なぜこのような中途半端な解説を書くのか?

結論から言いますと、

ネスペ 26 道 -ネットワークスペシャリストの最も詳しい過去問解説

の解説に大きな疑問点を見つけたのが切欠です。

一番悪いのは非常に誤解を受けやすい問題文と、受験者を混乱させる設問を作った出題者であるわけです(ページ数が足りなくなって問題文を削っている際に発生したミスでしょう)が、詳しい過去問解説でこのような解説をされるとモヤモヤしてあまり良い気分ではありません。

そこで、ここちらでいろいろと考えた結果、問題文と設問には「矛盾は存在しない」ことが判明しました(どちらかといえば、ネスペ道の解説の方が問題文と矛盾しています。)

その結果をまとめるため、そして、ネスペ道の筆者にそれを伝えるために書いています。
また、同じような疑問を持った方の助けになればと思っています。

まだ、同書を読んだことがない方は、実際に読んで解説の問題点を考えてみてください。

もちろん、私自身に大きな勘違いがある可能性も否定できないため、その点については、指摘して頂けたら幸いです。

フォントの大きさやレイアウトを合わせる気力がないので、その辺は目を瞑ってください。

平成26年 ネットワークスペシャリスト 午後1問2

以下に問題文のこちらに示します。

Z社の現在のネットワーク構成

まず、以下にZ社の現在のネットワーク構成を抜粋します。
 Z社の現在のネットワーク構成.png

設問3の概要

設問2の最後にO主任より、企画部VLAN用と営業部VLAN用で、別々にフィルタリングルールを設けたいので仮想FW機能に対応した製品導入の検討依頼を受ける。

そして、導入後の構成についての設問がこの問題になる。

仮想FWの仕様

本文を抜粋すると以下のようになる。

仮想FWとは、FW1及びFW2の中に論理的なFWの機能を複数定義できる機能である。
フィルタリングルールは、仮想FWごとに独立して設定できる。仮想FWには、FWの
各ポート(フェールオーバリンク用ポートを除く)に相当する仮想ポートがあり、
それぞれにIPアドレス及びVLAN番号を割り当てる
。仮想FWとの通信はタグVLANを
使用して、1本のリンクに複数のVLANを収容する接続(以下、トランク接続)を行い、
VLAN番号を合致させることで可能になる。


つまり、

  1. 仮想FWにはFWに対応する各ポートがあるので、図中のFW1及びF2に倣い、外部セグメント用ポート、DMZ用ポート、内部セグメント用ポートの3つのポートがある。
  2. (仮想FWの各ポート)それぞれにIPアドレス及びVLAN番号を割り当てるとあるので、この仮想FWは、いわゆるレイヤ2で動作する透過型ではなく、レイヤ3で動作するルータ型
  3. 物理FW外部との通信はタグVLANを用いてVLAN番号の対応付けを行う。
  4. 異なる仮想FWのポートに、それぞれ同一のVLAN番号と同一ネットワークのIPアドレスを割り当てた場合について、それぞれの仮想FW間は直接通信(コネクテッドな通信)は不可能であるという記述はないので一般論を用いて通信可能であると解釈する。

以上の4点が重要なポイントとなる。

仮想FWの構成

本文を抜粋すると

U君は、企画部用の仮想FWと営業部用の仮想FWの両方を、それぞれFW1及びFW2に定義する構成案を考えた。

とあります。つまり、以下のように構成された物理FWを2台用意する構成です。
 Z社の現在のネットワーク構成2.pngここからは、物理FW内の仮想構成と外部通信機器の関係に着目していきます。

設問3の(1)

以下に、本文の抜粋を載せます。


DNSサーバ及びWebサーバは現在のままとし、トランク接続を使用しない。

新たに機器を購入せずに、2台のスイッチを相互に入れ替えて対処する。


設問3の(1)は、何処と何処のスイッチを入れ替えるべきか?という問題です。


トランク接続を使用しない?・・・・当然だろ?


と思った方。問題文をよく読んでます。そのとおりです(出題者のミスでしょう)。

ですが、「トランク接続を使用しない」ことに間違いはありませんから、

問題文と設問に矛盾はないのです。


つまり、恐ろしいことに問題文の訂正は不要なのです・・・・


設問の解説に戻ります。


物理FWを新機種におきかえると、現在の構成のままの場合(スイッチの入れ替えを行わない場合)は、DNSサーバ及びWebサーバから見て、どのように構成が変わっていているのでしょうか?


