過去問(午後)テクニカルエンジニア
(ネットワーク)過去問(午後)テクニカルエンジニア(ネットワーク)過去問 平成15年 午後2 問1
テクニカルエンジニア(ネットワーク)過去出題問題平成15年 午後2 問1最終更新日 2006/02/26
|
| Tomのネットワーク勉強ノート |
| 過去問(午後) |
| テクニカルエンジニア
(ネットワーク)過去問(午後) |
| テクニカルエンジニア(ネットワーク)過去問 平成15年 午後2 問1
|
問1
全社ネットワークの再構築に関する次の記述を読んで,設問1〜5に答えよ。
Y社は,本社と3か所に営業所をもつ,建築材の卸売業者である。従業員は200名
で,本社に150名,各営業所に10〜20名が勤務している。Y社では,現在,図1に
示すネットワークを構築して業務に利用している。本社のDMZにDNSサーバ,Web
サーバ及びメールサーバを設置して,これらをインターネットに公開している。
図1 Y社のネットワーク
本社と各営業所間は,FRサービスを利用して接続されている。また,本社から
1.5Mbpsの専用線でISP1を経由してインターネットに接続されている。本社及び各
営業所からのWebサーバの閲覧などによるインターネットの利用は,社内LANに設
置されたプロキシサーバを経由して行われている。各営業所の従業員は,各自のPC
からFR網を経由して,社内LANに設置された社内メールサーバと業務サーバを利用
している。
最近,全社的にインターネットの利用が増大したので,時間帯によっては応答時間
が長く感じられるようになった。特に,各営業所では,インターネットの利用だけで
なく,社内メールサーバや業務サーバを利用する際の応答時間も長くなり,不満が多
くなってきた。
この間題の原因は,ISP1への接続回線やFR網を利用するための回線の帯域不足に
あると判断されたので,ネットワーク運用管理責任者のH課長は,担当者のK君に次
の3点の改善目標を示し,改善案の検討を指示した。
・インターネットの利用における応答時間の改善
・各営業所から社内メールサーバや業務サーバを利用する際の応答時間の改善
・ネットワークの利用における費用の削減
K君は,FTTHとして普及が始まっている光接続サービスや,ADSLサービスを利
用したネットワークの再構築が改善策として最適であると考え,改善方針を次の3点
にまとめてSI業者のM氏に提案を求めた。
・インターネットヘの接続は,光接続サービスやADSLサービスを利用して広帯域化
する。
・本社と各営業所問の接続には,インターネットVPN(以下,VPNという)を利用す
る。
・ISPへの接続回線やISPのネットワークに障害が発生しても,Y社でのインターネ
ットの利用やVPNの使用が継続できるようにする。
M氏は,K君の改善方針を基に,次のような提案を行った。
〔ネットワークの概要〕
(1)インターネットヘの接続
光接続サービスやADSLサービスを利用するととさに,障害が発生してもインタ
ーネットの利用が継続できるようにするために,二つの異なったISPへの接続(以
下,マルチホーミングという)を行うことにした。これには,マルチホーミング専
用装置(以下,MHという)を利用することにした。
(2)本社と各営業所間の接続
MHがもつ機能によって,ADSLの2回線を束ね,IPsecを使用してVPNトンネ
ルを構成することにした。これによって,本社と各営業所間の接続にインターネッ
トを利用した場合でも,MHを使用すれば,安全性が確保できるとともに信頼性も
高められる。
上記(1),(2)によって広帯域化され、ネットワークの利用における費用の削減も実現
できることになった。図2に,M氏が提案したネットワーク構成を示す。
図2 M氏が提案したネットワーク構成
本社と各営業所に導入するMHは,次のような機能をもっている。
@ NAT機能
ISP側に転送される(以下,アウトバウンドという)パケットの送信元アドレス
及びISP側から転送される(以下,インバウンドという)パケットのあて先アドレ
スを,NATテーブルを参照して変換する。
A ルート障害対策機能
pingコマンドを発行して応答の有無を確認する方法(以下,ping確認という)に
よってルートの障害を検知し,正常なルートだけを使用する。
B アウトバウンドトラフィックの振り分け機能
ISP側の二つのポートに対して,セション単位にアウトバウンドトラフィックを
振り分けることで,回線の負荷分散を行う。振り分け比率は,任意に設定できる。
Cインバウンドトラフィックの振り分け機能
振り分けには,DNS機能を利用する。具体的には,登録された複数のIPアドレ
スを交互に回答するラウンドロビン機能を利用して,インバウンドトラフィックを
二つのルートに振り分ける。
D VPN機能
MH間で,二つのISPとの接続回線を束ねて一つのVPNトンネルを構成すること
で,回線の負荷分散を同時に行う。
以上に示したように,MHは,マルチホーミングとVPN機能を併せもっている。ア
ウトバウンド処理では,アウトバウンドパケットを解析し,必要に応じてVPN機能を
働かせる。VPN機能を働かせない場合には,アウトバウンドトラフィックの振り分け
機能を働かせる。これらの機能にルート障害対策機能を組み合わせることによって,
インターネットの利用やVPNの使用が継続できるようにすることが可能になる。本提
案では,図2中のMH−1のVPN機能は働かせないが,MH−2の
VPN機能は働かせる。
また,既存のDNSサーバは使用せず,MH−1に内蔵されたDNS機能を使用する。
〔MHの設定と動作の概要〕
(1)IPアドレスとNATテーブルの設定
図3に,MH−1とサーバに設定されるIPアドレスを示す。図3に示したように,
MH−1と公開されるサーバには,ISP1から割り当てられたIPアドレスに加え,ISP2
から割り当てられるIPアドレスも付与する。
図3 MH−1とサーバに設定されるIPアドレス
MH−1は,図3に示すようなポート構成をもち,P1とP2のそれぞれに対して,
NAT機能を独立に設定することが可能である。本提案では,既存環境に極力影響を
与えないで導入できるようにするために,P1でのNAT機能を働かせない透過モー
ドを利用して,P2だけでNAT機能を働かせる。MH−1に内蔵されたDNS機能は,
P1とP2に設定されるIPアドレスで利用できる。既存のDNSサーバに設定されて
いたIPアドレスをそのまま利用するために,P1にはIP1−1が設定される。MH−1で
は透過モードが利用され P0とP1が同一のIPアドレスになるので,P0にはIP1−1
が設定される。
表1に,P2におけるNATテーブルの設定内容を示す。
表1 P2におけるNATテーブルの設定内容
| No. | アドレス1 | アドレス2 |
| 1 | IP1-2 | IP2-2 |
| 2 | IP1-3 | IP2-3 |
P2でのアドレス変換は,表1の設定に従って次の手順で行われる。パケットが
P2から出力されるときに,送信元IPアドレスがNATテーブルのアドレス1に存在
する場合には,同一行のアドレス2に変換される。存在しない場合には,P2に設定
されたIPアドレスに変換される。一方,パケットがP2に入力されるときに,あて
先IPアドレスがNATテーブルのアドレス2に存在する場合には,同一行のアドレ
ス1に変換される。また,P2に設定されたIPアドレスの場合には,DNS機能を利
用するパケットを除いて,ポート番号に基づいてプライベートIPアドレスに変換さ
れる。それ以外の場合には,MH−1によって廃棄される。
図3に示したWebサーバからISPに送信されるパケットが,P1から転送される
場合には,送信元アドレスが【 a 】になる。また,P2から転送される場合に
は,表1の設定によって,【 b 】になる。MHを導入してアウトバウンドトラ
フィックの振り分けだけを目的にする場合には,(a)MH-1に図3に示したIPアドレ
スを付与して表1の設定を行うことで,図1に示した既存のDNSサーバの設定を変
更しないでそのまま利用できる。しかし,その場合には,(b)Y社から転送される電
子メールの受信がISPのポリシによって拒否されるという問題が発生する可能性が
ある。この間題を発生させないようにするためには,既存のDNSサーバの設定を変
更する必要がある。本提案では,インバウンドトラフィックの振り分けも目的にす
るので,既存のDNSサーバを使用する方法は行わないことにした。
(2)pingコマンドのあて先の設定
MHは,ping確認によってルートの障害を検知する。MH-1では,アウトバウン
ドのルートの障害を検知するために,pingコマンドのあて先として,ISP側のポー
トごとに,接続先のISPのエッジルータを設定する。しかし,(c)MH−2に対して
pingコマンドのあて先にエッジルータを設定しても,
VPNのルートの障害を検知で
きないので,pingコマンドのあて先に違う場所を設定する。
