設問1
IPアドレス計画に関する次の問いに答えよ。
(1)表3中の【 a 】、【 b 】について、表3のほかの項目表記に従
って答えよ。
穴埋め問題です。
表3の各サーバのIPアドレスを埋めていきます。
表3 各サーバのIPアドレス(抜粋)
サーバ |
IPアドレス |
S1のC1 |
10.10.30.10 |
S1のC2 |
10.10.50.10 |
S2のC1 |
【 a 】.10 |
S2のC2 |
【 b 】.20 |
S3のC1 |
10.10.60.10 |
S3のC2 |
10.10.50.30 |
DB-1 |
10.10.50.40 |
DB-2 |
10.10.50.45 |
GW |
10.10.50.50 |
これのヒントになるのは、表3の上に書いてあるU君とT氏の会話です。
>T氏:はい。・・・・・三つのVLANを構成し、
> S1、S2及びS3のIP-アドレスには、それぞれ
> "10.10.30.10"、"10.10.40.10"及び"10.10.60.10"
を静的に割り当てます。表3に、各サーバのIPアドレスを示します。
これで、
S1のC1 10.10.30.10
S2のC1 10.10.40.10
S3のC1 10.10.60.10
が分かりますね。【 a 】には 10.10.40が入ります。
S2のC2の方はどうでしょう?
>L3スイッチではフィルタリング機能を利用します。
と書いてます。
また、L3スイッチ側のポートから出ている他のサーバのIPアドレスは
S1のC2 10.10.50.10
S3のC2 10.10.50.30
DB-1 10.10.50.40
DB-2 10.10.50.45
GW 10.10.50.50
全て10.10.50.**を使っていますので、【 b 】も
10.10.50でいいでしょう。
|
(Tomの解答例)
【 a 】:10.10.40
【 b 】:10.10.50
(2)各サーバで使用しているサブネットマスクを答えよ。
表3を見ていると、ホストアドレスは下位6ビット(0〜63)でも下位8ビット(0〜255)
でもいいような気がしますが、ここは素直に8ビットと考えて、
255.255.255.0としておきましょう。 |
(Tomの解答例)
255.255.255.0
設問2
テスト期間中に発生した事象に関する次の問いに答えよ。
(1)TPCにおけるTCP/IPの設定に関して、本文中の【 c 】〜【 g 】
に入れる適切な字句を答えよ。
穴埋め問題です。TCP/IPの設定に対する問題ですので、
確実に答えられるようにしておきたいですね。
〔受注システムのテスト〕の中での情報システム部の後輩のK君と先輩のU君の
会話です。
どうもサーバに接続できないようですね。
・K君の使用したTPCのIPアドレスは正しかった。
・そのほかの設定に間違いがあったので修正した
・その結果、S1にはアクセスすることができた
・S2にはアクセスすることができなかった。
・その後、別の設定の間違いに気付いて、それを修正した。
・S2へのアクセスも可能になった。
・K君は、これらをU君に報告した。
こういう前振りがあった上での、K君とU君の会話です。
> K君:【 c 】の設定を修正したところ、S1だけにはアクセスできましたが、S2
> にもアクセスするためには、【 d 】の設定の修正が必要でした。
>U君:TPC と S1は、同一のVLAN に収容されています。しかし、TPCは、
> 【 c 】の設定が正しくないので、S1が同一の【 e 】ドメインに存
> 在しないと判断し、誤った【 d 】ヘの通信を試みます。
>K君:【 d 】を間違えても、S1へのアクセスは可能でした。なぜでしょうか。
>U君:【 c 】の設定が正しく修正されたので、K君のパソコンがARPを利用し
> て【 f 】の【 g 】を取得できたからです。
>K君:分かりました。ありがとうございました。
図2のL2スイッチにおいて、、"Q1とQ6とQ9"は同じVLANと言っていますので、
K君が作業したTPCとS1のC1は同じVLANというのが分かります。
逆にS2のC1は別のVLANと言うことも分かりました。
同じVLANなので、S1のC1にはアクセスできるハズなのですが、何かの設定が間違えていたので、
始めはアクセスできなかったと言っています。
U君が言っているように、サブネットマスクの設定が正しくなかったので、S1のC1が
別ネットワークであると判断してデフォルトゲートウエイに投げてしまったんですね。
そこで、サブネットマスクの設定を修正して、TPCとS1のC1は同じネットワークを判断できたので、
