※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
(1) 本文中の[ア]、[イ]に入れる適切な字句を答えよ
答: [ア] フォワード [イ] リバース
[ア]は「フォワード」、[イ]は「リバース」が入ります。プロキシとは代理という意味があります。社内PCからインターネット宛にアクセスをする際に、社内PCの通信を受けて、社内PCの代わりにインターネットへアクセスをするプロキシを「フォワードプロキシ」と呼びます。一方、その逆でインターネットのような外部から社内宛の通信を代わりに受けるプロキシを「リバースプロキシ」と呼びます。
フォワードプロキシの利点については、社内→プロキシサーバ→インターネットというアクセス経路になるため、[ア]の前後の文中にもありますが、どの端末がいつどこの宛先へ通信したのかのアクセスログを記録できることや、プロキシサーバで外部サーバのコンテンツをキャッシュして使用帯域を削減するなどが挙げられます。
リバースプロキシの利点については、インターネット→プロキシサーバ→社内公開サーバというアクセス経路になるため、[イ]の前後の文中にあるように外部サーバから公開サーバのオリジナルコンテンツに直接アクセスさせないことによるコンテンツ改ざんの防止、キャッシュによる応答速度の向上、複数サーバで負荷を分散できることなどが挙げられます。
(2) 下線①について、プロキシサーバで認証を行うことによりアクセスログに付加できる情報を答えよ
答: 利用者ID
プロキシサーバには利用者認証が備わっており、利用者IDとパスワードでの認証を行います。そのためアクセスログに利用者IDの情報が付加できるため、アクセスしたユーザを一意に特定することが可能となります。
なお認証方式には、Basic認証方式とDigest認証方式の2つの方式があり、Basic認証は利用者IDとパスワードの組みをコロン “:” でつなぎ、Base64で文字列をエンコードして送信する方法です。エンコード文字列(文字列を変換すること)はデコード(変換前の文字列に戻すこと)が可能なため、暗号化されていない平文のデータでの送信となります。
一方のダイジェスト認証では、Basic認証とは異なり送信するデータをMD5やSHA-256でハッシュ化した状態で送信する方法になり、Basic認証と比べセキュアな通信となります。
(1) 下線②について、HTTPSでアクセスするためのHTTPプロトコルのメソッド名を答えよ。また、このメソッドを用いる場合、マルウエアによる通信を遮断するためのプロキシサーバでの対策を述べよ
答: メソッド名:CONNECT
対策:HTTPS以外のポートのCONNECTを拒否する
社内PCからプロキシサーバへ接続要求するときにHTTPプロトコルの「CONNECT」メソッドを用います。
接続要求を受けたプロキシサーバはHTTPS(HTTP暗号化)通信をしたいサーバへトンネルを確立するように指示します。
このメソッドでは下記のように、ホスト名とポート番号が渡されます。
CONNECT www.dxnote.net:443 HTTP/1.1\r\n
※URL(ファイル名もしくはページ名)の情報はありません。c
CONNECTメソッドは、このように透過的に外部サーバの接続要求するメソッドのため、もし社内PCがマルウエアに感染した場合、「CONNECTメソッドを悪用して攻撃者のサーバと通信される危険性が高まります。そこで、マルウエアによるHTTP通信を遮断するため、
プロキシサーバはCONNECTメソッドによるポート443番以外の通信を遮断することでその可能性を防ぎます。
(2) [ウ]に入れる字句を答えよ
答: [ウ] プロキシサーバのルート証明書
社内PCで”証明書が信頼できない”とメッセージが出るのは、社内PCとアクセス先のWEBサーバ間の通信をプロキシサーバが再度暗号化を行ったためです。
つまりアクセス先の証明書ではなくプロキシサーバの証明書で暗号化しており、プロキシサーバの証明書は認証局(CA)という公的な機関が発行した証明書ではないため”信頼されていない証明書”となり、社内PCとのHTTPS通信時に社内PC側でセキュリティ警告やエラーが表示されます。
このような場合、プロキシサーバのルート証明書(自己証明書)をすべての社内PCにインストールすることで、信頼できるサーバの証明書と社内PCは判断できるため解決すること可能です。
(1) [エ]に入れる適切な字句を答えよ
答: [エ] コントロール
SDNでは”通信トラフィックを転送する機能”と”通信装置を集中制御する機能”にそれぞれの機器の役割をわけることで柔軟にネットワーク構成や変更、管理することができる技術です。
