インターネット接続環境の更改に関する次の記述を読んで,設問1〜4に答えよ。
物品販売を主な事業とするA社は,近年,ネット通販に力を入れている。A社は,K社が提供するSaaSを利用して,顧客との電子メールやビジネスチャット,ファイル共有などを行っている。A社のシステム部では,老朽化に伴うA社インターネット接続環境の新しい機器への交換とインターネット接続の冗長化の検討を進めている。システム部門のB課長は,Cさんをインターネット接続環境の更改の担当者として任命した。
A社は,専用線を利用して,インターネットサービスプロバイダであるZ社を経由して,インターネットに接続している。現在のA社ネットワーク環境を図1に示す。
図1 現在のA社ネットワーク環境(抜粋)
現在のA社ネットワーク環境の概要は次のとおりである。
・FWは,ステートフルパケットインスペクション機能をもつ。FWは,A社で必要な通信を許可し,必要のない通信を拒否している。
・FWは,許可又は拒否した情報を含む通信ログデータを管理サーバにSYSLOGで送信している。
・プロキシサーバは,従業員が利用するPCからインターネット向けのHTTP通信及びHTTPS通信をそれぞれ中継し,通信ログデータを管理サーバにSYSLOGで送信している。
・K社が提供するSaaSとの通信は全てHTTPS通信である。
・管理サーバには,A社のルータ,FW,L2SW及びL3SW(以下,A社NW機器という)からSNMPを用いて収集した通信量などの統計データ,FWとプロキシサーバの通信ログデータが保存されている。
・管理サーバは,通信ログデータを基にFWとプロキシサーバの通信ログ分析レポートを作成している。
・監視サーバは,A社NW機器及びサーバを死活監視している。
・キャッシュDNSサーバは,PCやサーバセグメントのサーバからの名前解決の問合せ要求に対して,他のDNSサーバへ問い合わせた結果,得られた情報を応答する。
・権威DNSサーバ1は,A社内のPCやサーバセグメントのサーバのホスト名などを管理し,名前解決の問合せ要求に対してPCやサーバセグメントのサーバなどに関する情報を応答する。
・サーバセグメントには,プライベートIPアドレスを付与している。
・サーバセグメントからインターネットに接続する際に,FWでNAPTによるIPアドレスとポート番号の変換が行われる。
・内部セグメントには,プライベートIPアドレスを付与している。
・権威DNSサーバ2は,A社内の公開Webサーバのホスト名などを管理し,名前解決の問合せ要求に対して公開Webサーバなどに関する情報を応答する。
・DMZには,グローバルIPアドレスを付与している。
・ルータ107には,A社が割当てを受けているグローバルIPアドレスの静的経路設定がされており,これを基にZ社内部のルータに経路情報の広告を行っている。
・ルータ10,FW10及びL3SW40の経路制御は静的経路制御を利用している。
Cさんは,インターネット接続環境の更改の検討を進めるに当たり,まず,インターネット接続環境の利用状況を調査することにした。
〔インターネット接続環境の利用状況の調査〕
XXX
管理サーバは,SNMPを用いて,5分ごとにA社NW機器の情報を収集している。A社NW機器のインタフェースの情報は,インタフェースに関するMIBによって取得できる。そのうち,インタフェースの通信量に関するMIBの説明を表1に示す。
表1 インタフェースの通信量に関するMIBの説明(抜粋)
例えば,ifInOctetsはカウンタ値で,電源投入によって機器が起動すると初期値の0から加算が開始され,インタフェースでパケットを受信した際にそのパケットのオクテット数が加算される。機器は,管理サーバからSNMPで問合せを受けると,そこの時点のカウンタ値を応答する。①管理サーバは,5分ごとにSNMPでカウンタ値を取得し,単位時間当たりの通信量を計算し,統計データとして保存している。単位時間当たりの通信量の単位はビット/秒である。②カウンタ値が上限値を超える場合,初期値に戻って(以下,カウンタラップという)再びカウンタ値が加算される。通信量が多いとカウンタラップが頻繁に起きることから,インタフェースの通信量の情報を取得する場合には,32ビットカウンタではなく,64ビットカウンタを利用することが推奨されている。管理サーバに保存された統計データは,単位時間当たりの通信量の推移を示すトラフィックグラフとして参照できる。
統計データから,過去に何度か利用が増え,インターネットに接続する専用線に輻輳が起きていたことが判明したので,専用線を増速する必要があるとCさんは考えた。また,統計データと通信ログ分析レポートから交換対象機器の通信量や負荷の状態を確認した結果,ルータ10及びL2SW10は同等性能の後継機種に交換し,FW10は性能が向上した上位機種に交換すればよいとCさんは考えた。
