過去問(午後)テクニカルエンジニア
(ネットワーク)過去問(午後)テクニカルエンジニア(ネットワーク)過去問 平成13年 午後2 問1
テクニカルエンジニア(ネットワーク)過去出題問題平成13年 午後2 問1最終更新日 2006/02/26
|
| Tomのネットワーク勉強ノート |
| 過去問(午後) |
| テクニカルエンジニア
(ネットワーク)過去問(午後) |
| テクニカルエンジニア(ネットワーク)過去問 平成13年 午後2 問1
|
問1
IP-VPNサービスを用いたネットワークの再構築に関する次の記述を読んで、設問
1〜5に答えよ。
A社は、主に、法人向けにカスタマイズしたパソコン(以下、PCという)を販売
している。営業範囲が比較的広いので、各地域を担当する地域営業所と、これらを統
括する営業支社(以下、支社という)を置いている。法人顧客は、自社の営業員やデ
ザイナ向けに、それぞれの業務に最適な仕様のPCを注文してくる。受注した営業員
は、法人顧客の要求したカスタマイズ仕様を工場へ送る。工場では、そのカスタマイ
ズ仕様に従ったPCを組み立てる。組み立てられたPCは、物流センタヘ送られ注
文した法人顧客が指定した納入日に配送される。
〔これまでのシステムの概要〕
A社は、支社や工場などに分散配置されていた各サーバを使用して、個別の業務ア
プリケーションプログラム(以下、分散業務APという)を稼働させていた。各サー
バの分散業務APは、それぞれ専用のクライアント側アプリケーションプログラム
(以下 端末APという)を使い、PCからTCP/IPを用いて利用されていた。
支社の分散業務APはオーダエントリや営業活動報告に利用され工場の分散業務
APは生産管理に利用されていた。また、営業員が使用する営業活動報告用の端末
APは、FTPを用いて支社のサーバで稼働する営業活動報告用の分散業務APにアク
セスしていた。
〔現在のシステムの開発背景〕
A社は、1年前から本社の企画部が中心となり、本社に設置したWebサーバを用
いた無店舗販売システムを利用して、PCの個人向け販売も始めた。この個人向け販
売のPCも、個人顧客の要望に沿ってカスタマイズして販売する場合が多かった。
個人向け販売では、注文してから手元に届くまでの状況を顧客が随時参照可能とす
るサービス(以下、トラッキングサービスという)が求められていた。また、法人顧
客からの納入問合せなどへ迅速に対応するために、営業員からもこのサービスが求め
られていた。
分散業務APは、本社の情報システム部が開発したが、機能の追加を繰り返してき
たので、トラブルが多かった。トラブル対応は、支社や工場などの保守要員が行うこ
とになっていたが、対応できない場合が多く、情報システム部が対応してきた。この
ため、情報システム部の開発業務にも支障が出ていた。
〔現在のシステムの概要〕
A社は、半年前に、それまでの分散業務APと分散配置されていたサーバを廃止し、
新しく本社に設置したサーバで、新規開発した業務アブリケーションプログラム(以
下、統合業務APという)を稼働させた。統合業務APは、無店舗販売システムとの
連携機能、及びトラッキングサービスの機能を含め、分散業務APの業務をすべて実
現しており、PCからTCP/IPを用いて利用される。
現在のシステムでは、迅速な開発を目指し、これまでのネットワークを継続して使
用することにした。現在のシステムのネットワーク(以下、現ネットワークという)
構成を図1に示す。
図1 現ネットワークの構成
地域営業所では営業員の要望もあり、営業活動報告は、従来の営業活動報告用の端
末APを用いて統合業務APを利用している。このほかの端末APは、統合業務AP
の稼働に合わせて廃止し、PCのブラウザを用いて統合業務APを利用することにし
た。営業員は、このブラウザを用いて、受注したPCが顧客へ届くまでのすべての状
況を常に把握できる。
〔現ネットワークの再構築〕
A社の業績は、統合業務APを利用して順調に伸びた。これに伴い、仕様書や設計
書の参照などを伴う業務量が増大し、特に工場と本社間のトラフィックが急激に増加
した。このため、複数の拠点で応答時間が長くなり、業務に支障が出てきた。しかし、
本社と支社間の通信帯域は十分であり、ここに問題はなかった。
情報システム部では、トラフィックの増加や将来の拠点追加に対する拡張性、及び
信頼性確保のために、現ネットワークの再構築を検討することになった。
情報システム部ではT君が中心となり、再構築するネットワーク(以下、新ネット
ワークという)の要求条件を取りまとめて通信サービス事業者へ提示した。その結果、
