平成14年度テクニカルエンジニア(ネットワーク)午後Ⅱ 問1設問5 解答と解説
目次
解答
(1)【h】 L3スイッチ
【i】ルータ ※順不同
(2)ルータによるVLAN間のルーティングを停止する。ただし、例外としてS2からS1へのSMTPパケットはルーティングする。(59字)
(3)フィルタリング機能によって、S3とGWとの間のIPパケット、GWとDB-2との間のIPパケットのみを許可する設定を行う。(60字)
解説
(1)
実稼動時のルータや各サーバの監視についての問題です。まず、監視サーバをどこに配置するのかを考えなくてはいけません。
監視サーバの役目は、問題文中から
SNMPを用いて、サーバやネットワーク機器の動作状態やトラフィックを監視する
ことにあります。
SNMPはアプリケーションプロトコルで、もちろんIPで通信ができなくては機能しません。ですから、まず監視サーバは監視対象のサーバやネットワーク機器とIPで通信ができることが大前提です。ということは、確実にIP通信ができる場所という観点で考えればいいでしょう。
SNMPの概要については、以下のURLをご覧ください。
//www.n-study.com/network/snmp.htm
そのためには、監視対象のサーバやネットワーク機器と同じサブネット上に監視サーバを設置すればいいです。サブネットが異なると、ルーティング次第で通信ができなくなってしまうこともあるわけですから、確実にIP通信できるようにするためには、同一サブネット上であればいいという考え方です。
監視サーバには、2つのLANカードが搭載されているので、サーバと同じサブネットに接続するためにひとつをL3スイッチと接続します。あともうひとつですが、ルータのインタフェースと接続します。
すると、サーバと監視サーバはひとつのサブネット上に存在し、またルータと監視サーバもひとつのサブネット上に存在することになります。
ただ、この場合「L2スイッチ、L3スイッチはどうなるんだ?」という疑問も出てくるかもしれません。L3スイッチでは、スイッチにIPアドレスを設定して、IP通信ができるようになります。L3スイッチにはサーバと同じサブネットからのIPアドレスを設定することによって監視サーバからSNMPで監視できるようになるはずです。
L2スイッチについても、一部の製品でIPアドレスを設定してSNMPで監視できるようにすることはできます。(シスコのスイッチならどれでもできますね)しかし、この問題の場合は、その点は明らかになっていません。ルータとL2スイッチを比較した場合、監視の重要性は明らかにルータの方が上なので、ルータを優先する方がいいと思います。
監視サーバをL3スイッチとルータと接続した場合の論理トポロジを示したものが次の図です。
以上から考えると、空欄の(h)と(i)にあてはまるのは、L3スイッチ、ルータとなります。順番はどちらが先でもいいでしょう。
(2)
最初、見たときによくわからなかった問題です。テクニカルエンジニア(ネットワーク)の問題にはこういうのが多いですね。こういった問題の場合、問題文にヒントがあります。
ルーティングについて注意して、問題文を読んでみましょう。すると、以下の記述が見つかるはずです。
T氏:はい。できます。各サブネットに収容されているサーバのデフォルトゲートウェイには、それぞれルータのIPアドレスを設定します。また、受注システムの開発時に限っては、ルータを用いてVLAN間の通信を行います。このため、DB-1、DB-2及びGWに対しては、アクセス可能なS2とS3のサーバにログインした後、そのサーバからtelnetを利用してアクセスします。繰り返しになりますが、これらのアクセスは開発時だけ許可し、サービス開始以降は禁止とする必要があります。
ここからはっきりと次のことが読み取れます。
開発時-----VLAN間のルーティングを行う
サービス開始時-VLAN間のルーティングは行わない
開発時に、VLAN間のルーティングを行うのは、TPCによってテストを行うために必要だからですね。S1と同じVLAN上にいるので、S1には直接アクセスできるのですが、S2やS3は、VLANが違うので、ルータを経由してVLAN間ルーティングが必要です。TPCからS1、S2、S3およびDB-1、DB-2へのアクセスは次の図のようになります。
しかし、サービス開始時には、TPCではなく監視サーバを導入して、各サーバを管理することになります。監視サーバによる、各サーバの監視は次の図のようになります。
また、問題文中に
U君:受注システムの機能をS1、S2及びS3に分割しているのですね。
T氏:はい。三つのサーバに分割することで、セキュリティを確保することが目的です。仮に、一つのサーバに不正侵入されても、ほかのサーバヘの影響を回避するためです。