”通信トラフィックを転送する機能”のことをデータプレーンと呼び、”通信装置を集中制御する機能”のことを「コントロール」プレーンと呼びます。
(2) 下線③について、設定変更後の静的経路情報を答えよ
答: ネクストホップがSD-WANルータとなるデフォルトルート
5ページの(2)SD-WANルータを用いたときの通信で、”社内PCからG社SaaS以外のインターネットへのWebアクセスだけが許可されており、プロキシサーバを経由する。”、”L3SWにプロキシサーバへの静的経路情報を追加する”と記載があり、社内PCからG社SaaS以外のWebアクセスは通信経路の制御がすでに静的経路情報で設定されています。
また”社内PCからG社SaaSへのWebアクセスはプロキシサーバを経由せず各SD-WANルータを経由する。”とあります。
そのため、静的経路情報に設定のない宛先IPアドレスの通信は、すべてSD-WANルータにネクストホップ(中継)できれば、G社SaaSのIPアドレスに依存しない(静的経路情報を都度変更する必要のない)構成となります。
経路表に記載のない宛先を処理するための特殊なルートのことをデフォルトルートと呼び、このデフォルトルートの場合のSD-WANルータをネクストホップにしてあげればよいことになります。
よって、解答は「ネクストホップがSD-WANルータとなるデフォルトルート」となります。
(3) [オ]に入れる適切な字句を答えよ
答: SD-WANコントローラ
5ページの(1)SD-WANルータの概要で”SD-WANルータの設定は、SD-WANコントローラによって集中制御される”とあるように全社のSD-WANルータへ設定変更の指示を行うのは「SD-WANコントローラ」になります。
(4) 下線④について、このファイルを作成することによってプロキシから除外する通信を答えよ
答: G社SaaSへのHTTPS通信
プロキシ自動設定ファイルとは、Webブラウザへのリクエスト送信する際に経由するプロキシサーバを指定するためのファイルになります。
5ページの(2)SD-WANルータを用いたときの通信に記載の通り”社内PCからG社SaaSへのWebアクセスはプロキシサーバを経由せず各SD-WANルータを経由する”ので、このファイルを使用してG社SaaSへのHTTPS通信をプロキシから除外します。
(5) 下線⑤について、G社SaaSのAPI経由で取得する理由を2つ挙げよ
答: ・社内PCからG社SaaSへのアクセスがプロキシサーバを経由しなくなるから
・出張先のPCからG社SaaSへのアクセスが記録されるから
G社SaaSのアクセスログ取得についての問題です。設問3 (4)の解答にあるように、G社SaaSへのHTTPS通信はプロキシ自動設定ファイルにより除外され、社内PCからG社SaaSへのアクセスはプロキシサーバを経由せずSD-WANルータを経由することになりますので、G社SaaSのAPI経由で取得する必要があります。よって1つめの理由は「社内PCからG社SaaSへのアクセスがプロキシサーバを経由しなくなるから」になります。
次に2つめの理由についてです。
図2の通り出張先のPCからG社SaaSへのアクセスはプロキシサーバを経由せず、インターネット経由で直接G社SaaSへアクセスします。そのため、プロキシサーバには当然アクセスログは残りませんので、G社SaaSのAPI経由で取得する必要があります。
よって解答は「社内PCからG社SaaSへのアクセスがプロキシサーバを経由しなくなるから」、「出張先のPCからG社SaaSへのアクセスが記録されるから」になります。
(1) 本文中の[ア]~[エ]に入れる適切な字句を答えよ
答: [ア] ICMP [イ] IPアドレス [ウ] UDP [エ] コミュニティ
[ア]は「ICMP」が入ります。ICMPはネットワークが正常な状態か診断したり、異常な場合には通知する機能をもつプロトコルで、OSI参照モデルの第3層(ネットワーク層)で動作します。
pingとはICMPプロトコルを使用したネットワーク診断プログラムのことです。
[イ]は「IPアドレス」が入ります。ICMPはOSI参照モデルの第3層(ネットワーク層)で動作するため監視対象機器には「IPアドレス」を割り当てる必要があります。
[ウ]は「UDP」が入ります。SYSLOGはIPネットワーク上でログメッセージを転送する役割を持つプロトコルです。 UDPまたはTCPで送信されます。文中で”トランスポートプロトコル”(OSI参照モデルの第4層)で規定されているとありますので、「UDP」が解答になります。(TCPはネットワーク層で規定されています)
