する。 • [OK]をクリックする – 自動的に・・にチェックをす るとSSIDが発見されるとつ ながります。

(27)

複数

SSID(multiple ssid)

• 複数のSSIDをつかって、複数のネットワーク を提供する。

(28)

4つの

SSIDを設定する場合

SSID: all SSID: nobody SSID: tanuki SSID: kitsune 無線LANアクセスポイント

(29)

ポイント

• 無線側におけるネットワークの選択は、SSID で決める。 – どのネットワークにつなぐかは、SSIDで決める。 • 有線側ネットワークは、VLAN(Virtual LAN)技 術を使って対応する。 無線側 3つのネットワーク

(30)

VLANって?

• くわしくは、ネットワーク基盤技術 (http://www.fumi.org/kaetsu の Network infrastructure technology 1)をみるとよいで す。 – ここでは、要約して説明します。

(31)

ハブ=1つのLAN

?

• 通常の安いハブは、1ハブ=1LANです。 – 2つのLANに分けたいときは、ハブが2個必要です。 – 10つのLANに分けたいときは,ハブが10個必要で す. LAN1=セグメント1 LAN2=セグメント2

(32)

バーチャル(仮想)LAN=VLAN

• じゃあ、300個LAN必要なときは300個ハブ が必要? – YESともいえるけど、現実的でない。 バーチャルLANを利用する • 一つのハブで「複数」のLANを使える機能= バーチャルLAN=Virtual LAN = VLAN

(33)

VLANの利用例

• たった2つのLANでも,部屋をまたがってると大変

– 部屋ごと・LANごとにハブ

(34)

VLANの利用例

• VLANをつかうと,配線もハブも以下のように

すっきり統合できる。

ROOM-1 ROOM-2 ROOM-3 ROOM-4

25FL ink26F FastIron Edge X424 Console 1F2F3F4F 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 P ower NETWORKS25FL ink26F FastIron Edge X424 Console 1F2F3F4F 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 P ower NETWORKS25FL ink26F FastIron Edge X424 Console 1F2F3F4F 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 P ower NETWORKS25FL ink26F FastIron Edge X424 Console 1F2F3F4F 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 P ower NETWORKS25FL ink26F FastIron Edge X424 Console 1F2F3F4F 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 P ower NETWORKS

(35)

タグ

VLAN

• タグVLAN=1つのインターフェースで複数のLA Nをやり取りする技術

– 通常は,1つのインターフェース=1つのLAN

• タグ(tag) VLAN :IEEE802.1qが正式名称

– 複数のLANを「束ねる」(混ぜる)技術 25F L ink26F FastIron Edge X424 Console 1F 2F 3F 4F 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 P ower NETWORKS  LANケーブル一本に複数の

(36)

タグ

VLANのしくみ

• タグVLANでは,複数のLANを一つのイン ターフェースで取り扱えるように,混ぜられる 各LAN上の通信に「タグ番号(1~4094)」を つける. LAN1 LAN1 各LANに対応するタグ番号を付ける。 タグ番号をもとにLANを振り分ける

(37)

タグVLANのしくみ

• インターフェースのタグVLAN関連の設定 – タグ付きVLANを使用するインターフェース • トランク(trunk) モードといいます. – VLANを使用しない(タグなし)インターフェース • アクセス(access) モードと言います.

(38)

タグVLANは誰が使う?

• 通常は,ハブや,ワイヤレス・アクセスポイン トなどが使用します.

• パソコンや高性能なパソコン(サーバ用途な ど)も対応しています.

(39)

VLANのまとめ

• VLAN:一つのハブやアクセスポイントで複数 のLANを取り扱う機能 • VLAN tag:インタフェースに複数のVLANを混 ぜる(束ねる)ときに使うタグ • インターフェースには,trunk mode (複数の VLANをVLAN tagにて同時につかう機能) /

(40)

無線アクセスポイントとVLAN

• つまり,複数のワイヤレスネットワーク≒複数 のLANをアクセスポイント上で使うには,アク セスポイント上で,tag VLANを使う必要があ る. 無線側 3つのネットワーク

(41)

タグ

VLANとMultiple SSID

SSID(無線 LAN) ブリッジ 番号 VLAN(有線

LAN) VLAN tag番号 説明

Kimura 2 101 101 kimuraとvlan 101をブリッジ2がつな ぐ Hotaka 3 102 102 Hotakaとvlan102をブリッジ3がつな ぐ • タグVLAN(有線LAN側)のタグ番号と各SSIDを割り当てる。 – アクセスポイントは、「ブリッジ(橋渡し)」機能をつかって、無線 と有線をつなぐ。 – ブリッジは、「番号」ごとに設定する

(42)

タグ

VLANとMultiple SSID

• いままでは、1個のLANと1個のSSIDをブリッ ジ1でつないでいました。 SSID(無線 LAN) ブリッ ジ番 号 VLAN(有 線LAN) VLANのtag 説明 Yamada 1 VLANな し (vlan=1) なし (vlanが1個しかないから いらない。) SSID: yamadaと有線側LAN のネットワークをブリッジ1番 がつなぐ。

(43)

Multiple SSID の設定

• 基本はおなじですが、次の点が異なります。 • Multiple SSID機能をONすること • 各dot11 ssid の項目で、 – 複数のSSIDをブロードキャストする場合は、guest-modeコ マンドではなく、mbssid コマンドを使う – 利用するVLANを指定する。 • 各無線LAN(dot11radio 0 と1)および有線 LAN(fastethernet 0)で、 – vlanに対応したインターフェースの設定をする。

(44)

ステップ

1 Multiple SSID ON

ap(config)#dot11 mbssid

と入力し、いままで一個だったSSIDを複数設定

(45)

VLANとmultiple SSID

• 設定例は、以下の通り

– 有線LAN側は、同じLANにする。

• 設定を簡単にするために。

– 設定のとき、SSIDの名前は、各自で変えること!

