結論：NFSとは「別のコンピュータのフォルダを、自分のPCのフォルダのように使える」仕組み

NFS（Network File System）とは、ネットワーク越しに他のコンピュータのディスク（フォルダ）を、自分のローカルディスクのように扱えるようにする通信プロトコルです。

一言でいうと、

「遠くにあるフォルダを、手元にあるかのように使える技術」

これがNFSの本質です。

NFSはもともと Sun Microsystems によって開発され、現在ではLinux/Unix系システムを中心に、サーバ環境で広く使われています。

そもそも「ファイル共有」が必要になる理由

まず前提として、現代のシステムでは次のような状況がよくあります。

• サーバが複数台ある
• それらが同じデータを参照する必要がある
• 画像・帳票・ログ・アップロードファイルなどを一元管理したい

例：

• Webサーバが3台ある
• どのサーバからアクセスしても同じ画像フォルダを使いたい

このとき各サーバに同じファイルをコピーして回るのは現実的ではありません。

そこで登場するのが NFS です。

NFSの基本的な仕組み

登場人物はたった2つ

NFSは、とてもシンプルな構成です。

サーバ側で共有設定したディレクトリを、クライアント側で mount（マウント）すると、クライアントからは普通のフォルダとして見えるようになります。

構造を簡略化すると、次のようになります。

[NFSクライアント] ─── ネットワーク ─── [NFSサーバ]
        |
     /mnt/share   ← 実体はサーバ側ディスク

ポイントはここです。

• クライアントから見ると /mnt/share は普通のフォルダ
• しかし実体はNFSサーバ上に存在

アプリケーションは「ローカルファイル」だと思って読み書きしますが、裏ではNFSがネットワーク越しに通信しています。

NFSを使うと何が嬉しいのか？

代表的なメリットは次の3つです。

1. アプリケーションを変更しなくてよい

NFSは「ファイルシステム」として見えるため、

• 特別なAPI
• 専用ライブラリ

が不要です。

既存アプリはそのままで、

/data/file.txt

を読むだけ。
それがたまたまNFSなだけ、という状態になります。

2. 複数サーバで同じデータを共有できる

典型構成：

WebサーバA ─┐
WebサーバB ─┼─ NFSサーバ
WebサーバC ─┘

これにより、

• アップロードファイル
• 画像
• 帳票

などを1か所に集約できます。

3. 構成がシンプル

最低限必要なのは：

• NFSサーバ
• NFSクライアント

だけ。

大規模な分散ストレージと比べると、導入・理解・運用のハードルが低いのも特徴です。

ローカルディスクとNFSの違い

感覚的な違いを表にまとめます。

見た目は同じ、裏側が違う。
これが最大のポイントです。

超かんたん：NFSの利用イメージ（概念）

サーバ側（共有する）

/share

というフォルダを公開。

クライアント側（使う）

mount サーバ:/share /mnt/share

すると、

/mnt/share

が現れ、普通のフォルダとして操作可能になります。

以降は：

• ls
• cp
• vi

すべて通常通り。

実務で必ず意識すべき注意点

便利なNFSですが、設計時には以下が重要です。

● ネットワーク＝性能

ファイルI/Oはすべてネットワーク越し。
大量アクセス時はボトルネックになります。

● NFSサーバは単一障害点になりやすい

NFSサーバが落ちると、

→ 接続している全クライアントが影響を受けます。

冗長化設計が重要になります。

● 同時書き込み

複数マシンから同じファイルを書く場合、

• ロック
• 整合性

を意識しないと事故が起きます。

まとめ

最後に要点を整理します。

• NFSとは「遠隔フォルダをローカルのように使える」プロトコル
• サーバが公開、クライアントがマウントするだけ
• アプリは通常のファイル操作のまま利用可能
• 複数サーバでのデータ共有が簡単
• 一方で、性能・単一障害点・同時更新には注意が必要

リクエストを受け取ってから30秒以内に終わらない場合はタイムアウトエラーにする、というような設定をすることで、長期間プロセスがリソースを占有することを防ぎます。

がしかし、そもそもなぜタイムアウトの設定を入れる必要があるの？といった疑問や、どのようにタイムアウト設計を行えばよいか？という点については、案外考える機会が少ないものかもしれません。このページでは、タイムアウト設定の理由、タイムアウト設定の基本ノウハウを初心者向けにわかりやすく説明していきたいと思います。

タイムアウト設定の必要性

まずは前段として、タイムアウト設定がなぜ重要かを理解するために、その理由と具体的な例を交えて説明します。

大きく分けて以下５点が主な理由。

理由１：システムの安定性向上

タイムアウト設定は、システムが無限に待機する状態を防ぐために必要不可欠な設定です。

例えば、Webアプリケーション経由でデータベースから情報を取得する際にデータベースがなかなか応答しない場合。もし、このときタイムアウトを設定していなければ、システムは応答が返ってくるまで無限に待ち続けることになります。その結果、メモリやCPUなどのリソースを常に消費し続けることになり、最悪の場合システム全体に悪影響を与えることに。

タイムアウト設定により、一定時間が経過した後に自動的にリクエストをキャンセルし、エラーメッセージを返すことで、他のリクエスト処理に移ることができます。

参考　Webサーバーとは？

理由２：リソースの効率的な利用

理由１と多少被りますが、システムのリソース（メモリやCPUなど）を効率的に利用するためにタイムアウト設定が役立ちます。例えば、データベースに大量のデータを保存する処理がなかなか終わらない場合、システムはメモリを使い続け、他の重要な処理ができなくなってしまいます。

ここで適切なタイムアウトを設定することで、一定時間で処理を打ち切り、リソースを他の処理に割り当てることができるようになります。

理由３：ユーザーエクスペリエンスの向上

理由の３つ目はUXの向上です。画面で何かしらのボタンを押しても、何の反応も帰ってこない画面・・・これ結構不満溜まりますよね。一定期間反応がない場合に、タイムアウトエラーを起こすことでUXの向上につなげることができます。

例えば、オンラインショッピングサイトで商品を検索する際、検索結果が表示されるまでに時間がかかりすぎると、ユーザーはそのサイトを使いたくなくなってしまうでしょう。タイムアウト設定を行うことで、一定時間内に結果が返ってこない場合はエラーメッセージを表示したりすることでユーザーに再度試してもらうよう促すことができます。

理由４：エラーの対処

タイムアウト設定をすることで、処理が終わらない場合のエラーハンドリングがしやすくなります。

例えば、外部のAPIを呼び出す際になかなか応答が返ってこない場合があります。この時、タイムアウトを設定しておくと、一定時間でエラーメッセージを出して次のステップに進むことができます。これにより、システムがエラーで停止するのを防ぎ、他の処理が継続できるようになります。

参考　APIとは？

３秒反応がなかったら、ログの書き込み処理に移る・・・というような感じですね。

理由５：サービスレベルアグリーメント (SLA) の遵守

サービスを提供する際に、一定の応答時間を顧客・クライアントとルールを合意する場合があります。これをサービスレベルアグリーメント（SLA）と言います。

例えば、クラウドサービスでは99.9%のアップタイムを保証することがよくあります。（=24時間365日のうち、0.01%時間以下の障害までは許容。それ以上は許容しない。）このSLAを守るためには、タイムアウト設定が必要です。タイムアウトを設定することで、一定時間内に応答がない場合に処理を打ち切り、システムの他の部分が影響を受けないようにしたりすることができます。

まとめ　タイムアウト設定が重要な理由

タイムアウト設計の基本

タイムアウト設定は、システムの安定性やパフォーマンスを確保するための重要な要素。ここでは、タイムアウト設計の基本の概要をご説明します。

1. 適切なタイムアウト時間の設定

タイムアウトの時間を設定する際には、システム要件やユーザーの期待に基づいて慎重に決定する必要があります。短すぎるタイムアウト時間は、頻繁にタイムアウトが発生しユーザー体験を損なう一方、長すぎるタイムアウト時間は、システムリソースの無駄遣いにつながります。

例えば、Webアプリケーションでデータベースにクエリを送信する際には、通常のクエリ処理時間に少し余裕を持たせたタイムアウト時間を設定します。例えば、通常のクエリ処理時間が1秒であれば、タイムアウト時間は3秒程度に設定します。

2. 動的なタイムアウト調整

システムの状態や負荷に応じて、タイムアウト時間を動的に調整する仕組みを導入すると効果的です。

例えば、トラフィックが急増した場合や、特定の時間帯にシステムの負荷が高まる場合には、タイムアウト時間を延長してリクエストの処理をスムーズに行えるようにします。逆に、負荷が低いときには、タイムアウト時間を短縮してリソースの無駄を減らします。

3. 詳細なログ記録

タイムアウトが発生した際に、その情報・経緯を詳細に記録することが重要。ログにはタイムアウトが発生した時間 / リクエストの内容 / 発生したコンポーネントなどの情報を含めることで、後で問題を分析し根本原因を特定して改善策を講じることができるようになります。

例えば、Webサーバーのログに「タイムアウトが発生したURL、クライアントのIPアドレス、リクエストの種類、タイムアウト発生時のシステム状態」などを記録するようなイメージ。

4. ユーザー通知

タイムアウトが発生した場合に、ユーザーに適切な通知を行うことも重要。ユーザーがタイムアウトの原因を理解し、次にどうすれば良いかを案内することでユーザエクスペリエンスの向上が期待できます。

タイムアウトが発生した場合に「現在サーバーが混雑しています。しばらくしてから再度お試しください。」といったメッセージを表示されるシステムもよく見かけますが、まさにあれが一例です。

5. フェイルセーフメカニズム

タイムアウト後の処理も考慮する必要（システムが自動的に復旧する仕組みを作る）もあります。この後処理を適切に設計することでシステムがタイムアウトによる影響を受けずに安定して動作し続けることができます。

例えば、外部APIへのリクエストがタイムアウトした場合には、内部のキャッシュから代替データを提供するか、別のAPIを呼び出すようにしたりするなど。これにより、ユーザーに対するサービスを途切れさせることなく提供できます。

タイムアウト設定を適切に設計することで、システムの安定性とパフォーマンスを保ちながら、ユーザーに対して高品質なサービスを提供することができます。

インターネット上からの不正なアクセスを防ぐことは勿論、内部からの許可されていない通信をシャットダウンする役割も同時に担うことが一般的です。

ファイアウォールは、許可された通信と不正な通信を区別するために特定のルールやポリシーを必要とします。これらのルールは、組織や個人のセキュリティ要件に応じてカスタマイズすることが可能で、特定のIPアドレス、ポート番号、プロトコル、アプリケーションなどに対するアクセス制御を行うことができます。

またファイアウォールと一言にいっても、その仕組みや種類によって多種多様です。そのため、結局ファイアウォールの実体が良くわからない人が多いのだと思います。

このページではファイアウォールの基本知識を網羅的にわかりやすく解説します。

ネットワークエンジニアを目指す方であれば知らないと恥ずかしい超・基本知識の１つです。是非最後までご覧ください。

ファイアウォールとは？

ファイアウォールとは、コンピュータネットワークのセキュリティを高めるために設計されたシステムであり、外部からの不正アクセスやウイルス、マルウェアなどの脅威からネットワーク内のデバイスを保護する役割を担います。

ファイアウォールは、コンピュータネットワークの歴史と発展に伴ってその技術も進化してきました。

簡単にファイアウォールの歴史と発展を整理してみました↓

ご覧のように、ファイアウォールと一言で言っても発展とともに様々な種類があることが分かるかと思います。

が、基本的な思想はどの時代も同じで「危険にさらすのは、特定のサーバやルータに限定する」ということ。つまり、セキュリティ的に外部からの脅威にさらされてOKなものとそうでないものを区別し、外部からの脅威にさらされるサーバやルータに対して集中的にセキュリティを強化するという考え方です。

