【ネスぺ対策】インターネット層まとめ

クラスと先頭ビットの関係さえおさえておけば，アドレス範囲は計算で求めることができる。

IPv4は32bit，IPv6は128bit。なお，IPv6のアドレス空間がIPv4のアドレス空間の4倍であることから，IPv6のDNSレコードはIPv4のDNSレコードであるAレコードを4つ並べたAAAAレコードとなる。

リンクローカルはルーターを超えない範囲，ユニークローカルはルーターは超えるが同一LAN内の通信を行うためのアドレス。IPv6ではリンクローカルアドレスが必須で付与されるため，ルーターを超えない同一セグメントであればネットワークに接続しなくても通信可能である。IPv6におけるユニークローカルアドレスは，IPv4におけるプライベートアドレスに相当する。

• トンネリング
  • IPv6パケットをIPv4パケットでカプセル化する。6to4/ISATAP/Teredoなど。
• デュアルスタック
  • 単一機器にIPv4とIPv6という仕様の異なるプロトコルスタックを共存させて使い分ける。
• トランスレータ
  • トランスレータ機能をもつハードウェアを使用して相互変換を行う方式。Proxy/NAT-PT/TRT方式など。

NATの外部から内部に接続することができないという問題を解決すること。NATはIPv4の枯渇を防ぐために開発されたグローバルアドレスとプライベートアドレスを一対一に対応付ける技術であり，基本的には内側から外側への接続のみを想定していた。NAPTも同様の思想で，一つのグローバルアドレスに対して複数のプライベートアドレスを対応付けるためにポート番号を用いるものである。しかし，最近では外側から内側への接続を行うことが多くなってきたため，NAPT越えを行う必要が出てきている。本質的には，IPv6を用いることでIPアドレスの枯渇問題が実質的に解決されるため，トンネリング・デュアルスタック・トランスレータといったIPv4とIPv6の共存技術もNAT越えに分類される。他にも，NAT越えにはアプリケーション側でNAPT変換テーブルを作成する技術などが利用される。

ヘッダのチェックサムが削除されたため。

IPv4射影アドレスとは，IPv4アドレスをIPv6アドレスとして表現したアドレスのことを指す。

IPヘッダ。tracerouteの仕組みを理解しておけば，TTLがIPヘッダに含まれることは容易に理解できる。

• 0で始まる場合（後ろの0は省略できない）
  • 01AB→1AB
• 全てが0（:0000:）の場合
  • :0000:→:0:
• :0000:が連続する場合（一箇所だけ）
  • 1111:0000:0000:4444→1111::4444

40byteの基本ヘッダとデータ部の間に挿入される最小0byteのヘッダのこと。IPv4ではTCP/IPとは分離されていたESPヘッダやICMPv6ヘッダ，フラグメントヘッダ，ルーティングヘッダなどが定義されている。

IPsecやPPTPのヘッダにはポート番号が設定できないため，NAPTを通過することができない。この問題を解決するため，以下の解決策が用いられる。

• NATトラバーサル：UDPでカプセル化する
• VPNパススルー：ESPヘッダ中のSPI(Security Parameter Index)を元に判別

経由したL3デバイスのIPアドレス。例えば，L2 over IPで構成されたルータはL2デバイスとして機能するためtracerouteでは表示されない。

フルメッシュ構成。逆に，一つのデバイスが一元管理する構成をハブアンドスポーク構成と呼ぶ。これらはIPsec VPNの代表的な構成の二つである。

欠点は以下の二つ。

• ルータの処理が重くなること
• 分割された断片の一つが失われるだけで元のIPデータグラムの全てが失われてしまうこと。

一般には，経路MTU探索を用いて経路上で分割処理が必要とならない最大のMTUを求めておき，始点ホスト側でIPデータグラムをあらかじめ分割することで，ルータによる分割処理を防止する。経路MTU探索は，IPヘッダ中の分割禁止フラグを1に設定して，ICMP到達不能メッセージが返答されればその中のMTUの値を用い，正常に通信できれば初回に用いたMTUの値を用いるというものである。また，IPv6では分割処理は始点ホスト側でのみ行われ，経路MTU探索は実装がほぼ必須の機能になっている。加えて，IPv6では最小のMTUが1280byteと定められているため，経路MTU探索を行わずとも始点ホスト側でIPデータグラムを1280byte単位で分割してから送信してもよいことになっている。