アクセスできるようになったのですが、今度はS2にはアクセスできません。
同一ネットワークでアクセスできるが、別ネットワークではアクセスできない。
これは、デフォルトゲートウエイの設定しかないですね。
これで、【 c 】〜【 e 】が分かったと思います。
ここは、基本ですからぜひ確実に書けるようにしておきたいものです。
【 c 】:サブネットマスク 【 d
】:デフォルトゲートウエイ 【 e
】:ブロードキャスト
その後に、K君が
>デフォルトゲートウエイを間違えても、S1へのアクセスは可能でした。なぜでしょうか。
と聞いています。
U君がARPの機能を説明しながら、答えてますね。
>サブネットマスクの設定が正しく修正されたので、K君のパソコンがARPを利用し
>て【 f 】の【 g 】を取得できたからです。
ARPは同一ネットワーク内にブロードキャストパケットを出して、
IPアドレスに対応するMACアドレスを調べるプロトコルでした。
これが分かれば、【 f 】【 g 】も書けますね。
【 f 】はS1サーバのことです。ですので、S1サーバと書いてもいいのですが、
S1サーバにはC1,C2、2つのIPアドレスを持っていますので、ここは"S1サーバのC1"と
書いてあげた方がいいと思います。
【 g 】はMACアドレスですね。
|
(Tomの解答例)
【 c 】:サブネットマスク
【 d 】:デフォルトゲートウエイ
【 e 】:ブロードキャスト
【 f 】:S1サーバのC1
【 g 】:MACアドレス
(2)TPCが参照するDNSサーバをS2からISPのDNSサーバに変更し、S3の名
前解決を試みた結果、S3のプライベートIPアドレスが回答された理由を、70
字以内で述べよ。
何を問われているかにチェック!
プライベートアドレスが回答された理由を問われています。
早速DNSの名前解決をキーワードに本文を見てみましょう。
図3の上に書いてあるこれですね。
>内部に閉じたテストが完了したので、外部からのアクセスに関してテストを行った。
>内部に閉じたテストの段階では、S2にプライベートIPアドレスを回答するDNSを
>構築し、各TPCやサーバがDNSサーバとしてS2を指定していた。外部からのアク
>セスを確認するために、グローバルIPアドレスを回答するDNSをS1に構築した。
>D社は、S1のDNS設定が正しいことを確認し、利用しているISPに対して、受注シ
>ステムのゾーン情報のコピーを保有するような設定を依頼した。
>翌日、K君は、TPCが参照するDNSサーバをS2からISPのDNSサーバに変更し、
>S3の名前解決を試みた。その結果、TPCには、S3のプライベートIPアドレスが回
>答された。次に、K君は、TPCの設定を変更せずに、ISPにダイアルアップ接続して、
>S3の名前解決を試みた。今度は、S3のグローバルIPアドレスが回答された。K君は、
>U君から、ISPのDNSがフルサービスリゾルバ用のDNSとして機能したので、この
>動作には問題がないと説明され 納得した。
まとめるとこういうことです。
1.内部に閉じたテスト
(1)S2にプライベートIPアドレスを回答するDNSを構築し、
各TPCやサーバがDNSサーバとしてS2を指定した。
(2)外部からのアクセスを確認するために、グローバルIPアドレスを
回答するDNSをS1に構築した。
(3)S1(グローバルIPアドレスを回答するDNSサーバ)のDNS設定が正しいことを確認
(4)利用しているISPに対して、受注システムのゾーン情報のコピーを
保有するような設定を依頼した
(5)翌日、K君は、TPCが参照するDNSサーバをS2からISPのDNSサーバに変更し、
S3の名前解決をテストした
(6)結果、TPCには、S3のプライベートIPアドレスが回答された。
これがなぜでしょう?ってことです。
解答のキーワードがないかもう少し見てみましょう。
(7)次に、K君は、TPCの設定を変更せずに、ISPにダイアルアップ接続して、
S3の名前解決を試みた。
(8)今度は、S3のグローバルIPアドレスが回答された。
(9)K君は、U君から、ISPのDNSがフルサービスリゾルバ用のDNSとして機能したので、
この動作には問題がないと説明され納得した。
TPCが参照するDNSサーバは(5)に書かれているようにISPのDNSサーバです。
LAN経由で接続 --- プライベートIPアドレスが回答された。
ダイアルアップ接続--- グローバルIPアドレスが回答された。
なぜ、同じISPのDNSサーバに名前解決をさせてるのに、
接続方法の違いにより、プライベートIPアドレスが回答されたり、
グローバルIPアドレスが回答されたりしたのでしょう?