MPLS (Multi-Protocol Label Switching)によるIP/VPNサービスを提案してきた通信
サービス事策者の技術者であるK氏と、新ネットワークに対するIP/VPNサービスの
適用に関して検討することになった。
K氏が提案する、IP/VPNサービスを用いた新ネットワークの構成を図2に示す。
図2 新ネットワークの構成
T君:まず、IP/VPNのパケット転送方法について教えてください。
K氏:図2の専用線で接続されたルータをカスタマエッジ
ルータ(以下、CERとい
う)といいます。IP/VPNサービスは、通信サービス事業者のプロパイダエッ
ジルータ(以下、PERという)と、顧客のCERとの間を必要な帯域の専用線
で接続する形態で提供されます。この専用線を"アクセス回線"といいます。
CERからPERへ届いたIPパケットには、PERにおいて、あて先に応じた
【 a 】が付与されます。送信元PERとあて先PERの間のIP/VPN内部で
は、【 a 】に基づいてルーティングを行います。転送先の【 b 】で
は【 a 】を外し、通常の【 c 】に戻して【 d 】へ転送します。
T君:IP/VPN内部では、IPパケットと異なる形式のパケットが転送されるのですね。
K氏:はい。そうです。
T君:IP/VPNサービスを利用すれば、セキュリティも確保できるのですか。
K氏:もちろんです。送信元PERではどこの顧客からのIPパケットかの判別が可能
であり、ほかの顧客のCERへ届けることはありません。つまり、送信元PER
は送信元の顧客を識別し、届いたIPパケットのあて先IPアドレスと合わせて、
あて先のPERを決定します。送信元の顧客が異なれば、送信元PERに顧客か
ら届いたIPパケットのあて先IPアドレスが等しくても、そのIPパケットは、
【 e 】CERへ転送されます。これによって、従来の専用線を使った通信
と同等のセキュリティが確保されるのです。
T君:提案資料にある、今後の拡張が容易だという点についても教えてください。
K氏:例えば、物流センタを新設する場合を考えます。現ネットワークでは、新しい
物流センタは専用線を利用して工場と接続されることになります。この場合、
【 f 】と【 g 】及び【 g 】と【 h 】間の既存専用
線の帯域も検討する必要があります。これに対して、新ネットワークでは、
【 f 】とIP/VPN間の既存アクセス回線の帯域を検討する程度で、拠点
追加による既存ネットワークヘの影響を【 i 】できるので拡張が容易
になります。
T君は、通信のセキュリティが確保され 費用が少なくてすむIP/VPNサービスを
利用した新ネットワークの構築を前提として、更に検討を進めることにした。
〔地域営業所と本社の接続〕
K氏の提案は、インターネットを介して、地域営業所と本社を接続する形態であっ
た。T君は、その接続方法に関してK氏と検討した。
K氏:地域営業所との接続は、情報システム部のある本社とします。さらに、本社と
各地域営業所は離れているので、現ネットワークのISDNを用いた接続からイ
ンターネットを利用した接続にしました。
T君:地域営業所から本社へ接続するのは妥当だと思いますが、ほかの通信サービス
事業者の提案では地域営業所もIP/VPNサービスを利用しています。なぜ、御
社の提案ではIP/VPNサービスを利用しないのですか。
K氏:地域営業所からのネットワークの利用頻度は少ないと考えられます。したがっ
て、地域営業所とのアクセス回線に専用線を適用するのは、コスト的に見合わ
ないのでIP/VPNサービスは不適切だと考えました。
T君:アクセス回線に専用線以外は適用できないのですか。
K氏:はい、現時点では専用線しか適用できません。
T君:IP/VPNは、セキュリティが確保されていますが、インターネットを介した通
信の場合、セキュリティが非常に心配です。何か対策はありますか。
K氏:地域営業所と本社間のインターネットを介した通信は、IP層でセキュリティ
を確保する手段の一つであるIPsecを用いて、安全にIPパケットを転送しま
す。IPsecは、送信元でIPパケットを暗号化して、受信先で暗号化されたIP
パケットを復号します。今回提案するIPsecパケットの概要を図3に示します。
図3 A社で利用するIPsecパケットの概要
K氏:暗号化前のIPパケット及び新たに追加されるESP付加データは、暗号化され
ます。TCPヘッダとは異なるESPヘッダと暗号化されたデータが改ざん検出
の対象です。
T君:IPsecを用いた場合、暗号化処理のオーバヘッドやインターネットの輻輳など
