ネットワークスペシャリスト 2017年 午後1 問02

解答の論理構成

1. 下線①の記述を確認
   【問題文】には、プリント通信について
   “①一時的に大量の帯域を使用する。”
   とあります。ここで焦点となるのは「一時的に」「大量の帯域」という二つの特徴です。
2. トラフィックの種類を整理
   ネットワーク分野では、短時間に集中して大容量データが流れる現象を「バースト」(burst) と呼びます。
   ・平常時は帯域利用が少ない
   ・必要になった瞬間だけ一気にデータを送出
   という性質が一致しています。
3. 用語の対比
   • 連続的に流れる「ストリーミングトラフィック」
   • 一定間隔で断続的に流れる「ポーリングトラフィック」
     と区別し、短時間に集中する本ケースは「バーストトラフィック」です。
4. よって、下線①が示す現象を引き起こすトラフィックの呼称は
   バーストトラフィック
   となります。

誤りやすいポイント

• 「ピークトラフィック」と混同する
  ピークは“最も高い瞬間の値”を示すだけで、発生形態までは特定しません。
• 「一時的」を“瞬断”と誤解し「スパイク」などと答える
  スパイクは突発的な高周波ノイズや突立点を指すことが多く、ネットワーク用語としては一般的ではありません。
• 「大量の帯域＝ファイル転送」と短絡的に考え、用語を答えず“印刷データ”と書いてしまう

FAQ

解答の論理構成

1. 「VDI 導入前に広域イーサ網を経由する通信」を探す
   • 現行ネットワークの説明には次の記述があります。
     ― “(1) ファイル転送通信
     ・設計資料の共有、バックアップのために、PCがファイルサーバと通信を行う。”
   • ファイルサーバは本社、PCは支店にも存在するため、本社‐支店間を結ぶ「広域イーサ網」を経由すると判断できます。
     ➜ 該当する通信は “ファイル転送通信”。
2. 「VDI 導入後に広域イーサ網を経由する通信」を探す
   • VDI導入後の構成案（図2）では、各支店のPCがTCへ置き換わり、仮想PCは本社のVDIサーバ内で動作します。これにより支店と本社の間で増える／残る通信を整理します。
     (1) 画面転送通信
     • 事前調査(3)に “画面転送通信：仮想 PC の画面を TC に転送する。” とあり、TCは支店側、仮想PCは本社側に存在します。したがって “画面転送通信” は本社‐支店間で広域イーサ網を経由します。
       (2) プリント通信
     • VDI 導入後でも支店の「プリントサーバ」は支店内、仮想 PC は本社内です。本文には “プリント通信も広域イーサ網を経由する” と明示されています。
       ― “プリント通信も広域イーサ網を経由するので、本社から広域イーサ網方向の通信に対して、帯域制御が必要になる。”
       ➜ 該当する通信は “画面転送通信” と “プリント通信”。
3. 以上より解答は
   • VDI導入前に経由する通信：ファイル転送通信
   • VDI導入後に経由する通信：
     ① 画面転送通信
     ② プリント通信

誤りやすいポイント

• 「インターネット通信」は各支店のインターネット回線が “支店のインターネット接続回線を廃止” とあるため導入後は広域イーサ網を通らない点を見落としやすい。
• 「ファイル転送通信」が導入後も広域イーサ網を経由すると勘違いしがちだが、仮想PC・ファイルサーバともに本社内に収容されるため経由しない。
• 「プリント通信」は支店内完結と思い込みやすいが、印刷データを送るのは仮想PC（本社）→プリントサーバ（支店）なので広域イーサ網を通る。