[エ]は「コミュニティ」が入ります。SNMPの「コミュニティ」とは、SNMPで管理対象の機器のグループ名のことで、同じ「コミュニティ」のSNMPエージェント、SNMPマネージャ間でMIBという管理情報を共有することが可能となります。
(2) 下線①について、PC及びサーバに設定する情報に着目してVRRPによる冗長化対象を答えよ
答: デフォルトゲートウェイ
VRRPは、経路の冗長化を目的とする機能です。ネットワーク上にマスタルータとバックアップルータという役割を決めた複数のルータが存在し、メインで稼働するマスタルータやマスタルータを通る経路に障害が起きた場合にバックアップルータがマスタルータに切り替わり、別の迂回経路に自動で切り替える機能を持っています。
このようにデフォルトゲートウェイとなるルータを自動で切り替わ得ることができるため、PC及びサーバに対して本来1つしか設定できないデフォルトゲートウェイを冗長化することが可能となります。
(3) 下線②について、バックアップルータはあるメッセージを受信しなくなったときにマスタルータに切り替わる。VRRPで規定されているメッセージ名を答えよ
答: VRRPアドバタイズメント
VRRPを設定した2台のルータを起動するとマスタルータとバックアップルータがお互いに「VRRPアドバタイズメント」と呼ばれる制御パケットを宛先IPアドレス(224.0.0.1)というVRRP用に割り当てられたマルチキャストアドレス宛に送信します。
するとルータにそれぞれ、メインで稼働するマスタルータとバックアップルータのどちらかの役割が割り当てられます。
バックアップルータに選ばれたルータは「VRRPアドバタイズメント」の送信を停止し、マスタールータになったルータは「VRRPアドバタイズメント」をバックアップルータへ一定間隔で送信し続けます。
バックアップルータはマスタルータからの定期的な「VRRPアドバタイズメント」を一定時間受信できなくなると、マスタルータがダウンしたとみなし、自身をバックアップからマスタールータへ切り替える動作をします。よって解答は「VRRPアドバタイズメント」となります。
(4) 下線③について、p4ポートでトランクポートに設定するVLAN IDを全て答えよ
答: VLAN100,VLAN200,VLAN300
ネットワーク機器をグループ化して仮想的なLAN(VLAN)を構築する方法がIEEE 802.1Qで標準化されました。このVLANを構築する方法について、ネットワーク機器の各ポートにVLAN IDを設定して、VLAN IDによって識別します。
下線③の文中にあるアクセスポートとは1つのVLANだけに所属するポートで、ポートごとに1つのVLAN IDが設定されています。図1で、p1がVLAN100、p2がVLAN200、p3がVLAN300となっていることがわかります。
一方でトランクポートとは複数のVLANに所属するポートです。1つのポートに複数のVLAN IDが設定されています。p4ポートは、コアSW1とコアSW2を接続しているため、コアSW1とコアSW2の両方で設定されているVLAN IDを設定する必要があります。そのためp4にはVLAN100、VLAN200、VLAN300の3つのVLAN ID設定を行います。
VLAN200,VLAN300となります。
(1) 下線④について、BDPUを受信しなくなったフロアSW2のポートを図2の字句を用いて答えよ
答: p2
ケーブル1の断線によって、「フロアSW2のp1ポートのSTPのポート状態がブロッキングから、リスニング、ラーニングを経てフォワーディングに遷移した」とあります。
フロアSW2のp1ポートがブロッキングであったということは、フロアSW2のp1はBPDUを受信しないようになっており、このことからルートブリッジであるコアSW1からフロアSW2へのパスコストがフロアSW1の経由ルートのほうが低い設定としていることがわかります。
そのためフロアSW1のp2とフロアSW2のp2間についてはフロアSW1からフロアSW2へBPDU(STP制御用の特殊なメッセージ)を送信していたことになります。
問ではフロアSW1の接続されているケーブル1とケーブル2が断線し、障害発生したことでフロアSW1p2ポートからのBDPUをフロアSW2のp2ポートが受信しなくなりました。
そのため、STPの再構築でフロアSW2が代わりの上位のスイッチとなるためにブロッキングからリスニング、ラーニングを経てフォワーディングへ遷移します。
フォワーディング
