ネットワークスペシャリスト試験 令和3年度 春期 午後2 問1
【出典:ネットワークスペシャリスト試験 令和3年度 春期 午後2 問1(一部、加工あり)】
[新社内システムへの移行の検討]
J主任は、現行の社内システムから新社内システムへの移行に当たって、五つの作業ステップを設けることにした。移行における作業ステップを表4に、ステップ1完了時のネットワーク構成を図4に示す。ステップ1では、現行の社内システムと新社内システムの共存環境を構築する。
ステップ1完了時のネットワーク構成の概要は、次のとおりである。
- 新ディレクトリサーバ及び新内部DNSサーバに、172.17.11.0/24のIPアドレスブロックから未使用のIPアドレスを割り当てる。
- ⑧新公開Webサーバ及び新外部DNSサーバには、172.16.254.0/24のIPアドレスブロックから未使用のIPアドレスを割り当てる。
- 現行のL3SW1と新L3SW1間を接続し、接続ポートをVLAN11のアクセスポートにする。
- スタックL3SWのVLAN11のVLANインタフェースに、未使用のIPアドレスである172.17.11.101を、一時的に割り当てる。
- 全ての新サーバについて、デフォルトゲートウェイのIPアドレスは、現行のサーバと同じIPアドレスにする。
- 新社内システムのインターネット接続用サブネットには、現行の社内システムと同じグローバルIPアドレスを使うので、新外部DNSサーバのゾーンファイルに、現行の外部DNSサーバと同じゾーン情報を登録する。
- 現行の内部DNSサーバ及び新内部DNSサーバのゾーンファイルに、新サーバに関するゾーン情報を登録する。
- 新FW1及び新FW2は、アクティブ/スタンバイのクラスタ構成にする。
- 新FW1及び新FW2には、インターネットから受信したパケットの宛先IPアドレスを、新公開Webサーバ及び新外部DNSサーバのプライベートIPアドレスに変換する静的NATを設定する。
- 新FW1及び新FW2にNAPTを設定する。
- 新サーバの設定を表5に、新FW及びスタックL3SWに設定する静的経路情報を表6に、FW及びL3SWに追加する静的経路情報を表7に示す。
次に、J主任は、ステップ3の現行の社内システムから新社内システムへの切替作業について検討した。J主任が作成したステップ3の作業手順を、表8に示す。
J主任が作成した移行計画はM課長に承認され、J主任は更改の準備に着手した。
表4中の下線⑥によって発生する現行のディレクトリサーバから新ディレクトリサーバ宛ての通信について、現行のL3SW1とスタックL3SW間を流れるイーサネットフレームをキャプチャしたときに確認できる送信元MACアドレス及び宛先MACアドレスをもつ機器をそれぞれ答えよ。:(送信元MACアドレスをもつ機器)現行のディレクトリサーバ/(宛先MACアドレスをもつ機器)新ディレクトリサーバ
「⑥現行のディレクトリサーバから新ディレクトリサーバへデータを移行する。」
現行のディレクトリサーバから新ディレクトサーバ宛てのイーサネットフレームの内容について問われているので、それぞれの所属するサブネットが同一か異なるかで通信フレームのMACアドレスの内容が異なります。
同一サブネットの場合はそれぞれの機器自身のMACアドレスで通信しますが、異なるサブネット間の場合はルータを介して通信するためルータのMACアドレスが介在することになります。
図1(G社の社内システムの構成(抜粋))や表1(G社のサーバ及びPCの設定(抜粋))から、現行のディレクトリサーバはVLAN11(172.17.11.0/24)に所属し、IPアドレスは172.17.11.10〜172.17.11.100の範囲から割り当てされています。
一方、新ディレクトリサーバについては、「新ディレクトリサーバ及び新内部DNSサーバに、172.17.11.0/24のIPアドレスブロックから未使用のIPアドレスを割り当てる。」とあります。
したがって、両機器は共にVLAN11に所属していることから、それぞれの自身のMACアドレスで通信することになります。
表4中の下線⑦によって発生する現行のPCから新公開Webサーバ宛ての通信について、現行のL3SW1とスタックL3SW間を流れるイーサネットフレームをキャプチャしたときに確認できる送信元MACアドレス及び宛先MACアドレスをもつ機器をそれぞれ答えよ。:(送信元MACアドレスをもつ機器)現行のL3SW1/(宛先MACアドレスをもつ機器)スタックL3SW
「⑦現行の社内システムに接続されたPCから、新公開Webサーバの動作確認を行う。」
前の設問と同様に、現行のPCと新公開Webサーバのそれぞれが所属するサブネットが同一か異なるかで通信フレームのMACアドレスの内容が異なります。
