ルーターおよびスイッチの設計

公開日: 2004年6月2日

トピック

モジュールの内容
目的
適用対象
モジュールの使用方法
設計ガイドライン
デバイスの定義
クラス
スイッチのクラス
クラス 1 - ローエンドの固定構成のスイッチ
クラス 2 - ローエンドの構成変更可能なスイッチ
クラス 3 - ミッドレンジ スイッチ
クラス 4 - ハイエンド スイッチ
ルーター
ルーターのクラス
クラス 1 - ソフトウェア ルーター
クラス 2 - ローエンドの固定構成のルーター
クラス 3 - ローエンドの構成変更可能なルーター
クラス 4 - ミッドレンジ ルーター
クラス 5 - ハイエンド ルーター
クラス 6 - ISP ルーター
セキュリティ
ルーター セキュリティの考慮事項
スイッチ セキュリティの考慮事項
安全なネットワークのスナップショット
要約
その他の情報

モジュールの内容

このモジュールでは、スイッチとルーターを選択する方法について説明します。また、これらのデバイスで使用できる機能を示し、状況に応じて選択する必要がある機能について、選択に役立つ情報を提供します。スイッチとルーターは、代表的な機能に基づいて、各クラスにグループ化されます。これらのクラスに基づいて、組織で必要になるスイッチとルーターの種類を決定できるようにします。使用できるスイッチとルーターにはさまざまな種類があります。同様の機能を備えているように見えるため、すぐには適切に選択できない可能性があります。このモジュールでは、スイッチとルーターの主な機能と、それらの機能が要件にどのように一致するかについて説明します。また、ルーターとスイッチのセキュリティについても説明し、ルーターとスイッチの構成のセキュリティを確保する方法を示します。

ページのトップへ

目的

このモジュールの目的は次のとおりです。

  • 組織に適したスイッチとルーターを選択しやすくする。

  • ルーターとスイッチに関する主要なセキュリティ考慮事項を識別する。

  • ルーターとスイッチの構成のセキュリティを確保する。

ページのトップへ

適用対象

このモジュールは、次のテクノロジに適用されます。

  • イーサネット スイッチ

  • イーサネットおよび Internet Protocol (IP) ルーター

ページのトップへ

モジュールの使用方法

このモジュールは、組織に最適なスイッチとルーターを選択するときに役立ちます。スイッチとルーターで有用性が高い機能のチェック リストを示すと共に、それぞれの機能について説明します。このチェック リストを使用して、必要な機能を識別できます。次に、各グループの機能に基づいてスイッチとルーターをグループに分類します。組織の要件は 1 つのスイッチまたはルーターでは満たされません。クラスに対して要件を比較し、それぞれの場所における最適な製品を判断できます。

ページのトップへ

設計ガイドライン

ここでは、エンタープライズ ネットワークで使用するルーターとスイッチの要件、それらの要件を満たすデバイスの種類、展開用に使用できるオプションについて説明します。ルーターとスイッチはネットワークを構成するうえでの重要な 2 つのコンポーネントです。これらの重要なデバイスを適切に選択すると、信頼できる高速サービスをネットワークで提供しやすくなり、急速に変化するニーズに的確に対応できます。

設計時の検討項目

スイッチとルーターの実装について設計するときは、次の項目を検討する必要があります。

  • ネットワークアーキテクチャ

  • ルーティングプロトコル

  • 可用性

ネットワーク アーキテクチャ

ネットワークを設計してから、必要なルーターまたはスイッチのクラス、それらのデバイスを相対的に配置する場所、および必要な機能を判断する必要があります。ルーターとスイッチのクラスを選択する前に、ネットワーク設計に基づいて次の情報を確認する必要があります。

  1. ネットワーク上の現在のデバイスの数、現在接続が必要なデバイスの数、予測される将来の増大率

  2. 相互に通信する必要があるデバイス間の構図

  3. 通信する必要がある各デバイス間に要求される帯域幅のサイズ

  4. ネットワーク設計上、スイッチング (ルーティングに対して) が必要になる場所

  5. Virtual Local Area Network (VLAN) の必要性、必要な VLAN の数、それぞれの VLAN に配置するホスト、VLAN 間でルーティングが実行される可能性

  6. 許容できる待機時間

ネットワークの設計

組織構造は一様ではなく、組織構造を中心にしたネットワーク アーキテクチャの設計にもさまざまな方法があります。ただし、設計の基盤として使用できる 2 つの代表的なモデルがあります。1 つは本社に使用できる可能性がある複数レベルのスイッチング アーキテクチャ、もう 1 つは、小規模な事業所向けアーキテクチャです。

図 1 に、通常、公開 Web サイト レイヤとバックエンド データベース レイヤが存在する場合に使用される複数レベル アーキテクチャの例を示します。ネットワークの公開側から内部へと移動すると、最初のセグメントとしてインターネットに接する外部ルーター付きの外部ネットワークがあります。このルーターを介して、初期ファイアウォール機能が提供されます。その後に続くのは、ルーターを境界ファイアウォールにリンクするスイッチです。後者によってさらに強固なファイアウォールが提供されます。次に境界ファイアウォールは、スイッチを介して、境界ネットワーク内の Web サーバーに接続され、Web サーバーは別のスイッチを介して、内部ファイアウォールに接続されます。内部ファイアウォールは、さらにスイッチによってバックエンド ネットワーク内の内部サーバーとユーザー PC に接続されます。この図では論理設計を示していますが、物理的にはすべてのスイッチは同じスイッチ上で個別の VLAN に対応できます。外部スイッチは、セキュリティの低いゾーンに配置されるため、個別デバイスとして使用することをお勧めします。バックエンド スイッチも、単一の大きいスイッチと複数の小さいスイッチのどちらを選ぶかによって、複数のスイッチとして動作させることができます。

図 1 複数レベルのスイッチング アーキテクチャ

拡大表示する

図 2 に、小規模な事業所での使用に適したアーキテクチャを示します。このアーキテクチャには、3 つのネットワーク デバイス (モデム、ルーター、スイッチ) が含まれます。これらの 3 つのデバイスは、ネットワーク接続に応じて 2 つに結合したり、1 つのデバイスとして使用したりすることも可能です。多くの場合、低コストのルーターには、イーサネット スイッチとファイアウォール機能が含まれています。また、ブロードバンド接続用として、モデムをルーターに組み込むこともできます。

図 2 小規模事業所アーキテクチャ

拡大表示する

ルーティング プロトコル

ネットワークの設計では、ルーティング情報の交換にどのルーティング プロトコルを使用するかという重要な決定を行う必要があります。ルーターには、送信先ネットワークまでの転送方法を示すルーティング テーブルが必要です。ルーティング テーブルは、手動で静的ルートとして構成できますが、このようなルーティング テーブルは小規模ネットワークのみに適合します。別の方法としては、他のネットワークを自動的に発見してルーティング テーブルを構築できるルーティング プロトコルを使用します。リンクに障害が発生すると、そのリンクが自動的にルーティング テーブルから削除されるので、ルーターでは常に送信先ネットワークまでの最良のアクティブ ルートが検出されます。

次の一覧では、ネットワークで使用される 2 つの主要な業界標準ルーティング プロトコル RIP、OSPF に加えて、特殊プロトコル BGP について説明します。

  • Routing Information Protocol (RIP) Routing Information Protocol (RIP) は、中小規模のネットワーク間でルーティング情報を交換できるように設計されていて、さまざまなルーター上で広範に使用できます。

    RIP の最大の長所は、非常に単純に構成できるということです。ただしこのプロトコルには主に、大規模ネットワークを扱えない、大量のネットワーク トラフィックを生成する、ネットワーク障害が発生した場合の応答時間 (収束時間) が長いなどの短所もあります。このような理由から、通常の場合 RIP は、小規模ローカル エリア ネットワーク (LAN) 以外のネットワークでは検討されません。RIP の詳細については、http://msdn.microsoft.com/ja-jp/library/ms818800.aspx を参照してください。

  • Open Shortest Path First (OSPF) Open Shortest Path First (OSPF) は、大規模ネットワークに対応できるスケーラビリティを備えた、非常に効率の良い業界標準ルーティング プロトコルです。OSPF の長所は、非常に大規模なネットワーク間接続でもほとんどネットワーク オーバーヘッドが発生せず、リンク障害にも迅速に応答できるということです。主な短所は、複雑さを伴うことです。したがって、構成と管理を簡単に行うことはできません。

    最近はほとんどのエンタープライズ ネットワークで OSPF がルーティング プロトコルとして採用されています。これは、RIP よりも効率が良いためです。通常は、中型から大型までのルーター上で使用され、小型のルーター上で使用できる場合もあります。OSPF の詳細については、http://technet.microsoft.com/ja-jp/library/cc778874.aspx を参照してください。

  • Border Gateway Protocol (BGP) Border Gateway Protocol (BGP) は、ルーティング可用性と負荷分散機能の両方を提供するためにインターネット接続ルーター上で使用される外部ゲートウェイ ルーティング プロトコルです。一般的に BGP は、大型ルーター上で使用可能ですが、その構成についてはインターネット サービス プロバイダ (ISP) と協議する必要があります。

可用性

ネットワークでは高可用性が必要になります。ネットワークの規模が大きいほど、高レベルの可用性が要求されます。これらの可用性要件に合わせてルーターとスイッチを構成し配置するには、さまざまな方法を使用できます。たとえば、ネットワーク デバイスの電源やエンジンなどの重複コンポーネントを構成したり、デバイス自体を重複させたりすることができます。後者の方法では、費用が増大しますが、総合的な復元性の高いソリューションを実現できます。

ページのトップへ

デバイスの定義

ここでは、次の種類のネットワーク デバイスを定義します。

  • スイッチ

  • ルーター

これらのデバイスは、ネットワークのコア部分を構成し、すべてのローカル エリア ネットワーク (LAN) および広域ネットワーク (WAN) セグメントを相互にリンクします。

スイッチ

スイッチを使用して、ネットワークの物理セグメントを相互にリンクし、リンクされたセグメント間でデータを移動できます。スイッチは OSI モデルのレイヤ 2 で動作し、たとえば、イーサネット MAC アドレスなどのレイヤ 2 アドレスに基づいてトラフィックを制御します。VLAN やレイヤ 3 スイッチングなどの追加機能を備えたスイッチもあります。

スイッチは自動的に構成を実行します。スイッチでは、それぞれのイーサネット ポート上のトラフィックをリスンし、関連する各デバイスの接続先ポートを探します。その後、トラフィックが接続先ポートに直接送信されます。追加機能をアクティブにする必要がない限り、スイッチは新たに構成せずに使用できます。これは、ネットワーク インストール時の主な長所となります。スイッチング プロセスは、ほとんど遅延のないワイヤ速度でハードウェアによって実行されます。

従来、スイッチでは、複数のデバイスと共にセグメントをリンクしていましたが、スイッチ価格が低下するにしたがって、各ポートに 1 つのデバイスを接続する方法が一般的になっています。これは、"共有" イーサネットではなく "スイッチング" イーサネットと呼ばれています。ポートごとに 1 つのデバイスのみがアクティブになるので、競合は発生しません。したがって、ネットワーク パフォーマンスが向上し、デバイスが全二重形式で動作できるため、高いスループットが達成されます。

