tag:crieit.net,2005:https://crieit.net/tags/%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81/feed
「スイッチ」の記事 - Crieit
Crieitでタグ「スイッチ」に投稿された最近の記事
2021-07-12T13:59:06+09:00
https://crieit.net/tags/%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81/feed
tag:crieit.net,2005:PublicArticle/17498
2021-07-12T13:59:06+09:00
2021-07-12T13:59:06+09:00
https://crieit.net/posts/7dd8343d175c01861002f60c5e7956bd
【セキュリティ】スイッチのポートセキュリティ
<h1 id="まず、ポートセキュリティとは"><a href="#%E3%81%BE%E3%81%9A%E3%80%81%E3%83%9D%E3%83%BC%E3%83%88%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%81%A8%E3%81%AF">まず、ポートセキュリティとは</a></h1>
<p>ポートセキュリティとは、その名の通り、スイッチに接続するポートに対してのセキュリティです。</p>
<p>知らない機器がスイッチポートに繋がってLAN接続するのを防ぎます。<br />
<code>インターフェースコンフィギュレーションモードにて</code><br />
<code>switchport port-security</code><br />
で有効にします</p>
<p>ここで、</p>
<p><code>switchport port-security maximum 3</code><br />
とか設定すると、このスイッチには最大3台までしか接続できなくなる。</p>
<p>これを超えて6台とか繋いだら、<br />
セキュリティ違反モードが作動します。</p>
<h2 id="セキュリティ違反モードとは"><a href="#%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E9%81%95%E5%8F%8D%E3%83%A2%E3%83%BC%E3%83%89%E3%81%A8%E3%81%AF">セキュリティ違反モードとは</a></h2>
<p>違反すると何が起こるかというと、</p>
<ol>
<li>セキュアなMACアドレス以外のパケットを破棄する</li>
<li>SNMPトラップやSyslogメッセージの送信と、違反カウンタの増加</li>
<li>ポートのシャットダウン</li>
</ol>
<p>です。。。が。</p>
<p>これは違反モードがshutdown(デフォルト)の時の話。</p>
<p>違反モードは3つ(shutdown、restrict、protect)あって</p>
<p>restrictにすると、<br />
3. ポートのシャットダウンがなくなり</p>
<p>protectにすると、<br />
2. SNMPトラップやSyslogメッセージの送信と、違反カウンタの増加がさらになくなります。</p>
skyms
tag:crieit.net,2005:PublicArticle/17484
2021-07-05T16:34:54+09:00
2021-07-05T16:36:09+09:00
https://crieit.net/posts/DTP
DTPについて
<h1 id="DTPについて"><a href="#DTP%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6">DTPについて</a></h1>
<p>DTP(Dynamic Trunking Protocol)とは、<br />
スイッチとスイッチを接続したポートで、トランクポート接続をするのか、アクセスポート接続をするのかを動的に決めるためのプロトコル。<br />
(Cisco独自)</p>
<p>・スイッチポートモードの変更方法<br />
(config-if)#switchport mode {access | trunk | dynamic {auto | desirable<span>}</span><span>}</span></p>
<p>desirableでは、DTPを送信してみて、対向ポートがtrunk、dynamic desirable、dynamic autoのいずれかの場合、トランクポートになる。</p>
<p>autoでは、DTPを受信したときにtrunkかdesirableのときにトランスポートになる。</p>
<p>・DTPの無効化<br />
(config-if)#switchport nonegotiate</p>
skyms
tag:crieit.net,2005:PublicArticle/17482
2021-07-05T15:52:01+09:00
2021-07-05T15:52:01+09:00
https://crieit.net/posts/5ea2e845a4d8584a26cfcc0a1d73ecd3
アクセスポートとトランクポートの違い
<h2 id="アクセスポートとトランクポートの違い"><a href="#%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%9D%E3%83%BC%E3%83%88%E3%81%A8%E3%83%88%E3%83%A9%E3%83%B3%E3%82%AF%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AE%E9%81%95%E3%81%84">アクセスポートとトランクポートの違い</a></h2>
