【ネスぺ対策】ネットワーク層まとめ

• トンネリング
  • IPv6パケットをIPv4パケットでカプセル化する。6to4/ISATAP/Teredoなど。
• デュアルスタック
  • 単一機器にIPv4とIPv6という仕様の異なるプロトコルスタックを共存させて使い分ける。
• トランスレータ
  • トランスレータ機能をもつハードウェアを使用して相互変換を行う方式。Proxy/NAT-PT/TRT方式など。

NATの外部から内部に接続することができないという問題を解決すること。NATはIPv4の枯渇を防ぐために開発されたグローバルアドレスとプライベートアドレスを一対一に対応付ける技術であり，基本的には内側から外側への接続のみを想定していた。NAPTも同様の思想で，一つのグローバルアドレスに対して複数のプライベートアドレスを対応付けるためにポート番号を用いるものである。しかし，最近では外側から内側への接続を行うことが多くなってきたため，NAPT越えを行う必要が出てきている。本質的には，IPv6を用いることでIPアドレスの枯渇問題が実質的に解決されるため，NAPTを用いる必要がなくなる。つまり，トンネリング・デュアルスタック・トランスレータといったIPv4とIPv6の共存技術もNAT越えに分類される。他にも，NAT越えにはアプリケーション側でNAPT変換テーブルを作成する技術などが利用される。

6to4はグローバルIPv4アドレス（32bit）と割り当てたIPv6プレフィックス（16bit）を組み合わせてIPv6アドレスを生成し，IPv4パケットをIPv6パケットでカプセル化する。つまり，IPv4アドレスをIPv6アドレスの中に埋め込む手法である。6to4を利用するためには6to4リレールータが必要になるほか，IPv4グローバルアドレスが必要になるためNAT配下では利用できない。一方で，ISATAPは6to4をプライベートIPv4アドレスでも利用できるように改良した手法であるが，6to4同様にNAT配下では用いることができない。一方で，TeredoはIPv6パケットをIPv4のUDPメッセージに加工して送信する技術で，NAT配下でも利用することができる。ただし，NAT環境の判別や送信先情報を取得するためにTeredoサーバを経由する必要があったり，Teredoリレールータを用いる必要があったりするなど，やや複雑な構成になる。

ヘッダのチェックサムが削除されたため。

IPv4射影アドレスとは，IPv4アドレスをIPv6アドレスとして表現したアドレスのことを指す。

IPヘッダ。tracerouteの仕組みを理解しておけば，TTLがIPヘッダに含まれることは容易に理解できる。

• 0で始まる場合（後ろの0は省略できない）
  • 01AB→1AB
• 全てが0（:0000:）の場合
  • :0000:→:0:
• :0000:が連続する場合（一箇所だけ）
  • 1111:0000:0000:4444→1111::4444

40byteの基本ヘッダとデータ部の間に挿入される最小0byteのヘッダのこと。IPv4ではTCP/IPとは分離されていたESPヘッダやICMPv6ヘッダ，フラグメントヘッダ，ルーティングヘッダなどが定義されている。

