【徹底解説】ネットワークスペシャリスト令和6年度 春期 午後Ⅰ問2 Vol.2

令和6年(2024年)午後試験
2025.02.17
記事内に広告が含まれています。

本記事では、ネットワークスペシャリスト試験の令和6年度午後Ⅰ問2について、筆者の所感なども交えて解説していきます。
なお、画像や解答例は全てIPA(独立行政法人情報処理機構)から引用しております。
令和6年度春期 ネットワークスペシャリスト(NW)午後Ⅰ
令和6年度春期 ネットワークスペシャリスト(NW)午後Ⅰ 解答例

前回はVol.1と称して、令和6年度午後Ⅰ問2の設問2まで解説しました。
まだ前回記事をお読みではない方は、こちらからお読みください。

【徹底解説】ネットワークスペシャリスト令和6年度 春期 午後Ⅰ問2 Vol.1
本記事では、ネットワークスペシャリスト試験の令和6年度午後Ⅰ問2について、筆者の所感なども交えて解説していきます。なお、画像や解答例は全てIPA(独立行政法人情報処理機構)から引用しております。令和6年度春期 ネットワークスペシャリスト(N...
taopi-blog.com
2025.02.15

本設問は一言で言うと、非常に難しかったという印象です。
一生懸命解説していきますので、皆さま一緒に頑張りましょう!

筆者はまだネットワークスペシャリスト試験の勉強中の身であるため、誤った情報をお伝えする可能性がありますので予めご容赦ください。
誤った情報を含んでいる場合はご指摘頂けると助かります。

IPAの解答例について

前回記事でも掲載しましたが、IPAから公開されている解答例を再度掲載します。

設問解答例予想
配点
設問1(1)カスタマー2
再配布2
DMZ2
eBGP2
プライベート2
ポリシーベース2
設問2(1)a10.3.0.0/162
b64500 645002
(2)c650002
d650002
e650002
f655002
設問3(1)ルーティングループによる障害6
(2)タイプType5 または 外部LSA2
機器ルータ32
設問4(1)IPsecトンネル確立のためのIPアドレス3
IPsecトンネル確立のための鍵情報3
(2)IPsecトンネルに障害があった場合の検出を高速にする6
設問5(1)TE023、TE0322
(2)TE123、TE1322
※予想配点は左門至峰先生の「ネスペR6」より引用させて頂いております。

設問3

(1)

問題文

“経路フィルター”によって防止することが可能な障害について答える問題です。
もしかしたら、この問題文を見ただけでピンときた方もいらっしゃるかもしれません。
それでは下線③の部分を見てみましょう。

※(イ)には再配布が入ります。

ルータ1〜ルータ4のWAN側はBGP、LAN側はOSPFが動作しています。
BGPとOSPFの経路情報を再配布しているのですが、その際に発生し得る”障害”とは何でしょうか?
結果から言うと、経路情報のループが発生してしまいます。

IPAの解答例

ルーティングループによる障害(14字)

補足として、BGPとOSPFがルーティングループを引き起こす仕組みを図を使って説明します。

参考:うかる!ネットワークスペシャリスト2024年版

ネットワークY宛の経路情報は以下のように伝播されます。

経路
情報		説明
ルータAはルータYより、ネットワークYに関する以下の経路情報を受け取る。
 宛先ネットワーク:ネットワークY
 ネクストホップ:ルータYのIF0
ルータBはルータAより、ネットワークYに関する以下の経路情報(BGP)を受け取る。
 宛先ネットワーク:ネットワークY
 ネクストホップ:ルータAのIF1
その後、ルータBはこの経路情報をOSPFに再配布する。
ルータCはルータBより、ネットワークYに関する以下の経路情報(OSPF)を受け取る。
 宛先ネットワーク:ネットワークY
 ネクストホップ:ルータBのIF1
その後、ルータCはこの経路情報をBGPに再配布する。
ルータAはルータCより、ネットワークYに関する以下の経路情報(BGP)を受け取る。
 宛先ネットワーク:ネットワークY
 ネクストホップ:ルータCのIF0
参考:うかる!ネットワークスペシャリスト2024年版

