本記事では、ネットワークスペシャリスト(ネスペ)試験の令和5年度午後Ⅱ問1について、筆者の所感なども交えて解説していきます。
なお、画像や解答例は全てIPA(独立行政法人情報処理機構)から引用しております。
令和5年度春期 ネットワークスペシャリスト(NW)午後Ⅱ
令和5年度春期 ネットワークスペシャリスト(NW)午後Ⅱ 解答例
私は普段、左門至峰先生の「ネスペ」シリーズで学習を行っています。
午後Ⅰ・午後Ⅱのみにフォーカスを当て、とても丁寧に、そして詳細に解説されています。
より深い知識を求める方、ネットワークスペシャリスト試験を徹底的に対策したい方におすすめです。
本設問の概要について
システム開発会社であるA社は、B社が提供するIaaSを活用して開発業務を行ってきました。
ある時、利用しているB社IaaSで大規模な障害が発生し、業務に多大な影響が発生しました。A社では利用するIaaS事業者をもう1社追加してマルチクラウド環境にし、可用性向上に取り組むこととしました。
最初問題文を読んでみた感想は、「オーソドックスなネットワーク構成でそんなに難しそうではないかも」と言った印象でした。
しかし実際に問題を解いてみると、「言っていることは分かるがどのように解答すればいいのだろう」と思った設問も多々ありました。
それでは早速試験の解説に入っていきます。
まずは全体像を把握してもらうために、本設問のシナリオを掲載します。
- STEP.1導入部分
A社はシステム開発会社で、B社IaaSを積極的に活用し開発業務を行っています。
ある時、B社IaaSで大規模な障害が発生し、多大な業務影響を受けました。
そこでA社は、利用するIaaS事業者をもう1社追加し、マルチクラウド環境とすることで可用性向上に取り組むこととしました。本セクションには現新ネットワーク構成、通信構成が詳細に記載されているため、しっかり理解しましょう。
- STEP.2B社とC社のIaaS利用
新たに追加したIaaS事業者であるC社の、サービス提供構成が記載されています。
内容は主にプロキシサーバの可用性について解説されています。 - STEP.3マルチホーム接続
導入するIaaS事業者が決定したため、次は現行環境で利用している、D社閉域NWのマルチホーム接続について説明されています。
現行は静的経路を設定していましたが、マルチホーム接続とすることにより、BGPを利用した動的経路制御に切り替えていきます。
また、切り替え手順、切り替え中の構成も掲載されているため、しっかり順を追って理解していきましょう。※BGPはネスペ試験では頻出単元なので、ぜひ点数を取れるようにしておきたいセクションです。
セクション数は少ないですが内容の濃いものとなっているので、気合を入れて頑張っていきましょう!
IPAの解答例について
| 設問 | IPAの解答例 | 予想 配点 | ||
|---|---|---|---|---|
| 設問1 | (1) | DNSラウンドロビン | 3 | |
| (2) | プロキシサーバのアプリケーションプロセスが停止した場合に検知できないから | 5 | ||
| (3) | 192.168.2.145 | 3 | ||
| (4) | キャッシュDNSサーバがキャッシュを保持する時間を短くするため | 5 | ||
| (5) | 方法 | プロキシ自動設定機能を利用する。 | 4 | |
| 制限事項 | 対応するPCやサーバでしか利用できない。 | 4 | ||
| 設問2 | (1) | a | AS | 3 |
| b | ピア | 3 | ||
| c | UPDATE | 3 | ||
| d | KEEPALIVE | 3 | ||
| e | ルーティングテーブル | 3 | ||
| f | 大きい | 3 | ||
| (2) | 自身のIPアドレス | 4 | ||
| (3) | タイプ | 4 | 2 | |
| 動作 | BGP接続を切断し、経路情報がクリアされる。 | 4 | ||
| (4) | VRRPマスターになったR13が経路情報を保持していないと受信したパケットを転送できないから | 5 | ||
| 確認内容 | パケットロスが発生しないこと | 5 | ||
| (5) | ① | ・送信元:R13 宛先:FW10 ・送信元:FW10 宛先:R13 ・送信元:R13 宛先:R11 ・送信元:R11 宛先:R13 ・送信元:R13 宛先:FW10 | 3 | |
| ② | ・送信元:R13 宛先:R14 ・送信元:R14 宛先:R13 | 3 | ||
| (6) | 経路情報は、BGPと比較して静的経路制御の方が優先されるから | 5 | ||
| (7) | ① | ・R11 | 1 | |
| ② | ・R13 | 1 | ||
| ③ | ・R11とR12とを接続する回線 | 1 | ||
| ④ | ・R13とR14とを接続する回線 | 1 | ||
| ⑤ | ・R11とL2SW10とを接続する回線 | 1 | ||
| ⑥ | ・R13とL2SW10とを接続する回線 | 1 | ||
| 設問3 | (1) | ルーティングループが発生する。 | 5 | |
| (2) | 送信元IPアドレスが変わるから | 5 | ||
| (3) | 送信元IPアドレスがプロキシサーバAで宛先IPアドレスがインターネットであった場合にネクストホップをR10とする設定 | 6 | ||
| (4) | SaaSの送信元IPアドレスがによるアクセス制限の設定変更 | 5 | ||
筆者の解答時間(参考)
参考までに、私は解答に1時間19分かかりました。
それでは頑張って解説していきます!
