H O M E > ネットワークのおべんきょしませんか? Cisco CCNA/CCNP/CCIE、ネットワークスペシャリスト試験の勉強にピッタリ > 2009年3月
2009年3月アーカイブの最新記事
平成17年度テクニカルエンジニア(ネットワーク)午後Ⅱ 問Ⅰ設問4解答と解説
(所属カテゴリー:ネットワークスペシャリスト---投稿日時:2009年3月31日)
解答
(1)使用する認証方式の種類
(2)電子証明書の発行と配布処理
電子証明書の有効期限の管理
(3)階層:データリンク層
根拠:IPアドレス取得前に認証が行われている
解説
(1)
IEEE802.1xの認証プロセスの手順についての問題です。IEEE802.1xは、ある程度細かい仕組みまで知っておいた方がいいでしょう。問題文の図4の【a】の部分を埋めた図は次のようになります。
※( )内はEAPのフレーム名を表しています。
基本的にサプリカントから認証を開始します。サプリカントから認証を開始するEAPフレームはEAPOL(EAP over LAN)-Startと呼ばれます。オーセンティケータがEAPOL-Startを受信すると、EAP-Requestフレームを送信します。これは、どのような種類の認証方式を行うかを示す情報が含まれています。EAP-Requestフレームを受信したサプリカントは返事としてEAP-Responseフレームを返します。ここには使用する認証方式の種類が示されています。このようにEAP-RequestフレームとEAP-Responseフレームで、その後に使用する認証方式をネゴシエーションしています。
(2)
EAPの認証方式にはいくつか種類があります。どのような情報で認証するかが異なり、それにともなって管理のしやすさ、認証の安全性が違ってきます。Windows XPのサプリカントで利用できるEAPの種類は、次の3つです。
- EAP-MD5
ユーザIDとパスワードによる認証です。クライアントとサーバともに電子証明書を必要としない方式です。運用は楽ですが、認証の安全性は高くはありません。Windows XP SP2では無線LAN接続ではEAP-MD5を選択できなくなっています。
- EAP-TLS
クライアントとサーバともに電子証明書を必要とする方式です。認証時にユーザIDやパスワードの入力を必要としません。PCに電子証明書をインストールしておけば、認証処理自体が自動的に行われるようになります。非常に安全な認証方式であるといえますが、電子証明書の管理など運用負荷が大きくなります。
- EAP-PEAP
EAP-MD5と同様にユーザIDとパスワードによる認証です。SSLと同じ仕組みで認証の通信を暗号化できるので、高いセキュリティを保つことができます。なお、認証サーバ側では、電子証明書による認証が必要です。
ちなみに、Windows XPのサプリカントでEAPの種類を設定するには、下記のようにネットワーク接続のプロパティから選択します。
「MD5-Challenge」はEAP-MD5です。「スマートカードまたはその他の証明書」はEAP-TLSです。「保護されたEAP(PEAP)」はEAP-PEAPです。
もし、EAP-TLSを選択した場合、一番の管理上の運用負荷は電子証明書についてです。クライアントすべてに電子証明を発行して配布しなければいけません。スマートカードに電子証明書を保存してユーザに配布したり、各PCに電子証明書をインストールしたりが必要になります。
そして、電子証明書には有効期限があるので、有効期限の管理も必要です。最初はすべての電子証明書の有効期限は統一されているでしょう。しかし、中途入社の社員が入ってきたりすると、電子証明書の有効期限がバラバラになってしまいます。
(3)
IEEE802.1xのユーザ認証の動作の仕組みがわかっていればすぐに解答できる問題です。根拠を問題文から探さなくてはいけないっていうことがありますが・・・
IEEE802.1xは、有線LAN、無線LANでのユーザ認証です。これですぐにデータリンク層という解答が出てくるでしょう。有線LANの場合はPCが接続されたポートを利用させるか、利用させないかということを決めるだけです。そして、無線LANの場合は無線LANアクセスポイントに接続させるか、接続させないかを決めるだけです。
問題文からIEEE802.1xのユーザ認証のユーザ認証がデータリンク層レベルである根拠を探します。T氏が検疫システムの手順を説明している(1)~(11)のところです。
(4) 認証スイッチは、PCに認証許可を通知する
(5) PCは、DHCPサーバに対してIPアドレスなどの必要な情報の配布を要求する
(4)の手順までがIEEE802.1xのユーザ認証です。その後、PCがTCP/IPの通信を行うためにIPアドレスやサブネットマスクなどの情報が必要です。それを(5)の手順でDHCPによって取得しようとしているわけです。
IPアドレスを取得するまではレイヤ3の通信はできません。従って、IPアドレスを取得する前にIEEE802.1xのユーザ認証が終わっていることから、データリンク層であると判断することができます。
【参考URL】
written by Gene
解説はいかがでしたか?Geneが作った最新版H17-H19年度テクニカルエンジニア(NW)午後問題解説のご購入は、こちらをクリック!
2009年3月アーカイブのその他の記事一覧
- 【PR】Geneが講師を担当するセミナー情報
- 【PR】たくさんのIT製品・サービス情報を素早くキャッチ!ITエンジニア必見『キーマンズネット』
- 【PR】
『TSUTAYA DISCAS』/ネットでいつでもどこでもお気楽レンタルDVD!