ネットワーク トラフィックには、ブロードキャスト メッセージが含まれます。これらのメッセージは、すべてのポートにコピーする必要があるため、大規模ネットワークでは、著しい影響が現れます。ほとんどのユーザーは、サーバーと関連コンポーネントで構成される限られたグループとの通信を必要とします。したがって、ブロードキャスト トラフィックはそのグループ内のみで送信可能です。ブロードキャスト トラフィックを軽減する 1 つの方法として、各グループ用のスイッチを指定し、ルーターと共にそれらをリンクします。これは、ルーターでブロードキャストが送信されないという理由に関連します。もう 1 つの方法は、スイッチ上で VLAN を使用します。VLAN とは、実際は多くの異なる物理 LAN セグメントに配置されていても、同じワイヤに接続されているかのように通信できるように構成されたデバイスのグループのことです。ブロードキャストは、VLAN の 1 つのメンバから同じ VLAN の他のメンバのみに送信されるため、ブロードキャスト トラフィックの拡散が軽減されます。

ルーター

ルーターは、OSI モデルのレイヤ 3 で動作します。ルーターには、LAN または WAN として識別できる 2 つの異なる IP ネットワーク間でトラフィックを渡す役割があります。ルーティング プロセスでは、着信データの送信先 IP アドレスが確認され、ルーティング テーブルに基づいた出力ポート経由のデータ送信が実行されます。ルーティング テーブルは、ルーティング プロトコルを使用して手動で構成したり検出できますが、スイッチとは異なり、ルーターには常に特定の構成が必要になります。

大型スイッチにはルーターが含まれることがあります (通常はアドイン カード上)。これは多くの場合、レイヤ 3 スイッチングとして説明されていますが、機能的にはルーティングと同じです。

ページのトップへ

クラス

ルーターとスイッチは、さまざまなレベルの使用可能なデバイスおよび提供される機能を識別するためにクラスに分類されています。ルーターまたはスイッチが特定のクラスに属する場合、そのルーターまたはスイッチは、そのクラスのデバイスにリンクされているすべての機能をサポートできます。

ルーターとスイッチのクラス全体に対するコア機能もあります。特に、ルーターまたはスイッチの処理能力が、そのアップグレードの可能性、柔軟性および復元性に加えて重要な基準となります。一般的に、ローエンドのスイッチおよびルーターは、低価格を維持するために特定のタスク向けに設計されていて、拡張性がほとんどないか非常に限られています。クラスのレベルが上がるにしたがって、強力な機能だけでなく拡張性も高くなります。最高位のクラスでは、復元性も提供されます。

適切なスイッチまたはルーターを選択するときは、製造元などが、最安値や高速性、豊富な機能を強調するため、判断に迷うことがあります。製品を評価するには、機能と長所を区別する必要があります。機能とは製品で提供できるか実行できる内容のことですが、長所となるのは、利用価値がある場合のみです。たとえば、銅ケーブルだけでなく光ファイバ ケーブルで接続できる機能は、スイッチが相互接続される大規模なデータ センターにとっては長所になります。ただし、そのような機能は、スイッチが 1 つだけ配置されている小規模なオフィスでは意味がありません。

スイッチまたはルーターを選択する前に、ネットワークを設計して、その設計に適したデバイスを評価する必要があります。複数の設計が適合し、異なるアーキテクチャの評価が必要になることもあります。購入価格も重要な基準ですが、低コストのデバイスは、運用コストが高い場合もあるため、運用コストも考慮に含める必要があります。

大きい組織では、複数のスイッチを配置するかどうか、または非常に大型の複数のスイッチを中央サイトに配置するかどうかが、設計上の重要な決定基準になります。推奨される設計としては複数の大型スイッチが考えられますが、これには中央サイト オフィスの物理レイアウトも部分的に関係します。多くの小型スイッチは、管理性の問題が発生する可能性がある一方で、大型スイッチは、VLAN が必要になって、構成に複雑さが伴う場合があります。

スイッチとルーターの共通機能

次に、スイッチとルーターの最も一般的な機能について説明します。それぞれの機能について説明し、評価します。次の一覧を参照して、それぞれの機能が組織に適しているかどうかを確認してください。たとえば、ほとんどの企業には大規模な本社と多くの小規模な事業所があります。大型オフィスでは、復元性やスケーラビリティなどの機能が必要になる可能性が高くなりますが、数の多い小規模なオフィスでは、低コストの方が重要になる場合があります。

この一覧では、スイッチとルーターの両方に共通して有用性が高い機能を示すと共に、スイッチまたはルーターに固有の機能について説明します。

  • スケーラビリティ 特に大規模サイトのスイッチでは、ユーザーとサーバーの数が増大する可能性があるため、多くの場合、イーサネット ポートの数を増やすと非常に便利になります。将来の規模の増大に対応できないスイッチを設置しようとは思わないはずです。そのようなスイッチは結果的に破棄して別のスイッチに交換することが必要になります。スイッチには次のいずれかの傾向が現れます。

    • 一定の数のイーサネット ポートによる固定された構成

    • ポートの増大に応じてカードを追加できる柔軟性

    • 主に空のシャーシと十分な拡張可能性に基づいた完全なアップグレードの可能性

    ルーターの拡張も重要ですが、スイッチほど増大率が著しくないと考えられます。ルーター上で変更されることが多いのは WAN リンクです。これは、WAN テクノロジがたとえば、ISDN から ADSL に変更されること、または追加 WAN リンクが実装されることに関係しています。

    拡張性は常に重要な条件になりますが、コストの問題があります。事業所では、固定されたスイッチとルーターの構成が最も効果的な選択肢になる場合があります。

  • 高速イーサネット サポート イーサネットの通常速度は、以前の 10Mbps から 100Mbps に向上しています。ギガビット イーサネットのコストは著しく低下していますが、PC カードの価格が高いため、通常は、サーバーおよびスイッチ間のバックボーン リンクに主に使用されています。10Gbps イーサネットも実現されており、コストが低下するにしたがって、ほとんどの重要なバックボーン リンク用としてギガビット イーサネットに取って代わる可能性があります。すべてのスイッチとルーターで、100Mbps イーサネットがサポートされますが、通常の場合、より高速のイーサネットは中高レベルのモデルのみによってサポートされます。

  • 復元性 スイッチまたはルーターのコンポーネントに障害が発生した場合はどうなるでしょうか。ユニット全体が機能停止するでしょうか、または継続して動作できるように冗長な設計になっているでしょうか。高位レベルのスイッチとルーターには、障害の影響が動作に及ばないように、電源、エンジン、スイッチ ファブリックなど、重複コンポーネントが含まれている場合があります。多くの接続ポイントを持つ大型デバイスでは、この機能が非常に重要になります。ただし、たとえば、小規模な事業所などの小型のスイッチまたはルーターでは、追加のコストを正当化できない可能性があります。代替的な方法として、スイッチまたはルーターを並行的に動作させ、一方をプライマリ デバイス、もう一方をホット スタンバイ状態のデバイスにすることで、プライマリに障害が発生した場合に動作を引き継げるようにすることも考えられます。自動的に切り替えを処理できる機構が確立されていることを確認してください。

  • 管理性 スイッチでは、構成せずに機能を開始し、イーサネット フレームの送信をリスンして、それぞれのデバイスのポートの位置を導き出すことによって、ネットワーク トポロジを認識します。すべてのスイッチによってこの機能が実行されますが、追加の構成および監視の目的でスイッチにアクセスすることが妥当な方法と言えます。ローエンドのスイッチには構成オプションがありませんが、機能セットが増加した場合は、これらの機能を最大限に利用できるように構成を行う必要があります。

    ルーターでは、ポート IP アドレスと、ルーティング テーブルを構築する方法を定義するために常に構成が必要になります。

    デバイスを構成して管理するには、ネットワーク経由によるリモート アクセスが必要です。この方法では、実際にデバイスへ移動して問題を修正する必要がなくなる場合があるため、管理コストを著しく軽減できます。また、デバイスをネットワーク管理ソフトウェアで監視して、エラーを自動的に報告できます。

  • ボイス オーバー IP (VoIP) ボイス オーバー IP は、ローカル イーサネット ネットワークおよび WAN などを経由して音声チャットを渡すことができる機能です。現在の長所は、個別の電話ケーブル ネットワークではなく共有イーサネット ケーブルが音声とデータに使用されるため、ケーブルの必要性を軽減できることです。また今後は、スタッフと装置を配置するときの柔軟性が向上することも長所になります。一般的に、従来のレガシ PBX は、専用ハードウェアではなく標準の PC プラットフォームに基づいて、IP PBX に置き換えられています。

    既存の電話網を持つデータ センターでは、すぐには VoIP が必要にならない場合がありますが、将来は、組織の拡大やビジネス ニーズの変化に応じて必須となる可能性があります。VoIP の処理に適したスイッチとルーターは、次の 2 つの機能を備えている必要があります。

    • IEEE 802.1p 標準、サービスの品質 (QoS) のサポート スイッチでこの機能がサポートされていると、データ トラフィックの前に音声トラフィックが送信されるように、データと音声間でトラフィックの優先順位を設定できます。

    • IEEE 802.3af 標準、IP 電話のインライン電源のサポート スイッチでこの機能がサポートされていると、イーサネット カテゴリ 5 UTP ケーブルを介して、低電圧電源を IP 電話用に提供できます。

  • セキュリティ セキュリティは、すべてのネットワーク コンポーネントでますます重要な要件になっています。セキュリティの実装については、このモジュールで詳しく後述しますが、スイッチとルーターを評価するときは、セキュリティを考慮して、セキュリティを実装しやすくする特殊な機能があるかどうかを確認する必要があります。

    セキュリティが関連するカテゴリは 2 つあります。その 1 つは、ネットワークによって実行されるセキュリティ侵害で、デバイスで削減できる可能性があります。もう 1 つは、デバイス自体が攻撃対象になるセキュリティ侵害です。最初のカテゴリの侵害は、デバイスに方向付けられていて、デバイス自体が含まれることがあります。デバイス (主にルーター) にファイアウォール機能があることを確認してください。2 番目のカテゴリは、デバイスの構成にアクセスすることを目的とした攻撃です。2 番目のカテゴリの侵害を防止するために、追加コントロールを実装して、ユーザーの構成アクセス権を制限できることを確認してください。

    低コストのスイッチは、多くの場合、構成ができません。また、IP アドレスがないため、ネットワークから派生する攻撃に対して比較的強い耐性を発揮する場合があります。大型のスイッチおよびルーターは、通常の場合、高度なアクセス制御機構を備えていて、侵害が制限されるように構成することもできます。中型のスイッチおよびルーターは、最も攻撃を受けやすいデバイスと言えそうです。ただし、適切なファイアウォール システムを使用していると、外部からの侵入を防止できます。

    デバイスが、関連のサーバーへのユーザー アクセスを制限してセキュリティを向上させる VLAN をサポートできることを確認してください。

  • サポート 大規模ネットワークでは、製造元からのサポートが非常に重要になります。通常、サポートは価格によって異なります。低コストのデバイスは、一般的に、電子メール サポートのみを提供し、応答時間の保証はありません。デバイスは価格が高いほど複雑さが増す可能性があり、サポート契約が必要になる場合もあります。すべてのスイッチおよびルーターを同じ製造元から購入すると、それぞれの製造元が他社のデバイスの問題について主張している場合に発生するようなデバイス間の問題を軽減できます。

