こんにちは、こじろうです。
この記事では、N/Wスペシャリスト平成22年午後Ⅱ問2に挑戦していきたいと思います。
別記事のネットワークエンジニアのススメでも紹介しましたが、文系SEからするとシステムエンジニアよりもネットワークエンジニアになった方が良いキャリアを気づかる可能性があります。
僕自身も、プログラマ➡システムエンジニア➡ITコンサルタントとキャリアチェンジしてきましたが、所々、ネットワークエンジニアとして活動し、成果を出すことに成功してきました。
文系SEのみなさまにも是非、ネットワークの知識を蓄えて頂きたく、IPAが主催しているネットワークエンジニアの資格試験について、僕なりの解答方法と、IPAが公表している模範解答を紹介していきたいと思います。
【この記事でわかること】
- N/Wスペシャリストの問題を解く上で持つべき考え方
- 平成22年午後Ⅱ問2における各設問の考え方
- 1 設問を解き始める前の前提
- 2 問題文を読みながら僕が考えていった内容
- 3 [空欄ア]方式と呼ばれる方式は、仮想サーバの動作の安定性、…
- 4 [空欄イ]と[空欄ウ]の面でより注意が必要。
- 5 下線部(ⅰ)仮想SWにとって物理NICは外部スイッチに接続するためのケーブルとみなせる。
- 6 下線部(ⅱ)NICを論理的に束ねて一つに見せるエ技術を活用する必要がある…
- 7 スイッチ[空欄オ]状態を監視することで…
- 8 下線部(ⅲ)構成パターンⅠで物理NICと外部スイッチと接続した場合、冗長化ができていない部分があるので、外部スイッチへの対策が必要である。…
- 9 下線部(ⅳ)適切な場所にループを回避するための設定が必要となる。…
- 10 下線部(Ⅴ)管理システムの可用性に配慮した設計を行い…
- 11 設問2⑴について…
- 12 設問2⑷について…
- 13 設問2⑸について…
- 14 設問3⑴D社開発拠点と展示会場間のインターネットVPNの構築に、トンネルモードとアグレッシブモードを使用することにした理由…
- 15 設問3⑵について…
- 16 設問3⑶D社開発拠点のVPNルータの配下に接続する展示会場用のVPNルータには、どのような設定が必要か?
- 17 設問3⑷VPNルータには必要なかった、モバイルルータへの設定…
- 18 設問4⑴
- 19 設問4⑵について…
- 20 ネットワークの勉強をして良かったなーと思うこと
設問を解き始める前の前提
詳細は以下の記事を読んで頂きたいのですが、過去問に挑戦する前に頭に入れておいて欲しいことが2つあります。参考:【文系SE】ネットワークスペシャリストー解答時のフレームワークー
- 問題文を読みつつ設問を推測する。(設問を読んでから考えていては間に合わない)
- 問題文を読んでいく中で「これ、聞かれるだろうな」と推測する。
それでは、いってみましょう!!😃
問題文を読みながら僕が考えていった内容
[空欄ア]方式と呼ばれる方式は、仮想サーバの動作の安定性、…
設問1ですが、仮想サーバの構築方式に関する知識問題であり、この言葉を知らないと解けない問題です。対になるのは’ホスト型’ですが、ハイパーバイザのメリットは、’ホストOSを必要としないためハードウェアを直接制御することができ、仮想マシンの速度低下を最小限に抑えることができる’です。
模範解答は’ハイパーバイザ’でした。
[空欄イ]と[空欄ウ]の面でより注意が必要。
設問1ですが、RASISの観点から行くと、一つのNIC機器を複数のサーバで共用するため、Reliability(信頼性、壊れにくいかどうか)とAvailability(可用性、できるだけ長い時間稼働してくれるか?)に懸念が発生します。
模範解答は’「信頼性」、「通信帯域の確保」’でした。