もし④の経路情報が①の経路情報より優先度が高かった場合、④の経路情報に基づいてルーティングしてしまいます。
それにより、経路のループが発生してしまうのです。
ルータA→ルータC→ルータB→ルータA ……

これを防ぐため、BGPからOSPFへ再配布された経路を再びBGPに再配布しない、という手法で対策を行います。

(2)

問題文

この問題は知識がないと解けず、非常に難しかった問題だと思います。
まずは下線④の記述を見てみましょう。

※(ウ)は「DMZ」が入ります。


問題文では以下の二つのことを問われています。
①DMZを宛先とする経路情報について、各拠点のL3SWに届いたときのOSPFのLSAタイプ
②支店VのL3SWに上記のLSAが到達したとき、そのLSAを作成した機器名

LSA(Link State Advertisement)とは
  • OSPFが経路制御のためにやり取りするリンクステート情報。
  • 隣接するルータ同士で交換する。
  • ネットワーク内のリンク情報を収集し、データベース(LSDB)を構築する。

また、LSAのタイプ名について主なものは以下の通りです。

引用元:ネットワークエンジニアとして/OSPF – LSA Type 1 / 2 / 3 / 4 / 5 / 7

次に、OSPFとBGPを示したネットワーク構成図を再掲します。

まず①の問いについて、支店Vを用いて説明します。
L3SW3に届いたDMZの経路情報は、ルータ3から受け取っています。
ルータ3はBGPとOSPFの境界に位置しているため、ASBR(AS境界ルータ)であることが分かります。
ASBRから経路情報を受信しているため、Type5(外部LSA)となります。

続いて②の問いについてです。
LS3SWが受け取った外部LSAは、ルータ3が作成しています。
(支店VでOSPFが稼働しているのはルータ3とL3SW3しかないので、消去法ですね。)

IPAの解答例

・Type5 または 外部LSA
・ルータ3

設問4

この設問から、従来方式ではなく、SD-WANを用いた方式での構成になります。
まずは構成変更後のネットワーク構成図を見てみましょう。

クラウドサービスであるK社SD-WANコントローラーにて、各拠点のSD-WAN装置を集中管理します。
各SD-WAN装置はIPsecトンネルを確立し通信を行い、WANについてはL社VPNとインターネットにて経路を冗長化します。

IPsecは筆者も非常に苦手な分野です…
張り切って解説していくので、皆さまのお役に立てることを願っています。

(1)

問題文

IPsecトンネル確立にあたり、SD-WANコントローラーからSD-WAN装置に送られる情報を二つ問われています。
本設問はIPsecの知識問題でした。

まずは下線⑤を見てみましょう。

IPsecトンネルは、拠点同士のVPNルータでIPsecトンネルを確立し、インターネット上でも安全に拠点間のデータをやり取りする技術です。
通信相手の認証やIPパケットの暗号化を行います。

通常であれば、お互いのルータの情報を事前に登録しておき、お互いを認証します。
本構成では、SD-WANコントローラーがSD-WAN装置に対して、IPアドレスや事前共有鍵の情報を通知します。
それにより、双方のルータでIPsecトンネルが確立できるのです。

IPAの解答例

・IPsecトンネル確立のためのIPアドレス(21字)
・IPsecトンネル確立のための鍵情報(18字)

ちなみに筆者は以下のように回答しました。
うーん…正解にしてもらえるんでしょうか。

筆者の解答

・SD-WAN装置ごとのIPアドレス(17字)
・SD-WAN装置ごとの事前共有鍵(16字)

(2)

