※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
(1) [a]~[c]に入れる適切な字句を答えよ
答: [a] BGP4 [b] バックボーン [c] GARP
[a]には”BGP4”が入ります。BGP4はパスベクトル型ルーティングプロトコルに分類され、ネットワークの細かい規則や方針に従ってルーティングを行います。BGP4はTCPプロトコルの179番ポートを利用して通信します。
[b]には”バックボーン”が入ります。OSPFではエリアと呼ばれるグループに分けて管理します。バックボーンエリアとは、全てのエリアが接続されるOSPFの中枢のエリアとなり、各エリアは必ずバックボーンエリア(エリア0)に接続しなければならないという決まりがあります。
[c]には”GARP”が入ります。GARPとは自分自身のIPアドレスを設定して送信するARP要求パケットのことです。VRRPのマスタルータが故障した場合はバックアップルータが新しいマスタルータとなり、GARPパケットをブロードキャストすることでMACアドレステーブルが新しいルータのMACアドレスにが更新され、ルータの機器の切り替えを行うことができます。
よって解答は[a] BGP4 [b] バックボーン [c] GARPになります。
(2) VRRPによる冗長化において、L3SW1やL3SW2が受信するアドバタイズパケットはどの回線を通るか
答: キ、ク、ケ
アドバタイズパケットとはVRRPを有効にしたルータ(L3SW1とL3SW2)間でVRRP情報をやり取りするマルチキャスト通信により送出されるバケットのことです。
このパケットがどの回線を通るかという問題ですが、L3SW同士を接続している回線は独立したIPセグメントになってる。と本文中に書かれていますので、L3SW1とL3SW2間で中継されません(カの回線は通りません)。VLANの設定がしてあるL2SW1とL2SW2のポートを通って、キ、ク、ケの回線を通って受信が行われます。
(3) 顧客に割り当てているVLANタグが必須となる回線を答えよ
答: キ、ク、ケ
VLANタグが付与できるのはL2SWに接続されている回線(キ~ス)になります。そのなかで複数顧客のパケットが通過する回線にVLANタグを付与する必要があります。よって解答はキ、ク、ケになります。
(4) 静的LAGではなくLACPを設定することで何が可能となるか
答: リンクダウンを伴わない故障発生時にLAGのメンバから故障回線を自動で除外することができる
LACPが設定されたスイッチは、LACPDUという信号を対向のスイッチに送ることでLAGを確立します。そのためリンクダウン(回線の故障により通信できない状態)以外の故障が発生した場合でも、LACPDUが送信できない状態となるため検知することができ、該当する回線がLAGのメンバから自動で除外することが可能となります。
これによりLACPを設定するとパケット損失を最低限に抑えることができます。
なおLACPは、IEEE 802.3adで定義されています。
(5) L3SW3とL2SW3との間のLAGでIFを自動閉塞しない場合、どのような問題点があるか
答: 1Gビット/秒を超えたパケットが破棄される
「ビル4階のISPを経由する合計トラフィック量は、新規顧客セグメントを含めて最大2Gビット/秒」とあり現状では最大2Gビット/の通信速度に対応していますが、これはLAGを構成する2本の回線が正常な場合になります。もしどちらか1本切れた場合は、半分の1Gビット/秒まで通信速度にしか対応できず、1Gビット/秒を超えたパケットが破棄されてしまいます。
(6) 下線③について、前者の方式を選択したときにLAGの負荷分散が図1の場合うまくいかないのはなぜか
答: 通信の送信元と宛先のMACアドレスの組合せが少なくハッシュ関数の計算値が分散しないから
前者の方式とは負荷を分散させるために「送信元MACアドレスと宛先MACアドレス」からハッシュ関数で計算した値でLAGの回線を決定する方式です。
LAGを構成する機器はコアルータ1、コアルータ2、L3SW3、L3SW4となり、送信元がコアルータ1か2、宛先がL3SW3、L3SW4のMACアドレスということになります。このように組合せが少ないのでハッシュ関数が分散せず同じ値になることが多いので同じ回線が選ばれる可能性が高くなり負荷分散がうまくいきません。
(1) [d]~[f]に入れる適切な字句を答えよ
答: [d] ICMP [e] SNMP trap [f] MIB
[d]には”ICMP”が入ります。ICMPはネットワークが正常な状態か診断したり、異常な場合には通知する機能をもつプロトコルです。OSI参照モデルの第3層(ネットワーク層)で動作します。ICMPにはいくつかタイプ(種類)があります。ping要求で利用されるのは、タイプ0のエコー応答(echo reply)、タイプ8のエコー要求(echo requesut)の2つです。
