問題はIPAからご確認ください。
https://www.ipa.go.jp/shiken/mondai-kaiotu/index.html
答えはIPAの回答例となります。
構成
設問1(1)
問題 本文中の[a]、[b]に入る適切な字句を答えよ
a 自分のゾーンに無いドメインに関する要求はISPのフルサービスリゾルバに転送しています。
DNSフォワーダはDNS要求を別のDNSサーバーに転送する機能です。
答え a:フォワーダ
b VRRPはプライオリティ値を設定してマスターとスタンバイ機を決定します。
プライオリティ値が大きい方がマスターになります。
答え b:プライオリティ値
設問1(2)
問題 本文中の下線①の名前解決要求先を、図1中の機器名で答えよ
内部DNSサーバは社内システムのドメインに関するゾーンファイルを持っているとあり、
PC及びサーバから送信されたDNS要求を別のDNSサーバにフォワードするとなっているので、
PC・サーバの設定されるDNSサーバは内部DNSサーバとなります。
答え:内部DNSサーバ
設問2(1)
問題 本文中の下線②の設定を行わず、内部NWのL2SW及びL3SWに同じブリッジプライオリティ値を設定した場合に、L2SW及びL3SWはブリッジIDの何を比較してルートブリッジを決定するか。適切な字句で答えよ。
また、L2SW3がルートブリッジに選出された場合に、L3SW1とL3SW2がVRRPの情報交換できなくなるサブネットを、図1のサブネット名を用いて答えよ。
ブリッジIDにてルートブリッジになるSWを選出します。
ブリッジIDはブリッジプライオリティ値とMACアドレスから構成されています。
なので、下線②の設定を行わない場合はプライオリティ値が同じとなり、その場合はMACアドレスの値で決まります。
答え :MACアドレス
L2SW3がルートブリッジになると、STPの仕組み上、L3SW1-2間がブロッキングポートとなります。
なので、下記の様にFW-L3SW間サブネット(Vlan10)と内部サーバ収容サブネット(Vlan11)がVRRPの情報を交換できなくなります。
PC収容サブネット1~3はL2SW経由で交換可能です。
答え:FW-L3SW間サブネット、内部サーバ収容サブネット
設問2(2)
問題 本文中の「c」~「e」に入る適切な字句を答えよ。
問題文から見てc・dはルートポート・指定ポート・非指定ポートが入りますね。
ルートポートはルートブリッジ以外の機器でルートブリッジに一番近いポートが1つ選出されます
指定ポートは各リンクでルートブリッジに一番近いポートが選出されます。
なので、ルートブリッジは全ポートが指定ポートになります。
非指定ポートはルートポートと指定ポートに選出されなかったポートが当てはまります。ブロッキングポートと言われます。
cはL3SW-1のポート問題で、L3SW-1はルートブリッジなのでポートは指定ポートなります。
答え c:指定
bは下線②の設定を行っている構成となるので、上記の様になると思われます。
答え b:非指定
eはSTPによるポート状態の変更がある場合は、非指定ポートがルートポートになったり変更となります。
その場合、いままでのポートと違うポートからMACアドレスを学習することになりますので、現状のMACアドレステーブルをクリアして再学習する必要があります。
答え e:MACアドレス
設問3(1)
問題 本文中の「f」に入れる適切な字句を答えよ。
RSTP(Rapid Spanning Tree Protocol)はSTPより高速にポート移管できる機能です。
RSTPでは、ポートの役割と状態を決める為、プロポーザル(提案)とアグリーメント(合意)で最短経路を決定します。
プロポーザルを受信して自身の値と比較して相手の方が優位性が高い場合は、相手を上位のSWと判断して相手のポートを指定ポートとして、アグリーメントを送信します。
問題分で相手にアグリーメントを送信してますので、相手が上位SWとなります。
答え f:上位のスイッチ
設問3(2)
問題 本文中の下線③について、とぽ路地の再構成にかかる時間を短縮できる理由を二つ挙げ、それぞれ30字以内で述べよ。
1つ目は今までの非指定ポート(ブロッキングポート)だったものが、代替ポートに代わっています。
代替ポートはルートポートがダウンした場合に、すぐに代替ポートがルートポートになるように事前に役割を決めています。なので、そのことを記載すれば良さそうです。
2つ目はSTPは転送遅延という設定値(デフォルト15秒)があり、この時間を待って次のモードに移換する動きとなりますが、RSTPは常時プロポーザルなどネゴシエーションすることで、転送遅延を使用しないで状態移換します。