設問1
(1)
これは知識問題で解くことができます。
まずは表2の案2について見てみましょう。
赤枠で囲ったように、1つのFQDNに対して2つのIPアドレスが定義されています。
このように設定すると、DNSサーバは1つのFQDNに対し、2つのIPアドレスを順番に回答します。
このような仕組みをDNSラウンドロビンと言います。
DNSラウンドロビン
(2)
まずは下線①を見てみましょう。
プロキシサーバの監視方法について、pingでの監視では不十分だと考えた理由を問われています。
ネスペ試験ではこの類の問題は頻出問題ですね。
pingでの監視は、サーバとのICMP通信を確認するだけです。
つまり、サーバがきちんとネットワークに接続され、稼働さえしていれば正常稼働しているとみなしてしまいます。
これではプロキシのアプリケーションが停止していても検知できません。
よって、解答例は以下の通りです。
プロキシサーバのアプリケーションプロセスが停止した場合に検知できないから(36字)
今回のプロキシに限って言うと、アプリケーションがダウンしている=サーバがダウンしていると同義だと言えます。
そのため、アプリケーションプロセスが動作するポート番号に、TCPでの接続できるかどうかという監視方法にしたのですね。
(3)
下線②と表1を見てみましょう。
プロキシサーバBの異常を検知した際に、プロキシサーバを復旧させるためDNSゾーンファイルの書き換えを行います。
その設定内容を問われています。
表1案1の通り、プロキシサーバBに障害が発生した場合、プロキシサーバCを利用するように切り替えます。
切り替え方法のヒントは表2のDNSゾーンファイルの記述内容にあります。
赤枠で囲ったレコードは「192.168.1.145」を設定しています。
つまりプロキシサーバBのIPアドレスを設定しているのです。
プロキシサーバBの障害発生時にプロキシサーバCに切り替えるため、プロキシサーバCのIPアドレス「192.168.2.145」に書き換えます。
192.168.2.145
(4)
下線③は下線②のすぐ下にあります。
proxy.a-sha.co.jpのリソースレコードのTTLを小さくする目的を問われています。
TTL(Time To Live)とは、直訳すると「生存時間」です。
本設問でいうと、DMZ上のキャッシュDNSサーバが、名前解決結果をキャッシュとして保持する時間を指しています。
では、そのTTLを短くする目的は何でしょうか?
ヒントは表1の案1の中にあります。
前問にて解説した通り、プロキシサーバBの障害発生時にはDNSゾーンファイルの書き換え(プロキシサーバBのIPアドレスからプロキシサーバCのIPアドレスへの書き換え)を実施するのでしたね。
この時、TTLの時間が長いと切り替えの反映に時間がかかってしまい、影響時間が長くなってしまいます。
よって、解答例は以下の通りです。
キャッシュDNSサーバがキャッシュ時間を保持する時間を短くするため(31字)
(5)
まずは下線④を見てみましょう。
本設問は以下の2点を問われています。
・DNSとは異なる方法で自動でプロキシサーバを切り替える方法は何か?
・その時のプロキシサーバを利用する側の制限事項は何か?
一つずつ見ていきましょう。
DNSサーバを利用せずプロキシサーバを切り替える方法
採点講評にも「正答率が低かった」と記載されています。
本設問は知識問題で前後を見ても何のヒントもなかったため、私も解答に迷いました。
設問に戻りますが、自動でプロキシサーバを切り替える方法は何があるでしょうか?
一般的に、PAC(Proxy Auto-Configuration/プロキシ自動設定)を利用したと考えられます。
よって解答例は以下の通りです。
方法:プロキシ自動設定機能を利用する。(16字)
プロキシサーバを利用する側の制限事項
こちらも知識問題で解答することができます。
プロキシサーバを利用するPCやサーバも、PAC(プロキシ自動設定)に対応している必要があります。
よって、解答例は以下の通りです。
制限事項:対応するPCやサーバでしか利用できない。(20字)
何の脈絡もなくPACについて出題されました。
ただ、本試験ではたまにこの手の問題が出題されるのですが、基礎知識で解ける問題が多いです。
ひるまずしっかり答案用紙を埋めることを心がけましょう!
