サイトアイコン やさしいネットワークとセキュリティ

既設LANへの無線LANの接続構成【ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 No.5】

ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2 No.5

【出典:ネットワークスペシャリスト試験 平成29年度 秋期 午後2 問2(一部、加工あり)】

【既設LANへの無線LANの接続構成の設計】
 J君が設計した、既設LANに無線LANシステムを導入したときのLAN構成を図4に示す。


 Y社では、DHCPサーバでPCとNPCにIPアドレスなどのネットワーク情報を付与している。無線LAN導入後も、本社の営業員のNPCにはDHCPサーバでネットワーク情報を付与する。
 EAP-TLSで認証を受けた本社の営業員のNPCには、営業員向けのVLAN(VLAN100)を割り当て、既設の有線LAN使用時と同じ作業ができるようにするオフィスエリアのAPには来訪者のNPCは接続させないが、接客エリアのAPには営業員と来訪者が無線LANを同時に利用できる設定を行う。
 NPCを持参した来訪者には、Y社の担当者が、⑨WPA2又はWPAのパーソナルモードで無線LANに接続するための情報を教える。来訪者は、教えられた情報をNPCに設定することで、無線LANの利用が可能になる。来訪者のNPCには、APがESSIDに対応した来訪者向けのVLAN(VLAN200)を割り当てる。VLAN200が割り当てられることによって、来訪者のNPCは、無線LANへのアソシエーション後に、ルータ2がもつDHCP機能でネットワーク情報が付与され、インターネットアクセスだけができるようになる

 J君は、以上の設計内容をN主任に説明した。N主任は、J君の設計内容を基に無線LAN導入計画書を作成し、J君と一緒にM課長に説明したところ、導入計画書はM課長に承認され、実施に移されることになった。

図4中で、IEEE 802.1Xのサプリカントとなる機器及びオーセンティケータとなる機器を、図4中の機器名でそれぞれ答えよ。:(サプリカント)NPC、(オーセンティケータ)WLC

 IEEE 802.1Xによる認証では、一般的に、端末(クライアント)側には「サプリカント」と呼ばれるソフトウェア、スイッチや無線APなど認証機能を持つ「オーセンティケータ」と、「オーセンティケータ」が問合せを行う「認証サーバ」により構成されます。
 図4の場合、サプリカントはNPCであることは分かると思います。
 オーセンティケータについては、Y社の場合は、利用者認証を無線APではなく、無線LANコントローラ(WLC)で行うので、WLCがオーセンティケータになります。
 そして、WLCが認証サーバであるRADIUSサーバに問合せを行うことになります。

⑨について、来訪者に教える情報を二つ挙げ、それぞれ答えよ。:ESSID、PSK

 WPA2(WPA)には、PSK(Pre-Shared Key 事前共有鍵)で認証するパーソナルモードと、IEEE 802.1Xなど認証サーバを利用して認証するエンタープライズモードがあります。
 無線LANに接続するための情報としては、無線APを識別するためのESSIDと、パーソナルモードの場合はPSKが必要になります。

図4中で、今回新たにタグVLANが設定される箇所を、図4中のア〜エから選び、記号で答えよ。:

 VLANについて、本文に「EAP-TLSで認証を受けた本社の営業員のNPCには、営業員向けのVLAN(VLAN100)を割り当て、既設の有線LAN使用時と同じ作業ができるようにする。」「来訪者のNPCには、APがESSIDに対応した来訪者向けのVLAN(VLAN200)を割り当てる。」 とあるように、VLAN100とVLAN200の二つがあります。
 詳細な説明はありませんが、図4の営業部フロアのAPには営業員用と来訪者用の二つのESSIDが設定され、それぞれで異なるVLANを割り当てていると想定されます。
 そして、APでは複数のVLANをタグVLANによって上位SWと接続して、それぞれのVLANで通信させます。
 したがって、タグVLANが設定される箇所は、AP〜L2SW5間になります。

図4の構成で、来訪者のNPCにインターネットアクセスだけを可能にするための、L2SW5へのVLAN設定内容を、40字以内で述べよ:ルータ2への接続ポートだけに、VLAN200のポートVLANを設定する。

 来訪者のNPCのインターネットアクセスについて、本文に「VLAN200が割り当てられることによって、来訪者のNPCは、無線LANへのアソシエーション後に、ルータ2がもつDHCP機能でネットワーク情報が付与され、インターネットアクセスだけができるようになる。」とあります。
 したがって、L2SW5経由でルータ2にVLAN200で通信させるために、L2SW5のルータ2の接続ポートへのVLAN200のポートVLANを設定し、その他のポート経由では通信させないようにします。

図4中のNPCが認証された後にWLCに障害が発生した場合、当該NPCで発生する問題を、20字以内で答えよ。また、その理由を、40字以内で述べよ。:(問題)ハンドオーバができなくなる。(理由)NPCに配布したPMKと認証関連情報がWLCで保持されているから。

 選定したWLCについて、本文に「APの負荷分散制御、PMKの保持などによるハンドオーバ制御機能」 とあり、PMK保持によりハンドオーバ制御機能を担っていることが分かります。
 また、「利用者認証、認証VLANなどのセキュリティ対策機能」とあり、利用者認証に関する情報も保持していることが分かります。
 NPCが認定された後はAP経由で通信するため、WLCに障害が発生しても問題ありませんが、NPCがハンドオーバする場合には、PMKや認証情報のやり取りにWLCとの通信が必要になるため、結果的にハンドオーバができなくなります。
 AP間での事前認証やPMKキャッシュ機能が有効であれば、一時的にはハンドオーバが可能なように思えますが、このあたりの記述がないため素直に考えたほうが良さそうです。

図4中で、認証後の営業員のNPCによるインターネットアクセスにおいて、経由する機器名又はサーバ名を、【転送経路】の表記法に従い、経由する順に全て列挙せよ。:【転送経路】NPC→AP→L2SW5→L3SW→FW→L2SW1→プロキシサーバ →L2SW1→FW→ルータ1→インターネット

 社員のインターネットアクセスについては、本文に「インターネットアクセスは、本社DMZのプロキシサーバ経由で行われている。」 とあるので、NPCからプロキシサーバを経由するルートを挙げればいいでしょう。

モバイルバージョンを終了