模範解答 PC管理サーバ、メンテナンスサーバ

模範解答の2つの機器は分かるのですが、
ここで、DHCPサーバはなぜ不要なのでしょうか？

対処用セグメントのPCにもIPアドレス設定にDHCPを用いるものと思っています。
(2)の模範解答でも、対処用セグメントのPCがDHCPでIPアドレスの払い出しを受けるためにDHCPサーバの設定を行うとあります。

自分も分からなくて、昨日から投稿見て考えてたんですが、閃きました。

対処用セグメントへIPアドレスをDHCPで割り当てるまでは、
正常PCセグメントからの通信だからだ。

なぞなぞみたいでスッキリしました笑

PC管理サーバ、メンテナンスサーバに対しては、対処中のPCからIPパケットが直接各サーバに到達する必要があります。
DHCPは、対処中のPCからL2のブロードキャストが投げられてL3SWのDHCPリレーエージェントが拾って、DHCPリレーエージェントがDHCPサーバとIP通信をします。
PCとDHCPサーバが直接通信するわけではないからでしょう。

>ネスぺさん
こんにちは。

所謂検疫ネットワークに関する問題ですね。
不正PCについては、以下の流れで通信するイメージです。
①DHCPサーバに接続し、対処用セグメントのIPアドレスを付与する
②メンテナンスサーバに接続し、必要なアップデートを行う
③（Sエージェントが合格判定）PC管理サーバに登録する

上記を経て、正常PCに昇格すると考えます。
パッと見、①でDHCPサーバに接続する必要があることになっていますが、この時点ではIPアドレスは付与されておらず、「対処用セグメントのPC」ではないと考えられます。

ここは、設問4(2)と繋がっているかと思われます。
上記の理由で、②と③、つまりメンテナンスサーバとPC管理サーバが正答となっているはずです。

如何でしょうか？

えっ、IPアドレスなしでどうやってメンテナンスサーバ、PC管理サーバと通信するのでしょうか？
まさかの固定IPアドレスを手動で設定ですか？
IPアドレスなしでメンテナンスやPC管理サーバと通信ができる、もしくは、固定IPアドレスを利用するのであれば、DHCPサーバに対処用セグメント用のアドレスプールを追加で設定する目的は何なのでしょうか？

>納豆のたれさん
こんばんは。

>えっ、IPアドレスなしでどうやってメンテナンスサーバ、PC管理サーバと通信するのでしょうか？

上記のような内容は書いておりません。

>パッと見、①でDHCPサーバに接続する必要があることになっていますが、この時点ではIPアドレスは付与されておらず、「対処用セグメントのPC」ではないと考えられます。

「①の時点ではPCにアドレスは設定されておらず」と書いています。

なるほど、IPアドレスが未割当てだから、まだ「対処用セグメントのPCではない」という主張ですね。
対処用セグメントのPCとして、DHCPリレーエージェントとは通信していますが、それでも「対処用セグメントのPCではない」が成り立つとお考えなんですね。

>納豆のたれさん
返信ありがとうございます。

納豆のたれさんで言うところの「対処用『セグメント』のPC」はどのような定義でしょうか？
『セグメント』という以上、どこかのネットワークセグメントに所属しているということにならないでしょうか？

ここでの議論はあまり建設的ではないと思いますので、スレ主さんの反応を待ちましょうかね(;^_^A

>納豆のたれさん

>IPアドレスが未割当てだから、まだ「対処用セグメントのPCではない」という主張ですね。

はい、私もこの認識でした。
"対処用セグメントのIPアドレス"を割り当てるのはDHCPサーバなので。DHCPリレーエージェント以前の話かと思いました。

この投稿は投稿者により削除されました。(2025.03.18 23:46)

