設問1
本文中の【 a 】〜【 d 】に入れる適切な字句を答えよ。
穴埋め問題です。順番に見て行きましょう。
【 a 】
【 b 】
表1の下に【 a 】と【 b 】がありますので、まとめて見てみます。
>図3に示したWebサーバからISPに送信されるパケットが,P1から転送される
>場合には,送信元アドレスが【 a 】になる。また,P2から転送される場合に
>は,表1の設定によって,【 b 】になる。
図3を見ながら考えてみましょう。
Webサーバから出力される時点での送信元IPアドレスは何でしょう?
IP1-2です。これはいいですね。
その後、MH-1を通過した場合に、送信元IPアドレスはどのように変化するでしょう?
それが分かっていれば、問題なく解けますね。
表1の上から順に読んでいきましょう。
・P1でのNAT機能を働かせない透過モードを利用する。
--- 送信元IPアドレスはそのままIP1-2でISPに送信されます。【 a 】
・P2だけでNAT機能を働かせる。
さらに読んでいくと、
・P2でのアドレス変換は,表1の設定に従って次の手順で行われる。
パケットがP2から出力されるときに,
送信元IPアドレスがNATテーブルのアドレス1に存在する場合
=>同一行のアドレス2に変換
存在しない場合
=>P2に設定されたIPアドレスに変換される。
今回は存在しますか?表1を見てみましょう。
IP1-2は存在しますね。 では、アドレス2のIP2-2に変換しましょう。【 b 】
【 c 】
IPsecに関する問題です。
IPsecに関しては、
ネットワーク関連試験対策ノート(IPsec)
としてまとめていますので、よろしければご活用ください。
IPsecのセキュリティサービスを実施するための概念と言えば、
SA(Security Association)とSPI(Security Parameter Index)
ですね! ここでは、SAの方が【 c 】ですので、
SAまたは、セキュリティアソシエーションでいいでしょう。
【 d 】
かぎ交換の方式です。SAで行いますので、IKE(Internet Key Exchange) でいいでしょう。
|
(Tomの解答例)
【 a 】:IP1-2
【 b 】:IP2-2
【 c 】:SAまたは、セキュリティアソシエーション
【 d 】:IKE
設問2
インターネットへのアウトバウンドに関する次の問いに答えよ。
(1)本文中の下線(a)の場合には,社内LANからのインターネットの利用によっ
て発生するパケットが,MH-1によってどのように転送されMH−1のどこに返
送されてくるか。50字以内で述べよ。
アウトバウンドに関する問題です。
内(社内LAN)=> 外(インターネット)への通信ですね。
どのように転送するかを具体的に答えさせる問題です。
(a)MH-1に図3に示したIPアドレスを付与して表1の設定を行うことで,図1に示した既存のDNSサーバの設定を変更しないでそのまま利用できる。
これは変な問題です。
このようなネットワークでは通常、内=>外の通信を直接行わないように、
DMZにプロキシサーバを置いて中継し、内<=>プロキシサーバ、プロキシサーバ<=>外で
コネクションを貼ります。
今回の場合、どうも直接通信を行っているようなので、送信元IPアドレスは、
プライベートIPアドレスかグローバルIPアドレスです。
通常はプライベートIPアドレスを使用しますが、明記されていませんので、
両方を考える必要があります。
これらを頭において、P1、P2双方から出て行く通信について考えてきましょう。
P1から出て行く場合は、”透過モード”でした。送信元IPアドレスはNATされずに
出て行きます。ここで送信元IPアドレスがプライベートIPアドレスの場合と、グローバルIPアドレスの場合について考えてみる必要が出てきます。
プライベートIPアドレスの場合は、プライベートIPアドレスのままインターネットに流れることになりますので、破棄されますね。
グローバルIPアドレスの場合は、破棄されないのでISP-1から割り振られたグローバルIPアドレスであれば、P1ポートに戻ってくることが出来るでしょう。
P2から出て行く場合は、NATです。表1の中に存在しないIPアドレスですから、IP2-1に変換されてインターネットに出て行きます。
なので、問題なくP2ポートに戻って来れますね。
しかしながら、ここまでの回答を50文字で書かせるのか?と言われると疑問です。
下線(a)でも”そのまま利用できる。”と言い切っていますし。
「単純に出て行ったポートから返ってくる」みたいな回答を望まれているような気もしています。
でも、文面だけを読むとこれが回答ですので、これで作っておきましょう。
|
(Tomの解答例)
セッションごとにP1、P2ポートに負荷分散されて送
