こんにちは、こじろうです。
この記事では、N/Wスペシャリスト平成28年午後Ⅱ問1に挑戦していきたいと思います。
別記事のネットワークエンジニアのススメでも紹介しましたが、文系SEからするとシステムエンジニアよりもネットワークエンジニアになった方が良いキャリアを気づかる可能性があります。
僕自身も、プログラマ➡システムエンジニア➡ITコンサルタントとキャリアチェンジしてきましたが、所々、ネットワークエンジニアとして活動し、成果を出すことに成功してきました。
文系SEのみなさまにも是非、ネットワークの知識を蓄えて頂きたく、IPAが主催しているネットワークエンジニアの資格試験について、僕なりの解答方法と、IPAが公表している模範解答を紹介していきたいと思います。
【この記事でわかること】
- N/Wスペシャリストの問題を解く上で持つべき考え方
- 平成28年午後Ⅱ問1における各設問の考え方
- 1 設問を解き始める前の前提
- 2 問題文を読みながら僕が考えていった内容
- 3 それぞれ表1のIPアドレス空間[空欄ア]と[空欄イ]に属し…
- 4 FWのNAT機能が送信元IPアドレスと[空欄ウ]の両方をそれぞれ動的に変換する…
- 5 下線部(a)変換後のIPアドレス用に二つのグローバルIPアドレスが割り当てられている
- 6 下線部(b)スケールアウトの際にはDNS機能に関する設定変更など、FWに複数の設定変更が必要となる…
- 7 下線部(c)現行のWebサーバ用のグローバルIPアドレスに新たなグローバルIPアドレスを加え、DNSクエリに対してそれらが交互に変えるようにする。
- 8 下線部(d)LBは行きと返りで同じISPを経由する…
- 9 下線部(e)STUNクライアントはBindingレスポンス中のデータから自分とSTUNサーバ間のNAT機能の有無を知り…
- 10 下線部(f)図4のAP間通信は、このようにして確立した最適ルートを使っている。
- 11 下線部(g)片方のISPが障害の場合にも利用できるように、STUNサーバのインターフェース(図3中のA、B)を、図3中の適切なスイッチに接続することにした…
- 12 [空欄エ]と[空欄オ]をアクセスするときのLBの振り分け結果によって決まる…
- 13 APは通信プロトコル[空欄カ]を使ってIP-PBXへアクセスし、~通信プロトコルを[空欄キ]に切り替え…
- 14 下線部hインターネット側の2つのUA(User Argent)には、それぞれグローバルIPアドレスを割り当てる。
- 15 下線部I IP-PBXのLANインターフェースを追加し、
- 16 図6の通信の前にクのFQDNに関する 空欄ケ クエリが、APから 空欄コ へ発行される…
- 17 切り替え作業発生時の動作確認及び問題発生時の サ に要する。
- 18 下線部jWebサーバ1とWebサーバ2に関する4つのレコード…
- 19 下線部(k)APが名前解決しなければならないFQDNに関するAレコード(AP内の定義には、IPアドレスではなくFQDNを用いることにする)
- 20 下線部(l)機器の変更はあらかじめ2通りの定義ファイルを持たせておき、定義ファイルを指定した再起動によって行う
- 21 下線部(m)3種類の通信を発生させて動作の正常性を確認する。
- 22 下線部(n)ドメイン登録業者へ依頼する定義変更に関しては、情報システム部が正常性を確認する。
- 23 下線部(o)FWのフィルタリングの変更は新たなネットワーク構成の通信に関して変更する。
- 24 ネットワークの勉強をして良かったなーと思うこと
設問を解き始める前の前提
詳細は以下の記事を読んで頂きたいのですが、過去問に挑戦する前に頭に入れておいて欲しいことが2つあります。参考:【文系SE】ネットワークスペシャリストー解答時のフレームワークー
- 問題文を読みつつ設問を推測する。(設問を読んでから考えていては間に合わない)
- 問題文を読んでいく中で「これ、聞かれるだろうな」と推測する。
それでは、いってみましょう!!😃
問題文を読みながら僕が考えていった内容
それぞれ表1のIPアドレス空間[空欄ア]と[空欄イ]に属し…
設問1⑴ですが、変換前と変換後の宛先IPアドレスは、それぞれを表1中のIPアドレス空間のどこに当てはまるかを問われています。
ルーティングにおける、NATに関する問題ですね。