IPsecやPPTPのヘッダにはポート番号が設定できないため，NAPTを通過することができない。この問題を解決するため，以下の解決策が用いられる。

• NATトラバーサル：UDPでカプセル化する
• VPNパススルー：ESPヘッダ中のSPI(Security Parameter Index)を元に判別

経由したL3デバイスのIPアドレス。例えば，L2 over IPで構成されたルータはL2デバイスとして機能するためtracerouteでは表示されない。

フルメッシュ構成。逆に，一つのデバイスが一元管理する構成をハブアンドスポーク構成と呼ぶ。これらはIPsec VPNの代表的な構成の二つである。

欠点は以下の二つ。

• ルータの処理が重くなること
• 分割された断片の一つが失われるだけで元のIPデータグラムの全てが失われてしまうこと。

一般には，経路MTU探索を用いて経路上で分割処理が必要とならない最大のMTUを求めておき，始点ホスト側でIPデータグラムをあらかじめ分割することで，ルータによる分割処理を防止する。経路MTU探索は，IPヘッダ中の分割禁止フラグを1に設定して，ICMP到達不能メッセージが返答されればその中のMTUの値を用い，正常に通信できれば初回に用いたMTUの値を用いるというものである。また，IPv6では分割処理は始点ホスト側でのみ行われ，経路MTU探索は実装がほぼ必須の機能になっている。加えて，IPv6では最小のMTUが1280byteと定められているため，経路MTU探索を行わずとも始点ホスト側でIPデータグラムを1280byte単位で分割してから送信してもよいことになっている。

ルーティングプロトコルで勘違いしやすいのはEGPである。ルーティングプロトコルは組織内のIGP（Interior Gateway Protocol）とEGP（Exterior Gateway Protocol）に分かれ，RIPやOSPFはIGPに分類される。一方で，EGPでは主にBGP（Border Gateway Protocol）が利用されるが，EGPにはEGPという名前のプロトコルも存在する。すなわち，IGPの対義語としてのEGPと，EGPを実現するプロトコルとしてのEGPの両者が混在しているのである。上の表におけるEGPは後者であり，初期のインターネットで利用されていたAS間のルーティングプロトコルである。しかし，経路情報の収束が遅いことや管理者が経路を任意に指定できないこと，クラスを使わないIPアドレスの割り当てと経路情報の集成を行うCIDR（Classless Inter-Domain Routing）に対応していないことなどから，現在ではBGPの利用が主流になっている。

BGPのうちAS内のBGPルータで経路情報をやり取りするものをIBGP，AS間のBGPルータで経路情報をやりとりするものをEBGPと呼ぶ。IBGPではループを防ぐために他のIBGPルータから受信した情報を他のIBGPルータに送らないスプリットホライズンという対策を打つが，AS内にIBGPルータ数が多い場合には必要なセッションが膨大になってしまうため，他のIBGPルータから受信した情報をループを発生させることなく転送するルートリフレクションという仕組みを利用する。

• OPEN：セッション開始
• KEEPALIVE：定期的に送信される生存確認
• UPDATE：経路の追加や削除が発生した場合に送信
• NOTIFICATION：セッションの切断やエラー通知
• ROUTE-REFRESH：経路情報の要求

AS間の情報をやりとりするEGPの方が大切。このことから，EGPの一つであるBGPではTCPが利用され，IGPの一つであるRIPやOSPFではUDPが利用されることが分かる。したがって，OSPFではマルチキャストを利用して不特定多数のOSPFルータと経路交換を行うのに対し，BGPではピアリングと呼ばれる論理的な接続を行ったルータにTCPポートの179番で接続する。

BGPには，異なるAS間で利用されるeBGPと同一AS内で利用されるiBGPがある。eBGPとiBGP間でやり取りされる経路情報は，NEXT_HOPを自分の情報に書き換える。一方で，iBGP内でやり取りされる経路情報は，NEXT_HOPを自分の情報に書き換えない。なぜならば，eBGPとiBGP間でやり取りを行うということは，そのルータは異なるASへの窓口として機能しているということであり，NEXT_HOPを書き換えることで異なるASへの接続先を明示することができるからであり，iBGP内でやり取りを行う際は，必ずしも自分を経由する経路が最適であるという保証はないため，NEXT_HOPを書き換えることで最適でない経路を設定してしまうことに繋がりかねないからである。iBGP内で適切な経路をNEXT_HOPに指定するためには，静的に運用者が設定するか，特定のルータに自分の情報でNEXT_HOPを書き換える設定を行う必要がある。

• AS_PATH：経由してきたAS番号の並び
• NEXT_HOP：宛先ネットワークアドレスに向かうためのIPアドレス
• MULTI_EXIT_DISC：eBGPピアに対して通知する優先度
• LOCAL_PREF：iBGPに通知する優先度