信され、出力したポートに戻ってくるが、プライベート
IPアドレスを使用している場合、P1から出力したパ
ケットは戻ってこない。(85)
(2)本文中の下線(b)の問題は,P2側からISPに送信された場合に発生する。その
理由を,70字以内で述べよ。
早速下線(b)を見てみましょう
(b)Y社から転送される電子メールの受信がISPのポリシによって拒否されるという問題が発生する可能性が
ある。
ですね。”電子メール”、”ポリシ”をキーワードにして、第3者中継への対策を思いつけば、
この問題も解けたも同然ですよね。思いつかなかった場合はこれを機に勉強してみてください。
SMTPでは、認証を行わずにメール送信できるため、(いわゆるポストに入れるだけで郵便物を送れる)
成りすましが結構簡単に出来ちゃいます。
その対策として、(1)、(2)のような設定がされています。
(1)POP before SMTP
(2)SMTP-AUTH 【SMTP Authentication】
(3)送信元IPアドレス または、あて先IPアドレスが自ドメインでなければ転送しない(拒否する)
この設問は(3)についての問題ですね。
メールについては、今後セキュリティ対策でも重要になってきますので、勉強しておきましょう。
(参考)ネットワーク早分かり講座:スパムを防げ!SMTP認証の基礎(キーマンズネット)
メールを使用する場合、メーラの設定の中に”SMTPサーバのIPアドレス”を入力する画面があります。
通常、ISPのメールサーバのIPアドレスを入力します。
今回の場合、ISP-1、ISP-2どちらかの、メールサーバのIPアドレスを入力することになりますが、
それは本文に明記されていません。
ですので、ISP-1のメールサーバを使用したと仮定しましょう。
メール送信も他通信同様、MH-1で負荷分散されます。
P1経由で出る場合は問題ないですけど、P2経由で出る場合はどうなるでしょう?
送信元IPアドレスがISP-2から配布されたものに変換されるので、拒否されちゃいますね。
これが回答でしょう。
|
(Tomの解答例)
メールサーバで送信元IPアドレスが自ドメインでない
メールを破棄する設定になっている場合、MH−1で自
ドメインに変換された場合、破棄される。(69)
設問3
インターネットからのインバウンドに関する次の問いに答えよ。
(1)図4中の【 ア 】〜【 エ 】に入れる適切な記号を答えよ。
DNSの設定についての問題です。
BINDなどで設定したことがある人は簡単かもしれません。
設定したことが無い人でも、基本的なレコードの意味が理解しておればある程度は
解けるでしょう。
では、順番に見ていきましょう。
【 ア 】
ns IN A 【 ア 】
nsですから、ネームサーバつまりはDNSサーバのアドレス設定です。
Aレコードですので、IP アドレスで記入ですね。
図3を見てもDNSサーバは無いですね。どこにあるんでしょう?
MH-1にDNS機能を持たせています。気づきましたか?
IP1-1でいいでしょう。
【 イ 】
ns1 IN A 【 イ 】
ns1ですから、これもネームサーバつまりはDNSサーバのアドレス設定です。
Aレコードですので、IP アドレスで記入ですね。
IP2-1でいいでしょう。
【 ウ 】
mail IN A 【 ウ 】
今度はmailですから、メールサーバです。
初めてみる人でも、だいたいイメージできますね。
mailサーバのIP アドレスとしては、IP1-3 と IP2-3がありますけど、
上の行でIP1-3は設定されているので、ここではIP2-3ですね。
【 エ 】
www IN A 【 エ 】
最後にwwwですから、webサーバです。
こちらも同じように、IP1-2とIP2-2を設定する必要がありますけど、
上の行がIP1-2ですから、ここの回答はIP2-2ですね。
|
(Tomの回答例)
【 ア 】:IP1-1
【 イ 】:IP2-1
【 ウ 】:IP2-3
【 エ 】:IP2-2
(2)インバウンドにおけるルート障害対策機能を実現するために,DNS機能はど
のように動作するか。50字以内で述べよ。
何を問われているかにチェック!どのように動作するか? です。
どのように実現するか?手段ではないので注意しましょう。
ルート障害対策機能は、図2の下のAに書いてました。これはいいですね。
これで、障害対策は出来ています。
その上で、DNS機能はどのように動きますか?っていうのがこの設問ですね。
ルートが正常なときは、図4に書いてあるように、それぞれのサーバについて、
ISP-1、ISP-2経由それぞれのIPアドレスをDNSラウンドロビンで振り分けて回答していました。
もし、故障しているのに図4のままの状態で回答すればどうなるでしょう?
