問題
本文中の下線⑫について、FW10 にどのようなポリシーベースルーティング設定が必要か。70字以内で答えよ。
[インターネット接続の切替え]
次に、Eさんはインターネット接続を本社経由からD社閉域NW経由へ切り替えることについて検討した。
インターネット接続の切替え期間中の構成を図4に示す。
※プロキシサーバAは、従業員が利用するPCやサーバからインターネット向けのHTTP通信,HTTPS通信をそれぞれ中継する。従業員はプロキシサーバとしてproxy.a-sha.co.jpをPCのWebブラウザやサーバに指定している。
※A社の全部門で利用する電子メールやチャット、スケジューラーなどのオフィスアプリケーションソフトウェアはインターネット上の SaaS を利用している。これらの SaaS は HTTPS 通信を用いている。
※A社の一部の部門では、担当する業務に応じてインターネット上の SaaS を独自に契約し、利用している。これらの SaaS では送信元 IP アドレスによってアクセス制限をしているものもある。これらの SaaS も HTTPS 通信を用いている。
※切替前のA社の接続状況について、A社は、本社設置のR10を経由してインターネットに接続している。FW10にはグローバルIPアドレスを付与しており、FW10を経由するインターネット宛ての通信はNAPT機能によってIPアドレスとポート番号の変換が行われる。
FW40 を使ってインターネット接続する。FW40 は D 社からネットワークサービスとして提供される。FW40 には新たにグローバル IP アドレスが割当てられる。FW40 を経由するインターネット宛ての通信は NAPT 機能によって IP アドレスとポート番号の変換が行われる。A 社とインターネットとの通信を、R10 経由から FW40 経由になるようにインターネット接続を切り替える。 E さんは、 設定変更の作業影響による通信断時間を極力短くするために、FW10 の設定変更は D 社閉域 NW の設定変更とタイミングを合わせて実施する必要があると考えた。
Eさんは、インターネット接続の切替えを行うと一部の部門で業務に影響があると考えた。対策として、全てのインターネット宛ての通信はFW40経由へと切り替えるが、⑫一定期間、プロキシサーバAからのインターネット宛ての通信だけは既存のR10経由になるようにする。あわせて、Eさんは、業務に影響がある一部の部門には切替え期間中はプロキシサーバAが利用可能なことを案内するとともに、恒久対応として設定変更の依頼を事前に行うことにした。
Eさんは、プロキシサーバAのログを定期的に調査し、利用がなくなったことを確認した後に、プロキシサーバAを廃止することにした。
2023年度(令和5年度)春期 ネットワークスペシャリスト試験 午後Ⅱより引用・改変
・
・
・
・
・
・
答え 送信元 IP アドレスがプロキシサーバAで宛先IPアドレスがインターネットであった場合にネクストホップをR10とする設定
解説
本問の問うている内容を確認します。下線⑫より「一定期間、プロキシサーバAからのインターネット宛ての通信だけは既存のR10経由になるようにする。」そのために、「FW10 にどのようなポリシーベースルーティング設定が必要か。」が問われているポイントです。
つまりは、プロキシサーバAからのインターネット宛ての通信だけは既存のR10経由になるようにするために、FW10に設定すべきポリシーベースルーティング設定の内容について聞いています。
ポリシーベースルーティング(Policy-Based Routing、PBR)とは、ルータに行う設定のうち、通常のルーティング(宛先IPアドレスに基づいて経路を決定する)とは異なり、パケットの送信元IPアドレス、送信元ポート番号、プロトコル、アプリケーションなど、より詳細な条件に基づいて経路を決定するルーティング方法です。
この設定を行う背景としては、電子メールやチャット、スケジューラーなどのオフィスアプリケーションソフトウェアや、一部の部門で使用しているSaaSが、送信元IPの変更によって、切替タイミングで使用できなくなることを防止することが目的でした。
切替によって、上記のようなSaaSに関しては、プロキシサーバAからFW10、R10を経由した経路を継続して利用することで、切替後も継続してSaaSを利用できることになります。
本文より、「プロキシサーバAは、従業員が利用するPCやサーバからインターネット向けのHTTP通信,HTTPS通信をそれぞれ中継する。従業員はプロキシサーバとしてproxy.a-sha.co.jpをPCのWebブラウザやサーバに指定している。」ということなので、切替前の状態では、プロキシサーバAを経由してインターネットへの通信を行っていて、当面はアクセス制限への対応のため、プロキシサーバAから、FW10、R10を経由した経路でインターネットに通信する必要があるということがわかります。
新しいネットワークを導入すると、FW10の通常のルーティング設定では、インターネット向けの通信はFW40を経由させるため、インターネット向けの通信のネクストホップ(次の通信先)はR11が設定されます。もし、そのままインターネット向けの通信がFW40向けになってしまうと、送信元IPアドレスが、新しくFW40に付与されたグローバルIPアドレスとなり、通信制限の影響でアクセスができなくなってしまいます。
これを回避するために、「一定期間、プロキシサーバAからのインターネット宛ての通信だけは既存のR10経由になるようにする」という設定をしようとしています。R10経由でアクセスさせるには、FW10に来るプロキシサーバAからの通信は、R10へ流すようにすればよいということになります。
よって解答は、「送信元 IP アドレスがプロキシサーバAで宛先IPアドレスがインターネットであった場合にネクストホップをR10とする設定」となります。