• 追加された行はこの色です。
  • 削除された行はこの色です。
  • レイヤ4スイッチ へ行く。

*目次 [#hc5e0622]

#contents


* [#d35768e8]
-=L4スイッチ
-レイヤ3までのスイッチは、中継にMACアドレスやIPアドレスなどを使っている。しかし、ネットワークの規模が大きくなり、ユーザー数が増えると、サーバーの負荷が大きくなり、'''よりきめ細かく'''パケットの配送を制御する必要が生じる。
--L4スイッチは、TCP/UDPヘッダのポート番号を元にパケットの流れを制御することで、レイヤ3までのスイッチが実現できない高度な機能を提供する。
-レイヤ3までのスイッチは、中継に[[MACアドレス]]や[[IPアドレス]]などを使っている。しかし、[[ネットワーク]]の規模が大きくなり、ユーザー数が増えると、[[サーバー]]の負荷が大きくなり、'''よりきめ細かく'''[[パケット]]の配送を制御する必要が生じる。
--L4スイッチは、[[TCP]]/[[UDP]]ヘッダのポート番号を元にパケットの流れを制御することで、レイヤ3までのスイッチが実現できない高度な機能を提供する。
-L4スイッチの負荷分散にも弱点はある。
--送信元IPアドレスとポート番号ではユーザーを識別できないから、一連のセッションを同じサーバーに振り分けられないである。
---この弱点に対する解決策として、L7スイッチを用いることである。
-L4スイッチはASICで経路を制御する。
--送信元IPアドレスと[[ポート番号]]ではユーザーを識別できないから、一連の[[セッション]]を同じサーバーに振り分けられないである。
---この弱点に対する解決策として、[[L7スイッチ]]を用いることである。
-L4スイッチは[[ASIC]]で経路を制御する。

*L4スイッチの応用 [#w63d6458]

**L4スイッチを使ったトランスペアレントキャッシング [#rc226085]
**L4スイッチを使った[[トランスペアレントキャッシング]] [#rc226085]

-=透過的プロキシ(透過的Proxy)
-=[[透過的プロキシ]](透過的Proxy)
-プロバイダやデータセンターにとって、インターネットとの接続帯域幅はコスト要因であり、足りないからといって簡単に増やせない。従来、インターネットとの接続速度を変えずに利用可能な帯域幅を確保するにはProxyサーバーを使うのが一般的である。
--しかし、ユーザーにProxyをブラウザに手動で設定させるのは負担であるし、Proxyの設定できないブラウザがある可能性もある。そこで、L4スイッチを使ったトランスペアレントキャッシュが使われる。
-トランスペアレントキャッシングを使えば、ユーザーが意識することなくWebコンテンツをキャッシュ経由で配信できる。
-トランスペアレントキャッシングを実現するには、L4スイッチとキャッシュサーバーを組み合わせる。


#img(http://security2600.sakura.ne.jp/main2/image4/L7S.png)
#img(,clear)

**FWとして使う [#k4078195]

-外部にWebサーバーを公開するネットワークを考える。通常、Webサーバーを公開するためにはDNSサーバーも公開しなくてはならない。また、Webサーバーを自社で運営するなら、メールサーバーも構築するのが普通である。こうなると、IPアドレスを外部にさらす必要があるサーバーは、Webサーバー1台、DNSサーバー2台(プライマリとセカンダリ)、メールサーバー1台の合計4台となる。
--ところが、L4スイッチを使うと、公開するIPアドレスを1つにできる。
-考え方としては、[[ポートフォワーディング]](IPマスカレード)と同様に、TCP/UDPのポート番号を見て、処理すべきサーバーにリダイレクトするというものである。

**フィルタリングに活用する [#lab956e0]

-ルーターやL3スイッチにもフィルタリング機能はある。しかし、IPレベルではTCP/UDPのポート番号(サービス)をベースにしたフィルタリングにはならない。
--L4スイッチはTCP/UDPのヘッダ情報も利用するので、ルーターやL3スイッチよりもきめ細かなフィルタリングを実現できる。

**QoS(待機制御)を行う [#gb33b6c4]
**[[QoS]]([[待機制御]])を行う [#gb33b6c4]

-従来のネットワーク設計思想では「基幹ネットワークの負荷をなるべく少なくする」ことが最優先された。
--しかし、電子メールを業務で使ったり、Webブラウザで受発注を処理するようになると、基幹ネットワークのトラフィックは増す。
-企業間の取引のためのパケットは、従業員が暇つぶしに見ているWebのパケットに優先する。また、ビデオ会議やVoIPではデータの遅延は許されない。
--そこで、アプリケーションごとに利用できる帯域を確保し、有線度の高いアプリケーションの処理が滞らないようにする仕組みがQoSである。
-QoSを実現するために、TCP/UDPヘッダ尾の宛先ポート番号で識別する。

[補講]製品によってはCoS(Class of Service)の機能が使える場合もある。
[補講]製品によっては[[CoS]](Class of Service)の機能が使える場合もある。

 CoSはQoSの一種で、アプリケーションごとに重要度を設定し、重要度の高いものから優先して送受信巣rう仕組みである。

 L4スイッチがQoSによって割り当てられた帯域幅を超えたパケットを処理するとき、どのアプリケーションの重要度が高いのか決めておくことで、重要なアプリケーションのパケットを最優先で送受信できるようになる。 ◇

*参考文献 [#c67b9fb6]

-『ゼロからはじめるスイッチ&ルータ 増補・新装版』