概要
ネットワーク基礎・構築講座のサポートページです.
日時・会場
- 2016年3月4日(金),5日(土) 9:00~17:00(2日間)
- 静岡大学情報学部情報科学第一実験室
- 主催:浜松ソフト産業協会
初回アンケート・リフレクションシート
利用する機材
- 4人1グループ
- L2 Switch x 1
- VPN Router x 1
- WiFI AP x 1
- 日立電線 Apresia 13200-52GT-PSR x 1
- 日立電線 Apresia 3448GT x 4
- Allide Telesis CentreCOM AR260S V2 (VPNルータ)
- Yamaha NVF500 (VPNルータ)
- Corega CG-WLR300GNH (無線LANルータ/AP)
- Buffalo WHR-G301N
- NEC PA-WG1800HP (無線LANルータ/AP)x 1
利用するツール・サービス
- WireShark
- パケットキャプチャーツール
- NMap
- ポートスキャンツール
- 左の Download メニューをクリックすると,Microsoft Windows binaries の項目がありますので、そこからダウンロードします。
- Fing
- ネットワーク内の端末を検出するツール
- Open Visual Traceroute
- 地図上に経路の所在地表示機能を備えたtraceroute
- Windowsでの利用の場合,設定から “Use OS Traceroute” を No に設定する
- Whois
- ドメイン名・アドレス検索サービス
会場ネットワーク構成
会場の静岡大学は 学術情報ネットワーク SiNET4 に接続しています.
静岡大学に割り当てられたグローバルIPアドレス空間は133.70.0.0/16 です.
更に会場の情報科学第一実験室は静岡大学内のプライベートネットワーク(10.70.164.0/24)に接続しています.
演習補足資料、他
1. IP通信の仕組み
演習1:データリンク層のフレーム配送シミュレーションゲーム
会場にて配布.
演習2:ネットワーク層のパケット配送シミュレーションゲーム
会場にて配布.
演習3:フレーム配送分析 with WireShark
WireShark のWebページにアクセスし,WireSharkの最新版をダウンロードし,インストールする.
会場にて配布したハブに各PCを接続し,フレーム配送シミュレーションゲームと同じ固定IPアドレスとネットワークアドレスを設定する.
- パソコン側のIPアドレスの設定方法
- arp コマンドを利用してネットワーク上の端末の確認
WireSharkを起動してパケットキャプチャを開始し,接続したPC A1とPC A2間の通信が,実際にフレーム配送シミュレーションゲームと同じように行われていることを確認する(以下を確認すると良い).
- A1が送出したフレームXをA2が受信可能であること
- ARPのやり取り
- フレームの Source と Destination に指定された Macアドレス
- スイッチングハブで接続した場合とダムハブで接続した場合の動作の違い
- ネットワークが異なる場合(ネットワークマスクが異なる場合)の通信の可否
演習4:パケット配送分析 with WireShark
ハブをルータに接続し,ハブに接続した各PCのIPアドレス・ネットマスクをそれぞれのサブネットに即したものに設定変更する.
WireSharkを起動してパケットキャプチャを開始し,接続したPC A1とPC B1間の通信が,実際にパケット配送シミュレーションゲームと同じように行われていることを確認する(以下を確認すると良い).
- A1が送出したパケットXをB1が受信可能であること.
- サブネットAでキャプチャしたパケットXと,サブネットBでキャプチャしたパケットXでは,ネットワーク層以上は同一でも、データリンク層以下が変化していること.そしてその違い.
- 同一サブネット内の通信がどのように行われているか.
2. LAN.WAN.INTERNETの基盤技術
基本的なネットワークの情報の確認
演習:接続経路調査
- ping
- tracert (traceroute)
Windows PC を宛先として ping / tracert を試みる場合は,宛先のWindows PCが Ping 応答を許可しているかどうかを確認してください(宛先のWindows PCがPing応答しないことに気づかずに,ネットワークの障害と誤認することがあります).同一のローカルネットワーク内からのPing要求の場合,異 なるネットワークからのPing要求の場合,ネットワークプロファイルがパブリックの場合,プライベートの場合,などによって Windows PC が Ping要求に応答するかどうか,違いがあります.
演習:名前解決(正引き・逆引き)
- nslookup
演習: DHCPにより取得したネットワーク情報の確認
- ipconfig
- ipconfig /all
- ipconfig /release
- ipconfig /renew
演習:PRIVATE-NETWORK設計・構築演習
無 線LANを含むプライベートネットワークを設計・構築します(所謂,自宅のネットワークです).指定した上位ネットワークの情報に基づき,無線LANルー タを設定し,ネットワークを構築してください.ただし,無線LANの設定に関しては,極力セキュリティレベルの高い設定とします.
