設問1
本文中の【 ア 】〜【 エ 】に入れる適切な字句を答えよ。
穴埋め問題です。分からなかったら迷わず次に行きましょう。
【 ア 】
>今までどおりの静的経路制御によってニつのISPと接続する方法とは、
>公開サーバごとに、送受信されるパケットが経由する【 ア 】を分ける方法です。
です。
これは素直に考えたら、いいでしょう。"経路"ですね。
【 イ 】
>【 イ 】からISPに向けて発信するパケットは、負荷分散装置(以下、LBという)によっ
> て振り分ける
図1を見てみましょう。ISPに向けて発信するのは内部セグメントか、DMZです。
DMZからの発信を負荷分散するといろいろ大変でしょうから、"内部セグメント"で
いいでしょうね。
この場合、図1内の言葉を使用した方が無難だと思います。
【 ウ 】
【 エ 】
>DMZ-1で公開するIPアドレスを【 ウ 】から貸与されたものとし、
>DMZ-2で公開するIPアドレスを【 エ 】から貸与されたものとします。
IPアドレスを貸与する方法が2あるようです。
IPアドレスは、ISPから貸与されますね。
図1から素直に、DMZ-1=>ISP1、DMZ-2=>ISP2でいいと思います。
|
(Tomの解答例)
【 ア 】:経路
【 イ 】:内部セグメント
【 ウ 】:ISP1
【 エ 】:ISP2
設問2
図2のISPの二重化に関する次の問いに答えよ。
(1)本文中の下線(a)となる理由は何か。75字以内で述べよ。
(a)リプライパケットは同一のISP経由で同一のファイアウォールに戻ってきます。
何を問われているかにチェック!理由を問われています。
B君の会話の内容ですね。
ISP1とISP2で負荷分散をしています。もし、ISP-1ルートで障害が発生しても、
ISP-2ルートで接続してくれると言っています。
さらに、その場合には、応答パケットもISP-1ではなく、ISP-2から返ってくるということ
ですよね。その理由を問われています。
下線(a)の前に
>NATをファイアウォールで行えば
と書いています。これがキーワードでしょう。
NAT(Network Address Translation)は、IP Addressを1:1で変換します。
通常、内部LANではPrivate IP Addressを使用していますから、そのままではInternetに
接続できません。このNAT機能で、Private IP AddressをGlobal IP Addressに変換
してやります。
ここで、例として
ファイアウォール1のInternet側IP Addressを100.10.5.100,
ファイアウォール2のInternet側IP Addressを200.10.5.100
とします。
内部LANからの通信では、ISP-1ルートに障害がある場合、ISP-2ルートになるので、
ファイアウォール2で送信元IP Addressは200.10.5.100に変換されます。
接続先からの応答(リプライ)パケットは、その送信元IP Addressに向けて
返ってきますので、ファイアウォール2に返ってきます。
もし、NATを行わなかったらどうなるでしょう?
Internetと接続するには、内部LANもGlobal IP Addressでないといけません。
通常はこんなことやりませんが、理論上は可能です。
その場合は、リプライパケットは内部LANのNetwork Address向けに返ってきます。
この場合は、ファイアウォール1経由かファイアウォール2経由かは、言いきれないです。
>NATをファイアウォールで行えば
と前提があるのはそういうことでしょう。 |
(Tomの解答例)
ファイアウォールでNATすると、リプライパケットのあて先アド
レスが、ファイアウォールのアドレスになり、障害時でも同一のI
SP経由で返ってくるため。(73)
(2)LBでISPまでのルート障害を検出するためには、どの機器に対してpingチ
ェックを行えばよいか。20字以内で述べよ。
何を問われているかにチェック!どの機器に対してかを問われています。
>LBは、Pingによる定期的な応答チェックを行い、転送先の障害を検出して転送先
>を切り替えることができます。
この本文についてですね。
字数は20字ですから、そんなに多くは書けません。
〜の〜が限度でしょう。
障害を考えるには、「近くから遠くへ」が鉄則です。
接続する上での経路を図2を見ながら思い浮かべてみましょう。
LB == ルータ == アクセスポイント == AS ・・・
アクセスポイントのルータに対して確認チェックできれば、ルート障害が検出でき
ますね。
|
(Tomの解答例)
ISPのアクセスポイントのルータ(16)