〔インターネット接続の冗長化検討〕
Cさんは,インターネット接続の冗長化方法についてZ社に提案を求めた。Z社の提案は,動的経路制御の一つであるBGPを用いた構成であった。Z社の提案した構成を図2に示す。
図2 Z社の提案した構成(抜粋)
Z社の提案した構成の概要は次のとおりである。
・ルータ10側の専用線を増速する。また,新たに専用線を敷設してZ社に接続する。新たに敷設する専用線を終端する機器として,ルータ11とルータ11Zを設置する。ルータ11側の専用線の契約帯域幅は,ルータ10側の専用線と同じにする。
・平常時はルータ10側の専用線を利用し,障害などでルータ10側が利用できない場合は,ルータ11側を利用するように経路制御を行う。
・ルータ10とルータ11にはループバックインタフェースを作成し,これらにIPアドレスを設定する。
・a〜eの各物理インタフェース及びループバックインタフェースでは,OSPFエリアを構成する。
・③ルータ10とルータ11はループバックインタフェースに設定したIPアドレスを利用し,FW10はeに設定したIPアドレスを利用して,互いにiBGPのピアリングを行う。④iBGPのピアリングでは,経路情報を広告する際に,BGPパスアトリビュートの一つであるNEXT_HOPのIPアドレスを,自身のIPアドレスに書き換える設定を行う。
・ルータ10とルータ10Zの間,及びルータ11とルータ11Zの間では,eBGPのピアリングを行う。ピアリングには,fとh,及びgとに設定したIPアドレスを利用する。
・eBGPのピアリングでは,A社側はプライベートAS番号である64512をZ社側はグローバルAS番号である64496を利用する。
Cさんは,Z社の提案を受け,BGPの標準仕様について調査を行った。
BGPでは,それぞれの経路情報に,パスアトリビュートの情報が付加される。BGPパスアトリビュートの一覧を表2に示す。
表2 BGPパスアトリビュートの一覧(抜粋)
AS_PATHは,経路情報がどのASを経由してきたのかを示すAS番号の並びである。eBGPピアにおいて,隣接するASに経路情報を広告する際に,AS_PATHに自身のAS番号を追加する。また,⑤隣接するASから経路情報を受信する際に,自身のAS番号が含まれている場合はその経路情報を破棄する。
NEXTHOPは,宛先ネットワークアドレスへのネクストホップのIPアドレスを示す。ネクストホップのIPアドレスは,ルータがパケットを転送する宛先を示す。eBGPピアに経路情報を広告する際には,NEXTHOPを自身のIPアドレスに書き換えて送信する。iBGPピアに経路情報を広告する際には,NEXTHOPを書き換えず,そのまま送信する。
MULTI_EXIT_DISC(以下,MEDという)は,eBGPピアに対して通知する,自身のAS内に存在する宛先ネットワークアドレスの優先度である。MEDはメトリックとも呼ばれる。
LOCAL_PREFは,iBGPピアに対して通知する,外部のASに存在する宛先ネットワークアドレスの優先度である。
BGPでは,ピアリングで受信した経路情報をBGPテーブルとして構成する。このBGPテーブルに存在する,同じ宛先ネットワークアドレスの経路情報の中から,最適経路を一つだけ選択し,ルータのルーティングテーブルに反映する。A社で利用している機器の最適経路選択アルゴリズムの仕様を表3に示す。
表3 最適経路選択アルゴリズムの仕様
最適経路の選択は,表3中の評価順に行われる。例えば,同じ宛先ネットワークアドレスの経路情報が二つあった場合には,最初に,LOCALPREFの値を評価し,値に違いがあれば最も大きい値をもつ経路情報を選択し,評価を終了する。値に違いがなければ,次のASPATHの長さの評価に進む。
なお,ルータのルーティングテーブルに最適経路を反映するためには,NEXT_HOPのIPアドレスに対応する経路情報が,ルータのルーティングテーブルに存在し,ルータがパケット転送できる状態にある必要がある。
Cさんは,以上の調査結果を基にZ社の提案した構成を確認した。CさんとZ社の担当者との会話は,次のとおりである。
Cさん:専用線の経路制御はどのように行いますか。
担当者:今回は,LOCALPREFを利用して,図2中の各ルータ及びFWのパケット送信を制御します。ルータ10Zとルータ11Zが経路情報を受信した際に,LOCAL_PREFの値をそれぞれ設定し,Z社内部の機器に経路情報の広告を行います。ルータ10とルータ11が経路情報を受信した際も同様に,LOCAL_PREFの値をそれぞれ設定し,A社内部の機器に経路情報の広告を行ってください。
