04.IPネットワーク応用技術
モバイル・リモートアクセスとネットワークセキュリティ
(P.104-109)
・モバイルリモートアクセス構成
1.リモートアクセスVPNタイプ
2.サイト間VPNタイプ
・リモートアクセスサービス種類
1.インターネットVPN
SSL-VPN:インターネット上に( ① )による仮想専用網を構築
IPSec-VPN:インターネット上に( ② )によるネットワーク層レベルでの仮想専用網(VPN)を構築
PPTP-VPN:Microsoft社開発のPPTPでカプセル化、短所を改善したSSTP-VPNはWin7以上
L2TP/IPSec-VPN:L2TPには暗号化機能ないためIP-Secと組み合わせ
2.IP-VPN接続、広域イーサネット、エントリーVPN
通信事業者の( ③ )を利用、MPLS技術でレイヤ3のVPNを提供
3.直収型接続
通信事業者と企業間を( ④ )等で直接接続
4.ダイヤルアップ接続
( ⑤ )を利用
①SSL
②IPsec
③閉域IP網
④専用線
⑤PSTN/ISDN
(P.109-115)
・ネットワークセキュリティ
1.ファイヤーウォール
a.パケットフィルタリング方式
アクセスコントロールリストには、レイヤ( ① )に相当する情報
(送信元、宛先のIPアドレス、ポート番号、TCP/UDP等のプロトコル、許可する通信の方向)
を設定しておき、各パケットがこれらの条件を満たす場合にのみ通過させる
b.ステートフルパケットインスペクション方式
レイヤ( ② )のアプリケーション層の内容まで確認した上でアクセス制御を行う方式
パケットを受信解析した際に、その通信の状態を保持し、以後継続して通信を行う中で、
単にパケットの中身だけれなく過去の通信から作成されたステートと照合して整合性のとれる
通信パケットのみを通過させる
c.アプリケーションレベル・ゲートウェイ方式
レイヤ( ② )のアプリケーション層の内容まで確認した上でアクセス制御を行う方式
セッションプロトコルを、クライアント・サーバ間の中間に位置するプロキシ機能によってアクセス制御する
2.ファイヤーウォール/NAT超え技術
a.NATトラバーザル方式
b.アプリケーションレベル・ゲートウェイ方式
3.プロキシサーバ
内部ネットワークの( ③ )の代理として内部から外部インターネットへの接続を行う
4.リバースプロキシサーバ
外部から内部接続の際、( ④ )の代理として要求を受け、内部サーバに中継し( ④ )の代理として応答する
5.侵入検知システム(IDS:Instrusion Detection System)
外部からのネットワークへの不正侵入や攻撃を( ⑤ )する為のシステム
6.DMZ(De-Militarizel Zone)
直訳して( ⑥ )と呼ばれる、ファイアウォールで囲まれたネットワークセグメント
7.認証技術
PPP(Point-to-Point Protocol)で用いられるユーザ認証
PAP(Pass word Authentication Protocol)
PPPクライアントからPPPサーバに対してユーザID/パスワードを( ⑦ )で流すもの
CHAP(Challenge Handshake Authentication Protocol)
パスワードそのものを平文で流さないよう工夫した方式、チャレンジ・レスポンス
RADIUS(Remote Authentication Dial-In User Service)
ダイヤルアップ接続のための認証及び利用の事実の( ⑧ )を行うためのプロトコル
PEAP
TLS
Diameter
8.UTM(統合脅威管理)
①3、4
②7
③クライアント
④サーバ
⑤監視
⑥非武装地帯
⑦平文
⑧記録(アカウンティング)
VoIPシステム
(P.116)
・IPネットワーク上で音声通信を実現する為のシグナリングプロトコルを4つ答えよ
①SIP
②MGCP
③Megaco/H.248
④H.323
(P.116)
・SIPとは、インターネットでのマルチメディア・リアルタイム通信でのセッションを制御するための通信プロトコルである。
( ① )( ② )( ③ )( ④ )などのサービスの通信プロトコルとして使われる。
①IP電話
②インスタントメッセージ
③プレゼンス
④PoC
(P.117)
・SIPに関する代表的なプロトコル
1.SDP (Session Description Protocol)
( ① )に関する情報と能力を通知する為のプロトコル
2.RTP (Real-time Transport Protocol)
音声や映像等の( ② )の伝送に使用されるアプリケーションプロトコル