下線部(ⅰ)仮想SWにとって物理NICは外部スイッチに接続するためのケーブルとみなせる。
※更新中
設問1⑵ですが、物理スイッチから外部スイッチに送信元されるパケットの送信元MACアドレスを問われています。
仮想化を利用する際のパケットの流れを理解していないと解答は難しい一方で、問題文・図を注意深く読んでいけば解答も可能です。
解答の選択肢は’物理NIC’または’仮想NIC’なわけですが、仮に回答が物理NICだった場合、外部スイッチからの戻りのパケットは、どの仮想マシンにパケットを届ければ良いか判別できません。
模範解答は’仮想NIC’でした。
下線部(ⅱ)NICを論理的に束ねて一つに見せるエ技術を活用する必要がある…
なんのためらいもなくリンクアグリゲーションと書いてしまいましたが、模範解答はチーミングでした。
リンクアグリゲーションはチーミングの一種であり、どの種類が設定されるべきかℍ問題文からは読み取れないため、チーミングがベターなのでしょう。
模範解答は’チーミング’でした。
スイッチ[空欄オ]状態を監視することで…
※更新中
設問1ですが、スイッチのステータス管理には、スイッチ正面に大抵セットされているリンクを利用します。
リンクが点灯していれば正常だし、点滅してれば以上、無灯の場合は認識されていないことを示します。
それもあって、模範解答は’リンク’でした。
下線部(ⅲ)構成パターンⅠで物理NICと外部スイッチと接続した場合、冗長化ができていない部分があるので、外部スイッチへの対策が必要である。…
※更新中
設問2⑵ですが、冗長化できていないなら、該当ネットワークは全てダウンさせることがシステム全体の可用性を考えると重要、ということを理解できているかを問われています。
こういったトラブルシューティング系の設問は、問題文や図に登場する各機器一つ一つが故障した場合のパケットの流れを実直に確認していく必要があります。
まず、①の物理NIC~L2SW1間の配線(ノード)が切れた場合、この時は、ノードにトラブルを生じていることを仮想NICは認識できるため、迂回路の➁④のノードを利用してパケットを送付することができます。(➁の物理NIC~L2SW2間のノードが故障した時も同様)
一方、L3SW1(L3SW2)が故障した時はどうでしょうか?
仮想NICとしては、物理的に配線が繋がっているL2SW1、L2SW2の故障は検知できますが、物理的に連携の無いL2SW3(L2SW4)の故障は検知ができません。そのため、例えばL2SW3が故障していても、構わずL2SW1にパケットを送付してしまい、その先のL2SW3が故障しているためパケット送付が停止、最終目的地までパケットを届けることができません。
‘故障時に通信を素通しする機能’と回答したのですが、模範解答としては
冗長化で来ていないノード:③④
対処法:上位リンクがダウンしたとき、下位のリンクも自動的にダウンさせる機能
でした。
下線部(ⅳ)適切な場所にループを回避するための設定が必要となる。…
設問2⑶ですが、要はスパニングツリープロトコルの問題となります。
図3のパターンⅡにおいて、スパニングツリーの設定が必要なノード、そうでないノードを識別することが求められています。
まず、L2SW1(L2SW2)~L3SW1 & L3SW2間でループが存在するため、③~⑦ではスパニングツリーの設定は必須でしょう。
では、①、➁はどうでしょうか?図を見るだけだと、ここもループができているように見えますが、問題文P.14の後半に、’アップリンクポート間ではパケットを転送することはできない’とあります。
青字の円でループができそうに見えますが、赤字部分、つまりアップリンク同士でのパケット転送はなされないため、①、➁に関しては特にループは発生しないため、特別設定を施す必要はありません。
