「CCNA」の記事 - Crieit

CCNA体験記〜当日の一日の流れ〜

2021-08-02T18:12:34+09:00

受験当日

7月31日、午前6時。

目覚ましが鳴る前に目が覚め　身支度をして
おにぎり１つ食べながらパソコンの前へ着いた

Ping-tを開いたりCCNAを開いたり落ち着かない状態が続いていた

午前8時頃～

Ping-tの模擬試験中　急に動悸がしだすようになる
もともと前日の体調もそんなに良くはなかったせいもあるかもしれない　若干吐き気もあり。。。

途中で模擬試験を中断　わからない問題の解説を読むたびに自信をなくしていく　完全に悪状況だ

CCNAから少し離れ、イヤホンつけて音楽を聴きながら深呼吸　でも不安な単元が頭を過る

再びあちこちのCCNA勉強サイトへ手を付け始めた　
迫ってくる本番に意識をもっていかれながらだけど　できる限りやろうって思ってた

午前10時半

イヤホンをつけたまま家を出た　
電車の中では特に何もしなかった　心の整理だけをしておこうって思っていた

会場の場所に少し戸惑いながら　受付を済ませた

受験までの流れは事前にメールがあった通りだった
注意事項説明と本人確認　ロッカーに身分証以外の荷物すべてを収納

そして、A4サイズのホワイトボートとマーカー２本を渡され、試験部屋に案内された
自分のロッカーと同じ番号のパソコンの前へ座る

ログインは受付の人が行ってくれた

試験前

再び注意事項がずらずらと書かれている
替え玉受験の禁止　カンニング禁止　私物持ち込み禁止など基本的なものだ

次の画面に出てきたのは合格点
試験問題が101問あり　300点から1000点で計算され　823点以上で合格と書かれていた

次に練習問題
単一選択　複数選択　ドラッグアンドドロップの練習に３問用意されている
それが終わるとすぐに試験開始　残り時間の時計が右上に小さく表示されていた

試験開始

問題に対して何かコメントがある場合は書き込んで保存することができる
今後の改定のために使いたいそうだ

ただし書き込むのは試験時間内のため　書き込む人はあまりいないだろう

実際の問題は
Ping-tにはなかったような気がするWindowについてやMicrosoftについての問題もあったり
誤字なのか翻訳ミスのようなものもあったり
いわゆるCisco語もそこそこ見かけた

まったくわからない問題なら適当に選択してさっさと進めるのだが
問題がわからないとどうしても理解しようとして時間をかけてしまう

すごく焦っているのが自分でわかった
焦っていることに気づく度に深呼吸をした

定期的に残り時間と残り問題数を見ながら　１問あたりの時間をざっと暗算して
１問１分ぐらいでいつも通りやれば大丈夫だと言い聞かせた

普段なら50分は余るところを　残り10分で終了

試験を終了し出てきたのは

あなたの点数は901点

試験中は合格しているかしていないかギリギリぐらいかなって思っていた
この文字を見て安心した

最後にCCNAに関するアンケートを行い　席を立って受付に借りていたホワイトボードをもっていく
受付でホワイトボードと引き換えにPassと書かれたレポートを受け取る

