【令和元年】ネットワークスペシャリスト(ネスペ)午後1 問1の解説
ネットワークスペシャリスト令和元年度の過去問の解説をしております。本記事では、令和元年度 午後1 問1の解説をしております。
※IPAからの正式解答も追記しました。リンクは下記になります↓
令和元年度 秋期 ネットワークスペシャリスト試験 解答例
引用元:「令和元年度 秋期 ネットワークスペシャリスト試験(NW)午後I 問1」
※それぞれ一部改変しております。
他年度の午後問題の解説は別記事でまとめていますので、ぜひ参考にしてください。
設問1
(1)空欄穴埋め問題
空欄a
ISP、冗長経路、パスベクトル型ルーティングプロトコルのキーワードからBGPを導き出す。答えはBGP
空欄b
空欄bも空欄の前後の文を確認します↓
- OSPFが利用されている
- OSPFのエリアの種類
- OSPFで必ず1つは必要なエリア
OSPFを構成するエリアで、必ず一つは必要なエリアはバックボーンエリアです。答えはバックボーンエリア
空欄c
空欄cも同じく、前後の文章を確認します。
- L3SWにVRRPを利用している
- CRのデフォルトゲートウェイはL3SWのVRRPの仮想IPアドレス
- マスタールータが故障したときに、新規のマスタールータがブロードキャスト通信を行う
- その際に送られたパケット情報(空欄c)をもとに、L2SWのMACアドレステーブルを更新する
CRという顧客ルータがL2SW配下に接続されており、そのCRのデフォルトゲートウェイがL3SWのVRRPの仮想IPアドレスを指定しているとあります。
また、「マスタールータが故障した際には」とありますが、マスタールータは前文からL3SW1、L3SW3とわかります。
基本、VRRPではマスタールータのみがトラフィックを処理します。バックアップルータは文字通り、マスタールータのバックアップとして予備待機している機器になります。マスタールータが正常にトラフィックを処理できなくなると、バックアップルータが新たなマスタールータとしてトラフィックを処理するように切り替わります。
マスタールータが正常にトラフィックを処理できない状態になったことをバックアップルータはどうやって知るのかが気になると思います。VRRPアドバタイズメントというVRRPに関する情報をVRRPを組む機器間で広報しあうことで、お互いの状態を確認しています。
このVRRPアドバタイズメントが途絶えてしまうと、それを受信できなかったことを異常だと判断して、バックアップルータの場合、マスタールータに昇格します。マスタールータの場合、バックアップルータからのVRRPアドバタイズメントが受信できなかったとしても、引き続きマスタールータでトラフィックの処理を担います。
本文のようにマスタールータが故障した際には、バックアップルータはマスタールータからのVRRPアドバタイズメントが受信できなかったことを契機として、新たにマスタールータに昇格します。
この時点では、まだ通信は正常にできません。なぜなら、L2SW(1〜4のすべて)のMACアドレステーブルではVRRPの仮想MACアドレスとそれに紐づくポートは故障したマスタールータ(L3SW1、L3SW3)のポートと学習しているからです。
バックアップルータからマスタールータに昇格した機器(L3SW2、L3SW4)は、自身がトラフィックを担うことを伝えるのが必要になります。隣接機器に対して、MACアドレスを更新するように広報するブロードキャスト通信がGARP(Gratuitous ARP)です。
そのGARPで、L2SW(1〜4のすべて)のMACアドレステーブルを更新します。具体的にはVRRPの仮想MACアドレスとそれに紐づくポートは故障したマスタールータ(L3SW1、L3SW3)のポートではなく、新規のマスタールータ(L3SW2、L3SW4)のポートに更新します。
- VRRPでは基本マスタールータのみがトラフィックを処理する
- VRRPアドバタイズメントでお互いの情報を広報しあう
- VRRPアドバタイズメントが受信できなくなると、バックアップルータはマスタールータに昇格する
- マスタールータに昇格した機器はGARPで隣接機器のMACアドレステーブルを更新するように広報する
なので、答えるべきなのはGARP(Gratuitous ARP)です!これは頻出なのでしっかりと理解しておきましょう。
(2) VRRPアドバタイズメント
まずは問題文から読み解いていきましょう!問題文を読んだだけでも以下のことがわかります。
- L3SW1とL3SW2ではVRRPでデフォルトゲートウェイの冗長化がされている
- L3SW1とL3SW2が送受信するVRRPアドバタイズメントパケットが経由する回線を答える
- 「経由する」という言葉に注目!
VRRPアドバタイズメントがどの経路を通っているのかを答える問題です。それでは本文で関係のありそうな該当箇所を探していきます。
本文から読み取れることを箇条書きでまとめると以下の通りです!