NEXT_HOPの対象はネットワーク「アドレス」である点に注意。BGPはそもそも複数のASを結ぶ間で利用されるプロトコルであったからである。それなのになぜiBGPのようにAS内でBGPが使われているかに関しては，役割の階層化の結果BGPにもAS内で動作する機能を持たせた方が上手くいくと判断したからだと理解しておけばよい。

負荷分散される。STPではMACアドレスを参照してルートスイッチを定めるため，混同しないように注意が必要。

ASの中にエリアが複数存在する。ネットワークを複数のエリアに分割する理由は，ルータの負荷分散や処理速度向上。

前者では経由するルータの数しかわからないのに対し，後者では経由するAS番号が分かるためループの判別が可能になる。

あるルーティングプロトコルで学習した経路情報を異なるルーティングプロトコルで通知するためには，ルート再配布を行う必要がある。例えば，OSPFとスタティックルートは混在させることはできないため，OSPFでスタティックルートを再配布する必要がある。

• OSPF：Helloパケット
• VRRP：VRRP広告
• BGP：キープアライブ

静的経路情報の方が動的経路情報よりも優先される

IGPよりもEGPの方が大切であることから，OSPFよりBGPの方が優先度の値が小さいことが理解できる。

• 転送用ラベル：MPLS網内の全てのルータで交換される
• 識別用ラベル：MPLS網内では保持し続ける

セグメント。OSPFのエリア単位ではないため注意。また，BDRのBはBoarderではなくBackupであるため，BDRがなくてもOSPFは動作する。

経路に障害が発生した場合などに経路の迂回路を見つけるのに時間がかかる点。これは，定期的な経路情報の交換であるレギュラーアップデートを30sごとに行うことや，レギュラーアップデートが届かなかった場合に無効の判断に180s要すること，さらにはルーティングテーブルから無効な経路を削除する前に行うガベージコレクションに120sかかることなどに起因している。加えて，RIPではネットワークの回線速度を考慮せずにホップ数だけで経路を決定するため，最適な経路を選べない可能性もある。

経路情報を教えられたインタフェースには経路情報を流さないことで，RIPの無限カウント，すなわち輻輳を防ぐ。しかし，ループ構造がある場合には輻輳を防ぐことはできない。

出口が一つのOSPFエリアのことを指す。出口が一意に定まるため，外部情報を伝える必要がないという特徴がある。

MPLSのラベルがないデータリンクに対して，IPヘッダの前に付与するヘッダ。例えば，イーサネットにはMPLSラベルを付与するフィールドが定義されていないため，シムヘッダを付与する必要がある。なお，シム（shim）とはくさびという意味であり，MPLSの動作に対してクリティカルに必要となる情報を差し込むというイメージで理解すればよい。

• DHCPにおける自アドレスと重複するIPアドレスの検知
  • もしいずれかの端末からARP応答があればそのIPアドレスに重複があるということ
• フェールオーバー時のARPテーブル更新
  • 主系サーバから仮想IPアドレスを引き継いだ待機系サーバがGARPを利用する。ちなみにフェールオーバーとは主系のサーバがダウンしたときに自動的に待機系のサーバに切り替える仕組みのことを指し，システムの可用性を高めるための冗長化の一つである。

届く。ICMPはレイヤ3のプロトコルであるため。

サーバとマルチキャストグループに配信するNW機器の間の通信で大きな帯域を使ってしまうという問題。

• IPアドレス：クラスD（1110...）
• MACアドレス：上位3byteは01-00-5eで固定して下位3byteはIPアドレスの2byte目〜4byte目を使う。その際，3byte目の最初の1bitは0にする。

