ネットワークスペシャリスト 令和3年度 春季試験 午後Ⅱ 問1を解説していきます。
出題テーマ:STP、RSTP、スタック
技術的な出題テーマとしてはSTP、RSTP、スタックでした。
これらは実案件的にも用いる技術なので、触れたことがあるという方も多いのではないでしょうか。
問題を解くにあったって必要となる知識は設問解説を一緒に行っていきますので、是非最後までご覧ください。
全体的なテーマとしてはシステムの移行でした。
旧システムと新システムの2つおよび、移行期間など、図や表、説明が多く正しく読み解くために、しっかりと問題文を読み込む必要がありました。
知識が必要な問題もあり、問題文中のヒントから解答することができる問題はしっかりと問題文を読み込む必要があり、一筋縄ではいかない問題だったと思います。
設問1 (1)
【a】から考えていきます。
フルサービスリゾルバに転送のみ行うDNSサーバのことを『DNSフォワーダ』といいます。
なので、解答としては『a:DNSフォワーダ』となります。
【b】について考えていきます。
VRRP-A(Virtual Router Redundancy Protocol)はゲートウェイの冗長化プロトコルです。
基本的にはMaster-Backupで構成され、仮想IP(VIP)設定し、PCなどのクライアントはVIPをゲートウェイとします。
VIP宛に送られてきたパケット基本的にMaster側がパケットを受け付け処理を行います。
Master側に障害が発生した場合はBackupがMasterに昇格することで、クライアントは通信を継続することができます。
どちらがMasterとなるかはプライオリティを用いて決め、プライオリティの高い方がMasterとして動作します。
ということで解答は【b:プライオリティ】となります。
設問1 (2)
前の問題で解答したように、内部DNSサーバはDNSフォワーダです。
『内部DNSサーバは、社内システムのドメインに関するゾーンファイルを管理する権威サーバであり、PC及びサーバから送信された名前解決要求に応答する。』と記載があります。
下線部の、『名前解決要求先のIPアドレスの情報を、PCに通知している。』とありますので、ここで自身のIPアドレスを通知することで、PCは内部DNSサーバに対して名前解決を行うようになります。
よって解答としては『内部DNSサーバ』となります。
設問2 (1)
STPに関する知識が問われますので、まずはSTPに関する説明から行っていきます。
STP:Spanning Tree ProtocolはL2ループ防止の技術です。
スイッチ同士が三角形で閉じられているように、それぞれ通信できるような状態で接続されています。
このような構成をループ構成と呼びます。
このとき、ARPなどのブロードキャストのフレームが発生したとします。
この場合にスイッチは隣のスイッチにフレームを転送しますが、両隣のスイッチは受信したフレームをさらに隣のスイッチへ転送します。
あとはこの繰り返しで、ブロードキャストのフレームが転送され続けるブロードキャストストームが発生してしまいます。
この対策の1つとして、STPが用いられます。
STPでは『指定ポート』、『ルートポート』、『非指定ポート』の3種類のポートの役割があり、『非指定ポート』はループ防止の観点で転送が行われない状態(ブロッキング)となりループを防止します。
STPはツリーと名の付く通り、ツリー構造をとりますので、その根となるルートブリッジを選定します。
STPにおいてルートブリッジの選出する順番は以下の順番で選出されます。
- プライオリティ値の低い機器
- MACアドレスの小さい機器
プライオリティ値が同じ場合は、次のMACアドレスの比較によってルートブリッジが選出されます。
なので、比較項目としては『MACアドレス』となります。
IEEE802.1Dで規定されるのはCSTと呼ばれ、構成全体で1つのルートブリッジを選定します。
ちなみに、PVST+と呼ばれる方式ですとVLANごとに構成を構築することができます。
今回のL2SW2がルートブリッジとなりますので、L3SW1とL2SW2が接続されているリンクアグリゲーションの部分が非指定ポートとなり、ブロッキング状態となります。
こうなることで、L3SWに接続されている『PC収容サブネット1~3』に関してはL2SWに接続されているのでL2SWを経由してVRRPの情報を交換することができますが、『FW-L3間サブネット』および『内部サーバ収容サブネット』はL2SWに接続されていないのでVRRPの情報を交換することができません。
なので、VRRPの情報を交換できなくなるサブネットに関しては、『FW-L3間サブネット、内部サーバ収容サブネット』となります。
図の中に書き込みを行い、どこか非指定ポートとなるのかを記載するとわかりやすくなるかと思います。
問題用紙が汚れることを気にせずにどんどん書き込みを行っていきましょう。
