令和6年秋期試験問題 午前問45
問45解説へ
VLAN機能をもった1台のレイヤー3スイッチに40台のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けたとき,スイッチのポートをセグメントに分けない場合に比べて得られるセキュリティ上の効果の一つはどれか。
- スイッチが,PCから送出されるICMPパケットを同一セグメント内も含め,全て遮断するので,PC間のマルウェア感染のリスクを低減できる。
- スイッチが,PCからのブロードキャストパケットの到達範囲を制限するので,アドレス情報の不要な流出のリスクを低減できる。
- スイッチが,PCのMACアドレスから接続可否を判別するので,PCの不正接続のリスクを低減できる。
- スイッチが,物理ポートごとに,決まったIPアドレスをもつPCの接続だけを許可するので,PCの不正接続のリスクを低減できる。
正解 イ問題へ
広告
解説
VLAN(Virtual LAN)は、スイッチに接続された端末を物理的な構成に関係なくグループ化する技術、またはその機能で作られたネットワークのことです。VLANではセグメントを分割する際に複数の方式があります。
- ポートベースVLAN
- スイッチの接続ポート単位でグルーピング
- アドレスベースVLAN
- MACアドレスやIPアドレスを基準にグルーピング
- ポリシーベースVLAN
- IP、IPX、AppleTalkなどのネットワークプロトコルごとにグルーピング
- タグVLAN
- パケット内の拡張タグに指定された情報によってグルーピング
- ICMPパケットはインターネット層(OSI参照モデル第3層のネットワーク層)で動作します。設問ではPCはレイヤー3スイッチで接続されているので、ICMPパケットはレイヤー3スイッチの内部ルータを介して異なるVLAN同士に伝達されます。
- 正しい。同じスイッチに接続されていても、異なるVLAN同士を通信させないセキュリティ効果があります。
- アドレスベースVLANにおけるセキュリティ効果です。
- 「ウ」と同じくアドレスベースVLANにおけるセキュリティ効果です。ポートベースVLANでは、アドレス情報をセグメント分割の判断基準に使用しません。
広告