(3)DNS機能の設定
インバウンドトラフィックの振り分けは,MH−1のNAT機能とDNS機能によっ
て行われる。図3において,P1又はP2のどちらかのルートに障害が発生しても,
DNS機能は正常なルートから利用されなければならない。そのため,JPドメインを
管理するDNSサーバには,MH−1に内蔵されたDNS機能を利用するためのIPアド
レスを基に,登録データの変更が必要になる。また,DNS機能が回答するホストア
ドレスも,ISP1とISP2の両方を経由して接続されるものでなければならない。こ
の回答を行うために,Webサーバとメールサーバに対して,図3に示したように,
ISP2経由で接続されるときのIPアドレスを割り当てる必要がある。これらの設定
によって,MH−1に内蔵されたDNS機能では,インバウンドのルート障害対策機能
を実現させることができる。図4に,図2のネットワーク構成に移行するための
MH-1に内蔵されたDNS機能の設定内容の一部を示す。
図4 MH−1に内蔵されたDNS機能の設定内容の一部
(4)VPN機能の設定
図5に,MH−2を利用してVPNを構成するための本社と各営業所の接続構成を示
す。MH−2では,透過モードと内蔵されたDNS機能は使用しない。
図5 本社と各営業所の接続構成
VPNは,本社に設置するMH-2と各営業所に設置するMH−2との間で設定される。
表2に,本社に設置するMH−2のVPN機能の設定を,表3に,金沢営業所に設置す
るMH-2のVPN機能の設定を示す。表2,3では,二つのISPとの接続回線を束ね
て一つのVPNトンネルを構成する設定を示している。
表2 本社に設置するMH−2のVPN機能の設定
| 始点 | 終点 | 対象 | |
| wh−1 | wa−1 | IP-a | |
| wh−2 | wa−2 | ||
| wh−1 | wb−1 | IP-b | |
| wh−2 | wb−2 | ||
| wh−1 | Wc−1 | IP-c | |
| wh−2 | Wc−2 |
表3 金沢営業所に設置するMH−2のVPN機能の設定
| 始点 | 終点 | 対象 | |
| wb−1 | 【 オ 】 | 【 キ 】 | |
| wb−2 | 【 カ 】 |
MH−2は,アウトバウンドパケットのあて先ネットワークアドレスが,表2,3中
の対象欄のネットワークアドレスと一致する場合に,IPsec形式への変換を施して接
続先のMH-2に対してパケットを転送する。
IPsecには,セキュリティサービスを実施するために【 c 】とSPI
(Security Parameter Index)という概念が導入されている。図5において,ある営
業所のPCから本社の業務サーバへの通信が開始されると,その営業所のMH−2は,
自身がもつかぎ管理機能によって【 c 】とSPIを取得する。さらに,これら
の情報に基づいてIPsec形式に変換を施したパケットを,本社のMH-2あてに転送
する。パケットを受信した本社のMH−2は,パケット中のSPIに基づいて,復号処
理を行う。IPsec通信で必要になるかぎは,本社とある営業所のMH−2間で共有され
る。共有のためのかぎ交換方式には,事前に設定する方式とRFC2409に明記された
【 d 】による交換方式があるが,本提案では,事前に設定する方式を採用する
ことにした。
K君がまとめたネットワークの再構築案の説明を受けたH課長は,社内手続を経て,
K君に社内ネットワークの再構築を指示した。H課長の指示を受け,K君は,M氏の
会社にネットワークの再構築を発注した。
〔ネットワークの移行〕
(1)関連機器の設置と設定
まず,M氏の会社の作業者は,関連機器の設置と設定及び既存のDNSサーバとイ
ンターネット接続用のルータの撤去を行った。その後,MH−1を
ファイアウォール
のISP側のポートに直結した。ファイアウォールのポートがオートネゴシエーショ
ンモードであったので,MH−1の各ポートもこれに合わせてオートネゴシエーショ
ンモードにした。しかし,MH−1を稼働させたところ,MH−1のファイアウォール側
のポートのリンクランプが点灯しなかった。そこで,作業者は,ケーブルとMH−1
のポートを調べたが問題は発見できなかった。試行錯誤の末,速度の不一致が原因
であると推定して対策を施した結果,問題は解決できた。
MH−1の設定は,社内LANに設置されている1台のPCを使用して行われた。す
べての設定が完了した後にMH−1のモニタ画面で確認したところ,ISPへのルート
