機器とインフラ
ルーター / スイッチ / ファイアウォール / NAT / ロードバランサー / プロキシ / CDN / VPN / クラウドの VPC まで、ネットワーク機器とインフラの役割を一通り。
機器の階層イメージ
インターネット
│
[ルーター] ──── ファイアウォール / NAT
│
[スイッチ] ──── VLAN
/ │ \
PC サーバ AP(Wi-Fi)
ハブ
- 受け取った信号を全ポートに垂れ流す(古典)
- 衝突する、性能が出ない
- 現代ではほぼ使われない
スイッチ(L2)
MAC アドレスを学習し、宛先のポートだけにフレームを送る。詳細は 物理・データリンク。
- 同一 LAN 内の通信を高速化
- VLAN で論理分割
- STP でループ防止
- ポートミラーリングで監視
L3 スイッチ
L2 スイッチの機能 + ルーティング機能。VLAN 間通信を高速処理。 企業内コアでよく使われる。
ルーター(L3)
異なるネットワーク間でパケットを転送する装置。家庭の光回線終端の隣にあるアレも基本これ。
- ルーティングテーブルに従って次のホップへ転送
- NAT でプライベート IP ⇔ グローバル IP 変換
- 家庭用ルーターはルーター + スイッチ + AP + DHCP + FW + NAT の複合機
- 業務用は機能ごとに分離(Cisco / Juniper / Mikrotik)
ファイアウォール
通信を許可 / 拒否するフィルター。L3〜L7 の様々な階層で動作。
パケットフィルタ型 (L3/L4)
- 送信元 / 宛先 IP、ポート、プロトコルで判定
- iptables / nftables / pf / Cisco ACL
- ステートレス(昔)→ ステートフル(現代)
ステートフル FW
- コネクション単位で状態を覚える
- 「外向きに開いた接続の戻りパケット」だけ通すなど高度な制御
WAF (Web Application Firewall, L7)
- HTTP リクエストの中身を見て判断
- SQL インジェクション / XSS / SSRF / CSRF 対策
- Cloudflare WAF / AWS WAF / ModSecurity
NGFW (Next-Gen FW)
ステートフル + アプリ識別 + IPS + アンチウイルスを統合。
NAT / NAPT
プライベート IP ⇔ グローバル IP の変換。詳細は IP ページ。
- SNAT: 出ていくパケットの送信元を書き換え
- DNAT: 入ってくるパケットの宛先を書き換え(ポートフォワーディング)
- 1:1 NAT: 1 グローバル ↔ 1 プライベート
- NAPT (PAT): 多 ↔ 1(ポート併用)
- CGN: ISP がさらにもう一段 NAT する(IPv4 枯渇対策)
ロードバランサー
複数のサーバにトラフィックを分散する装置 / ソフト。スケーラビリティと可用性を確保。
L4 LB
- TCP/UDP の段階で振り分け(中身を見ない)
- 高速、TLS 終端しない
- HAProxy(mode tcp)/ AWS NLB / nginx stream / IPVS
L7 LB
- HTTP のパス・ヘッダ・Cookie を見て振り分け
- TLS 終端、HTTP 書き換え、サニタイズ
- nginx / HAProxy / Traefik / Envoy / AWS ALB
分散アルゴリズム
- Round Robin — 順番に
- Least Connections — 接続数の少ない順
- IP Hash — 同じ IP は同じ後段に
- Weighted — 重み付け
- Consistent Hashing — キャッシュ友好的
ヘルスチェック
- 定期的に
/healthz等を叩いて生存確認 - 異常なら振り分けから外す
- 復旧後に自動で戻す
プロキシ
フォワードプロキシ
- クライアント側に立ち、外向き通信を中継
- 社内→外部のフィルタリング、認証、キャッシュ
- 例: Squid
リバースプロキシ
- サーバ側に立ち、インターネット → 内部サーバを中継
- TLS 終端、キャッシュ、LB、認証
- 例: nginx、Caddy、Traefik、Envoy
透過型プロキシ
- クライアントに気付かれずに介在
- ISP / 企業ネットでよく使われる
CDN(Content Delivery Network)
世界中のエッジサーバにコンテンツをキャッシュ配信する仕組み。
- ユーザに近い拠点から配信 → 低遅延
- オリジン負荷軽減
- DDoS 緩和
- HTTP/3、Brotli、画像変換、エッジ実行(Workers)