<p>スイッチを設定するときに、アクセスポートとトランクポートの違いをいまいち理解できていなかったので。</p>
<h5 id="スイッチのポートは、「どのVLANに対応しているか」で、アクセスポートとトランクポートに分類される"><a href="#%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81%E3%81%AE%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AF%E3%80%81%E3%80%8C%E3%81%A9%E3%81%AEVLAN%E3%81%AB%E5%AF%BE%E5%BF%9C%E3%81%97%E3%81%A6%E3%81%84%E3%82%8B%E3%81%8B%E3%80%8D%E3%81%A7%E3%80%81%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%9D%E3%83%BC%E3%83%88%E3%81%A8%E3%83%88%E3%83%A9%E3%83%B3%E3%82%AF%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AB%E5%88%86%E9%A1%9E%E3%81%95%E3%82%8C%E3%82%8B">スイッチのポートは、「どのVLANに対応しているか」で、アクセスポートとトランクポートに分類される</a></h5>
<p>・アクセスポート<br />
1つのVLANに対応。エンドユーザーのPCを接続するポートなどに利用される。(デフォルトはVLAN1)</p>
<p>・トランクポート<br />
複数のVLANに対応。スイッチ同士やスイッチとルータを接続(VLAN間通信の際に利用)するポートなどに利用される。</p>
<h4 id="アクセスポートの設定例"><a href="#%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AE%E8%A8%AD%E5%AE%9A%E4%BE%8B">アクセスポートの設定例</a></h4>
<p>・Fa0/2をアクセスポートにして、VLAN20を割り当てる<br />
Switch(config)#interface FastEthernet 0/2<br />
Switch(config-if)#switchport mode access<br />
Switch(config-if)#switchport access vlan 20</p>
<p>・Fa0/5をアクセスポートにして、VLAN30を割り当てる<br />
Switch(config)#interface FastEthernet 0/5<br />
Switch(config-if)#switchport mode access<br />
Switch(config-if)#switchport access vlan 30</p>
<h4 id="トランクポートの設定例"><a href="#%E3%83%88%E3%83%A9%E3%83%B3%E3%82%AF%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AE%E8%A8%AD%E5%AE%9A%E4%BE%8B">トランクポートの設定例</a></h4>
<p>・Fa0/1のカプセル化方式を802.1Qにしてdynamic desirableモードにする<br />
(対向とのネゴシエーションの結果トランクポートになる)<br />
Switch(config)#interface FastEthernet 0/1<br />
Switch(config-if)#switchport trunk encapsulation dot1q<br />
Switch(config-if)#switchport mode dynamic desirable</p>
<p>・Fa0/6のカプセル化方式を802.1Qにしてトランクポートにする<br />
Switch(config)#interface FastEthernet 0/6<br />
Switch(config-if)#switchport trunk encapsulation dot1q<br />
Switch(config-if)#switchport mode trunk</p>
<h3 id="アクセスポートとトランクポートの確認方法"><a href="#%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%83%9D%E3%83%BC%E3%83%88%E3%81%A8%E3%83%88%E3%83%A9%E3%83%B3%E3%82%AF%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AE%E7%A2%BA%E8%AA%8D%E6%96%B9%E6%B3%95">アクセスポートとトランクポートの確認方法</a></h3>
<p>アクセスポートになっているのか、トランクポートになっているのかは「show vlan」「show interfaces trunk」「show interfaces status」「show interfaces switchport」などのコマンドで確認できます。<br />
