平成31年春期試験午後問題 問5

問5 ネットワーク

⇱問題PDF
無線LANの導入に関する次の記述を読んで,設問1~3に答えよ。
 E社は,社員数が150名のコンピュータ関連製品の販売会社であり,オフィスビルの2フロアを使用している。社員は,オフィス内でノートPC(以下,NPCという)を有線LANに接続して,業務システムの利用,Web閲覧などを行っている。社員によるインターネットの利用は,DMZのプロキシサーバ経由で行われている。現在のE社LANの構成を図1に示す。
 E社の各部署にはVLANが設定されており,NPCからは,所属部署のサーバ(以下,部署サーバという)及び共用サーバが利用できる。DHCPサーバからIPアドレスなどのネットワーク情報をNPCに設定するために,レイヤ3スイッチ(以下,L3SWという)でDHCPaを穣働させている。
pm05_1.png
 総務,経理,情報システムなどの部署が属する管理部門のフロアには,オフィスエリアのほかに,社外の人が出入りできる応接室,会議室などの来訪エリアがある。E社を訪問する取引先の営業員(以下,来訪者という)の多くは,NPCを携帯している。一部の来訪者は,モバイルWi-Fiルータを持参し,携帯電話網経由でインターネットを利用することもあるが,多くの来訪者から,来訪エリアでインターネットを利用できる環境を提供してほしいとの要望が挙がっていた。また,社員からは,来訪エリアでもE社LANを利用できるようにしてほしいとの要望があった。そこで,E社では,来訪エリアへの無線LANの導入を決めた。
 情報システム課のF課長は,部下のGさんに,無線LANの構成と運用方法について検討するよう指示した。F課長の指示を受けたGさんは,最初に,無線LANの構成を検討した。

〔無線LANの構成の検討〕
 Gさんは,来訪者が無線LAN経由でインターネットを利用でき,社員が無線LAN経由でE社LANに接続して有線LANと同様の業務を行うことができる,来訪エリアの無線LANの構成を検討した。
 無線LANで使用する周波数帯は,高速通信が可能な IEEE802.11ac と IEEE802.11n の両方で使用できるbGHz帯を採用する。データ暗号化方式には,c鍵暗号方式のAES(Advanced Encryption Standard)が利用可能なWPA2を採用する。来訪者による社員へのなりすまし対策には,IEEEdを採用し,クライアント証明書を使った認証を行う。この認証を行うために,RADIUSサーバを導入する。来訪者の認証は,RADIUSサーバを必要としない,簡便なPSK(Pre-Shared Key)方式で行う。
 無線LANアクセスポイント(以下,APという)は,来訪エリアの天井に設置する。APはe対応の製品を選定して,APのための電源工事を不要にする。
 これらの検討を基に,Gさんは無線LANの構成を設計した。来訪エリアへのAPの設置構成案を図2に,E社LANへの無線LANの接続構成案を図3に示す。
pm05_2.png
pm05_3.png
 図2中の4台のAPには,図3中の新規導入機器のL2SW8からeで電力供給する。APには,社員向けと来訪者向けの2種類のESSIDを設定する。図3中の来訪エリアにおいて,APに接続した来訪者のNPCと社員のNPCは,それぞれ異なるVLANに所属させ,利用できるネットワークを分離する。
 社員のNPCは,APに接続するとRADIUSサーバでクライアント認証が行われ,認証後にVLAN情報がRADIUSサーバからAPに送信される。APに実装されたダイナミックVLAN機能によって,当該NPCの通信パケットに対して,APでVLAN10~50の部署向けのVLANが付与される。一方,来訪者のNPCは,APに接続するとPSK認証が行われる。①認証後に,NPCの通信パケットに対して,APで来訪者向けのVLAN100が付与される
 社員と来訪者が利用できるネットワークを分離するために,図3中の②L2SW8のポートに,VLAN10~50又はVLAN100を設定する。ルータ2では,DHCPサーバ機能を稼働させる。
 次に,Gさんは,無線LANの運用について検討した。