その点を考えてみてください。

新規FW導入前は、DMZ上には2つのサーバ以外に2台のFWが接続されていましたが、そのうち1台はActiveではないため、2つのサーバからは1つしか見えていなかったと思います。ですが、導入後は、2つの仮想FWが見えているため、どちらをデフォルトゲートウェイにするのか、そして、ルーティングをどうするのかという問題が発生すると思います。(CV:SE娘)

そうですね。だから、設定変更したL3SWとSW4を入れ替えて、以下のように構成すればいいのです。


  1. L3SWのVLAN仮想インターフェース(SVI)には、DNSサーバ及びWebサーバに設定されているデフォルトゲートウェイのIPアドレスを設定する。
  2. L3SWのルーティングテーブルに、企画部VLANへのネクストポップアドレスとして、企画部用仮想FWのVP2に設定されているIPアドレスを設定する。
  3. L3SWのルーティングテーブルに、営業部VLANへのネクストポップアドレスとして、営業部用仮想FWのVP5に設定されているIPアドレスを設定する。
  4. L3SWのルーティングテーブルに、デフォルトルートへのネクストポップアドレスとして、企画部用仮想FWのVP2に設定されているIPアドレスを設定する。


企画部VLANに属する端末からにWebサーバ送信されたパケットのルート(往路)

 Z社の現在のネットワーク構成33.png

Webサーバから企画部VLANに属する端末に送信されたパケットのルート(復路)

 Z社の現在のネットワーク構成32.png(他の例は省略)
こういう風に解説してみると、意外とあっけないものです。

ちょっと待ってください。そもそもL3SWを入れ替える必要はあるのでしょうか?(SW3とSW4の入れ替えでも良くないですか?)WEBサーバとDNSサーバのそれぞれでルーティング設定をすれば良いと思います。(CV:SE娘)
 
Z社の現在のネットワーク構成4.png
Z社の現在のネットワーク構成3.png
  Z社の現在のネットワーク構成5.pngはい、それでも良いかもしれませんが、問題文にDNSサーバ及びWebサーバは現在のままと書かれているため、これらの設定変更は認められません。また、サーバの台数が増えると静的なルーティングでは、NW構成変更時の対応が大変になってくるため得策ではないでしょう。

それでも、L3SWを入れ替える必要はあるとは思えません。営業部と企画部のVLAN間通信には制限がありますが、DMZ間との通信についてはなんら記述がありませんので、仮想FWのルーティング情報とパケットフィルターのルールを書き換えれば、DMZと企画部/営業部のVLAN間通信をそれぞれ可能にして、企画部/営業部のVLAN間通信の通信を制限できるんじゃないですか?(CV:SE娘)

意図することを説明するとこういうことでしょうか?(デフォルトルートや一般的なフィルタルールの設定等はすでに行われているものとする)

  1. 企画部用仮想FWのVP2には、DNSサーバ及びWebサーバに設定されているデフォルトゲートウェイのIPアドレスを設定する。
  2. 営業部用仮想FWのルーティングテーブルに、企画部VLANへのネクストポップアドレスとして、企画部用仮想FWのVP2に設定されているIPアドレスを設定する。
  3. 企画部用仮想FWのルーティングテーブルに、営業部VLANへのネクストポップアドレスとして、営業部用仮想FWのVP5に設定されているIPアドレスを設定する。
  4. 営業部用仮想FWのVP6に対するIN側フィルタリングルールにあて先IPアドレスが企画部VLANに属する場合に破棄するルールを追加する。
  5. 企画部用仮想FWのVP3に対するIN側フィルタリングルールにあて先IPアドレスが営業部VLANに属する場合に破棄するルールを追加する。
  6. 営業部用仮想FWのVP5に対するIN側及びOUT側フィルタリングルールにあて先IPアドレスが企画部VLANに属する場合に許可するルールを追加する。
  7. 企画部用仮想FWのVP2に対するIN側及びOUT側フィルタリングルールにあて先IPアドレスが営業部VLANに属する場合に許可するルールを追加する。
Z社の現在のネットワーク構成3.pngZ社の現在のネットワーク構成8.png  Z社の現在のネットワーク構成151.png
なるほど、確かに可能です。一見、問題文とも矛盾しないように思います。しかし、もう一度問題文をよく読んでみましょう。

仮想FWの導入に伴い、営業部と企画部のVLAN間通信を廃止する。

問題文には「通信を禁止する」ではなく『通信を廃止する』と書かれています。

一方、パケットフィルターによって通信を遮断する行為は、一般的に「通信を廃止する」行為ではなく、「通信を禁止する」行為です。

上図の構成では、「営業部と企画部のVLAN間通信の通信を禁止する」構成になってしまっているのです。

つまり、問題文はパケットフィルターによって、通信を遮断することを意図せず、営業部用仮想FWは、企画部VLANへのルーティング情報を持たせないようにし、同様に企画部用仮想FWにも営業部VLANへのルーティング情報を持たせないようにすることを意図しています。

なるほど、問題文の意図は分かりました。しかし、仮想FWにもデフォルトルートの情報はあるはずです。そうすると図中のルータ経由で通信がされるんじゃないですか?(CV:SE娘)

図示すると、こういうことでしょうか?

