ネットワークの構成変更に関する次の記述を読んで,設問1〜3に答えよ。
P社は,本社と営業所をもつ中堅商社である。P社では,本社と営業所の間を,IPsecルータを利用してインターネットVPNで接続している。本社では,情報共有のためのサーバ(以下,ISサーバという)を運用している。電子メールの送受信には,SaaS事業者のQ社が提供する電子メールサービス(以下,Mサービスという)を利用している。ノートPC(以下,NPCという)からISサーバ及びMサービスへのアクセスは,HTTP over TLS(以下,HTTPSという)で行っている。P社のネットワーク構成(抜粋)を図1に示す。
図1 P社のネットワーク構成(抜粋)
P社のネットワークのサーバ及びNPCの設定内容と動作を次に示す。
・本社及び営業所(以下,社内という)のNPCは,社内DNSサーバで名前解決を行う。
・社内DNSサーバは,内部LANのサーバのIPアドレスを管理し,管理外のサーバの名前解決要求は,外部DNSサーバに転送する。
・外部DNSサーバは,DMZのサーバのグローバルIPアドレスを管理するとともに,DNSキャッシュサーバ機能をもつ。
・プロキシサーバでは,利用者認証,URLフィルタリングを行うとともに,通信ログを取得する。
・外出先及び社内のNPCのWebブラウザには,HTTP及びHTTPS通信がプロキシサーバを経由するように,プロキシ設定にプロキシサーバのFQDNを登録する。ただし,社内のNPCからISサーバへのアクセスは,プロキシサーバを経由せずに直接行う。
・ISサーバには,社内のNPCだけからアクセスしている。
・外出先及び社内のNPCからMサービス及びインターネットへのアクセスは,プロキシサーバ経由で行う。
NPCによる各種通信時に経由する社内の機器又はサーバを図2に示す。ここで,L2SWの記述は省略している。
図2 NPCによる各種通信時に経由する社内の機器又はサーバ
FWに設定されている通信を許可するルール(抜粋)を表1に示す。
項番 | アクセス経路 | 送信元 | 宛先 | プロトコル/宛先ポート番号 |
1 | インターネット→DMZ | any | a | TCP/53,UDP/53 |
2 | any | プロキシサーバ | TCP/80801) | |
3 | DMZ→インターネット | 外部DNSサーバ | any | TCP/53,UDP/53 |
4 | b | any | TCP/80,TCP/443 | |
5 | 内部LAN→DMZ | c | 外部DNSサーバ | TCP/53,UDP/53 |
6 | 社内のNPC | プロキシサーバ | TCP/80801) | |
注記 FWは,応答パケットを自動的に通過させる,ステートフルパケットインスペクション機能をもつ。 注1) TCP/8080は,プロキシサーバでの代替HTTPの待受けポートである。 |
このたび,P社では,サーバの運用負荷の軽減と外出先からの社内情報へのアクセスを目的に,ISサーバを廃止し,Q社が提供するグループウェアサービス(以下,Gサービスという)を利用することにした。Gサービスへの通信は,Mサービスと同様にHTTPSによって安全性が確保されている。Gサービスを利用するためのネットワーク(以下,新ネットワークという)の設計を,情報システム部のR主任が担当することになった。
R主任が設計した,新ネットワーク構成(抜粋)を図3に示す。
図3 新ネットワーク構成(抜粋)
新ネットワークでは,サービスとインターネットの利用状況を管理するために,外出先及び社内のNPCからMサービス,Gサービス及びインターネットへのアクセスを,プロキシサーバ経由で行うことにした。
R主任は,ISサーバの廃止に伴って不要になる,次の設定情報を削除した。
・①NPCのWebブラウザの,プロキシ例外設定に登録されているFQDN
・社内DNSサーバのリソースレコード中の,ISサーバのAレコード
Gサービス利用開始後,インターネットを経由する通信の応答速度が,時間帯によって低下するという問題が発生した。FWのログの調査によって,FWが管理するセッション情報が大量になったことによる,FWの負荷増大が原因であることが判明した。そこで,FWを通過する通信量を削減するために,Mサービス及びGサービス(以下,二つのサービスを合わせてq-SaaSという)には,プロキシサーバを経由せず,外出先のNPCはHTTPSでアクセスし,本社のNPCはIPsecルータ1から,営業所のNPCはIPsecルータ2から,インターネットVPNを経由せずHTTPSでアクセスすることにした。この変更によって,G-SaaSの利用状況は,プロキシサーバの通信ログに記録されなくなるので,Q社から提供されるアクセスログによって把握することにした。
