こんにちは、こじろうです。
この記事では、N/Wスペシャリスト平成25年午後Ⅱ問2に挑戦していきたいと思います。
別記事のネットワークエンジニアのススメでも紹介しましたが、文系SEからするとシステムエンジニアよりもネットワークエンジニアになった方が良いキャリアを気づかる可能性があります。
僕自身も、プログラマ➡システムエンジニア➡ITコンサルタントとキャリアチェンジしてきましたが、所々、ネットワークエンジニアとして活動し、成果を出すことに成功してきました。
文系SEのみなさまにも是非、ネットワークの知識を蓄えて頂きたく、IPAが主催しているネットワークエンジニアの資格試験について、僕なりの解答方法と、IPAが公表している模範解答を紹介していきたいと思います。
【この記事でわかること】
- N/Wスペシャリストの問題を解く上で持つべき考え方
- 平成25年午後Ⅱ問2における各設問の考え方
- 1 設問を解き始める前の前提
- 2 問題文を読みながら僕が考えていった内容
- 3 オーバーレイ方式又はOF方式で実現されたN/Wは、どちらもソフトウェアで定義できることから[空欄a]と呼ばれている。
- 4 転送機能はネットワーク機器の[空欄b]としての機能を実現…パケット書き換え機能は[空欄c]としての…
- 5 既設サーバの接続では、図3中のサーバ接続用スイッチに[空欄ア]する機器…拠点間の接続では[空欄イ]への対応…
- 6 下線部①図4中のPC1からPC2へユニキャストフレームを転送する場合についてf-TBLに一致するRuleがなかった場合…
- 7 下線部②図4中のPC1~PC7にパケットを送信するためのARP要求…
- 8 下線部③T君が考えた単純な方式でのPC1からARP要求を処理しようとすると問題が発生する。
- 9 下線部④各テナントネットワークとそれに属する機器のMACアドレスの一覧表を使えばPCのOFSへの接続可否が可能になる…
- 10 下線部⑤同一テナントネットワークに属するPCを中継SWを経由して複数台接続する場合、中継SWは表4中のNo.4の要件を満たす必要がある。
- 11 下線部⑥ーポートベース認証を使用した場合は、表4中のNo.5のセキュリティの問題が発生する。
- 12 下線部⑦中継SWを経由した図6の構成では、PCがEAPOL-startを送信することによって認証を開始する必要がある。
- 13 設問1⑶について~OF方式とTRILLの差異~
- 14 ネットワークの勉強をして良かったなーと思うこと
設問を解き始める前の前提
詳細は以下の記事を読んで頂きたいのですが、過去問に挑戦する前に頭に入れておいて欲しいことが2つあります。参考:【文系SE】ネットワークスペシャリストー解答時のフレームワークー
- 問題文を読みつつ設問を推測する。(設問を読んでから考えていては間に合わない)
- 問題文を読んでいく中で「これ、聞かれるだろうな」と推測する。
それでは、いってみましょう!!😃
問題文を読みながら僕が考えていった内容
オーバーレイ方式又はOF方式で実現されたN/Wは、どちらもソフトウェアで定義できることから[空欄a]と呼ばれている。
設問1⑴ですが、ネットワークの設定は、通常スイッチルーターに直接ログインして、マニュアル操作でコンフィグ設定をします。一方で、この手動設定作業をソフトウェアで実現できる技術も開発されていて、この方法を何というか?という設問になります。
模範解答は”SDN(Software Defined Network)”ですが、これはSDNについてあらかじめ知識がないと解答できない問題です。
(参考:SDN)
転送機能はネットワーク機器の[空欄b]としての機能を実現…パケット書き換え機能は[空欄c]としての…
設問1⑴ですが、空欄bについては、対象の機器が、ルーティング機能のどの部分を司っているか(細かく言うと、自分のネットワーク内に宛先のアドレスが存在していないときデフォルトゲートウェイへパケットを転送する機能を、別の言い方で何というか?)を問われています。
