既設LANへの無線LANの接続構成【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問5】

ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 設問5

問2 無線LANシステムの導入に関する次の記述を読んで、設問1〜5に答えよ。

(略)

インターネットアクセスは、本社DMZのプロキシサーバ経由で行われている。

(略)

(2)WPAでは、TKIPによって暗号鍵を生成する。TKIPでは、暗号鍵の基になる一時鍵(Temporal Key)が動的に生成される。エンタープライズモードの場合、一時鍵は、IEEE 802.1Xの認証成功後に認証サーバで動的に生成されてクライアントに配布されるPMK(Pairwise Master Key)を基に、無線LAN端末及び認証サーバの両者で生成される。

(略)

 WPA2では、事前認証の方法及びPMKの保持方法が規定されている。これらによって、無線LAN端末がAP間を移動(以下、ハンドオーバという)するタイミングでの認証や認証済みのAPに戻ってきたときのPMKの再生成が不要になることから、ハンドオーバ時間か短縮される。

(略)

調査したところ、WLCには複数の方式があったが、次の三つの主要機能をもつ製品を選定することにした。

・有線LAN経由での複数のAPに対する設定変更、ファームウェアのアップデートなどの一括処理機能

APの負荷分散制御、PMKの保持などによるハンドオーバ制御機能

利用者認証、認証VLANなどのセキュリティ対策機能

(略)

【既設LANへの無線LANの接続構成の設計】

 J君が設計した、既設LANに無線LANシステムを導入したときのLAN構成を図4に示す。

f:id:aolaniengineer:20200712052330p:plain

図4中で、IEEE 802.1Xのサプリカントとなる機器及びオーセンティケータとなる機器を、図4中の機器名でそれぞれ答えよ。:(サプリカント)NPC、(オーセンティケータ)WLC

IEEE 802.1Xによる認証では、一般的に、端末(クライアント)側には「サプリカント」と呼ばれるソフトウェア、スイッチや無線APなど認証機能を持つ「オーセンティケータ」と、「オーセンティケータ」が問合せを行う「認証サーバ」により構成されます。

図4の場合、サプリカントはNPCであることは分かると思います。

オーセンティケータについては、Y社の場合は、利用者認証を無線APではなく、無線LANコントローラ(WLC)で行うので、WLCがオーセンティケータになります。

そして、WLCが認証サーバであるRADIUSサーバに問合せを行うことになります。

 Y社では、DHCPサーバでPCとNPCにIPアドレスなどのネットワーク情報を付与している。無線LAN導入後も、本社の営業員のNPCにはDHCPサーバでネットワーク情報を付与する。

 EAP-TLSで認証を受けた本社の営業員のNPCには、営業員向けのVLAN(VLAN100)を割り当て、既設の有線LAN使用時と同じ作業ができるようにする。オフィスエリアのAPには来訪者のNPCは接続させないが、接客エリアのAPには営業員と来訪者が無線LANを同時に利用できる設定を行う。

 NPCを持参した来訪者には、Y社の担当者が、⑨WPA2又はWPAのパーソナルモードで無線LANに接続するための情報を教える。来訪者は、教えられた情報をNPCに設定することで、無線LANの利用が可能になる。来訪者のNPCには、APがESSIDに対応した来訪者向けのVLAN(VLAN200)を割り当てる。VLAN200が割り当てられることによって、来訪者のNPCは、無線LANへのアソシエーション後に、ルータ2がもつDHCP機能でネットワーク情報が付与され、インターネットアクセスだけができるようになる。

【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2(一部、加工あり)】

https://www.jitec.ipa.go.jp/1_04hanni_sukiru/mondai_kaitou_2017h29_2/2017h29a_nw_pm2_qs.pdf

⑨について、来訪者に教える情報を二つ挙げ、それぞれ答えよ。:ESSID、PSK

WPA2(WPA)には、PSK(Pre-Shared Key 事前共有鍵)で認証するパーソナルモードと、IEEE 802.1Xなど認証サーバを利用して認証するエンタープライズモードがあります。

無線LANに接続するための情報としては、無線APを識別するためのESSIDと、パーソナルモードの場合はPSKが必要になります。

図4中で、今回新たにタグVLANが設定される箇所を、図4中のア〜エから選び、記号で答えよ。:

VLANについて、本文に「EAP-TLSで認証を受けた本社の営業員のNPCには、営業員向けのVLAN(VLAN100)を割り当て、既設の有線LAN使用時と同じ作業ができるようにする。」「来訪者のNPCには、APがESSIDに対応した来訪者向けのVLAN(VLAN200)を割り当てる。」 とあるように、VLAN100とVLAN200の二つがあります。

詳細な説明はありませんが、図4の営業部フロアのAPには営業員用と来訪者用の二つのESSIDが設定され、それぞれで異なるVLANを割り当てていると想定されます。

そして、APでは複数のVLANをタグVLANによって上位SWと接続して、それぞれのVLANで通信させます。

したがって、タグVLANが設定される箇所は、AP〜L2SW5間になります。

図4の構成で、来訪者のNPCにインターネットアクセスだけを可能にするための、L2SW5へのVLAN設定内容を、40字以内で述べよ:ルータ2への接続ポートだけに、VLAN200のポートVLANを設定する。

来訪者のNPCのインターネットアクセスについて、本文に「VLAN200が割り当てられることによって、来訪者のNPCは、無線LANへのアソシエーション後に、ルータ2がもつDHCP機能でネットワーク情報が付与され、インターネットアクセスだけができるようになる。」とあります。

したがって、L2SW5経由でルータ2にVLAN200で通信させるために、L2SW5のルータ2の接続ポートへのVLAN200のポートVLANを設定し、その他のポート経由では通信させないようにします。

図4中のNPCが認証された後にWLCに障害が発生した場合、当該NPCで発生する問題を、20字以内で答えよ。また、その理由を、40字以内で述べよ。:(問題)ハンドオーバができなくなる。(理由)NPCに配布したPMKと認証関連情報がWLCで保持されているから。

選定したWLCについて、本文に「APの負荷分散制御、PMKの保持などによるハンドオーバ制御機能」 とあり、PMK保持によりハンドオーバ制御機能を担っていることが分かります。

また、「利用者認証、認証VLANなどのセキュリティ対策機能」とあり、利用者認証に関する情報も保持していることが分かります。

NPCが認定された後はAP経由で通信するため、WLCに障害が発生しても問題ありませんが、NPCがハンドオーバする場合には、PMKや認証情報のやり取りにWLCとの通信が必要になるため、結果的にハンドオーバができなくなります。

AP間での事前認証やPMKキャッシュ機能が有効であれば、一時的にはハンドオーバが可能なように思えますが、このあたりの記述がないため素直に考えたほうが良さそうです。

図4中で、認証後の営業員のNPCによるインターネットアクセスにおいて、経由する機器名又はサーバ名を、【転送経路】の表記法に従い、経由する順に全て列挙せよ。:【転送経路】NPC→AP→L2SW5→L3SW→FW→L2SW1→プロキシサーバ →L2SW1→FW→ルータ1→インターネット

社員のインターネットアクセスについては、本文に「インターネットアクセスは、本社DMZのプロキシサーバ経由で行われている。」 とあるので、NPCからプロキシサーバを経由するルートを挙げればいいでしょう。

Follow me!