著者について: クラウド コンピューティング ネットワークの運用保守担当者。ネットワークと運用保守の技術と乾物を日々共有しています。
座右の銘:頭を下げて道を急ぎ、礼儀正しく
個人ホームページ:Netdouのホームページ
目次
序文
この章では、ローカルエリアネットワークにおけるデータリンク層のセキュリティプロトコルについて説明します。
1. LANデータリンク層セキュリティプロトコル
IEEE802 LAN規格のうち、LANのセキュリティに関するプロトコル規格には主に802.10と802.1qがあります。
1.IEEE 802.10
IEEE802.10規格は、IEEE802.10規格セキュリティワーキンググループによって策定されたLANのセキュリティ規格であり、暗号化や認証などのセキュリティ機構によりLAN上でのデータ交換の機密性や完全性を確保することを目的としています。
IEEE802.10 標準は、もともとセキュリティ上の理由から提案されたフレーム ラベル形式でした。1995 年に Cisco Corporation が IEEE802.10 プロトコルの使用を提唱しましたが、それ以前は IEEE802.10 が VLAN セキュリティの統一仕様として世界中で使用されていました。
シスコは、ネットワーク上のフレーム タグ(フレーム タギング)モードで必要な VLAN タグを送信するために、最適化された IEEE802.10 フレーム形式を採用しようとしています。
(1) IEEE802.10のフレームフォーマット
IEEE802.10 標準は、通常 Secure Data Exchange (SDE) PDU と呼ばれ、802.10 ヘッダーとも呼ばれる単一のプロトコル データ ユニットを定義します。これにより、MAC アドレス フレーム ヘッダーとデータ領域の間に 802.10 ヘッダーが挿入されます。
IEEE802.10 標準では、安全なデータ交換のためのプロトコル データ ユニットが定義されており、フレーム ヘッダーと MAC フレームのデータ ドメインの間に 802.10 フレーム ヘッダーが挿入されます。そのフォーマットを図に示します。
IEEE 802.10 フレーム ヘッダーは、CH (Clear Header) と PH (Protected Header) と呼ばれる 2 つの部分で構成されます。
CH には、PDU の処理を容易にするセキュリティ アソシエーション識別子 (SAID) フィールドとオプションの管理定義フィールド (MDF) が含まれています。
PH には、アドレス認証機能をサポートし、他のノードが送信元ノードになりすますのを防ぐために、MAC ヘッダーの送信元アドレス フィールドからコピーされる送信元アドレス フィールドが含まれています。
LAN では、各 MAC フレームにフレーム チェック シーケンス (FCS) フィールドがあり、MAC フレームの正確性と完全性をチェックするために使用されます。通常、FCS では 32 ビットの巡回冗長検査コードが使用されます。したがって、各 MAC プロトコル自体には、特定のデータ整合性チェック機能があります。
IEEE802.10 Integrity Check Value (ICV) フィールドは、内部データの不正な変更を防止するためのデータ整合性チェックに使用されます。データの機密性を確保するため、PHとICV間のデータを暗号化することができますが、データを暗号化するとネットワーク伝送機器(スイッチなど)のスループットが低下し、LANのパフォーマンスが低下するため、IEEE802.10プロトコル データ暗号化はオプションであり、必須ではありません。
(2) IEEE802.10のアプリケーションモード
IEEE802.10 プロトコルの本来の目的は、相互運用可能な LAN セキュリティ標準を策定することでしたが、業界からの反応やサポートは得られませんでした。
その後、一部のメーカーは、仮想ローカル エリア ネットワーク (VLAN) テクノロジを開発する際に、データ フローが属する VLAN を識別するための VLAN 識別子として IEEE802.10 ヘッダーの SAID フィールドを使用しました。このように、VLAN に IEEE802.10 プロトコルが適用され、アプリケーション モードのトポロジが図に示されています。
VLAN は、ローカル エリア ネットワークの物理構造上でトラフィック分散を制御することによって形成される論理ネットワークを指します。VLAN 対応 LAN では、一定の方式とルールに従って複数の VLAN を構築することができ、VLAN 内のトラフィックはその VLAN 内に制限され、他の VLAN には流れません。このように、VLAN は論理的に互いに分離されており、VLAN 間の相互通信はブリッジなどのデバイスを介して実現する必要があります。
