平成30年秋期試験午後問題　問4(ネットワーク)

平成30年秋期試験午後問題　問4

問4　ネットワーク

ネットワークの障害分析と対策に関する次の記述を読んで，設問に答えよ。

　G社は，ソフトウェア開発会社である。G社のネットワーク構成を図1に示す。

図1中の各セグメントには，図に記された機器を含む複数の機器が配置されており，各機器はセグメントごとに用意されたスイッチにLANケーブルで接続されている。
社員は，事務作業を事務セグメント内のPCを使用して行い，ソフトウェア開発作業を開発プロジェクトごとに設けられた開発セグメント内のPCを使用して行う。現在，開発セグメントは，開発セグメント1から開発セグメント10まである。
事務セグメント内のPCは，リモートデスクトップ(手元のPCをクライアントとして，他のPCをGUIで遠隔操作する技術であり，操作される側がサーバになる)のクライアント機能(以下，リモートデスクトップ機能という)又はSSHを用いて，開発セグメント内のPCを遠隔操作できる。
開発セグメント内のPCは，事務セグメント内のファイルサーバにアクセスできる。
事務セグメント内のPCからインターネット上に公開されたWebサイトを閲覧する際には，DMZセグメント内のプロキシサーバを経由する。
ルータBは，内蔵のパケットフィルター型のファイアウォール機能によってセグメント間の通信の可否を制御しており，上記(3)～(5)に必要な通信だけを許可している。ルータBのファイアウォール機能は，送信元ネットワークから，宛先ネットワークの指定したポート番号への通信の可否を制御するものであって，許可した通信の応答パケットの通過も許可する。

〔障害の発生〕
　ある日，"事務セグメント内の PC B-1 から，リモートデスクトップ機能を用いて，開発セグメント1内の PC 1-1 を遠隔操作しようとしたが，接続できなかった"と報告があったので，障害箇所を特定するために原因の切分けを行った。
　初めに，事務セグメント内の PC B-2 から，PC 1-1にリモートデスクトップ機能を用いて接続を試みたが，失敗した。
　次に，PC B-1 からSSHを用いてログインした開発セグメント1内の PC 1-2 でpingコマンドを実行し，PC 1-1 から応答が返ってくることを確認した。
　これらのことから，障害の原因としてaやbの不具合が考えられたので，これらに不具合があるかどうかを調査して，原因を特定した。

〔セグメントの追加〕
　新しい開発プロジェクトの立上げに伴い，開発セグメント11をネットワークに追加した。開発セグメント11は，開発セグメント1～10と同様にスイッチ11でルータBと接続する。ルータBのファイアウォールに追加した設定を表1に示す。ところが，表1の設定には誤りがあり，開発セグメント11に接続されたPCに関して，cことが分かった。
　事務セグメントと開発セグメント11のネットワークアドレスは，表2のとおりである。

〔障害発生の予防〕
　現在のネットワーク構成では，社内のセグメント間の全ての通信がルータBを経由するので，ルータBの過負荷によって社内ネットワークに障害が発生することが懸念される。そこで，ルータCを増設することによって負荷を分散させることとし，増設後の構成として構成案1と構成案2の二つを検討した。
　構成案1及び構成案2における，ルータとスイッチの接続形態を図2に示す。

　構成案1では，セグメントごとにルータBかルータCのどちらかのルータを使用するように設定することによって，負荷を分散させる。このとき，ルータの冗長化技術を用いて，一方のルータに障害が発生したときは，もう一方のルータが使用されるように構成する。
　構成案2では，ルータBとルータCの役割を分けることによって，負荷を分散させる。ルータCに，事務セグメントと開発セグメントの間の通信を中継する役割をもたせる。
　G社ではdことやeことを重視して，構成案1を採用することにした。

設問

本文中の　に入れる適切な答えを，解答群の中から選べ。

a，b に関する解答群

PC 1-1のLANポート
PC 1-1のソフトウェア
スイッチ1
スイッチB
設定を含むルータBのソフトウェア
ルータBのLANポート

c に関する解答群

事務セグメント内のPCからSSHを用いて当該PCを遠隔操作できない
事務セグメント内のPCからリモートデスクトップ機能を用いて当該PCを遠隔操作できない
当該PCから事務セグメント内のファイルサーバにアクセスできない

d，e に関する解答群

可用性を高められる
機密性を高められる
障害発生時に原因を特定しやすい
セグメント間で通信する際に経由する機器が少なくなる
ルータB，Cとスイッチ間をつなぐLANケーブルの本数が少なくて済む
ルータBとルータCの負荷に大きな差が生じないように調整できる

