|
設問1
新ネットワークで利用するIP/VPNサービスに関する次の問いに答えよ。
「VPNの試験勉強用に、ネットワーク関連試験対策ノート(VPN)を作成してみました。
よろしければ、ご活用ください」
(1)本文中の【 a 】〜【 e 】に入れる適切な字句を答えよ。
用語問題ですね。
用語問題には、専門用語を問われている場合と、
前後の文書を見るとなんとなく見えてくるものがあります。
【 a 】
問題文を読んでいると、”アドレス”、”識別子”のようなものってのは何となく分かります。
用語で言えばなんでしょうか?
MPLSのLの部分、「ラベル」ですね。
【 b 】
これは、
>(転送元)PERにおいて、あて先に応じた【 a 】が付与されます。
と書かれていますので、
逆をすると考えると、外すのも転送先”PER”でいいでしょう。
【 c 】
【 d 】
これも
>CERからPERへ届いたIPパケットには・・・
から推測すると、【 c 】は"IPパケット"で、【 d 】は"CER"なんでしょうね。
送信元、送信先両方ありえる場合は、どっちかも書くようにしましょう。
【 e 】---CHANGED 02/09/29
これはじっくり読まないと訳がわからなくなりますね。
>つまり、送信元PERは送信元の顧客を識別し、届いたIPパケットのあて先IPアドレスと
>合わせて、あて先のPERを決定します。送信元の顧客が異なれば、送信元PERに顧客か
>ら届いたIPパケットのあて先IPアドレスが等しくても、そのIPパケットは、【
e 】CERへ転送されます。
>これによって、従来の専用線を使った通信と同等のセキュリティが確保されるのです。
これはこういうことですね!
(送信元)
(あて先)
A社CER --------> PER ------------------------------- PER
----->A社CER(192.168.1.10)
↑
|
B社CER
-----------+
+------>B社CER(192.168.1.10)
A社にとっても、B社にとっても、あて先IPアドレスが"192.168.1.10"だったら?ということです。
プライベートアドレスを使用できるのですから、問題ないですね。
この状態で、A社からのパケットをPERは間違えて、B社の192.168.1.10に送ってしまわないんでしょうか?
それは、ラベルでちゃんと識別しているので、問題ありませんということです。
たとえ、同じIPアドレスでも、異なるCERへ転送されます。。。かな
|
(Tomの解答例)
【 a 】:ラベル
【 b 】:PER
【 c 】:IPパケット
【 d 】:送信先CER
【 e 】:異なる ---CHANGED
02/09/29
(2) アクセス回線に専用線を用いている理由を、PERでのセキュリティの観点
から30字以内で述べよ。
何を問われているかにCheck! 理由を問われています。
さらに、”PERでのセキュリティの観点から”と書かれていることに注意しましょう。
PERでどのようにセキュリティを確保していたでしょう?
>送信元PERではどこの顧客からのIPパケットかの判別が可能
>であり、ほかの顧客のCERへ届けることはありません。
つまり、PERで送信元のIPパケットが顧客のものかを判別することによって、
セキュリティを確保しています。
では、もしCER〜PER間が専用線でなく、第3者によりなりすまされたIPパケットが
PERに入ったらどうなるでしょう?
PERは、正式な顧客からのIPパケットと勘違いして、転送してしまいますね。
それが専用線を使用している理由でしょう。 |
(Tomの解答例)
IPパケットをなりすまされると
PERは正常判別できないため(29)
別解) ---ADD
02/09/29
契約しているユーザ以外のPERへの接続要
求を防止できるため(29)
設問2
現ネットワークと新ネットワークの拡張性に関する次の問いに答えよ。
(1)本文中の【 f 】〜【 h 】に入れる拠点名を答えよ。
現ネットワークについてですね。
図1を見てみましょう。
>例えば、物流センタを新設する場合を考えます。現ネットワークでは、新しい
>物流センタは専用線を利用して工場と接続されることになります。この場合、
>【 f 】と【 g 】及び【 g 】と【 h 】間の既存専用
>線の帯域も検討する必要があります。
物流センタRouter === 工場Router === 支社Router === 本社Router
||
研究所Router
物流センタを新設することにより、再検討が必要な専用線ですから、
工場〜支社と、支社〜本社
でいいですね。
-----------ADD 02/09/29
【 f 】と【 h
】は順不同だと思ったのですが、その後にこんな文章がありましたね。
>新ネットワークでは、【 f 】とIP/VPN間の既存アクセス回線の帯域を検討する程度
新ネットワークで物流センタを新設することにより検討をする必要のある帯域はどこでしょう?