ここからは具体的にファイアウォールの仕組みを見ていきながら、より詳細にファイアウォールについてご説明します。

パケットフィルタリング型ファイアウォール

初期のファイアウォールは「パケットフィルタリング型」と呼ばれるタイプのファイアウォールです。

パケットフィルタリング型ファイアウォールは、ネットワーク上で送受信されるデータパケットを検査し、設定されたルールに基づいてパケットを許可または拒否します。

主にIPアドレス、ポート番号、およびプロトコル（TCP、UDP、ICMPなど）を基に、送信元と宛先に対してアクセス制御を行います。

参考　通信プロトコルとは？ （ TCP / UDP / ICMP ）

パケットフィルタリング型ファイアウォールの設定は、主にアクセス制御リスト（ACL）と呼ばれるルールセットに基づいて行われます。例えば、ある企業の内部ネットワークがあり、その企業は次のようなセキュリティポリシーを適用したいとします。

この場合、次のようなパケットフィルタリング型ファイアウォールの設定が考えられます。

例えばNo.4に着目すると、インターネット側から企業内部へのRDP（リモートデスクトップ接続）の通信を拒否していることが分かります。つまり、この企業では外部からリモートデスクトップを一切拒否することによってRDP関連の脅威からネットワークを守っていると言えます。

上記の設定はあくまで一例ですが、このような設定を細かく行うことで各個人・各企業で独自のセキュリティ網を構築することが可能だということがわかるでしょう。

【特徴と限界】パケットフィルタリング型ファイアウォール

パケットフィルタリング型ファイアウォールの特徴と限界を整理すると以下の通りになります。

要約すると、シンプルで分かりやすい。しかし、その分複雑な通信制御ができないというのがパケットフィルタリング型ファイアウォールのポイントです。

例えば、パケットフィルタリング型ファイアウォールでは、特定のIPアドレスからの通信のみを許可する設定を行ったとしても、もしIPアドレス自体が偽装されその中身のデータにウイルスが潜んでいれば、この脅威を防ぐことはできないのです。

他にもパケットフィルタリング型のファイアウォールでは防げない脅威が徐々に表れてくると、それを克服するために後続のファイアウォール技術（ステートフルインスペクション、アプリケーションレベル、次世代ファイアウォール）が開発されることになります。

ここからは、次のステップ：ステートフルインスペクション型ファイアウォールについて解説します。

ステートフルインスペクション型ファイアウォール

ステートフルインスペクション型ファイアウォールは、パケットフィルタリング型ファイアウォールの限界を克服するために開発された技術です。

主な特徴は次のとおり。

ポイントは、ステートとセッションです。

実際のステートフルインスペクション型ファイアウォールの設定内容は、以下のような要素を含むことが一般的です。

要するに、パケットフィルタリング型ファイアウォールの特徴に加えて、その接続状態（新規？継続？）の判定＋セッションのタイムアウトの制御を行うのがステートフルインスペクション型ファイアウォール。

これに加えて、行われた通信の記録（ロギング）やアラート発生時のメール通知などの機能を備えていることが特徴です。

ただし、ステートフルインスペクション型ファイアウォールにも限界があります。それが、通信の中身までを確認することができないという点です。通信の中身まで確認することができない→例えばメールに添付されたウイルスファイルなどを検知することができません。

いくらメール送受信にリスクがあるからと言えど、メールの送受信を不許可にすることは現実的ではありませんよね。そこで新たに生み出されたのがアプリケーションレベルファイアウォールです。

アプリケーションレベルファイアウォール

アプリケーションレベルファイアウォール（またはプロキシベースファイアウォール）は、ネットワーク層やトランスポート層でのフィルタリングに加えて、アプリケーション層でのフィルタリングも行うファイアウォールのタイプです。

参考　OSI参照モデル（ネットワーク層/トランスポート層/アプリケーション層）

アプリケーションレベルファイアウォールは、特定のアプリケーションやプロトコルに対する深い検査（ディープパケットインスペクション）を行い、通信の内容や振る舞いに基づいてアクセス制御を行うことが可能です。

具体的にアプリケーションレベルファイアウォールの特徴を示すと以下の通りです。

1. アプリケーション層の監視
   • アプリケーションレベルファイアウォールは、HTTP/HTTPS、FTPなどのアプリケーションプロトコルのトラフィックを解析。
   • パケットの内容を深く検査し、特定のアプリケーションやサービスに関連するトラフィックを特定可能。
2. 詳細なコンテンツフィルタリング
   • 不正なコマンド、マルウェア、スパムなど、不正なコンテンツを含むパケットを特定し、ブロック。
   • アプリケーションの特定の機能や動作を許可または拒否する詳細なポリシーを設定可能
3. セキュリティの強化
   • アプリケーション層の攻撃、例えばSQLインジェクションやクロスサイトスクリプティング（XSS）などに対する保護を提供。
   • ユーザーの認証とアクセス制御を強化し、アプリケーションへの不正アクセスを防ぐ。
4. ログと監査
   • トランザクションレベルでの詳細なログ記録を提供し、セキュリティ監査や法的要件に対応。
   • 通過するトラフィックの詳細な分析とレポーティング機能を備える。

アプリケーションレベルファイアウォールは、特にアプリケーション層での攻撃に対して強力な保護を提供し、企業のセキュリティインフラストラクチャの重要な部分となります。しかし、その設定と管理には高度な専門知識と注意が必要になります。非常に簡単ではありますが、アプリケーションレベルファイアウォールではどのような設定が行われるのかを例示しておきます。

1. Webアプリケーションの保護
   • 目的: Webサーバーへの攻撃を防ぐ。
   • 設定:
     • HTTP/HTTPSトラフィックのみを許可。
     • SQLインジェクションやXSS攻撃のパターンに基づくフィルタリングを有効化。
     • 不正な入力値や不審なURLアクセスをブロック。
2. メールサーバーの保護
   • 目的: スパムやフィッシング攻撃からメールサーバーを守る。
   • 設定:
     • SMTP、IMAP、POP3プロトコルのトラフィックのみを許可。
     • メールコンテンツ内の不審なリンクや添付ファイルをスキャンし、ブロック。
3. FTPサービスの制御
   • 目的: FTPを通じた不正なファイル転送を防ぐ。
   • 設定:
     • FTPトラフィックのみを許可。
     • 不正なファイル形式や異常なファイルサイズの転送を検知し、ブロック。
4. APIエンドポイントのセキュリティ
   • 目的: 外部APIエンドポイントへの不正アクセスを防ぐ。
   • 設定:
     • 特定のAPIエンドポイントへのアクセスを特定のIPアドレス範囲に限定。
     • APIリクエストのレートリミットを設定。

参考　APIとは？

↑の設定例は、アプリケーションレベルファイアウォールの適用範囲と機能を示していますが、実際の設定は、会社や個人における特定のニーズとセキュリティポリシーに合わせて調整されます。。

ファイアウォールの種類

ここまででファイアウォールの仕組みをいくつかのタイプに分類して解説してきました。

最後にこの章ではファイアウォールのいくつかの製品をご紹介します。

ファイアウォールには主にハードウェアファイアウォール、ソフトウェアファイアウォール、クラウドベースのファイアウォールの3つの種類があります。

ハードウェアファイアウォールは専用機器で、高速で安定した処理能力が特徴ですが、初期投資が高いことが多いです（例: Cisco ASA シリーズ）。

ソフトウェアファイアウォールはコンピュータ上で動作するプログラムで、低価格または無料で利用できることが多いものの、コンピュータのリソースに依存するため処理速度に影響がある場合があります（例: Windowsファイアウォール、ZoneAlarm）。

クラウドベースのファイアウォールはクラウドサービス上で提供され、スケーラビリティが高くリモート管理が可能ですが、サブスクリプション料金がかかります（例: Zscaler、Barracuda CloudGen Firewall）。

それぞれの種類には独自の特徴と違いがあり、組織やネットワーク環境に合わせて最適なファイアウォールを選択することが重要です。

ネットワークエンジニアを目指したい方は

TCPをはじめとして、ネットワークの基礎を１から学びたい方はこちらの書籍を購入してがっつり学びましょう！

さくっと手軽に読める内容ではないのですが、ネットワークエンジニア全員が必ず読破している本と言っても過言ではありません。是非この機会にチャレンジしてみてみましょう。

マスタリングTCP/IP　入門編（第6版）

インターネットのプロトコルTCP/IP入門書の決定版!

Amazon

楽天

また、ファイアウォールを学んだあなたは、ネットワークの基本概念に興味を持っているかもしれません。

これを機に、ネットワーク全体についてもっと学びませんか？以下の記事では、初心者でも理解できるようにネットワークの世界を１からわかりやすく解説しています。さらなる知識を手に入れて、ネットワークのプロフェッショナルへの道を歩み始めましょう！こちらの記事をチェックしてみてください。

ゼロから学ぶネットワーク入門：50記事で完全解説

【ネットワーク】初心者でも安心して学べるよう、基礎から応用まで段階的に解説。50記事で構成されたこのシリーズを読めば、あなたもネットワークのエキスパートへ一歩近づくことができます。今すぐ始めて、未来のネットワーク世界を切り開こう！

it-biz.online

2024.01.18

参考　SSH(Secure Shell)とは？

vpsを契約したばかりの人や、ネットワーク初心者には少し難しいかもしれませんが、確認方法（修正方法：コマンド付き）をわかりやすく解説します。

SSH接続確認１：ネットワークの疎通確認（ping）

ネットワークの問題 確認方法: ping コマンドを使って、対象のサーバに到達可能か確認してください。

ping <サーバのIPアドレス>

参考　pingコマンドとは？（ICMPとは？）

もし疎通ができていれば以下のような結果になります。

C:\Users>ping 192.168.100.1

192.168.100.1 に ping を送信しています 32 バイトのデータ:
192.168.100.1 からの応答: バイト数 =32 時間 =18ms TTL=51
192.168.100.1 からの応答: バイト数 =32 時間 =31ms TTL=51
192.168.100.1 からの応答: バイト数 =32 時間 =31ms TTL=51
192.168.100.1 からの応答: バイト数 =32 時間 =37ms TTL=51

192.168.100.1 の ping 統計:
    パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
    最小 = 18ms、最大 = 37ms、平均 = 29ms

疎通に失敗していれば以下のような結果になります。

C:\Users>ping 192.168.100.1

192.168.100.1 に ping を送信しています 32 バイトのデータ:
要求がタイムアウトしました。
要求がタイムアウトしました。
要求がタイムアウトしました。
要求がタイムアウトしました。

192.168.100.1 の ping 統計:
    パケット数: 送信 = 4、受信 = 0、損失 = 4 (100% の損失)、

疎通に成功した方は次へ。そうでない方は以下のポイントをチェックしてください。

参考　DNS / IPアドレス / ファイアウォール

SSH接続確認２：SSHサーバの起動確認

SSHサーバ（SSHD）が起動しているかどうかを確認してください。

サーバに直接アクセスできる場合、以下のコマンドを実行してSSHサービスの状態を確認してください。

sudo systemctl status sshd

起動している場合は以下が表示されます。４行目の「active (running)」を確認。

$ sudo systemctl status sshd
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: active (running) since Tue 2023-03-28 12:30:57 PDT; 2 days ago
     Docs: man:sshd(8)
           man:sshd_config(5)
 Main PID: 1080 (sshd)
   Memory: 3.2M
   CGroup: /system.slice/sshd.service
           └─1080 /usr/bin/sshd -D -e

Mar 28 12:30:57 localhost.localdomain systemd[1]: Starting OpenSSH server daemon...
Mar 28 12:30:57 localhost.localdomain sshd[1080]: Server listening on 0.0.0.0 port 22.
Mar 28 12:30:57 localhost.localdomain sshd[1080]: Server listening on :: port 22.
Mar 28 12:30:57 localhost.localdomain systemd[1]: Started OpenSSH server daemon.

