skymsの投稿 - Crieit

CCNA体験記〜当日の一日の流れ〜

2021-08-02T18:12:34+09:00

受験当日

7月31日、午前6時。

目覚ましが鳴る前に目が覚め　身支度をして
おにぎり１つ食べながらパソコンの前へ着いた

Ping-tを開いたりCCNAを開いたり落ち着かない状態が続いていた

午前8時頃～

Ping-tの模擬試験中　急に動悸がしだすようになる
もともと前日の体調もそんなに良くはなかったせいもあるかもしれない　若干吐き気もあり。。。

途中で模擬試験を中断　わからない問題の解説を読むたびに自信をなくしていく　完全に悪状況だ

CCNAから少し離れ、イヤホンつけて音楽を聴きながら深呼吸　でも不安な単元が頭を過る

再びあちこちのCCNA勉強サイトへ手を付け始めた　
迫ってくる本番に意識をもっていかれながらだけど　できる限りやろうって思ってた

午前10時半

イヤホンをつけたまま家を出た　
電車の中では特に何もしなかった　心の整理だけをしておこうって思っていた

会場の場所に少し戸惑いながら　受付を済ませた

受験までの流れは事前にメールがあった通りだった
注意事項説明と本人確認　ロッカーに身分証以外の荷物すべてを収納

そして、A4サイズのホワイトボートとマーカー２本を渡され、試験部屋に案内された
自分のロッカーと同じ番号のパソコンの前へ座る

ログインは受付の人が行ってくれた

試験前

再び注意事項がずらずらと書かれている
替え玉受験の禁止　カンニング禁止　私物持ち込み禁止など基本的なものだ

次の画面に出てきたのは合格点
試験問題が101問あり　300点から1000点で計算され　823点以上で合格と書かれていた

次に練習問題
単一選択　複数選択　ドラッグアンドドロップの練習に３問用意されている
それが終わるとすぐに試験開始　残り時間の時計が右上に小さく表示されていた

試験開始

問題に対して何かコメントがある場合は書き込んで保存することができる
今後の改定のために使いたいそうだ

ただし書き込むのは試験時間内のため　書き込む人はあまりいないだろう

実際の問題は
Ping-tにはなかったような気がするWindowについてやMicrosoftについての問題もあったり
誤字なのか翻訳ミスのようなものもあったり
いわゆるCisco語もそこそこ見かけた

まったくわからない問題なら適当に選択してさっさと進めるのだが
問題がわからないとどうしても理解しようとして時間をかけてしまう

すごく焦っているのが自分でわかった
焦っていることに気づく度に深呼吸をした

定期的に残り時間と残り問題数を見ながら　１問あたりの時間をざっと暗算して
１問１分ぐらいでいつも通りやれば大丈夫だと言い聞かせた

普段なら50分は余るところを　残り10分で終了

試験を終了し出てきたのは

あなたの点数は901点

試験中は合格しているかしていないかギリギリぐらいかなって思っていた
この文字を見て安心した

最後にCCNAに関するアンケートを行い　席を立って受付に借りていたホワイトボードをもっていく
受付でホワイトボードと引き換えにPassと書かれたレポートを受け取る

