【平成30年秋期】ネットワークスペシャリスト試験 午後Ⅱの自己採点結果
問2を選択。
設問 | 設問内容 | 自分の解答 | iTEC解答例 | TAC解答例 |
1 | ア | スタック | スタック | スタック |
イ | ステートフル | ステートフル | ステートフル | |
ウ | DNSラウンドロビン | 負荷分散 | 振り分け | |
エ | チーミング | チーミング | チーミング | |
2 | (1) | 顧客の論理ネットワーク毎にFWを冗長化させるため | 顧客ごとの論理的に独立させたFWを提供するため | 顧客毎にFWのフィルタリングルールの設定がそれぞれ違うから |
(2)① | FWaのL2SWa接続ポートのリンクアップ状態 | FWaが監視するL2SWaとのリンク状態 | FWaがL2SWaへのリンクの死活を監視する | |
(2)② | FWaのLBa接続ポートのリンクアップ状態 | FWaが監視するLBaとのリンク状態 | FWaがLBaへのリンクの死活を監視する | |
(2)③ | FWbのFWa接続ポートのリンクアップ状態 | FWbが監視するFWaの死活状態 | FWbがFWaへのリンクの死活を監視する | |
(3) | L2SWcとL2SWdの物理サーバ接続ポートに全ての仮想サーバのVLANをタグVLAN設定する | 物理サーバを接続する全てのポートに対して全顧客のVLANを設定する | 物理サーバに対向する全てのポートをトランクポートに設定し、全ての顧客の対応するVLANを設定する | |
3 | OFチャネル用のIPアドレス | IPアドレスとポート番号 | OFSとOFCのIPアドレス | |
4 | (1)① | 仮想FWの実IPアドレス | VLAN番号 | 各仮想ポートのIPアドレス |
(1)② | 仮想FWの仮想IPアドレス | 仮想IPアドレス | 各仮想ポートのサブネットマスク | |
(1)③ | デフォルトゲートウェイ | デフォルトゲートウェイ | 各仮想ポートのVLANID | |
(2) | L2SWaとL2SWbの顧客用機器接続ポート及び仮想スイッチの仮想サーバ接続ポート | 顧客のL2SW又はL3SWとL2SWa及びL2SWbとの接続ポート | L2SWaとL2SWb上のサービス基盤の外側に対向するポート | |
5 | (1)問題 | ある物理サーバに障害が発生すると、ある顧客の全ての仮想サーバが停止する問題 | 物理サーバの故障によって特定の顧客のサーバが全て利用できなくなる問題 | 全ての顧客が利用する物理サーバ3に全ての通信が集中してしまう |
(1)配置 | 物理サーバ1と2に全ての顧客の仮想サーバをそれぞれ分散配置する | 顧客の仮想サーバを分散して物理サーバに配置する | 同一顧客のサーバは1台の物理サーバ内の仮想サーバにまとめて構築する | |
(2) | FWpの内部側ポートとLBpの外部側ポートは同じVLANにあり、FWpのARPキャッシュ情報からLBpにOFSを経由せずに通信ができるから | FWpの内部側ポートとLBpの仮想アドレスを持つポートは同一VLANなので、物理サーバ3の仮想L2SW経由で通信できるから | FWpとLBpは共に物理サーバ3の仮想L2SWにVLANID=110で接続されているので、物理サーバ3内でパケット転送されるから | |
(3)オ | Fテーブル1 項番2 | Fテーブル1 項番2 | Fテーブル1 項番2 | |
(3)カ | Fテーブル0 項番6 | Fテーブル0 項番6 | Fテーブル0 項番6 | |
(3)キ | Fテーブル4 項番6 | Fテーブル4 項番6 | Fテーブル4 項番6 | |
(4)OFS名 | OFS1、OFS2 | OFS1、OFS2 | OFS1、OFS2 | |
(4)項番 | 7 | 7 | 7 | |
(4)アクション | p12から出力 | p12から出力 | p12から出力 |
【受験した感想】
