問題はIPAからご確認ください。
https://www.ipa.go.jp/shiken/mondai-kaiotu/index.html
答えはIPAの回答例となります。
構成
設問1(1)
問題 表2中の案2の初期設定について、負荷分散を目的として一つのドメイン名に対して複数のIPアドレスを割り当てる方式名を答えよ。
負荷分散を目的として一つのドメイン名に対して複数のIPアドレスを割り当てる方式名はDNSラウンドロビンと言います。
案2の設定だと「proxy.a-sha.co.jp」のDNS問合せに対して、DNSサーバは「192.168.1.145」「192.168.2.145」を順番にホストに回答します。
答え:DNSラウンドロビン
設問1(2)
問題 本文中の下線①について、ping監視では不十分な理由を40字以内で答えよ。
Ping監視で出来ることはあくまで死活監視であって、IPレベルで監視対象が稼働しているかの確認となります。
プロキシサーバのアプリケーションプロセスが正常に稼働しているかなどは監視できません。
※よくping監視の欠点を問われる問題があります。
答え:プロキシサーバのアプリケーションプロセスが停止した場合に検知できないから
設問1(3)
問題 本文中の下線②について表2の案1の初期設定を対象に、ドメイン名proxy.a-sha.co.jpの書換え後のIPアドレスを答えよ。
案1はプロキシサーバBの障害時はサーバCを利用するとなっています。
表2の「proxyc.a-sha.co.jp」のIPアドレスは「192.168.2.145」です
ドメイン名proxy.a-sha.co.jpの書換え後のIPアドレスは「192.168.2.145」となります。
答え:192.168.2.145
設問1(4)
問題 本文中の下線③について、TTLの値を小さくする目的を40字以内で答えよ。
DNSサーバのTTL(Time To Live)設定は、DNSリソースレコードを教えたサーバ・ホストなどにDNS情報が保持される時間を指定する物です。
短くすれば保持される時間も短くなり、問い合わせが増えます。
今回の目的としては案1でプロキシサーバBに障害が起きた場合にDNSサーバのゾーン情報を
proxy.a-sha.co.jp=「192.168.1.145」から「192.168.2.145」 へ書き換えますが、サーバ・ホスト側でDNS情報が保持されている間は切り替わってくれません。
なので、短くすれば保持される時間も短くなり、問い合わせが増え、サーバ・ホストへのDNS情報の反映も早くなります。
答え:キャッシュDNSサーバがキャッシュを保持する時間を短くするため
設問1(5)
問題 本文中の下線④について、DNSとは異なる方法を20字以内で答えよ。また、その方法の制限事項を、プロキシサーバを利用する側の環境に着目して25字以内で答えよ。
プロキシサーバの設定はWebブラウザのプロキシ設定で行っています。
DNSの切替方法とは別の案ですが、PCのプロキシ設定を変更する方法も一般的に使用されます。
各従業員がPCの設定を自分で書き換える方法もありますが、あまりユーザに勝手な設定変更されても困りますし、ユーザのリテラシーにも依存するので従業員自身での作業は推奨されません。
一般的にPAC(Proxy Auto-Config)ファイルを配布して、プロキシを自動で設定します。
制限としては古いOSや特殊なOSのサーバなどは対応できない事があります。
答え 方法:プロキシ自動設定機能を利用する。
制限事項:対応するPCやサーバでしか利用できない。
設問2(1)
問題 本文中の表3中の「a」~「f」に入れる適切な字句を答えよ
参考--→
a BGPはAS(Autonomous System「自律システム」)間の経路交換のためのダイナミックルーティング様プロトコルです。
答え a:AS
********************************************************************************
b BGPの隣接ルータはピアと呼びます
答え b:ピア
********************************************************************************
c・d BGPの交換するメッセージは右記の4つです
| OPEN | ルータ間でBGPピアを確立し、情報交換を実施 |
| KeepAlive | 生存確認 |
| UPDATE | ルーティング情報の更新 |
| NoTIFICATION | BGPピア切断 |
答え c:UPDATE
d:KEEPALIVE
********************************************************************************
e 経路情報はルーティングテーブルに反映されます
答え e:ルーティングテーブル
********************************************************************************
f BGPのLOCAL_PREF値はBGPの最適経路を選択をする際に使用される値とで、値が大きいルートが優先されます。
答え f:大きい
設問2(2)
問題 本文中の下線⑤について、next-hop-self設定を行うと、iBGPで広告する経路情報のネクストホップのIPアドレスに何が設定されるか。15字以内で答えよ。
eBGPで受信したルートをiBGPで広報する際に、next-hop-self設定をしないと宛先へのネクストホップをそのまま他のiBGPルータに広報してしまいます。
その場合、ネクストホップへの到達性が無い場合はルーティングが出来ない状態となります。
