ネットワークスペシャリスト試験 令和4年度 春期 午後1 問2
【出典:ネットワークスペシャリスト試験 令和4年度 春期 午後1 問2(一部、加工あり)】
問2 セキュアゲートウェイサービスの導入に関する次の記述を読んで、設問1〜3に答えよ。
N社は、国内に本社及び一つの営業所をもつ、中堅の機械部品メーカである。従業員は、N社が配布するPCを本社又は営業所のLANに接続して、本社のサーバ、及びSaaSとして提供されるP社の営業支援サービスを利用して業務を行っている。
N社は、クラウドサービスの利用を進め、従業員のテレワーク環境を整備することにした。N社の情報システム部は、本社のオンプレミスのサーバからQ社のPaaSへの移行と、Q社のセキュアゲートウェイサービス(以下、SGWサービスという)の導入を検討することになった。SGWサービスは、PCがインターネット上のサイトに接続する際に、送受信するパケットを本サービス経由とすることによって、ファイアウォール機能などの情報セキュリティ機能を提供する。
[現行のネットワーク構成]
N社の現行のネットワーク構成を図1に示す。
N社の現行システムの概要を次に示す。
- 本社及び営業所のLANは、IPsecルータを利用したIPsec VPNで接続している。
- 本社及び営業所のIPsecルータは、IPsec VPNを確立したときに有効化される仮想インタフェース(以下、トンネルIFという)を利用して相互に接続する。
- 営業所のPCからP社営業支援サービス宛てのパケットは、営業所のIPsecルータ、本社のIPsecルータ、L3SW、FW及びインターネットを経由してP社営業支援サービスに送信される。
- FWは、パケットフィルタリングによるアクセス制御と、NAPTによるIPアドレスの変換を行う。
- P社営業支援サービスでは、①特定のIPアドレスから送信されたパケットだけを許可するアクセス制御を設定して、本社のFWを経由しない経路からの接続を制限している。
本社及び営業所のIPsecルータは、LAN及びインターネットのそれぞれでデフォルトルートを使用するために、VRF(Virtual Routing and Forwarding)を利用して二つの(a)テーブルを保持し、経路情報をVRFの識別子(以下、VRF識別子という)によって識別する。ネットワーク機器のVRFとインタフェース情報を表1に、ネットワーク機器に設定しているVRFと経路情報を表2に示す。
N社のネットワーク機器に設定している経路制御を、次に示す。
- 本社のFW、L3SW及びIPsecルータには、OSPFによる経路制御を稼働させるための設定を行っている。
- 本社のFWには、OSPFにデフォルトルートを配布する設定を行っている。
- ②本社のIPsecルータには、営業所のIPsecルータとIPsec VPNを確立するために、静的なデフォルトルートを設定している。
- 本社及び営業所のIPsecルータには、営業所のPCが通信するパケットをIPsec VPNを介して転送するために、トンネルIFをネクストホップとした静的経路を設定している。
- 本社のIPsecルータには、OSPFに③静的経路を再配布する設定を行っている。
下線①のIPアドレスを、表1中のIPアドレスで答えよ。:a.b.c.d
「P社営業支援サービスでは、①特定のIPアドレスから送信されたパケットだけを許可するアクセス制御を設定して、本社のFWを経由しない経路からの接続を制限している。」
特定のIPアドレスとは、P社営業支援サービスで受信するパケットの送信元IPアドレスであることがわかると思います。
図1(N社の現行のネットワーク構成(抜粋))から、N社のインターネット向けの通信は全て本社のFWを経由しています。
また、問題文に「FWは、パケットフィルタリングによるアクセス制御と、NAPTによるIPアドレスの変換を行う。」とあるように、送信元IPアドレスは、FWのインターネット側のIPアドレスになりそうです。
そして、FWのインターネット側のIPアドレスは、表1(ネットワーク機器のVRFとインタフェース情報(抜粋))の「INT-IF」である「a.b.c.d」であることが分かります。
a:ルーティング
「本社及び営業所のIPsecルータは、LAN及びインターネットのそれぞれでデフォルトルートを使用するために、VRF(Virtual Routing and Forwarding)を利用して二つの(a)テーブルを保持し、経路情報をVRFの識別子(以下、VRF識別子という)によって識別する。」
