EAP-TLS(証明書、秘密鍵、PKCS#12、ディジタル証明書の配布方法)【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問4】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「EAP-TLS(証明書、秘密鍵、PKCS#12、ディジタル証明書の配布方法)」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問4」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問4
問2 無線LANシステムの導入に関する次の記述を読んで、設問1〜5に答えよ。
(略)
【ディジタル証明書の配布方法の検討】
ディジタル証明書の配布方法についてJ君が検討した結果を、次に示す。
選定したRADIUSサーバ製品は、EAP-TLSで必要になるディジタル証明書(サーバ証明書又はクライアント証明書)を発行するCA(Certification Authority)機能をもっている。サーバ証明書とクライアント証明書は、RADIUSサーバのCA機能を使って発行する。
クライアント証明書は、情シスの担当者が本社の営業員のNPCに直接インストールすれば安全であるが、情シスの負担が大きい。そこで、本社LANに、クライアント証明書をNPCにダウンロードさせるサーバ(以下、ダウンロードサーバという)を新規に構築して、LAN経由でクライアント証明書を配布すれば情シスの負担が抑えられる。
ダウンロードサーバによるクライアント証明書の配布案内は、無線LAN導入後に、情シスから全営業員宛てに一斉メールで通知する。案内文には、ダウンロードサーバの導入目的、利用方法、ダウンロードサーバのURLなどを記載する。その後、各営業員に、ダウンロードサーバ利用のための利用者IDとパスワードを個別に連絡する。営業員は、情シスからの案内を基に、クライアント証明書のインストールを行う。
J君は、ダウンロードサーバの機能とクライアント証明書の運用について検討した。検討結果を次に示す。
(1)クライアント証明書の管理機能
ダウンロードサーバは、RADIUSサーバで生成されたクライアント証明書と⑥その他にNPCで必要となる情報をRADIUSサーバからコピーし、RFC 7292で規定されているPKCS#12形式のファイルに変換して管理する。
⑥について、NPCで必要になる情報を二つ挙げ、それぞれ15字以内で答えよ。:CAの自己署名証明書/クライアントの秘密鍵
EAP-TLSにおいてRADIUSサーバで生成される情報については、本文に「選定したRADIUSサーバ製品は、EAP-TLSで必要になるディジタル証明書(サーバ証明書又はクライアント証明書)を発行するCA(Certification Authority)機能をもっている。サーバ証明書とクライアント証明書は、RADIUSサーバのCA機能を使って発行する。」とあるように、サーバ証明書とクライアント証明書になります。
このようにEAP-TLSでは、クライアント認証だけでなく、サーバ認証も行って相互に認証する仕組みになっています。
サーバ証明書はクライアントによるサーバ認証で使用されますが、その際、CAのルート証明書が必要になります。
今回、RADIUSサーバのCA機能でサーバ証明書を発行するので、CAのルート証明書ではなく、CAの自己署名証明書が必要になってきます。
クライアントがサーバにアクセスする際に、サーバから受信したサーバ証明書をCAの自己署名証明書で認証した後、サーバ証明書に含まれる公開鍵で暗号化通信を行います。
クライアント証明書にはクライアントの公開鍵が含めれており、暗号化には対になる秘密鍵が必要になります。
また、PKCS#12とは、PKCS(Public Key Cryptography Standards)と呼ばれる米国での公開鍵暗号の標準規格の一つで、証明書とその秘密鍵のエクスポートしてファイルに保存する形式を規定したものです。
(2)NPCへのダウンロード機能
ダウンロードサーバは、アクセスした営業員を利用者ID、パスワードで認証し、認証を受けた営業員のNPCに、PKCS#12形式のファイルを一度だけダウンロードさせる。NPCは、ダウンロードしたファイルを直接インポートできる。
(3)クライアント証明書の運用
情シスの担当者は、クライアント証明書の有効期限の1か月前に、RADIUSサーバでクライアント証明書を発行し、ダウンロードサーバに保管して、クライアント証明書の更新案内を当該営業員にメールで通知する。
次に、J君は、ダウンロードサーバの設置場所について検討した。
最初に、無線LAN経由でダウンロードサーバにアクセスさせる方法を検討した。この方法では、NPCにクライアント証明書がインストールされていないので、認証エラーになる。そこで、認証エラー時にWLCの認証VLAN機能によって、特別なVLANをAPに設定し、このVLANにダウンロードサーバを設置することを考えた。しかし、その場所にダウンロードサーバを設置すると、⑦クライアント証明書の配布に関してセキュリティ上問題がある。さらに、クライアント証明書の更新のためのダウンロードもできない。そこで、営業部オフィスエリアの有線LAN接続でアクセスできる場所にダウンロードサーバを設置することにした。無線LANに移行した後、営業部オフィスエリアをフリーアドレスにしてNPC接続用の有線LANは撤去するが、クライアント証明書の更新は無線LAN経由で可能である。しかし、⑧状況によっては、クライアント証明書をダウンロードできない本社の営業員も出てくる。その営業員には、情シスの担当者がクライアント証明書などの必要な情報をNPCにインストールして、当該営業員に渡す。
⑦の問題を、60字以内で述べよ。:ダウンロードサーバの認証情報が漏えいすると、来訪者もクライアント証明書などがダウンロードできてしまう。
本文から解釈すると、無線LANアクセスで認証エラーになったあとでアクセスできる場所にダウンロードサーバが存在することになります。
ダウンロードサーバは利用者ID、パスワードで認証しており、この認証情報が漏えいすると、来訪者でもクライアント証明書などがダウンロードできてしまいます。
⑧について、ダウンロードできない本社の営業員を、25字以内で答えよ。ただし、NPCの紛失、故障などで新たに貸与されるケースは除く。:クライアント証明書の有効期限を切らせた営業員(又は、無線LAN導入後に営業部に配属された営業員)
本文から解釈すると、最初に営業員は有線LANでダウンロードサーバにアクセスして、 クライアント証明書などをダウンロードして無線LANが利用できる状態になります。
その後、有線LANが撤去されても、クライアント証明書の有効期限内で無線LANが利用可能な状態であれば、無線LAN経由でダウンロードサーバにアクセスして、クライアント証明書の更新が可能です。
逆に、クライアント証明書の有効期限を切らせた場合には無線LANが利用できなくなり、有線LANもないため、ダウンロードサーバにアクセスする手段がありません。
J君は、APの設置方法とディジタル証明書の配布方法についてN主任に説明し、了承されたので、最後に、既設LANへの無線LANの接続構成の設計を行った。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm2_qs.pdf
無線LAN(チャネルボンディング、MIMO、WLC、AP配置、PoE+)【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問3】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「無線LAN(チャネルボンディング、MIMO、WLC、AP配置、PoE+)」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問3」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問3
問2 無線LANシステムの導入に関する次の記述を読んで、設問1〜5に答えよ。
(略)
【APの設置方法の検討】
J君は、フロア図面を基に、APの導入台数と設置について検討した。
現在、Y社では、NPCを100Mビット/秒で有線LANに接続しているので、無線LANでも100Mビット/秒程度の速度で通信できるようにしたい。
IEEE 802.11ac規格では、八つのチャネルを束ねる8チャネルボンディング(160MHzの帯域幅)を行えば、アンテナ1本当たり最大約867Mビット/秒の通信が可能である。8チャネルボンディングと8本のアンテナによるMIMO(Multiple Input Multiple Output)で8ストリームの同時伝送を行えば、理論上最大約6.93Gビット/秒で通信できる。②検討しているAP製品は、4チャネルボンディング(80MHzの帯域幅)まで行え、3本のアンテナが搭載されているので、1Gビット/秒以上の通信速度が達成できる。したがって、APに同時接続させるNPCを10台に制限すれば、1台のNPCで100Mビット/秒以上の通信速度を確保できる。そこで、APに同時接続させるNPC台数を10台に制限して、APの導入台数と配置を決めることにした。
②について、検討しているAP製品で最大約867Mビット/秒の通信速度を得るのに、最低限必要な周波数帯域幅とアンテナ本数を、ぞれぞれ答えよ。:(周波数帯域幅)80MHz、(アンテナ本数)2本
通信速度について、本文には「IEEE 802.11ac規格では、八つのチャネルを束ねる8チャネルボンディング(160MHzの帯域幅)を行えば、アンテナ1本当たり最大約867Mビット/秒の通信が可能」とあります。
検討しているAP製品は4チャネルボンディングで1/2ですので、アンテナ1本当たり最大約433.5Mビット/秒と考えれば良さそうです。
したがって、アンテナ本数を2本にすれば最大約867Mビット/秒の通信速度が得られます。
このような複数のアンテナで無線通信を高速化する技術のことを、MIMO(Multiple Input Multiple Output)といいます。
現在、営業部には110名の営業員が在籍しており、営業部のオフィスエリアには120名の収容スペースがある。本社の営業員の在籍率は最大で60%程度なので、オフィスエリアを80%に縮小して、削減した20%を接客エリアにすれば接客エリア不足の解消になる。オフィスエリアには、最大で約66名の営業員が同時に在籍することになるが、余裕をもたせて8台のAPを設置し、接客エリアには4台のAPを設置する。合計12台のAPの個別管理は困難なので、無線LANコントローラ(以下、WLCという)も導入する。調査したところ、WLCには複数の方式があったが、次の三つの主要機能をもつ製品を選定することにした。
・有線LAN経由での複数のAPに対する設定変更、ファームウェアのアップデートなどの一括処理機能
・APの負荷分散制御、PMKの保持などによるハンドオーバ制御機能
・利用者認証、認証VLANなどのセキュリティ対策機能
選定するWLC製品の概要を次に示す。
WLCは分散処理方式で、通信データの暗号化と復号をAPに任せるものである。WLCでEAP-TLSを利用するときは、APとWLC間でトンネルが設定され、無線LAN端末とWLC間で認証情報の交換が行われる。WLCは、利用者認証を行った後、利用者IDに対応したVLANをAPに設定する認証VLAN機能をもっている。③認証後に行われる無線LAN端末による通信は、WLCを経由しない。