next-hop-self設定を行うと、ネクストホップのアドレスを自身のアドレスに書き換えて他のルータに広報してくれます。
答え:自身のIPアドレス
設問2(3)
問題 表3について、BGPピア間で定期的にやり取りされるメッセージを一つ選び、タイプで答えよ。また、そのメッセージが一定時間受信できなくなるとどのような動作をするか。30字以内で答えよ。
BGPで定期定期にやり取りするメッセージは、d(KEEPALIVE)となります。
説明に接続の維持とあるように、KEEPALIVEは接続が正常であるか確認します。
もちろん、メッセージが受信できなくなったら、接続先はダウンしたと判断し、BGPであれば経路を見直します。
※タイプで答えよなので注意です
答え タイプ:タイプ4
動作:BGP接続を切断し、経路情報がクリアされる。
設問2(4)
問題 本文中の下線⑥について、BGPの導入を行った後にVRRPの導入を行うべき理由を、R13が何らかの理由でVRRPマスターになったときのR13の経路情報の状態を想定し、50字以内で答えよ。
上記構成だとR11とR12は、ルーティングをBGPへ変更しない状態では既存の静的経路情報を持っています。
しかし、R13は新規追加機器なので、BGPを設定しない状態では経路情報は持っていません。
なので、BGP設定を行う前にVRRPの設定を行い、R13がVRRPのマスターとなった場合は、FW10はパケットをR13に送りますが、R13は経路情報を持っていないのでパケットを破棄してしまいます。
答え:VRRPマスターになったR13が経路情報を保持していないと受信したパケットを転送できないから
設問2(5)
問題 表4中の下線⑦について、pingコマンドの試験で確認すべき内容を20字以内で答えよ。また、pingコマンドの試験で確認すべき送信元と宛先の組合せを二つ挙げ、図3中の機器名で答えよ。
⑦は増設した機器と回線の確認を実施で、項番4です。
ping試験の目的は宛先までの到達性の確認、遅延などの確認、連発してパケットロスが無いかの確認などです。
項番4はまだBGPは確立していないので、R13やR14への経路情報は無いので、通信可能なのは隣接する機器間のみとなります。
組み合わせ1はR13がメインで組み合わせ2はR14がメインとなります
答え 確認すべき内容:パケットロスが発生しないこと
組み合わせ1:送信元:R13 / 宛先:FW10
送信元:FW10 / 宛先:R13
送信元:R13 / 宛先:R11
送信元:R11 / 宛先:R13
組み合わせ2:送信元:R13 / 宛先:R14
送信元:R14 / 宛先:R13
設問2(6)
問題 表4中の下線⑧について、R11及びR12では静的経路制御の経路情報を削除することで同じ宛先ネットワークのBGPの経路情報が有効になる。その理由を40字以内で答えよ。
同じ宛先への経路情報がある場合はアドミニストレイティブディスタンス値(AD値)で経路の優先を判断します
デフォルトのAD値は右記サイトを参照
なのでスタティックルートの方が優先されます。
答え:経路情報は、BGPと比較して静的経路制御の方が優先されるから
設問2(7)
問題 本文中の下線⑨について、想定する障害を六つ挙げ、それぞれの障害発生箇所を答えよ。ただし、R12とR14についてはD社で障害試験実施済みとする。
マルチホームによる可用性向上を確認するための障害発生箇所は、上記の各ポイントとなります。
機器の物理的なダウンと各回線のダウンが想定されます
R12・R14の機器障害は不要です
答え ①:R11
②R13
③R11とR12とを接続する回線
④R13とR14とを接続する回線
④R11とL2SW10とを接続する回線
④R13とL2SW10とを接続する回線
設問3(1)
問題 本文中の下線⑩について、D社閉域NWの設定変更より前にFW10のデフォルトルートの設定変更を行うとどのような状況になるか。25字以内で答えよ。
—-既存構成図1—-
既存設定ではD社閉域網のルーティングもインターネット向けはR10に向いていることが解ります。
また、上記赤線でD社内でインターネット向けルーティングをR10からFW40に変更するとあります。
なので、もしD社が先にFW10のデフォルトルートを変更すると下記の図のようにループします。
答え:ルーティングのループが発生する
設問3(2)
問題 本文中の下線⑪について、業務に影響が発生する理由を20字以内で答えよ。
FW10には新たにグローバルIPアドレス(GIP)を割り振るとあるので、今後インターネットへ出るときの送信元IPアドレスは新しいGIPにNAPTされます。
問題文3PにSaaSは送信元IPによってアクセス制限しているものもあると記載されています。
なので、変更するとSaaSへアクセスできなくなる可能性があり、業務に影響が出ます。
答え:送信元IPアドレスが変わるから
設問3(3)
問題 本文中の下線⑫について、FW10にどのようなポリシーベースルーティング設定が必要か。70字以内で答えよ。
ポリシーベースルーティング(PBR)は通常のルーティングとは異なり、定義したポリシーに基づいてパケット転送経路を決定する技術です。
今回の場合だと送信元IPがプロキシサーバAで宛先がインターネットだった場合、ネクストホップをR10にする設定となります。
答え:送信元IPアドレスがプロキシサーバAで宛先IPアドレスがインターネットであった場合にネクストホップをR10とする設定
設問3(4)
問題 本文中の下線⑬について、どのような設定変更を依頼すればよいか。40字以内で答えよ。
設問3(2)の通り
業務影響はSaaSが送信元IPアドレスをアクセス制限しているのでアクセスできなくなる影響です。
なので、担当部門へSaaSの送信元IPアドレスによるアクセス制限の設定変更を実施する必要があります。
答え:SaaSの送信元IPアドレスによるアクセス制限の設定変更
コメント