ネットワークのおべんきょしませんか?

ネットワークのおべんきょしませんか?Vol.983 H17年テクニカルエンジニア(NW)午後解説

カテゴリー: 2009年04月03日
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
CCIEラボ試験対策を効率よく進めるためのコンテンツ

「究めるOSPF」
  http://www.n-study.com/library/2005/11/ccnaccnpccieospfospf.html

「究めるBGP」
  http://www.n-study.com/library/2008/07/bgp_for_ccie_lab.html

「究めるIPマルチキャスト」
  http://www.n-study.com/library/2009/02/ccie_ip_multicast.html

CCNPとCCIEラボ試験には、非常に大きな隔たりがあります。それを埋めようと
洋書やCCOなどWebの情報を基に勉強するのは、かなりの時間がかかります。
OSPF/BGP/IPマルチキャストについて、CCIEラボ試験レベルの技術を身につけ
ていただくためのコンテンツです。
CCIEラボ試験だけでなく、実際のネットワーク構築でも参考にしていただける
内容にしています。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐
|                                                                     |
|              ネットワークのおべんきょしませんか?                   |
|                       http://www.n-study.com/                       |
└─────────────────────────ALL_@bout_Network─┘
2009/04/03 Vol.983  発行部数 約30000

Back Number:      http://blog.mag2.com/m/log/0000046467
有料版PREMIUM:    http://www.n-study.com/premium/index.htm
広告掲載について: http://www.n-study.com/2006/12/post_1.html
WEBサイト広告掲載:http://www.n-study.com/2006/12/web.html
コンテンツ提供:   http://www.n-study.com/2006/12/post_2.html

※メルマガ解除は自己責任で行ってください。発行者ではいっさい対応しませ
  ん。メルマガの最後に各発行スタンドへのリンクを記載しています

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1日1クリック。習慣にしましょ。
http://blog.livedoor.jp/gene_survive/archives/5734503.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※1日1クリックで、ちょっとした社会貢献。ぜひ、習慣にしてください。(Gene)

┌──ALL_@bout_Network────────────────────────┐

  〜INDEX〜

        ◆はじめに
        ◆平成17年テクニカルエンジニア(ネットワーク) 午後2問1設問5
        ◆Geneが講師を担当するセミナー情報
    ◆終わりに

        
└─────────────────────────ALL_@bout_Network─┘

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

     『キーマンズネット』 http://www.n-study.com/books/2005/03/it.html
リクルートが提供するIT製品情報提供サイトです。無料で利用することができ
ます。

IT業界に身をおいている人は、エンジニアの方も営業職の方も関わりなく、キ
ーマンズネットへの登録をオススメします!
キーマンズネットへの登録は、以下のURLからバナーをクリックしてください。
http://www.n-study.com/books/2005/03/it.html

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐


  「はじめに」

こんにちは、発行者の Gene(じーん) です。

最近、「クラウドコンピューティング」という言葉が流行っています。
ネットワーク経由で、アプリケーションのみならず、CPUやストレージなどの
コンピュータリソースを使いたいときに使いたいときだけ利用するのがクラウ
ドコンピューティングですね。
「すべてがクラウドに移行する」なんて言っている人もいますが、クラウドコ
ンピューティングのサービスを提供するアメリカの大手4社のサーバ台数につ
いて、面白い記事がありました。


“雲”の中にサーバーは何台あるか
http://itpro.nikkeibp.co.jp/article/OPINION/20090327/327297/


Microsoft、Google、Yahoo、Amazonの4社で2008年のサーバ台数の20%を購入し
ているそうです。数にして160万台。日本市場のサーバ出荷台数は約60万台だ
そうです。たった4社で日本市場の3倍にもなろうかというサーバを購入してい
るのは、とてつもない・・・
クラウドコンピューティングがどのように発展していくのか、興味深いところ
ですね。そして、ますます、インフラとなるネットワークの重要性が高まって
くるでしょう。一般のユーザは、ネットワークそのものを意識しないようにな
るかもしれません。でも、ITエンジニアにとっては、インフラとしてのネット
ワークの仕組みの理解は、必要不可欠になると思います。

というわけで、新年度がはじまりましたが、読者の方々がネットワーク技術の
仕組みを理解するための参考になるように、今年度もメルマガ/Webサイトがん
ばっていきます。



━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    IT用語を調べるときには・・・キーマンズネット「IT単語帳」
      http://www.n-study.com/network/2008/10/itit.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
                      無料レポートはじめました!!