ロッカーから荷物を取り出し　ガッツポーズをしながら帰宅した

Cisco語対策についてはこちら

CCNA対策～Cisco語の作り方～

2021-08-02T18:12:18+09:00

Cisco語について

CCNAの勉強をしている人はCisco語というのを聞いたことがあると思います。

どんなものかっていうと

AD値が管理ディスタンス値と表示される
（WLCの）バンドセレクトが帯域選択と表示される
（カウンタに出てくる）giantsが巨人と表示される

といったところです。（その他、文法自体がおかしいのも存在しますが）

意味をしっかり理解していれば、本番でも対処可能ですが、一発勝負だと正直怖いですよね

というわけで、私はCisco語を作成していました。試験前日にこの方法を編み出しました（笑）

私がやった対策方法

以下の方法なのですが、基礎知識ある状態で行ってください。
というのも、解説が少ないので勉強には不向きで、あくまで試験慣れ用

でも実際のCCNA試験に一番近いサイトですのでやって損はないです！

では本題に戻ります

使っていたのはこのサイト
https://www.itexams.com/info/200-301

Chromeなどの、サイトページごと翻訳できるブラウザで開いてください←ここ重要

アカウントを作成とログインを行ってください。（お試しにやるだけならログインしなくても15問だけならできます）

ログインを終えたら、右上にある翻訳マーク押して日本語に切り替え

翻訳のマークが出てこない方はこちらのサイトを参考に↓
https://www.pc-koubou.jp/magazine/39317

無事日本語に切り替えることができたら、200-301の質問に移動という緑のボタンを押して開始します。

するとあら不思議、Cisco語の問題完成です（笑）

（実際の試験はこれよりも全然マシです。たまにこのレベルの翻訳がくるぐらい）

無料版だと全部はできないので、欲しい人は$20課金してください
ちなみに私は課金する暇もなく試験を迎えましたが無事受かりました

ルーティングやスイッチングは結構できますし、ドラッグアンドドロップ問題の雰囲気をつかむことができるので無料版だけでもなんとかなりますよ

いい翻訳トレーニングになりますw

私の当日の体験記はこちら

RESTful APIとは

2021-07-25T00:48:24+09:00

RESTful APIとは何？

RESTというだけあって、休みまくりのAPI。かと思ってたら全然違いました（汗）

RESTは、REpresentational State Transferの略。
分散型システムを設計するための構造

APIなので、複数のアプリケーションを連携できる。twitterなど。

RESTの特徴

統一インターフェース

操作は全てがHTTPで動く
取得「GET」、作成「POST」、更新「PUT」、削除「DELETE」

DNA CENTERでの使われ方

自作プログラムを作って、Cisco　DNA　centerで使える機能を拡張することができる。

【ネットワーク】NETCONFとRESTCONFについて

2021-07-24T23:07:34+09:00

ネットワーク機器を設定するためのSBIプロトコル。
データモデリング言語はYANG

NETCONFとは

標準規格として、RFCがある。細かく分けると、

RFC 4741（ベースプロトコル）
RFC 4742（SSHトランスポートマッピング）
RFC 4743（SOAPトランスポートマッピング）
RFC 4744（BEEPトランスポートマッピング）
RFC 5277（NETCONFイベント通知）

コンソールやSSHで接続して通信を行う。基本XML

RESTCONFとは

JSONやXMLファイルでネットワーク機器と通信する
NETCONFのあとに出てきた。NETCONTとRESTの合体版。

【ネットワーク】SDN（Software Defined Network）とは

2021-07-20T22:37:06+09:00

SDNとは？

SDNとは、Software Defined Networkの略です。さあ翻訳しましょうか

(Software)ソフトウェアで　(Defined)定義された　(Network)ネットワーク　のことです。ほとんど英語のままですが。

つまり、

ネットワークの構成や機能といったものを、ソフトウェアで管理しましょう

という意味です。

SDNのメリット

ネットワークの管理を、ネットワーク単位でソフトウェアで一括管理できる。
構成を変えたいってなった時に、LANケーブル付け直したりルーティングしなおしたりというめんどい作業をSDNコントローラでできる
データ転送と制御機能が別れていて便利

論理ネットワークを我々がSDNコントローラーに対して設定をします。
そうすると、SDNコントローラーが勝手に物理構成を行ってくれます。

データプレーンとコントロールプレーン

SDNのメリットとして、データ転送と制御機能が別れていて便利って書いたんだけど
それぞれをデータプレーン、コントロールプレーンと言います

我々エンジニア陣が、SDNコントローラに設定を行うと、其奴が各ルータやスイッチのデータプレーンに書き込みしてくれて、コントロールプレーンはカクカクシカジカのルータのをSDN上で一括制御できます。