各コマンドの表示は以下のようになります。なお、いずれもFa0/1とFa0/6がトランクポートになっている場合の表示例です。</p>
<p>・show vlan<br />
「Ports」の項目に表示されるポートがアクセスポート<br />
「Ports」の項目に表示されないポートがトランクポート</p>
<p>・show interfaces trunk<br />
「Port」の項目に表示されないポートがアクセスポート<br />
「Port」の項目に表示されるポートがトランクポート</p>
<p>・show interfaces status<br />
「VLAN」の項目がVLAN番号になっているポートがアクセスポート<br />
「VLAN」の項目がtrunkとなっているポートがトランクポート</p>
<p>・show interfaces switchport<br />
「Operational Mode」の項目がaccessとなっているポートがアクセスポート<br />
「Operational Mode」の項目がtrunkとなっているポートがトランクポート</p>
skyms
tag:crieit.net,2005:PublicArticle/17039
2021-04-30T11:36:36+09:00
2021-04-30T11:36:36+09:00
https://crieit.net/posts/befa15ba18877b86aaee9cd5490af769
ネットワーク基礎3章で使用したコマンド一覧
<h2 id="コマンドプロンプトにて、ARPテーブルの削除コマンド"><a href="#%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%83%97%E3%83%AD%E3%83%B3%E3%83%97%E3%83%88%E3%81%AB%E3%81%A6%E3%80%81ARP%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%81%AE%E5%89%8A%E9%99%A4%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89">コマンドプロンプトにて、ARPテーブルの削除コマンド</a></h2>
<p><code>arp-d</code><br />
<strong>管理者として起動することを忘れない</strong></p>
<h2 id="コマンドプロンプトでARPテーブルを確認するためのコマンド"><a href="#%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%83%97%E3%83%AD%E3%83%B3%E3%83%97%E3%83%88%E3%81%A7ARP%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%82%92%E7%A2%BA%E8%AA%8D%E3%81%99%E3%82%8B%E3%81%9F%E3%82%81%E3%81%AE%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89">コマンドプロンプトでARPテーブルを確認するためのコマンド</a></h2>
<p><code>arp-a</code></p>
<h2 id="ciscoスイッチにおいて、MACアドレステーブルの確認コマンド"><a href="#cisco%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81%E3%81%AB%E3%81%8A%E3%81%84%E3%81%A6%E3%80%81MAC%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%81%AE%E7%A2%BA%E8%AA%8D%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89">ciscoスイッチにおいて、MACアドレステーブルの確認コマンド</a></h2>
<p><code>Switch#show mac-address-table</code></p>
ko00w1
tag:crieit.net,2005:PublicArticle/17038
2021-04-30T11:29:04+09:00
2021-04-30T12:21:14+09:00
https://crieit.net/posts/316ed156d1a1a8fcd64cbadadd41fdec
ネットワーク基礎3章 用語メモ
<h2 id="コマンドプロンプトを管理者権限がある状態で起動する場合"><a href="#%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E3%83%97%E3%83%AD%E3%83%B3%E3%83%97%E3%83%88%E3%82%92%E7%AE%A1%E7%90%86%E8%80%85%E6%A8%A9%E9%99%90%E3%81%8C%E3%81%82%E3%82%8B%E7%8A%B6%E6%85%8B%E3%81%A7%E8%B5%B7%E5%8B%95%E3%81%99%E3%82%8B%E5%A0%B4%E5%90%88">コマンドプロンプトを管理者権限がある状態で起動する場合</a></h2>
<p>「<strong>Windowsキー</strong>」+「<strong>R</strong>」(ショートカットキー)で「<strong>ファイル名を指定して実行</strong>」を表示し、「<strong>cmd</strong>」と入力し、<br />