問題文

問題文中の下線⑥の記述は以下の通りです。

各拠点のSD-WAN装置にて、IPsecを設定しているトンネルインタフェースにBFDを有効化する目的を問われています。
まず、BFDについて記述します。

BFD(Bidirectional Forwarding Detection)とは
  • 直訳して”双方向フォワーディング”と呼ばれる技術
  • 2台の隣接するルータ間で、高速(数ミリ秒単位)に障害を検知することが可能となる
  • 物理的なリンクダウンではなく、IPsecトンネルのような論理的なインタフェース障害が発生した際に有効

IPsecはIKE キープアライブ(Keepalive)と呼ばれる仕組みで、対向ルータのIPsecトンネルインターフェースの稼働確認を行なっています。
このIKE キープアライブの障害検知は数秒〜数十秒かかってしまいます。
これだとリアルタイムでの検知ができません。

そこでBFDを利用し、高速に障害検知、迂回経路での通信を継続させ、可用性の向上を図ることができます。

IPAの解答例

・IPsecトンネルに障害があった場合の検出を高速にする。(28文字)

この設問はBFDについての記述が殆どなかったので、非常に難しかったと思います。
私も全く的外れな解答をしてしまいました。(お恥ずかしいので割愛します)
少しづつ理解度を高めていき、部分点でもいいので点数を拾えるようにしていきましょう!

設問5

(1)

問題文

まずは下線⑦を見てみましょう。

本設問では、通常時に本社PCから支店VのPCへの通信が通過するTEについて答える問題です。
通常時とはつまり、L社VPNの経路のことです。

また、TE(Tunnel Endpoint)とは、IPsecトンネルを確立する際の、端と端に位置するインタフェースを指します。
本設問では、本社内のSD-WAN装置1(WAN側インタフェース)と支店V内のSD-WAN装置3(WAN側インタフェース)が該当します。

それでは、通常時、どのような経路を辿るのでしょうか。
問題文中に提示されているIPsecトンネルの構成図に経路を書き込んでみました。

この図から明らかな通り、TE023TE032を経由します。

IPAの解答例

・TE023、TE032

(2)

問題文

続いては経路障害があった際の、本社〜支店Vの通過するTEについて問われています。

下線⑦の記述から明らかな通り、L社VPNの障害時はインターネットを経由します。
再度インターネットを経由した経路を書き込んでみます。

こちらも図から明らかな通り、TE123とTE132を経由します。

IPAの解答例

・TE123、TE132

この問題はかなり解き易かったのではないでしょうか。

まとめ

今回は従来型のネットワーク構成から、SD-WANおよびIPsecを用いて運用や構成変更を簡略化していくといった内容でした。
拠点追加のネットワーク構成変更は、ネットワーク技術者にとっては大仕事です。
SD-WANを用いて運用コストを下げるという対応は、企業にとってもとてもメリットがあるものだと思います。

筆者もまだまだ足りない知識がありますが、精一杯情報発信していきますのでこれからもよろしくお願いします。

以下に筆者おすすめの勉強方法などを記載していますので、お読み頂けるとありがたいです。

【ネットワークスペシャリスト】筆者オススメの勉強方法を大公開
はじめまして。たおぴと申します。過去2回受験したネットワークスペシャリスト(NW)試験について、私のオススメする勉強方法を公開します。本記事は以下のセクションで進めていきます。少しでも皆さまのお役に立てれば嬉しいです。本記事で紹介する内容試...
taopi-blog.com
2025.02.05

それではまた次回の記事でお会いしましょう!

コメント

たおぴについて

勉強を頑張るサラリーマン
たおぴ
たおぴ

30代前半のしがないサラリーマン。IT系の企業にて働いているが、給与面に不満があり転職を決意。
資格勉強なども行っており、皆さまのお役に立てる記事を書いていきたいと思います。

【保有資格】
・情報セキュリティマネジメント
・応用情報技術者
 他いくつか

【取りたい資格】
・ネットワークスペシャリスト(既に2回不合格...)
・プロジェクトマネジメント
・ITストラテジスト(最終目標!)

【趣味】
・洗車

たおぴをフォローする