設問2 (2)
まずは【c】から考えていきます。
下線部として、『L3SW1に最も小さいブリッジプライオリティ値を、L2SW2に2番目に小さいブリッジプライオリティ値を設定し、L3SW1をルートブリッジにしている。』とあります。
STPにおいて、ルートブリッジに近いポートが指定ポートになります。
なので、ルートブリッジのすべてのポートが指定ポートとなります。
ということで解答としては『c:指定』となります。
次に【d】について考えていきます。
ルートブリッジの指定ポート対向の機器のポートはルートポートとなります。
残ったL2SW2とL2SW3が接続しているポートですが、ブリッジプライオリティ値的にはL2SW2が小さいため、L2SW2側のポートが『指定ポート』となります。
そして、対向のL2SW3のポートは『非指定ポート』となり、ループを防止するためMACアドレスの学習などを行わないブロッキングの状態となります。
よって解答としては『d:非指定』となります。
最後に【e】について考えていきます。
STPにおいてトポロジ(構成)に変更があった場合はMACアドレステーブルをクリアします。
トポロジ(構成)に変更があった場合は現在把握している構成を捨てて、再度学習(計算)し直すというイメージです。
よって解答としては『e:MACアドレス』となります。
設問3 (1)
STPは次の設問で触れますが、トポロジの変更があった場合に各ポートを選定したり、状態を遷移する時間が必要となります。
具体的な計算時間は状況によって異なりますが、30秒~50秒程度かかり、この時間内は通信することができません。
障害などが発生した場合、自動的に収束してくれるのはいいのですが、30秒~50秒もの断時間が発生するのは、扱う通信次第では許容できない場合があります。
もっと速く計算や遷移が行えるようにしたのが、RSTP(Rapid Spanning Tree Protocol)です。
図2の構成を使って、問題文中にあるように遷移の流れを確認していきましょう。
障害が発生する正常な状態ではこのようになっていると考えることができます。
スイッチRに接続するポートのダウンを検知したスイッチAはトポロジチェンジフラグをセットしたBPDUをスイッチBにに送信します。
スイッチBは代替ポートとなっており、通常のフレームは受け付けませんが、このようなRSTP関連のフレームは受け付けることができます。
スイッチBはスイッチAにプロポーザルを送信します。
問題文中にも記載がありますが、プロポーザルの中にはプライオリティやパスコストなどの情報が含まれます。
プロポーザルを受信したスイッチAはトポロジにおいてスイッチBの方がルートブリッジに近いスイッチ、『f:上位スイッチ』であると判定し、自身をルートポートに遷移させます。
その後、スイッチAはスイッチBに対して相手が指定ポートであることを認めるアグリーメントを送信します。
アグリーメントを受信したスイッチBは指定ポートに遷移させ、トポロジの変更が収束するという流れになります。
設問3 (2)
前問の説明でも軽く触れましたが、STPではトポロジの変更があった場合に通信ができるようになるまで30秒~1分弱程度かかります。
ですが、RSTPではそれよりも断然速く通信ができるようになります。
どちらも本文中に記載がありますので、この理由について考えて(探して)いきましょう。
まず1つ目は、STPのポートの状態遷移についてです。
『(2)転送遅延に設定した待ち時間が経過したら、ラーニングの状態に遷移させる。』
『(3)転送遅延に設定した待ち時間が経過したら、フォワーディングの状態に遷移させる。』
RSTPの場合は前問で触れたように、この転送遅延がなくプロポーザルとアグリーメントを送り合うことで遷移が完結します。
ということで、1つ目は『STPの状態遷移時にある転送遅延がなく状態遷移できるため(27文字)』と解答することができます。
2つ目は表3に『代替ポート:通常、ディスカーディングの状態であり、ルートポートのダウンを検知したら、すぐにルートポートになり、フォワーディングの状態になるポート』、『バックアップポート:通常、ディスカーディングの状態であり、指定ポートのダウンを検知したら、すぐに指定ポートになり、フォワーディングの状態になるポート』とあります。
このように、RSTPではトポロジに変更があった場合(障害時に)状態遷移するポートの役割が事前に決められています。
なので、障害が発生したらこの予め決めておいた状態に遷移するだけで収束させることができます。
ということで、2つ目は『障害発生時に状態遷移するポートが事前に決められているため(28文字)』と解答することができます。
設問4 (1)
スタックはスタックケーブルで接続した複数の機器を1台の機器として扱うことができます。
物理的には2台や複数の機器なのですが、論理的には1台の機器として扱うことができます。