VRFは、一つのルータに仮想的な複数のルータを持たせる機能です。
VRFによって、複数のルーティングテーブルを保持して、それぞれで経路制御(ルーティング)することが可能です。
問題文のようにLANとインターネットのそれぞれでデフォルトルートを使用する目的でVRFを利用するというのは、一つのルーティングテーブルではデフォルトルートを一つしか扱えないため、VRFによってルーティングテーブルを分けることで対応しているということでしょう。
b:本社のL3SW、c:静的経路制御、d:静的経路制御
前の設問のとおり、VRFはLAN用とインターネット用の二つが設定されていて、VRF識別子によって区別されています。
表1と表2のVRF識別子で、「65000:1」がインターネット用、「65000:2」がLAN用であることが分かると思います。
なお、IPsecルータでは、「65000:1」がIPsecを構築するルーティングで、「65000:2」がトンネルを確立した後のルーティングを担うことになると理解すればいいでしょう。
- (b)は、本社のIPsecルータのLAN側のデフォルトルートで、動的経路制御によって学習したものです。
本社の経路制御では「本社のFW、L3SW及びIPsecルータには、OSPFによる経路制御を稼働させるための設定を行っている。」「本社のFWには、OSPFにデフォルトルートを配布する設定を行っている。」とあるように、デフォルトルートはFWから配布されています。
図1(N社の現行のネットワーク構成(抜粋))からIPsecルータのFW向けのネクストホップはL3SWであることが分かります。 - (c)(d)は、IPsecルータのLAN側で、宛先が相手先ネットワークでトンネルIFをネクストホップとする経路情報です。
これについては、「本社及び営業所のIPsecルータには、営業所のPCが通信するパケットをIPsec VPNを介して転送するために、トンネルIFをネクストホップとした静的経路を設定している。」とあるように、静的経路制御であることが分かります。
”本社のIPsecルータ”が、営業所のPCからP社営業支援サービス宛てのパケットを転送するときに選択する経路は、表2中のどれか。VRF識別子及び宛先ネットワークを答えよ。:(VRF識別子)65000:2、(宛先ネットワーク)0.0.0.0/0
表2のうち、本社のIPsecルータの経路で、トンネル確立後のルーティングである「65000:2」が該当することは明らかでしょう。
この中で、P社営業支援サービス宛てであることから、FWを経由してインターネット向けの経路であるデフォルトルート(0.0.0.0/0)が該当します。
下線②について、デフォルトルート(宛先ネットワーク0.0.0.0/0の経路)が必要になる理由を、40字以内で答えよ。:ISPが割り当てる営業所のIPsecルータのIPアドレスが動的だから
「②本社のIPsecルータには、営業所のIPsecルータとIPsec VPNを確立するために、静的なデフォルトルートを設定している。」
表2で、本社のIPsecルータが「65000:1」で、宛先がデフォルトルート「0..0.0/0」でISPのルータをネクストホップとするものが該当します。
そして、これが営業所のIPsecルータとIPsec VPNを確立するための経路情報となるということです。
単純に考えて、営業所のIPsecルータのIPアドレスを宛先とすればいいと思いますが、なぜデフォルトルートが宛先になるのでしょうか。
そこで、営業所のIPsecルータのIPアドレスについて、表1で確認します。
「w.x.y.z」が該当しますが、ここで「注4) w.x.y.zは、ISPから割り当てられた動的なグルーバルIPアドレスである。」とあります。
動的なIPアドレスということは、毎回IPアドレスが変化するということです。
これが、デフォルトルートが必要になる理由になります。
下線③の宛先ネットワークを、表2中の字句を用いて答えよ。:172.17.1.0/24または営業所のLAN
「本社のIPsecルータには、OSPFに③静的経路を再配布する設定を行っている。」
表2で、本社のIPsecルータにおいて、VRF識別子が「65000:2」で、静的経路制御のものは「172.17.1.0/24」しかないので、これが正解になりそうです。
「172.17.1.0/24」つまり営業所のLANの経路は本社内のOSPFでは知らないため、本社のIPsecルータがOSPFに再配布することで、本社から営業所へのアクセスが可能になります。