HOME»情報処理安全確保支援士掲示板»平成30年午後Ⅰ 問2 設問4(1)
投稿する
[0727] 平成30年午後Ⅰ 問2 設問4(1)
アヤヤさん(No.1)
平成30年午後Ⅰ 問2 設問4(1)の問題で、L2SWに接続されたPC同士のワーム感染を防ぐ方法として「VLANを使用する」と解答がありますが、ブロードキャスト通信を遮断できても、図3のbの記載のように宛先IP指定の通信は上位のL3SWでルーティングされ通信が届いてしまうのではないでしょうか?
2021.10.02 18:34
わいわいさん(No.2)
本問のVLANは
「複数VLAN&同一ネットワーク」
を構成するものと思われます
ネットワーク図からもネットワークは変更しないと考えらえます
すべてのPCは同一ネットワークに属するので、他PCへは
デフォルトゲートウェイ経由ではなく、自分自身で送信しようと
試みますが、他PCへのMACアドレスは不明(ARPも失敗)なので
送信失敗すると考えられます
仮にMACアドレスが解っていたとしてもL2SWによってVLAN間の
通信はブロックされるでしょう
この問題は構成について引っかかる方がいると思われます
CiscoのCCNAを学習した方にとってVLANは
「複数VLAN&VLAN毎ネットワーク」
についての解説をしており、VLANはVLAN毎にネットワークを
構成するものという認識があると思います
本問の構成はぱっと見理解しにくいのではと思います
情報処理技術者試験で取り扱うハードウェア、ミドルウェアは
中立的な動作を想定していることが多いので、特定のベンダー製品の
動作・構成に慣れていると逆に解答に手間取るかもしれません
「複数VLAN&同一ネットワーク」
を構成するものと思われます
ネットワーク図からもネットワークは変更しないと考えらえます
すべてのPCは同一ネットワークに属するので、他PCへは
デフォルトゲートウェイ経由ではなく、自分自身で送信しようと
試みますが、他PCへのMACアドレスは不明(ARPも失敗)なので
送信失敗すると考えられます
仮にMACアドレスが解っていたとしてもL2SWによってVLAN間の
通信はブロックされるでしょう
この問題は構成について引っかかる方がいると思われます
CiscoのCCNAを学習した方にとってVLANは
「複数VLAN&VLAN毎ネットワーク」
についての解説をしており、VLANはVLAN毎にネットワークを
構成するものという認識があると思います
本問の構成はぱっと見理解しにくいのではと思います
情報処理技術者試験で取り扱うハードウェア、ミドルウェアは
中立的な動作を想定していることが多いので、特定のベンダー製品の
動作・構成に慣れていると逆に解答に手間取るかもしれません
2021.10.02 19:38
hisashiさん(No.3)
アヤヤさん
図3のbを指されているので、PCは、それぞれ異なるセグメントかつVLANに所属していることを
前提とします。
ご認識のとおりルーティングで到達できます。
IPAの回答がVLANでセグメント区分けし、PC間を通信させない運用なら、本文にはありませんが、
L3SW側にACLなど設定すれば止めることはできます。
(個人的にはVLANで区分けするような運用ではないと思っております)
わいわいさん
お疲れ様です。時々拝見し勉強させていただいております。
少し否定的で申し訳ございませんが、レスさせてください。
この構成は具体的にはどのようになるのでしょうか?
おそらく、L2SWのアップリンクポートは、複数のVLANを束ねてタグLANにし、
L2SWのPC側は、アクセスポートで異なるVLANを割り当てているものと想像しております。
しかし、SVI(VLANのゲートウェイ)に対応できるVLANは1つです。
また、複数のSVIには同じIPアドレスは設定できません。
上述の通りSVIは、1つのVLANにしか対応できずゲートウェイが持てないPCが
存在してしまうのではないでしょうか?
L2SWやIPルーティングが伴わないL3SWなら、VLANの区分けでセグメントが独立しているので
VLAN毎にネットワークを自由に構成という認識で問題ないと思いますが、
(ネットワークアドレスが重複していようが問題ないという認識)
IPルーティングが伴う場合、SVIを経由する以上、VLANと
ネットワークアドレスの関連付けは無視できないと思います。
私の認識が間違っていればご教示をお願いいたします。
ここからは、本題から外れますが、もし、VLANで区分けしPC間をL2SWで完全に止めてしまう運用なら、
それぞれVLANを用意しなくてはいけません。L3SW用のIP、PCのIP、ネットワークアドレス、ブロードキャストアドレス
で1つのVLANにつき4つのアドレスが消費されます。PCが60台必要なら、ほぼ24ビットのセグメントが埋まります。
IPAの回答は、もっと違った意図かもしれませんが、回答の内容を額面通りにとらえたら、このような運用を想像してしまいます。
これが仮にホテルの個室などで使われているプライベートVLANなら、ものすごく運用が楽になります。
PC用のポートを隔離ポート、L2SWのアップリンクポートやプリンタに接続するポートを混合ポートにすれば、VLANは、2つで済みますし、PC間の通信は完全に遮断されます。また、アヤヤさんが質問された問題も発生しません。
(フレームの宛先MACアドレスが、MACアドレステーブルの送信元のポートに登録されている場合破棄されるので、L3SWでの折り返しが発生しない)
>宛先IP指定の通信は上位のL3SWでルーティングされ通信が届いてしまうのではないでしょうか?