故障している経路で接続しに行こうとして、結果通信エラーになっちゃいますね。
つまり、故障を検出すると、故障したISP側のIPアドレスを回答しないような動作を
すれば、いいということです。
|
(Tomの回答例)
ルート障害を検出した場合、故障したISP側のIP
アドレスを回答しないような動作をする。(44)
設問4
VPNに関する次の問いに答えよ。
(1)本文中の下線(c)の理由を,50字以内で述べよ。また,MH−2のpingコマンド
のあて先をどこに設定すべきか。25字以内で述べよ。
何を問われているかにチェック! 理由とどこに設定すべきかを問われています。
まずは下線(c)を見てみましょう。
(c)MH−2に対してpingコマンドのあて先にエッジルータを設定しても,VPNのルートの障害を検知できない
MHは,ping確認によってルートの障害を検知します。
これは、A ルート障害対策機能にも書かれてます。OKですね。
pingコマンドを発行して応答の有無を確認するようです。
(2)pingコマンドのあて先の設定を読んでいくと、
>MH-1では,アウトバウンドのルートの障害を検知するために,pingコマンドのあて先として,ISP側のポー
>トごとに,接続先のISPのエッジルータを設定する。
これは問題ないようです。
MH-2の場合は、
「pingコマンドのあて先にエッジルータを設定しても,VPNのルートの障害を検知できない」
なぜ?その理由を書いてあげればいいわけです。
MH-1ならOKなのに、MH-2ならNGってことになります。
ということは、MH-1とMH-2での設定の違いがこの問題を答える近道になりそうですね。
違いは〔MHの設定と動作の概要〕の上辺りを読んでいくと出てきます。
VPN機能を働かせるか、働かせないかですね。
MH-1 --- VPN機能を働かせずに、振り分け機能を働かせる
MH-2 --- VPN機能を働かせる
ですね。
あて先となっているエッジルータはどこにあるでしょう?
図2中の(ISP1)、(ISP2)の中ですね!
そこはVPN機能を働かせてます。VPNでの通信はMH-2 = MH-2間で貼られるので、
その間ではpingを打っても応答は取れないですね。
|
(Tomの回答例)
理由:MH−2間ではVPNにて接続するため、その中でのpingコマンドを
打っても、応答が返ってこないため
変更場所:対向するMH−2のポート側IPアドレス
(2)表3中の【 オ 】〜【 キ 】に入れる適切な記号を答えよ。
VPNの設定内容ですね。表2が参考になりますので、比較しながら確実に解いていきましょう。
表2のVPN #2の逆を書いてあげればいいですね。
|
(Tomの回答例)
【 オ 】:wh−1
【 カ 】:wh−2
【 キ 】:IP-h
設問5
ネットワークの移行に関する次の問いに答えよ。
(1)M氏の会社の作業者は,MH−1を稼働させたときにリンクランプが点灯しな
かった問題に対して,どのような対策を施したか。50字以内で述べよ。
この問題は本文中のオートネゴシエーションの意味が分かれば解けますね。
LANでは、共有ネットワークですから、送信速度や通信モード(半二重、全二重)
が一致していないと同期が取れないので、送受信できなくなります。
ですので、それぞれの機器で対応している速度やモードを調べて、設定するわけですが、
機器の台数が増えると大変です。
そこで、その速度やモードに対する最初のネゴシエーションを自動的に行えばラクでしょ?
と開発されたのが「オートネゴシエーション」です。
今回リンクランプが点灯せず、原因を追求したら、「速度の不一致が原因」だったと言っています。
その理由を問われているのなら、回答は結構複雑なのですが、ここでの問いは、
どのような対策を施したのか?ですので、
単純に
・オートネゴシエーションを止めた
・手動で速度を一致させた
でいいでしょう。
|
(Tomの回答例)
オートネゴシエーションモードをやめ、手動設定で速度
を一致させた(31)
(2)本文中の下線(d)を行ったところ,ポートごとに送受信された累積データ量は,
設定した比率に近い値になった。最初に調べたときに,設定された比率と大き
く異なった原因を,60字以内で述べよ。
まず、下線(d)を見てみましょう
(d)運用開始後に再度確認することにした。
問題文を読むと、運用開始前は、累積データ量が設定された比率とは大きく異なって
いたが、運用を開始すると設定した比率に近い数字になったと読み取れます。
それはなぜ?というのが問題ですね。
何のデータについて問われてるかは、下線(d)の上側に書かれています。
>両方のポートにLANケーブルを接続して,アウトバウンドトラフィックの振り分け
>動作を表4中の@について確認した。MH−1のログで振り分け状態を調べたところ,
>トラフィックは振り分けられていたが,ポートごとに送受信された累積データ量は,
>設定された比率と大きく異なっていたので,運用開始後に再度確認することにした。
web閲覧のアウトバウンドトラフィックの振り分け状態を聞いていることが分かりました。
問題でいう”最初に”と言ってるのは、この確認段階のことでしょう。
この確認段階では、振り分けが比率とは大きく異なったのに、運用してみると設定した比率に
近くなったみたいですね。なぜなんでしょう?