図2を見れば分かりますね。【 f 】が本社です。
|
(Tomの解答例)
【 f 】本社---CHANGED
02/09/29
【 g 】支社
【 h 】工場---CHANGED 02/09/29
(2)本文中の【 i 】に入れる適切な字句を答えよ。
| 【 i 】
>拠点追加による既存ネットワークヘの影響を【 i
】できるので
これは、問題文にあった日本語を適当に入れればいいですね。
”最小限に”でどうでしょう?
|
(Tomの解答例)
最小限に
設問3
統合業務AP用のサーバと現ネットワークに関する次の問いに答えよ。
(1)分散業務AP用の各サーバを廃止し、統合業務AP用のサーバを本社に設置
することによって解消する問題点を、20字以内で述べよ。
何を問われているかにCheck! 解消する問題点を問われています。
分散業務AP用Serverの問題点ってなんだったでしょうか?
〔現在のシステムの概要〕の上に書いていますね。
>分散業務APは、本社の情報システム部が開発したが、機能の追加を繰り返してき
>たので、トラブルが多かった。トラブル対応は、支社や工場などの保守要員が行うこ
>とになっていたが、対応できない場合が多く、情報システム部が対応してきた。この
>ため、情報システム部の開発業務にも支障が出ていた。
つまり、機能追加の繰り返しにより、トラブルが多発。
その対応も、支社、工場などの保守要員では対応できず、情報システム部の
開発業務に支障が発生する
これが問題点です。
これが統合業務APになると、情報システム部は、統合業務APだけトラブル対応すれば
いいので、問題点は解消されますね。 |
(Tomの解答例)
トラブル対応による業務支障(13)
(2)工場と本社間のトラフィック増加が、ほかの拠点に影響を与えた理由を35
字以内で述べよ。ただし、影響があった拠点名を含めてネットワーク構成の観
点から述べること。
何を問われているかにCheck! 影響を与えた理由を問われています。
また、
・影響があった拠点名を含め
・ネットワーク構成の観点から述べる
と”ただし書き”されているので、注意しましょう。
工場と本社間のトラフィック増加について書かれてました。
>複数の拠点で応答時間が長くなり、業務に支障が出てきた。
工場と本社の間にどんな拠点があるでしょう?
図1を見れば分かりますね。支社があります。
>しかし、本社と支社間の通信帯域は十分であり、ここに問題はなかった。
と書かれてますので、本社〜支社間の専用線は関係ないようです。
本社〜支社間は問題ないようですが、
支社〜工場間はどうでしょう?
図1をみると、支社〜工場間は、工場からのトラフィックだけでなく、
研究所、物流センタからのトラフィックも重なっています。
複数の拠点で応答時間が長くなり、、、というのは、”研究所”と”物流センタ”
ですね。
|
(Tomの解答例)
研究所、物流センタも工場を経由
して、支社、本社と通信している
ため(32)
設問4
地域営業所と本社の接続試験に関する次の問いに答えよ。
(1)本文中の【 j 】に入れる適切な字句を答えよ。
>データ転送用コネクションの確立は、【 j
】側から要求されます。
FTPのアクティブモードとパッシブモードの違いについてですね。
アクティブモードはファイル転送用のコネクションをServer側から出します。
逆に、パッシブモードは、Client側から出します。
【 j 】はアクティブモードなので、”FTPサーバ”ですね。
|
(Tomの解答例)
【 j 】: FTPサーバ
(2)図4におけるAのPORTコマンドで通知されるポート番号を答えよ。
| アクティブモードの流れです。
@ 制御用パケット(PORT番号20番)でコネクション確立
A PORTコマンドで、
「私のIP Addressは XXX.XXX.XXX.XXXです。私宛に私が決めた任意のポート番号
(今回は図4より3201)で繋ぎに来て下さい」
とMessageを出します。
B は飛ばして、
C でサーバはAで教えてもらったIP Addressとポート番号を宛先としてコネクション確立を
試みます。
ですから、答えは”3201”ですね。
|
(Tomの解答例)
3201
(3)ISDNルータは、IPヘッダのほかにもIPアドレスの変換を行う。何をどの
ように変換するのか、具体的に70字以内で述べよ。
何を問われているかにチェック!
変換方法を具体的に問われています。
”アドレス変換”をKeywordに本文を見てみましょう。
>K氏:ポイントは、社内で利用しているプライベートIPアドレスから地域営業所に
> おけるグローバルIPアドレスヘの変換方法です。インターネットへダイアル
> アップ接続した場合に割り振られるグローバルIPアドレスは一つです。
>T君:IPアドレスの変換機能は、ISDNルータが有していますね。
>K氏:はい、そのとおりです。そのIPアドレス変換方式は、IPマスカレードと呼ば
> れるものです。機能概要を図5に示します。
このK氏とT君のやりとりが1つです。
しかしこれは、
「IPヘッダのIPアドレスの変換」
です。
この設問で問われているのは、
「IPヘッダのほかにもIPアドレスの変換」
ですね。IPマスカレードの具体的な変換方法を書いてしまっては、減点になりそうです。
では、IPヘッダ以外にどこにIPアドレスがあるでしょうか?