- Cloudflare / Fastly / Akamai / CloudFront / Bunny
VPN
公衆網の上に仮想的な専用線を作る技術。トンネル + 暗号化。
用途別
- リモートアクセス VPN: 在宅から社内へ
- サイト間 VPN: 拠点同士を接続
- クラウド VPN: オンプレ ⇔ AWS / GCP / Azure
プロトコル
- IPsec: IP 層で暗号化(古典・標準)
- OpenVPN: SSL/TLS ベース、柔軟
- WireGuard: シンプル・高速・UDP。最新の主流
- Tailscale: WireGuard ベースの SaaS、メッシュ VPN
- L2TP/PPTP: 古い、非推奨
Zero Trust ネットワーク
VPN の代わりに「すべての通信を認証する」モデル。Cloudflare Access、Tailscale ACL、Google BeyondCorp。
クラウドの VPC
AWS / GCP / Azure などで使う仮想プライベートクラウド。
- CIDR を指定(例: 10.0.0.0/16)
- サブネット(AZ ごと、Public / Private)
- ルートテーブル、Internet Gateway、NAT Gateway
- セキュリティグループ(インスタンス単位の FW)
- ネットワーク ACL(サブネット単位の FW)
- VPC Peering、VPN、Direct Connect で他 VPC やオンプレ接続
SD-WAN
複数の WAN 回線(光回線、4G/5G、専用線)をソフトウェアで統合管理。 トラフィック種別ごとに最適経路を自動選択。
IDS / IPS
- IDS: 不正侵入を検知するだけ(Snort / Suricata)
- IPS: 検知 + 遮断
- シグネチャ型 / アノマリ検知型
監視・ログ
- SNMP: 機器の状態取得・通知
- NetFlow / sFlow / IPFIX: トラフィックフロー収集
- Syslog: ログ集約
- Prometheus + Grafana: 現代的なメトリクス監視
DDoS 対策
- L3/L4 攻撃: SYN Flood、UDP Flood、Reflection
- L7 攻撃: HTTP Flood、Slowloris
- 対策: CDN / Anycast / レート制限 / WAF / 帯域確保
- Cloudflare / AWS Shield / Akamai
家庭ネットワークの実例
[ONU] ── 光回線
│
[ルーター] ─── プロバイダ接続 (PPPoE / IPoE)
│ DHCP / NAT / FW / Wi-Fi AP
│
├─ 有線 PC (192.168.1.10)
├─ NAS (192.168.1.20)
└─ 無線
├─ スマホ (192.168.1.100)
└─ ノート (192.168.1.101)
データセンターの典型構成(小〜中規模)
インターネット
│
[BGP ルーター]
│
[境界 FW / DDoS 対策]
│
[外部 LB (L7)]
│
[Web サーバ群]
│
[内部 LB (L4)]
│
[App / API サーバ群]
│
[DB / キャッシュ]
クラウドネイティブの典型
- API Gateway — 入口(認証、レート制限、ルーティング)
- Service Mesh (Istio / Linkerd) — マイクロサービス間の mTLS / 観測
- Ingress Controller — Kubernetes の入口
- Serverless Network: Cloudflare Workers / Vercel Edge / Lambda@Edge
IPv4 アドレスプライシング
IPv4 アドレスは枯渇 → 中古市場で 1 個 $30〜50 程度。クラウド事業者で「Elastic IP の保持に料金」が発生するのはこれが理由。
選定の指針
| 用途 | 推奨 |
|---|---|
| 家庭 / 小規模 | Wi-Fi ルーター 1 台 |
| 中小オフィス | UTM(FW + IPS + VPN 統合機) |
| 大規模オフィス | 専用 FW + L3 スイッチ + 別途 AP コントローラ |
| クラウド | VPC + Security Group + Cloudflare / WAF |
| SaaS スタート | Cloudflare のエッジ機能をフル活用 |
ハブ=L1、スイッチ=L2、ルーター=L3、FW=L3〜L7、LB=L4 or L7、CDN=L7。 どの機器がどの層で動いているかを意識すると、トラブル時の切り分けが楽になる。