  • 製品の範囲と製造元の存続可能性 スイッチまたはルーターのクラスごとに、そのクラスに適した最良のデバイスを提供できる製造元が異なる可能性があります。たとえば、小規模オフィス レベルでは、多くの製造元によって、優れた製品が非常に競争力の高い価格で提供されていますが、これらのほとんどの製造元は、大規模オフィスに適した製品を提供していません。製造元の存続性と、問題について製造元が提供できるサービス レベルも考慮する必要があります。多くの小規模企業では、厳しい競争を経て、存続できなくなることも考えられます。

  • コスト デバイスを選択するときは、もちろん購入価格が重要な要素になりますが、運用コストも考慮に含める必要があります。スイッチは、多くの場合、そのポートあたりの価格に基づいて分類されます。この算定を行うには、スイッチの総合コストを特定し、その値をイーサネット ポートの数で割ってポートごとの個別コストを計算します。この算定は、上位のクラスでの追加機能は考慮されないため、同じクラス内のスイッチを比較する場合にのみ適用します。たとえば、単純なスイッチはポートあたりの最良の価格を実現している可能性がありますが、機能数から見ると最も低レベルです。ルーターには、同じ価格比較方法を適用しません。そのルーティング性能と柔軟性に基づいて評価する必要があります。各クラスで競争力の最も高い価格に基づいて、選択しようとすることが考えられます。ただし、運用および保守のコストも考慮する必要があります。たとえば、製造元ごとに構成方法が異なるデバイスの場合は、スタッフのトレーニング費用を見込まなければなりません。

  • パフォーマンス ルーターまたはスイッチの処理能力やパフォーマンスを評価する手順は、CPU 能力を出発点として使用できるコンピュータの評価の場合よりも複雑になります。通常の場合、ルーターまたはスイッチは、製造元の専用ハードウェアが基盤になります。CPU があっても、総合的な能力を正確に示すわけではありません。スイッチのパフォーマンスは、ビット/秒 (bps) と パケット/秒 (pps) の両方の値に基づいて測定されますが、一般的に、ルーターのパフォーマンスは、pps のみで測定されます。多くの場合、ルーターおよびスイッチの製造元は、自社のデバイスのパフォーマンスを明らかにしていません。また、パフォーマンスを測定するための業界標準がないため、直接的な比較が困難になっています。小型ルーターの製造元も、パフォーマンスの数値を明らかにしない傾向があります。

スイッチに固有の機能

ここでは、スイッチに固有の、有用性の高い機能について説明します。

  • スパンニング ツリー プロトコル スパンニング ツリー プロトコルを使用して、ネットワーク全体に複数のスイッチと複数の経路が存在する場合のスイッチ間の最良経路を計算します。このプロトコルは、データが同時に複数の経路で送信されてデータが重複するのを防止するために必要です。大規模ネットワークでは、このプロトコルがスイッチによってサポートされていることが重要になりますが、多くの場合、小型スイッチでは使用できません。

  • VLAN サポート VLAN を使用して、ネットワークを、同様な通信要件を持つコンピュータ グループにセグメント化し、ネットワーク トラフィックを軽減します。VLAN は、どのようなサイズのネットワークでも使用できますが、特に、非常に大型の複数のスイッチが設置されている場合は、有用性が高くなります。一般的に、低コストのスイッチは VLAN をサポートしていません。VLAN サポートは小規模ネットワークでは重要ではありませんが、大規模ネットワークでは必須要素になります。

  • アップリンク接続 アップリンクを使用して、ネットワーク内のスイッチを相互接続します。すべてのスイッチは、通常のイーサネット リンクを介して接続できますが、高位クラスのスイッチでは、スイッチ単位の接続用のトランキング プロトコルを使用して、高速リンクがサポートされます。

  • 統合 スイッチ内の他の機能を統合すると、コストを軽減して管理性を向上させることができます。たとえば、小規模事業所向けの低コスト スイッチには、ルーターとファイアウォールが含まれている場合があり、さらにブロードバンド モデムが統合されていることがあります。この場合は、存在する物理ユニットが 1 つのみなので、コストが軽減されるだけでなく、管理が簡単になります。ハイエンド スイッチでは、ルーター モジュールを組み込むと共に (レイヤ 3 スイッチングと呼ばれる)、負荷分散やファイアウォールなどの他の機能を統合することもできます。多くの場合、このような統合でも、ネットワークの管理性が向上します。ただし、このような統合では、ボックス全体に障害が発生すると、統合されたすべてのデバイスが停止するため、復元性が低下することがあります。したがって、事前に十分に考慮する必要があります。

ページのトップへ

スイッチのクラス

ここでは、スイッチのさまざまなクラスを定義します。クラスは厳密に定義されるわけではなく、1 つの製造元が提供している特定のモデルが、アップグレード オプションによって複数のクラスに属したり、その製造元による 2 つの異なるモデルが同じクラスに属したりする場合があります。ここで説明するスイッチのクラスは次のとおりです。

  • クラス 1 - ローエンドの固定構成のスイッチ

  • クラス 2 - ローエンドの構成変更可能なスイッチ

  • クラス 3 - ミッドレンジスイッチ

  • クラス 4 - ハイエンドスイッチ

ページのトップへ

クラス 1 - ローエンドの固定構成のスイッチ

ローエンド スイッチは、機能と拡張性が限定されていて、フォールト トレランス機能はありません。このクラスのスイッチは、一定の数のイーサネット ポート (通常は 4 ~ 24 のポート) を配置できるように設計されています。接続の制限という点を考慮すると、通常はその限定されたパフォーマンスで十分な場合があります。

このクラスのスイッチは低価格ですが、アップグレード性と柔軟性はありません。イーサネット接続はデバイスのハードウェアに組み込まれていて、デバイスの機能 (たとえば、ポートの数など) を要件に応じて変更することはできません。ローエンド スイッチは、他のスイッチとのトラフィックの調整を必要としないスタンドアロン動作用に設計されています。スパンニング ツリー プロトコル、リモート管理、高速アップリンク、VLAN などの機能をサポートすることはできません。他のスイッチへのアップリンクは、通常の場合、特殊ポートまたはイーサネット クロスオーバー ケーブルを使用して、標準のイーサネット速度でサポートできます。スイッチの機能をルーターに結合することもできます。

一般的に、これらのスイッチは、小規模オフィス、大企業の事業所およびホーム ユーザー向けに設計されています。管理機能はありませんが、小規模ビジネスまたはホーム ユーザーにはその影響はほとんどありません。ただし、エンタープライズの事業所に使用する場合は、その点が短所になります。表 1 に、クラス 1 スイッチの機能の要約を示します。

1: クラス 1 - ローエンドの固定構成のスイッチ

特徴
構成は必要ないか、構成機能がない
拡張性がない
スパンニング ツリー プロトコルはほとんどの場合サポートされない
VLAN はサポートされない
リモート管理機能はない
限定された製造元のサポート
VoIP はサポートされない
コスト - 低

長所

ローエンドの固定構成のスイッチの長所は次のとおりです。

  • 経済性
    これらのデバイスは、物理構造と機能セットが単純なため、一般的に低価格です。また、多くの製造元による熾烈な競争も価格の低下に影響しています。短所を除けば、このクラスのスイッチは、ポートあたりの価格という点においてすべてのクラスの中で最高の価値を実現しています。

  • 単純な構成
    これらのデバイスは、一般的に構成オプションがありません。また、設置が非常に簡単です。スイッチによってその環境が検出され、自動的に構成が実行されます。構成オプションがないと、改ざんに対してセキュリティを確保できるので、リモート サイトに設置するときに長所となります。

短所

ローエンドの固定構成のスイッチの短所は次のとおりです。

  • アップグレードできない
    低コスト構造のため、これらのデバイスは一般に、イーサネット ポートを増やす必要が生じた場合にアップグレードできません。

  • 構成不可で管理性がない
    これらのデバイスには構成オプションがなく、リモート管理と監視を有効にできる構成プログラムも用意されていません。通常の場合、これらのデバイスは、ローカル技術サポートのない小規模リモート サイトに設置されます。したがって、監視機能がないことは、重大な短所になる場合があります。また、構成できないという特徴により、スイッチではスパンニング ツリー プロトコルまたは VLAN はサポートされません。つまり、このクラスのスイッチは、大規模な集中管理型エンタープライズ ネットワークには適していません。

  • 限定されたサポート
    多くの場合、このクラスのルーターのサポートは限定されていて、Web サイト、FAQ および電子メールによる連絡を介して、保証のないサービス レベルで提供されます。熾烈な競争が展開されているため、製品のライフ サイクルが非常に短く、モデルは、頻繁に置き換えられます。したがって、結果的に以前のモデルのサポートのレベルが低下します。保証は交換に限定され、しかも指定された期間内に行われる保証はありません。保証期間後にデバイスに障害が発生した場合は、修復しても十分な費用対効果は得られません。サポート レベルは、デバイスの単純さとその購入時の費用節減により十分とみなされる場合があります。

ページのトップへ

クラス 2 - ローエンドの構成変更可能なスイッチ

ローエンドの構成変更可能なスイッチは、ローエンドの固定構成のスイッチと同様の機能を提供しますが、要件の変更をサポートするためのアップグレード可能なハードウェアを搭載しています。一般的に、これらのスイッチは、イーサネット ポートの数を増やすことができ (固定構成のスイッチより多くのポートを搭載)、より柔軟なアップリンク機能 (ギガビット イーサネットが多い) を提供し、スパニング ツリー プロトコルをサポートします。これらのスイッチは通常、より多くのポートをサポートする必要があるため、固定構成のスイッチよりもイーサネット トラフィックのスループットが高くなります。またこれらのスイッチは、アップグレード可能で、多くの場合、リモート管理機能を備え VLAN をサポートしているため、ローエンドの固定構成のスイッチよりもコストがかかります。スタック可能な固定されたスイッチの構成は、同じクラスと見なすことができ、同じ技術的な機能を提供しますが、新しいスイッチを既存のスイッチに積み重ね、それらが 1 つのスイッチとして機能するように高速バスを使用して接続することによって、拡張をサポートしています。"スタック可能" という用語には標準定義がないことに注意してください。製造元によっては、1 つのスイッチを別のスイッチの上に物理的に置くことができることを意味する場合もありますが、このクラスの場合は、2 つのスイッチ間に高速バスがあり、これらのスイッチが 1 つのスイッチとして管理されることが想定されます。

ローエンドの構成変更可能なスイッチは、拡張が予想される場所や、ローエンドの固定構成のスイッチでは十分なポートを提供できない場所で使用できます。これは、建物、部署、遠隔事業所の各フロアや、小規模組織ごとのフロアなどが考えられます。初期コストは、ローエンドの固定構成のスイッチより高くなりますが、長期的には、スイッチを廃棄しない拡張が可能です。ローエンドの構成変更可能なスイッチは、通常、ローエンドの固定構成のスイッチよりも接続性が高いため、より大規模なオフィスに対応できます。表 2 に、クラス 2 スイッチの機能の要約を示します。

