「ネットワーク」の記事 - Crieit

NEC IXシリーズルーターでポートVLANとタグVLANをVLANスイッチ的に併用する

2023-09-23T02:32:08+09:00

この記事では、 GE0, GE1 の 2つの "デバイス" を持つ NEC の IX2105 ルーターを例に、1カ所のスイッチングハブ用のデバイスの中でポートVLAN とタグVLAN を併用し、スイッチングハブのトランクポートやアクセスポートのように使う方法について説明する。

はじめに

国内の中規模オフィス向けのルーターとして、 Yamaha や Cisco がよく知られているが、 NEC も UNIVERGE IXシリーズを提供している。

Yamaha の RTXシリーズと価格帯が近いものの、 NEC の IXシリーズには、 Yamaha と比べてもわりと柔軟な構成を行える利点がある。

一方で Yamaha と比べた場合、 NEC の IXシリーズの設定方法を調べるのは少し…いや、だいぶ難しい。
書籍や Web 記事、公式マニュアルなど、ドキュメントや設定例の全てに於いて、 Yamaha と比べて著しく情報が少ないためだ。

そんな IXシリーズを使って、ポートVLAN とタグVLAN を併用する方法について紹介しよう。
（この併用も、Yamaha の RTX で同一ポート内で実現するのは難しい機能のひとつだ）

なお、同じ UNIVERGE でも LTE や Wi-Fi などのワイヤレス機能を持った WAシリーズでは、 VLAN 周りのコマンド体系が異なるため、このページの方法は使えない。

設定例として挙げている IX2105 は 2019年9月30日をもって販売を終了しているが、マイナーバージョンこそ Ver.10.2 までに留まるものの不具合修正は続いている。
（例えば後継の IX2106 だと 10.2系は Ver.10.2.26 までで終了し、最新版は Ver.10.8.21 となっている）
中古ならヤフオク等で二束三文で手に入るし、最新 FW (ソフトウェア) も NEC に "UNIVERGE IXシリーズソフトウェアダウンロードサイトへの接続申請書" を出せば手に入るので、練習機としてはもってこいだ。

ゴール

以下のような構成を行う。

既定ではスイッチングハブとなっている、 GE1 デバイスの4つの物理ポートを、以下の3つに分割する
- タグ付き通信を行う（即ちトランクポートとなる）1番ポート
  - 但し、管理VLAN 的に使うため、 untag のフレームも受け付ける
- VLAN100 の通信を untag で行う（即ちアクセスポートとなる）2番ポート
- VLAN200 の通信を untag で行う（即ちアクセスポートとなる）3, 4番ポート
各 VLAN それぞれで DHCP サーバによる異なるセグメントの IP アドレスの割り当てを行う
GE0 デバイスでは NAT (NAPT) を行い、 GE1 デバイスの各セグメントからのルーティングも受け付ける

先に最終的な構成を載せておくと、以下のようになる。

ip ufs-cache enable
ip dhcp enable
ip access-list web-http-acl permit ip src any dest 192.168.99.1/32
!
!
!
!
! ブリッジの有効化
bridge irb enable
!
!
!
! GE0 から DNS サーバーを自動取得し DNSプロキシー を実行
proxy-dns ip enable
proxy-dns interface GigaEthernet0.0 priority 254
! Webコンソールを管理ポートの 192.168.99.1 として開始
http-server ip access-list web-http-acl
http-server ip enable
!
!
!
! 各サブネットごとに、自身をDNSサーバーと通知するDHCPプロファイルを作成
ip dhcp profile dhcp-profile-99
  dns-server 192.168.99.1
!
ip dhcp profile dhcp-profile-120
  dns-server 192.168.120.1
!
ip dhcp profile dhcp-profile-130
  dns-server 192.168.130.1
!
device GigaEthernet0
! GE1 ポートに ポートベース VLAN グループを設定
device GigaEthernet1
  vlan-group 2 port 2
  vlan-group 3 port 3 4
! GE0 は WAN 側として、 IPアドレスを DHCP から自動取得し、 NAPT を有効化
interface GigaEthernet0.0
  description WAN1
  ip address dhcp receive-default
  ip napt enable
  ip napt hairpinning
  no shutdown
! GE0 の グループ N/A (ポート1番) のアドレスと DHCP の設定
interface GigaEthernet1.0
  description LAN1
  ip address 192.168.99.1/24
  ip dhcp binding dhcp-profile-99
  no shutdown
! GE0 の グループ N/A (ポート1番) の VLANID 222 の VLAN タグ付きの設定 (BVI20とブリッジ)
interface GigaEthernet1.2
  description VLAN222
  encapsulation dot1q 222 tpid 8100
  auto-connect
  no ip address
  bridge-group 200
  no shutdown
! GE0 の グループ N/A (ポート1番) の VLANID 333 の VLAN タグ付きの設定 (BVI30とブリッジ)
interface GigaEthernet1.3
  description VLAN333
  encapsulation dot1q 333 tpid 8100
  auto-connect
  no ip address
  bridge-group 300
  no shutdown
! GE0 の グループ 2 (ポート2番) の untag の設定 (BVI20とブリッジ)
interface GigaEthernet1:2.0
  no ip address
  bridge-group 200
  no shutdown
! GE0 の グループ 3 (ポート3番&4番) の untag の設定 (BVI30とブリッジ)
interface GigaEthernet1:3.0
  no ip address
  bridge-group 300
  no shutdown
! VLANID 222 向けのブリッジインタフェースのアドレスと DHCP の設定
interface BVI20
  ip address 192.168.120.1/24
  ip dhcp binding dhcp-profile-120
  bridge-group 200
  no shutdown
! VLANID 333 向けのブリッジインタフェースのアドレスと DHCP の設定
interface BVI30
  ip address 192.168.130.1/24
  ip dhcp binding dhcp-profile-130
  bridge-group 300
  no shutdown
!
interface Loopback0.0
  no ip address
!
interface Null0.0
  no ip address
!

メモ:

なお、このページのコンフィグ例では、 IX2105 や IX2106, IX2107 のように GigaEthernet1 デバイスがスイッチングハブであることを前提としている。
IX2215 や IX2235 のように GigaEthernet2 デバイスなどがスイッチングハブとなっている場合、適宜読み替えて設定して欲しい。

前提知識

ひとつひとつ、細かく解説していこう。

まず前提として理解しておかなくてはならないのは、 IXシリーズの設定の考え方に於いて タグVLAN とポートVLAN は全く異なる機能 であり、独立した設定となっている、という点だ。

タグVLAN

タグVLAN は、

ある GigaEthernet1.0 といった "基本インタフェース" に対して、 GigaEthernet1.2 のような "サブインタフェース" を作成し… ¹
各サブインタフェースに VLAN ID を割り当てると…
基本インタフェース側では IEEE 802.1Q VLANタギングでカプセル化されたフレームが流れる

という仕組みだ。

すなわち、基本インタフェース GigaEthernet1.0 内にて、各サブインタフェース GigaEthernet1.1, GigaEthernet1.2 が、 VLANタギングによってトンネリングされていると見做せる。

基本インタフェースも各サブインタフェースも、それぞれに IP アドレスを割り当てれば、各々がルーティングの対象となる。

メモ:

IXルーター上でトンネリングを行う仕組みとしては、似たようなもので他にも Tunnelインタフェースが存在する。

Tunnelインタフェースでは、カプセル化後が (L3 の) IP パケットとなるようなモノを対象とするため、カプセル化後のパケットはルーティングされる。

一方、サブインタフェースでは、 VLANタギングや PPPoE といった、カプセル化後が (L2 の) Ethernet フレームとなるようなモノを対象としているため、カプセル化後のフレームは親となる基本インタフェース（と後述するブリッジ先）にしか流れない、といった仕組みの違いがある。

ポートVLAN

一方で ポートVLAN は、

スイッチハブ機能を持つデバイス (IX2105 なら GigaEthernet1) を
複数のサブネット (グローバルキャストドメイン) に分割＆グループ化し
GigaEthernet1:2.0, GigaEthernet1:3.0 のような「ポートベース VLAN グループ番号」が異なる独立したインタフェースを作成する ¹

という仕組みだ。

すなわち、グループなし GigaEthernet1.0 や、ポートベース VLAN でグループ化された GigaEthernet1:2.0, GigaEthernet1:3.0 などは、それぞれ L2 (レイヤー2) 的に互いに独立していると見做せる。

