平成22年秋期午後問9

ななさん  
(No.1)
https://www.ap-siken.com/kakomon/22_aki/pm09.html 

ネットワーク超初心者です。
「ユーザ認証が成功したPCの所属vlanを検疫エリアに配置されたサーバと同じvlanに設定する」とのことですが、これはタグvlanを使って異なるL2SWで同じvlanを設定しているということなのでしょうか?
それであれば、間にL3SWがあるのにタグvlanを設定するということは可能なのでしょうか?

また、認証に失敗した場合はvlanが割り当てられないとのことですが、vlanが割り当てられないと通信ができない理由は何なのでしょうか?
(サーバからの戻り通信でブロードキャストから外れるというのは何となくわかるのですが、サーバまで行けてしまったらセキュリティ的にはよくない気が・・もしくはvlanが設定されてないとL2SWで通信が拒否されるのでしょうか・・?)
色々聞いてしまってすみません。
教えていただけると嬉しいです
2023.01.31 11:37
AgentTakaさん 
AP シルバーマイスター
(No.2)
ななさん
こんばんは

1日以上経ってもお返事無いのでわたしが引き受けます!

>タグvlanを使って異なるL2SWで同じvlanを設定しているということなのでしょうか?
問題文から「所属VLANは,L2SWのポートごとに一つだけ設定される。」とある様にL2SWのポートはタグvlanではなく、ポートVLANですね。
検疫システムの制御でPCが接続されたL2SWの空きポートのVLANをダイナミック(動的)に設定変更しています。

>それであれば、間にL3SWがあるのにタグvlanを設定する
それでないです、というお返事になってしまいますね。PCとL2SW間はポートVLANです。問題文の状況設定ではタグvlanについては述べられていないのでまずは考えなくていいです。

>vlanが割り当てられないと通信ができない理由は何なのでしょうか?
そもそも認証に失敗している場合、正当なユーザではないということです。不正なユーザは社内ネットワークに接続させてはいけません。
VLANを割り当てる=社内ネットワークと通信出来る、ことになります。VLANは解説にもあります通りVirtual LAN(仮想的なLAN)で、同一VLAN内(同じ仮想LAN内=同じグループ内)の機器間は通信出来るもの、と理解しましょう。
※ただし異なるVLANでもL3SWでルーティングすると通信できます、レイヤ3の目玉ルーティングね。ここでは混乱を招かないように割愛し、あくまでもレイヤ2のデータリンク通信にスポットを当てています。
社内ネットワークには「表1 VLAN一覧」の通りそれぞれVLANが割り当てられていますので、認証に失敗しているユーザ(不正なユーザ)にVLANを割り当てなければ社内ネットワークに接続出来ませんので、セキュアな環境を維持できます。

>サーバまで行けてしまったらセキュリティ的にはよくない気が
その通りです。その認識で合っています。認証するためにはRADIUSサーバと通信しなければなりませんが、解説にもあります通りL2SW、L3SWがオーセンティケータとしてPCとRADIUSサーバの通信を中継しています。
つまり、PCは認証前はL2SWまでしか行けてません。

>もしくはvlanが設定されてないとL2SWで通信が拒否されるのでしょうか・・?
VLANが設定されてないとL2SWが転送先知りませんし分かりませんので結果破棄される(拒否される様に見える)ことになります。

ご質問とお返事に認識の食い違いがあるかも知れません。引き受けておいてそれかよってね。
分かりますかね。
ネットワーク超初心者でしたら応用のネットワーク分野はどれも難しい問題ばかりになっちゃうかなー。
まずOSI参照モデル、各レイヤの理解、各レイヤに対応するネットワーク機器は何だ、というところから入らないとこの問題に限らず応用きかないと思います。
厳しいね、失礼御免下さい。
2023.02.01 23:00
AgentTakaさん 
AP シルバーマイスター
(No.3)
管理人様
いつも大変お世話になっております。

修正依頼です。新規スレ立てませんが埋もれる前に見つけてください。

当スレご質問の、平成22年秋期 午後問9解説です。
設問1オーセンティケータの説明
「限定的に通信に認証を受ける」は問題文から正しく抜粋すると
「限定的に通信し,端末認証を受ける」になるかと存じます。
要約したとしても、限定的に通信に認証、は文章的にどうでしょう。
ご確認よろしくお願い申し上げます。
2023.02.01 23:30
ななさん  
(No.4)
AgentTakaさん

ご回答いただき誠にありがとうございます。
すみません、私の伝え方が良くなかったです。

問題文に「認証に成功しPCを検疫エリアに配置されたサーバーと同じvlanに設定し」とあります。
PCと検疫エリアのサーバーを同じvlanに所属させるのはタグvlanなのではないでしょうか?
それとも別の仕組みがあるのでしょうか?