‘そもそもIPアドレスの変換などせず、それぞれにグローバルIPアドレスを割り当てれば済む話ではないのか?’という考えもありますが、グローバルIPアドレスの利用は料金もかかるので、サーバへのIPアドレスはプライベートIPアドレスで済ますことが多いということが想起できないと解答は難しい問題でしょう。
(当日はvlan1、vlan9と、”アドレス空間”を答えなければならいのにvlanを回答してしまいました…)
模範解答は、
ア:ip1/29
イ:10.0.9.0/24
でした。
FWのNAT機能が送信元IPアドレスと[空欄ウ]の両方をそれぞれ動的に変換する…
設問1⑴ですが、引き続きNAT(NAPT)に関する問題になります。
NATはIPアドレスを変換するが、NAPTはポートもセットで変換することが想起できなければ解答は難しい設問でした。
参考:NAT※更新中
模範解答は’ウ:送信元ポート番号’でした。
下線部(a)変換後のIPアドレス用に二つのグローバルIPアドレスが割り当てられている
設問1⑵ですが、NAPTが同時に処理できるTCPコネクションの上限数を問われています。
TCPヘッダ内の送信元ポート数は、用意されるグローバルが2つ(「IP-PBX」と「FW」の2点向けに用意)である点を踏まえると、2の16乗(65,536)が2つ分用意され、それと同じ数分、TCPコネクションを生成できますので…
131,072(=65,536×2)
と、なりますね。
(当初は、まず、2つのIPアドレスがどれとどれのことなのか明らかにしないとだめか…と思っておりましたが、どれであろうと回答に影響はありませんでした、涙。。)
模範解答は131,072でした。
下線部(b)スケールアウトの際にはDNS機能に関する設定変更など、FWに複数の設定変更が必要となる…
設問1⑶ですが、DNS機能以外のFWの設定変更内容を問われています。
ネットワークスペシャリスト試験の前提、アドレッシングとルーティングにフォーカスします。
Webサーバ3を追加することで、アドレッシングとルーティング設定にどのような変更が起きるのでしょうか。
アドレッシングについては、NATを使用していることが問題文を読めば明白ですので、NATに関わる設定が一つあります。
ルーティングについては、DNSラウンドロビンであて先が決められる一方、’FWのフィルタリング定義は、図1が示す情報システムの通信だけを許可している’とありますので、このフィルタリング定義にWebサーバ3も追加する必要があります。
参考:DNS
当初は、①Webサーバ3へのアクセスを許可する、②NAT対象へWebサーバ3を加える、といった、解像度の低い回答をしてしまっておりました。。
模範解答は
- 許可する通信を追加する
- 宛先NATに関する定義を追加する
でした。
下線部(c)現行のWebサーバ用のグローバルIPアドレスに新たなグローバルIPアドレスを加え、DNSクエリに対してそれらが交互に変えるようにする。
※更新中
設問2⑴ですが、図3における現行のグローバルIPアドレスと追加するIPアドレスの違いを問われています。
直前の問題文の記述から、このグローバルIPアドレスの追加は、DNSラウンドロビンによる負荷分散を実現するためのものです。
LBはIPアドレスをキー情報にしてパケットの転送先を振り分けていくわけですが、LBの機能の流れを考えると、IPアドレスの設定に何か特別な制限や要件があるようには見えません。
こういった、何を問われているか分からない、もしくは思考停止の状態になってしまったら、問題文に戻りましょう。
図3をよく見てみると、LBからインターネットへの経路に、’ISP’が複数記載されていますね。
問題文に振り分け時にISPも切り替えないといけない制限・要件は問題文に記載はされていませんが、解答を書くとしたらISPに絡めた回答になるのでしょう。
当初は、利用されるISPが異なる、という、若干ずれた回答をしてしまっておりました。
模範解答は’異なるISPから払い出されている’でした。
下線部(d)LBは行きと返りで同じISPを経由する…
設問2⑵ですが、行きかえりでパケットが同じISPを経由しないときの不整合について問われています。
こうしたルーティング関連の問題では、IPアドレスの解決ができるかできないかが要点にななります。
社外からWebサーバへアクセスしたとき、ISP(仮に1としよう)を経由した時に、送信元IPアドレスがISP1が保持する外部IPアドレスとなります。
では、仮に、帰りのパケットがISP2を経由して戻ってきた場合、どうなるのでしょうか?