2: クラス 2 - ローエンドの構成変更可能なスイッチ

特徴
イーサネット ポートをアップグレード可能
アップリンク ポートの柔軟性
クラス 1 スイッチより多くのイーサネット ポートにアップグレード可能
スパニング ツリー プロトコル
設定変更の可能性、管理性、およびリモート アクセス
VoIP サポートがほとんどない
VLAN サポート
コスト - 低から高

長所

ローエンドの構成変更可能なスイッチの長所は次のとおりです。

  • 経済性
    これらのデバイスは、クラス 1 スイッチよりも ポートあたりのコストが高くなります。ただし、より高いクラスのスイッチに比べて、管理機能および拡張機能が優れ、低価格です。

  • アップグレード可能
    これらのデバイスには、ベース ユニットにポートを追加するか、追加のベース ユニットを既存のベース ユニットの内部バスに直接接続して組み込み、イーサネット ポート数を増やす方法があります。他のスイッチへの接続に使用されるアップリンク ポートは、ギガビット イーサネットや、光ファイバ ケーブル、銅ケーブルなどのさまざまな接続メディアに対応できます。

  • 設定変更の可能性
    これらのスイッチにはスパニング ツリー プロトコルおよび VLAN を構成する機能があります。そのため、これらのデバイスはエンタープライズ ネットワークでの使用に適しています。また、これらのスイッチでは、リモート管理機能や監視機能もサポートされます。

短所

ローエンドの構成変更可能なスイッチの短所は次のとおりです。

  • アップグレード性が柔軟でない
    これらのデバイスは、通常、イーサネット ポート数の増加とアップリンク ポート機能への変更が制限されています。別のスタック ユニットを追加すると、数個の追加ポートしか必要でない場合でも、ポート数が大幅に増加することになります。通常、レイヤ 3 スイッチなどの、他の機能を追加するオプションはありません。

  • VoIP サポートがほとんどない
    現在は VoIP が必要ないかもしれませんが、その可用性は、組織が電話網をアップグレードする場合には必須となり得ます。

  • 復元性がほとんどない、または限定されている
    通常、これらのスイッチには、復元性がほとんどありません。使用可能な場合、唯一の復元機能は予備電源になります。

ページのトップへ

クラス 3 - ミッドレンジ スイッチ

ミッドレンジ スイッチは、クラス 2 スイッチよりも強力で、非常に高いポート密度、および拡張機能を備えています。また、より高レベルの管理機能、冗長性、復元性も備えています。通常これらのスイッチは、固定シャーシではなくモジュール シャーシで、プラグイン ポート カードが装着されています。シャーシはサイズが異なることが多いため、スロット数に応じて使用できます。これらのスイッチには、通常、複数のホット スワップ可能な予備電源が含まれ、復元機能には、別のスイッチへの切り替え処理を行うプロトコルが含まれます。またこれらのスイッチは、セカンド エンジン、つまり、"最初のスイッチに障害が発生した場合に復元機能を提供する、スイッチのプロセッサ ユニット" を提供する場合もあります。

これらのスイッチは、中規模の組織や、より大規模な事業所にコア スイッチングを提供するため、またはより大きなスイッチに接続する大規模組織の部署を統合するために使用できます。これらのルーターは、WAN および LAN 接続に対して優れた柔軟性および拡張機能を提供し、次世代テクノロジにアップグレード可能になるにしたがって、ライフ サイクルが長くなります。表 3 に、クラス 3 スイッチの機能の要約を示します。

3: クラス 3 - ミッドレンジスイッチ

特徴
異なるサイズのシャーシを備えた、シャーシ システム ユニット
予備電源
高いイーサネット ポート密度
柔軟なアップリンク ポート
設定変更の可能性、管理性、およびリモート アクセス
スパニング ツリー プロトコル
VLAN サポート
VoIP サポート
レイヤ 3 スイッチ
予備電源
冗長エンジン
コスト - 高

長所

ミッドレンジ スイッチの長所は次のとおりです。

  • 費用対効果
    基本のミッドレンジ スイッチ ユニットの価格はローエンド スイッチよりも高くなりますが、ポートあたりの価格は、ユニットのポート数が増大するにしたがってかなり割安になります。これは、より大きなシャーシ ユニットの場合は特に顕著です。

  • 単純な構成
    これらのデバイスは、構成が必要であり、VLAN のようなより複雑な機能を備えています。このクラスのスイッチは、通常、従来からのコマンドライン方式に加えて、構成するためのブラウザベースのグラフィカル インターフェイスを提供します。また、同様なツールも、アクティビティをリモートで管理、監視するために使用できます。

  • 管理性
    このクラスのスイッチは、ソフトウェア ツールの機能向上および特別に設計されたハードウェア機能によって、優れた管理機能を提供します。

  • 復元性
    スイッチのポート容量の増大にしたがって復元性がより重要になります。このクラスのスイッチは、必要に応じて予備電源および冗長エンジンを提供できます。

  • スケーラビリティと長いライフ サイクル
    これらのスイッチはシャーシベースであるため、すべての接続オプションはプラグイン カードです。これは、要件が変更されるか、新しいテクノロジが低価格になるにしたがって、ユニットを容易にアップグレードできることを意味します。これはまた、スイッチの寿命も伸ばします。その一方で、より低クラスのスイッチの廃棄が必要になる可能性もあります。

短所

ミッドレンジ スイッチの短所は次のとおりです。

  • 高コスト
    これらのデバイスはより低クラスのデバイスより基本コストが高くなります。ただし、特にサイズの大きなシャーシの場合は、ポート密度が高くなるにしたがって、費用対効果が高くなります。

  • 複雑な構成
    これらのデバイスはオプションが多いため、グラフィカル構成ツールで緩和されますが、構成がより複雑です。

ページのトップへ

クラス 4 - ハイエンド スイッチ

ハイエンド スイッチは、高パフォーマンス、拡張性の向上、非常に高いフォールト トレランス機能、および高い可用性機能を提供します。ハードウェア設計が非常に柔軟で、複数の電源装置やプロセッサ、およびシステムの復元力を向上させる他の機能など、他のオプションと共に、複数の接続オプションを提供します。

これらのスイッチでは、他のネットワーク デバイスに接続するための非同期転送モード (ATM) などの高速プロトコルに非常に重点が置かれています。これらのスイッチは、銅ケーブル、光ファイバ ケーブルなどの、異なるハードウェア メディアをサポートする最高の柔軟性を提供し、複数のギガビット イーサネット リンクを処理する機能を備えています。また、このクラスのスイッチには、同様にルーターとして機能することが可能な、ルーター モジュールが含まれている場合もあります。この機能は、特に VLAN を接続する場合に有用です。表 4 に、クラス 4 スイッチの機能の要約を示します。

4: クラス 4 - ハイエンドスイッチ

特徴
シャーシ システム ユニット
予備電源
高いイーサネット ポート密度
柔軟なアップリンク ポート
10 ギガビット イーサネットのサポート
設定変更の可能性、管理性、およびリモート アクセス
スパニング ツリー プロトコル
VLAN サポート
VoIP サポート
レイヤ 3 スイッチ
レイヤ 4 ~ 7 スイッチ
セキュリティ機能
予備電源
冗長エンジン
コスト - 高

長所

ハイエンド スイッチの長所は次のとおりです。

  • 費用対効果
    クラス 3 スイッチと同様に、このクラスのスイッチもベース ユニットの価格が高くなります。ただし、ユニットが拡張され、ポート密度が増加するにしたがって、ポートあたりのコストはかなり安くなります。

  • 管理性
    クラス 3 スイッチとほぼ同様に、このクラスのスイッチは、ソフトウェア ツールの向上と特別に設計されたハードウェア機能によって、優れた管理機能を提供します。

  • 復元性
    スイッチのポート容量が増すにしたがって、復元性がより重要になります。このクラスのスイッチは、予備およびホット スワップ可能な電源、冗長エンジン、および予備スイッチ ファブリックを含む、高度な復元機能を提供します。

  • スケーラビリティと長いライフ サイクル
    これらのスイッチはシャーシベースであるため、すべての接続オプションはプラグイン カードです。これは、要件が変更されるか、新しいテクノロジが低価格になるにしたがって、ユニットを容易にアップグレードできることを意味します。これはまた、スイッチの寿命も伸ばします。これは、スイッチの廃棄が必要になる可能性がある、より低クラスのスイッチとは異なります。

  • セキュリティ
    このクラスのスイッチは、通常、ネットワークを侵入から保護する高度なセキュリティ機能を提供します。

  • レイヤ 3 ~ 7 スイッチング
    このクラスは、オプションとしてレイヤ 3 スイッチング (ルーティング) を提供します。また、レイヤ 4 ~ 7 スイッチング、負荷分散、ファイアウォールなどの他の高度な機能を提供します。これらの機能を組み込みサービスとして設定すると、外部ユニットの場合よりコストが削減され、パフォーマンスも向上します。

短所

ハイエンド スイッチの短所は次のとおりです。

  • 高い初期コスト
    これらのシャーシベース ユニットの初期コストは、シャーシ、エンジン、電源装置などのコンポーネントのコストが含まれるため、高くなります。ポートあたりの価格は、シャーシのポート数が少ない場合には、特に高くなります。ただし、ポートあたりの価格は、ポート密度が増すにしたがって安くなります。

  • 複雑な構成
    追加機能を提供するため、スイッチ構成の複雑さが必然的に増大します。このクラスに属するスイッチは、経験のあるエンジニアによって構成される必要があります。

ページのトップへ

ルーター

インターネットに接続される外部ルーター、VLAN に接続する内部ルーター、小規模オフィス用のルーターなど、多くの異なるクラスのルーターが、ネットワーク上で異なるタスクを実行するために必要な場合があります。

ルーターに固有の機能

ここでは、ルーターに固有の機能について説明します。

  • ルーティング プロトコル
    キャンパス ルーターではさまざまなルーティング プロトコルを使用できる必要があり、ルーターを選択する際には、ネットワークの設計とルーティング プロトコルの選択が必要になります。最も一般的な標準のルーティング プロトコルは RIP と OSPF ですが、RIP は大規模ネットワークには適しません。

  • WAN リンクとプロトコルの範囲
    WAN リンクを介して使用するプロトコル、および今後使用する可能性のある種類は何でしょうか。現在必要ではない場合でも、さまざまな高速リンクおよびプロトコルをサポートするには、ハイエンド ルーターを選択する必要があります。小規模な事業所では、ダイヤルアップ、ISDN、またはブロードバンド接続を行っている場合があり、ローエンド ルーターがこれらの接続方法をサポートする必要があります。ブロードバンドは現在の事業所構造には最適な選択であるかもしれませんが、例外なく使用可能なわけではなく、ダイヤルアップまたは ISDN が、リモートの場所には唯一のソリューションである場合があります。

  • Network Address Translation (NAT)
    Network Address Translation (NAT) は単一で固有のインターネット アドレスを複数のプライベート ネットワーク アドレスに変換するために、インターネットに接続されるルーター上で使用されます。これは、多くのデバイスが単一のインターネット アドレスを共有でき、プライベート アドレスに別のインターネット ユーザーから直接アクセスできないため、セキュリティの一手段となることを意味します。これは、インターネットを介して接続される小規模オフィスのルーターや、外部ルーターの大規模サイトでも使用できるようにしておく必要があります。