また、タイプ5のリダイレクト(redirect)は今より最適な経路があれば、その経路のゲートウェイを通知してくれるものになります。
[e]には”SNMP trap”が入ります。SNMPとはネットワーク管理を行うためのプロトコルです。監視装置(SNMPマネージャ)が監視対象装置(SNMPエージェント)を常時監視し、ネットワークの状態を管理します。監視対象装置は、自身に状態変更があった場合に監視装置にイベント通知を送信します。この通知を”SNMP trap”と呼びます。
”SNMP trap”は162番ポートを使用し、それ以外のSNMPメッセージは161番ポートを使用します。
[f]には”MIB”が入ります。MIBとは、SNMPエージェントが持っている機器情報のデータ構造の集合体のことです。
SNMPマネージャとSNMPエージェントはこのMIBをやりとりすることで、SNMPエージェントの状態を把握しています。MIB情報はツリー構造で管理され、形式はASN.1という形式が利用されます。
よって解答は[d] ICMP [e] SNMP trap [f] MIBになります。
(2) L2SW3とL2SW4との間のLAGを構成する各回線のトラフィック量を把握するために必要な監視方法を本文中の(i)~(iii)から選び答えよ
答:(iii)
SNMPマネージャはMIBと呼ばれる管理情報をSNMPエージェントとやり取りすることでSNMPエージェントの各回線のトラフィック量を把握します。よって解答は(iii)になります。
(3) 下線④について、追加監視方法では、自社サービスのどこからどこまでの区間の正常性を確認できるようになるか
答: コアルータとL3SWの区間
図2のように監視装置はL2SWz2経由でコアルータ1、コアルータ2に接続し、監視装置からのpingにより顧客ネットワークへのパケットの疎通を確保(=正常性を確認)します。
このpingの宛先はL3SWのVRRPの仮想IPアドレスになりますので、「コアルータからL3SWまでの区間」がpingにより正常性を確認できることになります。
答: T社がIP-w1を変更しても、A社DNSサーバの変更作業が不要となる
CNAMEレコードは、DNSサーバで定義できるレコードの1種で、あるドメイン名に対して別ドメイン名を別名で指定することができます。
図2では、CNAMEレコードで「shop IN CNAME waf-sha.tsha.net」としており、このようにWAFサービスのFQDN(waf-sha.tsha.net)に対してshopという別ドメインを定義することで、WAFサービスのIPアドレスであるIP-w1がもし別のIPアドレスに変わった場合にDNSサーバの設定には影響せず、DNSサーバの変更作業が不要になります。
ドメイン名に対応するIPアドレスを定義するレコードであるAレコードを使用した場合「waf-sha.tsha.net IN A IP-w1」となり、もし機器のIPアドレスが変わった場合には、IP-w1の部分を変更後のIPアドレスへ書き換える必要があります。
(1) [ア]~[オ]に入れる適切な字句を答えよ
答: [ア] 順番 [イ] 80 [ウ] 200 [エ] Set-Cookie [オ] cookie
[ア]には”順番”が入ります。ラウンドロビン方式は、事前に同じFQDNに対して複数のIPアドレスを割り当てておき、HTTPリクエストがあるごとに順番に異なるIPアドレスを応答する方式です。これによりアクセスごとに別のWebサーバが振り分けられ、負荷分散することが可能になります。
図3の構成では192.168.1.1~192.168.1.8(Webサーバ1~Webサーバ8)の8台が順に振り分けられていくことになります。
[イ]には”80”が入ります。9ページの[LBに関する検討]の中でLBにはTLSアクセラレーション機能があると記載されています。
この機能はTLS通信の暗号化や復号を行う機能です。WEBサーバ宛の通信はLB宛に届くときはTLSにより暗号化されたHTTPS通信ですが、LBがこの通信を復号し、HTTP通信でWEBサーバへ転送します。HTTPリクエストで使用するポートは”80”番ポートを使用します。
[ウ]には”200”が入ります。処理が成功した場合、HTTPレスポンスでステータスコード200を応答します。
[エ]には”Set-Cookie”が入ります。HTTPレスポンスでセッションIDを付加して送る場合、Set-Cookieヘッダフィールドを使用してWebブラウザへ送信します。
[オ]には”Cookie”が入ります。WebブラウザからCookieを送出する場合、HTTPリクエストのCookieヘッダフィールドを使用してWebサーバへ送信します。
(2) 下線②について送信元IPアドレスに基づいて行う方式を採用した場合に発生するおそれがある問題を述べよ
答: 負荷が偏る
利用者はWebブラウザからWAFサービスを経由してWebシステムへ通信します。