DNS自身がサーバが接続方法を判定して回答方法を使い分けたのでしょうか?
残念ながらDNSにはそういう機能はありません。
ISPのDNSサーバはどのようなゾーン情報を持っているでしょう?
(4)で依頼したようにS1(グローバルIPアドレスを回答するDNSサーバ)のDNS設定
をコピーを保有するような設定になっているはずです。
ですから、DNSが回答するS3サーバのIPアドレスはグローバルIPアドレスだ
ということになりますね。
では、なぜLAN経由で接続した場合のみ、プライベートIPアドレスが回答されたのでしょうか?
プライベートIPアドレスが回答されたと考えるとなかなか答えが見つかってこないので、
DNSサーバはグローバルIPアドレスを返したけど、途中でプライベートIPアドレスに
変換されたのではないか?と考えてみましょう。
グローバルIPアドレス <=> プライベートIPアドレスの変換、、、NATの機能ですね。
そこでNATの説明が書いてあるところを遡って見てみます。
図1下のU君とT氏の会話です。
>T氏:グローバルIPアドレスは、S1、S2及びS3の各サーバを、インターネット経
> 由でアクセスするために利用されます。これらは、S1のDNSに登録します。
> 各サーバのプライベートIPアドレスとグローバルIPアドレスの変換は、静的
> に1対1に対応するNAT機能を利用します。この機能は、ルータで実現して
> います。
>U君:例えば、あて先IPアドレスがS1のグローバルIPアドレスの場合、ルータで
> S1のプライベートIPアドレスに必ず変換されるのですね。
>T氏:はい。さらに、IPパケットのヘッダ部だけでなく、FTPやDNSなどのプロト
> コルでは、IPパケットのデータ部に含まれるIPアドレスに対しても同様な変
> 換が行われます。
ルータでNAT機能を利用しています。
普通、NATは、IPデータグラムのあて先IPアドレス部分と送信元IPアドレス部分のみを
変換しますが、このルータではこういう機能があります。
> さらに、IPパケットのヘッダ部だけでなく、FTPやDNSなどのプロト
> コルでは、IPパケットのデータ部に含まれるIPアドレスに対しても同様な変
> 換が行われます。
だからLAN接続の場合は、プライベートIPアドレスが回答されたわけですね。
これを70字で答えてあげましょう。
一連の話の最後に
>K君は、U君から、ISPのDNSがフルサービスリゾルバ用のDNSとして機能したので、
>この動作には問題がないと説明され 納得した。
というのがありました。
フルサービスリゾルバって何?このフルサービスリゾルバがキーワードではないか?
と思った人が多いと思います。
この言葉について、調べてみました。
参考:@IT/集中連載:DNSの仕組みと運用(1)
フルサービス・リゾルバ(Full-Service Resolver)
再帰検索によって完全にDNS解決を行えるリゾルバ
再帰検索---DNSサーバはDNS解決が完結するまでドメイン・ツリーをたどり、
(ほかのサーバに対して)検索を行い、最終結果を返す。
相対する言葉:
スタブ・リゾルバ(Stub Resolver)
要求を送るだけのDNSクライアント(多くの場合はクライアントPCや
メール・サーバなど)
フルサービス・リゾルバの場合は、全てを解決したあとに、NATでアドレス変換される
ことになるので、動作には問題ないということなんですね。
|
(Tomの回答例)
ISPのDNSサーバはS3のグローバルIPアドレスを回答した
が、NATでIPパケットのデータ部に含まれるIPアドレスも変換
されたため。(65)
設問3
図1の受注システムのネットワーク構成の予備検討案に関する次の問いに答えよ。
(1)T氏がサーバの静的ルーティング機能とサブネット分割を利用する方法では、
不正侵入に対応できないと考えて、L2スイッチを利用したVLANを構成する
ことにした理由を、60字以内で述べよ。
(Tomの回答例)
サーバのネットワーク変更されてもⅬ2スイ
ッチでは異なるVLANの通信は出来ないた
め、安全性の向上を期待できるため(56)
(2)図1に示したネットワーク構成のままで、L2スイッチの一つのポートを利
用して社内LANを収容した場合に生じる不具合とその発生理由を、50字以内
で述べよ。
何を問われているかにチェック!