また、空欄cの”書き換え…”ですが、”何を書き換えるか”というと、ネットワークスペシャリストの問題はデータを送受信に関わる問題がほとんどであり、書き換えるとしたら宛先のアドレスか送信元のアドレスです。更に、この書き換えを実現する技術の代表格はNAPTであり、問題文を読んでも他の機器や技術によってアドレスの書き換えが実現されているようなことも考えづらいと思われます。
と、色々書いたのですが、空欄bと空欄cを見ると、”ルーティング”も”NAPT”も、文章として当てはまりそうにありません。
ネットワークスペシャリストの設問において、何を問われているか分からない、もしくはNo ideaの状態になってしまったら、月並みですがOSI参照モデルに立ち返って、問題文に書かれている状況を整理しなおすことが肝要です。
OSI参照モデルの7つの階層を見ていくと、ルーティング(デフォルトゲートウェイへのパケット転送)やアドレスの書き換えは、それぞれ第2層、第3層で実現されていますね。実際の現場をイメージすると、デフォルトゲートウェイへのパケット転送はレイヤ2スイッチ、アドレスの書き換えはレイヤ3スイッチが担っているとも言えます。
模範解答としては
b:L2スイッチ
c:L3スイッチ
となります。
扱うレイヤを意識しているかを問うていた問題でした。
解答を見返してみると、すごく漠然とした答えになるので、シンプルですが難しい問題ですね…。
既設サーバの接続では、図3中のサーバ接続用スイッチに[空欄ア]する機器…拠点間の接続では[空欄イ]への対応…
設問1⑵ですが、これから実現しようとしているネットワーク設定は、既設のサーバや拠点間の通信における制約により難しい、それはなぜ(何)か?という設問になります。
問題文に記載のあるオーバーレイ方式の特徴としては、以下2つが挙げられます。
- レイヤ2の情報をカプセル化
- レイヤ3のネットワークとしては全ての機器を同一のN/Wとして扱う
➡つまりレイヤ2でカプレス化されたデータを復号して、サーバへのアクセスを実現する
カプセル化や復号化には対応しているような記載が問題文にありません。
そのため、空欄アにかんしては、このカプセル(暗号)化と復号化に対応していないというのが、解答となります。
一方、空欄イの拠点間の接続では…ごめんなさい、No Ideaです。分かり次第アップ致します。。
模範解答は。
ア:接続用トンネルを終端、又はカプセル化用ヘッダを追加・削除
イ:中継路でのフラグメンテーションの発生。
でした。
空欄イ、フラグメンテーションなんて拠点内の通信でも発生しうるだろ…苦し紛れに作成された不完全な問題にしか見えない…というのが正直なところです。。
下線部①図4中のPC1からPC2へユニキャストフレームを転送する場合についてf-TBLに一致するRuleがなかった場合…
設問2⑴ですが、
静的ルーティングの動作のセオリーである…
- ルーティング/アドレステーブル(ルール)に、パケットの宛先が存在しなければ、追加(更新)する
➡本来であればこの時点でARP(ブロードキャストフレームを当該ネットワークの全機器に送付するところだが、問題文にはユニキャストとあるのでブロードキャストはしない) - 処理のターゲットがあれば処理を実行するし、なければ何もしない
上記を踏まえると、
- 対象のルールがf-TBLに無いことが明記されているので、A~C全てFlow
modは設定されるはず。(その証拠にBには最初からFlow modが記載されている) - さらに宛先であるPC7を収容しているOFScへのメッセージ経路Cには、Packet Outが追加されるべき。
以上を踏まえると、
A:Flow mod
C:Flow mod、Packet Out
と、解答したのですが、模範解答は真逆でした。なんで?!
下線部②図4中のPC1~PC7にパケットを送信するためのARP要求…
設問2⑴ですが、
考え方は下線部①(設問2⑴)と同じです。
これを踏まえると、
- 対象のルールは、既にOFSs艇済み。
- ARPコマンドをPacket Outしたい。ブロードキャストなので、A、C双方に。
以上を踏まえると、
A:Packet Out
C:Packet Out
が解答、と思ったのですが、模範解答は
A:なし
C:Packet Out
なんで?!
