やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

ネットワークスペシャリスト【H30秋午後Ⅰ問1設問3】

設問3 キーワード

SD-WAN(Software-Defined WAN)ルータ

専用線やブロードバンド回線、モバイル回線など様々な物理的なWAN回線を仮想的なWAN回線として扱えるSD-WANにおいて、メインルートやバックアップルートに加え、通信要件ごとに柔軟に適用WAN回線を切り替えるなど様々な機能を有するルータ。

SDN(Software-Defined Networking)

ネットワークの設定や運用管理において、物理的な各機器ごとを対象にしていた形態とは違い、ネットワーク全体を論理的な対象として、設定や運用管理を1箇所で行う形態のネットワーク。これにより柔軟なネットワーク構築、運用管理が可能となるとされている。

データプレーン

ネットワークでのデータ転送機能のうち、実際のフレームやパケットを転送する機能。

ネットワーク機器に実装される。

コントロールプレーン

ネットワークでのデータ転送機能のうち、経路制御に伴う計算を行いネットワーク機器へ指示する機能。

データプレーンとともにネットワーク機器に実装されているのが一般的だが、SDNにおいてはその機能を分離してサーバ上のソフトウェアとして実装される。

SD-WANコントローラ

SD-WANにおけるコントロールプレーンが実装される機器。

RSS(Really Simple Syndication)

Webサイトの更新情報を配信するための技術。

問題文

f:id:aolaniengineer:20190824132507p:plain

設問3(1)

f:id:aolaniengineer:20190824132440p:plain

該当箇所は「SDNは、利用者の通信トラフィックを転送するデータプレーンと、通信装置を集中制御する(エ)プレーンから構成されており、(エ)プレーンのソフトウェアでデータ転送を制御する方式である。」です。

SDNの通信装置を集中制御するのはコントロールプレーンである。

正解は以下の通りです。

コントロールプレーン」

問題文

f:id:aolaniengineer:20190824133518p:plain

設問3(2)

f:id:aolaniengineer:20190824133537p:plain

該当箇所は、「本社の社内PCからGSaaSへの通信について、GSaaSIPアドレスが変更された場合でもその都度L3SWを設定しなくても済むように、L3SWの静的経路情報を設定変更する。」です。

内容を読み砕くと、対象となる宛先IPアドレスがどのように変わっても対応可能な静的経路情報は何かが問われています。

L3SWは経路情報に合致しないパケットの処理をデフォルトルートにしたがって転送します。

また、GSaaSへの通信はSD-WANルータを経由するとのことですから、ネクストホップはSD-WANルータになります。

なお、GSaaS以外のインターネットへのWebアクセスは、L3SWにプロキシサーバ宛ての静的経路情報が設定されるので、デフォルトルートにしたがうことはありません。

したがって正解は以下の通りです。

ネクストホップがSD-WANルータとなるデフォルトルート

問題文

f:id:aolaniengineer:20190824135015p:plain

設問3(3)

f:id:aolaniengineer:20190824135142p:plain
該当箇所は、「F社は、RSS配信されたIPアドレスブロックを検知するツールを作成して、自動的にツールから(オ)に指示を行い、全社のSD-WANルータの設定を変更することにした。」です。

(1)SD-WANルータの概要に、「SD-WANルータの設定は、SD-WANコントローラによって集中制御される。」とあります。

SD-WANルータの設定変更はSD-WANコントローラでのみ可能ですので、ツールからSD-WANコントローラ経由でSD-WANルータの設定変更を行うことになります。

したがって正解は以下の通りです。

SD-WANコントローラ

設問3(4)

f:id:aolaniengineer:20190824140600p:plain

該当箇所は、「さらに、社内PCから参照する④プロキシ自動設定ファイルを作成することにした。」

問われているのは「プロキシから除外する通信」です。

(2)SD-WANルータを用いたときの通信に、「社内PCからGSaaSへのWebアクセスは、プロキシサーバを経由せず各SD-WANルータを経由する。」とあります。

したがって正解は以下の通りです。

G社SaaSへのHTTPS通信

問題文

f:id:aolaniengineer:20190824141524p:plain

設問3(5)

f:id:aolaniengineer:20190824141543p:plain

該当箇所は、「G社SaaSへのアクセスログは、⑤プロキシサーバからではなく、G社SaaSのAPIにアクセスして取得することにした。

一つは簡単です。G社SaaSへのアクセスはプロキシサーバを経由せず、各SD-WANルータを経由するようになったからです。

もう一つですが、わからなかったら改めて問題文を眺めてみると、図1と問題文に出張先PCからG社SaaSにアクセスがあることがわかります。

したがって正解は以下の通りです。

社内PCからG社SaaSへのアクセスがプロキシサーバを経由しなくなるから

出張先のPCからG社SaaSへのアクセスが記録されるから

 「SD-WANルータの導入」を参考にしましょう。

SaaSを利用する際の課題であるプロキシサーバの処理可能セッション数の超過や、インターネット接続回線の帯域不足に対応するため、SD-WANルータを使用する。
SaaSへのWebアクセスはプロキシサーバを経由せず、各SD-WANルータから接続する。
SD-WANルータの設定はSD-WANコントローラによって集中制御する。
SaaSのIPアドレス変更に対応するためRSSからの通知によりSD-WANコントローラからSD-WANルータを設定変更する。
SaaSへのアクセスログは、SaaSのAPIにアクセスして取得する。

www.aolaniengineer.com

www.aolaniengineer.com