• 設定前に今のSSIDを no dot11 ssid コマンドで消した方がよいです。 無線側 dot11Radio0 インターフェース 有線側 FastEthernet0 インターフェース SSID 暗号化など サブイン タフェー ス番号 無線側 VLAN ブ リッ ジ 番号 サブインター フェース番号 有線側 VLANのtag (VLAN TAG) anzen WPA- 1

(46)

設定例

ssid: anzenを作る

(すでにさっき作った)

ap(config)#dot11 mbssid ap(config)#dot11 ssid anzen ap(config-ssid)#vlan 101

ap(config-ssid)#authentication open

ap(config-ssid)#authentication key-management wpa ap(config-ssid)#wpa-psk ascii katudondesu

ap(config-ssid)#mbssid guest-mode ap(config-ssid)#exit ap(config)# • Wpaを使用するSSID “anzen”を設定する。 ap(config-ssid)# no guest-mode Guest-modeの設定を消す

(47)

設定例

ssid: benri を作る

ap(config)#dot11 ssid benri ap(config-ssid)#vlan 102

ap(config-ssid)#authentication open ap(config-ssid)#mbssid guest-mode

ap(config-ssid)#exit ap(config)#

• SSID “benri”を設定する。

(48)

各インターフェースに

SSID anzenと

benriを設定

ap(config)#int dot11Radio 0

ap(config-if)#encryption vlan 101 mode

ciphers aes-ccm ←不要:さっき設定済

(↑ポイント:anzenは、vlan 101としているので、vlan 101に対 する暗号化は、aesですよ!設定しないといけない。)

(49)

次にブリッジの設定をする。

(不要:さっき設定済み)

• 無線LAN側のVLAN 101(anzen) とVLAN 102(benri)に対し て、インターフェースを割り当てる。

ap(config)#int dot11Radio 0.1 無線側dot11radio0 に

VLAN 用のインターフェース1番(=サブインターフェース: VLANを処理する専門のインターフェース)を作成する.

ap(config-subif)#encapsulation dot1Q 101 無線側に

VLAN 101タグを割り当てる。

(このVLAN タグは,「無線LAN側」のタグ)

(50)

次にブリッジの設定

(benri用)をする。

ap(config)#int dot11Radio 0.2無線側にVLAN

用のサブインターフェース.2を作成する.

ap(config-subif)#encapsulation dot1Q 102 無

線側にVLAN 102タグを割り当てる。

(このVLAN タグは,「無線LAN側」のタグ)

ap(config-subif)# bridge-group 2  ブリッジは、2 番でおこなう。(表の通り)

(51)

有線

LAN側の設定

(不要:さっき設定済)

ap(config)#interface fastEthernet 0.1VLAN 101&102に使用するサブインターフェースを作 成する.

ap(config-subif)#encapsulation dot1Q 101タ グVLAN番号は,101とする.

(52)

動作確認する

• 2つのSSIDがWindows上の無線LANの検索で 表示されることを確認する.

(53)

(2013年特別)

このコマンドを打ってほしい

#

(config)#がでたら以下の3行を入力 interface FastEthernet0.1000

encapsulation dot1Q 1000 native bridge-group 1

参照

今ダウンロードする ( PDF - 53 ページ - 2.14 MB )

関連したドキュメント

Guide(thermocouple)_vol1

線径 素線の直径を示します。 直径が細いほど、温度反応速度が速いものとなります。 直径が細いほど使用中に切断し易く なります。.

吸着式デシカント空調プロセスの性能向上に関する 研究

''、29/kgである。図中の実線が還気側加湿操作有

計算量理論

スライド5頁では

Xperia 10 II オンラインマニュアル

ホーム画面で (設定) ネットワークとインターネッ ト モバイル ネットワーク 4G 回線による通話

コンピュータサイエンス基礎・講義資料( 2016 年度)

定可能性は大前提とした上で、どの程度の時間で、どの程度のメモリを用いれば計

近赤外線分光を用いた側頭葉の記憶に関する研究 利用統計を見る

We measured the variation of brain blood quantity (Oxy-Hb, Deoxy-Hb and Total-Hb) in the temporal lobes using the NIRS when the tasks of the memories were presented to the sub-

汚染の空間線量への寄与割合[%]汚染の空間線量への寄与割合[%]

一部エリアで目安値を 超えるが、仮設の遮へ い体を適宜移動して使 用するなどで、燃料取 り出しに向けた作業は

「原子炉格納容器内部調査技術の開発」

遮へいブロ ック手前側 の雰囲気 線量は約