〔無線LANの運用〕
 RADIUSサーバは,認証局機能をもつ製品を導入して,社員のNPC向けのクライアント証明書とサーバ証明書を発行する。クライアント証明書は,無線LANの利用を希望する社員に配布する。来訪者のNPC向けのPSK認証に必要な事前共有鍵(パスフレーズ)は,毎日変更し,無線LANの利用を希望する来訪者に対して,来訪者向けESSIDと一緒に伝える。
 来訪者のNPCの通信パケットは,APでVLAN IDが付与されるとルータ2と通信できるようになり,ルータ2のDHCPサーバ機能によってNPCにネットワーク情報が設定され,インターネットを利用できるようになる。社員のNPCの通信パケットは,APでVLAN IDが付与されるとサーバセグメントに設置されているDHCPサーバと通信できるようになり,DHCPサーバによってネットワーク情報が設定され,E社LANを利用できるようになる。
 Gさんは,検討結果を基に,無線LANの導入構成と運用方法を設計書にまとめ,F課長に提出した。設計内容はF課長に承認され,実施されることになった。

設問1

本文中のaeに入れる最も適切な字句を解答群の中から選び,記号で答えよ。
a,b,c,d,e に関する解答群
  • 2.4
  • 5
  • 802.11a
  • 802.1X
  • PoE
  • PPPoE
  • 共通
  • クライアント
  • 公開
  • パススルー
  • リレーエージェント

解答例・解答の要点

a:
b:
c:
d:
e:

解説

aについて〕
DHCPにおけるIPアドレス割り当てでは、クライアント端末のIPアドレスが未定である関係でブロードキャストパケットを使用してDHCPサーバとの通信を行います。
企業や学内などの規模の大きなネットワークでは複数のセグメントをルータで接続しますが、これらのネットワークを1つのDHCPサーバで管理しようとすると、ルータがブロードキャストパケットを中継しない(ルータの外側はブロードキャストドメイン外)ためDHCPクライアントとDHCPサーバが通信できない問題が生じます。

これを解決するのがDHCPリレーエージェントです。一般的にはルータ上でリレーエージェント機能を動作させます。

リレーエージェントを用いてDHCPメッセージをやり取りする流れは以下のようになります。
  1. IPアドレスの割り当てを要求するDHCPクライアントは、DHCPメッセージをブロードキャストする。
  2. リレーエージェントはDHCPメッセージを受信すると、その内容を取り出しユニキャストでDHCPサーバに転送する。
  3. DHCPサーバは、それを受信するとユニキャストでリレーエージェントに送信する。
  4. リレーエージェントはDHCPメッセージを受信すると、その内容を取り出し、ユニキャストまたはブロードキャストでDHCPクライアントに転送する。
pm05_4.png
E社のDHCPサーバはサーバセグメントに設置されており、NPCとは異なるブロードキャストドメインに属するため、DHCPサーバからIPアドレスなどのネットワーク情報をNPCに設定するためには、L3SW上でDHCPリレーエージェントを稼働させる必要があります。

a=サ:リレーエージェント

bについて〕
単位が"GHz"ですので、2.4または5が入るとわかります。各無線LAN規格の概要は次の通りです。
pm05_5.png
"IEEE802.11n"と"IEEE802.11ac"の両方で使用できる周波数帯ですので、bには5GHzが入ります。

b=イ:5

cについて〕
AES暗号方式について問われています。AES(Advanced Encryption Standard)は、DESの後継として米国のNISTにより制定された共通鍵暗号方式です。
WPA2では、暗号化アルゴリズムをWEP・WPAで使用されていた脆弱性のある「RC4」からNIST標準の「AES」に変更し、解読攻撃に対する耐性が高められています。

c=キ:共通

dについて〕
WPA2では、利用者認証にPSK認証(パーソナルモード)とIEEE802.1X認証(エンタープライズモード)を利用できます。※PSK(Pre-Shared Key)…事前共有鍵

