令和2年秋期試験午後問題 問5
問5 ネットワーク
⇱問題PDF
仮想デスクトップ基盤の導入に関する次の記述を読んで,設問1~3に答えよ。
仮想デスクトップ基盤の導入に関する次の記述を読んで,設問1~3に答えよ。
広告
L社は,本社のほか,全国に5か所の営業所をもつ中堅の医療機器販売会社である。L社では,本社と営業所の間を広域イーサネットサービス網(以下,広域イーサ網という)で接続し,業務サーバやファイルサーバ(以下,FSという)などを運用している。現在のL社のネットワーク構成を図1に示す。
L社の本社と営業所の社員による,現状のNPCの利用形態を次に示す。
〔現状の問題点と改善策の実施〕
L社では,営業員が外出時にNPCを持ち出すので,NPCの紛失などによる秘密情報の漏えいリスクがあり,改善策が求められていた。一方,営業員からは,外出先でもNPCを利用して社内と同じ作業を行いたいという要望が挙がっていた。また,情報システム部では,営業所のシステム運用負荷を軽減したいという課題をもっていた。そこで,L社では,仮想デスクトッフ基盤(以下,VDIという)の導入を決め,VDI導入プロジェクトを立ち上げた。このプロジェクトの責任者となった情報システム部のM課長は,部下のN主任に,導入するネットワーク構成の設計を指示した。
〔VDIの導入後のネットワーク構成の検討〕
N主任は,VDIの方式を調査してネットワーク構成を検討した。N主任が設計したVDI導入後のネットワーク構成を図2に示す。
N主任が,VDI導入後のネットワーク構成と併せて検討した運用方法を次に示す。
〔通信トラフィックの変化内容の検討〕
次に,N主任は,VDI導入による通信トラフィックの変化について検討した。最初に,現在,全社で発生している主要な通信の種類と内容を表1にまとめた。
次に,表1に示す通信に対する通信帯域の実績値などを基に,VDI導入後に,本社の社員向けの全仮想PC(以下,本社仮想PCという)及び五つの営業所の社員向けの全仮想PC(以下,全営業所仮想PCという)で発生する通信について検討した。N主任がまとめた,VDI導入後の最も混雑した時間帯に必要な平均通信帯域の予測値を表2に示す。表2中の項番6,7は,VDI導入後に新たに発生する通信であり,項番7は,外出先のTCがSSL-VPN装置経由で仮想PCを使用したときに発生する通信である。
表2の結果から,プロバイダと契約している広域イーサ網への接続回線の帯域,及び本社のインターネットへの接続回線の帯域の見直しは,不要であると判断できた。N主任は,検討結果をM課長に報告し,VDIの導入構成案が承認された。
- 本社の社員は,サーバ室の業務サーバを利用するとともに,ルータ1経由でインターネットにアクセスする。資料の印刷はオフィスエリアのPRで行い,ファイル共有はサーバ室のFS1で行う。
- 営業所の社員は,広域イーサ網経由で本社の業務サーバを利用するとともに,自営業所のルータ経由でインターネットにアクセスする。資料の印刷は自営業所のPRで行い,ファイル共有は自営業所のFS(FS2~6)と本社のFS1の両方で行う。
- 本社と営業所の営業員は,外出時に各自のNPCを携帯し,NPCに保存したファイルを使って,顧客先でプレゼンテーションや製品の説明などを行う。
〔現状の問題点と改善策の実施〕
L社では,営業員が外出時にNPCを持ち出すので,NPCの紛失などによる秘密情報の漏えいリスクがあり,改善策が求められていた。一方,営業員からは,外出先でもNPCを利用して社内と同じ作業を行いたいという要望が挙がっていた。また,情報システム部では,営業所のシステム運用負荷を軽減したいという課題をもっていた。そこで,L社では,仮想デスクトッフ基盤(以下,VDIという)の導入を決め,VDI導入プロジェクトを立ち上げた。このプロジェクトの責任者となった情報システム部のM課長は,部下のN主任に,導入するネットワーク構成の設計を指示した。
〔VDIの導入後のネットワーク構成の検討〕
N主任は,VDIの方式を調査してネットワーク構成を検討した。N主任が設計したVDI導入後のネットワーク構成を図2に示す。
- 本社のサーバ室に,仮想PCを稼働させるVDIサーバと関連機器を導入する。
- 5か所の営業所のFS2~6を,本社のサーバ室に移設するとともに,サーバ室にDHCPサーバを導入して,全社のTC及び仮想PCにIPアドレスなどのネットワーク情報を付与する。そのほかに,営業所からのインターネットアクセスを本社経由に変更することで,営業所のシステム運用負荷を軽減する。