SDNそのものの構造

SDNは、インフラストラクチャー層、コントロール層、アプリケーション層に分かれています。

インフラストラクチャー層で、それぞれのデータの管理（OpenFlowなど）
コントロール層で制御
アプリケーション層はソフトウェア部分

というシンプル構造。

OpenFlow

SDNのうちの一つに、OpenFlowがあります。

仕組みは同じ。OpenFlowコントローラを弄って下位層のルータやスイッチに設定する。

使われるAPIは、北側（上位層側。アプリケーション側）はNorthbound API、南側（スイッチなどの機器側）はSouthbound APIと言います。

画像はping-tより

【ネットワーク】QoSで、輻輳管理をしている仕組み

2021-07-20T22:36:53+09:00

まず、輻輳って？

輻輳とは、パケットが混雑しちゃっててうまく相手にとどけられないような状態になってしまうこと。

その輻輳を防ぐため、QoSで管理できます。

QoSツールの中に
* 輻輳管理（分類、マーキング、キューイング、スケジューリング）
* 輻輳回避（RED、WRED）
* 帯域制御（シェーピング、ポリシング）

があって、今回の記事では輻輳管理に関することについて。

輻輳管理の方式

輻輳管理方式	特徴
FIFO（First-In First-Out）	何も考えずに、パケットが届いた順番のまんま、そのまま送信（デフォルト）
PQ（Priority Queuing）	優先度が高いやつを見極めて、優先しなきゃいけないやつを先に送信
CQ（Custom Queuing）	それぞれのキューに、最大バイト数をあらかじめ指定。そのバイト数ずつ送信させるようにする
WFQ（Weighted Fair Queuing）	フローごとにキューを自動で管理してくれる。基本的に、優先度が高いのを多めに送って低いのは少なめに送信
CBWFQ（Class Based WFQ）	管理者がクラスを作って、そのクラスごとにキューと最低保証帯域幅を設定する
LLQ（Low Latency Queuing）	PQとCBWFQのいいとこどり。優先度が高いのを最優先で送るんだけど、低いやつもある程度送る。

ファイアーウォールの機能

2021-07-20T22:36:14+09:00

ファイアーウォール

主な機能

機能	説明
パケットフィルタリング	パケットの通過を許可したり、拒否したり...
ステートフルインスペクション	通信を監視して、不正な通信を拒否する。DoS攻撃対策

ゾーンについて

ファイアーウォールは、違うゾーンにパケットを飛ばす時に、精査します

ゾーン名	説明
内部ゾーン	基本的に安全と考える場所
外部ゾーン	攻撃してくる可能性がある場所
DMZ	内部と外部の間で、外部からアクセスしたい時に使う場所

IPv6のアドレスタイプ表

2021-07-20T22:34:58+09:00

IPv6のアドレスタイプ

アドレスタイプ	割り当て範囲	説明
集約可能グローバルアドレス	2000::/3	世界で１つしかないアドレス。IANAが管理している。v4で言う、グローバルIPアドレス
リンクローカルアドレス	fe80::/10	ホスト間で一意になるアドレス
ユニークローカルアドレス	fc00::/7	v4で言う、プライベートIPアドレス。組織内で自由に使える。
マルチキャストアドレス	ff00::/8	マルチキャスト用

マルチキャストスコープ

上4桁	スコープ名	範囲
ff01	インターフェースローカル	同一のノード内
ff02	リンクローカル	同一のリンク内
ff05	サイトローカル	同一のサイト内
ff08	組織ローカル	同一の組織内
ff0e	グローバル	制限なし

マルチキャストアドレス

アドレス	用途
ff02::1	リンク上の全ノード
ff02::2	リンク上の全ルータ
ff02::5	リンク上の全OSPF
ff02::6	リンク上のOSPF DR
ff02::9	リンク上の全RIP
ff02::a	リンク上の全EIGRP

