【H30】2回目のネットワークスペシャリスト試験を受けた感想と解説【午後2 問2編】

nw-specialist-pm2-2

平成30年度ネットワークスペシャリスト試験の回答を紹介するシリーズ。

最終回は、最難関である午後2試験の、問2で私が回答した内容について紹介します。

はじめに:当記事の目的

私が試験で実際に選択した問題に「こうだから、こう答えた」ということを振り返りたいと思います。

そのため、記載される情報は正確な解答例ではなく、あくまで個人の回答となります。

公式解答の発表はまだまだ先のため、ご意見がありましたらどんどんいただければと思います。

平成30年ネットワークスペシャリスト午後2問題

午後2問題は2問中1問を選択。

1問だけでも問題ページだけで10ページくらいあり、制限時間は2時間です。

問題を見て、選んで、問題をしっかり読んで進めていくと、2時間はあっという間に経過してしまいます。

今年の問題はこんな感じ

  • 問1:MQTTによるメッセージ交換を使ったネットワーク設計の問題
  • 問2:SDNを使ったサービス基盤構築の問題

私の選択したのは、問2のSDNに関する問題。

午後2問題を選択するロジックは、問題集にあった以下の方法を使っています。

  1. まずは、両方の問題文から設問まで流し読み(10分くらい)
  2. 「60文字以内で答えよ」などの問題が答えられそうな方を選ぶ
  3. ↑で迷ったら、穴埋め問題がパッとわかる方の問題を選ぶ

以上の選択方法から、問2の方が前提知識は少なく済みそうで、技術的にも馴染みがあるものだったのでそちらを選択しました。(伝送時間の計算が苦手なので問1を外したというのもあります)

平成30年 ネットワークスペシャリスト試験 午後2 問2

nw-specialist-pm2-2-1

Y社が運営しているホスティングサービスの構成

データセンタを運営してホスティングサービスを提供しているY社が、新規顧客へのサービス提供や増設を迅速に行うためにサービス基盤を構築する問題。

サービス基盤の構成案については、従来型のネットワークに仮想サーバを組み合わせたものと、OpenFlowを利用したSDN方式での構成の2案があります。

昨年(平成29年)の問1に少し似た問題です。

昨年は問2の方を選択したのですが、勉強を積み重ねたおかげか、複雑なSDNの構成図を見てもアレルギー反応が出なくなりました(笑)

それでは、私の回答を紹介します。

問題はこちらからご参照ください↓
平成30年度 ネットワークスペシャリスト試験 午後2問題

設問1

「ア」〜「エ」の穴埋め。

  • ア.スタック
  • イ.ステートフル
  • ウ.振り分け
  • エ.チーミング

「ア」は、”一つのL2SWとして動作できるようにする”とあるのでスタック接続。

「イ」は、アクティブ/スタンバイのFWが切り替わる時にセッション情報を引き継ぐ技術のことなので、ステートフルフェールオーバー。

「ウ」はちょっとわからなかったです。ロードバランサに設定する「〇〇アルゴリズム」とは?

ロードバランサーは、リクエストをそれぞれのサーバーに振り分ける物なので、「振り分け」「分散」という言葉が浮かび、振り分けアルゴリズムとしました。

後から考えると、“負荷分散”アルゴリズムとかの方がそれっぽいですね…

「エ」は、”2枚のNICを実装し、「エ」機能を利用してアクティブ/アクティブの状態にする”とあるので、チーミングで間違いなさそうです。

設問2[従来方式でのサービス基盤の構成案]について

(1)

「FWの装置の中に複数のFWを稼働させる」この要件が必要な理由について30字以内で答える問題。

このように回答しました。

顧客ごとに独立したフィルタリングルールの設定が必要だから

問題文中の要件に

(2)サービス基盤で稼働する顧客システムは、顧客ごとに論理的に独立させること

とあります。

一台のFW機器に、各顧客ごとのフィルタリングルールを全部入れるのは現実的ではないし、どこかで不整合が起こります。

そのため、顧客ごとに独立した仮想FWを立てて、仮想FWごとにフィルタリングルール(ポリシー)を入れるのが理にかなっています。

(2)