この部分の広告を募集しています。詳しくはこちら
各コンテンツの最新記事
有料コンテンツライブラリ(ITエンジニア教育資料)
- 日本語で勉強できる!実践CCIE R&S ワークブック (2015年4月26日)2015:04:26:19:13:35
- CCIEラボ試験対策 MPLS-VPN演習シナリオ Vol.1 (2012年5月16日)2012:05:16:10:36:56
- CCIEラボ試験対策 MPLS-VPNトラブルシュートシナリオ Vol.1 (2012年2月 1日)2012:02:01:11:11:21
- CCIE Routing & Switching Trouble Shooting対策 Part1 (2010年9月 1日)2010:09:01:14:57:48
- 日本語で勉強できる「CCIE Routing & Switching ラボ模擬試験 Vol.1」 (2010年7月 8日)2010:07:08:15:21:07
ネットワーク技術雑誌レビュー
- 日経コミュニケーション 2010.7 「"今できる"最善のユーザ認証を考える」 (2010年7月 7日)2010:07:07:17:20:06
- 日経NETWORK 2010.07 「話題の端末iPadで学ぼう! 無線通信技術の基本」 (2010年6月30日)2010:06:30:17:12:32
- 日経NETWORK 2010.3「サーバ管理者のための 仮想スイッチ講座 第1回」 (2010年4月 2日)2010:04:02:13:57:45
- 日経コミュニケーション 2010.3.1「ネット端末が開く新境地 迫るAndoroidビッグバン」 (2010年3月10日)2010:03:10:13:47:08
- 日経コミュニケーション 2010.1.15 KDDIの次世代ネットワーク (2010年1月29日)2010:01:29:13:20:02
ベンダ資格受験記
- Cisco CCNA 640-802J受験記(Gene) (2010年2月12日)2010:02:12:14:32:00
- Cisco CCNA 640-802J受験記(しょうさん) (2008年10月27日)2008:10:27:18:01:13
- Cisco CCNP BSCI 642-901J 受験記 Sさん (2008年9月 8日)2008:09:08:11:19:57
- ベンダ資格受験記 CCNP ISCW 642-825J shinさん (2008年5月27日)2008:05:27:11:48:12
- Cisco CCNP ONT 642-845J受験記 (Gene) (2008年3月14日)2008:03:14:17:17:19
オススメ!ネットワーク技術雑誌・書籍
- Ciscoネットワーク構築教科書 設定編 (2010年7月14日)2010:07:14:16:07:30
- 「まんがでわかった! ネットワーク入門」 (2010年2月12日)2010:02:12:14:25:30
- Cisco WAN実践ケーススタディ (2008年10月27日)2008:10:27:17:54:50
- Cisco ISR ルータ教科書 (2006年2月27日)2006:02:27:16:23:01
- 日経コミュニケーション (2005年6月10日)2005:06:10:16:19:31
MindMapでおべんきょ
- 日経SYSTEMS 2008年9月号にマインドマップの記事があるようです (2008年9月 8日)2008:09:08:18:59:40
- 「みる」という行為は、「目」ではなく、実は・・・ (2008年7月 3日)2008:07:03:14:23:30
- マインドマップの用途は? (2008年7月 2日)2008:07:02:17:31:59
- メンタルリテラシー (2008年5月27日)2008:05:27:20:49:33
- マインドマップ「暗号解読」 (2008年5月15日)2008:05:15:21:30:51
結果を出せるコーチング
- コーチングを受ける前に その2 (2008年7月11日)2008:07:11:11:59:01
- コーチングを受ける前に その1 (2008年7月 3日)2008:07:03:23:26:03
- コーチングの進め方 (2008年7月 3日)2008:07:03:15:45:58
- エンジニアサポート専属コーチプロフィール (2008年5月26日)2008:05:26:11:04:19
- コーチングサービスのご案内 (2008年5月11日)2008:05:11:21:24:52
Geneのつぶやき
- Camtasia Studio 最新バージョンにアップデートする (2010年7月20日)2010:07:20:12:07:15
- ニンテンドー 3DSに採用!メガネ不要の3D立体視の仕組み (2010年7月 7日)2010:07:07:12:18:46
- 6/28 ブルーノート東京 Larry Carlton & Tak Matsumoto "TAKE YOUR PICK" (2010年6月29日)2010:06:29:13:03:21
- iPadの分解写真 (2010年6月29日)2010:06:29:12:23:20
- VAIO Type Zを買う (2009年10月27日)2009:10:27:20:01:13
The Power of Words
- ビジネス思考力のキモは (2009年3月 4日)2009:03:04:17:01:50
- 可能性を信じて存在に意識を向けてくれる人によって (2009年2月 3日)2009:02:03:17:06:37
- アメリカの金融資本主義の世界では、 (2009年2月 3日)2009:02:03:16:56:20
- 彼は完璧ではないが、 (2009年2月 3日)2009:02:03:16:49:33
- いつも晴れ晴れとした (2009年1月15日)2009:01:15:14:57:51
スポンサードリンク
コンテンツメニュー
- プロトコルと通信アーキテクチャ
- LAN
- WAN
- TCP/IP
- IPv6
- マルチキャスト
- ネットワーク機器
- IPルーティング
- QoS
- ネットワークセキュリティ
- シスコ
- Dynamips/Dynagen
- SoftEtherのススメ
- ネットワークスペシャリスト
- ITキーワード
- その他
スポンサードリンク
スポンサードリンク
RSS記事配信
スポンサードリンク