MACテーブルはMACアドレスとポートの対応，ARPテーブルはIPアドレスとMACアドレスの対応を記録するテーブルである。MACテーブルに宛先MACアドレスがない場合は，すべてのポートからフレームを送信するフラッディングを行う。ARPテーブルに宛先IPアドレスがない場合は，ARP要求をブロードキャストで送信する。なお，フラッディングは「仕方なく全ポートに向けて送信する」というニュアンスで，ブロードキャストは「意図的に全ポートに向けて送信する」というニュアンスである。ブロードキャストは「ブロードキャストアドレス」に対する意図的な通信であることに注意する。

ルーティングプロトコルで勘違いしやすいのはEGPである。ルーティングプロトコルは組織内のIGP（Interior Gateway Protocol）とEGP（Exterior Gateway Protocol）に分かれ，RIPやOSPFはIGPに分類される。EIGRP（Enhanced Interior Gateway Routing Protocol）はRIPとOSPFのいいとこ取りをしたプロトコルで，メトリックにはデフォルトで帯域幅の逆数と遅延の和に比例した値を利用する。

一方で，EGPでは主にBGP（Border Gateway Protocol）が利用されるが，EGPにはEGPという名前のプロトコルも存在する。IGPの対義語としてのEGPと，EGPを実現するプロトコルとしてのEGPの両者が混在しているのである。上の表におけるEGPは後者であり，初期のインターネットで利用されていたAS間のルーティングプロトコルである。しかし，経路情報の収束が遅いことや管理者が経路を任意に指定できないこと，クラスを使わないIPアドレスの割り当てと経路情報の集成を行うCIDR（Classless Inter-Domain Routing）に対応していないことなどから，現在ではBGPの利用が主流になっている。

BGPのうちAS内のBGPルータで経路情報をやり取りするものをIBGP，AS間のBGPルータで経路情報をやりとりするものをEBGPと呼ぶ。IBGPではループを防ぐために他のIBGPルータから受信した情報を他のIBGPルータに送らないスプリットホライズンという対策を打つが，AS内にIBGPルータ数が多い場合には必要なセッションが膨大になってしまうため，他のIBGPルータから受信した情報をループを発生させることなく転送するルートリフレクションという仕組みを利用する。

LSA（Link State Advertisement）とは，OSPFにおいて周囲のルータの接続状態を配信するために隣接ルータ間で交換されるパケットのことを指す。

• OPEN：セッション開始
• KEEPALIVE：定期的に送信される生存確認
• UPDATE：経路の追加や削除が発生した場合に送信
• NOTIFICATION：セッションの切断やエラー通知
• ROUTE-REFRESH：経路情報の要求

AS間の情報をやりとりするEGPの方が大切。このことから，EGPの一つであるBGPではTCPが利用され，IGPの一つであるRIPやOSPFではUDPが利用されることが分かる。OSPFではマルチキャストを利用して不特定多数のOSPFルータと経路交換を行うのに対し，BGPではピアリングと呼ばれる論理的な接続を行ったルータにTCPポートの179番で接続する。

BGPには，異なるAS間で利用されるeBGPと同一AS内で利用されるiBGPがある。eBGPとiBGP間でやり取りされる経路情報は，NEXT_HOPを自分の情報に書き換える。eBGPとiBGP間でやり取りを行うということは，そのルータは異なるASへの窓口として機能しているということであり，NEXT_HOPを書き換えることで異なるASへの接続先を明示することができるからである。一方で，iBGP内でやり取りされる経路情報は，NEXT_HOPを自分の情報に書き換えない。iBGP内でやり取りを行う際は，必ずしも自分を経由する経路が最適であるという保証はなく，NEXT_HOPを書き換えることで最適でない経路を設定してしまうことに繋がりかねないからである。iBGP内で適切な経路をNEXT_HOPに指定するためには，静的に運用者が設定するか，特定のルータに自分の情報でNEXT_HOPを書き換える設定を行う必要がある。