起動していない場合は以下が表示されます。４行目の「inactive (dead)」を確認してください。

$ sudo systemctl status sshd
● sshd.service - OpenSSH server daemon
   Loaded: loaded (/usr/lib/systemd/system/sshd.service; enabled; vendor preset: enabled)
   Active: inactive (dead)
     Docs: man:sshd(8)
           man:sshd_config(5)

対処方法→以下のコマンドを実行しSSHDを起動します。

sudo systemctl start sshd

SSH接続確認３：SSHポートの確認

SSHのポート番号が変更されている場合にSSH接続が失敗します。

参考　ポート番号とは？

/etc/ssh/sshd_config ファイルを開いて、Port の設定を確認してください。

# cat /etc/ssh/sshd_config | grep "^Port"
Port 10022

上記の例では、sshd_configファイルの中で、行の先頭に"Port"という文字列が含まれる行を検索しています。上記の検索結果は、SSHのポート番号として「10022」が利用されていることが分かります。

ポートが変更されている場合、SSH接続時に正しいポート番号を指定してください。

ssh -p <ポート番号> <ユーザ名>@<サーバのIPアドレス>

SSH(Secure Shell)とは？初心者向けにわかりやすく３分で解説

【ネットワーク】SSH(Secure Shell)を3分で解説！初心者向けにわかりやすくSSHの基本概念や利用方法を紹介。安全なリモートアクセスを簡単に始められるようになります。

it-biz.online

2024.01.10

SSH接続確認４：sshd_configファイルの確認

sshd_configファイルは、SSHサーバー（sshd）の設定ファイルであり、SSHの動作や接続に関する様々な設定を変更できます。

sshd_configファイルの確認方法
sshd_configファイルは通常、/etc/ssh/sshd_configパスに保存されています。以下のコマンドで確認できます。

# cat /etc/ssh/sshd_config

特に以下の太字項目が想定通りであるかどうか？を確認してください。

SSH接続確認５：認証情報の確認

それでもssh接続ができない場合は接続しようとしているユーザ名とパスワード、または鍵ペアが正しいかどうか確認してください。

案外このポイントで詰まっている場合も多いので改めて確認しましょう。

マスタリングTCP/IP　入門編（第6版）

インターネットのプロトコルTCP/IP入門書の決定版!

Amazon

楽天

SSH接続に苦戦したあなたはネットワークの知識不足を痛感したかもしれません。

これを機に、ネットワーク全体についてもっと学びませんか？以下の記事では、初心者でも理解できるようにネットワークの世界を１からわかりやすく解説しています。さらなる知識を手に入れて、ネットワークのプロフェッショナルへの道を歩み始めましょう！こちらの記事をチェックしてみてください。

ゼロから学ぶネットワーク入門：50記事で完全解説

【ネットワーク】初心者でも安心して学べるよう、基礎から応用まで段階的に解説。50記事で構成されたこのシリーズを読めば、あなたもネットワークのエキスパートへ一歩近づくことができます。今すぐ始めて、未来のネットワーク世界を切り開こう！

it-biz.online

2024.01.18

現代のネットワーク環境ではさまざまなデバイスやアプリケーションが常に相互に通信していますが、VLANを構築することで、①ネットワーク内の通信デバイスを効率的に管理し、②必要な部分だけを隔離・制御することで、ネットワーク全体のパフォーマンスを最適化することができます。

VLANはネットワーク内のトラフィックを制御し、セキュリティを強化するための鍵となる技術。特に大規模な組織や、セキュリティが重要な環境では、VLANを活用することで、ネットワークの運用をより柔軟にかつ安全に行うことができます。

この記事ではVLANの基本的な概念から、VLANの構築方法、VLANの利点、そして実際の使用例に至るまでを詳しく解説していきます。IT初心者の方でも理解しやすいように、各セクションで重要なポイントを明確に図解しつつ詳細に解説いたします。

VLANとは？わかりやすく

VLAN：Virtual Local Area Network（バーチャル・ローカル・エリア・ネットワーク）は、物理的なネットワークの構造に影響されず、複数の独立したネットワークを仮想的に構築する技術。

異なる場所にあるデバイスを同じネットワークに属させたり、同じ場所にあるデバイスを異なるネットワークに割り当てたりすることができます。

例えば、会社の経理部門と営業部門は物理的には同じフロアにあるかもしれませんが、VLANを使用することで、それぞれが別々のネットワークに属するように設定することができます。

VLANと物理的LANの違い

物理的なLAN（Local Area Network）は、ケーブルやスイッチなどの物理的なハードウェアによって接続されたネットワークです。

参考　LAN（Local Area Network）とは？

一方で、VLANは物理的な接続に依存せず、ソフトウェアを用いてネットワークを仮想的に分割するという点が重要なポイント。つまり、物理的なデバイスの位置や配線の接続に縛られることなく、柔軟なネットワーク設計が可能になるという点を押さえておきましょう。

VLANの動作原理

では、具体的にどのように仮想的なネットワーク（VLAN）が構築され、どのように動作するのか？を見ていきましょう。ここでは簡単なネットワーク構成を例に、１つのネットワークを複数の仮想的なネットワークに分割する方法を順を追ってご説明していきます。

VLANの設定/構築方法

まずVLANはネットワーク内のスイッチに設定されます。スイッチとはOSI参照モデルの第２層：データリンク層で動作するネットワーク機器で、流れてきたデータの宛先MACアドレスを参照し、適切な機器へデータを転送する役割を担います。

参考　スイッチとは？ / MACアドレスとは？

したがって、ネットワーク管理者はスイッチ上で複数のVLANを設定していくことになります。具体的には各VLANに独自のID（たとえばVLAN 10、VLAN 20など）を割り当てることで、まずはVLANの箱・枠を作成します。

Ciscoスイッチを用いる場合、以下のようなコマンドを実行することでVLANの枠を設定します。

使用するスイッチ: Ciscoスイッチ（Catalystシリーズなど）
設定するVLAN: VLAN 10（経理部門用）、VLAN 20（営業部門用）
----設定コマンド例----

conf t
vlan 10
name Accounting
vlan 20
name Sales
end

次にスイッチ上の各ポートを特定のVLANに割り当てます。ポートとは実際にデバイスを接続する口のことで、LANケーブルを利用する際にPCに接続する接続口をイメージいただければOKです。

ここで、ポート1～4をVLAN 10に、ポート5～8をVLAN 20に割り当てます。そうすることで、ポート1~4に接続されているネットワーク機器はVLAN 10に接続していることになります。（ポート5~8は、VLAN 20に接続。）

ポート1～4をVLAN 10（経理部門）に、
ポート5～8をVLAN 20（営業部門）に割り当て。
----設定コマンド例----

conf t
interface range fa0/1 - 4
switchport mode access
switchport access vlan 10
exit
interface range fa0/5 - 8
switchport mode access
switchport access vlan 20
end

VLAN設定後の動作/通信制御

上記の設定を行った後で、VLAN内のデータ転送がそれぞれどのように行われるのかを見ていきます。

ポイント　VLAN内のデータ転送の原則

• VLAN 10（経理部門用）とVLAN 20（営業部門用）が設定されている。→つまり、スイッチ上の各ポートが特定のVLANに割り当てられ、それぞれ独立したネットワークとして機能している状態。
• このときVLAN 10に割り当てられたポート（例：ポート1～4）に接続されたデバイスは、VLAN 10内でのみ通信が可能になります。つまり、これらのデバイスからのデータはVLAN 10内の他のデバイスにのみ送信され、VLAN 20のデバイスには届きません。

１つのネットワークを、VLANという仮想的なネットワークに分けたことで、異なるVLANに振り分けられた通信機器は相互に通信ができなくなるという点がポイント。

ネットワークが異なる（IPアドレスのネットワーク部が異なる）場合はルーターやL3スイッチを設置しルーティングしないとネットワーク間での通信が行えないのと同じ状態です。

ではなぜVLAN間での直接通信が制限されるのか？ここから、VLANの詳しい動作原理についてご説明します。

VLANID/VLANタグ

VLANに割り当てられたポートから送信されるフレームには、VLAN IDを示すタグ（VLANタグ）が付与されます。このタグは、IEEE 802.1Q標準で定義された世界標準のフォーマットを持ちます。（この章の最後でフレームのサンプルフォーマットを提示します。）

VLANタグにはVLAN IDが含まれており、これによりスイッチはフレームがどのVLANに属するかを識別することができます。

VLAN ID が10であればVLAN 10から送信されたフレームなんだな・・・。VLAN ID が20であればVLAN 20から送信されたフレームなんだな・・・と判断しているということです。

スイッチはVLANタグを用いてフレームを適切なVLAN内のポートにのみ転送します。異なるVLAN IDを持つフレームは、それぞれ異なるVLANに属するため、互いに直接転送されません。　→このプロセスにより、異なるVLANは論理的に分離され、それぞれが独立したネットワークセグメントとして機能する、という仕組みです。

先ほども触れたように異なるVLAN間で相互に通信を行うためには、ルーターまたはレイヤー3スイッチが必要です。これらのデバイスは、異なるVLANからのフレームを受け取り、IPアドレスに基づいて適切なVLANにルーティングします。

参考　ルーティングとは？

VLAN設定により、フレームにVLANタグが付与され、それに基づいてスイッチはVLAN間でのフレームの転送を制御します。これにより、VLANは論理的に分離された独立したネットワークセグメントとして機能。

VLAN間での通信を行うためには、ルーターやレイヤー3スイッチによる経路制御が不可欠です。これらのデバイスはVLAN間でのデータフローを管理し、ネットワークのセキュリティと効率を保つ。

↑を十分に理解しておきましょう。

AA AA AA AA AA AA AA AB 00 1A 2B 3C 4D 5E 5E 4D 3C 2B 1A 00 81 00 00 0A 08 00 46 00 ... 1A 2B 3C 4D

ここまで説明したVLANはｍVLANの中でも特に「スタティックVLAN」と呼ばれるタイプのものを例にご紹介してきました。（VLANの基本原理が理解しやすいため）

実際には大規模なネットワークになればなるほどダイナミックVLANと呼ばれる「スイッチ上でVLANの設定を自動で行う」方法もありますので、詳しく知りたい方は合わせて以下の記事もご覧ください。

スタティックVLANとダイナミックVLAN：違いと動作原理を３分で解説

【初心者向けに】スタティックVLANとダイナミックVLANの基本原理、設定方法、およびそれぞれの利点と制約について詳細に解説します。VLANの動作原理を理解し、適切なネットワーク設計と管理を行うための必読ガイド。

it-biz.online

2024.01.29

VLANの利点/メリット

これまでも何度かご説明してきた通り、VLANはネットワークを仮想的に細分化するため、セキュリティを強化する効果があります。また同時に、細分化によるパフォーマンスの向上やコスト削減効果、柔軟なネットワーク設計を可能にするなどのメリットがあります。

結果、大きな企業や組織は、物理的な制約に縛られることなく、効率的かつ安全なネットワーク環境を構築することを目的としてVLANを構築することが一般的になっています。