もちろん、各ポートVLANグループにそれぞれ IP アドレスを割り当てれば、各々がルーティングの対象となる。

ブリッジ

独立したタグVLAN とポートVLAN を紐づけるためには、複数のインタフェースをひとつのサブネット（グローバルキャストドメイン）にまとめる ブリッジ機能 を活用する。

インタフェースにブリッジ機能を割り当てると、そのインタフェースでは L3 のネットワーク層の情報が機能しなくなるため、IPアドレスや DHCP の設定など L3 に関する機能が使用できなくなる。 ²

このため、ブリッジしたインタフェース上でルーティングや IPアドレスの設定などを行う場合、 BVIインタフェース という仮想インタフェースを作成してブリッジに加え、これに IPアドレスなどの L3 に関する機能を割り当てる必要がある。

具体的なコンフィグの解説

まず、 GE0 を NAPT する WAN側、 GE1 を DHCP と Webコンソールを有効にした LAN側と見立てた、以下のようなコンフィグを入れてある状態とする。

ip ufs-cache enable
ip dhcp enable
ip access-list web-http-acl permit ip src any dest 192.168.99.1/32
!
proxy-dns ip enable
proxy-dns interface GigaEthernet0.0 priority 254
!
http-server ip access-list web-http-acl
http-server ip enable
!
ip dhcp profile dhcp-profile-99
  dns-server 192.168.99.1
!
interface GigaEthernet0.0
  description WAN1
  ip address dhcp receive-default
  ip napt enable
  ip napt hairpinning
  no shutdown
!
interface GigaEthernet1.0
  description LAN1
  ip address 192.168.99.1/24
  ip dhcp binding dhcp-profile-99
  no shutdown
!

タグVLANの構成

タグVLAN のトランクポートを扱うには、前述の「サブインタフェース」を作成する必要がある。

以下のように、 GigaEthernet1.0 に対応する各サブインタフェースにも IP アドレスや DHCP の設定を行うと、 GE1 の各ポートでは

タグなし: 192.168.99.1/24 の基本インタフェース
VLAN ID 222: 192.168.120.1/24 のサブインタフェース番号2
VLAN ID 333: 192.168.130.1/24 のサブインタフェース番号3

に割当たるようになる。

encapsulation dot1q コマンドを実行した場合は、その反映には端末の再起動が必要な点には注意。

ip dhcp profile dhcp-profile-120
  dns-server 192.168.120.1
!
ip dhcp profile dhcp-profile-130
  dns-server 192.168.130.1
!
interface GigaEthernet1.2
  description VLAN222
  encapsulation dot1q 222 tpid 8100
  auto-connect
  ip address 192.168.120.1/24
  ip dhcp binding dhcp-profile-120
  no shutdown
!
interface GigaEthernet1.3
  description VLAN333
  encapsulation dot1q 333 tpid 8100
  auto-connect
  ip address 192.168.130.1/24
  ip dhcp binding dhcp-profile-130
  no shutdown

encapsulation dot1q コマンドで tpid の値を省略してもデフォルト値 0x8100 が設定されるのだが、省略したか否かにかかわらず show running-config や show startup-config のダンプ結果には表示されるため、最初からコマンドに含めている。

上記の例では、説明のために敢えてサブインタフェース番号 2 に VLAN ID 222、等と異なる番号を割り当てているが、実際に設定するときはある程度揃えておいた方が分かりやすいだろう。
サブインタフェース番号の上限は 32 等と少なめ（機種による）なので、 VLAN ID と完全に一致させるのはなかなか難しいだろうが。

ポートVLANとブリッジの追加構成

前項のタグVLAN の構成だけでは、 GE1 のどの番号のポートもトランクポートへのアクセスとなるため、 untagged なフレームを VLAN 用のサブネットにスイッチングできない。

GE1 の 2番～4番ポートをアクセスポートのように扱うために、これらのポートにポートVLANのグループ設定を構成し、トランクポートとネットワークを分割する以下のコードを実行する。

device GigaEthernet1
  vlan-group 2 port 2
  vlan-group 3 port 3 4

"ポートベース VLAN グループ番号" 2 に、 GE1 の 2番ポートを、グループ番号 3 に、 GE1 の 2番 & 4番ポートを、それぞれ割り当てている。

なお、グループ番号は 1 からスイッチングハブスロット上のポート数以下の整数値 (IX2105 なら 4) を設定できる。

GE1 の 1番ポートをグループ化の対象としないことにより、1番ポートには GigaEthernet0.0 のタグVLAN トランクポートのフレームが引き続き流れ続ける。

一方で、単にポートVLANグループに分割しただけでは、2番～4番ポートに untagged のフレームはスイッチングされてこない。

そこで、 untagged なフレームが流れているタグVLAN の各サブインタフェースと、 ブリッジ させてしまおう。

configure
bridge irb enable
!
!
interface GigaEthernet1.2
  description VLAN222
  encapsulation dot1q 222 tpid 8100
  no ip address
  no ip dhcp binding dhcp-profile-120
  bridge-group 200
  no shutdown
!
interface GigaEthernet1:2.0
  no ip address
  bridge-group 200
  no shutdown
!
interface BVI20
  ip address 192.168.120.1/24
  ip dhcp binding dhcp-profile-120
  bridge-group 200
  no shutdown
!
!
interface GigaEthernet1.3
  description VLAN333
  encapsulation dot1q 333 tpid 8100
  no ip address
  no ip dhcp binding dhcp-profile-130
  bridge-group 300
  no shutdown
!
interface GigaEthernet1:3.0
  no ip address
  bridge-group 300
  no shutdown
!
interface BVI30
  ip address 192.168.130.1/24
  ip dhcp binding dhcp-profile-130
  bridge-group 300
  no shutdown
!

まず、ブリッジ機能を有効にするために bridge irb enable コマンドの実行が必要だ。
(このコマンドはグローバルコンフィグモードで実行する必要があるため、手前で configure コマンドを実行している)

ここでタグVLAN のサブインタフェースと、グループ化したポートをブリッジするのだが、前述の通りブリッジ機能を使うとサブインタフェースに設定していた L3 の IP 関連の構成が機能しなくなる。
このため、 VLAN 毎に BVI インタフェースを作成してブリッジに加えたうえで、そちらに ip address や ip dhcp binding の構成を移植する。

なお、タグVLAN で使用している "サブインタフェース番号" GigaEthernet1.2 と、ポートベース VLAN で使用している "グループ番号" GigaEthernet1:2.0 (、そして BVI インタフェース番号 BVI20 や bridge-group 200、 VLANID VLAN222) をある程度数字揃えてブリッジしているが、必ずしもこれら番号は揃えておく必要は無い。
見やすさやわかりやすさを重視しつつ、指定できる範囲内で設定するのが良いだろう。

動作確認

ここまでの設定が完了すると、4つのサブネット間でルーティングされ、GE1 デバイスの各ポートでは以下のような組み合わせで VLAN のイーサネットフレームが流れるようになる。

試しに、GE1 の 2番ポートに繋いだ PC (192.168.120.2) から、 GE1 の 1番ポートに繋いだ PC (192.168.99.2) に、 ping を打ってみた所を、 GE1 の 1番ポートに繋いだ PC 側でパケットキャプチャしてみる。

192.168.120.1/24 のサブネットで ARP のブロードキャストされたフレームが、送信元 PC に繋いだ NIC の MACアドレス (Buffalo_f0:1X:XX) より VLANID 222 のタグ付きで 1番ポートへ届いていることがわかる。

一方、 ICMP の通信はルーティングされた上で 192.168.99.2/24 のサブネットへ届いているため、 IXルーターの MACアドレス (NECPlatf_4f:XX:XX) よりタグなしで 1番ポートへ届いていることがわかる。

おわりに

上記の設定では、VLANグループ間でスイッチングはされないが、サブネット同士で自由にルーティングされる。このため、L3スイッチで VLAN を分割しただけの場合とは異なり、 VLAN 間でも IPレイヤーの通信は行われる。実運用で VLAN 間の通信を制限したい場合は、適宜フィルタなどを追加して使う事になるだろう。
また、パスワードが設定されていないので、実運用では設定しておこう。

