HOME»情報処理安全確保支援士掲示板»平成30年午後T 問2 設問4(1)

情報処理安全確保支援士掲示板

掲示板検索:

[0727]平成30年午後T 問2 設問4(1)

 アヤヤさん(No.1) 
平成30年午後T 問2 設問4(1)の問題で、L2SWに接続されたPC同士のワーム感染を防ぐ方法として「VLANを使用する」と解答がありますが、ブロードキャスト通信を遮断できても、図3のbの記載のように宛先IP指定の通信は上位のL3SWでルーティングされ通信が届いてしまうのではないでしょうか?
2021.10.02 18:34
わいわいさん(No.2) 
本問のVLANは
「複数VLAN&同一ネットワーク」
を構成するものと思われます
ネットワーク図からもネットワークは変更しないと考えらえます

すべてのPCは同一ネットワークに属するので、他PCへは
デフォルトゲートウェイ経由ではなく、自分自身で送信しようと
試みますが、他PCへのMACアドレスは不明(ARPも失敗)なので
送信失敗すると考えられます
仮にMACアドレスが解っていたとしてもL2SWによってVLAN間の
通信はブロックされるでしょう

この問題は構成について引っかかる方がいると思われます
CiscoのCCNAを学習した方にとってVLANは
「複数VLAN&VLAN毎ネットワーク」
についての解説をしており、VLANはVLAN毎にネットワークを
構成するものという認識があると思います
本問の構成はぱっと見理解しにくいのではと思います

情報処理技術者試験で取り扱うハードウェア、ミドルウェアは
中立的な動作を想定していることが多いので、特定のベンダー製品の
動作・構成に慣れていると逆に解答に手間取るかもしれません
2021.10.02 19:38
hisashiさん(No.3) 
アヤヤさん

>宛先IP指定の通信は上位のL3SWでルーティングされ通信が届いてしまうのではないでしょうか? 

図3のbを指されているので、PCは、それぞれ異なるセグメントかつVLANに所属していることを
前提とします。

ご認識のとおりルーティングで到達できます。
IPAの回答がVLANでセグメント区分けし、PC間を通信させない運用なら、本文にはありませんが、
L3SW側にACLなど設定すれば止めることはできます。
(個人的にはVLANで区分けするような運用ではないと思っております)


わいわいさん

お疲れ様です。時々拝見し勉強させていただいております。
少し否定的で申し訳ございませんが、レスさせてください。


>「複数VLAN&同一ネットワーク」
>を構成するものと思われます
>ネットワーク図からもネットワークは変更しないと考えらえます

この構成は具体的にはどのようになるのでしょうか?

おそらく、L2SWのアップリンクポートは、複数のVLANを束ねてタグLANにし、
L2SWのPC側は、アクセスポートで異なるVLANを割り当てているものと想像しております。

しかし、SVI(VLANのゲートウェイ)に対応できるVLANは1つです。
また、複数のSVIには同じIPアドレスは設定できません。

上述の通りSVIは、1つのVLANにしか対応できずゲートウェイが持てないPCが
存在してしまうのではないでしょうか?

>CiscoのCCNAを学習した方にとってVLANは
>「複数VLAN&VLAN毎ネットワーク」
>についての解説をしており、VLANはVLAN毎にネットワークを
>構成するものという認識があると思います

L2SWやIPルーティングが伴わないL3SWなら、VLANの区分けでセグメントが独立しているので
VLAN毎にネットワークを自由に構成という認識で問題ないと思いますが、
(ネットワークアドレスが重複していようが問題ないという認識)
IPルーティングが伴う場合、SVIを経由する以上、VLANと
ネットワークアドレスの関連付けは無視できないと思います。


私の認識が間違っていればご教示をお願いいたします。


ここからは、本題から外れますが、もし、VLANで区分けしPC間をL2SWで完全に止めてしまう運用なら、
それぞれVLANを用意しなくてはいけません。L3SW用のIP、PCのIP、ネットワークアドレス、ブロードキャストアドレス
で1つのVLANにつき4つのアドレスが消費されます。PCが60台必要なら、ほぼ24ビットのセグメントが埋まります。
IPAの回答は、もっと違った意図かもしれませんが、回答の内容を額面通りにとらえたら、このような運用を想像してしまいます。


これが仮にホテルの個室などで使われているプライベートVLANなら、ものすごく運用が楽になります。
PC用のポートを隔離ポート、L2SWのアップリンクポートやプリンタに接続するポートを混合ポートにすれば、VLANは、2つで済みますし、PC間の通信は完全に遮断されます。また、アヤヤさんが質問された問題も発生しません。
(フレームの宛先MACアドレスが、MACアドレステーブルの送信元のポートに登録されている場合破棄されるので、L3SWでの折り返しが発生しない)
2021.10.03 10:59
わいわいさん(No.4) 
No.3様

>IPルーティングが伴う場合、SVIを経由する以上、VLANと
>ネットワークアドレスの関連付けは無視できないと思います。

本問で使用していると想定するVLANは
CiscoのCatalystなどで一般的に使用される「ポートVLAN」や「タグVLAN」ではなく
「プライベートVLAN」
です
プライベートVLANは隔離を目的としたVLANでVLAN間で通信できないと
いうものです

URLは直接張れないので、検索のヒントを上げておきます
「ネットワークエンジニアとして:Private VLAN」
このページに概要があります

この点は私が中で書いておいた
>この問題は構成について引っかかる方がいると思われます
>CiscoのCCNAを学習した方にとってVLANは
>「複数VLAN&VLAN毎ネットワーク」
>についての解説をしており、VLANはVLAN毎にネットワークを
>構成するものという認識があると思います
>本問の構成はぱっと見理解しにくいのではと思います
この注意点どおり、CiscoのCCNA学習者にとって引っかかると思います
2021.10.03 12:47
わいわいさん(No.5) 
No.3様

>これが仮にホテルの個室などで使われているプライベートVLANなら、
>ものすごく運用が楽になります。
失礼致しました
私の前の解答でプライベートVLANと書きましたが
No.3様もすでに書かれていたのを見落としておりました
私もこの認識です
2021.10.03 12:55
hisashiさん(No.6) 
わいわいさん

レスありがとうございます。
「複数VLAN&同一ネットワーク」という文言から読み解くことが来ませんでした。
後半に記載した通り、私もこれはプライベートVLANだと思ってます。

>この注意点どおり、CiscoのCCNA学習者にとって引っかかると思います
実は、プライベートVLANは旧試験であるCCNP SWITCHに概念としてあります。
そこを学んでいる人は、真っ先に頭に浮かぶと思いました。
2021.10.03 13:05

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

投稿削除用のパスワード(20文字以内)

プレビュー
※宣伝や迷惑行為を防止するため、当サイトとIPAサイト以外のURLを含む文章の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2014-2021 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop