こんにちは、こじろうです。
この記事では、N/Wスペシャリスト令和元年午後Ⅰ問3に挑戦していきたいと思います。
別記事のネットワークエンジニアのススメでも紹介しましたが、文系SEからするとシステムエンジニアよりもネットワークエンジニアになった方が良いキャリアを気づかる可能性があります。
僕自身も、プログラマ➡システムエンジニア➡ITコンサルタントとキャリアチェンジしてきましたが、所々、ネットワークエンジニアとして活動し、成果を出すことに成功してきました。
文系SEのみなさまにも是非、ネットワークの知識を蓄えて頂きたく、IPAが主催しているネットワークエンジニアの資格試験について、僕なりの解答方法と、IPAが公表している模範解答を紹介していきたいと思います。
【この記事でわかること】
- N/Wスペシャリストの問題を解く上で持つべき考え方
- 令和元年午後Ⅰ問3における各設問の考え方
- 1 設問を解き始める前の前提
- 2 問題文を読みながら僕が考えていった内容
- 3 下線部①PCのIPアドレスは、DHCPサーバによって割り当てられる…
- 4 下線部➁DHCPサーバからIPアドレスを取得したPCだけが通信可能となるように各フロアのL2SWでDHCPスヌーピングを有効にする…
- 5 表1 各ARPパケットのデータ部[空欄a][空欄b][空欄c][空欄d]…
- 6 下線部③タグVLANを使用せずフロア配線も追加しない構成における、通信制限装置の最小台数…
- 7 下線部④通信制限装置を接続するスイッチは既設のL3SWとした…
- 8 下線部⑤対処用セグメントから他のセグメントの機器への通信はL3SW1及びL3SW2のパケットフィルタリングによって必要最小限に制限する…
- 9 設問2⑵:~L3SWと接続するポートにだけ必要な設定…
- 10 設問4⑵:対処用セグメントを追加する際に、L3SW1、L3SW2以外に設定変更がひつような機器を二つ挙げ、それぞれ図1中の機器名で答えよ。また、それぞれの機器の変更内容を字30字以内で述べよ。
- 11 ネットワークの勉強をして良かったなーと思うこと
設問を解き始める前の前提
詳細は以下の記事を読んで頂きたいのですが、過去問に挑戦する前に頭に入れておいて欲しいことが2つあります。参考:【文系SE】ネットワークスペシャリストー解答時のフレームワークー
- 問題文を読みつつ設問を推測する。(設問を読んでから考えていては間に合わない)
- 問題文を読んでいく中で「これ、聞かれるだろうな」と推測する。
それでは、いってみましょう!!😃
問題文を読みながら僕が考えていった内容
下線部①PCのIPアドレスは、DHCPサーバによって割り当てられる…
設問1ですが、スイッチを越えてIPアドレスを割り振る機能の名前と、当該機能が有効になっている機器名を問われています。
DHCPに関する知識を問われているわけですが、
模範解答は
機能名:DHCPリレーエージェント
スイッチ:L3SW1、L3SW2
でした。
下線部➁DHCPサーバからIPアドレスを取得したPCだけが通信可能となるように各フロアのL2SWでDHCPスヌーピングを有効にする…
設問2⑴ですが、案1において上記の内容を実施しないときに生じる問題を問われています。
DHCPスヌーピングが何なのか、知識がないと解答は厳しい設問となりますが、このDHCPスヌーピングとは、各スイッチを経由するパケットの送信元IPアドレスが、DHCPから付与されたIPアドレスかどうかチェックし、もしDHCPから付与されたIPアドレスではない送信元IPアドレスを格納したパケットが来た場合は、そのパケットを破棄する、という機能になります。
つまり、DHCPからIPアドレスの付与を受けていない、どこの誰だか分からない端末のアクセスを拒否して、ネットワークセキュリティを高める機能であります。
さて、ではこのDHCPスヌーピングが機能していないとどうなるかというと、上記の通り、DHCPからIPアドレスを付与されていない、本問でいうところの’異常’PCでもアクセスが可能となってしまう点にあります。
ちなみに、この異常PCによる、あたかもDHCPサーバからIPアドレスを付与されていることを成りすます行為を、DHCPスプーフィング(スヌーピングではなくスプーフィングです)と言います。
模範解答は’IPアドレスを固定設定すれば、正常PC以外でも通信できる’でした。
表1 各ARPパケットのデータ部[空欄a][空欄b][空欄c][空欄d]…
設問2⑶ですが、排除対象装置のMACアドレスを通信制限装置のMACアドレスにすり替える、つまりIPアドレスは排除用PCもしくはアドレス解決用なのに、MACアドレスは通信制限装置…という状況を作りたいわけです。
参考:ARPとは(アドレス解決の概要と通信の仕組み)
模範解答は
a:エ
b:ア
c:エ
d:オ
でした。
下線部③タグVLANを使用せずフロア配線も追加しない構成における、通信制限装置の最小台数…
設問3⑴ですが、必要となる通信制限装置の最小台数を求められています。(※サーバ室での不正PCや未登録PCの利用対策は無視して良い)
記載の条件より、サーバ室内でのスプーフィングは無視できるため、フロア1とフロア2内での通信制限装置の必要台数を考えればOKです。
求められているのは最小台数であり、1フロアに1台あれば事足りるため、2台が回答となります。
模範解答は’2’でした。
下線部④通信制限装置を接続するスイッチは既設のL3SWとした…
設問3⑵ですが、1フロア当たり2つのLANセグメントが存在しているため、通信制限装置の4つのポートは、2つが使用される形となります。
模範解答は
LANポート1:L3SW1
LANポート2:L3SW1
LANポート3:空き
LANポート4:空き
または
LANポート1:L3SW2
LANポート2:L3SW2
LANポート3:空き
LANポート4:空き
でした。
下線部⑤対処用セグメントから他のセグメントの機器への通信はL3SW1及びL3SW2のパケットフィルタリングによって必要最小限に制限する…
設問4⑴ですが、これからDHCPサーバからIPアドレスを付与してもらうためにアクセス・やり取りしなければならない機器求められています。
P.12後半の記載の通り、ウィルス定義ファイル等を提供するメンテナンスサーバ、Sエージェントの検査結果を登録するPC管理サーバが該当します。
模範解答は’PC管理サーバ、メンテナンスサーバ’でした。
設問2⑵:~L3SWと接続するポートにだけ必要な設定…
一見、何を聞かれているのか分からない問題ですが、アドレッシング、ルーティング、非機能要件、運用設計の順で考えていくと、DHCPスヌーピング有効時はDHCPサーバから配布されたIPアドレスを保持した機器しか通信できない等の制約を考えると、各L2SWは通信に加われなくなってしまいます。
そのため、回答はL2SWはDHCPスヌーピングの対象外とする、になります。
模範解答は’DHCPスヌーピングの制限を受けない設定’でした。
設問4⑵:対処用セグメントを追加する際に、L3SW1、L3SW2以外に設定変更がひつような機器を二つ挙げ、それぞれ図1中の機器名で答えよ。また、それぞれの機器の変更内容を字30字以内で述べよ。
一見、「なんかあったっけ?」「そんなの該当項目多すぎない?」と思えるような設問程、実際に設定・動作確認したときの想定トラブルのイメージ作りが重要です。
模範解答は
①機器名:L2SW0、変更内容:対処用セグメントへのルーティング情報を追加する
➁機器名:DHCPサーバ、変更内容:対処用セグメントのアドレスプールを追加する
でした。
ネットワークの勉強をして良かったなーと思うこと
ITコンサルタントとしての現場において、プロジェクト内でトラブルシューティングやシステムインフラ設計において最も頼られる存在になり、安定した案件・プロジェクトアサインが実現できるようになりました。
参考:コンサルファームでアベイラブルになったら
文系SEであっても、こういった知識があると一目置かれた存在になれますし、キャリアアップの一助になります。
実際、僕はプログラマ➡SE(ネットワークエンジニア)➡ITコンサルタントとキャリアップしてきましたが、ITコンサルタントとして活動している今も本記事の様な技術的な部分を大事にしているため、’他のコンサルタントとは差別化された人材になれているな’と感じています。
本記事は技術的な内容でしたが、キャリアに関する情報をお探しの方はこちらも是非、ご覧ください。
参考:【文系 SE】ネットワークエンジニアのすすめ
それでは、Tchau◎
こじろう