ロッカーから荷物を取り出し　ガッツポーズをしながら帰宅した

Cisco語対策についてはこちら

CCNA対策～Cisco語の作り方～

2021-08-02T18:12:18+09:00

Cisco語について

CCNAの勉強をしている人はCisco語というのを聞いたことがあると思います。

どんなものかっていうと

AD値が管理ディスタンス値と表示される
（WLCの）バンドセレクトが帯域選択と表示される
（カウンタに出てくる）giantsが巨人と表示される

といったところです。（その他、文法自体がおかしいのも存在しますが）

意味をしっかり理解していれば、本番でも対処可能ですが、一発勝負だと正直怖いですよね

というわけで、私はCisco語を作成していました。試験前日にこの方法を編み出しました（笑）

私がやった対策方法

以下の方法なのですが、基礎知識ある状態で行ってください。
というのも、解説が少ないので勉強には不向きで、あくまで試験慣れ用

でも実際のCCNA試験に一番近いサイトですのでやって損はないです！

では本題に戻ります

使っていたのはこのサイト
https://www.itexams.com/info/200-301

Chromeなどの、サイトページごと翻訳できるブラウザで開いてください←ここ重要

アカウントを作成とログインを行ってください。（お試しにやるだけならログインしなくても15問だけならできます）

ログインを終えたら、右上にある翻訳マーク押して日本語に切り替え

翻訳のマークが出てこない方はこちらのサイトを参考に↓
https://www.pc-koubou.jp/magazine/39317

無事日本語に切り替えることができたら、200-301の質問に移動という緑のボタンを押して開始します。

するとあら不思議、Cisco語の問題完成です（笑）

（実際の試験はこれよりも全然マシです。たまにこのレベルの翻訳がくるぐらい）

無料版だと全部はできないので、欲しい人は$20課金してください
ちなみに私は課金する暇もなく試験を迎えましたが無事受かりました

ルーティングやスイッチングは結構できますし、ドラッグアンドドロップ問題の雰囲気をつかむことができるので無料版だけでもなんとかなりますよ

いい翻訳トレーニングになりますw

私の当日の体験記はこちら

RESTful APIとは

2021-07-25T00:48:24+09:00

RESTful APIとは何？

RESTというだけあって、休みまくりのAPI。かと思ってたら全然違いました（汗）

RESTは、REpresentational State Transferの略。
分散型システムを設計するための構造

APIなので、複数のアプリケーションを連携できる。twitterなど。

RESTの特徴

統一インターフェース

操作は全てがHTTPで動く
取得「GET」、作成「POST」、更新「PUT」、削除「DELETE」

DNA CENTERでの使われ方

自作プログラムを作って、Cisco　DNA　centerで使える機能を拡張することができる。

【ネットワーク】NETCONFとRESTCONFについて

2021-07-24T23:07:34+09:00

ネットワーク機器を設定するためのSBIプロトコル。
データモデリング言語はYANG

NETCONFとは

標準規格として、RFCがある。細かく分けると、

RFC 4741（ベースプロトコル）
RFC 4742（SSHトランスポートマッピング）
RFC 4743（SOAPトランスポートマッピング）
RFC 4744（BEEPトランスポートマッピング）
RFC 5277（NETCONFイベント通知）

コンソールやSSHで接続して通信を行う。基本XML

RESTCONFとは

JSONやXMLファイルでネットワーク機器と通信する
NETCONFのあとに出てきた。NETCONTとRESTの合体版。

【ネットワーク】SDN（Software Defined Network）とは

2021-07-20T22:37:06+09:00

SDNとは？

SDNとは、Software Defined Networkの略です。さあ翻訳しましょうか

(Software)ソフトウェアで　(Defined)定義された　(Network)ネットワーク　のことです。ほとんど英語のままですが。

つまり、

ネットワークの構成や機能といったものを、ソフトウェアで管理しましょう

という意味です。

SDNのメリット

ネットワークの管理を、ネットワーク単位でソフトウェアで一括管理できる。
構成を変えたいってなった時に、LANケーブル付け直したりルーティングしなおしたりというめんどい作業をSDNコントローラでできる
データ転送と制御機能が別れていて便利

論理ネットワークを我々がSDNコントローラーに対して設定をします。
そうすると、SDNコントローラーが勝手に物理構成を行ってくれます。

データプレーンとコントロールプレーン

SDNのメリットとして、データ転送と制御機能が別れていて便利って書いたんだけど
それぞれをデータプレーン、コントロールプレーンと言います

我々エンジニア陣が、SDNコントローラに設定を行うと、其奴が各ルータやスイッチのデータプレーンに書き込みしてくれて、コントロールプレーンはカクカクシカジカのルータのをSDN上で一括制御できます。