Cさん:BGPで広告する経路情報はどのようなものですか。
担当者:ルータ102とルータ11Zはデフォルトルートの経路情報の広告を行います。ルータ10とルータ11はA社が割当てを受けているグローバルIPアドレスの経路情報の広告を行ってください。平常時のFW10のBGPテーブルは表4のように,ルーティングテーブルは表5のようになるはずです。
表4 FW10のBGPテーブル(抜粋)
表5 FW10のルーティングテーブル(抜粋)
Cさん:分かりました。リンクダウンしないにもかかわらず,通信ができなくなるような専用線の障害時は,どのような動作になりますか。
担当者:BGPでは, キ メッセージを定期的に送信します。専用線の障害時には,ルータが キ メッセージを受信しなくなることによってピアリングが切断され,AS内の各機器の経路情報が更新されます。
Cさん:分かりました。
担当者:ところで,⑥BGPの標準仕様ではトラフィックを分散する経路制御はできません。BGPマルチパスと呼ばれる技術を使うことで,平常時からルータ10側,ルータ11側両方の専用線を使って,トラフィックを分散する経路制御ができますがいかがですか。教えていただいた,今回利用を検討されている機器はどれもBGPマルチパスをサポートしています。BGPマルチパスを有効にすると,BGPテーブル内のLOCALPREFやASPATH,MEDの値は同じで,NEXTHOPだけが異なる複数の経路情報を,同時にルーティングテーブルに反映します。その結果,ECMP(Equal-Cost Multi-Path)によってトラフィックを分散することができます。
Cさん:いいですね。では,BGPマルチパスを利用したいと思います。
担当者:承知しました。各機器の設定例を後ほどお渡ししますので参考にしてください。
Cさん:ありがとうございます。
〔インターネット接続の冗長化手順〕
Cさんは,冗長化作業中にインターネット利用に対する影響が最小限となる,インターネット接続の冗長化手順の検討を行った。Cさんが検討した冗長化手順を表6に示す。
表6 Cさんが検討した冗長化手順
手順1,2では,新たに導入する機器の設置及びケーブルの接続を行い,物理構成を完成する。手順3では,作業対象機器の物理インタフェースの設定及びIPアドレスの設定を行い,機器間で疎通の確認を行う。疎通の確認では,pingを用いて,パケットロスが観測されないことを確認する。手順4〜7で,BGPやOSPFを順次設定する。続いて,手順8を実施する。⑦A社からインターネットへ向かう通信については,手順8の静的経路の削除が行われた時点で,動的経路による制御に切替えが行われ,冗長化が完成する。最後に,手順9では,インターネット利用に対する影響が最小限になるように機器を操作しながら,作業対象機器をあらかじめ設定を投入しておいた後継機種又は上位機種に交換する。例えば,ルータ10の交換に当たっては,⑧通信がルータ10を経由しないようにルータ10に対して操作を行った後に交換作業を実施する。
Cさんは,これまでの検討結果をインターネット接続環境の更改案としてまとめ,B課長に報告した。B課長は,専用線に輻輳が発生していたこと,及び監視サーバで検知できなかったことを問題視した。想定外のネットワーク利用などによって突発的に発生した通信や輻輳を迅速に検知できるように,単位時間当たりの通信量の監視(以下,トラフィック監視という)について,Cさんに検討するよう指示した。
〔トラフィック監視の導入〕
監視サーバの死活監視は,監視対象に対して,1回につきICMPのエコー要求を3パケット送信し,エコー応答を受信するかどうかを確認する。1分おきに連続して5回,一つもエコー応答を受信しなかった場合に,アラートとして検知する。エコー要求のタイムアウト値は1秒である。Cさんは,⑨専用線の輻輳を検知するために,監視サーバの監視対象として,ルータ10Zとルータ112を追加することを考えたが,問題があるため見送った。
そこで,Cさんは,通信量のしきい値を定義し,上限値を上回ったり,下限値を下回ったりするとアラートとして検知する監視(以下,しきい値監視という)の利用を検討した。通信を均等に分散できると仮定すると,インターネット接続の冗長化導入によって利用できる帯域幅は専用線2回線分になる。どちらかの専用線に障害が発生すると,利用できる帯域幅は専用線1回線分になる。Cさんは,どちらかの専用線に障害が発生した状況において,専用線に流れるトラフィックの輻輳の発生を避けるためには,平常時から,それぞれの専用線で利用できる帯域幅の ス %を単位時間当たりの通信量の上限値としてしきい値監視すればよいと考えた。このしきい値監視でアラートを検知すると,トラフィック増の原因を調査して,必要であれば専用線の契約帯域幅の増速を検討する。
