応用情報技術者 2021年 秋期 午後 問05
LANのネットワーク構成変更に関する次の記述を読んで、設問1~4に答えよ。
K社は、従業員約200名の自動車部品製造会社である。主に国内自動車メーカーから注文を受けて、駆動系部品の開発・設計・製造を行っている。K社の事務所は、工場敷地内の3階建ての事務棟に置かれており、各フロアで企画部、開発製造部、営業部及び総務部の、事務所勤務を行う社員約100名が業務を行っている。
事務棟にはK社LANが敷設されており、社員は一人1台のデスクトップPC(以下、DPCという)を使って各自の業務を行っている。現在のK社LANは、サーバを接続するサーバLAN、DPCを接続するPC LAN、及びDMZの三つのサブネットワークで構成されている。無線LANは未導入で、DPCは有線LANで接続している。各部署の業務で扱っている重要情報と、それを管理するサーバを表1に示す。また、現在のK社ネットワーク構成を図1に示す。
PC LANとサーバLANはL3SW及びL2SWで接続されており、各DPCから全てのサーバにアクセスすることができる。各サーバ内の情報には、社員IDとパスワードで認証を行い、許可された社員だけがアクセスできる。
〔セキュリティ強化のための対策〕
K社では、サーバの認証情報の設定ミスによって、総務部の一部の社員が顧客情報を入手して閲覧できる状態になっていたというインシデントが発生した。K社では同種のインシデントへの対策として、セキュリティの強化を行うことになった。まず、PC LANを部署ごとに異なるサブネットワークに分割し、サブネットワークごとに接続可能なサーバを定め、それ以外のサーバへのアクセスを遮断することにした。また、ランサムウェアなどの新たな脅威に対応できるウイルス対策ソフトを全てのDPCに導入することにした。サーバLAN上にウイルス対策ソフトの更新サーバを導入し、全てのDPCから定期的にアクセスして、ウイルス定義ファイルを最新の状態にすることにした。更新サーバのIPアドレスは192.168.101.21とした。
ネットワーク構成の変更を担当することになった総務部のLさんは、各フロアに設置されているL2SWを利用して、既設のPC LANを部署ごとに異なるサブネットワークに分割し、各サブネットワークにVLANを割り当てることを考えた。分割後のK社ネットワーク構成案を図2に、L3SWのアクセスコントロールリストを表2に示す。
Lさんが検討したセキュリティ強化のための対策案を総務部内で説明したところ、表3に示す課題が指摘された。Lさんは、各課題に対して対策を検討した。
〔物理配線の検討〕
表3の項番1、項番2の課題に対応して、既設のPC LAN用のケーブルを撤去し、新たなケーブルを配線することにした。フロア内のL2SWからDPCまでの配線は、①1000BASE-T方式に対応したUTPケーブルとした。また、1階のサーバルームに設置したL3SWから各フロアのL2SWまでは、②最大10Gビット/秒で通信可能な光ファイバケーブルとした。
〔無線LAN導入の検討〕
表3の項番3の課題に対して、事務棟の各フロアで無線APの設置に適した場所の調査を行った。その結果、電源の確保が困難な設置場所が判明した。また、事務棟が東西方向に約50mと細長く、部屋を仕切る壁が厚いことや金属製の扉が多いことも確認した。
そこで、各フロアに設置するL2SWを今後リプレースする場合には、UTPケーブルで無線APに電力供給が可能なc機能を備える機器を導入することにした。また、③導入予定の無線APと各DPCの設置位置での電波強度の調査を行うことにした。
〔VLAN構成の検討〕
表3の項番4の課題に対して、一つのフロアに複数部署が混在したり、部署がフロア内やフロア間で移動する可能性を考慮して、ネットワークスイッチのポート単位にVLANを設定するポートベースVLANではなく、一つのポートに複数のVLANを同時に設定できるdVLANの機能を備えるネットワークスイッチを導入することにした。
現状の部署の配置を前提とした、ネットワークスイッチのフロア配置を図3に示す。図2のネットワーク構成を図3のネットワークスイッチで構成した場合の、各ネットワークスイッチのVLAN構成の案を表4に示す。
Lさんの検討案は総務部内で承認され、具体的な実施計画を策定することになった。
設問1:
表2中のa、bに入れる適切な字句を答えよ。
模範解答
a:192.168.101.12
b:22
解説
解答の論理構成
-
部署別サブネットと各サーバの対応を確認
- 問題文で「PC LANを部署ごとに異なるサブネットワークに分割し、サブネットワークごとに接続可能なサーバを定め、それ以外のサーバへのアクセスを遮断する」とあります。