設問3
図3のメールシステムに関する次の問いに答えよ。
(1)【 a 】〜【 d 】に入れる適切な字句を答えよ。
メール転送をDNSを用いた二重化についての問題です。
本文だけ読んでいると、非常にややこしいですが、図3を見ながら解いていくと
そんなに難しくないのが分かります。
一つ、一つ整理しながら解いていきましょう。
(イ)社外からのメールは、いったん中継用SMTPサーバに転送
これはいいですね。
(ロ)2台の中継用SMTPサーバのホスト名は、社外向けDNSサーバに【 a 】値を変えて登録。
そうすると、
・通常時・・・ISP-1経由でメールが転送
・障害時・・・ISP-2経由でもう一方の中継用SMTPサーバに転送
これを読んでいるとなんとなく”優先順位”のような言葉が入るのかな?っていうことが、
なんとなく分かります。
ここで、DNSについて、おさらいしましょう。
DNS Serverでは通常"BIND"というSOFTが動いていますが、その中で、
ホスト名 と IP Addressの対応表があります。
このPageのURL:www.tomnetwork.netであれば、
”tomnetwork.net”のDNS Serverのある、61.115.78.112までたどり着きます。
次に、www.がどこにあるかは、BINDで書かれている内容を参照するのですが、
www IN A 61.115.78.112
と書いてあげると、wwwは61.115.78.112ですよという意味になります。
実際にボクのサーバの場合、DNSサーバとwwwサーバは同じパソコンですから、
このように設定されています。
次に、メールについてです。
メールでは、MXレコードを使用します。
書き方は、こんな感じです
IN MX 10 61.115.78.112
IN MX 20 61.115.78.113
MXとホスト名の間に、Preference-Valueという値を設定して、
数字が若い順に優先度が高くなります。
この場合では、61.115.78.112に優先的に転送され、
障害時には、61.115.78.113に転送されます。
Preferenceを日本語に訳すと、優先ですから、この場合は優先(値)でいいと思います。
本題に戻りましょう
(ハ)中継用SMTPサーバでは、受信したメールをメール配送定義に従って【 b 】に転送。
図3を見たら分かりますね。中継用SMTPサーバの次はウイルス対策サーバです。
(ニ)このメール配送定義には、バックアップ用サーバの設定を含める。
メインのウイルス対策サーバが障害時には、破線に沿って、もう一個に転送されています。
(ホ)【 b=ウイルス対策サーバ 】では、社内向けのDNSサーバを参照して【 c 】に転送。
これも図3を見たら分かりますね。ウイルス対策サーバの次はSMTP/POPサーバです。
(ヘ)社内向けDNSサーバには、MXレコードとして【 c 】と【 d 】の2台のサーバのホスト名を登録。
MXレコードはさっきやりました。メールの転送先です。
ウイルス対策サーバからの転送先は図3を見ると、SMTP/POPサーバとスプールサーバですね。
(ト)それらには異なる【 a=優先 】値を与えることによって、【
c=SMTP/POPサーバ 】の障害時
にバックアップが行われるようにします。
ちゃんと埋まりました。 |
(Tomの解答例)
【 a 】:優先
【 b 】:ウイルス対策サーバ
【 c 】:SMTP/POPサーバ
【 d 】:スプールサーバ
(2)中継用SMTPサーバでは、なぜ不正中継防止処理を容易に実施できるか。
その理由を40字以内で述べよ。
何を問われているかにチェック!理由を問われています。
>社内に転送されてくるメールは、必ず中継用SMTPサーバを経由しますから、
>中継用SMTPサーバで容易に対策を実施することができます。
このB氏の回答についてですね。
不正中継、いわゆる"踏み台"にして"なりすまし"です。
メールで攻撃する場合、自分(自分のプロバイダ)のメールサーバを使用すると、
"足跡"が残ってしまいます。
ですから、他のメールサーバを中継(これを踏み台と言いますが)して、そこから
攻撃するわけです。
SMTPは認証を必要としませんから、対策をしていなければ簡単に出来てしまいます。
その対策として、「認証を行う」なんですが、POP Before SMTPがこれに該当します。
POP Before SMTPでは、SMTPで送信する前に、その送信者が許可された人なのか、
POPの認証機能で確認してから送るようになっています。
これを実施すれば、不正中継は対策することが出来ますが、
サーバだけでなくクライアント側も設定変更が必要であり、”容易に”は出来ません。