とありますので、S1、S2、S3のサーバ間で直接通信できないようにするとよりセキュリティを高めることができます。そのため、サービス開始時には、VLAN間の通信を許可しないように設定します。VLAN間の通信ができなければ、仮に1台のサーバに不正侵入されたとしても、ほかのサーバへの影響をなくすことができます。
で、解答として「VLAN間の通信をできないようにする」だけでは60字は埋まりません。まだ何か考えなくてはいけないことがあるからですね。もう少し、監視サーバについてきちんと問題文を読んでみましょう。
監視サーバが障害を検知した場合、S2を介したメールで、定められた運用担当者に障害情報を通知する。障害情報を受け取った運用担当者は、監視サーバから状況を確認する。障害の状況に応じて、サーバやネットワーク機器を操作し、障害からの復旧を行う。
とあります。
監視サーバが障害を検出すると、それをS2サーバ経由で管理者にメールを送信するということですね。管理者のメールボックスがあるのは、問題文には明示的に書かれていませんが、S1サーバでしょう。S1サーバはSMTP/POPサーバ兼用とありますので、おそらく社員用のメールサーバも兼ねていると思います。
では、S2からS1へメールを送信する経路はどう考えられるかということに注目すればいいです。S1、S2、S3の各サーバはデフォルトゲートウェイにルータのIPアドレスが設定されているので、S2からS1はルータを経由するようになるはずです。
ですから、ルータはVLAN間のルーティングを行わないようにするのですが、例外としてS2からS1あてのSMTPだけは通過させるように設定しないと、監視サーバからの障害報告が管理者に届かないことになります。
これを60字にまとめると、
ルータによるVLAN間のルーティングを停止する。ただし、例外としてS2からS1へのSMTPパケットはルーティングする。(59字)
になります。
でも、こんなバカなシステムを作るのは、なぜ・・・?監視サーバから直接S1へ障害報告のメールを送信するようにすればいいじゃん・・・
なんかこの問題、全体的に変です。VLANもわざわざネットワーク構成を複雑にするために設定するようにしか思えないし。
(3)
図1の予備検討案を修正した、受注システムの構成案で追加されたGWの機能についての問題です。問題文に、
DB-2とGWを目的どおりに機能させるため
とあるので、まずはこの目的について考えていけばいいですね。問題文をしっかりと読んでください。すると、次の記述が見つかります。
T氏:DB-2の情報を外部から守るため、GWを新たに設置しました。GWは、S3とDB-2間の通信を定められたルールに基づいて中継します。仮に、S3からパスワードに対する取得命令が発せられても、GWはこれを排除します。S3は、会員認証のため、GWを介してDB-2に会員が入力したIDやパスワードなどの認証識別情報を転送します。その認証結果は、GWを介してDB-2からS3に回答されます。
つまり、GWはDB-2と通信するコンピュータをS3に限定するために用いられているわけです。
予備検討案の時には、論理トポロジを考えると、DB-2と通信するサーバは、S3に限定されていることがあきらかなので、特にフィルタなどかける必要はありませんでした。
しかし、再検討した受注システムのネットワーク構成においては、論理トポロジ上では、S1、S2、S3、DB-1、DB-2が同じサブネット上にいます。そのため、DB-2へのアクセスを制限することができません。
これでは、セキュリティ上不安があるので、新しくGWを追加しているわけですね。GWによって、DB-2と通信をするのはS3のみに制限しようとしています。
ただし、これではGWというサーバだけによるアクセス制御しか行っていないわけです。アプリケーションレベルでのアクセス制御ということになります。セキュリティの対策を行うときには、複数の階層にまたがった防御を行うことでより強固なセキュリティを確保します。
GWでの中継を制限するというアプリケーションレベルではなく、L3スイッチでのフィルタリングも考えて、多段階のセキュリティ対策を行いましょう!そのためには、何をすればいい?ということが、この問題の趣旨です。
つまり、L3スイッチのフィルタリング機能を利用して、S3からGWへの通信と、GWからDB-2への通信とその戻りの通信のみを許可するように設定すればいいわけです。
これを60字でまとめると、
フィルタリング機能によって、S3とGWとの間のIPパケット、GWとDB-2との間のIPパケットのみを許可する設定を行う。(60字)
となります。
最新過去問の解答と詳細解説はGene製作のテクニカルエンジニア(ネットワーク)
平成15,16,17年度分午後問題完全解説集!
詳細はこちら→//www.n-study.com/library/2006/05/post.html