【セキュリティ】スイッチのポートセキュリティ

2021-07-12T13:59:06+09:00

まず、ポートセキュリティとは

ポートセキュリティとは、その名の通り、スイッチに接続するポートに対してのセキュリティです。

知らない機器がスイッチポートに繋がってLAN接続するのを防ぎます。
インターフェースコンフィギュレーションモードにて
switchport port-security
で有効にします

ここで、

switchport port-security maximum 3
とか設定すると、このスイッチには最大３台までしか接続できなくなる。

これを超えて6台とか繋いだら、
セキュリティ違反モードが作動します。

セキュリティ違反モードとは

違反すると何が起こるかというと、

セキュアなMACアドレス以外のパケットを破棄する
SNMPトラップやSyslogメッセージの送信と、違反カウンタの増加
ポートのシャットダウン

です。。。が。

これは違反モードがshutdown（デフォルト）の時の話。

違反モードは3つ（shutdown、restrict、protect）あって

restrictにすると、
3. ポートのシャットダウンがなくなり

protectにすると、
2. SNMPトラップやSyslogメッセージの送信と、違反カウンタの増加がさらになくなります。

STP(スパニングツリー)のポートの決め方

2021-07-10T08:34:22+09:00

スパニングツリーとは

STP（Spanning Tree Protocol）とは
レイヤー２のネットワークで、円形に繋がれた状態だとトラフィックが永遠にぐるぐる周り続けます。
（たとえば、ARPリクエストをブロードキャストした時など）

いわゆる、ブロードキャストストームの状態。
そうなると、スイッチが落ちる可能性も。。。

なので、それを防ぐために、STPではどこかのポートでブロックしておく。という役割をしています。

ポートを決める方法

1. BPDUをマルチキャスト（0180.C200.0000）で送信

ブリッジプロトコルデータユニットの略。
目的は、ルートブリッジや、ブロッキングするポートを決めるための情報共有。
その中には、ブリッジIDやパスコストも含みます。

ブリッジIDとは、
ブリッジプライオリティ（自分で設定可能）の2バイトと、MACアドレスの6バイト
で構成

パスコストは、帯域幅で決定されます

帯域幅	コスト
10G	2
1G	4
100M	19
10M	100

2. ルートブリッジの選出

送られてきたBPDUから、ブリッジIDを比較します。
それが一番小さい人がルートブリッジ。

4. ルートポート(RP)の選出

ルートポートは、ルートじゃないスイッチなら必ず1つは持ってます。一番ルートブリッジに近いポート、（つまり、そこに至るまでのパスコストが一番小さいポート）がルートポートになります。

3. その他指定ポート(DP)の選出

指定ポートは、各リンクに1つはあります。
各リンクにおいて、一番ルート側にあるポートが指定ポートになります。

パスコスト
送信元ブリッジID（ブリッジプライオリティー＋MACアドレス）
送信元ポートID （IFプライオリティー＋ポート番号）

という優先順位で決定します

【ネットワーク】ICMPv6とNDPについて

2021-07-07T17:26:57+09:00

ICMPv6とは

ICMPv6は、IPv6用のICMPです。（そのまんまですが）

v4と違って
IPv6にはARPがないので、ARPに相当するアドレス解決の機能を持っている。

ICMPv6の主な機能

機能	詳細
エラー通知	パケットが破棄された理由を送信元に通知する機能
近隣探索	同一セグメント上のデバイスのアドレスを調べる機能

NDP（Neighbor Discovery Protocol：近隣探索プロトコル）

NDPでは、同じセグメントにあるMACアドレスを調べるためにICMPv6パケットを使用している。

NS（Neighbor Solicitation：近隣要請）：MACアドレスを問い合わせるパケット
NA（Neighbor Advertisement：近隣広告）：NSへの応答パケット

IPv6アドレスを調べるときは
・RS（Router Solicitation：ルータ要請）：RAを要請するパケット
・RA（Router Advertisement：ルータ広告）：セグメントのプレフィックスなどを伝えるパケット

