Catalyst 6500 シリーズ スイッチ/Cisco 7600 シリーズ ルータ Firewall Services Module コンフィギュレーション ガイド
アドレス、プロトコル、およびポート のリファレンス情報
アドレス、プロトコル、およびポートのリファレンス情報
発行日;2012/02/03 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

アドレス、プロトコル、およびポートのリファレンス情報

IPアドレスおよびサブネット マスク

クラス

プライベート ネットワーク

サブネット マスク

サブネット マスクの判別

サブネット マスクで使用するアドレスの判別

プロトコルおよびアプリケーション

TCPポートおよびUDPポート

ICMPのタイプ

アドレス、プロトコル、およびポートのリファレンス情報

この付録には、次のカテゴリに関するクイック リファレンスが記載されています。

「IPアドレスおよびサブネット マスク」

「プロトコルおよびアプリケーション」

「TCPポートおよびUDPポート」

「ICMPのタイプ」

IPアドレスおよびサブネット マスク

ここでは、Firewall Services Module(FWSM)でのIPアドレスの使用方法について説明します。IPアドレスは、ドット付き10進数で表記される32ビットの数値です。バイナリから10進数に変換された4つの8ビット フィールド(オクテット)が、ドットで区切られて表記されます。IPアドレスの最初のパートはホストが存在するネットワークを識別し、2つめのパートは特定ネットワーク上の特定ホストを識別します。ネットワーク番号フィールドは、ネットワーク プレフィクスと呼ばれます。特定ネットワーク上のホストはすべて同じネットワーク プレフィクスを共有しますが、ホスト番号は固有でなければなりません。クラスフルIPでは、アドレスのクラスによって、ネットワーク プレフィクスとホスト番号を区切る位置が異なります。

ここでは、次の内容について説明します。

「クラス」

「プライベート ネットワーク」

「サブネット マスク」

クラス

IPホスト アドレスは3つの異なるアドレス クラスに分けられています。クラスA、クラスB、およびクラスCです。各クラスは、32ビット アドレス内のネットワーク プレフィクスとホスト番号の区切り箇所がそれぞれ異なります。クラスDアドレスは、マルチキャストIP専用です。

クラスAアドレス(1.xxx.xxx.xxx~126.xxx.xxx.xxx)は、最初のオクテットだけをネットワーク プレフィクスとして使用します。

クラスBアドレス(128.0.xxx.xxx~191.255.xxx.xxx)は、最初の2つのオクテットをネットワーク プレフィクスとして使用します。

クラスCアドレス(192.0.0.xxx~223.255.255.xxx)は、最初の3つのオクテットをネットワーク プレフィクスとして使用します。

クラスAアドレスには16,777,214のホスト アドレス、クラスBには65,534のホスト アドレスが存在するので、サブネット マスクを使用して、これらの巨大なネットワークを、より小さなサブネットに分割できます。

プライベート ネットワーク

ネットワーク上に多数のアドレスが必要で、これらをインターネット上にルーティングする必要がない場合には、Internet Assigned Numbers Authority(IANA)が推奨しているプライベートIPアドレスを使用できます(RFC 1918を参照)。プライベート ネットワークに使用できるアドレス範囲は、次のとおりです。これらのアドレスはアドバタイズすべきではありません。

10.0.0.0~10.255.255.255

172.16.0.0~172.31.255.255

192.168.0.0~192.168.255.255

サブネット マスク

サブネット マスクを使用すると、単一のクラスA、クラスB、またはクラスCネットワークを複数のネットワークに変換できます。サブネット マスクでは、ホスト番号のビットをネットワーク プレフィクスに追加して、拡張ネットワーク プレフィクスを作成できます。たとえば、クラスCのネットワーク プレフィクスには、常にIPアドレスの最初の3オクテットが使用されます。クラスC拡張ネットワーク プレフィクスの場合には、さらに4つめのオクテットの一部が使用されます。

サブネット マスクは、ドット付き10進数ではなくバイナリ表記を使用するほうが簡単に理解できます。サブネット マスク内のビットは、インターネット アドレスと1対1で対応しています。

IPアドレス内の対応ビットが拡張ネットワーク プレフィクスの一部である場合には、ビットは1に設定されます。

対応ビットがホスト番号の一部である場合には、ビットは0に設定されます。

例1: クラスBアドレス129.10.0.0について、3つめのオクテット全部をホスト番号ではなく拡張ネットワーク プレフィクスに使用したい場合、サブネット マスク11111111.11111111.11111111.
00000000を指定する必要があります。このサブネット マスクによって、クラスBアドレスは、最後のオクテットだけをホスト番号に使用するクラスCアドレスと同等になります。

例2: 3つめのオクテットの一部だけを拡張ネットワーク プレフィクスに使用したい場合には、サブネット マスクを11111111.11111111.11111000.00000000などのように指定します。この場合、3つめのオクテットのうち5ビットだけが拡張ネットワーク プレフィクスに使用されます。

サブネット マスクは、ドット付き10進数マスクまたは/ ビット (スラッシュ ビット )マスクで記述できます。例1の場合、ドット付き10進数マスクにすると、各バイナリ オクテットを10進数に変換した255.255.255.0になります。/ビット マスクでは1の数を指定するため、/24になります。例2の場合、ドット付き10進数は255.255.248.0、/ビットは/21です。

また、3つめのオクテットの一部を拡張ネットワーク プレフィックスに使用することによって、複数のクラスCネットワークを、より大規模なネットワークに統合することもできます(たとえば、192.168.0.0/20)。

サブネット マスクの判別

使用したいホスト数に適したサブネット マスクを判別するには、 表D-1 を参照してください。

 

表D-1 ホスト、ビット、およびドット付き10進数マスク

ホスト数1
/ビット マスク
ドット付き10進数マスク

16,777,216

/8

255.0.0.0クラスAネットワーク

65,536

/16

255.255.0.0クラスBネットワーク

32,768

/17

255.255.128.0

16,384

/18

255.255.192.0

8,192

/19

255.255.224.0

4,096

/20

255.255.240.0

2,048

/21

255.255.248.0

1,024

/22

255.255.252.0

512

/23

255.255.254.0

256

/24

255.255.255.0クラスCネットワーク

128

/25

255.255.255.128

64

/26

255.255.255.192

32

/27

255.255.255.224

16

/28

255.255.255.240

8

/29

255.255.255.248

4

/30

255.255.255.252

未使用

/31

255.255.255.254

1

/32

255.255.255.255単一ホスト アドレス

1.単一ホストである/32を除き、サブネットの最初と最後の番号は予約済みです。

サブネット マスクで使用するアドレスの判別

ここでは、クラスCおよびクラスB規模のネットワークにサブネット マスクを適用する場合、使用できるネットワーク アドレスを判別する方法を示します。

「クラスC規模のネットワーク アドレス」

「クラスB規模のネットワーク アドレス」

クラスC規模のネットワーク アドレス

2~254のホスト数のネットワークでは、4つめのオクテットが0から始まり、ホスト アドレス数の倍数になります。次に、192.168.0.xの8ホストのサブネット(/29)の例を示します。

 

マスク/29(255.255.255.248)のサブネット
アドレス範囲2

192.168.0.0

192.168.0.0~192.168.0.7

192.168.0.8

192.168.0.8~192.168.0.15

192.168.0.16

192.168.0.16~192.168.0.31

...

...

192.168.0.248

192.168.0.248~192.168.0.255

2.サブネットの最初と最後のアドレスは予約済みです。最初のサブネットの例では、192.168.0.0または192.168.0.7は使用できません。

クラスB規模のネットワーク アドレス

ホスト数が254~65,534のネットワークにサブネット マスクを適用する場合、使用するネットワーク アドレスを判別するには、使用できる各拡張ネットワーク プレフィクスについて、3つめのオクテットの値を決定する必要があります。たとえば、10.1. x .0のようなアドレスのサブネットを作成する場合、最初の2つのオクテットは拡張ネットワーク プレフィクスに使用されるので固定され、4つめのオクテットの全ビットがホスト番号に使用されます。

3つめのオクテットの値を決定する手順は、次のとおりです。


ステップ 1 65,536(3つめと4つめのオクテットで使用できるアドレスの総数)を使用したいホスト アドレス数で割って、ネットワークに作成できるサブネット数を計算します。

たとえば、65,536を4096で割った値は16です。

したがって、クラスBネットワークに、それぞれ4096のアドレスを持つ16のサブネットを作成できます。

ステップ 2 256(3つめのオクテットの値の数)をサブネット数で割って、3つめのオクテット値の倍数を算出します。

この例では、256/16 = 16です。

3つめのオクテットは、0から開始され、16の倍数になります。

次に、ネットワーク10.1の16のサブネットを示します。

 

マスク/20(255.255.240.0)のサブネット
アドレス範囲3

10.1.0.0

10.1.0.0~10.1.15.255

10.1.16.0

10.1.16.0~10.1.31.255

10.1.32.0

10.1.32.0~10.1.47.255

...