図3のbを指されているので、PCは、それぞれ異なるセグメントかつVLANに所属していることを
前提とします。
ご認識のとおりルーティングで到達できます。
IPAの回答がVLANでセグメント区分けし、PC間を通信させない運用なら、本文にはありませんが、
L3SW側にACLなど設定すれば止めることはできます。
(個人的にはVLANで区分けするような運用ではないと思っております)
わいわいさん
お疲れ様です。時々拝見し勉強させていただいております。
少し否定的で申し訳ございませんが、レスさせてください。
>「複数VLAN&同一ネットワーク」
>を構成するものと思われます
>ネットワーク図からもネットワークは変更しないと考えらえます
この構成は具体的にはどのようになるのでしょうか?
おそらく、L2SWのアップリンクポートは、複数のVLANを束ねてタグLANにし、
L2SWのPC側は、アクセスポートで異なるVLANを割り当てているものと想像しております。
しかし、SVI(VLANのゲートウェイ)に対応できるVLANは1つです。
また、複数のSVIには同じIPアドレスは設定できません。
上述の通りSVIは、1つのVLANにしか対応できずゲートウェイが持てないPCが
存在してしまうのではないでしょうか?
>CiscoのCCNAを学習した方にとってVLANは
>「複数VLAN&VLAN毎ネットワーク」
>についての解説をしており、VLANはVLAN毎にネットワークを
>構成するものという認識があると思います
L2SWやIPルーティングが伴わないL3SWなら、VLANの区分けでセグメントが独立しているので
VLAN毎にネットワークを自由に構成という認識で問題ないと思いますが、
(ネットワークアドレスが重複していようが問題ないという認識)
IPルーティングが伴う場合、SVIを経由する以上、VLANと
ネットワークアドレスの関連付けは無視できないと思います。
私の認識が間違っていればご教示をお願いいたします。
ここからは、本題から外れますが、もし、VLANで区分けしPC間をL2SWで完全に止めてしまう運用なら、
それぞれVLANを用意しなくてはいけません。L3SW用のIP、PCのIP、ネットワークアドレス、ブロードキャストアドレス
で1つのVLANにつき4つのアドレスが消費されます。PCが60台必要なら、ほぼ24ビットのセグメントが埋まります。
IPAの回答は、もっと違った意図かもしれませんが、回答の内容を額面通りにとらえたら、このような運用を想像してしまいます。
これが仮にホテルの個室などで使われているプライベートVLANなら、ものすごく運用が楽になります。
PC用のポートを隔離ポート、L2SWのアップリンクポートやプリンタに接続するポートを混合ポートにすれば、VLANは、2つで済みますし、PC間の通信は完全に遮断されます。また、アヤヤさんが質問された問題も発生しません。
(フレームの宛先MACアドレスが、MACアドレステーブルの送信元のポートに登録されている場合破棄されるので、L3SWでの折り返しが発生しない)
2021.10.03 10:59
わいわいさん(No.4)
No.3様
本問で使用していると想定するVLANは
CiscoのCatalystなどで一般的に使用される「ポートVLAN」や「タグVLAN」ではなく
「プライベートVLAN」
です
プライベートVLANは隔離を目的としたVLANでVLAN間で通信できないと
いうものです
URLは直接張れないので、検索のヒントを上げておきます
「ネットワークエンジニアとして:Private VLAN」
このページに概要があります
この点は私が中で書いておいた
この注意点どおり、CiscoのCCNA学習者にとって引っかかると思います
>IPルーティングが伴う場合、SVIを経由する以上、VLANと
>ネットワークアドレスの関連付けは無視できないと思います。
本問で使用していると想定するVLANは
CiscoのCatalystなどで一般的に使用される「ポートVLAN」や「タグVLAN」ではなく
「プライベートVLAN」
です
プライベートVLANは隔離を目的としたVLANでVLAN間で通信できないと
いうものです
URLは直接張れないので、検索のヒントを上げておきます
「ネットワークエンジニアとして:Private VLAN」
このページに概要があります
この点は私が中で書いておいた
>この問題は構成について引っかかる方がいると思われます
>CiscoのCCNAを学習した方にとってVLANは
>「複数VLAN&VLAN毎ネットワーク」
>についての解説をしており、VLANはVLAN毎にネットワークを
>構成するものという認識があると思います
>本問の構成はぱっと見理解しにくいのではと思います
この注意点どおり、CiscoのCCNA学習者にとって引っかかると思います
2021.10.03 12:47
わいわいさん(No.5)
No.3様
失礼致しました
私の前の解答でプライベートVLANと書きましたが
No.3様もすでに書かれていたのを見落としておりました
私もこの認識です
>これが仮にホテルの個室などで使われているプライベートVLANなら、
>ものすごく運用が楽になります。
失礼致しました
私の前の解答でプライベートVLANと書きましたが
No.3様もすでに書かれていたのを見落としておりました
私もこの認識です
2021.10.03 12:55
hisashiさん(No.6)
わいわいさん
レスありがとうございます。
「複数VLAN&同一ネットワーク」という文言から読み解くことが来ませんでした。
後半に記載した通り、私もこれはプライベートVLANだと思ってます。
実は、プライベートVLANは旧試験であるCCNP SWITCHに概念としてあります。
そこを学んでいる人は、真っ先に頭に浮かぶと思いました。
レスありがとうございます。
「複数VLAN&同一ネットワーク」という文言から読み解くことが来ませんでした。
後半に記載した通り、私もこれはプライベートVLANだと思ってます。
>この注意点どおり、CiscoのCCNA学習者にとって引っかかると思います
実は、プライベートVLANは旧試験であるCCNP SWITCHに概念としてあります。
そこを学んでいる人は、真っ先に頭に浮かぶと思いました。
2021.10.03 13:05