  ・テクニカルエンジニア(ネットワーク)平成16年午後解説 ≪New≫
  ・テクニカルエンジニア(ネットワーク)平成15年午後解説 ≪New≫
  ・IPルーティング 再び 
  ・IPSecの概要
  ・IPアドレッシングを基本から復習しましょ!
  ・テクニカルエンジニア(ネットワーク)平成14年午後解説
  ・Ciscoルータのダイアルバックアップ
  ・レイヤ3スイッチの考え方とCisco Catalystスイッチの設定
  ・CiscoルータでのBGP集約

 を1つのPDFファイルで読んでいただけます!お申し込みはこちらから↓
                http://www.n-study.com/report.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
            ★PCのアイドル中に社会貢献「Folding@home」★
              http://folding.stanford.edu/Japanese/Main
  チームを作成しました!よろしければ、一緒にご参加ください!!
  チーム番号:64236
  チーム名:N-STUDY
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

└─────────────────────────ALL_@bout_Network─┘

┌──ALL_@bout_Network────────────────────────┐


  「平成17年テクニカルエンジニア(ネットワーク) 午後2問1設問5」

設問5
【解答】


(1)VLAN番号など業務用VLANの設定情報を認証SWに送る。
(2)【b】検疫用VLAN
   【c】業務用VLAN
(3)ポートのリンクダウンを検出する。
   一定時間以上のPCの無通信状態を計測する
(4)・ネットワークの不正利用を防止できる。
   ・メールの私的利用を抑止できる。
(5)その他のPCやネットワークシステム全体にウィルス感染が広がることを防ぐ。


【解説】

(1)
検疫システムの処理の流れについて知っていれば簡単に解答できます。まず、
検疫システムの定義についてから考えます。

※個人的には検疫「ネットワーク」という言葉をよく使いますが、問題
文に合わせて検疫「システム」という言葉を使います。

検疫とは、本来、人やモノが外国から入国する場合に伝染病に感染していない
かを検査することです。コンピュータシステムのウィルスを伝染病に見立てて、
ネットワークに接続するPCがウィルスに感染していないかを検査するシステム
が検疫システムです。

問題文の図5の検疫システム構成とT氏が説明した検疫システムの手順をもう少
し細かく見ていくことにします。
(1)〜(4)の手順は、設問4で考えたIEEE802.1xのユーザ認証の手順です。PCが
認証SWに接続された場合、そのポートは検疫用VLANに割り当てられています。
そして、PC上のサプリカントと認証SW上のオーセンティケータ、認証サーバ間
でIEEE802.1xによるユーザ認証を行います。認証がOKだったら、PCが接続され
たポートがAuthorizedポートになって、PCは認証SWを通じてレイヤ2の通信が
できるようになります。
検疫システムでは、ウィルス感染のチェックを行うときに、PCを業務用VLANと
は別の検疫用VLANに隔離しなければいけません。それを認証SWの未認証の状態
のVLANを検疫用VLANにすることで実現していると考えられます。


 http://www.n-study.com/network/image/TENW-H17-PM2-07.html

PCを検疫用VLANに隔離したあと検査を行うのはTCP/IPの通信で行わせるようで
す。そのためのIPアドレスなどの設定情報が必要です。これを手順(5)、(6)の
DHCPでのアドレス配布で実現しています。問題文には明示的に書いていません
が、DHCPのアドレス配布でもPCの隔離を制御しているのではないかと思います。
検疫用VLANと業務用VLANでは当然、ネットワークアドレスが異なるはずなので、
検疫用VLANのネットワークアドレスからIPアドレスを配布していると考えられ
ます。そして、このIPアドレスはあくまでも検疫処理のときだけの一時的なア
ドレスなので非常に短いリース期間でしょう。

 http://www.n-study.com/network/image/TENW-H17-PM2-08.html


検疫用の一時的なIPアドレスでPCと検査サーバで通信を行い、ウィルスの感染
チェックやOSのセキュリティパッチ、ウィルス定義ファイルのバージョンを確
認します。検査して問題がなければ、その旨を認証サーバに通知します。これ
が手順(7)です。

 http://www.n-study.com/network/image/TENW-H17-PM2-09.html

もし、ウィルスに感染していたり、セキュリティパッチやウィルス定義ファイ
ルがきちんと更新されていなければ、その旨がPCに通知されます。そして、PC
でセキュリティパッチやウィルス定義ファイルを更新するという手順が(8)です。
手順(9)で治療サーバがPCにウィルスチェックを指示して、再起動を促してい
ます。再起動後、手順(1)からもう一度検疫システムの処理を行うことになり
ます。

