資格部

資格・検定の試験情報、対策方法、問題解説など

AP 午後 ネットワーク④

出典:令和4年度春期 問5

 ネットワークの構成変更に関する次の記述を読んで,設問1〜3に答えよ。

 P社は,本社と営業所をもつ中堅商社である。P社では,本社と営業所の間を,IPsecルータを利用してインターネットVPNで接続している。本社では,情報共有のためのサーバ(以下,ISサーバという)を運用している。電子メールの送受信には,SaaS事業者のQ社が提供する電子メールサービス(以下,Mサービスという)を利用している。ノートPC(以下,NPCという)からISサーバ及びMサービスへのアクセスは,HTTPOverTLS(以下,HTTPSという)で行っている。P社のネットワーク構成(抜粋)を図1に示す。


図1 P社のネットワーク構成(抜粋)

P社のネットワーク機器の設定内容と動作

 P社のネットワークのサーバ及びNPCの設定内容と動作を次に示す。

・本社及び営業所(以下,社内という)のNPCは,社内DNSサーバで名前解決を行う。

・社内DNSサーバは,内部LANのサーバのIPアドレスを管理し,管理外のサーバの名前解決要求は,外部DNSサーバに転送する。

・外部DNSサーバは,DMZのサーバのグローバルIPアドレスを管理するとともに,DNSキャッシュサーバ機能をもつ。

・プロキシサーバでは,利用者認証,URLフィルタリングを行うとともに,通信ログを取得する。

・外出先及び社内のNPCのWebブラウザには,HTTP及びHTTPS通信がプロキシサーバを経由するように,プロキシ設定にプロキシサーバのFQDNを登録する。ただし,社内のNPCからISサーバへのアクセスは,プロキシサーバを経由せずに直接行う。

・ISサーバには,社内のNPCだけからアクセスしている。

・外出先及び社内のNPCからMサービス及びインターネットへのアクセスは,プロキシサーバ経由で行う。

 

 NPCによる各種通信時に経由する社内の機器又はサーバを図2に示す。ここで,L2SWの記述は省略している。

図2 NPCによる各種通信時に経由する社内の機器又はサーバ

 FWに設定されている通信を許可するルール(抜粋)を表1に示す。

表2 設定変更後のIPsecルータ1の処理内容(抜粋)
項番 アクセス経路 送信元 宛先 プロトコル/宛先ポート番号
1 インターネット→DMZ any   a   TCP/53,UDP/53
2 any プロキシサーバ TCP/80801)
3 DMZ→インターネット 外部DNSサーバ any TCP/53,UDP/53
4   b   any TCP/80,TCP/443
5 内部LAN→DMZ   c   外部DNSサーバ TCP/53,UDP/53
6 社内のNPC プロキシサーバ TCP/80801)
注記 FWは,応答パケットを自動的に通過させる,ステートフルパケットインスペクション機能をもつ。
1) TCP/8080は,プロキシサーバでの代替HTTPの待受けポートである。

 このたび,P社では,サーバの運用負荷の軽減と外出先からの社内情報へのアクセスを目的に,ISサーバを廃止し,Q社が提供するグループウェアサービス(以下,Gサービスという)を利用することにした。Gサービスへの通信は,Mサービスと同様にHTTPSによって安全性が確保されている。Gサービスを利用するためのネットワーク(以下,新ネットワークという)の設計を,情報システム部のR主任が担当することになった。

新ネットワーク構成と利用形態

 R主任が設計した,新ネットワーク構成(抜粋)を図3に示す。


図3 新ネットワーク構成(抜粋)

 新ネットワークでは,サービスとインターネットの利用状況を管理するために,外出先及び社内のNPCからMサービス,Gサービス及びインターネットへのアクセスを,プロキシサーバ経由で行うことにした。
 R主任は,ISサーバの廃止に伴って不要になる,次の設定情報を削除した。

①NPCのWebブラウザの,プロキシ例外設定に登録されているFQDN

・社内DNSサーバのリソースレコード中の,ISサーバのAレコード

 

