※解答はIPAのサイトを引用しておりますが、解説は独自ですので参考程度にご覧ください
(1) [a]、[b]に入る字句を答えよ
答: [a] DNSフォワーダ
[b] プライオリティ値(優先度)
[a]は「DNSフォワーダ」が入ります。PC及びサーバ(DNSクライアント)からの名前解決要求をフルサービスリゾルバ(キャッシュDNSサーバ)へ転送する役割を持つDNSサーバを「DNSフォワーダ」と呼びます。
[b]はプライオリティ値が入ります。VRRPとは仮想ルータを使ってルータの冗長化を行うためのプロトコルです。複数台のルータをグループ化して1つのルータとして扱います。
ネットワークが正常な場合メインで稼働するルータをマスタルータと呼び、それ以外の故障時に使われるルータをバックアップルータと呼びます。VRRPでは、各ルータにプライオリティ値(優先度)の設定ができ、プライオリティ値の最も高いルータがマスタルータとなります。ちなみにプライオリティ値を「0」にするとVRRPルータに参加しない(故障時に切り替えの対象にならないルータ)という設定になります。
(2) 本文中の下線①の名前解決要求先を図1の機器名で答えよ
答: 内部DNSサーバ
内部DNSサーバはDNSフォワーダであり、下図のような流れでPC及びサーバ(DNSクライアント)の名前解決に応答します。よってPCの名前解決要求先になるのは、内部DNSサーバになります。
(1) 下線②の設定を行わず、L2SW及びL3SWに同じブリッジプライオリティを設定した場合に何を比較してルートブリッジを決定するか。またL2SW3がルートブリッジに選出された場合にL3SW1とL3SW2がVRRP情報を交換できなくなるサブネットを答えよ
答:【比較】MACアドレス
【サブネット】FW-L3SW間サブネットと
内部サーバ収容サブネット
スパニングツリーでは、ブリッジプライオリティが最も小さいもののうち、最もMACアドレスの値が小さいものが、ルートブリッジに選出されます。
例として下の表ではブリッジプライオリティが最も低いL3SW1がルートブリッジに選ばれます。
設問では、全ての機器のブリッジプライオリティが同じ設定ということで、次に比較する対象となる「MACアドレス」が解答になります。
続いて、L2SW3をルートブリッジとした場合にL3SW1とL3SW2がVRRP情報を交換できなくなるサブネットについてです。
L2SW3をルートブリッジとした場合、L3SW1とL3SW2のVRRP情報の交換ルートは下図のようにL2SW3を経由するルートになります。
L2SW3の所属するPC収容サブネットの情報交換は可能ですが、FW-L3SW間サブネットと内部サーバ収容サブネットについては、L2SW3と異なるネットワークのためルータで中継できません。
よってFW-L3SW間サブネットと内部サーバ収容サブネットとなります。
(2) [c]~[e]に入れる適切な字句を答えよ
答: [c] 指定 [d] 非指定
[e] MACアドレス
[c]には”指定”が入ります。指定ポート(別名:代表ポート)とは、各区間においてルートブリッジに最も近いポートになります。
また、ルートブリッジは必然的に全てのポートが指定ポートになります。一方ルートポートは、各区間でルートブリッジからの仮想的な距離であるパスコストを計算し、パスコストが最も小さいポートがルートポートになります。
[d]には”非指定”が入ります。ルートポート、指定ポートのどちらにも選ばれなかったポートのことで、経路で使用しないポートになります。別名でブロッキングポートとも呼ばれます。
[e]には”MACアドレス”が入ります。スイッチではMACアドレステーブルを持っており、ポートの状態をテーブルに記憶させています。そのためネットワークトポロジに変更した場合、MACアドレステーブルをクリアして再度テーブルを作成する流れとなります。
(1) [f]に入れる適切な字句を答えよ
答: [f] 上位のスイッチ
スイッチAのポートを指定ポートからルートポートに変わり、スイッチBは代替ポートが指定ポートに状態遷移しました。
このことから、スイッチBは構成されるトポロジにおいて上位のスイッチであると判定されたことがわかります。もしスイッチAがスイッチBより上位と判定された場合は指定ポートのまま変更されません。
