ネットワークスペシャリスト 令和元年 秋季 午後Ⅰ 問3を解説してきます。
出題テーマ:DHCP・ARP
出題テーマはDHCPとARPに関する内容でした。
DHCPについては、DHCPリレーエージェントまではよくネットワークスペシャリストでも情報処理安全確保支援士でも出題されますが、一歩踏み込んだDHCPスヌーピングについても出題されていました。
ARPに関してはARPがどんなものかという基本的な理解があれば、あとは読解力と理解力が問われれるかたちで出題されていました。
一部知識が必要となる問題もありますが、基本的には文章中のヒントから解答することができる国語の問題だったと思います。
設問1
下線部としては、『PCのIPアドレスは、DHCPサーバによって割り当てられる。』とあります。
図1を確認すると各LANセグメント内にはDHCPサーバがなく、サーバ室のセグメントに1台あるという状況です。
DHCPでIPアドレスを割り当てる際、クライアントからDHCP DISCOVERをはじめとしたDHCPのやりとりに用いるパケットはブロードキャストフレーム(L2)で送信されますので同じセグメント内である必要があります。
ですが、今回は異なるセグメントとなっており、そのときに用いるのが『DHCPリレーエージェント』という機能でした。
DHCPリレーエージェントを用いることで、受信したDHCP関連のパケットをユニキャストで指定のDHCPサーバに転送することができます。
次に、DHCPリレーエージェントを設定する機器について考えていきます。
重要な部分として、『L3SW1、L3SW2で設定されているVLANは、全てポートVLANである。』とあります。
なので、各LANセグメントを終端している各L3SWにてDHCPリレーエージェント機能を行ってあげればよいと考えることができますので、機器名は『L3SW1、L3SW2』となります。
DHCPリレーエージェントはネットワークスペシャリストでも情報処理安全確保支援士でもよく出題される内容なので、知らなかったという方はぜひこの機会に覚えておいてください。
設問2 (1)
この問題は知識が必要となる問題です。
下線部として、『DHCPサーバからIPアドレスを取得したPCだけが通信可能となるように、各フロアのL2SWでDHCPスヌーピングを有効にする。』とあります。
スヌーピングはのぞき見という意味で、DHCPのやりとりをのぞき見し不審な動きがあればドロップを行い、DHCPの払い出しを行えないようにしたり、DHCPサーバに対する攻撃などを防ぐことができます。
DHCPスヌーピングを有効にする場合、2種類のポートの設定があります。
- trusted:DHCPサーバ側のポート
- untrusted:DHCPクライアント側のポート
untrustedと設定したポートをスヌーピングの検査対象とすることができ、不審な動きがあればそのポートに着信するパケットはドロップされます。
この機能を無効にすれば、残った機能としては『正常PCだけにIPアドレスを付与するよう、DHCPサーバに機能追加する。』という機能のみとなります。
IPアドレスの払い出しさえされてしまえば通信可能になってしまうわけですので、IPアドレスを手動で設定した機器が通信可能となってします。
ということで解答例としては、『IPアドレスを手動で設定した場合に、通信可能となってしまうこと(31文字)』となります。
設問2 (2)
この問題も知識が必要となる問題です。
L3SW側をuntrustedと設定した場合はこの先にあるDHCPサーバは信頼できないものと判断されて、DHCP関連のパケットがドロップされてしまいます。
なので、L3SW側のポートをtrustedの設定とすることで、DHCPスヌーピングの検査対象から外してあげればよいと考えることができます。
ということで解答例としては、『trustedの設定を行うこと(15文字)』となります。
設問2 (3)
まずは【a】、【b】:通信制限装置が送信するARP応答について考えていきます。
排除対象PCから通信先PCへARPリクエストを送信する場合のやりとりを考えていきます。
送信元MACアドレス:排除対象PC
送信元IPアドレス:排除対象PC
宛先MACアドレス:ブロードキャスト
宛先IPアドレス:通信先PC
送信元MACアドレス:通信先PC
送信元IPアドレス:通信先PC
宛先MACアドレス:排除対象PC
宛先IPアドレス:排除対象PC
このように行うことで、通信先PCのMACアドレスとIPアドレスの対応を知ることができ、通信が開始されます。
重要な部分として、『排除対象PCが送信したARP要求を検出すると、排除対象PCのパケット送信先が通信制限装置となるように偽装したARP応答を送信する。』とあります。
同一セグメント内ではMACアドレスに基づいてスイッチングによって通信の転送が行われます。
排除対象PCが通信先PCに送るはずの通信を通信制限装置宛に送るようにするには、排除対象PCに通信先PCのIPアドレスに対応するMACアドレスは通信制限装置のものとすればよいと考えることができます。
送信元MACアドレス:排除対象PC
送信元IPアドレス:排除対象PC
宛先MACアドレス:ブロードキャスト
宛先IPアドレス:通信先PC
送信元MACアドレス:通信制限装置
送信元IPアドレス:通信先PC
宛先MACアドレス:排除対象PC
宛先IPアドレス:排除対象PC
ということで解答としては、『a:エ 通信制限装置のMACアドレス』、『b:ア アドレス解決対象のIPアドレス』となります。
次に【c】、【d】について考えていきます。
排除対象PCからのARPリクエストを受信した通信先PCはARPリプライを返答しますし、排除対象PCのMACアドレスとIPアドレスの対応を学習してしまいます。
この状態で排除対象PCから通信を受け取ると通信を返答してしまいますので、『排除対象PC宛てパケットの送信先が通信制限装置となるように偽装したARP要求を送信する。』という動作を行うわけです。
