応用情報技術者 試験情報＆徹底解説

午後問題でわからない点があり、質問させていただきます。私の回答と、それに至った経緯を記載しますので、間違いを指摘していただきたく存じます。

設問１の（１）送信元IPアドレスが示す、NPC、機器又はサーバ名 ですが、
私は「IPsecルータ2」と回答しました。
なぜなら、私は個々のNPCが原則プライベートipアドレスを使用すると考え、IPsecルータ2のNAPT機能によりグローバルipアドレスに変換されると考えたためです。
ただし、これはIPsecルータがNAPTを使用するか使用しないかが明記されていなかったため、私の中の常識に従って解きました。
なぜNAPTを使用すると明記されていない、というだけで答えが「営業所のNPC」になるのかがいまいち理解できません。どなたか詳しく教えてください。

https://www.ap-siken.com/kakomon/04_haru/pm05.html

>IPsecルータ2のNAPT機能によりグローバルipアドレスに変換されると考えたためです。
要は、IP in IPとか、GRE over IPsecでトンネリングされるという話ですか。何でトンネリングするのかはさておくとして、ネットワークに出ていくのにプライベートIPアドレスでは出ていけないのは間違いないので、IPsecルータ間ではカプセル化してグローバルIPアドレスをつけてやる必要はあります。そのカプセル化したものを外せば、送信元は営業所のNPCで、宛先はプロキシサーバというのが導出されるはずです。

https://www.ap-siken.com/bbs/4093.html
NATをしないのではないかという議論がNo.4あたりからあります。そのあたりも参考にしてください。

つまり、IPsecトンネリングが張られている場合は、ipアドレスを変換しているのではなく、送信元プライベートipアドレスの外側にグローバルipアドレスを付けたものをIPsecルータ2から送信し、それをIPsecルータ1で外側を外してプライベートipアドレスを割り出している。
もしNATやNAPTでipアドレスを変換してしまうと、IPsecルータ1でプライベートipアドレスを割り出せなくなり、送信元がNPCなのかが判断できなくなる。

そして、L3SWにいる時点で送信元ipアドレスは営業所NPCのプライベートipアドレス、宛先はプロキシサーバとなり、模範解答と一致する。

という認識で合っていますでしょうか。

御認識の通りです。

ありがとうございます。