ネットワークスペシャリスト試験 令和5年度 春期 午後2 問1
【出典:ネットワークスペシャリスト試験 令和5年度 春期 午後2 問1(一部、加工あり)】
[インターネット接続の切替え]
次に、Eさんはインターネット接続を本社経由からD社閉域NW経由へ切り替えることについて検討した。
インターネット接続の切替え期間中の構成を図4に示す。
FW40を使ってインターネット接続する。FW40はD社からネットワークサービスとして提供される。FW40には新たにグローバルIPアドレスが割り当てられる。FW40を経由するインターネット宛ての通信はNAPT機能によってIPアドレスとポート番号の変換が行われる。A社とインターネットとの通信をR10経由からFW40経由になるようにインターネット接続を切り替える。
Eさんは、設定変更の作業影響による通信断時間を極力短くするために、⑩FW10の設定変更はD社閉域NWの設定変更とタイミングを合わせて実施する必要があると考えた。
Eさんは、⑪インターネット接続の切替えを行うと一部の部門で業務に影響があると考えた。対策として、全てのインターネット宛ての通信はFW40経由へと切り替えるが、⑫一定期間、プロキシサーバAからのインターネット宛ての通信だけは既存のR10経由になるようにする。あわせて、Eさんは、業務に影響がある一部の部門には切替え期間中はプロキシサーバAが利用可能なことを案内するとともに、⑬恒久対応として設定変更の依頼を事前に行うことにした。
Eさんは、プロキシサーバAのログを定期的に調査し、利用がなくなったことを確認した後に、プロキシサーバAを廃止することにした。
Eさんが検討した可用性向上の検討案は承認され、システム部では可用性向上プロジェクトを開始した。
下線⑩について、D社閉域NWの設定変更より前にFW10のデフォルトルートの設定変更を行うとどのような状況になるか。25字以内で答えよ。:ルーティングのループが発生する。
「Eさんは、設定変更の作業影響による通信断時間を極力短くするために、⑩FW10の設定変更はD社閉域NWの設定変更とタイミングを合わせて実施する必要があると考えた。」
移行の手順を表4で確認すると、FW10の設定変更は項番9、10で、D社閉域NWの設定変更は項番5、7になるでしょう。
設問のFW10のデフォルトルートとはインターネット向けの静的経路制御の経路情報のことであり、ネクストホップをR10からVRRPの仮想IPアドレス、つまり、D社閉域NW向けに変更します。
一方、D社閉域NWであるR11におけるデフォルトルートはネクストホップをFW10からR12に変更することが想定されます。
したがって、D社閉域NWの設定変更より前にFW10のデフォルトルートの設定変更を行うと、FW10からD社閉域NW向けに転送された通信が、D社閉域NWから逆にFW10に転送されることになり、ルーティングのループが発生してしまいます。
下線⑪について、業務に影響が発生する理由を20字以内で答えよ。:送信元IPアドレスが変わるから
「Eさんは、⑪インターネット接続の切替えを行うと一部の部門で業務に影響があると考えた。」
一部の部門での業務について問題文を眺めると「A社の一部の部門では、担当する業務に応じてインターネット上のSaaSを独自に契約し、利用している。これらのSaaSでは送信元IPアドレスによってアクセス制限をしているものもある。」とあり、SaaSにアクセスする際に送信元IPアドレスをチェックしていることが分かります。
この送信元IPアドレスが、FW10のグローバルIPアドレスからFW40のグローバルIPアドレスに変わることになり、SaaS側の設定変更が完了するまでSaaSが利用できなくなることが想定されます。
下線⑫について、FW10にどのようなポリシーベースルーティング設定が必要か。70字以内で答えよ。:送信元IPアドレスがプロキシサーバAで宛先IPアドレスがインターネットであった場合にネクストホップをR10とする設定
「対策として、全てのインターネット宛ての通信はFW40経由へと切り替えるが、⑫一定期間、プロキシサーバAからのインターネット宛ての通信だけは既存のR10経由になるようにする。」
ポリシーベースルーティングとは、送信元・宛先IPアドレスなど特定の条件を指定したパケットを通常の経路制御とは異なる経路に転送する方式のことです。
今回、プロキシサーバAから(→送信元IPアドレスがプロキシサーバA)、インターネット宛て(→宛先IPアドレスがインターネット)の通信のパケットを、R10経由(→ネクストホップがR10)となるように設定することで、通常の経路(D社閉域NWのFW40経由)とは異なるようにします。
下線⑬について、どのような設定変更を依頼すればよいか。40字以内で答えよ。:SaaSの送信元IPアドレスによるアクセス制限の設定変更
「あわせて、Eさんは、業務に影響がある一部の部門には切替え期間中はプロキシサーバAが利用可能なことを案内するとともに、⑬恒久対応として設定変更の依頼を事前に行うことにした。」
前の設問にあるように、各部門で契約しているSaaS側の設定変更、つまり、SaaSの送信元IPアドレスによるアクセス制限について、送信元IPアドレスをFW10のグローバルIPアドレスからFW40のグローバルIPアドレスに設定変更してもらう必要がありました。