こんにちは、こじろうです。
この記事では、N/Wスペシャリスト平成27年午後Ⅱ問2に挑戦していきたいと思います。
別記事のネットワークエンジニアのススメでも紹介しましたが、文系SEからするとシステムエンジニアよりもネットワークエンジニアになった方が良いキャリアを気づかる可能性があります。
僕自身も、プログラマ➡システムエンジニア➡ITコンサルタントとキャリアチェンジしてきましたが、所々、ネットワークエンジニアとして活動し、成果を出すことに成功してきました。
文系SEのみなさまにも是非、ネットワークの知識を蓄えて頂きたく、IPAが主催しているネットワークエンジニアの資格試験について、僕なりの解答方法と、IPAが公表している模範解答を紹介していきたいと思います。
【この記事でわかること】
- N/Wスペシャリストの問題を解く上で持つべき考え方
- 平成27年午後Ⅱ問2における各設問の考え方
- 1 設問を解き始める前の前提
- 2 問題文を読みながら僕が考えていった内容
- 3 下線部(あ)シェアードアドレスとして定義された, 100.64.0.0/10のネットワークプレフィックスのネットワークを設ける
- 4 [空欄a]種類のネットワークアドレスで運用される
- 5 CGNでは[空欄b]ビットで構成されている…
- 6 FTPの[空欄c]モードのように…
- 7 下線部(い)認証エラーが発生する理由を、認証対象に着目して…
- 8 下線部(う)どちらのモードでもポート変換が行えない…
- 9 下線部(え)IPSecを使用する機器の、受信パケットに対するフィルタリング設定を変更する必要がある。
- 10 マルチキャストアドレスは、クラス[空欄d]のIPアドレス…
- 11 下線部(お) 通常、L2SWは、受信したマルチキャストフレームを受信ポート以外全てのポートにフラッディングする…
- 12 当該マルチキャストIPアドレスを基に生成される[空欄e]宛のフレームを自身するように…
- 13 下線部(か)ビデオサーバとルータ2間では、IGMPは使用されない。
- 14 下線部(き)VXLANを導入すればVLANの数の制限を緩和できる
- 15 設問2⑵について…
- 16 設問5⑵について…
- 17 設問4⑶について…
- 18 設問5⑶について…
- 19 設問5⑷について…
- 20 ネットワークの勉強をして良かったなーと思うこと
設問を解き始める前の前提
詳細は以下の記事を読んで頂きたいのですが、過去問に挑戦する前に頭に入れておいて欲しいことが2つあります。参考:【文系SE】ネットワークスペシャリストー解答時のフレームワークー
- 問題文を読みつつ設問を推測する。(設問を読んでから考えていては間に合わない)
- 問題文を読んでいく中で「これ、聞かれるだろうな」と推測する。
それでは、いってみましょう!!😃
問題文を読みながら僕が考えていった内容
下線部(あ)シェアードアドレスとして定義された, 100.64.0.0/10のネットワークプレフィックスのネットワークを設ける
プライベートアドレスを利用した時にインターネットへアクセスできない可能性があって、それはどんな状況かを問われています。
IPアドレスを変更して通信ができなくなる理由のほとんどは、他の機器とIPアドレス(もしくはネットワークアドレス)が重複している場合が多いです。
模範解答は’PCのネットワークアドレスとCPEとCGN装置間のネットワークアドレスが重なったとき’でした。
[空欄a]種類のネットワークアドレスで運用される
図2に記載されている通り、グローバルIPアドレス、プライベートIPアドレス、シェアードアドレスの3つですね。
模範解答は’3’でした。
CGNでは[空欄b]ビットで構成されている…
TCP/UDPポート番号数は、65,536個です。をこれをビット(2進数)で表現するとなると、2の16乗となります。
模範解答は’16’でした。
FTPの[空欄c]モードのように…
FTPにはサーバ側からクライアント側へデータ転送用のポート接続を実施するアクティブモードと、クライアント側から実施する。パッシブモードがあります。
模範解答は’アクティブ’でした。
下線部(い)認証エラーが発生する理由を、認証対象に着目して…
設問3⑴ですが、IPSecプロトコル:AHの場合、暗号化モード問わず認証エラーが発生する理由を問われています。
本問では、IPSecでの認証情報のうち、NATでIPアドレスを変更することが分かっています。
そのため、IPSecパケットを受信した側で対象データが改ざんされていないか認証した際、IPヘッダ部分が送信時から変更されてしまうため、エラーとなります。
※問題文では、ESP利用時には本認証エラーは発生しないと記載されているが、その理由は不明
⇒ESPはIPヘッダが認証対象ではない。
模範解答は’IPヘッダが認証対象なので、IPアドレスが書き換えられると認証データが計算値と一致しなくなるから’でした。
下線部(う)どちらのモードでもポート変換が行えない…
設問3⑵ですが、IPSecプロトコル:ESP利用時、ポート変換が行えない理由を問われています。
これはそもそも、IPSecではプロトコル問わず、ポート番号をカプセル化する領域が用意されていないためです。
この問題を解決するために、NATトラバーサルという技術がありますが、詳細は参考ページを参照ください。
参考:【文系SE】ネットワーク~IPSec~
模範解答は
・TCP又はUDPがヘッダが暗号化の対象であり、ポート番号が暗号化されてわからないから’でした。
・ESPヘッダには、ポート番号が存在しないから。
でした。
下線部(え)IPSecを使用する機器の、受信パケットに対するフィルタリング設定を変更する必要がある。
設問3⑶ですが、具体的なフィルタリング変更内容を問われています。