- 開発製造部のサブネットは表2の項番2に示される「送信元 IPアドレス 192.168.65.0/24」。
- 開発製造部が扱う情報と対応サーバは表1で「開発製造部 - 設計情報 - 設計管理サーバ」。
- 図1のサーバLANで「設計管理サーバ IPアドレス 192.168.101.12」と明示されています。
よって a は「192.168.101.12」になります。
-
全 DPC から更新サーバへの通信許可範囲を考える
- 更新サーバの IP は「192.168.101.21」。
- 送信元は「192.168.64.0~192.168.67.0」の4つの部署サブネットすべてをまとめて指定する必要があります。
- CIDR で 4連続 /24 を1つにまとめると 192.168.64.0/22 になります(64,65,66,67 が同一 /22 に収まる)。
- 表2 項番5の送信元欄は「192.168.64.0/b」なので b には「22」が入ります。
以上より
a:192.168.101.12
b:22
a:192.168.101.12
b:22
誤りやすいポイント
- サーバ IP の取り違え
192.168.101.11(経営管理サーバ)と 192.168.101.12(設計管理サーバ)を混同しやすいので要注意です。 - /24 を個別に並べてしまう
更新サーバ用 ACL を4行書くより /22 で1行にまとめる方が効率的で、問題文のフォーマットとも合致します。 - /22 のビット計算ミス
255.255.252.0(/22)で 192.168.64.0~192.168.67.255 がカバーできることを確認せず /21 や /23 を書いてしまうケースが散見されます。
FAQ
Q: /22 ではなく 192.168.64.0/24 を4行書いても動作しますか?
A: 技術的には動作しますが、ACL の冗長化は管理コストを上げるうえ、問題文は1行でまとめる意図の書式になっています。
A: 技術的には動作しますが、ACL の冗長化は管理コストを上げるうえ、問題文は1行でまとめる意図の書式になっています。
Q: a にネットワークアドレスやブロードキャストアドレスを指定してはいけませんか?
A: サーバはホストなのでホストアドレス(192.168.101.12)を指定します。ネットワークアドレスやブロードキャストアドレスでは通信が成立しません。
A: サーバはホストなのでホストアドレス(192.168.101.12)を指定します。ネットワークアドレスやブロードキャストアドレスでは通信が成立しません。
Q: /22 を覚えるコツはありますか?
A: /24 を4つまとめると 2^(32-22)=1024 アドレス幅になると覚えると計算が速くなります。
A: /24 を4つまとめると 2^(32-22)=1024 アドレス幅になると覚えると計算が速くなります。
関連キーワード: ACL, CIDR, VLAN, サブネットマスク、IPアドレス
設問2:〔物理配線の検討〕について、(1)、(2)に答えよ。
(1)本文中の下線①に該当するUTPケーブルの規格を、解答群の中から全て選び、記号で答えよ。
解答群
ア:カテゴリ3
イ:カテゴリ5e
ウ:カテゴリ6
エ:カテゴリ6a
模範解答
イ、ウ、エ
解説
解答の論理構成
- 本文で指定された条件
― 「①1000BASE-T方式に対応したUTPケーブル」と明記されています。 - 1000BASE-T(ギガビットイーサネット)で利用できるカテゴリ
- カテゴリ3:10BASE-T や 100BASE-T4 まで。1000BASE-Tは不可。
- カテゴリ5e:ギガビット対応。
- カテゴリ6:ギガビット対応。
- カテゴリ6a:10GBASE-Tまで対応するため、1000BASE-Tも当然サポート。
- したがって1000BASE-Tに適合するのは
「イ:カテゴリ5e」「ウ:カテゴリ6」「エ:カテゴリ6a」となります。
誤りやすいポイント
- 「カテゴリ5」と「カテゴリ5e」を混同し、古いカテゴリ5を選んでしまう。1000BASE-Tは“e”が必須です。
- 「カテゴリ6a」は10ギガ対応だからオーバースペックと誤解し除外する。上位互換なので1000BASE-Tも利用可です。
- 100BASE-TXがカテゴリ5で動くため「カテゴリ3でも1000BASE-Tが動くかも」と推測してしまう。カテゴリ3は物理的にギガビットを担えません。
FAQ
Q: カテゴリ5eより上位のケーブルを敷設すると配線コストが上がりますか?
A: 同じ長さでも材料単価は若干上がりますが、将来の10GBASE-Tを見据えるとカテゴリ6aは費用対効果が高いと評価されます。
A: 同じ長さでも材料単価は若干上がりますが、将来の10GBASE-Tを見据えるとカテゴリ6aは費用対効果が高いと評価されます。
Q: ギガビットイーサネットを導入するのにハブ(L2SW)側の仕様も影響しますか?
A: はい。ケーブルだけでなくスイッチポートが1000BASE-T対応していることが前提です。両端の機器が自動ネゴシエーションで1Gbpsを確立します。
A: はい。ケーブルだけでなくスイッチポートが1000BASE-T対応していることが前提です。両端の機器が自動ネゴシエーションで1Gbpsを確立します。
Q: 既設のカテゴリ5ケーブルが混在する場合はどうすれば良いですか?
A: 必要な帯域によって混在運用は可能ですが、1000BASE-Tで統一したい区間は5e以上に張り替えるのが推奨です。パッチパネルで区分管理すると保守が容易です。
A: 必要な帯域によって混在運用は可能ですが、1000BASE-Tで統一したい区間は5e以上に張り替えるのが推奨です。パッチパネルで区分管理すると保守が容易です。
関連キーワード: 1000BASE-T, UTPケーブル、カテゴリ5e, カテゴリ6, カテゴリ6a
設問2:〔物理配線の検討〕について、(1)、(2)に答えよ。
(2)本文中の下線②で、光ファイバケーブルを採用した理由を、UTPケーブルの伝送特性と比較して、20字以内で述べよ。
模範解答
通信可能な最長距離が長いから
解説
解答の論理構成
- 問題文では、各フロア間の幹線に「②最大10Gビット/秒で通信可能な光ファイバケーブル」を採用したと記載されています。
- 一方、フロア内は「①1000BASE-T方式に対応したUTPケーブル」としており、UTP ケーブルは通常最長 100 m 程度でしか安定通信できません。
- フロアを跨ぐ配線はサーバルーム(1階)から 2階・3階までの垂直配線となり、ケーブル長が 100 m を超える恐れがあります。
- 光ファイバは物理的減衰が小さく、UTP と比較して「通信可能な距離」が大幅に長いという伝送特性を持ちます。
- よって“UTP ケーブルの最長距離制限を回避できること”が採用理由となり、解答は「通信可能な最長距離が長いから」となります。
誤りやすいポイント
- 「10 Gbit/s に対応できるから」と速度面のみを書くと減点対象です。光でも短距離用の 10GBASE-T(UTP)規格があるため、必ず距離比較を盛り込む必要があります。
- ノイズ耐性や漏洩対策もメリットですが、設問は「UTPケーブルの伝送特性と比較して」と明記しているため、両者で最も分かりやすい“最大伝送距離”を答えるのが適切です。
- 光ファイバなら無制限に距離を伸ばせると誤解しがちですが、実際はモード・種類で制約があります。あくまで「UTPより長い」ことがポイントです。
FAQ
Q: 10 Gbit/s だから必ず光ファイバを選ぶべきですか?
