平成29年秋午後2の問1
サスケさん
(No.1)
直接問題の解答とは関係ないところが多いのですが、
問題の意味が分からないところがありました。
分かる人がいましたら教えて頂けないでしょうか?
・図1のA社の工場内で、外部NW用のL2SWがあるけど何のためにあるかさっぱりわかりません。
どういう用途で使うものなのでしょうか?
・設問1の穴埋めの「あ」の部分ですが説明文にFWに転送されるって書いてあるから予想できたけど
本来ゲートウェイになるのはルータで、ルータ宛のIPアドレスになるのが普通ではないのか?
このルータは何しているもの?
・図4でVLANをきっている意味がいまいち分かりません。
新FWをL3SW的に使って、別のネットワークセグメントに行きたいときは必ず新FWを通ってフィルタリングをするためと考えていいのでしょうか?
問題の意味が分からないところがありました。
分かる人がいましたら教えて頂けないでしょうか?
・図1のA社の工場内で、外部NW用のL2SWがあるけど何のためにあるかさっぱりわかりません。
どういう用途で使うものなのでしょうか?
・設問1の穴埋めの「あ」の部分ですが説明文にFWに転送されるって書いてあるから予想できたけど
本来ゲートウェイになるのはルータで、ルータ宛のIPアドレスになるのが普通ではないのか?
このルータは何しているもの?
・図4でVLANをきっている意味がいまいち分かりません。
新FWをL3SW的に使って、別のネットワークセグメントに行きたいときは必ず新FWを通ってフィルタリングをするためと考えていいのでしょうか?
2019.07.25 11:55
わっつさん
(No.2)
稚拙な見解ですが,一助となれば幸いです。
私も図の範囲ではなんのためにあるのかわかりませんでした。
後の問題文でも特に言及されていなようなので出題者による情報ノイズなのかもしれません。
詳細な設定の説明がないので推測になりますが,"RT-1"はエッジ(終端)ルータではなく,コア(中継)ルータの位置付けでグローバルネットワーク同士の中継を目的に設置しているのではないかと思います。
対して"RT-2"はグローバルネットワークとローカルネットワークを接続するエッジルータの位置付けになっています。
これについては図2のハードウェア構成によるものです。
OFS1のp7から新FWへは物理ポート1本で接続されています。
新FWは終端装置ではなく(図4では)内部NW,外部NW,DMZに接続すべき装置なので本来であれば複数の物理ポートに抜けるような接続になります。
しかし,何らかの制約により物理ポート1本で接続することになったため,VLANで論理的にネットワークを分割する設計になったのではと思います。
この辺りはSDN制御でL2にVLANの指定が可能なので問題として出題者が盛り込みたかったのでは?と勝手に思っています。
>>図1のA社の工場内で、外部NW用のL2SWがあるけど何のためにあるか
私も図の範囲ではなんのためにあるのかわかりませんでした。
後の問題文でも特に言及されていなようなので出題者による情報ノイズなのかもしれません。
>>このルータは何しているもの?