検査結果を受信すると認証サーバは、PCのVLANを業務用VLANに変更させる処理
をしなければいけません。認証サーバにはおそらくユーザ名に対応するVLAN番
号が登録されていると思われます。ユーザ名に対応するVLAN番号(業務用VLAN)
を認証SWに送信します。認証SWはPCが接続されているポートのVLANを検疫用VLAN
から業務用VLANに変更し、PCが業務用の各種サーバと通信できるようにします。
これが手順(10)です。

 http://www.n-study.com/network/image/TENW-H17-PM2-10.html

この後、ちょっと問題で記述が不足していると思いますが、業務用VLANのPCの
IPアドレスの問題があります。検疫システムの導入前は、PCにはスタティック
でIPアドレスを設定していると問題文にありましたが、検疫システムでチェッ
クした後にスタティックでPCにIPアドレスを設定するのは、ナンセンスです。
おそらく業務用VLANにDHCPサーバが存在していて、業務用VLANのIPアドレスの
割り当てを受けるような構成になるでしょう。

以上のように検疫システムのもう少し細かい動作を見ると、手順(10)で認証サ
ーバから認証SWに送信される情報はVLAN番号やVLAN名などの業務用VLANの設定
情報になります。

(2)
(1)の流れを見れば明らかです。PCは最初、検疫用VLANに所属しています。検
疫システムでのチェックをパスすれば、業務用VLANの所属に変わります。です
から、【b】には「検疫用VLAN」、【c】には「業務用VLAN」が当てはまります。


(3)
IEEE802.1xのユーザ認証でユーザが切断するときは、EAPOL-Logoffフレームを
認証サーバに送信します。正常にPCが終了すれば、この処理が行われて認証SW
のポートがUnauthorizedポートになり利用できなくなります。しかし、この処
理が正常に行われなければ認証SWのポートはAuthorizedポートのままで、ほか
のクライアントPCが接続できてしまう危険性があります。
そこで、認証SWで配下のPCの状態を監視しましょうと言うことです。PCの状態
を監視するために一番簡単に思いつくのが、リンクダウンの検出です。PCとSW
は今では1対1で接続されているのでPCのリンクが落ちたら自動的に認証SWのリ
ンクもダウンします。これを検出するのが一番簡単です。
ただし、間にシェアードハブが入っているような環境では、PCがダウンしても
SW側のリンクダウンは発生しません。シェアードハブが間にはいるような構成
にしていること自体がまずいとは思いますが、こうした状況を考慮して、ほか
の監視方法も考えます。

ほかの監視方法として、PCの通信を計測して、一定時間通信が発生しなければ
ダウンしたと見なす方法も考えられます。後は、PCに対して定期的にPingを行
う方法も考えられます。ただ、PingするためにはPCのIPアドレスが必要です。
認証SWにPCのIPアドレスを保持する必要があるので、Pingで確認するのはちょ
っと難しいかもしれません。

最後のPingは現実的には難しいかもしれませんが、

・リンクダウン
・無通信状態の計測
・Ping

の3つのうち2つを解答すればいいでしょう。
また、この問題とは直接関係ありませんが、IEEE802.1xのユーザ認証では、ユ
ーザIDとパスワードがわからなくてもクラッカーに侵入されてしまう可能性が
あるので注意しましょう。
下記の図のように、認証SWとPCの間にシェアードハブを挿入しておいて、正規
のPCのユーザ認証が成功した後にシェアードハブに別のPCを接続してLANにア
クセスすることが可能です。

 http://www.n-study.com/network/image/TENW-H17-PM2-11.html

こうした危険性をなくすために、IEEE802.1xのユーザ認証と一緒にMACアドレ
スベースのポートセキュリティの設定もしておくとより安全になるでしょう。


(4)
この問題のネットワークの目的とその解決策は次の通りです。

・メールによる情報漏えいの防止
  解決策:モニタ型メール収集システムによるメール監査
・ウィルス侵入の防止
  解決策:検疫システムの導入

2つの目的に対する解決策の別の効果を解答すればいいです。

まず、モニタ型メール収集システムによるメール監査を行うことによって、社
員がやりとりするすべてのメールを保存して内容を確認できる仕組みが整いま
す。実際に通常時のメールの中身をチェックするかどうかは社員のプライバシ
ー保護の観点から難しいです。
しかし、社員に対して「すべてのメールは保存されていて後から、内容をチェ
ックすることができる」ということを周知すれば、業務に関係ない私用メール
の抑止になるでしょう。
また誤って削除してしまったメールも、復旧できるようになります。メールの
やりとりでトラブルが発生した場合でも、メールをトラブル解決の証拠として
利用しやすい環境になります。
モニタ型メール収集システムによるメール監査の運用上の効果としては、

