お父さんのアルバム

子供を連れてお出かけ旅

IT傾向 技術用語

Kerberos
 一度の認証で複数にサインオンするときに使うSSOの一つ
 共通鍵暗号方式を利用
 ユーザとサーバの数だけ、鍵を持つ必要があるので、

 鍵配布センター(KDC)を利用する
  事前に鍵を生成して、KDCに共有
  ユーザが認証要求を送信
  認証が成功すると、KDCはセッション鍵とTGTを暗号化してユーザに送信
  ユーザがセッション鍵を復号
  ユーザはKDCにIDやパスワードで認証して、KDCから一時的な鍵である

  セッション鍵をKDCの鍵で暗号化したTGT(チケット配布チケット)を

  ユーザ鍵で暗号化してユーザに渡す
  ユーザがTGTを送信してSTを要求する
  KDCがサービス要求を復号
  KDCがユーザにSTを払い出す
  ユーザがサービス鍵やSTを復号
  ユーザが認証データとSTをサーバに提示
  サーバが認証データを復号 


KDCはリプレイ攻撃対策として、TGT、STを送る際に時刻データも同時に送信
  現在時刻と大きくずれている場合、チケットを無効とする
  昔、ADのログインで、NTPをしっかり設定しないとログイン出来ないというのがあったがこれのことなんだろうな・・しらんけど

 

SSL-VPN
動作方式
 リバースプロキシ方式
   Webアプリケーションにしか使えない
 ポートフォワーディング方式
  クライアントに専用のアプリをインストールする
  Webアプリケーション以外も使えるが、ポート番号とサーバを対応付ける必
要があるので動的にポート番号を変えるプロトコルは利用できない
 L2フォワーディング方式
  クライアントに専用のアプリをインストール
  仮想IPを使って通信する。IPSECのトンネルみたい・・
 
   TLS1.2 GCMモードとCCMモードが使える
   TLS1.3 AEAD AES-CBCは廃止

 

無線
APをたくさん設置
  電波干渉(チャネル)により遅くなる
  ビーコンによる電波送信機械の減少
  無線APは、半二重なので送信か受信のどちらかしかできない。
  ビーコンが多いと、それだけ無線APが送信するので、クライアントからの
  送信機会が減るということになる
Qos
   IEEE802.11E(対応していてもちゃんと動かないという話もある・・)
    優先度の高いデータのバックオフを短くし
    優先度の低いデータのバックオフを長くする
  バックオフって?
   無線で通信したい端末は、一定時間(DIFS)待機し、さらに端末毎にランダムな時間待機(バックオフ)する
   そしてデータ送信して、AP側が受け取り、短時間待機(SIFS)して、ackを返す
     
WIFI7
  MLO(Multi-LINK Operation)
  複数帯域の電波を同時に使う技術(5GHZと6GHZを同時に使うみたいな)
  WIFI6ではハンドステアリング 切り替え時に認証作業が発生するので通信が切断される
  WIFI7では、切断せつに通信ができるようにする
    帯域幅の拡大
       WIFI6 160MHZ
          320MHZに広がる(日本では電波法の関係で現時点では無理)
    変調符号化方式
       4096QAMが使えるようになる  

 

SASE(サシー) 
   Secure Access Service Edge
   利用企業にとってのインターネットの入口となるエッジで動作し
   多様な技術を組み合わせて、安全な通信を実現するアーキテクチャやサービス(米ガートナより)
     IPアドレスの制御は、Saasは広範囲を利用することが多いので注意
     SASEに何でも通信を通すと、遅延の問題を受けるかも・・・TV会議とかは、ローカルブレイクアウトかな

 
    構成
    セキュリティ面 
     SWG
      アカ米
     CASB
     ZTNA
      利用者や端末の状態を検査し、状態に応じてアクセスの可否を決める
      プロキシ型    HTTPベース
      ネットワーク型  パケットベース
       IIJフレックスモビリティサービス、Cloudflare、
     NGFW
     リモートブラウザー分離
    ネットワーク面
     SD-WAN
     CDN
     WAN最適化


       
 
 


DNS
 5つのセクションで構成
  ヘッダーセクション
  質問セクション
  回答セクション
  権威セクション
  追加セクション

  ヘッダーセクションの詳細
   識別ID
   フラグ
   質問数
   回答リソースレコード数
   権威リソースレコード数
   追加リソースレコード数

   DNSメッセージのデータサイズが512バイトを超えるとUDPからTCPとなる

  質問セクションの詳細
   問い合わせ名
   問い合わせタイプ
   問い合わせクラス

  回答セクションの詳細
   ヘッダーセクション
   タイプ
   クラス
   TTL
   リソースデータの長さ
   リソースデータ
   
DNSoverHTTPS(DoH)
  DNSの通信をUDPではなく、TCPを利用する
    DoHを扱うサーバは、「パブリックDNS
     GooglePublicDNS 8.8.8.8
     Cloudflare    1.1.1.1
    Windows11では、パブリックDNSを指定して、DoHを使うとすれば利用できる
   
  

IPSEC
  プロトコルではなく仕組み
   IPSECの構成
   セキュリティプロトコル (AH,ESP
   鍵管理          (IKE)
   セキュリティアルゴリズム
   セキュリティアソシエーション
   
