平成15年度テクニカルエンジニア(ネットワーク)午後Ⅱ 問1設問4解答と解説

目次

解答

(1)
理由:pingはエッジルータ以降のISP網内は経由せず、VPNルート全体の障害検知とはならないから(46字)
変更場所:対向するMH-2のLAN側アドレス(19字)

(2)
【オ】 wh-1
【カ】 wh-2
【キ】 IP-h

解説

(1)
MH-2では、ISPのエッジルータをpingの宛先としてもルート障害を検知できない場合があります。この理由はすぐ分かるでしょう。エッジルータまでのpingがOKでも、それ以降の機器で障害が発生しているかどうかは検知できないからです。

H15A2-1-4pic1.JPG

これを防ぐためには、pingの宛先を対向のMH-2のLAN側に向ければよいですよね。障害の発生箇所に関わらず、ルート障害を検知することができます。よって下線(c)の理由は

pingはエッジルータ以降のISP網内は経由せず、VPNルート全体の障害検知とはならないから(46字)

となり、これを防ぐためにはpingの宛先を「対向するMH-2のLAN側アドレス」にすればよいでしょう。
なお、MH-2はIPsecトンネルをはるため、そもそもエッジルータへのpingは応答が返ってこないと考える方がいるかもしれませんが、それは間違いです。表2、表3にもあるように、特定の宛先に対してはIPsecへ変換しますが、それ以外の宛先はトンネルを経由せずそのままインターネットへパケットを転送すると考えられるからです。
またMH-1はMH-2と異なり、インターネット上の不特定多数の相手に対して通信するため、ルート全体に対してpingを打つことは不可能です。よってMH-1ではエッジルータまでのpingでよしとしてます。

(2)
本社と営業所に設置されたMH-2は、転送するすべてのパケットをIPsec暗号化するのではなく、表2、表3のポリシに一致するものだけを暗号化するように設定されています。問題文では、「VPNトンネルを構成する」「IPsec形式への変換を施す」という表現がされていますが、どれもIPsecへの暗号化のことを意味するもので、同じ処理を表しています。

表2で本社に設置するMH-2の設定が明記されているため、これを参考にすれば表3の空欄は簡単に埋めることができるでしょう。
例えば表2の本社のVPN#1を参考にしてみると、宛先が「IP-a」、つまり新潟のセグメント宛のパケットに対しては、「wa-1」「wa-2」を終点とするVPNトンネルをはるということを意味するのが分かると思います。同様に表3は、金沢から本社宛のパケットに関する設定なので、「IP-h」という本社のセグメント宛のパケットは、「wh-1」「wh-2」を終点とするVPNトンネルをはるという設定にすればよいでしょう。
よって【オ】は「wh-1」、【カ】は「wh-2」、【キ】には「IP-h」が当てはまります。


テクニカルエンジニア(ネットワーク)の試験対策にはGene作成の完全解説集で!平成17-19年度版好評発売中!!ご購入はこちらから