NDPによってできること

MACアドレスの解決（IPv4のARPに相当）
SLAAC（StateLess Address Auto Configuration：アドレスの自動設定）
DAD（Duplicate Address Detection：重複アドレスの検出）

IPv6アドレスの割り当て方法

SLAAC（StateLess Address Auto Configuration）

SLAACはIPv6に標準で搭載されたアドレス自動設定機能のこと。
SLAACはNDPを利用して自動設定を行う。

SLAACでのアドレス設定

IPv6ルーティングが有効なルータが定期的にRAによって、そのセグメントのプレフィックスを広告する
ネットワークに追加されたホストはRSを送信し、ルータがRAを即時に送信するよう要求する
ホストは、受信したRAからプレフィックスを、EUI-64によってインターフェースIDを取得し、IPv6アドレスを自動設定する。また、RAを送信したルータのIPv6アドレスをデフォルトゲートウェイとして設定する
アドレス設定が完了し、通信が可能になる

インターフェースのIPv6情報の確認方法
show ipv6 interface

【ネットワーク】IEEE 802.1Qの概要と、ネイティブVLAN

2021-07-07T16:30:36+09:00

IEEE 802.1Q

IEEE 802.1Qは、フレームにVLANタグをつけるための規格。
それによって、スイッチ同士やスイッチとルータ間で送受信するフレームが、どこのVLANに属しているかを識別している

IEEE 802.1Qの主な特徴は以下の通りです。

IEEE標準規格である
送信元MACアドレスアドレスとタイプの間にタグフィールド（4byte）を追加する
FCS（フレームチェックシーケンス）を再計算
ネイティブVLAN（タグをつけないもの）をサポートしている

ネイティブVLANについて

IEEE 802.1Qでサポートされている機能。

通常ではフレームにタグを付けて送信するけど、こやつは例外
ネイティブVLANかどうかは、タグがあるかどうかで判断

ネイティブVLANは、スイッチを管理するトラフィック（CDPやSTPやDTPなど）で使われる。タグを理解しないやつに使うと効果的。

switchport trunk native vlan {VLAN番号}
で変更可能

DTPについて

2021-07-05T16:34:54+09:00

DTPについて

DTP（Dynamic Trunking Protocol）とは、
スイッチとスイッチを接続したポートで、トランクポート接続をするのか、アクセスポート接続をするのかを動的に決めるためのプロトコル。
（Cisco独自）

・スイッチポートモードの変更方法
(config-if)#switchport mode {access | trunk | dynamic {auto | desirable}}

desirableでは、DTPを送信してみて、対向ポートがtrunk、dynamic desirable、dynamic autoのいずれかの場合、トランクポートになる。

autoでは、DTPを受信したときにtrunkかdesirableのときにトランスポートになる。

・DTPの無効化
(config-if)#switchport nonegotiate

【セキュリティ】主な攻撃の一覧表

2021-07-05T15:53:11+09:00

主な攻撃一覧

（やってくださいという意味ではありません）

主なマルウェア一覧

マルウェアとは、悪意のあるプログラムのこと

マルウェア	説明
ウイルス	他のプログラムに寄生して悪さをするプログラム。規制されたプログラムをしようすることで感染を広げる
ワーム	単独で増殖し、自ら感染を拡大させるプログラム
トロイの木馬	有益なプログラムを装ってコンピュータに侵入する
スパイウェア	感染したパソコンの内部情報（個人情報やアクセス履歴など）を収集し、外部へ勝手に送信する
キーロガー	ユーザのキーボード操作を記録し外部に送信する
ボット	攻撃を行うためのプログラム

