| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
Oracle Solaris 管理: ネットワークインタフェースとネットワーク仮想化 Oracle Solaris 11 Information Library (日本語) |
| ナビゲーションリンクをスキップ | |
| 印刷ビューの終了 | |
|
|
Oracle Solaris 管理: ネットワークインタフェースとネットワーク仮想化 Oracle Solaris 11 Information Library (日本語) |
この Oracle Solaris リリースでのネットワーク構成
7. プロファイルでのデータリンクおよびインタフェース構成コマンドの使用
10. Oracle Solaris 上での無線インタフェース通信の構成
Triple-DES を参照してください。
Advanced Encryption Standard の略。対称 128 ビットブロックのデータ暗号技術。2000 年の 10 月、米国政府は暗号化標準としてこのアルゴリズムの Rijndael 方式を採用しました。AES は DES に代わる米国政府の標準として採用されています。
32 ビットから 448 ビットまでの可変長キーの対称ブロックの暗号化アルゴリズム。その作成者である Bruce Schneier 氏は、鍵を頻繁に変更しないアプリケーションに効果的であると述べています。
認証局 (CA) を参照してください。
IPMP グループ内でデータの発信元アドレスとして使用することのできない IP アドレス。通常、IPMP の検査用 IP アドレスは DEPRECATED アドレスです。ただし、任意のアドレスに DEPRECATED のマークを付けて、そのアドレスが発信元アドレスとして使用されることを防止できます。
Data Encryption Standard。1975 年に開発され、1981 年に ANSI X.3.92 として ANSI で標準化された対称鍵の暗号化方式。DES では 56 ビットの鍵を使用します。
公開鍵暗号化としても知られています。1976 年に Diffie 氏と Hellman 氏が開発した非対称暗号鍵協定プロトコルです。このプロトコルを使用すると、セキュリティー保護されていない伝達手段で、事前の秘密情報がなくても 2 人のユーザーが秘密鍵を交換できます。Diffie-Hellman は、IKE プロトコルで使用されます。
IP ネットワークで差別化サービスを実装するための IETF (Internet Engineering Task Force) のアーキテクチャー標準。主なモジュールとして、クラシファイア、メーター、マーカー、スケジューラ、およびドロッパがあります。IPQoS では、クラシファイア、メーター、およびマーカーの各モジュールを実装します。diffserv モデルについては、RFC 2475 ( An Architecture for Differentiated Services) に解説されています。
デジタル署名アルゴリズム。512 ビットから 4096 ビットまでの可変長キーの公開鍵アルゴリズム。米国政府標準である DSS は最大 1024 ビットです。この場合、DSA では入力に SHA-1 を使用します。
IP ヘッダーの DS フィールドに含まれていて、パケットの転送方法を指示する 6 ビットの値。
IP ヘッダーを参照してください。
メッセージ認証を行うためのキー付きハッシュ方法。HMAC は秘密鍵認証アルゴリズムの 1 つです。HMAC は秘密共有鍵と併用して、MD5 、SHA-1 などの繰り返し暗号化のハッシュ関数で使用します。HMAC の暗号の強さは、基になるハッシュ関数のプロパティーによって異なります。
インターネット制御メッセージプロトコル (Internet Control Message Protocol)。エラーの処理や制御メッセージの交換に使用されます。
応答を促すためにインターネット上のマシンに送信されるメッセージ。そのようなパケットは一般に “ping” パケットといわれています。
インターネットキー交換。IPsec セキュリティーアソシエーション (SA) 用の認証された鍵情報の供給を自動化します。
インターネットプロトコル (IP)、IPv4、IPv6 を参照してください。