SDNそのものの構造

SDNは、インフラストラクチャー層、コントロール層、アプリケーション層に分かれています。

インフラストラクチャー層で、それぞれのデータの管理（OpenFlowなど）
コントロール層で制御
アプリケーション層はソフトウェア部分

というシンプル構造。

OpenFlow

SDNのうちの一つに、OpenFlowがあります。

仕組みは同じ。OpenFlowコントローラを弄って下位層のルータやスイッチに設定する。

使われるAPIは、北側（上位層側。アプリケーション側）はNorthbound API、南側（スイッチなどの機器側）はSouthbound APIと言います。

画像はping-tより

【ネットワーク】QoSで、輻輳管理をしている仕組み

2021-07-20T22:36:53+09:00

まず、輻輳って？

輻輳とは、パケットが混雑しちゃっててうまく相手にとどけられないような状態になってしまうこと。

その輻輳を防ぐため、QoSで管理できます。

QoSツールの中に
* 輻輳管理（分類、マーキング、キューイング、スケジューリング）
* 輻輳回避（RED、WRED）
* 帯域制御（シェーピング、ポリシング）

があって、今回の記事では輻輳管理に関することについて。

輻輳管理の方式

輻輳管理方式	特徴
FIFO（First-In First-Out）	何も考えずに、パケットが届いた順番のまんま、そのまま送信（デフォルト）
PQ（Priority Queuing）	優先度が高いやつを見極めて、優先しなきゃいけないやつを先に送信
CQ（Custom Queuing）	それぞれのキューに、最大バイト数をあらかじめ指定。そのバイト数ずつ送信させるようにする
WFQ（Weighted Fair Queuing）	フローごとにキューを自動で管理してくれる。基本的に、優先度が高いのを多めに送って低いのは少なめに送信
CBWFQ（Class Based WFQ）	管理者がクラスを作って、そのクラスごとにキューと最低保証帯域幅を設定する
LLQ（Low Latency Queuing）	PQとCBWFQのいいとこどり。優先度が高いのを最優先で送るんだけど、低いやつもある程度送る。

ファイアーウォールの機能

2021-07-20T22:36:14+09:00

ファイアーウォール

主な機能

機能	説明
パケットフィルタリング	パケットの通過を許可したり、拒否したり...
ステートフルインスペクション	通信を監視して、不正な通信を拒否する。DoS攻撃対策

ゾーンについて

ファイアーウォールは、違うゾーンにパケットを飛ばす時に、精査します

ゾーン名	説明
内部ゾーン	基本的に安全と考える場所
外部ゾーン	攻撃してくる可能性がある場所
DMZ	内部と外部の間で、外部からアクセスしたい時に使う場所

IPv6のアドレスタイプ表

2021-07-20T22:34:58+09:00

IPv6のアドレスタイプ

アドレスタイプ	割り当て範囲	説明
集約可能グローバルアドレス	2000::/3	世界で１つしかないアドレス。IANAが管理している。v4で言う、グローバルIPアドレス
リンクローカルアドレス	fe80::/10	ホスト間で一意になるアドレス
ユニークローカルアドレス	fc00::/7	v4で言う、プライベートIPアドレス。組織内で自由に使える。
マルチキャストアドレス	ff00::/8	マルチキャスト用

マルチキャストスコープ

上4桁	スコープ名	範囲
ff01	インターフェースローカル	同一のノード内
ff02	リンクローカル	同一のリンク内
ff05	サイトローカル	同一のサイト内
ff08	組織ローカル	同一の組織内
ff0e	グローバル	制限なし

マルチキャストアドレス

アドレス	用途
ff02::1	リンク上の全ノード
ff02::2	リンク上の全ルータ
ff02::5	リンク上の全OSPF
ff02::6	リンク上のOSPF DR
ff02::9	リンク上の全RIP
ff02::a	リンク上の全EIGRP

【ネットワーク】無線LANの認証機能（WPA・WPA2・WPA3）と暗号化アルゴリズム

2021-07-14T15:39:56+09:00

ワイヤレスでの認証規格に、WPA、WPA2、 WPA3がある

この記事書くのにヤクの毛大量に刈ってきましたが、まだ間違っているかもなので間違いみっけたらコメントくれると助かります

それぞれの規格一覧

暗号化方式とは

GCMP

WPA3用。新種すぎてなかなか情報が得られず。（2017年にWPA2に脆弱性が見つかったらしいよ）

暗号化アルゴリズム（めちゃ数学です）

RC4

共通鍵暗号方式で、WEPやWPA、SSL／TLSなどに使われている

データを1ビットずつ暗号化していくストリーム暗号で、
疑似乱数を生成して、平文との排他的論理和を計算し、それを暗号文としている。

暗号化した時と同じ疑似乱数を使ってもう一度排他的論理和を計算すると、平文に戻るという仕組みです。
擬似乱数を共通鍵として持っておけば、複合化できます。

排他的論理和を2回繰り返すと元に戻るという数学チックなやり方を使っていますね

AES

無線LANやファイルの暗号化で使われている。

Advanced Encryption Standardの略
RC4とは対照的に、一定量のデータをまとめて暗号化するブロック暗号を利用しています。
AESで使う4 種類の変換は、「SubBytes」「ShiftRows」「MixColumns」「AddRoundKey」
これを基本的にこの順番で、何回か繰り返して作られています。