さらに、"中継用SMTPサーバだから出来る"対策でもありません。
他に方法があるようです。
中継用SMTPサーバとSMTP/POPサーバの用途を比較してみましょう。
SMTP/POPサーバは外部(Internet)宛にMailを送信する必要がありますが、
中継用SMTPサーバは、社内宛てのMailを中継するだけですね。
もし、社内宛てでなければ破棄してあげればいいです。
この方法で踏み台にされることは回避できます。
この問題の回答は、不正中継防止処理を実施する方法ではなく、実施できる理由です。
これを意識して回答を作りましょう。 |
(Tomの解答例)
中継用サーバは外部あてメールは転送不要で
社内宛て以外のメールは破棄すればいいため(40)
設問4
ECシステムの安全対策に関する次の問いに答えよ。
(1)【 オ 】に入れる適切な字句を答えよ。
RAIDについてです。
RAIDは0〜5までありました。
これは知ってないと解けませんが、整理しておきましょう。
RAID0:スプライピング
RAID1:ミラーリング
RAID2:ハミングコード
RAID3:パリティ(バイト)
RAID4:パリティ(ブロック)
RAID5:パリティ+ストライピング
では、本文を見てみましょう。
>RAID0+1の構成として、高速化と可用性を高めます。
>RAID0は、記録データを複数の磁気ディスク装置に分散させる方式で、
>RAID1は、磁気ディスク装置の【 オ 】を行う方式です。
>RAID0+1とは、この両方を行う方式です。
RAID0は複数のディスクでスプライピングを行いますのでOKですね。
RAID1は【 オ 】ですから、ミラーリングが入ります。
午前問題ネタですね。
|
(Tomの解答例)
【 オ 】:ミラーリング
(2)APサーバヘの処理の振分けのために、LBを利用しない理由は何か。55字
以内で述べよ。
何を問われているかにチェック!LBを利用しない理由について問われています。
早速本文を見てみましょう。
(2)ECシステムとDNSサーバの安全対策
のところです。
まとめてみましょう。
・Webサーバ---セション管理、画面制御、業務選択に使用。
---2台構成。
---LBがもつ負荷分散機能を利用して拡張性と可用性を高める。
・APサーバ---業務処理を実行
---2台構成。
---振分けサーバを利用して負荷分散。
・振分けサーバ・・・CPU性能と稼働状況を基にCPUの負荷率を検出し、
最も負荷の低いサーバを選んで処理を実行させる機能をもつ
・DBサーバ---クラスタリング構成。
なぜ、LBを使用せずに、振分けサーバで負荷分散するのですか?ってことです。
振分けサーバは、CPU性能と稼働状況を基にCPUの負荷率を検出して負荷分散すると
書いています。
では、LBはどういう方法だったでしょう?
(1)ISPの二重化
のところに書いてありました。
>LBは、送信元のIPアドレスなどトランスポート層以下の情報を基に振分け先を制御します。
つまり、
@CPU性能と稼働状況を基にCPUの負荷率を検出して負荷分散する(振分けサーバの特徴)方がいいこと
A送信元のIPアドレスなどトランスポート層以下の情報を基に振分け先を制御(LBの特徴)が悪いこと、
もしくはそれが出来ないこと
つまりは、
「LBでは、トランスポート層以下の情報を基に振分け先を制御するのであって、
CPU負荷で制御していないため」
なんですけど、「じゃあ、Webサーバも同じじゃないの?」ってことになってしまいます。
WebサーバではLBでも問題ないですけど、APサーバでは問題がある理由が何かあるはずです。
LBでも、振分け先でちゃんと負荷分散をしています。
Webのように、負荷が軽かったらそれで問題ないんですけど、APサーバのように業務処理
を行うような重い負荷も混じっていたらそういうわけにもいきません。
片方に負荷の重い処理が偏ってしまうことも十分に考えられますね。
|
(Tomの解答例)
業務処理のような重い負荷のあるAPサーバへの負荷分散は、LB
のようにIPアドレスだけで振り分けられないため。(54)
(3)本文中の下線(b)に従ってDNSサーバを設定するが、図4のDNSサーバ2
が管理するゾーン情報は何か。20字以内で述べよ。
(b)社外向けDNSサーバは、ISPの障害を考慮して、ISPごとに分けて設置します。
これに設定した場合、ゾーン情報はどうなるか?ですね。
DNSのゾーンとは領域のことです。
このDNSがホストとIPアドレスについて、管理している範囲のことですね。
社外向けDNSサーバは「DNSサーバ1」と「DNSサーバ2」がありますが、
どっちのことでしょうか?