以上のように、VLAN スイッチなどでは単純にできるような設定でも、ルーターで実現するにはまぁまぁ大変であることがわかると思う。

とはいえ、ブリッジなどを駆使すれば、このような複雑な構成であってもルーターだけで構成できるのが IXルーターの強みとも言える。

上記の例では使用しなかったが、 GigaEthernet1:2****.3 のように、"ポートベース VLAN グループ番号" に "サブインタフェース番号" をつけることもできるため、ポートベース VLAN グループに割り当てたポートに VLAN タグがついたフレームを流すことも可能だ。 ³

参考: NEC IX2207 の VLAN 設定備忘録 | hyt adversaria

IX2000シリーズ取扱説明書の【3 基本操作と各種説明 → モードについて → インタフェース表示の意味】あたりを参照 ↩︎ ↩︎
IX2000/IX3000 シリーズ機能説明書の【■2.9 ブリッジの設定】より ↩︎
UNIVERGE IXシリーズ設定事例集の【19.2 ポートベース VLAN とタグ VLAN の併用】あたりを参照 ↩︎

【障害切り分けのコツはまずは森を見ること！】Gitlabのpushエラー、原因は（恐らく？）buffalo製ルータだった話

2022-02-24T23:29:56+09:00

お久しぶりですにゃ。
やらなきゃいけない事があるからと、”優先度の低いものをする時間をマストタスクに割り当てよう”と考えながら
、結局マスト作業も先延ばしになり帳尻合わせが大変になる時空を生きて21年目の私です😢

実はこの間に、所属している会社のブログも1ページながら担当させていただきましたねこ！業務内容とおすすめ焼酎４選という内容なので、
良かったら探してみて欲しいぎょぴ！！
（さすがにネコ語は自重しましたぎょぴぼー）
貴重な経験をさせてくださった弊社の担当者様、ありがとうございますにゃー！

久しぶりの投稿ということで前置きが長くなってしまいましたが、
今回は自宅で特定の通信がハングアップしてしまったときのことを綴りますぴょん。
※解決法とういうよりは、ハチャメチャに慌ててる私をご覧いただく記事となります。

v目次にゃv

1.今回起こった問題
2.一旦バックグラウンド
3.対処１
4.対処２
5. 切り分け
6. 今回の件から私が得るべき教訓は…
7. エンドタイトル

今回起こった問題

自宅クライアントPCからドメインでGitlabへ200MB付近の容量ファイルをgit pushすると

error: RPC failed; curl 56 Recv failure: Connection was reset
fatal: The remote end hung up unexpectedly

とのエラーが出てpushできない。※今回は19MBのサイズでエラー出ました
どうやらサイズ制限にかかり、正常にpushできていないみたい。
※ファイルサイズが小さいものは問題なくpushできます。

〇　5KB
✖　19MB

一旦バックグラウンド

唐突ですが、当時の自宅の簡単な構成を…

Windowsサーバより外の構成は私関与していなかったので、聞き伝えでの図ですが…
今回、外部からWebサーバにアクセスできるようにbuffaloルータでポート開放されていますうさぎ～。

また、CentOS内部では、80番ポートはプロジェクト管理ソフトWebGUIへ（Apache）
GitLabはパッケージ内包のNginxで動いています。
hoge/projectsとhoge/gitlabでサブディレクトリにして、Apaceでリバースプロキシ設定で運用していますきんぎょ～。
今回アクセスする経路はドメイン指定するので1度インターネット抜けしてからLAN内にあるサーバに戻ってくる形です。（混乱する要因の1つ）
この辺の詳細は省きます。わけわかランボルギーニ～(^^♪＜ふんっ！ふんっ！

対処１

原因を調べたところ、GItLab側（Nginx）で一定値を超えるものは制限をかけているらしい。（そもそも大容量通信を想定していない）
早速、ネットに記載されていた対処法を試すねこ！

まずはクライアント側でバッファを増やす設定をするにゃ

git config --global http.postBuffer 524288000

次にサーバ側のＧitlabのサイズ制限を変更するために、Nginxのconfigに追記するぎょぴぼー。

client_max_body_size 200M

その後、各ソフトとサーバーを再起動っぽ！
。
。
。
同じエラーが返ってくる…

対処２

根気強くネットで解決策をさがすと、”プロキシを挟まずに直でGitlabにつないだらいけた！！”との記事を発見！
バックグラウンドを見ていただくと分かると思いますが、自宅構成では
クライアントからGitlabに行く際に、リバースプロキシを介しています。
しかし、リバースプロキシを使わないと、Gitlabかプロジェクト管理GUIのどちらか一方しかアクセス出来なくなりますぴょん…
もちろん、URLでポート指定すればよいのですが、ユーザ側の負担が増えるため却下ですにゃ…
というか、そもそもApacheにデフォルトでサイズ制限はないらしい！！（もしかしたらという事もあるので一応設定をいろいろ試しました）

切り分け

ここまで、サーバ側、もしくはクライアントの設定を疑い試行錯誤してきましたが、一向に解決しないため、
サーバ内だけでなく全体を見て切り分けを行いましたきんぎょ。
通常なら切り分けを最初にするべきですが、ネット上に同じ問題に直面している方がおり、
さらに解決策まで載っているという事で先入観を持ってしまったのが私の敗因ですねこ…

まずはリバースプロキシが原因かどうかを確認するため、
新しくテスト仮想サーバをつくり、Gitlabだけ構築します。
Gitlabは設定を変更せず、リポジトリだけ作成し、大容量push時にエラーを返す状態を再現します。
ドメインを紐づけるのはめんどくさかったので、プライベートIPで開くようにしました。

↓リポジトリパス↓

http:\192.168.100.101/gitlab/piyopiyo.git

###push 結果↓
〇　5KBのデータ　　←小さいファイルはOKですね
〇　19MBのデータ　←え！？pushできた！！！！

ということは、GitlabやNginxは問題なし。リバースプロキシが怪しい…
前段階でリバースプロキシは違うと踏んでただけに驚きました。

より本番環境に近い（外部からのアクセス）挙動も確認したいので、一応ドメインとIPを紐づける（もちろん本番環境のIPは重複を避け変更しておく）
クライアント側でリポジトリのパスをドメイン指定に変更
↓リポジトリパス↓

http:\hogehoge.nk/gitlab.piyopiyo.git

###push 結果↓
〇　5KBのデータ　　←小さいファイルはOK
✖　19MBのデータ　 ←あれ、いつものエラーで通らない…💦

小さいファイルは通っているのでDNSの根本的な間違えはなさそう…
今回はリバースプロキシは設定していないので、リバースプロキシのせいでエラーが出るわけではなさそう
もしや、wanを抜ける過程で失敗している？？

テスト仮想サーバを閉じ、本番サーバのIPとドメインを紐づけ直して再度検証

###push 結果↓
〇　5KBのデータ　　←小さいのは通った！
✖　19MBのデータ　 ←通らない

この場合、以下の2つ範囲で考えることが出来ますね。
①プロバイダ側で何かしら制限がある（これだったらお手上げです😢）
②自分の管轄範囲のNWで問題がある

~~想定できる原因~~
・大容量通信は弾いている
　→Youtube等の大容量のデータはup,down共に正常に疎通可能。おそらく違う。

・特定プロトコルの大容量データを弾いている
　→gitの仕様詳細まで分からず、未検証。（今回はサイズによらずHTTPを使っているはず）

・十分な帯域が確保できず、通信量を絞っている
　→サーバ側のタイムアウト時間も延長したがダメ

Lanでは繋がり、Wanでは繋がらない（小さいデータは繋がるが）という事で、私の手が届く1番Wan側のbuffaloルータを詳しく見てみます。
設定を覗いた感じ、QoSが設定してあるわけでもなく、問題はなさそう。
機器固有の設定は不明なので、我が家にあるFortiGateに置き換えることにしたにゃ！

ついでなので、セグメント別けしました。（NW図の構成が甘くてすみません）

FortiGateの設定を行い、接続確認をしました。
↓リポジトリパス↓

http:\hogehoge.nk/gitlab.piyopiyo.git

###push 結果↓
〇　5KBのデータ　　←小さいファイルはOK
〇　19MBのデータ　 ←無事に通った！

通常利用が想定されるWanを介しての大小データのpushに成功したのにゃ！！

今回の件から私が得るべき教訓は…

まずは、今回、問題解決に至るまでのネックポイント
・ネット記事に、同一サーバにWebサーバを同時導入（リバースプロキシ使用）例が少ない
・GitHubの方がユーザが多くGitlabはどちらかといえば少数派なため、なぜかGithubの記事に案内される
・Hyper-vよりDockerを使用している例が多いため、解決法がマッチしない
・buffaloルータの仕様を理解できていない

