第5章 IPに関連する技 術とIPv6 4404096 山口 哲 5.1 DHCP (Dynamic Host Configuration Protocol) 5.1.1 プラグ&プレイを可能にする DHCP 5.1.2 DHCPの仕組み 4404014 岩崎友洋 5.1.1 プラグ&プレイを可能にする DHCP DHCPとは? →コンピュータを起動したとき、そのコンピュータにネットワーク情報 を自動的に割り振るためのプロトコル IPアドレスの設定を自動化 配布するIPアドレスの一括管理 ネットワークに接続しただけで、TCP/IPによる通信ができる プラグ&プレイが実現 DHCPがないと? 管理者の負担が大きい 自由にコンピュータをネットワークに 接続できない プラグ&プレイ(Plug & Play)とは ユーザが手動で設定を行わなくも 機器を接続するだけでその機器が 利用可能になる(システム) 5.1.2 DHCPの仕組み DHCPを利用するには DHCPサーバを立ち上げ IPアドレスの設定 その他、必要事項の設定 例) サブネットマスク 経路制御の情報 DSNサーバーのアドレス 5.1.2 DHCPの仕組み DHCPでのIPアドレス取得の流れ DHCPサーバー ネットワーク 要求許可 設定 DHCPクライアント ④DHCP確認応答パケット DHCP要求パケット ②DHCP提供パケット ①DHCP発見パケット 5.2 NAT (Network Address Translator) 4404035 日下 貴博 NATとは プライベートIPをグローバルIPに変換 <背景> LAN内で全部のホストが常に、 インターネットと通信している訳ではない =IPアドレスの無駄遣い ↓ NAT使用で改善 NATによるアドレス変換 ローカルエリアネットワーク ↓ NAT対応ルータ(IPヘッダのアドレスを交 換) ↓ インターネット ↓ サーバー NATによるアドレス交換図 ローカルエリアネットワーク クライアントA 192.168.1.10 クライアントB 192.168.1.11 インターネット サーバー 210.81.150.5 NAT対応ルータ 送信元 192.168.1.10 61.206.142.41 送信元 61.206.142.41 NATの問題点 高速転送処理のNATを安価で作れない 外部から内部のサーバーに接続不可 異常動作して再起動すると 全てのTCPコネクションがリセット 切り替えるようにNATを2台用意しても TCPコネクションは必ず切れる ↓ NATの必要がないIPv6の普及と推進が必要 5.3 セキュリティに関す る技術 4404096 山口 哲 5.3.1 ファイアウォール ネットワークをインターネットに接続する場 所に設置される ファイアウォールを通過するパケットを、一 定の条件の下に許可(破棄)する 一般的なファイアウォールの種類 パケットフィルタリングタイプ ・・・規定されたパケットのみを通過させる (通過させない) アプリケーションゲートウェイタイプ ・・・アプリケーションを介在させ、不正な接 続を遮断する NATタイプ ・・・必要なホストのアドレスしか公開しない 5.3.2 暗号化 漏洩を防ぎ、機密性の高い情報の送受信 を実現するための技術 暗号化技術もOSI参照モデルの各階層ご とに存在し、相互通信を保証している 階層別の暗号化技術 アプリケーション ・・・SSH、SSL-Telnet、PETなど遠隔ログイン、 PGP、S/MINEなど暗号化メール トランスポート、セッション ・・・SSL/TLS、SOCKS V5の暗号化 ネットワーク ・・・IPsec データリンク ・・・Ethenet、WANの暗号化装置など 5.3.3 認証 認証技術の種類 ある知識を所有することによる認証 ・・・主にパスワードや暗証番号などを利 用する方法 あるものを持っていることによる認証 ・・・IDカード、鍵、電話番号などを利用す る方法 ある特徴を持っていることによる認証 ・・・指紋や目の瞳孔などを利用する方法 5.3.4 IPセキュリティとVPN(1) VPN(Virtual Private Network) インターネットを利用した仮想的な私的 ネットワーク(VPN) 「暗号化」や「認証」の技術を利用して構築 構築するときにもっとも一般的に利用され ているのがIPセキュリティ(IPsec) 5.3.4 IPセキュリティとVPN(2) 5.3.4 