テーマ:ネットワークの構成変更
目次
問5 ネットワークの構成変更に関する次の記述を読んで、設問1~3に答えよ。
P社は、本社と営業所をもつ中堅商社である。P社では、本社と営業所の間を、IPsecルータを利用してインターネットVPNで接続している。本社では、情報共有のためのサーバ(以下、ISサーバという)を運用している。電子メールの送受信には、SaaS事業者のQ社が提供する電子メールサービス(以下、Mサービスという)を利用している。ノートPC(以下、NPCという)からISサーバ及びMサービスへのアクセスは、HTTPOverTLS(以下、HTTPSという)で行っている。P社のネットワーク構成(抜粋)を図1に示す。
〔P社のネットワーク機器の設定内容と動作〕
P社のネットワークのサーバ及びNPCの設定内容と動作を次に示す。
- 本社及び営業所(以下、社内という)のNPCは、社内DNSサーバで名前解決を行う。
- 社内DNSサーバは、内部LANのサーバのIPアドレスを管理し、管理外のサーバの名前解決要求は、外部DNSサーバに転送する。
- 外部DNSサーバは、DMZのサーバのグローバルIPアドレスを管理するとともに、DNSキャッシュサーバ機能をもつ。
- プロキシサーバでは、利用者認証、URLフィルタリングを行うとともに、通信ログを取得する。
- 外出先及び社内のNPCのWebブラウザには、HTTP及びHTTPS通信がプロキシサーバを経由するように、プロキシ設定にプロキシサーバのFQDNを登録する。
ただし、社内のNPCからISサーバへのアクセスは、プロキシサーバを経由せずに直接行う。 - ISサーバには、社内のNPCだけからアクセスしている。
- 外出先及び社内のNPCからMサービス及びインターネットへのアクセスは、プロキシサーバ経由で行う。
NPCによる各種通信時に経由する社内の機器又はサーバを図2に示す。ここで、L2SWの記述は省略している。
FWに設定されている通信を許可するルール(抜粋)を表1に示す。
このたび、P社では、サーバの運用負荷の軽減と外出先からの社内情報へのアクセスを目的に、ISサーバを廃止し、Q社が提供するグループウェアサービス(以下、Gサービスという)を利用することにした。Gサービスへの通信は、Mサービスと同様にHTTPSによって安全性が確保されている。Gサービスを利用するためのネットワーク(以下、新ネットワークという)の設計を、情報システム部のR主任が担当することになった。
〔新ネットワーク構成と利用形態〕
R主任が設計した、新ネットワーク構成(抜粋)を図3に示す。
新ネットワークでは、サービスとインターネットの利用状況を管理するために、外出先及び社内のNPCからMサービス、Gサービス及びインターネットへのアクセスをプロキシサーバ経由で行うことにした。
R主任は、ISサーバの廃止に伴って不要になる、次の設定情報を削除した。
- ①NPCのWebブラウザの、プロキシ例外設定に登録されているFQDN
- 社内DNSサーバのリソースレコード中の、ISサーバのAレコード
〔Gサービス利用開始後に発生した問題と対策〕
Gサービス利用開始後、インターネットを経由する通信の応答速度が、時間帯によって低下するという問題が発生した。FWのログの調査によって、FWが管理するセッション情報が大量になったことによる、FWの負荷増大が原因であることが判明した。そこで、FWを通過する通信量を削減するために、Mサービス及びGサービス(以下、二つのサービスを合わせてq-SaaSという)には、プロキシサーバを経由せず、外出先のNPCはHTTPSでアクセスし、本社のNPCはIPsecルータ1から、営業所のNPCはIPsecルータ2から、インターネットVPNを経由せずHTTPSでアクセスすることにした。この変更によって、q-SaaSの利用状況は、プロキシサーバの通信ログに記録されなくなるので、Q社から提供されるアクセスログによって把握することにした。
