【資格】ネットワークスペシャリスト 平成26年秋期 午後Ⅰ 問2
概要
ネットワークスペシャリスト 平成26年度午後Ⅰ問2の復習。ファイアウォールの障害対応がテーマの問題。問題集はまだ1周目だが、この問題だけ回答を書いた紙をどっかにやってしまったので、実質2周目である。故に全問正解した。1周目は半分くらいしか解けていなかったような……。
設問1
穴埋め。特に迷うことなく全問正解。唯一気になったのはステートフルフェールオーバーの「ステートフル」の定義。
FWにおいてステートフルと言えば後から続くのはインスペクションの方が印象が強く、「ステートフルフェールオーバー=設定情報の同期」というのがあまりピンと来なかった。
設問2
(3)
この問題のAct-Sbyで動作する2台のFWの間に1台SWが存在する。どうやら障害切り分けの際にメリットがあるということらしく、そのメリットとは何か答えよというのが問題。
答えは、FW間を接続するリンクの両端のポートのうちどちらかが故障してダウンした場合、SWがないと両ポートともダウンしてしまうが、SWを挟んでおけば故障していない方のポートはアップしたままなので、切り分けがカンタン!というものである。
障害ポイントを増やす以上のメリットがあるとは思えないが、よくある選択なのだろうか?
(5)
この問題で使用されているFWはF/Oの際にActive系が(Gratuitous ARPではなく)フレームで通知するため、ARPテーブルの更新がされない。Act系の装置が故障し予備機に入れ替えた際に通信断が起きたのはこれが原因であり、(Gratuitous ARPを出さないことやAct-Sbyの決定アルゴリズムがあまりにお粗末なのを嘆いてもしかたがないので)「FWを交換したら周りの装置のARPテーブルを手動でクリアしよう!」という運用になった。
じゃあどの機器のARPテーブルを更新すればいいの?が問題であり、これは単純にFWと接続されている、ARPテーブルを持つ(=L3を認識する)機器を答えればよい。
恥ずかしながら1周目はまんまとひっかかって「SW1」と書いたわけだが、この問題でのSWはL2スイッチなのでARPテーブルは(管理用IP以外は)持たないと考えてよい。
設問3
(1)
まず、企画部と営業部のVLAN間ルーティングを廃止したことでFW直下のL3SWは不要になる。次に何と交換するかだが、DMZでWebサーバとDNSサーバを収容しているSW4と交換すれば、FW故障交換の際のARPテーブル更新がサーバ2台分からL3SWの1台分だけで済む。よってL3SWとSW4を交換するのが得策と言える。
(2)
L3SWを廃して仮想FWを各VLANのデフォルトゲートウェイにするということなので、2台のFWを2台のルータ、各仮想FWはマルチグループHSRPをイメージすると分かりやすい。Act系のFWを各インスタンスで別にすれば、物理FWの負荷分散が可能になる。
所感
FWの間にSW置くって……アリですか?