IP マルチパスグループ。ネットワークの可用性と利用率を向上させるために相互に入れ替え可能なものとしてシステムで扱われる、一連のネットワークインタフェースと一連のデータアドレスで構成されます。IPMP グループは、そのすべての IP インタフェースとデータアドレスも含めて、IPMP インタフェースによって表されます。
diffserv モデル 標準に加えて、仮想 LAN に対するフローアカウンティングや 802.1 D マーカーの実装を行うソフトウェア機能。IPQoS を使用すると、IPQoS 構成ファイル内に定義したとおりに、さまざまなレベルのネットワークサービスを顧客やアプリケーションに提供できます。
IP セキュリティー。IP データグラムを保護するためのセキュリティーアーキテクチャー。
インターネットプロトコルのバージョン 4。単に IP と呼ばれることもあります。このバージョンは 32 ビットのアドレス空間をサポートしています。
インターネットプロトコルのバージョン 6。128 ビットのアドレス空間をサポートしています。
TCP/IP はしばしば「スタック」と呼ばれます。データ交換のクライアントエンドとサーバーエンドですべてのデータが通過する層 (TCP、IP、場合によってはそのほかを含む) のことを意味します。
IP 経由で転送される情報パケット。IP データグラムはヘッダーとデータを含みます。ヘッダーにはデータグラムのソースと宛先のアドレスが含まれます。ヘッダーのその他のフィールドには、複数のデータグラムを宛先で識別し、再結合するための情報が含まれます。
IP パケット内で IP パケットをトンネリングするためのメカニズム。
インターネットパケットを固有に識別する 20 バイトのデータ。ヘッダーには、パケットの発信元と着信先のアドレスが含まれています。さらに、ヘッダー内のオプションによって、新しいバイトを追加できます。
リンク層でノード間の通信に使用される通信設備や通信メディア。リンク層とは IPv4 および IPv6 のすぐ下の層です。例としては、Ethernet (ブリッジされたものも含む) や ATM ネットワークなどがあります。1 つまたは複数の IPv4 サブネット番号またはネットワーク接頭辞が IP リンクに割り当てられます。同じサブネット番号またはネットワーク接頭辞を複数の IP リンクに割り当てることはできません。ATM LANE では、IP リンクは 1 つのエミュレートされた LAN です。ARP を使用する場合、ARP プロトコルの有効範囲は単一の IP リンクです。
デジタル署名などのメッセージ認証に使用する繰り返し暗号化のハッシュ関数。1991 年に Rivest 氏によって開発されました。
最大転送単位。リンクに転送できるサイズ (オクテット単位)。たとえば、Ethernet の MTU は 1500 オクテットです。
ネットワークアドレス変換を参照してください。
PFS では、データ伝送を保護するために使用されるキーが、追加のキーを導き出すために使用されることはありません。さらに、データ伝送を保護するために使用されるキーのソースが、追加のキーを導き出すために使用されることはありません。
PFS は認証されたキー交換だけに適用されます。Diffie-Hellman プロトコルも参照してください。
Public Key Infrastructure。インターネットトランザクションに関係する各関係者の有効性を確認および承認する、デジタル署名、認証局、ほかの登録機関のシステム。
デジタル署名と公開鍵暗号化システムを取得するための方法。その開発者である Rivest 氏、Shamir 氏、Adleman 氏によって 1978 年に最初に公開されました。
セキュリティーアソシエーション (SA)を参照してください。
セキュリティーアソシエーションデータベース。暗号化鍵と暗号化アルゴリズムを指定するテーブル。鍵とアルゴリズムは、安全なデータ転送で使用されます。
「ストリーム制御転送プロトコル」を参照してください。
セキュリティー保護されたハッシュアルゴリズム。メッセージ要約を作成するために 264 文字以下の長さを入力するときに操作します。SHA-1 アルゴリズムは DSA に入力されます。
リモートロケーションから IP ブロードキャストアドレス または複数のブロードキャストアドレスに向けられた ICMP echo request パケットを使用して、深刻なネットワークの輻輳や中断を引き起こすこと。