設問2
ここからはマルチホーム接続の設計に入っていきます。
主にBGPについて問われていきますが、BGPはネスペ試験では頻出単元であるため、しっかり知識として定着させていきましょう!
(1)
まずは定番の穴埋め問題ですね。
それでは一つずつ見ていきましょう。
a、b
BGPはAS(自立システム)間の経路交換を行うためのプロトコルです。
また、BGPは隣接ルータとTCP179番を利用して接続を確立(ピアリング)します。
この隣接ルータのことを「ピア」と呼びます。
a:AS
b:ピア
簡単にですがASについて説明文を記載しておきます。
c、d
(c)と(d)は表3中のBGP交換メッセージから問われています。
まず(c)ですが、説明に「経路の追加や削除が発生した場合に送信される」とあります。
BGPでは経路が追加や削除となった際、「UPDATE」メッセージをピアに送信して経路情報を通知します。
次に(d)ですが、BGPの接続維持などのために利用される「KEEPALIVE」メッセージが正解です。
このKEEPALIVEメッセージは定期的にピアに送信され、メッセージが途絶えると経路障害が発生したと判断し、迂回路への切り替えを行います。
c:UPDATE
b:KEEPALIVE
e、f
まず(e)に記載のあるBGPテーブルとは、BGPの経路情報を保持しているテーブルです。
同じ宛先に対して複数の経路情報が登録されていることがあり、最適経路選択アルゴリズムによって一つだけ経路を選択し、ルーティングテーブルに登録します。
次に(f)ですが、最適経路選択アルゴリズムの一つである「LOCAL_PREF」について問われています。
以前、私の記事にて掲載した、BGPの最適経路選択アルゴリズム(パスアトリビュート)の一覧を掲載します。
| 順序 | 説明 |
|---|---|
| 1 | LOCAL_PREFの値が最も大きい経路情報を選択する。 |
| 2 | AS_PATHの長さが最も短い経路情報を選択する。 |
| 3 | ORIGINの値に基づいて選択する。(IGP、EGP) |
| 4 | MEDの値が最も小さい経路情報を選択する。 |
| 5 | eBGPで選択した経路情報、iBGPで受信した経路情報の順に選択する。 |
| 6 | NEXT_HOPが最も近い経路情報(NEXT_HOPへのIGPのコストが最も小さいもの)を選択する。 |
| 7 | BGPピアのルータIDの値が最も小さいも経路情報を選択する。 |
この中で、LOCAL_PREFの値が最も大きい経路情報を選択します。
e:ルーティングテーブル
f:大きい
過去、BGPは何度も出題されている単元です。
[令和6年度春期 午後Ⅰ問1]でも詳しく解説しているので、合わせてお読みください。
(2)
まずは下線⑤を見てみましょう。
next-hop-selfを設定した場合のネクストホップに設定されるIPアドレスについて問われています。
簡単にですが、iBGPにおけるnext-hop-selfの説明を記載します。
このように、iBGP下ではnext-hop-selfを設定することにより、ネクストホップを自身のIPアドレスに書き換えて経路情報を広告します。
自身のIPアドレス(9字)
「self(自身)」とあるように、ネクストホップを自身(のIPアドレス)に書き換えると覚えておきましょう。
単語名自体にヒントが隠されていることがあるため、少しでも部分点を稼げるようになりましょう!
(3)
表3にて定期的にやり取りされるメッセージと、そのメッセージが一定時間受信できなくなった時のルータの動作について問われています。
表3を再掲します。
(1)の(c)と(d)でも触れた通り、定期的にやり取りするメッセージはKEEPALIVEです。
「BGP接続の維持のために交換する」という記載がヒントですね。
よって、タイプは4となります。
では、KEEPALIVEメッセージが受信できなくなると、ルータはどのような動作を行うのでしょうか?