による通信スループットの低下は、問題ないでしょうか。
K氏:地域営業所から行う主な業務は、営業活動報告です。営業活動報告用の端末
APは、FTPを用いて統合業務APから報告用のテンプレートをダウンロード
し、営業員が作成した報告データを統合業務APへ送ります。FTPで転送され
るデータは少ないので、大きな問題にはならないと考えております。
T君は、IPsecとFTPを使ってインターネットを介したファイル転送試験を行うこ
とにした。
〔地域営業所と本社の接続試験〕
T君は、まず最初に、各地域営業所と本社間のインターネットを介したFTPによ
る接続試験を行うための準備を進めた。試験のために用意したFTPサーバは、IPsec
機能を有しているが、トラブル解析に備えてIPsec機能を用いないことにした。
A社は、社内でプライベートIPアドレスを使用している。T君は、インターネッ
ト接続のために、現ネットワークで利用しているISDNルータに、インターネット接
続を考慮したパケットフィルタを設定した。接続試験で用いたISDNルータにおける
パケットフィルタの内容の抜粋を表に示す。
表 接続試験で用いたISDNルータのパケットフィルタの内容(抜粋)
| 方向 | 送信元 IPアドレス |
あて先 IPアドレス |
SYNビット | ACKビット | 送信元 ポート番号 |
あて先 ポート番号 |
通信動作 |
| 外向き | 内部 | 外部 | オン | オフ | 1,024以上 | 25 | 接続 |
| 外向き | 内部 | 外部 | オン | オフ | 1,024以上 | 110 | 接続 |
| 内向き | 外部 | 内部 | オン | オフ | 任意 | 任意 | 切断 |
| 内向き | 外部 | 内部 | オフ | オン | 80 | 1,024以上 | 接続 |
| 外向き | 内部 | 内部 | オン | オフ | 任意 | 任意 | 切断 |
また、試験で用いるISDNルータごとに一つのグローバルIPアドレスを与えるこ
とによって、プライベートIPアドレスを有する複数のPCからインターネットが利
用できる。
T君は、ある地域営業所からブラウザを使って、FWのDMZに設置したFTPサー
バからファイルをダウンロードした。次に、営業活動報告用の端末APを利用して、
同様にファイルのダウンロードを試みた。しかし、営業活動報告用の端末APでは、
このFTPサーバからファイルのダウンロードができなかった。T君は、今回の試験
結果をK氏に伝えて、原因究明と対策を検討することにした。
T君:ある地域営業所においてブラウザを用いた場合は、ファイルのダウンロードに
成功しました。これに対して、営業活動報告用の端末APを用いると失敗して
しまいます。ここにFWのDMZで取得した、FTPサーバとFTPクライアン
ト間のパケットモニタリングデータがあります。このデータを見ると、地域営
業所側からTCPコネクションを切断していますが、この原因が分かりません。
K氏:このモニタリング結果から判断すると、TCPコネクションを切断しているの
は、ISDNルータです。FTPアクティブモードの概要を図4に示して説明しま
す。
図4 FTPアクティブモードの概要
K氏:まず、FTPクライアント側から制御用コネクションの確立が要求されます。
制御用コネクションを使ってPORTコマンドで、FTPクライアントのIPアド
レスとボート番号をFTPサーバヘ通知します。これらはデータ転送用コネク
ションの確立に使います。データ転送用コネクションの確立は、【 j 】
側から要求されます。営業活動報告用の端末APは、パケットモニタリングデ
ータから判断して、FTPアクティブモードを利用しています。
T君:営業活動報告用の端末APがFTPアクティブモードを利用していると、なぜ
ファイル転送ができないのでしょうか。
K氏:ISDNルータのパケットフィルタリング設定がFTPアクティブモードに対応し
ていないためです。しかし、現状のISDNルータをFTPアクティブモードに
対応させると、地域営業所のセキュリティが低下する可能性があります。
T君:試験環境では、現ネットワークからFTPクライアントを切り離しているので、
自社のセキュリティには問題ないと思います。ISDNルータの設定を変更して
接続試験を行います。
T君は、営業活動報告用の端末APを用いたファイルのダウンロードが、IPsec機
能を利用しない環境で行えることを確認した。
K氏の提案によれば、既存のISDNルータをIPsec機能が付いた機種へ変更するこ
とになっている。T君は、このIPsec機能が付いたISDNルータを用いて、IPsec機