後段のご説明は違うvlan同士だとL2SWでは通信できない、というので腑に落ちました。
ありがとうございます。
2023.02.02 13:49
pixさん 
AP シルバーマイスター
(No.5)
横から失礼いたします。
説明を補足させて頂きます。

VLANの種類を混同されているようです。本問のVLANは文中にも書いてあるように
IEEEで定義されている「認証VLAN」です。
「ポートVLAN」でも「タグVLAN」でもありません。
今回は検疫システムを実現するために「認証VLAN」を利用しています。

・「認証VLAN」(ダイナミックVLANとも言う)
  PC、サーバ用VLAN
  ユーザ認証や、その時々の状態に応じて自由にVLANを切り替えることができる
・「ポートVLAN」(スタティックVLANとも言う)
  PC、サーバ用VLAN
  あらかじめポートに決まったVLANを設定しておく
・「タグVLAN」
  スイッチとスイッチのトランクポートに設定するVLAN
  複数のVLANを橋渡しするために使用する
  スイッチ - PC、サーバ間には設定しません

もう一点混同されているようですが、複数のスイッチで同じVLANに所属することが
できます。
スイッチ - スイッチ間は複数のVLANを通すためにタグVLANで接続されます。
PCやサーバは1つのVLANにしか属することはできません。
スイッチ - PC間とスイッチ - 検疫サーバ間は同じVLAN(VLAN0)で接続されます。

基本的なフローは以下です
1.PCをL2SWの空きポートに接続する
  ユーザ認証成功:VLAN0(検疫用VLAN)に設定され2.へ
  ユーザ認証失敗:VLAN未設定で終わり(どのVLANにもアクセスできない)
2.PCは検疫サーバによってチェックされる
  チェックOK:VLAN0からVLAN10,20,30,40といったユーザの部署に
              あったVLANに変更される
  チェックNG:VLAN0のままとなりその他のVLANへのアクセスはできない

VLANに関して学習するのであれば、CCNAの関連書籍などで学習することを
おすすめいたします。
2023.02.03 06:34
AgentTakaさん 
AP シルバーマイスター
(No.6)
pixさん
こんばんは

ご指摘ありがとうございます。
認証VLANを全く分かっていないことを自覚致しました。
勉強になりました。
一学習者として成長し続けたいと思います。
今後ともよろしくお願い申し上げます。


ななさん
こんばんは

間違ったお返事をしておりました。
大変申し訳ございませんでした。
願わくばpixさんの(No.5)で正しい認証VLANについて再認識して頂きたく存じます。
埋もれてしまう前に何とか見つけてください!
2023.02.03 20:19
管理人 
(No.7)
>AgentTakaさん
ご報告ありがとうございます。訂正させていただきました。
2023.02.05 13:55
AgentTakaさん 
AP シルバーマイスター
(No.8)
管理人様
いつも大変お世話になっております。

修正にご対応頂きありがとうございました。
念のため確認させて頂いたところ下記の様になっておりました。

誤:「a」と限定的に通信に通信し,端末認証を受ける
正:「a」サーバと限定的に通信し,端末認証を受ける

管理人様もお疲れの様ですね。
休日が無いとも推察でき、休日あるのか体調は問題ないのか心配になりますが
健康第一でご自愛頂ければ幸いでございます。
2023.02.05 17:40
管理人 
(No.9)
再修正させていただきました。
お手数をおかけしてすみません。
2023.02.07 13:22
AgentTakaさん 
AP シルバーマイスター
(No.10)
管理人様
いつも大変お世話になっております。
修正の御対応ありがとうございました。
2023.02.07 22:04

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。

その他のスレッド


Pagetop