【令和4年】ネスペ午後1-2の解説
令和4年度のネットワークスペシャリスト(ネスペ)の午後問題の解説をしていきます。
今回は午後1-2の問題をわかりやすく説明します。本問では主にVRF、IPsec、NW構成変更後の通信制御などの内容が問われました。
画像はすべてIPA公式から引用しております。
令和4年度 春期 ネットワークスペシャリスト試験(NW)午後Ⅰ
他年度の午後問題の解説は別記事でまとめていますので、ぜひ参考にしてください。
設問1(1)
まずは必ず設問から確認しましょう。「下線①のIPアドレス」とあるので該当箇所を探します。「P社営業支援サービスでは、特定のIPアドレスから送信されたパケットだけを許可するアクセス制御を設定・・」とあります。
P社営業支援サービスもわからないので、該当箇所を探すと下線①の上部に記載があります。そこから、P社営業支援サービス宛のパケットは、FWを経由していることがわかります。また、FWはパケットフィルタリングによるアクセス制御と、NAPTによるIPアドレスの変換を行うため、NAPT変換後のグローバルIPアドレスを答えればよさそうです。
表1中のIPアドレスで答える必要があるため、表1でFWでNAPT変換後のグローバルIPアドレスを探します。よって、答えはa.b.c.dです。
答えは、a.b.c.d
設問1(2)
設問1(2)では空欄aに入れる字句を答える問題です。該当箇所を探します。VRFの内容を答えればよいため、空欄aの答えはルーティングです。
VRFとは、ルーターの仮想化技術で、1つのルータ上で独立した複数のルーティングテーブルを保持できる機能です。
答えは、ルーティング
設問1(3)
空欄b
次も空欄穴埋め問題です。該当箇所を探していきます。いずれの空欄も、ネットワーク機器に設定しているVRFと経路情報をまとめた表に記載されています。表2の下にネットワーク機器に設定している経路制御が記載されているので、ここから読み取れそうです。
まず空欄bです。空欄bがある本社のIPsecルータの説明を探しますが、表2下の記述には特にネクストホップの装置について明記されていないので、別の図や表を確認します。
現行のネットワーク構成をみると、本社のIPsecルータのネクストホップになりそうな機器は本社のL3SW、または、営業所のIPsecルータとわかります。
本社のL3SW、または、営業所のIPsecルータが候補という前提でさきほどの表2で確認すると、空欄bの制御方式は「動的経路制御」であることがわかります。
また、「本社のIPsecルータには、営業所のIPsecルータとIPsecVPNを確立するために、静的なデフォルトルートを設定している」と記載があるため、営業所のIPsecルータは静的経路制御されているとわかります。よって答えは、本社のL3SWです。
空欄bの答えは、本社のL3SW
空欄c
空欄cは空欄bで解説したとおり、「本社のIPsecルータには、営業所のIPsecルータとIPsecVPNを確立するために、静的なデフォルトルートを設定している」と記載があるため、営業所のIPsecルータは静的経路制御されているとわかります。よって答えは、静的経路制御です。
空欄cの答えは、静的経路制御
空欄d
空欄dは、営業所のIPsecルータのVRF 65000:2の経路制御方式を答える問題です。「営業所のIPsecルータ」というキーワードで表2下の説明を確認すると、「本社及び営業所のIPsecルータには、営業所のPCが通信するパケットをIPsec VPNを介して転送するために、トンネルIFをネクストホップとした静的経路を設定している」と記載があります。
空欄dの答えは、静的経路制御
設問1(4)
表2中から選ぶとあるので、表2を確認します。「本社のIPsecルータ」が選択する経路を答えるので、VRF識別子65000:1か、65000:2だとわかります。
また、「営業所のPCからP社営業支援サービス宛のパケット転送するとき」とあるため、本文に詳細な記載がないか確認します。
さきほどの空欄dで確認したように、「本社及び営業所のIPsecルータには、営業所のPCが通信するパケットをIPsec VPNを介して転送するために、トンネルIFをネクストホップとした静的経路を設定している」とあるため、VRF識別子65000:2となります。
加えて、「営業所のPCからP社営業支援サービス宛のパケットは、営業所のIPsecルータ、本社のIPsecルータ、L3SW、FW及びインターネットを経由してP社営業支援サービスに送信される」という記載から、宛先ネットワークは0.0.0.0/0になります。
答えは、VRF識別子は65000:2、宛先ネットワークは0.0.0.0/0
設問1(5)
本文中の下線②とあるので該当箇所を探します。これまでで見てきた箇所ですね。「本社のIPsecルータには、営業所のIPsecルータとIPsecVPNを確立するために、静的なデフォルトルートを設定している」理由を考えていきます。
表1を確認すると、営業所のIPsecルータのISPルータ向けのインターフェースで設定されているグローバルIPアドレスは注釈4から、「ISPから割り当てられた動的なグローバルIPアドレス」と記載があります。
また、注釈3では、本社のFWとIPsecルータのISPルータ向けのインターフェースには、固定のグローバルIPアドレスが設定されていることが読み取れます。