  • Dynamic Host Configuration Protocol (DHCP)
    Dynamic Host Configuration Protocol (DHCP) は IP アドレスを PC に自動的に発行するために使用されるので、IP アドレスを手動で構成する必要はありません。DHCP を使用するよう構成することができ、ネットワークのスイッチをオンにしてネットワークに接続するときにアドレスを取得できるため、PC の設定が簡単になります。また、各作業場所に適した IP アドレスを自動的に受け取るため、異なる場所で使用されるラップトップ コンピュータでも有用です。中央サイトでは、DHCP サービスは Microsoft® Windows® 2000 オペレーティング システム サーバーまたは Microsoft Windows Server™ 2003 上で実行されていますが、サーバーがない小規模オフィスでは、ルーター自体が DHCP アドレスを発行する必要がある場合もあります。

  • ファイアウォール
    ルーターがファイアウォール機能を提供することもあります。これは、事業所ルーターや大規模サイトの外部ルーターなど、インターネットに接続するルーターとして有用です。大規模サイトにはフル スケールのルーターをお勧めします。また、外部ルーターをファイアウォールの外側に配置し、ファイアウォール自体を保護する必要があります。

  • Virtual Router Redundancy Protocol (VRRP)
    大規模サイトでは、重複ネットワーク デバイスがフェイルセーフ配置としてインストールされることがあります。この重複デバイスは、一方がマスターとして動作し、他方がホット スタンバイ デバイスとして動作して、マスターに障害が発生した場合にのみアクティブになります。VRRP はルーター間のリンク上で実行されるプロトコルであるため、各ルーターは、他のルーターがいつアクティブであるかを認識しており、リンクで障害が発生したときには、アクティブなデバイスが対応することができます。

  • Virtual Private Network (VPN)
    Virtual Private Network (VPN) は、インターネットを介した接続に対してプライバシーとセキュリティを提供するために使用されます。これは、パブリック サービスを介して専用回線を効果的に提供します。これを主に使用するのは、ホームから接続する個々のユーザー、または中央サイトに接続する小規模な事業所です。クライアント PC でプロセスを開始するなど、VPN リンクを設定するさまざまな方法がありますが、そのような場合、ルーターは VPN 接続を認識しません。ただし、ルーターはユーザーが関与しない直接的なルーター間の VPN リンクで構成することも可能で、これは、小規模の事業所には必要なこともあります。

ページのトップへ

ルーターのクラス

スイッチのクラスと同様に、複数のクラスが定義され、製品は使用可能なオプションによって、2 クラス以上に分類されます。ここで説明するルーターのクラスは次のとおりです。

  • クラス 1 - ソフトウェアルーター

  • クラス 2 - ローエンドの固定構成のルーター

  • クラス 3 - ローエンドの構成変更可能なルーター

  • クラス 4 - ミッドレンジルーター

  • クラス 5 - ハイエンドルーター

  • クラス 6 - ISP ルーター

ページのトップへ

クラス 1 - ソフトウェア ルーター

ソフトウェア ルーターは、標準のオペレーティング システムと LAN と WAN との間のルーティング機能を提供するソフトウェア機能がインストールされたコンピュータ システムです。コンピュータ システムが標準のコンピュータ機能を提供し、ルーティング機能がバックグラウンドで実行されます。通常、これらのルーターは、ホーム ユーザーや小規模ビジネスのための、少数のコンピュータへの共有インターネット アクセスを提供します。これらのパフォーマンスは、ルーティング機能がデバイスの主な機能ではなく、バックグラウンド アクティビティであるため、制限されています。また、そのパフォーマンスは、フォアグラウンド アクティビティにも依存します。復元性は、コンピュータの復元性に限定されています。コンピュータは通常ワークステーションであるため、スイッチをオフにしていないユーザーに特に依存します。アップグレード性および柔軟性は、ソフトウェアが制限された WAN プロトコル セットをサポートしているため、低くなります。このクラスのソフトウェア ルーターの例は、Windows 98、ME、2000、2003 および XP オペレーティング システムで使用可能なインターネット接続共有 (ICS) です。

ソフトウェア ルーターは、ローカル ユーザーが少数で、WAN アクセスの必要があまりない場合に有用です。これらのルーターは、単一の電話回線を介したインターネット アクセスを必要とする多数のユーザーによって、ますます使用されています。使用量が増大し、このルーティング ソリューションの機能を上回るときには、次のルーター クラスの専用のハードウェア ルーターを導入できます。表 5 に、クラス 1 ルーターの機能の要約を示します。

5: クラス 1 - ソフトウェアルーター

特徴
ソフトウェア専用
単純な構成
ビルトイン NAT 機能
ルーティング プロトコルなし
オペレーティング システムに含まれているため無料、または非常に低コスト

長所

ソフトウェア ルーターの長所は次のとおりです。

  • 低価格
    これらのルーターは、モデム以外の追加のハードウェア ユニットは必要なく、オペレーティング システムに含まれているか、低コストで使用できます。低コストは主な長所ですが、この長所を上回ることもある、機能やパフォーマンスの欠如などの短所があります。

  • 単純な構成
    構成は、通常、ルーティング機能を有効にすることのみに制限されています。NAT も、DHCP と共に有効になり、内部ネットワーク上の各コンピュータに自動的にプライベート アドレスを提供します。

短所

ソフトウェア ルーターの短所は次のとおりです。

  • 一貫性のないパフォーマンス
    このルーティング機能は、通常は他のタスクを同様に処理する単一のコンピュータの処理能力に依存します。そのため、パフォーマンスは制限され、変動的です。これは、主に連続的ではない不定期のインターネット アクセスを目的としている、スタンドアロン モードの 1 台のコンピュータには十分ですが、より多くのコンピュータが接続され、インターネットの使用が増すにしたがってそのパフォーマンスは低下します。

  • 制限された構成オプション
    ルーティング プロトコルが使用できないため、構成オプションは通常わずかで、基本的なファイアウォール機能しか使用できません。

  • 復元性なし
    復元性は、ルーター ソフトウェアがインストールされているコンピュータの復元性に限定されています。これは、一般的に、復元性がまったくないことを意味します。その結果、ルーティング ソフトウェアは特に、コンピュータのシャットダウンなどのユーザー アクションが発生しやすくなります。

ページのトップへ

クラス 2 - ローエンドの固定構成のルーター

ローエンドの固定構成のルーターは、一般的に、パフォーマンス、機能、および拡張機能に制限があり、フォールト トレランス機能がありません。このクラスのルーターは、イーサネット LAN から WAN にルーティングするように設計されています。WAN 接続は通常、ダイヤルアップ モデム、ISDN、X25 リンク、ブロードバンド、またはケーブル モデムに制限されています。ルーターには、通常、ハブ、またはスイッチが組み込まれており (ワイヤレス カードを備えたコンピュータへのワイヤレス接続も含む場合があります)、簡単なファイアウォール機能を持つこともあります。

WAN 接続はルーター ハードウェアに組み込まれており、ユーザー要件が変更されても変更できません。ただし、これらのルーターは低価格ですが、アップグレードができないことがこの低価格に対する代償です。

これらのルーターには復元機能はありませんが、専用のデバイスであり、常にスイッチをオンにしたままにすることができます。これらのルーターは低価格のため、冗長性を提供するためのセカンド ルーターを設置することができます。これらは、RIP、OSPF などの制限された範囲のルーティング プロトコルのみを提供しますが、通常、LAN 上の複数の内部ユーザーが単一アドレスを介してインターネットにアクセスできるように NAT 機能があります。

パフォーマンスは制限されていますが、ハードウェアが、ルーティング機能目的で設計されていて、その他の機能が同時に実行されないため、クラス 1 のデバイスよりも優れています。

このクラスのルーターは、小規模オフィス、自宅からインターネットにアクセスして仕事を行う在宅勤務者、または階層的なネットワーク構造のより大きなオフィスに接続する小規模の事業所用に設計されています。ISDN は、データ転送が必要な場合にのみ接続が行われるため、この役割においては非常に一般的になっています。これは、費用の高い WAN リンクが効率的に、費用対効果が高く使用されることを意味します。このクラスのルーターのコストが下がったため、このレベルのルーティングが家庭に導入され、このクラスの最も一般的なルーターは ISDN またはブロードバンド インターネット接続に制限されています。表 6 に、クラス 2 ルーターの機能の要約を示します。

6: クラス 2 - ローエンドの固定構成のルーター

特徴
制限された WAN プロトコル
ハードウェアのアップグレードができない
RIP ルーティング プロトコル、または OSPF
制限されたパフォーマンス
単純な構成が多い
フォールト トレランスなし
ビルトイン スイッチまたはハブ
ビルトイン ファイアウォール
ビルトイン NAT/DHCP 機能
限定された製造元のサポート
コスト - 低

長所

ローエンドの固定構成のルーターの長所は次のとおりです。

  • 経済性
    このクラスのルーターは、パフォーマンスおよび機能が制限されており、また、このレベルでの熾烈な競争があるため、低価格です。これらのルーターには、ハブやスイッチ、およびファイアウォールが組み込まれている場合もあるため、特に、小さなネットワーク ルーターとしては十分な価値があります。

  • 単純な構成
    このクラスのルーターの水準を満たし、制限のあるオプションに対応できるよう、構成は単純な場合が多く、しばしば、ブラウザやグラフィカル インターフェイスを介して構成されます。

  • WAN 接続の範囲
    多くの低コスト ルーターは ISDN または ADSL WAN 接続に制限されていますが、コストは高くなるものの、X25 やフレーム リレーを含むルーターもあります。WAN リンクはルーターの購入時に選択する必要があり、要件が変更されても変更できません。

  • ビルトイン機能
    これらのルーターは、接続したコンピュータに自動的にアドレスを提供する NAT および DHCP を提供します。必要に応じて、4 ポートまたは 8 ポートのハブまたはスイッチを提供することができ、現在では、基本的なファイアウォール機能も同様に組み込むことが多くなっています。ビルトイン ワイヤレス スイッチはますます一般的になってきています。

短所

ローエンドの固定構成のルーターの短所は次のとおりです。

  • 限定されたアップグレード
    このクラスのルーターはハードウェアをアップグレードできませんが、一般的に、そのファームウェアはアップグレードできます。購入時に、WAN 接続、イーサネット ポートの数、およびビルトイン スイッチを選択できますが、これらのオプションは購入後には変更できません。ただし、初期コストが低いため、これらの製品は、今後要件を満たすことができない場合には、容易に廃棄できます。

  • 制限されたパフォーマンス
    これらのルーターのパフォーマンスは制限されています。製造元は、通常、スループットの値を明らかにしませんが、これらのルーターは、ユーザーのアクティビティにもよりますが、一般的には、約 8 人のユーザーに適しています。

  • 限定されたサポート
    多くの場合、このクラスのルーターのサポートは限定されていて、Web サイト、FAQ および電子メールによる連絡を介して、保証のないサービス レベルで提供されます。熾烈な競争が展開されているため、製品のライフ サイクルが非常に短く、モデルは、頻繁に置き換えられます。したがって、結果的に以前のモデルのサポートのレベルが低下します。保証は交換に限定され、しかも指定された期間内に行われる保証はありません。保証期間後にデバイスに障害が発生した場合は、修復しても十分な費用対効果は得られません。サポート レベルは、デバイスの単純さとその購入時の費用節減により十分とみなされる場合があります。