試験開始直後にパラパラと問1を眺め、「MQTT」(初めて聞いた)や「エッジサーバ」の用語が出てきていることを見て、昨年午後Ⅱ問1の後半部分の壊滅を思い出し、問2を選択。問2はこれはこれで昨年の問1で出題されたSDNが最後に見えていたが、選択余地はなかった。OpenFlowプロトコルの動作(OF方式と書かれているよう)自体に苦手意識はないつもりだが、過去問で初出だった平成25年午後Ⅱの記述問題が未だうまく答えられない面もあり、不安を抱えながら解答を進めた。
受験した後の感想になるが、今年の問題は前半にSDNを利用しない従来方式のテナントネットワークの構築、後半にSDNを利用した場合という棲み分けがされていたため、問題文自体は読みやすかった。また、従来方式は今まで過去問で練習したことで十分解答できる内容でもあり、取り組みやすかった印象。SDN方式の設問も、最後のOFテーブルで表には優先度とか細かい設定が書いてあるものの、パケットを追っていけば考慮する箇所は少なくて、昨年のようなシーケンス図と機器の結線を具体的に追っていく問題よりかはシンプルに解答できる内容だったと思う。問1をまだよく見てないが(読むことはないだろうが)、もしかしたら設問の難易度的にも問2のほうが易しかったのかもしれない。
【設問別の感想】
設問1のウ 「クラスタグループごとに仮想IPアドレスと( ウ )アルゴリズムが設定できるので・・」、負荷分散のアルゴリズム?なんだったっけ?と深読みしてしまい、過去問でよく題材にされていたDNSによるラウンドロビンを思いついて解答してしまった。ラウンドロビンは負荷分散の振り分けの方法であり、ましてDNSサーバなんてどこにも書いていない。
設問2(1) どこかの問題演習でどハマリした記憶があった。多分テナントネットワーク(顧客ごとの論理ネットワーク)に関連し、2台の物理FWで複数の顧客毎の論理ネットワークのFW冗長化をするには、1台の筐体で複数のFWを動かさないと実現できないと読んでこのように解答。iTECでは「顧客毎に独立させたFWの提供」、TACでは「顧客毎のフィルタリングの違い」をキーワードにしている内容だが、ここは「顧客毎」というキーワードがあれば正解なのだろうか?私の解答は「冗長化」となっているが、「顧客毎」を含めたので一応正解と解釈した。
設問2(2) 「アクティブのFWをFWaからFWbに切り替えるのにFWa又はFWbが監視する内容」という設問で、過去問でも何度かやったことがあった。「図2の構成案ではFWとLBは、FWaとLBaをアクティブに設定する」という記述があるので、FWaと結線している装置との疎通が途切れた場合を想定して、FWaとの上位下位装置の接続点とFWbとFWaの接続点の障害を検知して切り替わるようにすればいいんじゃないかと思い解答。ただし、iTECの解答例では「FWbが監視するFWaの死活状態」としている。確かに、FWbからFWaのリンクアップ状態だけでは、FWbは上位のL2SWb→L2SWaを経由してFWaとの疎通が確認できていても、フェールオーバしてしまうことになる。よって、3つ中1つを誤りと判断。
設問2(3) VLAN設定は過去問で何度も間違えた経験もあり、少し考え込んだ。ただ、今年のSDN導入のときにサーバSEに「SDNスイッチに接続する要件」として「サーバ収容VLAN全部をサーバのNICにタグ(IEEE802.1Q)付きで設定すること」を伝えたことを思い出し、その内容かなと思い解答。iTECもTACもそのような内容だった。実務が試験に生かされた(本来は逆?)問題だったと思う。
設問3 iTECとTACで解答が割れている問題。私は設問にわざわざTCPコネクションを張ると書いているのだから、OFCとOFSが使用するポート番号はすでに既知であり、「最低限の情報」というならば、OFCとOFSセグメント(字数制限上、これらをOFチャネルとまとめてしまった)のIPアドレスじゃないかと思い解答。たしかにiTECの例のとおり、TCPコネクションの基本情報について問われているというならばIPアドレスとポート番号の組み合わせを与える必要があるだろう。公式もそのように解答例を出すような気がする。よって誤答と判断。(そもそもOFチャネル≠OFCとOFSのセグメント)
