テクニカルエンジニア(ネットワーク)過去出題問題平成9年 午後1 問4最終更新日 2004/01/31
|
Tomのネットワーク勉強ノート |
過去問(午後) |
テクニカルエンジニア (ネットワーク)過去問(午後) |
テクニカルエンジニア(ネットワーク)過去問 平成9年 午後1 問4 |
問4
インターネットの利用に関する次の記述を読んで、設問1〜3に答えよ。
製造業のA社は、"資材システム"を利用して特定の取引先とISDN経由で情報交換を行っ
ている。資材システムのネットワークは、各拠点のLANをルータで相互接続したTCP/IPネ
ットワークである。
資材システムの利用者は、A社に設置されたWWW(World Wide Web)サーバと資材サ
ーバにパソコンからアクセスする。取引先固有の情報を扱うため、パソコンとサーバ間の通
信データは暗号化されている。WWWサーバへのアクセスには、WWWクライアントプログ
ラム(ブラウザ)と通信プロトコルHTTPを用いる。資材サーバヘのアクセスには、資材サ
ーバ専用のクライアントプログラムと、TCPを利用した独自のメッセージ通信プロトコル
を用いる。資材サーバ用のクライアントプログラムは、WWWサーバからパソコンに自動的
にダウンロードされる。これらの動作概要を次に示す。
(1)利用者は、パソコンのブラウザを用いWWWサーバにアクセスする。最初に、資材シス
テムのログイン画面上で、取引先コードとパスワードを入力する。
(2)ログイン操作が完了すると、WWWサーバからパソコンに、資材サーバ用クライアント
プログラムが自動的に送信される。送信されるプログラムの一部には、資材サーバのIPア
ドレスとTCPポート番号(以下、資材ポート番号という)が含まれている。
(3)ブラウザは、受信したクライアントプログラムを起動する。クライアントプログラムは、
資材サーバとのTCPセションを確立する。パソコン上に資材サーバの業務メニューが表
示される。
(4)利用者は、データベースの参照、更新などの業務を行う。この間、クライアントプログ
ラムと資材サーバは、確立したTCPセションでメッセージ通信を行う。
(5)利用者が終了メニューを選択すると、クライアントプログラムはTCPセションと自分
自身を終了させ、ブラウザに制御が戻る((1)のログイン画面に戻る)。
現在のネットワーク構成を図1に示す。図1のアクセスサーバは、利用者の認証と接続の
許可、パソコンに対するIPアドレスの付与、及びIPパケットのルーティングを行っている。
取引先がA社内のネットワークに侵入するのを防ぐために、ルータ12のパケットフィルタリ
ングは、表のように設定されている。
図1 現在の資材システム
表 ルータ12のパケットフィルタリングの設定
通信の方向 | フィルタリングの定義 |
LAN2→LAN1 | @ あて先IPアドレスがS1又はW1のパケットは通過させる。 A 上記以外のパケットは破棄する。 |
LAN1→LAN2 | @ [ a ] が [ b ] 又 [ c ] のパケットは通過させる。 A上記以外のパケットは破棄する。 |
[インターネット接続案]
利用が拡大するにつれて、インターネット経由で資材システムを利用したいという取
引先が増えてきた。また、社内からはインターネット上の情報を活用したいという要望
が出てきた。そこで、A社は次のように設計要件をまとめ、インターネットとの接続を
検討することにした。
(1)ファイアウォールを介してLAN1をインターネットと接続し、インターネット経由
でも現在と同じ資材システムが利用できるようにする。
(2)社内のパソコンからインターネット上の公開WWWサーバを利用するために、プロ
キシサーバをLAN1上に新設する。
A社では、現在、"[ d ]1918"で記述されているプライベートアドレスを利用して
いる。TCP/IPネットワークでは、IPアドレスに対して[ e ]の保証が必要である。イ
ンターネットでは、アドレス割当て機関がIPアドレスを管理することで[