A: 10GBASE-T など銅線でも 10 Gbit/s は可能ですが、最大 55〜100 m と距離が限られます。今回のように建物内で 100 m を超える可能性がある場合、光ファイバが現実的です。
A: 10GBASE-T など銅線でも 10 Gbit/s は可能ですが、最大 55〜100 m と距離が限られます。今回のように建物内で 100 m を超える可能性がある場合、光ファイバが現実的です。
Q: 光ファイバはノイズに強いことも理由になりますか?
A: 電磁ノイズに強い点もメリットですが、設問は「UTPケーブルの伝送特性と比較して」と限定しているため、最大伝送距離に触れるのが最適解です。
A: 電磁ノイズに強い点もメリットですが、設問は「UTPケーブルの伝送特性と比較して」と限定しているため、最大伝送距離に触れるのが最適解です。
Q: マルチモードとシングルモードのどちらを選択すべきですか?
A: 事務棟内で数百メートル規模ならコストの安いマルチモードが一般的です。ただし将来の拡張距離や機器互換を考慮して選定します。
A: 事務棟内で数百メートル規模ならコストの安いマルチモードが一般的です。ただし将来の拡張距離や機器互換を考慮して選定します。
関連キーワード: 光ファイバ、UTPケーブル、伝送距離、1000BASE-T, 10GBASE
設問3:〔無線LAN導入の検討〕について、(1)、(2)に答えよ。
(1)本文中のcに入れる適切な字句を、アルファベット3字で答えよ。
模範解答
c:PoE
解説
解答の論理構成
-
【問題文】には、無線LANアクセスポイント(無線AP)の設置場所で「電源の確保が困難」と記述されています。
引用:
「電源の確保が困難な設置場所が判明した。」 -
そこでK社は「UTPケーブルで無線APに電力供給が可能な機能」を備えたL2スイッチの導入を決定しました。
引用:
「UTPケーブルで無線APに電力供給が可能なc機能を備える機器」 -
UTPケーブル(LANケーブル)を用いてデータと同時に電力を供給する規格は一般に「PoE(Power over Ethernet)」と呼ばれます。
-
したがって、空欄cには「PoE」が適切です。
誤りやすいポイント
- 「PoE+」や「PoE++」といった上位規格を選択してしまう
→ 上位規格も電力供給機能ですが、【問題文】は単に「電力供給が可能な機能」と述べており基本語としての「PoE」で足ります。 - 「EoP(Ethernet over Powerline)」と混同する
→ EoPは電力線を通信媒体として利用する方式で趣旨が逆です。 - UPSを連想してしまう
→ UPSは無停電電源装置でありLANケーブル給電とは無関係です。
FAQ
Q: PoE対応スイッチを導入すると、既存のUTPケーブルは張り替えが必要ですか?
A: 基本的にカテゴリー5e以上のUTPケーブルであればそのまま利用できます。
A: 基本的にカテゴリー5e以上のUTPケーブルであればそのまま利用できます。
Q: PoEを利用すると通信速度に影響はありますか?
A: 規格上、データ通信と電力供給は別対で多重化されており、通常のLAN速度(1000BASE-Tなど)に影響はありません。
A: 規格上、データ通信と電力供給は別対で多重化されており、通常のLAN速度(1000BASE-Tなど)に影響はありません。
Q: 将来PoE+が必要になった場合、PoE対応機器でも使えますか?