FAQ

解答の論理構成

• 現行ネットワークの契約帯域とピーク帯域
  ・「アクセス回線の契約帯域は、本社が1Gビット/秒、各支店が100Mビット/秒である。」
  ・「ピーク時に必要な帯域は、本社従業員向けに 200 M ビット／秒、全ての支店従業員向けの合計が 800 M ビット／秒である。」
  よって各支店のピーク帯域は $800\text{Mbit/s}÷10=80\text{Mbit/s}$。
• 安全率 [a] の計算
  式は問題文のとおり
  “アクセス回線の契約帯域÷ピーク時に必要な帯域=a”。
  各支店で考えると $100\text{Mbit/s}÷80\text{Mbit/s}=1.25$。
  ⇒ [a]＝1.25
• VDI 導入後に WAN を通過する定常通信
  ・「TC 1 台が使用する帯域は、最大 200 k ビット／秒である。」
  ・支店 1 拠点当たり従業員 40 人より、画面転送ピーク帯域は
  $40\times 0.2\text{Mbit/s}=8\text{Mbit/s}$。
  ・「印刷量を把握できないプリント通信の帯域は確保しない。」ため、帯域確保対象は画面転送のみ。
• 契約帯域の決定条件
  「VDI 導入後も現行の安全率を確保する。」
  したがって必要帯域×1.25 で契約帯域を決定する。
  1. 各支店
     $8\text{Mbit/s}\times 1.25=10\text{Mbit/s}$
     ⇒ [c]＝10
  2. 本社
     本社側は 10 支店 400 人分の画面転送を一括受信
     $400\times 0.2\text{Mbit/s}=80\text{Mbit/s}$
     $80\text{Mbit/s}\times 1.25=100\text{Mbit/s}$
     ⇒ [b]＝100

誤りやすいポイント

• 本社側の画面転送帯域を「500 人分」で計算するミス
  本社勤務 100 人は LAN 内接続なので WAN 帯域には含まれません。
• プリント通信を帯域確保に含めてしまうミス
  問題文で「プリント通信の帯域は確保しない」と明記されています。
• 安全率を本社 1Gbit/s／200Mbit/s＝5 と誤解して [a] を 5 としてしまうミス
  “アクセス回線の契約帯域÷ピーク時に必要な帯域” を「各支店」で評価する点に注意が必要です。

FAQ

解答の論理構成

• 【問題文】では、VDI導入後の構成として「②支店のインターネット接続回線を廃止し、本社のインターネット接続回線の契約帯域を1Gビット/秒に変更する」とあります。
• VDI環境では「仮想 PC」はすべて本社の「VDI サーバ」上に生成されます（【問題文】「VDI は、VDI サーバ上に仮想 PC を TC と 1 対 1 で生成する」）。
• この仮想 PC が外部と通信する際、本社側の「L3SW」→「SSL可視化装置」→「標的型攻撃対策装置」→「UTM」を経由してインターネットへ出ます。したがってインターネット通信の発信点は本社のみとなり、支店側に物理回線を残す理由がなくなります。
• また、本社側に「UTM」「SSL可視化装置」「標的型攻撃対策装置」を集約配置するため、全仮想 PC の通信を一元的に監視・制御できます。これは従来の“拠点ごとにUTMを置く”方式より管理が容易で、最新ルールの適用漏れやログ散在といったリスクを低減できます。
• よって模範解答
  ・理由：インターネット通信は本社の仮想PCから行われるから
  ・利点：情報セキュリティ対策を本社で集中的に行うことができる

誤りやすいポイント

• 画面転送通信の経路とインターネット通信の経路を混同し、支店にもインターネット通信が残ると誤解する。
• 「帯域が不足するから廃止」という誤答。実際は通信経路の集約とセキュリティ集中管理が主眼です。
• 利点として“費用削減”だけを挙げる。コストは副次的であり、問題文の主テーマはセキュリティ強化です。