(2) 下線③についてトポロジの再構成にかかる時間を短縮できる理由を二つ挙げよ
答: ・ポート故障時の代替ポートを事前に決定しているから
・転送遅延がなくポートの状態遷移を行うから
RSTP(ラピッドスパニングツリープロトコル)とは、STP(スパニングツリープロトコル)での通信の切り替え時間を短縮可能にしたプロトコルです。
短縮できた理由として、RSTPではブロッキングポートを「代替ポート」と「バックアップポート」に事前に役割決めしているため、ポート障害時にその分の判断にかかる時間が短縮されます。
また、ポートの状態遷移についても、障害時はディスカーディング状態からフォワーディング状態への決められた遷移となり、転送遅延がなくなり時間短縮につながります。
よって解答は、ポート故障時の代替ポートを事前に決定しているから、転送遅延がなくポートの状態遷移を行うから、の2つになります。
RSTPの特徴についてのまとめです。
・RSTPはSTPの改良版としてIEEE 802.1Wで定義されている
・ポートの状態を「ディスカーディング」、「ラーニング」、「フォワード」に分けている
・ポートの役割を「代替ポート」と「バックアップポート」に事前決めしている
上記によりSTPと比べ大幅に収束時間が短縮されました。
(1) 下線④について運用負荷を軽減できる理由を述べよ
答: 2台のL3SWを1台のスイッチとして管理できるから
スタック機能とは、スタック用ケーブルでスイッチ同士の専用ポート(スタックポート)を繋ぐことで複数のL3SWを1台のスイッチとして扱うことが可能な機能です。この機能を使うとスイッチを1台として管理できることになり運用負荷が低減します。
また複数のスイッチで構成しているため障害が発生してもシステムが継続できます。
(2) 下線⑤について内部NWでスタックL3SW~新L2SW以外に回線帯域を有効利用できる区間を答えよ。
答: スタックL3SW~新内部DNSサーバ
または スタックL3SW~新ディレクトリサーバ
新L3SW間のスタック接続とリンクアグリゲーションを使うことにより、スタックL3SW~新L2SW、スタックL3SW~新ディレクトリサーバ、スタックL3SW~新内部DNSサーバ間の2本の回線を論理的に1本の回線として扱うことが可能になります。これらの3つの区間は利用できる通信帯域が倍増し有効利用できます。
答: 【技術】スタック,リンクアグリゲーション
【理由】ループがない構成だから
スタック接続、リンクアグリゲーションにより複数のスイッチや回線を論理的に1つとして扱うことができます。
これによりループが発生しない構成となりSTP及びRSTPが不要になります。
(1)下線⑥によって発生する現行のディレクトリサーバから新ディレクトリサーバ宛の通信について、現行のL3SW1とスタックL3SW間を流れるイーサネットフレームをキャプチャしたときに確認できる送信元MACアドレス及び宛先MACアドレスをもつ機器をそれぞれ答えよ
答:【送信元】現行のディレクトリサーバ
【宛先】新ディレクトリサーバ
9ページのステップ1完了時のネットワーク構成の概要に、「新ディレクトリサーバは172.17.11.0/24のIPアドレスブロックのうち未使用のIPアドレスを割り当てる」、「スタックL3SWのVLAN11インターフェースに未使用のIPアドレスである172.17.11.101を割り当てる」とあります。
ディレクトリサーバと新ディレクトリサーバ同一のLANに所属することになりますので、L3SW1では、イーサネットフレームの再作成は行われません。
つまりディレクトリサーバから受信したインターフェースをそのまま新ディレクトリサーバへ流しますので、宛先MACアドレスは送信元機器であるディレクトリサーバ、宛先MACアドレスは宛先である新ディレクトリサーバのMACアドレスになります。
なお、別のLANにデータを送る場合は、L3SWでイーサネットフレームの再作成が行われ、送信元MACアドレスがL3SW1のMACアドレスに、宛先MACアドレスは次にデータを渡す機器のMACアドレスに書き換わります。