SubBytes

8ビットの情報をガロア体GF(28)の逆数に変換
最初の4ビットがX, 後半4ビットがYになります。

GF(28)の逆数変換テーブル
その結果をもとに、行列変換をします。

a0からa7までに、逆数変換した後の値を入れて、行列変換します。

AddRoundKey

Key Scheduleから作成された行列との排他的論理和をとります。至って単純。

アルゴリズムの参考サイト
http://www.ihpc.se.ritsumei.ac.jp/hpc/papers/b05/umehara.pdf
https://www.cqpub.co.jp/DWM/contest/2004/specification2004.pdf
その他諸々

認証方式について

WPAパーソナル

認証サーバを使わないモード

PSK

Pre-Shared Keyの略。意味は、「共有パスワードキー」
まー従来使われていたやつ。

SAE

Simultaneous Authentication of Equalsの略。
クライアント役とサーバ役が時と場合によりコロコロ入れ替わる。
認証パスワードが予測できない。
鍵交換に4ウェイハンドシェイクするらしい（4ウェイって初めて聞いた笑）

WPAエンタープライズ

認証サーバを使用するモード。
企業で使われる

IEEE 802.1X/EAP

WEPにはない認証方式を作るためにできた。
サプリカント、認証装置、認証サーバを用いる。

認証方式に、MD5とか。TLSとか。よく聞いたとこあるようなやつが使われている。

【ネットワーク】WLCの画面一覧パート2（WLANタグの画面）

2021-07-12T14:00:53+09:00

大元の記事はこちら

WLCの画面（WLANタグver）

セキュリティタブ

WEPやWPAやWPA2などの設定、WEB認証の有効化/無効化、使用するRADIUSサーバの指定が行える

【ネットワーク】WLCの画面一覧

2021-07-12T13:59:54+09:00

なかなかお目にかかることができないので、画像を探し歩いてきました

WLCの操作で使うメニューとその内容

マネジメントメニュー

HTTP/HTTPSによるWLCへのアクセスを許可/拒否など、管理系の設定ができます

【セキュリティ】スイッチのポートセキュリティ

2021-07-12T13:59:06+09:00

まず、ポートセキュリティとは

ポートセキュリティとは、その名の通り、スイッチに接続するポートに対してのセキュリティです。

知らない機器がスイッチポートに繋がってLAN接続するのを防ぎます。
インターフェースコンフィギュレーションモードにて
switchport port-security
で有効にします

ここで、

switchport port-security maximum 3
とか設定すると、このスイッチには最大３台までしか接続できなくなる。

これを超えて6台とか繋いだら、
セキュリティ違反モードが作動します。

セキュリティ違反モードとは

違反すると何が起こるかというと、

セキュアなMACアドレス以外のパケットを破棄する
SNMPトラップやSyslogメッセージの送信と、違反カウンタの増加
ポートのシャットダウン

です。。。が。

これは違反モードがshutdown（デフォルト）の時の話。

違反モードは3つ（shutdown、restrict、protect）あって

restrictにすると、
3. ポートのシャットダウンがなくなり

protectにすると、
2. SNMPトラップやSyslogメッセージの送信と、違反カウンタの増加がさらになくなります。

STP(スパニングツリー)のポートの決め方

2021-07-10T08:34:22+09:00

スパニングツリーとは

STP（Spanning Tree Protocol）とは
レイヤー２のネットワークで、円形に繋がれた状態だとトラフィックが永遠にぐるぐる周り続けます。
（たとえば、ARPリクエストをブロードキャストした時など）

いわゆる、ブロードキャストストームの状態。
そうなると、スイッチが落ちる可能性も。。。

なので、それを防ぐために、STPではどこかのポートでブロックしておく。という役割をしています。

ポートを決める方法

1. BPDUをマルチキャスト（0180.C200.0000）で送信

ブリッジプロトコルデータユニットの略。
目的は、ルートブリッジや、ブロッキングするポートを決めるための情報共有。
その中には、ブリッジIDやパスコストも含みます。