帰りのパケットは、当然元々アクセスしてきたISP1が保持するIPアドレスを宛先に設定しようとしますが、ISP2にそのIPアドレスは存在しません。
これらを踏まえ、’パケットの宛先IPアドレスを設定できない’またはIPアドレスが変わるため、FWのステートフルイインスペクションで通信が遮断される(問題文中にステートフルインスペクションのことは全く触れられていないので、これはアウト…)’が、僕の解答でした。
模範解答は’応答が行きの宛先IPアドレスと異なる送信元IPアドレスから戻る’でした。
下線部(e)STUNクライアントはBindingレスポンス中のデータから自分とSTUNサーバ間のNAT機能の有無を知り…
設問3⑴だが、STUNクライアントはどのようにしてNAT機能の有無を判定するか問われています。
- NATを使う。
- 元々設定していた宛先が変わる。
- 返ってくるパケットの送信元IPアドレスは通常は自分が送ったパケットの宛先IPと合致する。
- だがNATが挟まると送信元IP上記➁で変換されるため、返ってくるパケットの送信元IPアドレスが、元々のIPアドレス(元々の宛先IPアドレス)と合致しない。
これを利用して判断しているはず。
当初、Bindingレスポンス内の送信元IPアドレスが」グローバルIPアドレスに変換済かどうかで判断する、と回答しておりましたが…
模範解答は’応答が行きの宛先IPアドレスと異なる送信元IPアドレスから戻る’でした。
下線部(f)図4のAP間通信は、このようにして確立した最適ルートを使っている。
設問3⑵ですが、ブラウザ2がSDPに格納する二つのIPアドレスは何か?を問われています。
SDPは、要はNAT変換後の送信元、宛先それぞれのIPアドレスを収集して、お互いに疎通できるか確認してくれている機能になります。つまり、宛先IPアドレスと、送信元IPアドレスが変換される時に設定されるIPアドレスが何か?これが解答になります。
当初、ip1、ip2と、ズレた回答をしてしまいましたが…
模範解答は’pとg2’になります。
下線部(g)片方のISPが障害の場合にも利用できるように、STUNサーバのインターフェース(図3中のA、B)を、図3中の適切なスイッチに接続することにした…
※更新中
設問3⑶だが、STUNサーバのインターフェースの接続先を問われています。また、STUNの役割はインターネットとイントラネット間のブラウザを繋ぐことです。
双方のパケットのやり取りを、STUNはどのネットワークに所属すればできるのか?つまり、インターネットとイントラネット間の通信に関係のないvlanは解答からおのずと除外されますね。
そうなると、双方のFWが属するvlan8に接続しなければならないと思われます。
が…
模範解答は、’
A:vlan1
B:vlan2
‘でした。
[空欄エ]と[空欄オ]をアクセスするときのLBの振り分け結果によって決まる…
※更新中
設問3⑷ですが、ちょっと全然思いつきませんでした…
模範解答は’
エ:ブラウザ2のAP
オ:STUNサーバ
‘でした。
APは通信プロトコル[空欄カ]を使ってIP-PBXへアクセスし、~通信プロトコルを[空欄キ]に切り替え…
※更新中
設問4⑴ですが、IP電話に関する知識が無いとこの問題の解答は厳しいでしょう。
カ:SIP、キ:RTPだろうと反射的に思ったのですが、問題文を読むと空欄カ、空欄キの後にSIPという文字が既に登場しています。ということは、求められているのはSIPプロトコルによるシグナリングが始まる前、どのようなプロトコルでやり取りがなされるのか?を問われています。
模範解答
カ:HTTP
キ:WebSocket
でした。
下線部hインターネット側の2つのUA(User Argent)には、それぞれグローバルIPアドレスを割り当てる。
※更新中
設問4⑵だが、マルチホーミングのためにIPアドレスをどう割り当てるかを問われています。
マルチホーミングのためには2つのISPそれぞれを活用しながら通信を実現する必要があります。
そのため、当初は、SIPシグナリングごとに異なるIPアドレスを付与する、と回答しておりましたが…
模範解答は、
ISP1とISP2から払い出されたIPアドレスを一つづ割り当てる
でした。
下線部I IP-PBXのLANインターフェースを追加し、
※更新中
設問4⑶だが、IP-PBXのLANインターフェースの接続先を問われています。
模範解答は
vlan7、vlan8(それぞれ、IP-PBX接続用、IP電話用)
でした。
図6の通信の前にクのFQDNに関する 空欄ケ クエリが、APから 空欄コ へ発行される…
※更新中
設問4⑷だが、
模範解答は、
ク:IP-PBX、ケ:DNS、コ:LB
でした。
切り替え作業発生時の動作確認及び問題発生時の サ に要する。
※更新中
設問5⑴だが、システムインフラ作業における手順・流れ、何か起きたらまず切り戻すことがセオリーです。
模範解答は、
サ:切り戻し
でした。
下線部jWebサーバ1とWebサーバ2に関する4つのレコード…
※更新中
設問5⑵だが、4つのAレコードに記載されているFQDNとグローバルIPアドレスを問われています。
当初は”2つじゃないの?!”と思っていたのですが、数年後にもう一度解いたとき、模範解答通りに回答できました。嬉しい!
