【ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1 No.3】

ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1

【出典：ネットワークスペシャリスト試験 令和4年度 春期 午後2 問1（一部、加工あり）】

[テレワーク環境構成の検討]
 P主任は、ネットワーク構築ベンダQ社の担当者に相談して、Q社の製品を利用したテレワーク環境の構成を検討した。P主任が考えたテレワーク環境を図2に示す。また、図2の主要な構成要素の説明を表1に示す。

 SSL-VPN装置の⑨ユーザテーブルは、SSL-VPN接続時の処理に必要な情報が含まれるテーブルであり、仮想PCの起動時に自動設定される。
 SSL-VPN装置のNATテーブルは、SSL-VPNクライアントからの通信を適切な仮想PCに振り向けるためのテーブルである。SSL-VPN装置がSSL-VPNトンネルからVIP宛てのパケットを受けると、適切な仮想PCのIPアドレスにDNAT処理して送る。この処理のためにNATテーブルがあり、SSL-VPNで認証処理中にエントリが作成される。
 IPアドレステーブルは、SSL-VPNクライアントに付与するIPアドレスのためのアドレスプールであり、172.16.3.1〜172.16.3.254を設定する。
 P主任が考えた、図2のテレワーク環境のVDIクライアントから仮想PCまでの接続シーケンスを図3に示す。

 図3の動作の概要を次に示す。

1. 個人PCでSSL-VPNクライアントとVDIクライアントを起動する。
2. SSL-VPNクライアントは、SSL-VPN装置に対するアクセスを開始する。
3. SSL-VPN装置は、クライアント証明書による認証を行う。
4. SSL-VPNクライアントとSSL-VPN装置間に、TLSセッションが確立される。このTLSセッションはSSL-VPNトンネルとして利用する。
5. SSL-VPN装置は、SSL-VPNクライアントに割り当てるIPアドレスを管理するためのIPアドレスプールからIPアドレスを割り当て、SSL-VPNクライアントに通知する。この割り当てられたIPアドレスを、クライアントIPという。
6. SSL-VPN装置は、⑩ユーザテーブルを検索して得られるIPアドレスを用いて、NATテーブルのエントリを作成する。
7. SSL-VPNクライアントは、localhost:3389の待ち受けを開始する。
8. VDIクライアントは、localhost:3389へTCP接続を行う。
9. SSL-VPNクライアントは、SSL-VPNトンネルを通じて、VIPの3389番ポートへ向けてのTCP接続を開始する。
10. SSL-VPN装置は、VIPに届いた一連のパケットをDNAT処理して仮想PCに転送する。これによって、SSL-VPNクライアントと仮想PCの間にTCP接続が確立する（以下、この接続をリモート接続という）。
11. SSL-VPNクライアントは、localhost:3389とリモート接続の間のデータ中継を行う。

 上記の1〜11によって、VDIクライアントから仮想PCまでの接続が確立し、個人PCから仮想PCのデスクトップ環境が利用可能になる。

下線⑨について、ユーザテーブルに含まれる情報を40字以内で答えよ。：VDI利用者の利用者IDとその利用者の仮想PCのIPアドレスの組

「SSL-VPN装置の⑨ユーザテーブルは、SSL-VPN接続時の処理に必要な情報が含まれるテーブルであり、仮想PCの起動時に自動設定される。」
 ユーザテーブルという名前と、「仮想PCの起動時に自動設定される」とのことから、それぞれのユーザ毎に仮想PCに関する一意の情報が含まれていることを想定して、問題文でヒントになりそうなところを確認します。
 まずは、前の問題文で、「個人PCからSSL-VPN装置に接続を行う時に利用者のクライアント証明書がSSL-VPN装置に送られ、③SSL-VPN装置はクライアント証明書を基にして接続元の身元特定を行う。K社においては、社員番号を利用者IDとしてクライアント証明書に含めることにする。」とあり、利用者IDがユーザを特定するパラメータになりそうです。
 そして、このユーザ毎に定義されるものとしては「SSL-VPN装置は、⑩ユーザテーブルを検索して得られるIPアドレスを用いて、NATテーブルのエントリを作成する。」から、仮想PCのIPアドレスであることが分かります。
 したがって、ユーザテーブルに含まれる情報としては「利用者IDと仮想PCのIPアドレスの組」（19字）となりますが、40字に近づけるため「VDI利用者の利用者ID」「その利用者の仮想PCのIPアドレス」と修飾してあげます。（少し煩わしいですが、字数合わせも重要です）

下線⑩について、検索のキーとなる情報はどこから得られるどの情報か。25字以内で答えよ。また、SSL-VPN装置は、その情報をどのタイミングで得るか。図3中の（Ⅰ）〜（Ⅹ）の記号で答えよ。：（情報）クライアント証明書から得られる利用者ID情報、（タイミング）Ⅷ

「SSL-VPN装置は、⑩ユーザテーブルを検索して得られるIPアドレスを用いて、NATテーブルのエントリを作成する。」
 前の設問からユーザテーブルには利用者IDと仮想PCのIPアドレスの組があるため、検索キーとしては利用者IDとなることが分かるでしょう。
 そしてこの利用者IDは、これも前の設問で示したように、利用者IDはクライアント証明書から得ることができます。
 具体的には、クライアント証明書のフィールド「subject（主体者）」にあるCN（Common Name）が証明対象を識別する情報、つまり利用者IDとなります。
 そして、SSL-VPN装置がクライアント証明書を受け取るのは（Ⅷ）「certificate」です。