答え 1:ポート障害時の代替ポートを事前に決定しているから
2:転送遅延がなく、ポートの状態遷移を行うから
図3
設問4(1)
問題 本文中の下線④について運用負荷を軽減できる理由を、30字以内で述べよ。
スタック構成のメリットは2台のSWを1台のSWの様に使用できます。
ループ構成などを気にせずに1台のSWとして運用でき、1台がダウンしても、もう1台の方が稼働を続けてくれるので可用性あります。
運用管理的にも2台のSW状態を情報収集するより1台の方が楽ですし、STPの様にルートブリッジやブロッキングポートなどの構成を意識する必要が無くなります。
答え:2台のL3SWを1台のスイッチとして管理できるから
設問4(2)
問題 本文中の下線⑤について、内部NWで、スタックL3SW~新L2SW以外に回線帯域を有効利用できるようになる区間が二つある。二つのうち一つの区間を図3中の字句を用いて答えよ。
スタックL3SWとの接続は新L2SWを除くと上記の3か所となります。
①はリンクアグリケーションを使用していないので、以前と使用できる帯域は変わらないので対象外となります。
②③はリンクアグリケーションを使用して、以前と違い使用できる帯域が倍に増えています。
答えは②か③の区間となります。
答え:スタックL3SW〜新ディレクトリサーバ
スタックL3SW〜新内部DNSサーバ
設問5
問題 図3の構成について、STP及びRSTPを不要にしている技術を二つ答えよ。
また、STP及びRSTPが不要とになる理由を、15字以内で述べよ。
最初の構成だと左記の様にループ構成となり、
STP機能を使用してループ構成とならない様にしてました。
L3SWをスタック構成としても、まだループ構成となります。
この場合で例えばL2SW-ポート1から出たブロードキャストフレームはL3SW1に入って、L3SW2から出て、L2SWのポート2に戻ってきて、またL2SWポート1から出てとループします
リンクアグリケーションも使用することによって、ループ構成から脱却出来ます。
答え 技術1:スタック
技術2:リンクアグリケーション
理由 :ループが無い構成だから
設問6(1)
問題 表4中の下線⑥によって発生する現行のディレクトリサーバから新ディレクトリサーバ宛ての通信について、現行のL3SW1とスタックL3SW間を流れるイーサネットフレームをキャプチャしたときに確認できる送信元MACアドレス及び宛先MACアドレスをもつ機器をそれぞれ答えよ。
レイヤー2の通信では宛先/送信元MACアドレスはセグメントが変わるごとにSWで書き換えて送信します。
今回の通信では現行ディレクトリサーバと新ディレクトリサーバは同じセグメント(Vlna)間での通信となります。
なので、両サーバでARPテーブルに相手のMACアドレスは学習していると思われます。
答え 送信元:現行ディレクトリサーバ
宛先 :新ディレクトリサーバ
設問6(2)
問題 表4中の下線⑦によって発生する現行のPCから新公開Webサーバ宛の通信について、現行のL3SW1とスタックL3SW間を流れるイーサネットフレームをキャプチャしたときに確認できる送信元MACアドレス及び宛先MACアドレスを持つ機器をそれぞれ答えよ。
下線⑦は設問6(1)を参照
PCのセグメントは「172.17.(101・102・103).0/24」となります。
新Webサーバのセグメントは172.16.254.0/24となります。
異なるセグメント間の通信となるので、MACアドレスは書き換えられます。
※Webサーバのセグメント宛の通信はFWに行くと思いますが、この後の問題で出てくる設定でスタックL3SWに行くようにしています
答え 送信元:現行のL3SW-1
宛先 :スタックL3SW
設問6(3)
問題 本文中の下線⑧について、新公開Webサーバに割り当てることができるIPアドレスの範囲を、表1及び表5~7の設定内容を踏まえて答えよ。
新Webサーバの割り当てるアドレス群は「172.16.254.0/24」となっており、このアドレス帯は既存の公開Webサーバのアドレス帯と重複してます。
なので、追加設定が無い場合は下記の赤ルート様にFW1を経由してDMZサーバの方に行ってしまいます。
今回の追加設定で「172.16.254.128/25」のアドレス帯は新FW宛に行くように追加しています。
追加設定のおかげで新公開サーバのアドレスを「172.16.254.128~254」にすれば、青ルートで届くことができます。
※/25での振り出せるアドレスは第4オクテットが「128」ではなく、「129~」では無いかと間違えそうですが、/25はルーティング設定での話で、割り当てているサブネットは/24なので、「128」も使用できます。