ポイント　VLANのメリット

1. セキュリティの強化
   • VLANを使用することで、ネットワーク内で異なるグループや部門を論理的に分離することが可能。これにより敏感なデータを扱う部門を他の部門から隔離するなどして、不正アクセスや内部からの脅威を軽減することができる。
2. ネットワークのパフォーマンス向上
   • VLANはネットワークトラフィックを適切に分割し、ブロードキャストドメインを小さくする。結果→ネットワーク上の不要なトラフィックが減少し、全体的なパフォーマンスが向上する。
3. 効率的なトラフィック管理
   • VLANにより、ネットワークトラフィックを効率的に制御することができるので、特定のグループ間でのデータフローを最適化できる。
4. コスト削減
   • 物理的なネットワークの再構築や配線を追加したりすることをせずに、ネットワークの再設計が可能。→将来的な新部門の追加やオフィス拡張などに伴うコストを削減することができる。
5. 柔軟なネットワーク設計
   • VLANはネットワークの設計に柔軟性をもたらす。物理的な場所に依存せずに、異なる部門やグループを簡単に分離・統合が可能。
6. 物理的な制約からの解放
   • VLANは物理的な場所に依存しないため、異なる場所にいるユーザーを同じネットワークに簡単に組み込むことができる。これにより、リモートワークや分散したオフィス環境でのネットワーク管理が容易になる。
7. 障害の局所化
   • VLANはネットワークの問題や障害を局所化し、他のVLANに影響を与えることなく問題を特定し、解決できる。

VLAN実装の課題

VLANの実装は多くの利点をもたらしますが、同時にこれらの課題に対処するためには適切な計画、設計、および継続的な管理が必要になります。

特に大規模なネットワークでは、これらの課題に対する慎重なアプローチが求められます。

以下の課題（よくある躓きポイント）を押さえ、適切なVLAN管理が行えるようにすることが重要です。

1. 複雑性の増加
   • VLANの設定と管理は、特に大規模なネットワークでは複雑になりがち。異なるVLAN間での適切な通信ルールを設定し、管理するには、専門的な知識と注意深い計画が必要。
2. 互換性の問題
   • 異なるベンダーの機器間でのVLAN設定の互換性は常に保証されるわけではない。特に、異なるベンダーのスイッチやルーターを組み合わせて使用する場合、互換性の問題が生じる可能性がある。
3. セキュリティの課題
   • VLANはセキュリティを強化する一方で、適切に設定されていない場合はセキュリティリスクを生じさせる可能性もある。例えば、VLANホッピング攻撃（VLANのセキュリティをバイパスして他のVLANにアクセスする手法）などの考慮が必要。
4. スケーラビリティの制限
   • VLAN IDは有限（標準的なVLANでは4096までのID）。大規模なネットワークでは、VLANの数が増えるとIDの割り当てが問題となることもある。
5. パフォーマンスへの影響
   • 不適切なVLAN設計や過度なVLANの使用は、ネットワークのパフォーマンスに悪影響を及ぼす可能性があります。特に、ルーターを介したVLAN間通信は、追加の遅延を引き起こすことがあるため要注意。
6. 管理の負担
   • VLANの設定変更、管理、トラブルシューティングは、時間と労力を要する作業。特にネットワークが拡大するにつれて、これらの作業はより複雑になる。

まとめ　VLAN（Virtual Local Area Network）とは？

• 論理的なネットワークセグメント
  • VLANは物理的な位置に関わらず、ネットワークを複数の仮想的なネットワーク（＝セグメント）に分割する仕組み。
• セキュリティと効率の向上
  • 異なるグループや部門を分離→ネットワークトラフィックとセキュリティを適切に管理することができる。
• フレキシブルなネットワーク管理
  • 物理的なネットワーク構造に縛られず、簡単にネットワークを再構築できる。
• VLANタグ付け
  • フレームにVLAN IDを付けることで、データが属するVLANを識別する。

ネットワーク学習の決定版（ネットワークエンジニアを目指すなら必見！）

マスタリングTCP/IP　入門編（第6版）

インターネットのプロトコルTCP/IP入門書の決定版!

Amazon

楽天

↑ページ数が多く誰でも手軽に読める内容ではありませんが、ネットワークエンジニアであれば、ほぼ全員が一度は読んだことがある超・有料書籍。是非一度読破しておきたい１冊のご紹介です。

読者特典＞　0から学ぶネットワーク入門

参考　VLANとは何か？

この記事では、VLANの中でも特に重要な２つのタイプ、「スタティックVLAN」と「ダイナミックVLAN」の基本と動作原理の違いについて深堀して解説します。

スタティックVLANは事前に設定されたポートに基づいてデバイスをVLANに割り当てる方法。ダイナミックVLANはデバイスの特性やアクティビティに基づき、自動的にVLANを割り当てる方法です。これら２つのタイプの違いを理解することで、VLANに対する基本理解を深めつつ、より実践的にVLAN構築のスキルを身につけることができるでしょう。

スタティックVLANとは

スタティックVLANはその名の通り「静的」な方法でネットワークデバイスをVLANに割り当てる手法です。スタティックVLANでは、ネットワーク管理者がネットワークスイッチ上の特定のポートを特定のVLANに割り当てます。

割り当ては手動・マニュアルで行われ、一度設定されるとそのポートに接続されたデバイスは自動的に指定されたVLANのメンバーとなります。つまり、再度ネットワーク管理者によって設定変更が行われない限り永続的にこの仮想的なネットワーク構成は変わらないということ。

先に結論から言ってしまうと、ダイナミックVLANはこの反対で「ネットワーク管理者ではなくソフトウェア的に自動でVLANを構築する」仕組みです。

スタティックVLANの設定は以下の手順で行うことが一般的です。詳細はこちらの記事（VLANとは何か？）で解説しておりますので、ここでは簡単に概要レベルで整理しておきます。

ポイント　スタティックVLANの設定

1. VLANの作成
   • まずスイッチ上でVLANを作成します。これは、VLAN IDを指定して行います。
2. ポートの割り当て
   • 次に各ポートを特定のVLANに割り当てます。この割り当ては、スイッチの設定インターフェースを通じて行われます。
3. VLAN間ルーティングの設定
   • 異なるVLAN間で通信を可能にするためには、VLAN間ルーティングの設定が必要です。これには、Layer 3スイッチやルータが使用されます。

スタティックVLANの利点

1. 強化されたセキュリティ
   • スタティックVLANは、ネットワーク管理者が明示的に各ポートをVLANに割り当てるため、意図しないデバイスのネットワークへのアクセスを効果的に防ぐことが可能。
   • VLAN間の通信は制御されているため、異なるVLAN間での不正なデータの流れを阻止でき、セキュリティインシデントのリスクの軽減に繋がります。。
2. ネットワークの安定性と予測可能性：
   • 手動での設定により、ネットワークの構成が一定期間安定し、予測可能な状態を保てる。
   • ネットワークに変更を加える際には、管理者が意図的に行うため、突発的な問題や予期せぬ変更が生じにくい。
3. トラフィックの効率的な管理：
   • VLANを分割することで、ネットワークトラフィックを効率的に分散させ、混雑を避けることができます。
   • 特定のグループや部門に専用のVLANを割り当てることで、必要なリソースへのアクセスを最適化し、ネットワークパフォーマンスを向上させることが可能です。

スタティックVLANの制約

1. 柔軟性の欠如：
   • ネットワークの変更や拡張が必要な場合、手動での再設定が必要となり、時間と労力がかかります。
   • 特に大規模なネットワークでは、新しいデバイスの追加や既存デバイスの移動に対応するのが難しくなる場合があります。
2. 管理の複雑さと負担：
   • 大規模ネットワークでは、ポートごとのVLAN割り当てを追跡し、管理することが困難になりがち・・・。
   • 人的ミスによる設定エラーのリスクがあり、これがネットワークの不具合やセキュリティの脆弱性につながることもあります。
3. 拡張性の制限：
   • スタティックVLANは、一度設定されるとその構成が固定されるため、迅速な拡張や柔軟な再構成が困難です。
   • 事業の成長や組織の再編に伴うネットワークの変更ニーズに迅速に対応することができない可能性があります。

スタティックVLANは超・ざっくり言えば「シンプルで簡単な方法」だけど、その分複雑で大きなネットワークが構築されている大規模組織には不向きです。この制約を受けて誕生したのがダイナミックVLANという考え方です。

ダイナミックVLANとは

ダイナミックVLANは、ネットワーク内のデバイスを自動的にVLANに割り当てる方法です。ここから、ダイナミックVLANの動作原理 / 設定方法 / 利点 および運用上の考慮点などについてすこし詳細に解説していきます。

ダイナミックVLANの動作原理

ダイナミックVLANは、ネットワークデバイスの属性（例えばMACアドレス、ユーザーID、プロトコルなど）に基づいて自動的に特定のVLANに割り当てられます。

一般的にはVLANメンバーシップポリシーサーバ（VMPS）などの専用の管理サーバーによって各デバイスの属性が認識され、その属性によって適切なVLANに割り当てる命令をスイッチに送信する形で実現されます。

ダイナミックVLANの設定手順

ステップ1　VLANメンバーシップポリシーサーバ（VMPS）の設定

1. VMPSサーバーの選定
   • VLANメンバーシップを管理するためのVMPSサーバーを選定します。これは通常、専用のソフトウェアがインストールされたサーバーです。
2. VMPSデータベースの構築
   • VMPSサーバーには、MACアドレスやユーザーIDなどのデバイス属性と、それらをどのVLANに割り当てるかのマッピング情報を含むデータベースを構築します。
3. セキュリティ設定
   • VMPSサーバーのセキュリティ設定を行い、不正アクセスや改ざんから保護します。

VMPSデータベースの中身は以下のようなイメージで、ネットワークデバイスの属性とVLAN割り当て情報をマッピングする形で構築されます。

↑の表では、各行がネットワーク上の各デバイスを表していますが、それらのデバイスは特定のVLANに割り当てられていることが分かります。VMPSはネットワークに接続されたデバイスのMACアドレスを認識し、このデータベースに基づいて適切なVLANを割り当てます。

ステップ2　スイッチの設定

1. VMPSサーバーへの接続
   • スイッチをVMPSサーバーに接続する。
2. VMPSクライアント機能の有効化
   • スイッチ上でVMPSクライアント機能を有効化し、VMPSサーバーとの通信を設定します。
3. 動的VLANの設定
   • スイッチ上で動的VLANの設定を行い、各ポートがVMPSサーバーからの割り当て命令を受け入れられるようにします。

ステップ3　VLANの動的割り当て

1. デバイス接続時の動作
   • デバイスがスイッチに接続されると、スイッチはデバイスの属性（例：MACアドレス）をVMPSサーバーに問い合わせます。
2. VLAN割り当て：
   • VMPSサーバーはデータベースを参照し、適切なVLANを割り当て、その情報をスイッチに返します。
3. 通信の開始：
   • スイッチはVMPSサーバーからの指示に従い、デバイスを指定されたVLANに割り当て、通信を開始します。

以上の手順に従ってダイナミックVLANの設定が行われます。このプロセスはネットワークの自動化と効率化に大きく貢献しますが、その複雑さとセキュリティ要件には要注意です。

ネットワーク学習の決定版（ネットワークエンジニアを目指すなら必見！）

マスタリングTCP/IP　入門編（第6版）

インターネットのプロトコルTCP/IP入門書の決定版!