- VDIの導入時に,NPCの内蔵ディスクに保存されているファイルを,VDIサーバに接続するディスクシステムに移した後,NPCから消去してNPCをTC化する。
- 社内からは,TCでセッション管理サーバに接続して認証を受けた後に,当該利用者向けの仮想PCが使用できる。仮想PCからTCに,画面の情報が転送される。
- 外出先からは,DMZに導入するSSL-VPN装置経由で仮想PCを使用する。TCでSSL-VPN装置に接続すると,TCに保存されたクライアント証明書と,利用者ID,パスワードという異なった利用者認証方式を組み合わせたa認証を受ける。SSL-VPN装置は,bと認証連携して,SSL-VPN装置での認証だけで仮想PCを使用できるようにする。
- TCで仮想PCに接続すると,社内と同じ作業が外出先でも行える。
〔通信トラフィックの変化内容の検討〕
次に,N主任は,VDI導入による通信トラフィックの変化について検討した。最初に,現在,全社で発生している主要な通信の種類と内容を表1にまとめた。
広告
設問1
本文中のa,bに入れる適切な字句を答えよ。
解答例・解答の要点
a:2要素 又は 多要素 又は 2段階
b:セッション管理サーバ
b:セッション管理サーバ
解説
〔aについて〕ICカードとパスワード、指紋とパスワードなどのように、利用者が知っている・持っている・有している情報のうち2種類の要素を組み合わせて認証を行うことを「2要素認証」といいます。2段階で認証を行うのでセキュリティを高めることができますが、認証システムの導入コストが掛かることや認証プロセスが煩雑になるデメリットもあります。
本問の例でいえば、利用者IDとパスワードという"知っている情報"、クライアント証明書が登録されたNPCを"持っている"という異なった要素を組み合わせて認証を行っているので、2要素認証であると判断できます。なお、"有している情報"には生体情報などが該当します。
∴a=2要素認証 又は 多要素認証 又は 2段階認証
〔bについて〕
社内のTCが仮想PCを利用するには、その前にセッション管理サーバに接続して認証を受ける必要があります。これが仮想PCを利用するための原則的な取り扱いであり、仮想PCへのアクセス権はセッション管理サーバで管理されているので、本来は外出先TCもセッション管理サーバの認証を受ける必要があります。しかし、SSL-VPN装置への接続の際に2要素認証を受ける必要があり、さらにセッション管理サーバの認証が必要となると利便性が低下するので、SSL-VPN装置の認証情報をセッション管理サーバと共有することで、SSL-VPN装置の認証だけで利用できるようにしていると考えられます。
∴b=セッション管理サーバ
広告
設問2
図1及び図2について,(1),(2)に答えよ。
- 図1の構成で,本社のNPC及び営業所1のNPCそれぞれに設定されているデフォルトゲートウェイの機器を,それぞれ図1中の名称で答えよ。
- 図2の構成で,営業所1内のTC向けにDHCPリレーエージェントを稼働させる機器を,図2中の名称で答えよ。また,DHCPリレーエージェントが必要になる理由を,40字以内で述べよ。
解答例・解答の要点
- 本社のNPC:L3SW1
営業所1のNPC:L3SW2
- 機器名:L3SW2
理由:DHCPサーバは,営業所1のTCと異なったセグメントに設置されているから (36文字)
解説
- デフォルトゲートウェイは、同一リンク内(ルータやL3SWを超えない範囲=ブロードキャストドメイン)に存在しない機器と通信を行うときに、外部ネットワークとの接続点となる機器のことです。ある端末が外部セグメントの端末と通信を行う場合には、一旦デフォルトゲートウェイにデータを送信することで経路選択と中継を依頼します。なぜそうなっているかというと、通信相手のMACアドレスを得るためのARPリクエストはブロードキャスト通信で行われるため、ブロードキャストドメイン外に届かないからです。
図1「現在のL社のネットワーク構成」にはIPアドレスの記載がありませんが、注記2の「本社のルータ1,DMZ,サーバ室,オフィスエリア,営業所のルータ及び事務室は,異なるセグメントである」を参考にして、L社ネットワークをセグメントに分けると以下のようになります。本社のNPCは本社オフィスエリアのセグメントに属しているので、他のセグメントとの境界に位置するL3SW1がデフォルトゲートウェイになります。営業所1のNPCは営業所1事務室のセグメントに属しているので、他のセグメントとの境界に位置するL3SW2がデフォルトゲートウェイになります。