A: PoE+機器は下位互換があり、PoEのみ対応の受電側デバイスは問題なく動作しますが、給電ワット数が足りない場合はPoE+対応スイッチへ置き換えが必要です。
A: PoE+機器は下位互換があり、PoEのみ対応の受電側デバイスは問題なく動作しますが、給電ワット数が足りない場合はPoE+対応スイッチへ置き換えが必要です。
関連キーワード: PoE, UTPケーブル、無線AP, 電力供給、L2スイッチ
設問3:〔無線LAN導入の検討〕について、(1)、(2)に答えよ。
(2)本文中の下線③について、電波強度の調査を実施せずに無線APを導入した場合に、発生するおそれのある不具合を、Lさんの調査結果を踏まえて、30字以内で述べよ。
模範解答
PCの通信に必要な電波強度が確保できない。
解説
解答の論理構成
- 調査の目的
本文は無線LAN導入に当たり、「③導入予定の無線APと各DPCの設置位置での電波強度の調査」を実施すると述べています。 - 調査が必要な理由
同じ段落で、事務棟について
・「東西方向に約50mと細長い」
・「部屋を仕切る壁が厚い」
・「金属製の扉が多い」
といった電波減衰要因が列挙されています。 - 調査を省略した場合の結果
上記の構造・材質により、無線APを設置しても一部エリアでは電波が弱くなることが予想されます。 - まとめ
よって調査を行わずに導入すると、「PCの通信に必要な電波強度が確保できない」という不具合に至ると論理付けられます。
誤りやすいポイント
- 「電源供給が困難」という記述に引きずられ、電力不足を不具合と答えてしまう。問題は電波強度の調査に関する設問です。
- 電波干渉やチャネル競合を挙げるケース。本文は建物構造による減衰を強調しており、干渉は主題ではありません。
- 「通信速度低下」とだけ書くと原因が不明確になり減点対象となりやすいです。電波“強度”に言及することが重要です。
FAQ
Q: 電波強度の調査はどのような機器で行いますか?
A: 一般にはサイトサーベイツールを搭載したノートPCや専用測定器を用い、無線APの仮設置位置ごとの受信強度 (RSSI) を確認します。
A: 一般にはサイトサーベイツールを搭載したノートPCや専用測定器を用い、無線APの仮設置位置ごとの受信強度 (RSSI) を確認します。
Q: 厚い壁や金属扉がある場合、アクセスポイントは何台くらい必要になりますか?
A: 建物構造や必要なスループットによって変動します。まずサイトサーベイで死角と弱電界エリアを把握し、必要台数を算出します。
A: 建物構造や必要なスループットによって変動します。まずサイトサーベイで死角と弱電界エリアを把握し、必要台数を算出します。
Q: PoE対応L2スイッチを導入するメリットは?
A: 電源工事なしでUTPケーブル経由で無線APに給電でき、設置場所の自由度が向上します。
A: 電源工事なしでUTPケーブル経由で無線APに給電でき、設置場所の自由度が向上します。
関連キーワード: 電波強度、サイトサーベイ、無線AP, 電波減衰
設問4:〔VLAN構成の検討〕について、(1)~(3)に答えよ。
(1)本文中のdに入れる適切な字句を5字以内で答えよ。
模範解答
d:タグ
解説
解答の論理構成
- 【問題文】では
“一つのフロアに複数部署が混在したり…ポートベースVLANではなく、一つのポートに複数のVLANを同時に設定できるdVLANの機能を備えるネットワークスイッチ”
と記述されています。 - 一つのポートで複数の VLAN を扱う代表的な方式は、フレームに VLAN ID を埋め込む「タグ VLAN」です。IEEE 802.1Q では Ethernet フレームに VLAN タグ(Tag)を付加し、ポートをトランクとして複数 VLAN を多重化します。
- したがって d に入る語は “タグ” が適切です。
結論:d:タグ
誤りやすいポイント
- “トランク” と混同する
トランクポートはタグ VLAN を実装したポート形態ですが、d は VLAN の種類を問うているため “トランク” ではなく “タグ” が正解です。 - “ポート VLAN” と答えてしまう
ポート VLAN はポート単位(アクセスポート)に VLAN を割り当てる方式で、問題文が否定している方式に相当します。 - “プライベート VLAN” との取り違え
プライベート VLAN は同一 VLAN 内の通信制御を細分化する技術で、複数 VLAN を 1 ポートに載せる目的ではありません。
FAQ
Q: タグ VLAN は必ず IEEE 802.1Q 対応スイッチが必要ですか?
A: はい。複数 VLAN のフレームを識別するために IEEE 802.1Q で定義された VLAN タグを付与・解釈できるスイッチが必要です。
A: はい。複数 VLAN のフレームを識別するために IEEE 802.1Q で定義された VLAN タグを付与・解釈できるスイッチが必要です。
Q: タグ VLAN にすると帯域が減少しますか?
