令和7年秋期試験午後問題 問5

問5 ネットワーク

⇱問題PDF
クラウドサービスへの移行に関する次の記述を読んで,設問に答えよ。
広告
 A社は,本社と一つの営業所をもつオフィス機器の販売会社である。本社で,Webサーバ,電子メール(以下,メールという)サーバ,業務サーバなどを運用している。
 このたび,A社では,サーバの運用管理及びセキュリティ対策の負荷軽減を図るために,社内で運用するサーバを,B社のクラウドサービスでA社が占有して利用できる環境(以下,BCL-Aという)に移行することを決定した。情報システム部のC主任が,サーバ移行に伴うネットワーク構成の設計を担当することになった。

〔現在のネットワーク構成と運用形態〕
 現在のA社のネットワーク構成を図1に示す。
pm05_1.png
 現在のA社のネットワークの構成及び運用形態を次に示す。
  • 本社及び営業所のPC(以下,社内PCという)には,L3SW1上で稼働するDHCPサーバから配付されるIPアドレス,そのリース期間及びサブネットマスク,①デフォルトゲートウェイのIPアドレス並びにDNSサーバのIPアドレスを設定している。
  • メールサーバは,本社及び営業所の従業員によるメール送受信に利用される。
  • メール中継サーバは,メールサーバから送信された社外宛てのメールを社外のメールサーバに中継し,社外のメールサーバからA社宛てに送信されたメールをメールサーバに中継する。
  • ②メール中継サーバでは,スパムメールの踏み台になることを避けるために,オープンリレー防止策を実施している。
  • 業務サーバは,社内PCとだけ通信する。
  • 社内PCは,内部DNSサーバで名前解決を行う。
  • 内部DNSサーバは,A社.lanのゾーン情報を管理し,管理外のドメインのホストの名前解決要求を受信したときは,名前解決要求をキャッシュDNSサーバに転送する。
  • 外部DNSサーバは,A社.jpのゾーン情報を管理する。
  • 業務サーバ及びDMZのWebサーバは,HTTP Over TLSによるアクセスだけを受け付ける。
  • 社内PCは,インターネット上のWebサイト及びDMZのWebサーバに,DMZのプロキシサーバ経由でアクセスする。
 FWに設定されている,インターネットとDMZとの間の通信を許可するルールを表1に示す。
pm05_2.png
〔BCL-Aに移行後の構成の設計〕
 C主任は,サーバをBCL-Aに移行した後の構成を,次の3点を前提として設計した。
  • 社内PCを使用した業務の運用方法及びPCの操作は変更しない。
  • 移行作業時の障害によって業務が全面停止するのを避けるために,今回の移行では業務サーバを本社に残す。
  • BCL-Aに移行後の各サーバのインターネット向けのIPアドレスには,移行前のDMZの各サーバと同じグローバルIPアドレスを設定する。
 サーバをBCL-Aに移行した後のネットワーク構成を図2に示す。
pm05_3.png
 サーバをBCL-Aに移行した後の各種設定,動作及び構成を次に示す。
  • BCL-Aには,公開セグメントと内部セグメントを設定する。
  • 公開セグメント及び内部セグメントには,それぞれ経路表を設定する。経路表には,サーバ同士の間及びサーバとインターネットとの間で移行前と同様な通信を行うことができる経路情報を登録する。
  • BCL-Aのドメイン名は,A社内向けドメインのA社.lanとし,ネットワークアドレスは 172.20.0.0/20 を設定する。この 172.20.0.0/20 をサブネットに分割して,公開セグメントに 172.20.1.0/24 を,内部セグメントに 172.20.2.0/24 を設定する。
  • A社.lanのゾーン情報は内部DNSサーバで管理する。
  • 公開セグメントのサーバは,IGW経由でインターネットと通信する。IGWは,NATによって,公開セグメントの各サーバに設定された 172.20.1.11~172.20.1.14 をインターネットに公開する各サーバの対応するIPアドレスである 200.α.β.1~200.α.β.3,200.α.β.5 に変換する。
  • 公開セグメントのインターネット向けドメイン名は,図1中のDMZと同様のA社.jpとし,A社.jpの各サーバには,図1と同じIPアドレスを設定する。
  • A社.jpのゾーン情報はインターネット向けDNSサービスで管理する。
  • ③インターネットから公開セグメントのサーバ宛てに送信されたパケットは,IGWが公開セグメントのサーバに中継する
  • 本社は,IPsecルータ2及びIPsecルータ1を経由してBCL-Aと接続する。
  • ④IPsecルータ2は,BCL-A宛てのパケットを,IPsecルータ1に転送する
  • ⑤L3SW0とL3SW1の経路表及びDHCPサーバの配付情報を変更する。
 C主任は,設計内容を上司のD課長に説明し,移行方法が承認された。
広告

設問1

〔現在のネットワーク構成と運用形態〕について答えよ。
  • 本文中の下線①について,営業所のPCに設定するデフォルトゲートウェイのIPアドレスをもつ機器を,図1中の名称で答えよ。
  • 本文中の下線②について,メール中継サーバで防止すべき処理を,40字以内で答えよ。
  • 表1中のacに入れる適切な機器名を,図1中の名称で答えよ。

解答例・解答の要点

  • L3SW0
  • 社外のメールサーバから送信された社外宛てのメールを中継する処理 (31文字)
  • a:Webサーバ
    b:外部DNSサーバ
    c:プロキシサーバ

解説

  • デフォルトゲートウェイは、同一セグメント(ルータ/L3SWを超えない範囲=ブロードキャストドメイン)外の機器と通信するときに、外部ネットワークとの接続点となる機器のことです。

    端末が別の機器と通信しようとする際は、宛先IPアドレスをもとにARP要求を行い、通信相手のMACアドレスを取得したうえで、そのMACアドレス宛てにフレームを送ります。しかし、ARP要求はブロードキャストで送信されるため、到達範囲は同一セグメントに限られます。宛先IPアドレスが自セグメント外の場合、MACアドレスの取得ができず、宛先と直接の通信ができません。このため、デフォルトゲートウェイに中継を依頼することになります。

    図1を見ると営業所LANは 192.168.1.0/24 であり、同一セグメントはこの範囲に限られます。本社内部LANやインターネットなど別のネットワークと通信を行う場合には、営業所LANの出口に位置するL3SW0に中継を依頼することになります。したがって、営業所のPCにはデフォルトゲートウェイとして「L3SW0」のIPアドレスを設定します。

    ∴L3SW0

  • オープンリレーとは、認証や送信元制限の不足により、第三者がそのメール中継サーバを利用して外部宛てのメールを送信できてしまう状態を指します。第三者中継とも呼ばれます。このような中継サーバは、スパムメール送信の踏み台にされるおそれがあります。

    本文では「メール中継サーバは,本社のメールサーバが送信する社外宛てメールを社外のメールサーバへ中継し,社外のメールサーバがA社宛てに送信したメールを本社のメールサーバへ中継する」と説明されています。この記述から、メール中継サーバが処理すべきメールは「社内から社外へ送るメール」及び「社外から社内に宛てたメール」であることがわかります。

    一方、送信元と宛先の双方が社外であるメールは、A社とは無関係なので中継する必要はありません。オープンリレーは、このような「社外→社外」のメールまで中継してしまう設定によって発生します。したがって、社外のメールサーバから送信された社外宛てのメールを中継しないことが、オープンリレー防止策として重要になります。

    ∴社外のメールサーバから送信された社外宛てのメールを中継する処理

  • aについて
    空欄aの行はプロトコル/ポート番号がTCP/443であることから、HTTPS通信が対象だと判断できます。このルールはインターネットからDMZに向けた通信に関するものなので、ここで許可すべきは「インターネット→DMZ」のHTTPS通信です。