∴本社のNPC=L3SW1
営業所1のNPC=L3SW2 - DHCPによるIPアドレスその他ネットワーク情報の割当ては、DHCPクライアントとDHCPサーバとの間で、DHCPDISCOVER、DHCPOFFER、DHCPREQUEST、DHCPACKの4つのメッセージをやり取りして行います。ざっくりと流れを確認しておきましょう。
- IPアドレス割り当てを要求するDHCPクライアント(以下、クライアント)は、ネットワーク内のDHCPサーバ(以下、サーバ)を見つけるためDHCP発見パケットをブロードキャストで送信する(DHCPDISCOVER)。
- DHCP発見パケットを受け取ったサーバは、使用可能なIPアドレスとサブネットマスクなどのネットワーク設定をクライアントに通知する(DHCPOFFER)。
- クライアントは通知されたネットワーク設定を使用することをサーバにブロードキャストで通知する(DHCPREQUEST)。
- サーバは、配布するIPアドレスが未使用であることを確認し、クライアントに確認応答パケットを送信する(DHCP ACK)、この際IPアドレスが割当て不能だった場合はその旨をクライアントの通知する(DHCPNACK)。
この手順におけるDHCPDISCOVERとDHCPREQUESTメッセージがブロードキャストで行われる関係で、DHCPクライアントとDHCPサーバが異なるセグメントに設置されているときにはDHCPによるネットワーク情報の割当てが正しく動作しません。
この問題を解決するためにルータやL3SWで稼働させるのが、DHCPリレーエージェントです。DHCPリレーエージェントは、異なるネットワークセグメントに存在する(ブロードキャストが届かない)DHCPクライアントとDHCPサーバとの間の通信を取り持つことでDHCPを機能させるものです。本問のようにTCとDHCPサーバが別のセグメントに設置されている場合には、DHCPリレーエージェントを利用する必要があります。設問では営業所1のTCのためにDHCPリレーエージェントを稼働させる機器が問われていますから、営業所1事務所のセグメントのデフォルトゲートウェイである「L3SW2」が適切となります。理由としては、前述の通り「営業所1のTCとDHCPサーバが異なるセグメントに設置されているから」です。
∴機器名=L3SW2
理由=DHCPサーバは,営業所1のTCと異なったセグメントに設置されているから
広告
設問3
〔通信トラフィックの変化内容の検討〕について,(1),(2)に答えよ。
- VDI導入後に,広域イーサ網を経由しなくなる通信の種類を表1中の項番で,新たに広域イーサ網を経由する通信の種類を表2中の項番で,それぞれ全て答えよ。また,VDI導入後の,図2中のL3SW1から広域イーサ網に向けた通信について,最も混雑した時間帯の平均通信帯域を,Mビット/秒で答えよ。
- 表2中の項番5及び7の通信は,本社のルータ1を経由して行われるが,項番7の通信の平均通信帯域(36Mビット/秒)は,項番5の通信の平均通信帯域(75Mビット/秒)に含まれない。その理由を30字以内で述べよ。
解答例・解答の要点
- 経由しなくなる通信:1,2
新たに経由する通信:4,6
平均通信帯域:35
- インターネット利用通信と逆方向のトラフィックだから (25文字)
解説
- 〔経由しなくなる通信について〕
表1の通信はすべてNPCがかかわる通信ですから、NPCがTCに置き換わるVDI導入後は全ての通信が消えてなくなると言えます。ただし、設問では「VDI導入後に,広域イーサ網を経由しなくなる通信」という条件がありますから、導入前に広域イーサ網を経由していた通信のみを答えることになります。
図1のネットワーク図を参考に5つの通信の経路を考えると次のようになります。- 業務サーバ利用通信
- 業務サーバは本社NPC・営業所NPCの両方から利用されます。業務サーバは本社に設置されており、営業所NPCから業務サーバを利用する際には広域イーサ網を経由するので、導入前に広域イーサ網を経由していた通信に該当します。
- FS1利用通信