 Z社の現在のネットワーク構成12.png

確かに問題文の意図にも反することなく成立しているように思えます。しかし、このようにルーティングされてきたパケットは、FWの一般的に記述されるべきルールによって破棄されます。

外部セグメント接続ポートから受けたパケットの送信元IPアドレスが、DMZに割り当てられたグローバルIPアドレスまたはプライベートIPアドレスであった場合、そのパケットを破棄する。

これは、インターネット側から来るパケットの送信元IPアドレスの明らかな詐称を認めないために必要なルールとなります。
 Z社の現在のネットワーク構成13.pngこのルールが書かれていることを問題文から読み解くことはできませんが、このルールと同様のルールがない場合、営業部と企画部のVLAN間通信もフィルタリングしない限り、以下のように可能になってしまうため、やはり問題文の意図に反してしまいます。
 Z社の現在のネットワーク構成16.png
ゆえに、問題では上記と同様のルールがそれぞれの仮想FWに記述されていると考えるべきです。

以上の理由から、やはりSWの入れ替えを行うことは妥当だと考えるべきでしょう。


設問3 (2)の解説も書いてもいいのだけど、ここまで読んだ方なら特に解説なくても理解できるよね?(難しい部分はないはず・・・・)

補足


以下のような意見を頂いた。


unputenpu_janaiさん

1.各ポートにIPアドレスを割り当てる=ルーティングじゃないです(URL参照) 2.トランク接続はネットワーク機器間だけの技術じゃないです(平成24年午後2問2参照) 100文字制限きつい。

参考リンク:
http://www5e.biglobe.ne.jp/~aji/3min/ss/ss14.html



順に読み解いて行こう。

他の方も分からない点があれば、知恵袋の質問のほうでやってね(文字数制限がきついみたいなので)。

各ポートにIPアドレスを割り当てる=ルーティングじゃないです。


DMZと外部セグメント(インターネット)は良いとしてもDMZと企画部VLAN、DMZと営業部VLANを何処でどのようにルーティングするか?と言う問題がありますよね?(これがこの問題の最重要点ですから)


また、「IPアドレスを割り当てているからと言って、透過型FWではないとは言えない」と言う主張であれば、問題文にはFWの各ポート(フェールオーバリンク用ポートを除く)に相当する仮想ポートがあり、それぞれにIPアドレス及びVLAN番号を割り当てると書かれています。仮想FWには3つのVLANが割り当てられることになる。透過型FWではそもそも異なるVLAN間の転送自体を行わないので、仮想FWはルータ型と考えるべきでしょう。


あぁ、後書きながら気がついたこととして上記の意味が「アドレス変換がFWで行われているとすると、ルータにはそもそも企画部VLANDMZと営業部VLANへのルート情報はないんじゃないの?その場合、ルータでのパケット折り返しは発生しないよね?」と言うことであれば、その通りである。ただ、私はアドレス変換はルータで行うことを想定していた。この編の詳細は問題文にはない(どちらでも最終的には問題はない)。


トランク接続はネットワーク機器間だけの技術じゃないです


トランク接続を使用しない?・・・・当然だろ?」の意味は、「サーバ側のインターフェースでタギング(トランク接続)をサポートして何をするんだよ?この例では仮想FWはルータ型なんだろ?なら、どう考えても不要だろ?FWの各ポート(フェールオーバリンク用ポートを除く)に相当する仮想ポートがあり、それぞれにIPアドレス及びVLAN番号を割り当てるってお前(設問者に言っている)が書いたんだろ?サーバ側に必要なVLANはDMZに対応するものだけだろ?タギングの必要性が何処にあるの?馬鹿なの?死ぬの?」の略です。つまり、トランク接続を使用することは解決策にならないのに、何言ってんだよ。って意味です。



サーバ側のインターフェースでトランク接続を使用することはまったく解決策にならないのに、DNSサーバ及びWebサーバは現在のままとし、トランク接続を使用しない。ことは、問題文と矛盾しないと言うすごい奇跡がこの問題の中にはあるのです。


いいかえれば、IPAは何故問題文の訂正を出さなかったのか?と言うことを推理しているのです。


しかし、この問題は設問の範囲では矛盾はないと言っても良いのかもしれませんが、外部セグメントとDMZ間のルールを何処でどのように定めるべきか?ルータでDMZへのルーティングはなどはどのように扱うのか?など、致命的な問題を含んでるので、問題の質が非常に悪いことは付け足しておきます。


実際の試験中は上記のようなことを考える暇はないので、「問題文からしてSW4を入れ替えないとするのは情報処理技術者試験の問題としては不自然すぎる。ポート数を考慮しなければ、入れ替えることに意味があるのはL3SWだけ」というない点から、「とりあえず、L3SWとSW4を入れ替えろって答えさせたいんだな。これ以上は考えるだけ無駄」と考えるべきです。