• DHCP DISCOVER：クライアントがDHCPサーバを探すためのブロードキャスト
• DHCP OFFER：IPアドレスやサブネットマスクなどを提案するためのユニキャスト
• DHCP REQUEST：オファーの内容を受理したことを伝えるブロードキャスト
• DHCP ACK：IPアドレスやサブネットマスクなどの最終通知

注意するべきなのは，DHCP REQUESTがブロードキャストであるという点。ユニキャストで送ってしまうと，他のDHCPサーバもクライアントにIPアドレスの払い出しをしてしまう。また，DHCP DISCOVERがブロードキャストを用いていることに注意すると，DHCPサーバが同一セグメントに存在しない場合はDHCPが機能しないことが分かる。これを解決するのがDHCPリレーエージェントで，ルータがDHCPへの通信を中継してくれる機能である。

• 不正なIPアドレスを払い出すこと
• 固定IPアドレスを割り当てること

払い出すIPアドレスのサブネットを識別するため

トランスポートモードでは両端のホストがIPsecを実装している必要があり，トンネルモードでは両端のルータがIPsecを実装している必要がある。トランスポートモードではトランスポート層以上のデータを暗号化し，トンネルモードではネットワーク層以上のデータを暗号化する。ホスト間で暗号化するから対象はネットワーク層以上だと勘違いしてしまうことが多いため，注意が必要である。トランスポートモードでは，あくまでもTCPヘッダとペイロードを暗号化するだけで，よくあるホスト間の雲のイラストからIPヘッダまでを暗号化するという誤解をしないようにされたい。逆に，トンネルモードでは，IPヘッダまでをVPN機器間で暗号化するが，よくあるVPN機器間の雲のイラストからTCPヘッダまでしか暗号化していないと誤解をしないようにされたい。

ポートVLANを拡張してIEEE802.1Qで標準化されたものがタグVLAN。ポートVLANでは使用するVLANの数だけポートが必要となるが，タグVLANではトランクポートと呼ばれる一つの物理ポートを利用して複数のVLANを構成することができる。

VLANはデータリンク層の技術のためデータリンク層を流れるイーサネットのフレームを書けばよい。その際，オプションで送信元MACアドレスとタイプの間に4byteの802.1QVLANタグが挿入されることに注意する。

• 通信形態：宛先が仮想IPアドレスのマルチキャスト通信
• プライオリティ値：大きい方が優先

• VRRPグループID
• プライオリティ値
• 仮想IPアドレス

切り替え時にステートフルセッション機能の引継ぎが上手くなされないこと。

サーバが冗長化されており，自IPアドレスとは異なるVIPアドレス向けのパケットを受理したい場合に，ループバックインターフェースにVIPアドレスを設定することで，疑似的にVIP向けのパケットをサーバが受理できる。ただし，このままではARPに反応してしまうため，VIPが重複しているとしてエラー判定されてしまう。そこで，ループバックインターフェースがARPに反応しない設定を行う必要がある。

• 自動的にケーブル接続と同じ状態になる機能
• 対向側の故障を検知して通信を継続する機能

二つ目に関しては，WASは代理応答・キャッシュ蓄積・データ圧縮などにより対向側とペアで動作するため，片方のWASが故障してしまったら正常に動作しないことが背景にある。

ラウンドトリップ時間が大きい場合。ただし，ラウンドトリップ時間とはTCPコネクションにおけるパケットの往復時間である。

行う。行わないと戻りパケットの送信元IPアドレスがロードバランサではなくサーバとなってしまうため，クライアントに戻ってきたとしてもロードバランサのIPアドレスとの不一致でパケットが破棄されてしまう。この問題を解決するため，ロードバランサではソースNATを用いて送信元IPアドレスをロードバランサのものに書き換える。その際には，クライアントのIPアドレスの情報をHTTPヘッダのX-Forwarded-Forで引き継ぐ必要がある。なお，戻りのパケットをロードバランサを介さずにサーバから直接返すことも可能であり，そのような機能をDSR(Direct Server Return)と呼ぶ。