IPセキュリティとVPN(3) IPセキュリティ(IPsec) VPNを構築するときに利用される IPヘッダの後ろに「暗号ヘッダ」や「認証 ヘッダ」を付けて送信する 暗号化されたデータは解読できなくなり、改 ざんされたときはそれが判別できる 品質保証とRSVP、MPLS 4403100 山本恭平 品質保証とは IPプロトコルの変化 「ベストフォート」のプロトコルとして設計、開発され品 質保証のない通信 ベストフォート型の問題点 通信回線が混雑すると通信性能が極端に低下し、 大量のパケットが喪失 • 品質保証が求められる 品質保証の仕組み • • • • • 品質保証が必要なパケットに対して特別扱い をし、保証できる範囲内で優先的に処理 優先しないパケットから廃棄 品質保証されるパケットでも保証する品質以 上のパケットが流れてきた時は廃棄 通信経路に存在する全てのルータに品質保 証の設定が必要 動的な品質設定が必要 RSVP RSVP (Resource Reservation Protocol) 動的品質保証の制御を行うプロトコル 受信側から送信側へ制御パケットが流れ、そ の間のルーターに品質保証の設定がされる フローをセットアップする プロトコルと呼ばれる 品質制御とMPLS 品質制御の実現のため、ルーターのパケット 転送処理の高速化が必要 ハードウェアによる高速な転送処理 ラベルスイッチングの利用 IPパケットの転送時、IPパケットに「ラベル」という識別標識 を設定し、それを元に転送する方式 MPLS (Multiprotocol Label Switching) ラベルスイッチング技術 • • MPLSネットワークに入る時IPヘッダの前に32ビットのラベ ルを付加 MPLSネットワークから出る時に外す MPLSの特徴 • 固定長のラベルを使用するため、処理が単純 ラベルは必要な数だけ設定すればよく、データ量が少ない • • • ハードウェア化が容易 高速転送処理が可能 5.5 IPv6 (IP version 6) 4404047 杉山貴紀 5.5.1 IPv6が必要な理由 IPv6とは… IPアドレス枯渇問題の根本的解決のため に標準化されたインターネットプロトコル IPv4:4 octet長(32 bit)からIPv6:16 octet長(128 bit)へ アドレス枯渇問題を解決、IPv4に対す る不満解消が狙い。 IPv4との互換性を持たせる努力。 5.5.2 IPv6の特徴 IPアドレスの拡大と経路制御表の集約 パフォーマンスの向上 プラグ&プレイ機能を必須にする 認証機能や暗号化機能を採用する 5.5.3 IPv6でのIPアドレスの表記方法 IPv6のIPアドレスは128ビット長(38桁) 2進数による表現 1111111011011100 : 1011101010011000 : 0111011001010100 : 0011001000010000 : 1111111011011100 : 1011101010011000 : 0111011001010100 : 0011001000010000 16進数による表現 FEDC : BA98 : 7654 : 3210 : FEDC : BA98 : 7654 : 3210 IPによるIPアドレスの省略例 2進数による表現 0001000010000000 : 0000000000000000 : 0000000000000000 : 0000000000000000 : 0000000000001000 : 0000100000000000 : 0010000000001100 : 0100000101111010 16進数による表現 1080 : 0 : 0 : 0 : 8 : 800 : 200C : 417A →1080 : : 8 : 800 : 200C : 417A(省略時) 5.5.4 IPv6のアドレスアーキテクチャ IPアドレスの先頭のビットで種類を区別 ルーター ハブ サイトローカルアドレス 1111 1110 11 特定の拠点内で使われるアドレス グロバルアドレス 001 ハブ リンクローカルアドレス 1111 1110 10 単一リンクの範囲で使われるアドレス 5.5.5 IPv6のグロバルIPアドレの フォーマット FP 3bit TLA ID 13bit RES 8bit NLA ID 24bit SLA ID 16bit Interface ID 64bit