外出先及び社内のNPCからq-SaaSアクセス時に経由する社内の機器を図4に示す。
ここで、L2SWの記述は省略している。
図4に示した経路に変更するために、R主任は、②L3SWの経路表に新たな経路の追加、及びIPsecルータ1とIPsecルータ2の設定変更を行うとともに、NPCのWebブラウザでは、q-SaaS利用時にプロキシサーバを経由させないよう、プロキシ例外設定に、Mサービス及びGサービスのFQDNを登録した。
設定変更後のIPsecルータ1の処理内容(抜粋)を表2に示す。IPsecルータ1は、受信したパケットと表2中の照合する情報とを比較し、パケット転送時に一致した項番の処理を行う。
IPsecルータ2もIPsecルータと同様の設定変更を行う。これらの追加設定と設定変更によってFWの負荷が軽減し、インターネット利用時の応答速度の低下がなくなり、R主任は、ネットワークの構成変更を完了させた。
設問1 〔P社のネットワーク機器の設定内容と動作〕について、(1)~(3)に答えよ。
(1) 営業所のNPCがMサービスを利用するときに、図2中の(あ)を通過するパケットのIPヘッダ中の宛先IPアドレス及び送信元IPアドレスが示す、NPC、機器又はサーバ名を、図2中の名称でそれぞれ答えよ。
解答
宛先IPアドレスが示す、NPC、機器又はサーバ名:プロキシサーバ
送信元IPアドレスが示す、NPC、機器又はサーバ名:営業所のNPC
解説
図1からL3SWとFWの間はインターネットを経由していることが、表1のFWの設定からインターネットからDMZへの通信宛先はプロキシサーバということが分かる。
営業所のNPCから送信されているので、送信元は営業所のNPCとなる。
(2) 外出先のNPCからインターネット上のWebサーバにアクセスするとき、L2SW以外で経由する社内の機器又はサーバ名を図2中の名称で全て答えよ。
解答
ルータ、FW、プロキシサーバ
解説
外出先のNPCからWebサーバへの経路は、
外出先のNPC→ルータ→FW→プロキシサーバ→FW→ルータ→Webサーバ
(3) 表中のに入れる適切な機器又はサーバ名を、a~c図1中の名称で答えよ。
解答
a:外部DNSサーバ
b:プロキシサーバ
c:社内DNSサーバ
解説
aはインターネットからDMZへのアクセスで、宛先ポートが53なので宛先はDNSサーバということが分かる。図1からDMZにあるDNSサーバは外部DNSサーバしかない。
bはDMZからインターネットへのアクセスで、ポートが80,443でWebサーバへのアクセスということが分かるので、外部DNSは選択肢からはずれ、残るプロキシサーバーとなる。
cは内部LANからDMZへのアクセスで、外部DNSサーバと通信している。
内部LAN内に社内DNSサーバがあるので、社内NPCから外部DNSサーバへ直接アクセスすることはない。というところから、送信元は社内DNSサーバとなる。
設問2 本文中の下線①について、削除するFQDNをもつ機器又はサーバ名を、図1中の名称で答えよ。
解答
ISサーバ
解説
ISサーバを廃止するので、ISサーバを削除する。
設問3 〔Gサービス利用開始後に発生した問題と対策〕について、(1)、(2)に答えよ。
(1) 本文中の下線②について、新たに追加する経路を、”q-SaaS”という字句を用いて、40字以内で答えよ。
解答
q-SaaS宛ての通信のネクストホップがIPsecルータ1となる経路
解説
FWのアクセス過多を抑制するために行うので、q-SaaSへの経路を今までのL3SW→FWからL3SW→IPsecルータ1へ変更する必要がある。
(2) 表2中のd、eに入れる適切なネットワークセグメント、サーバ又はサービス名を、本文中の名称で答えよ。
解答
d:q-SaaS
e:営業所LAN
解説
dは内部LANからHTTPSでのアクセスなので、宛先はq-SaaS。
eは内部LANからインターネットVPNに転送するので、宛先は営業所LAN。
コメントを残す