(2) 下線⑦によって発生する現行のPCから新公開Webサーバ宛の通信について現行のL3SW1とスタックL3SW間を流れるイーサネットフレームをキャプチャしたときに確認できる送信元MACアドレス及び宛先MACアドレスをもつ機器をそれぞれ答えよ
答:【送信元】現行のL3SW1
【宛先】スタックL3SW
現行のPCから新公開Webサーバ宛の通信について、それぞれの機器のIPアドレス範囲を確認しますと、現行のPCは172.17.101.XXX、172.17.102.XXX、172.17.103.XXX、一方で新公開Webサーバは172.16.254.0/24になり、データを送る場合は送信元と宛先が別のLANに所属することになります。
この問では現行のPCから新公開Webサーバ宛の通信になりますので、中継するL3SW1でイーサネットフレームの再作成が行われ送信元MACアドレスがL3SW1のMACアドレスに書き換わり、宛先MACアドレスは次にデータを渡す隣接した機器であるスタックL3SWのMACアドレスに書き換わります。
よって送信元MACアドレスは、現行のL3SW1となり宛先MACアドレスはスタックL3SWのMACアドレスになります。
(3) 下線⑧について新公開Webサーバに割り当てることができるIPアドレスの範囲を表1、表5~7の設定内容を踏まえて答えよ
答: 172.16.254.129~172.16.254.254
社内システムから新社内システムへの通信を可能にするためには、L3SW1およびL3SW2でルーティングを行い、新社内システム宛の通信の場合はスタックL3SWへ中継する必要があります。
これについて表7の2行目に設定が書かれており、L3SW1およびL3SW2に宛先が172.16.254.128/25の通信が届いた場合は、スタックL3SW(172.17.11.101)へ中継してくださいという設定になります。
よって172.16.254.128/25のアドレス範囲内(172.16.254.128~172.16.254.255)を割り当てをすればよいことになりますが、
ネットワークアドレス、ブロードキャストアドレスにあたる172.16.254.128と172.16.254.255の2個のアドレスは割り当てできません。
よって新公開Webサーバに割り当てることができるIPアドレスの範囲は172.16.254.129~172.16.254.254になります。
(4) 下線⑨を行わないときに発生する問題を答えよ
答: 現行のFWと新FWの仮想IPアドレスが重複する
表2と表6より、現行のFWと同じIPアドレスを新FWでも使うことがわかります。現行のFWと新FWの仮想IPアドレスが重複するとネットワークの不具合などの問題が発生する場合があります。IPアドレスは同じネットワーク上の機器には一意になるように割り当てておく必要があります。
(5) 下線⑩の作業後に現行の公開Webサーバに切り替えるときに新FW1及び新FW2の設定変更内容を述べよ。また、インターネットから現行の公開Webサーバに接続するときに経由する機器名を経由する順に全て列挙せよ
答: 【設定内容】静的NATの変換後のIPアドレスを新公開Webサーバから現行の公開WebサーバのIPアドレスに変更する
【転送経路】新ルータ1→新L2SW0→新FW1→新L2SW1→L2SW1
下線⑩の作業でL2SWと新L2SW間を繋ぐだけでは、新公開webサーバ宛の通信が現行の公開Webサーバへ届かず切り戻しにはなりません。
宛先が新公開webサーバの通信、現行の公開Webサーバに向かわせるようにFWでIPアドレスを変換する機能であるNATを使います。
NATを使用して新公開Webサーバの宛先のIPアドレスは現行WebサーバのIPアドレスにNAT変換してあげる必要があります。
(6) 下線⑪によって発生する通信について新FWの通信ログで確認できる通信を二つ答えよ
答: ・新公開Webサーバ宛のWeb通信
・新外部DNSサーバ宛のDNS通信