A: フレームに 4 バイトのタグが挿入されますが、オーバーヘッドはわずかであり通常の業務トラフィックでは実感できる性能低下はほぼありません。
A: フレームに 4 バイトのタグが挿入されますが、オーバーヘッドはわずかであり通常の業務トラフィックでは実感できる性能低下はほぼありません。
Q: アクセスポートでもタグ VLAN のフレームは通過しますか?
A: アクセスポートでは接続先機器がタグを解釈しない前提で VLAN タグを取り除いて送信するため、タグ付きフレームは基本的に通過しません。
A: アクセスポートでは接続先機器がタグを解釈しない前提で VLAN タグを取り除いて送信するため、タグ付きフレームは基本的に通過しません。
関連キーワード: VLAN, IEEE802.1Q, トランクポート、アクセスポート
設問4:〔VLAN構成の検討〕について、(1)~(3)に答えよ。
(2)表4中のe、fに入れる適切なVILANIDを全て答えよ。
模範解答
e:VLAN64, VLAN67
f:VLAN65
解説
解答の論理構成
-
部署と VLAN の対応を確認
- 【問題文】の「表4」には、
• 企画部 LAN … VLAN64
• 開発製造部 LAN … VLAN65
• 営業部 LAN … VLAN66
• 総務部 LAN … VLAN67
がそれぞれのポート設定欄に明示されています。
したがって各 VLAN ID は上記に確定します。
- 【問題文】の「表4」には、
• 企画部 LAN … VLAN64
-
フロア間接続ポート(トランク)の把握
- 【問題文】「図3」より
• L2SW-3 の P31 は L3SW へ上位接続
• L2SW-2 の P21 も L3SW へ上位接続
と分かります。これらは複数 VLAN をまとめて流すトランクポートです。
- 【問題文】「図3」より
-
e の決定
- L2SW-3 配下には 企画部 (VLAN64) と 総務部 (VLAN67) が混在しています。
- P31 はその両方を L3SW へ運ぶ必要があるため、 e = VLAN64, VLAN67 となります。
- 同じ理由で、対向する L3SW 側ポート P3 も同じ VLAN を運搬するため e と同じ値になります。
-
f の決定
- L2SW-2 配下には 開発製造部 (VLAN65) だけが存在しています。
- よって P21、P22 には VLAN65 を流せば十分です。
f = VLAN65 となります。
-
結論
- e:VLAN64, VLAN67
- f:VLAN65
誤りやすいポイント
- トランクポートとアクセスポートの取り違え
単一 VLAN しか流さないアクセスポートに複数 VLAN を設定してしまうと通信不能になります。 - 「部署が置かれているフロア」ではなく「そのポートが上位に何を運ぶか」で判断する必要があります。
L2SW-3 自体は 3階ですが、そこから 1階の L3SW へは両部署分の VLAN が流れます。 - 営業部 LAN (VLAN66) と 開発製造部 LAN (VLAN65) を混同しやすいので、フロア配置を必ず図と照合してください。
FAQ
Q: トランクポートに VLAN を列挙する順番は評価に影響しますか?
A: 順番は影響しません。ポートにどの VLAN を通すかが設定項目です。
A: 順番は影響しません。ポートにどの VLAN を通すかが設定項目です。
Q: 片方のスイッチだけに複数 VLAN を設定すればよいですか?
A: いいえ。トランクの両端 (L2SW-3 P31 と L3SW P3 など) に一致した VLAN 設定が必要です。
A: いいえ。トランクの両端 (L2SW-3 P31 と L3SW P3 など) に一致した VLAN 設定が必要です。
Q: 将来フロア移動が発生した場合、ポート設定はどうすればよいですか?