1台の機器として扱うことができるということは、例えば管理IPアドレスも1つとなります。
これまでは2台のL3SWをそれぞれ監視などをしていたかと思いますが、これからは1台のみを監視すればよいので、運用の負荷を軽減することができます。
よって解答例としては、『2台のL3SWを1台の機器として扱うことができるから(26文字)』と解答することができます。
設問4 (2)
スイッチなどのネットワーク機器では複数のインタフェースを束ねることをリンクアグリゲーションと呼びます。
サーバ側もリンクアグリゲーションのように複数のインタフェースを束ねることができるのですが、チーミングと呼び、名称が異なります。
そして、『新ディレクトリサーバ及び新内部DNSサーバに実装される二つのNICに、アクティブ/アクティブのチーミングを設定し、スタックL3SWに接続する。』とあります。
アクティブ/アクティブですので、2本のケーブル両方を使用することができますので、この区間が正解であると考えることができます。
よって、『スタックL3SW~新ディレクトリサーバ』もしくは『スタックL3SW~新内部DNSサーバ』のどちらかを解答してあげればよいです。
設問5
図3を確認しますと、新L3SW1、新L3SW2、新L2SW3は物理的にはループ構成のように見えます。
ですが、新L3SW1と新L2SW2はスタックが行われており、論理的には1台の機器となります。
また、新L3SW1、新L3SW2と新L2SW3間の接続もリンクアグリゲーションが行われており、論理的には1本のケーブルとみなすことができます。
なので、論理的にはループ構成ではなくなるため、STPやRSTPが不要となります。
よって、技術としては『スタック』、『リンクアグリゲーション』の2つを解答として挙げることができます。
また理由は『ループ構成ではないから(11文字)』と解答することができます。
設問6 (1)
現行のディレクトリサーバはVLAN11に属しています。
現行のL3SW1と新L3SW1間もVLAN11に属しており、新ディレクトリサーバもVLAN11に属しています。
つまりは全てVLAN11、同一セグメントの通信であることがわかります。
同一セグメントの場合、送信元MACアドレスは通信を行う機器のMACアドレスで、宛先MACアドレスは宛先のMACアドレスがそのまま入りますので、解答としては、『送信元:現行のディレクトリサーバ、宛先:新ディレクトリサーバ>』となります。
設問6 (2)
現行のPCはPC収容サブネットに属しています。
現行のL3SW1と新L3SW1間はVLAN11に属しています。
新L3SW1と新FW1間は別のセグメントであり、新公開WebサーバはDMZ収容サブネットに属しています。
つまりは異なるセグメント間の通信であることがわかります。
異なるセグメント間の通信の場合は送信元、宛先MACアドレスはセグメントが変わるたびに変更となります。
今回問われているのは現行のL3SW1とスタックL3SW間を流れるイーサネットフレームをキャプチャしたときですので、現行のL3SW1からスタックL3SW宛となります。
よって解答としては『送信元:現行のL3SW1、宛先:スタックL3SW』となります。
設問6 (3)
下線部として、『新公開Webサーバ及び新外部DNSサーバには、172.16.254.0/24のIPアドレスブロックから未使用のIPアドレスを割り当てる。』とあります。
そして、表6、表7を確認するとスタックL3SW、現行のL3SWおよび現行のFWに『172.16.254.128/255.255.255.128(/25)』宛の静的経路があります。
このことから、新公開Webサーバと新外部DNSサーバのセグメントは『172.16.254.128/25』であると思いきや、表5のデフォルトゲートウェイには『172.16.254.1』と記載があります。
『172.16.254.128/25』と回答してしまうと、デフォルゲートウェイとは別のセグメントとなってしまいますので違うと判断することができます。
もう一度下線部を見ると『新公開Webサーバ及び新外部DNSサーバには、172.16.254.0/24のIPアドレスブロックから未使用のIPアドレスを割り当てる。』とあります。
つまりはセグメント自体は『172.16.254.0/24』なのですが、未使用のアドレス帯が『172.16.254.128/25』に属していると考えることができます。
よって、解答としては『172.16.254.128~172.16.254.254』となります。
『/25』として考えてしまうと『172.16.254.128』はネットワークアドレスですので除外となりますが、セグメント自体は『/24』ですので含めて解答する必要があります。
『172.16.254.255』については『/24』でも『/25』でもブロードキャストアドレスのため除外となりますので、こちらで悩む方は少なかったかと思います。
設問6 (4)
ステップ1完了時点で、新FWの仮想IPである172.16.254.1と現行のFWの仮想IPの172.16.254.1は競合している状態にあります。
ですが、セグメントが離れており、それぞれが疎通できない状態であるため問題ない状態ではあります。
下線部の『⑨現行のFW1とL2SW1間、及び現行のFW2とL2SW2間を接続しているLANケーブルを抜く。』とあります。
この作業を行わずに次の『⑩ステップ4で、新サーバに不具合が見つかったときの切り戻しに掛かる作業量を減らすために、現行のL2SW1と新L2SW1間を接続する。』を行った場合は、現行のFWと新FWが疎通可能な状態となり、競合が発生し問題となります。
現行のFWとL2SWを接続しているケーブルを抜線した場合、このような構成図となり、当然ながら現行のFWと新FWでIPアドレスが競合することはありません。
よって解答例としては、『現行のFWと新FWの仮想IPアドレスが競合すること(25文字)』と解答することができます。
設問6 (5)
『⑨現行のFW1とL2SW1間、及び現行のFW2とL2SW2間を接続しているLANケーブルを抜く。』および、『⑩ステップ4で、新サーバに不具合が見つかったときの切り戻しに掛かる作業量を減らすために、現行のL2SW1と新L2SW1間を接続する。』後の構成図を確認するとこのようになります。
そして、『新FW1及び新FW2には、インターネットから受信したパケットの宛先IPアドレスを、新公開Webサーバ及び新外部DNSサーバのプライベートIPアドレスに変換する静的NATを設定する。』とあります。
このことから、現行のWebサーバへの切り戻しとしては静的NATの振り分け先を新公開Webサーバから現行のWebサーバへ振り分けるようにしてあげればよいと考えることができます。
なので解答例としては、『静的NATでインターネットから受信したパケットの宛先IPアドレスを新公開Webサーバから現行のWebのIPアドレスに変更すること(64文字)』となります。
また経由する機器は『新ルータ1→新L2SW0→新FW1→新L2SW1→L2SW1』となります。
『新FW1及び新FW2は、アクティブ/スタンバイのクラスタ構成にする。』とあることから新FW1を経由することがわかり、あとは下線部⑨⑩の通りに構成図を書き込むことができれば問題なく解答することができたかと思います。
頭の中でイメージするとケアレスミスなり、何かしらのミスが起こりますので必ず書き込むようにしましょう。
設問6 (6)
下線部としては、『⑪インターネットから新公開Webサーバに接続できることを確認する。』とあります。
一般的にインターネット上のWebサービスにアクセスする際は、まずはURLの一部分であるホスト名をDNSサーバに問い合わせを行います。
そして、DNSサーバが名前解決を行い、対応するIPアドレスの解答を受け取り、そのIPアドレスへWeb(HTTP・HTTPS)アクセスします。
今回の場合ですと、新外部DNSサーバはDNSサーバからDNSの問い合わせを受け、新公開Webサーバは外部のクライアントなどからWebのアクセスを受け付けると考えることができます。
よって、『新外部DNSサーバ宛のDNS通信』、『新公開Webサーバ宛のWeb通信』と解答することができます。
設問6 (7)
『現行のL3SW1及びL3SW2のVLANインタフェースに設定されている全てのIPアドレス、並びに静的経路情報を削除する。』とあります。
このままですと、新ディレクトリサーバと新内部DNSサーバのデフォルトルートゲートウェイが存在しない状態になってしまいますので、こちらをスタックL3SW上に設定すると考えることができます。
よって、『g:172.17.11.1』と解答することができます。
設問6 (8)
DHCPクライアントである新PCとDHCPサーバである新内部DNSサーバのセグメントが異なっています。
このようにDHCPクライアントとDHCPサーバのセグメントが異なっている場合はDHCPリレーエージェントを用いることで、DHCPクライアントに適切なIPアドレスを付与することができます。
そして、そのDHCPリレーエージェントの役割を担うのがスタックL3SWとあります。
DHCPサーバは単純にDHCPDISCOVER(DHCPサーバはいますかという問い合わせ)を受信しただけですと、どのIPアドレスから払い出してほしいのかわかりません。
そこで設問文にあるようにDHCPリレーエージェントがgiaddrに受信したインタフェースのIPアドレスを設定し、DHCPサーバに転送することで、DHCPサーバはDHCPクライアントのIPアドレスのサブネットを知ることができます。
サブネットを知った後は、対応するIPアドレスの範囲から払い出しを行うことで、DHCPクライアントにIPアドレスを付与することができます。