③の方式について、無線LAN端末による通信がWLCを経由する方式と比較したときの利点を二つ挙げ、それぞれ40字以内で述べよ。:WLCに通信の負荷が集中するのを抑制することができる。/認証後にWLCに障害が発生しても、その無線LAN端末の通信は継続できる。
無線LAN端末による通信がWLCを経由する方式を考えると、当然ですが、全ての通信がWLCを経由することで、その部分が高負荷となってボトルネックになる可能性があることが挙げられます。
また、WLCが故障した場合、利用者認証はもちろん、その後の通信全てに影響が出てしまいます。
したがって、WLCを経由しない方式の利点は、WLCへの高負荷集中の抑制、および、WLC故障時の影響を抑えることができる点になります。
なお、WLCを経由する方式は、認証後の全ての通信を管理することで通信フローを一元管理することができるという利点があります。
セキュリティの観点で、最近はWLCを経由する方式を推奨するベンダも多いようです。
APは、電波の到達性を考慮して天井に設置する。営業部のオフィスエリアに、営業員が自由に着席できる机が均等に配置されたときの、営業部フロアへのAPの設置イメージを図3に示す。
APの設置場所は、営業部フロアでの電波伝搬状態を測定してから決める。このとき、④外来電波による悪影響が発生する可能性があるかどうかを調査し、必要に応じて対策を講じる。電波伝搬状態の測定、外来電波の影響調査、APの設置設計及び設置工事は、業者に委託する。
④の悪影響の内容を、25字以内で述べよ。:電波干渉によって、通信障害が発生する。
無線通信では、利用する周波数帯域が重複すると、電波干渉により正常に通信ができなくなります。
したがって、事前に外来電波の調査を行い、電波干渉を起こさないようにAPの配置や利用する周波数帯域を検討しておく必要があります。
図3の構成でAPを設置して、チャネルボンディングした周波数帯が重ならないようにするためには、少なくとも幾つの周波数帯のグループが必要になるかを答えよ。また、各APのセルを重ねる目的を、25字以内で述べよ。:(周波数帯のグループの数)4、(目的)ハンドオーバをスムーズに行わせるため(又は、APの負荷分散を行わせるため)
図3の構成で、各セルで利用する周波数帯を重ならないように配置すると、最低で4つの周波数帯のグループが必要であることが分かると思います。
また各APのセルを重ねる目的としては、ハンドオーバをスムーズに行わせるためであることは明白でしょう。
本文に、WLCの主要機能の一つに「APの負荷分散制御、PMKの保持などによるハンドオーバ制御機能」とあるように、ハンドオーバ制御機能に加え、APの負荷分散制御とあります。
これにより、セルが重なっている場所にいる無線LAN端末は双方のAPに接続することが可能で、各セルの負荷状態をモニタしながら適切にAPの負荷分散を行わせることも可能になります。
APは天井に設置することから、天井裏でのケーブル配線が必要になる。APを接続するL2SWを営業部フロアに設置すれば、L2SWと全てのAPとをLANケーブルで直結できる。L2SWのPoE(Power over Ethernet)機能を利用することによって、LANケーブル経由でAPに電源が供給できるので、PoE対応のAPを導入する。このとき、APを収容することになる図1中のL2SW4は、PoE対応の製品に交換し、適切な場所に設置する必要がある。
以上の検討結果を基に、J君は、導入するAP、WLC及びRADIUSサーバ製品を選定した。選定したAP製品の消費電力は最大18Wなので、IEEE 802.3af規格では供給電力が不足することが分かった。そこで、⑤IEEE 802.3at対応のL2SWを1台導入することにした。
⑤について、IEEE 802.3at規格のPoE機能の呼称、及び当該L2SWで今回必要になる最小供給電力を、それぞれ答えよ。:(呼称)PoE+、(最小供給電力)216W
PoEの規格については、2003年に標準化されたIEEE 802.3af規格では供給電力15.4W、2009年に標準化されたIEEE 802.3at規格(PoE+)では供給電力30W、そして、2018年に標準化されたIEEE 802.3bt規格(PoE++)では供給電力90Wとなっています。
本文の場合、L2SWに12台のAPが収容されるため、最小供給電力は「18W×12台=216W」となります。
次に、J君は、ディジタル証明書の配布方法について検討した。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm2_qs.pdf
WEP(RC4、WEPキー)、WPA(TKIP)、WPA2(認証、PMK、AES)【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問2】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「WEP(RC4、WEPキー)、WPA(TKIP)、WPA2(認証、PMK、AES)」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問2」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問2
問2 無線LANシステムの導入に関する次の記述を読んで、設問1〜5に答えよ。
(略)
【暗号化方式と認証方式の検討】
無線LANのデータ暗号化方式についてJ君が検討した結果を、次に示す。
(1)WEPでは、1バイト単位の(f:ストリーム)暗号であるRC4を使用して、パケットの暗号化が行われる。WEPは、一つのAPと複数の無線LAN端末間でWEPキーを共有し、WEPキーとIV(Initialization Vector)を基に、暗号鍵であるキーストリームを生成する。WEPは、(g:同一)のWEPキーが使用され続けることに加え、暗号化アルゴリズムも複雑ではないことから、短時間での暗号解読が可能になっているので採用しない。
f:ストリーム
RC4は共通鍵暗号方式の一つで、データを1バイト単位で逐次暗号化するストリーム暗号になります。
これに対し、データを一定の長さのブロック単位で暗号化するものをブロック暗号といいます。
g:同一
WEPでは、本文のとおり、APと無線LAN端末間で共有するWEPキーと、IV(Initialization Vector 初期化ベクター)と呼ばれるWEPキーを基に生成される乱数により、暗号鍵のキーストリームを生成します。
そして、WEPキーは変更しない限り同一の値が使用され続けるため、これがWEPの暗号解読の容易さの要因の一つとなっています。
(2)WPAでは、TKIPによって暗号鍵を生成する。TKIPでは、暗号鍵の基になる一時鍵(Temporal Key)が動的に生成される。エンタープライズモードの場合、一時鍵は、IEEE 802.1Xの認証成功後に(h:認証サーバ)で動的に生成されてクライアントに配布されるPMK(Pairwise Master Key)を基に、無線LAN端末及び(h:認証サーバ)の両者で生成される。TKIPでは、フェーズ1で、一時鍵、IV及び無線LAN端末の(i:MACアドレス)の三つを混合してキーストリーム1を生成する。フェーズ2で、キーストリーム1にIVの拡張された部分を混合して、暗号鍵であるキーストリーム2を生成する。キーストリーム1とキーストリーム2は、通信途中に変更される。2段階の鍵混合、キーストリームの変更によって、WEPよりも高い安全性を実現しているが、脆弱性が報告されているので採用しない。
h:認証サーバ
IEEE 802.1Xの認証は、端末(クライアント)側にサプリカントと呼ばれるソフトウェア、それらを収容するアクセスポイントやスイッチなどのオーセンティケータ、認証情報を管理する認証サーバによって構成されます。
そして、TKIPでは、認証サーバで動的にPMKを生成してクライアントに配布し、それぞれで一時鍵を生成して共有します。
i:MACアドレス
TKIPのフェーズ1で生成するキーストリーム1は、一時鍵、IV及び無線LAN端末のMACアドレスの三つを混合して生成されます。
(3)WPA2では、AESをベースにしたCCMPが採用されている。
WPA2では、事前(j:認証)の方法及びPMKの保持方法が規定されている。これらによって、無線LAN端末がAP間を移動(以下、ハンドオーバという)するタイミングでの認証や認証済みのAPに戻ってきたときのPMKの再生成が不要になることから、ハンドオーバ時間か短縮される。
j:認証
WPA2では、事前認証の方法及びPMK(Pairwise Master Key)の保持方法が規定されています。
認証サーバで生成されるPMKは、無線LAN端末に配布するとともに、APにも配布し、PMKキャッシュとして格納されます。
これにより、ハンドオーバでの認証などでPMKの再生成が不要になることで、認証に要する時間短縮を図ることが可能となります。
AESはブロック暗号なので、暗号化するメッセージを一定サイズのブロック単位に分割して処理する必要がある。メッセージをブロック単位に分割すると、最後のメッセージがブロックサイズに満たない場合もあるので、CCMPではカウンタモードが採用されている。カウンタモードでは、暗号化するメッセージをダイレクトに暗号化するのではなく、ブロックサイズと同じバイト数のカウンタ値を暗号化して、暗号化したカウンタ値と暗号化するメッセージをXOR(排他的論理和)して暗号文を生成する。カウンタモードによる暗号化手順を図2に示す。
CCMPでは、①暗号化と復号は同じ手順で行われ、復号時もAESが使用される。
①について、図2中の暗号文ブロックe1を平文ブロックm1に復号する手順を、40字以内で述べよ。:カウンタ値cをAESで暗号化した結果と、暗号文ブロックe1をXORする。
XOR(排他的論理和)の特徴を考えてみます。
暗号化手順では、カウンタ値を暗号化した値(仮にcとします)と平文ブロック(m1)のXORですので、式で表すと「c XOR m1 = e1」です。
ここで、XORの特徴として、同じビット同士では"0"となり、異なるビット同士では"1"となるので、例えば、「c XOR c = 0」となります。
これを利用して、上の式を再度cでXORしてみます。
e1 XOR c = c XOR m1 XOR c =c XOR c XOR m1 =m1
そうすると、元の平文ブロックが算出できることが分かります。
以上の検討を基に、暗号化方式は安全性が高いWPA2を採用することにした。
次に、J君は、利用者認証方式について検討した。
WPA2の利用者認証には、パーソナルモードと、IEEE 802.1Xを利用するエンタープライズモードがある。営業員の認証にはエンタープライズモードを利用する。IEEE 802.1Xには複数の認証方式がある。その中でセキュリティが強固であるとともに、Y社のNPCでは標準サポートのEAP-TLSを利用することを考え、EAP-TLSの運用にRADIUSサーバ製品を選定することにした。
J君は、無線LANはIEEE 802.11acを採用し、IEEE 802.11nにも対応したAP製品を選定することと、暗号化方式はWPA2、認証方式はEAP-TLSを利用することをN主任に報告した。無線LANの規格、暗号化及び認証方式がN主任に了承され、次に、APの設置方法とディジタル証明書の配布方法についての検討を指示された。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm2_qs.pdf