は正常と認識されていた。
次に,作業者は,本社と各営業所でFR網接続用のルータをLANから取り外し,
MH−2や関連機器の設置と設定を行った。本社のMH−2の設定は,MH−1を設定した
PCを使用して行われた。また,各営業所のMH−2の設定は,その営業所に設置され
ている1台のPCを使用して行われた。
(2)各機器の動作確認
関連機器の設置と設定が完了した後,作業者は,表4に示す動作確認の方針に従
って,各機能の動作確認を行った。
表4 動作確認の方針
| 番号 | 確認機能 | 確認順序 | 接続先 | 確認手段 |
| 1 | アウトバウンド | @ | 社外のWebサーバ | 閲覧 |
| A | 社内メールサーバ | 社外へのメール送信 | ||
| 2 | B | 業務サーバ | 業務アプリケーションの実行 | |
| C | 社内メールサーバ | 社内でのメール送受信 | ||
| D | プロキシサーバ | 社外のWebサーバの閲覧 | ||
| 3 | インバウンド | E | 本社のWebサーバ | 閲覧 |
| F | 本社のメールサーバ | 社内へのメール送信 |
まず,作業者は,アウトバウンドの動作確認を,MH−1を設定したPCを使用して
行った。表4中の@,Aの確認は,一方のISPへのルートと対になるルートのMH−
1のISP側のポートに接続されているLANケーブルを外して行った。両方のポート
からのインターネットの利用が正常に行えることを確認した後に,両方のポートに
LANケーブルを接続して,アウトバウンドトラフィックの振り分け動作を表4中の
@について確認した。MH−1のログで振り分け状態を調べたところ,トラフィック
は振り分けられていたが,ポートごとに送受信された累積データ量は,設定された
比率と大きく異なっていたので,(d)運用開始後に再度確認することにした。
次に,作業者は,VPNの動作確認を,各営業所のPCの設定を変更しないで,業
務サーバや社内メールサーバの利用及び社外のWebサーバの閲覧が可能かどうかを
検証する方法で行った。
その後,作業者は,インバウンドの動作確認を,VPNの動作を確認したPCを使
用して行った。表4中のEの確認は,(e)PCのプロキシサーバを利用する設定を外
し,ブラウザに本社のWebサーバのIPアドレスを直接入力して行った。さらに,
PCにISP1のDNSサーバのIPアドレスを設定し,ブラウザに本社のWebサーバの
URLを入力して行った。
すべてのテストが計画どおり完了し,ネットワークは無事に移行できた。
設問1
本文中の【 a 】〜【 d 】に入れる適切な字句を答えよ。
設問2
インターネットへのアウトバウンドに関する次の問いに答えよ。
(1)本文中の下線(a)の場合には,社内LANからのインターネットの利用によっ
て発生するパケットが,MH-1によってどのように転送されMH−1のどこに返
送されてくるか。50字以内で述べよ。
(2)本文中の下線(b)の問題は,P2側からISPに送信された場合に発生する。その
理由を,70字以内で述べよ。
設問3
インターネットからのインバウンドに関する次の問いに答えよ。
(1)図4中の【 ア 】〜【 エ 】に入れる適切な記号を答えよ。
(2)インバウンドにおけるルート障害対策機能を実現するために,DNS機能はど
のように動作するか。50字以内で述べよ。
設問4
VPNに関する次の問いに答えよ。
(1)本文中の下線(c)の理由を,50字以内で述べよ。また,MH−2のpingコマンド
のあて先をどこに設定すべきか。25字以内で述べよ。
(2)表3中の【 オ 】〜【 キ 】に入れる適切な記号を答えよ。
設問5
ネットワークの移行に関する次の問いに答えよ。
(1)M氏の会社の作業者は,MH−1を稼働させたときにリンクランプが点灯しな
かった問題に対して,どのような対策を施したか。50字以内で述べよ。
(2)本文中の下線(d)を行ったところ,ポートごとに送受信された累積データ量は,
設定した比率に近い値になった。最初に調べたときに,設定された比率と大き
く異なった原因を,60字以内で述べよ。
(3)本文中の下線(e)の手順によって,インバウンドの動作確認を行うことができ
る理由を,70字以内で述べよ。
| Tomのネットワーク勉強ノート |
| 過去問(午後) |
| テクニカルエンジニア
(ネットワーク)過去問(午後) |
| テクニカルエンジニア(ネットワーク)過去問 平成15年 午後2 問1
|