以上を踏まえ、今回の件から私が得るべき教訓は、全体を見て切り分けをしっかりしよう！ということだ。

↓今回の切り分け例↓
サーバサイド
・リバースプロキシがおかしい
・Gitlabがおかしい
・Nginxがおかしい
・ポートやファイアウォールの設定がうまく機能していない
その他物理
・クライアントの設定ミス
・物理機器の故障、謎仕様
ネットワークサイド
・Wan側がおかしい
・Lan側がおかしい
・NW境界部がうまく機能していない

てっきりサーバ側だと思い込んでそちらばかり対応にあたったのがダメでした。
今回はネットワークサイド、NW境界部（buffaloルータの仕様なのかな？）があたりでしたね…
結局、最たる原因は仕様が不明のため、buffaloさんには問い合わせて回答をいただく予定です。

エンドタイトル

今回は個人的にいろいろな事象が複雑に面倒くさく絡まっていたのが、解決への道を妨げるものでした。
リソースの関係上仕方がないとはいえ、シンプルな設計の重要さを身をもって学びました。み〇ほ銀行のジャングルシステムがいい例ですね。いや、悪い例か…
複雑なものをどのようにまとめようか思考しながら筆をとった結果、語尾も中途半端になる始末…（しかも非常に読みづらくて申し訳ない）

今回はここまで🐾
自宅にて、焼酎のお湯割りを飲みながら…。

次回も頑張るきんぎょー…

編集後記

私のCrieit記事では、私個人の思ったことや考えを色濃く記事に出しています。qiitaやStack Overflowのような解決を求める記事や、参考となる記事とは違い、実際に困難（？）に直面しているへっぽこ技術者の狭い視野やドキドキを臨場感のある雰囲気を含め楽しんで屍を越えて下されば幸いです。

せっかくなので、次回あたりFortiGateの設定などもご紹介できればよいですにゃ～…

RESTful APIとは

2021-07-25T00:48:24+09:00

RESTful APIとは何？

RESTというだけあって、休みまくりのAPI。かと思ってたら全然違いました（汗）

RESTは、REpresentational State Transferの略。
分散型システムを設計するための構造

APIなので、複数のアプリケーションを連携できる。twitterなど。

RESTの特徴

ステートレス

状態を管理しないので、入力の内容によってのみ出力が決定される。

アドレス可能性

URIで表現される。一目でなんの情報かがわかる。

接続性

別の情報へのリンクを貼ることができる

統一インターフェース

操作は全てがHTTPで動く
取得「GET」、作成「POST」、更新「PUT」、削除「DELETE」

DNA CENTERでの使われ方

自作プログラムを作って、Cisco　DNA　centerで使える機能を拡張することができる。

【ネットワーク】NETCONFとRESTCONFについて

2021-07-24T23:07:34+09:00

ネットワーク機器を設定するためのSBIプロトコル。
データモデリング言語はYANG

NETCONFとは

標準規格として、RFCがある。細かく分けると、

RFC 4741（ベースプロトコル）
RFC 4742（SSHトランスポートマッピング）
RFC 4743（SOAPトランスポートマッピング）
RFC 4744（BEEPトランスポートマッピング）
RFC 5277（NETCONFイベント通知）

コンソールやSSHで接続して通信を行う。基本XML

RESTCONFとは

JSONやXMLファイルでネットワーク機器と通信する
NETCONFのあとに出てきた。NETCONTとRESTの合体版。

【ネットワーク】SDN（Software Defined Network）とは

2021-07-20T22:37:06+09:00

SDNとは？

SDNとは、Software Defined Networkの略です。さあ翻訳しましょうか

(Software)ソフトウェアで　(Defined)定義された　(Network)ネットワーク　のことです。ほとんど英語のままですが。

つまり、

ネットワークの構成や機能といったものを、ソフトウェアで管理しましょう

という意味です。

SDNのメリット

ネットワークの管理を、ネットワーク単位でソフトウェアで一括管理できる。
構成を変えたいってなった時に、LANケーブル付け直したりルーティングしなおしたりというめんどい作業をSDNコントローラでできる
データ転送と制御機能が別れていて便利

論理ネットワークを我々がSDNコントローラーに対して設定をします。
そうすると、SDNコントローラーが勝手に物理構成を行ってくれます。

データプレーンとコントロールプレーン

SDNのメリットとして、データ転送と制御機能が別れていて便利って書いたんだけど
それぞれをデータプレーン、コントロールプレーンと言います

我々エンジニア陣が、SDNコントローラに設定を行うと、其奴が各ルータやスイッチのデータプレーンに書き込みしてくれて、コントロールプレーンはカクカクシカジカのルータのをSDN上で一括制御できます。

SDNそのものの構造

SDNは、インフラストラクチャー層、コントロール層、アプリケーション層に分かれています。

インフラストラクチャー層で、それぞれのデータの管理（OpenFlowなど）
コントロール層で制御
アプリケーション層はソフトウェア部分

というシンプル構造。

OpenFlow

SDNのうちの一つに、OpenFlowがあります。

仕組みは同じ。OpenFlowコントローラを弄って下位層のルータやスイッチに設定する。

使われるAPIは、北側（上位層側。アプリケーション側）はNorthbound API、南側（スイッチなどの機器側）はSouthbound APIと言います。

画像はping-tより

ファイアーウォールの機能

2021-07-20T22:36:14+09:00

ファイアーウォール

主な機能

機能	説明
パケットフィルタリング	パケットの通過を許可したり、拒否したり...
ステートフルインスペクション	通信を監視して、不正な通信を拒否する。DoS攻撃対策

ゾーンについて

ファイアーウォールは、違うゾーンにパケットを飛ばす時に、精査します

ゾーン名	説明
内部ゾーン	基本的に安全と考える場所
外部ゾーン	攻撃してくる可能性がある場所
DMZ	内部と外部の間で、外部からアクセスしたい時に使う場所

【ネットワーク】無線LANの認証機能（WPA・WPA2・WPA3）と暗号化アルゴリズム

2021-07-14T15:39:56+09:00

ワイヤレスでの認証規格に、WPA、WPA2、 WPA3がある

この記事書くのにヤクの毛大量に刈ってきましたが、まだ間違っているかもなので間違いみっけたらコメントくれると助かります

それぞれの規格一覧

暗号化方式とは

TKIP

RC4で暗号化し、Michaelで安全性を検証している

CCMP

AESアルゴリズムをもとに暗号化をする方式

GCMP

WPA3用。新種すぎてなかなか情報が得られず。（2017年にWPA2に脆弱性が見つかったらしいよ）

暗号化アルゴリズム（めちゃ数学です）

RC4

共通鍵暗号方式で、WEPやWPA、SSL／TLSなどに使われている

データを1ビットずつ暗号化していくストリーム暗号で、
疑似乱数を生成して、平文との排他的論理和を計算し、それを暗号文としている。

暗号化した時と同じ疑似乱数を使ってもう一度排他的論理和を計算すると、平文に戻るという仕組みです。
擬似乱数を共通鍵として持っておけば、複合化できます。

排他的論理和を2回繰り返すと元に戻るという数学チックなやり方を使っていますね

AES

無線LANやファイルの暗号化で使われている。

Advanced Encryption Standardの略
RC4とは対照的に、一定量のデータをまとめて暗号化するブロック暗号を利用しています。
AESで使う4 種類の変換は、「SubBytes」「ShiftRows」「MixColumns」「AddRoundKey」
これを基本的にこの順番で、何回か繰り返して作られています。

SubBytes

8ビットの情報をガロア体GF(28)の逆数に変換
最初の4ビットがX, 後半4ビットがYになります。

GF(28)の逆数変換テーブル
その結果をもとに、行列変換をします。

a0からa7までに、逆数変換した後の値を入れて、行列変換します。

ShiftRows

その名の通り、列を並べ替えていきます。

4×4の行列を、行ごとで一つずつシフト

MixColums

行列を、列ごとに掛け算していきます。
行列は、
で求められます

AddRoundKey

Key Scheduleから作成された行列との排他的論理和をとります。至って単純。

アルゴリズムの参考サイト
http://www.ihpc.se.ritsumei.ac.jp/hpc/papers/b05/umehara.pdf
https://www.cqpub.co.jp/DWM/contest/2004/specification2004.pdf
その他諸々