    A社では「A社.jp」ドメインでWebサーバを運用しており、本文には「(業務サーバ及び)DMZのWebサーバは,HTTP Over TLSによるアクセスだけを受け付ける」と説明されています。外部の利用者がWebサーバにアクセスできるようにするためには、インターネットからDMZ上のWebサーバへのHTTPS通信をFWで許可する必要があります。したがって、空欄aには「Webサーバ」が当てはまります。

    a=Webサーバ

    bについて〕
    空欄bの行はプロトコル/ポート番号が53であることから、DNS通信が対象だと判断できます。このルールも空欄aと同じく、インターネットからDMZに向けた通信に関するものなので、ここで許可すべきは「インターネット→DMZ」のDNS通信です。

    本文には「外部DNSサーバは,A社.jpのゾーン情報を管理する」とあり、この記述から、外部DNSサーバはA社.jpの権威DNSサーバであるとわかります。権威DNSサーバは、キャッシュDNSサーバ等から管理対象ドメインに関する問合せを受け付け、保持しているゾーン情報に基づいて応答する役割をもちます。

    外部の利用者がA社.jpにアクセスする際には、ドメイン名をIPアドレスに変換する名前解決が必要です。名前解決の成立のためには、インターネットからDMZ上の外部DNSサーバへのDNS通信をFWで許可する必要があります。したがって、空欄bには「外部DNSサーバ」が当てはまります。

    b=外部DNSサーバ

    cについて〕
    空欄cの行はプロトコル/ポート番号がTCP/80及びTCP/443であることから、HTTP及びHTTPS通信が対象だと判断できます。このルールはDMZからインターネットに向けた通信に関するものなので、ここで許可すべきは「DMZ→インターネット」のHTTP(S)通信です。

    本文には「社内PCは,インターネット上のWebサイト及びDMZのWebサーバに,DMZのプロキシサーバ経由でアクセスする」とあり、この記述から、社内PCのインターネットアクセスはプロキシサーバを経由して行われることがわかります。プロキシサーバは社内PCからのHTTP(S)リクエストを受取り、代理する形で(自身を送信元として)インターネットアクセスを行うため、プロキシサーバからインターネットへのHTTP(S)通信をFWで許可する必要があります。したがって、空欄cには「プロキシサーバ」が当てはまります。

    c=プロキシサーバ
広告

設問2

〔BCL-Aに移行後の構成の設計〕について答えよ。
  • 本文中の下線③について,A社宛てのSMTPパケットがIGWを通過するとき,IGW通過前と通過後の宛先IPアドレスを,それぞれ答えよ。
  • 本文中の下線④について,IPsecルータ1がBCL-Aのサーバに転送するパケットの送信元のネットワークアドレスを,図2中の表記で全て答えよ。
  • 本文中の下線⑤について,L3SW0及びL3SW1の経路表中の,社内PCを送信元とする経路の変更は,どのサーバがBCL-Aに移行することによって発生するか。図2中の名称で全て答えよ。

解答例・解答の要点

  • 通過前:200.α.β.2
    通過後:172.20.1.14
  • 192.168.1.0/24,172.16.128.0/20
  • プロキシサーバ,メールサーバ,内部DNSサーバ

解説

  • 下線③では、「インターネットから公開セグメントのサーバ宛てに送信されたパケットは,IGWが公開セグメントのサーバに中継する」とあります。設問は、A社宛てのSMTPパケット(メール送信)がIGWを通過する際に、通過前後で宛先IPアドレスがどうなるかを具体的に問うものです。A社宛てのメールを受け付けるサーバはメール中継サーバです。

    本文には「IGWは,NATによって,公開セグメントの各サーバに設定された 172.20.1.11~172.20.1.14 をインターネットに公開する各サーバの対応するIPアドレスである 200.α.β.1~200.α.β.3,200.α.β.5 に変換する」とあります。つまり、インターネットから公開セグメント内のサーバへ送られたパケットは、IGW通過時に宛先IPがグローバルIPアドレスからプライベートIPアドレスへ変換されます。