送信元MACアドレス:通信制限装置のMACアドレス
送信元IPアドレス:排除対象PC
宛先MACアドレス:ブロードキャスト
宛先IPアドレス:通信先PC
このようなARPリクエストを送信することで、通信先PCからは排除対象PC宛の通信は通信制限装置宛に送られるようになるわけです。
ということで解答は、『c:エ 通信制限装置のMACアドレス』、『d:オ 排除対象PCのIPアドレス』となります。
設問3 (1)
下線部としては『タグVLANを使用せず、フロア間の配線も追加しない構成を選択した。』とあります。
通信を制限する対象としてはPCですし、ARPにて制御を行いますので、通信制限装置はPCと同一セグメントに属している必要があると考えることができ、そのためにはL3SWに接続する必要があります。
また、下線部記載のタグVLANを使用しないこと、フロア間の配線もしないことから、L3SW1とL3SW2にそれぞれ接続する必要がありますので、『2』台となります。
設問3 (2)
通信制限装置については、『通信制限装置のLANポート数は4であり、各LANポートの接続先は、全て異なるセグメントでなければならない。』とあります。
なので、このように接続されていると考えることができ、解答は『LANポート1:L3SW1(or L3SW2)、LANポート2:L3SW1(or L3SW2)、LANポート3:空き、LANポート4:空き』となります。
設問4 (1)
下線部としては、『対処用セグメントから他セグメントの機器への通信はL3SW1及びL3SW2のパケットフィルタリングによって必要最小限に制限する。』とあります。
不正PCは『Sエージェントの検査結果が不合格のPC』とありますので、不正PCを正常PCに戻すにあたり必要な通信先(通信要件)を考えてあげればよいということがわかります。
不正PCを正常PCに昇格させるためには、『PCはメンテナンスサーバを利用して、OSやアプリケーションプログラムのアップデート、ウイルス定義ファイルのアップデートなどを行う。』と各種アップデートが必要とあります
また、Sエージェントについては、『PCにはE社のセキュリティルールに従っているかどうかを検査するソフト(以下、Sエージェントという)がインストールされている。』と記載があり、『Sエージェントは、検査結果をPC管理サーバに登録する。』と、検査結果をPC管理サーバに登録する必要があります。
というこれらの点から、『メンテナンスサーバ、PC管理サーバ』が解答と考えることができます。
設問4 (2)
対処用セグメントを新規に作成するわけですが、新しいセグメントが追加となれば、当然ルーティングも必要になります。
対処用セグメントはL3SW1とL3SW2に追加され、そこからメンテナンスサーバ・PC管理サーバ宛に通信要件がありますが、L3SW0に対処用セグメント宛のルーティングを追加すれば通信が可能となります。
E社のルールとして、『PCのIPアドレスは、DHCPサーバによって割り当てられる。』とありました。
なので、対処用セグメントに接続されるPCについてもDHCPサーバによって割り当てられる必要があると考えることができ、DHCPサーバにて、対処用セグメント用のアドレスプールを用意して払い出せばよいと考えることができます。
ということで解答例としては、『機器:L3SW0、変更内容:対処用セグメント宛のルーティングを追加すること(23文字)』、『機器:DHCPサーバ、対処用セグメントのプールを追加し払い出しを行うこと(25文字)』となります。
公式解答例との比較
私の解答と公式解答を比較してみました。
満点ではないにせよ、少なくとも7割~8割程度は取れているかと思いますので合格ラインには達していると思います。
予想配点はあくまで予想ですので参考程度でお願いします。
出題テーマとしてはDHCPとARPでした。
DHCPに関しては、DHCPリレーエージェント、DHCPスヌーピングのように1歩踏み込んだ知識が必要となる問題でした。
ARPに関しては基本的な知識があれば、あとは読解力、理解力の問題だったかと思います。
総じて、難易度としてはやや易しい~普通程度だったと思います。
配点 |
|||
| 設問1 | 機能名:DHCPリレーエージェント スイッチ:L3SW1、L3SW2 |
機能名:DHCPリレーエージェント スイッチ:L3SW1、L3SW2 |
各2点 |
| 設問2 (1) | IPアドレスを手動で設定した場合に、通信可能となってしまうこと(31文字) | IPアドレスを固定設定すれば、正常PCを以外でも通信できる。 | 5点 |
| 設問2 (2) | Trustedの設定を行うこと(15文字) | DHCPスヌーピングの制限を受けない設定 | 5点 |
| 設問2 (3) | a:エ b:ア c:エ d:オ |
a:エ b:ア c:エ d:オ |
各2点 | 設問3 (1) | 2 | 2 | 2点 |
| 設問3 (2) | LANポート1:L3SW1 or L3SW2 LANポート2:L3SW1 or L3SW2 LANポート3:空き LANポート4:空き |
LANポート1:L3SW1 or L3SW2 LANポート2:L3SW1 or L3SW2 LANポート3:空き LANポート4:空き |
各2点 |
| 設問4 (1) | メンテナンスサーバ PC管理サーバ |
PC管理サーバ メンテナンスサーバ |
各2点 |
| 設問4 (2) | 機器:L3SW0 変更内容:対処用セグメント宛のルーティングを追加すること 機器:DHCPサーバ 変更内容:対処用セグメントのレンジを追加し払い出しを行うこと |
機器:L3SW0 変更内容:対処用セグメントのルーティング情報を追加する。 機器:DHCPサーバ 変更内容:対処用セグメントのアドレスプールを追加する。 |
各2点 各5点 |
引用元
問題および解答例に関しては、独立行政法人 情報処理推進機構(IPA)より引用しています。