• AS_PATH：経由してきたAS番号の並び
• NEXT_HOP：宛先ネットワークアドレスに向かうためのIPアドレス
• MULTI_EXIT_DISC：eBGPピアに対して通知する優先度
• LOCAL_PREF：iBGPに通知する優先度

BGPはそもそも複数のASを結ぶ間で利用されるプロトコルであるため，NEXT_HOPの対象はネットワーク「アドレス」である点に注意する。iBGPのようにAS内でBGPが使われている理由は，役割の階層化の結果BGPにもAS内で動作する機能を持たせた方が都合がよいからである。

負荷分散される。STPではMACアドレスを参照してルートスイッチを定めるため，混同しないように注意が必要。

ASの中にエリアが複数存在する。ネットワークを複数のエリアに分割する理由は，ルータの負荷分散や処理速度向上。

当初は16bit（2オクテット）で管理していたが，需要増加による枯渇が予想されたため32bit（4オクテット）まで拡張されることになった。なお，日本のAS番号はJPNIC（Japan Network Information Center）が管理している。

前者では経由するルータの数しかわからないのに対し，後者では経由するAS番号が分かるためループの判別が可能になる。

あるルーティングプロトコルで学習した経路情報を異なるルーティングプロトコルで通知するためには，ルート再配布を行う必要がある。例えば，OSPFとスタティックルートは混在させることはできないため，OSPFでスタティックルートを再配布する必要がある。

• OSPF：Helloパケット
• VRRP：VRRPアドバタイズメント（広告）
• BGP：キープアライブ

静的経路情報の方が動的経路情報よりも優先される

値が小さい方が優先される。IGPよりもEGPの方が大切であることから，OSPFよりBGPの方が優先度の値が小さいことが理解できる。なお，この優先度のことをアドミニストレーティブディスタンスとよぶ。

• 転送用ラベル：MPLS網内の全てのルータで交換される
• 識別用ラベル：MPLS網内では保持し続ける

セグメント。OSPFのエリア単位ではないため注意。また，BDRのBはBoarderではなくBackupであるため，BDRがなくてもOSPFは動作する。

経路に障害が発生した場合などに経路の迂回路を見つけるのに時間がかかる点。これは，定期的な経路情報の交換であるレギュラーアップデートを30sごとに行うことや，レギュラーアップデートが届かなかった場合に無効の判断に180s要すること，さらにはルーティングテーブルから無効な経路を削除する前に行うガベージコレクションに120sかかることなどに起因している。加えて，RIPではネットワークの回線速度を考慮せずにホップ数だけで経路を決定するため，最適な経路を選べない可能性もある。

経路情報を教えられたインタフェースには経路情報を流さないことで，RIPの無限カウント，すなわち輻輳を防ぐ。しかし，ループ構造がある場合には輻輳を防ぐことはできない。

出口が一つのOSPFエリアのことを指す。出口が一意に定まるため，外部情報を伝える必要がないという特徴がある。

MPLSのラベルがないデータリンクに対して，IPヘッダの前に付与するヘッダ。例えば，イーサネットにはMPLSラベルを付与するフィールドが定義されていないため，シムヘッダを付与する必要がある。なお，シム（shim）とはくさびという意味であり，MPLSの動作に対してクリティカルに必要となる情報を差し込むというイメージで理解すればよい。

最適経路が複数存在するときの分散方法はECMP（Equal Cost Multi-path）と呼ばれているが，パケットごとに経路を選択する方法をパケットモード，送信元IPアドレスと宛先IPアドレスごとに経路を選択する方法をフローモードとよぶ。パケットモードの方が経路の偏りが少ないが，フローモードの方が通信品質への影響は少なくなるため，通常はフローモードが利用される。

これらの属性を用いて，BGPでは下記の順番で上から一つの最適経路を求める。

• NEXT_HOPに到達できること
• LOCAL_PREFが最大であること
• 自分自身（networkコマンド）で生成したパスであること
• AS_PATHが最短であること
• ORIGINが最小であること（自身のAS内部で生成 < 外部で生成 < 生成元が不明）
• MEDが最小であること