これは試験では間違えます
答え:172.16.254.128~254
設問6(4)
問題 表8中の下線⑨を行わないときに発生する問題を、30字以内で述べよ。
下線⑨はFW1・2とL2SW1・2のLANケーブルを抜線します。
その後に現行のL2SW1と新L2SWを接続する作業があります。
もし下線⑨の作業をしないで次の作業をした場合、FW1と新FW1はどちらも仮想IP「172.16.1.254」のアドレスを持っていますので、アドレスの重複が起きます。
答え:現行のFWと新FWの仮想IPアドレスが重複する
設問6(5)
問題 表8中の下線⑩の作業後に、新公開Webサーバに不具合が見つかり、現行の公開Webサーバに切り替えるときは、新FW1及び新FW2の設定を変更する。変更内容を、70字以内で述べよ。また、インターネットから現行の公開Webサーバに接続する時に経由する機器名を【転送経路】の表記法に従い、経由する順にすべて列挙せよ。
以前のFWでインターネットからの公開Webサーバ宛の通信をNATしてます。
しかし、インターネット回線を新ルータ1に接続替えしてます。
インターネット回線接続後はインターネットからのWebサーバ宛の通信は新公開Webサーバに行くようにNAT設定しています。
なので、このままでは公開Webサーバへ通信できないので切り戻す為には、インターネットからWebサーバ宛の通信は新FWでNAT設定を行わないといけません。
経路は図の青色の経路となります。
答え
変更内容:静的NATの変換後のIPアドレスを、新公開Webサーバから現行の公開WebサーバのIPアドレスに変更する。
経路:インターネット → 新ルータ1 → 新L2SW0 → 新FW1 → 新L2SW1 → L2SW1 → 公開Webサーバ
設問6(6)
問題 表8中の下線⑪によって発生する通信について、新FWの通信ログで確認できる通信を二つ答えよ。ここで、新公開Webサーバに接続するためのIPアドレスは、接続元が利用するフルサービスリゾルバのキャッシュに記録されていないものとする。
接続元が指定しているDNSサーバは新公開Webサーバのアドレスを知らないとなっています。
そして新外部DNSサーバは新公開Webサーバのゾーン情報を持っています。
なので、インターネットの外のPCなどから新公開Webサーバにアクセスするときは、DNSサーバから新DNSサーバに新公開Webサーバのアドレスの問い合わせとPCなどから新公開WebサーバへのWeb通信が来るので、そのログが新FWのログに残ります。
答え ①:新外部DNSサーバ宛てのDNS通信
②:新公開Webサーバ宛てのWeb通信
設問6(7)
問題 表8中の「g」に入れる適切なIPアドレスを答えよ。
表5の新旧公開Webサーバ・DNSサーバのデフォルトゲートウェイは「172.17.11.1」となっています。
表7を見ると、スタックL3SWでVlan11のアドレスは「172.17.11.101」に設定されています。
そして「172.17.11.1」はL3SW1・2で持っていましたが、作業で現行のL3SW1・2のVlanインターフェースはすべて削除しています。
このままでは新旧公開Webサーバ・DNSサーバのDGWが無い状態となるので、スタックL3SWのVlan11のアドレスを「172.17.11.1」に変更します。
答え:172.17.11.1
設問6(8)
問題 表8中の下線⑫について、スタックL3SWは、PCから受信したDHCPDISCOVERメッセージのgiaddrフィールドに、受信したインタフェースのIPアドレスを設定して、新内部DNSサーバに転送する。DHCPサーバ機能を提供している新内部DNSサーバは、giaddrフィールドの値を何のために使用するか。60字以内で述べよ。
DHCPサーバリレーの簡単な説明と設定は右のサイトに記載してます。
DHCPでアドレスを取得する場合、PCからはブロードキャストで送信します。
しかし、ブロードキャストはルータで破棄するので同じセグメントにDHCPサーバが居ない場合はパケットは届かないです。
そこでルータにDHCPリレーエージェントの設定を行い、DHCPサーバがDHCPクライアントと別のセグメントに居る場合、中継してもらいます。
その際に、ルータはDHCPサーバにパケットを中継する際にgiaddr フィールドに自身のアドレスを付与して送ります。パケットを受け取ったDHCPサーバはマッチするセグメントのDHCPアドレス範囲からアドレスを払い出します。
答え:PCが収容されているサブネットを識別し、対応するDHCPのスコープからIPアドレスを割り当てるため
コメント