設問4(2)を解く時に図4で見かけましたね。
PORTコマンドの中に FTPクライアントのIPアドレスと、ポート番号がありました。
PORTコマンドは(2)で書きましたように、
「私のIPAddressは XXX.XXX.XXX.XXXです。私宛に私が決めた任意のポート番号
(今回は図4より3201)で繋ぎに来て下さい」
です。
このIP AddressXXX.XXX.XXX.XXXがPrivate Addressなら、FTPサーバから
コネクション確立に来れないですね。
・PORTコマンドのパケットに入っている、FTPクライアントのPrivate IP Address
を ISDN Router の Global IP Addressに変換する。
アクティブモードでは、PORT コマンドを受けたFTPサーバが FTPクライアントに向けて
コネクション確立に行きます。これも変換する必要がありますが、
これは、IP ヘッダの変換なので、回答書いてしまっては減点になっちゃいますね。
#この話題は 日経ネットワーク2002年9月号にて特集 P.051〜が組まれています。
#一度目を通しておくことをお勧めします。 |
(Tomの解答例)
PORTコマンドのパケットに入っている、FTPクライアントの
プライベートアドレスを、ISDNルータのグローバルIPアドレ
スに変換する。(67)
(4)ISDNルータが表の設定に従って通信を切断した理由を40字以内で述べよ。
何を問われているかにチェック!
理由を問われています。
この問題はどこの本文についてでしょうか?
>T君:ある地域営業所においてブラウザを用いた場合は、ファイルのダウンロードに
> 成功しました。これに対して、営業活動報告用の端末APを用いると失敗して
> しまいます。ここにFWのDMZで取得した、FTPサーバとFTPクライアン
> ト間のパケットモニタリングデータがあります。このデータを見ると、地域営
> 業所側からTCPコネクションを切断していますが、この原因が分かりません。
>K氏:このモニタリング結果から判断すると、TCPコネクションを切断しているの
> は、ISDNルータです。FTPアクティブモードの概要を図4に示して説明しま
> す。
このT君とK氏の会話ですね。
FTPでのTCPコネクションをISDNルータが切断したようです。
原因はなんでしょう?
そのすぐ後に、K氏はFTPアクティブモードの説明を始めているので、
きっと原因はFTPアクティブモードにあるのでしょう。
FTPアクティブモードは、前の設問で何度か説明したように、
FTPサーバ側からコネクションを確立に来ます。
つまり、表でいうところの「内向き」ですね。
「内向き」のフィルタリングテーブルは、こんな感じでした。
| 方向 |
送信元
IPアドレス |
あて先
IPアドレス |
SYNビット |
ACKビット |
送信元
ポート番号 |
あて先
ポート番号 |
通信動作 |
| 内向き |
外部 |
内部 |
オン |
オフ |
任意 |
任意 |
切断 |
| 内向き |
外部 |
内部 |
オフ |
オン |
80 |
1,024以上 |
接続 |
今回のFTP サーバからコネクション確立に来るPORT番号は設問4(2)より、3201でした。
#wellknown PORT番号 FTP(制御20、転送21)、SMTP(25)、DNS(53)、HTTP(80)、POP3(110)は
#覚えておきましょう!
コネクション確立要求のSYNビット、ACKビットはどうなってますか?
 マスタリングTCP/IP
入門編 第3版P.194で調べてみると、
SYN=1(オン)、ACK=0(オフ)になってます。
内向きのSYN=1(オン)、ACK=0(オフ)は全て切断ですね。
これが原因でしょう。
---ADD 02/09/29
問題文に対する回答を素直に書けば、表の設定に従って通信を切断した理由
ですから、
内向きコネクション確立要求はSYNオンA
CKオフであり、切断設定になっているため。
なんですけど、これはテクニカルな試験ですので、もうちょっと踏み込んだ方がよさそうです。
|
(Tomの解答例)---CHANGED
02/09/29
FTPがアクティブモードなのでサーバから
コネクション確立要求が発生するため(37)
(5)パケットモニタリングデータにおいて、IPsec機能を利用しなかったために、
トラブル解析に役立った情報を15字以内で述べよ。
何を問われているかにチェック!
役に立った情報を問われているます。理由ではありませんので注意しましょう。
まず、IPsecの機能2つ挙げてください。
・User認証
・暗号化
ですね。
つまり、暗号化しなかったためにパケットモニタリングが出来て、トラブル解析が
出来たのでしょう。
K氏は
>パケットモニタリングデータから判断して、FTPアクティブモードを利用しています。
と言っています。
役に立った情報から判断して、"FTPアクティブモードを利用して"いることを見破ってますね。
では具体的にどの情報から見破れるでしょうか?