スプーフィング一覧

なりすまし。送信元を偽装する（特に、ほにゃららスプーフィング系）

攻撃	説明
IPスプーフィング	送信元のIPアドレスを偽装して、攻撃元を隠蔽する。
メールスプーフィング	メールのヘッダを偽装する。フィッシングメール
DNSスプーフィング	DNSを書き換えることで、偽物サイトへ誘導する
ARPスプーフィング	ARPの応答を偽装することで、既知のIPアドレスから未知のMACアドレスへ誘導させる
DoS	一台のコンピュータからターゲットに大量のパケットを送りつけてターゲットのPCを困らせる。この時にIPスプーフィングしたりする。
DDoS	↑の、複数のコンピュータver
リフレクション	偽った送信元でサーバに送信し、ターゲットに大量の応答を返すように仕向ける（増幅攻撃・アンプ攻撃とも）
中間者攻撃	正規の受信者と送信者の間に入って、盗聴したり書き換えたりする
バッファオーバーフロー	バッファを超えるデータを使って、悪意のある命令を実行させる攻撃

パスワード系攻撃一覧

その他、中間者攻撃やキーロガーで覗き見るという方法もある

攻撃	説明
ブルートフォースアタック	考えられる全ての文字を総当たりで試してパスワードを見破る
辞書攻撃	ありそうな単語を次々に試して見破る
トラフィック妨害	パケットをキャプチャして覗き見る

防ぐ方法（ネットワークセキュリティ）

方法	概要
OSとアプリの定期的な更新	セキュリティホール（弱点）が見つかることがあるので、それを防ぐため
ネットワークデバイスの保護	物理的に、ネットワークデバイスを鍵付きのラックに入れるなどして、厳重に保護
ユーザに対する教育	情報漏洩や内部からの攻撃が怖いので。
FW、IDS\IPS、ウイルス対策ソフトの配備	FWでパケットフィルタリング、IDSやIPSで侵入防止、ウイルス対策ソフトで悪意のあるソフトウェアからPCを保護する
パスワードの複雑化	パスワードにpasswordとかつけないように。文字数や大文字小文字数字を組み合わせるなどして複雑にする。
多要素認証	知識要素（パスワードやPIN）と、所有要素（SMS認証やワンタイムパスワード）と、生体認証（指紋や網膜）を組み合わせる
CDPの無効化	隣接機器にIPアドレスを伝えたくないので、必要ない場合は無効化しておく
HTTPサーバとHTTPSサーバの無効化	リモートアクセスの時は、SSHを使ったCLIが多いので、GUI操作であるHTTPやHTTPSは切っておく
セキュアなプロトコルを使う	Telnetを使うぐらいなら、SSHで
未使用ポートの無効化	使っていないポートはshutdownしておく
パスワードの暗号化	ネットワーク管理者の操作画面から盗まないように、encryptionしておく

アクセスポートとトランクポートの違い

2021-07-05T15:52:01+09:00

アクセスポートとトランクポートの違い

スイッチを設定するときに、アクセスポートとトランクポートの違いをいまいち理解できていなかったので。

スイッチのポートは、「どのVLANに対応しているか」で、アクセスポートとトランクポートに分類される

・アクセスポート
1つのVLANに対応。エンドユーザーのPCを接続するポートなどに利用される。（デフォルトはVLAN1）

・トランクポート
複数のVLANに対応。スイッチ同士やスイッチとルータを接続（VLAN間通信の際に利用）するポートなどに利用される。

アクセスポートの設定例

・Fa0/2をアクセスポートにして、VLAN20を割り当てる
Switch(config)#interface FastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20

・Fa0/5をアクセスポートにして、VLAN30を割り当てる
Switch(config)#interface FastEthernet 0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30

・Fa0/1のカプセル化方式を802.1Qにしてdynamic desirableモードにする
（対向とのネゴシエーションの結果トランクポートになる）
Switch(config)#interface FastEthernet 0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode dynamic desirable

・Fa0/6のカプセル化方式を802.1Qにしてトランクポートにする
Switch(config)#interface FastEthernet 0/6
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk

アクセスポートとトランクポートの確認方法

アクセスポートになっているのか、トランクポートになっているのかは「show vlan」「show interfaces trunk」「show interfaces status」「show interfaces switchport」などのコマンドで確認できます。
各コマンドの表示は以下のようになります。なお、いずれもFa0/1とFa0/6がトランクポートになっている場合の表示例です。