- L3SW1(マスター)とL3SW2(バックアップ)がVRRPで冗長化
- L3SW3(マスター)とL3SW4(バックアップ)がVRRPで冗長化
- L2SWは顧客ごとに1つのVLANを割り当てる
- L3SW同士を接続している回線は、独立したIPセグメント
- L3SWのL2SWへの接続ポートにはタグVLANを設定
この記載から選択肢を絞っていきます。「L3SW同士を接続している回線は、独立したIPセグメント」との記載から、選択肢「カ」は消去できます。
なぜなら、VRRPアドバタイズメントパケットが「経由する」回線を答えるとあるので、どの機器も通信経路として経由しない、直接接続の通信は「経由」する通信ではないからです。
↓の図で表すと、選択肢カはL3SW1とL3SW2の渡りの通信(↓図でいう緑色)で、「独立したIPセグメント」とあるので、L3SWからL2SWへのセグメントとは別のセグメントになります。
この時点で、選択肢カは消去できました。残りの選択肢を選ぶ前に「VRRPアドバタイズメント」の内容を整理します↓↓
- VRRPアドバタイズメントはマルチキャスト通信を行う
- マルチキャスト通信は、ブロードキャスト通信と同じく、VLANごとの限られた範囲で通信を行う
よって、どの顧客のVLANでも、L3SW1のマスタールータがVRRPアドバタイズメントをマルチキャストで送信する経路は L3SW1→L2SW1→L2SW2→L3SW2となります。※L3SW2のバックアップルータはその逆の経路
VRRPアドバタイズメントのやりとりはL3SW1(マスター)とL3SW2(バックアップ)間で行われます。そのため、 選択肢のコ、サ、シ、スは間違いです。答えはキ、ク、ケ
(3) Vlan タグ
次の問題ですね!まずは問題文から読み取れることを理解します。
- VLANタグを付与する必要がある回線を記号で答える問題
VLANタグをどの回線で付与しているのかを答える問題ですね!それでは本文で該当箇所を探します。
本文から読み取れることを箇条書きでまとめると以下の通りです!
- L2SWは顧客ごとに1つのVLANを割り当てている
- 2台のL2SWのそれぞれからCRに接続し、冗長性を確保している
- L3SWのL2SWへの接続ポートにはタグVLANを設定している
VLANタグはVLANにタグ(目印)をつけることによって、複数のVLANを区別することが目的です。なので、VLANタグを利用している時点で複数のVLANが通ることになります。
そのため、タグVLANを設定しているL3SWのL2SWへの接続ポートはVLANタグを付与していることはいえますね。これで経路「キ」「ク」が該当しました。
また、「2台のL2SWのそれぞれからCRに接続し、冗長性を確保している」の記載から、L2SWの渡りは複数のVLANを通すことになります。
具体的な通信経路は以下の通りです。
- CR11→L2SW1→L3SW1
- CR12→L2SW2→L2SW1→L3SW1
- CRm1→L2SW1→L3SW1
- CRm2→L2SW2→L2SW1→L3SW1
VLANごとにポートを用意するポートVLANでも複数のVLANを経由させることは可能です。しかし、L2SWの渡りにVLANの数だけポートを割かないといけなくなります。100VLAN必要になったら、L2SWの渡りに100ポートが必要になるので、非現実的です。
そこでタグVLANを活用すれば、VLANの数だけポートを用意しなくても、1つのポートで十分になります。なぜならタグVLANで論理的にVLANを識別しているからです。よって、経路「ケ」が該当します。
答えはキ、ク、ケ
(4) 静的LAGではなく、 LACPを選ぶ理由
まずは問題文から読みます。特に、記述問題の場合は問題文の内容把握がカギです!問題文から以下のことが読み取れます↓
- 静的LAGでできなくて、LACPで可能になることが問われている
- LACPを利用すれば「可能」になるという文脈から、静的LAGでは不可能な課題が本文にあるはず
- そのため、現状で不可能なことが、LACPによって、可能になったという変化を解答に盛り込むと良さそう
静的LAGでは解決できなくて、LACPで解決できる現状の課題がないかを念頭において、本文の該当箇所を探します。
まずは現状のネットワーク構成の問題点が述べられていないかを探してみると以下の記述が見つかります。本文から読み取れることを整理します。
- ビル3階とビル4階には・・・・M/Cが利用されている
