ネットワークスペシャリスト試験 令和3年度 春期 午後2 問2
【出典:ネットワークスペシャリスト試験 令和3年度 春期 午後2 問2(一部、加工あり)】
[トラフィック監視の導入]
監視サーバの死活監視は、監視対象に対して、1回につきICMPのエコー要求を3パケット送信し、エコー応答を受信するかどうかを確認する。1分おきに連続して5回、一つもエコー応答を受信しなかった場合に、アラートとして検知する。エコー要求のタイムアウト値は1秒である。Cさんは、⑨専用線の輻輳を検知するために、監視サーバの監視対象として、ルータ10Zとルータ11Zを追加することを考えたが、問題があるため見送った。
そこで、Cさんは、通信量のしきい値を定義し、上限値を上回ったり、下限値を下回ったりするとアラートとして検知する監視(以下、しきい値監視という)の利用を検討した。通信を均等に分散できると仮定すると、インターネット接続の冗長化導入によって利用できる帯域幅は専用線2回線分になる。どちらかの専用線に障害が発生すると、利用できる帯域幅は専用線1回線分になる。Cさんは、どちらかの専用線に障害が発生した状況において、専用線に流れるトラフィックの輻輳の発生を避けるためには、平常時から、それぞれの専用線で利用できる帯域幅の(ス)%を単位時間当たりの通信量の上限値としてしきい値監視すればよいと考えた。このしきい値監視でアラートを検知すると、トラフィック増の原因を調査して、必要であれば専用線の契約帯域幅の増速を検討する。
次に、Cさんは、想定外のネットワーク利用などによって単位時間当たりの通信量が突発的に増えたり、A社NW機器の故障などによって単位時間当たりの通信量が突発的に減ったりすること(以下、トラフィック異常という)を検知する監視の利用を検討した。Cさんは機械学習を利用した監視(以下、機械学習監視という)の製品を調査した。
Cさんが調査した製品は、過去に収集した時系列の実測値を用いて、傾向変動や周期性から近い将来の値を予測し、異常を検知することができる。例えば、単位時間当たりの通信量について、その予測値と新たに収集した実測値を基に、トラフィック異常を検知することができる。
Cさんは、管理サーバに保存されている単位時間当たりの通信量の統計データを用いて、機械学習監視製品の試験導入を行った。Cさんは、これまで検知できなかったトラフィック異常が検知できることを確認した。さらに、⑩管理サーバに保存されている、統計データとは別のデータについても、機械学習監視製品を用いて監視することで、トラフィック異常とは別の異常が検知できることを確認した。複数のデータを組み合わせて、機械学習監視製品を用いて監視することで、ネットワーク環境の状況を素早く、かつ、詳細に把握できることが分かった。
Cさんは、機械学習監視製品の試験結果についてまとめ、B課長に報告を行い、インターネット接続環境の更改に併せて、管理サーバにしきい値監視と機械学習監視製品を導入することが決まった。
その後、A社では、Cさんがまとめたインターネット接続環境の更改案を基に設備更改が実施され、また、しきい値監視と機械学習監視製品が導入された。
下線⑨について、問題点を二つ挙げ、それぞれ30字以内で述べよ。:輻輳時にエコー応答を受信することがあり検知できない。/ルータ10Zとルータ11Zの障害時に誤って検知する。
「Cさんは、⑨専用線の輻輳を検知するために、監視サーバの監視対象として、ルータ10Zとルータ11Zを追加することを考えたが、問題があるため見送った。」
A社にある監視サーバの死活監視の監視対象に、専用線の先にあるルータ10Zとルータ11Zを追加することで専用線の輻輳を検知することができるでしょうか。
まず、死活監視では対象機器自身が障害などで稼働していない場合には応答が返ってこないので、専用線の輻輳として検知するのは誤検知となります。
ただ、この場合は運用で死活監視として捉えることも可能かと思われますが、ここは素直に誤検知であるという問題として回答しましょう。
もう一点、回線の輻輳が発生していても、ICMPのやり取り(ping)のようなパケットサイズが小さい通信は輻輳状態をすり抜けて通信可能となる場合があり、輻輳状態を完全に検知することができません。
ス:50
「Cさんは、どちらかの専用線に障害が発生した状況において、専用線に流れるトラフィックの輻輳の発生を避けるためには、平常時から、それぞれの専用線で利用できる帯域幅の(ス)%を単位時間当たりの通信量の上限値としてしきい値監視すればよいと考えた。」
2つの専用線については、前の問題文で「ルータ11側の専用線の契約帯域幅は、ルータ10側の専用線と同じにする。」とあり、平常時は各専用線の2倍の帯域幅まで利用可能です。
「通信を均等に分散できると仮定すると、インターネット接続の冗長化導入によって利用できる帯域幅は専用線2回線分になる。どちらかの専用線に障害が発生すると、利用できる帯域幅は専用線1回線分になる。」とあることから、障害が発生して専用線1回線分になっても輻輳が発生しないようにするには、平常時から各専用線で帯域幅の50%以下である必要があります。
ここで、しきい値監視として上限値である50%よりも低い値を設定すべきか迷うところですが、これについて記述されている箇所がないため、素直にそのまま上限値50%として回答すれば良さそうです。
下線⑩について、統計データとは別のデータにはどのようなデータがあるか。本文中の字句を用いて25字以内で答えよ。また、そのデータを、機械学習監視製品を用いて監視することによって、どのようなトラフィック異常とは別の異常を検知できるようになるか。検知内容を40字以内で述べよ。:FWとプロキシサーバの通信ログデータ/単位時間当たりの通信ログデータ量が突発的に増えたり減ったりしたこと
「さらに、⑩管理サーバに保存されている、統計データとは別のデータについても、機械学習監視製品を用いて監視することで、トラフィック異常とは別の異常が検知できることを確認した。」
まず、管理サーバに保存されているデータについては、問題文の前半に「管理サーバには、A社のルータ、FW、L2SW及びL3SW(以下、A社NW機器という)からSNMPを用いて収集した通信量などの統計データ、FWとプロキシサーバの通信ログデータが保存されている。」とあるように、統計データとは別にFWとプロキシサーバの通信ログデータがあります。
次に、FWとプロキシサーバの通信ログデータの監視により、トラフィック異常とは別に検知できることを考えます。
トラフィック異常について改めて確認すると、「想定外のネットワーク利用などによって単位時間当たりの通信量が突発的に増えたり、A社NW機器の故障などによって単位時間当たりの通信量が突発的に減ったりすること(以下、トラフィック異常という)」とあるように、ネットワーク上を流れる通信量の挙動が対象となっているようです。
一方、FWとプロキシサーバの通信ログデータについては、「FWは、許可又は拒否した情報を含む通信ログデータを管理サーバにSYSLOGで送信している。」「プロキシサーバは、従業員が利用するPCからインターネット向けのHTTP通信及びHTTPS通信をそれぞれ中継し、通信ログデータを管理サーバにSYSLOGで送信している。」とあるように、FWとプロキシサーバ自身で処理した情報(FWでは拒否した情報もあり、以降のネットワーク上に流れない通信も含む)の挙動が対象となっています。
したがって、トラフィック異常と同様な説明にすると、「単位時間当たりの通信ログデータが突発的に増えたり減ったりすること」となります。
通信量や通信ログデータなど紛らわしい言葉で分かりにくいですが、問題文や設問に素直に回答することが必要です。