...

10.1.240.0

10.1.240.0~10.1.255.255

3.サブネットの最初と最後のアドレスは予約済みです。最初のサブネットの例では、10.1.0.0または10.1.15.255は使用できません。


 

プロトコルおよびアプリケーション

ここでは、FWSMの設定時に使用する可能性のあるプロトコルおよびアプリケーションの情報を示します。

使用可能な文字名は、ahp、eigrp、esp、gre、icmp、igmp、igrp、ip、ipinip、ipsec、nos、ospf、pcp、snp、tcp、およびudpです。任意のプロトコルを数値で指定することもできます。espおよびahプロトコルを使用できるのは、プライベート リンクと併用する場合だけです。


) FWSMは、マルチキャスト パケットを転送しません。ルーティング プロトコルの多くは、データ転送にマルチキャスト パケットを使用します。ルーティング プロトコルをFWSM経由で送信する必要がある場合には、ルータにCisco IOSソフトウェアのneighborコマンドを設定してください。FWSM経由でルーティング プロトコルを送信することは、潜在的なリスクを含んでいます。保護されていないインターフェイス上のルートが破壊された場合、ファイアウォールの保護されている側に送信されたルートによって、保護されている側のルータも影響を受けるからです。


表D-2 に、プロトコルの文字名と対応する番号を示します。

 

表D-2 プロトコルの文字名

文字名
番号
説明

ah

51

IPv6の認証ヘッダー、RFC 1826

eigrp

88

Enhanced Interior Gateway Routing Protocol

esp

50

IPv6のEncapsulated Security Payload(カプセル化セキュリティ ペイロード)、RFC 1827

gre

47

Generic Routing Encapsulation(総称ルーティング カプセル化)

icmp

1

Internet Control Message Protocol、RFC 792

igmp

2

Internet Group Management Protocol、RFC 1112

igrp

9

Interior Gateway Routing Protocol

ip

0

IP

ipinip

4

IP-in-IPカプセル化

nos

94

Network Operating System(Novell NetWare)

ospf

89

Open Shortest Path First(OSPF)ルーティング プロトコル、RFC 1247

pcp

108

Payload Compression Protocol

snp

109

Sitara Networks Protocol

tcp

6

TCP、RFC 793

udp

17

UDP、RFC 768

プロトコル番号は、IANAのWebサイトからオンラインで表示できます。

http://www.iana.org/assignments/protocol-numbers

TCPポートおよびUDPポート

表D-3 に文字名およびポート番号を示します。どちらも、FWSMのコマンドに入力できます。次の事項に注意してください。

FWSMは、SQL*Netにポート1521を使用します。これは、OracleがSQL*Netに使用するデフォルトのポートです。ただし、この値はIANAのポート割り当てと一致していません。

FWSMは、ポート1645および1646でRADIUSを待ち受けます。RADIUSサーバが標準ポート1812および1813を使用している場合、aaa-server、radius-authport、およびaaa-server
radius-acctportコマンドを使用して、これらのポートで待ち受けるようにFWSMを再設定する必要があります。

ポートにDNSアクセスを割り当てる場合には、 dns ではなく、 domain を使用してください。
dns キーワードでは、ポート値が dnsix に変換されます。

ポート番号は、IANAのWebサイトからオンラインで表示できます。

http://www.iana.org/assignments/port-numbers

 

表D-3 ポートの文字名

文字名
TCP/UDP
番号
説明

aol

TCP

5190

America On-line

bgp

TCP

179

Border Gateway Protocol(BGP)、RFC 1163

biff

UDP

512

新着メールをユーザに通知するメール システムで使用

bootpc

UDP

68

ブートストラップ プロトコル クライアント

bootps

UDP

67

ブートストラップ プロトコル サーバ

chargen

TCP

19

キャラクタ ジェネレータ

citrix-ica

TCP

1494

Citrix Independent Computing Architecture(ICA)プロトコル

cmd

TCP

514

execと同様だが、cmdは自動認証をサポート

ctiqbe

TCP

2748

Computer Telephony Interface Quick Buffer Encoding

daytime

TCP

13

日時、RFC 867

discard

TCP、UDP

9

廃棄

domain

TCP、UDP

53

DNS(ドメイン ネーム システム)