無線LAN(周波数帯、アクセス制御方式、暗号化方式)【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問1】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「無線LAN(周波数帯、アクセス制御方式、暗号化方式)」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問1」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問1
問2 無線LANシステムの導入に関する次の記述を読んで、設問1〜5に答えよ。
Y社は、中規模のネットワーク関連製品販売会社であり、オフィスビルの2フロアを使用している本社の他に複数の営業所がある。本社の営業部には110名の営業員が、営業所には合計50名の営業員が在籍している。本社と営業所の営業員には、ノートPC(以下、NPCという)の他にモバイルWi-Fiルータ(以下、Wi-Fiルータという)が貸与され、社外での商品説明、在庫照会、電子メール(以下、メールという)の送受信などに使用されている。社内では、NPCを有線LANに接続して営業業務を行っている。インターネットアクセスは、本社DMZのプロキシサーバ経由で行われている。営業部のNPCは、同一VLANに属している。本社の現在のLAN構成を図1に示す。
【営業部の課題と対策】
営業部のフロアには、営業部のオフィスエリアの他に、応接室、会議室などの接客エリアがあるが、取引先の増加に伴って、接客エリアの不足に悩まされている。
Y社を訪問する取引先の営業員(以下、来訪者という)の多くは、NPCを携帯しており、中にはWi-Fiルータを持参してLTE回線経由でインターネットを利用している者もいる。しかし、Wi-Fiルータを持たない来訪者から、インターネット接続環境を提供してほしいとの要望が挙がっている。
Y社では、書類の電子化を推進した結果、書類棚やサイドキャビネットに保管している書類が半減し、机上の書類も一掃された。そこで、営業部の座席をフリーアドレスにしてオフィスエリアを縮小し、接客エリアを拡大することにした。
これらを実現する目的で、営業部フロアに無線LANシステムを導入することを決め、無線LAN導入プロジェクトを発足させた。プロジェクト責任者には情報システム部(以下、情シスという)のM課長が任命された。M課長は、部下のN主任とJ君をプロジェクトメンバに指名し、無線LANシステムの設計を担当させることにした。
無線LANシステムの設計に当たって、N主任は、無線LAN技術の調査と選定をJ君に指示した。
【無線LAN技術の調査と選定】
N主任の指示を受け、J君は、無線LAN技術を調査し、その結果を表1〜3にまとめた。IEEE 802.11で使用される周波数帯を表1に、無線LANのアクセス制御方式を表2に、無線LANのデータ暗号化方式を表3に示す。
a:2.4、b:5
IEEE 802.11nで使用される周波数帯は2.4GHz帯と5GHz帯の二つです。
IEEE 802.11acで使用される周波数帯は5GHz帯のみになります。
c:any
無線LANのアクセスでは、無線LANを識別するSSID(ESSID)を指定せず、電波の届く無線LANを全て検出して接続先を選択するany接続という方法があります。
any接続は公衆無線LANなどで利用されています。
無線LANアクセスポイントや無線LANルータには、any接続での接続要求を拒否する機能を備えており、これをany接続拒否といいます。
なお、似たような機能でSSIDステルス化というものがあり、こちらは無線LANアクセスポイントや無線LANルータがSSID(ESSID)を通知しなくするものです。
どちらも無線LANへの不正接続対策で区別がつきにくいですが、それぞれ異なる機能になります。
d:共通
WEPは、RC4暗号化アルゴリズムを使用した共通鍵暗号方式です。
多くの脆弱性があり、現在では使用されていません。
e:802.11i
WPA2は、IEEE 802.11i準拠の方式です。
WPA2は、WPAより堅牢な暗号化方式ですが、2018年に脆弱性が見つかり、後継のWPA3が発表されています。
Y社のNPCは、IEEE 802.11ac対応の無線LANアダプタを内蔵しているので、IEEE 802.11ac対応の無線LANアクセスポイント(以下、APという)を導入する。来訪者のNPCの中には、IEEE 802.11nしか使用できないものもあると考えられたので、IEEE 802.11nにも対応したAP製品を選定すれば、来訪者へのインターネットアクセス環境も提供できる。
無線LANでは通信に電波が使用されるので、盗聴や不正アクセスを防ぐ対策が重要である。そこで、J君は、暗号化方式と認証方式について検討した。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm2_qs.pdf
SDNやクラウドサービスにおけるDRの準備【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問4】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「SDNやクラウドサービスにおけるDRの準備」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問4」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問4
問1 SDNとクラウドの活用に関する次の記述を読んで、設問1〜4に答えよ。
(略)
NW拡張の目的を次に示す。
・工場LANのSDN(Software-Defined Networking)化:SDN技術を用いて、現在の工場LANを、ビジネス変化に対応できる柔軟性と拡張性を備えた新たな工場LAN(以下、新工場LANという)に刷新する。新工場LANでは、物理配線の変更なしに、自社要員だけで構成変更ができるようにする。
(略)
・LBは、サーバの稼働状況をチェックしながら、受信したIPパケットを動的にWeb-A1又はWeb-A2に振り分ける。
(略)
・高負荷が予想されるときには、B社APIサービスを使って、必要な期間だけB社CDNを適用する。B社CDNの適用は次のように行う。
(略)
(略)
(略)
【A社向けIaaS環境のバックアップの検討】
情報システム部では、A社向けIaaS環境へのサーバ移行を順次進めており、A社向けIaaS環境が存在するB社拠点(国内)が長時間使えないリスクを想定し、そのバックアップ対策(以下、DRという)を運用マニュアルに盛り込むことにしている。
現在、A社では、サーバ、LB、DNS-Aの運用は自社の運用要員が行い、それ以外のNW機器の運用は、ベンダに委託している。NW拡張後は、自社の運用要員が、OFCの管理ソフトウェアを使って新工場LANの構成を変更し、APIサービスを使ってクラウドサービス利用形態を変更するようになる。D君は、自社の運用要員だけで対応できることを前提に、新システムのDR案とそのDR案に必要なNWに関する準備を検討し、次の(1)と(2)を提案することにした。
(1)”自社設備利用DR案”とNWに関する準備
工場のWeb-Aを使い、A社向けIaaS環境のWeb-Bを代替する。Web-Aの性能不足に備え、工場内の重要度が低い業務サーバをWebサーバに転用し、Web-Aをスケールアウトする。そのために次のNWに関する準備を行う。
・(ⅵ)転用後の業務サーバのIPアドレスを決め、それを用いて準備作業を行う。
(ⅵ)の準備作業を40字以内で述べよ。:転用後の業務サーバのIPアドレスを、LBの振り分け先に追加しておく。
「転用後の業務サーバのIPアドレスを決め、それを用いて準備作業」とあるので、業務サーバが新たに追加されることで必要となる作業を考えます。
図1から、Web-AはLB、Web-A1、Web-A2から構成されています。
これに新たに業務サーバが追加される場合には、LBの振り分け先に業務サーバを追加する必要があり、具体的には業務サーバのIPアドレスを追加すれば良さそうです。
尚、本文中にあるスケールアウトとは、システムの処理能力を向上させるために、サーバの台数を増設し、処理を分散・並列化することをいいます。
これに対し、処理の分散・並列化が難しいシステムの場合は、サーバ内の構成部品を増設・交換して処理能力を高めるスケールアップが適用されます。
・転用後の業務サーバをDMZに接続するために、OFCの管理ソフトウェアに、新工場LANの構成変更に関する定義を登録する。DR時の新工場LANの構成変更の概要を図7に示す。
・(ⅶ)図6中のDNS-Aのゾーンファイルのリソースレコードを置き換えて、機械の本運用モードのアクセスをWeb-Aに切り換える。そのための手順を用意する。
(ⅶ)について、置換え前と置換え後のリソースレコードを、それぞれ答えよ。ここで、B社CDNは適用していないものとする。:(置換え前)weblive IN A i6、(置換え後)weblive IN A i1
図6のDNS-Aのゾーンファイルを確認します。
本運用時のWebサーバのホスト名は「weblive」であり、Aレコードには「weblive IN A i6」とあります。
これをWeb-Aに切り換えるには、Aレコードを「weblive IN A i1」とすれば良さそうです。
新工場LANを使った自社設備利用DR案について、現行の工場内LANを使った自社設備利用DR案と比較して、障害復旧時間(RTO)が短縮できる要因を二つ挙げ、それぞれ30字以内で述べよ。:転用する業務サーバに関する物理配線の変更が不要になる。/管理ソフトウェアを用いて、社内要員だけで対応できる。
新工場LANと現行の工場内LANの違いを確認していきます。
本文に「SDN技術を用いて、現在の工場LANを、ビジネス変化に対応できる柔軟性と拡張性を備えた新工場LANに刷新する。新工場LANでは、物理配線の変更なしに、自社要員だけで構成変更ができるようにする。」とあります。
そして、業務サーバの転用については、図7のとおり、OFCの管理ソフトウェアへの登録のみでよく、物理配線の変更が不要になることが分かります。
これによりRTOが短縮できます。
また、似た感じになるかもしれませんが、本文には別の表記として「現在、A社では、サーバ、LB、DNS-Aの運用は自社の運用要員が行い、それ以外のNW機器の運用は、ベンダに委託している。NW拡張後は、自社の運用要員が、OFCの管理ソフトウェアを使って新工場LANの構成を変更し、APIサービスを使ってクラウドサービス利用形態を変更するようになる。」とあります。
自社の運用要員のみで対応できるため、こちらもRTOの短縮につながります。
(2)”B社拠点(国外)利用DR案”とその準備
B社との現行契約では、B社APIサービスを使って、B社拠点(国外)のA社向けIaaS環境も利用できるので、そこにWeb-Bのバックアップを作成する(以下、NWに関する準備については省略)。
D君は、以上の検討結果を、情報システム部長に報告した。その後、NW拡張プロジェクトが開始され、D君はその技術担当リーダに着任した。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm2_qs.pdf
B社拠点(国外)利用DR案のNWに関する準備を、50字以内で述べよ。:CDN、ISP、IaaS環境の構築と切替えに関する、APIサービスとDNSを使った手順の確立
DRにおいて、NWに関する準備としてはネットワーク関連機器の準備と共に、切替時の手順の確立を行う必要があります。