なお，「iBGPよりもeBGPを優先」「ルータIDが最小」といったような覚えるべき内容ではない部分は省略している。

• 宛先IPアドレス
• ネクストホップ

宛先IPアドレスが頻繁に変わるのであれば，デフォルトルートにFWや中継地点のルータを設定することで，当該IPアドレスの変更に伴う設定変更箇所を一か所に寄せることができる。

RIP2をIPv6に対応させたプロトコル。

• フォワーディングテーブル（転送表）：MACアドレスと転送するインタフェースの対応表
• ルーティングテーブル（経路制御表）：IPアドレスと転送するインタフェースの対応表

• Macアドレステーブル：Macアドレス・ポートの対応表
• ルーティングテーブル：ネットワーク・Next Hop・インタフェースの対応表
• ARPテーブル：IPアドレス・Macアドレスの対応表

送信元MacアドレスからMacアドレスとポートの対応表を学習する。なお，転送表に宛先Macアドレスが存在しない場合は全てのポートから通信を送出する。

• DHCPにおける自アドレスと重複するIPアドレスの検知
  • もしいずれかの端末からARP応答があればそのIPアドレスに重複があるということ
• フェールオーバー時のARPテーブル更新
  • 主系サーバから仮想IPアドレスを引き継いだ待機系サーバがGARPを利用する。ちなみにフェールオーバーとは主系のサーバがダウンしたときに自動的に待機系のサーバに切り替える仕組みのことを指し，システムの可用性を高めるための冗長化の一つである。

スレーブのMACアドレスを更新するため。ARPでは要求でも応答でもL2機器のMACアドレステーブルを更新する仕様となっているため，GARPのターゲットIPアドレスに自身のIPアドレス（VRRPでは仮想IPアドレス），ターゲットMACアドレスに自身のMACアドレスを格納すればよい。なお，要求ではなくいきなり応答を送ってもよい。「マスタのMACアドレスが返ってくるのでは」と思うかもしれないが，フェールオーバー時はそもそもマスタがダウンしているため，MACアドレスは返ってこない。

届く。ICMPはレイヤ3（もしくはレイヤ4）のプロトコルであるため。

サーバとマルチキャストグループに配信するNW機器の間の通信で大きな帯域を使ってしまうという問題。

• IPアドレス：クラスD（1110...）
• MACアドレス：上位3byteは01-00-5eで固定して，下位3byteはIPアドレスの2byte目〜4byte目を使う。その際，3byte目の最初の1bitは0にする。

• DHCP DISCOVER：クライアントがDHCPサーバを探すためのブロードキャスト
• DHCP OFFER：IPアドレスやサブネットマスクなどを提案するためのユニキャスト
• DHCP REQUEST：オファーの内容を受理したことを伝えるブロードキャスト
• DHCP ACK：IPアドレスやサブネットマスクなどの最終通知

注意するべきなのは，DHCPサーバが複数存在する場合があるためDISCOVERと REQUESTがブロードキャストであるという点。これにより，DHCPサーバが同一セグメントに存在しない場合はDHCPが機能しないことが分かる。これを解決するのがDHCPリレーエージェントで，ルータがDHCPへの通信を中継してくれる機能である。

• 不正なIPアドレスを払い出すこと
• 固定IPアドレスを割り当てること

• 正規のDHCPサーバが接続されるポートを指定する機能
• 正規のDHCPサーバからIPアドレスを割り当てたPCだけを通信させる機能

払い出すIPアドレスのサブネットを識別すること。giaddrはgateway IP Addressの略称であり，DHCPブロードキャストを受信したインタフェースのIPアドレスを格納するDHCPパケットのフィールドである。

マルチキャスト通信を行うためには，

1. 端末が所属したいグループ（＝マルチキャストアドレス）を管理する
2. グループ宛の通信をルーティングする
3. マルチキャスト通信を受け取る送信元IPを指定する

必要がある。1.はL3装置↔︎端末間でIGMPというプロトコルで実現する。なお，L3装置↔︎端末の間に位置するスイッチでグループと端末のMACアドレスの対応関係を学習するが，この機能はIGMPスヌーピングと呼ばれている。2.はL3装置↔︎L3装置間でPIM（Protocol Independent Multicast）というプロトコルで実現する。3.はSSM（Source Specific Multicast）というプロトコルで実現するが，端末側がIGMPv3に対応している必要がある。