- M/Cには、1000BASE-LX側IFがリンクダウンしたときに1000BASE-T側IFを自動で リンクダウンさせる機能はない
図で確認します。
図から読み取ると、M/C(図でいう黒い■)には、M/C間のリンクがダウンしても(青い○が障害点)、もう片方のリンク(オレンジ色の○)をダウンさせる機能はないと理解できました。
つまり、M/C間のリンクがダウンしても(青い○が障害点)、もう片方のリンク(オレンジ色の○)をダウンしないので、L2SW3やコアルータ1からみたらM/Cへのリンクはアップしている、正常と判断してしまいます。ただその経路は途中でダウンしているので、通信はできません。
次に設計方針、どういった要件がネットワークとして求められているのかを本文から探します。
- Z社データセンター内の回線が1か所切れた場合でも、トラフィックを輻輳させない。
次に手段ですね。どうやって、↑の設計方針に沿った、ネットワーク構成なのかを確認します。
- 3階のコアルータから4階のL2SWの間で、LAGによる回線増強を行う
- 具体的には回線を追加し、リンクアグリゲーション(LAG)で二つの回線を束ねる
- 動的なLAGで利用される LACPを利用することによって、LAGを構成する回線のうち1本が切れた場合には、 切れた回線を含む同一LAGを構成するIF全てを自動的に閉塞するように設定する
ここまでの内容をまとめます。
- 課題としてM/C間の通信断があると、通信ができなくなる
- 設計は回線が1か所切れた場合でも、トラフィックを輻輳させないようにする
- 対策としては回線を追加し、LAGで二つの回線を束ねる
- 動的LAGのLACPを利用すればそれが解決する
ここまで整理したらあとはLACPの理解になります。LACPを利用した機器では、LACPDU (Link Aggregation Control Protocol Data Units)を対向機器に送信することでリンクアグリゲーション(LAG)の接続を確立させます。
M/C間の通信断があるとLACPDUは対向機器に送信できなくなります。そのため、LAGのメンバーからその回線を自動的に外すことができます。ちなみに、M/Cで一方のポートでのリンクダウンしたことを契機に、もう一方のリンクもダウンさせる機能をLPT(リンクパススルー)といいます。
よってこの条件(M/C間の通信断)とLACPを利用することで変わったこと(LAGのメンバーからその回線を自動的に外すことができる)をかけていれば十分なラインだと思われます。
答えは、リンクダウンを伴わない障害発生時に、LAGのメンバから故障回線を自動で除外できる。(41字)
(5) LAGを利用しない場合の問題点
続いても、記述問題ですね!まずは問題文から把握します。
- L3SW3とL2SW3との間のLAGでIFを自動閉塞しない → 問題が発生する
L3SWとL2SWの間のLAGを構成する2本のリンクのうち、1本が落ちた場合、もう1本のリンクを閉塞せずにそのLAGを使い続けることの問題点が問われていますね。
下線部②とあるので、付近の本文を読み返してみましょう!「LAGを構成する回線のうち1本が切れた場合には」という条件がありますね。
内容を整理すると↓のようになります。
- LAGの2本の回線のうち1本が切れると片方の回線にトラフィックが集中する
- よって、トラフィックが輻輳する可能性がある(問題)
- 「Z社データセンター内の回線が1か所切れた場合でも、トラフィックを輻輳させない」という設計方針に沿わない。
回線が1ヶ所切れてもトラフィックを輻輳させない要件があるため、LAGを構成する2本のうち、1本だけになったら、そのLAG自体をダウンさせることが望ましいとわかります。
じゃあ本当に1本になっただけで、トラフィックが輻輳するのかを確認します。
L3SW3とL2SW3の間のリンクの種類を確認すると、1000BASE-T(1G)とわかります。追加される回線(同じく1G)とLAGを構成するので、最大のトラフィック量は2Gbpsとなります。
LAGを構成する2本のうち1本だけになったら、1Gbpsしかトラフィック量をさばけません。よって、それよりも大きいパケットは破棄されます。
「パケット」の字句を用いて、解答する必要があるので、以下の2点を解答に含めるとよいでしょう!
- LAGを1本の回線で使い続ける場合、トラフィックが輻輳する。その後、パケットはどうなるのか?
