* 災害復旧の概念の紹介:
* 災害復旧には、災害発生時に事業継続とデータ復旧を確保するための戦略と対策が含まれます。
* 平均故障間隔（MTBF）:
* MTBF は、システムの動作中に発生する故障間隔を予測するために使用される信頼性の指標です。総動作時間を故障回数で割って計算されます。
* 計算式:MTBF=総動作時間故障数\text{MTBF} = \frac{\text{総動作時間}}{\text{故障数}}MTBF=故障数総動作時間
* このメトリックは、システムとコンポーネントの信頼性と予想寿命を理解するのに役立ちます。
* 計算例:
* サーバーが 1000 時間稼働し、2 回の障害が発生した場合、MTBF は次のようになります。
MTBF=1000時間2=500時間\text{MTBF} = \frac{1000 \text{時間}}{2} = 500 \text{時間}MTBF=21000時間=500時間
* オプションの説明:
* A. MTTR (平均修復時間): 障害発生後にシステムを修復するのに必要な平均時間。
* B. MTBF (平均故障間隔):正解は、故障間の平均時間を表します。
* C. RPO (目標復旧ポイント): 時間で測定されたデータ損失の最大許容量。
* D. RTO（目標復旧時間）：災害発生後のITおよび業務活動の復旧に設定された目標時間。
* 結論：
* MTBF は、災害復旧とシステムの信頼性における重要な指標であり、組織がメンテナンスを計画し、システム パフォーマンスを予測するのに役立ちます。
参考文献:
* MTBF、MTTR、RPO、RTO の概念と計算について説明した CompTIA Network+ ガイド (ページ参照 10†「Cisco Packet Tracer の使用方法」を参照)。

SVI (スイッチ仮想インターフェイス) は、VLAN 間のトラフィックをルーティングするために使用される、レイヤー 3 対応スイッチ上の論理インターフェイスです。これは、各タイプのトラフィックを異なる VLAN に割り当て、それに応じてルーティングできるため、音声トラフィックとデータ トラフィックを分離する必要がある環境で特に役立ちます。
* SVI (スイッチ仮想インターフェイス): VLAN 間ルーティング用にスイッチ上に作成される仮想インターフェイス。
* VLAN ルーティング: レイヤー 3 スイッチ上の VLAN 間のトラフィックのルーティングを有効にし、音声やデータなどの異なるタイプのトラフィックを論理的に分離できるようにします。
* 使用例: VoIP 実装など、効率的でセグメント化されたトラフィック管理が必要なシナリオでよく使用されます。
ネットワーク参照:
* CompTIA Network+ N10-007 公式認定ガイド: VLAN、SVI、およびネットワークのセグメンテーションとルーティングにおけるそれらのアプリケーションについて説明します。
* Cisco Networking Academy: SVI を使用した VLAN 構成と VLAN 間ルーティングに関するトレーニングを提供します。
* Network+ 認定オールインワン試験ガイド: VLAN ルーティングでの SVI の使用など、ネットワーク セグメンテーション手法について説明します。

コンソール アクセス:
目的: スイッチへのコンソール アクセスにより、管理者はデバイスを直接構成および管理できます。これは通常、コンピューターのターミナル エミュレーター プログラムを使用して行われます。
RJ45 コネクタ:
一般的な用途: RJ45 コネクタは、イーサネット ケーブルのほか、スイッチやルーターなどのネットワーク デバイスへのコンソール接続にも広く使用されています。
コンソール ケーブル: コンソール ケーブルには、多くの場合、一方の端に RJ45 コネクタ (スイッチ用)、もう一方の端に DB9 シリアル コネクタ (コンピュータ用) が付いています。
他のコネクタとの比較:
ST (ストレート チップ): コンソール アクセスではなく、ネットワーク用に使用される光ファイバー コネクタ。
BNC (Bayonet Neill-Concelman): 同軸ケーブル用コネクタ。通常は古いネットワーク設定で使用され、コンソール アクセスには使用されません。
SFP (Small Form-factor Pluggable): コンソール アクセスではなく、ネットワーク インターフェイスに使用されるモジュラー トランシーバー。
実用例:
接続手順: コンソール ケーブルの RJ45 端をスイッチのコンソール ポートに接続します。DB9 端 (またはアダプタ経由の USB) をコンピューターに接続します。ターミナル エミュレーター (PuTTY、Tera Term など) を使用して、スイッチのコマンド ライン インターフェイス (CLI) にアクセスします。
参照：
ネットワーク デバイスとコネクタに関する CompTIA Network+ 学習教材。