セキュリティーポリシーデータベース (SPD) を参照してください。
セキュリティーパラメータインデックス (SPI) を参照してください。
TCP/IP (伝送制御プロトコル/インターネットプロトコル) は、インターネットの基本的な通信言語またはプロトコルです。プリベートネットワーク (イントラネットやエクストラネット) の通信プロトコルとしても使用されます。
Triple-Data Encryption Standard。対称鍵暗号化システムの 1 つ。Triple-DES ではキーの長さとして 168 ビットが必要です。Triple-DES を「3DES」と表記することもあります。
インターネットを介してデータをあるコンピュータから別のコンピュータに送信するための方法またはプロトコル。
(一般的に別のノードに属する) インタフェースグループに割り当てられる IPv6 アドレス。エニーキャストアドレスに送られたパケットは、そのアドレスを持つ、プロトコルに基づき「最も近い」インタフェースに配送されます。パケットの経路制御は、経路制御プロトコルの距離測定に応じて決定されます。
同じエニーキャスト IPv6 アドレスからなるインタフェースグループ。IPv6 の Oracle Solaris 実装は、エニーキャストアドレスやグループの作成をサポートしていません。ただし、Oracle Solaris IPv6 ノードはトラフィックをエニーキャストグループに送信できます。
データ形式や、ネットワークトラフィック交換タイプ、セキュリティー関連情報の命名規約を定義します。セキュリティー関連情報の例としては、セキュリティーポリシーや、暗号化アルゴリズム、暗号化モードなどがあります。
障害の発生後、NIC や NIC からレイヤー 3 デバイスへの経路が、正しく動作し始めたことを検出する処理。
セキュリティーアソシエーション (SA) を管理する方法。
IP プロトコルスタックの Ethernet (データリンク) レベルでトラフィック転送を行うネットワークインタフェース。
ソフトウェアおよびハードウェアのネットワークリソースとネットワーク機能を組み合わせたもの。単一のソフトウェアエンティティーとしてまとめて管理されます。「内部」仮想ネットワークは、ネットワークリソースを単一のシステムに統合したもので、「ワンボックスネットワーク (network in a box)」と呼ばれることもあります。
物理的なネットワークインタフェースで構成されているかどうかに関係なく、仮想ネットワーク接続を提供する擬似インタフェース。排他的 IP ゾーンや xVM ドメインなどのコンテナが VNIC 上に構成されて、仮想ネットワークを形成します。
インターネットのような公共ネットワーク内でトンネルを利用する、単独の、安全で論理的なネットワーク。
ヘッダーとペイロードを 1 番目のパケット内に配置し、そのパケットを 2 番目のパケットのペイロード内に配置すること。
データグラムに対して認証と完全性を提供する拡張ヘッダー。ESP は、IP セキュリティーアーキテクチャー (IPsec) の 5 つのコンポーネントの 1 つです。
管理者がストレージ領域 (つまり、キーストア) に与える、ネットワークインタフェースカード (NIC) 上の名前。キーストア名は、「トークン」、「トークン ID」とも呼ばれます。
モバイルノードの気付アドレスで始まり、ホームエージェントで終わるトンネル。
接続されているリンク上にあるほかのホストをホストが特定できるようにするための IP メカニズム。
近傍要請メッセージに対する応答、またはデータリンク層アドレスの変更を通知するために、ノードが自発的に近傍通知メッセージを送ること。
近傍のリンク層アドレスを決定するために、ノードによって送信される要請。また、キャッシュされたリンク層アドレスによって近傍が到達可能であるかを確認します。
IPQoS では、似たような特性を共有するネットワークフローのグループ。クラスは、IPQoS 構成ファイル内に定義します。
ネットワーククラス (クラス A、B、C) に基づかない IPv4 アドレス形式。CIDR アドレスの長さは 32 ビットです。標準的な IPv4 10 進ドット表記形式にネットワーク接頭辞を付加したものを使用します。この接頭辞はネットワーク番号とネットワークマスクを定義します。