ブリッジIDとは、
ブリッジプライオリティ（自分で設定可能）の2バイトと、MACアドレスの6バイト
で構成

パスコストは、帯域幅で決定されます

帯域幅	コスト
10G	2
1G	4
100M	19
10M	100

2. ルートブリッジの選出

送られてきたBPDUから、ブリッジIDを比較します。
それが一番小さい人がルートブリッジ。

4. ルートポート(RP)の選出

ルートポートは、ルートじゃないスイッチなら必ず1つは持ってます。一番ルートブリッジに近いポート、（つまり、そこに至るまでのパスコストが一番小さいポート）がルートポートになります。

3. その他指定ポート(DP)の選出

指定ポートは、各リンクに1つはあります。
各リンクにおいて、一番ルート側にあるポートが指定ポートになります。

パスコスト
送信元ブリッジID（ブリッジプライオリティー＋MACアドレス）
送信元ポートID （IFプライオリティー＋ポート番号）

という優先順位で決定します

【ネットワーク】ICMPv6とNDPについて

2021-07-07T17:26:57+09:00

ICMPv6とは

ICMPv6は、IPv6用のICMPです。（そのまんまですが）

v4と違って
IPv6にはARPがないので、ARPに相当するアドレス解決の機能を持っている。

ICMPv6の主な機能

機能	詳細
エラー通知	パケットが破棄された理由を送信元に通知する機能
近隣探索	同一セグメント上のデバイスのアドレスを調べる機能

NDP（Neighbor Discovery Protocol：近隣探索プロトコル）

NDPでは、同じセグメントにあるMACアドレスを調べるためにICMPv6パケットを使用している。

NS（Neighbor Solicitation：近隣要請）：MACアドレスを問い合わせるパケット
NA（Neighbor Advertisement：近隣広告）：NSへの応答パケット

IPv6アドレスを調べるときは
・RS（Router Solicitation：ルータ要請）：RAを要請するパケット
・RA（Router Advertisement：ルータ広告）：セグメントのプレフィックスなどを伝えるパケット

NDPによってできること

MACアドレスの解決（IPv4のARPに相当）
SLAAC（StateLess Address Auto Configuration：アドレスの自動設定）
DAD（Duplicate Address Detection：重複アドレスの検出）

IPv6アドレスの割り当て方法

SLAAC（StateLess Address Auto Configuration）

SLAACはIPv6に標準で搭載されたアドレス自動設定機能のこと。
SLAACはNDPを利用して自動設定を行う。

SLAACでのアドレス設定

IPv6ルーティングが有効なルータが定期的にRAによって、そのセグメントのプレフィックスを広告する
ネットワークに追加されたホストはRSを送信し、ルータがRAを即時に送信するよう要求する
ホストは、受信したRAからプレフィックスを、EUI-64によってインターフェースIDを取得し、IPv6アドレスを自動設定する。また、RAを送信したルータのIPv6アドレスをデフォルトゲートウェイとして設定する
アドレス設定が完了し、通信が可能になる

インターフェースのIPv6情報の確認方法
show ipv6 interface

【ネットワーク】IEEE 802.1Qの概要と、ネイティブVLAN

2021-07-07T16:30:36+09:00

IEEE 802.1Q

IEEE 802.1Qは、フレームにVLANタグをつけるための規格。
それによって、スイッチ同士やスイッチとルータ間で送受信するフレームが、どこのVLANに属しているかを識別している

IEEE 802.1Qの主な特徴は以下の通りです。

IEEE標準規格である
送信元MACアドレスアドレスとタイプの間にタグフィールド（4byte）を追加する
FCS（フレームチェックシーケンス）を再計算
ネイティブVLAN（タグをつけないもの）をサポートしている

ネイティブVLANについて

IEEE 802.1Qでサポートされている機能。

通常ではフレームにタグを付けて送信するけど、こやつは例外
ネイティブVLANかどうかは、タグがあるかどうかで判断

ネイティブVLANは、スイッチを管理するトラフィック（CDPやSTPやDTPなど）で使われる。タグを理解しないやつに使うと効果的。

switchport trunk native vlan {VLAN番号}
で変更可能

【ネットワーク】VTPと、各種モードについて

2021-07-07T16:30:15+09:00

まず、VTPとは？

VTPとは、VLAN Trunking Protocolの略で、VLAN情報を同期するためのプロトコル。
モードは3種類。サーバモード、クライアントモード、トランスペアレントモード。

