情報処理技術者試験の午後問題を通じて、ネットワークの知識を体系的に蓄積していきましょう。

　キーワードに加え、設計や障害対応能力をシミュレーションできる良い学びの場ですので、試験合格はもちろん、ネットワークスペシャリストとなった後も能力向上のために学習できるいい機会です。

　今回は、「既設LANへの無線LANの接続構成」を取り上げた「ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問5」です。

　問題文中、設問に該当する部分ですぐに解答を説明しています。

　ストーリーとして何度も読みこなすと、自然に記憶に定着してくると思います。

ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問5

問2　無線LANシステムの導入に関する次の記述を読んで、設問1〜5に答えよ。

（略）

インターネットアクセスは、本社DMZのプロキシサーバ経由で行われている。

（略）

（2）WPAでは、TKIPによって暗号鍵を生成する。TKIPでは、暗号鍵の基になる一時鍵（Temporal Key）が動的に生成される。エンタープライズモードの場合、一時鍵は、IEEE 802.1Xの認証成功後に認証サーバで動的に生成されてクライアントに配布されるPMK（Pairwise Master Key）を基に、無線LAN端末及び認証サーバの両者で生成される。

（略）

　WPA2では、事前認証の方法及びPMKの保持方法が規定されている。これらによって、無線LAN端末がAP間を移動（以下、ハンドオーバという）するタイミングでの認証や認証済みのAPに戻ってきたときのPMKの再生成が不要になることから、ハンドオーバ時間か短縮される。 

（略）

調査したところ、WLCには複数の方式があったが、次の三つの主要機能をもつ製品を選定することにした。

・有線LAN経由での複数のAPに対する設定変更、ファームウェアのアップデートなどの一括処理機能

・APの負荷分散制御、PMKの保持などによるハンドオーバ制御機能

・利用者認証、認証VLANなどのセキュリティ対策機能

（略）

【既設LANへの無線LANの接続構成の設計】

　J君が設計した、既設LANに無線LANシステムを導入したときのLAN構成を図4に示す。

図4中で、IEEE 802.1Xのサプリカントとなる機器及びオーセンティケータとなる機器を、図4中の機器名でそれぞれ答えよ。：（サプリカント）NPC、（オーセンティケータ）WLC

　IEEE 802.1Xによる認証では、一般的に、端末（クライアント）側には「サプリカント」と呼ばれるソフトウェア、スイッチや無線APなど認証機能を持つ「オーセンティケータ」と、「オーセンティケータ」が問合せを行う「認証サーバ」により構成されます。

　図4の場合、サプリカントはNPCであることは分かると思います。

　オーセンティケータについては、Y社の場合は、利用者認証を無線APではなく、無線LANコントローラ（WLC）で行うので、WLCがオーセンティケータになります。

　そして、WLCが認証サーバであるRADIUSサーバに問合せを行うことになります。

　Y社では、DHCPサーバでPCとNPCにIPアドレスなどのネットワーク情報を付与している。無線LAN導入後も、本社の営業員のNPCにはDHCPサーバでネットワーク情報を付与する。

　EAP-TLSで認証を受けた本社の営業員のNPCには、営業員向けのVLAN（VLAN100）を割り当て、既設の有線LAN使用時と同じ作業ができるようにする。オフィスエリアのAPには来訪者のNPCは接続させないが、接客エリアのAPには営業員と来訪者が無線LANを同時に利用できる設定を行う。

　NPCを持参した来訪者には、Y社の担当者が、⑨WPA2又はWPAのパーソナルモードで無線LANに接続するための情報を教える。来訪者は、教えられた情報をNPCに設定することで、無線LANの利用が可能になる。来訪者のNPCには、APがESSIDに対応した来訪者向けのVLAN（VLAN200）を割り当てる。VLAN200が割り当てられることによって、来訪者のNPCは、無線LANへのアソシエーション後に、ルータ2がもつDHCP機能でネットワーク情報が付与され、インターネットアクセスだけができるようになる。