図1から、現行のPCはVLAN101(172.17.101.0/24)〜VLAN103(172.17.103.0/24)に所属しています。
一方、新公開Webサーバは「172.16.254.0/24のIPアドレスブロックから未使用のIPアドレスを割り当てる」とあります。
両者のサブネットは異なるため、現行のL3SW1とスタックL3SWで各サブネットをルーティングして通信させていることが分かります。
ここで、現行のL3SW1〜スタックL3SW間は、「現行のL3SW1と新L3SW1間を接続し、接続ポートをVLAN11のアクセスポートにする。」とあり、VLAN11のセグメント内通信であることから、送信元MACアドレスは現行のL3SW1、宛先MACアドレスはスタックL3SWとなります。
下線⑧について、新公開Webサーバに割り当てることができるIPアドレスの範囲を、表1及び表5〜7の設定内容を踏まえて答えよ。:172.16.254.128〜172.16.254.254
「⑧新公開Webサーバ及び新外部DNSサーバには、172.16.254.0/24のIPアドレスブロックから未使用のIPアドレスを割り当てる。」
この時点では移行の作業ステップがステップ1であり、現行の社内システムと新社内システムが共存環境であるということ、つまりIPアドレスや経路などが重複しないことを認識しておきます。
その上で、新公開Webサーバと172.16.254.0/24について、問題文から関連しそうなところを確認していきます。
- (2表1より)現行の公開Webサーバ、外部DNSサーバでは、IPアドレスが172.16.254.10〜100、デフォルトゲートウェイが172.16.254.1(FW1とFW2の仮想IPアドレス)に設定
- (問題文より)「全ての新サーバについて、デフォルトゲートウェイのIPアドレスは、現行のサーバと同じIPアドレスになる。」
→(表5より)新公開Webサーバのデフォルトゲートウェイは172.16.254.1(新FW1と新FW2の仮想IPアドレス)に設定 - (表6より)スタックL3SWに静的経路情報として、172.16.254.128/25に対して、新FW1と新FW2の仮想IPアドレスをネクストホップとする設定
- (表7より)現行のFW1、FW2に静的経路情報として、172.16.254.128/25に対して、L3SW1とL3SW2の仮想IPアドレスをネクストホップとする設定
- (表7より)現行のL3SW1、L3SW2に静的経路情報として、172.16.254.128/25に対して、スタックL3SWをネクストホップとする設定
これらの情報から分かることは、新公開Webサーバのデフォルトゲートウェイが現行の公開Webサーバと同じ172.16.254.1ですが、172.16.254.0/24に含まれる172.16.254.128/25の経路が現行の機器を含めて新たに設定されていることから、該当の空間(172.16.254.128〜172.16.254.254)が新公開Webサーバに割り当てられるIPアドレスの範囲であるということです。
なお、172.16.254.128/25はあくまでも静的経路情報として設定されるもので、新公開Webサーバは172.16.254.0/24に所属するものですので、172.16.254.128はネットワークアドレスではなく個別にIPアドレスとして使用できます。
表8中の下線⑨を行わないときに発生する問題を、30字以内で述べよ。:現行のFWと新FWの仮想IPアドレスが重複する。
「⑨現行のFW1とL2SW1間、及び現行のFW2とL2SW2間を接続しているLANケーブルを抜く。」
作業の目的は、当該作業の後作業の準備であることが想定できるため、以降の作業を見ていきます。
「⑩ステップ4で、新サーバに不具合が見つかったときの切戻しに掛かる作業量を減らすために、現行のL2SW1と新L2SW1間を接続する。」とあり、現行のL2SW1と新L2SW1間を接続した際に問題がないか確認します。
前の設問であったように、現行のFW1とFW2の仮想IPアドレスと、新FW1と新FW2の仮想IPアドレスは同じですが、直接サブネットが接続していなかったため問題ありませんでした。
ここで現行のL2SW1と新L2SW1間を接続すると、同じサブネット上に同一アドレスのFWが混在することになります。
これを回避するために現行のFWを切り離す必要があるということです。