アクティブのFWをFWaからFWbに切り替えるのに、FWaまたはFWbが監視する内容を3つ答える問題。

簡単そうで、結構悩みました。

  1. FWaとFWbの接続リンクの監視
  2. FWbとLBbとの接続状態の監視
  3. LBaとLBbの接続リンクの監視

3番目については後ほど回答を変えました。

この問題を解くポイントになったのは、問題文中の

図2の構成案では、FWとLBは、FWaとLBaをアクティブに設定する。スタンバイの装置がアクティブに切り替わる条件は、両装置とも同様であり、両装置は連動して切り替わる。

ということです。

LBaまたは、FWaのどちらかに障害が発生した場合は、両方ともスタンバイ側の機器がアクティブになるということですね。

nw-specialist-pm2-3

FWaまたはLBaのどちらか一方でも障害が発生したら即フェールオーバー

シンプルに考えると、以下を監視できていれば、問題なくフェールオーバーできるような気がします。

nw-specialist-pm2-4

リンクよりも機器を死活監視できていればフェールオーバーできる?

❶ではまず、アクティブ側のFWaからスタンバイ側のFWbを死活監視します。スタンバイ側がダウンしていてはアクティブに切り替えることができないからです。

❷2では、LBaの死活監視を行います。LBaがダウンした時に、フェールオーバーするためです。

❸では、FWbからLBbへの死活監視を行います。LBbがダウンしていたらフェールオーバーしても通信できないという根拠からです。

で、LBaとLBb同士の接続関係については、FWの知ったことではないと。

後から考えてこのような考えも浮かびましたが、これも100%正解ではないような気がします。

構成がシンプルであるが故に非常に時間を取られた問題で、色々な事を(過去問ではこうだったとか)考えた挙句、本番では以下の回答となりました。

  1. FWaとFWbの接続リンクの監視
  2. FWbとLBbとの接続状態の監視
  3. LBaとLBbのクラスタ状態の監視

そもそも、問題文の「アクティブのFWをFWaからFWbに切り替えるのに」の時系列が想像しにくくて、「切り替える前」なのか「切り替えの最中」なのか「切り替え後」の事を指しているのか分かり難かったです。一応、問題文から「切り替えるために」必要な監視の条件として考えました。

部分点、もらえるといいなぁ…

(3)

これも答え辛かった。仮想サーバの物理サーバ間移動に必要となるVLANの内容と設定するポートを答える問題。

物理サーバとの接続ポートをトランクポートにして、顧客ごとの仮想サーバのVLANを通過させる

何となく、「こういう事なんだろうな」で導き出した回答。

nw-specialist-pm2-2-5

仮想サーバの物理サーバ間移動のイメージ

仮想サーバが別の物理サーバへ移動すれば、L2SWの収容ポートも変わります。

L2SWc、L2SWdと物理サーバの接続ポートが全てトランクポートで、全顧客のVLANが通るようにしておけば、仮想サーバが別のサーバへ移動してもその顧客のVLANが通過できれば通信可能という根拠からです。

恐らく問題の意図とはかけ離れてない回答かと思いますが、この問題はしばらく考えました。

設問3

OFS導入時に、OFSとのTCPコネクションを確立するために必要な最小限の情報を15字以内で答える問題。

ここはシンプルに、「L3とL4の情報があれば確立できるよね」ということで、

IPアドレスとポート番号

と回答しました。

設問4[二つの方式の比較]について

(1)

従来方式で必要となる仮想FWの設定に伴って、各仮想FWに対して設定が必要なネットワーク情報を3つ答える問題。

  1. デフォルトゲートウェイ
  2. 仮想IPアドレス
  3. 仮想MACアドレス

❶は、顧客によってFWを超えた後に通信したい先は様々なはずです。そのため、デフォルトゲートウェイと回答しましたが、「デフォルトルート」とかの方が良かったか少し悩みます。「ルーティング設定」とかもありそうな気がしますね…