サーバモード

VLAN情報を同期するモードのうち、VLANの作成と削除が可能なモード。

クライアントモード

VLAN情報を同期するモードのうち、VLANの作成と削除ができないモード。

トランスペアレントモード

なんとなんと、VLAN情報を同期しないモード
（VLAN情報を同期するためのプロトコルって言ってたのに。。。）
でも、転送はできます。
つまりこんな感じ

間に同期しないやつが挟まっていても、転送はしてくれるので後ろにあるクライアントモードのスイッチにはVLAN情報の同期が可能。

でも同期そのものに、条件があって

トランクポートによる接続であること
VTPドメイン名が一致してること
VTPモードは、サーバもしくはクライアント
VTPパスワードの一致（VTPパスワードが設定されている場合）
VTPバージョンの一致

確認は、show vtp statusでできます

DTPについて

2021-07-05T16:34:54+09:00

DTPについて

DTP（Dynamic Trunking Protocol）とは、
スイッチとスイッチを接続したポートで、トランクポート接続をするのか、アクセスポート接続をするのかを動的に決めるためのプロトコル。
（Cisco独自）

・スイッチポートモードの変更方法
(config-if)#switchport mode {access | trunk | dynamic {auto | desirable}}

desirableでは、DTPを送信してみて、対向ポートがtrunk、dynamic desirable、dynamic autoのいずれかの場合、トランクポートになる。

autoでは、DTPを受信したときにtrunkかdesirableのときにトランスポートになる。

・DTPの無効化
(config-if)#switchport nonegotiate

【セキュリティ】主な攻撃の一覧表

2021-07-05T15:53:11+09:00

主な攻撃一覧

（やってくださいという意味ではありません）

主なマルウェア一覧

マルウェアとは、悪意のあるプログラムのこと

マルウェア	説明
ウイルス	他のプログラムに寄生して悪さをするプログラム。規制されたプログラムをしようすることで感染を広げる
ワーム	単独で増殖し、自ら感染を拡大させるプログラム
トロイの木馬	有益なプログラムを装ってコンピュータに侵入する
スパイウェア	感染したパソコンの内部情報（個人情報やアクセス履歴など）を収集し、外部へ勝手に送信する
キーロガー	ユーザのキーボード操作を記録し外部に送信する
ボット	攻撃を行うためのプログラム

スプーフィング一覧

なりすまし。送信元を偽装する（特に、ほにゃららスプーフィング系）

攻撃	説明
IPスプーフィング	送信元のIPアドレスを偽装して、攻撃元を隠蔽する。
メールスプーフィング	メールのヘッダを偽装する。フィッシングメール
DNSスプーフィング	DNSを書き換えることで、偽物サイトへ誘導する
ARPスプーフィング	ARPの応答を偽装することで、既知のIPアドレスから未知のMACアドレスへ誘導させる
DoS	一台のコンピュータからターゲットに大量のパケットを送りつけてターゲットのPCを困らせる。この時にIPスプーフィングしたりする。
DDoS	↑の、複数のコンピュータver
リフレクション	偽った送信元でサーバに送信し、ターゲットに大量の応答を返すように仕向ける（増幅攻撃・アンプ攻撃とも）
中間者攻撃	正規の受信者と送信者の間に入って、盗聴したり書き換えたりする
バッファオーバーフロー	バッファを超えるデータを使って、悪意のある命令を実行させる攻撃

パスワード系攻撃一覧

その他、中間者攻撃やキーロガーで覗き見るという方法もある

攻撃	説明
ブルートフォースアタック	考えられる全ての文字を総当たりで試してパスワードを見破る
辞書攻撃	ありそうな単語を次々に試して見破る
トラフィック妨害	パケットをキャプチャして覗き見る