・show vlan
「Ports」の項目に表示されるポートがアクセスポート
「Ports」の項目に表示されないポートがトランクポート

・show interfaces trunk
「Port」の項目に表示されないポートがアクセスポート
「Port」の項目に表示されるポートがトランクポート

・show interfaces status
「VLAN」の項目がVLAN番号になっているポートがアクセスポート
「VLAN」の項目がtrunkとなっているポートがトランクポート

・show interfaces switchport
「Operational Mode」の項目がaccessとなっているポートがアクセスポート
「Operational Mode」の項目がtrunkとなっているポートがトランクポート

代表的なサーバ

2021-07-05T15:51:41+09:00

サーバ（サービス提供システム）について

それぞれのサービスを表にしてみた

サービス	サーバの機能
メールサーバ	送られてきたメールを蓄積する（受信機能）と、宛先へメールを届ける（送信機能）
DNSサーバ	ドメイン名とIPアドレスを対応づけたデータベースを管理し、名前解決機能
Webサーバ	クライアントからのリクエストに対し、指定されたwebページのデータを送る機能
FTPサーバ	各種サーバのハードディスクにデータをアップロードまたはダウンロードする機能
DHCPサーバ	クライアントの機器に、IPアドレスなど必要な情報を自動的に割り振る機能
アプリケーションサーバ	クライアントからのリクエストに応じて必要となるデータを取り出して渡す機能

【ネットワーク】APのモードについて

2021-07-01T10:44:35+09:00

APのモードについて

モード	概要
Local	無線LANクライアントと電波を送受信する
FlexConnect	WAN経由でWLCと接続するときに使用する。集中管理型APだとWLCが必要なので、あったほうが良い。いざなんかあったとき（WLCにつなげなくなったとき）ローカルで実行することができる。
Monitor	不正なAPや無線LANクライアントを監視と分離
Rogue Detector	不正APの検出と侵入検知の専用センサー
Sniffer	特定のチャネルのパケットをすべて集めて指定されたデバイスに送信する
Bridge	APをブリッジとして機能させる
SE-Connect	スペアナで無線電波の干渉などを調べる

【ネットワーク】無線LANコントローラー（WLC）のインターフェース

2021-07-01T10:23:25+09:00

WLCのポートまとめ

物理と論理に分けて、簡潔にざっくりとまとめました。

物理インターフェース

コンソールポート

コンソールケーブルによって、PCと接続してWLCの設定を行う

ディストリビューションシステムポート

有線LANとWLCを接続するためのポート
スイッチ側はトランクポートモード

サービスポート

障害のときの復旧とメンテナンスで使われる。
管理用のイーサネットポートで、ほかのデータとは完全に分離
スイッチ側はアクセスポートモード

冗長ポート

大規模なネットワークでWLCを冗長化するために使われる

論理インターフェース

管理インターフェース

WLCの管理を行うためのインターフェース
WCLとAPの間の通信にも使われている

APマネージャーインターフェース

Lightweightアクセスポイント間のLWAPPトンネルを確立したり、トンネルの管理を行うためのインタフェース

バーチャルインターフェース

仮想インターフェースで、モビリティがある。DHCPサーバとして認識される。

ユーザインターフェース

SSIDとVLANのマッピングを行うインタフェース

【ネットワーク】無線LANの特徴や規格など

2021-06-30T16:55:19+09:00

無線LANについて

無線LAN、WLAN、ワイヤレスLAN、これらは全部同じ意味です。

無線の特徴

ケーブルがない（当たり前だけど）
ケーブルがないので電波が届けばどこでもつながる
壁など障害物があると電波がとどかない
意図しない機器がつながることがある（WPAなどでセキュリティ対策必要）