  • 制限された機能および管理機能
    単純なネットワーク用に設計されているため、このクラスのルーターは、管理機能が制限されています。これは、エンタープライズ ネットワークのリモート サイトに使用する場合には弱点となります。また、これらのルーターはルーティング オプションが制限されていて、OSPF ルーティング プロトコルなど、エンタープライズ ユーザーに必須ないくつかの機能を持たない場合があります。

  • 復元性なし
    このクラスのルーターには復元性がありません。

ページのトップへ

クラス 3 - ローエンドの構成変更可能なルーター

ローエンドの構成変更可能なルーターは、ローエンドの固定構成のルーターと同様な機能を提供しますが、組織の要件の変更に伴って拡張できる、アップグレード可能なハードウェアを搭載しています。通常、これらのルーターは異なる種類の WAN 接続または複数の WAN ポートの使用が可能ですが、イーサネット ハブまたはスイッチが組み込まれている場合は、追加のローカル デバイスを接続できます。一般的に、プロセッサをアップグレードせずに最大数のポート拡張をサポートするように設計されているため、固定構成のルーターに比べて、パフォーマンスが優れています。これらのルーターは、アップグレード可能なため、ローエンドの固定構成のルーターよりも高価です。ローエンドの固定構成のルーターと同様に、通常は、ルーティング プロトコルの範囲が制限されています。

これらのルーターは、拡張が見込まれる小規模オフィスや事業所でよく使用されています。初期コストは固定構成のルーターの場合より高くなりますが、以降の拡張はアップグレードにより対処でき、ルーターを取り替える必要がないため、長期的にはコスト削減につながります。ローエンドの構成変更可能なルーターは、通常、ローエンドの固定構成のルーターよりも強力であるため、より大規模なオフィスに対応できます。表 7 に、クラス 3 ルーターの機能の要約を示します。

7: クラス 3 - ローエンドの構成変更可能なルーター

特徴
アップグレード可能
広範な WAN 接続
RIP および OSPF ルーティング プロトコル
VLAN サポート
VoIP サポート
フォールト トレランスなし
ビルトイン スイッチまたはハブ
ビルトイン ファイアウォール
ビルトイン NAT/DHCP 機能
コスト - 低から高

長所

ローエンドの構成変更可能なルーターの長所は次のとおりです。

  • 経済性
    これらのルーターは、クラス 2 ルーターよりも高価ですが、それでも低コストと見なすことができます。つまり、これらのルーターは、より高い値札を正当化する、より多くの機能、優れたパフォーマンス、およびアップグレード性を提供します。

  • 単純な構成
    これらのルーターは一般的に単純なネットワークで使用されるため、通常、グラフィカル構成ツールがあります。より複雑な構成の場合は、コマンドライン システムを使用することができます。

  • 高機能セット
    これらのルーターは、OSPF、VoIP、ファイアウォール、NAT などの高度な機能を持ちます。このため、エンタープライズ ネットワークでのコンポーネントとしての使用に適しています。

  • アップグレード可能
    このクラスのルーターは広範囲の WAN 接続オプションを持ち、購入後に要件が変わる場合には、これらをアップグレードできます。パフォーマンスを向上させるためにメモリをアップグレードすることができ、また追加の機能を導入するためにオペレーティング システムをアップグレードすることができます。

短所

ローエンドの構成変更可能なルーターの短所は次のとおりです。

  • 制限されたパフォーマンス
    製造元はこれらのルーターのパフォーマンスを明らかにしない場合がありますが、このクラスのルーターは、パフォーマンスに制限があります。実際のアクティビティと WAN トラフィックにもよりますが、小規模オフィスまたは小規模の部署向けです。

  • 制限された構成オプション
    このクラスのルーターには優れた機能セットがありますが、より高いクラスのルーターの機能と比較すると、やはり制限されています。

  • 低いスケーラビリティ
    WAN 接続は、一般的に、アップグレードできます (ただし、数に制限がある場合があります) が、LAN ポートの数はアップグレードできません。

  • 復元性なし
    このクラスのルーターは復元機能がわずかにあるか、あるいはまったくありません。

ページのトップへ

クラス 4 - ミッドレンジ ルーター

ミッドレンジ ルーターは、クラス 3 ルーターよりも強力な、ハードウェア拡張機能を提供します。これらのルーターは、光ファイバ ケーブルや銅ケーブル接続と同様、ギガビット イーサネットを含む、高速イーサネット接続を持つ複数の LAN および WAN ポートを提供します。特にバックボーン接続の場合、個々のコンピュータではなく、ルーターやスイッチなどの他のネットワーク デバイスへの接続に、追加のプロトコルを使用できることもあります。これらのルーターは、一般的に、在宅勤務者の個々のコンピュータや、小規模のインターネット サービス プロバイダ (ISP) からの、アナログ モデムまたは ISDN を使用した、ダイヤルイン接続に使用されます。通常、これらのルーターは、同じケーブルを介して音声同時転送およびデータ転送を可能にする VoIP もサポートしています。

ミッドレンジ ルーターには、組み込まれたハードウェアの復元性は制限されているか、ほとんどありませんが、障害が発生した場合にすばやく切り替えることができるデュアル ルーター (プライマリ ルーターとスタンバイ ルーター) およびプロトコルを使用することによって、別の復元方法を提供します。

このクラスのルーターは、中規模の組織、より大規模な事業所のコア ルーターとして、またはより大きなルーターに接続する大規模組織の部署を統合するために使用できます。ダイヤルイン機能は、インターネットを経由せずに組織に直接接続する在宅勤務者によって頻繁に使用されます。これらのルーターは、WAN および LAN 接続に対して優れた柔軟性および拡張機能を提供し、次世代テクノロジにアップグレード可能になるにしたがって、ライフ サイクルが長くなります。表 8 に、クラス 4 ルーターの機能の要約を示します。

8: クラス 4 - ミッドレンジルーター

特徴
アップグレード可能
広範な WAN 接続
パフォーマンス > 40kpps
RIP および OSPF ルーティング プロトコル
VLAN サポート
VoIP サポート
フォールト トレランスなし
ビルトイン ファイアウォール
VRRP 回復プロトコル
ビルトイン NAT/DHCP 機能
VPN サポート
コスト - 低から高

長所

ミッドレンジ ルーターの長所は次のとおりです。

  • パフォーマンス
    このクラスのルーターは、少なくとも 40kbps のスループットを持ち、大規模の事業所または中規模の組織に適した中程度のパフォーマンスのルーターと見なすことができます。

  • 拡張およびスケーラビリティ
    このクラスのルーターは、高い拡張機能を持ち、ポート数の増加や広範な接続タイプに対応できます。

  • フル機能セット
    これらのルーターは、通常、広範囲な WAN 接続、ルーティング プロトコル、NAT、DHCP、ファイアウォール、VLAN、VoIP、VPN などのフル機能セットを搭載しています。

短所

ミッドレンジ ルーターの短所は次のとおりです。

  • 低い復元性
    よりハイエンド クラスのルーターには予備電源がある場合がありますが、これらのデバイスには通常、復元機能が組み込まれていません。よって、これらのルーターは、スタンバイ ルーターが復元機能を提供できるように、VRRP などの冗長ルーティング プロトコルをサポートする必要があります。

  • 低いパフォーマンスとスケーラビリティ
    これらのデバイスには大規模なエンタープライズ環境のコア ルーターとして機能するために必要な性能や接続性がありません。

ページのトップへ

クラス 5 - ハイエンド ルーター

ハイエンド ルーターは、高パフォーマンス、向上した拡張性、非常に高いフォールト トレランス機能、および可用性を提供します。ハードウェア設計は柔軟で、クラス 4 ルーターのような複数の接続オプションを提供します。また、高度な復元性を実現する、複数の電源、複数のプロセッサ、およびその他の機能など、追加のオプションも提供します。

より小さいルーターやスイッチはワークステーション接続に焦点が置かれるのに対し、これらのルーターは、他のネットワーク デバイスに接続して、サイト間の多量のデータを転送する ATM、SONET などの高速プロトコルに非常に重点が置かれています。これらのルーターは非常に用途が広く、多数の WAN および LAN プロトコル、および銅ケーブルや光ファイバ ケーブルを含む異なるハードウェア メディアをサポートしています。表 9 に、クラス 5 ルーターの機能の要約を示します。

9: クラス 5 - ハイエンドルーター

特徴
シャーシベースのユニット
広範な WAN 接続
パフォーマンス > 900 kpps
RIP および OSPF ルーティング プロトコル
VLAN サポート
VoIP サポート
予備電源
冗長エンジン
ビルトイン ファイアウォール
VRRP 回復プロトコル
ビルトイン NAT/DHCP 機能
VPN サポート
コスト - 高

長所

ハイエンド ルーターの長所は次のとおりです。

  • パフォーマンス
    このクラスのルーターは、クラス 4 ルーターの対応するスループットよりもかなり高く、少なくとも 900kbps のスループットを持ちます。そのため、中規模から大規模の組織の WAN ゲートウェイまたはコア ルーターなどの使用に適した高パフォーマンス ルーターと見なすことができます。

  • 拡張およびスケーラビリティ
    シャーシベースのため、クラス 5 ルーターは多数のポートと広範囲な接続タイプに対応する非常に高い拡張機能を持ちます。

  • フル機能セット
    これらのルーターは、通常、広範囲な WAN 接続、ルーティング プロトコル、NAT、DHCP、ファイアウォール、VLAN、VoIP、VPN などのフル機能セットを搭載しています。

  • 復元性
    これらのデバイスには、ホット スワップ可能な予備電源、冗長エンジンなどの復元オプションが組み込まれています。また、これらのデバイスは、スタンバイ ルーターがプライマリ ルーターを監視して、プライマリ ルーターに障害が発生した場合には引き継ぐことができる、VRRP などの予備ルーティング プロトコルもサポートしています。

短所

ハイエンド ルーターの短所は、コストが高いということです。これらのデバイスは、非常に優れたアップグレード機能および復元機能を持つため、導入時の価格は高くなりますが、ポートあたりの価格はシャーシが移植されると、安くなります。

ページのトップへ

クラス 6 - ISP ルーター

ISP ルーターはインターネットのバックボーン上で ISP によって使用されます。これらのルーターはパフォーマンスが非常に優れているため、エンタープライズ環境で使用することもできます。高い可用性、復元性と共に、非常に高いパフォーマンスを提供し、多数のインターネット ユーザーを処理し、インターネット バックボーンへ高速に接続できます。表 10 に、クラス 6 ルーターの機能の要約を示します。

10: クラス 6 - ISP ルーター

00
特徴
シャーシベースのユニット
広範な WAN 接続
広範な LAN 接続
数百万 pps のパフォーマンス
幅広い拡張機能
予備電源
冗長エンジン
コスト - 非常に高

長所

ISP ルーターの長所は次のとおりです。

  • 高いパフォーマンス
    このクラスのルーターは巨大企業、ISP バックボーン、またはエッジ使用向けに設計されています。これらのルーターは非常に高いパフォーマンスを提供します。

  • スケーラビリティ
    これらのルーターはシャーシベースで、広範囲にアップグレードできます。通常、シャーシはブレードごとに複数の接続機能を備え、最高 16 のスロットを搭載することができます。

  • 広範囲な WAN/LAN プロトコル
    このクラスのルーターは、OC-192 などの非常に高速な WAN プロトコルの多くを含む、関連する事実上すべてのプロトコルをサポートしています。

短所

これらのルーターの短所は、コストが高く、構成が複雑になる可能性があることです。

ページのトップへ

セキュリティ

セキュリティは、インターネットからの外部侵入を制御したり、内部ネットワークにアクセスする従業員、その他からの内部侵入を制御するため、ネットワーク設計において非常に重要です。ここでは、考慮する必要のある 4 つの主な保護エリアがあります。

  • スイッチまたはルーターを介した侵入の制御

  • スイッチまたはルーターに対する侵入の制御

  • スイッチまたはルーターに対する管理者アクセスの制御

  • ルーターおよびスイッチの物理的な保護

スイッチおよびルーターは、ネットワークを介してパケットを通過させ、侵害を排除する最初のポイントです。その後に続くのは、より高レベルのフィルタリングを提供するファイアウォールです。このフィルタリングで、ネットワーク デバイス自体に対する攻撃も防止する必要があります。多くのスイッチおよびルーターは再構成可能で、そのため、管理アクセスを行うユーザーを制限するための厳しい規制を導入する必要があります。多くのルーターおよびスイッチには、論理セキュリティを越えて侵入するいくつかのバックドア アクセス方法があります。そのため、これらのデバイスは物理的にこの侵入を防止するためにロックする必要があります。

多くのルーターには、特定の、よく知られた脆弱性があります。これらの脆弱性とその対処方法の詳細を得るために、これらの製造元の Web サイトにアクセスする必要があります。

ページのトップへ

ルーター セキュリティの考慮事項

ルーターは防御の最前線であり、攻撃を受ける最前線でもあります。ルーターはパケット ルーティングを提供します。また、脆弱性が知られているパケット タイプや悪用されるパケット タイプ (ICMP、Simple Network Management Protocol (SNMP) など) の転送を阻止したりフィルタリングするように構成することもできます。ルーターを使用して、ネットワーク間で許可されていなトラフィックや望ましくないトラフィックを遮断する必要があります。ルーター自体も再構成に対して保護が必要なために、安全な管理インターフェイスを使用して最新のソフトウェアの修正プログラムやアップデートを確実に適用する必要があります。

ルーターを管理していない場合は、ルーターでどのような防御メカニズムが機能しているかについて ISP に問い合わせる以外、ネットワーク保護のために実行できることはほとんどありません。

ルーター セキュリティを考慮する場合は、次の構成カテゴリを使用すると便利です。

  • 修正プログラムとアップデート

  • プロトコル

  • 管理アクセス

  • サービス

  • 監査とログ記録

  • 侵入検知

修正プログラムとアップデート

セキュリティの問題やサービス修正プログラムの最新知識を取得できるように、ネットワーク ハードウェアの製造元が提供する警告サービスに加入してください。脆弱性が発見されると (必ず見つかります)、優秀なベンダーは、速やかに修正プログラムを使用できるようにし、電子メールまたは Web サイトを介してアップデートを公開します。アップデートは、運用環境に導入する前に必ずテストしてください。

プロトコル

サービス拒否 (DoS) 攻撃は、多くの場合プロトコル レベルの脆弱性を悪用して、ネットワークを氾濫させたりします。この種の攻撃に対抗するには、次の処理を実行してください。

  • 入口フィルタリングと出口フィルタリングを使用する。

  • 内部ネットワークからの ICMP トラフィックを選別する。

  • トレース ルートを阻止する。

  • ブロードキャスト トラフィックを制御する。

  • 他の不要なトラフィックを遮断する。

入口フィルタリングと出口フィルタリングを使用する

偽装パケットは、知識の豊富な攻撃者が調査、攻撃などの活動を行っている兆候です。ルーターは、送信先アドレスに基づいてパケットを転送し、通常、パケットの作成者のアドレスでない可能性のあるソース アドレスを無視します。内部アドレスの着信パケットは、侵入の試みや調査の兆候になっている場合があるため、そのようなパケットを境界ネットワークに侵入させないようにする必要があります。同様に、発信パケットが有効な内部 IP アドレスを持っている場合にのみ、そのパケットを転送するようにルーターを設定してください。発信パケットを検証してもサービス拒否 (DoS) 攻撃を防御できませんが、そのような攻撃を自身のネットワークから発信しないようにすることはできます。そして、他のネットワークで発信検証を行うと、自身のネットワークがサービス拒否 (DoS) 攻撃を受けないようにすることができます。

この種のフィルタリングでは、発信者をそのオリジナル ソースまで簡単に追跡することもできます。これは、攻撃者が、有効な、しかも正当に到達可能なソース アドレスを使用するためです。詳細については、http://www.rfc-editor.org/rfc/rfc2267.txt の「Network Ingress Filtering: Defeating Denial of Service Attacks Which Employ IP Source Address Spoofing」(英語) を参照してください。

内部ネットワークからの ICMP トラフィックを選別する

ICMP は、IP の最上位に位置し、あるホストから別のホストまでのホスト可用性情報を検証できるステートレス プロトコルです。表 11 に、一般的に使用される ICMP メッセージを示します。

11: 一般的に使用される ICMP メッセージ

メッセージ 説明
エコー要求 (Ping) IP ノード (ホストまたはルーター) がネットワークで使用可能かどうかを検証します。
エコー応答 (Ping 応答) ICMP エコー要求に応答します。
到達不可の宛先 データグラムを配信できないことをホストに通知します。
発信元の抑制 混雑のためデータグラムの送信速度を下げるようにホストに通知します。
リダイレクト 優先ルートをホストに通知します。
時間超過 IP データグラムの存続時間 (TTL: Time To Live) が期限切れになったことを示します。

外部の境界ルーターで ICMP トラフィックを遮断すると、Cascading Ping Floods、他のサービス拒否 (DoS) 攻撃などの攻撃を防御できます。ICMP には、これ以外にもこのプロトコルの遮断を正当化する脆弱性が存在します。ICMP エコー要求、つまり Ping はトラブルシューティングに使用できますが、ネットワーク上のデバイスの検出にも使用できるため、そのまま使用する正当な理由がない限り、無視した方がよいでしょう。Ping は、Ping of Death サービス拒否 (DoS) 攻撃にも使用できるため、遮断する必要があります。

トレース ルートを阻止する

トレース ルートは、ネットワーク トポロジ情報を収集する手段です。この機能は、送信先システムまでの途中にあるデバイスを検出し、データが最適なルートに従って転送されているかどうかの判断に非常に役に立ちます。この機能の実装方法は、製造元によって異なります。たとえば、一部の製造元は、TTL 値が異なる Ping を使用しますが、他は UDP データグラムを使用します。この可変 Ping は、前述のように ICMP メッセージを遮断すると制御できますが、UDP データグラムでは、ICMP メッセージを遮断するために ACL が必要になる場合があります。この種のパケットを遮断すると、攻撃者は目標とするネットワークの詳細を確認できなくなります。

ブロードキャスト トラフィックを制御する

ダイレクテッド ブロードキャスト トラフィックは、ネットワーク上のホストの列挙やサービス拒否 (DoS) 攻撃の手段として使用できます。たとえば、特定のソース アドレスを遮断すると、悪質なエコー要求によるカスケード Ping フラッドを防止できます。表 12 に、フィルタリングする必要があるソース アドレスを示します。

12: フィルタリングする必要があるソースアドレス

ソース アドレス 説明
0.0.0.0/8 Historical broadcast
10.0.0.0/8 RFC 1918 private network
127.0.0.0/8 Loopback
169.254.0.0/16 Link local networks (APIPA addresses)
172.16.0.0/12 RFC 1918 private network
192.0.2.0/24 TEST-NET
192.168.0.0/16 RFC 1918 private network
224.0.0.0/4 Class D multicast
240.0.0.0/5 Class E reserved
248.0.0.0/5 Unallocated
255.255.255.255/32 Broadcast
他の不要なトラフィックを遮断する

インターネットから外部ルーターへの着信トラフィックは、Web サーバーへのアクセスを要求する不明な信頼できないユーザーからのものです。このようなユーザーは IP アドレスおよびポート番号の特定のリストにアクセスしているため、他のポート番号または IP アドレスへのアクセスを制限できます。ほとんどのルーターで使用可能なアクセス制御リストを使用して、適切なアドレスとポートの組み合わせのトラフィックだけを外部ルーターで通過させることができます。これは、他のすべてのアドレスは敵意があるかもしれないことを前提としています。

注: ここで例として挙げているポートは、イーサネット ケーブルを接続する物理ソケットであるスイッチのポート番号とは関係ありません。ここで関係するのは IP アドレス システムです。この場合は、IP アドレスが TCP または UDP ポート番号で拡張されます。たとえば、Web サーバーには一般的にポート 80 が使用されます。つまり、IP アドレスが 192.168.0.1 であるサーバーの Web サービスの完全なアドレスは、192.168.0.1:80 です。

Cisco 社のルーターやスイッチでは、独自のプロトコル Cisco Discovery Protocol (CDP) を使用して、近隣ルーターに関する情報 (モデル番号、オペレーティング システム リビジョン レベルなど) を検出します。ただし、これは、悪質なユーザーが同じ情報を取得できるという、セキュリティの弱点があるため、外部ルーターで CDP を確実に無効にし、またソフトウェアの要求によっては内部のルーターおよびスイッチでも CDP を無効にする必要があります。

管理アクセス

管理目的では、ルーターにどこからアクセスするのでしょう。その答えとして、管理接続を許可するインターフェイスとポート、および管理対象のネットワークまたはホストを決定する必要があります。アクセスを、決定した特定の場所に限定してください。乗っ取られないための暗号化や対策を行わないでインターネット対応の管理インターフェイスを使用できる状態にはしないでください。さらに、次の処理を実行してください。

  • 強固なパスワード ポリシーを適用する。

  • 管理アクセス制御システムを使用する。

  • 未使用のインターフェイスを無効にする。

  • 静的ルートを考慮する。

  • Web ベースの構成をシャットダウンする。

  • サービス

  • 監査とログ記録

  • 侵入検知

  • 物理アクセスを制御する。

強固なパスワード ポリシーを適用する

まず、管理者用のパスワードを追加してください。管理者のパスワードを設定していないために侵入されているシステムが多数あります。次に、複雑なパスワードを使用してください。ブルート フォース パスワード ソフトウェアは、単なる辞書攻撃ではなく、文字が数字で置き換えられている一般的なパスワードを検出できます。たとえば、"p4ssw0rd" がパスワードとして使用されている場合は、それを解読できます。パスワードを作成するときは、必ず大文字と小文字、数字、および記号を組み合わせて使用してください。同様に、ほとんどの場合、管理目的として SNMP が必要になりますが、SNMP のセキュリティは強固であるとは言えません。そのため、構成時にパスワード (コミュニティ文字列) を追加してください。SNMP v3 では、セキュリティが大幅に改善されています。