STPの再構築後はコアSW1→コアSW2→フロアSW2というルートになり、フロアSW1はフロアSW2より下位のスイッチとなりBDPUを送らないブロッキング状態となるため、フロアSW2のp2ポートはBDPUを受信しなくなります。
【補足】STPの各状態について
STPには、ブロッキング、リスニング、ラーニング、フォワーディング状態があります。
・ブロッキングは、初期状態のポートかブロッキングポート(別名:非指定ポート)の状態です。ブロッキングのときはBPDUの受信だけが可能です。
・リスニングは、ポートの役割決めなど、STPの構築を行っている状態です。BPDUの送信と受信が可能です。
・ラーニングは、ポートの役割が決定し、ルートポート、指定ポートでMACアドレスを学習し、転送に必要なMACアドレステーブルを作成している状態です。
また、このときにブロッキングポート(別名:非指定ポート)になったポートはブロッキングへと遷移します。
・フォワーディングは、ルートポートと指定ポートに選出されたポートが最終的に遷移する状態です。フレームの転送を行います。
(2) 下線⑤について、フロアSW1が送信したSYSLOGメッセージが監視サーバに到達できなかったのはなぜか
答: スパニングツリーが再構築中だったから
設問3(1)の解説に記載したようにケーブル1とケーブル2が断線した後にSTPは再構築計算を行います。
結果的にフロアSW2がフロアSW1より上位のスイッチとなり、STPの再構築後は監視サーバ→サーバSW→コアSW2→フロアSW2というルートになったのですが、
この再構築の計算は開始は完了まで約30秒~50秒かかり、再構築中は通信が正常に行われない状態になっています。
この再構築の時間にリンク状態遷移を示すSYSLOGメッセージを監視サーバへ送ろうとしたため監視サーバへ到達できなかったと考えられます。
よって解答は「スパニングツリーが再構築中だったから」となります。
(1) 下線⑥について、SNMPエージェントとSNMPマネージャに該当する機器名を答えよ
答: SNMPエージェント:コアSW1,コアSW2,フロアSW1,
フロアSW2,フロアSW3,フロアSW4,サーバSWのうちいずれか
SNMPマネージャ:監視サーバ
SNMPマネージャは、サーバやネットワーク機器などを監視や制御する側の役割を持つ機器になり、一方のSNMPエージェントはSNMPマネージャによって管理される側の機器になります。
上記よりSNMPマネージャは「監視サーバ」になります。pingやSYSLOGを使用してネットワークや機器の状態を監視しています。
続いてSNMPエージェントは「監視サーバ」から監視されている対象の機器になります。8ページの[監視サーバの概要]に、”監視対象機器は、コアSW、サーバSW及びフロアSWである”とありますので「コアSW1,コアSW2,フロアSW1,フロアSW2,フロアSW3,フロアSW4,サーバSW」が該当します。
(2) 下線⑦について、ポーリングとトラップの問題をそれぞれ答えよ
答: ポーリング:5分ごとに状態を取得するので多くの場合異常検知が遅れる
トラップ:到達確認がないのでメッセージが失われる可能性がある
ポーリングは、SNMPマネージャがSNMPエージェントに対して”例えば5分ごとといった定期的に”MIBの問合せを行うことによって機器の状態を取得する動作です。
(MIBは本文中にもあるように機器の管理情報のことです)
上述の通り5分ごとに状態を取得するので、もし機器に異常があった場合、最長で5分間それに気づくことができない可能性があります。
よってポーリングの問題は「5分ごとに状態を取得するので多くの場合異常検知が遅れる」となります。
続いて、トラップは、MIB変化が起きた際に、SNMPエージェントがSNMPマネージャに対しメッセージを送り、SNMPマネージャがメッセージを受信することによって機器の状態を取得する動作になります。
もしSNMPエージェントががSNMPマネージャに対しメッセージを送ったときにスパニングツリーの再構築中など何らかの原因によってメッセージが届かない場合、SNMPマネージャが検知することができません。このようにトラップの問題は「到達確認がないのでメッセージが失われる可能性がある」ことになります。
(3) 下線⑧について、SNMPエージェントが満たすべき動作の内容を述べよ
答: スパニングツリーが再構築するまでインフォームの再送信を繰り返す
設(2)トラップ問題点としては、到達確認がないのでメッセージが失われ、SNMPマネージャが検知することができない可能性があることです。
