2回目のネットワークスペシャリスト不合格!反省と振り返り(技術編)

nwspeciallst-failure2-7

残念ながら、2回目の受験も不合格に終わったネットワークスペシャリスト試験。今回は、不合格の理由となった午後2問題について、技術的な観点から振り返りをしたいと思います。

平成30年ネットワークスペシャリスト試験

前回記事、2回目のネットワークスペシャリスト不合格!反省と振り返り(心境編)で紹介した通り、午後2が50点という結果で不合格となってしまいました。

午後2が10点足りず、不合格

午後1は自信がない問題も多かったものの、それなりの得点にはなっていました。

午後2については、細かい問題はほとんど合っていたけど、肝心な部分で点を落としていたのでこの得点という結果に。(問2を選択)

じっくり振り返りたいと思います。

問題はこちらからどうぞ!

平成30年度 ネットワークスペシャリスト 午後2問題

設問1

穴埋め問題。正答は以下のとおり

  • ア.スタック  
  • イ.ステートフル
  • ウ.負荷分散
  • エ.チーミング

この辺りの題材は、過去にも類似の出題があったのでだいたいわかりました。

私の回答は

  • ア.スタック  
  • イ.ステートフル
  • ウ.振り分け
  • エ.チーミング

ウ.のみ不正解。これは結構迷って「振り分け」という言葉を捻り出したのですが、ロードバランサが“負荷分散”を行うための機器であることを考えると、「〇〇アルゴリズム」とは「負荷分散アルゴリズム」が適切だということがわかりますね。

設問2

(1)

FW装置の中に複数の仮想FWを稼働させる理由を30文字以内で回答する問題。

私はこのように答えました。

顧客ごとに独立したフィルタリングルールの設定が必要だから

正答はこちら

顧客ごとに異なるフィルタリングの設定が必要であるから

こちらは正解で良いと思います。

一台のFW機器に異なる顧客のフィルタリングルールを混在させることは、現実的ではありませんね。

(2)

nw-specialist-pm2-3
FWaまたはLBaのどちらか一方でも障害が発生したら即フェールオーバー

アクティブのFWをFWaからFWbに切り替えるのに、FWaまたはFWbが監視する内容を三つ挙げる問題。

これ序盤からめちゃくちゃ悩みました。冷静に考えると、それほど難しい問題ではないのですが。私の回答は以下

  1. FWaとFWbの接続リンクの監視
  2. FWbとLBbとの接続状態の監視
  3. LBaとLBbのクラスタ状態の監視

正答はこちら↓(複数解答例があるので、最も自分の回答に近いものを選択)

  1. FWaによるFWbの稼働状態
  2. FWbによるLBbへの接続ポートのリンク状態
  3. FWaによるL2SWaへの接続ポートのリンク状態

これで行くと、正解しているのは2.だけ。甘めに見て1.もギリギリ得点できているか…といったところ。

シンプルに「FWa & LBaが稼働系で、障害時に副系にフェールオーバーするための監視項目」と考えると

  1. FWaによるL2SWaへの接続ポートのリンク状態
  2. FWaによるLBaへの接続ポートのリンク状態
  3. FWbによるFWaの稼働状態

といった回答を導き出すのが妥当だったと思います。

いずれか1つがダウンした場合、即フェールオーバーできる

❶でFWaを収容しているL2SWaのポートが、L2SWaの故障やリンクの断線を検知した場合、すぐに副系にフェールオーバーできます。(上流の収容スイッチのことを考えてなかった…)

❷も問題文にあるとおり、LBaの故障やリンク断線で接続確認が取れないとFWaが正常でも副系にフェールオーバーします。

❸は、副系のFWbから見てFWaの稼働が確認できない場合は、フェールオーバーして自分が主系になることができます。

この問題に関しては、「アクティブFWをFWaからFWbに切り替えるために、FWaおよびFWbが監視する内容」の前提条件の読み解きがイマイチだったのと、監視についての知識が薄かったと思います。

(3)

仮想サーバの物理サーバ間移動を実現するために、VLANの設定が必要なポートと、設定するVLANを答える問題。

私の回答は以下。

物理サーバとの接続ポートをトランクポートにして、顧客ごとの仮想サーバのVLANを通過させる

物理サーバの中にある仮想サーバが別の物理サーバに移動するのであれば、L2SW[cd]と物理サーバを接続するポートをトランクポートにして、顧客ごとのVLANを全てtrunk allowed vlanで許可しておけばいいのではと思ったのですが違うみたいです…

仮想サーバの物理サーバ間移動のイメージ

正答はこちら

物理サーバへの接続ポートに、全ての顧客の仮想サーバに設定されたVLAN IDを設定する

え?