ネットワーク関連機器としては、図1からCDN、ISP、IaaS環境の構築が挙げられます。
また、切替時の手順としては、図1からB社ISPと国外のAPIサービスとの連携に関するものや、DNSの書き換えなどの手順が挙げられます。
B社拠点(国外)利用DR案について、自社設備利用DR案と比べたときの利点を二つ挙げ、それぞれ30字以内で述べよ。:国外を利用するので国内の広域災害の影響を回避できる/B社CDNなどを使い通常時と同じ品質を保つことができる。
自社設備利用に比べてB社国外拠点利用では、当然ですが、DR整備の主要な目的である災害時の影響を物理的に回避できる利点があります。
もう一点、DRによる切替時にはシステムへの高負荷が想定されますが、これについて本文に「高負荷が予想されるときには、B社APIサービスを使って、必要な期間だけB社CDNを適用する」とあります。
したがって、B社CDNを利用できるB社拠点利用の方が、品質を確保できると思われます。
DNS(ゾーンファイル、CNAME)、CDN【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問3】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「DNS(ゾーンファイル、CNAME)、CDN」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問3」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問3
問1 SDNとクラウドの活用に関する次の記述を読んで、設問1〜4に答えよ。
(略)
(略)
【クラウドサービス利用拡大の検討】
D君が検討した、B社CDNとB社ISPを利用したNWの概要を次に示す。
・機械からA社向けIaaS環境へのアクセスは、B社ISPを経由する。
・B社APIサービスを使って、B社ISP利用時の通信速度を指定する。試行に使っているC社ISP利用時の通信速度に比べて、十分な通信速度を確保する。
・機械からWeb-Bへのアクセスは、FQDN”weblive.asha.example.com”を使って行う。FQDNをWeb-Bのフローバルアドレス(図1中のi6)に変換するために、C社のDNSサービスを利用する。
・高負荷が予想されるときには、B社APIサービスを使って、必要な期間だけB社CDNを適用する。B社CDNの適用は次のように行う。
ー世界中に設置されているB社CDNのエッジサーバが、指定されたB社のIaaS環境内のWebサーバ(以下、オリジンサーバという)の処理を代行する。
ーエッジサーバは、HTTPクライアントからのHTTPリクエストに応じて、キャッシュ又はプロキシの動作を行う。これらの動作はHTTPプロトコルを使って自動的に行われるので、特別な運用(データ配信など)は不要である。
ーA社の場合には、Web-Bをオリジンサーバに指定する。B社CDNを適用する場合には、B社から割り当てられるFQDN”webasha.bshacdn.example.net”を使ってアクセスする。
B社CDNをA社に適用したときの概念図を、図5に示す。
B社CDNを適用する場合には、図5中のDNS-Aのゾーンファイルを書き換え、機械からのアクセスを、Web-Bからエッジサーバへ切り替える。D君が考えたエッジサーバへの切換え方法を、図6に示す。
つ:CNAME
B社CDNを適用する場合に書き換えるレコード内で使用されるものが問われています。
書き換え前の「weblive IN A i6」は、”weblive.asha.example.com.”のAレコードがi6(A社向けIaaS環境の仮想FW)であることを示しています。
そして、書き換え後の「weblive IN (つ) webasha.bshacdn.example.net.」というように、B社CDNを適用するために、”webasha.bshacdn.example.net.”にアクセスすることを指定しています。
このような別名を定義するには、CNAME(Canonical Name)を利用します。
図5と図6の概要を次に示す(a1〜a3、b1〜b3、c1〜c3は、図5中のアクセス経路を示す)。
・機械の動作には、試行モードと本運用モードがある。
・試行モードでは、機械からWeb-Aにアクセスする(a1、a2、a3)
・本運用モードでは、機械からWeb-Bにアクセスする(b1、b2、b3)
・本運用モードにおいて高負荷が予想される期間は、B社CDNを適用する(b1、b2、c1、c2、c3)
図6中のゾーンファイルの定義内容を参考にして、図5中のa1によって名前解決されるFQDNを答えよ。:webtest.asha.example.com
a1は、機械からDNSフルリゾルバにDNS問合せを行うもので、試行モードでWeb-Aにアクセスするものです。
そして、図6に試行時のWebサーバのホスト名が「webtest」であると記載されています。
したがって、a1によって名前解決されるFQDNは”webtest.asha.example.com”となります。
図6中のゾーンファイルの定義内容を参考にして、図5中のb1によって名前解決されるFQDNを答えよ。:weblive.asha.example.com
b1も同様に、機械からDNSフルリゾルバにDNS問合せを行うもので、こちらは本運用モードでWeb-Bにアクセスするものです。
そして、図6に本運用時のWebサーバのホスト名が「weblive」であると記載されています。
したがって、b1によって名前解決されるFQDNは”weblive.asha.example.com”となります。
・c1において、DNS-Bは、DNSメッセージの送信元IPアドレスを基に、最適なエッジサーバを選択し、そのIPアドレスを返す。(ⅳ)EDNS-Client-Subnet(RFC7871)を使ってDNSクライアントの情報が通知された場合には、その情報も利用し、より適したエッジサーバを選択する。
(ⅳ)について、より適したエッジサーバが選択される場合を、50字以内で述べよ。:DNSクライアントとDNSフルリゾルバが、ネットワーク上で離れた位置にある場合
エッジサーバについては、本文に「世界中に設置されているB社CDNのエッジサーバ」とあることから、機械からの距離がより近いエッジサーバを選択することが必要であると考えられます。
DNSサーバは、DNS問合せパケットの送信元IPアドレスを確認でき、図5にあるようにその送信元IPアドレスはDNSフルリゾルバが該当します。
一方、EDNS-Client-Subnetとは、DNSの拡張機能で、DNS問合せにDNSクライアントのサブネットアドレスをDNSサーバに送信する仕組みです。
したがって、DNSサーバではDNSフルリゾルバのIPアドレスと、DNSクライアントのサブネットアドレスを確認できることになります。
そして、DNSクライアントとDNSフルリゾルバが物理的に離れた位置にある場合には、よりDNSクライアントに近いエッジサーバを選択することが可能となります。
・機械から本運用環境への二つのアクセス(b3、c2)を比較したとき、(ⅴ)HTTPのGETリクエストを使うファームウェアの一斉更新の場合に、B社CDN適用によるTAT(Turn Around Time)の改善が期待できる。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm2_qs.pdf
(ⅴ)の場合に、B社CDNの適用によって解消されるTAT悪化の要因を二つ挙げ、それぞれ20字以内で答えよ。:Web-Bのサーバ処理能力不足/機械とWeb-B間の通信遅延
機械から本運用環境へのアクセスで、b3の場合はWeb-Bへのアクセス、c2の場合はB社CDNのエッジサーバへのアクセスになります。
ファームウェアの一斉更新の場合には、複数の機械から同時にアクセスが行われることになります。
この場合、Web-Bは1台であり、同時アクセスによるサーバの高負荷、及び、機械からWeb-B間の距離が遠い場合には通信遅延が懸念されます。
エッジサーバでは、複数のエッジサーバで負荷が分散され、機械ごとに近いエッジサーバが選択されるため、通信遅延の可能性は低くなります。
SDNにおけるTCPコネクション確立の通信フロー【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問2】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「SDNにおけるTCPコネクション確立の通信フロー」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問2」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問2
問1 SDNとクラウドの活用に関する次の記述を読んで、設問1〜4に答えよ。
(略)
(略)
・OFSは、IPアドレス、MACアドレスなどのパケット識別子(Match Field、以下、MFという)を使ったパケット識別条件と、識別されたパケットの処理(以下、Actionという)の組合せ(以下、エントリという)を、OFS内の管理テーブルで管理する。
(略)
(略)
【新工場LANの運用の調査】
新工場LANの運用について、ベンダからは次のような提案があった。
・OFSを使って、図1中の工場の外部NW、DMZ、内部NWに対応した、仮想的なレイヤ2ネットワーク(以下、仮想NWという)を構成する。
・仮想NW間の通信は、新FWを経由させる。新FWとOFSはトランク接続し、仮想NWに対応したVLAN IDを定義する。
・現行FWのフィルタリング機能とNAT機能を、新FWに移行する。
機械から送信されたSYNパケットが、RT-1から振り分け先のWeb-A1に転送される場合の、新工場LANの論理構成と通信シーケンス例を、図4に示す。
図4中の⑤のパケットヘッダは、転送する複数の装置によってそれぞれ書き換えられる。図4中のパケット⑥、⑬〜⑯のヘッダ情報を、表3に示す。
図4は、「機械から送信されたSYNパケットが、RT-1から振り分け先のWeb-A1に転送される」場合の通信シーケンスとのことで、具体的には、RT1→新FW→LB→Web-A1のパケットの流れになることを念頭において、それぞれを確認していきます。
まず、①〜④(外部NWにおけるARPシーケンス)で、RT1が新FWのIPアドレスのARPリクエストを行い、MACアドレスを取得します。
⑤〜⑥で、RT1が新FWにSYNパケットを転送します。
次に、⑦〜⑫(DMZにおけるARPシーケンス(1))で、新FWがLBのIPアドレスのARPリクエストを行い、MACアドレスを取得します。
⑬〜⑭で、新FWがLBにSYNパケットを転送します。
そして、⑮の前(DMZにおけるARPシーケンス(2))で、LBがWeb-A1のIPアドレスのARPリクエストを行い、MACアドレスを取得して、⑮〜⑯で、LBがWeb-A1にSYNパケットを転送することになります。
け:v2、さ:m2
⑬は、新FWがSYNパケットをOFS1に転送するものです。
したがって、VLAN IDはv2、宛先MACアドレスはLBのm2になります。
こ:なし
⑭は、OFS1がSYNパケットをLBに転送するものです。
したがって、VLAN IDは「なし」になります。
し:m3、す:i4
⑮、⑯は、LBがWeb-A1にSYNパケットを転送するものです。
したがって、宛先MACアドレスはm3、宛先IPアドレスはi4になります。
図4中の通信シーケンスに関する、OFCとOFSの動作を、次に示す。