トラフィックの計測結果に基づいて実行されるアクション。IPQoS メーターには、赤、黄、および緑の 3 種類の結果 (outcome) があり、IPQoS 構成ファイル内に定義されます。
IPMP グループ内の IP アドレスで、検査信号用の発信元アドレスまたは宛先アドレスとして使用する必要があり、データトラフィック用の発信元アドレスまたは宛先アドレスとして使用してはならないもの。
2 つの鍵を使用する暗号化システム。公開鍵はだれでも知ることができます。非公開鍵は、メッセージの受信者だけが知っています。IKE により、IPsec の公開鍵が提供されます。
IPsec では、パケットが侵入者によって捕捉されるような攻撃のこと。格納されたパケットは、あとで元のパケットを置き換えるか繰り返します。そのような攻撃を防止するために、パケットを保護している秘密鍵が存在している間、値が増加を続けるフィールドをパケットに含めることができます。
ホームエージェント、外来エージェント、およびモバイルノードによってサポートされる任意の形態の IPv4 内 IPv4 トンネリング。最小カプセル化は、IP 内 IP カプセル化よりも 8 ないし 12 バイト少ないオーバヘッドしか持ちません。
単一サイト上でアドレスを指定するために使用します。
ホストが、サイト接頭辞とローカル MAC アドレスからその IPv6 アドレスを自動的に設定する処理。
インタフェースや、インタフェースからインターネット層デバイスまでのパスが動作していないことを検出する処理。IP ネットワークマルチパス (IPMP) には、障害検出のタイプとして、リンクベース (デフォルト) と検証ベース (オプション) があります。
CA が無効とした公開鍵証明書のリスト。CRL は、IKE を使用して管理される CRL データベースに格納されます。
IP スタックを参照してください。
アクティブな接続の状態を監視し、そこから得た情報を使ってパケットフィルタを通過させるネットワークパケットを決めるファイアウォール。要求と応答を追跡、照合することによって、ステートフルパケットフィルタは、要求と一致しない応答を選別できます。
ホストがそれ自身の IPv6 アドレスを生成する処理。その生成は、ホスト自身の MAC アドレスと、ローカル IPv6 ルーターによって表明される IPv6 接頭辞を結合することによって行われます。
TCP と似た方法で接続指向の通信を行う転送層プロトコル。さらに、このプロトコルは、接続のエンドポイントの 1 つが複数の IP アドレスをもつことができる複数ホーム機能をサポートします。
コンピュータに不正にアクセスするために、メッセージが、信頼されるホストから来たかのように見える IP アドレスを使ってコンピュータにメッセージを送信すること。IP のなりすましを行うために、ハッカーはまず、さまざまなテクニックを使って、信頼されるホストの IP アドレスを見つけ、次にパケットヘッダーを変更します。それによって、パケットは、そのホストから来たかのように見えます。
1 つのホストから 2 つめのホストにセキュリティー属性を指定するアソシエーション。
受信したパケットを復号化するために使用する、SADB (セキュリティーアソシエーションデータベース) 内の行を特定する整数値。
パケットにどのレベルの保護を適用するかを指定するデータベース。SPD は、IP トラフィックをフィルタして、パケットを破棄すべきか、検証済みとして通過させるべきか、IPsec で保護すべきかを決めます。
ネットワークストリームからトラフィックを選択するために、特定クラスのパケットに適用される条件を具体的に定義する要素。セレクタは、IPQoS 構成ファイル内のフィルタ句に定義します。
インターネット経由で経路制御ができない IP アドレス。プライベートアドレスは、インターネット接続を必要としない社内ネットワークのホストで使用できます。このようなアドレスはAddress Allocation for Private Internets で定義され、しばしば "1918" アドレスと呼ばれます。
双方向にデータグラムを送信するトンネル。
グループ内のほかの物理インタフェースに障害が発生するまでデータの伝送には使用されない物理インタフェース。
メッセージの送信側と受信側が 1 つの共通鍵を共有する暗号化システム。この共通鍵は、メッセージを暗号化および復号化するために使用されます。対称鍵は、IPsec での大量データ転送の暗号化に使用します。対称鍵システムの一例として DES があります。