FAQ

解答の論理構成

1. 【問題文】ではプリント通信について
   ― “PC からプリントサーバに印刷データを送信したときは、①一時的に大量の帯域を使用する。”
   と明記されています。これはバースト的に広帯域を占有する性質を示します。
2. 画面転送通信については
   ― “TC 1 台が使用する帯域は、最大 200 k ビット／秒である。”
   と軽量ですが、継続的に帯域を必要とし、遅延に敏感です。
3. 帯域制御方式の設計で U さんは
   ― “④画面転送送信のクラスに、…最低限必要な帯域を確保する設定を行う。”
   と計画しています。
4. もし④の帯域確保を行わなければ、プリント通信の“一時的に大量の帯域”が画面転送通信と同じクラスに混在し、シェーピングでも優先度が与えられないため、画面転送のパケットが遅延・ドロップします。
5. その結果、TC に届く画面が遅れ、操作性が悪化します。よって「プリント通信が画面転送通信を圧迫するから」という解答になります。

誤りやすいポイント

• プリント通信は「大量」ではなく「一時的」なので影響が小さいと誤解しやすい
• 画面転送通信の 200 kbit/s という数値だけを見て軽視し、遅延の影響を忘れがち
• 帯域制御装置のシェーピング設定⑤を優先制御と混同し、④を省略しても平気だと思い込む
• 広域イーサ網の契約帯域を下げる設計を踏まえず、回線は十分と判断してしまう

FAQ

解答の論理構成

1. 帯域制御装置の送出制御には「シェーピング」がある
   ― 本文では「送出制御では、同一支店への複数クラスのパケットに対するシェーピングが可能である。」と明示しています。
2. シェーピングとは、設定した帯域を超えないようにパケットを一時的にバッファへ貯め、送出タイミングを平準化する方式
   ― 一般的なネットワーク制御の定義であり、ポリシングのように破棄は行いません。
3. 下線⑤で「シェービングの設定は、各支店における広域イーサ網のアクセス回線の契約帯域とする」と指定
   ― すなわち「契約帯域を超えたらどうするか」をシェーピングに委ねています。
4. 以上より、契約帯域を超えたパケットは破棄せず「送出タイミングを調整」して流量を抑えることが正解となります。

誤りやすいポイント

• シェーピングとポリシングを混同し「パケットを破棄する」と記述してしまう。シェーピングは破棄せず送出時刻を平滑化します。
• 「帯域を確保しないクラス」は空き帯域があれば即時送信と誤読し、⑤のシェーピング設定と結び付けられない。
• 「制御対象は画面転送通信だけ」と短絡し、支店全体への総量規制という文脈を見落とす。

FAQ

解答の論理構成

1. 仮想 PC をどこから切り離せば通信を遮断できるか
   ・【問題文】「VDI は、VDI サーバ上に仮想スイッチ（以下、仮想 SW という）を生成する。仮想 PC は仮想 SW との接続によって、外部との通信が可能となる。」
   ・したがってネットワーク隔離には、仮想 PC と「仮想 SW」の接続を外すのが最短経路です。
   → [ア] に入る語は「仮想 SW」。
2. フィルタリングルールに設定する送信元アドレス
   ・【問題文】「他の仮想 PC も含めて C&C サーバと通信を行うことを防ぐ必要がある」
   ・全社内ホストを対象にするため、特定 IP ではなく“制限なし”を示すキーワードが求められます。
   ・装置設定では “any” を日本語で表す「任意」が慣例です。
   → [イ] は「任意」。
3. フィルタリングルールに設定する宛先アドレス
   ・【問題文】「標的型攻撃対策装置が…C&C サーバ IP アドレスを特定したときは」
   ・遮断すべき宛先はまさにその「C&Cサーバ」です。
   → [ウ] は「C&Cサーバ」。

誤りやすいポイント

• 隔離対象を「VDI サーバ」や「物理 NIC」と勘違いしやすい
  → 仮想 PC は仮想 SW を介して外部へ出るので、ここを切り離すのが最小範囲。
• 送信元に感染 PC の IP を指定してしまう
  → 感染端末が増える可能性があるため全社内アドレス＝「任意」を指定する。
• 宛先を IP アドレスで書かず「インターネット」など曖昧にする
  → 装置には具体的な宛先「C&Cサーバ」を登録する必要がある。

FAQ