主な無線LANの規格

有線のときは、IEEE 802.3で標準化されてたやつです。それの無線ver。

規格	周波数帯	最大通信速度
IEEE 802.11a	5GHz	54Mbps
IEEE 802.11b	2.4GHz	11Mbps/22Mbps
IEEE 802.11g	2.4GHz	54Mbps
IEEE 802.11n	2.4GHz/5GHz	65~800Mbps
IEEE 802.11ac	5GHz	292.5M~6.9Gbps

(ac強っ)

CSMA/CAについて

コリジョン回避のため、CSMA/CAというアクセス制御方式を用いています。

IEEE802.11a/b/g に関しては半二重通信なので、Carrier Sence（CS）などを用いて衝突を回避します。

また、無線特有の、隠れ端末問題
（自分の家からは壁で見えないけど、となりの家からは飛行機が飛んでるのが見える。みたいな現象がネットワーク上で起こります）
これを解決するために、 CSMA/CA with RTS/CTSという技術を用いているAPもあります。

APの種類

大きくわけて、この２つ

自律型AP

それぞれのアクセスポイントをそれぞれのAPが設定・制御・認証など全部やってくれます。
それぞれの機器で設定を行います。なので小規模向け

集中管理型AP

集中型は、コントローラーと無線APが分離されているので、コントローラーに設定をすればすべてのAPに設定が反映される仕組みです。
一括管理なので、大規模向けになってます。

BSSとESS

BSSとはBasic Service Setのことで、一つのアクセスポイントが提供している無線LANグループのことです。
で、複数のBSSで構成されているのがESS。

（画像：「ネットワークエンジニアとして」より）

それぞれIDをつけることができます。BSSID、ESSIDといいます。一般的なSSIDといわれるものは、ESSIDのことです。
BSSIDは48ビットの数値、ESSIDは最大32文字まで、任意の英数です。

ローミング

ローミングとは、今さっき使っていたAPから違うAPに接続することです。
（モバイル通信を考えるとわかりやすいかも？）
APとクライアントの距離が離れすぎると電波が弱くなるので、他の信号強度が強いとか品質が良いAPを探して、そっちに浮気します（言い方悪いけど）

同じSSIDならローミング可能なので、クライアント側が勝手に判断して最適なAPに接続します。

CAPWAP

CAPWAP（Control And Provisioning of Wireless Access Points）とは、AP（集中型のほう）とWLC（無線LANコントローラーのこと）間で動作しているプロトコルです。
こやつを用いてカプセル化して、トンネル接続をします。

制御メッセージとデータを別々に送っているのですが、制御側にはAES-CCMPによって暗号化処理がされています。

LAPとWLCが遠い場所にあって、間に入っているスイッチやルータの影響を受けてしまう、というのを防いでいます。

DHCPの設定コマンド

2021-06-30T14:48:10+09:00

DHCPによって、IPアドレスとサブネットマスク、デフォルトゲートウェイを自動で割り当てることができます。

設定コマンド（サーバ側）

(config)#ip dhcp pool {プール名}・・・【必須】DHCPプールを作成
(dhcp-config)#network {ネットワークアドレス} {ネットマスク|プレフィックス長}・・・【必須】クライアントに割り当てるアドレスの範囲を指定
(dhcp-config)#lease {日数}・・・貸し出し期間の指定（デフォルトは1日）
(dhcp-config)#dns-server {IPアドレス} [IPアドレス②] [IPアドレス③]…・・・DNSサーバのアドレス指定（最大8つまで）
(dhcp-config)#default-router {IPアドレス} [IPアドレス②] [IPアドレス③]…・・・デフォルトゲートウェイの指定（最大8つまで）
(config)#ip dhcp excluded-address {開始アドレス} [終了アドレス]・・・割り当てから除外するアドレス範囲を指定

設定コマンド（クライアント側）

(config-if)#ip address dhcp・・・DHCPでアドレスを取得したいインターフェースで設定
(config-if)#ip helper-address {宛先DHCPサーバのIPアドレス}・・・DHCPリレーエージェント

リレーエージェントを設定しないと、ルータでパケット破棄されるので気をつけてください