防ぐ方法（ネットワークセキュリティ）

方法	概要
OSとアプリの定期的な更新	セキュリティホール（弱点）が見つかることがあるので、それを防ぐため
ネットワークデバイスの保護	物理的に、ネットワークデバイスを鍵付きのラックに入れるなどして、厳重に保護
ユーザに対する教育	情報漏洩や内部からの攻撃が怖いので。
FW、IDS\IPS、ウイルス対策ソフトの配備	FWでパケットフィルタリング、IDSやIPSで侵入防止、ウイルス対策ソフトで悪意のあるソフトウェアからPCを保護する
パスワードの複雑化	パスワードにpasswordとかつけないように。文字数や大文字小文字数字を組み合わせるなどして複雑にする。
多要素認証	知識要素（パスワードやPIN）と、所有要素（SMS認証やワンタイムパスワード）と、生体認証（指紋や網膜）を組み合わせる
CDPの無効化	隣接機器にIPアドレスを伝えたくないので、必要ない場合は無効化しておく
HTTPサーバとHTTPSサーバの無効化	リモートアクセスの時は、SSHを使ったCLIが多いので、GUI操作であるHTTPやHTTPSは切っておく
セキュアなプロトコルを使う	Telnetを使うぐらいなら、SSHで
未使用ポートの無効化	使っていないポートはshutdownしておく
パスワードの暗号化	ネットワーク管理者の操作画面から盗まないように、encryptionしておく

アクセスポートとトランクポートの違い

2021-07-05T15:52:01+09:00

アクセスポートとトランクポートの違い

スイッチを設定するときに、アクセスポートとトランクポートの違いをいまいち理解できていなかったので。

スイッチのポートは、「どのVLANに対応しているか」で、アクセスポートとトランクポートに分類される

・アクセスポート
1つのVLANに対応。エンドユーザーのPCを接続するポートなどに利用される。（デフォルトはVLAN1）

・トランクポート
複数のVLANに対応。スイッチ同士やスイッチとルータを接続（VLAN間通信の際に利用）するポートなどに利用される。

アクセスポートの設定例

・Fa0/2をアクセスポートにして、VLAN20を割り当てる
Switch(config)#interface FastEthernet 0/2
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 20

・Fa0/5をアクセスポートにして、VLAN30を割り当てる
Switch(config)#interface FastEthernet 0/5
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 30

・Fa0/1のカプセル化方式を802.1Qにしてdynamic desirableモードにする
（対向とのネゴシエーションの結果トランクポートになる）
Switch(config)#interface FastEthernet 0/1
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode dynamic desirable

・Fa0/6のカプセル化方式を802.1Qにしてトランクポートにする
Switch(config)#interface FastEthernet 0/6
Switch(config-if)#switchport trunk encapsulation dot1q
Switch(config-if)#switchport mode trunk

アクセスポートとトランクポートの確認方法

アクセスポートになっているのか、トランクポートになっているのかは「show vlan」「show interfaces trunk」「show interfaces status」「show interfaces switchport」などのコマンドで確認できます。
各コマンドの表示は以下のようになります。なお、いずれもFa0/1とFa0/6がトランクポートになっている場合の表示例です。

・show vlan
「Ports」の項目に表示されるポートがアクセスポート
「Ports」の項目に表示されないポートがトランクポート

・show interfaces trunk
「Port」の項目に表示されないポートがアクセスポート
「Port」の項目に表示されるポートがトランクポート

・show interfaces status
「VLAN」の項目がVLAN番号になっているポートがアクセスポート
「VLAN」の項目がtrunkとなっているポートがトランクポート

・show interfaces switchport
「Operational Mode」の項目がaccessとなっているポートがアクセスポート
「Operational Mode」の項目がtrunkとなっているポートがトランクポート

代表的なサーバ

2021-07-05T15:51:41+09:00

サーバ（サービス提供システム）について

それぞれのサービスを表にしてみた

サービス	サーバの機能
メールサーバ	送られてきたメールを蓄積する（受信機能）と、宛先へメールを届ける（送信機能）
DNSサーバ	ドメイン名とIPアドレスを対応づけたデータベースを管理し、名前解決機能
Webサーバ	クライアントからのリクエストに対し、指定されたwebページのデータを送る機能
FTPサーバ	各種サーバのハードディスクにデータをアップロードまたはダウンロードする機能
DHCPサーバ	クライアントの機器に、IPアドレスなど必要な情報を自動的に割り振る機能
アプリケーションサーバ	クライアントからのリクエストに応じて必要となるデータを取り出して渡す機能