やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

ネットワークスペシャリスト【H30秋午後Ⅰ問3設問1】

この問題のテーマは「企業内ネットワーク再構築」

専用線からIP-VPN、インターネットVPNへの移行
複数回線サービス利用の信頼性の高いネットワークを構築する能力

設問1

f:id:aolaniengineer:20190917042208p:plain

f:id:aolaniengineer:20190917043243p:plain

f:id:aolaniengineer:20190917043708p:plain

f:id:aolaniengineer:20190917043824p:plain

(ア)

 該当箇所は、「利用者のネットワークと事業者閉域IP網との接続点において、利用者が設置するCE(Customer Edge)ルータから送られたパケットは、通信事業者のPE(Provider Edge)ルータで(ア)と呼ばれる短い固定長のタグ情報が付与される。」

 IP-VPNの知識問題ですね。IP-VPNについて簡単に整理すると以下のようになります。

通信事業者のIP閉域網を経由して拠点間をVPN接続するもの
専用線より低コストでの構築・運用が可能。ただし、回線を複数ユーザで共有するため、通信速度の保証などは行われない場合が多い
インターネットを利用するインターネットVPNよりセキュリティや品質面で優位
接続構成は「企業内LANーCEルータ(企業側)ーPEルータ(事業者側)ー事業者回線網」
PEルータでは、利用者を識別するラベルを付与する

 したがって、正解は以下の通りです。

 「利用者のネットワークと事業者閉域IP網との接続点において、利用者が設置するCE(Customer Edge)ルータから送られたパケットは、通信事業者のPE(Provider Edge)ルータでラベルと呼ばれる短い固定長のタグ情報が付与される。」

(イ)

 該当箇所は、「事業者閉域IP網内では、②タグ情報を参照して中継され、(ア)は対向側の(イ)で取り除かれる。」です。

 ラベルは事業者閉域IP網内で利用者を識別するために付与されるものです。したがって、その入口と出口のPEルータによって、ラベルの付与、除去が行われます。

 したがって、正解は以下の通りです。

 「事業者閉域IP網内では、②タグ情報を参照して中継され、ラベルは対向側のPEルータで取り除かれる。」

(ウ)

 該当箇所は、「IPsecは、OSI基本参照モデルの(ウ)レイヤで動作する。」です。

 IPsecの詳細まで理解できていなくても、IPとあるのでネットワークレイヤと分かります。

 したがって、正解は以下の通りです。

  「IPsecは、OSI基本参照モデルのネットワークレイヤで動作する。」

(エ )(オ)

 該当箇所は、「図2のネットワーク構成で拠点間通信を行う場合、正常時は(エ )を利用するが、(エ )の障害時は(オ)に切り替える必要がある。」です。

 これについては問題文の〔WAN構成の検討〕(1)WAN構成の見直し方針案に、ドンピシャな記載がありました。

・通常時は拠点間通信にIP-VPNを用いるが、IP-VPNの障害時にはインターネットVPNをバックアップ回線として用いる。

 したがって、正解は以下の通りです。

 「図2のネットワーク構成で拠点間通信を行う場合、正常時はIP-VPNを利用するが、IP-VPNの障害時はインターネットVPNに切り替える必要がある。」

www.aolaniengineer.com

www.aolaniengineer.com