直前の問題文で’NATが行われると送信元ポート番号が変換されるので…’とありますね。ここから推測できると思いますが、解答にはポート番号に関わってきます。
今回、NATトラバーサル(もしくはVPNパススルー、IPSecパススルー)にて、IPSecで通信するパケット(ISAKMP)にポート番号を追加することになりました。IPSecでは、通信経路のトンネル化(ISAKMP)にてもともと500番を利用しており、NATトラバーサル機能向けに4500番を利用します。つまり、ポート番号500番もしくは4500番のパケットが通過可能なようにフィルタリング設定…紫檀くなるのですが、さらにNATによってポート番号が書き換えられるため、500番、4500番以外のポート番号が通過可能なようにする必要があります。
模範解答は’送信元ポート番号が500と4500以外のISAKMPメッセージも受信できるようにする’でした。
マルチキャストアドレスは、クラス[空欄d]のIPアドレス…
模範解答は’D’でした。
下線部(お) 通常、L2SWは、受信したマルチキャストフレームを受信ポート以外全てのポートにフラッディングする…
設問4⑴ですが、マルチキャストアドレスが学習されない理由を問われています。
参考:マルチキャスト※更新中
参考:フラッディング※更新中
MACアドレスの学習はどのような流れで実施されるかというと、対象のパケット(フレーム)を受信したときに、そのパケット(フレーム)の送信元MACアドレスがMACアドレステーブルに追加されます。
ここで注目してもらいたいのが、追加されるのは常に送信元MACアドレスで、宛先MACアドレスはMACアドレステーブルに追加されない、つまり学習されることはありません。
一方で、本設問の対象となっているマルチキャストアドレスというのは、常に宛先IPアドレスとして利用されるため、マルチキャストアドレスが送信元IPアドレスに設定されることは無く、MACアドレステーブルに登録されることもありません。
模範解答は’マルチキャストMACアドレスが送信元IPアドレスになることは無いから’でした。
当該マルチキャストIPアドレスを基に生成される[空欄e]宛のフレームを自身するように…
※更新中
模範解答は’マルチキャストMACアドレス’でした。
下線部(か)ビデオサーバとルータ2間では、IGMPは使用されない。
設問4⑵ですが、IGMPを利用しない理由を問われています。
IGMPは、マルチキャストフレームの送信先をグループ化し、あて先から一番近い機器(ラストホップスイッチ)にてグループ内の端末を管理するプロトコルで、対象のマルチキャストフレームを受信する側で利用します。
本問の場合、対象のビデオサーバはフレームを送信する側ですね。
模範解答は、’ビデオサーバはマルチキャストパケットを送信する側だから’でした。
下線部(き)VXLANを導入すればVLANの数の制限を緩和できる
設問5⑴ですが、VLAN数を緩和できる理由を問われています。
一つのタグVLANに複数のセグメントに紐づけることができるからですね。
模範解答は
・膨大な数の論理セグメントを構成できるから
・2の24乗のVXLANセグメントが構成できるから
でした。
設問2⑵について…
PCを特定するのにWebサーバがログとして記録する必要がある情報を3つ問われています。
問題文の条件を特に考えず、PCを特定しようとしたら、PCに紐づいている固有の情報が必要と考えられます。
模範解答は
・送信元IPアドレス
・送信元ポート番号
・アクセス時刻
でした。
設問5⑵について…
ユニキャストでなくマルチキャストで通信が行われる理由を問われています。
そもそもそれぞれの通信が通常使われる用途は…
模範解答は
理由:宛先となるVMの存在場所が不明だから
宛先IPアドレス:224.1.1.2
送信元IPアドレス:10.0.0.254
でした。
設問4⑶について…
※更新中
模範解答は
ア:01-00-5e-01-01-01
イ:
①を受信した時ーp1
➁を受信した時ーp1,p3
③を受信した時ーp3
でした。
設問5⑶について…
VTEP2が、自分の配下にVM3がいることをVTEP1へ伝える…つまり、ルーティングテーブルを共有している、ということでしょうか。
模範解答は、’マルチキャストグループの224.1.1.2のIGMP joinメッセージを、L3SW2に送信する。’でした。
設問5⑷について…
VM3との通信経路にいる物理サーバ、L2SWに当該マルチパケットが送信され、ネットワーク帯域を逼迫させる可能性がありますね。
模範解答は、
問題:不要なマルチキャストパケットがネットワーク内の転送されるので、L3SWやネットワークの負荷がかかる
宛先IPアドレス:10.0.0.254
送信元IPアドレス:10.0.0.254
でした。
ネットワークの勉強をして良かったなーと思うこと
ITコンサルタントとしての現場において、プロジェクト内でトラブルシューティングやシステムインフラ設計において最も頼られる存在になり、安定した案件・プロジェクトアサインが実現できるようになりました。
参考:コンサルファームでアベイラブルになったら
文系SEであっても、こういった知識があると一目置かれた存在になれますし、キャリアアップの一助になります。
実際、僕はプログラマ➡SE(ネットワークエンジニア)➡ITコンサルタントとキャリアップしてきましたが、ITコンサルタントとして活動している今も本記事の様な技術的な部分を大事にしているため、’他のコンサルタントとは差別化された人材になれているな’と感じています。
本記事は技術的な内容でしたが、キャリアに関する情報をお探しの方はこちらも是非、ご覧ください。
参考:【文系 SE】ネットワークエンジニアのすすめ
それでは、Tchau◎
こじろう