・OFCには、次のような仮想NWの構成に関する構成情報が登録されている。
-OFS1の外部NWの構成要素:p1、p7(v1)
-OFS1のDMZの構成要素:p4、p5、p6、p7(v2)
(ⅰ)ブロードキャスト通信に関するPacket-Inメッセージを受信したとき、OFCは、これらの構成情報を基に、OFSにPacket-Outメッセージを使った指示を行う。
(ⅰ)のPacket-Outメッセージによって送出されたパケットを、図4中の①〜⑯から選び、①〜⑯の記号で全て答えよ。:②、⑧、⑨、⑩
ブロードキャスト通信に関するPacket-inメッセージということは、図4中の通信シーケンスでは、ARP Requestパケットが該当します。
したがって、ARP Requestパケットを受信したOFCが、OFSに送信するPacket-outメッセージによるARP Replyパケット②⑧⑨⑩が該当することなります。
-OFCは、ARPを利用して、ユニキャスト通信に対応したエントリをOFSに登録させる。そのために、図4中の通信シーケンスが始まる前に、(ⅱ)OFCは、ARP RequestとARP ReplyをOFCに通知するためのエントリを、OFS1に登録させる。
(ⅱ)について、エントリに含まれるパケット識別条件を、表2中のMFを用いて、30字以内で述べよ。:ETH_TYPEがARPのイーサネットタイプに等しい。
ARP RequestとARP Replyのパケット識別条件が問われています。
表2中のMFでARPに関連するものを探すと、ETH_TYPE(イーサネットタイプ)が該当します。
イーサネットタイプは上位層のプロトコルを識別するための16進数の番号で、例えば、「0800」はIP、「0806」はARPとなります。
したがって、ARPパケットを識別するのに、ETH_TYPE(イーサネットタイプ)を利用すれば良さそうです。
-(ⅲ)図4では、二つのユニキャスト通信について、エントリ登録の通信シーケンスがそれぞれ示されている。Flow-Mod(1)によって登録されるエントリを表4に、Flow-Mod(2)によって登録されるエントリを表5に、それぞれ示す。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm2_qs.pdf
(ⅲ)について、表4のエントリに対応するユニキャスト通信を、20字以内で答えよ。:外部NW内のRT-1と新FWの通信
Flow-Mod(1) は、図4中のRT1から新FWへのARP Requestに対するARP Replyを受信したあとで通知するものであり、この時点でOFS1ではRT1、新FWの外部NWのMACアドレス、ポートIDを登録した管理テーブルを保持することになります。
そして、表4のエントリ1、2は、それぞれRT-1から新FWへの通信、新FWからRT-1への通信を示しています。
したがって、表4のエントリに対応するユニキャスト通信は、外部NWのRT-1と新FWの通信を示しています。
せ:p6、そ:なし、た:m1、ち:m2
Flow-Mod(2) は、図4中の新FWからLBへのARP Requestに対するARP Replyを受信したあとで通知するものであり、この時点でOFS1では新FW、LBのMACアドレス、ポートIDを登録した管理テーブルを保持することになります。
そして、表5のエントリ2は、新FWからLBへの通信を示していることが分かります。
したがって、エントリ1は、LBから新FWへの通信を示すものになります。
表5中のエントリ1のActionを答えよ:Push-VLAN、Set-Field VLAN_VID=v2、Output(p7)
LBから新FWへの通信を示すActionですので、VLAN IDとしてv2をセットし、ポートp7から出力することを示せば良いことになります。
OpenFlowのコントローラとスイッチの動作【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問1】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「OpenFlowのコントローラとスイッチの動作」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問1」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1 設問1
問1 SDNとクラウドの活用に関する次の記述を読んで、設問1〜4に答えよ。
A社は、国内外に顧客をもつ生産機械メーカである。A社では、IoT時代に適応するために、新たな情報システム基盤を整備中である。
現在の情報システム基盤は、国内工場の自社設備と、国内外にサービス用拠点をもつクラウドサービス事業者B社のIaaS環境で構成されている。B社のA社向けIaaS環境は国内にあり、工場とは専用線で接続されている。インターネットと工場とは、インターネットサービス事業者C社の国内拠点を介して接続されている。
A社の情報システム部は、顧客の拠点で稼働中の生産機械(以下、機械という)と情報システム基盤のWebサーバで構成されたシステム(以下、新システムという)を開発中である。また、本年度は、ネットワーク(以下、NWという)の拡張を予定している。NW拡張の概要を図1に示す。
NW拡張の目的を次に示す。
・工場LANのSDN(Software-Defined Networking)化:SDN技術を用いて、現在の工場LANを、ビジネス変化に対応できる柔軟性と拡張性を備えた新たな工場LAN(以下、新工場LANという)に刷新する。新工場LANでは、物理配線の変更なしに、自社要員だけで構成変更ができるようにする。
・クラウドサービスの利用拡大:開発中の新システムは、国内外の多数の機械に対する、ファームウェアの一斉更新、稼働状況の定期収集に用いられる。新システムの本運用のために、Web-Aよりも大規模なWeb-Bを構築し、B社クラウドサービス(図1中のB社CDN、B社ISP)を活用して、Web-Aへのアクセス経路よりも高速なWeb-Bへのアクセス経路を実現する。
機械からWeb-Aへのアクセスの概要を次に示す。
・Web-Aを収容しているDMZは、プライベートアドレスが割り当てられている。
・機械から送信されたIPパケットは、C社ISPを経由し、FWに転送される。その宛先IPアドレスは、図1中の(あ:i1)である。
あ:i1
機械からWeb-Aへ送信されるパケットの宛先IPアドレスは何かを考えます。
Web-AのIPアドレスは、本文に「Web-Aを収容しているDMZは、プライベートアドレスが割り当てられている」とあり、プライベートアドレスです。
したがって、Web-Aがインターネットと通信するにはグルーバルIPアドレスに変換する必要があります。
この変換を担うのはFWであり、インターネット側の機械からは変換されたグローバルIPアドレスを宛先に通信します。
したがって、図1でFWのインターネット側に割り当てられている「i1」が該当します。
・FWは、受信したIPパケットをLBに転送する。その際、FWの(い:NAT)機能によって、宛先IPアドレスは図1中の(う:i3)に書き換えられる。
い:NAT、う:i3
FWでのグルーバルIPアドレスからプライベートIPアドレスへの変換(その逆の変換)のことをNAT(Network Address Translation)といいます。
図1より、Web-Aは、LB(負荷分散装置)とWeb-A1/A2から構成されていて、FWでインターネット側から受信したパケットをNATした後に、LBに転送します。
したがって、宛先IPアドレスはLBの「i3」が該当します。
・LBは、サーバの稼働状況をチェックしながら、受信したIPパケットを動的にWeb-A1又はWeb-A2に振り分ける。
NW拡張後は、B社クラウドサービスを使って、機械からWeb-Bへ同様のアクセスが行われるようになる。機械は、Web-AへのアクセスとWeb-Bへのアクセスを切り換えられるようになっており、試行環境と本運用環境を使い分けながら、新システムの機能拡充を進めていく予定である。
情報システム部のNW拡張プロジェクトでは、新工場LANの提案と構築をベンダに委託し、それ以外の作業を自社要員が担当する。NW拡張プロジェクト発足に先立ち、情報システム部のD君が、次の準備作業を行っている。
・新工場LANに適用するSDN技術の調査:ベンダから提案があった、新工場LANに適用するSDN技術について、その概要を整理する。
・新工場LANの運用の調査:ベンダから提案があった、新工場LANの論理構成と通信方式の概要を整理する。
・クラウドサービス利用拡大の検討:新システムの本運用に用いる、B社CDNとB社ISPを使ったNWの導入案を作成する。
・A社向けIaaS環境のバックアップの検討:B社拠点(国内)が長時間使えない場合を想定し、新システムの稼働を再開させるための代替手段を検討する。
【新工場LANに適用するSDN技術の調査】
ベンダから提案があったSDN技術について、D君は次のように整理した。
・従来のスイッチ機能を、経路制御などの管理機能を実行するフローコントローラ(以下、OFCという)と、データ転送を行うスイッチ(以下、OFSという)に分け、OFSに入るパケットの経路制御をOFCが集中制御する方式を採用する。
・OFSとOFCは、管理のための専用NW(以下、管理NWという)を介して、通信メッセージを交換する。OFCとOFS間の通信メッセージを表1に示す。
・OFSは、IPアドレス、MACアドレスなどのパケット識別子(Match Field、以下、MFという)を使ったパケット識別条件と、識別されたパケットの処理(以下、Actionという)の組合せ(以下、エントリという)を、OFS内の管理テーブルで管理する。
・OFSは、入力パケットに対して、管理テーブル内のパケット識別条件が一致するエントリを探し、そのエントリのActionを実行する。一致するエントリがない場合は、事前の設定に従い、入力パケットを破棄するか、Packet-Inメッセージを使ってOFCに入力パケットを転送する。今回の提案では、OFCへの通信集中を避けるために、入力パケットを破棄させる設定を全OFSに対して行う。
・MFとActionの例を表2に示す。
ベンダの提案では、8台のOFSを導入する。ベンダから提案があった新工場LANの物理構成案を、図2に示す。
OFS同士の接続情報をOFCが収集する通信シーケンスについて、D君はベンダから説明を受けた。例えば、図2中のOFCが、OFS1とOFS2の接続情報を得る場合のOFS接続情報収集の通信シーケンス例は、図3のようになる。
OFS接続情報の収集では、IEEE 802.1ABで規定されているLLDP(Link Layer Discovery Protocol)の仕組みを流用する。図3中のOFCは、固有のイーサネットタイプ88CCをもつLLDPフレームを使って、次のように、LLDPフレームXとLLDPフレームYの内容からOFS1のp8とOFS2のp9の接続情報を得ている。
①OFCは、表1中の(え:Flow-Mod)メッセージを使って、ETH_TYPEが88CCに等しいときのActionとして、Output(お:controller)を、OFS内の管理テーブルに登録させる。
え:Flow-Mod、お:controller
①は、OFCからOFSへの通信で、OFS内の管理テーブルに登録させるものであるので、表1のFlow-Modメッセージに該当します。
Actionの設定については、表2からOutputとして「ポートID」(指定ポートに出力する)か、「controller」(Packet-Inメッセージを使いOFCに転送する)が入ることが分かります。
そして②の処理で、Packet-InメッセージでOFCに送信していることから、ここではOutput(controller)が該当します。
②OFCは、表1中の(か:Packet-Out)メッセージを使って、OFS1の全ポートについて、OFS1の装置名とそれぞれのポートIDを格納したLLDPフレームを出力させ、装置名OFS1とポートID p8が格納されたLLDPフレームXをOFS2から受け取る。
か:Packet-Out
表1で、OFCがOFSに送信するPacket-Outメッセージ(出力パケットと出力ポートIDを送り、OFSに出力させる)が該当します。
②の処理は、OFCがOFS1にLLDPフレームを出力させ、それを受信したOFS2がLLDPフレームXをOFCに送信することで、OFCがOFS接続情報を収集することになります。
③OFCは、OFS2に対して②と同様の操作を行い、装置名(き:OFS2)とポートID(く:p9)が格納されたLLDPフレームYをOFS1から受け取る。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問1(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm2_qs.pdf
き:OFS2、く:p9
③は②と同様に、OFCがOFS2にLLDPフレームを出力させ、それを受信したOFS1がLLDPフレームYをOFCに送信します。
OFSのLLDPフレームですので、装置名「OFS2」、ポートID「p9」が該当します。
pingによるネットワーク監視【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問4】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「pingによるネットワーク監視」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問4」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問4
問3 社内ネットワークとクラウドサービスとのネットワーク接続に関する次の記述を読んで、設問1〜4に答えよ。
(略)
(略)
・VPNトンネルは、VPNa1側をアクティブ、VPNb1側をスタンバイとする。
(略)
(略)
【ネットワーク監視の検討】
K社NWのサーバセグメントには、ネットワーク及びサーバが正常かどうかを確認するために監視サーバを設置している。監視にはpingを用いる。pingは、(オ:ICMP)のecho requestパケットを監視対象に送り、(カ:echo reply)パケットが監視対象から返ってくることで到達性を確認する。⑥二つあるVPNトンネルがそれぞれ正常に動作しているかを常に確認するために、監視対象として(e)と(f)を選択した。実際に、VPNルータを停止するテスト、及びVPNトンネルを切断するテストを行い、正しく検知できることを確認した。
オ:ICMP、カ:echo reply
ping(Packet INternet Groper)は、ネットワーク上の特定のIPアドレスに対して応答があるかどうかを確認するプログラムで、PCはじめ多くの機器で標準的に実装されています。
pingでは、ICMP(Internet Control Message Protocol)というプロトコルを用いて、echo requestパケットを監視対象に送り、echo replyパケットが監視対象から返ってくることで到達性を確認します。
同時に、送信から受信までの所用時間(RTT:Round Trip Time)なども確認できます。
⑥について、二つあるVPNトンネルをそれぞれ監視する目的を35字以内で述べよ。:ネットワーク接続の冗長構成が失われたことを検出するため。
K社NWのサーバセグメントにある監視サーバから(e)と(f)にpingによる到達性を確認するということは、図1、図2から、二つのVPNトンネルがそれぞれ正常に利用できるかを確認するということです。
ここで二つのVPNトンネルは、本文の「VPNトンネルは、VPNa1側をアクティブ、VPNb1側をスタンバイとする」とあるように、通常はVPNa1〜VPNa2側を利用し、VPNa1〜VPNa2間が異常となって利用できなくなると、VPNb1〜VPNb2側に切り替わり、これにより通信を継続することができます。
したがって、二つのVPNトンネルをそれぞれ監視する目的は、このVPNトンネルの冗長構成が失われたことを検出することです。
Oさんは、これまでの結果をまとめて、プロジェクトに報告した。その後、L社クラウドサービスの試験利用の評価を行った。その結果は良好で、K社ではL社クラウドサービスを利用した販売管理システムの更改が決定された。また、K社内のその他のシステムも順次、L社クラウドサービスへ移行する計画が立てられた。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm1_qs.pdf
BGP・OSPFによる経路制御、ルーティングループ防止策【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問3】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「BGP・OSPFによる経路制御、ルーティングループ防止策」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問3」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問3
問3 社内ネットワークとクラウドサービスとのネットワーク接続に関する次の記述を読んで、設問1〜4に答えよ。
(略)
【K社NWとL社クラウドサービスとの経路情報の交換の検討】
L社クラウドサービスとのネットワーク接続では、静的経路制御、又はBGPを用いた動的経路制御を選択できる。Oさんは、③BGPを用いた動的経路制御を選択した。
③について、静的経路制御と比較して動的経路制御を選択した利点を40字以内で述べよ。:BGPによって回線断や機器障害を検知し、トラフィックをう回できる。
BGP(Border Gateway Protocol)とは、ネットワークの経路情報を通信機器間で交換する動的経路制御(ダイナミックルーティング)のプロトコルの一つです。
動的経路制御にはBGPの他に、RIP(Routing Information Protocol)やOSPF(Open Shortest Path First)などがありますが、BGPは主にインターネットの組織間の接続で利用されています。
このような動的経路制御では、通信機器間で定期的に経路情報を交換して最適な経路を利用できるようにしており、回線断や機器障害を検知した場合には適切な経路にう回することができます。
動的経路制御に対し、通信機器間での定期的な経路情報交換は実施せず、あらかじめ通信機器ごとに設定した経路制御を用いて経路制御を行うものを静的経路制御といいます。
したがって、静的経路制御と比較して動的経路制御の利点としては、上に挙げた回線断や機器障害を検知してトラフィックをう回できる点になります。
Oさんが考えた、K社NWとL社クラウドサービスとの経路情報の交換の概要を図2に示す。
BGPはルーティングプロトコルの一つであり、特定のルーティングポリシで管理されたルータの集まりを示す(ウ:AS)の間で、経路情報の交換を行うために開発されたプロトコルである。
ウ:AS
BGPでは、特定のルーティングポリシで管理されたルータの集まりをAS(Autonomous System)と呼ばれる自律システムとして、ASの間で経路情報の交換を行うプロトコルになります。
BGP接続を行う2台のルータ間ではトランスポートプロトコルの一つである(エ:TCP)のポート179番を使用し、経路情報の交換を行う。このコネクションのことをBGPピアと呼ぶ。
エ:TCP
BGPでは、経路情報の交換に、トランスポートプロトコルで信頼性が高いTCPを用いています。
(ウ:AS)を識別する番号として、VPNa1とVPNb1では65505を使用し、VPNa2とVPNb2ではL社クラウドサービスが割当てを受けている64496を使用する。
VPNa1とVPNa2間及びVPNb1とVPNb2ではeBGPピアを設定し、VPNa1とVPNb1間ではiBGPピアを設定する。
VPNa2とVPNb2は、それぞれVPNa1とVPNb2に対し、L社クラウドサービス内のサーバセグメントの経路だけBGPで経路広告する。
K社NWのVPNセグメントと接続するVPNa1、VPNb1及びL3SWの各インタフェースではOSPFのエリア0を構成し経路情報の交換を行う。さらに、IP in IPで作成されたトンネルインタフェースでは、OSPFのエリア0を構成するが、④経路情報の交換を行う必要がないのでパッシブインタフェースとする。
④について、パッシブインタフェースの動作の特徴を、20字以内で述べよ。:Helloパケットを出さない。
OSPFでパッシブインタフェースに設定すると、Helloパケットを送信せず経路情報を送信しなくなります。
IP in IPで作成されたトンネルインタフェースは、図2では(c)(d)に相当しますが、対向するL社クラウドサービス内のサーバセグメントにはOSPFによる経路交換を行う機器は存在しません。
したがって、このインタフェースから経路情報を送信する必要がないため、パッシブインタフェースに設定すれば良さそうです。
VPNa1とVPNb1では、OSPFとBGPの間で経路情報の再配布を行う。
Oさんは、VPNa1側をアクティブ、VPNb1側をスタンバイとする構成について、J主任に相談した。次は、そのときのOさんとJ主任の会話である。
Oさん:VPNの経路設計で、VPNa1側をアクティブ、VPNb1側をスタンバイとしたいのですが、どのように設計したらよいでしょうか。
J主任:通信の方向それぞれについて経路設計をする必要があります。まずは、社内からL社クラウドサービスの方向は、L社クラウドサービスを利用するPCからのパケットは全てL3SWに届くので、L3SWがパケットの転送先として、VPNa1とVPNb1のどちらを選択するか、転送先を決められるようにすればよいです。
Oさん:VPNa1とVPNb1が、BGPで受けた経路情報をOSPFに再配布する際に、異なるコストを付与すると転送先を選択できそうですね。VPNb1側のコストをVPNa1側と比べて(A:大きく)します。
A:大きく
L3SWがOSPFで経路選択を行う際に、同じ宛先に複数の経路が存在する場合にはコストが低い経路を選択します。
したがって、VPNa1側よりVPNb1側のコストを大きくすれば、VPNa1を選択するようになります。
J主任:次に、L社クラウドサービスから社内の方向はどうでしょう。L社クラウドサービスは、どのようなBGPのパスアトリビュートをサポートしていますか。
Oさん:MEDとAS_PATHを利用できます。今回はAS_PATHを使おうと考えています。AS_PATHでは、AS_PATH長が短い方が選択されます。
J主任:そうですね。そういえば、一点注意が必要です。経路情報の再配布を行うときには、経路のループを防止しなければいけません。
Oさん:分かりました。⑤経路のループを防止する経路制御を行います。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm1_qs.pdf