❷は、FWを区別するためには別のIPが割り当てられてないと難しいということから。❸も一意のMACアドレスが割り当てられてないと、顧客別にファイアウォールを独立させることは難しいという根拠からです。

(2)

これも問題文の意図が読み解きにくかった…

従来方式の場合、追加する顧客に対応したVLAN設定がサービス基盤の全ての機器およびサーバで必要になる。その中で、ポートVLANを設定する箇所を、図2中の名称を用いて40字以内で答えよ。

全ての仮想L2SWと仮想サーバとの接続ポートに顧客ごとのポートVLANを割り当てる

「全ての」はいらなかったな…

IPAの情報処理試験では、

  • トランクポート=タグVLAN
  • アクセスポート=ポートVLAN

と表現されていることが多い気がします。

というわけで、「アクセスポートを設定するのはスイッチのどのポートか?」と解釈して問題を解きました。

nw-specialist-pm2-2-6

仮想L2SWに設定するアクセスポートのイメージ

仮想SWと仮想サーバ間に他の顧客のVLANが流れるとマズいので、アクセスポートを設定するとすればここしかないと思います。

「仮想サーバが移動した時に、仮想L2SWのアクセスポートの設定も移動してくれるのか?」といった疑問も湧かなくはないですが、そこはよしなにやってくれるんでしょうということで。

設問5[技術習得を目的とした制御方式の設計]について

(1)

本番システムにおいて、図4の形式で3顧客の仮想サーバを配置した場合に発生する可能性がある問題と、問題を発生させないための仮想サーバの配置を答える問題。

発生する可能性がある問題:顧客の仮想サーバが同一の物理サーバに収容されており、単一障害点となる

仮想サーバの配置:1顧客の複数の仮想サーバを、別の物理サーバに分散して配置

なかなか回答が出てこなかったため、次の問題に行って、後でこちらを回答しました。

図を見て気づいた点は以下

nw-specialist-pm2-2-7

1社の顧客の仮想サーバが同じ物理サーバに収容されている

P社の仮想サーバは全て物理サーバ1、Q社の仮想サーバも全て物理サーバ1、Z社の仮想サーバも全て物理サーバ2。

この構成だと、物理サーバや物理サーバとL2SW間のリンクで障害が発生した場合に問題が発生します。

字数が足りなかったため、“単一障害点”とそれっぽいことを書いていますが、実際は単一障害点というよりは、別の物理サーバに移動する時に瞬断が発生するとかの方が回答としては適切そうですね。

すぐに移動できても、仮想SWとサーバの再構成やARP解決に時間がかかるはずです。

上記の問題を解決する手段としては、1顧客の仮想サーバを、別の物理サーバに分散して配置するが適切かと思います。

物理サーバ3にFWやLBなどのゲートウェイの仮想機器が集中してるのも「大丈夫なんか?」という気はしますが、今回は「サーバの配置」を聞かれているので、仮想サーバの配置のみ着目して回答しました。

(2)

(2) 表8 Fテーブル4中には、FWpの内部側のポートからLBpの仮想IPアドレスをもつポートに、パケットを転送させるためのFエントリが生成されない。

当該Fエントリがなくても、FWpとLB間の通信が行われる理由を、70字以内で述べよ。

Fテーブル4はこちら

nw-specialist-pm2-2-8

確かに、mDESがLBでmSRCがFWのエントリはなさそう

今回のネットワークスペシャリスト試験で最も難しかった問題。

一旦飛ばして、ラスト10分で降りてきた苦し紛れの回答がこちら

P社の利用者はLBの仮想IPアドレスを宛先IPアドレスにして、デフォルトゲートウェイにFWの仮想IPアドレスを設定しているから

何かそれっぽいことを言ってるように見えるけど、無理がある回答。

この回答に至ったのは、

  1. P社の利用者は、Webサーバーにアクセスする際に、宛先IPアドレスとしてLBの仮想IPアドレスを指定する
  2. 上記のIPアドレスは別ネットワークであるため、P社の利用者が設定したデフォルトゲートウェイであるFWを経由する
  3. FWからLBにルーティングされる

