平成14年度テクニカルエンジニア(ネットワーク)午後Ⅱ 問1設問3 解答と解説
目次
解答
(1)VLANで物理的にセグメントを分割しないと、L2スイッチの空きポートからサーバへ通信ができてしまう可能性があるため。(58字)
(2)社内LANが収容されるポートとサーバが収容されるポートのVLANが異なるため通信ができなくなる。(48字)
解説
(1)
これもVLANの特性について、よく知っておかないと難しい問題です。また、この問題の図1に載せられているネットワーク構成もあいまいな部分をかなり残しているので、とてもわかりにくいです。ぼくなら、こんなネットワーク構成を出されたら、「物理トポロジと論理トポロジをきちんとわけて、もう1回書き直してください」と突っ返します(笑)。
まず、想定している論理トポロジを考えてみましょう。DB-1とS2だけ、DB-2とS3だけが通信できるようにするために、それぞれ専用のサブネットに分割すると考えられます。L3スイッチでは、各ポートをスイッチポートとして使っているのか、ルータポートとして使っているのかはっきりわかりません。ここでは、サーバS1、S2、S3が別々のサブネットとして、つまり、L3スイッチのポートをルータポートとして使っているものとします。すると、論理トポロジが次のようになります。
L2スイッチで特にVLANを作成しなくても、各サーバのIPアドレスとサブネットマスクの設定だけでこのような論理トポロジを構成することは可能です。でも、VLANを作成しなければ、基本的にL2スイッチではすべてのポート同士で通信することが可能になってしまいます。
たとえば、S3やDB-2がいるサブネットを10.10.60.0/24とし、図1のL2スイッチの空きポートであるQ9にPCを接続して、IPアドレスとして10.10.60.100/24を設定すれば、このPCはS3、DB-2と同じサブネットにいることになります。
これは、S2とDB-1のサブネットに対しても同じことが言えます。つまり、VLANを設定していなければ、L2スイッチの空きポートにつないでIPの設定さえ調整すれば、サーバへのアクセスを行うことができます。
これでは十分にセキュリティを確保できないと考えたため、L2スイッチでVLANを設定して、S2とDB-1だけのVLAN、S3とDB-2だけのVLANという風に物理的に通信できないようにしているわけです。
ここでVLANについてもう一度振り返ります。L2スイッチでVLANを設定することは、1台のスイッチを論理的にVLANの数だけ分割することであるということを思い出してください。図1のL2スイッチで次の3つのVLANに分けたとします。
VLAN10 – S2とDB-1
VLAN20 – S3とDB-2
VLAN1 – その他
これは、次の図のようにL2スイッチを3つのスイッチに分けたことと同じになります。
VLANを作ることによって仮想的に分割されたスイッチは、お互い接続されていません。そのため、たとえL2スイッチの空きポートにPCを接続して、IPアドレスをうまく設定したとしても、S2とDB-1、S3とDB-2へは通信ができなくなるのです。ですから、単純にサブネット分割するよりも、VLANを利用したほうがセキュリティが高まるということがいえます。
(2)
この問題は、図1をいくら眺めても回答できないでしょう。でも、L2スイッチでVLANが3つに分かれていて、論理的に3つの別々のスイッチに分割されているという(1)で載せている図をみればどうでしょう?
一目瞭然ですね。空きポートということは、この図でいうとVLAN1のスイッチに接続することになります。でも、VLAN1のスイッチは、ほかのどことも接続されていません。ですから、社内LANは完全に孤立してしまい、S1、S2、S3やDB-1、DB-2といったサーバに通信ができないし、さらにインターネットに接続することもできなくなります。
VLANの難しいところですね。同じL2スイッチに接続されていれば、通信ができてもよさそうなのに、できない・・・VLANの本来の目的はこのことなのですが、そのため、ネットワーク構成がわかりにくくなるというデメリットもかなり大きくなります。
VLANを使ったネットワークでは、物理構成にとらわれずに論理構成もきちんと考えてあげるという原則をしっかりと身につけてくださいね。
最新過去問の解答と詳細解説はGene製作のテクニカルエンジニア(ネットワーク)
平成15,16,17年度分午後問題完全解説集!
詳細はこちら→//www.n-study.com/library/2006/05/post.html