模範解答は’①、➁’でした。
下線部(Ⅴ)管理システムの可用性に配慮した設計を行い…
※更新中
可用性=冗長化であることを考慮して回答する必要があります。
模範解答は
・管理ポートから管理サーバへのネットワークの冗長化
・他のトラフィックの影響を受けない優先転送や通信帯域の確保
・管理サーバの冗長化
でした。
設問2⑴について…
動作させる仮想サーバが1台の場合、何も工夫しなければ、届くフレームは一つのNICを経由し、負荷が集中しますね。
問題文では、その工夫の方法としてⅠ~Ⅳの選択肢を提示していて、この中で負荷分散を実現できるものはどれか?というのを問われています。
一つ一つ見ていきます。
まずポートIDベース。
これは、フレームを送出する際に、経由する仮想SWのポート(仮想NICと紐づく)によって、経由する物理NICを選択するやり方です。このやり方は、仮想NICと物理NICが1:1(毎回同じ物理NICを経由してしまう)なため、負荷分散の効果はありません。
続いてMACアドレスベース。
これは、フレームを送出する際の送信元MACアドレスによって、経由する物理NICを選択するやり方です。このやり方も、MACアドレス(仮想NICと1:1に紐づいている)毎に経由する物理NICを選択肢、毎回同じ物理NICを経由してしまうため、負荷分散の効果はありません。
そしてIPベース。
これは、フレームを送出する際に、宛先のIPアドレスによって経由する物理NICを選択するやり方です。このやり方は、仮想NICと物理NICが1:1ならず、フレームの宛先が変わると経由する物理NICも変わるため、負荷分散の効果があります。
最後に明示的選択方式。
これは、フレームを送出する際に、経由する仮想SWのポートと、経由する物理NICをコンフィグ等で予め選択するやり方です。このやり方は、ポートIDベース、並びにMACアドレスベース同様、仮想NICと物理NICが1:1(毎回同じ物理NICを経由してしまう)なため、負荷分散の効果はありません。
模範解答は
方式名:IPベース方式
理由:通信する相手のIPアドレスによって通過する通過する物理NICが動的に変化するから
でした。
設問2⑷について…
※更新中
IPベース方式を選択した際、図2のパターンⅠ、Ⅱを採用できない理由を問われています。
ここで気を付けたいのは、仮想NICから送出されるフレームは、負荷分散により、L2SW1、L2SW2どちらを経由するか、その時その時で異なり、L3SW上ではMACアドレスの学習が何度も何度も行われてしまう点です。
L3SWでは、L2SW1もしくはL2SW2からフレームを受信しますが、受信するポートがgとhで2か所あります。仮想NICは複数あり、且つ負荷分散でどの仮想NICのフレームがL2SW1、L2SW2どちらから来るかはその時その時で変わるため、頻繁にL3SW上のMACアドレステーブル(ポートIDと、そのポートに流入してくるフレームの送信元MACアドレスの紐づけ表)が書き換えられます。
アクセスするクライアントの数(つまり扱うMACアドレスの数)が少なければ問題ないのですが、例えば一つの仮想サーバに100のクライアントが同時に接続したとき、MACアドレステーブルの再学習が1秒間に何度も発生します。スイッチでは処理しきれず、結果的に正常な通信が行えないということが起きえます。
模範解答は’同一のMACアドレスを持つパケットが2つのスイッチに送られるので、MACアドレスの学習が適切に行われないから’でした。
設問2⑸について…
設問2⑷の続きの問題で、実はパターンⅠ、Ⅱだけでなく、Ⅲの場合も、設問2⑷の事象は発生してしまいます。
但し、有る方法を用いるとそれを回避でき、それが何か問われています。
問題は、L3SWにおいて、仮想SVRの送信元MACアドレスに紐づくL3SW上のポートがgとh、もしくはiとjで頻繁に切り替わる点にあります。
つまり、この切替が起こらないように、複数のL2SWポートから送出されたMACアドレスは、アドレスの中身が同じなら特にMACアドレステーブルの更新等をせず、適切に処理できるようにする。
模範解答は’L2SW1とL2SW2の物理NIC接続ポートにリンクアグリゲーションを設定する’でした。
正直、論理的にこの問題を解くのは至難の業で、“スパニングツリープロトコルと一緒に設定する項目≒リンクアグリゲーションだろ”といった、現場での感覚をベースに解答した方の方が多かったのではないかと推測します。
設問3⑴D社開発拠点と展示会場間のインターネットVPNの構築に、トンネルモードとアグレッシブモードを使用することにした理由…
※更新中
IPSecにおけるトンネルモードとトランスポートモードの違いを理解していないと解答は難しいでしょう。
参考:【文系SE】ネットワーク~IPSec~
D社開発拠点と展示会会場のインターネットVPNにの構築にIP-SecVPN方式のトンネルモードとアグレッシブモードを採用した理由を問われていますが、まずトンネルモードを選んだ理由から行きましょう。
上記の参考記事を見ながら考えて頂きたいのですが、本問の図4の通り、ネットワーク構成はサーバやIP-PBXなど様々端末が絡んでくるため、トランスポートモードで一台一台直接接続するのは非現実的です。このことから、スイッチ/ルーターを経由する前提のトンネルモードを利用することになったと考えられます。
次にアグレッシブモードを選んだ理由です。
問題文に、アグレッシブモードには’動的なグローバルIPアドレスでの接続を提供する’とあります。
模範解答は
・トンネルモードを選んだ理由:LAN間接続をする必要があるから
・アグレッシブモードを選んだ理由:展示会場側では固定IPアドレスが使えないから
でした。
設問3⑵について…
※更新中
展示会場のルータの、どのポートに、どんな設定を施すべきかが問われています。
まずポートに着目すると、ポートと言っても図4のルーターを見る限り2つしかありません。この設問はVPNルーターとの絡みがあるため、対象のポートはVPNルータを接続している方のポートになります。
さて、それではこの赤丸のポートに何を設定するべきかですが、ネットワーク設定の大前提に立ち返ると、以下2つを考える必要があります。
- アドレッシング(自端末にIPアドレスとMACアドレスが確かに割り当てられるか?)
- ルーティング(宛先にパケットを送付する際に、どのルートを経由するか?)
このうち、問題文に「動的なグローバルIPアドレス」とあるため、自端末へのIPアドレスは、おそらくDHCPサーバから付与されることが予想されます。通常、端末やPCは、固定のIPアドレスが設定されることを想定した設定がなされているため、DHCPによるアドレス配布に対応できるよう設定を変更する必要があります。
模範解答は’ルータのLANポートに接続し、DHCPに割り当てられたグローバルIPアドレスを取得する。’でした。
設問3⑶D社開発拠点のVPNルータの配下に接続する展示会場用のVPNルータには、どのような設定が必要か?
事前確認のための接続で、D社開発拠点のVPNルータの配下に接続する展示会場用のVPNルータには、どのような設定が必要か?を問われています。
ここもネットワーク設定の大前提に立ち返ると、以下2つを考えてみましょう。
- アドレッシング(自端末にIPアドレスとMACアドレスが確かに割り当てられるか?)
- ルーティング(宛先にパケットを送付する際に、どのルートを経由するか?)