という“想像”からです。

しかし、P社の利用者がデフォルトゲートウェイに設定しているのは、ルータのLAN側のIPアドレスだろうと、この記事を書いていて仮説が破綻していることに気がつきました。

そもそも、FWにパケットが着信したところで、LBのARP解決ができてFテーブルに載らないと通信できないだろうし…

“直接接続されているからMACアドレステーブルを参照して通信できる”みたいな答えの方が近いんだろうか…

OFSでVLAN100のタグが付けられたパケットがなぜVLAN110になるのかがポイントになりそうですが、これは公式回答待ちですね。

(3)

P社のWebサーバ利用者から、Webサーバ宛てのユニキャストパケットが送信された際の経路をトレースする問題

nw-specialist-pm2-2-9

経路の穴埋め問題

以下で回答

  • オ.Fテーブル1,項番2
  • カ.Fテーブル0,項番6
  • キ.Fテーブル4,項番7

※ キ.の項番7は間違いと思われる

きちんと読み解ければ全問正解を狙える問題なので、わからない問題を飛ばしてこちらに時間を割きました。

ルータから、OFSのp1へ入力

まずは、経路の最初にある”ルータ→L2SW→Fテーブル0,項番1から。

nw-specialist-pm2-2-11

Fテーブル0

ルータからL2SWを介して、OFSのp1にパケットが入力されると、Fテーブル0,項番1の”VLANIDが100のタグをセット、Fテーブル1で定義された処理を行う”がアクションとなります。

nw-specialist-pm2-2-10

ルータ→L2SW→Fテーブル0,項番1の経路の例

空欄「オ」の通信

上記のFテーブル0の項目では、Fテーブル1で定義された処理を行う。がアクションとなっていました。

そのため、空欄「オ」のFテーブルは、Fテーブル1で間違いないと思います。

で、どの項番を選択するかが問題ですが、ARP解決されているかどうかで選択する項番が変わってきます。

空欄「オ」の次には、もうFWpがあるので、ARP解決はされていると判断し、FW宛ての項番2を選択しました。

nw-specialist-pm2-2-12

Fテーブル1

FWpのMACアドレスを宛先MACアドレスとして、p13からパケットを送出します。

nw-specialist-pm2-2-13

空欄「ウ」の通信

FWp→LBpへの通信

設問5-(2)で問われてわからなかった部分。

VLAN100でFWpに入ったパケットは、LBpへ転送されます。(この時、VLAN IDが110になる)

nw-specialist-pm2-2-14

FWp→LBpへの経路(予想)

この図をよく見ると、FWpでVLAN IDが100から110のタグに付け替えられているようです。

VLAN ID110でLBに入って、さらにLBpでVLANタグが120に付け替えられているように読み取れます。

恐らく、FWb→LBpの通信はOFSを経由しないため、Fテーブル4を参照する必要もなく、設問5-(2)の回答は、「FWでVLANタグを付け替えてルーティングする」旨の内容が正解な気がしてきました。

空欄「カ」の通信

LBpからOFSにパケットが戻され、OFSのp13から入力されます。

入力ポートをマッチング条件としたFテーブルは、Fテーブル0です。

Fテーブル0でマッチング条件が「入力ポート=p13」になっているのは項番6です。

nw-specialist-pm2-2-15

Fテーブル0

アクションは、「Fテーブル4で定義された処理を行う。」です。

nw-specialist-pm2-2-16

OFSのp13に入力され、Fテーブル0の項番6を参照

空欄「キ」→Webサーバp1への通信

上の項目で、アクションはFテーブル4を参照することになっているので、Fテーブル4が正解と思われます。

項番は、Webサーバp1のMACアドレスを宛先IPアドレスとする必要があるため、mDES=mWSp1になっている項番6が正解です。

項番7と回答しているのは、恐らく見間違いです…これで59点とかで落ちたら辛いな。

nw-specialist-pm2-2-17

Fテーブル4

項番7はWebサーバp4宛てですね。

P社のWebサーバ宛ての通信は、p11から出力されることになります。

nw-specialist-pm2-2-18

空欄「キ」→Webサーバp1への通信

本問題の通信経路をまとめるとこのような感じです。

nw-specialist-pm2-2-19

通信経路とVLAN ID(予想)