3.RTCP (RTP Control Protocol)
RTPプロトコルの補助的な役割を担い、RTPパケットの監視、クロック同期、パケットロス、転送レート等の情報収集を行う
4.TLS(Transport Layer Security)
暗号化鍵のやり取りも含めたデータの暗号化を行うセキュリティプロトコル
5.SIPS(SIP Security)
SIP呼制御シグナリングの暗号鍵の交換にセッションレイヤのTLSを使用するセキュアプロトコル
6.SRTP(Secure Real time Transport Protocol)
RTPメディアストリームとRTCPの( ③ )とメッセージ認証を行うセキュアプロトコルであり、音声メッセージの盗聴を防ぐ
①マルチメディアセッション
②リアルタイムデータ
③暗号化
(P.118)
・SIPは( ① )モデルで動作する
①トランザクションモデル
(P.119)
・SIPによるIP電話での通話開始
①通話リクエスト(SIP:INVITE,SDP)
②通話リクエスト(SIP:INVITE,SDP)
③応答(SIP:200 OK,SDP)
④応答(SIP:200 OK,SDP)
⑤音声通話(RTP,RTCP)
・SIPによるIP電話での通話終了
①音声通信停止
②通話終了(SIP:BYE)
③通話終了(SIP:BYE)
④音声通信停止
⑤応答(SIP:200 OK)
⑥応答(SIP:200 OK)
・IP電話で用いる通信プロトコル
①通信開始
②音声圧縮形式
③マルチメディアデータ
④時刻
(P.120)
・プレゼンス
ユーザの状態をお互いに参照できるサービス
SIMPLE:プレゼンス・インスタントメッセージを実現するSIP拡張規格
(P.122)
・SIPサーバが持つ4つのサーバ機能を説明せよ
①プロキシサーバ
端末や他のプロキシサーバの代理としてUACからのリクエストをUSAへ転送したり、UACに向けてレスポンスを転送する
②リダイレクトサーバ
UACから送信されたリクエストの宛先を別の宛先に書き換えてUACへ送り返す
③登録サーバ
UAから登録要求を受けてロケーションサーバへUAのIPアドレス情報を登録し、
同じ管理ドメイン内にある他のSIPサーバから利用できるようにする
④ロケーションサーバ
登録サーバで維持されるUAの情報を蓄積し、プロキシサーバ機能やリダイレクトサーバ機能に
よって利用されるロケーションサービスを提供する
・SIPサーバが持つプロキシサーバの3つの動作モードを説明せよ
1.ステートフルプロキシ
( ① )の状態(ステート)を管理する為、送られてくるリクエストとそれを処理して転送したリクエストの情報を保持する
2.ステートレスプロキシ
トランザクションの管理はせず、メッセージの中継のみを行う
3.コール・ステート・フルプロキシ
ステートフルプロキシの機能を有する他、SIPがやりとりされるエンド・ツー・エンドの経路上に常に存在し、
一連のトランザクションからなるダイアログを( ② )とみなして管理する。
そのため( ③ )の収集等を行う事ができる
①トランザクション
②呼(コール)
③課金情報
(P.123)
・IP-PBXは、( ① )等の制御部分、( ② )、従来型端末や公衆回線を接続する
( ③ )で構成され、それらがLANをベースとしたIPネットワーク上で接続される
①SIPサーバ
②IP電話端末
③VoIPゲートウェイ
・VoIPでは、アナログ音声信号は、IP電話端末、あるいは、VoIPゲートウェイにおいて
( ① )→( ② )→( ③ )→( ④ )という過程を経てストリーム伝送される
①デジタル化
②圧縮
③フレーム化(RTPペイロードに格納される)
④IPパケット化(RTPパケット含む)
(P.124)
・IP-PBXの特徴と効果
-データネットワークと音声ネットワークの統合による( ① )の削減
-複数拠点間システムの一元化とアプリケーション共有による内線電話の効率性の向上と運用コストの削減
-業務アプリケーション連携による( ② )の向上
-IP電話端末ユーザの状態をリアルタイムに通知する( ③ )によるコミュニケーションの効率化と生産性の向上
-スマートフォンと( ④ )の利用によるコミュニケーション機会の損失の低減、フリーアドレスによるワークスタイル革新
①コスト
②業務効率
③プレゼンス機能
④FMCサービス
・ソフトフォン・Web電話帳・ボイスメール・eメール・IM・Web会議・企業情報ポータル等の
コミュニケーションツールを統合させる事を( ① )という
①ユニファイドコミュニケーション
(P.125)
