設問1
(2)131,072
1つのIPアドレスで使えるポートは2^16(65,536)個。
問題文中に2つのIPアドレスを使用すると書かれているので、A.65,536×2=131,072
*ポート番号は16ビットで表現される。なので、2^16
(3)①許可する通信を追加する/②宛先NATに関する定義を追加する
①許可する通信を追加する:Webサーバが増えるということはそこに到達させるためのIPアドレスが必要になる。そしてそれをクライアントが接続要求した際に届かせる必要がある。なので、それを許可リストに入れる必要がある
*ACLの場合、許可しないと暗黙のdenyによって拒否されてしまうので明示的に追加する必要がある。
②宛先NATに関する定義を追加する:p4の5行目でIPアドレスの組み合わせは1対1に固定とある。なので、Webサーバが追加されたら、そのプライベートIPアドレスをグローバルIPアドレスに対応づける必要があるのでNATの定義を追加する必要がある。
p3 表1 ip1/29
このアドレス空間で使えるIPアドレスの個数は32-29=3 2^3=8 ネットワークアドレスとブロードキャストアドレスの2つを引くと8-2=6 つまり6個のアドレスが使えることになる
p4 FWのDNSラウンドロビン機能
Webサービスのドメインに対応するIPアドレスを負荷分散対象先となるWebサーバの複数IPアドレスに対応づけた複数のAレコードを準備する。それをDNS要求のたびに順番に返していくことで負荷が分散される
p4 負荷分散装置(以下、LBという)があり、この装置は負荷分散機能のほかにDNS機能~
LBのDNS機能:LBが死活監視をして死んでいる回線があれば、それに付随するDNSレコードを返さないようにするといった動的な制御が可能になる
p5 STUN
自分が外部と通信しているときに、NATで変換された後の送信元IPアドレス&送信元ポート番号を知ることができる
*不随としてステートフルインスペクション、ホールパンチング、フルコーンNTA、TURNも頻出する
ステートフルインスペクション:自分→外への通信の戻りパケットしか受け取らない仕組み。つまり、外から始まる通信は拒否される。なお、ステートフルインスペクションには2つの手法(フルコーンNATと制限型コーンNAT)がある。
フルコーンNAT:一言でいうと制限がガバガバなやつ。1度、内から外に出たポート番号あてに、外部から通信がきたらそれを許可する。つまり判断基準がポート番号のみ。
制限型コーンNAT:厳しいやつ。1度、内から外に出たIPアドレスとポート番号あてに、外部から通信がきたらそれを許可する。つまり判断基準がIPアドレスとポートの組み合わせなので、ポート番号だけ一致していてもその通信は拒否されることになる。
ホールパンチング:
TURN:ステートフルインスペクション機能(自分→外への通信の戻りパケットしか受け取らない=外からの通信開始は拒否される)が有効になっている場合、P2Pなどでは双方が相手のIPをブロックしてしまうことがある。そのため、あらかじめ双方の端末からTURNサーバとセッションを作っておく。TURNはそのセッションを使い双方の中継処理をする。
