応用情報技術者過去問題 令和3年秋期 午後問5
⇄問題文と設問を画面2分割で開く⇱問題PDF問5 ネットワーク
LANのネットワーク構成変更に関する次の記述を読んで,設問1~4に答えよ。
K社は,従業員約200名の自動車部品製造会社である。主に国内自動車メーカーから注文を受けて,駆動系部品の開発・設計・製造を行っている。K社の事務所は,工場敷地内の3階建ての事務棟に置かれており,各フロアで企画部,開発製造部,営業部及び総務部の,事務所勤務を行う社員約100名が業務を行っている。
事務棟にはK社LANが敷設されており,社員は一人1台のデスクトップPC(以下,DPCという)を使って各自の業務を行っている。現在のK社LANは,サーバを接続するサーバLAN,DPCを接続するPC LAN,及びDMZの三つのサブネットワークで構成されている。無線LANは未導入で,DPCは有線LANで接続している。各部署の業務で扱っている重要情報と,それを管理するサーバを表1に示す。また,現在のK社ネットワーク構成を図1に示す。 PC LANとサーバLANはL3SW及びL2SWで接続されており,各DPCから全てのサーバにアクセスすることができる。各サーバ内の情報には,社員IDとパスワードで認証を行い,許可された社員だけがアクセスできる。
〔セキュリティ強化のための対策〕
K社では,サーバの認証情報の設定ミスによって,総務部の一部の社員が顧客情報を入手して閲覧できる状態になっていたというインシデントが発生した。K社では同種のインシデントへの対策として,セキュリティの強化を行うことになった。まず,PC LANを部署ごとに異なるサブネットワークに分割し,サブネットワークごとに接続可能なサーバを定め,それ以外のサーバへのアクセスを遮断することにした。また,ランサムウェアなどの新たな脅威に対応できるウイルス対策ソフトを全てのDPCに導入することにした。サーバLAN上にウイルス対策ソフトの更新サーバを導入し,全てのDPCから定期的にアクセスして,ウイルス定義ファイルを最新の状態にすることにした。更新サーバのIPアドレスは 192.168.101.21 とした。
ネットワーク構成の変更を担当することになった総務部のLさんは,各フロアに設置されているL2SWを利用して,既設のPC LANを部署ごとに異なるサブネットワークに分割し,各サブネットワークにVLANを割り当てることを考えた。分割後のK社ネットワーク構成案を図2に,L3SWのアクセスコントロールリストを表2に示す。 Lさんが検討したセキュリティ強化のための対策案を総務部内で説明したところ,表3に示す課題が指摘された。Lさんは,各課題に対して対策を検討した。〔物理配線の検討〕
表3の項番1,項番2の課題に対応して,既設のPC LAN用のケーブルを撤去し,新たなケーブルを配線することにした。フロア内のL2SWからDPCまでの配線は,①1000BASE-T方式に対応したUTPケーブルとした。また,1階のサーバルームに設置したL3SWから各フロアのL2SWまでは,②最大10Gビット/秒で通信可能な光ファイバケーブルとした。
〔無線LAN導入の検討〕
表3の項番3の課題に対して,事務棟の各フロアで無線APの設置に適した場所の調査を行った。その結果,電源の確保が困難な設置場所が判明した。また,事務棟が東西方向に約50mと細長く,部屋を仕切る壁が厚いことや金属製の扉が多いことも確認した。
そこで,各フロアに設置するL2SWを今後リプレースする場合には,UTPケーブルで無線APに電力供給が可能なc機能を備える機器を導入することにした。また,③導入予定の無線APと各DPCの設置位置での電波強度の調査を行うことにした。
〔VLAN構成の検討〕
表3の項番4の課題に対して,一つのフロアに複数部署が混在したり,部署がフロア内やフロア間で移動する可能性を考慮して,ネットワークスイッチのポート単位にVLANを設定するポートベースVLANではなく,一つのポートに複数のVLANを同時に設定できるdVLANの機能を備えるネットワークスイッチを導入することにした。
現状の部署の配置を前提とした,ネットワークスイッチのフロア配置を図3に示す。図2のネットワーク構成を図3のネットワークスイッチで構成した場合の,各ネットワークスイッチのVLAN構成の案を表4に示す。
Lさんの検討案は総務部内で承認され,具体的な実施計画を策定することになった。
K社は,従業員約200名の自動車部品製造会社である。主に国内自動車メーカーから注文を受けて,駆動系部品の開発・設計・製造を行っている。K社の事務所は,工場敷地内の3階建ての事務棟に置かれており,各フロアで企画部,開発製造部,営業部及び総務部の,事務所勤務を行う社員約100名が業務を行っている。