No.10 変なところがあったので少し書き直しました。

ちょっと思う付いたことがあるので書き込ませていただきます。
的外れでしたらすみません。

>⑤対処用セグメントから他セグメントの機器への通信は、L3SWのパケットフィルタリングによって必要最小限に制限する。
設問には、
>対処用セグメントの通信先として許可される他セグメントの機器を二つあげ
とあります。これは、パケットフィルタリングで許可することかと思います。
PC管理サーバ、メンテナンスサーバは、許可をすれば通信できますが、
DHCP通信はIPパケットではないので、許可する対象にならないのではないかと思いました。

> DHCP通信はIPパケットではないので、許可する対象にならないのではないかと思いました。
↑
boyonboyonさんによる上記の書き込みを見て、なぜか気付きました。

REQUESTもIPパケットでした。（UDP通信だから考えたら当たり前ですが）
しかし、その通信相手はDHCPリレーエージェントです。

そして、ありがた～い過去スレ
https://www.nw-siken.com/bbs/0312.html

これによると、DHCPリレーエージェントへの通信許可が必要だそうです。

つまり、許可すべき通信相手は、
・DHCPリレーエージェント
・メンテナンスサーバ
・PC管理サーバ
の３つ。

設問では他セグメントの機器を聞いているので、
・メンテナンスサーバ
・PC管理サーバ
の２つが答え。

でどうでしょうか

>納豆のたれさん

DHCP通信は、パケットフィルタリングの対象外だと思っていました。ここが不勉強でした。

通信の流れとしては、
①対処用セグメントからリレーエージェント（ブロードキャスト)
②リレーエージェントからDHCPサーバ（ユニキャスト）
の２つの通信に分けて考え、
①はパケットフィルタリングで許可が必要、
・・・リレーエージェントは、「他セグメントの機器」ではない
②はパケットフィルタリングの対象外、
・・・DHCPサーバが対象外

ということで理解しました。

>boyonboyonさん
すみません、私はまだ理解できていないです。

①の、対処用セグメントが割り当て済みのPCからDHCPへの通信は許可する必要があるのでしょうか？
そのため、対処用セグメントからDHCPサーバへの通信を許可する必要がないのは、リレーエージェント以前に「対処用セグメントの割り当て時は対処用セグメントからの通信ではないから」だと思っているのですが。

教授いただければ幸いです。

この投稿は投稿者により削除されました。(2025.03.21 11:58)

ひょっとして、対処用セグメントの設置の仕方,パケットフィルタリングに認識の違いがあるのかと思いました。

自分は、対処用セグメントについては
「L3SW1又はL3SW2のインターフェースから1つを選びそこにL2SW,PC等をつなげて対処用セグメントを新たに作る」
というイメージです。そして、このインターフェイスでのパケットフィルタリングを考えています。

対処用セグメント→メンテナンスサーバ  許可
対処用セグメント→PC管理サーバ     許可
それ以外の通信
拒否
では、DHCP通信は拒否されてしまうと思います。
なので、DHCP通信を通す許可は必要だと思います。

>対処用セグメントからの通信ではない
は、物理的に不可能ではないかと思うのですが、

>boyonboyon さん
とても詳しくご解説ありがとうございます。
しかし、私の認識がまだ誤ってるのか、

>なので、DHCP通信を通す許可は必要だと思います。
これはどう言った意味でしょうか？


>>対処用セグメントからの通信ではない
これは、"対処用セグメント"が割り当て済みのPCからDHCP通信は発生しないのでは。と言った旨の意味でした。

不正PCを対処用セグメントに接続したときにはまだIPアドレスが払い出されていないので、DHCPサーバから払い出してもらう必要があると思います。
・・・対処用セグメントのアドレスプールから 設問４（２）②

>boyonboyon さん

>ひょっとして、対処用セグメントの設置の仕方,パケットフィルタリングに認識の違いがあるのかと思いました。
この認識が理解できていなかったのですが、
今認識の違いについて理解できました。
ネットワークアドレスのセグメントではなく、物理的な"対処用セグメント"を追加すると言う事だったんですね。
そのセグメントへ、PCを物理的に挿し直して"対処用セグメント"からDHCPサーバへ通信する。と言う意味なのですね。

そう捉えれば、確かに異なりますね。
ありがとうございます。