⑤について、経路のループを防止するために必要な経路制御を40字以内で述べよ。:eBGPからOSPFへ再配布された経路を再びeBGPへ再配布しない。
本文のとおり、経路情報の再配布を行うときには、経路のループ(ルーティングループ)発生のリスクを伴うことに注意する必要があります。
図2で確認すると、L社クラウドサービス内のサーバセグメントの経路をe-BGPでVPNa1、VPNb1が受信して、それぞれOSPFで再配布します。
そして、VPNa1、VPNb1はそれぞれが再配布したサーバセグメントの経路をOSPFで受信します。
そのときに、更にOSPFからeBPGに再配布すると、ルーティングループが発生することになります。
そもそもL社クラウドサービス側では、K社VPNセグメントの経路情報をiBGP/eBGPで受信できているので、VPNa1、VPNb1でOSPFからeBPGに再配布する必要がありません。
したがって、ルーティングループを防止するためには、eBGPからOSPFへ再配布した経路を再びeBGPへ再配布しないことが必要です。
IPsecのIKE SA/トンネルモード・トランスペアモード/パケットサイズ【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問2】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「IPsecのIKE SA/トンネルモード・トランスペアモード/パケットサイズ」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問2」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問2
問3 社内ネットワークとクラウドサービスとのネットワーク接続に関する次の記述を読んで、設問1〜4に答えよ。
(略)
(略)
【インターネットVPN接続の検討】
L社クラウドサービスのVPNルータとK社NWのVPNルータでは、互いのグローバルIPアドレスを利用して、RFC1853に記載されているIP in IPを用いて、トンネルが構成される。このトンネルの通信を、IPsecを用いて暗号化する。
暗号化は、フェーズ1と呼ばれるIKE SAの確立、フェーズ2と呼ばれるIPsec SAの確立を経て行われる。
フェーズ1では、接続する相手を認証する方式として、両方の機器であらかじめ、(イ:事前共有鍵)と呼ばれる同じ鍵を共有する方式を利用する。
イ:事前共有鍵
SA(Security Association)とは、暗号化通信に先立ち、暗号化方式や暗号鍵などの情報を交換して確立された仮想的な暗号通信路(トンネル)のことです。
IKE(Internet Key Exchange)は、暗号鍵を交換するために利用される通信プロトコルのことで、接続する機器であらかじめ鍵を共有する方式は、事前共有鍵(PSK:Pre-Shared Key)といいます。
フェーズ2では、①IPヘッダを暗号化対象とするトンネルモードではなく、IPヘッダを暗号化対象としないトランスポートモードを選択する。
①について、今回の構成では、トランスポートモードを選択している。選択した根拠を、IPアドレスに着目して30字以内で述べよ。:暗号化対象の通信がグローバルIPアドレス間の通信だから。
まず、IPsecを用いて暗号化する箇所を再確認します。
本文に「L社クラウドサービスのVPNルータとK社NWのVPNルータでは、互いのグローバルIPアドレスを利用して、RFC1853に記載されているIP in IPを用いて、トンネルが構成される」とあるように、IP in IPで元々のIPパケットを新たなIPヘッダでトンネル化しています。
そして新たなIPヘッダにグローバルIPアドレスを使用してインターネット経由で通信することになります。
したがって、IPヘッダ(←新たなIPヘッダ)を暗号化対象としないトランスポートモードを採用するのが適切です。
IP in IPでトンネルを構成し、更にIPsecを用いて暗号化することによって、②元のIPパケットと比較してパケットサイズは大きくなる。そこで、IP in IPで作成されたトンネルインタフェースではMTUのサイズを適切な値に設定し、さらに、トンネルインタフェースを通過するパケットのTCP MSS(Maximum Segment Size)を適切な値に書き換える。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm1_qs.pdf
②について、IP in IPで作成されたトンネルインタフェースのMTUの値を1,500とした場合、VPNルータで発生する処理を、30字以内で述べよ。ここで、インターネットを含む全てのインタフェースのMTUの値を1,500とする。:フラグメントとリアセンブルの処理が発生する。
IP in IPでのトンネル化とIPsecを用いた暗号化で、元のIPパケットからどれくらいパケットサイズが大きくなるのでしょうか。
まず、IP in IPでは、新たなIPヘッダとして20バイト分が付加されます。
IPsecでは、暗号化通信のESP(Encapsulated Security Payload)では、ESPヘッダ8バイト、ESPトレーラとESP認証データがそれぞれ十数バイト分付加されます。
したがって、全体で40バイト程度、元のIPパケットよりもパケットサイズが大きくなります。
そして、元のIPパケットが最大1,500バイトのパケットを送信する場合、トンネルインタフェースでは1,540バイトのパケットサイズとなり、MTU(Maximum Transfer Unit:最大パケット長)の1,500バイトを超過することになります。
このとき、発生する処理としては、送信側ではIPパケットを分割するフラグメント、受信側では再構成するリアセンブルとなります。
NAPT【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問1】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「V」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問1」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3 設問1
問3 社内ネットワークとクラウドサービスとのネットワーク接続に関する次の記述を読んで、設問1〜4に答えよ。
K社は、中堅の加工食品販売会社である。K社では、幾つかあるシステムのうち、販売管理システムを更改する予定である。販売管理システムは、K社製品の在庫の管理、販売計画及び販売実績の管理に使用されている。
【クラウドサービスとのネットワーク接続の検討】
販売管理システムの更改に当たって発足したプロジェクトチームが検討を進めた結果、L社が提供しているクラウドサービス(以下、L社クラウドサービスという)を利用する案が有力視されている。そこで、L社クラウドサービスを試験的に利用して評価することになった。プロジェクトチームのOさんが、K社ネットワーク(以下、K社NWという)とL社クラウドサービスとのネットワーク接続を担当することになった。L社クラウドサービスのサービス仕様に従ってOさんが考えた、L社クラウドサービスとのネットワーク接続構成を図1に示す。
図1のL社クラウドサービスとのネットワーク接続構成の概要は、次のとおりである。
・L3SWにVPNセグメントを作成する。VPNルータとしてVPNa1とVPNb1を新たに設置し、DMZとVPNセグメントに接続する。
・VPNa1はVPNa2との間に、VPNb1はVPNb2との間に、VPNトンネルを構成する。
・VPNトンネルは、VPNa1側をアクティブ、VPNb1側をスタンバイとする。
・VPNa1、VPNb1及びL3SWの間ではOSPFで経路情報の交換を行う。
・L社クラウドサービス内では、評価のために、販売管理サーバと販売管理DBを構築し、K社NWのクライアントセグメントから利用できるようにする。
・K社NWのクライアントセグメントのPC及びサーバセグメントのサーバには、L3SWをデフォルトゲートウェイとして設定する。また、L3SWには、FWをデフォルトゲートウェイとして設定する。
・K社NWのPCとサーバには、プライベートIPアドレスを割り当てる。PC及びサーバからインターネットへのWeb閲覧などの通信は、FWでIPアドレスとポート番号の変換処理である(ア:NAPT)を行う。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問3(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm1_qs.pdf
ア:NAPT
知識問題ですね。
IPアドレスとポート番号の変換を行うのは、NAPT(Network Address Port Translation)です。
VDI基盤におけるマルウェア感染時の対処【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 設問4】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「VDI基盤におけるマルウェア感染時の対処」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 設問4」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 設問4
問2 仮想デスクトップ基盤の導入に関する次の記述を読んで、設問1〜4に答えよ。
(略)
(略)
【仮想PCのマルウェア感染時の対応】
仮想PCに感染したマルウェアは、別の仮想PCに感染拡大を試みる場合がある。仮想PCでは物理的にLANケーブルを抜くことができないので、従来の対処方法は利用できない。そこで、Uさんが考えた対策案は、次のとおりである。
・ある仮想PCで、ウィルス対策ソフトがマルウェアの感染を検知したときは、情報セキュリティ管理者がその仮想PCを隔離すべきか否かを判断する。隔離するときは、VDIのコンソールを使って、その仮想PCを(ア:仮想SW)から切り離す。
ア:仮想SW
仮想PCを隔離するとはどういうことか、図2で確認してみます。
VDI内で、仮想PCは上位の仮想SWに論理的に接続されていて、そこからVDIサーバの物理NIC、L2SW経由で外部と通信していることが分かります。
したがって、VDIのコンソールを使い、仮想PCを仮想SWから切り離す設定を行うことで、仮想PCを隔離することができます。
・標的型攻撃対策装置が、ある仮想PCの通信からC&CサーバのIPアドレスを特定したときは、本社のUTMにフィルタリングを設定する。被害の拡大を防ぐために、他の仮想PCも含めてC&Cサーバと通信を行うことを防ぐ必要があるので、”送信元=(イ:任意)、宛先=(ウ:C&Cサーバ)、ポート番号=任意、動作=拒否”のフィルタリングルールを設定し、インターネット方向の通信を遮断する。
イ:任意、ウ:C&Cサーバ
C&Cサーバと通信する挙動が見られたということは、仮想PCがマルウェアに感染しているということです。
本文中に「仮想PCに感染したマルウェアは、別の仮想PCに感染拡大を試みる場合がある」とあるようにマルウェアは感染拡大を試みますが、それは仮想PCに限らず、組織全体に感染拡大する可能性があると考えられます。