Amazon

楽天

↑ページ数が多く誰でも手軽に読める内容ではありませんが、ネットワークエンジニアであれば、ほぼ全員が一度は読んだことがある超・有料書籍。是非一度読破しておきたい１冊のご紹介です。

読者特典＞　0から学ぶネットワーク入門

参考　OSI参照モデル / 通信プロトコルの基本

スマートフォンやPCなどを利用してインターネット接続を行うためには、各デバイスごとにIPアドレスを設定する必要があります。もしDHCPが正常に動作していなければ我々は手動でスマートフォン１つ１つにIPアドレスを設定しなければなりません。

この記事では、DHCPがどのように機能し、なぜそれが重要なのかを初心者向けに解説します。また、DHCPの基本原理、メリット、さらにはそれが私たちの日常生活にどのように役立っているかについてできるだけ具体的にご説明していきます。

ネットワークエンジニアを目指す方であれば知らないと恥ずかしい超・基本知識の１つです。是非最後までご覧ください。

DHCPとは？わかりやすく

DHCPとは、Dynamic Host Configuration Protocolの略で、コンピュータがインターネットに接続する際に必要となるIPアドレスを自動的に割り当てるプロトコルです。

インターネットに接続するためには、各デバイスがユニークな「IPアドレス」を持つ必要があります。IPアドレスは、インターネット上の住所のようなもので、デバイスがお互いを識別し、通信するために使用されます。しかし、これらのアドレスを手動で設定するのは時間がかかり複雑です。ここでDHCPの役割が重要になります。

始めに、なぜDHCPが必要になるのか？をしっかり理解できるように、まずは前提となるIPアドレスの基本知識についておさらいしておきましょう。

【復習】IPアドレスとは？

IPアドレス（Internet Protocol Address）は、インターネット上の各デバイスに割り当てられるユニークな識別番号のこと。これは、実世界の住所や電話番号に似ており、インターネット上でデバイスが互いに通信するために必要な「アドレス」を提供します。

現実の世界でも、誰かに手紙を送りたいときはその人の住んでいる「住所」を調べて手紙を郵便局に配達しますよね。これと同じです。

ポイント　IPアドレスの役割

1. 通信
   • デバイス間の正確なデータ転送を可能にする
2. 識別
   • ネットワーク上の各デバイスを一意に識別する
3. 位置情報
   • IPアドレスは、デバイスの地理的な位置情報をある程度提供することも可能（正確ではない場合もあります）

参考　IPアドレスとは？ / Internet Protocolとは？

インターネットの世界では「IPアドレス」を基に、メールをどこに送れば良いか？動画データを誰のスマートフォンに送れば良いか？を判断します。そのため、インターネットに接続している全てのコンピュータには必ずIPアドレスの設定を行う必要があります。

今このページをご覧になっている（＝インターネットに接続している）ということは、あなたのスマートフォン・パソコンにもこのIPアドレスが設定されていると言えます。もしIPアドレスが設定されていなければ、インターネットに接続することはできません。

だけど「IPアドレス」の設定は面倒・・・

IPアドレスはインターネットに接続するためには絶対に必要な設定であるにも関わらず、この設定が結構面倒なのです。

例えば、IPアドレスは現実世界における「住所」と同じ役割を果たすため、同じIPアドレスを複数のコンピュータで共有することはできません。（厳密に説明すると「同じネットワーク内で同一のIPアドレス」を持つ機器が存在してはいけません。）

したがって、ネットワーク内に存在する全てのコンピュータに割り当てるIPアドレスを一元管理する仕組みが必要となってきます。

また、IPアドレスの設定はネットワークが変わると（例・・WiFiからモバイル回線へ切り替える / WiFiからイーサネット接続に切り替える）その都度再設定が必要になります。家に帰るたびに手動でIPアドレスを設定するのはかなりの手間ですし、そのためのスキルも必要となってきます。

また、IPアドレスだけではなく、その他にもサブネットマスクやローカルDNSサーバの設定、デフォルトゲートウェイの設定など、インターネットに接続するために必要な設定はたくさん存在します。

参考　サブネットマスク / DNSサーバー / デフォルトゲートウェイ

このような煩雑さを解消するために生まれたのがDHCP（Dynamic Host Configuration Protocol）です。

DHCPを利用すれば、IPアドレスへの知識やネットワークの知識がなくても、スマートフォンを起動するだけで誰でも簡単にインターネット接続が可能になるのです。

DHCPの仕組み / 動作原理

では、どのようにDHCPが各機器にIPアドレスを割り当てるのか？その具体的な仕組みを解説します。登場人物はDHCPクライアントとDHCPサーバの２つです。

参考　クライアントサーバーシステム

DHCPクライアントとは、パソコンやスマートフォンなどインターネットに接続する機器のことで、IPアドレスを割り当てられる側を指します。対して、DHCPサーバはIPアドレスを割り当てる側です。

1. DHCPサーバー
   • ネットワーク上でIPアドレスを管理し、デバイスに割り当てる役割を持つサーバー。
2. DHCPクライアント
   • IPアドレスを必要とするデバイス（コンピュータ、スマートフォンなど）です。

このDHCPサーバーとDHCPクライアントが「DORA」と呼ばれる４ステップのやりとり（＝パケットの交換）を行うことでIPアドレスなどの設定を自動的に行います。

ポイント　DHCPプロセス（DORA）

1. DHCP Discover (発見)
   • DHCPクライアントはネットワーク上で「DHCPサーバーはどこですか？」と尋ねるDiscoverメッセージをブロードキャストします。
2. DHCP Offer (提供)
   • DHCPサーバーが利用可能なIPアドレスを含むOfferメッセージをクライアントに送ります。
3. DHCP Request (要求)
   • クライアントは提供されたIPアドレスを使用することをリクエストするメッセージをサーバーに送信します。
4. DHCP Acknowledge (承認)
   • DHCPサーバーは、IPアドレスの割り当てを確認するAcknowledgeメッセージをクライアントに送り、プロセスを完了します。

①DHCP Discover

まず始めはDHCPクライアントがDHCPサーバを探索するところから開始します。

DHCPクライアントは、DHCPサーバがどこにあるのか分かりません。（DHCPサーバ自体のIPアドレスが分からないため直接通信することができません。）したがって、まずはネットワーク内のすべての宛先に対してDHCP Discoverというパケットをブロードキャストします。

参考　ブロードキャストとは？

参考　DHCP Discoverメッセージの内容

リース期間についてはページ後半で詳しく解説しますが、簡単に言うと「割り当てられたIPアドレスが有効である期間」のことです。

②DHCP Offer

DHCP Offerメッセージは、DHCPサーバーがネットワーク上のDHCPクライアントに対してIPアドレスを提供する際に使用されるメッセージです。このメッセージは、クライアントが送信したDHCP Discoverメッセージに応答して送られます。

参考　DHCP Offerメッセージの詳細

ただし、この時もまだDHCPクライアントのIPアドレスは設定されていないため、厳密に言えばDHCP Offerもブロードキャストで届けられる点を押さえておきましょう。

③DHCP Request

DHCP Requestメッセージは、DHCPのIPアドレス割り当てプロセスにおいて、クライアントがDHCPサーバーから提供されたIPアドレスの使用を正式に要求する際に使用されるメッセージです。このメッセージは、クライアントが受け取ったDHCP Offerメッセージに応答して送信されます。

参考　DHCP Requestメッセージの詳細

④DHCP Acknowledge

DHCP Acknowledgeメッセージは、DHCPサーバーがクライアントに対してIPアドレスの割り当てを確認し、その他のネットワーク設定情報を提供する際に使用されるメッセージです。このメッセージは、クライアントが送信したDHCP Requestメッセージに対する応答として送信されます。

これで、DHCPクライアントへのIPアドレス等必要な設定が完了します。

参考　DHCP Acknowledgeメッセージの詳細

DHCP：リース期間（Lease Time）

割り当てられたIPアドレスは永久にクライアントのものではありません。通常、これらのアドレスには「リース期間」が設定されており、この期間が終了するとIPアドレスは再割り当てされる仕組みです。クライアントはリース期間が切れる前に、DHCPサーバーに対してIPアドレスの更新または延長を要求したりすることができます。

ポイント　リース期間の基本

1. 定義
   • リース期間は、DHCPサーバーがクライアントにIPアドレスを「貸し出す」期間のこと。この期間が終了するとIPアドレスはサーバーに「返却」される。
2. 期間の設定
   • リース期間は通常、DHCPサーバーによって設定されます。この期間は数分から数日、場合によってはそれ以上に設定されることもある。リース期間の長さは、ネットワークの要件や管理ポリシーに応じて異なる。
3. リースの更新
   • リース期間が終了する前に、クライアントはDHCPサーバーに対してリースの更新を要求することができる。これはリース期間の約半分が経過した時点で自動的に開始されます。サーバーはリースを更新し、同じIPアドレスをクライアントに継続して割り当てることが多い。

ポイント　リース期間の重要性

1. IPアドレスの効率的な管理
   • リース期間により、使用されていないIPアドレスは自動的に「回収」され、新しいクライアントに割り当てることが可能。→限られたIPアドレスリソースを効率的に利用することができる。
2. ネットワークの柔軟性
   • ネットワークに一時的に接続されるデバイス（ゲストのデバイスやモバイルデバイスなど）に対して、リース期間を設定することで、そのIPアドレスが不必要になった時に他のデバイスに再割り当てできる柔軟性を持たせることができる。
3. セキュリティと安定性
   • リース期間を通じて定期的にIPアドレスを更新することで、ネットワークのセキュリティを高める効果がある。ネットワークの設定変更やトラブルシューティングの際に、IPアドレスの割り当てを容易に管理できるため、ネットワークの安定性にも寄与。

ネットワーク学習の決定版（ネットワークエンジニアを目指すなら必見！）

マスタリングTCP/IP　入門編（第6版）

インターネットのプロトコルTCP/IP入門書の決定版!

Amazon

楽天

↑ページ数が多く誰でも手軽に読める内容ではありませんが、ネットワークエンジニアであれば、ほぼ全員が一度は読んだことがある超・有料書籍。是非一度読破しておきたい１冊のご紹介です。

読者特典＞　0から学ぶネットワーク入門

発展：DHCPリレーエージェント

DHCPに関連する知識の１つにDHCPリレーエージェントがあります。

DHCPリレーエージェントについてはネットワークスペシャリスト試験でも頻出の内容ですので、以下の記事も是非併せてご覧ください。

【図解】DHCPリレーエージェントとは？わかりやすく１分で解説

【ネットワーク初心者向け】DHCPリレーエージェントとは何か？なぜ必要になるのか？という疑問をお持ちの方に１からわかりやすく図解します。

it-biz.online

2024.01.16

DNSがないと、例えばWebサイトにアクセスするのに「https://it-biz.online/（＝ドメイン名）」と入力するのではなく、「https://192.168.1.1」のようにIPアドレスを入力する必要がでてきます。

このページではDNSって何？どういう仕組みで動いている？なぜDNSが必要なの？という疑問をお持ちの方に、分かりやすく３分でDNSについての基礎知識を解説します。

図解付きでご説明します。

Web系エンジニアを目指す方やネットワークエンジニアを目指す方であれば知らないと恥ずかしい超・基本知識の１つです。是非最後までご覧ください。

DNSとは？わかりやすく解説

DNS（Domain Name System）とは、ドメイン名をIPアドレスに変換する仕組み（＝プロトコル）です。

DNSというと難しく考えてしまう人がいますが、基本的には上記の図を理解できればOK。決して難しい内容ではありません。

ただしこのページでは、「なぜドメイン名とIPアドレスを変換する必要があるのか？」「そもそもIPアドレスって何？」「ドメインって何」という部分まで深堀しながら解説します。