物理サーバを収容するL2SW[cd]の収容ポートに全顧客のVLAN IDをアクセスポートで設定するってこと?

nwspeciallst-failure2-2
公式解答からのイメージ

なんかもやっとする設計。

確かに、全部のL2SWのポートに複数のアクセスポートを設定しておけば、物理サーバ間の移動も問題なくできると思われます。

トランクポートじゃダメなのか…参考書での解説待ちですね。

そしてこの問題は部分点なく完全に不正解だったと思います。言ってることはそれほどズレてなかったと思うんだけどなぁ…

設問3

OFSの導入時に、OFCとのTCPコネクション確立に必要な最小限の情報を回答する問題。このように答えました。

IPアドレスとポート番号

TCPコネクションの確立はL3とL4の情報があればできるよね♪と自信満々に回答。しかし正解は

OFCのIPアドレス

主語が必要だったか…確かに追加した機器には、接続先機器のIPアドレスを知る必要がありますね。部分点はあるのでしょうか。

設問4

(1)

従来方式で、各仮想FWに設定するネットワーク情報を3つ答える問題。

私の回答

  1. デフォルトゲートウェイ
  2. 仮想IPアドレス
  3. 仮想MACアドレス

正答はこちら↓(複数あるため一部)

  1. ルーティング情報
  2. 仮想FWのIPアドレス
  3. 仮想FWの仮想MACアドレス

確実に合っているとしたら3.の仮想MACアドレスくらいですね。(デフォルトゲートウェイもルーティング情報な気はするが…)

2.で答えた「仮想IPアドレス」は、「”何となく”VIPを設定するんだろうなー」で答えたけど、フェールオーバー時にはFWbがFWaのIPアドレスを持つようになるという理解で良いのだろうか…

FWa内の仮想FWの実IPと、FWb内の仮想FWの実IP、外部からアクセスするための仮想IP(VIP)はそれぞれあった方が良い気もするのですが、これも解説待ちですね。

問題文の「ネットワーク情報」の一言で、L2、L3の情報を答える必要があると思い込んでしまいました。「フィルタリングルール」などの情報も必要な設定なので、もう少し柔軟に考えられるとよかったです。

(2)

従来方式でポートVLANを設定する箇所を答える問題。

設問2-(3)と関連がある問題。

私の回答は以下

全ての仮想L2SWと仮想サーバとの接続ポートに顧客ごとのポートVLANを割り当てる

nw-specialist-pm2-2-6
仮想L2SWに設定するアクセスポートのイメージ

最も下流の仮想L2SWに、顧客ごとのVLANをアクセスポートととして設定すればセキュアな設計だろう。と思ったのですが、仮想サーバが物理サーバ間を移動する場合に問題が発生しますね。

正解は

顧客のL2SW又はL3SWに接続する、L2SWa及びL2SWbのポート

です。イメージはこう

nwspeciallst-failure2-3
アクセスポートの設定イメージ

確かに、こちらの構成の方がセキュアで負荷もかからなそうですね。

nwspeciallst-failure2-8
それぞれのVLANが流れるイメージ

下流の機器ばかり目がいってしまい、上流の機器に注意を向けられていませんでした。この構成だと、設問2-(3)の解答も納得です。

設問5

(1)

nw-specialist-pm2-2
テストシステムの構成

図の構成で問題になる仮想サーバの配置と、その改善方法を答える問題。

この問題は、やらかしてしまいました。

正答はこちら

[発生する可能性がある問題]

物理サーバ3の障害によって、3顧客のシステムが同時に停止してしまう

[仮想サーバの配置]

3顧客向けの仮想サーバを、それぞれ異なった物理サーバに設定する

これは最初に思ったんです。「あれ?物理サーバ3倒れたら全部死ぬよね?」と…

しかし、ひねって考え過ぎて「物理サーバ3に入ってるのは仮想サーバじゃなくて”仮想アプライアンス”だろう。問題は”仮想サーバ”のことを聞いているぞ。」

そう考えて出てきた回答がこちら

[発生する可能性がある問題]