事務棟にはK社LANが敷設されており,社員は一人1台のデスクトップPC(以下,DPCという)を使って各自の業務を行っている。現在のK社LANは,サーバを接続するサーバLAN,DPCを接続するPC LAN,及びDMZの三つのサブネットワークで構成されている。無線LANは未導入で,DPCは有線LANで接続している。各部署の業務で扱っている重要情報と,それを管理するサーバを表1に示す。また,現在のK社ネットワーク構成を図1に示す。 PC LANとサーバLANはL3SW及びL2SWで接続されており,各DPCから全てのサーバにアクセスすることができる。各サーバ内の情報には,社員IDとパスワードで認証を行い,許可された社員だけがアクセスできる。
〔セキュリティ強化のための対策〕
K社では,サーバの認証情報の設定ミスによって,総務部の一部の社員が顧客情報を入手して閲覧できる状態になっていたというインシデントが発生した。K社では同種のインシデントへの対策として,セキュリティの強化を行うことになった。まず,PC LANを部署ごとに異なるサブネットワークに分割し,サブネットワークごとに接続可能なサーバを定め,それ以外のサーバへのアクセスを遮断することにした。また,ランサムウェアなどの新たな脅威に対応できるウイルス対策ソフトを全てのDPCに導入することにした。サーバLAN上にウイルス対策ソフトの更新サーバを導入し,全てのDPCから定期的にアクセスして,ウイルス定義ファイルを最新の状態にすることにした。更新サーバのIPアドレスは 192.168.101.21 とした。
ネットワーク構成の変更を担当することになった総務部のLさんは,各フロアに設置されているL2SWを利用して,既設のPC LANを部署ごとに異なるサブネットワークに分割し,各サブネットワークにVLANを割り当てることを考えた。分割後のK社ネットワーク構成案を図2に,L3SWのアクセスコントロールリストを表2に示す。 Lさんが検討したセキュリティ強化のための対策案を総務部内で説明したところ,表3に示す課題が指摘された。Lさんは,各課題に対して対策を検討した。〔物理配線の検討〕
表3の項番1,項番2の課題に対応して,既設のPC LAN用のケーブルを撤去し,新たなケーブルを配線することにした。フロア内のL2SWからDPCまでの配線は,①1000BASE-T方式に対応したUTPケーブルとした。また,1階のサーバルームに設置したL3SWから各フロアのL2SWまでは,②最大10Gビット/秒で通信可能な光ファイバケーブルとした。
〔無線LAN導入の検討〕
表3の項番3の課題に対して,事務棟の各フロアで無線APの設置に適した場所の調査を行った。その結果,電源の確保が困難な設置場所が判明した。また,事務棟が東西方向に約50mと細長く,部屋を仕切る壁が厚いことや金属製の扉が多いことも確認した。
そこで,各フロアに設置するL2SWを今後リプレースする場合には,UTPケーブルで無線APに電力供給が可能なc機能を備える機器を導入することにした。また,③導入予定の無線APと各DPCの設置位置での電波強度の調査を行うことにした。
〔VLAN構成の検討〕
表3の項番4の課題に対して,一つのフロアに複数部署が混在したり,部署がフロア内やフロア間で移動する可能性を考慮して,ネットワークスイッチのポート単位にVLANを設定するポートベースVLANではなく,一つのポートに複数のVLANを同時に設定できるdVLANの機能を備えるネットワークスイッチを導入することにした。
現状の部署の配置を前提とした,ネットワークスイッチのフロア配置を図3に示す。図2のネットワーク構成を図3のネットワークスイッチで構成した場合の,各ネットワークスイッチのVLAN構成の案を表4に示す。
Lさんの検討案は総務部内で承認され,具体的な実施計画を策定することになった。
設問1
表2中のa,bに入れる適切な字句を答えよ。
解答入力欄
- a:
- b:
解答例・解答の要点
- a:192.168.101.12
- b:22
解説
まず解答の前提として、以下のセキュリティ対策が講じられていることを確認します。
送信元IPアドレス 192.168.65.0/24 は、図2より開発製造部LANであることがわかります。表1より開発製造部は設計管理サーバを利用しますから、開発製造部LANから設計管理サーバへのアクセスを許可するルールが必要となります。図2を見ると、設計管理サーバのIPアドレスは 192.168.101.12 なので、許可するのは 192.168.65.0/24 から 192.168.101.12 へのアクセスです。
∴a=192.168.101.12
〔bについて〕
宛先IPアドレス 192.168.101.21 は更新サーバのIPアドレスです。更新サーバには全てのDPCからアクセスを許可する必要がありますが、対応するルールは1つなので、送信元IPアドレスとして、DPCが配置されている各部署のLANを集約したIPアドレス(ネットワークアドレス)を記載することになります。4つの部署のIPアドレスを集約すると、以下のように22ビット目までが共通です。共通部分をネットワークアドレスにすると 192.168.64.0、プレフィックス長は22となります。よって、送信元IPアドレスに記載するのは 192.168.64.0/22 が適切です。
∴b=22
- PC LANを部署ごとに異なるサブネットワークに分割し,サブネットワークごとに接続可能なサーバを定め,それ以外のサーバへのアクセスを遮断することにした。
- サーバLAN上にウイルス対策ソフトの更新サーバを導入し,全てのDPCから定期的にアクセスして,ウイルス定義ファイルを最新の状態にすることにした。更新サーバのIPアドレスは 192.168.101.21 とした。
送信元IPアドレス 192.168.65.0/24 は、図2より開発製造部LANであることがわかります。表1より開発製造部は設計管理サーバを利用しますから、開発製造部LANから設計管理サーバへのアクセスを許可するルールが必要となります。図2を見ると、設計管理サーバのIPアドレスは 192.168.101.12 なので、許可するのは 192.168.65.0/24 から 192.168.101.12 へのアクセスです。
∴a=192.168.101.12
〔bについて〕
宛先IPアドレス 192.168.101.21 は更新サーバのIPアドレスです。更新サーバには全てのDPCからアクセスを許可する必要がありますが、対応するルールは1つなので、送信元IPアドレスとして、DPCが配置されている各部署のLANを集約したIPアドレス(ネットワークアドレス)を記載することになります。4つの部署のIPアドレスを集約すると、以下のように22ビット目までが共通です。共通部分をネットワークアドレスにすると 192.168.64.0、プレフィックス長は22となります。よって、送信元IPアドレスに記載するのは 192.168.64.0/22 が適切です。
- 192.168.64.0 → 11000000 10101000 01000000 00000000
- 192.168.65.0 → 11000000 10101000 01000001 00000000
- 192.168.66.0 → 11000000 10101000 01000010 00000000
- 192.168.67.0 → 11000000 10101000 01000011 00000000
∴b=22
設問2
〔物理配線の検討〕について,(1),(2)に答えよ。
解答群
- カテゴリ3
- カテゴリ5e
- カテゴリ6
- カテゴリ6a
解答入力欄
解答例・解答の要点
- イ,ウ,エ
- 通信可能な最長距離が長いから (14文字)
解説
- 1000BASE-T方式は、最大伝送速度1Gbpsの規格ですから、1Gbps以上の速度に対応したケーブルを使用しなければなりません。LANケーブルのカテゴリによる性能の違いは以下のようになっています。1Gbps以上の速度がでるのはカテゴリ5e以上なので、解答群の中で該当する規格は、「イ:カテゴリ5e」「ウ:カテゴリ6」「エ:カテゴリ6a」の3つです。※カテゴリ7以上はSTPケーブルのみです。
∴イ,ウ,エ - UTPケーブルの最大ケーブル長は原則として100m以内ですが、光ファイバケーブルは伝送中の信号損失が少なく種類によるものの300mから数十kmと長距離の配線に向いているという伝送特性があります。
1階から3階まで配線すると少なくとも20m以上の長距離配線になります。事務棟は工場敷地内に置かれていますが、工場にはノイズを発生させる機器が多数あり、シールドなしのUTPケーブルだと外部ノイズの影響で通信品質が低下することが考えられます。一方、光ファイバケーブルはノイズに強く、長距離配線でも通信品質が落ちることがありません。これが光ファイバーケーブルを選択した理由だと考えられます。
∴通信可能な最長距離が長いから
設問3
〔無線LAN導入の検討〕について,(1),(2)に答えよ。
- 本文中のcに入れる適切な字句を,アルファベット3字で答えよ。
- 本文中の下線③について,電波強度の調査を実施せずに無線APを導入した場合に,発生するおそれのある不具合を,Lさんの調査結果を踏まえて,30字以内で述べよ。
解答入力欄
- c:
解答例・解答の要点
- c:PoE
- PCの通信に必要な電波強度が確保できない (20文字)
解説
- 〔cについて〕
LANケーブルを介して電源を供給する機能であり、アルファベット3文字ですから「PoE」が当てはまります。
PoE(Power over Ethernet)は、イーサネットのLANケーブルを通じて電力を供給する技術です。屋外に設置されるネットワークカメラや、天井や壁に設置される無線LANアクセスポイントのように、電源コンセントがない又は電源配線が難しい場合に利用されます。利用にはPoEに対応した機器が必要です。
∴c=PoE - 無線LANの電波は直線距離で50mから100mほど飛びますが、無線APから離れるほど電波は弱くなっていきます。また、無線APと端末の間に障害物があると、金属で反射したり、障害物の中を通り抜けたり、回り込んだりするうちに減衰します。
Lさんの調査内容として「事務棟が東西方向に約50mと細長く,部屋を仕切る壁が厚いことや金属製の扉が多い」とあるように、事務棟は無線LAN通信に適した環境とは言えず、無線APの設置位置によってはフロアの隅々まで十分な電波が届かない可能性が考えられます。Q社では将来的にDPCからノートPCへの置き換えを検討することになっていますから、ノートPCに置き換えた際に電波強度が足りずに通信できない場所があるという事態を避けなければなりません。この事態を見越して前もって電波強度の調査を行ったと判断できます。
逆に言うと、電波強度の調査を実施せず適用内地に無線APを設置した場合には、「場所によって無線LANの電波が届かない」「無線LANの電波が弱く通信できない」といった不具合が生じるおそれがあります。
∴PCの通信に必要な電波強度が確保できない
設問4
〔VLAN構成の検討〕について,(1)~(3)に答えよ。
- 本文中のdに入れる適切な字句を5字以内で答えよ。
- 表4のe,fに入れる適切なVLAN IDを全て答えよ。
- 図3のフロア配置に対して,総務部が1階に移動した場合,VLAN構成に変更を加える必要がある。このうち,変更を加えるべきL3SWのポートのポートIDを全て答えよ。また,変更内容を30字以内で述べよ。
解答入力欄
- d:
- e:
- f:
- ポート番号:
- 変更内容:
解答例・解答の要点
- d:タグ (2文字)
- e:VLAN64,VLAN67
- f:VLAN65
- ポート番号:P1,P3
- 変更内容:総務部のVLAN67をP1に設定しP3から削除する (25文字)
解説
- 〔dについて〕
1つのポートを複数のVLANに所属させることのできる技術として「タグVLAN」があります。タグVLANは、イーサネットフレームにタグと呼ばれるデータを付加し、各スイッチがタグを見て制御する方式です。ポートベースVLANではVLANの数だけスイッチ間の物理リンクが必要となるので、部署を配置するフロアが変更になった際に、フロア間の管路の配線を変更する必要があり面倒です。タグVLANでは1つの物理リンクで複数の異なるVLANトラフィックを流すことができ、スイッチの構成情報を変更するだけでポートが属するVLANを容易に変更できます。したがって、空欄dには「タグ」が当てはまります。
タグベースVLAN、タギングVLANと呼ばれたりするので、それでも正解になるでしょう。
なお、1つのポートを複数のVLANに所属させることのできる技術としては、タグVLANの他に「マルチプルVLAN(プライベートVLAN)」と呼ばれる方式があります。こちらはポートベースで異なるVLAN間の通信を遮断しつつ、複数のVLANに属する特定のポートを設定するものですが、タグVLANのように複数のスイッチにまたがって動作させることができません。また、VLANごとにサブネットワークで分離しないので、異なるVLANグループが同じネットワークに属することになります。したがって、L3スイッチでIPアドレスベースのアクセス制御を行っている本問には不適です。
∴d=タグ - 〔eについて〕
図3を見ると、P3とP31は企画部LANと総務部LANに接続しているので、この2つの部署のどちらの通信も送受信できるようになっている必要があります。図2より、企画部LANは"VLAN64"、総務部LANは"VLAN67"ですから、この2つのVLAN IDを設定することになります。
∴e=VLAN64,VLAN67
〔fについて〕
図3を見ると、P21とP22は開発製造部LANに接続しているので、開発製造部の通信だけを送受信できるようになっている必要があります。図2より、開発製造部LANは"VLAN65"ですから、このVLAN IDを設定することになります。また、P21の接続先であるP2に設定されるVLAN IDが"VLAN65"であることからも答えを導くことができます。
∴f=VLAN65 - L3SW中にはP1、P2、P3の3つのポートしかないのでいずれかとなります。総務部は3階から1階に移動するため、変更を加えるべきは、これまで総務部LANの通信を送受信していたP3と、移動後に総務部LANの通信を送受信することになるP1です。よって、変更を加えるポートのポートIDは「P1,P3」です。
具体的には2つのポートに対し、次の変更をすることになります。- P3は総務部LANの通信を送受信することがなくなるので、総務部のVLAN ID"VLAN67"をL3SWのP3から削除する
- P1は総務部LANの通信を送受信することになるため、総務部のVLAN ID"VLAN67"をL3SWのP1に追加する
∴ポート番号=P1,P3
変更内容=総務部のVLAN67をP1に設定しP3から削除する