【出典：ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2（一部、加工あり）】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm2_qs.pdf

⑨について、来訪者に教える情報を二つ挙げ、それぞれ答えよ。：ESSID、PSK

　WPA2（WPA）には、PSK（Pre-Shared Key 事前共有鍵）で認証するパーソナルモードと、IEEE 802.1Xなど認証サーバを利用して認証するエンタープライズモードがあります。

　無線LANに接続するための情報としては、無線APを識別するためのESSIDと、パーソナルモードの場合はPSKが必要になります。

図4中で、今回新たにタグVLANが設定される箇所を、図4中のア〜エから選び、記号で答えよ。：イ

　VLANについて、本文に「EAP-TLSで認証を受けた本社の営業員のNPCには、営業員向けのVLAN（VLAN100）を割り当て、既設の有線LAN使用時と同じ作業ができるようにする。」「来訪者のNPCには、APがESSIDに対応した来訪者向けのVLAN（VLAN200）を割り当てる。」 とあるように、VLAN100とVLAN200の二つがあります。

　詳細な説明はありませんが、図4の営業部フロアのAPには営業員用と来訪者用の二つのESSIDが設定され、それぞれで異なるVLANを割り当てていると想定されます。

　そして、APでは複数のVLANをタグVLANによって上位SWと接続して、それぞれのVLANで通信させます。

　したがって、タグVLANが設定される箇所は、AP〜L2SW5間になります。

図4の構成で、来訪者のNPCにインターネットアクセスだけを可能にするための、L2SW5へのVLAN設定内容を、40字以内で述べよ：ルータ2への接続ポートだけに、VLAN200のポートVLANを設定する。

　来訪者のNPCのインターネットアクセスについて、本文に「VLAN200が割り当てられることによって、来訪者のNPCは、無線LANへのアソシエーション後に、ルータ2がもつDHCP機能でネットワーク情報が付与され、インターネットアクセスだけができるようになる。」とあります。

　したがって、L2SW5経由でルータ2にVLAN200で通信させるために、L2SW5のルータ2の接続ポートへのVLAN200のポートVLANを設定し、その他のポート経由では通信させないようにします。

図4中のNPCが認証された後にWLCに障害が発生した場合、当該NPCで発生する問題を、20字以内で答えよ。また、その理由を、40字以内で述べよ。：（問題）ハンドオーバができなくなる。（理由）NPCに配布したPMKと認証関連情報がWLCで保持されているから。

　選定したWLCについて、本文に「APの負荷分散制御、PMKの保持などによるハンドオーバ制御機能」 とあり、PMK保持によりハンドオーバ制御機能を担っていることが分かります。

　また、「利用者認証、認証VLANなどのセキュリティ対策機能」とあり、利用者認証に関する情報も保持していることが分かります。

　NPCが認定された後はAP経由で通信するため、WLCに障害が発生しても問題ありませんが、NPCがハンドオーバする場合には、PMKや認証情報のやり取りにWLCとの通信が必要になるため、結果的にハンドオーバができなくなります。

　AP間での事前認証やPMKキャッシュ機能が有効であれば、一時的にはハンドオーバが可能なように思えますが、このあたりの記述がないため素直に考えたほうが良さそうです。

図4中で、認証後の営業員のNPCによるインターネットアクセスにおいて、経由する機器名又はサーバ名を、【転送経路】の表記法に従い、経由する順に全て列挙せよ。：【転送経路】NPC→AP→L2SW5→L3SW→FW→L2SW1→プロキシサーバ →L2SW1→FW→ルータ1→インターネット

　社員のインターネットアクセスについては、本文に「インターネットアクセスは、本社DMZのプロキシサーバ経由で行われている。」 とあるので、NPCからプロキシサーバを経由するルートを挙げればいいでしょう。