インターネットからWebサーバへの接続する流れですが、最初にDNSサーバへ名前解決の通信して、WebサーバのIPアドレスを特定した上で、そのIPアドレスのWebサーバに通信するという流れになります。よって通信ログからインターネットからWebサーバへの接続成功を確認するためには、新外部DNSサーバ宛のDNS通信が成功してること、新公開Webサーバ宛のWeb通信が成功していることになります。
(7) [g]に入るIPアドレスを答えよ
答: [g] 172.17.11.1
図1より、現行のディレクトリサーバおよび内部DNSサーバのデフォルトゲートフェイはL3SW1、L3SW2で所属はVLAN11です。またVLAN11インターフェースのIPアドレスは172.17.11.1となってます。
ステップ3でL3SW1、L3SW2のVLANインターフェースに設定されているIPアドレスをすべて削除した後、L3SWのVLAN11インターフェースのIPアドレスを172.17.11.1へ変更することで、L3SW1と新社内システムのスタックL3SWとの通信が可能になります。
(8) 下線⑫についてスタックL3SWはPCから受信したDHCPDISCOVERメッセージのgiaddrフィールドに受信したインターフェースのIPアドレスを設定して新内部DNSサーバに転送する。DHCPサーバ機能を提供している新内部DNSサーバは、giaddrフィールドの値を何のために使用するか
答: PCが収容されているサブネットを識別し、対応するDHCPのスコープからIPアドレスを割り当てるため
DHCPリレーエージェントとは、異なるネットワーク上にあるDHCPクライアントとDHCPサーバの間の通信を中継する機能です。
スタックL3SWにDHCPリレーエージェントを設定すれば、DHCPクライアントにあたる新PCとDHCPサーバにあたる新内部DNSサーバ間の通信をスタックL3SWが中継することになります。
新PCからDHCPDISCOVERメッセージを受信した際に、giaddrフィールドに受信したインターフェースのIPアドレスを設定して新内部DNSサーバに転送することで、新内部DNSサーバ(DHCPサーバ)では新PC(DHCPクライアント)が収容されているサブネットを識別し、対応するDHCPのスコープからIPアドレスを割り当てることができます。
(1) 下線①について、取得時刻tにおけるカウンタ値をXt、取得時刻tの5分前の時刻t-1におけるカウンタ値を Xt-1としたとき、t-1とtの間における単位当たりの通信量(ビット/秒)を算出する計算式を答えよ
答: (X – Xt-1 ) × 8 / 300
例えば取得時刻を0時20分とした場合、その5分前は0時15分となり、この2つの時刻から経過時間を求める場合は取得時刻から5分前の時刻を引き算します。設問では通信量の算出に必要な経過時間でのカウンタ値を求める必要があるので、Xt – Xt-1 になります。
また、1オクテットは8ビットで、5分(300秒)間隔での取得のため、ビット/秒に換算すると解答は” (X – Xt-1 ) × 8 / 300 (単位:ビット/秒)”となります。
(2) 下線①について単位時間当たりの通信量(ビット/秒)を求める際に時間平均にすることの問題点を述べよ
答: 取得間隔の間で発生したバースト通信がわからなくなる
バーストトラフィックとは、回線に一時的に大量のデータが流れることです。例えば利用者がアクセスするピークの時間帯などはバーストトラフィックが発生する可能性があり、計算式による時間平均による算出ではこのような通信に対する考慮がなされていないという問題があります。
(3) 下線②について通信量を正しく計算するためにはカウンタ値をどのように補正すれば良いか
答: ア.XtをXt+2^32に補正する
32ビットカウンタが上限値まで達しカウンタラップするのは2の32乗までカウントした場合になります。上限を超えると初期値の0に戻りますので、カウンタラップした場合はXtに2の32乗を加算すればよいことになります。
(1) 下線③について図2中のルータ10やルータ11にはループバックインターフェースを作成し、iBGPのピアリングにループバックインターフェースに設定したIPアドレスを利用するのはなぜか
答: ルータ10とルータ11はOSPFを構成するインターフェースが二つあり、迂回路を構成できるから