IPアドレス＝インターネットの世界における「住所」

IPアドレス（Internet Protocol Address）とは、インターネットの世界における住所のようなもので、コンピュータを一意に特定するための識別子です。

このIPアドレスはインターネットに接続する全てのコンピュータに割り振られており、IPアドレスをもとにお互いに通信を行うことでメールの送受信やWebページの閲覧が可能となります。

例えば誰かに手紙を送りたいとき―。その人の住んでいる「住所」を調べて手紙を郵便局に配達しますよね。これと同じようにインターネットの世界でも「IPアドレス」を基に、メールをどこに送れば良いか？動画データを誰のスマートフォンに送れば良いか？などを判断します。

IPアドレスのデメリット→数字の羅列で「わかりづらい」

IPアドレスにもデメリットがあります。

それは、ずばり人間にとって理解しづらいという点です。

https://192.168.115.115 という羅列でWebページを指定する場合、一体これがどんなWebページを表しているのか見当がつきません。また、数字の羅列でメールの宛先を指定するような場合、入力ミスで誤って別の宛先に送ってしまうような場合も考えられます。

そこで考え出されたのがドメイン名です。

人間にとって分かりやすい「お名前」を付けることで、ストレスなくインターネットを利用する方法が考え出されたのです。

「https://www.google.com」や「https://it-biz.online」とした方がどんなページなのか想像つきやすいですよね。

この、IPアドレスとドメイン名の対応関係を管理し、リクエストに応じてIPアドレスとドメイン名を変換する役割を担うのがDNS（Domain Name System）です。

ただし、実際には１つのDNSサーバに全世界のコンピュータのドメイン名とIPアドレスの対応表が保存されているわけではありません。どのように全世界のドメイン名とIPアドレスを管理しているか？次の章ではさらに詳しいDNSの仕組みを解説します。

DNSの仕組みをさらにわかりやすく

ここからは、さらに一歩深くDNS（Domain Name System）の仕組みを解説していきます。

まずは、DNSの仕組みを理解するための前提となるドメイン名の構造について簡単に解説します。

ドメイン名の構造

DNSの仕組みを理解するためにはドメイン名の構造を理解する必要があります。

ドメイン名は以下のように階層構造がとられています。

この階層構造は現実世界の「住所」と同じように考えればOK。

日本という国の下に東京都があり、東京都の下に千代田区、霞が関と続きます。それぞれが階層関係になっているように、ドメイン名も同じように階層構造をとります。

一番右側のドメインをトップレベルドメインと呼び、そこから左に行くにつれ階層が下がっていきます。上位の階層が下位の階層のドメイン名を管理します。

ポイント　ドメイン名の仕組み/ルール

1. 階層的構造
   • ドメイン名は階層的な構造を持つ → 一般的には右から左に読む。
   • 最も右側に位置する部分を「トップレベルドメイン（TLD）」と呼ぶ。→代表的なものとして（.com、.org、.net）や国コードTLD（.jp、.uk、.us）などが存在。
   • TLDの左側に位置するのが「セカンドレベルドメイン」。これは具体的なWebサイトや組織を指す（例：google.comの「google」部分）。
   • これらに続く任意の下位のレベルを「サブドメイン」と呼ぶ（例：mail.google.comの「mail」部分）。
2. 命名規則
   • ドメイン名は英数字とハイフン（-）を使用可能。ただし、ハイフンはドメイン名の最初や最後には置けない。
   • 文字数の制限があり一般的には各レベルで1文字から63文字まで、全体で最大253文字まで。
   • 大文字と小文字は区別されず、どちらも同じドメイン名として扱われる。
3. ユニークな識別子
   • 各ドメイン名は世界で唯一のものであり、重複することはない。

DNSサーバの構造

ドメイン名が階層構造で管理されているため、DNSサーバも階層構造をとります。

1番上の「root」を頂点として、トップレベルドメイン・第2レベルドメイン・・・と各階層が下に続く形です。

上記の図における１つ１つの箱はDNSサーバを表しています。

各DNSサーバは自分の担当するドメイン名についてIPアドレスとドメイン名の対応表を保持しており、同時に自分の配下に存在するドメインのDNSサーバの管理も行っています。

ポイント　DNSサーバーの種類

• ルートDNSサーバー
  • 最上位に位置し、トップレベルDNSへの問い合わせを案内。
• トップレベルDNSサーバー
  • 特定のドメイン（.com、.netなど）の情報を保持
• オーソリティブDNSサーバー
  • 特定のドメインに対する正確なIPアドレス情報を保持。

DNSの仕組み―名前解決

さて、上記の前提知識を頭に入れたうえで、実際にどのようにDSNがIPアドレスとドメイン名の変換を行っているかを見ていきます。

例として、Webブラウザ上で「https://www.example.com」と入力した場合の動作を解説します。まず、最初のステップはリゾルバがローカルのDNSサーバーに問い合わせを行うことから始まります。

リゾルバ

DNSサーバへ問い合わせを行うホスト（＝コンピュータ）、もしくはその問い合わせを行うソフトウェアのことをリゾルバ（英：Resolver）と呼びます。

DNSサーバの対になる概念なので、DNSクライアントと呼ばれる場合もあります。

ローカルDNSサーバとは、リゾルバが最初に問い合わせを行うDNSサーバのことです。これは通常家庭内ネットワークにおいてはルーターがその役割を兼ねています。

このローカルDNSサーバは、最近利用したドメイン名とIPアドレスの対応表を保持しているのが普通で、もし最近アクセスしたドメインであれば対応するIPアドレスをリゾルバに返します。

ただし、初めてアクセスするドメインについてはIPアドレスの対応表を保持していないため、IPアドレスを返すことができません。その場合は、ルートDNSサーバに問い合わせを行います。

ルートDNSサーバとは、DNSにおける最高権威者。ルートDNSサーバは対応するIPアドレスが分かればその結果を返しますが、メインとなる役割は世界中のDSNサーバの元締めです。つまり、ルートDNSサーバからIPアドレスが返ってくることはほとんどなく、実際には「どのDNSサーバであればドメイン名とIPアドレスの対応表を持っているか？」を教えてくれます。

今回の例でいくと、「www.example.co.jp」に対するIPアドレスの問い合わせなので、ルートDNSサーバは、トップレベルドメインの「jp」を管理するDNSサーバを紹介してくれます。

ローカルDNSサーバは、ルートDNSサーバから受け取った返答を確認し「jp」DNNサーバに問い合わせを投げれば良いことを知ります。したがって、そのまま同じ質問を「jp」DNSサーバに問い合わせます。

ここで、「jp」DNSサーバは対応するIPアドレスを知っていれば回答を返します。しかし、対応するIPアドレスがない場合はさらに下の階層のDNSサーバを紹介します。

今回の例でいうと、「jp」ドメインが管理する「co」DNSサーバに問い合わせをすれば良さそうであることが分かりますよね。「jp」DNSサーバは「co」DNSサーバを紹介します。

以降は同様の処理を対象のドメイン名とIPアドレスの対応表を保持するDNSサーバが見つかるまで繰り返します。

最終的に「example」ドメインを管理するDNSサーバから対応するIPアドレスを返してもらい、目的とするIPアドレスを把握することができる仕組みです。

実際にWebブラウザを用いてサイト閲覧を行う際には、取得したIPアドレスを用いられます。

以上がDNSの仕組みの概要です。

DNSレコード

ドメイン名 ⇔ IPアドレス の対応を整理した情報を「DNSレコード」と呼び、そのドメインに関するDNSレコードを１個にまとめたものを「ゾーンファイル」ます。

このページでは、Webサイトのドメイン名とIPアドレスの変換を例に説明を進めていますが、DNSレコードにはメールサーバーとIPアドレスの対応表やドメイン ⇔ ドメインの対応表など、様々な情報が記載されています。

以下の記事でDNSレコード（ゾーンファイル）の記載内容/設定方法について詳しく解説しておりますので、合わせてご覧下さい。

DNSレコード（ゾーンファイル）の設定方法を３分で解説

【IT初心者向け】DNSレコードとゾーンファイルの基本を解説。DNSレコードの種類と役割、ゾーンファイルの重要性、およびこれらがどのように連携してインターネット上でドメイン名を効果的に管理するかを初心者にもわかりやすく説明します。ドメインとDNSの基礎知識を身につけましょう。

it-biz.online

2024.01.23

DNSキャッシュ

毎回↑のようなフローでドメイン名→IPアドレスの変換を行っていると、通信のスピードも下がってしまいます。ここでは、その問題を解決するDNSキャッシュについてもご説明しておきます。

DNSキャッシュとは、以前にアクセスしたWebサイトのドメイン名とIPアドレスのペアを一時的に保存する仕組み・機能です。このキャッシュは、Webページをロードする際の時間を短縮し、効率を高めるために重要な役割を果たします。

1. 定義
   • DNSキャッシュは、DNSクエリの結果（ドメイン名とそれに対応するIPアドレス）を一時的に保存するシステム。
2. 目的:
   • インターネットの速度と効率を向上させるために、DNSリクエストの回数を減らす。

DNSキャッシュの機能

Webサイトにアクセスする際、コンピューターは最初にローカルDNSキャッシュをチェックします。もしそれ以前にそのサイトにアクセスしていてキャッシュがまだ有効な場合、コンピューターは直接そのIPアドレスにアクセスします。これにより外部のDNSサーバーに問い合わせる手間が省かれ、時間が節約されます。

1. DNSリクエストの処理
   • ユーザーがWebサイトにアクセスするとき、そのデバイスのDNSリゾルバは最初にローカルのDNSキャッシュをチェック。
2. キャッシュの確認
   • キャッシュに該当するドメイン名の記録があれば、そのIPアドレスを直ちに使用する。
3. キャッシュヒットとキャッシュミス
   • キャッシュに記録がある場合を「キャッシュヒット」と呼び、ない場合を「キャッシュミス」と呼びます。

DNSキャッシュの更新

キャッシュには有効期限が設定されており、これを「TTL（Time To Live）」と呼ばれます。

この期間が過ぎると、キャッシュされた情報は「期限切れ」となり、次にそのドメイン名にアクセスする際には新たにDNSサーバーに問い合わせが行われます。こうすることで、ドメイン名のIPアドレスが変更されても、最終的には新しい情報に更新されることになります。

1. TTL（Time To Live）
   • 各DNSレコードにはTTL（＝キャッシュに保存される時間）が設定されている。
2. キャッシュの期限切れ
   • TTLが経過すると、キャッシュは「期限切れ」となり、次回のリクエスト時に新たなDNSクエリが発生。

DNSキャッシュの欠点

キャッシュの情報が最新でない場合、ユーザーは古い or 不正確な情報に基づいたアクセスを行うことになります。例えば、Webサイトが新しいサーバーに移動した場合、TTLが切れるまでの間古いサーバーのIPアドレスがキャッシュされ続ける可能性があります。

また、セキュリティ面では、DNSキャッシュポイズニングのような攻撃がリスクとして存在します。

1. 最新情報の遅延
   • DNSレコードが更新された後も、TTLが切れるまでは古い情報がキャッシュされたままになることがあります。
2. セキュリティリスク
   • DNSキャッシュポイズニングなどの攻撃により、不正な情報がキャッシュされるリスクがあります。

このように、DNSキャッシュはインターネットの効率性を高める重要な機能ですが、最新情報の遅延やセキュリティリスクなど、適切な管理が必要な側面もあります。

まとめ　DNS（ドメインネームシステム）とは？

1. リゾルバによる問い合わせ:
   • ユーザーのデバイス上のDNSリゾルバが、Webサイトへのアクセス時にローカルDNSサーバにドメイン名（例：www.example.com）と対応するIPアドレスの関係を問い合わせる。
2. ローカルDNSサーバの役割:
   • ローカルDNSサーバに該当するドメイン名の情報がない場合、さらに上位のDNSサーバーに問い合わせを行う。
3. ルートDNSサーバへの問い合わせ:
   • 最初の問い合わせ先は通常、ルートDNSサーバ。このサーバはトップレベルドメイン（例：.com、.org）に関する情報を保持するDNSサーバを紹介する。
4. 階層的な問い合わせ:
   • 紹介されたDNSサーバが対応するドメインの情報を持っていない場合、その下の階層（例：特定のドメインに対するオーソリティブDNSサーバ）への問い合わせを紹介。
5. IPアドレスの特定:
   • 最終的に、目的のドメイン名に対応するIPアドレスが見つかるまで、このプロセスが繰り返される。
6. DNSキャッシュ:
   • DNSリクエストが行われると、その結果（ドメイン名とIPアドレス）はDNSリゾルバやローカルDNSサーバに一時的にキャッシュ（保存）される。
7. キャッシュによる効率化:
   • キャッシュされた情報は、次に同じドメイン名へのアクセスがある場合に再利用される。これにより、繰り返しのDNSリクエストを行う必要がなくなり、応答時間が短縮。
8. キャッシュの有効期限（TTL）:
   • キャッシュされた各レコードには「Time To Live（TTL）」が設定されており、これはキャッシュが有効な時間を表す。TTLが切れると、次回のアクセス時に新たなDNSリクエストが必要となる。

DNSの仕組みをさらに詳しく

DNSの仕組みをより具体的な値とコマンドのやり取りを使って説明します。ここでは、一般的なWebブラウザからのDNSクエリのプロセスを例にします。

1. ユーザーのアクション:
   • ユーザーがブラウザに www.example.com を入力します。
2. オペレーティングシステムのDNSリゾルバ起動:
   • オペレーティングシステム（OS）はDNSリゾルバを起動し、www.example.com のIPアドレスを見つけるためにローカルDNSキャッシュをチェックします。

# コマンド例 (Windows)
nslookup www.example.com

# コマンド例 (Unix/Linux)
dig www.example.com

3. ローカルDNSキャッシュのチェック:
   • もしローカルキャッシュに該当ドメインの情報があれば、そのIPアドレスを使用します。
   • キャッシュに情報がなければ、リクエストは設定されているDNSサーバ（例えばISPのDNSサーバ）に転送されます。
4. ISPのDNSサーバへの問い合わせ:
   • ISPのDNSサーバは、まず自身のキャッシュをチェックします。
   • キャッシュになければ、ルートDNSサーバに問い合わせを行います。

# ルートDNSサーバに対する問い合わせの例
dig @a.root-servers.net www.example.com

5. ルートDNSサーバの応答:
   • ルートDNSサーバは.comドメインのトップレベルDNSサーバへのリダイレクトを提供します。
6. トップレベルDNSサーバへの問い合わせ:
   • ISPのDNSサーバは、指示されたトップレベルDNSサーバ（例えば.comの場合）に問い合わせを行います。

# トップレベルDNSサーバに対する問い合わせの例
dig @m.gtld-servers.net www.example.com

7. オーソリティブDNSサーバへのリダイレクト:
   • トップレベルDNSサーバは、example.comドメインのオーソリティブDNSサーバのアドレスを返します。
8. オーソリティブDNSサーバへの問い合わせ:
   • 最終的にISPのDNSサーバはオーソリティブDNSサーバに問い合わせを行い、www.example.com のIPアドレスを取得します。

# オーソリティブDNSサーバに対する問い合わせの例
dig @ns.example.com www.example.com

9. IPアドレスの取得とキャッシュ:
   • 取得したIPアドレスは、ユーザーのデバイスのローカルDNSキャッシュに保存され、ブラウザはこのIPアドレスを使用してWebサイトにアクセス。

ネットワーク学習の決定版（ネットワークエンジニアを目指すなら必見！）

マスタリングTCP/IP　入門編（第6版）

インターネットのプロトコルTCP/IP入門書の決定版!

Amazon

楽天

↑ページ数が多く誰でも手軽に読める内容ではありませんが、ネットワークエンジニアであれば、ほぼ全員が一度は読んだことがある超・有料書籍。是非一度読破しておきたい１冊のご紹介です。

読者特典＞　0から学ぶネットワーク入門

DNSは、Webサイトやサーバーなどのネットワークリソースに「名前（＝ドメイン名）」を割り当て、そのドメイン名をIPアドレスに変換する役割を担っています。それに対して、この変換プロセスで参照されるのがDNSレコードです。

参考　DNS（ドメインネームシステム）とは？

; DNSレコードの例 for example.com
$TTL 86400
@   IN  SOA     ns1.example.com. admin.example.com. (
              2024012401 ; シリアル
              7200       ; リフレッシュ
              7200       ; リトライ
              1209600    ; 有効期限
              86400 )    ; 最小TTL
; 名前サーバーの設定
@   IN  NS      ns1.example.com.
@   IN  NS      ns2.example.com.

; Aレコード for example.com
@   IN  A       192.0.2.1

; AAAAレコード for IPv6
@   IN  AAAA    2001:db8::1

; MXレコード for メールサーバ
@   IN  MX 10   mail.example.com.

; CNAMEレコード
www IN  CNAME   example.com.
ftp  IN  CNAME   example.com.

; 別のAレコード for サブドメイン
subdomain IN  A  192.0.2.2

; TXTレコード for SPFやその他の目的
@   IN  TXT "v=spf1 include:example.com ~all"

この記事では、DNSレコードがどのように機能し、どのように設定されるかに焦点を当てます。DNSレコードはWebサイトへのアクセスやメールの送受信など、私たちがインターネットを利用する上で不可欠な役割を果たしています。

ここでは、DNSレコードの種類、それぞれの役割、そして実際にどのように設定するのかを、初心者にもわかりやすく解説します。

DNSレコードの基礎

DNSレコードとは、ドメイン名システム（DNS）において、ドメイン名に関連する情報を保存するためのデータです。これには、Webサイトのアドレス、メールサーバー、その他のサービスへのパスが含まれます。DNSレコードにはさまざまなタイプがあり、それぞれが特定の目的を持っています。

DNSレコードはインターネットの電話帳のようなもので、DNSレコードがなければ、我々はWebサイトの名前を入力してもそのサイトの正確な場所（IPアドレス）を見つけることができません。

DNSレコードの基本構造と記載方法

DNSレコードは、インターネットのドメイン名システム（DNS）内でドメイン名とそれに関連する情報を関連付けるためのデータで、これは特定のフォーマットに従って記載され、DNSサーバーがクエリに応答する際に使用されます。

具体的にイメージがしやすいように、DNSレコードの基本構造と記載方法について詳しく見ていきましょう。

サンプル　DNSレコードの例

example.com.     3600    IN  A   192.0.2.1

example.com.はホスト名、3600はTTL（秒単位）、INはクラス、Aはレコードタイプ、192.0.2.1はこのドメイン名に対応するIPv4アドレスです。

1. ホスト名
   • レコードが適用されるドメイン名またはサブドメイン名
2. TTL（Time To Live）
   • レコードがキャッシュ（一時保存）される時間（秒）。
3. クラス
   • 通常は「IN」で、インターネットを意味する。
4. タイプ
   • レコードの種類（例：A、MX、CNAME）。
5. 値
   • レコードタイプに応じたデータ（IPアドレス、他のドメイン名など）。

DNSレコードは、ドメイン名の解決とルーティングに必要な特定の情報を提供します。これにより、DNSサーバーはユーザーのクエリに対して適切な応答を行い、ユーザーはドメイン名を使用して特定のサービスにアクセスできるようになります。

そのうえで、DNSレコードをマスターするうえで重要なのがDNSレコードタイプです。

DNSレコードのタイプ一覧

DNSレコードのタイプは、そのレコードがどのような目的で利用されるのかを表す役割を担います。

例えば、Webサイトのアドレスを指定するためのレコード、メールサービスのルーティングを定義するレコード、サブドメインやセキュリティ設定を管理するレコードなど、各タイプは特定の機能や用途に対応しています。

以下にDNSレコードのタイプを一覧で整理します。

ポイント　DNSレコードの詳細解説

• Aレコード
  • 最も基本的なレコードタイプ。ドメイン名（例：www.example.com）をIPv4形式のIPアドレスにマッピング。Webサイトのアドレス指定に不可欠です。
• AAAAレコード
  • Aレコードと同様ですが、IPv6アドレス（新しいIPアドレス形式）に対応しています。
• MXレコード
  • ドメインのメール交換サーバのアドレスを指定し、メールの配送先を決定。複数のMXレコードを優先度に基づいて設定できます。
• CNAMEレコード
  • １つのドメイン名（エイリアス）を別のドメイン名にマッピングします。例えば、www.example.comをexample.comにリダイレクトする場合に使用します。
• TXTレコード
  • ドメインに関連する任意のテキスト情報を提供。これは、セキュリティ設定（例：SPF、DKIM）やドメインの検証によく使用されます。
• NSレコード
  • ドメインのDNSクエリを処理する名前サーバを指定します。DNS設定の基本的な部分です。
• PTRレコード
  • IPアドレスから対応するドメイン名への逆引き（逆DNSルックアップ）を可能にします。主にメールサーバの信頼性向上に役立ちます。
• SRVレコード
  • 特定のサービスの位置（ポートとホスト名）を示します。例えば、VoIP（Voice over IP）サービスやメッセージングサービスで使用されます。
• SOAレコード
  • DNSゾーンの権威情報を含み、ゾーンの管理に関するデータ（例：ゾーンの更新頻度、連絡先情報）を提供します。

これらのレコードは、DNSシステム内で異なる役割を果たし、インターネット上での情報の流れを制御し、整理します。それぞれのレコードタイプを適切に設定することで、ドメインの機能性と信頼性が高まります。

DNSレコードの役割（Webサイトへのアクセスを例に）

ここからはDNSレコードが参照されるプロセスを、具体的なシーンを例にして１個１個順を追いながらご説明していきます。ここでは、ユーザーがブラウザで「www.example.com」というWebサイトにアクセスするシナリオを使用します。

ステップ1: ドメイン名の入力

• ユーザーアクション: ユーザーがブラウザに「www.example.com」と入力。
• 背景: ユーザーはWebサイトのドメイン名を知っていますが、そのサイトの実際のIPアドレスは知りません。

ステップ2: DNSクエリの開始

• システムアクション: ブラウザは入力されたドメイン名を元にDNSクエリを開始します。
• 背景: ドメイン名をサーバーのIPアドレスに変換するため、DNSシステムが必要です。

ステップ3: ローカルDNSサーバーへの問い合わせ

• システムアクション: ユーザーのデバイスはまず設定されているローカルDNSサーバー（多くの場合はISPが提供）に問い合わせます。
• 背景: ローカルDNSサーバーには、以前のクエリによるキャッシュ情報がある場合があります。

ステップ4: DNSレコードの検索

• システムアクション: ローカルDNSサーバーが必要なレコードを持っていない場合、ルートDNSサーバー、TLD（トップレベルドメイン）サーバー、そして最終的に「example.com」の権威DNSサーバーに問い合わせを行います。
• 背景: このプロセスは、ドメイン名に関連する正確な情報（この場合は「www.example.com」のIPアドレス）を見つけるために必要です。

ステップ5: DNSレコードの取得

• システムアクション: 権威DNSサーバーは、該当するドメインのAレコード（またはAAAAレコード）を含む応答をローカルDNSサーバーに返します。
• 背景: Aレコードは、ドメイン名をIPアドレスに関連付けるために使用されます。

ステップ6: Webサイトへのアクセス

• システムアクション: ローカルDNSサーバーは取得したIPアドレスをブラウザに返し、ブラウザはそのIPアドレスに接続してウェブサイトのコンテンツを取得します。
• 背景: ブラウザは、IPアドレスを使用してウェブサーバーと通信し、ウェブページをユーザーに表示します。

このプロセスでは、DNSレコードがWebサイトのアドレス解決に不可欠な役割を果たしていることが分かるかと思います。正確なDNSレコードの設定がなければ、ブラウザは正しいIPアドレスを見つけることができず、Webサイトにアクセスすることができません。DNSレコードの役割や重要性が良くわかるのではないでしょうか。

ゾーンファイルとは？

ゾーンファイルとは、特定のドメインに関連するすべてのDNSレコードを包括的に管理するテキストファイルです。このファイルは、DNSサーバーがドメイン名のクエリに応答する際に使用される情報源となります。

例えば、"example.com"のドメインがある場合、そのドメインに関連するすべてのDNSレコード（WebサイトのIPアドレス、メールサーバーの位置など）は"example.com"のゾーンファイル内に記載されます。DNSサーバーは、このゾーンファイルを基にして、"example.com"に対するすべてのDNSクエリに応答します。

サンプル　ゾーンファイルの例

$TTL 86400
@       IN      SOA     ns.example.com. admin.example.com. (
                              2024010101 ; シリアル
                              7200       ; リフレッシュ
                              7200       ; リトライ
                              1209600    ; 有効期限
                              86400 )    ; 最小TTL
@       IN      NS      ns.example.com.
@       IN      A       192.0.2.1
www     IN      CNAME   example.com.
mail    IN      A       192.0.2.2
example.com. IN MX 10 mail.example.com.

このファイルでは、"example.com"のメインIPアドレス（192.0.2.1）、"www"サブドメインのCNAMEレコード、メールサーバーのAレコードとMXレコードが設定されています。

; DNSレコードの例 for example.com
$TTL 86400
@   IN  SOA     ns1.example.com. admin.example.com. (
              2024012401 ; シリアル
              7200       ; リフレッシュ
              7200       ; リトライ
              1209600    ; 有効期限
              86400 )    ; 最小TTL
; 名前サーバーの設定
@   IN  NS      ns1.example.com.
@   IN  NS      ns2.example.com.

; Aレコード for example.com
@   IN  A       192.0.2.1

; AAAAレコード for IPv6
@   IN  AAAA    2001:db8::1

; MXレコード for メールサーバ
@   IN  MX 10   mail.example.com.

; CNAMEレコード
www IN  CNAME   example.com.
ftp  IN  CNAME   example.com.

; 別のAレコード for サブドメイン
subdomain IN  A  192.0.2.2

; TXTレコード for SPFやその他の目的
@   IN  TXT "v=spf1 include:example.com ~all"

参考　ネットワークとは？

日常生活で例えると、例えば家から外に出るときは玄関を通りますが、この玄関のことをデフォルトゲートウェイと呼ぶようなイメージ。家庭内ではルーターがその役割を担う場合が一般的です。

具体的にいうと、私たちのコンピューターやスマートフォンが、自身のLAN（例えば自宅やオフィスのローカルネットワーク）からインターネットにアクセスするためには、このデフォルトゲートウェイを通過する必要があります。デフォルトゲートウェイは、データを正しい目的地にルーティングする役割を担い、インターネット上の他のネットワークとの接続を確立します。

参考　ルーティングとは？

この記事では、デフォルトゲートウェイの基本的な機能、その仕組み、そして日常の使用における重要性について深く掘り下げていきます。

デフォルトゲートウェイとは何か？

ネットワーク初心者にとっては理解しづらい内容かもしれませんので、最初はできるだけわかりやすく日常生活に例えて説明を進めます。

デフォルトゲートウェイを理解するためにあなたの住む「町」に例えて考えてみましょう。

町には家や店があり、町の中での活動（例えば隣の家への訪問や店での買い物）は町の内部で完結することができます。他の町（＝ネットワーク）がどのような状況であれ、その町に必要なお店があれば必要な買い物をすることが可能です。しかし、他の町にしか存在しないお店に行く必要があるシーンも出てくるでしょう。

このときあなたは町の出入り口を通る必要があります。

デフォルトゲートウェイはこの町の「出入り口」のようなもの。コンピューターやスマートフォンがあなたの「町」（ローカルネットワーク）内で情報をやり取りする場合はすべて町内で完結します。しかし、インターネット上の別の「町」（他のネットワーク）へ情報を送る（またはそこから情報を受け取る）場合、デフォルトゲートウェイを通る必要があるということです。

家庭内のプリンターやスピーカーにデータを送る場合には他のネットワークの情報を必要としないのでデフォルトゲートウェイは通らない。しかし、インターネットを通じて音楽を聴いたりWebページを閲覧するような場合は、他のネットワークに繋げる必要があり、この場合にインターネットと家庭内のLANの橋渡し役となるのがデフォルトゲートウェイです。

一般的にはこのデフォルトゲートウェイはルーターがその役割を担っています。ルーターがダウンしてしまうと、WiFiが使えずネットが利用できなくなることを考えるとわかりやすいかと思います。

ポイント　デフォルトゲートウェイの役割

• 情報の適切な送り先への案内： デフォルトゲートウェイは、町の外へ出る情報（例えばウェブサイトへのアクセス要求）を正しい目的地に向けて案内します。
• 安全な町の門番： あなたの町（ネットワーク）を守る門番のように、デフォルトゲートウェイは不要な情報や危険な訪問者（サイバー攻撃）からネットワークを保護します。

デフォルトゲートウェイの基本的な機能

デフォルトゲートウェイが何なのか？がふんわりイメージできたところで、ここからはデフォルトゲートウェイの具体的な機能・技術的な側面からの定義をより専門的に見ていきましょう。

ネットワーク間の通信の仲介

• デフォルトゲートウェイは、異なるネットワーク間での通信を可能にします。例えば、あなたのコンピューターがインターネット上のサーバーにアクセスしようとする場合、そのリクエストはまずデフォルトゲートウェイに送られます。
• このデバイス（家庭利用の場合は基本的にはルーター）は、リクエストをインターネットへと転送し、サーバーからの応答をローカルネットワーク内の適切なデバイスに戻す役割を果たします。

データのルーティング

• デフォルトゲートウェイは、データパケットが目的地に到達するための最適な経路を決定します。これは、複数のネットワーク経路が存在する場合に特に重要です。
• ルーティングの決定は、ネットワークの効率性と速度に大きく影響を与えます。

ルーティングとは？ネットワーク初心者向けにわかりやすく３分で解説

【ネットワーク初心者向け】ルーティング（経路制御）とは何か？ルーターって何？ルーティングテーブルって？という疑問をお持ちの方向けに１から分かりやすく図解付きで解説します。

it-biz.online

2022.02.21

セキュリティとネットワーク管理

• セキュリティの観点から、デフォルトゲートウェイは不正なアクセスや攻撃からネットワークを保護するための重要なポイントです。
• ネットワーク管理者は、デフォルトゲートウェイを通じてネットワークのトラフィックを監視し、適切な管理やトラブルシューティングを行います。

デフォルトゲートウェイは、単なるネットワークデバイスではなく、ネットワークの効率性、セキュリティ、および全体的な管理において中心的な役割を果たしていることがわかります。

デフォルトゲートウェイの仕組みをさらに詳しく

ここまでのご説明でデフォルトゲートウェイ→端末が他のネットワーク、特にインターネットと通信する際の中継点として機能することが何となく理解できたかと思います。

ここからはさらにエンジニア向けにより具体的にデフォルトゲートウェイとは何か？デフォルトゲートウェイの仕組みはどうなっているか？をご説明。

自分のパソコンがインターネット接続するまでの通信の流れを追う形で、デフォルトゲートウェイの役割を解説します。

ステップ１　ローカルネットワーク内での通信開始

1. PCのネットワーク設定
   • ユーザーがPCでインターネットにアクセスしようとすると、まずPCはネットワーク設定（IPアドレス、サブネットマスク、デフォルトゲートウェイのアドレス）を確認します。
2. 宛先の判定
   • PCは、アクセスしようとしているサイトのIPアドレスを調べ、それがローカルネットワーク内か外かを判定します。

ステップ2　デフォルトゲートウェイへのルーティング

1. 外部宛先の場合
   • もし宛先がローカルネットワーク外（例えばインターネット上のWebサイト）である場合、PCはそのデータパケットをデフォルトゲートウェイに送ります。
2. ARPの使用
   • この際、PCはARPを使用してデフォルトゲートウェイのMACアドレスを知る必要があります。未知の場合はARPリクエストを送ってデフォルトゲートウェイのMACアドレスを取得します。

ARPとは？IT初心者向けに分かりやすく３分で解説【ネットワーク】

【超・初心者向け】ARP（Address Resolution Protocol）の仕組みを初心者向けに図解付きでご説明します。ARPとは何か？ARPリクエストとARPリプライとは？ IPアドレスとMACアドレスって何だっけ・・・？という方も理解できるよう前提の前提から解説します。

it-biz.online

2022.03.10

ステップ3　デフォルトゲートウェイからインターネットへ

1. NATの実行
   • デフォルトゲートウェイは、NATを使用してローカルIPアドレスからグローバルIPアドレスへの変換を行います。これにより、インターネット上でユニークなアドレスを使用して通信が可能になります。
2. データのインターネット転送
   • 変換されたパケットは、インターネットに向けて送出されます。この際、ルーティングテーブルに基づき、最適な経路が選択されます。

参考　グローバルIPアドレスとプライベートIPアドレス

NATとは？(Network Address Translation)ネットワークの基本を３分で

【初心者向け】IPアドレスを変換する技術であるNAT（Network Address Translation）を分かりやすく３分で解説します。なんで変換する技術が必要なの？そもそもグローバルIPアドレスとプライベートIPアドレスって何？という方は必見です。

it-biz.online

2021.10.20

ステップ４　インターネット上でのデータ転送

1. 目的地サーバーへの到達
   • パケットは、様々なネットワーク機器を経由して、最終的に目的地のサーバー（例えばWebサイトのホスト）に到達します。
2. サーバーからの応答
   • サーバーは応答を生成し、その応答は逆の経路をたどってユーザーのPCに戻ります。

ステップ５　レスポンスの受信と表示

1. デフォルトゲートウェイ経由の応答
   • 応答パケットは、再びデフォルトゲートウェイを通過し、NATによってローカルIPアドレスに変換されます。
2. PCでの受信と処理
   • 変換されたパケットはPCに届き、ブラウザなどのアプリケーションによって適切に処理され、ユーザーに情報が表示されます。

このプロセスを通じて、PCからインターネットへの接続が実現されます。デフォルトゲートウェイは、このプロセスの中核となる部分を担い、ローカルネットワークとインターネットの間の重要な橋渡し役を果たしています。

ネットワーク学習の決定版（ネットワークエンジニアを目指すなら必見！）

マスタリングTCP/IP　入門編（第6版）

インターネットのプロトコルTCP/IP入門書の決定版!

Amazon

楽天

↑ページ数が多く誰でも手軽に読める内容ではありませんが、ネットワークエンジニアであれば、ほぼ全員が一度は読んだことがある超・有料書籍。是非一度読破しておきたい１冊のご紹介です。

読者特典＞　0から学ぶネットワーク入門