* サポート終了について:
* サポート終了ステータス: ベンダーがデバイスのサポート終了を宣言すると、そのデバイスは更新、パッチ、テクニカル サポートを受けられなくなります。新しい脆弱性が解決されないため、セキュリティ リスクが生じます。
* サポートが終了したデバイスを保持することのリスク:
* セキュリティの脆弱性: 更新を行わないと、スイッチは新たなセキュリティの脅威にさらされることになります。
* コンプライアンスの問題: 多くの規制フレームワークでは、重要なインフラストラクチャをサポートされた安全なハードウェアで維持することが求められています。
* 最善の次のステップ - 交換:
* 廃止と交換: 最も安全な方法は、サポートが終了したスイッチを新しいサポートされているモデルに交換することです。これにより、インフラストラクチャが安全で、現在の標準に準拠した状態が維持されます。
* 計画と実行: ネットワークのニーズを評価し、適切な交換スイッチを選択し、ハードウェア交換のためのダウンタイムをスケジュールすることで、交換を計画します。
* 他のオプションとの比較:
* 最新のパッチを適用する: これは役立ちますが、今後パッチが提供されないため、将来の脆弱性には対処できません。
* 現在のファームウェアに問題がないことを確認する: これは一時的な対策に過ぎず、将来のリスクを軽減するものではありません。
* スイッチをネットワークから分離する: スイッチを分離すると、ネットワークの動作が中断される可能性があり、長期的には実行可能な解決策ではありません。
参考文献:
* ネットワークメンテナンスとセキュリティのベストプラクティスに関する CompTIA Network+ 学習教材。

以下のステップバイステップの完全な解決策を参照してください。
Explanation:
* 両方の建物内のデバイスはインターネットにアクセスできる必要があります。
* セキュリティでは、すべてのインターネット トラフィックがネットワークに入る前に検査されることが求められます。
* デスクトップでは、他のデバイス宛のトラフィックは表示されません。
修正されたレイアウトと説明は次のとおりです。
* A棟:
* スイッチ: すべてのデスクトップを接続するために正しく配置されています。
* ファイアウォール: すべての受信トラフィックと送信トラフィックを検査できるように正しく配置されています。
* B棟:
* スイッチ: 必要ありません。代わりに、ワイヤレス アクセス ポイント (WAP) を配置して、ラップトップやモバイル デバイスにワイヤレス接続を提供します。
* 建物間:
* ワイヤレス範囲拡張器: 建物間のワイヤレス接続を提供するために適切に配置されています。
* インターネットへの接続:
* ルーター: インターネットに接続し、建物とインターネット間のトラフィックをルーティングするために適切に配置します。
* ファイアウォール: ファイアウォールは、ルータと内部ネットワークの間に配置して、ネットワークに入る前にすべてのトラフィックを検査する必要があります。
修正されたセットアップ:
* 左上（建物A）：スイッチ
* 左下（建物A）：ファイアウォール（ネットワークに入る前にトラフィックを検査する）
* 上中段（インターネット接続）：ルーター
* 下中（建物の間）：ワイヤレスレンジエクステンダー
* 右上（建物B）：ワイヤレスアクセスポイント（WAP）
この修正された設定では、建物 B の WAP は、ルーターに接続されたワイヤレス レンジ エクステンダーにワイヤレスで接続します。ルーターはファイアウォールに接続されており、すべてのトラフィックがネットワークに入る前に検査されるようになっています。
ワイヤレスレンジエクステンダーの構成:
* SSID: 株式会社
* セキュリティ設定: WPA2 または WPA2 - エンタープライズ
* キーまたはパスフレーズ: [強力なパスフレーズを入力してください]
* モード: [ネットワークプランに基づいて設定]
* チャンネル: [ネットワークプランに応じて設定]
* 速度: 自動
* 両面印刷: 自動
これらの設定により、両方の建物からインターネットに安全にアクセスでき、すべてのトラフィックはネットワークに入る前にファイアウォールによって検査されます。デスクトップやその他のデバイスには、他のユーザー宛のトラフィックが表示されず、必要なセキュリティとプライバシーが維持されます。