・私用メールの抑止
・メール復旧の容易性
・メールの証拠能力の維持

などを考えればいいでしょう。

次に、検疫システムの導入の効果についてです。検疫システムでは、認証SWに
よるIEEE802.1xのユーザ認証を行うようにしています。これにより、ネットワ
ークの不正利用・侵入を抑止することができます。前問の補足のケースのよう
に100%不正利用・不正侵入を防ぐことができるわけではありませんが、何も行
わない場合よりも格段にネットワークの不正利用・侵入を防ぐことができます。
また、検疫システムを導入することで、PCのセキュリティレベルを維持する作
業が自動化されます。これまでは、管理者からの通知によってユーザ自らが作
業しなければいけませんでした。これを人件費に換算するとバカにならない金
額になるはずです。それが自動化されることに伴うコスト削減の効果も見込め
ます。検疫システム導入の効果としては、

・不正利用の防止
・PCのセキュリティレベルを維持するためのコスト削減

あたりを考えればいいでしょう。

解答としては、片方の解決策に偏るのではなく、両方から1つずつ解答した方
がいいと思います。


(5)
問題文の前半部分から下線5の部分の「本来の目的」を読み取ればいいだけな
ので、そんなに難しくないでしょう。

ウィルスに感染したPCがネットワークに接続されたことによって、その他のPC
も合計40台ウィルスに感染し、最終的にはネットワークシステム全体が8時間
停止しました。これを何とかしようと考えて、検疫システムの導入を決めたわ
けです。

つまり、ウィルス対策の本来の目的とは、ほかのPCやネットワークシステム全
体にウィルス感染が広がらないようにすることです。これを40字以内でまとめ
れば解答になります。

【参考URL】
・検疫ネットワーク:ネットワークのおべんきょしませんか?
  http://www.n-study.com/network/2005/12/post_72.html
・@IT:特集:検疫ネットワークとは(前編)
  http://www.atmarkit.co.jp/fnetwork/tokusyuu/27keneki/01.html


└─────────────────────────ALL_@bout_Network─┘

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
    たまにはシティーホテルでのんびり過ごしたいなぁって言う方は
               一休ドットコムの高級ホテル・旅館の予約
                 ≪ http://www.n-study.com/ikkyu/ ≫ 

 ホテル体験レポートもありますよ!
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐


  「Geneが講師を担当するセミナー情報」
    http://www.n-study.com/page/gene.html

Geneが講師を担当するセミナー情報です。幅広い分野のネットワーク技術をわ
かりやすく解説します。ご興味があるセミナーがあれば、ぜひご参加ください。



2009/4/18 「Ultimate OSPF(仮)」
ネクストワークス主催(有料)
http://www.nextworks.co.jp/02_seminar/gene01.html
OSPFのさまざまな設定を実機でのデモを通じて、より深く理解していただくた
めのセミナーです。
主にCCIEラボ試験を想定しています。CCIEラボで必要なさまざまなOSPFのコン
フィグレーションについて、その意味と設定・検証コマンドを紹介していきま
す。
CCIEラボにフォーカスしていますが、実環境でOSPFの設定を行うときにも参考
にしていただける内容です。

2009/04/19「複数のルーティングプロトコルを使いこなす!」
オフィスエヌスタディ主催(有料)
http://www.n-study.com/page/post-6.html
複数のルーティングプロトコルを利用する際に必要な技術が再配送です。たく
さんのルーティングプロトコルの設定が必要なCCIEラボ試験では、再配送をき
ちんと理解しておかないと合格は望めません。また、ルートフィルタや最適な
ルートの調整なども必要です。
CCIEラボ試験だけではなく、実際のネットワークの構築でも再配送やフィルタ
はよく使う技術です。このセミナーでは、再配送について仕組みから実機での
設定まで短時間でマスターすることを目的にしています。

2009/4/22 「ルートマップをバリバリと使えるようになるポイント!」
パソナテック主催(無料)
http://www.pasonatech.co.jp/event/index.jsp?mode=2&d=on&no=1179
CCIEラボ試験に合格するためには、自由自在にルートマップを設定できなけれ
ばいけません。CCNPでもルートマップについて出てきますが、CCNP用のテキス
トの解説ではCCIEには不十分です。
このセミナーでは、ルートマップの構文から復習し、さまざまな応用例を通じ
て、CCIEラボ試験に必要なルートマップの設定技術を解説します。


