IPsecパススルーに関するネットワークスペシャリスト試験
以下に「IPsecパススルー」をテーマとしたネットワークスペシャリスト試験形式の問題を10問まとめて作成します。
【選択肢】【正解】【解説】【穴埋め】【誤文訂正】を各問に含みます。
■ 問題1
IPsecパススルー機能の主な目的はどれか。
A. パケットをフィルタリングすること
B. VPNトンネルをブロックすること
C. NAT環境でもIPsec通信を通過させること
D. 暗号通信を強制的に無効化すること
【正解】C
【解説】IPsecパススルーは、NAT環境下でESPやIKEのパケットをルータが正しく転送できるようにする機能。
【穴埋め】IPsecパススルー機能は、________ 環境下でもIPsec通信を可能にする。
→ NAT
【誤文訂正】IPsecパススルーはVPN通信を禁止するための機能である。
→ 正しくは、NAT越しでもVPN(IPsec)通信を可能にするための機能である。
■ 問題2
IPsecパススルー機能を有効にすることで通過できるプロトコルはどれか。
A. ICMP
B. GRE
C. ESPとIKE
D. HTTPとFTP
【正解】C
【解説】IPsecパススルーでは、ESP(IPプロトコル番号50)とIKE(UDP 500/4500)を通過させるために必要。
■ 問題3
IPsecパススルーが必要となる状況はどれか。
A. 双方が同一LANにある
B. NATルータ越しにVPN接続する場合
C. ICMPエコー応答が届かない場合
D. SSL VPNを使っている場合
【正解】B
【解説】NATはESPを扱えないため、IPsecをNAT越しに使うにはパススルー機能が必要になる。
■ 問題4
IPsecパススルーを行うにはルータが何をサポートしている必要があるか。
A. TCP再送制御
B. AH暗号化
C. NATトラバーサル(NAT-T)
D. DNSキャッシュ
【正解】C
【解説】NATトラバーサル(NAT-T)はUDP 4500番を使用してESP通信をカプセル化し、NAT越えを実現する。
■ 問題5
NATを通過できないESPパケットの理由はどれか。
A. IPヘッダにTTLがない
B. ポート番号が存在しない
C. 暗号化されていない
D. TCPとして扱われる
【正解】B
【解説】ESPはIPのプロトコル番号50で動作し、TCPやUDPのようなポート番号がないためNATで変換しにくい。
■ 問題6
IPsecパススルーが機能しない原因として適切なものはどれか。
A. ルータがUPnP対応
B. TCPセッション確立済み
C. NAT-T未対応のルータ
D. VPNサーバが動作中
【正解】C
【解説】NAT-T非対応のルータでは、ESPやIKEパケットのカプセル化に失敗し、VPN接続が確立しない。
■ 問題7
IPsecパススルーを利用する際に必要なUDPポートはどれか。
A. UDP 53
B. UDP 123
C. UDP 500およびUDP 4500
D. UDP 80およびUDP 443
【正解】C
【解説】IKE通信はUDP 500、NATトラバーサルではUDP 4500が使われる。
■ 問題8
NAT環境でIPsec通信を行う場合の最も一般的な対処法はどれか。
A. ルータでTCPポート80を開放
B. NATトラバーサル機能の利用
C. VPNセッションの二重化
D. IPヘッダの再構成
【正解】B
【解説】NAT越えにはNAT-Tを用いてESPをUDPでカプセル化するのが一般的。
■ 問題9
IPsecパススルーをサポートしないルータを使うとどうなるか。
A. VPN通信が高速化する
B. VPN通信が切断される
C. 通信がIPv6に切り替わる
D. NATが無効化される
【正解】B
【解説】ESPパケットが通らず、VPN通信の確立や維持が困難になる。
■ 問題10
IPsecパススルーにより通信できるようになるVPNの例はどれか。
A. PPTP
B. SSL-VPN
C. IPsec VPN(ESP/IKE使用)
D. GREトンネルVPN
【正解】C
【解説】IPsec VPNでESPやIKEを用いる通信に対して、IPsecパススルーは有効である。
ご希望があれば、NAT-TとIPsecの詳細な動作シーケンスやESPヘッダのカプセル化図、ルータの設定例なども併せて提供可能です。お気軽にお知らせください。
コメント
コメントを投稿