dnsix

UDP

195

DNSIX Session Management Module Audit Redirector

echo

TCP、UDP

7

エコー

exec

TCP

512

リモート プロセスの実行

finger

TCP

79

フィンガ

ftp

TCP

21

FTP(ファイル転送プロトコル)(制御ポート)

ftp-data

TCP

20

FTP(データ ポート)

gopher

TCP

70

Gopher

https

TCP

443

HTTP(SSL)

h323

TCP

1720

H.323コール シグナリング

hostname

TCP

101

NICホスト ネーム サーバ

ident

TCP

113

Ident認証サービス

imap4

TCP

143

Internet Message Access Protocol(IMAP)Version 4

irc

TCP

194

Internet Relay Chat Protocol

isakmp

UDP

500

Internet Security Association and Key Management Protocol(ISAKMP)

kerberos

TCP、UDP

750

Kerberos

klogin

TCP

543

KLOGIN

kshell

TCP

544

Korn Shell

ldap

TCP

389

Lightweight Directory Access Protocol

ldaps

TCP

636

Lightweight Directory Access Protocol(SSL)

lpd

TCP

515

Line Printer Deamon ― プリンタ スプーラ

login

TCP

513

リモート ログイン

lotusnotes

TCP

1352

IBM Lotus Notes

mobile-ip

UDP

434

Mobile IPエージェント

nameserver

UDP

42

ホスト ネーム サーバ

netbios-ns

UDP

137

NetBIOSネーム サービス

netbios-dgm

UDP

138

NetBIOSデータグラム サービス

netbios-ssn

TCP

139

NetBIOSセッション サービス

nntp

TCP

119

Network News Transfer Protocol(NNTP)

ntp

UDP

123

Network Time Protocol(NTP)

pcanywhere-status

UDP

5632

pcAnywhereステータス

pcanywhere-data

TCP

5631

pcAnywhereデータ

pim-auto-rp

TCP、UDP

496

Protocol Independent Multicast、リバース パス フラッディング、dense(密)モード

pop2

TCP

109

POP Version 2

pop3

TCP

110

POP Version 3

pptp

TCP

1723

Point-to-Point Tunneling Protocol(PPTP)

radius

UDP

1645

Remote Authentication Dial-In User Service(RADIUS)

radius-acct

UDP

1646

RADIUS(アカウンティング)

rip

UDP

520

Routing Information Protocol(RIP)

secureid-udp

UDP

5510

SecureID over UDP

smtp

TCP

25

Simple Mail Transport Protocol(SMTP)

snmp

UDP

161

SNMP(簡易ネットワーク管理プロトコル)

snmptrap

UDP

162

SNMP ― トラップ

sqlnet

TCP

1521

Structured Query Language(SQL)ネットワーク

ssh

TCP

22

Secure Shell

sunrpc(rpc)

TCP、UDP

111

Sun Remote Procedure Call

syslog

UDP

514

システム ログ

tacacs

TCP、UDP

49

Terminal Access Controller Access Control System Plus(TACACS+)

talk

TCP、UDP

517

Talk

telnet

TCP

23

RFC 854 Telnet

tftp

UDP

69

TFTP(簡易ファイル転送プロトコル)

time

UDP

37

Time

uucp

TCP

540

UNIX-to-UNIX Copy Program(UUCP)

who

UDP

513

Who

whois

TCP

43

Who Is

www

TCP

80

WWW

xdmcp

UDP

177

X Display Manager Control Protocol

ICMPのタイプ

表D-4 に、FWSMのコマンドに入力できるICMPのタイプ番号および名前を示します。

 

表D-4 ICMPのタイプ

ICMP番号
ICMP名

0

echo-reply(エコー応答)

3

unreachable(到達不能)

4

source-quench

5

redirect(リダイレクト)

6

alternate-address(代替アドレス)

8

echo(エコー)

9

router-advertisement(ルータ アドバタイズ)

10

router-solicitation(ルータ送信請求)

11

time-exceeded(時間超過)

12

parameter-problem(パラメータの問題)

13

timestamp-request(タイムスタンプ要求)

14

timestamp-reply(タイムスタンプ応答)

15

information-request(情報要求)

16

information-reply(情報応答)

17

mask-request(マスク要求)

18

mask-reply(マスク応答)

31

conversion-error(変換エラー)

32

mobile-redirect(モバイル リダイレクト)