【ネットワークスペシャリスト試験 令和3年度 春期 午後1 問2 No.1】

ネットワークスペシャリスト試験 令和3年度 春期 午後1 問2

【出典:ネットワークスペシャリスト試験 令和3年度 春期 午後1 問2(一部、加工あり)】

企業ネットワークの統合に関する次の記述を読んで、設問1〜4に答えよ。

D社は、本社及び三つの支社を国内にもつ中堅の商社である。D社の社内システムは、クラウドサービス事業者であるG社の仮想サーバでWebシステムとして構築されており、本社及び支社内のPCからインターネット経由で利用されている。このたびD社は、グループ企業のE社を吸収合併することになり、E社のネットワークをD社のネットワークに接続(以下、ネットワーク統合という)するための検討を行うことになった。

[D社の現行のネットワークの概要]
D社の現行のネットワークの概要を次に示す。

  1. PCは、G社VPC(Virtual Private Cloud)内にある仮想サーバにインターネットを経由してアクセスし、社内システムを利用する。VPCとは、クラウド内に用意されたプライベートな仮想ネットワークである。
  2. 本社と支社間は、広域イーサネットサービス網(以下、広域イーサ網という)で接続している。
  3. PCからインターネットを経由して他のサイトにアクセスするために、ファイアウォール(以下、FWという)のNAPT機能を利用する。
  4. PCからインターネットを経由してVPC内部にアクセスするために、G社が提供している仮想的なIPsec VPNサーバ(以下、VPC GWという)を利用する。
  5. FWとVPC GWの間にIPsecトンネルが設定されており、PCからVPCへのアクセスは、FWとVPC GWの間に設定されたIPsecトンネルを経由する。
  6. 社内のネットワークの経路制御には、OSPFを利用しており、OSPFプロトコルを設定している機器は、ルータ、レイヤ3スイッチ(以下、L3SWという)及びFWである。
  7. 本社のLANのOSPFエリアは0であり、支社1〜3のLAN及び広域イーサ網のOSPFエリアは1である。
  8. FWにはインターネットへの静的デフォルト経路を設定しており、①全社のOSPFエリアからインターネットへのアクセスを可能にするための設定が行われている。

D社の現行のネットワーク構成を図1に示す。

D社の現行のネットワークにおける各セグメントのIPアドレスを表1に示す。

G社は、クラウドサービス利用者のためにインターネットからアクセス可能なサービスポータルサイト(以下、サービスポータルという)を公開しており、クラウドサービス利用者はサービスポータルにアクセスすることによってVPC GWの設定ができる。D社では、VPC GWとFWに次の項目を設定している。

  • VPC GW設定項目:VPC内仮想セグメントのアドレス(192.168.1.0/24)、IPsec VPN認証用の事前(a)、FWの外部アドレス(t.u.v.5)、D社内ネットワークアドレス(172.16.0.0/16、172.17.0.0/16)
  • FW設定項目:VPC内仮想セグメントのアドレス(192.168.1.0/24)、IPsec VPN認証用の事前(a)、VPC GWの外部アドレス(x.y.z.1)、D社内ネットワークアドレス(172.16.0.0/16、172.17.0.0/16)

下線①について、設定の内容を25字以内で述べよ。:OSPFへデフォルトルートを導入する。

FWにはインターネットへの静的デフォルト経路を設定しており、①全社のOSPFエリアからインターネットへのアクセスを可能にするための設定が行われている。
FWに設定されている静的デフォルト経路とは、デフォルトルートのスタティック設定ということです。
シスコ機器では、「ip route 0.0.0.0 0.0.0.0 t.u.v.6」(←t.u.v.6はセグメントm(t.u.v.4/30)のFWと対向する機器)という設定になります。
FWではこの設定によりインターネットへのアクセスが可能になりますが、全社のOSPFエリアでFWを経由してインターネットにアクセスするための設定内容が問われています。
FWでは、スタティックとOSPFの二つのルーティングプロトコルが稼働していることになるので、スタティックで学習(設定)した経路をOSPFに転送すればいいでしょう。
この転送は通常「再配布(再配信)」で行いますが、デフォルトルートは特別で再配布できず、シスコ機器では、OSPFで「default-information originate」という設定を行います。
したがって、OSPFへデフォルトルートを導入するという回答が適当でしょう。

a:共有鍵

IPsec VPN認証用の事前(a
IPsecトンネルが設定されているVPC GWとFWに設定する認証用の設定項目で、知識問題です。
正解は事前共有鍵です。