8ページで「HTTPリクエストの送信元IPアドレスをHTTPレスポンスがWAFサービスに送られるようにするためのIPアドレス(IP-w2)に変更する」とあるように、WAFサービスで送信元IPアドレスをIP-w2に変換しているため、送信元IPアドレスで振り分けられると負荷が分散しなくなります。
(3) 下線③の処理の内容を答えよ
答: HTTPヘッダを編集する処理
セッション維持のためにLBではHTTPヘッダを編集し、Set-CookieヘッダーやSet-CookieヘッダにセッションIDを追加する処理をしています。
TLS通信は暗号化されており、そのままではセッションIDを追加する処理ができません。
そのためTLSアクセラレーション機能を使用してTLSの復号とその後の暗号化が必要になります。
よって解答はHTTPヘッダを編集するになります。
(1) [カ]に入れる機器を図3中のDNSサーバ以外の機器名で答えよ。また、下線④の変更内容を述べよ
答: 機器:FW 変更内容:任意のIPアドレスからWebシステムへのHTTPS通信を許可する
現状ではFWに設定しているWebシステムへのHTTPS通信に関するアクセス制御についてIP-w2を送信元とする通信だけが許可されおり、利用者のWebブラウザからWAFサービスを経由せずWebシステムへ直接アクセスすることができません。
直接アクセスを可能にするためには、FWで任意の送信元IPアドレスからWebシステムへのHTTPS通信を許可する設定が必要となります。
(2) 下線⑤について書き換え後の資源レコードを答えよ
答: shop in A 199.α.β.2
図2では、CNAMEレコードで「shop IN CNAME waf-sha.tsha.net」としており、WAFサービスのFQDN(waf-sha.tsha.net)に対してshopという別ドメインを定義しています。
ここをAレコードへ書き換えて、ホスト名shopに対応するIPアドレスを定義します。
「WebシステムにアクセスするためのIPアドレスは199.α.β.2」とありますので「shop in A 199.α.β.2」に書き換えることで、利用者のWebブラウザからWebシステムへ直接アクセスする場合の名前解決が可能になります。
(3) 下線⑥の設定内容を答えよ
答: XFFヘッダに送信元IPアドレスを追加する設定
8ページで「WAFサービスは、アクセスを許可したHTTPリクエストの送信元IPアドレスをHTTPヘッダのX-Forwarded-Forヘッダフィールドに追加する。」とあります。
この設定を使用することでXFFヘッダ情報に送信元IPアドレスが記録されるため、アクセスログに出力することが可能となります。
答: 機能:DHCPリレーエージェント
機器:L3SW1、L3SW2
DHCP通信で最初に送られるDHCP発見パケットはUDPのブロードキャストで送信されるため、ルータを越えた異なるネットワークに送信することはできません。
このような構成の場合にDHCPリレーエージェントが必要となります。DHCPリレーエージェントが有効となっている場合、ルータがDHCPクライアントからDHCP発見パケットを受信したとき、異なるネットワーク上にあるDHCPサーバに転送することが可能になります。
よって図1でDHCPリレーエージェントが有効になっている機器は、DHCPクライアント(PC)が接続されているフロア1のL3SW1とフロア2のL3SW2になります。L3SW1、L3SW2でDHCPリレーエージェントが有効になっている場合、DHCPクライアント(PC)からのDHCP発見パケットを受信したL3SW1、L3SW2は、異なるネットワーク上にあるサーバ室のDHCPサーバに転送します。
(1) 下線②を実施しない場合に生じる問題を述べよ
答: IPアドレスを固定設定すれば、正規PC以外でも通信できる
DHCPスヌーピングは、DHCPサーバとDHCPクライアントでやりとりするDHCP要求とDHCP応答を監視し、通信を許可する端末を制限することができる機能です。
この機能を使うことにより、DHCPサーバにより払い出されたIPアドレス以外のPCからの通信を遮断することが可能となります。
よって「IPアドレスを固定設定すれば正規PC以外でも通信できてしまう」ことが、DHCPスヌーピングの機能を有効にしない場合に生じる問題になります。
(2) フロア1、フロア2のL2SWで、DHCPスヌーピングを有効にする際に、L3SWと接続するポートにだけ必要な設定を述べよ
答: DHCPスヌーピングの制限を受けない設定
DHCPスヌーピングを有効にしたL2SWはポートに「trusted」と「untrusted」のどちらかを設定します。
trustedポート:DHCPサーバが接続されているポートに設定します。このポートで受信する通信を信頼し、DHCPスヌーピングの制限しない(有効にしない)ポートになります。