解答選択欄

a=イ
b=オ
c=ウ
d=ア
e=カ

※aとbとdとeは順不同

解説

〔a，bについて〕
各事象から次のことが分かります。

事務セグメント内のPC B-2からPC 1-1にリモートデスクトップ機能を用いて接続したが、失敗した
→PC B-1に固有の問題ではない
PC B-1からSSHを用いてPC 1-2にログインできた
→PC B-1及びPC B-1のLANポートは正常に動作しており、2つのノードの通信経路上にあるスイッチB、ルータB、スイッチ1はダウンしていない
PC 1-2からPC 1-1へのpingが成功した
→PC 1-1及びPC 1-1のLANポートは正常に動作している

pingは、ネットワーク上の特定ノードへの到達性を確認するためのコマンドです。調査対象ノードに対してデータを送信し、相手から応答が返ってくればその間の通信経路に障害が起きていないことがわかります。PC 1-2からPC 1-1へのpingが成功しているので、PC 1-1のLANポートは正常に動作していると判断できます。
正しい。SSHでの遠隔操作はできるのにリモートデスクトップでの遠隔操作はできないという状態なので、PC 1-1に入っているリモートデスクトップ機能を提供するソフトウェアに問題がある可能性が考えられます。
SSHでログインできたこと、及びスイッチ1を経由するpingが成功したことからスイッチ1はダウンしていないと判断できます。
SSHでログインできたのでスイッチBはダウンしていないと判断できます。
正しい。事務セグメントから開発セグメント1へのリモートデスクトップの通信が、何らかの問題によりルータBで正しく処理されていない可能性が考えられます。
SSHでログインできたので、ルータBのLANポートは正常に動作していると判断できます。

∴a、b＝イ，オ（順不同）

〔cについて〕
開発セグメント11の追加に伴い、ルータBのファイアウォール機能のルールで許可すべき通信は次の3つです。

事務セグメント内のPCから開発セグメント11内のPCへのリモートデスクトップ通信
事務セグメント内のPCから開発セグメント11内のPCへのSSH通信
開発セグメント11内のPCから事務セグメント内のファイルサーバへの通信

表1の誤りは、1行目のファイル通信（ポート番号445）の送信元及び宛先ネットワークの記述ミスです。本文で説明されている業務手順では、開発セグメント11内のPCが事務セグメント内のファイルサーバに対してコネクションを確立するので、送信元ネットワークは 10.1.11.0/24、宛先ネットワークは 10.0.0.0/16 とすべきです。表1の設定では、開発セグメント11から事務セグメントへのファイル通信が許可ルールに存在しないため、当該パケットはルータBで遮断されてしまうことになります。このため、開発セグメント11内のPCから事務セグメント内のファイルサーバにアクセスできなくなります。

∴c＝ウ

〔d，eについて〕
選択肢の中から正しいものを2つ選びます。

正しい。構成案1では、一方のルータに障害が発生したときは、もう一方のルータが使用されるような構成になっているため可用性が向上します。一方、構成案2はルータB又はルータCのいずれかがダウンすると通信障害になってしまいます。
機密性はどちらの構成案でも変わりません。
障害原因の特定しやすさについては、使用するLANコード及びポートの少ない構成案2の方が有利です。
各構成案においてセグメント間通信を行う際に経由する機器は次の通りです。
構成案1
送信元ネットワークのスイッチ
↓
ルータB又はルータCのどちらか
↓
宛先ネットワークのスイッチ
構成案2
送信元ネットワークのスイッチ
↓
ルータC
↓
宛先ネットワークのスイッチ
どちらの構成案でも経由する機器の台数は3台で変わりません。
スイッチとルータを繋ぐLANケーブルは、構成案1：26本、構成案2：14本で構成案2の方が少ないです。
正しい。使用するルータをセグメントごとに分けることで、両ルータが同じくらいの負荷になるように調整できます。

∴d，e＝ア，カ（順不同）

平成30年秋期試験午後問題 問4

問4 ネットワーク

設問

前の問題次の問題

平成30年秋期試験午後問題　問4

問4　ネットワーク