    トランスポートモード  2台の機器間 
    トンネルモード     ルータなどで、IPヘッダも追加される
                他プロトコルでは、GREとかIPinIP
                   
                   
DHCP
 動作
  クライアントから ブロードキャストでIPアドレス要求
  DHCPサーバから、ユニキャストでIPアドレスの提案
  クライアントから、ブロードキャストでIPアドレスの使用を申請
  DHCPサーバから、ユニキャストでIPアドレスの使用を承認
  (推奨)クライアントは、受け取ったIPアドレスが使われていないか、ARP
確認
  
  リース期限の延長
   リース期間が半分になったら、DHCPResquestを送信(ユニキャスト)
   
  端末の再起動時
   前回に使用していたIPアドレスを再提案する
   
DHCPv6
 割り当て方式
  SLAAC 
   プレフィックスをRA(ルータ広告)で作成、インタフェースIDを端末で生成
    DNSは、RDNSSで配布
    DADを使って、重複を確認する
    DAD 近接要請(NS)というICMPv6メッセージをマルチキャストして確認する
    これで、リンクローカルアドレス確定する
    ルータ要請(RS)というICMPv6メッセージをマルチキャストで送信
    受け取ったルータが,RAを返す
    これで、グローバルユニキャストアドレスを作る
    DADを使って、重複を確認する
          
          
ステートフルDHCPv6
   プレフィックス、インタフェースID、DNSのDHCPv6で配布、Mフラグの値が1
   クライアントが「Solicit」メッセージをマルチキャストで送信
   DHCPv6サーバが「Advertise」をユニキャストで返信
   クライアントが「Request」メッセージをユニキャストで送信
   DHCPv6サーバが「Reply」を送信
   DADを使って、重複を確認
        
          
SLAAC+ステートフルDHCPv6
   プレフィックスをRA(ルータ広告)で作成、インタフェースIDを端末で生成
   DNSは、DHCPv6で配布 Oフラグの値が1
        
DHCPv6-PD
   ISPと契約した場合、ISPからプレフィックスを受け取るようにする方法
   ルータがISPのルータからプレフィックスを受け取るようにする
      
プロキシ
 HTTP    クライアントから GETとRequest-URI
       プロキシサーバは、Request-URIをおきかえて
         
 HTTPS   

    クライアントから connectで、接続先のホスト名とポート番号だけを伝える
    プロキシサーバは、TCPを確立させた後は、IPヘッダとTCPヘッダを変更して

    転送する
          
          
OSPF
  LSAtype1 ルータID、リンク数などすべてのルータが生成する
       同一エリア内でLSAを交換して、同じLSDBを持つようにする
       
  LSAtype2 DRのIPアドレス、ルータのID一覧で、DRのルータのみが生成する
      マルチアクセスネットワーク(複数のセグメント)でDRとBDRを選出する
        
 type3  エリアが広くなるとLSDBの同期に時間が掛かる
      複数エリアとして、境界のルータをエリア境界ルータ(ABR)と呼ぶ
      エリア0のABRだけが、Type3を生成する
      エリア0のABRはtype1/type2から生成したType3だけをエリア0に送信する
      ABRはtype1、type2、type3を生成して、エリア0にtype3を伝える
      エリア0以外のエリアはエリア0に隣接する必要がある
   ネットワーク拡張とかで、隣接出来ないエリアが出た場合は、仮想リンクを使う
          
マルチキャスト
  マルチキャスト「ベンダーコードに01-00-5E」+0 
  マルチキャストグループ
  IGMPを使って、マルチキャストグループの参加を決める
   IGMPv2 

    端末からルータにマルチキャストグループからの離脱を知らせる機能が追加
              
PIM マルチキャストルーティングプロトコル
   ディストリビューションツリー構成をとる
   送信元ツリー  送信元の配信サーバ毎にディストリビューションツリーを作成
PIM-DIM
   共有ツリー   複数の送信元で共通のディストリビューションツリーを作成
           必ずランデブーポイントを経由する
PIM-SM
                   
IGMPスヌーピング      

ICMPはレイヤ3パケットだが、レイヤ2スィッチでICMPスヌーピングをすることで
全ポートにフラッディングせず、マルチキャストメンバーに送付する

 

CHATGPT
対話型AIを含む生成AI
LLM(LarageLanguageModel) 大量のテキストデータを学習した自然言語処理モデル(大規模言語モデル
  青いという単語に、空、海が続く可能性が高いといった言語の関係性をモデル化して、繋がる確率に基づいて文書を生成
   LLMが得意なタスク
    文書生成・校正 もっと丁寧な表現にして
    情報の分類   このログから警告を抽出して
    情報の要約   この文字お越しの結果を議事録にして
    多数の提案   ネットワーク設定の候補5つ  
    教科書みたいな定、参考に
     問合せ文555 例)
  あなたは優秀なネットワーク技術者です
  2拠点間を結ぶネットワークを作るプロジェクトを実施しています
  ネットワークの構築にはシスコシステムズ製ルータを使う予定です
  このルータを使って2拠点間を接続するIPsecVPNのコンフィグを作成してください
                          
                          
WindowTerminal
 MicroSoft Store  Windows terminalでインストール
 LINUXも操作出来る
 JSONも触れる
 プロファイルを設定できる