認証方式について

WPAパーソナル

認証サーバを使わないモード

PSK

Pre-Shared Keyの略。意味は、「共有パスワードキー」
まー従来使われていたやつ。

SAE

Simultaneous Authentication of Equalsの略。
クライアント役とサーバ役が時と場合によりコロコロ入れ替わる。
認証パスワードが予測できない。
鍵交換に4ウェイハンドシェイクするらしい（4ウェイって初めて聞いた笑）

WPAエンタープライズ

認証サーバを使用するモード。
企業で使われる

IEEE 802.1X/EAP

WEPにはない認証方式を作るためにできた。
サプリカント、認証装置、認証サーバを用いる。

認証方式に、MD5とか。TLSとか。よく聞いたとこあるようなやつが使われている。

【ネットワーク】WLCの画面一覧

2021-07-12T13:59:54+09:00

なかなかお目にかかることができないので、画像を探し歩いてきました

WLCの操作で使うメニューとその内容

モニターメニュー

コントローラーや、APなどの概要が載ってます

WLANメニュー

プロファイル名とか、SSIDを設定できます

コントローラーメニュー

ここで、インターフェースの設定を行えます。

ワイヤレスメニュー

LAP（LightweightAccessPoint）の設定を行えます

セキュリティメニュー

ここで、RADIUSサーバに関する設定を行えます

マネジメントメニュー

HTTP/HTTPSによるWLCへのアクセスを許可/拒否など、管理系の設定ができます

コマンドメニュー

WLCのコンフィグのアップ・ダウンロードができます

【ネットワーク】ICMPv6とNDPについて

2021-07-07T17:26:57+09:00

ICMPv6とは

ICMPv6は、IPv6用のICMPです。（そのまんまですが）

v4と違って
IPv6にはARPがないので、ARPに相当するアドレス解決の機能を持っている。

ICMPv6の主な機能

機能	詳細
エラー通知	パケットが破棄された理由を送信元に通知する機能
近隣探索	同一セグメント上のデバイスのアドレスを調べる機能

NDP（Neighbor Discovery Protocol：近隣探索プロトコル）

NDPでは、同じセグメントにあるMACアドレスを調べるためにICMPv6パケットを使用している。

NS（Neighbor Solicitation：近隣要請）：MACアドレスを問い合わせるパケット
NA（Neighbor Advertisement：近隣広告）：NSへの応答パケット

IPv6アドレスを調べるときは
・RS（Router Solicitation：ルータ要請）：RAを要請するパケット
・RA（Router Advertisement：ルータ広告）：セグメントのプレフィックスなどを伝えるパケット

NDPによってできること

MACアドレスの解決（IPv4のARPに相当）
SLAAC（StateLess Address Auto Configuration：アドレスの自動設定）
DAD（Duplicate Address Detection：重複アドレスの検出）

IPv6アドレスの割り当て方法

SLAAC（StateLess Address Auto Configuration）

SLAACはIPv6に標準で搭載されたアドレス自動設定機能のこと。
SLAACはNDPを利用して自動設定を行う。

SLAACでのアドレス設定

IPv6ルーティングが有効なルータが定期的にRAによって、そのセグメントのプレフィックスを広告する
ネットワークに追加されたホストはRSを送信し、ルータがRAを即時に送信するよう要求する
ホストは、受信したRAからプレフィックスを、EUI-64によってインターフェースIDを取得し、IPv6アドレスを自動設定する。また、RAを送信したルータのIPv6アドレスをデフォルトゲートウェイとして設定する
アドレス設定が完了し、通信が可能になる

インターフェースのIPv6情報の確認方法
show ipv6 interface

【ネットワーク】IEEE 802.1Qの概要と、ネイティブVLAN

2021-07-07T16:30:36+09:00

IEEE 802.1Q

IEEE 802.1Qは、フレームにVLANタグをつけるための規格。
それによって、スイッチ同士やスイッチとルータ間で送受信するフレームが、どこのVLANに属しているかを識別している

IEEE 802.1Qの主な特徴は以下の通りです。

IEEE標準規格である
送信元MACアドレスアドレスとタイプの間にタグフィールド（4byte）を追加する
FCS（フレームチェックシーケンス）を再計算
ネイティブVLAN（タグをつけないもの）をサポートしている

ネイティブVLANについて

IEEE 802.1Qでサポートされている機能。

通常ではフレームにタグを付けて送信するけど、こやつは例外
ネイティブVLANかどうかは、タグがあるかどうかで判断

ネイティブVLANは、スイッチを管理するトラフィック（CDPやSTPやDTPなど）で使われる。タグを理解しないやつに使うと効果的。

switchport trunk native vlan {VLAN番号}
で変更可能

【ネットワーク】VTPと、各種モードについて

2021-07-07T16:30:15+09:00

まず、VTPとは？

VTPとは、VLAN Trunking Protocolの略で、VLAN情報を同期するためのプロトコル。
モードは3種類。サーバモード、クライアントモード、トランスペアレントモード。

サーバモード

VLAN情報を同期するモードのうち、VLANの作成と削除が可能なモード。

クライアントモード

VLAN情報を同期するモードのうち、VLANの作成と削除ができないモード。

トランスペアレントモード

なんとなんと、VLAN情報を同期しないモード
（VLAN情報を同期するためのプロトコルって言ってたのに。。。）
でも、転送はできます。
つまりこんな感じ

間に同期しないやつが挟まっていても、転送はしてくれるので後ろにあるクライアントモードのスイッチにはVLAN情報の同期が可能。

でも同期そのものに、条件があって

トランクポートによる接続であること
VTPドメイン名が一致してること
VTPモードは、サーバもしくはクライアント
VTPパスワードの一致（VTPパスワードが設定されている場合）
VTPバージョンの一致

確認は、show vtp statusでできます

DTPについて

2021-07-05T16:34:54+09:00

DTPについて

DTP（Dynamic Trunking Protocol）とは、
スイッチとスイッチを接続したポートで、トランクポート接続をするのか、アクセスポート接続をするのかを動的に決めるためのプロトコル。
（Cisco独自）

・スイッチポートモードの変更方法
(config-if)#switchport mode {access | trunk | dynamic {auto | desirable}}

desirableでは、DTPを送信してみて、対向ポートがtrunk、dynamic desirable、dynamic autoのいずれかの場合、トランクポートになる。

autoでは、DTPを受信したときにtrunkかdesirableのときにトランスポートになる。

・DTPの無効化
(config-if)#switchport nonegotiate

【セキュリティ】主な攻撃の一覧表

2021-07-05T15:53:11+09:00

主な攻撃一覧

（やってくださいという意味ではありません）

主なマルウェア一覧

マルウェアとは、悪意のあるプログラムのこと

マルウェア	説明
ウイルス	他のプログラムに寄生して悪さをするプログラム。規制されたプログラムをしようすることで感染を広げる
ワーム	単独で増殖し、自ら感染を拡大させるプログラム
トロイの木馬	有益なプログラムを装ってコンピュータに侵入する
スパイウェア	感染したパソコンの内部情報（個人情報やアクセス履歴など）を収集し、外部へ勝手に送信する
キーロガー	ユーザのキーボード操作を記録し外部に送信する
ボット	攻撃を行うためのプログラム

スプーフィング一覧

なりすまし。送信元を偽装する（特に、ほにゃららスプーフィング系）

攻撃	説明
IPスプーフィング	送信元のIPアドレスを偽装して、攻撃元を隠蔽する。
メールスプーフィング	メールのヘッダを偽装する。フィッシングメール
DNSスプーフィング	DNSを書き換えることで、偽物サイトへ誘導する
ARPスプーフィング	ARPの応答を偽装することで、既知のIPアドレスから未知のMACアドレスへ誘導させる
DoS	一台のコンピュータからターゲットに大量のパケットを送りつけてターゲットのPCを困らせる。この時にIPスプーフィングしたりする。
DDoS	↑の、複数のコンピュータver
リフレクション	偽った送信元でサーバに送信し、ターゲットに大量の応答を返すように仕向ける（増幅攻撃・アンプ攻撃とも）
中間者攻撃	正規の受信者と送信者の間に入って、盗聴したり書き換えたりする
バッファオーバーフロー	バッファを超えるデータを使って、悪意のある命令を実行させる攻撃

パスワード系攻撃一覧

その他、中間者攻撃やキーロガーで覗き見るという方法もある

攻撃	説明
ブルートフォースアタック	考えられる全ての文字を総当たりで試してパスワードを見破る
辞書攻撃	ありそうな単語を次々に試して見破る
トラフィック妨害	パケットをキャプチャして覗き見る

防ぐ方法（ネットワークセキュリティ）

方法	概要
OSとアプリの定期的な更新	セキュリティホール（弱点）が見つかることがあるので、それを防ぐため
ネットワークデバイスの保護	物理的に、ネットワークデバイスを鍵付きのラックに入れるなどして、厳重に保護
ユーザに対する教育	情報漏洩や内部からの攻撃が怖いので。
FW、IDS\IPS、ウイルス対策ソフトの配備	FWでパケットフィルタリング、IDSやIPSで侵入防止、ウイルス対策ソフトで悪意のあるソフトウェアからPCを保護する
パスワードの複雑化	パスワードにpasswordとかつけないように。文字数や大文字小文字数字を組み合わせるなどして複雑にする。
多要素認証	知識要素（パスワードやPIN）と、所有要素（SMS認証やワンタイムパスワード）と、生体認証（指紋や網膜）を組み合わせる
CDPの無効化	隣接機器にIPアドレスを伝えたくないので、必要ない場合は無効化しておく
HTTPサーバとHTTPSサーバの無効化	リモートアクセスの時は、SSHを使ったCLIが多いので、GUI操作であるHTTPやHTTPSは切っておく
セキュアなプロトコルを使う	Telnetを使うぐらいなら、SSHで
未使用ポートの無効化	使っていないポートはshutdownしておく
パスワードの暗号化	ネットワーク管理者の操作画面から盗まないように、encryptionしておく

アクセスポートとトランクポートの違い

2021-07-05T15:52:01+09:00

アクセスポートとトランクポートの違い

スイッチを設定するときに、アクセスポートとトランクポートの違いをいまいち理解できていなかったので。

スイッチのポートは、「どのVLANに対応しているか」で、アクセスポートとトランクポートに分類される

・アクセスポート
1つのVLANに対応。エンドユーザーのPCを接続するポートなどに利用される。（デフォルトはVLAN1）

・トランクポート
複数のVLANに対応。スイッチ同士やスイッチとルータを接続（VLAN間通信の際に利用）するポートなどに利用される。

アクセスポートの設定例

・Fa0/2をアクセスポートにして、VLAN20を割り当てる
Switch(config)#interface FastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20

・Fa0/5をアクセスポートにして、VLAN30を割り当てる
Switch(config)#interface FastEthernet 0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30

トランクポートの設定例

・Fa0/1のカプセル化方式を802.1Qにしてdynamic desirableモードにする
（対向とのネゴシエーションの結果トランクポートになる）
Switch(config)#interface FastEthernet 0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode dynamic desirable

・Fa0/6のカプセル化方式を802.1Qにしてトランクポートにする
Switch(config)#interface FastEthernet 0/6
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk

アクセスポートとトランクポートの確認方法

アクセスポートになっているのか、トランクポートになっているのかは「show vlan」「show interfaces trunk」「show interfaces status」「show interfaces switchport」などのコマンドで確認できます。
各コマンドの表示は以下のようになります。なお、いずれもFa0/1とFa0/6がトランクポートになっている場合の表示例です。

・show vlan
「Ports」の項目に表示されるポートがアクセスポート
「Ports」の項目に表示されないポートがトランクポート

・show interfaces trunk
「Port」の項目に表示されないポートがアクセスポート
「Port」の項目に表示されるポートがトランクポート

・show interfaces status
「VLAN」の項目がVLAN番号になっているポートがアクセスポート
「VLAN」の項目がtrunkとなっているポートがトランクポート

・show interfaces switchport
「Operational Mode」の項目がaccessとなっているポートがアクセスポート
「Operational Mode」の項目がtrunkとなっているポートがトランクポート

【ネットワーク】APのモードについて

2021-07-01T10:44:35+09:00

APのモードについて

モード	概要
Local	無線LANクライアントと電波を送受信する
FlexConnect	WAN経由でWLCと接続するときに使用する。集中管理型APだとWLCが必要なので、あったほうが良い。いざなんかあったとき（WLCにつなげなくなったとき）ローカルで実行することができる。
Monitor	不正なAPや無線LANクライアントを監視と分離
Rogue Detector	不正APの検出と侵入検知の専用センサー
Sniffer	特定のチャネルのパケットをすべて集めて指定されたデバイスに送信する
Bridge	APをブリッジとして機能させる
SE-Connect	スペアナで無線電波の干渉などを調べる

🐈【ネコでもわかる03】サブネッティングとネットワーク切り分け

2021-05-11T00:58:16+09:00

今回はサブネッティンとネットワークの切り分けについて解説するぎょぴ！
特攻で作ったから粗が目立つのは大目にみてくださいきんぎょ

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
※21/5/26-追記
なぜか、ルータに同じIPアドレスを振っている箇所が複数あります。
私の勉強不足、不注意です。お詫び申し上げます。
尚、題材のサブネッティングのやり方には影響はありませんので、そこはご安心を
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

訂正
※資料中の表記の訂正です。”オクテッド”ではなく正しくは”オクテット”です。
×”オクテッド”
〇”オクテット”

※今回は分かりさを重視するため、誤解を恐れず、不正確な内容を容認しております。そこだけ注意してこの記事を閲覧、ご理解の足しにしていただけますようお願い申し上げます。

※ネットワークの設計自体に欠陥があります。こちらは多少大目に見ていただけると幸いです。
尚、サブネットやネットワーク切り分けに関しての間違えや欠陥についてはコメントにてご指摘いただけますとありがたいです。随時、加筆修正いたします。
（青いネットワークは本当に大目に見てほしいです。ここだけは知識不足、時間不足を痛感しております。💦L3スイッチの偉大さに気づかされました。今後リベンジします。）

注意書きが多くてごめんなさいネコ。でも、とても重要なことなのにゃ🐈

v目次にゃv

1.サブネッティング
2.今回の構成
3.今回の条件
4.ルールや慣例
5.勘違いしやすいポイント
6.いざ入刀①
7.いざ入刀②飛天御剣流抜刀術
8.まとめ表とエトセトラ

サブネッティング

ネットワークを切り分ける前に、サブネッティングについて解説するぎょぴー

再※※資料中の表記の訂正です。”オクテッド”ではなく正しくは”オクテット”です。

まずはネットワーク部とホスト部について簡単におさらいするきんぎょっ！
ちなみにIPアドレスを8ビット毎に区切った位置のことを第〇オクテットと呼ぶ狐。

とりあえず、ここではサブネットとIPアドレスを重ね合わせてみることを覚えておくねこよ～

さっきから2進数や10進数に変換してばかりで大変きんぎょ～(-_-;)
でもこのくらいの変換ならすぐ慣れるぎょぴぼー。

ここでは重みづけから実際に割り当て可能な数を導き出すのにゃ～
２^nはコンピュータの世界ではよく出る数式だから覚えておくとよいきんぎょ。
表中の実際の値が指数。2が底ですねこ～。

今回は例として重み6と5の間で分けたものを用意しましたねこ。
ホスト部となっている重み5を先ほどの数式にあてはめるきんぎょー。
表からも分かる通り、32という数字が導けたぬっこーね。
これが割り当て可能な機器数になるぎょぴー。

今回の構成

今回ネットワーク切り分けするネットワーク構成ですにゃ🐈

機器の台数や構成は図の通りねこね～。
（橙枠のハブは気にしないでほしいぎょぴぼー）

【ワンポイントアド】

「なぜネットワークをわけるの～？」と思う方も多いはずですにゃ(~_~メ)
例えば、学校なんかでは生徒用と教員用のネットワークを分けていることがほとんどきんぎょ。
こうすることによって、生徒に見られたらまずいデータを生徒用PCネットワークからアクセスできなくしたり、ファイアウォール設定で、コンピュータウイルスを1つのネットワークの中だけで抑え込めたりするぎょぴ！

今回の条件

今回は192.168.0.0/24の中で各機器にIPアドレスを割り振っていくぎょぴよ～
ネットワーク構成は図の通り。3つぎょぴね。
今回はさらに、できるだけ最小で分けていくきんぎょ。
こうすることで限られたアドレスを有効活用出来るぎょぴ！
ただし、ギリギリで設定すると後から機器を増やすとなったときに、新しい機器を入れる隙間がなくて増設できくなることもあるきんぎょ😿
はじめから先を見越したネットワーク設計をすることが大切ぎょぴぼー！

