HOME»情報処理安全確保支援士掲示板»平成30年秋問2設問4(2)
投稿する

平成30年秋問2設問4(2) [1437]

 きなこさん(No.1) 
この設問の解答は「VLANを使い、PC間の通信を禁止する」ですが、これはPCごとに全て異なるVLAN(VLAN10,VLAN20,VLAN30,…)と付与するようなイメージで合いますでしょうか。PC間の通信をVLANで禁止するイメージが湧いてなく、、

また、上記の認識が正しい場合、上記で付与したVLANとは別のVLANIDを、G社の他のネットワーク(本社や他の工場)に付与しているイメージでしょうか。

すみませんが、ご教示お願いいたします。
2024.03.23 12:48
pixさん(No.2) 
SC ダイヤモンドマイスター
このVLANは通常のVLANではありません。
個々のPCを隔離するプライベートVLANと呼ばれるものです。
この設問はプライべ-トVLANの知識がないと解答できません。

通常のVLANはネットワークの入門書に載っていますが、
プライベートVLANは入門書には載っていない高度な技術となります。
2024.03.23 12:59
6526116さん(No.3) 
ご回答ありがとうございます。プライベートVLANで実現しているのですね。調べてみます!

すみません、仮に通常のVLANであっても、図1のG社のネットワーク構成をみると、10.100.90.0/24配下にはルータが存在しないため、通常のVLANでもPC同士の通信ができないよう設定できると思っているのですが、認識合いますでしょうか。(ルータがなければ異なるセグメントへの通信ができないため、VLANで機器ごとに異なるVLANIDを付与すれば可能かなと思いまして。)

不躾な質問でしたらすみません。
2024.03.23 13:11
 きなこさん(No.4) 
本投稿を削除するためのパスワードを入力したときに、名前の方も変わってしまい変な名前になりました、すみません。上記の投稿は私です。
2024.03.23 13:15
pixさん(No.5) 
SC ダイヤモンドマイスター
>すみません、仮に通常のVLANであっても、図1のG社のネットワーク構成をみると、
>10.100.90.0/24配下にはルータが存在しないため、通常のVLANでもPC同士の
>通信ができないよう設定できると思っているのですが、認識合いますでしょうか。
>(ルータがなければ異なるセグメントへの通信ができないため、VLANで機器ごとに
>異なるVLANIDを付与すれば可能かなと思いまして。)
通常のVLANはVLAN毎にネットワークとルーティングを準備する必要があります。
これはPCが多数ある場合は、設定として現実的ではないレベルになってしまします。
2024.03.23 13:21
 きなこさん(No.6) 
ご回答ありがとうございます。
なるほど、通常のVLANであればルーティング(ルータ)が必要なのと、確かにPCが多数あればその分1つの機器ごとにVLANIDを付与する、は現実的ではないですね。

対して、プライベートVLANであればスイッチ(図1のL2SW)さえあれば実現できる認識です。
理解できました。

プライベートVLANについて、調べてみようと思います。
2024.03.23 13:36
tnsさん(No.7) 
スレ主様の認識でほぼ問題ありませんので、難しく考えず、時間を他に充てた方が良いと思います。
↓はオマケ程度にご覧ください。

過去に誤った使い方として、VLAN機能のないL2SWを利用して、
PCごとにネットワークアドレスを分けて、PC間での通信ができないようにしているつもり、という手法が存在していました。
しかし、これはPCでのIPアドレス(サブネットマスク含む)の変更で、PC間での通信を可能にする事ができてしまいます。

> また、上記の認識が正しい場合、上記で付与したVLANとは別のVLANIDを、G社の他のネットワーク(本社や他の工場)に付与しているイメージでしょうか。
設問では"同じL2SWに接続されたPC同士…"と明記されておりますので、別のVLANに限定する必要はありませんがイメージとしては正しいです。

> 仮に通常のVLANであっても、図1のG社のネットワーク構成をみると、10.100.90.0/24配下にはルータが存在しないため…
属しているのは10.100.90.0/24ですので、今回の構成および設問内容から、工場内のL3SW(可能性は低いがFW)がルータ(デフォルトゲートウェイ)として機能しています。
ただし、TCP/IPの性質上、PCで同一ネットワークと処理(計算)された場合、デフォルトゲートウェイは利用されません。

> なるほど、通常のVLANであればルーティング(ルータ)が必要なのと、確かにPCが多数あればその分1つの機器ごとにVLANIDを付与する、は現実的ではないですね。
基本VLANはL2の技術ですのでルータは必要ありません。VLAN間での通信が必要な場合はルータが必要となります。

なお、スレ主様の誤った認識の指摘になりますが、VLANはスイッチのポート単位(仮想ポート含む)に設定するものであって、PCには設定しません。

個人的には本設問の回答表現は"禁止"ではなくルーティングでも良いと思います。

・VLANを使い、VLAN間での経路制御を行わない
・VLANを使いVLAN間でのルーティグを行わない  など
2024.03.23 21:09
 きなこさん(No.8) 
tnsさま、ご回答、またご丁寧にありがとうございます。

なるほど、今回の場合はL3SWがルータとして機能していたのですね。またVLAN技術自体にルータは必要なく、VLAN間の通信で必要な旨承知しました。

> VLANはスイッチのポート単位(仮想ポート含む)に設定するものであって、PCには設定しません。

→なるほど、ポートに設定するんですね。

VLANだけでも色々と深いんだなと思いました。
ご提示の通り、他に時間を使おうと思います!笑
2024.03.24 12:23
返信投稿用フォームスパム防止のためにスレッド作成日から30日経過したスレッドへの投稿はできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop