令和3年度春、午後Ⅰ、大問1設問3(2)cについて

tonaiSEさん  
(No.1)
運用管理サーバがRT管理コントローラからLLDP-MIBを取得する際に、
どのような通信経路になるのか、確認させてください。

解説を確認したところ、下記の記載がありますが、
問題文に下記の旨の通信制約が記載されているため、
矛盾しているように思いました。

<解説の内容>
図3を見ると、本社の運用管理サーバは、RTのRPを経由してインターネットにアクセスできる。
それゆえ、RESTAPIを使い、RT管理コントローラから当該MIBの情報を収集することが分かる。

<通信制約>
1.インターネットからRT00のRPに接続した機器への接続は不可。
2.RT00のBPはL2overIPトンネルを各店舗RTとの間に構築しているため、RT00のBPを経由した本社外から本社内への通信は、店舗RTからの通信に限られる。

上記解説によると、LLDP-MIB取得のためのリクエスト通信は、
運用管理サーバ→RT00のRP、RT00のEP→インターネット→RT管理コントローラ
という流れになり、レスポンスはその逆になると解釈しています。
しかし、その解釈の場合、レスポンスの通信は上記の通信制約1番に矛盾します。

仮に、RT00のBPを経由した通信を想定した場合、上記通信制約の2番に矛盾します。

以上のことから、LLDP-MIB取得のリクエスト通信は、
運用管理サーバ→RT00のRP、RT00のEP→ISP-C(C社のネットワーク<閉域網?>)→RT管理コントローラ

という流れになり、レスポンスの通信はその逆になるのかな?
と思ったのですが、確証が得られず、ご教示いただけますと幸いです。
2022.02.12 11:56
hisashiさん 
NW ゴールドマイスター
(No.2)
>運用管理サーバ→RT00のRP、RT00のEP→インターネット→RT管理コントローラ
>という流れになり、レスポンスはその逆になると解釈しています。
>しかし、その解釈の場合、レスポンスの通信は上記の通信制約1番に矛盾します。

こちらは通信制約「1.」には該当しません。
上記は、
「RPに接続した機器は、RTのNAT機能を介してインターネットにアクセスできる。」
に該当します。

ルータのアクセスリストは、行きと戻りを考慮する必要がありますが、NAPTの設定の場合、
戻りパケットは、フィルタされません。FWのステートフルインスペクションと同じ動きになるからです。
ご家庭のNAPTでブロードバンド接続ルータを介してインターネットをするイメージです。

ちなみに
「インターネットからRPに接続した機器へのアクセスはできない。」
この制約を破るのは、EPの特定ポートを開放し、開放ポートと宛先NATで運用管理サーバに関連付ける設定を入れる場合です。

LLDP-MIB取得のリクエスト通信経路は、戻り経路を含めご提示のとおりです。
2022.02.12 22:38
tonaiSEさん  
(No.3)
ご回答ありがとうございます。
NAT、または、NAPTを実行してインターネットに接続するルータについては、
原則問題文に記載がなくても、ステートフルパケットインスペクションの機能が
ある(よくある家庭内のブロードバンド接続ルータでの
インターネット接続も同様)という前提で解釈すべきであると理解しました。
認識齟齬あれば、ご指摘いただけますと幸いです。

>ルータのアクセスリストは、行きと戻りを考慮する必要がありますが、NAPTの設定の場合、
>戻りパケットは、フィルタされません。FWのステートフルインスペクションと同じ動きにな>るからです。
>ご家庭のNAPTでブロードバンド接続ルータを介してインターネットをするイメージです。

通信制約1について、問題文の言葉を引用すると、
「RPに接続した機器は、RTのNAT機能を介してインターネットに接続できる。インターネットからRPに接続した機器へのアクセスはできない。」
との記載があります。

この記述だけを読むと、内部からインターネット向けのリクエストに対して、
インターネットからRPに接続した機器へのアクセスは可能であるとは読み取れなかったため、
質問させていただきました。

分かりやすくご回答いただき、ありがとうございます。
2022.02.20 14:07

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。

その他のスレッド


Pagetop