インタフェースの識別子 広域ネットワーク サイト部 ネットワーク部 FP:アドレスフォーマットの識別子(001) TLA ID:Top-Level Aggregation Identifier (公的にバケットを配送するサービス提供者) RES:Reserved(将来のための予約ビット) NLA:Next-Level Aggregation Identifier (TLAにパケットを配送してもらう組織の識別子) SLA:Site-Level Aggregation Identifier (組織内部のサブネットワークの識別子) Interface ID:Interface Identifier(MAC アドレス) ホスト部 5.5.6 IPv6での分割化処理 IPv6では分割化は始点ホストのみで行われ る 経路MTU探索 宛先ノードまで,もっとも小さい値のリンクMTUを経 路MTU調べる。 送信元のホストで経路MTUの大きさにデータを分割 する。 IPv6の最小MTUは1280オクテットである。 5.6 ICMPv6 2006007五十嵐 ICMPv6の役割 ICMPv6は、ICMPv4のような補助的な役割で なく、IPv6による通信をするために重要 ・ICMPv4では MACアドレスの探索…… ARP ・ICMPv6では MACアドレスの探索…… ICMPの 近隣探索メッセージ ICMPv6の分類 (1)タイプ0~127はエラーメッセージ 転送中のIPパケットが宛先まで届かなかった場 合に、エラーが発生したホストやルーターによって 送信される。 (2)タイプ128~142は情報メッセージ 133~137近 隣探索メッ セージ ICMPv6の近隣探索メッセージのはたらき ・ ARP機能(後述) ・ ICMPv4のリダイレクトメッセージ(タイプ5、コード0 ~3、送信元が最適でない経路を使用しているときに 通知) ・ ICMPv4のルーター選択メッセージ(タイプ9 ~ 10、 コード0、自分がつながっているネットワークのルー ターを見つけるとき) ・ IPアドレス自動設定機能(後述) 近隣探索 IPv6アドレスとMACアドレスの対応関係を調 べる時に使われる タイプ135 タイプ136 IPアドレスの自動設定 IPv6ではプラグアンドプレイ機能を実現するために、 DHCPサーバがない環境下でもIPアドレスを自動設定 することができる。 タイプ133 タイプ134 5.7 IPv6のヘッダフォー マット 4404036 久保田善経 IPv6のヘッダフォーマット IPv6のヘッダフォーマット 特徴 ルーターの処理を軽減するためIPのヘッダの チェックサムは省略された 分割処理のための識別子などはオプションに なった IPv6のヘッダフォーマット バージョン(version)・・・バージョンフィールドは IPv4と同じ4ビット長、IPv6のバージョンは6な ので6が入る。 トラフィッククラス(Traffic Class)・・・IPv4のTOS にあたるフィールドで、長さは8ビット。(削除さ れる予定だったが今後の研究に期待する形 で復活) IPv6のヘッダフォーマット フローラベル(Flow Label)・・・品質制御に利用される ことを想定されたフィールドで、20ビットの長さを持 つ ペイロードの長さ(payload Length)・・・ペイロードとは パケットのデータ部を意味する。 IPv6ではIPv6のヘッダを除いた部分の長さを表す。 またこのフィールドは16ビット長なので、データの最 大サイズは65535オクテットになる IPv6のヘッダフォーマット 次のヘッダ(next Header)・・・IPv4でいうと PROTにあたる。ただしTCPやUDPなどのプロ トコルだけではなく、IPv6のオプションがある 場合にはここで指定 ホップリミット(Hop Limit)・・・8ビットで構成。 ルーターを通過するたびに1つずつ減らさ れ、0になったらそのIPデータグラムは破棄さ れる IPv6のヘッダフォーマット 送信元IPアドレス(Source Address)・・・128ビッ トで構成、送信元のIPアドレスを表す 宛先IPアドレス(Destination Address)・・・128 ビットで構成、宛先のIPアドレスを表す 5.7.1 IPv6拡張ヘッダ IPv6のヘッダとTCPやUDPのヘッダの間に 挿入 数の制限がない
© Copyright 2024 ExpyDoc