次に,Cさんは,想定外のネットワーク利用などによって単位時間当たりの通信量が突発的に増えたり,A社NW機器の故障などによって単位時間当たりの通信量が突発的に減ったりすること(以下,トラフィック異常という)を検知する監視の利用を検討した。Cさんは機械学習を利用した監視(以下,機械学習監視という)の製品を調査した。
Cさんが調査した製品は,過去に収集した時系列の実測値を用いて,傾向変動や周期性から近い将来の値を予測し,異常を検知することができる。例えば,単位時間当たりの通信量について,その予測値と新たに収集した実測値を基に,トラフィック異常を検知することができる。
Cさんは,管理サーバに保存されている単位時間当たりの通信量の統計データを用いて,機械学習監視製品の試験導入を行った。Cさんは,これまで検知できなかったトラフィック異常が検知できることを確認した。さらに,⑩管理サーバに保存されている,統計データとは別のデータについても,機械学習監視製品を用いて監視することで,トラフィック異常とは別の異常が検知できることを確認した。複数のデータを組み合わせて,機械学習監視製品を用いて監視することで,ネットワーク環境の状況を素早く,かつ,詳細に把握できることが分かった。
Cさんは,機械学習監視製品の試験結果についてまとめ,B課長に報告を行い,インターネット接続環境の更改に併せて,管理サーバにしきい値監視と機械学習監視製品を導入することが決まった。
その後,A社では,Cさんがまとめたインターネット接続環境の更改案を基に設備更改が実施され,また,しきい値監視と機械学習監視製品が導入された。
設問1 〔インターネット接続環境の利用状況の調査〕について,(1)〜(3)に答えよ。
(1)本文中の下線①について,取得時刻tにおけるカウンタ値をXₜ,取得時刻tの5分前の時刻t-1におけるカウンタ値をXₜ₋₁としたとき,t-1との間における単位時間当たりの通信量(ビット/秒)を算出する計算式を答えよ。ここで,1オクテットは8ビットとし,t-1との間でカウンタラップは発生していないものとする。
解答・解説
解答例
(Xₜ-Xₜ₋₁)×8÷300
解説
ー
(2)本文中の下線①について,利用状況の調査を目的として,単位時間当たりの通信量(ビット/秒)を求める際に時間平均することによる問題点を35字以内で述べよ。
解答・解説
解答例
取得間隔の間で発生したバースト通信が分からなくなる。
解説
ー
(3)本文中の下線②について,32ビットカウンタでカウンタラップが発生した際に,通信量を正しく計算するためには,カウンタ値をどのように補正すればよいか。解答群の中から選び,記号で答えよ。ここで,取得時刻tにおけるカウンタ値をXₜ,取得時刻tの5分前の時刻t-1におけるカウンタ値をXₜ₋₁,t-1との間でカウンタラップが1回発生したとする。
- XₜをXₜ+2³²に補正する。
- XₜをXₜ+2³²-1に補正する。
- Xₜ₋₁をXₜ₋₁+2³²に補正する。
- Xₜ₋₁をXₜ₋₁+2³²-1に補正する。
解答・解説
解答例
ア
解説
ー
設問2 〔インターネット接続の冗長化検討〕について,(1)〜(5)に答えよ。
(1)本文中の下線③について,図2中のルータ10やルータ11にはループバックインタフェースを作成し,iBGPのピアリングにループバックインタフェースに設定したIPアドレスを利用するのはなぜか。FW10とのインタフェースの数の違いに着目し,60字以内で述べよ。
解答・解説
解答例
ルータ 10 とルータ 11 は OSPF を構成するインタフェースが二つあり,迂回路を構成できるから
解説
ー
(2)FW10のルーティングテーブルを表7に示す。本文中の下線4について書き換える設定を行わない場合に,FW10のルーティングテーブルに追加で必要になる情報はどのような内容か。表5を参考に,表7中の a , b に入れる適切な字句を答えよ。
表7 FW10のルーティングテーブル(抜粋)
解答・解説
解答例
a:α.β.γ.0/30
b:α.β.γ.4/30
解説
ー
(3)本文中の下線⑤について,経路情報を破棄する目的を20字以内で述べよ。
解答・解説
解答例
経路のループを回避するため
解説
ー
(4)本文及び表3〜5中の ア 〜 キ に入れる適切な字句を答えよ。
解答・解説
解答例
ア:短い
イ:小さい
ウ:α.β.γ.8
エ:α.β.γ.9