アドレッシングについて、VPNルータのIPアドレスは設問3⑵でも触れましたがDHCPによりIPアドレスが付与されるはずですが、図4の事前確認用接続(直結)向けには特に何も説明が問題文にないため、これは追加で設定しなければならないはずです。
また、設定する際は、この事前確認接続用のルートは、D社開発環境と直結でインターネットを介していないため、プライベートIPアドレスを設定するべき、ということも重要です。
次にルーティングですが、アクセスできる/できない端末、ネットワークの設定はもちろんですが、デフォルトゲートウェイの設定も漏れなく実施しなければなりません。
この設問においては、アクセスできる/できない端末の要件・制約は特にないため、デフォルトゲートウェイについて設定を変更する必要があります。
模範解答は、プライベートアドレスを使用し、デフォルトゲートウェイ設定をD社開発拠点のVPNルータのIPアドレスに設定する。’でした。
設問3⑷VPNルータには必要なかった、モバイルルータへの設定…
※更新中
元々はモバイルルータを利用してインターネットと各拠点を繋ぐ(図1)予定を、ルータに変更する(図4)…というストーリーなわけですが、この時モバイルルーター側だけに必要な設定があるがそれはそれ何か?という問いになります。
モバイルルーターを使う場合と、ルーターを利用する場合で何が違うかというと、問題文にも記載がありますが、’NAT(NAPT)を使うかどうか(モバイルルータ側)’になります。
NAT(NAPT)を使って一つのグローバルIPアドレスと複数のプライベートアドレスを紐づけて変換する際には、IPアドレスだけではなく、各端末が利用するポート番号も一緒に管理します。しかし、IPSecで取り扱うパケットには、ポート番号を格納する箇所がありません。そこで、NATトラバーサルを設定してIPSecで扱われるパケットにポート番号を設定できるようにしたり、VPN(IPSec)パススルー機能を有効化して、そもそもIPSecパケットが通過するときはポート番号を無視してNAPT機能を実行するようにするといった作業が必要となります。
参考:NAT(NAPT)※更新中
一方、上記のVPN(IPSec)パススルーについては通常VPN機器にはデフォルトで設定がなされております。
つまり、VPNルーターをモバイルルーターに切り替えると、上記3つの機能が失われる、そのため、いずれかの設定をモバイルルーターに施す必要があるのです。
模範解答は下記3つのいずれか
VPNパススルー
IPSecパススルー
NATトラバーサル
でした。
設問4⑴
※更新中
物理サーバが故障した時に速やかに切り替えられる設定を問われています。
RASISにおける信頼性に関する設問です。
一般に、中規模以上のシステムでは、データを格納するハードディスク部分(ストレージ)はサーバとは別の筐体に格納し、サーバが複数ある場合は、それぞれの筐体・端末がストレージにアクセス(ストレージを共有)することで、片方の物理サーバが故障しても、同じくストレージを常に参照できているもう片方のサーバ主系として機能を維持する、もしくは片方のサーバの負荷が上がってきたら、同様に別のサーバを主系にして機能を維持するといった切り替えが可能になります。
模範解答は’共有ディスクとし、仮想サーバのプログラムとデータを格納していく’でした。
設問4⑵について…
※更新中
ストレージにiSCSIを利用することでネットワーク環境から考えられる利点を問われています。
伝送方式、言い換えると、いわゆるEthernetのLANネットワークと、ストレージネットワークであるSANが混在している本問において、iSCSIを利用するメリットは何か?を問われています。
通常、SANとLANは、伝送方式が異なるので、利用するケーブルや規格も違い(SANはSCSI、LANはEthernet)、同じネットワークで管理・情報のやり取りはできません。しかし、iSCSIを使ってSANをEthernet上でも扱えるようにすることができます。
模範解答は’既設のネットワーク環境を使って共有ストレージ環境が構築できる’でした。
ネットワークの勉強をして良かったなーと思うこと
ITコンサルタントとしての現場において、プロジェクト内でトラブルシューティングやシステムインフラ設計において最も頼られる存在になり、安定した案件・プロジェクトアサインが実現できるようになりました。
参考:コンサルファームでアベイラブルになったら
文系SEであっても、こういった知識があると一目置かれた存在になれますし、キャリアアップの一助になります。
実際、僕はプログラマ➡SE(ネットワークエンジニア)➡ITコンサルタントとキャリアップしてきましたが、ITコンサルタントとして活動している今も本記事の様な技術的な部分を大事にしているため、’他のコンサルタントとは差別化された人材になれているな’と感じています。
本記事は技術的な内容でしたが、キャリアに関する情報をお探しの方はこちらも是非、ご覧ください。
参考:【文系 SE】ネットワークエンジニアのすすめ
それでは、Tchau◎
こじろう