ペネトレーションしのべくん

さようなら、すべてのセキュリティエンジニア

【資格】ネットワークスペシャリスト 平成26年秋期 午後Ⅰ 問1

資格 IPA ネットワークスペシャリスト

概要

Python写経を日課として組み入れることができずもどかしいが、残り1ヶ月をきったネスペを優先して勉強している最中。

ネットワークに携わって数年、ネスペの問題ですらまだまだ新しい発見があるので、試験対策がてら記事にしたためることにする。

問題概要

  • 予備校内のネットワーク構成に関する問題。
  • 拠点は本部と支部1~5、それぞれに業務系と動画系のセグメントが存在する。
  • 拠点間は2つの広域イーサで接続され、それぞれ業務系通信用、動画系通信用として使い分けている。
  • エッジルータは2台で筐体冗長しており、VRRPを使用して拠点内部のPCやサーバに対してデフォルトゲートウェイを提供している。VRRPインスタンスも業務系と動画系の2つ存在する。
  • 拠点間の経路情報はエッジルータが広域イーサを通してOSPFでやり取りしている。拠点内の経路を提供する上で最も短いプレフィックスを広告している。

設問1

  • 問題文

    • 本文中のア〜オに入れる適切な字句または数値を答えよ。

  • 回答

ウとエを間違えた。ウは「CoS」と回答した。CoSはVLANタグ内に含まれるフィールド。

www.infraexpert.com

www.infraexpert.com

DiffServは単語は知っているけどどのような動きをしているのかは全く把握していなかった。勉強するのもCCNP取った時以来だ……。

www.infraexpert.com

CoSを利用したL2マーキングの場合はトランクリンクでしかQoSできないので、ToSでのQoSが一般的。 ToSを利用したQoSは以下の2つに分かれる。

  • IP Precedene
    • 8ビットあるToSフィールドのうち、先頭3ビットだけ使う。
    • 23で8段階あるが、111と110が予約されているので実質6段階。
    • 内訳
      • 111: Network Control(予約済)
      • 110: Internetwork Control(予約済)
      • 101: Critical
      • 100: Flash Override
      • 011: Flash
      • 010: Immidiate
      • 001: Priority
      • 000: Routine
  • DSCP(Differentiated Services Code Point)
    • ToSフィールドのうち、先頭6ビットを使う。
    • はじめの3ビットが優先レベル、続く3ビットが破棄レベル。
    • 26の64段階かと思いきや、使われないビットパターンがあるため実際は21段階。
    • DSCPによる処理の決定をPHB(Per Hop Behavior)というらしい。
    • 何より驚きなのは、正式名称が「〜Protocol」ではないこと。
    • 内訳
      • Default
        • 文字通りデフォルトの優先度。ビットパターンは000 000(=0)。
        • CSの000 000と重複するのは……?
      • CS(Class Selector)
        • IP Precedenceとの下位互換性を保つための段階。優先レベル部の3ビットのみを使用し、破棄レベル部はすべての段階で000。
        • ビットパターンの解釈の仕方はIP Precedenceと全く同じ。
      • AF(Assured Forwarding)
        • 確認転送。優先レベル部が001(低)〜100(高)の4パターン、破棄レベル部が010(低)、100、110(高)の3パターンで変化するので計12段階。
      • EF(Expedited Forwarding)
        • 緊急転送。破棄されない。通常は音声トラフィックに割り当てる。ビットパターンは101 110(=46)。

QoSは以下の一連の処理によって行われる。

  • (着信)
  • 分類
    • IPアドレスやポート番号の他に、前述のIP Precedence値やDSCP値によって通信を分類する。
  • マーキング
    • 分類の結果をパケットにマーキングする。IP Precedence値やDSCP値。
  • キューイング
    • 送信する前に、分類(マーキング)毎のキューにパケットを貯める。
  • スケジューリング
    • どのキューにあるパケットを優先して送信するかを決める。
    • 色々な方式があるが、あるキューを最優先として、その他のキューに帯域幅制限を設けるLLQ(Low Latency Queuing)が主に使われる。
  • (送信)

参考ページにシェーピングとポリシングの説明がある(いつもどっちがどっちか忘れる)がまた別の機会に確認する。

設問2

(1)

VRRPの問題。

業務系セグメントのPCのデフォルトゲートウェイ設定については、ルータ間のVRRPの仮想IPアドレスを指定している、という回答をした。これでも正解になりそうな気がするが、問題集の回答例を見る限りは「業務系セグメント用のVRRPインスタンスの仮想IPアドレス」をデフォルトゲートウェイとして指定している、とするのがベストか?

また、2つある広域イーサ網のうち片側を使わせるためにVRRPの設定をどのようにすればよいかという問題については、拠点内の各ルータはそれぞれ別の広域イーサ網につながっているため、業務系VRRPインスタンスはA系のルータ、動画系VRRPインスタンスはB系のルータがマスターになるようにプライオリティを調整すればよい。また細かい話だが、万全を期すのであればVRRPは各ルータをマスター/バックアップと呼ぶ。HSRPはアクティブ/スタンバイなので注意する。HSRPがネスペに出ることはない。はず。

(2)

OSPFの問題。

支部1の各セグメントが10.1.1.0/24、10.1.2.0/24であり、問題文の制約上「最もプレフィックスが短くなるように経路情報の集約を行う設計」になっているはずなので、10.1.0.0/16とした。ABRという単語の意味を思い出すのに(まばたきほどだが)時間がかかったことを正直に記しておく……。

www.infraexpert.com

(3)

障害時の通信経路の問題。

ポイントはルータのWAN側ポート障害時。(対向のオブジェクトトラッキングをしていなければ)対向ルータのWAN側ポートが故障していてもVRRPのステータスは変わらない、という点がポイント。

(4)

業務系通信の帯域幅不足を補うための運用フォローについての問題。

障害時は両セグメントの通信が一方の広域イーサ網に集中してしまい、優先されない業務系通信の応答が遅れてしまうので、「業務系システムのアクセス集中を避けるための方策を定め、マニュアル配布及び掲示板で利用者に周知することにした。」さてどのような方策を周知したでしょうか?

回答例としては「緊急時のみアクセスしてもらうようにする」「利用者をグルーピングし利用時間帯を分ける」だったが、これら(特に前者)は障害の都度周知してやってもらうことでは?一度周知しただけで利用者はその通りに利用してくれるだろうか?納得しかねるが、これら以外の答えを思いつかないのでそういうことなのだと思う。

設問3

WAN高速化装置に関する問題。扱ったことがないので全くイメージが沸かなかった。

www.netone-pa.co.jp

(1)

PBRにおいてCIFSを何によって識別するか?

「宛先IPアドレスがFSのものであること」「宛先ポート番号がCIFSで利用しているものであること」を条件にすればよい。 CIFSのポート番号は445のみが今時っぽい。

mount.cifs

(2)

WASによる高速化はどのような時に有用か?

回答例が「ラウンドトリップタイムが大きい時」だった。なんだこの野暮ったい問題は……。ある意味ボーナス問題ってこと?

(3)

WASがデータの高速化処理を自動的に停止する機能が、どのような時に有用か?

もう片方のWASが壊れている時、というのが回答例。

所感

WAN高速化装置って一体何……?