そこで対策として、SNMPエージェントはインフォームと呼ばれるイベント通知機能があり、それを使用します。SNMPエージェントはインフォームをSNMPマネージャへ送り、その応答の有無でインフォームリクエストの到達確認、つまりメッセージの到達確認ができます。
ですので、今回の問題のようなスパニングツリーが再構築中でメッセージが到達できなかったというケースを回避するために、「スパニングツリーが再構築するまでインフォームの再送信を繰り返す」ことを行うように設定して応答があれば再構築が完了して正常な通信を行える状態があったと判断できます。
(1) [ア]~[オ]に入れる適切な字句を答えよ
答: [ア] ラベル [イ] PEルータ [ウ] ネットワーク
[エ] IP-VPN [オ] インターネットVPN
[ア]には「ラベル」が入ります。「ラベル」とは短い固定長(4バイト)のタグ情報で、主に事業者閉域IP網内でのパケットを高速で転送する技術であるMPLSで使用されます。
[イ]には「PEルータ」が入ります。
CEルータとは利用者の各拠点内(IP閉域網を介してインターネットに接続する接続元の出入り口にあたるルータで「PEルータ」は通信事業者が閉域IP網内に持っている複数のルータ群です。
IP閉域網を介して、A拠点からB拠点宛へ通信するときは簡単に説明すると次のような流れになります。
・拠点AのPC→拠点AのCEルータ→通信事業者のPEルータ(ラベル付与)→対方向のPEルータ(ラベル除去)→拠点BのCEルータ→拠点BのPC
通常のパケット転送では、パケットの宛先IPヘッダをみて次のルータに届けるのですが、MPLSの場合はIPヘッダの代わりにラベルをみて宛先のルータに届けます。
I Pヘッダは20バイト(※オプションなしの場合)で、ラベルは4バイトなので処理する量が小さいためパケット転送の高速化を図ることができます。
このラベルの付け剥がしの役割を「PEルータ」が行います。よって解答は「PEルータ」になります。
[ウ]には「ネットワーク」が入ります。
IPsecはOSI参照モデルにおける「ネットワーク層」(第3層)で動作します。IPパケットを中継するのがネットワーク層ですが、IPsecは中継の際のIPパケットを認証や暗号化することにより、ネットワーク層で通信の安全性を確保するためのプロトコルになります。
[エ]には「IP-VPN」、[オ]には「インターネットVPN」が入ります。
[WAN構成の検討]に「通常時は拠点間通信にIP-VPNを用いるが、IP-VPNの障害時にはインターネットVPNをバックアップ回線として用いる」とあるように正常時は「IP-VPN」、障害時は「インターネットVPN」が使われます。
(1) 下線①について、IP-VPNサービス提供のための事業者閉域IP網内で用いられるパケット転送技術を答えよ
答: MPLS
MPLSは、ラベルと呼ばれるタグを使用したパケット転送技術です。通常のルータの経路選択が20バイトのIPヘッダを使用するのに対し、MPLSでは4バイトのラベルというタグ情報を使用することでパケット転送の高速化を図ることができます。
(2) 下線②について、事業者閉域IP網内の利用者トラフィック中継処理において、タグ情報を利用する目的を述べよ
答: 利用者ごとのトラフィックを区別するため
閉域IP網内は1つの会社のトラフィックだけが流れるわけではなく、事業者と契約している数多くの利用者が使用しています。そのため、パケットを中継するにはどこからのパケットかを識別する必要があり、一意に利用者を識別できるタグ情報であるラベルを使用します。よって解答は「利用者ごとのトラフィックを区別するため」となります。
(1) 下線③について、GREoverIPsecを利用する目的を述べよ
答: OSPFのマルチキャストを通すため
14ページの”各拠点間のIPsecトンネル及び拠点間LANのルーティングはOSPFを使用する”とあります。
OSPFは、リンクステート型ルーティングプロトコルと呼ばれ、OSPFルータ同士のやり取りについて、通常はマルチキャストアドレス(224.0.0.5または224.0.0.6)宛に送信にするという特徴があります。
そのため、ネットワーク上のほかのホストやOSPFを有効にしていないルータへは負荷がかかりません。
(OSPF用に予約されているマルチキャストアドレスである224.0.0.5は同一ネットワーク内のすべてのOSPFルータのグループで、224.0.0.6は同一ネットワーク内のDRおよびBDRのグループです)
続いてIPsecトンネルについてですが、
IPsecは、IPアドレスの宛先が一つであるユニキャスト通信(1対1)しかできず、ブロードキャスト通信(1対不特定多数)やマルチキャスト通信(1対複数)ができません。