知識問題で解くのが難しかったかと思いますが、以下にKEEPALIVEが受信できなくなった際の流れを掲載します。
| 項番 | 動作内容 |
|---|---|
| ① | KEEPALIVEが受信できなくなる。(Hold Timerの時間超過) |
| ② | “NOTIFICATION”メッセージを送信してセッションを強制的に切断する。 |
| ③ | ルーティングテーブルより経路情報をクリアする。 |
| ④ | 経路情報を再計算し、最適な経路情報をルーティングテーブルに登録する。 |
以上がKEEPALIVEメッセージが受信できなくなった時の動作です。
よって、解答例は以下の通りです。
タイプ:4
動作:BGPを切断し、経路情報がクリアされる。(22字)
(4)
この設問は私自身、とても難しい問題だと思いました。
まずは下線⑥を見てみましょう。
BGPの導入を行なった後にVRRPの導入を行う必要がある理由を問われています。
具体的な手順が示されている表4を掲載します。
BGPとVRRPの導入を入れ替えた場合、項番8〜9が項番5の前に来ることとなります。
VRRPの導入を先に行いR13がVRRPマスターとなった場合の経路を図3に書き込んでみました。
FW10からD社閉域網宛のパケットを送出した際、VRRPマスターであるR13にパケットが到達します。
しかし、R13ではまだBGPの設定を行なっていないため、R14へパケットが送出できない状態となります。
経路情報をまだ保持していないためですね。
よって、解答例は以下の通りとなります。
VRRPマスターになったR13が経路情報を保持していないと受信したパケットを転送できないから(46字)
(5)
下線⑦は以下のように記載されています。
増設した機器および回線について、pingコマンド試験で確認すべき内容と、pingコマンド試験で確認すべき送信元と宛先の組み合わせについて問われています。
ひとつずつ見ていきましょう。
確認すべき内容
通常、pingの疎通確認は「応答があるか確認する」という解答が思い浮かぶと思います。
私も真っ先にそれが思い浮かびました。
ただ、解答例は以下の通りとなっています。
確認すべき内容:パケットロスが発生しないこと(14字)
パケットロスが発生する原因として、機器や回線の故障、設定ミス、ネットワーク負荷などが考えられます。
ただ、この解答は個人的にあまりピンときませんでした。
送信元と宛先の組み合わせ
増設した機器および回線に赤色で印を付けてみました。
ping試験なので、L3機器が対象です。
この中でL3機器は、FW10、R11、R12、R13、R14ですが、R12は今回増設した機器および回線とは関係ないので除外します。
それらを加味して、解答は以下の通りとなります。
①・送信元:R13、宛先:FW10
・送信元:FW10、宛先:R13
・送信元:R13、宛先:R11
・送信元:R11、宛先:R13
※いずれかひとつを解答
②・送信元:R13、宛先:R14
・送信元:R14、宛先:R13
※いずれかひとつを解答
(6)
表4を再掲します。
下線⑧の通り、BGPを有効にし経路情報が正しく送受信されるのを確認したのち、R11およびR12の静的経路を削除しています。
その理由を問われています。この類の問題もこのネスペ試験では頻出ですね。
一般的にルーティングポリシーは、(BGPなどの)動的経路情報よりも静的経路情報の方が優先されます。
その理由は、「管理者の意図を優先する」というルーティングの原則があるからです。
また、経路の優先順位として、AD(Administrative Distance)値というものがあります。
この値が小さい経路ほど優先される仕組みです。
ではR11とR12に何らかの障害が発生したとしましょう。
このときの宛先ネットワークがB社SaaSの場合を例に、静的経路情報と動的経路情報が登録されているとどうなるのか、R11のルーティングテーブルを作成してみました。
障害が発生したため、本来は2行目の経路で通信をしなければならないのですが、1行目の静的経路情報が存在するため、迂回路を利用できないのです。
IPAの正解例は以下の通りとなっています。
経路情報は、BGPと比較して静的経路制御の方が優先されるから(30字)
(7)
6つですか…多いですね。まずは下線⑨を見てみましょう。
表4のすぐ下に記載があります。
ヒントは「マルチホームによる可用性向上が実現できたかどうかを確認するため」です。
可用性向上、つまり外部NWとの接続回線を冗長化している箇所となります。
図3より冗長化されている箇所を探してみましょう。
- L2SW10とR11およびR13を接続しているLANケーブル
- R11およびR13
- R11とR12およびR13とR14を接続する回線
- R12およびR14
以上が冗長化している機器および回線だと言えます。
ただし、R12とR14はD社にて障害試験実施済みのため対象外となります。
正解は以下の通りです。
①R11
②R13
③R11とR12とを接続する回線
④R13とR14とを接続する回線
⑤R11とL2SW10とを接続する回線
⑥R13とL2SW10とを接続する回線
設問3
(1)
まずは下線⑩を見てみましょう。
D社閉域NWの設定変更より前にFW10のデフォルトルートの設定を行うとどうなるかを問われています。
以下パターンの各機器のデフォルトルートを考えることで解答が見えてきます。
・現行の構成
・切替え期間中の構成(FW10とD社閉域NWの設定変更を同時実施)
・切替え期間中の構成(D社閉域NWの設定変更前にFW10の設定変更を実施)
少し複雑な解説になってしまうかもしれませんがご容赦ください。
現行の構成
| 機器名 | デフォルトルートのネクストホップ |
|---|---|
| FW10 | R10 |
| R11 | FW10 |
| R12 | R11 |
注目していただきたいのが、R11のデフォルトルートのネクストホップがFW10となっている点です。
切替え期間中の構成(FW10とD社閉域NWの設定変更を同時実施)
次に、FW10とD社閉域NWの設定変更を同時に実施するパターンを考察していきます。
| 機器名 | デフォルトルートのネクストホップ |
|---|---|
| FW10 | VRRPルータの仮想IPアドレス (平常時はR11がマスタルータ) |
| R11 | R12 |
このように、FW10→R11→R12とパケットが送出され、問題なくインターネットへの通信が行えることがわかります。
切替え期間中の構成(D社閉域NWの設定変更前にFW10の設定変更を実施)
最後に、D社閉域NWの設定変更前にFW10の設定変更を実施するパターンを考察していきます。
「D社閉域NWの設定変更」とはどのような設定作業を指しているのでしょうか?