表8中の下線⑩の作業後に、新公開Webサーバに不具合が見つかり、現行の公開Webサーバに切り替えるときには、新FW1及び新FW2の設定を変更する。変更内容を、70字以内で述べよ。また、インターネットから現行の公開Webサーバに接続するときに経由する機器名を、【転送経路】の表記法に従い、経由する順に全て列挙せよ。(【転送経路】インターネット→(経由する順に全て列挙)→公開Webサーバ):静的NATの変換後のIPアドレスを、新公開Webサーバから現行の公開WebサーバのIPアドレスに変更する。/新ルータ1→新L2SW0→新FW1→新L2SW1→L2SW1
「⑩ステップ4で、新サーバに不具合が見つかったときの切戻しに掛かる作業量を減らすために、現行のL2SW1と新L2SW1間を接続する。」
新公開Webサーバから現行の公開Webサーバに切り替えるときの新FWでの設定ということで、新FWの設定内容を確認すると以下の記述があります。
「新FW1及び新FW2には、インターネットから受信したパケットの宛先IPアドレスを、新公開Webサーバ及び新外部DNSサーバのプライベートIPアドレスに変換する静的NATを設定する。」
したがって、新公開WebサーバのプライベートIPアドレスに変換していたものを、現行の公開WebサーバのプライベートIPアドレスに変換するようにすればよさそうです。
転送経路については、図1と図3、新L2SW1とL2SW1間の接続構成を確認した上で、インタ0ネット→新ルータ1→新L2SW0→新FW1→新L2SW1→L2SW1→公開Webサーバとなります。
表8中の下線(11)によって発生する通信について、新FWの通信ログで確認できる通信を二つ答えよ。ここで、新公開Webサーバに接続するためのIPアドレスは、接続元が利用するフルサービスリゾルバのキャッシュに記録されていないものとする。:新公開Webサーバ宛てのWeb通信/新外部DNSサーバ宛てのDNS通信
「(11)インターネットから新公開Webサーバに接続できることを確認する。」
FWでのログに関する設定については具体的に記述されていないため少し悩みますが、通信ログとあることから全ての通信を対象にしていることを前提に考えます。
インターネットから新公開Webサーバに接続できることを確認しているため、まずは新公開Webサーバ宛の通信が対象になりますが、宛先IPアドレスに加え、宛先ポート番号でアプリケーションも対象にすべきでしょう。
二つの通信ですのでHTTPとHTTPSと考えてしまいがちですが、設問にあるヒント「接続元が利用するフルサービスリゾルバ」に関する通信もあることを想定すると、新公開Webサーバ宛ての通信はWeb通信とするのがよさそうです。
フルサービスリゾルバに関しては、接続元ではキャッシュされていないことから、新たにDNSサーバへの問い合わせの通信が必要となります。
したがって、新外部DNSサーバ宛てのDNS通信が対象となります。
g:172.17.11.1
「スタックL3SWのVLAN11のVLANインタフェースに設定されているIPアドレスを、(g)に変更する。」
このステップ3の時点でのスタックL3SWのVLANインタフェースは、ステップ1の「スタックL3SWのVLAN11のVLANインタフェースに、未使用のIPアドレスである172.17.11.101を、一時的に割り当てる。」とあるように、一時的なIPアドレスが割り当てていました。
これを変更するのは、直前の記述「現行のL3SW1及びL3SW2のVLANインタフェースに設定されている全てのIPアドレス、並びに静的経路情報を削除する。」によって、現行のL3SWの設定情報をスタックL3SWに引き継ぐためです。
したがって、現行L3SWのVLAN11のIPアドレスである172.17.11.1(←表1(G社のサーバ及びPCの設定(抜粋))より)に変更することになります。
表8中の下線(12)について、スタックL3SWは、PCから受信したDHCPDISCOVERメッセージのgiaddrフィールドに、受信したインタフェースのIPアドレスを設定して、新内部DNSサーバに転送する。DHCPサーバ機能を提供している新内部DNSサーバは、giaddrフィールドの値を何のために使用するか。60字以内で述べよ。:PCが収容されているサブネットを識別し、対応するDHCPのスコープからIPアドレスを割り当てるため
「(12)スタックL3SWにDHCPリレーエージェントを設定する。」
スタックL3SWにDHCPリレーエージェントの設定を行うのは、複数のサブネットに所属するPCへのIPアドレスを払い出すためです。
設問にあるように、DHCPリレーエージェントが設定されたL3SWでは、DHCPサーバに対して該当するサブネットの情報を伝えるのに、DHCPDISCOVERメッセージのgiaddrフィールドに受信したインタフェースのIPアドレス(該当VALNのデフォルトゲートウェイ)を設定します。
これによりDHCPサーバは、PCが収容されているサブネットを識別して、該当するスコープのIPアドレスを割り当てることができます。