平成18年 テクニカルエンジニア(ネットワーク) 午後Ⅱ 問2 ネットワークの再構築 設問3
平成18年 テクニカルエンジニア(ネットワーク) 午後Ⅱ問題
目次
解答
(1) [ア] A4、B1、B4
[イ] A2、A5、A6、B2、B5
[ウ] A3、B3
[エ] VLAN-3
[オ] VLAN-3
(2) 通信可能なサーバとディスク装置のMACアドレスの組み合わせを定義してフィルタリングを行う
解説
(1)
IP-SANでは、サーバからアクセスできるストレージデバイスを定義するゾーニングはVLANを利用することが多いようです。問題文からどのサーバがどのストレージデバイス(ディスク装置)に接続できるかを読み取って、L3-SWのVLANの構成を考える問題です。
問題文から、サーバとディスク装置の接続できる組み合わせは次の通りです。
- サーバX-ディスク装置A
- サーバY-ディスク装置B
- サーバZ-ディスク装置B
この組み合わせから、サーバXとディスク装置Aが接続されるポートは同じVLANです。また、サーバYおよびZとディスク装置Bが接続されるポートは同じVLANです。
バックアップサーバが接続されるポートについては、問題文に「でも、各ディスク装置は異なるVLANに属しているので、バックアップサーバは、その両方にアクセスすることができないのではありませんか」という記述があります。これにより、バックアップサーバのVLANはディスク装置AのVLAN、ディスク装置BのVLANとも異なっていることがわかります。
以上をまとめると、ポートとVLANの構成は次の図のようになります。
ルーティングを許可するVLANについては、バックアップを行うためにVLAN-1とVLAN-2からバックアップサーバのVLAN-3間のルーティングが必要です。
(2)
L2-SWでサーバからアクセスできるディスク装置を定義するために、やはりVLANを使えばいいのではないかと思えます。ただし、この問題の構成だとL2-SWでVLAN間ルーティングができないので、バックアップサーバによるバックアップに不都合が出てしまいます。バックアップを行うためには、バックアップサーバからVLAN間ルーティングなしでディスク装置Aおよびディスク装置Bにアクセスできなければいけません。そのためには、同一VLANに所属させる必要があります。すると、結局、すべてのサーバも同一VLANに所属させることになります。
では、同じVLAN内でサーバからアクセスできるディスク装置の組み合わせを定義するためには、フィルタリングを行うことが考えられます。L2-SWなので、基本はイーサネットヘッダをベースにフィルタリングを行います。イーサネットヘッダには、送信先/送信元MACアドレスの情報が含まれています。したがって、アクセスできるサーバとディスク装置のMACアドレスの組み合わせをもとにしてL2-SWでフィルタリングを行えばよいでしょう。
※ まぁ、いまどきの企業向けの製品なら、L2-SWといえどもIPヘッダを見てフィルタリングできるのが多いんですがね。ただ、問題文に「アクセス制御はハードウェアに依存する」といった記述もあるので、MACアドレスベースのフィルタリングが解答としてふさわしいと思います。
参考URL
特になし