<strong>Ctrl+Shift+Enter</strong>で起動する。</p>
<h2 id="MACアドレステーブル"><a href="#MAC%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB">MACアドレステーブル</a></h2>
<p>・・・スイッチがMACアドレスをもとに<strong>データ中継するとき</strong>に参照するもの。</p>
<h2 id="ARP(Address Resolution Protocol)"><a href="#ARP%28Address+Resolution+Protocol%29">ARP(Address Resolution Protocol)</a></h2>
<p>・・・<strong>アドレス解決するためのプロトコル</strong>で、<strong>IPアドレスから指定されたインターフェースのMACアドレス</strong>を調べることができる。<br />
<strong>データ送信には、アドレス解決が必要。そのためのARPである。</strong><br />
宛先のMACアドレスがわからないとデータが送信できない(フレームが完成しない)<br />
※通信したことのない機器のMACアドレスがわからないときは、宛先のIPアドレスから調べる。<br />
ARP要求(Request)に対してARP応答(Reply)が返ってくると、宛先のMACアドレスを知ることができる。<br />
→<strong>ARPテーブルに登録される。</strong><br />
※cisco社のルータは独自のパケットを出してARPテーブルを自動作成してしまう。PC1からpingコマンドを打つ前にARPテーブルを作ってしまうので、PC1からPC2にpingコマンドを打つ前に、ルータにはそれぞれのMACアドレスがARPテーブルに入った状態で始まってしまっているから、すんなりとエコー要求をPC2に送ることができてしまう。<br />
なので、ルータを介して2台のPCを接続した場合の8~13の手順が通常と変わってくる。</p>
<h2 id="L2スイッチ"><a href="#L2%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81">L2スイッチ</a></h2>
<p>・・・L2スイッチは、データを受け取ると、そのデータに付加されているEthernetヘッダから、送信元のMACアドレスをMACアドレステーブルに学習する。また、宛先のMACアドレスがMACアドレステーブルに載っている場合は該当するポートからデータを転送し、載っていない場合は、データをフラッディングする。</p>
<h2 id="フラッディング"><a href="#%E3%83%95%E3%83%A9%E3%83%83%E3%83%87%E3%82%A3%E3%83%B3%E3%82%B0">フラッディング</a></h2>
<p>・・・ポートから受信したフレームの<strong>宛先がわからず受信したフレーム以外の全ポートに転送する挙動</strong>のこと。<br />
<a target="_blank" rel="nofollow noopener" href="https://e-words.jp/w/フラッディング.html ">https://e-words.jp/w/フラッディング.html </a><br />
から参照</p>
<h2 id="ICMPエコーヘッダ"><a href="#ICMP%E3%82%A8%E3%82%B3%E3%83%BC%E3%83%98%E3%83%83%E3%83%80">ICMPエコーヘッダ</a></h2>
<p>ICMP<strong>エコー要求</strong>(Request)は<strong>Type8</strong>のヘッダ<br />
ICMP<strong>エコー応答</strong>(Reply)は<strong>Type0</strong>のヘッダとなる</p>
ko00w1
tag:crieit.net,2005:PublicArticle/17036
2021-04-30T10:21:25+09:00
2021-04-30T10:21:25+09:00
https://crieit.net/posts/48d603663d27b6f9210caa7fad3be7ae
スイッチメモ
<h1><strong>スイッチの動き</strong></h1>
<p><strong>送られてきたデータのEthernetヘッダの情報(送信元、送信先のMACアドレス)と自身が持っているMACアドレステーブルの情報を見比べながらデータの中継をする。</strong><br />
その際Ethernetヘッダを外さないためデータの中身は見ていない</p>
<h1 id="MACアドレステーブル"><a href="#MAC%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB">MACアドレステーブル</a></h1>
<p>一度情報をもらったものの<strong>MACアドレスとどのポートにつながっているかの情報が詰まっている</strong>テーブル<br />
特権モードでshow mac-address-tableで表示できる</p>
<h1 id="フラッティング"><a href="#%E3%83%95%E3%83%A9%E3%83%83%E3%83%86%E3%82%A3%E3%83%B3%E3%82%B0">フラッティング</a></h1>
<p>データの送信を要求してきたポート以外のすべての繋がっているポートにデータを中継すること</p>
tobara