PIMにはSM（Sparse Mode）とDM（Dense Mode）があるが，SMが利用されDMはあまり利用されない。

QueryとError。Queryを用いた通信プログラムにはpingやtracerouteがある。

• Echo reply（0）：pingやtracerouteで用いられるエコー応答
• Destination Unreachable（3）：ネットワークやホストに到達できない
• Redirect（5）：ネットワークやホストに最適経路を通知する
• Echo Request（8）：pingやtracerouteで用いられるエコー要求
• Time Exceeded（11）：TTLの値が超過やパケットの再構築処理中のタイムアウト

特に，Destination UnreachableにはHost UnreachableやPort Unreachableが含まれる。

ポートVLANを拡張し，IEEE802.1Qで標準化されたものがタグVLAN。ポートVLANでは使用するVLANの数だけポートが必要となるが，タグVLANではトランクポートと呼ばれる一つの物理ポートを利用して複数のVLANを構成することができる。

VLANはデータリンク層の技術のため，データリンク層を流れるイーサネットのフレームを書けばよい。その際，オプションで送信元MACアドレスとタイプの間に4byteの802.1QVLANタグが挿入されることに注意する。

CFIはCanonical Format Indicatorの頭文字をとった略称でアドレス形式を表すが，覚えなくてもよい。

• 通信形態：宛先が仮想IPアドレスのマルチキャスト通信
• プライオリティ値：大きい方が優先

• VRRPグループID
• プライオリティ値
• 仮想IPアドレス

切り替え時にステートフルセッション機能の引継ぎが上手くなされないこと。

1. 自分自身を指すアドレス。いわゆるlocalhost。
2. ループバックインタフェースに紐づけたIPアドレス。

通常，ホストにはNICに紐づくインタフェースに加えて，localhost向けの通信を受け付けるループバックインタフェースという仮想的なインタフェースが存在する。このループバックインタフェースは外部からの通信を受け付けることが可能であるため，2つ目のインタフェースとして利用することができる。

これを踏まえると，サーバが冗長化されており，自IPアドレスとは異なるVIPアドレス向けのパケットを受理したい場合に，ループバックインターフェースとVIPを併せて使い，疑似的にVIP向けのパケットを受理することができる。ただし，このままではARPに反応してしまうため，VIPが重複しているとしてエラー判定されてしまう。そこで，ループバックインターフェースがARPに反応しない設定を行う必要がある。

• 自動的にケーブル接続と同じ状態になる機能
• 対向側の故障を検知して高速化機能を停止した上で，通信を継続する機能

二つ目に関しては，WASは代理応答・キャッシュ蓄積・データ圧縮などにより対向側とペアで動作するため，片方のWASが故障してしまったら正常に動作しないことが背景にある。

ラウンドトリップ時間が大きい場合。ただし，ラウンドトリップ時間とはTCPコネクションにおけるパケットの往復時間である。

行う。行わないと戻りパケットの送信元IPアドレスがロードバランサではなくサーバとなってしまうため，クライアントに戻ってきたとしてもロードバランサのIPアドレスとの不一致でパケットが破棄されてしまう。この問題を解決するため，ロードバランサではソースNATを用いて送信元IPアドレスをロードバランサのものに書き換える。その際には，クライアントのIPアドレスの情報をHTTPヘッダのX-Forwarded-Forで保持しておく必要がある。なお，戻りのパケットをロードバランサを介さずにサーバから直接返すことも可能であり，そのような機能をDSR(Direct Server Return)と呼ぶ。

ない。ポート番号が存在しないため，NAPTができない。

ブロードキャストやマルチキャストのフレームをカプセル化できること。そのため，ブロードキャストやマルチキャストをカプセル化できないIPsecでGREのカプセル化が利用されることがある。具体的には，OSPFのHelloパケットはマルチキャスト通信となるため，インターネットVPN上を実現するIPsecでHelloパケットを交換することができない。そこで，GREでカプセル化することでOSPFの通信を実現することができる。この形式をGRE over IPsecと呼ぶ。

IPsecはマルチキャスト通信を通さないため，OSPFの通信を行うことができない点。マルチキャスト通信を通すためには，GREでIPsecをカプセル化するGRE over IPsecを利用する。