模範解答は、
FQDN:1つ 、グローバルIPアドレス:4つ
でした。
下線部(k)APが名前解決しなければならないFQDNに関するAレコード(AP内の定義には、IPアドレスではなくFQDNを用いることにする)
※更新中
設問5⑶だが、Aレコード記載のFQDNに対する機器名を問われています。
当初は、”IP-PBX以外思いつかない…”と思っていたのですが、数年後にもう一度解いたとき、模範解答通りに回答できました。嬉しい!
模範解答は、
Webサーバ1、Webサーバ2、IP-PBX、STUNサーバ2
でした。
下線部(l)機器の変更はあらかじめ2通りの定義ファイルを持たせておき、定義ファイルを指定した再起動によって行う
※更新中
設問5⑷だが、上記の2つの定義ファイルが何か問われています。
当初は、”中間ネットワークと最終系の間で、変更があるところがターゲットだが、、STUN以外なくね??…”と思っていたのですが、数年後にもう一度解いたとき、模範解答通りに回答できました。嬉しい!
模範解答は、
FW
でした。
下線部(m)3種類の通信を発生させて動作の正常性を確認する。
※更新中
設問5⑸だが、こういうおおざっぱな問題がきたら、大元の目的、実際に自分でこの環境を構築するとなったら、どんな作業(確認)が必要か、に立ち返ります。
当初は、”Webサイトの閲覧、通話、動画閲覧”…と回答しており、数年後、解いたときは”インターネットからの施工情報管理機能実行、インターネットからのコールセンタ利用、イントラネットからのインターネットアクセス”…(コールセンタは、まだ設置されていないので間違いですね…)と、少し解像度の上がった回答ができました。
模範解答は、
・社外からWebサーバへのアクセス
・社内からWebサーバへのアクセス
・社内からインターネットへのアクセス
でした。
下線部(n)ドメイン登録業者へ依頼する定義変更に関しては、情報システム部が正常性を確認する。
※更新中
設問5⑹だが、情報システム部の確認内容を問われています。
当初は”わざわざ情報システム部が出てくる意味…社内のセキュリティルールを順守できているかが重要か?”とか、明後日の方向・考えに走っておりました。。
数年後解いたときには、”Aレコードに記載されるIPアドレスがip1とip2であること”という、いまだにズレた回答をしておりました。。
模範解答は、
ISP2を経由した外向きDNS機能を確認する
でした。
下線部(o)FWのフィルタリングの変更は新たなネットワーク構成の通信に関して変更する。
※更新中
設問5⑺だが、フィルタリングにおいて、切替2で許可する通信を問われています。
回答形式をよく読まず、当初は以下の形式で回答してしまいました。
・各STUNサーバへのHTTP通信
・SIPプロトコル通信
・RTPプロトコル通信
模範解答は、
①’、③、④
でした。
ネットワークの勉強をして良かったなーと思うこと
ITコンサルタントとしての現場において、プロジェクト内でトラブルシューティングやシステムインフラ設計において最も頼られる存在になり、安定した案件・プロジェクトアサインが実現できるようになりました。
参考:コンサルファームでアベイラブルになったら
文系SEであっても、こういった知識があると一目置かれた存在になれますし、キャリアアップの一助になります。
実際、僕はプログラマ➡SE(ネットワークエンジニア)➡ITコンサルタントとキャリアップしてきましたが、ITコンサルタントとして活動している今も本記事の様な技術的な部分を大事にしているため、’他のコンサルタントとは差別化された人材になれているな’と感じています。
本記事は技術的な内容でしたが、キャリアに関する情報をお探しの方はこちらも是非、ご覧ください。
参考:【文系 SE】ネットワークエンジニアのすすめ
それでは、Tchau◎
こじろう