外出先及び社内のNPCから-SaaSアクセス時に経由する社内の機器を図4に示す。ここで,L2SWの記述は省略している。
図4 外出先及び社内のNPCからq-SaaSアクセス時に経由する社内の機器
図4に示した経路に変更するために,R主任は,②L3SWの経路表に新たな経路の追加,及びIPsecルータ1とIPsecルータ2の設定変更を行うとともに,NPCのWebブラウザでは,-SaaS利用時にプロキシサーバを経由させないようプロキシ例外設定に,Mサービス及びGサービスのFQDNを登録した。
設定変更後のIPsecルータ1の処理内容(抜粋)を表2に示す。IPsecルータ1は,受信したパケットと表2中の照合する情報とを比較し,パケット転送時に一致した項番の処理を行う。
項番 | 照合する情報 | 処理 | ||
送信元 | 宛先 | プロトコル | ||
1 | 内部LAN | d | HTTPS | NAPT後にインターネットに転送 |
2 | 内部LAN | e | any | インターネットVPNに転送 |
IPsecルータ2もIPsecルータ1と同様の設定変更を行う。これらの追加設定と設定変更によってFWの負荷が軽減し,インターネット利用時の応答速度の低下がなくなり,R主任は,ネットワークの構成変更を完了させた。
出典:令和4年度春期 問5
設問1 〔P社のネットワーク機器の設定内容と動作〕について,(1)〜(3)に答えよ。
(1)営業所のNPCがMサービスを利用するときに,図2中の(あ)を通過するパケットのIPヘッダ中の宛先IPアドレス及び送信元IPアドレスが示す,NPC,機器又はサーバ名を,図2中の名称でそれぞれ答えよ。
解答・解説
解答例
宛先IPアドレス:プロキシサーバ
送信元IPアドレス:営業所のNPC
解説
(2)外出先のNPCからインターネット上のWebサーバにアクセスするとき,L2SW以外で経由する社内の機器又はサーバ名を,図2中の名称で全て答えよ。
解答・解説
解答例
ルータ,FW,プロキシサーバ
解説
(3)表1中の a 〜 c に入れる適切な機器又はサーバ名を,図1中の名称で答えよ。
解答・解説
解答例
a:外部DNSサーバ
b:プロキシサーバ
c:車内DNSサーバ
解説
設問2 本文中の下線①について,削除するFQDNをもつ機器又はサーバ名を,図1中の名称で答えよ。
解答・解説
解答例
ISサーバ
解説
設問3 〔Gサービス利用開始後に発生した問題と対策〕について,(1),(2)に答えよ。
(1)本文中の下線②について,新たに追加する経路を,“q-SaaS”という字句を用いて,40字以内で答えよ。
解答・解説
解答例
q-SaaS宛ての通信のネクストホップがIPsecルータ1となる経路
解説
(2)表2中の d , e に入れる適切なネットワークセグメント,サーバ又はサービス名を,本文中の名称で答えよ。
解答・解説
解答例
d:q-SaaS e:営業所LAN
解説
IPA公開情報
出題趣旨
インターネット上で提供される SaaS の利用が拡大している。SaaS を利用することによって,社内のファイアウォールなどの機器又はインターネットアクセス回線に通信負荷が集中して,通信速度の遅延などの問題が発生する場合がある。
本問では,外部のサービスを利用することによる通信経路の変化を題材に,ファイアウォールへの通信負荷の集中を避けるための方策について,TCP/IP 通信の基本技術の理解を問う。
採点講評
問 5 では,外部のサービスを利用することによる通信経路の変化を題材に,ファイアウォールへの通信負荷の集中を避けるための方策について出題した。全体として正答率は平均的であった。
設問 1(1)は,“送信元 IP アドレスが示す,NPC,機器又はサーバ名”の正答率がやや低かった。送信元 IP アドレスが示す機器として,IPsec ルータ 1 又は IPsec ルータ 2 を挙げる解答が散見された。図 2 の経路では, IPsec ルータ 1 と 2 との間でトンネリングが行われるので,送信元 IP アドレスが変わらないことを理解してほしい。
設問 3(1)は,正答率がやや低かった。ルータによる経路制御は,ネットワークを流れるパケットの通信経路を決定する重要な技術なので,経路表に登録される経路情報の内容について理解を深めてほしい。
設問 3(2)の d の正答率は高かったが,e の正答率が低かった。e についても,本文に記述されたネットワーク構成と通信内容を理解して,正答を導き出してほしい。