ワイヤレス範囲拡張機能をセキュリティ用に構成するには、次の手順に従います。
* SSID (サービス セット識別子):
* 図に示すように、SSID が「CORP」に設定されていることを確認します。
* セキュリティ設定:
* WPA2 または WPA2 - Enterprise: セキュリティを強化するには、これらのオプションのいずれかを選択します。WPA2 - Enterprise は、集中認証によるより強力なセキュリティを提供するため、企業環境に最適です。
* キーまたはパスフレーズ:
* WPA2 を選択した場合は、「キーまたはパスフレーズ」フィールドに強力なパスフレーズを入力します。
* WPA2 - Enterprise を選択した場合は、図には示されていない RADIUS などの認証サーバーの追加設定を構成する必要があります。
* ワイヤレスモードとチャネル:
* 干渉を避けるため、ネットワーク設計や環境に応じて適切なモードとチャネルを設定してください。これらの設定は展示では指定されていないため、ネットワーク計画に従って設定してください。
* 有線速度とデュプレックス:
* 100 Mbps または 1000 Mbps の特定の要件がない限り、速度を「自動」に設定します。
* ネットワーク機器に基づいて半二重または全二重を指定する必要がない限り、デュプレックスを「自動」に設定します。
* 設定を保存:
* 必要な変更を行った後、「保存」ボタンをクリックして設定を適用します。
調整後の構成は次のようになります。
* SSID: 株式会社
* セキュリティ設定: WPA2 または WPA2 - エンタープライズ
* キーまたはパスフレーズ: [強力なパスフレーズを入力してください]
* モード: [ネットワークプランに基づいて設定]
* チャンネル: [ネットワークプランに応じて設定]
* 速度: 自動
* 両面印刷: 自動
これらの設定が構成されると、ワイヤレス範囲拡張機能によって両方の建物内のデバイスに安全な接続が提供されます。
ファイアウォール設定で要件とセキュリティのベストプラクティスに完全に準拠するには、次の調整と追加を検討してください。
* DNS ルール: このルールは、内部ネットワークから任意の宛先への DNS トラフィックを許可します。これは問題ありません。
* HTTPS送信: このルールは、内部ネットワークからのHTTPSトラフィックを許可します（192.169.0.1を想定）。
/24 はタイプミスで、192.168.0.1/24 とする必要があります) を任意の宛先に渡すことができ、安全な Web ブラウジングにも適しています。
* 管理: このルールは、管理タスクに必要な管理目的でファイアウォールへの SSH アクセスを許可します。
* HTTPS 受信: このルールは、内部ネットワークへの受信 HTTPS トラフィックを拒否します。これは、インターネットからアクセスする必要がある Web サーバーがない限り適切です。
* HTTP 受信: このルールは、内部ネットワークへの受信 HTTP トラフィックを拒否します。これはセキュリティ上の目的に適しています。
推奨される追加設定:
* 一般的な送信トラフィックを許可: Web アクセス、電子メールなどの一般的な送信トラフィックを許可します。
* その他のすべてのトラフィックをブロック: 不正アクセスを防ぐために、その他のすべてのトラフィックがブロックされていることを確認します。
ファイアウォール構成の調整:
* ネットワークのタイプミスを修正します:
* サブネット 192.169.0.1/24 が 192.168.0.1/24 に修正されていることを確認します。
* 一般的な送信トラフィックを許可する:
* ルール名: 一般送信
* ソース: 192.168.0.1/24
* 目的地: 任意
* サービス: 任意
* アクション: 許可
* その他のすべてのトラフィックを拒否:
* ルール名: すべてブロック
* 出典: ANY
* 目的地: 任意
* サービス: 任意
* アクション: 拒否
更新されたファイアウォール設定は次のようになります。
ルール名
ソース
行き先
サービス
アクション
DNSルール
192.168.0.1/24
どれでも
ドメイン名
許可する
HTTPS 送信
192.168.0.1/24
どれでも
翻訳
許可する
管理
どれでも
192.168.0.1/24
パスワード
許可する
HTTPS 受信
どれでも
192.168.0.1/24
翻訳
拒否
HTTP 受信
どれでも
192.168.0.1/24
ウェブ
拒否
一般アウトバウンド
192.168.0.1/24
どれでも
どれでも
許可する
すべてブロック
どれでも
どれでも
どれでも
拒否
これらの設定により、次のことが保証されます。
* 内部デバイスは外部から DNS および HTTPS サービスにアクセスできます。
* SSH経由の管理アクセスが許可されます。
* 特に指定がない限り、受信 HTTP および HTTPS トラフィックは拒否されます。
* 一般的な送信トラフィックは許可されます。
* その他のトラフィックはすべてデフォルトでブロックされ、安全な環境が確保されます。
調整を行った後は必ず設定を保存してください。