e ]を保っ
ている。しかし、"[ d ] 1918"によって、[ f ] 層を使って組織外のネットワーク
と直接通信を行わない場合には、組織内で自由にプライベートアドレスを採用すること
が可能になっている。
インターネットとの接続に先立ち、A社では、アドレス割当て機関からIPアドレス
(グローバルアドレス)を取得し、A社の [ g ] として"αβγ.co.jp"(αβγは英文
字列)を登録することにした。また、インターネットとの接続は、インターネットサー
ビスプロバイダの専用回線接続サービスを利用することにした。
図2 インターネット接続案
インターネットとの接続案を図2に示す。図2のファイアウォールは、IPアドレスの
付替え機能とIPパケットのフィルタリング機能をもつ製品で、その利用案は次のとおり
である。
(1)ファイアウォールのLAN0側のIPアドレスF0は、グローバルアドレスとし、その
ホスト名“www"と共にインターネットサービスプロバイダに登録を行う。これによ
って、取引先は、URL"http://www.αβγ.co.jp/home.html"を指定することで、イ
ンターネット経由で、IPアドレスF0のHTTPポートに接続ができるようになる。
(2)LAN0以外は、現在使用しているプライベートアドレスをそのまま利用する。その
結果、インターネット側からは、IPアドレスR0をもつルータと、IPアドレスF0をも
つファイアウォールだけが、A社のホストとして動作しているように見える。
(3)ファイアウォールにおけるアドレス付替えルールは、次のとおりである。
あて先IPアドレスがF0で、あて先TCPポート番号が資材ポート番号であるIPパケ
ットに対しては、あて先IPアドレスをF0からS1に書き換え、LAN0からLAN1へ
フォワーディングを行う。その応答パケットに対しては、送信元IPアドレスをS1か
らF0に書き換え、LAN1からLAN0へフォワーディングを行う。
(4)あて先IPアドレスがF0で、あて先TCPポートがHTTPポートであるIPパケットに
ついても、(3)と同様に、F0とW1のアドレス付替えを行う。
(5)ファイアウォールでのIPレベルのルーティングは一切行わない設定とする。
〔図2の案に対する意見]
案の検討を進めた結果、次のような意見が寄せられた。
(1)プロキシサーバを導入するのであれば、ルータ12のIPパケットのフィルタリング定
義を見直す必要がある。また、ファイアウォールに対しても、次のアドレス付替えル
ールを追加する必要がある。
[ h ] IPアドレスがP1で、[ i ]TCPポートがHTTPポートであるIPパケット
に対しては、[ h ]IPアドレスを[ j ]から[ k ]に書き換え、LAN1から
LAN0へフォワーディングを行う。その応答パケットに対しては、[ l
]IPアドレ
スを[ m ] から [ n ] に書き換え、LAN0からLAN1ヘフォワーディングを行う。
(2)この案では、インターネット経由のパソコンからWWWサーバは利用できても、資
材サーバが利用できない。解決のためには、資材システムのプログラムを改造する必
要がある。
設問1
本文中の [ a ] 〜 [ g ] を、10字以内の適切な字句で埋めよ。
設問2
"図2の案に対する意見(1)"に関する次の小問に答えよ。
(1)ルータ12のLAN1からLAN2方向のフィルタリングにおいて、新たに通過を許可
するIPパケットを、30字以内で述べよ。
(2)本文中の [ h ] 〜 [ n ] を、10字以内の適切な字句で埋めよ。
設問3
"図2の案に対する意見(2)"に関する次の小問に答えよ。
(1)資材サーバが利用できない理由を、30字以内で述べよ。
(2)プログラムの具体的な改造内容を、40字以内で述べよ。
Tomのネットワーク勉強ノート |
過去問(午後) |
テクニカルエンジニア (ネットワーク)過去問(午後) |
テクニカルエンジニア(ネットワーク)過去問 平成9年 午後1 問4 |