untrustedポート:DHCPサーバ以外の機器が接続されるポートに設定します。DHCPスヌーピングの制限をする(通信を監視する)ポートになります。
まとめです。
・L2SWにはDHCP通信を監視し通信を許可する端末を制限することができるDHCPスヌーピング機能がある
・DHCPスヌーピングが有効なL2SWは「trusted」または「untrusted」を各ポートに設定
・DHCPサーバ以外の機器が接続されるポートには、その制限を有効にする「untrusted」を設定
・DHCPサーバが接続されているポートにはその制限を有効にしない「trusted」を設定
よってL2SWのL3SWと接続するポートにはDHCPスヌーピングの制限を受けない設定が必要になります。
(3) [a]~[d]に入れる適切な字句を記号で答えよ
答: [a] エ [b] ア
[c] エ [d] オ
ARPはIPアドレスからMACアドレスを解決するプロトコルです。MACアドレスは全てのネットワーク機器に一意に割り当てられるハードウエア固有の番号です(一部例外はあります)。
よって、[a]と[c]にはARP送信元のハードウエアである”通信制御装置のMACアドレス”が入ります。
次に[b]と[d]についてです。通信制御装置を使い、排除対象PCによる通信を禁止する流れを考えます。
まず、排除対象PCはARP要求をアドレス解決対象のIPアドレス宛にARP要求を送ります。
このARP要求を通信制御装置で検出し、排除対象PCの通信が通信制御装置宛となるように”名前解決対象のIPアドレス”に対するMACアドレスは通信制御装置のMACアドレスです、と排除対象PCに送ります。
つまり通信制御装置は送信元プロトコルアドレスに”名前解決対象のIPアドレス”にして排除対象PC宛にARP応答をします。
[b]には”名前解決対象のIPアドレス”が入ります
続いて、通信制御装置は「”排除対象PCのIPアドレス”に対するMACアドレスは通信制御装置のMACアドレスです。」と偽装してARP要求を行います。
これにより排除対象PC宛の通信の送信先が通信制御装置宛にいくようになります。よって、[d]には”排除対象PCのIPアドレス”が入ります。
(1) 下線③の構成において、必要となる通信制御装置の最小台数を答えよ
答: 2
通信制御装置はLAN上の通信を制限しますので、ネットワークごとに必要となります。フロア1とフロア2に1台ずつ必要となるので解答は2台となります。
(2) 下線④について、導入する通信制御装置のうちの1台を対象として、そのLANポート1~4の接続先を、図1中の機器名でそれぞれ答えよ
答:
LANポート1 L3SW1
LANポート2 L3SW1
LANポート3 空き
LANポート4 空き
または
LANポート1 L3SW2
LANポート2 L3SW2
LANポート3 空き
LANポート4 空き
図1よりフロア1、フロア2ともにL3SWで2つのLANセグメントに分割されていることが分かります。
「通信制御装置のLANポートは4であり、各LANポートの接続先は全て異なるセグメント出なければならない」とありますので、フロア内の2のセグメントに対し通信制御装置のLANポート1とLANポート2を接続します。LANポート3とLANポート4ポートは使用されないため空きポートになります。
(1) 下線⑤について、対処用セグメントのPCの通信先として許可される他のセグメント機器を二つ挙げ、機器名で答えよ
答: PC管理サーバ、メンテナンスサーバ
対処用セグメントには不正PCが接続されます。通信を許可する判定を「PC管理サーバ」から受けていること、PCが「メンテナンスサーバ」からの必要なアップデートを行っていることが、正常PCへ復帰する条件になりますので、解答は「PC管理サーバ」と「メンテナンスサーバ」になります。
(2) 対処用セグメントを追加する際に、L3SW1、L3SW2以外に設定変更が必要な機器を二つ挙げ機器名で答えよ。また、それぞれの機器の変更内容を述べよ
答:
①機器:L3SW0
変更内容:対処用セグメントへのルーティング情報を追加する
②機器:DHCPサーバ
変更内容:対処用セグメントのアドレスプールを追加する
12ページの図1の概要で「ルーティング情報はスタティック定義してある」とあります。対処用セグメントとの通信を許可するにはL3SW1、L3SW2以外にL3SW0にもルーティング情報の設定が必要になります。
よって1つめの機器は”L3SW0”で変更内容は”対処用セグメントへのルーティング情報を追加する”になります。
2つめの機器は”DHCPサーバ”になります。12ページの図1の概要で「PCのIPアドレスはDHCPサーバによって割り当てられる」とあります。
DHCPサーバは対処用セグメントのPCに新しくIPアドレスを割り当てる際、他の機器との通信ができなくならないように決められた範囲のIPアドレスを割り当てる設定にしておく必要があります。このIPアドレスの範囲のことアドレスプールと呼びます。