(4)

物理サーバ1に収容されているWebサーバp4が、物理サーバ2に移動した場合にFテーブル4が変更されるOFS名と、変更される項番、および変更後のアクションを答える問題。

  • 変更されるOFS名:OFS1,OFS2
  • 項番:7
  • アクション:p12から出力

これは恐らく合っていると思います。図で表すとこのような感じです。

nw-specialist-pm2-2-20

Webサーバp4移動時の通信フロー(OFS→Webサーバp4)

Fテーブル4が更新されるOFS名

問題中の表4〜表8のFテーブルは、全て「OFS1とOFS2の」Fテーブルとして表現されています。

そのため、OFS1とOFS2は全く同じ内容のFテーブルを参照していることになるので、情報に変更があった場合、片方だけのFテーブルしか更新されないことは考えにくいです。

以上の理由で、Fテーブルが変更されるOFSは、OFS1とOFS2の両方との回答になりました。

項番3以外に変更される項番とアクション

nw-specialist-pm2-2-21

Webサーバp4が物理サーバ2に移動した場合のFテーブル4

項番3は、VLAN ID120(P社Webサーバ1〜4)に対するARPリクエストのパケットです。これは、P社Webサーバが存在するp11,p12から出力する必要があると考えます。

それ以外に変更が必要なのは、Webサーバp4宛てのアクションを定義している項番7となります。

出力ポートがp11のままだと、Webサーバp4が存在しない物理サーバ1へのパケット送出となってしまうため、通信できません。

アクションは物理サーバー2を収容している「p12から出力」となります。

そうすれば、物理サーバ2へ移動したWebサーバp4へ通信可能です。

まとめ

今年の午後2試験も、なかなかの難問でした。

2時間という短時間で、Fテーブルの読み方と通信フローを理解するのは大変です。

設問5-(3) 空欄「キ」の出力ポートを間違えたケアレスミスは痛いところ。

今回、一番モヤっとするのは、設問2-(2)でFWが監視する内容を3つ挙げる問題。もっと簡単に考えて、

  • FWaからFWbを監視
  • FWaからLBaを監視
  • FWbからLBbを監視

くらいの回答でよかったのではと思っています。

あと気になるのは、設問5-(2)の「FエントリがなくてもFWpとLBpが通信できる理由」に関する問題。

これは、「FWpからLBpへの通信はOFSを経由せず、FWpのルーティングテーブルを参照してLBpにルーティングされるから」といった類の回答が正解なのかなと思います。こちらは当記事を書いていて、OFSを経由してないであろうことに気がつきました。

全体的な手応えとしてはわりといい線まで行けたんじゃないかなといったところです。

昨年は、わからない問題があったとしても、ここまでブレイクダウンして考えることはできませんでした。

「よく分からないなぁ…」で解いていた午後1問題も57点はあったことから、部分点次第で結構いい線までいけるんじゃないかという謎のポジティブ思考もあります(笑)

今回の記事は、初の8,000文字オーバー、使用画像数20枚以上と、当ブログの中で最もボリュームのある内容となりました。

このように振り返ることが、一番の勉強になったかもしれません。

もし今年の試験が不合格だとしたら、来年以降はこのようにアウトプットの機会を作って、ブレイクダウンしながら考える勉強法を実践したいと思います。

平成30年度のネットワークスペシャリストに関する記事は、これでいったん終了となります。公式解答の発表、または結果発表後に、再度記事を書きたいと思います。

長文となりましたが、読んでいただきありがとうございました。それでは^^

そのほかの平成30年度NW試験の回答記事はこちら

Sponsored Link



nw-specialist-pm2-2

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA