2022年 春期 応用情報技術者試験 問5
ネットワークの構成変更
問5 ネットワークの構成変更に関する次の記述を読んで、設問1~3に答えよ。
P社は、本社と営業所をもつ中堅商社である。P社では、本社と営業所の間を、IPsecルータを利用してインターネットVPNで接続している。本社では、情報共有のためのサーバ(以下、ISサーバという)を運用している。電子メールの送受信には、SaaS事業者のQ社が提供する電子メールサービス(以下、Mサービスという)を利用している。ノートPC(以下、NPCという)からISサーバ及びMサービスへのアクセスは、HTTP Over TLS(以下、HTTPSという)で行っている。P社のネットワーク構成(抜粋)を図1に示す。
注記2 本社の内部LANのNPC、内部LANのサーバ、IPsecルータ1、FW及びDMZは、それぞれ異なるサブネットに設置されている。
[P社のネットワーク機器の設定内容と動作]
P社のネットワークのサーバ及びNPCの設定内容と動作を次に示す。
・本社及び営業所(以下、社内という)のNPCは、社内DNSサーバで名前解決を行う。
・社内DNSサーバは、内部LANのサーバのIPアドレスを管理し、管理外のサーバの名前解決要求は、外部DNSサーバに転送する。
・外部DNSサーバは、DMZのサーバのグローバルIPアドレスを管理するとともに、DNSキャッシュサーバ機能をもつ。
・プロキシサーバでは、利用者認証、URLフィルタリングを行うとともに、通信ログを取得する。
・外出先及び社内のNPCのWebブラウザには、HTTP及びHTTPS通信がプロキシサーバを経由するように、プロキシ設定にプロキシサーバのFQDNを登録する。ただし、社内のNPCからISサーバへのアクセスは、プロキシサーバを経由せずに直接行う。
・ISサーバには、社内のNPCだけからアクセスしている。
・外出先及び社内のNPCからMサービス及びインターネットへのアクセスは、プロキシサーバ経由で行う。
NPCによる各種通信時に経由する社内の機器又はサーバを図2に示す。ここで、L2SWの記述は省略している。
FWに設定されている通信を許可するルール(抜粋)を表1に示す。
| 項番 | アクセス経路 | 送信元 | 宛先 | プロトコル/宛先ポート番号 |
|---|---|---|---|---|
| 1 | インターネット | any | a | TCP/53、UDP/53 |
| 2 | →DMZ | any | プロキシサーバ | TCP/80801) |
| 3 | DMZ→インター | 外部DNSサーバ | any | TCP/53、UDP/53 |
| 4 | ネット | b | any | TCP/80、TCP/443 |
| 5 | 内部LAN→DMZ | c | 外部DNSサーバ | TCP/53、UDP/53 |
| 6 | 社内のNPC | プロキシサーバ | TCP/80801) |
注 1) TCP/8080は、プロキシサーバでの代替HTTPの待受けポートである。
このため、P社では、サーバの運用負荷の軽減と外出先からの社内情報へのアクセスを目的に、ISサーバを廃止し、Q社が提供するグループウェアサービス(以下、Gサービスという)を利用することにした。GサービスへのアクセスはMサービスと同様にHTTPSによって安全性が確保されている。Gサービスを利用するためのネットワーク(以下、新ネットワークという)の設計を、情報システム部のR主任が担当することになった。
[新ネットワーク構成と利用形態]
R主任が設計した、新ネットワーク構成(抜粋)を図3に示す。
新ネットワークでは、サービスとインターネットの利用状況を管理するために、外出先及び社内のNPCからMサービス、Gサービス及びインターネットへのアクセスを、プロキシサーバ経由で行うことにした。
R主任は、ISサーバの廃止に伴って不要になる、次の設定情報を削除した。
・①NPCのWebブラウザの、プロキシ例外設定に登録されているFQDN
・社内DNSサーバのリソースレコード中の、ISサーバのAレコード
[Gサービス利用開始後に発生した問題と対策]
Gサービス利用開始後、インターネットを経由する通信の応答速度が、時間帯によって低下するという問題が発生した。FWのログの調査によって、FWが管理するセッション情報が大量になったことによる、FWの負荷増大が原因であることが判明した。そこで、FWを通過する通信量を削減するために、Mサービス及びGサービス(以下、二つのサービスを合わせて q-SaaSという)には、プロキシサーバを経由せず、外出先のNPCはHTTPSでアクセスし、本社のNPCはIPsecルータ1から、営業所のNPCはIPsecルータ2から、インターネットVPNを経由せずHTTPSでアクセスすることにした。この変更によって、q-SaaSの利用状況は、プロキシサーバの通信ログに記録されなくなるので、Q社から提供されるアクセスログによって把握することにした。
外出先及び社内のNPCからq-SaaSアクセス時に経由する社内の機器を図4に示す。ここで、L2SWの記述は省略している。
図4に示した経路に変更するために、R主任は、②L3SWの経路表に新たな経路の追加、及びIPsecルータ1とIPsecルータ2の設定変更を行うとともに、NPCのWebブラウザでは、q-SaaS利用時にプロキシサーバを経由させないよう、プロキシ例外設定に、Mサービス及びGサービスのFQDNを登録した。
設定変更後のIPsecルータ1の処理内容(抜粋)を表2に示す。IPsecルータ1は、受信したパケットと表2中の照合する情報とを比較し、パケット転送時に一致した項番の処理を行う。
| 項番 | 照合する情報 | 処理 | ||
|---|---|---|---|---|
| 送信元 | 宛先 | プロトコル | ||
| 1 | 内部LAN | d | HTTPS | NAPT後にインターネットに転送 |
| 2 | 内部LAN | e | any | インターネットVPNに転送 |
IPsecルータ2もIPsecルータ1と同様の設定変更を行う。これらの追加設定と設定変更によってFWの負荷が軽減し、インターネット利用時の応答速度の低下がなくなり、R主任は、ネットワークの構成変更を完了させた。