したがって、UTMにおいて、全ての装置(送信元:任意)からC&Cサーバへの通信を遮断する必要があります。
その後、VDIの導入に関するUさんの報告書は企画会議で承認され、導入の準備を開始した。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm1_qs.pdf
帯域制御、シェーピング【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 設問3】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「帯域制御、シェーピング」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 設問3」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 設問3
問2 仮想デスクトップ基盤の導入に関する次の記述を読んで、設問1〜4に答えよ。
(略)
・印刷量は拠点によって異なるので、必要な帯域は把握していない。PCからプリントサーバに印刷データを送信したときは、一時的に大量の帯域を使用する。
(略)
・印刷量を把握できないプリント通信の帯域は確保しない。
(略)
・プリント通信も広域イーサ網を経由するので、本社から広域イーサ網方向の通信に対して、帯域制御が必要になる。
(略)
【帯域制御の設計】
(1)帯域制御装置の機能
Uさんは、ネットワークセグメントの構成変更が不要で、帯域制御を行うことができる帯域制御装置の導入を決めた。Uさんが選定した装置の機能は、次のとおりである。
・パケットを送出するときに、支店ごとに二つの制御(分類制御、送出制御)が可能である。
・分類制御では、IPアドレス、ポート番号などでパケットを分類し、グループ化する。グループ化の単位をクラスとし、クラス単位でキューを割り当て、パケットを格納する。
・送出制御では、クラス単位の帯域確保の制御と、同一支店への複数クラスのパケットに対するシェーピングが可能である。
(2)帯域制御方式の設計
装置の機能を踏まえ、Uさんが考えた帯域制御方式は、次のとおりである。
・最初にパケットは、IPアドレスで宛先の支店が決定され、支店ごとに設定した分類制御、送出制御に送られる。
・分類制御では、画面転送通信のクラスとそれ以外の通信のクラスを定義する。各クラスへのパケットの分類は、ポート番号で識別して行う。
・送出制御では、④画面転送通信のクラスに、各支店の従業員が同時に仮想PCを利用したときに、最低限必要な帯域を確保する設定を行う。
④について、帯域確保の設定を行わなかった場合、TCの操作性が悪化することが懸念される。TCの操作性が悪化する原因を、プリント通信の特性に着目して25字以内で述べよ。:プリント通信が画面転送通信を圧迫するから。
プリント通信については、本文に「PCからプリントサーバに印刷データを送信したときは、一時的に大量の帯域を使用する」「印刷量を把握できないプリント通信の帯域は確保しない」「プリント通信も広域イーサ網を経由するので、本社から広域イーサ網方向の通信に対して、帯域制御が必要になる」とあります。
プリント通信により一時的に大量の帯域を使用した場合、他の通信で使用できる帯域が圧迫されることになり、TCの画面転送通信も影響を受け操作性が悪化します。
・それ以外の通信のクラスでは、帯域確保の制御を行わない。このクラスに分類されたパケットは、帯域が空いているときにだけ送出される。
・⑤シェーピングの設定は、各支店における広域イーサ網のアクセス回線の契約帯域とする。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm1_qs.pdf
⑤について、本社から各支店方向の通信の帯域が、各支店のアクセス回線の契約帯域を超過したときに、帯域制御装置がパケットに対して行う制御の内容を、15字以内で述べよ。:送信タイミングを調整する。
シェーピングは、指定された帯域を超えないように、流入するパケットをバッファに一時的に蓄積するなどして送信タイミングを調整することでパケットロスを回避する機能です。
VDI導入前後の通信要件・ネットワーク帯域の見直し【ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 設問2】
情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。
キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。
今回は、「VDI導入前後の通信要件・ネットワーク帯域の見直し」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 設問2」です。
問題文中、設問に該当する部分ですぐに解答を説明しています。
ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。
ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2 設問2
問2 仮想デスクトップ基盤の導入に関する次の記述を読んで、設問1〜4に答えよ。
T社は、従業員数500人の建設会社で、全国10か所に支店がある。
(略)
各拠点は広域イーサネット網で接続されており、アクセス回線の契約帯域は、本社が1Gビット/秒、各支店が100Mビット/秒である。インターネット接続回線は、拠点ごとに契約しており、契約帯域は本社が100Mビット/秒、各支店が40Mビット/秒である。
現行ネットワークでは、次の3種類の通信が行われる。
(1)ファイル転送通信
・設計資料の共有、バックアップのために、PCがファイルサーバと通信を行う。
・ピーク時に必要な帯域は、本社従業員向けに200Mビット/秒、全ての支店従業員向けの合計が800Mビット/秒である。
(2)プリント通信
・設計資料の印刷のために、PCから自拠点に設置しているプリントサーバに印刷データを送信する。
・印刷量は拠点によって異なるので、必要な帯域は把握していない。PCからプリントサーバに印刷データを送信したときは、一時的に大量の帯域を使用する。
(3)インターネット通信
・インターネット上のWebサイトの閲覧、ISPが提供するメールサービスの利用のために、PCがWebサーバ、メールサーバと通信を行う。
(略)
(3)仮想PCから行われる通信
・画面転送通信:仮想PCの画面をTCに転送する。TC1台が使用する帯域は、最大200kビット/秒である。
・ファイル転送通信、プリント通信及びインターネット通信:使用帯域は、現行と同じである。
(略)
【ネットワーク構成の検討】
(1)VDI導入後のネットワーク構成案
Uさんは、これらの事前調査の結果から、VDIサーバなどの装置を本社に設置することにした。Uさんが考えたVDI導入後のネットワーク構成案を、図2に示す。
VDI導入後は、②支店のインターネット接続回線を廃止し、本社のインターネット接続回線の契約帯域を1Gビット/秒に変更する。
②について、インターネット接続回線を廃止する理由を、インターネット通信に着目して30字以内で述べよ。また、現行ネットワーク構成と比べたときの情報セキュリティ対策上の利点を30字以内で述べよ。:(理由)インターネット通信は本社の仮想PCから行われるから。、(利点)情報セキュリティ対策を本社で集中的に行うことができる。
VDI導入後のインターネット通信は仮想PCとインターネット間で行われ、仮想PCでの画面表示内容をTCに転送することになるため、支店のインターネット回線は不要になります。
インターネット通信の接続箇所においては、UTMやSSL可視化装置、標的型攻撃対策装置などのセキュリティ機器を配置して、モニタリングを行う必要があります。
本社と支店の双方でインターネット接続を行うのに比べ、本社のみとした場合は、情報セキュリティ対策を集中的に行うことができるメリットがあります。
(2)VDI導入後の広域イーサ網
③本社と支店間の広域イーサ網を経由する通信は、VDIの導入で変化する。Uさんは、広域イーサ網のアクセス回線の契約帯域について、次のとおり整理した。
③について、VDI導入前に広域イーサ網を経由する通信を一つ、VDI導入後に経由する通信を二つ、本文中の通信名を用いてそれぞれ答えよ。:(VDI導入前)ファイル転送通信、(VDI導入後)画面転送通信/プリント通信
本文中に記載されている通信名は、ファイル転送通信、プリント通信、インターネット通信、画面転送通信の4つです。
- ファイル転送通信:VDI導入前は、支店のPCと本社のファイルサーバ間で通信するため広域イーサ網を経由します。VDI導入後は、本社の仮想PCとファイルサーバ間で通信するため広域イーサ網を経由しなくなります。
- プリント通信:VDI導入前は、支店のPCと自拠点のプリントサーバ間で通信するため広域イーサ網を経由しません。VDI導入後は、本社の仮想PCとプリントサーバ間で通信するため広域イーサ網を経由するようになります。
- インターネット通信:VDI導入前は、支店のPCから直接インターネット通信するため広域イーサ網を経由しません。VDI導入後も、本社の仮想PCからインターネット通信するため広域イーサ網を経由しません。
- 画面転送通信:VDI導入後、支店のPCと本社の仮想PC間で通信するため広域イーサ網を経由します。
・現行のアクセス回線の安全率は、”アクセス回線の契約帯域÷ピーク時に必要な帯域=(a:1.25)”である。VDI導入後も現行の安全率を確保する。
a:1.25
広域イーサ網のアクセス回線の契約帯域は、本文に「アクセス回線の契約帯域は、本社が1Gビット/秒、各支店が100Mビット/秒」とあります。
また、ピーク時に必要な帯域は、本文のファイル転送通信に「本社従業員向けに200Mビット/秒、全ての支店従業員向けの合計が800Mビット/秒」とあります。
ここで、広域イーサ網を経由するファイル転送通信は支店従業員PCに関するものであるため、800Mビット/秒が該当します。
そして、支店については「全国10か所に支店」とあり、契約帯域の合計は100Mビット/秒×10支店で、1Gビット/秒になります。
したがって、安全率は、1Gビット/秒÷800Mビット/秒=1.25になります。
・全従業員が同時に仮想PCを利用しても、TCの操作に遅れが発生しないようにするためには、画面転送通信の帯域を確保する必要がある。
・印刷量を把握できないプリント通信の帯域は確保しない。
・VDIの導入でアクセス回線の契約帯域を下げることができる。契約帯域は現行の安全率を考慮した最低限必要な帯域とし、本社は(b;100)Mビット/秒、各支店は(c:10)Mビット/秒に変更する。
b;100、c:10
画面転送通信の帯域については、本文に「TC1台が使用する帯域は、最大200kビット/秒」とあります。
支店の従業員は40人のため、支店で必要な帯域は200kビット/秒×40=8Mビット/秒となり、安全率1.25を考慮すると、8Mビット/秒×1.25=10Mビット/秒となります。
本社では、10支店分のアクセス回線の帯域のため、10Mビット/秒×10=100Mビット/秒となります。
・プリント通信も広域イーサ網を経由するので、本社から広域イーサ網方向の通信に対して、帯域制御が必要になる。
【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後1 問2(一部、加工あり)】
https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm1_qs.pdf