・IPネットワークでの音声劣化要因を3つ答えよ
①パケット遅延
②パケットロス
③ジッタ(ゆらぎ)
(P.125-126)
・IPネットワークでの音声品質確保の対策について答えよ
a.ネットワーク分散
( ① )なネットワークはそのままで音声ネットワークとデータネットワークの2つの論理的なセグメントに分離する
b.QoS
音声パケットをデータパケットよりも優先する
IEEE802.1p:Cos値により優先
Diffserv:ToS値により優先
①物理的
・代表的な音声品質評価
1.会話MOS(Mean Option Score:主観評価)
人間が実際に聞いて( ① )から( ② )の値で評価
2.PSQM(Perceptual Speech Quality Measurement:客観評価)
劣化度合いの数値評価。スコアは、( ③ )から( ④ )の値をとり、数値が低いほど劣化が低い
3.PESQ(Perceptual Evaluation of Speech Quality:客観評価)
劣化度合いの数値評価。スコアは、( ⑤ )から( ⑥ )の値をとり、数値が低いほど劣化が低い
4.R値
( ⑦ )個のパラメータで構成される計算式に基づいて算出する。
スコアは、( ⑧ )から( ⑨ )の値をとり、数値が高いほど音質が良好。
①1
②5
③0
④6.5
⑤-0.5
⑥4.5
⑦21
⑧0
⑨100
(P.126)
・IP電話の品質クラス分類
クラスA( ① ):R値>( ③ )、E2E遅延<( ⑥ )ms
クラスB( ② ):R値>( ④ )、E2E遅延<( ⑦ )ms
クラスC :R値>( ⑤ )、E2E遅延<( ⑧ )ms
①固定電話並み
②携帯電話並み
③80
④70
⑤50
⑥100
⑦150
⑧400
構内系ワイヤレスシステム
(P.128-129)
・主に無線IP電話システムに採用されるのは( ① )帯のIEEE802.11b/g規格である。
理由は、低消費電力、モバイル性が高い、高速性が求められない、というものがある。
欠点は、電子レンジなどに利用されており、電波干渉を受け易い点が挙げられる。
①2.4GHz
(P.129)
・無線IP電話システム構成
呼制御サーバ
認証サーバ:IEEE802.1X認証するRADIUSサーバ、EAP採用
アクセスポイント:データ通信は5GHz帯のIEEE802.11a/n、音声通話は2.4GHz帯のIEEE802.11b/g
無線LANコントローラー(無線LANスイッチ):複数のアクセスポイントを制御、ハンドオーバー制御
無線IP電話端末:専用端末、デュアル端末、スマートフォン
(P.131)
・無線IP電話システムの無線LAN区間の認証方式:IEEE802.1X/EAP認証
EAP-PEAP認証方式、EAP-TTLS認証方式、EAP-TLS認証方式
・無線IP電話システムの無線LAN区間の暗号化方式
WEP:比較的容易に盗聴
ダイナミックWEP:鍵を一定周期で変化させる
WPA:IEEE802.1X/EAP認証方式と、クライアント毎、パケットフレーム毎に異なる鍵を使用して、暗号化を行う
( ① )及び( ② )改ざん検出機能の組み合わせとして規定されている
WPA2:AES暗号化方式及び( ③ )暗号化&IEEE802.11iの改ざん検出機能を採用する方式
①TKIP(Temporal Key Integrity Protocol)
②MIC(Message Integrity Check)
③CCMP(Counter Mode with CBC-MAC Protocol)
(P.132)
・無線IP電話システムにおけるQoS制御
a.音声の優先制御
-無線LANコントローラ(無線LANスイッチ)と無線LANアクセスポイントに音声の優先制御を実装し音声帯域を確保する。
-CSMA/CA方式のランダムな待ち時間を短くして、IP電話機からの音声送信フレームに優先的な送信権を与える
標準化IEEE802.11e規格の拡張分散チャネルアクセス(EDCA)CSMA/CA方式も徐々に実装が進んでおり、
ベンダ固有の優先制御と共に採用される事が多くなってきている
b.帯域制御
-無線LANコントローラ(無線LANスイッチ)がアクセスポイントごとに同時接続数を制限して帯域制御を行う
-無線IP電話機が無線LANスイッチから各アクセスポイントの( ① )を入手し低負荷のアクセスポイントに接続する方式も
c.高速ハンドオーバ制御
-ハンドオーバによる瞬断時間を短くし、通話品質劣化を防ぐ。ハンドオーバ瞬断の目安としては( ② )
で違和感なし、( ③ )を超えると違和感あり、1秒を超えると途切れてしまうとされている。