不具合と発生理由を問われています。
"図1に示したネットワーク構成のままで"と書かれていますので、図2、図3での
お話は一切忘れましょう。
図1では、L2スイッチのVLAN機能を使って、一つのVLANにDB-1とS2、
ほかのVLANにDB-2とS3を収容しています。
社内LANのPCを使って、
・問合せメールの受信
・各サーバのメンテナンス
をやりたいと言っていますので、それにあったVLANにしないといけないです。
たとえば、Q6に社内LANをつないだとしましょう。
問合せメールを受信するには、VLANにQ1とQ6を収納しないといけません。
さらに、各サーバのメンテナンスまで行おうとすると、Q1、Q2、Q3、Q6を収納しないと
いけません。
しかしすでにセキュリティ確保を目的として、Q2とQ7、Q3とQ8はVLANとなっていますので、
それは出来ません。
発生理由は、異なるVLAN同士はアクセス出来ないということで、
発生する不具合は、
@一つのサーバをVLANに収納すると、残りのサーバは収納できないのでアクセス出来ない
A全てのサーバを一つのVLANに収納すると、どこからでもアクセスできてしまう。
@とAは裏返しのことを言っていますが、どちらも不都合なので、どちらでもいいでしょう。
|
(Tomの解答例)
異なるVLAN同士はアクセス出来ないため、別VAN
に収納されているサーバにはアクセス出来ない。(46)
設問4
メールの不正中継に関する次の問いに答えよ。
(1)T氏が述べた中継サーバを利用して並列に実行する処理に関して、中継サー
バとあて先サーバのデータ転送以外の処理を、40字以内で述べよ。
何を問われているかにチェック!処理を問われています。
T氏が述べた中継サーバとはどのようなサーバでしょう?
U君の質問に対する、T氏が回答で言ってる中継サーバですね。
>U君:不正利用者は、侵入したサーバからメールを自由に送信できるのに、なぜ、中
> 継サーバを利用するのでしょうか。
>T氏:不正利用者の目的は、複数の相手に対して大量にメールを送信することです。
> メールの送信処理では、あて先サーバヘのデータ転送に要する時間以外にも、
> 必要な処理に多くの時間が費やされます。この時間は、複数の異なるあて先に
> 対してメールを送信する場合、より多く必要になります。そのため、不正利用
> 者は、これらの処理を図3の複数の中継サーバで並列に実行させます。
この中で、
>メールの送信処理では、あて先サーバヘのデータ転送に要する時間以外にも、
>必要な処理に多くの時間が費やされます。
と言っています。
その"必要な処理"とは何ですか?ってことですね。
続けてT氏はこう言っています。
>この時間は、複数の異なるあて先に対してメールを送信する場合、より多く必要になります。
"あて先を設定する処理"なんでしょうね。
これでは、10文字しかありませんので、もうちょっと考えてみましょう。
あて先を設定してから、実際にデータを転送するまでにどのような手順が必要でしょうか?
普段、自分たちが使ってるメーラからの送信ではなく、サーバの転送ですから、
あて先サーバに送らなければなりません。つまり、あて先のIPアドレスを知らないと
ダメですよね?名前解決です。これが時間を要します。
|
(Tomの解答例)
あて先メールアドレスの設定と、メールアド
レスからあて先IPアドレスを解決する処理。(40)
(2)T氏が指示した、D社内から発信したメールに限定するためのルータの設定
に関する確認事項を、40字以内で述べよ。
(Tomの解答例)
送信元IPアドレスがS1、S2以外のインタ
ーネット向けメールが破棄されているか。
設問5
図2の受注システムのネットワーク構成に関する次の問いに答えよ。
(1)監視サーバの接続方法に関して、本文中の【 h 】、【 i 】に入
れる適切なネットワーク機器名を、図2から選び答えよ。
(Tomの解答例)
【 h 】【 i 】ルータ、L3スイッチ(順不同)
(2)監視サーバが設置され、サービスを開始したときのルータのルーティング処
理に関して、開発時との変更点を、60字以内で述べよ。
何を問われているかにチェック!
開発時との変更点を問われています。
開発時との変更点と書かれてますので、その辺をキーワードに遡ってみましょう。
表3の下でT氏は
>開発時に限っては、ルータを用いてVLAN間の通信を行います。
と言っています。
TPCからDB-1、DB-2及びGWへの通信は開発時のみOKってことですので、
開発が終われば、拒否しないといけません。
さらに、L3スイッチに監視サーバを取り付けるわけですから、
SNMPについては、通過させなければいけません。
あと、監視サーバを設置することによって、
>監視サーバが障害を検知した場合、S2を介したメールで、定められた運用担当者
>に障害情報を通知
しないといけないですから、
送信元:S2サーバ、
あて先:社内LANのメールBOXであるS1サーバ
へのSMTPも許可しないといけません。
その辺を60文字でまとめてあげましょう。
これが答えと思いましたが、これで変更するのは"フィルタリング機能"の方ですね。
今回問われているのはルーティング機能です。
ルーティング機能は、表2に書いていますように、静的ルーティングと
動的ルーティングがあります。
変更すると書いていますので、『"どちらか"を"ある理由"で"どちらか"に変更する』
と書ければOKでしょう。
となると、キーワードは
>今後のサーバ増設を考慮して、静的なルーティング機能は使用しない。
になってきます。
ルータのルーティングテーブルとはこんなんでした。
ネットワークアドレス |
出力ポート |
192.168.1.0 |
ポート1 |
192.168.2.0 |
ポート3 |
静的ルーティングはこれを手で設定するということです。
サーバが増設され、ネットワーク分割が複雑になると、設定も大変になりますね。
だから、静的なルーティングは使用しないと言っているわけです。
でも、実際は、”ルーティング処理”を問いているわけではなく、
"フィルタリング機能"について、問いたかったのかな?という気がしています。
|
(Tomの解答例)
今後のサーバ増設を考慮して、静的ルーティングから動的ルーティ
ングに変更する。(37)
#ちょっと弱いかなぁ。。
(3)予備検討案に社内LANやGWを付加したので、L2スイッチとL3スイッチ
を入れ替えている。DB-2とGWを目的どおりに機能させるため、L3スイッチ
で利用する機能とその設定すべき内容を、80字以内で述べよ。
何を問われているかにチェック!
機能と設定すべき内容を問われています。
まずL3スイッチが持っている機能を思い出してみましょう。
表2に書いていましたね。
フィルタリング機能とルーティング機能です。
要求されている機能はどうでしょう?
"DB-2とGWを目的どおりに機能させるため"の機能です。
この"目的"とは何ですか?
〔ネットワーク構成の再提案〕の最後に書いてあるT氏の説明ですね。
>T氏:DB-2の情報を外部から守るため、GWを新たに設置しました。GWは、S3と
> DB-2間の通信を定められたルールに基づいて中継します。仮に、S3からパス
> ワードに対する取得命令が発せられても、GWはこれを排除します。S3は、
> 会員認証のため、GWを介してDB-2に会員が入力したIDやパスワードなど
> の認証識別情報を転送します。その認証結果は、GWを介してDB−2からS3
> に回答されます。
ここを読むと、
S3 => DB-2は排除。
S3 => GW(を介して) => DB-2 のIDやPASSWORD情報は通過
DB-2 => GW(を介して) => S3 の認証結果は通過
こういう設定をしないといけないのが分かります。
これは、
フィルタリング機能とルーティング機能どっちですか?
フィルタリング機能ですね。
あと、設定内容は上に書いたようなことを制限文字数内で書いてあげればいいでしょう。
|
(Tomの解答例)
フィルタリング機能でGW、DB−2間の認
証情報を転送するサービスとGW、S3間の
認証結果を転送するサービスは通信を許可し
S3からDB−2への直接通信は許可しない。(80)
|