IEEE802.1Xは、LAN内のユーザ認証の方式を定めたIEEE規格で、正当な端末以外がLANに参加することを防ぐ技術です。当初は有線LAN向けとして策定されていましたが、その後にEAP(Extensible Authentication Protocol)として実装され、現在では無線LAN環境(IEEE802.11)における標準の認証機構として利用されています。TLS(クライアント証明書)、S/key、MD5によるチャレンジレスポンスなど様々な認証方式をサポートしています。

本文内の、WPA2の認証方式である旨の記述、IEEE規格の認証方式であること、クライアント証明書を使うことなどから、IEEE802.1Xとわかります。

d=エ:802.1X

eについて〕
本文中の「e対応の製品を選定して,…電源工事を不要にする」と「eで電力供給する」から、eにはAPへの電源供給に関する語句が入るとわかります。

PoE(Power over Ethernet)は、イーサネットのLANケーブルを通じて電力を供給する技術です。屋外に設置されるネットワークカメラや、天井や壁に設置される無線LANアクセスポイントのように、電源コンセントがない又は電源配線が難しい場合に利用されます。利用にはPoEに対応した機器が必要です。PoEの上位互換で、電源供給能力を大きくしたPoE+という規格もあります。
英字の並びだけ見ればPPPoEも似ていますが、こちらはPoint-to-Point Protocol over Ethernetの略で、PPPプロトコルをEthernet上で利用するためのプロトコルですので不適切です。

e=オ:PoE

設問2

〔無線LANの構成の検討〕について,(1)~(3)に答えよ。
  • 図2中のセルの状態で,来訪エリア内で電波干渉を発生させないために,APの周波数チャネルをどのように設定すべきか。30字以内で述べよ。
  • 本文中の下線①を実現するためのVLANの設定方法を解答群の中から選び,記号で答えよ。
  • 本文中の下線②について,一つのVLANを設定する箇所と複数のVLANを設定する箇所を,それぞれ図3中のa~dの記号で全て答えよ。
解答群
  • ESSIDに対応してVLANを設定する。
  • IPアドレスに対応してVLANを設定する。
  • MACアドレスに対応してVLANを設定する。

解答例・解答の要点

  • 4台のAPに,それぞれ異なる周波数チャネルを設定する (26文字)

  • 一つのVLANを設定する箇所:a
    複数のVLANを設定する箇所:b,c,d

解説

  • 図2を見ると、来訪エリア全体を4台のAPでカバーする配置になっており、各APのカバーする範囲は一部が重なり合っています。

    無線LANネットワークでは、近接するネットワークとの電波干渉を避けるために、使用する周波数帯をネットワークごとに微妙にずらすことが可能になっています。このときに設定する値をチャネル(チャンネル)といいます。
    5GHz帯を使用するIEEE802.11acでは19チャネルが使用可能です。5GHz帯では、各チャネルの周波数帯は完全に独立しているので、2.4GHz帯のように近接するチャネルを設定しても電波干渉は起きません。しかし、近くの無線LANネットワークで同じチャネルが使用されていれば、やはり電波干渉の発生により通信が不安定になる可能性があります。

    4台のAPはカバーする範囲が被っているので、電波干渉を避けるためにそれぞれ異なるチャネルを設定する必要があります。

    ∴4台のAPに,それぞれ異なる周波数チャネルを設定する

  • VLANの割り当てに際して、来訪者のNPCと社員のNPCを何らかの情報に基づいて区分する必要があります。本文中に「APには,社員向けと来訪者向けの2種類のESSIDを設定する」と記載があり、AP接続時のESSIDの情報をもとに来訪者のNPCと社員のNPCを区別可能であるとわかります。
    APでは、来訪者用ESSIDで接続したNPCに対してVLAN100を設定することになります。