①負荷状態
②100ミリ秒~200ミリ秒
③500ミリ秒~1秒
(P.132-P133)
・FMCサービス:固定網と移動網を融合、1端末1番号で提供
・FMCサービスのソリューションとしてdocomoからは( ① )、KDDIからは( ② )が提供されている
①オフィスリンク
②ビジネスコールダイレクト
・スマートフォンのセキュリティ対策
仮想デスクトップ(シンクライアント)、MDM(Mobile Device Management)によるポリシ・パッチ一斉配布、リモートワイプ
IPネットワークの動向
(P.134-135)
・IPv6の特徴
1.IPアドレス空間が32ビットから( ① )に拡大される。
→アドレスの枯渇問題がなくなる
→( ② )が不要となる
→IPヘッダが単純化され、かつ固定長なので( ③ )での処理速度の向上が見込める
2.拡張ヘッダとして、認証ヘッダ、暗号化ヘッダが用意されており、
( ④ )によるエンド・ツー・エンドのセキュリティを確保できる
認証ヘッダ(AH)と暗号ペイロード(ESP)
3.ヘッダ部の( ⑤ )をセットすることにより、パケットの( ⑥ )を指定する事で品質制御が可能
4.アドレスタイプには、( ⑦ )( ⑧ )( ⑨ )の3タイプがある
5.( ⑩ )というプロトコルが規定されていて、アドレスを自動生成し、ネットワークに参加する。
重複アドレスの検出や「IPアドレス―MACアドレス」の解決も( ⑩ )で規定されている
①128ビット
②NAT
③ルータ
④IPsec
⑤フローラベル
⑥優先度
⑦ユニキャスト・アドレス
⑧マルチキャスト・アドレス
⑨エニーキャスト・アドレス
⑩NDP(近隣探索プロトコル)
(P.135)
・IPv4との共存技術
1.ネットワーク機器や端末がIPv4、IPv6機能の両方をサポートしている事を( ① )という
2.IPv6パケットをIPv4ネットワークでトンネリング通信する事を( ② )、逆を( ③ )という
3.IPv4とIPv6の端末が直接通信できるように通信経路上に割込んでプロトコル変換を行う仕組みを( ④ )という。
代表的なものとして、デュアル・スタック対応のプロキシサーバを用いて変換を行う( ④ )がある。
①デュアル・スタック
②IPv6-IPv4トンネリング
③IPv4-IPv6トンネリング
④NAT-PT(Network Address Translation-Protocol Translation)
(P.135-136)
・NGNは、アクセス手段(有線・無線)に依存しない
・NGNが持つべき特徴
( ① )と( ② )の分離
サービス層とトランスポート層の分離
( ③ )の提供
( ③ )によるレガシー電話網との交互接続性の提供
エンド・ツー・エンドの( ④ )保証
多様なアクセス網をサポート
固定網と移動網の融合(FMC)
①転送機能
②制御機能
③オープンインターフェース
④QoS
(P.136)
・NGNが提供するべきサービスや機能
a.従来の電話網をエミュレートし、既存の電話機をそのまま利用できるようにする( ① )
b.電話機とのインターフェースをIPとした( ② )(従来の電話機とは、アダプタを介して接続する)
c.マルチメディアサービス
d.インターネットアクセス
e.公衆サービス
①PSTN/ISDNエミュレーション
②PSTN/ISDNシミュレーション
(P.137)
・ハイパーバイザ:物理サーバを複数の論理サーバ(VM)に分割
・IaaS等クラウドサービスを利用
(P.139)
・SDN(Software Defined Networking)
ネットワークの経路制御(コントロールプレーン)とパケット転送(データプレーン)が分離されたネットワーク仮想化技術
・オーバーレイ方式
各物理サーバにトンネル制御型仮想スイッチを組み込み、仮想スイッチ間でIPネットワーク上のトンネルを確立
VXLAN(Virtual eXtensible LAN)、NVGRE(Network Virtualization using Generic Routing Encapsulation)
VLAN ID不足を解消
・ホップ・バイ・ホップ(OpenFlow)方式
ネットワークの経路制御(コントロールプレーン)とパケット転送(データプレーン)の間でOpenFlowを使用
各物理サーバにOpenFlow仮想スイッチ、物理サーバ間をOpenFlowスイッチで構成、これらをOpenFlowコントローラで制御
OpenFlowはフロー単位でパケットを転送、ONF(Open Network Foundation)で標準化