データの発信元アドレスまたは宛先アドレスとして使用できる IP アドレス。データアドレスは IPMP グループの一部であり、グループ内の任意のインタフェース上でトラフィックの送受信に使用できます。さらに、IPMP グループ内の 1 つのインタフェースが機能している場合は、IPMP グループのデータアドレスのセットを継続的に使用することができます。
IP データグラムを参照してください。
送信側を一意に識別する、電子的に転送されたメッセージに添付されるデジタルコード。
IPv4 と IPv6 に関するネットワーク層の TCP/IP プロトコルスタック。このスタック以外は同一です。Oracle Solaris のインストール時に IPv6 を使用可能にすると、ホストはデュアルスタックバージョンの TCP/IP を受け取ります。
コンピュータネットワーク上で盗聴すること。普通のテキストによるパスワードなどの情報をネットワークから自動的に選別するプログラムの一部としてしばしば使用されます。
進行中の操作にほとんど、またはまったく影響を与えることなく、システムを実行しながらシステムを再構成できるようにする機能。Oracle の Sun プラットフォームの一部は、DR をサポートしていません。プラットフォームの一部は、NIC など特定のタイプのハードウェアの DR だけをサポートする場合があります。
ステートフルパケットフィルタを参照してください。
デジタル署名および公開鍵と非公開鍵のペアの作成に使用するデジタル証明書を発行する、公証された第三者機関または企業。CA は、一意の証明書を付与された個人が当該の人物であることを保証します。
IP データグラムに対し認証と完全性を提供する拡張ヘッダー。機密性は提供されません。
NAT。あるネットワークで使用されている IP アドレスを、別のネットワークで認識されている異なる IP アドレスに変換すること。必要となる大域 IP アドレスの数を抑えるために使用されます。
ネットワークへのインタフェースになる、ネットワークアダプタカード。NIC によっては、igb カードなど複数の物理インタフェースを装備できるものもあります。
IPv6 では、IPv6 が有効なシステムのこと。ホストかルーターかは問いません。
指定するパケットのファイアウォールの通過を許可するようにも許可しないようにも設定できるファイアウォール機能。
IP ヘッダーを参照してください。
テキストの文字列から生成される数値。ハッシュ関数は、転送されるメッセージが改ざんされないようにするために使用します。一方向のハッシュ関数の例としては、MD5 と SHA-1 があります。
メッセージの送受信側で異なる鍵を使用してメッセージの暗号化および暗号解除を行う暗号化システム。非対称鍵を使用して、対称鍵暗号に対するセキュリティー保護されたチャネルを作成します。Diffie-Hellman プロトコルは、非対称鍵プロトコルの例です。対称鍵暗号化と比較してください。
組織のプライベートネットワークやイントラネットをインターネットから切り離し、外部からの進入を防止するためのデバイスまたはソフトウェア。ファイアウォールには、フィルタリングや、プロキシサーバー、NAT (ネットワークアドレス変換) などを組み込むことができます。
クラスの特性を IPQoS 構成ファイル内に定義するための規則セット。IPQoS システムでは、IPQoS 構成ファイル内に定義されたフィルタに適合するトラフィックフローを選択して処理します。パケットフィルタを参照してください。
インバウンドまたはアウトバウンドのトラフィックを一連のインタフェースに分散する処理。負荷分散を使用すると、より高いスループットを達成できます。ただし、負荷分散が行われるのは、データが複数の接続を経由して複数の標識に送信される場合だけです。負荷分散には、インバウンドトラフィック用のインバウンド負荷分散とアウトバウンドトラフィック用のアウトバウンド負荷分散の 2 種類があります。
リンクへのシステムの接続。この接続は通常、デバイスドライバとネットワークインタフェースカード (NIC) として実装されます。NIC によっては、igb のように複数の接続点を持つものもあります。
IPQoS では、トラフィックフローに関する情報を蓄積、記録する処理のこと。フローアカウンティングを確立するには、flowacct モジュールのパラメータを IPQoS 構成ファイル内に定義します。
