ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問1
【出典:ネットワークスペシャリスト試験 令和元年度 秋期 午後2 問1(一部、加工あり)】
クラウドサービスへの移行に関する次の記述を読んで、設問1〜4に答えよ。
D社は、本社及び複数の支店をもつ中堅の運送事業者である。ファイアウォール、Webサーバ、プロキシサーバ、IP-PBX、PBXなどから構成されているD社システムを使って、社内外の通信と運送管理業務を行なっている。
D社の情報システム部は、D社システムの老朽化に伴い、システムの更改を検討中である。
[現行のD社システム]
現行のD社システムの構成を図1に示す。
図1の概要を次に示す。
⑴ 全社のPCから、本社のWebサーバ及びインターネットにアクセスする。
⑵ 本社のPCからインターネットへのアクセスは、プロキシサーバを経由する。
⑶ 支店のPCから本社のWebサーバへのアクセスは、インターネットを経由する。
⑷ 本社のDMZ及び全社の内部LANはプライベートIPアドレスで運用されており、FWとBBRではNAT機能及びNAPT機能が動作している。例えば、上記⑵中のインターネットへのアクセスでは、FWのNAPT機能によって、IPパケット中のプロキシサーバのIPアドレスが変換される。同様に、上記⑶中のインターネット経由のWebサーバへのアクセスでは、BBRのNAPT機能によってIPパケット中の(ア)のIPアドレスが変換される。さらに、(イ)のNAT機能によって、IPパケット中のWebサーバのIPアドレスが変換される。
⑸ IP-PBXはSIPサーバの機能をもつ。また、IP電話機、及び電話用ソフトウェア(以下、SIP-APという)を搭載したスマートフォン(以下、スマホという)はSIPユーザエージェント(以下、SIP UAという)として機能する。IP電話機及びSIP-APの間では、SIPプロトコルによる接続制御によって通話セッションが確立し、RTPプロトコルによる通話が行われる。
⑹ SIP UAがIP-PBXに位置情報登録を依頼する際、SIP UAはSIPメソッド(ウ)を使ってリクエストを行う。その際、(エ)を認証するために”HTTPダイジェスト認証方式”が用いられる。認証情報がないリクエストを受け取ったIP-PBXはチャレンジ値を含むレスポンス”401 Unauthiorized”を返す。SIP UAはチャレンジ値から生成した正しいレスポンス値を送り、IP-PBXはレスポンス”(オ)”を返す。
⑺ 一部の支店ではスマホを社員に貸与し、次のように利用させている。
- 支店では、BBR、インターネット及びFWを経由して、スマホのWebブラウザから本社のWebサーバへアクセスする。また、①同様にFWを経由して、スマホのSIP-APと本社のIP電話機間で通話を行う。
- 外出先では、携帯電話網、インターネット及びFWを経由して、スマホのWebブラウザから本社のWebサーバへアクセスする。また、スマホのSIP-APから取引先への電話については、本社の公衆電話網の電話番号からの発信となるように、携帯電話網、インターネット、FW及び(カ)を経由させる。
Bさんは情報システム部のネットワーク担当である。情報システム部長から指示があり、D社システム更改のネットワークに関する検討を行っている。
Bさんに伝えられたD社システム更改の方針を次に示す。
⑴ 運用負荷の軽減
- IaaSを利用し、本社のFW、Webサーバ及びプロキシサーバを撤去する。
- クラウドPBXサービスを利用し、本社のIP-PBX及び支店のPBXを撤去する。
- 無線LAN及びPoE(Power over Ethernet)を利用し、構内配線を減らす。
⑵ スマホの活用
- 全社員にスマホを貸与し、全社及び外出先で、電話機及びPCを補完する機器として利用させる。
⑶ 新システムへの段階的移行
- 現行システムから新システムへの切替えは、拠点単位に段階的に行う。
ア:PC、イ:FW
「⑶ 支店のPCから本社のWebサーバへのアクセスは、インターネットを経由する」に関するIPパケットについて問われています。
この通信を図1で具体的にみていくと、支店のPC→BPR→インターネット→FW→Webサーバへの経路となっていることがわかります。
また、「本社のDMZ及び全社の内部LANはプライベートIPアドレスで運用されており、FWとBBRではNAT機能及びNAPT機能が動作している」とあり、支店のPC、本社のWebサーバはプライベートIPアドレスで、インターネットを経由する際にグローバルIPアドレスにNAT及びNAPTで変換されることがわかります。
したがって、「BBRのNAPT機能によってIPパケット中の(ア:PC)のIPアドレスが変換される。さらに、(イ:FW)のNAT機能によって、IPパケット中のWebサーバのIPアドレスが変換される」となります。
ウ:REGISTER
「SIP UAがIP-PBXに位置情報登録を依頼する際、SIP UAはSIPメソッド(ウ)を使ってリクエストを行う」
これは知識問題で「REGISTER」(直訳すると「登録」です)メソッドになります。
エ:SIP UA
「その際、(エ)を認証するために”HTTPダイジェスト認証方式”が用いられる」
SIP-UAがIP-PBXにリクエストした際に、IP-PBXが認証するのは単純ですが「SIP-UA」になります。
オ:200 OK
「認証情報がないリクエストを受け取ったIP-PBXはチャレンジ値を含むレスポンス”401 Unauthiorized”を返す。SIP UAはチャレンジ値から生成した正しいレスポンス値を送り、IP-PBXはレスポンス”(オ)”を返す。」
HTTPダイジェスト認証方式では、IP-PBXのチャレンジ値に対するSIP-UAからのレスポンス値に対し、認証に成功すると「200 OK」を返します。
これらはHTTPでのやり取りと同じになります。
カ:IP-PBX
「スマホのSIP-APから取引先への電話については、本社の公衆電話網の電話番号からの発信となるように、携帯電話網、インターネット、FW及び(カ)を経由させる」について、本社の公衆電話網の電話番号からの発信となるということは、本社から公衆電話網を使って発信するということです。
したがって、FW→L2SW→IP-PBX→公衆電話網となります。
下線①のために、FWにおいて許可している通信を二つ挙げ、それぞれ30字以内で答えよ。:インターネット及びIP電話機とIP-PBX間のSIP通信/インターネットとIP電話機間のRTP通信
「①同様にFWを経由して、スマホのSIP-APと本社のIP電話機間で通話を行う。」
SIP-APとIP電話機で通話を行うためには、「IP電話機及びSIP-APの間では、SIPプロトコルによる接続制御によって通話セッションが確立し、RTPプロトコルによる通話が行われる」とあるように、SIPによる接続制御と、RTPによる音声パケットの通信が必要です。
SIPの接続制御については、SIPサーバであるIP-PBXが担っており、SIP-AP〜IP-PBX、IP電話機〜IP-PBXの通信が可能である必要があります。
したがって、FWではSIP-APがあるインターネットとのSIP通信、及び、本社の内部LAN上にあるIP電話機と、IP-PBX間のSIP通信を許可します。
RTPによる音声パケットの通信については、端末間での直接の通信が行われます。
したがって、FWではSIP-APがあるインターネットとIP電話機間のRTP通信を許可します。