やさしいネットワークとセキュリティ

ネットワーク・セキュリティエンジニアの視点から各種テクノロジーと資格試験対策をやさしく解説します。

ネットワークスペシャリスト【H30秋午後Ⅰ問3設問4】

設問4(1)

f:id:aolaniengineer:20190920084621p:plain

f:id:aolaniengineer:20190920084741p:plain

 該当箇所は、「図2のような⑥フルメッシュのIPsecトンネルのネットワーク構成に、追加拠点向けIPsecトンネルを手動で追加設定するネットワーク拡張方式は望ましくないと考え、ネットワーク機器ベンダの技術者に改善案を相談した。」です。

 拠点が追加される度に手動設定する方式は手間がかかるので望ましくないと考え流ので、問題文にそう書いてあるよね〜と正解の書き方に迷うかもしれません。

 このような迷う設問が多いのですが、ここは素直になって少しでも文章で端的に表せるのように工夫しましょう。 

 ここでは「フルメッシュのIPsecトンネルのネットワーク構成」と「手動で追加設定」に関して、望ましくない理由を記述します。

 フルメッシュの他には、本社を中心(ハブ)としたハブアンドスポーク構成があります。

 ハブアンドスポーク構成の場合、拠点追加による設定変更が必要なのは本社のみですが、フルメッシュ構成の場合には、全拠点の設定変更が必要になります。

 「全拠点の設定変更」と記載するとフルメッシュ特有での望ましくない作業というニュアンスが出せそうです。

 したがって正解は以下の通りです。

 「新拠点追加のときに全拠点の設定変更が必要になるから

設問4(2)

f:id:aolaniengineer:20190920091523p:plain

f:id:aolaniengineer:20190920091611p:plain

 該当箇所は、「例えば、名古屋支店内のPCから大阪支店内のサーバへの通信が行われる場合、⑦名古屋支店のFW3はNGRPによって得られた情報を利用してS-Sトンネルを確立する。」です。

 問題文に「NHRPは、IPsecトンネル確立に必要な対向側IPアドレス情報を、トンネル確立時に動的に得るのに利用される。」とあるので、すぐに分かると思います。

 名古屋支店のFW3が得る情報を具体的に記述すると、通信先の大阪支店のFW2のIPアドレス情報です。さらにそのIPアドレスはインターネットで通信するグローバルIPアドレスです。

 したがって、正解は以下の通りです。

 「大阪支店のFW2のグルーバルIPアドレス

設問4(3)

f:id:aolaniengineer:20190921042138p:plain

 該当箇所は、「そこで、Eさんは、防止策として⑧追加すべき設定内容を定めた。」です。

 問題文の「スポークとなる機器がOSPFの代表ルータに選出されてしまうと、スポーク拠点間のIPsecトンネルが解放されなくなってしまうので、それを防ぐために、スポークとなる機器のOSPFに追加の設定が必要になる」にあるように、必要なのはスポークとなる機器がOSPFの代表ルータに選出されないための設定になります。

 OSPFの代表ルータの選出について以下に整理します。

OSPFのプライオリティーが最も高いルータが代表ルータ(DR:Designated Router)になる
OSPFのプライオリティーが2番目に高いルータがバックアップ代表ルータ(BDR:Backup Designated Router)になる
OSPFのプライオリティーが同じ場合は、ルータIDが最も大きいルータがDR、2番目に大きいルータがBDRになる
OSPFのプライオリティーはデフォルトでは「1」
OSPFのプライオリティーが「0」の場合は、DR、BDRに選出されない
DR、BDRが選出された後でプライオリティが高いルータが加わっても、DR、BDRは切り替わらない

 上記から、スポークとなる機器のOSPFのプライオリティを「0」にすれば代表ルータに選出されません。

 正解は以下の通りです。

 機器「FW2」「FW3

 設定「OSPFのプライオリティを0に設定する

複数回線サービス利用など信頼性の高いネットワーク構築能力を高めよう

 これまでの専用線から、IP-VPNやインターネットVPNなど複数の回線サービスを利用して、安価に信頼性の高いネットワークに移行するケースが多いと思います。

 ネットワーク・セキュリティエンジニアとして、効率面、安定面、運用面を考慮した設計能力が求められています。

 様々な問題を通じて、登場人物になって疑似体験することで経験値をあげていきましょう。

www.aolaniengineer.com

www.aolaniengineer.com

www.aolaniengineer.com