アドレスのホスト部分のビットがすべてゼロ (10.50.0.0) か 1 (10.50.255.255) である IPv4 ネットワークアドレス。ローカルネットワーク上のマシンからブロードキャストアドレスに送信されたパケットは、同じネットワーク上のすべてのマシンに配信されます。
Web ブラウザなどのクライアントアプリケーションと別のサーバーの間にあるサーバー。要求をフィルタするために使用されます (たとえば、特定の Web サイトへのアクセスを防ぐ)。
IP スタックを参照してください。
パケットで伝送されるデータ。ペイロードには、パケットを宛先に送るために必要なヘッダー情報は含まれません。
パケット転送を行わないシステム。Oracle Solaris をインストールされると、システムはデフォルトでホストになります。つまり、このシステムはパケットを転送できません。通常、ホストは 1 つの物理インタフェースをもちます。ただし、複数のインタフェースをもつこともできます。
2 つのホストを分離するルーターの数を判別するための手段。たとえば、始点ホストと終点ホストが 3 つのルーターで分離されている場合、ホストは互いに 4 ホップ離れています。
トラフィッククラスに割り当てられる優先順位。PHB は、そのクラスのフローに割り当てられる、ほかのトラフィッククラスに対する相対的な優先度を示します。
1. diffserv アーキテクチャーおよび IPQoS のモジュールの 1 つ。パケットの転送方法を指示する値を IP パケットの DS フィールドに付けます。IPQoS 実装では、このマーカーモジュールは dscpmk です。
2. IPQoS 実装のモジュールの 1 つ。ユーザー優先順位の値を Ethernet データグラムの仮想 LAN タグに付けます。ユーザー優先順位の値は、VLAN デバイスを備えたネットワーク上でデータグラムが転送される方法を示します。このモジュールは dlcosmk と呼ばれます。
特定の方法でインタフェースのグループを特定する IPv6 アドレス。マルチキャストアドレスに送信されるパケットは、グループにあるすべてのインタフェースに配信されます。IPv6 マルチキャストアドレスには、IPv4 ブロードキャストアドレスに似た機能があります。
複数の物理インタフェースをもち、パケット転送を行わないシステム。マルチホームホストでは経路制御プロトコルを実行できます。
特定クラスのトラフィックフローの速度を測定する diffserv アーキテクチャーのモジュール。IPQoS 実装には、tokenmt および tswtclmt という 2 つのメーターがあります。
データの整合性を保証し、データの出所を明らかにするコード。MAC は盗聴行為には対応できません。
サービスクラスのマークを実装する 3 ビットの値。VLAN デバイスのネットワーク上で Ethernet データグラムが転送される方法を定義します。
IPv6 が有効なノードの単一インタフェースを識別する IPv6 アドレス。ユニキャストアドレスは、サイト接頭辞や、サブネット ID、インタフェース ID などからなります。
特定の終点に到達するために、ホストに対して最適な最初のホップノードを、ルーターが通知すること。
IPv6 では、自動アドレス設定などのために、単一リンク上でアドレスを指定するために使用することを表します。デフォルトでは、リンク - ローカル・アドレスはシステムの MAC アドレスから作成されます。
複数のインタフェースを通常もち、経路制御プロトコルを実行し、パケットを転送するシステム。システムが PPP リンクのエンドポイントである場合は、ルーターとしてのインタフェースを 1 つだけ持つようなシステムを構成できます。
ルーターが、各種のリンクパラメータおよびインターネットパラメータと共に、その存在を定期的にあるいはルーター要請メッセージに応じて通知すること。
ホストが、接続されているリンク上にあるルーターを特定すること。
ホストがルーターに対し、次に予定されている時刻ではなく、ただちにルーター広告メッセージを送信するように要求すること。
ローカルの経路制御可能な範囲だけを対象とするユニキャストアドレス (サブネット内またはネットワーク内)。また、ローカルまたはグローバルな一意の範囲を対象とすることもできます。
|