2019年 春期 応用情報技術者試験 問5

無線LANの導入に関する次の記述を読んで,設問1~3に答えよ

E社は,社員数が150名のコンピュータ関連製品の販売会社であり,オフィスビルの2フロアを使用している。社員は,オフィス内でノートPC(以下,NPCという)を有線LANに接続して,業務システムの利用,Web閲覧などを行っている。社員によるインターネットの利用は,DMZのプロキシサーバ経由で行われている。現在のE社LANの構成を図1に示す。

E社の各部署にはVLANが設定されており,NPCからは,所属部署のサーバ(以下,部署サーバという)及び共用サーバが利用できる。DHCPサーバからIPアドレスなどのネットワーク情報をNPCに設定するために,レイヤ3スイッチ(以下,L3SWという)でDHCPaを稼働させている。

図1 現在のE社LANの構成(抜粋)

総務,経理,情報システムなどの部署が属する管理部門のフロアには,オフィスエリアのほかに,社外の人が出入りできる応接室,会議室などの来訪エリアがある。

E社を訪問する取引先の営業員(以下,来訪者という)の多くは,NPCを携帯している。一部の来訪者は,モバイルWi-Fiルータを持参し,携帯電話網経由でインターネットを利用することもあるが,多くの来訪者から,来訪エリアでインターネットを利用できる環境を提供してほしいとの要望が挙がっていた。また,社員からは,来訪エリアでもE社LANを利用できるようにしてほしいとの要望があった。そこで,

E社では,来訪エリアへの無線LANの導入を決めた。

情報システム課のF課長は,部下のGさんに,無線LANの構成と運用方法について検討するよう指示した。F課長の指示を受けたGさんは,最初に,無線LANの構成を検討した。

【無線LANの構成の検討】

Gさんは,来訪者が無線LAN経由でインターネットを利用でき,社員が無線LAN経由でE社LANに接続して有線LANと同様の業務を行うことができる,来訪エリアの無線LANの構成を検討した。

無線LANで使用する周波数帯は,高速通信が可能なIEEE 802.11acとIEEE 802.11nの両方で使用できるbGHz帯を採用する。データ暗号化方式には,c鍵暗号化方式のAES(Advanced Encryption Standard)が利用可能なWPA2を採用する。来訪者による社員へのなりすまし対策には,IEEEdを採用し,クライアント証明書を使った認証を行う。この認証を行うために,RADIUSサーバを導入する。来訪者の認証は,RADIUSサーバを必要としない,簡便なPSK(Pre-Shared Key)方式で行う。

無線LANアクセスポイント(以下,APという)は,来訪エリアの天井に設置する。APはe対応の製品を選定して,APのための電源工事を不要にする。

これらの検討を基に,Gさんは無線LANの構成を設計した。来訪エリアへのAPの設置構成案を図2に,E社LANへの無線LANの接続構成案を図3に示す。

図2 来訪エリアへのAPの設置構成案
図3 E社LANへの無線LANの接続構成案

図2中の4台のAPには,図3中の新規導入機器のL2SW8からeで電力供給する。APには,社員向けと来訪者向けの2種類のESSIDを設定する。図3中の来訪エリアにおいて,APに接続した来訪者のNPCと社員のNPCは,それぞれ異なるVLANに所属させ,利用できるネットワークを分離する。

社員のNPCは,APに接続するとRADIUSサーバでクライアント認証が行われ,認証後にVLAN情報がRADIUSサーバからAPに送信される。APに実装されたダイナミックVLAN機能によって,当該NPCの通信パケットに対して,APでVLAN10~50の部署向けのVLANが付与される。一方,来訪者のNPCは,APに接続するとPSK認証が行われる。①認証後に,NPCの通信パケットに対して,APで来訪者向けのVLAN100が付与される。

社員と来訪者が利用できるネットワークを分離するために,図3中の②L2SW8のポートに,VLAN10~50又はVLAN100を設定する。ルータ2では,DHCPサーバ機能を稼働させる。

次に,Gさんは,無線LANの運用について検討した。

【無線LANの運用】

RADIUSサーバは,認証局機能をもつ製品を導入して,社員のNPC向けのクライアント証明書とサーバ証明書を発行する。クライアント証明書は,無線LANの利用を希望する社員に配布する。来訪者のNPC向けのPSK認証に必要な事前共有鍵(パ

スフレーズ)は,毎日変更し,無線LANの利用を希望する来訪者に対して,来訪者向けESSIDと一緒に伝える。

来訪者のNPCの通信パケットは,APでVLAN IDが付与されるとルータ2と通信できるようになり,ルータ2のDHCPサーバ機能によってNPCにネットワーク情報が設定され,インターネットを利用できるようになる。社員のNPCの通信パケットは,APでVLAN IDが付与されるとサーバセグメントに設置されているDHCPサーバと通信できるようになり,DHCPサーバによってネットワーク情報が設定され,E社LANを利用できるようになる。

Gさんは,検討結果を基に,無線LANの導入構成と運用方法を設計書にまとめ,F課長に提出した。設計内容はF課長に承認され,実施されることになった。

出典:平成31年度 春期 応用情報技術者試験 午後問題