したがって、VLAN を介したローカル エリア ネットワークでは、ある程度のデータ交換のセキュリティが保証されます。通常、VLAN は LAN スイッチのサポートによって実装され、LAN スイッチは標準化された VLAN プロトコルを通じて VLAN の定義および管理機能を提供します。
IEEE802.10 ヘッダーの SAID フィールドを VLAN 識別子として使用するため、可変長のデータ フレームの実装においていくつかの問題が発生します。さらに、さまざまな製造元によって定義されている VLAN 識別子の形式と長さは統一されていないため、異なる製造元の VLAN デバイス間で互換性の問題が発生します。
その後、IEEE802.10 プロトコルが改訂され、IEEE802.1q などの新しい VLAN 規格がさらに改良され、業界で広く使用されました。
2.IEEE 802.1q
初期の VLAN はネットワーク間で実装することが難しく、各 VLAN は各スイッチ上で手動で構成されていました。VLAN 管理は、拡張ネットワークにおける非常に複雑なタスクです。
さらなる管理のために、各スイッチ ベンダーは異なるアプローチを採用しています。この問題を解決するために、VL.AN トランク テクノロジーが開発されました。VLAN の VLAN は、組織内の複数の VLAN の定義をサポートするために、フレーム内に特定のラベルを追加することで所属 VLAN を区別します。
VL.AN の幹線は標準化された技術であり、IEEE802.1q の幹線プロトコルは広く実装されている標準です。
図 2 は、異なる Cisco スイッチ間の IEEE802.1g トランクを示しています。
IEEE802.1q規格は、1996年3月に策定されました。VLANグループメンバー間で送信される物理フレームには、フレームヘッダに4バイトのVLAN情報を付加する必要があることや、フレームの送信と検証、ループ検出、通信に関する規格などについて規定されています。サービス品質パラメータのサポートとネットワーク管理システムのサポート。
IEEE802.1q 標準には、VLAN アーキテクチャの記述、異なる機器メーカーが製造した異なる機器間で VLAN 情報を交換するための改良された LAN 物理フレーム標準、および VLAN 標準の将来の開発見通しという 3 つの側面が含まれています。
IEEE802.1q 標準は、VLAN とスイッチド ネットワークにおけるそのアプリケーションの明確な定義を提供します。
この規格のリリースにより、さまざまなメーカーの製品の相互運用性が保証され、業界で広く推進され、VLAN 開発の歴史におけるマイルストーンとなりました。
IEEE802.1qの登場は、一メーカー依存のVLANの行き詰まりを打破し、VLANの急速な発展を一面から推進しました。
IEEE802.1q 標準は、VLAN アーキテクチャをさらに改善し、統一された VLAN タグ形式を規定しています。
VLANに関するプロトコルには以下の内容もあります。
- IEEE802.1p: VLAN 内のデータ ストリームとダイナミック マルチキャスト サービスの優先順位マーキングを定義し、8 つの優先順位を定義することでさまざまなデータ送信サービス レベル (サービス クラス、CoS) をサポートします。
- IEEE802.ld: レイヤ 2 スイッチの技術的基礎とプロトコル標準を定義します。
- IEEE802.1p/g は同じプロトコル セットに属し、同じフォーマットを使用しており、図 2-5 に示すように、従来のイーサネット フレーム フォーマットに 2 バイトを占めるタグ (Tag) フィールドが挿入されます。
この図では、 IEEE802.1p は 3 ビットを占め、8 つの優先度を定義し、IEEE802.1q は 12 ビットを占め、データ フローが属する VLAN を識別するためのVLAN 識別子を定義します。
VLAN 識別子は合計 12 ビットなので、LAN は最大4096 個の VLANに分割できます。
VLAN は、LAN 通信のセキュリティを提供するだけでなく、LAN 内のノードの移行操作も簡素化します。ノードの物理的な場所を変更せずに、ある VLAN から別の VLAN にノードを移行できるだけでなく、統合 VLAN を変更せずにノードを新しい物理的な場所に移動することもできます。これらすべての操作は、スイッチに設定された VLAN 管理ソフトウェアを通じて簡単に実現できます。
作成は簡単ではありません、注意してください、いいね、収集、ありがとう~