それは、表4に基づく設定変更を行う前のタイミングであると考えられます。
つまり、物理的なネットワーク構成は図4ですが、R11とR12の設定が現行の構成のままの状態ということになります。
それを踏まえて、デフォルトルートを考えてみましょう。
| 機器名 | デフォルトルートのネクストホップ |
|---|---|
| FW10 | R11 |
| R11 | FW10 |
このように、FW10とR11でルーティングがループしていることがわかります。
F10→R11→FW10…となってしまいますね。
よって、解答例は以下の通りです。
ルーティングのループが発生する。(16字)
(2)
下線⑪の部分を見てみましょう。
(下線⑪〜⑬は全て近い箇所に記載があります)
インターネット接続の切り替えを実施した場合、一部の部門で影響が発生する理由が問われています。
まず、「一部の部門」とは何を指しているでしょうか?
問題文を読むと、導入部分に以下のような記載があります。
一部の部門では独自にSaaSを契約し、SaaSに対して送信元のIPアドレス制限を行っています。
また、[インターネット接続の切替え]に以下のような記述があります。
インターネットの出口にあたるFW40には、新たなグローバルIPアドレスを割り当てることがわかります。
つまり、契約しているSaaSから見て、送信元のIPアドレスが変わるということです。
そうなると、送信元のIPアドレス制限を行っているSaaSが利用できなくなってしまいますね。
「業務に影響が発生する理由」を問われているので、解答例は以下の通りです。
送信元IPアドレスが変わるから(15字)
(3)
下線⑫の記述を再掲します。
FW10に設定するポリシーベースルーティングの内容について問われています。
まず、ポリシーベースルーティング(PBR)について説明します。
通常、ルータは宛先IPネットワークをもとにルーティングテーブルを参照して経路を決定します。
これに対して、PBRは宛先IPネットワーク以外の条件でも経路を制御できる仕組みです。
例えば、以下のような条件で制御ができるようになります。
本設問は「プロキシサーバAからのインターネット通信はR10経由」とするため、以下のようなPBRを手動で設定したと考えられます。
| 送信元IPアドレス | 宛先ネットワーク | ネクストホップ |
|---|---|---|
| プロキシサーバA | 0.0.0.0/0 | R10 |
よって、解答例は以下の通りです。
送信元IPアドレスがプロキシサーバAで宛先IPアドレスがインターネットであった場合にネクストホップをR10とする設定(58字)
(4)
下線⑬を見てみましょう。
「設定変更の依頼」を行うと記載があります。
文脈より、Eさんが一部の部門に対して行う依頼のことを指しています。
これは(2)でも解説しましたが、本構成にすることにより、インターネットアクセスについてFW40のグローバルIPアドレスが利用されます。
よって、利用しているSaaSの送信元IPアドレス制限を、FW40のグローバルIPアドレスに変更するよう依頼したのだと考えられます。
正解例は以下の通りです。
SaaSの送信元IPアドレスによるアクセス制限の設定変更(28字)
まとめ
いかがだったでしょうか?
本設問はマルチクラウドサービス利用に向けた、可用性向上対応がテーマとなっていました。
あまり目新しい技術は採用されておらず、基本的なルーティングや切替手順・影響をどれだけ理解できているかという出題者のメッセージを感じました。
しっかりと基礎を固めて対策していきましょう!
コメント