よって解答例としては、『DHCPクライアントの所属するサブネットを確認し、対応するIPアドレスの範囲からIPアドレスの払い出しを行うため(56文字)』となります。
公式解答例との比較
私の解答と公式解答を比較してみました。
満点ではないにせよ、少なくとも7割~8割程度は取れているかと思いますので合格ラインには達していると思います。
予想配点はあくまで予想ですので参考程度でお願いします。
技術的な出題テーマとしてはSTP・RSTP・スタックが出題されており、これらの知識がないと解答することができない問題も出題されていました。
全体的なテーマとしてはシステムの移行でした。
旧システムと新システム、移行期間の構成といろいろな図や表、説明が藤樹するので、問題文を読み解くのも一筋縄ではいかなかったと思います。
知識が問われ、読解力も問われる良問だとは思いますが、その分難易度としてはやや難~難しかったと思います。
配点 |
|||
| 設問1 (1) | a:フォワーダ b:プライオリティ |
a:フォワーダ b:プライオリティ |
各2点 |
| 設問1 (2) | 内部DNSサーバ | 内部DNSサーバ | 3点 |
| 設問2 (1) | 比較対象:MACアドレス サブネット:FW-L3間サブネット、内部サーバ収容サブネット |
比較対象:MACアドレス サブネット:FW-L3間サブネット、内部サーバ収容サブネット |
各2点 |
| 設問2 (2) | c:指定 d:非指定 e:MACアドレス |
c:指定 d:非指定 e:MACアドレス |
各2点 |
| 設問3 (1) | 上位スイッチ | 上位のスイッチ | 3点 |
| 設問3 (2) | ・STPの状態遷移時にある転送遅延がなく状態遷移できるため(27文字) ・障害発生時に状態遷移するポートが事前に決められているため(28文字) |
・ポート故障時の代替ポートを事前に決定しているから ・転送遅延がなく、ポートの状態遷移を行うから |
各5点 |
| 設問4 (1) | 2台のL3SWを1台の機器として扱うことができるから(26文字) | 2台のL3SWを1台のスイッチとして管理できるから | 5点 |
| 設問4 (2) | スタックL3SW~新ディレクトリサーバ or スタックL3SW~新内部DNSサーバ | スタックL3SW~新ディレクトリサーバ 又は スタックL3SW~新内部DNSサーバ | 3点 |
| 設問5 | 技術:スタック、リンクアグリゲーション 理由:ループ構成ではないから(11文字) |
技術:スタック、リンクアグリゲーション 理由:ループがない構成だから |
各2点 3点 |
| 設問6 (1) | 送信元MACアドレスをもつ機器:現行のディレクトリサーバ 宛先MACアドレスをもつ機器:新ディレクトリサーバ |
送信元MACアドレスをもつ機器:現行のディレクトリサーバ 宛先MACアドレスをもつ機器:新ディレクトリサーバ |
各3点 |
| 設問6 (2) | 送信元MACアドレスをもつ機器:現行のL3SW1 宛先MACアドレスをもつ機器:スタックL3SW |
送信元MACアドレスをもつ機器:現行のL3SW1 宛先MACアドレスをもつ機器:スタックL3SW |
各3点 |
| 設問6 (3) | 172.16.254.128~172.16.254.254 | 172.16.254.128~172.16.254.254 | 3点 |
| 設問6 (4) | 現行のFWと新FWの仮想IPアドレスが競合すること(25文字) | 現行のFWと新FWの仮想IPアドレスが重複する。 | 5点 |
| 設問6 (5) | 変更内容:静的NATでインターネットから受信したパケットの宛先IPアドレスを新公開Webサーバから現行のWebのIPアドレスに変更すること(64文字) 経由する機器:新ルータ1→新L2SW0→新FW1→新L2SW1→L2SW1 |
変更内容:静的NATURALの変換後のIPアドレスを、新公開Webサーバから現行の公開WebサーバのIPアドレスに変更する 経由する機器:新ルータ1→新L2SW0→新FW1→新L2SW1→L2SW1 |
10点 4点 |
| 設問6 (6) | ・新外部DNSサーバ宛のDNS通信 ・新公開Webサーバ宛のWeb通信 |
・新公開Webサーバ宛てのWeb通信 ・新外部DNSサーバ宛てのDNS通信 |
各4点 |
| 設問6 (7) | g:172.17.11.1 | g:172.17.11.1 | 3点 |
| 設問6 (8) | DHCPクライアントの所属するサブネットを確認し、対応するIPアドレスの範囲からIPアドレスの払い出しを行うため(56文字) | PCが収容されているサブネットを識別し、対応するDHCPのスコープからIPアドレスを割り当てるため | 8点 |
引用元
問題および解答例に関しては、独立行政法人 情報処理推進機構(IPA)より引用しています。