下線部③T君が考えた単純な方式でのPC1からARP要求を処理しようとすると問題が発生する。
設問2⑵ですが、単純な方式で処理をしようとした場合、IPアドレスが重複し、パケットが宛先を識別できないという問題が発生することを理解しているかを問われています。
具体的に書くと、ARP要求の返答先となるMACアドレスが2つ見つかってしまい、どちらに向けてパケットを送出すれば良いか判断できず、パケットを転送できない。
模範解答は
当該IPアドレスを関するARPテーブルレコードにPC4のMACアドレスが紐付いてしまう。⇒別テナントネットワークのPC4のMACアドレスをPC7のものとしてPC1が登録してしまう。
でした。
設問2⑶ですが、模範解答は
PC4のARPテーブルにおいて、PC2のIPアドレスにPC1のMACアドレスが紐づいてしまう。⇒別テナントネットワークのPC1のMACアドレスをPC2のものとしてPC4が登録してしまう。
でした。
下線部④各テナントネットワークとそれに属する機器のMACアドレスの一覧表を使えばPCのOFSへの接続可否が可能になる…
※更新中
設問3⑴ですが、MACアドレスを起点にアクセス対象機器を特定する方法を問われています。
IPアドレスではなく、MACアドレス起点ということは、十中八九RARPが解答に絡んできます。
RARPパケットを発行して宛先機器のMACアドレスからIPアドレスを確認し、パケットを創出する?
模範解答は、
宛先のテナントに属するPCと接続しないOFSにはパケットを送信しない。⇒登録されていない送信元MACアドレスのパケットを破棄させる。
でした。
下線部⑤同一テナントネットワークに属するPCを中継SWを経由して複数台接続する場合、中継SWは表4中のNo.4の要件を満たす必要がある。
※更新中
設問3⑵ですが、問題文にもあるように、RADIUSプロトコルで扱う特別なMACグループアドレス、つまりEAPOLで暗号化されたパケットを扱えるかどうかを問われています。
まぁ、扱えなかったら問題・設問として成り立たないので、扱えるのですが、EAPOLにはパケットが複数のSWを経由する際でも暗号化されたEAPOLの受け渡しを実現できるように、”透過転送機能”というものを用意しています。
模範解答としては、EAPOLの透過転送機能。
これはRADIUS、EAPOL、透過転送機能についての知識がないと解けませんね。。
下線部⑥ーポートベース認証を使用した場合は、表4中のNo.5のセキュリティの問題が発生する。
設問3⑶ですが、一度RADIUSによる認証を突破したあと、別の端末を接続したとき、後から接続した、RADIUS認証がまだ完了していない別のPCもアクセスが可能となってしまう可能性があります。
これに対して、OFで可能な対処方法は、Rule内に記載のないMACアドレスについては通信を遮断するという方法が考えられます。
模範解答は
セキュリティの問題:1台のPCが認証されると、後続のPCは認証なしで接続できる。
OF方式で考えられる対策:認証されたPCのMACアドレスをf-TBLに反映させ、転送を許可する。
でした。
下線部⑦中継SWを経由した図6の構成では、PCがEAPOL-startを送信することによって認証を開始する必要がある。
設問3⑸ですが、記載された条件がある場合と無い場合で、通信のシーケンスがどう変わるかを確認する必要があります。
中継SWが無い場合は、認証SWは通常のRADIUSの仕様通り、PCリンクアップを起点にEAPOL startを実行すれば良いのですが…
中継SW有りの場合、認証SWからEAPOL startを実行してしまうとそのパケットはPCへ転送されません。
※更新中
これにより、PC側から…?でもそれは逆もしかりじゃないの?
模範解答は’中継SW経由だと、PCの接続ポートがリンクアップしていても、認証スイッチでは検出できないから。’でした。
設問1⑶について~OF方式とTRILLの差異~
※更新中
TRILLのことを知らなければパスするべき問題ですね。
(参考:TRILLとは)
模範解答は、”最短経路以外の回路を利用できる'”でしたが、それはデメリットじゃないの?柔軟性ってメリットだと思うけど…
‘TRILLでは発生し得ないこと’みたいな書き方ならまだわかるけど…ちょっと日本語がおかしい気がしますね。。
ネットワークの勉強をして良かったなーと思うこと
ITコンサルタントとしての現場において、プロジェクト内でトラブルシューティングやシステムインフラ設計において最も頼られる存在になり、安定した案件・プロジェクトアサインが実現できるようになりました。
参考:コンサルファームでアベイラブルになったら
文系SEであっても、こういった知識があると一目置かれた存在になれますし、キャリアアップの一助になります。
実際、僕はプログラマ➡SE(ネットワークエンジニア)➡ITコンサルタントとキャリアップしてきましたが、ITコンサルタントとして活動している今も本記事の様な技術的な部分を大事にしているため、’他のコンサルタントとは差別化された人材になれているな’と感じています。
本記事は技術的な内容でしたが、キャリアに関する情報をお探しの方はこちらも是非、ご覧ください。
参考:【文系 SE】ネットワークエンジニアのすすめ
それでは、Tchau◎
こじろう