    IGW通過前は、グローバルIPアドレスが宛先IPに設定されています。本文中の「公開セグメントのインターネット向けドメイン名は,図1中のDMZと同様のA社.jpとし,A社.jpの各サーバには,図1と同じIPアドレスを設定する」とあるため、図1のDMZのIPアドレス表を確認すると、メール中継サーバのグローバルIPアドレス 200.α.β.2 が該当します。

    IGW通過後は、NATにより宛先IPが公開セグメント内のメール中継サーバのプライベートIPアドレスに変換されています。図2の公開セグメントのIPアドレス表より、メール中継サーバのプライベートIPアドレス 172.20.1.14 が該当します。

    以上より、IGW通過前は 200.α.β.2、IGW通過後は 172.20.1.14 となります。

    ∴通過前=200.α.β.2
     通過後=172.20.1.14

  • 下線④では、IPsecルータ2がBCL-A宛てのパケットをIPsecルータ1に転送するとあります。これは、従来は本社内にあったA社.lan及びA社.jpのネットワークの移設に伴い、本社及び営業所の社内PCから、引き続きそれらにアクセスできるようにする必要があるためです。

    図2より、IPsecルータ2の手前側には次の3つのネットワークセグメントがあります。
    1. 本社の社内PCセグメント(172.16.128.0/20)
    2. 営業所の社内PCセグメント(192.168.1.0/24)
    3. 業務サーバが属するセグメント(172.16.0.0/24)
    このうち、BCL-Aへ転送すべき送信元ネットワークは①172.16.128.0/20と②192.168.1.0/24の2つです。

    移行後も「社内PCを使用した業務の運用方法及びPCの操作は変更しない」という前提があるため、社内PCは従来と同じように内部DNSサーバ、メールサーバ、プロキシサーバに通信できなければなりません。したがって、社内PCセグメントを送信元とするパケットはBCL-Aへ転送する必要があります。一方、本文に「業務サーバは,社内PCとだけ通信する」とあり、業務サーバがBCL-A側のサーバ群と通信することはないため転送対象には含めません。

    ∴192.168.1.0/24,172.16.128.0/20

  • 設問は社内PCを送信元とする経路の変更が、どのサーバの移行によって発生するかを問うています。そのため、これまでL3SW0及びL3SW1を経由していた通信であり、かつ社内PCが送信元となるものに着目します。これに該当するには以下の4つです。
    • 社内PC - メールサーバ
    • 社内PC - 内部DNSサーバ
    • 社内PC - 業務サーバ
    • 社内PC - プロキシサーバ
    このうち業務サーバは、今回の移行では本社に残すので、移行に伴う経路変更の原因にはなりません。一方、メールサーバ、内部DNSサーバ、プロキシサーバはBCL-Aへ移設され、移行後は図2のA社.lanである 172.20.0.0/20 配下のIPアドレスになります。

    移行前は、メールサーバと内部DNSサーバには 172.16.0.0/24 のIPアドレス、プロキシサーバには 200.α.β.3 が割り当てられており、L3SWはこのIPアドレスをもとに経路制御していました。移行後はIPアドレスが変わりますから、経路情報を変更する必要があります。したがって、該当するサーバは「プロキシサーバ、メールサーバ、内部DNSサーバ」の3つです。

    なお、L3SW1を経由するものとして、内部DNSサーバとキャッシュDNSサーバ、メールサーバとメール中継サーバの通信があり、これらについても経路の更新(不要となる経路の削除)が必要ですが、設問は社内PCが送信元となる通信だけに限定しているため、含めてはいけません。

    ∴プロキシサーバ,メールサーバ,内部DNSサーバ
広告
模範解答
広告

前の問題次の問題


Pagetop