- 図1のネットワーク構成図を前提にして、具体的な解答にする
答えは、1Gビット/秒を超えたパケットが廃棄される。(22字)
(6) LAGの負荷分散
もう少しですね!がんばりましょう!問題文からは以下のことがわかりますね。
- 前者の方式とあるので、「前者」が指すものを明確にする
- 「図1の場合うまくいかない」とあるので、どういうときにうまくいかないのかを明らかにする
それでは、本文を見ていきます。下線③とあるので、その近辺の文章を読みます。
前者の方式と後者の方式で比べられているので、内容を整理します。
LAGで負荷分散しようとしていて、それはハッシュ関数によって決定される。ハッシュ関数を作成する組み合わせが2通りあると読み取れます。
| 前者の方式 | 後者の方式 |
|---|---|
| 送信元MACアドレス 宛先MACアドレス | 送信元IPアドレス 宛先IPアドレス 送信元ポート番号 宛先ポート番号 |
それぞれの方式は理解できました。前者の方式ではなぜ負荷分散がうまくいかないと記載されているのかを確認します。
まず負荷分散とは、複数の宛先に対してトラフィックを振り分けることです。そもそもが宛先が複数あることが前提になります。
前者の方式では、送信元MACアドレスと宛先MACアドレスの組み合わせでハッシュ関数を作成します。ただ、送信元MACアドレスと宛先MACアドレスの組み合わせが少なく、経路が固定されやすいです。
図1の場合だと、以下の組み合わせの通りしかありません。
- 各CR→L3SW1(VRRPの仮想MACアドレスが宛先)
- 各コアルータ→L3SW1(VRRPの仮想MACアドレスが宛先)
↑の送信元MACアドレスと宛先MACアドレスの組み合わせしかありません。よって、ハッシュ関数の計算値も似通ってしまうことが懸念されます。
対して、後者の方式ではポート番号やIPアドレスを指定することにより、組み合わせの数が圧倒的に増えます。そのため、ハッシュ関数の計算値はその分、異なりやすくなります。結果、負荷分散されることになります。
答えは、通信の送信元と宛先MACアドレスの組み合わせが少なくハッシュ関数の計算値が分散しないから(44字)
設問2
(1)
空欄d
空欄問題ですね!これはほとんど知識問題ですので、空欄の付近を確認します。
pingが利用するプロトコルからICMPを導きます。答えは、ICMP
空欄e
- SNMPの機能
- 監視対象から送られる状態変更通知
以上の2点からSNMPトラップを導きます。答えは、SNMP trap、SNMPトラップ
空欄f
- SNMPの機能
- 管理情報ベースの名称
以上の2点からMIBを導きます。答えは、MIB
(2) 監視方法の選択
問題文を確認します。読み取れることは以下の通りです。
- L2SW3とL2SW4との間のLAGを構成する各回線のトラフィック量を把握する適切な監視方法を選択する
本文中から選ぶとあるので、それぞれの選択肢を確認していきます。
- 監視対象機器の管理IFのIPアドレスに死活監視
- L3ネットワーク層レベルの監視
- 状態の詳細を把握はできない
- 監視対象機器(SNMPエージェント)が自発的に状態変更があれば、それを通知する
- SNMPエージェントから監視機器(SNMPマネージャー)へのTrapの到達性は確保されない
- Trapで送信する数が多いと管理が大変
- 監視機器(SNMPマネージャー)から監視対象機器(SNMPエージェント)に状態の詳細情報を定期的に取得する
- 情報取得の間隔が空いてしまうと状態変更に迅速に対応できない
ポーリング監視で監視機器(SNMPマネージャー)から監視対象機器(SNMPエージェント)へ、トラフィック量の情報を取得するのが最適です。
Ping監視ではパケットの経路確認は可能ですが、監視機器の詳細状態までは確認できないため、今回は不適切です。
また、SNMPトラップはUDPを活用するので迅速な機器情報の把握には向いておりますが、今回のようにトラフィック量を把握したい場合は向いておりません。
SNMPトラップのように状態変更があった場合に通知するよりかはポーリングで定期的にトラフィック量を監視するのが最適です。
答えは、(ⅲ)
(3) 正常性確認の範囲
最後の設問ですね!問題文を確認します!
- 「追加する監視方法」を明確にする
- 正常性確認を行う目的を明確にする
↑2点を本文から探していきましょう。
まず現行の監視方法が記載されているので、それを整理します。
- 顧客のデータが流れるネットワークとは独立した管理ネットワークを用い、監視を行なっている(現状)
- 顧客へのサービスの提供状況をリアルタイムに把握することが難しい(問題・課題)
- 顧客へのサービスの提供状況を把握するために〜(目的)
- 監視装置から顧客のデータが流れるネットワークへのパケットの疎通を確保する(解決策)
現状の監視方法の状況と課題は把握できました。次に追加する監視方法を確認していきましょう!
上記本文から内容をまとめます。
- 既存の監視装置から顧客のデータが流れるネットワークへ通信ができるようにする
- 監視装置からL3SWへのpingに、応答するようにVRRPのVIPを設定する
- 監視装置を送信元、L3SWのVIPを宛先にPing監視を行う
次に構成案を確認します。
顧客のデータが流れるネットワークとは↑図2から、コアルータ、L3SW、L2SW 間(上記図の赤色の線)と記載されています。
追加する監視方法では監視装置からVRRPを組むL3SWへのVIPに対して、Ping監視を行います。そのため、経路であるコアルータとL3SWまでが追加する監視方法で 正常性確認を行うことができる範囲(上記図の青色の線)になります。
L2SWはデータの流れるネットワークであることは確かだが、今回追加する監視方法(VRRPを組むL3SWへのVIPに対して、Ping監視)では監視対象にはなりません。
答えは、コアルータからL3SW間