詳細な設定の説明がないので推測になりますが,"RT-1"はエッジ(終端)ルータではなく,コア(中継)ルータの位置付けでグローバルネットワーク同士の中継を目的に設置しているのではないかと思います。
対して"RT-2"はグローバルネットワークとローカルネットワークを接続するエッジルータの位置付けになっています。
>>図4でVLANをきっている意味
これについては図2のハードウェア構成によるものです。
OFS1のp7から新FWへは物理ポート1本で接続されています。
新FWは終端装置ではなく(図4では)内部NW,外部NW,DMZに接続すべき装置なので本来であれば複数の物理ポートに抜けるような接続になります。
しかし,何らかの制約により物理ポート1本で接続することになったため,VLANで論理的にネットワークを分割する設計になったのではと思います。
この辺りはSDN制御でL2にVLANの指定が可能なので問題として出題者が盛り込みたかったのでは?と勝手に思っています。
2019.08.06 22:10
わっつさん
(No.3)
補足させてください。
SDNはハードウェアの構成はなるべくシンプルにして論理的にネットワーク構成を設定することが目的の技術と認識しています。
ネットワーク構成が変わってもコントローラ(OFC)の設定を変更で対応が可能となるという思想です。(物理的に機器を増やさないといけない場合はこの限りではありません)
そのため,機器間の物理的な結合は性能的な制約(※)がなければ,原則1本とするのがリソース面,管理面で合理的な構成となります。
※機器間の要求される転送速度の合計がワイヤーレートを超える場合など
>>図4でVLANをきっている意味
SDNはハードウェアの構成はなるべくシンプルにして論理的にネットワーク構成を設定することが目的の技術と認識しています。
ネットワーク構成が変わってもコントローラ(OFC)の設定を変更で対応が可能となるという思想です。(物理的に機器を増やさないといけない場合はこの限りではありません)
そのため,機器間の物理的な結合は性能的な制約(※)がなければ,原則1本とするのがリソース面,管理面で合理的な構成となります。
※機器間の要求される転送速度の合計がワイヤーレートを超える場合など
2019.08.07 08:53
サスケさん
(No.4)
わっつさん回答ありがとうございます。
問題には直接関係ないけど、なんでこんな構成を作ったのか不思議ですよね。WAFやIDS/IPSを設置するのかなって、調べてみるとFWの内側に設置するのが常とう手段みたいなのでこの線は無し。
後思いつくのは、外部NWのL2SWにミラーポートを作ってファイヤーフォールに遮断される前のパケットを監視するとかなのかな?って妄想してます。
中継ルータって考え方はすっかり抜けてました。Rip,OSPFなどを使って中継するルータの事ですね。でも、中継っているんだろうか??いきなりFWでゲートウェイをおいても良さそうな気がします。そう考えると、外部NWというセグメントを作るためにこんな構成にしてるようですね。
問題の構成の中で、VLANを意識して動作するのはFWだけなんですね。自分で何が分からず困っているのか分からないまま、とんちんかんな質問を書いてしまったみたいです。
せっかく各エリアをVLANを分けて整理しているのに、VLANタグを付けてパケットを送信する先はFWだけで、他の機器はまるでVLAN情報を渡されないからVLANって何のためって混乱してました。。。。
VLANで区分けされたネットワークを意識するのはFWだけで、VLANタグもFWだけが受け取ってVLANを意識すればいいんですね。
SDNの補足分かりやすかったです。ありがとうございます。
>>図1のA社の工場内で、外部NW用のL2SWがあるけど何のためにあるか
問題には直接関係ないけど、なんでこんな構成を作ったのか不思議ですよね。WAFやIDS/IPSを設置するのかなって、調べてみるとFWの内側に設置するのが常とう手段みたいなのでこの線は無し。
後思いつくのは、外部NWのL2SWにミラーポートを作ってファイヤーフォールに遮断される前のパケットを監視するとかなのかな?って妄想してます。
>>このルータは何しているもの?
中継ルータって考え方はすっかり抜けてました。Rip,OSPFなどを使って中継するルータの事ですね。でも、中継っているんだろうか??いきなりFWでゲートウェイをおいても良さそうな気がします。そう考えると、外部NWというセグメントを作るためにこんな構成にしてるようですね。
>>図4でVLANをきっている意味
問題の構成の中で、VLANを意識して動作するのはFWだけなんですね。自分で何が分からず困っているのか分からないまま、とんちんかんな質問を書いてしまったみたいです。
せっかく各エリアをVLANを分けて整理しているのに、VLANタグを付けてパケットを送信する先はFWだけで、他の機器はまるでVLAN情報を渡されないからVLANって何のためって混乱してました。。。。
VLANで区分けされたネットワークを意識するのはFWだけで、VLANタグもFWだけが受け取ってVLANを意識すればいいんですね。
SDNの補足分かりやすかったです。ありがとうございます。
2019.08.07 11:02
返信投稿用フォーム
スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。