オ:α.β.γ.17
カ:α.β.γ.18
キ:キープアライブ
解説
ー
(5)本文中の下線⑥について,BGPの標準仕様とはどのような内容か。本文中の字句を用いて50字以内で述べよ。
解答・解説
解答例
BGP テーブルから最適経路を一つだけ選択し,ルータのルーティングテーブルに反映する。
解説
ー
設問3 〔インターネット接続の冗長化手順〕について,(1)〜(4)に答えよ。
(1)表6中の ク 〜 サ に入れる適切な字句を解答群の中から選び,記号で答えよ。
- eBGPの導入
- iBGPの導入
- OSPFの導入
- ループバックインタフェースの作成とIPアドレスの設定
解答・解説
解答例
ク:エ
ケ:ウ
コ:イ
サ:ア
解説
ー
(2)表6中の シ に入れる適切な機器名を,図2中の機器名で全て答えよ。
解答・解説
解答例
ルータ 10Z,ルータ 10,FW10
解説
ー
(3)本文中の下線⑦について,静的経路の削除が行われた時点で,動的経路による制御に切替えが行われる理由を40字以内で述べよ。
解答・解説
解答例
BGP の経路情報よりも静的経路設定の経路情報の方が優先されるから
解説
ー
(4)本文中の下線⑧について,ルータ10に対して行う操作はどのような内容か。操作の内容を20字以内で述べよ。
解答・解説
解答例
eBGP ピアを無効にする。
解説
ー
設問4 設問4〔トラフィック監視の導入〕について,(1)〜(3)に答えよ。
(1)本文中の下線⑨について,問題点を二つ挙げ,それぞれ30字以内で述べよ。
解答・解説
解答例
・輻輳時にエコー応答を受信することがあり検知できない。
・ルータ 10Z とルータ 11Z の障害時に誤って検知する。
解説
ー
(2)本文中の ス に入れる適切な数値を答えよ。
解答・解説
解答例
50
解説
ー
(3)本文中の下線⑩について,統計データとは別のデータにはどのようなデータがあるか。本文中の字句を用いて25字以内で答えよ。また,そのデータを,機械学習監視製品を用いて監視することによって,どのようなトラフィック異常とは別の異常を検知できるようになるか。検知内容を40字以内で述べよ。
解答・解説
解答例
データ:FW とプロキシサーバの通信ログデータ
検知内容:単位時間当たりの通信ログデータ量が突発的に増えたり減ったりしたこと
解説
ー
IPA公開情報
出題趣旨
システム部門がネットワークを運用する際には,ネットワークの状況を正確に把握できることが重要である。そのためには,情報取得の仕組みや情報の取り扱い,情報の見方について,正確に理解しておく必要がある。あわせて,ネットワークを常時監視する必要もある。また,与えられた課題に対して,どのような技術を用いて,どのように解決するか立案できることが重要である。利用したことがない技術が案として浮上した場合,その技術がどのようなものか調べ,正確に理解したうえで採用することが重要である。
本問では,インターネット接続環境の更改を題材にしている。SNMP を用いたネットワーク利用状況の把握 及び ping 監視と機械学習を用いた監視について問う。さらに,BGP や OSPF を用いたネットワーク設計と,プロトコルの特徴を踏まえた導入手順について問う。
採点講評
問 2 では,インターネット接続環境の更改を題材に,SNMP を用いたネットワーク利用状況の把握及び ping 監視と機械学習を用いた監視について出題した。さらに,BGP や OSPF を用いたネットワーク設計と,プロトコルの特徴を踏まえた導入手順について出題した。全体として,正答率は高かった。
設問 2 は,BGP を中心とした経路制御の問題であるが,(2)の正答率が低かった。本文中の説明を注意深く読み取り,経路制御の流れを順序立てて組み立て,正答を導き出してほしい。(4)キは,正答率が低かった。キープアライブなど,BGP に関する基本的な用語については,是非知っておいてほしい。
設問 3は,(3),(4)の正答率がやや低かった。(3)は異なるプロトコルを組み合わせて用いる際に,これらの信頼性に基づいて優先順位を決める経路制御の基本である。また,(4)はネットワーク構成を変更する際に,利用者に対する影響を最小限にするための通信迂回操作の一つである。それぞれよく理解してほしい。 設問 4(1)は,正答率がやや低かった。専用線の輻輳を検知するために ICMP による死活監視を用いた際の問題について問うたが,技術的な観点ではなく,ルータ 10Z とルータ 11Z が Z 社の所有であることに着目した解答が目立った。ネットワークスペシャリストとして ICMP の特徴をよく理解し,もう一歩踏み込んで考えてほしい。