(2)ECシステムとDNSサーバの安全対策
の中に書かれている内容ですので、ECシステム内のDNSサーバである「DNSサーバ2」
でしょう。
では、DNSサーバ2はどんな情報を持っているでしょうか?
@DMZ-2の中継用SMTPサーバのMX情報
ADMZ-2のLBのホスト情報
の2つですね。
20字しかありませんので、こんな感じの回答になりそうです。
|
(Tomの解答例)
DMZ−2上の中継用SMTPサーバとLB(20)
設問5
IDCのハウジングサービス利用に関する次の問いに答えよ。
(1)図5中の【 e 】、【 f 】に入れる適切な機器の名称を答えよ。
また、解答欄に本文中の表記に従って必要な機器及び接続関係を図示し、図5
を完成させよ。
穴埋めと図示問題です。
ECシステムについてですね。図4のECシステム部分と図5を見比べて、
図を作っていきましょう。
基本的には図4と一緒ですから、
【 e 】が、ファイアウォール2
【 f 】が、スイッチングハブ
でいいんじゃないでしょうか。
|
(Tomの解答例)
【 e 】:ファイアウォール2
【 f 】:スイッチングハブ
(2)自家発電に切り替わるときのUPSの役割は何か。40字以内で述べよ。
表3の下に書かれているF君の質問のことですね。
>F君:自家発電設備があるのに、UPS設備をもつ理由は何ですか。
でも、この問題は”理由”ではなく、”役割”です。引っかからないようにしましょう。
次のC氏の回答にキーワードが一杯あります。
>C氏:商用電源の瞬断からコンピュータシステムを守るためです。また、停電時には
> 自家発電装置が稼働しますが、自家発電に切り替わるときの対策も兼ねています。
@商用電源の瞬断からコンピュータシステムを守る
A停電時の自家発電に切り替わるときの対策
これを回答としましょう。
|
(Tomの解答例)
停電時の自家発電に切替時の電源供給と商用
電源の瞬断からコンピュータシステム保護(39)
(3)〔ECシステムの運用に関する課題〕のC、Dに対応するために、運用管理
マニュアルで指示すべき具体的な作業内容を二つ挙げ、それぞれ40字以内で
述べよ。
(Tomの解答例)
オプションであるSNMPによる監視を利用
し、トラフィック急増時に通知させる(37)
夜間にバックアップするデータ、バックアッ
プをとる媒体、保管方法など(33)
(4)IDCのハウジングサービス利用によって、ECシステムの運用は、Y社内で
行うものとIDC業者に委託するものに分けられる。Y社が新たに考慮しなけ
ればならない障害対策上の課題は何か。80字以内で述べよ。
何を問われているかにチェック!
ECシステムの運用の中で、Y社が新たに考慮する課題です。
"障害対策上の課題"も重要です。
まず、ECシステムの運用の中で、障害対策に対する分担を整理しておきましょう。
〔ECシステムの運用に関する課題〕
@ISP−2に障害が発生した場合も停止させないための対策
A停電時や電気設備の法定点検による電源断のときも停止させないための対策
Bシステムを24時間365日稼働させるための運用体制
C トラフィックの急増に柔炊に対応するための対策
D 夜間バックアップ作業のための運用体制
この中で、障害関係は@、A、Bです。
@:ISPとのピアリング 10社 => 全て、IDC業者がやってくれます。
A:商用電源2系統、自家発電設備、UPS設備 => 全て、IDC業者がやってくれます。
B:24時間365 日のシステムの監視 => 全て、IDC業者がやってくれます。
障害対応及び運用管理 => Y社が作成したマニュアルに沿ってIDC業者がやっ
てくれる。
つまり、このマニュアルのことですかねぇ...
想定されていることはマニュアルに書いておきます。
では、想定されていないことが起こったら? 連絡方法は?対処方法は?
この辺りも考えておく必要がありますね。 |
(Tomの解答例)
ECシステムに障害対応マニュアルで想定さ
れていない障害などが発生した場合のY社へ
の連絡方法、IDC業者での対処方法などを
考慮しておく必要がある課題(73)
|