演習:ネットワーク図作成演習
作成したネットワークのネットワーク図を作成してください.
3. 通信とセキュリティ
演習:ファイアウォール(パケットフィルタリング)設計・設定演習
上述の演習で設定した無線LANルータを対象にファイアウォールの設計・設定を行います。
- 外部からのPINGには応答しない(内部からのPINGには応答する)ように設定してください。
- 特定のプロトコル(FTP)で外部にアクセスできないように設定してください。
- 特定のWebページ(http://www.shizuoka.ac.jp/)にはアクセスできないように設定してください。
- プライベートネットワーク内にウェブサーバを設置し,WAN側からそのサーバのHTTPとHTTPSのみアクセスできるようにしたいという要求に対応できるように設定してください.
- DHCPで配布したIPアドレスからは特定のプロトコル(HTTP, HTTPS)でしか外部にアクセスできないように設定してください。
設定内容が反映されていることを確認するための方法を検討し、確認してください。
4. 暗号化とセキュリティ
演習: 暗号化なしプロトコルのキャプチャによるパスワード検出と暗号化プロトコルとの比較
以下のURLにアクセスし、秘密のメッセージを送信してください。
演習: 認証局による認証の有無によるブラウジングの差異の確認
以下のURLにアクセスし、それが正しいサイトかどうかを評価してください。
5. 通信と仮想化技術
演習:VPN (Virtual Private Network) 設計・設定演習
離れた2拠点を接続するVPNを含むネットワークを構築してください。
クライアント側から見たときの構築したネットワークの振る舞いを確認してください。
- ある拠点の端末から他拠点の端末への接続の方法
- ブロードキャストはどうなるのか?
- VPNの接続が確立していない場合の振る舞いはどうなるのか?
- パケットフィルタリングを行いたい場合の設定の方法は?
6. 複数拠点ネットワーク構築演習
ネットワークに対する要望:
今 回設計・構築するネットワークは,東京支社と大阪支社を持つ会社のネットワークです。各支社がそれぞれプロバイダとインターネット接続の契約をしました。 各支社では有線LAN接続と無線LAN接続でPCを接続できるネットワーク環境を整えてください。対外的にコンテンツを発信するウェブサーバをどちらの支 社でも設置できるようにしてください。また、社内用のファイルサーバを東京支社に設置します。
- この要求を満たすネットワークを設計し、ネットワーク図を作成してください。
- 設計に基づき、ネットワークを構築してください(ウェブサーバに関してはPCに当該IPを設定して接続することで代えます)。
- 構築したネットワークが要求を満たしていることを検証してください。
- 設置したウェブサーバに対して想定されるリスクを列挙してください。
7. ネットワーク障害分析演習
上述の演習で構築したネットワークにおいて,以下の障害が発生した場合に起こりうる症状と,障害原因分析の計画を検討してください.障害原因の分析の計画はCisco 7 Step Trouble Shooting Model の最初のステップ(障害の定義と詳細情報の収集,その障害が発生する原因となりうる問題の検討)を行います.作成したネットワーク図,TCP/IP階層モ デル(あるいはOSI階層モデル)に基づいて検討してください(ある障害が仮に発生したとすると,ネットワーク図のどの範囲でどのような障害 (TCP/IP階層モデルのどのレイヤーの障害が起き,何はできて・なにができなくなるのか)が起きるのか?)。
症状の仮説と分析の計画が作成できたら実際にその障害を発生させて,確認してみてください.
- ネットワークケーブルの断線(あるいは抜け落ち)
- 重複MACアドレス
- Virtual Box などの仮想マシンを使えば,仮想NICのMacアドレスを変更できます.
- 重複IPアドレス
- ネットワークケーブルのループ接続
- DHCPサーバ障害(停止)
- DHCPサーバ設定ミス
- 配布IPアドレスの枯渇
- ネットワークアドレスの設定ミス
- デフォルトゲートウェイの設定ミス
- DNSサーバの設定ミス
- など
- DNSサーバ障害(停止)
- ファイアウォールの設定ミス(例えば,以下を拒否した時)
- ICMP
- Port 53
- Port 80
- Port 443
- DoS攻撃
- Apache ab などのベンチマークツールを使えば実現できます.
- そのほかの障害を検討してみてください。
情 報の収集には,今までの演習で使ったツールや,以下のツール,あるいはその他のツールを用います.また,ルータ(例えば,ルータやIntelligent スイッチは管理画面のログインして,スイッチングのためのMacアドレステーブルやルーチングテーブル,DHCPのアドレスリース状況などを参照すること ができることが多い)やホストのログも重要な情報源です.
- arp
- ping
- traceroute (tracert.exe)
- ipconfig
- nslookup
- WireShark
- Fing
- NMap
- TeraTerm (Port指定)