    ∴ア:ESSIDに対応してVLANを設定する。

  • NPCが来訪エリアのAPで認証を受けると、それ以降はAPを通過する通信パケットに対して次のVLANが付与されます。
    社員用NPC
    VLAN10~50の中から、RADIUSサーバのVLAN情報をもとに決定されたVLAN
    来訪者NPC
    VLAN100
    本文中から、VLAN設定後の来訪者NPCと社員NPCの通信範囲に関する記述を探すと、以下の記述が見つかります。

    [来訪者NPC]
    ・ルータ2と通信できるようになる
    ・ルータ2のDHCP機能でネットワーク情報の設定を受ける
    ・インターネットを利用できるようになる

    [社員NPC]
    ・DHCPサーバと通信してネットワーク情報の設定を受ける
    ・E社LANを利用可能になる

    L2SW8のポートごとに設定するVLANを考えていきます。

    [a]
    来訪者NPCがルータ2のDHCP機能を利用するためには、aにVLAN100を設定する必要があります。一方、社員用NPCはE社LAN内のDHCPサーバでネットワーク情報の設定を受け、プロキシサーバを介してインターネットに接続するので、aにVLAN10~50を設定する必要はありません。

    [b]
    社員用NPCはE社LAN上のDHCPサーバと通信する必要があります。さらにE社LANも利用できるようにする必要があるため、E社LAN側のbにはVLAN10~50を設定することになります。一方、来訪者NPCのE社への接続を防止するため、bにはVLAN100を設定してはいけません。

    [c,d]
    通信パケットのVLAN情報はAPで設定されるため、L2SW8のcとdは、VLAN10~50及びVLAN100のどちらの通信も通すようになっていなければなりません。

    以上より、各ポートに設定されるVLANは、a=VLAN100、b=VLAN10~50、cとd=VLAN10~50及びVLAN100 となります。1つのVLANが設定される箇所はa、複数のVLANを設定する箇所はb,c,dです。

    ∴一つのVLANを設定する箇所:a
     複数のVLANを設定する箇所:b,c,d

設問3

〔無線LANの運用〕について,社員及び来訪者のNPCに設定されるデフォルトゲートウェイの機器を,それぞれ図3中の名称で答えよ。

解答例・解答の要点

社員のNPC:L3SW
来訪者のNPC:ルータ2

解説

デフォルトゲートウェイは、プライベートネットワークに存在しない機器と通信を行うときに、外部ネットワークとの接続点となる機器のことです。ここでいうプライベートネットワークとは、厳密にいうとARPリクエストに用いるブロードキャストフレームが到達可能なネットワークセグメントです。つまり、ブロードキャストドメインの境界に位置するルータ又はL3SWがデフォルトゲートウェイになります。

[社員のNPC]
仮に、図3の左のNPCに社員用のVLAN50が設定されたとすると、VLAN50のブロードキャストドメインの範囲は次のようになります。
pm05_6.png
L3SWはL2SWにルータ機能を加えた機器です。スイッチではありますが、内部にルータ機能を備えていて異なるVLAN同士の通信を遮断します。このため、別のネットワークセグメントと通信を行う際には宛先にIPアドレスを指定して内部ルータに中継を依頼することになります。つまり、来訪エリア内の社員NPCがサーバセグメント・DMZ・他のVLANと通信を行う際には、L3SWに中継を依頼することになります。
pm05_7.png
以上より、社員のNPCのデフォルトゲートウェイにはL3SWが設定されます。

[来訪者のNPC]
来訪者NPCのVLAN100のブロードキャストドメインは次の範囲です。
pm05_8.png
VLAN100では、外部ネットワークとの境界に位置する機器はルータ2になります。来訪者NPCはルータ2を介してインターネットを利用します。よって、来訪者のNPCのデフォルトゲートウェイにはルータ2が設定されます。

∴社員のNPC:L3SW
 来訪者のNPC:ルータ2
模範解答

Pagetop