これが分かれば、回答まで行けそうです。
図4のように、PORTコマンドがFTPクライアントからFTPサーバに行っていれば、
FTPアクティブモードというのが分かります。
つまり、「FTPパケットのデータ部」が回答ですね。
もうちょっと考えてみましょう。
IPsecでは、どの部分を暗号化するでしょうか?
暗号化する「トンネリング」機能には2つありました。
※2.IPSec(Internet Protocol Security)-2つの暗号化モード 参照
@「トンネルモード」
IPパケット全体を暗号化
A「トランスポートモード」
データ部分だけを暗号化
どちらを選択しても、「FTPパケットのデータ部」は暗号化されちゃいますね。
|
(Tomの解答例)
FTPパケットのデータ部(12)
設問5
新ネットワークに関する次の問いに答えよ。
(1)現ネットワークでは、地域営業所を除いた通信に関して信頼性に問題がある
が、新ネットワークヘ移行すれば解消される。ネットワーク構成の観点から、
この解消される問題を50字以内で述べよ。
(Tomの解答例)
IP-VPNに変更することによって、一つ
のルータが全体に影響を及ぼすような信頼性
の問題が解消した(48)
(2)T君の提案に従って、地域営業所のPCでIPsec機能を実現すると、現在の
ISDNルータ経由では本社と通信ができない。その理由を60字以内で述べよ。
何を問われているかにチェック!
通信できない理由を問われています。
とりあえず、T君の提案を見てみましょう。
>T君は、コスト削減のため、既存のISDNルー夕をIPsec機能が付いた機種へ変更
>するのではなく、地域営業所に設置したPCのソフトウェア処理によるIPsec機能の
>利用について提案し、
ここですね。しばらくT君とK氏の話が続いて、最後にK氏は
>IPマスカレード機能とIPsec機能を適用する順序が問題となり、
>PCのIPsec機能を利用することは、困難だと思います。
と言っています。
つまり、適用する順序が合っていればIPsecを使用しても問題ありませんが、
間違えると、通信できないですよということです。
@IPマスカレード機能 => IPsec機能
AIPsec機能
=> IPマスカレード機能
どっちが問題あるでしょうね?
ここまで問題の内容と@、Aの機能が理解できていれば、
解けますね。
IPマスカレードはプライベートIPアドレスとポート番号 => グローバルIPアドレスとポート番号 に変換します。
IPsecは、図3のように、IPヘッダを含むIPデータグラムを暗号化し、IPヘッダの後にESPヘッダをつけます。
---CHANGED
02/09/29
これを見て、最初は、
IPマスカレード機能でIPアドレスとTCPポート番号を変換しようとしたが、
IPsec機能で暗号化されてしまったため、読み取れなかった
と考えました。
そうじゃないんですね。たとえ暗号化されていても、それを平文と思って(勘違いして)変換しちゃうんですね。
正式なIPマスカレード機能はこうでした。
これが、ISDNルータで、、、
先にIPSec機能が働いちゃうと、、、
TCPヘッダ
(暗号化) |
IPヘッダ
(暗号化) |
ESPヘッダ |
新IPヘッダ |
|
→ データの方向 |
これが、ISDNルータで、、、
TCPヘッダ
(暗号化) |
IPヘッダ
(暗号化) |
ESPヘッダ↑変換 |
新IPヘッダ
↑変換 |
|
→ データの方向 |
ISDNルータはESPヘッダをTCPポート番号だと勘違いして、変換してしまいます。
ESPヘッダの役割って何だったでしょう?
図3でK氏はIPsecの説明をしています。
ESPでは、送信元で「認証される範囲のデータ」を使って、ダイジェストを作って、ESP認証データの中に入れておきます。
もし、受信先で「認証される範囲のデータ」から送信元で作るのと同じ方法で作ったダイジェストと、ESP認証データ内の
ダイジェストを見比べて、違っていれば、改ざんされたと認識して、エラーを発生します。
今回の場合は、ESPヘッダを書き換えてしまいましたので、改ざんされたと受信側が勘違いしてしまうわけです。
だから、通信が出来ないわけですね。
|
(Tomの解答例)---CHANGED
02/09/29
ISDNルータはIPsecパケットのES
Pヘッダを書き換えるので受信側の認証に失
してしまうため(48)
(3)現ネットワークから新ネットワークヘの移行において、IP/VPNサービスを
利用することによって得られる、IPアドレス計画における特長とその理由を
70字以内で具体的に述べよ。
IP-VPNを利用したIPアドレス計画の特長と言えば、
・IPデータグラムをカプセル化して通信するため、プライベートアドレスを
使用できることですね。
|
(Tomの解答例)
IP-VPN網ではIPデータグラムをカプセル化して通信を行う
ため、利用者側ではプライベートIPアドレスだけでIPアドレス
計画を行える点(68)
|