つまり、拠点間でOSPFのようなダイナミックルーティングプロトコルは使えないことになります。
そこでGREoverIPsecを利用します。GRE(Generic Routing Encapsulation)では、マルチキャストパケットをカプセル化してユニキャストとして転送することができます。
そのためマルチキャスト(ブロードキャスト)通信も通すことが可能となります。
よって解答は「OSPFのマルチキャストを通すため」になります。
(2) 下線④について、各拠点のCEルータが受信する経路情報を述べよ
答: ほかの拠点への経路情報
下線④で”自拠点の経路情報をPEルータに広告するとともに、PEルータから経路情報を受信する”とあります。
PEルータは、IP-VPNのネットワーク上およびインターネット上に配置された通信事業者のルータになり、
インターネットでもIP-VPN(閉域IP網)でも自拠点からほかの各拠点へパケットを転送する際には、PEルータから自拠点の経路情報を広告するとともにほか拠点の経路情報を受信することで、パケットを転送に必要な経路情報を得ることができます。
よって解答は、「ほかの拠点への経路情報」となります。
(3) 下線⑤について、Eさんが検討したルーティング方法においてL3SWでの経路の優先選択の考え方を述べよ
答: BGP4から得られた経路情報を優先する
14ページで”正常時は[エ]IP-VPNを利用するが、[エ]IP-VPNの障害時は[オ]インターネットVPNに切り替える必要がある”、”CEルータでもある各拠点のL3SWは、IP-VPN側で隣接するPEルータとBGP4で経路交換する”とあります。
このことから正常時はIP-VPNを使い、IP-VPNはBGP4を使うことがわかりますので解答は「BGP4から得られた経路を優先する」となります。
IPsecトンネル(インターネットVPN)及び各拠点内LANのルーティングではOSPFを使用します。
(1) 下線⑥について、望ましくない理由を述べよ
答: 新拠点追加のときに全拠点で設定変更が必要になるから
下線⑥に”フルメッシュのIPsecトンネルのネットワーク構成”とありますが、まずフルメッシュとは複数の拠点同士が1対1で接続しているネットワークの接続構成のことです。
続いて、IPsecトンネルとは拠点間でIPsecトンネル(VPN接続)する方式です。
このIPsecトンネルは拠点のFWに対して設定しますので、拠点を追加するときに既存の全拠点での設定変更が必要となります。
よって解答は「新拠点追加の時に全拠点で設定変更が必要になるから」となります。
(2) 下線⑦について、NHRPから得られる情報を答えよ
答: 大阪支店のFW2のグローバルIPアドレス
15ページの中段に”NHRPは、IPsecトンネル確立に必要な対向側IPアドレス情報を、トンネル確立時に動的に得るのに利用される。”とあります。
また下線⑦の文で、”名古屋支店内のPCから大阪市店内のサーバへの通信が行われる場合・・・NHRPによって得られた情報を利用してS-Sトンネルを確立する”とあります。
このことからIPsecトンネルを確立するのは大阪支店であることがわかり、トンネル確立に必要な対向側IPアドレス情報というのは、通信先になる「大阪支店のFW2のグローバルIPアドレス」になります。
(3) 下線⑧について、追加設定が必要な機器を全て答えよ。また、追加すべきOSPFの設定を述べよ
答: 機器:FW2、FW3
設定:OSPFのプライオリティを0にする
15ページの下段に”スポークとなる機器がOSPFの代表ルータに選出されてしまうと、スポーク拠点間のIPsecトンネルが解放されなくなってしまうので、それを防ぐために、スポークとなる機器のOSPFに追加の設定が必要になる”とあります。
ポイントとなるのは”OSPFの代表ルータに選出されてしまう”という部分です。
OSPFで構成された各ルータには代表ルータ、バックアップルータという役割がそれぞれのルータに割り当てられ、代表ルータの割り当てには、OSPFプライオリティという値が高い順に選出されるという決まりがあります。
OSPFの代表ルータに選出されないようにするためには、特殊な設定が用意されており「OSPFのプライオリティを0にする」と代表ルータに選出されなくなります。
また、プライオリティを0に設定する対象機器は”スポークとなる機器”ということで、15ページ中段で”支店の2拠点をスポークを拠点とする”とあるため、大阪支店の「FW2」と名古屋支店の「FW3」になります。