A: 部署が移動しても VLAN ID は変更せず、移設先のスイッチポートを該当 VLAN に割り当てるだけで済みます。物理配線は最小限の変更で済むのが VLAN 導入のメリットです。
A: 部署が移動しても VLAN ID は変更せず、移設先のスイッチポートを該当 VLAN に割り当てるだけで済みます。物理配線は最小限の変更で済むのが VLAN 導入のメリットです。
関連キーワード: VLAN, トランクポート、UTPケーブル、アクセス制御リスト、光ファイバ
設問4:〔VLAN構成の検討〕について、(1)~(3)に答えよ。
(3)図3のフロア配置に対して、総務部が1階に移動した場合、VLAN構成に変更を加える必要がある。このうち、変更を加えるべきL3SWのポートのポートIDを全て答えよ。また、変更内容を30字以内で述べよ。
模範解答
ポートID:P1, P3
変更内容:総務部のVLAN67をP1に設置しP3から削除する。
解説
解答の論理構成
- 現状のポートとVLANの対応を把握
- 表4で、L3SWの
・P1 → VLAN66
・P2 → VLAN65
・P3 → e
とある。さらに同表で L2SW‐3 P31 が e となっているため、 e は 3階にある「企画部 LAN(VLAN64)」と「総務部 LAN(VLAN67)」を同時に流すトランクポートであると分かる。
- 表4で、L3SWの
- 総務部の移動後に必要な通信経路を整理
- 図3では 1階 L2SW‐1 の P11 が L3SW に接続されており、現在 P1 に単一 VLAN で割り当てられているのは VLAN66(営業部)。
- 課題4の対策として「一つのポートに複数のVLANを同時に設定できるdVLAN」を導入するとあるので、P1 もトランク化して複数 VLAN を流せる。
- どのポートを変更すべきか決定
- 総務部が 3階から 1階へ移ると、VLAN67 を流す必要が生じるのは 1階 uplink(=P1)であり、不要になるのは 3階 uplink(=P3)。
- よって変更対象は P1、P3 の二つ。
- 具体的な変更内容
- P1 に VLAN67 を追加(トランク化)。
- P3 から VLAN67 を削除し、VLAN64 のみ流す構成にする。
- これをまとめると「総務部のVLAN67をP1に設置しP3から削除する。」となる。
誤りやすいポイント
- e が「VLAN64」単独だと思い込み、P3 を変更対象から外してしまう。
- L2SW 側(P31, P32 など)の設定だけで完了すると考え、コア側 L3SW を変更し忘れる。
- VLAN66 と VLAN67 を混同し、営業部用経路を誤って変更してしまう。
FAQ
Q: 総務部移動後にL2SW‐1側で設定変更は不要ですか?
A: L2SW‐1 のポート P11‐P12 はもともとトランク設定がないため、VLAN67 を流す場合には L3SW との uplink(P11 側)をトランク化し、端末収容ポートをアクセスポートで VLAN67 に設定する作業が必要です。
A: L2SW‐1 のポート P11‐P12 はもともとトランク設定がないため、VLAN67 を流す場合には L3SW との uplink(P11 側)をトランク化し、端末収容ポートをアクセスポートで VLAN67 に設定する作業が必要です。
Q: ANY を遮断する ACL(表2 項番6)との関係は?
A: VLAN 構成変更はレイヤ2の話であり、ACL はレイヤ3のフィルタです。VLAN67 の経路が変わっても、サブネットアドレスが変わらない限り ACL の送信元・宛先条件は影響を受けません。
A: VLAN 構成変更はレイヤ2の話であり、ACL はレイヤ3のフィルタです。VLAN67 の経路が変わっても、サブネットアドレスが変わらない限り ACL の送信元・宛先条件は影響を受けません。
Q: P2 をトランク化しない理由は?
A: P2 は 2階開発製造部(VLAN65)専用 uplink です。総務部移動後も 2階に総務部端末が収容される計画がないため、トランク化の必要はありません。
A: P2 は 2階開発製造部(VLAN65)専用 uplink です。総務部移動後も 2階に総務部端末が収容される計画がないため、トランク化の必要はありません。
関連キーワード: VLAN, トランクポート、サブネット、アクセス制御、レイヤ3スイッチ