設問4(1) 「従来方式で仮想FWを設定する場合に、各仮想FWに必要なネットワーク情報」という設問。仮想FWもそれぞれ物理FWと同様に一つのTCP/IPデバイスと解釈すれば「仮想FWの仮想IPアドレス」と「デフォルトゲートウェイ(アドレス)」が必要なのは気がついたが、もう一つが思い浮かばなかった。私が解答したのは、物理デバイスと同じように仮想IPアドレスが束ねる実IPアドレスが必要なのでは?と考えて解答。iTECは「VLAN番号、仮想IPアドレス、デフォルトゲートウェイ」、TACは「仮想ポートのIPアドレス、サブネットマスク、VLANID」という解答を示している。VLAN番号は思い浮かばなかったが、言われてみれば確かに必要な情報だ。そもそも仮想化されたネットワークデバイスで冗長化を考える場合、仮想IPアドレスと実IPアドレスという考え方はあるのだろうか?いらないのような気がするが、どのような仕組みでいらないと言えるかはまだ説明できない。よって、3つ中1つを誤答と判断。
設問4(2) 「従来方式で追加する顧客に応じたVLAN設定が必要だが、その中でポートVLANを設定する箇所は?」という設問。ポートVLANとはポート単位に設定するひとつのVLAN、つまり顧客専用のポートとなるところ。まず、顧客用のY社DCアクセス回線周りの機器に接続する「L2SWa、L2SWb」は最初に気がついた。それと、サーバ周りについても顧客ごとにVLANが分けられているから「仮想L2SW」も目に付いた。下書きで「L2SWaとL2SWbの顧客用L2SW又はL3SWが接続するポートと仮想L2SWで顧客の仮想サーバが接続するポート」と書いたが、これでは40文字に収まらない。で、顧客用L2SW又はL3SWを「顧客用機器」とまとめて書いてみた。iTEC、TACとも、仮想L2SWの接続ポートは書いてなかった。仮想L2SWってVLANとかの設定はしないのだっけ?そのあたりはまだ調べることができていない。自己採点としてはiTECとTACとも誤答とした。
設問5(1) これがiTECとTACで全く解答が割れてしまっている設問。まず、「本番システムで図4のような3顧客の仮想サーバを配置した場合に発生する問題」については、図4の仮想サーバの配置を見ると特定の顧客の仮想サーバが特定の物理サーバに配置されている形態になっている。この場合、例えば物理サーバ1で障害が発生して停止した場合、顧客P社とQ社の全ての仮想サーバが停止してしまい、業務継続ができない。同様に物理サーバ2が停止した場合は顧客Z社の仮想サーバが全て停止してしまう。そのことから「ある物理サーバに障害が発生すると、ある顧客の全ての仮想サーバが停止する問題」と解答した。次に「問題を発生させないための仮想サーバの配置」については、それぞれの顧客の仮想サーバを物理サーバ1、2に分散配置すればある物理サーバが故障しても顧客の仮想サーバは部分的に稼動を続けることができ、業務継続ができる。冒頭のサービス基盤の要件としても「(3) サービス基盤は冗長構成とし、サービス停止を極力抑えられる」とある。解答として「物理サーバ1と2に全ての顧客の仮想サーバをそれぞれ分散配置する」とした。これは私もSDNの導入の際に、同じ役割の仮想サーバは異なる物理サーバに配置して冗長性を実現するという経験もあって自信をもって解答できた。しかしながらTACは問題として「全ての顧客が利用する物理サーバ3に全ての通信が集中してしまう」、配置を「同一顧客のサーバは1台の物理サーバ内の仮想サーバにまとめて構築する」という真逆の解答を出してきた。これはネットワークの輻輳に着眼した解答のよう。たしかに、FWやLBの機能は物理サーバ3に全て収容されており、各顧客の仮想サーバとの通信は必ず物理サーバ3を経由する構成であるため、OFSと物理サーバ3の通信は全ての顧客の通信が集中してしまう。また、物理サーバ3が故障またはOFSと物理サーバ3のネットワークが輻輳すると全ての顧客が仮想サーバに接続できないことになってしまう。