令和4年春期午後問5
広告
たいちさん
(No.1)
https://www.ap-siken.com/kakomon/04_haru/pm05.html
設問1(1)送信元IPアドレス:営業所のNPCとなっていますが、これはNPCのプライベートIPアドレスということでしょうか?
だとしたら、仮に営業所のNPCのIPアドレスが192.168.0.1で、本社のNPCにも192.168.0.1を使っているPCがあった場合、営業所のNPCからトンネルモードでISサーバーを使うとすると、ISサーバーは営業所のNPCと、本社のPCどちらからきた通信なのか、正常に判断できず通信できないとおもったのですが....
共用のDHCPサーバーを使っているとかの記述もないですし、こうゆう拠点間のトンネルモードを使うときは、前もって営業所のNPCと本社のNPCのプライベートIPアドレスの範囲を被らないように設定するのが必須ということでしょうか?
設問1(1)送信元IPアドレス:営業所のNPCとなっていますが、これはNPCのプライベートIPアドレスということでしょうか?
だとしたら、仮に営業所のNPCのIPアドレスが192.168.0.1で、本社のNPCにも192.168.0.1を使っているPCがあった場合、営業所のNPCからトンネルモードでISサーバーを使うとすると、ISサーバーは営業所のNPCと、本社のPCどちらからきた通信なのか、正常に判断できず通信できないとおもったのですが....
共用のDHCPサーバーを使っているとかの記述もないですし、こうゆう拠点間のトンネルモードを使うときは、前もって営業所のNPCと本社のNPCのプライベートIPアドレスの範囲を被らないように設定するのが必須ということでしょうか?
2023.08.27 15:01
boyonboyonさん
★AP シルバーマイスター
(No.2)
図1の注記2に、「・・・それぞれ異なるサブネットに設置されている。」
と書いてあります。
と書いてあります。
2023.08.27 22:17
たいちさん
(No.3)
boyonboyon様
私も最初サブネットマスクの違いで判別してるのかを疑ったのですが、そもそもIPヘッダにサブネットマスクの値は入らないとおもうので、ISサーバーは送信元IPアドレスしかわからず、営業所のNPCが192.168.0.1で、本社のPCが192.168.0.1の場合、、営業所のNPCと本社のPCどちらからきた通信なのか、正常に判断できないとおもっていたのですが、セグメントが違うとどうやって、営業所のNPCと、本社のPCか判別するのか教えていただけないでしょうか。
私も最初サブネットマスクの違いで判別してるのかを疑ったのですが、そもそもIPヘッダにサブネットマスクの値は入らないとおもうので、ISサーバーは送信元IPアドレスしかわからず、営業所のNPCが192.168.0.1で、本社のPCが192.168.0.1の場合、、営業所のNPCと本社のPCどちらからきた通信なのか、正常に判断できないとおもっていたのですが、セグメントが違うとどうやって、営業所のNPCと、本社のPCか判別するのか教えていただけないでしょうか。
2023.08.28 23:51
jjon-comさん
★AP プラチナマイスター
(No.4)
No.2は、次のことを言っています。
注記2 本社の内部LANのNPC(例えば 192.168.1.0/24)、
内部LANのサーバ(例えば 192.168.2.0/24)、
IPsecルータ1(例えば 192.168.3.0/24)、
FW及びDMZは(例えば 192.168.4.0/24)、
(のように、図1におけるL3SWのVLAN機能によって)それぞれ異なるサブネットに設置されている。
注記2 本社の内部LANのNPC(例えば 192.168.1.0/24)、
内部LANのサーバ(例えば 192.168.2.0/24)、
IPsecルータ1(例えば 192.168.3.0/24)、
FW及びDMZは(例えば 192.168.4.0/24)、
(のように、図1におけるL3SWのVLAN機能によって)それぞれ異なるサブネットに設置されている。
2023.08.29 00:15
boyonboyonさん
★AP シルバーマイスター
(No.5)
jjon-comさん
丁寧な、フォローありがとうございます。
スレ主様
サブネットが違うということは、同じIPアドレスにはならないということです。
丁寧な、フォローありがとうございます。
スレ主様
サブネットが違うということは、同じIPアドレスにはならないということです。
2023.08.29 01:22
犬。さん
(No.6)
>たいちさん
こんにちは。
>だとしたら、仮に営業所のNPCのIPアドレスが192.168.0.1で、
>本社のNPCにも192.168.0.1を使っているPCがあった場合、営業所の
>NPCからトンネルモードでISサーバーを使うとすると、ISサーバーは営業所の
>NPCと、本社のPCどちらからきた通信なのか、正常に判断できず通信できないと
>おもったのですが....
ご認識のとおり、本社であろうと営業所であろうと、万が一同じIPアドレス帯を
使用しているとしたら、正常に通信はできないものと思われます。
>共用のDHCPサーバーを使っているとかの記述もないですし、こうゆう拠点間の
>トンネルモードを使うときは、前もって営業所のNPCと本社のNPCのプライベート
>IPアドレスの範囲を被らないように設定するのが必須ということでしょうか?
こちらもご認識どおり、同じ組織内ではプライベートIPアドレスの範囲を
被らないように設計、設定する必要があります。
組織の合併等でプライベートIPアドレスの範囲が重複する場合もありますが、
どちらかが変更するか、或いはNATを使って仮想的に重複を避けていると
思います。
如何でしょうか。
2023.08.29 12:35
たいちさん
(No.7)
boyonboyon様
jjon-com様
犬。様
やっと理解できて、すっきりしました。ありがとうございます。
つまり、IPsecのトンネリングでは元のIPヘッダの送信元IPアドレスの競合が起きてしまう。
そしてその対策としては
・前もって共用のDHCPサーバーでIPアドレスを割り振っておく。
・前もって、ネットワークセグメントを分けて設定しておく。
・共用のDHCPサーバーも使えない、ネットワークセグメントも分けれない場合は、途中でNATを設置して競合しないIPアドレスに変換してから中心する
が代表的な対策ということですね。
jjon-com様
犬。様
やっと理解できて、すっきりしました。ありがとうございます。
つまり、IPsecのトンネリングでは元のIPヘッダの送信元IPアドレスの競合が起きてしまう。
そしてその対策としては
・前もって共用のDHCPサーバーでIPアドレスを割り振っておく。
・前もって、ネットワークセグメントを分けて設定しておく。
・共用のDHCPサーバーも使えない、ネットワークセグメントも分けれない場合は、途中でNATを設置して競合しないIPアドレスに変換してから中心する
が代表的な対策ということですね。
2023.08.29 22:19
犬。さん
(No.8)
>たいちさん
理解されて、すっきりしたとのことですが、誤解があるような気がしていますので、
補足させていただきます。
>つまり、IPsecのトンネリングでは元のIPヘッダの送信元IPアドレスの競合が
>起きてしまう。
起きるケースも0ではありませんが、本問のように、組織が管理するネットワークで
発生することは稀だと思います。
本問で言えば、例えば共用のDHCPサーバを立てなくても、IPsecルータ2にDHCPサーバ
機能があれば、営業所LANのNPCに競合しないIPアドレスを付与することが可能です。
※もちろん、そうするための設計・設定が必要です
ローカルIPアドレスを付与することとIPsecのトンネリングは別問題なので、分けて
考える必要があると思っています。
如何でしょうか。
2023.08.30 13:10
たいちさん
(No.9)
犬。様
わざわざ補足までありがとうございます。
稀ということも理解しました。
わざわざ補足までありがとうございます。
稀ということも理解しました。
2023.08.30 22:14
広告
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
広告