ネットワークスペシャリスト 2013年 午前2 問20
問題文
VLAN機能をもった1台のレイヤ3スイッチに複数のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けるとき、セグメントを分けない場合に比べて、どのようなセキュリティ上の効果が得られるか。
選択肢
ア:スイッチが、PCから送出されるICMPパケットを全て遮断するので、PC間のマルウェア感染のリスクを低減できる。
イ:スイッチが、PCからのブロードキャストパケットの到達範囲を制限するので、アドレス情報の不要な流出のリスクを低減できる。(正解)
ウ:スイッチが、PCのMACアドレスから接続可否を判別するので、PCの不正接続のリスクを低減できる。
エ:スイッチが、物理ポートごとに、決まったIPアドレスのPC接続だけを許可するので、PCの不正接続のリスクを低減できる。
VLAN機能をもったレイヤ3スイッチのセキュリティ効果【午前2 解説】
要点まとめ
- 結論:VLANはブロードキャストドメインを分割し、不要な情報の流出リスクを低減します。
- 根拠:VLANにより同一物理スイッチ内でも論理的にネットワークを分割し、ブロードキャストパケットの到達範囲を制限できるためです。
- 差がつくポイント:VLANはパケットの遮断やMACアドレス認証ではなく、ネットワークの論理分割によるセキュリティ強化である点を理解しましょう。
正解の理由
イが正解です。VLANはスイッチのポートをグループ化して複数の論理セグメントを作り、ブロードキャストドメインを分割します。これにより、ブロードキャストパケットの到達範囲が制限され、不要なアドレス情報やネットワーク情報の流出リスクが低減されます。つまり、同じ物理スイッチ内でも異なるVLAN間では直接通信できず、セキュリティが向上します。
よくある誤解
- VLANはパケットをすべて遮断する機能ではありません。
- MACアドレスやIPアドレスによる接続制御はVLANの基本機能ではありません。
解法ステップ
- VLANの基本機能を理解する(論理的なネットワーク分割)。
- ブロードキャストドメインの概念を確認する。
- 選択肢の内容がVLANの機能に合致しているかを検証する。
- ブロードキャストパケットの制限に関する選択肢を選ぶ。
選択肢別の誤答解説
- ア:ICMPパケットをすべて遮断する機能はVLANにはありません。ICMPはネットワーク診断用のプロトコルであり、VLANはパケットの種類で遮断しません。
- イ:正解。VLANはブロードキャストドメインを分割し、ブロードキャストパケットの到達範囲を制限します。
- ウ:MACアドレスによる接続可否判別はポートセキュリティの機能であり、VLANの基本機能ではありません。
- エ:物理ポートごとにIPアドレスを限定する機能はVLANではなく、ポートベースのアクセス制御やIP-MACバインディングの範囲です。
補足コラム
VLAN(Virtual LAN)は物理的に同じスイッチに接続された機器を論理的に分割し、異なるVLAN間の通信はルータやレイヤ3スイッチを介して行います。これにより、ネットワークの管理性とセキュリティが向上します。さらに、VLANはネットワークのトラフィックを効率化し、不要なブロードキャストトラフィックを減らす効果もあります。
FAQ
Q: VLANはどの層で動作しますか?
A: VLANはOSI参照モデルのレイヤ2(データリンク層)で動作し、レイヤ3スイッチではルーティング機能も持ちます。
A: VLANはOSI参照モデルのレイヤ2(データリンク層)で動作し、レイヤ3スイッチではルーティング機能も持ちます。
Q: VLAN間の通信はどうやって行いますか?
A: VLAN間通信はルータやレイヤ3スイッチのルーティング機能を使って行います。
A: VLAN間通信はルータやレイヤ3スイッチのルーティング機能を使って行います。
Q: VLANはセキュリティ対策としてどの程度有効ですか?
A: VLANはネットワークを論理的に分割し、不要な通信を制限することで内部ネットワークのセキュリティを向上させますが、完全な防御策ではありません。
A: VLANはネットワークを論理的に分割し、不要な通信を制限することで内部ネットワークのセキュリティを向上させますが、完全な防御策ではありません。
関連キーワード: VLAN, ブロードキャストドメイン、レイヤ3スイッチ、ネットワーク分割、セキュリティ、ポートセキュリティ
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!