- FS1は本社NPC・営業所NPCの両方から利用されます。FS1は本社に設置されており、営業所NPCからFS1を利用する際には広域イーサ網を経由するので、導入前に広域イーサ網を経由していた通信に該当します。
- 営業所FS利用通信
- 営業所FSは、その営業所内からのみ利用されます。よって、広域イーサ網を経由しません。
- プリント通信
- 本社NPCは本社オフィスエリアのPRを利用し、営業所NPCは自営業所のPRを利用します。よって、広域イーサ網を経由しません。
- インターネット利用通信
- 本社NPCは本社ルータ1経由でインターネットに接続し、営業所NPCは自営業所のルータ経由でインターネットに接続します。よって、広域イーサ網を経由しません。
∴1,2
〔新たに経由する通信について〕
表2の各通信について検討します。- 業務サーバ利用通信
- 仮想PCと業務サーバはいずれも本社ネットワークに設置されるので、広域イーサ網を経由しません。
- FS1利用通信
- 仮想PCとFS1はいずれも本社ネットワークに設置されるので、広域イーサ網を経由しません。
- 営業所FS利用通信
- 仮想PCと各営業所のFSはいずれも本社ネットワークに設置されるので、広域イーサ網を経由しません。
- プリント通信
- 本社TCが使う仮想PCは本社オフィスエリアのPRを利用するので広域イーサ網を経由しませんが、営業所TCが使う仮想PCは各営業所のPRを利用します。本社に設置されている仮想PCと営業所のPRとの間で印刷指示や印刷データの通信が必要となるので、広域イーサ網を経由します。
- インターネット利用通信
- 本文中に「営業所からのインターネットアクセスを本社経由に変更する」とあるので、営業所TCが使う仮想PCも本社のルータ1経由でインターネットに接続することがわかります。よって、広域イーサ網を経由しません。
- 画面転送通信(社内)
- VDI導入後は本社に設置している仮想PCから営業所TCに画面情報を転送しなければならないので、広域イーサ網を経由します。
- 画面転送通信(社外)
- 外出先TCにはインターネットを経由して画面情報を転送するので、広域イーサ網を経由しません。
〔平均通信帯域について〕
広域イーサ網の経由する通信のうち、L3SW1から広域イーサ網に向けた通信ということは、本社から営業所に向けて行われる通信ですから、前述の検討通り表2中で4と6の通信が該当します。"4.プリント通信"で全営業所仮想PCが使う帯域が20Mビット秒、"6.画面転送通信(社内)"で全営業所仮想PCが使う帯域が15Mビット秒ですから、平均通信帯域は2つの合計である「35Mビット/秒」となります。
∴35 - L社は本社のインターネット回線(図1中のa)としてプロバイダとの間で100Mビット/秒の帯域を契約しているので、上り下り各100Mビットの通信が保証されていることになります。表2中の"5.インターネット通信"と"7.画面転送通信"はともにインターネット通信で、それぞれ75Mビット/秒、36Mビット/秒ですから合計すると契約帯域である100Mビット/秒を超えています。しかし、本文中では本社のインターネットへの接続回線の見直しは不要と判断されているので、それはなぜかという点に気付けるかどうかがポイントとなります。
表2の注記2には以下の記述があります。
「各通信とも双方向で行われるが,平均通信帯域の欄は,通信帯域が大きい通信方向の値を示している。」
インターネット利用通信、いわゆるWebサイトの閲覧等では圧倒的に下りの(インターネットから内部LANに向けた)通信が多い一方、"7.画面転送通信"は外出先TCに向けて画面情報をリアルタイムで送信し続けるので、圧倒的に上りの(内部LANからインターネットに向けた)通信が多くなります。つまり、"5.インターネット通信"は下りの平均通信帯域を示しているのに対して、"7.画面転送通信"では上りの平均通信帯域を示していることになります。
各通信とも双方向であり、"5.インターネット通信"と"7.画面転送通信"は逆方向の通信ですから、必要な平均通信帯域の予測値を2つ帯域の合計にしてしまうのは不適切です。これが、項番7の通信の平均通信帯域を、項番5の通信の平均通信帯域に含めない理由となります。
∴インターネット利用通信と逆方向のトラフィックだから
※この設問はヒントが少なく、また問われていることも明確でないので一意な回答を導くのは難しいかもしれません。
広告