そうした問題を起こさせないためにも、トラフィックを分散させる面で「同一顧客のサーバは1台の物理サーバ内の仮想サーバにまとめて構築する」という解答を出したのだろう。具体的な配置例としては、物理サーバ1がP社の仮想サーバとFWp,LBp、物理サーバ2がQ社の仮想サーバとFWq、物理サーバ3がZ社の仮想サーバとLBzという配置だろうか。ネットワークの輻輳と各顧客のネットワーク機能に着眼した鋭い解答だと思う。ただ、この場合サービスを維持するには「全ての物理サーバが正常に稼動している」必要があり、サービスの稼働率としては仮想サーバの分散配置案よりも低下することを許容しなければならないだろう。私自身は経験上からもiTECの解答案を支持したいところであるが、IPAはどんな解答を示すのだろうか。
設問5(2) 今年の午後Ⅱ試験で最も解答字数が多い問題。「FエントリがなくてもFWpとLBpの間の通信が行われる理由」を述べるもの。一見難問そうだったが、図4の物理サーバ3内の配置をみると、FWpとLBpは同じ仮想L2SW配下にあって、おそらくここで折り返す通信があるのだろうということはすぐに推測できた。よくみるとFWpの内部側ポートとLBpの外部側ポート(仮想IPアドレスが割り当てられてるポート)は同じVLAN=b(VLAN110)にあり、OFSを経由せずに通信可能だからOFSにFWpとLBp間の通信のフローテーブルが無くても通信可能であるということが導けた。まあ、仮想L2SWがFWpとLBpのMACアドレスが学習していて、というふうに繋げば解答は書けるかなと思っていてが、ここでふと過去問のことを思い出した。そういえばよく「仮想L2SWはMACアドレスを学習しない」というケースが多かった気がする。それで問題文を巻き戻してその記述がないか確認するが、今回は見当たらない。仮想L2SWの設定を実際に見たことがなく、仮想L2SWが実際にMACアドレステーブルを学習するものなのかを自信をもっていえなかったので、今回はFWpのARPテーブルで同じVLANにあるLBpの外部側ポート(仮想IPアドレス)のMACアドレスを解決しているだろうと思いそのように解答した。仮想サーバが実際にARPを持っていることは、私の知るところでは普通にWindowsサーバが動いていればコマンドプロンプトでARPテーブルを確認できたので、ARPテーブルは仮想サーバであっても個別に存在すると思う。iTECもTACも着眼点は同じだが敢えてL2SWのMACアドレステーブルやFWpのARPテーブルには触れていないようだ。一応自己採点では正答と判断しているが、もしかしたら減点かも。
設問5(3) F(フロー)テーブルを追いかけていく問題。ただ今回は素直にサーバ間の通信(送信元MACアドレスとあて先MACアドレス、VLANID)を追いかけていけば、すんなり解けたと思う。ちなみに今回は「優先度」がでてきているが、それは考慮しなくてもよかった。Fテーブルの記述は、ネットワークの基本動作に絡めて出題しやすそうだから、来年以降も事あるごとに出てきそうな感じがする。iTEC、TACとも私の解答と同じだった。
設問5(4) 仮想サーバ(Webサーバp4)が物理サーバ2に移動したときのFテーブルの変更内容の設問。これも移動した後のサーバまでの通信を送信元MACアドレスと宛先MACアドレスとVLANIDを手がかりに追いかけていけば、すんなり解答できた。ちなみに変更するOFSはOFS1、2は冗長構成としているのだから両方とも同じFテーブルを持っていなければならない。またOFCからのコントロール通信はユニキャスト/マルチキャストに対応していることはどこかの本で読んだ記憶がある。
以上の結果から、自己採点は以下のとおり。
iTEC 78/100 TAC 74/100
今年の午後Ⅱについては、自己採点としては比較的余裕がもてそうで、午後Ⅰさえ通過していれば合格できるのかもしれない。設問5(1)の影響で、今年はTACのほうが低く出ている。
IPAの公式解答の発表は12/18正午、合格発表は12/21正午。