顧客の仮想サーバが同一の物理サーバに収容されており、単一障害点となる

[仮想サーバの配置]

1顧客の複数の仮想サーバを、別の物理サーバに分散して配置

nw-specialist-pm2-2-7
問題は物理サーバ3に収容された仮想サーバだ…

情報処理試験の問題では、基本的に仮想LBだろうが仮想FW、仮想ルータでも全て「仮想サーバ」と表現しているのがほとんどですね。

この問題はやってしまいました。この問題と、上記の設問2-(3)と設問4-(2)のVLANの設定を回答する問題で不合格が確定したっぽいです…

(2)

今回のネットワークスペシャリスト試験で最もつまずいた問題。

物理サーバ3に収容されているFWpとLBpが、ルーティングを制御する”Fテーブル”に経路情報がないにも関わらず通信できる理由を答える問題。

最後の最後まで飛ばして、時間ギリギリで苦し紛れに出た回答がこちら

P社の利用者はLBの仮想IPアドレスを宛先IPアドレスにして、デフォルトゲートウェイにFWの仮想IPアドレスを設定しているから

うーん…

P社の利用者がデフォルトゲートウェイに設定しているのは、ルータの(P社から見て)LAN側のIPアドレスだろうな。

そもそも何でLB→FWの通信ができるかを訊いてるんだよな…

正答はこちら

FWpの内部側ポートとLBpの仮想IPアドレスを持つポートは、同一セグメントであり、物理サーバ3内で処理されるから

結構シンプルな答えですね。

確かに、同じP社向けの仮想サーバ同士で同一セグメントなのだろうなというのは考えの中にはありました。

しかし、仮想L2SW→FWp(図中のa)の通信はVLAN100、FWq→仮想L2SW(図中のb)の通信はVLAN110と、VLANが異なっていることが気がかりでした。

VLAN違うけど…

よくよく考えると、L2SWに収容された別々の機器でVLANが異なると、L3SWやルータでL3の処理が必要となりますが、今回のように1つの機器に対して行きと戻りのVLANが異なるというのは特に問題がなさそうですね。

そして、FWは(LBも)L3以上の情報を見てルーティングを行う機器だから、FWを通過した際にVLAN IDが100→110に付け替えられることも、特に違和感はないですね。

ポイントは、“物理サーバ3内で処理される”のところでしょうか。この文言があるかないかで、結構得点が変わってきそうです。

この問題は、単純に知識不足でした…配点大きかっただろうな。

(3),(4)

テストシステムにおいて、パケットが流れる経路と、その間のFテーブルの値を答える問題。こちらの問題はほぼ全問正解でした。

一つだけ、問3のキで、Fテーブル4の項番を7で回答してしまっただけです。(正解は6)

これは時間ギリギリの焦りによるケアレスミスです。しかし、この問題の配点は、おそらく1問2〜3点なので、このセクションが全問正解だったとしても合格にはなりません。

前半部分のミスが、不合格に繋がっていることがわかります。

この問題の回答については、こちらの記事に詳細にまとめていますので、是非ご覧ください。

今回の配点(想像)

配点や採点の詳細は、IPAのみぞ知るところなので、私の想像による今回の配点はこんな感じです。

注:配点と部分点は想像による

やっぱり配点の大きい論述の問題で大きく点を落としていることがわかります。

回答した内容も、部分点が貰えそうな内容ではなく、結構本筋とズレていたことがわかりました。

前回記事にも書いた通り、問題演習後の解説の読み込みやアウトプットをしっかりとやって、1問1問に確実に向き合うことが大事だと思いました。

まとめ

2018年のネットワークスペシャリスト試験は、前回以上に勉強時間を費やしたにも関わらず不合格となってしまいました。

今回振り返ったことにより、自分の技術・知識の不足部分と、勉強が不十分だったところが明らかになりました。

来年も、今回振り返ったことを思い出して、しっかりと1問1問に向き合って合格を目指したいと思います。(その前に情報処理安全確保支援士を春に受けます)

それでは、よいシンプルライフをお送りください^^

Sponsored Link



nwspeciallst-failure2-7

コメントを残す

メールアドレスが公開されることはありません。

CAPTCHA