ルールや慣例

本格的に始める前にルールや慣例を紹介するねこー！

デフォルトゲートウェイについてはあくまで慣例なので、絶対ではないぎょぴよ～。
ネットワークアドレスの次の値をデフォルトゲートウェイにすることも多いねこー。

勘違いしやすいポイント

「~~割り当て可能な数が16なら16個の機器にIPアドレスを設定できるってことだよね~~」
実は違います！！！！

ネットワークを切り分けるにはあるルールがあります。
それは1つのネットワークにはネットワークアドレスとブロードキャスアドレスが1つずつ存在することねこ
つまり、1つのネットワークを作るたびに”最大割り当て数-2”をしてあげた値が割り振り可能な数字ですねこ！！
詳しくは図中の表を参照してほしいにゃ～。

いざ入刀①

それでは上記のルールや注意事項を踏まえて、いざ尋常に刀を抜くきんぎょー！

ここでサブネットが完成します。これで、10個の機器を割り振るためのホスト範囲が確定したぎょぴ。
今出た範囲を次でIPアドレスにしますにゃ

注意してほしいのは採番は1ではなく0から始まることぎょぴぼー
ホストは16個だけど、0から数えるので範囲は0～15になるきんぎょよ。
ということで、第4オクテッドにあてはめて、IPアドレスが完成ねこ！

範囲がでたら、各機器にアドレスを振っていくのにゃ～。
慣例によって、ブロードキャスアドレスの1つ前をデフォルトゲートウェイ及びルータのギガビットイーサネット0/1に振るのにゃ。
あとは順番に振ってあげればOKにゃんこ～。
（L2スイッチにはIPアドレスは割り振りませんが、スイッチを外部からアクセスして操作、管理するときにIPが必要なので今回は割り振ります。）

いざ入刀②飛天御剣流抜刀術

緑枠のネットワークが終わったので、次に大きい橙枠のネットワークを捌いていくっでござるよ。

いざ入刀①と同じで、必要な機器の数を計算するでござるにござるぅ～！！

サブネット完成でござるよ。
入刀①とサブネットの値が変わったのが気づけた剣心？

2回目以降のネットワーク切り分けの際には前回のネットワーク範囲を考慮するのを忘れたらだめゼヨ。
前回、0.15まで使ったので、今回はその続きの0.16からはじめるぎょぴー。

こちらも各機器にアドレスを振っていくきんぎょねー。

まとめ表とエトセトラ

今回はネットワーク構成では3つあったけれど、私の個人的都合で、青ネットワークは非常にややこしくなってしまい、今回の意図を外れそうなのでパスさせてほしいきんぎょ…

（この行読むとややこしくなります。未読推奨です）一応、表は掲載しますが、機器2つに対して2つのネットワークを振ってる金魚。私の設計力、知識、その他もろもろ不足していた結果です。後日リベンジ…

まとめの表には今回、私が割り振ったネットワークと機器数や表の見方が書いてあるでござる。
参考になるかわかりませんが、よろしければ…

今回はここまで🐾
記事や資料のの細々したミスはボチボチ修正していくねこ。
次回の記事にもっと直感的に分かる資料も追加する予定きんぎょ～

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊
再※21/5/26-追記
なぜか、ルータに同じIPアドレスを振っていますね…
私の勉強不足、不注意です。お詫び申し上げます。
＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

次回も頑張るきんぎょー…

Windows Server の CertReq で作成した CSR の文字化けを回避する

2021-05-04T11:55:50+09:00

Windows Server の certreq.exe を使って、 https 等を目的にサーバー証明書署名要求 (CSR) を作成した際に、その CSR や署名後の CER で、サブジェクト字が文字化けしてしまう場合がある。

この問題は、 certreq.exe にて、テキストファイル (.inf ファイル) から CSR を作成した場合に発生する。

そしてこれは、 .inf ファイルを BOM付き UTF-16 LE で保存すれば解決する。
(BOM付き/BOMなしの UTF-8 には対応していない)

Windows のメモ帳であれば、文字コードを Unicode に設定すれば、 OK だ。

対処法は単純だが、原因が少しややこしかったので、少し深堀りしてみる。

CSR が文字化けする要因

そもそも、文字化けする要因は以下の3カ所あった。

.inf ファイルが ASCII (Shift_JIS) で保存すると Unicode の情報が失われる
certreq.exe が .inf ファイルの文字コードの解決に失敗する
X.509 の文字列のエンコードが UTF-8 が指定されていない

(1) はまぁわかりやすいだろう。
テルグ文字や絵文字など、 Shift_JIS に存在しない Unicode の文字が文字化けするのは、これが原因だ。

ところが、古い Windows Server (2012 あたりとか) だったり、 .inf の内容によっては、非 Shift_JIS 文字だけでなく、非Ascii 文字 (上のスクショで言うと "京都府" のあたり) も文字化けする場合がある。
これは (1) だけでは説明がつかない。

(2) については、 .inf ファイルが Shift_JIS や UTF-8 で保存されていると、 certreq.exe が文字コードの解決を誤ってしまう場合があるのが原因だ。
おそらく、 OS のロケールなどを見て、 BOM付き UTF-16 LE ではないファイルが .inf ファイルに渡されたときの挙動が決まるのだと思われる。

この問題も、 .inf ファイルを .inf ファイルを BOM付き UTF-16 LE で保存すれば、文字の解釈が明確になるので、文字化けしなくなる。

なお、 (3) については、現行のサポート中の OS では気にする必要はないだろう。古い OS だと、 HTTPS サーバー証明書の規格である X.509 で、扱う文字列を UTF-8 で記述するバージョンに対応していない可能性がある。

サーバー証明書のサブジェクトに顔文字を入れる

試しに、以下のような内容の request.inf ファイルを、 BOM付き UTF-16 LE で保存して、 certreq.exe で CSR ファイルを作成してみよう。

[NewRequest]
Subject = "CN=(´◉◞౪◟◉); OU=🥺; O=aquasoftware.net; L=京都市; ST=京都府; C=JP; [email protected]"
X500nameflags = "CERT_NAME_STR_SEMICOLON_FLAG"
KeyLength = 3072
KeySpec = AT_KEYEXCHANGE
KeyUsage = "CERT_DIGITAL_SIGNATURE_KEY_USAGE | CERT_KEY_ENCIPHERMENT_KEY_USAGE"
HashAlgorithm = sha256
MachineKeySet = True
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC

[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1

[Extensions]
2.5.29.17="{text}"
_continue_ = "DNS=aaa.example.com&"
_continue_ = "DNS=bbb.example.com&"
_continue_ = "IPAddress=192.0.2.1&"
_continue_ = "IPAddress=192.0.2.2"

PS> certreq.exe -new .\request.inf .\csr.req

CertReq: 要求が作成されました

.inf ファイルの書き方については、 certreq | Microsoft Docs のドキュメントを参照のこと。
いくつか特徴的な部分について解説しておくと、

Subject 内のパラメーターに "," が使えるよう、 X500nameflags に CERT_NAME_STR_SEMICOLON_FLAG を指定して、区切りを ";" に変更している。
OID=1.3.6.1.5.5.7.3.1 の部分では、「拡張キー使用法」に「サーバー認証」の仕組みを与えている。
[Extensions]2.5.29.17=... の部分では、 SubjectAltName (SAN) に、 DNS や IpAddress を指定している。 SAN の指定がないと、 Chrome で証明書エラーになってしまうため。

これを CA で署名してもらってサーバー証明書として使えば、サーバー証明書内で絵文字ですら使えるようになる。

Wiresharkの基本

2020-12-23T22:02:48+09:00

Wiresharkとは

Wiresharkはネットワークの解析ソフトウェアの名前。
近年様々な業界でIT化が推進されている為、どの業界でもエンジニアには必須となりつつある(のかもしれない)…

実行環境

OS・・・・・・・・・・・・Windows10 Pro
Wireshark Version・・・・・3.4.0

Wiresharkの基本操作

キャプチャを開始する
Wiresharkを起動すると下記の画面が表示される。
キャプチャの開始方法は次の通り

①インターフェースを直接選択する
　この欄にはWiresharkが自動的に読み込んだインターフェースの一覧が表示
　される。
　表示されているインターフェースをダブルクリックすると、
　そのインターフェースの通信をキャプチャする。

②メニューバーから選択する
　メニューバーから、「キャプチャ」→「オプション」と選択すると、
　インターフェースの一覧が表示される。
　ここではNICの動作選択でプロミスキャスモードのON/OFFができるので、
　変更が必要な場合はここから開始すると良い。
　※プロミスキャスモードとは・・・同一ネットワーク内のパケットを
　　全て受信して読み込むモード。
　　公共のネットワークなどで行うのはクラッキング行為とみなされるので注意

③ツールバーから選択する
　ツールバーの「キャプチャオプション」を選択すると②と同じウィンドウが開く。

④プロトコルでフィルターを掛ける
　キャプチャを開始すると、選択したインターフェース上を流れる全ての通信が延々と表示・更新され
　続ける。
　キャプチャしたいプロトコルが決まっている場合、「表示フィルター」にプロトコル名を入力して、
　フィルターを有効化する。

キャプチャを停止する

①ツールバーの「パケットキャプチャを停止します」を選択すると、パケットのキャプチャを停止する。
キャプチャしている限り画面は常に更新し続けるため、必要なデータがとれたらキャプチャを停止して
からパケット解析をすると良い。
キャプチャの読み取り方

①【No.】
　キャプチャされた順番。No.の値が大きいほど最新のパケット情報を表す。

②【Time】
　Wiresharkでキャプチャを開始してから経過した時間を表す。

③【Source】
　通信の送信元情報。MACアドレスだったり、IPアドレスだったりする。
　※表示されるMACアドレスは、メニューバーから「表示」→「名前解決」の
　「物理アドレスを解決」にチェックが入っていると、ベンダーコード(MACアドレス上位の6桁)を
　文字列に変換してくれる。
　例としてはApple_xx:xx:xxやBuffalo_xx:xx:xxといった感じ。

④【Destination】
　通信の宛先情報。③と同じくMACアドレスやIPアドレスが表示される。
　ブロードキャスト通信だった場合、「名前解決」機能でBroadcast表記される。

⑤【Protocol】
　その通信で扱っている通信プロトコルを表示する。

⑥【Length】
　その通信のフレーム長を表示する。単位は[byte]

⑦【Info】
　通信内容に関するインフォメーション。
　例）ICMPのエコー要求、HTTPのGETメソッド

⑧【パケット詳細ペイン】
　通信の詳細情報を表示する。
　この図だと、上から順にEthernetフレーム、Ethernetヘッダ、ARPヘッダを表示している。
　各項目の左側にある「＞」マークをクリックすると、そのフレーム・ヘッダ情報を
　詳しく見ることができる。

インフラエンジニアって何なの？

2020-12-19T02:25:20+09:00

テクノロジーの進化でグローバル化が進み、ITの必要性は加速しています。
５G時代の４種の神器ともいわれている、

「ビッグデータ」「クラウド」「ブロックチェーン」「IoT」
で情報の通信も複雑化しています。それに伴いネットワークを構築するための需要も高くなります。そこで必要となるのがITエンジニアです。

縁の下の力持ちである

普段からやり取りするために利用される、Line、Instagram、仕事の連絡でもzoom、Slack、娯楽や学びを提供するYouTube、Netflixなど、これらを動かすプログラムだけでは全く機能しません。

そこで必要になるのがそれらのデータを管理するサーバとそれらを利用するデバイスをつなげるネットワークです。そのネットワークの通信をつなぐためにはいくつものデータの通信が必要になります。それらを安定して安全に提供するためにはインフラエンジニアが必要になります。

インフラエンジニアに必要なもの

2000年以降、世界経済が進み市場に急速の変化が始まりました。変動性、不安定であり、未来の読めない時代になっています。変化に対応するためには常に情報をアップデートし、新たな技術、脅威、市場など、インフラエンジニアは学習していく必要があります。

インフラエンジニアに求められるのはサーバやネットワーク技術を扱うエンジニアでかつ、利⽤者の悩みを改善するための提案やその改善ができる⼈です。

インフラエンジニアが扱う仕事の範囲

ITを扱うにあたり、OSI参照モデルという通信の流れのようなものがあります。それを利用し、通信の規則を決めております。

レイヤー	階層名
レイヤー7	アプリケーション層
レイヤー6	プレゼンテーション層
レイヤー5	セッション層
レイヤー4	トランスポート層
レイヤー3	ネットワーク層
レイヤー2	データリンク層
レイヤー1	物理層

データを送信する際はアプリケーション層（レイヤー7）からデータを下階層に渡していき、物理層（レイヤー1）まで到達したら相手の物理層からデータを上階層に渡していき、アプリケーション層に到達して送信完了となります。

これが送信の流れですが、インフラエンジニアが担当する仕事は
トランスポート層、ネットワーク層、データリンク層、物理層を担当します。それ以上の層はサーバエンジニアやフロントエンドエンジニアが担当します。

まとめ

繋がって当たり前だと思われているネットワークですが、インフラエンジニアがいることでライフラインであるネットワークをこうして今も使うことができます。

積極的にはプログラミングをあまり行わないインフラエンジニアですが、会社でネットワーク環境を作る企業が増え、かなり責任重大な仕事です。業務では緊張感を持ってやっていかなければいけないですね。

ネットワーク基礎～通信のカプセル化～

2020-12-17T11:46:33+09:00

OSI参照モデルとTCP/IPモデル

OSI参照モデルとTCP/IPモデルは共に、端末から端末へデータを通信する際に必要な処理を、
いくつかのステップをまとめたもの。

OSI参照モデル
全７階層からなる通信モデル。通信の流れを細かく規定していたが、あまり浸透しなかった。
そのため、現在では通信の考え方を学ぶために参照される程度となっている。
TCP/IPモデル
全４階層からなる通信モデル。インターネットを中心とした、現在のネットワークでよく使われるプロトコルを4つの階層にまとめた通信の基本ルール。
現在のネットワークはこちらの通信モデルで設計されている。

ヘッダとカプセル化/非カプセル化について

通信を行う際には通信モデルの上位層から、ヘッダをデータに付与していく。
この一連の流れをカプセル化という。
カプセル化とは、送信側の機器がデータを通信できる形に加工すること。
カプセル化のイメージをTCP/IPモデルで表すと下記のとおり。

データの送信側が梱包したデータを、ヘッダの情報に基づいて受信側が開封していく作業を非カプセル化という。
非カプセル化とは、受信側の機器が通信データから必要な情報を切り取っていくこと。
非カプセル化のイメージをTCP/IPモデルで表すと下記のとおり。

ヘッダの種類

ヘッダにはそれを取り付けた通信モデルの階層によって異なる名前がつけられる。
以下、一例。

Ethernetヘッダ・・・データリンク層、ネットワークインターフェース層でつくヘッダ。制御情報の中身は送信元(Source)のMACアドレスと送信先(Destination)のMACアドレス。
Ethernetトレーラ・・・データリンク層、ネットワークインターフェース層ではデータの末尾にトレーラと呼ばれる制御情報がセットで付与される。これは送信先でデータが欠けていないかをチェックする為のチェックコードとなっている。
IPヘッダ・・・ネットワーク層、インターネット層でつくヘッダの一種。IPアドレスで通信する際に使用される。制御情報の中身は送信元(Sender)IP Address、送信元(Sender)MAC Address、送信先(Target)IP Address、送信先(Target)MAC Addressとなる。
TCPヘッダ・・・トランスポート層でつくヘッダの一種。
送信元のポート番号、送信先のポート番号や、送信データの読み取り順序情報などが含まれる。

各層でのデータの名前

通信モデルでは、カプセル化する事で各層でデータの中身が異なる。上位の層から受け取ったデータ(ペイロード)と、現在の階層ヘッダを合わせた物を、PDU(Protocol Data Unit)と呼び階層ごとに名称が異なる。

アプリケーション層(+プレゼンテーション層+セッション層)でのPDUの名前はメッセージ。
トランスポート層でのPDUの名前はセグメント。L4ヘッダ＋メッセージ
ネットワーク層(もしくはインターネット層)でのPDUはパケット。L3ヘッダ＋セグメント
データリンク層(もしくはネットワークインターフェース層)でのPDUはフレーム。L2ヘッダ＋パケット+L2トレーラ