HOME»ネットワークスペシャリスト掲示板»平成29年度午後1問1について質問です。

ネットワークスペシャリスト掲示板

掲示板検索:

平成29年度午後1問1について質問です。[0108]

nsさん(No.1)

設問4の(1)
本文中の下線(W)について、表2のアクセスリストを設定すべきインターフェースを、図2中の@〜Eの記号で全て答えよ。ここで、アクセスリストはインターフェースの入力方向に設定するものとする。

解答がA、B、C、D
となっているのですが、例えば、表2のアクセスリストをAに設定してPCからVLAN1にアクセスした場合、開発LANのPC(172.16.10.0/24)→SSL-VPN(202.y.44.0/28)→VLAN1(172.16.100.0/24)という経路になると思うのですが
この時、表2の項番1の送信元IPアドレスany、宛先IPアドレス172.16.0.0/16にマッチするので
通信がブロックされてしまうと思うのですが、

2019.10.12 21:11
たけたけさん(No.2)

この投稿は投稿者により削除されました。(2019.10.13 14:24)

2019.10.13 14:24
たけたけさん(No.3)

はじめまして。
受験前の復習も兼ねて、回答させて頂きます。

>例えば、表2のアクセスリストをAに設定してPCからVLAN1にアクセスした場合、開発LANのPC(172.16.10.0/24)→SSL-VPN(202.y.44.0/28)→VLAN1(172.16.100.0/24)という経路になると思うのですが

大筋間違ってないと思います

>この時、表2の項番1の送信元IPアドレスany、宛先IPアドレス172.16.0.0/16にマッチするので
>通信がブロックされてしまうと思う

どこでブロックされているお話か分からないため
一旦、VLANDの話をされているという前提で説明します。

そもそも、開発PCについても
SSL-VPN(L2フォワーディング)で他システムに接続しているため
SSL-VPN装置に到着するまでは宛先IPアドレスは
SSL-VPN装置(202.y.44.2)になるはずです

Dを通過するときのイーサネットフレームとしては、左を先頭にして
                                   
┌──────┬─────────
│宛先MAC(FW) │送信元MAC(開発PC) 
└──────┴─────────
←―L3SWのアクセスリストで見られる――→
┬────────┬──────────┬───┬
│送信元IP(開発PC)│宛先IP(SSL-VPN装置) │…略…│
┴────────┴──────────┴───┴
──────┬───┬───────────┬──────────┬
HTTPヘッダ  │…略…│送信元IP(SSL-VPN用VIP)│宛先IP(拠点別サーバ)│…略…
──────┴───┴───────────┴──────────┴

といった感じではないでしょうか。
Dの時点では、宛先IPアドレスはSSL-VPN装置の202.y.44.2ですので
L3スイッチのアクセスリストには引っかかりません。

ただし、L2フォワーディングしないで直接、拠点別のサーバにアクセスしようとすると
宛先IPアドレスが172.16.0.0/16に引っかかるため
弾かれます。

要するに、L2フォワーディングをする以上は
SSL-VPN装置までは、宛先IPアドレスがSSL-VPN装置となり
SSL-VPN装置に到着して以降は、宛先が172.16.0.0/16となるが
E(VLAN201)を通る分にはブロックされないため
問題ないという認識です。

2019.10.13 14:26
nsさん(No.4)

ご解答ありがとうございます!

>どこでブロックされているお話か分からないため
>一旦、VLANDの話をされているという前提で説明します。

VLAN1のインターフェースに表2のアクセスリストを設定した場合の話です。
開発PCからVLAN1にアクセスする場合、開発LANのPC(172.16.10.0/24)→SSL-VPN(202.y.44.0/28)→VLAN1(172.16.100.0/24)という経路になり
表2の項番1の送信元IPアドレスany、宛先IPアドレス172.16.0.0/16にマッチするので
VLAN1に設定したアクセスリストにより通信がブロックされてしまうのではないかという質問です。

2019.10.14 11:29
ネスペ初心者さん(No.5)

私も復習の意味を込めて返信させていただきます。
SSL-VPN接続前の
@開発PC→SSL-VPN装置間の接続と、
SSL-VPN接続後の
A開発PC→VLAN1(E社セグメント)で
分けて考えたほうが良いかと思います。

@の部分では宛先IPはSSL-VPN装置なので、アクセスリストに引っかかりません。
Aでは、確かに仮想ネットワーク上の宛先はVLAN1ですが、@のトンネルの中での通信のため、アクセスリストには引っかかりません。
Eに設定する表3のアクセスリストを見れば明確かと思います。

この説明でいかがでしょうか。

2019.10.14 20:34
nsさん(No.6)

解答ありがとうございます!

頭悪くてすいません、、
SSL-VPNを経由して、VLAN1にアクセスする場合、
開発LAN→VLAN10→VLAN200→FW→SSL-VPN装置→VLAN1という経路であってますでしょうか?
あっていた場合、SSL-VPN→VLAN1の時に表2の項番1にマッチして通信がブロックされるのではないのでしょうか?



2019.10.14 23:14
ネスペ初心者さん(No.7)

NSさんが、おそらく間違えている箇所を特定できました。

細かい話をすると、SSL-VPN装置→VLAN201→VLAN1です。
この通信はインターフェースAに対して、出力方向の通信です。
表2は設問にもある通り入力方向に設定されているため、引っかかりません。
こういうことでしょうか?

2019.10.14 23:37
nsさん(No.8)

なるほど!!!
>SSL-VPN装置→VLAN201→VLAN1
はAに対して出力方向なのですね!

ただ、E社システムサーバからパケットが出て行く方向が入力方向だとなぜわかるのですか?

問題文に「アクセスリストはインターフェースの入力方向に設定する」と書いてあるのはわかるのですが、インターフェースの入力方向?どっち?ってなりませんか?

2019.10.15 00:34
そんちょさん(No.9)

nsさん、こんにちわ。
たけたけさん、ネスペ初心者さん横レス失礼します。

問題を確認しますと、
1.問題解決策の(1)はVLAN間不正通信制限とあります、
2.下線Wでは、このアクセスリストはL3SWに設定するとあります、
3.設問4の(1)にはアクセスリストはインターフェースの入力方向に設定する場合とあり、
    この場合
    L3SWの各インターフェイスから出ていく通信を出力方向
    L3SWの各インターフェイスに入っていく通信を入力方向
    とそれぞれ解釈しますので、この設問は
「L3SW内の不正なVLAN間通信をアクセスリストを使い、L3SWの各インターフェイスに入ってくる側の通信を制限しましょう」と解釈するのではと考えます。

2019.10.15 18:06
nsさん(No.10)

そんちょさん、解答ありがとうございます!
LS3Wに入ってくるのが入力方向で
LS3Wから出で行くのが出力方向なのですね!!

つまり、SSL-VPN装置を経由しないで、VLAN101から他社のシステムサーバ機器にアクセスした場合、Dインターフェースでブロックされるけど、SSL-VPN装置を経由すれば、EにACLの設定をしていないからアクセスできるというわけですね!!

2019.10.15 19:59
そんちょさん(No.11)

nsさん、ご認識のとおりです!

2019.10.15 20:46
nsさん(No.12)

たけたけさん、ネスペ初心者さん、そんちょさん
ありがとうございました(*≧∀≦*)

2019.10.15 22:10

【返信投稿用フォーム】

お名前(10文字以内)

顔アイコン


本文(2,000文字以内)

記事削除用パスワード(8文字以内)

プレビュー

※宣伝や迷惑行為を防止するため当サイトとIPAサイト以外のURLを含む記事の投稿は禁止されています。

投稿記事削除用フォーム

投稿No. パスワード 
© 2015-2019 ネットワークスペシャリストドットコム All Rights Reserved.

Pagetop