「Geneにネットワーク技術の講師をやってもらいたい!」という研修担当の方
は↓をご覧ください。

「Geneが御社のネットワーク技術研修の講師を承ります」
  http://www.n-study.com/page/gene-instructor.html

└─────────────────────────ALL_@bout_Network─┘

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
         【新バージョンのCCNAにいち早く対応! 日経BP刊】

Cisco CCNA ICND1テキスト 640-822[640-802含む]対応
www.amazon.co.jp/exec/obidos/ASIN/4822283410/networkstudy-22/ref=nosim/

Cisco CCNA ICND2テキスト 640-816[640-802含む]対応
www.amazon.co.jp/exec/obidos/ASIN/4822283429/networkstudy-22/ref=nosim/

新バージョンに対応した書籍では、一番早いはずです。これは、単に試験に
合格するだけではなくて、自信を持って「ネットワーク技術の基本は完
璧です!!」と言っていただけるようにするためです。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
        「ICND1/ICND2テキストに準拠したCCNA問題集」

日経BP社から出版されているICND1/ICND2テキストに対応したCCNA問題集です。
もちろん現行試験 640-802Jに対応しています。

豊富な問題数と詳細な解説で、試験合格のみならず、実務でCiscoデバイスを
扱うスキルアップを目指す方にぴったりです。


「ネットワーク技術をしっかり身に付けて
              CCNAに合格するための『CCNA問題集』 640-802J対応!」
      http://www.n-study.com/library/2007/03/ccnaccna.html
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

┌──ALL_@bout_Network────────────────────────┐


  「終わりに」

F1開幕しました。フェラーリファンのぼくにとっては、何だかなぁという開幕
戦でした。2000年代はじめの開幕に強いフェラーリはどこにいってしまったん
だろう。
ブラウンGPは、とてつもなく速かった。2004年のフェラーリのマシンみたいで
した。う〜ん、これは正直言って厳しいかも。開発リソースが限られていると
はいえ、このギャップを埋めるのは大変そうです。
きちんとしたサーキットで開催されるマレーシアGPでのレースで、ブラウンと
フェラーリの速さの差に注目しています。

あ、CSのフジテレビの契約しないと・・・

└─────────────────────────ALL_@bout_Network─┘
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

お申込好評受付中!!
 NE向けセミナー「複数のルーティングプロトコルを使いこなす!」
http://www.n-study.com/page/post-6.html


日時:2009/04/19(日) 13:30-18:00
料金:15,750円(税込み)

【参加申込ページ】
・クレジット決済
https://infostore.jp/rg.do?ip=nstudy&pd=20
・銀行振込
http://www.n-study.com/page/post-6.html#form

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


                    ★ご購読ありがとうございました★
┌──ALL_@bout_Network────────────────────────┐
|                                                                     |
|WRITTEN BY:Engineer Support info@n-study.com                        |
|WEB PAGE  :http://www.n-study.com/                                  |
|                                                                     |
|           Copyright(C) 2008 Engineer Support All Rights Reserved   |
|                                                                     |
|このメールマガジンは以下のシステムを利用して発行しています。解除、メ |
|ールアドレス変更は以下のリンクからご自分で行ってください。代行は行い |
|ません。                                                             |
|なお、このメールマガジンの内容について、いかなる損害が生じても補償を |
|することはできません。記載されている情報は、読者の方々の各自のご判断 |
|でご利用ください。                                                   |
|                                                                     |
|◆めろんぱん  http://www.melonpan.net/                               |
|  http://www.melonpan.net/melonpa/mag-detail.php3?mag_id=000105      |
|◆インターネットの本屋さん『まぐまぐ』 http://www.mag2.com/          |
|  http://www.mag2.com/m/0000046467.htm                               |
|◆総合メールマガジンポータルサイト melma! http://www.melma.com       |
|  http://www.melma.com/mag/01/m00017301/                             |
|◆カプライト                                                         |
|  http://cgi.kapu.biglobe.ne.jp/m/1676.html                          |
|◆E-Magazine                                                         |
|  http://www.emaga.com/info/gene.html                                |
|                                                                     |
└─────────────────────────ALL_@bout_Network─┘

ついでに読みたい

ネットワークのおべんきょしませんか?

発行周期:  週3回程度 最新号:  2019/03/22 部数:  10,619部

他のメルマガを読む