ループバックインタフェースとは、ルータ10とルータ11のようにOSPFを構成するインターフェースがaとc、bとdのように複数ある場合、ルータのインタフェースが1つでもアクティブであればダウンしないインタフェースです。
ループバックインターフェースに設定したIPアドレスを利用することで、二つのインターフェースのどちらかに故障が発生してもループバックインターフェースは影響を受けないためピアリングが行われ迂回路を構成できます。
(2) [a]、[b]に入れる適切な字句を答えよ
答: [a]α.β.γ.0/30 [b]α.β.γ.4/30
iBGPピアへ経路情報を広告する際、NEXT_HOPのIPアドレスは変更せずに送ります。
一方でeBGPピアへ経路情報を広告する際はNEXT_HOPのIPアドレスを変更しない場合、NEXT_HOPのIPアドレスが外部ASのIPアドレスのためネクストホップに到達できない問題が発生します。
そのため、eBGPピアで広告を受信したASはNEXT_HOPのIPアドレスを自身(広告したルータ)のIPアドレスに書き換えますが、書き換える設定が行われない場合にFW10ではどのような宛先ネットワークアドレスの場合にルーティングが必要になるか、というのがこの設問になります。eBGPピアにあたるインターフェースh,f,i,gの宛先IPアドレスがFW10がネクストホップにルーティングさせようとしても到達できないIPアドレスになり、ルーティングが必要となる(本来IPアドレスを書き換える)対象となります。
よって解答はα.β.γ.0/30(α.β.γ.1、α.β.γ.2)、α.β.γ.4/30(α.β.γ.5、α.β.γ.6)になります。
(3) 下線⑤について経路情報を破棄する目的を述べよ
答: 経路のループを回避するため
BGPは隣接するASが持つ経路情報をお互いに交換します。その際にAS_PATHを参照し、そのリストの中に自身のAS番号が含まれている場合は、経路ループを発生してしまうため、破棄することにより経路のループを回避します。
(4) [ア]~[キ]に入れる適切な字句を答えよ
答: [ア]小さい [イ]小さい
[ウ]α.β.γ.8 [エ]α.β.γ.9
[オ]α.β.γ.17 [カ]α.β.γ.18
[キ]キープアライブ
最適経路選択アルゴリズムの仕組みは、仕様に基づいてパスを比較し最適なパスを決定します。
下図のように規定されており、[ア] 、[イ]には”小さい”が入ります。
[ウ]にはα.β.γ.8、[エ]にはα.β.γ.9が入ります。まず、ルータ10Zおよびルータ11Zからデフォルトルートの経路情報の広告を受けたルータ10およびルータ11は、eBGPピアで広告を受信したためNEXT_HOPのIPアドレスを自身(広告したルータ)のIPアドレスであるα.β.γ.8、α.β.γ.9に書き換えます。つぎにルータ10とルータ11はFW10へ広告します。FWはiBGPピアで隣接するASから広告受信し、転送する際はNEXT_HOPのIPアドレスは書き換えずにネクストホップ(中継)します。よってNEXT_HOPにはα.β.γ.8、α.β.γ.9が入ります。また、平常時はルータ10を、障害時にルータ11を利用するため、LOCAL_PREFが高い[ウ]がルータ10のアドレスになります。
[オ] 、[カ]にはα.β.γ.17とα.β.γ.18が入ります。FW10では、ルータ10とルータ11のループバックインターフェースに設定してあるIPアドレス宛の通信を受けた場合、ルータ10とルータ11とFWが接続している側の物理インターフェースのIPアドレスにネクストホップ(中継)します。よって解答はα.β.γ.17とα.β.γ.18になります。
[キ]にはキープアライブが入ります。キープアライブメッセージは、いわゆる死活監視をするためのメッセージのことです。このメッセージを受信できていればルータが正常に接続されていると判断でき、逆に受信できていない場合は通信が切断されていると判断ができます。
(5) 下線⑥についてBGPの標準仕様とはどのような内容か
答: BGPテーブルから最適経路を一つだけ選択し、ルータのルーティングテーブルに反映する
