ネットワークスペシャリスト 2022年 午前2 問19
問題文
VLAN機能をもった1台のレイヤ3スイッチに40台のPCを接続している。スイッチのポートをグループ化して複数のセグメントに分けたとき、スイッチのポートをセグメントに分けない場合に比べて得られるセキュリティ上の効果の一つはどれか。
選択肢
ア:スイッチが、PCから送出されるICMPパケットを同一セグメント内も含め、全て遮断するので、PC間のマルウェア感染のリスクを低減できる。
イ:スイッチが、PCからのブロードキャストパケットの到達範囲を制限するので、アドレス情報の不要な流出のリスクを低減できる。(正解)
ウ:スイッチが、PCのMACアドレスから接続可否を判別するので、PCの不正接続のリスクを低減できる。
エ:スイッチが、物理ポートごとに、決まったIPアドレスをもつPCの接続だけを許可するので、PCの不正接続のリスクを低減できる。
VLAN機能をもったレイヤ3スイッチのセキュリティ効果【午前2 解説】
要点まとめ
- 結論:VLANでポートをセグメントに分けると、ブロードキャストの到達範囲が制限され、不要な情報流出リスクが低減します。
- 根拠:VLANは論理的にネットワークを分割し、同一VLAN内のみでブロードキャストが届くため、他VLANへの影響を防ぎます。
- 差がつくポイント:ブロードキャスト制御と不正接続防止の違いを理解し、VLANの本質的な役割を正確に把握することが重要です。
正解の理由
イの「スイッチが、PCからのブロードキャストパケットの到達範囲を制限するので、アドレス情報の不要な流出のリスクを低減できる。」が正解です。
VLANは物理的に同じスイッチ内でも論理的にネットワークを分割し、ブロードキャストドメインを限定します。これにより、ブロードキャストパケットは同一VLAN内にのみ届き、他のVLANに不要な情報が流れることを防ぎます。結果として、ネットワークのセキュリティが向上します。
VLANは物理的に同じスイッチ内でも論理的にネットワークを分割し、ブロードキャストドメインを限定します。これにより、ブロードキャストパケットは同一VLAN内にのみ届き、他のVLANに不要な情報が流れることを防ぎます。結果として、ネットワークのセキュリティが向上します。
よくある誤解
- VLANはすべてのパケットを遮断するわけではなく、特にブロードキャスト制御に効果があります。
- MACアドレスやIPアドレスによる接続制御はVLANの機能ではなく、別のセキュリティ機能です。
解法ステップ
- VLANの基本機能を理解する(論理的なネットワーク分割)。
- ブロードキャストドメインの範囲がVLAN単位で限定されることを確認。
- 選択肢の内容がVLANの機能に合致しているかを検証。
- ブロードキャスト制御に関する記述が正しいかを判断。
- 不正接続防止やICMP遮断などVLAN以外の機能を除外。
選択肢別の誤答解説
- ア:ICMPパケットを全て遮断する機能はVLANにはなく、ファイアウォールなど別の機能です。
- イ:正解。VLANはブロードキャストの範囲を制限し、情報流出リスクを減らします。
- ウ:MACアドレスによる接続可否判別はポートセキュリティの機能であり、VLANの機能ではありません。
- エ:物理ポートごとにIPアドレスを固定して接続を許可する機能はVLANの役割ではなく、ネットワーク管理や認証機能に該当します。
補足コラム
VLAN(Virtual LAN)は、物理的に同じネットワーク機器に接続されていても、論理的に異なるネットワークとして扱う技術です。これにより、ネットワークの管理性やセキュリティが向上し、不要なトラフィックの拡散を防ぎます。特にブロードキャストドメインの分割はネットワーク効率と安全性の両面で重要です。
FAQ
Q: VLANはどのようにセキュリティを向上させますか?
A: VLANはブロードキャストドメインを分割し、不要なトラフィックや情報の流出を防ぐことでセキュリティを向上させます。
A: VLANはブロードキャストドメインを分割し、不要なトラフィックや情報の流出を防ぐことでセキュリティを向上させます。
Q: VLANで不正接続を防げますか?
A: VLAN自体は不正接続防止機能を持ちません。ポートセキュリティや認証機能と組み合わせて対策します。
A: VLAN自体は不正接続防止機能を持ちません。ポートセキュリティや認証機能と組み合わせて対策します。
関連キーワード: VLAN, ブロードキャストドメイン、セグメント分割、ネットワークセキュリティ、レイヤ3スイッチ
\ せっかくなら /
ネットワークスペシャリストを
クイズ形式で学習しませんか?
クイズ画面へ遷移する→
すぐに利用可能!