アウトバンドの振り分け確認は@web閲覧とAメールの合計で見るのに、@web閲覧だけで確認
したら比率が異なったんでしょう。web閲覧は一つのセッションで多くの通信をしています。
”web閲覧”これがキーワードでしょう。
通信の数が50:50でも、通信量が50:50かというとそうではありません。
特にweb閲覧では貼り付けられているデータなどが大きいなど、接続先に影響されやすい
通信です。振り分けはセッション単位で正常に振り分けていても、データ量としては、
うまく振り分けられない可能性はありますね。これが原因でしょう。
|
(Tomの回答例)
web閲覧では貼り付けられているデータなどが大きいなど、接続
先に影響されやすく、うまく振り分けられない可能ではあるため(59)
(3)本文中の下線(e)の手順によって,インバウンドの動作確認を行うことができ
る理由を,70字以内で述べよ。
まずは、下線(e)を見てみましょう。
(e)PCのプロキシサーバを利用する設定を外し,ブラウザに本社のWebサーバのIPアドレスを直接入力
して行った。
インバウンド動作確認として、E 本社のWebサーバ 閲覧をする際に、
・PCのプロキシサーバを利用する設定を外す
・ブラウザに本社のWebサーバのIPアドレスを直接入力する
この2つを実施したと言っています。
逆にいうと、これらをやらないとうまく動作確認が出来ないということになりますね。
それはなぜなんでしょう?
通信確認はどこからやっているでしょう?きっと社内でしょう。
しかし、インバウンドですから、ISP経由で本社のWebサーバにアクセスしないと確認できません。
社内からでもISP経由で接続することは出来ます。でも、今の設定ではISP経由で通信できないですね。それが分かれば解けたも同然です。
その理由が、上に書いた
・PCのプロキシサーバを利用する設定である
・ブラウザに本社のWebサーバのIPアドレスを直接入力しないといけない
です。
まず、PCのプロキシサーバを利用する設定だとなぜいけないかを考えてみましょう。
プロキシサーバ経由で設定すると、PCとプロキシサーバ、プロキシサーバと本社のWebサーバで通信が確立されます。
通信経路を考えると分かりますが、両方社内で完結しちゃいますね。これが一つの原因でしょう。
もうひとつのブラウザに本社のWebサーバのIPアドレスを直接入力しないといけない理由はなんでしょう?
これは単純に、下線(e)の下に書いてある
>PCにISP1のDNSサーバのIPアドレスを設定し,ブラウザに本社のWebサーバの
>URLを入力して行った。
から見て、PCにDNSサーバのIPアドレスを設定していなかったんでしょう。
では、上の2つの変更をすればどうなるでしょう?
IPアドレス(本社のWebサーバはIP1-2でした)を入力すると、PCに設定されたデフォルトゲートウエイに出て行きます。
デフォルトゲートウエイはどこに設定されているでしょうか?
(MH1:IP1-1)であれば、午後1問題レベルです。そうでないところが、午後2のそれも
最後の問題なんですね。
確認したPCはどんなPCだったでしょう?
>インバウンドの動作確認を,VPNの動作を確認したPCを使用して
行ってますね。
では、そのPCの設定内容は?少し上に書いてます。
>VPNの動作確認を,各営業所のPCの設定を変更しないで,業務サーバや社内メールサーバ
>の利用及び社外のWebサーバの閲覧が可能かどうかを検証
してます。
ということは、PCに設定されているデフォルトゲートウエイのIPアドレスは?
もう網分かりましたね。 MH-2です。
MH-2に転送されたパケットはアウトバンドですからセッション単位で振り分けられて、
ISP-1または、ISP-2に出て行きます。あて先が社内でしたらVPNを張りますが、
社外ですから、そのまま出て行きますね。その後、MH-1を経由して本社Webサーバに入ってきますので、インバウンドになりますね。
この流れをキーワードとして列挙するとこうなります。
・プロキシサーバを経由しないと、デフォルトゲートウエイに転送される
・確認試験を行っているPCのデフォルトゲートウエイは、VPNの動作を確認してから
変更していないので、MH-2.
・MH-2に転送されたパケットはISP-1、ISP-2どちらかに振り分けられて出て行く。
・出て行ったパケットはインバウンドとしてMH-1経由で本社Webサーバにアクセスされる
これらをまとめて書いてあげればいいでしょう。
|
(Tomの回答例)
プロキシサーバの設定を外すことによりデフォルトゲートウエイ(
MH−2)経由でISPに転送され、インバウンドとして社内ネッ
トワークに入ってくる(70)
|