能を使った環境で、営業活動報告用の端末APを用いたファイルのダウンロードが行
えることを確認した。また、IPsec機能を追加した場合も通信スループットは低下し
ないことを確認した。
〔IPsecの検討〕
T君は、コスト削減のため、既存のISDNルー夕をIPsec機能が付いた機種へ変更
するのではなく、地域営業所に設置したPCのソフトウェア処理によるIPsec機能の
利用について提案し、その実現の可能性をK氏と検討した。
T君:ISDNルータをIPsec機能付きに変更する予定ですが、最近のPCは、ソフト
ウェア処理によるIPsec機能をもっていますので、こちらの適用も検討したい
と思います。
K氏:ポイントは、社内で利用しているプライベートIPアドレスから地域営業所に
おけるグローバルIPアドレスヘの変換方法です。インターネットへダイアル
アップ接続した場合に割り振られるグローバルIPアドレスは一つです。
T君:IPアドレスの変換機能は、ISDNルータが有していますね。
K氏:はい、そのとおりです。そのIPアドレス変換方式は、IPマスカレードと呼ば
れるものです。機能概要を図5に示します。
図5 IPマスカレードの機能概要
K氏:IPマスカレードは、クライアントから届いたIPパケットのプライベートIP
アドレスを、ISDNルータのグローバルIPアドレスヘ変換します。このとき、
送信元ポート番号もISDNルータが選択した番号に変換されます。サーバ側か
らは、変換されたグローバルIPアドレスとポート番号あてにIPパケットが送
信されます。ISDNルータは、サーバ側から受信したIPパケットのあて先IP
アドレスを元のプライベートIPアドレスに変換し、ボート番号も元に戻しま
す。このため、IPマスカレード機能とIPsec機能を適用する順序が問題となり、
PCのIPsec機能を利用することは、困難だと思います。
T君:分かりました。今回は、IPsec機能付きISDNルータを利用することにします。
A社は、これまでの検討結果に基づいて、新ネットワークヘ移行することにし、具
体的な移行計画の作成を進めた。
設問1
新ネットワークで利用するIP/VPNサービスに関する次の問いに答えよ。
(1)本文中の【 a 】〜【 e 】に入れる適切な字句を答えよ。
(2)アクセス回線に専用線を用いている理由を、PERでのセキュリティの観点
から30字以内で述べよ。
設問2
現ネットワークと新ネットワークの拡張性に関する次の問いに答えよ。
(1)本文中の【 f 】〜【 h 】に入れる拠点名を答えよ。
(2)本文中の【 i 】に入れる適切な字句を答えよ。
設問3
統合業務AP用のサーバと現ネットワークに関する次の問いに答えよ。
(1)分散業務AP用の各サーバを廃止し、統合業務AP用のサーバを本社に設置
することによって解消する問題点を、20字以内で述べよ。
(2)工場と本社間のトラフィック増加が、ほかの拠点に影響を与えた理由を35
字以内で述べよ。ただし、影響があった拠点名を含めてネットワーク構成の観
点から述べること。
設問4
地域営業所と本社の接続試験に関する次の問いに答えよ。
(1)本文中の【 j 】に入れる適切な字句を答えよ。
(2)図4におけるAのPORTコマンドで通知されるポート番号を答えよ。
(3)ISDNルータは、IPヘッダのほかにもIPアドレスの変換を行う。何をどの
ように変換するのか、具体的に70字以内で述べよ.
(4)ISDNルータが表の設定に従って通信を切断した理由を40字以内で述べよ。
(5)パケットモニタリングデータにおいて、IPsec機能を利用しなかったために、
トラブル解析に役立った情報を15字以内で述べよ。
設問5
新ネットワークに関する次の問いに答えよ。
(1)現ネットワークでは、地域営業所を除いた通信に関して信頼性に問題がある
が、新ネットワークヘ移行すれば解消される。ネットワーク構成の観点から、
この解消される問題を50字以内で述べよ。
(2)T君の提案に従って、地域営業所のPCでIPsec機能を実現すると、現在の
ISDNルータ経由では本社と通信ができない。その理由を60字以内で述べよ。
(3)現ネットワークから新ネットワークヘの移行において、IP/VPNサービスを
利用することによって得られる、IPアドレス計画における特長とその理由を
70字以内で具体的に述べよ。
| Tomのネットワーク勉強ノート |
| 過去問(午後) |
| テクニカルエンジニア
(ネットワーク)過去問(午後) |
| テクニカルエンジニア(ネットワーク)過去問 平成13年 午後2 問1
|