BGPでは最適経路選択アルゴリズムに基づいて選択されたパスしか選択できない仕様のため、トラフィックを分散させるような経路選択できないようになっています。
(1) [ク]~[サ]に入れる適切な字句を解答群から選び記号で答えよ
答: [ク] エ [ケ] ウ [コ] イ [サ] ア
冗長化による影響を最小限とする場合、AS内で経路情報の交換を行うIGP(OSPF)を設定してから、AS間で経路情報の交換を行うEGP(iBGP→eBGP)の順に設定していくという流れになります。
まず、OSPFを有効化するためにインターフェースにIPアドレスの設定が必要となるため、手順3の物理インターフェースのIPアドレス設定後、手順4でループバックインターフェースの作成とIPアドレスの設定を行います。対象機器がルータ10、ルータ11と今回ループバックインターフェースを使用する機器となっていることからもわかります。
手順5では、ルータ10、ルータ11各物理インターフェース及びループバックインターフェースとFW10の物理インターフェースにOSPFエリアを構築します。
手順6では、対象機器がルータ10、ルータ11、FW10となっていますのでiBGPの導入になります。
手順7では、対象機器がルータ10、ルータ11、ルータ10Z、ルータ11ZとなっていますのでeBGPの導入になります。
よって[ク] エ.ループバックインターフェースの作成とIPアドレスの設定、[ケ] ウ.OSPFの導入、[コ] イ.iBGPの導入 [サ] ア.eBGPの導入になります。
(2) [シ]に入れる適切な機器名を図2中の機器名で全て答えよ
答: ルータ10、ルータ10Z、FW10
図2のうちBGP導入前からある機器が対象となります。15ページにも記載があるとおり静的経路情報が設定されている機器であるルータ10、ルータ10Z、FW10が解答になります。
(3) 下線⑦について静的経路の削除が行われた時点で動的経路による切り替えが行われる理由を述べよ
答: BGPの経路情報よりも静的経路情報の方が優先されるから
静的経路制御と動的経路制御では、静的経路制御が優先で適用されます。BGPやOSPFは動的経路制御にあたります。
もし静的経路情報が設定されており、動的経路制御も有効になっている状態であれば、静的経路情報を削除した時点で自動で動的経路による切り替えが行われることになります。
(4) 下線⑧についてルータ10に対して行う操作はどのような内容か
答: eBGPピアを無効にする
ルータ10の機器を入れ替えに伴いルータ10に通信が経由しないようにする方法はいくつかあります。平常時に利用されるようにBGPを用いて制御設定されていますので、BGPピアを無効にすれば通信が経由されないようになります。
それ以外にも静的経路制御設定でルータ11を経由するように変更することやルータ10の電源を落としたりLANケーブルを外すことでも可能になるかと思われます。
(1) 下線⑨について問題点を二つ挙げそれぞれ述べよ
答: ・輻輳時にエコー応答を受信することがあり検知できない
・ルータ10Zとルータ11Zの障害を誤って検知する
ルータ10Z、ルータ11Z側についてはZ社の管理下のネットワークのため輻輳時にエコー応答を受信する可能性があり、エコーの受信有無で輻輳を判別できません。
また、Z社側の管理しているルータ側に何らかの障害があった場合にも輻輳を誤って検知してしまう可能性があります。
(2) [ス]に入れる適切な数値を答えよ
答: 50
2回線のうち1回線が故障している場合、2回線分の通信が1回線に集中し、流れる通信量は2倍になります。よって2回線での稼働時の通信量の上限を100%とすると半分の50%になります。
(3) 下線⑩について統計データとはにどのようなデータがあるか。また、どのようなトラフィック異常とは別の異常を検知できるようになるか
答: FWとプロキシサーバの通信ログデータ
【検知内容】短時間当たりの通信ログデータ量が突発的に増えたり減ったりすること
FWとプロキシサーバの通信ログデータより通常時のデータ量を記録しておきます。それらのデータ量と現時点のデータ量と比較し、サイズが大きくかけ離れている場合はトラフィック異常が発生している可能性があり、それを検知することができます。