そのため、ISPから割り当てられる営業所のIPsecルータのグローバルIPアドレスが動的であるが故に、本社のIPsecルータにはデフォルトルートを設定していることがわかります。
本問のようにネットワークスペシャリストでは注釈が非常に重要なヒントになるため、困ったら必ず確認しましょう。
答えは、ISPが割り当てる営業所のIPsecルータのグローバルIPアドレスが動的だから(34字、IPA公式解答)
設問1(6)
本文中の下線③の該当箇所を探します。本社のIPsecルータで再配布する静的経路を答える問題ですね。
表2から本社のIPsecルータで候補になりそうな静的経路は、VRF識別子65000:1の0.0.0.0/0、または、VRF識別子65000:2の172.17.1.0/24(営業所のLAN)です。
OSPFによる経路制御は、「本社のFW、L3SW及びIPsecルータ」に設定をされていると記載があり、それらの機器は172.17.1.0/24(営業所のLAN)の経路情報を知りません。そのため、本社のIPsecルータで172.17.1.0/24(営業所のLAN)の経路情報を、OSPF内に再配布する必要があります。よって答えは、172.17.1.0/24(営業所のLAN)です。
再配布とは、異なるルーティングプロトコルを使用する異なるネットワーク間で経路情報を交換することです。
答えは、172.17.1.0/24(営業所のLAN)
設問2(1)
空欄e
再び空欄問題です。まずは該当箇所を探します。空欄を含む一文で解く知識問題です。
空欄eの答えは、暗号です。
ESPトレーラとは、IPsecにおけるEncapsulating Security Payload (ESP)の一部で、ESPヘッダと暗号化されたデータの後に付加されるフィールドです。ESPトレーラには、ペイロードの完全性を確認するための認証データが含まれます。
空欄f
空欄fの答えは、IPです。
IPsecでは、トンネルモードでの通信において、IPsecがパケットを転送するための新しいIPヘッダを追加します。ESPにより、元のIPヘッダとパケットのペイロードとともに暗号化されます。
一方、トランスポートモードの場合は、元のIPヘッダは変更されず、ESPによりパケットのLayer4以上のデータ部のみを暗号化できます。
空欄g
空欄gは、Childです。
IKE SAとは、IPsec通信においてSA(Security Association)を生成し管理するためのプロトコルであるIKE(Internet Key Exchange)によって生成されるSAです。
SA(Security Association)とは、IPsec通信において通信を始める前に暗号化方式や暗号鍵などの情報を交換・共有し、安全な通信路を確立することを指します。
Child SAとは、IKE SAを介してネゴシエートされた任意のSAであり、ESPによる暗号化でトラフィックを保護するためのSA(IPsec SA)または別のIKE SAを作成するために使用できるSAです。
空欄h
空欄hの答えは、鍵長です。これはむしろ答えられる人のが少ないはずです。
Diffie-Hellman方式は、公開鍵暗号方式で共通鍵を共有するためのアルゴリズムです。通信の暗号化に使われる共通鍵を、通信の相手と共有するために使用されます。
設問2(2)
「POPとのIPsec VPNを確立できない場合に」と問題文にあるため、POPとのIPsec VPNをはるまでの通信経路で確認できるところを探します。以下の記載のとおり、IKE SAとChild SAでネゴシエーションをしています。よって答えは、IKE SAとChild SAです。
答えはIKE SA、Child SA
設問3(1)
本文中の下線④とあるため、該当箇所を探します。「R主任は、Q社SGWサービスがN社以外にも提供されていると考えて、NAPTのためにQ社SGWサービスから割当てを受けたグローバルIPアドレスのサービス使用を、Q社に確認した」と記載があります。
下線④の前文で、「Q社SGWサービスがN社以外にも提供されている」とあるので、その点を懸念していることがわかります。Q社SGWサービスがN社に割り当てるグローバルIPアドレスがN社以外のものと被らないことを確認したと考えられます。
よって答えは、N社に割り当てるグローバルIPアドレスがN社以外のものと被らない旨を20字にまとめればよさそうです。
答えは、N社のIPアドレスが他社と被らないこと(19字)
IPA公式解答は、N社専用アドレスであること(16字)
設問3(2)
本文中の下線⑤とあるので該当箇所を探します。「P社営業支援サービスの応答時間の測定」とあるので、ネットワークの構成変更(SGWサービスの導入)に伴う、応答時間の変化を気にしていることがわかります。
以下、現行ネットワーク構成と新規ネットワーク構成の違いは、Q社のPaaS及びSGWサービスを経由するかしないかの違いです。NW構成の変更点と経路遅延について明記すれば解答となりそうです。
答えは、Q社SGWサービス経由によるネットワーク遅延がおきるから(28字)
IPA公式解答は、Q社SGWサービスの経由によって発生する遅延(22字)
ネスペ要点まとめ(復習用)
本ページで解説した、ネスペ令和4年午後1 問2の過去問も含めて、別記事でネスペ午後過去問の要点をまとめていますので、復習用にぜひ活用ください。