管理アクセス制御システムを使用する

構成に管理者の名前を組み込むのではなく、管理者の認証にトリプル A システムを使用してください。このシステムは、管理者の身元や権限を管理し、管理者の操作をログに記録します。トリプル A とは、次の 3 つの A を意味します。

  • 認証 (Authentication):
    ユーザーを識別して検証するプロセス。さまざまな方法を使用してユーザーを認証できますが、最も一般的なものは、ユーザー名とパスワードの組み合わせです。

  • 承認 (Authorization):
    認証されたユーザーのアクセスおよび実行を許可するプロセス。

  • アカウンティング (Accounting):
    デバイスに対する実行中または実行済みのユーザー操作を記録すること。

    トリプル A システムは、管理者が最初にログオンするときに、管理者を認証するために中央サーバーで保持されているデータベースを参照し、管理者の接続セッション中の操作を制御します。トリプル A の主な長所の 1 つはセキュリティ情報の集中化であり、各デバイスに対する個々のログオンを設定しなくても、1 回のログオンですべてのネットワーク デバイスへの管理者のアクセスが制御されます。

    所有権の存在しないトリプル A システムには、次の 2 つがあります。

    • RADIUS (Remote Authentication Dial-in User Service)

    • Kerberos

    非常に普及しているもう 1 つのトリプル A システムは TACACS+ ですが、これは Cisco 社独自のシステムであるため、Cisco 社のデバイスに対するアクセスのみを制御します。

未使用インターフェイスを無効にする

必要なインターフェイスのみをルーター上で有効にする必要があります。未使用のインターフェイスは監視も制御もされず、おそらく更新もされません。このため、このようなインターフェイスに対する未知の攻撃が発生する可能性があります。通常、Telnet は管理アクセスに使用されるため、使用可能な Telnet セッション数を制限し、一定の時間使用されなければセッションを確実に閉じるようにタイムアウトを使用します。

静的ルートを考慮する

静的ルートでは、特別に形成されたパケットによるルーターのルーティング テーブルの変更ができなくなります。攻撃者は、サービス拒否 (DoS) を発生させたり、認証できないサーバーに要求を転送したりするために、ルーティング プロトコル メッセージをシミュレートしてルートを変更しようとすることがあります。静的ルートを使用すると、管理インターフェイスは、最初にルーティングが変更される危険にさらされます。しかし、静的ルートは固定であるため、リンクに失敗すると、ルーターが自動的に別のルートに切り替えることはありません。また、静的ルートでは、複雑な構成が必要になる場合もあります。

Web ベースの構成をシャットダウンする

コマンド ライン モードと同様に、組み込みの Web サーバーでルーターの構成にアクセスできるようになっている場合、TCP/IP セキュリティの弱点が多くなるという傾向があるので、Web サービスを無効にしてください。

サービス

実装されたルーターの開いているすべてのポートは、リスニング サービスに関連付けられます。攻撃を受ける危険性を低減させるには、不要な既定のサービスをシャットダウンする必要があります。たとえば、bootps や Finger が必要とされることはほとんどありません。ルーターをスキャンして、開いているポートを検出する必要もあります。

監査とログ記録

ほとんどのルーターはログ記録機能を備えており、侵入の試みを示すすべての拒否操作をログに記録できます。最新のルーターでは、ログに記録されたデータに基づいて重要度を設定する機能を含む、一連のログ記録機能を備えています。監査スケジュールを確立して、侵入や調査が行われていないかどうかを定期的に監査し、ログを確認してください。

侵入検知

ルーターに TCP/IP 攻撃を防止する適切な制限を設定することで、ルーターは、攻撃が行われている段階で攻撃を認識し、システム管理者に通知できるようにする必要があります。

攻撃者は、セキュリティ優先順位がどのようになっているかを確認して、それに対処しようとします。侵入検知システム (IDS) では、攻撃者が攻撃を試みている場所を示すことができます。

物理アクセスを制御する

前述のように、ほとんどのルーターは、攻撃者がデバイスに物理的にアクセスできる場合は攻撃を受けやすくなります。これは通常、攻撃者がバックドア アクセスという方法を使用して既存の構成を上書きするためです。そのため、アクセスが制限されている場所にルーターを配置してください。

ページのトップへ

スイッチ セキュリティの考慮事項

ルーターと同様に、スイッチも再構成に対して保護しておく必要があります。安全な管理インターフェイスを使用し、そのインターフェイスに最新のソフトウェア修正プログラムやアップデートを確実に適用して、管理アクセスを制御し、物理的なセキュリティを提供する必要があります。

ルーターがインターネットに対する最初の防御点であるため、スイッチ セキュリティはルーターに比べ、軽視される傾向がありますが、http://www.cisco.com (英語) に特に有用な文書があります。

この文書では、いくつかの有名なスイッチの脆弱性と対応方法を考察しています。

ルーター向けに定義されているセキュリティ概念の多く (管理アクセスの制御など) は、スイッチにも適用できます。スイッチは、IP パケットではなくイーサネット フレームのみを処理するため、予想外の IP 侵入は制御できませんが、スイッチは常に、ファイアウォール機能を備えたルーターまたはファイアウォールの内側にあるので、この制御は不要です。

次の構成カテゴリを使用すると、安全なスイッチ構成を確認しやすくなります。

  • 修正プログラムとアップデート

  • VLAN

  • 管理アクセス制御システムを使用する。

  • 未使用のポートを無効にする。

  • サービス

  • 暗号化

修正プログラムとアップデート

修正プログラムおよびアップデートは、使用可能になり次第インストールしてテストする必要があります。

VLAN

仮想 LAN を使用して、ネットワーク セグメントを分離し、セキュリティ規則に基づいてアクセス制御を適用できます。ACL のない VLAN では、アクセスを同じ VLAN のメンバに制限する第 1 レベルのセキュリティを提供します。ただし、通常は VLAN 間のトラフィックが必要ですが、これは IP サブネット間のルーター ルーティング トラフィックで提供されます。また、このトラフィックは ACL を使用して制御できます。

VLAN 間の ACL では、ネットワークのさまざまなセグメント間のトラフィック フローが制限されます。一般的に、このフィルタリングには、多くの専用ファイアウォール デバイスが実行するステートフル パケット検査やアプリケーション レイヤのプロキシ処理ではなく、単純な静的パケット フィルタが使用されます。

VLAN 間で ACL を使用すると、中間レベルの保護を提供するためにエンタープライズ環境内から内部の侵入が遮断されますが、外部からの侵入は外部ネットワークで既に遮断されています。ファイアウォール フィルタリングの他に、セキュリティの追加レイヤとして VLAN ACL を実装することもできます。VLAN で ACL を実装した場合の短所は、パフォーマンスに影響する可能性があるという点と適切かつ効率的に構成する必要があるという点です。

管理アクセス制御システムを使用する

ルーターの場合と同じ方法でスイッチに対する管理アクセスを制御します。

未使用のポートを無効にする

スイッチのイーサネット ポートで未使用のものを無効にする必要があります。これは、ハッカーが未使用のポートに接続しないようにするためです。

サービス

未使用のすべてのサービスが無効になっていることを確認します。また、Trivial File Transfer Protocol (TFTP) が無効で、インターネット対応の管理ポイントが削除され、ACL が管理アクセスを制限するように構成されていることも確認してください。

暗号化

暗号化はもともとスイッチに導入されていませんが、ケーブルに流れるデータを暗号化してください。データを暗号化すると、モニタが同じスイッチ接続セグメントに配置されている場合やセグメントをまたがってパケットを盗聴できるということによりスイッチが危険な状態にある場合に、盗聴されたパケットがまったく役に立たなくなります。

ページのトップへ

安全なネットワークのスナップショット

表 13 に、安全なネットワークの特徴のスナップショットを示します。セキュリティ設定は、業界のセキュリティ専門家および安全に展開されている現実のアプリケーションから得たものです。独自のソリューションを評価する場合に、基準点としてこのスナップショットを使用できます。

13: 安全なネットワークのスナップショット

コンポーネント 特徴
ルーター  
修正プログラムとアップデート ルーター オペレーティング システムが最新のソフトウェアで修正されます。
プロトコル 未使用のプロトコルおよびポートは遮断されます。
入力フィルタリングと出力フィルタリングが実装されます。
ICMP トラフィックは内部ネットワークから選別されます。
トレース ルートは無効化されます。
ダイレクテッド ブロードキャスト トラフィックは転送されません。
大きい Ping パケットが選別されます。
RIP パケットが使用されている場合、そのパケットは最も外部のルーターで遮断されます。
静的ルーティングが使用されます。
管理アクセス 強固な管理パスワード ポリシーが実施されます。
管理アクセス制御システムを使用します。
ルーターの未使用の管理インターフェイスは無効化されます。
Web ベースの管理は無効化されます。
サービス 未使用のサービス (bootps、Finger など) は無効化されます。
監査とログ記録 ログ記録は、拒否されたすべてのトラフィックに対して有効化されます。
ログは一元的に格納され、保護されます。
異常なパターンのログに対する監査が実施されます。
侵入検知 IDS がアクティブな攻撃の識別と通知を実施します。
物理アクセス 物理アクセスを制限します。
スイッチ  
修正プログラムとアップデート 最新のセキュリティ修正プログラムのテストとインストールが行われるか、既知の脆弱性に基づく脅威が軽減されます。
VLAN VLAN および ACL を使用します。
未使用のポートの無効化 未使用のイーサネット ポートを無効にします。
サービス 未使用のサービスは無効化されます。
暗号化 スイッチ接続のトラフィックが暗号化されます。
その他  
ログの同期 ログ記録機能を備えたデバイスのすべてのクロックで同期がとられます。
ネットワークへの管理アクセス Kerberos または RADIUS が管理ユーザーの認証に使用されます。
ネットワーク ACL ACL をホストおよびネットワークに設定できるようにネットワークが構築されます。

ページのトップへ

要約

このモジュールでは、ネットワーク設計エンジニアが、エンタープライズ ネットワーク アーキテクチャの要件を満たすデバイスを選択する際に役立つ情報とオプションを説明しました。このモジュールでは、適切なデバイスを選択するプロセスという点からデバイス設計の概要について説明しました。

このモジュールで定義されている設計プロセスには、必要なレベルのサービスに応じた適切なクラスのデバイスの選択などがあります。さらに、デバイスを確実に組織のネットワーク要員がサポートできるように、また既に実施されている可能性のあるネットワーク管理ソリューションで管理できるように、適切なオプションを選択することが重要です。このガイドの目的は、組織のネットワーク アーキテクチャに適合するデバイス仕様を生成して、完全なネットワークの設計および導入を可能にすることです。

ページのトップへ

その他の情報

関連する規格については、次のサイトを参照してください。

  • IETF (Internet Engineering Task Force) Request for Comments (RFC) の IP の規格については、http://www.ietf.org/rfc.html (英語) を参照してください。

  • IEEE (Institute of Electrical and Electronics Engineers, Inc.) のイーサネット規格については、http://standards.ieee.org/getieee802/ (英語) を参照してください。

関連するセキュリティ情報については、各種ルーターやスイッチの製造元がネットワークの保護のための推奨事項を公開しています。この情報は一般に、製品を単独に使用する場合ではなく、すべてのネットワークに適用できる優れた方法として解釈できます。次のサイトを参照してください。

ページのトップへ