Gサービス利用開始後に発生した問題と対策

 Gサービス利用開始後,インターネットを経由する通信の応答速度が,時間帯によって低下するという問題が発生した。FWのログの調査によって,FWが管理するセッション情報が大量になったことによる,FWの負荷増大が原因であることが判明した。そこで,FWを通過する通信量を削減するために,Mサービス及びGサービス(以下,二つのサービスを合わせてq-SaaSという)には,プロキシサーバを経由せず,外出先のNPCはHTTPSでアクセスし,本社のNPCはIPsecルータ1から,営業所のNPCはIPsecルータ2から,インターネットVPNを経由せずHTTPSでアクセスすることにした。この変更によって,G-SaaSの利用状況は,プロキシサーバの通信ログに記録されなくなるので,Q社から提供されるアクセスログによって把握することにした。
 外出先及び社内のNPCから-SaaSアクセス時に経由する社内の機器を図4に示す。ここで,L2SWの記述は省略している。


図4 外出先及び社内のNPCからq-SaaSアクセス時に経由する社内の機器

 図4に示した経路に変更するために,R主任は,②L3SWの経路表に新たな経路の追加,及びIPsecルータ1とIPsecルータ2の設定変更を行うとともに,NPCのWebブラウザでは,-SaaS利用時にプロキシサーバを経由させないようプロキシ例外設定に,Mサービス及びGサービスのFQDNを登録した。
 設定変更後のIPsecルータ1の処理内容(抜粋)を表2に示す。IPsecルータ1は,受信したパケットと表2中の照合する情報とを比較し,パケット転送時に一致した項番の処理を行う。

表2 設定変更後のIPsecルータ1の処理内容(抜粋)
項番 照合する情報 処理
送信元 宛先 プロトコル
1 内部LAN   d   HTTPS NAPT後にインターネットに転送
2 内部LAN   e   any インターネットVPNに転送

 IPsecルータ2もIPsecルータ1と同様の設定変更を行う。これらの追加設定と設定変更によってFWの負荷が軽減し,インターネット利用時の応答速度の低下がなくなり,R主任は,ネットワークの構成変更を完了させた。

設問1 〔P社のネットワーク機器の設定内容と動作〕について,(1)〜(3)に答えよ。

 

(1)営業所のNPCがMサービスを利用するときに,図2中の(あ)を通過するパケットのIPヘッダ中の宛先IPアドレス及び送信元IPアドレスが示す,NPC,機器又はサーバ名を,図2中の名称でそれぞれ答えよ。

 

解答・解説
解答例

 宛先IPアドレス:プロキシサーバ
 送信元IPアドレス:営業所のNPC

解説
準備中

 

 

(2)外出先のNPCからインターネット上のWebサーバにアクセスするとき,L2SW以外で経由する社内の機器又はサーバ名を,図2中の名称で全て答えよ。

 

解答・解説
解答例

 ルータ,FW,プロキシサーバ

解説
準備中

 

 

(3)表1中の  a    c  に入れる適切な機器又はサーバ名を,図1中の名称で答えよ。

 

解答・解説
解答例

 a:外部DNSサーバ
 b:プロキシサーバ
 c:車内DNSサーバ

解説
準備中

 

 

設問2 本文中の下線①について,削除するFQDNをもつ機器又はサーバ名を,図1中の名称で答えよ。

 

解答・解説
解答例

 ISサーバ

解説
準備中

 

 

設問3 〔Gサービス利用開始後に発生した問題と対策〕について,(1),(2)に答えよ。

 

(1)本文中の下線②について,新たに追加する経路を,“q-SaaS”という字句を用いて,40字以内で答えよ。

 

解答・解説
解答例

 q-SaaS宛ての通信のネクストホップがIPsecルータ1となる経路

解説
準備中

 

 

(2)表2中の  d    e  に入れる適切なネットワークセグメント,サーバ又はサービス名を,本文中の名称で答えよ。

 

解答・解説
解答例

 d:q-SaaS e:営業所LAN

解説
準備中

 

 

IPA公開情報

出題趣旨
未公開
採点講評
未公開