【NW】2/20~2/26の過去問振り返り

重点対策の第8章、「ネットワーク機器」の過去問を解きました。
仕事がめちゃくちゃ忙しくてあまり解けず……決してWiiデラを遊んでたからとかではないです。いやほんとに。

2017(H29) 秋 午後Ⅰ 問3

問題はこちらから(IPA 平成29年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
クラウドサービスとの接続およびOSPF、BGPに関する問題。昨年の12月9日以来2回目。見返したら前回が設問1以外全滅だったので相対的によく見える。

設問1

穴埋め問題。

ウ. ルータの集まりはAS
なぜかSNMPのコミュニティと勘違いしたうえに、その言葉も出てこなかったという。

エ. BGPはTCPのポート179番を使用して通信します。
通信の信用性確保のためにTCPを使用しているんですね。

カ. ICMPで echo request パケットを送った場合、相手から返ってくるのはエコー応答: echo reply です。全然思いつかなくて ack って書いた。

せっかくなので、代表的なICMPパケットのフォーマットタイプを以下に記載しておきます。

タイプ(10進数)内容
0エコー応答(Echo Reply
3到達不能(Destination Unreachable
4始点抑制(Source Quench)
5リダイレクト(Redirect
8エコー要求(Echo Request
9ルータ広告(Router Advertisement)
10ルータ請願(Router Soliciation)
11時間超過(Time Exceeded

設問2 (1)

トンネルモードではなくトランスポートモードを使用する理由を答える問題。IPアドレスに着目して答えます。

本問では、グローバルIPアドレスを利用し、IP in IPを用いてトンネルが構成されることになっています。IP in IPは元のIPヘッダ―の前に、外部IPヘッダ―(Outer IP Header)を追加します。
その場合のパケットを図示してみましょう。なお今回追加される外部IPヘッダというのはグローバルIPアドレスです。

次に上記の②のパケットを、IPsecで暗号化します。暗号化といっているのでESPでしょうから、ESPのトランスポートモードどトンネルモードのパケットを考えます。IPsecのパケットが分からない方は、IPsecの記事の図をご覧ください。

IP in IPによって外部IPヘッダがついていることで、元のIPヘッダはトランスポートモードで暗号化することができています。トランスポートモードでできてるんだからトンネルモードにまでする必要ないよね!ってことですね。

トランスポートモードで元のパケットを暗号化できてるのは外部IPヘッダ(グローバルIPアドレス)が付いているから、グローバルIPアドレスで通信するのはトンネルの通信、トンネルの通信をIPsecによって暗号化する……、
よって解答は「暗号化対象の通信がグローバルIPアドレス間の通信だから」でした。

……いや、パケットを図示した結果、余計にグローバルIPアドレスうんぬんじゃなくてIP in IPでカプセル化されてるから感があるんですが?グローバルIPアドレスでカプセル化する技術がIP in IPってこと?何??調べてもよく分からなかったのでそこらへん詳しい方がいたらぜひ教えてください。

余裕があったらそのうち RFC1853 IP in IP Tunneling を読みたいですね。チラ見した感じあまり関係ない気もするけど……。

設問2 (2)

解答内容的にはあってる……と思うんですが、解答例中の文言の確認として。

フラグメント:MTUを超過するIPパケットを複数のIPパケットに分割する処理
リアセンブル:分割されたIPパケットを元の1つにまとめる処理

その表現にしなくても、分割と再構成処理とかでも〇にしてほしいのですが。

設問3 (1)

静的経路制御と比較して動的経路制御を選択した利点を答える問題。

動的経路制御は、定期的に経路情報をやり取りすることで動的に(状況に応じて)適切な経路を決めている方法です。例えばBGPの場合は更新があったときのみ更新され、通常時はKEEPALIVEメッセージをやり取りすることで、相手が正常に動作しているか確認しています。相手から90秒以上KEEPALIVEメッセージが届かなかった場合に回線あるいは機器が故障したと判断し、経路を変更します。静的の場合は決め打ちのため人が変更する必要がありますが、動的なら人があれこれしなくても、勝手にトラブルを検知し、回避してくれるメリットがあるわけです。

よって解答は「BGPによって回線断や機器障害を検知し、トラフィックをう回できる」です。

動的経路制御ということは自動で経路を変更してくれるということで、いつ自動で変更するかというと例えば機器が故障した時とか……とは思ったのですが、本文の内容から飛躍しすぎな気がして悩みました。
冗長性への言及があるので、別に飛躍でもなんでもないのでしょうか。

設問3 (4)

経路情報の再配布時、ループが生じないようにするために必要な経路制御の内容を答える問題。

再配布というのは異なるルーティングプロトコル間で経路情報をやりとりするための機能。本問はOSPFとBGPの間の再配布です。
問題文中に「VPNa1とVPNb1では、OSPFとBGPの間で経路情報の再配布を行う。」とあります。ここからVPNa1はL社クラウドサービスからeBGPによって受け取った経路をOSPFへ再配布することが考えられます。ループが生じる流れを整理してみます。

①VPNa2が、VPNa1にeBGPを使用してサーバセグメントへのルーティングを通知。
②VPNa1はeBGPから受け取った経路情報をOSPFへ再配布する
③OSPFは受け取った経路をL3SWとVPNb1へ再配布する
④VPNb1はOSPFから受け取った経路情報をeBGPへ再配布する。
⑤VPNb1からサーバセグメントへの経路に、VPNa2経由とVPNb2経由の2通りが出来てしまう。
⑥同様にして、VPNa1からサーバセグメントへの経路に、VPNb2経由とVPNa2経由の2通りが出来てしまう。
⑦再配布された情報によっては、サーバセグメントへ送信するパケットをVPNa1はVPNb2へ、VPNb1はVPNa2へ送信しようとする状況が発生し、VPNa1とVPNb1の間でループが生じてしまう。

上記のループを防ぐには、経路が2通りにならなければいい、つまりOSPFからeBGPへ再配布しなければ良いです。eBGPからOSPFへ再配布されたものを再度eBGPへ流さないようにします。
よって解答は「eBGPからOSPFへ再配布された経路を再びeBGPへ再配布しない」です。
経路情報の流れが掴めてなかったのでうまく解答を導けませんでした。

2018(H30) 秋 午後Ⅰ 問3

問題はこちらから(IPA 平成30年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
ネットワーク再構築に関する問題。昨年の12月11日以来2回目。正解に必要な点までは導けたけど、それを適切な文にできなかったなという印象です。あと前読んだときと違って言ってることは理解できてたのでちゃんと進歩はしてると思いたい。

設問2 (2)

MPLSヘッダにあるラベルと呼ばれる短い固定長のタグ情報を利用する目的を答える問題。

タグ情報 = ラベルなので、ラベルを使用する目的(ラベルの意義)を答えればいいです。
IP-VPN網内のルータは、このラベルを基に通信の識別、ラベルスイッチングを行います。
また、事業者閉域IP網は専用線と異なり、他の利用者と共有しています。そのため、別の利用者とは通信しないようにするためにタグ情報で識別を行います。

よって正解は「利用者ごとのトラフィックを区別する」でした。

以前参考書を見た際に記載してあった、ラベルによってIPアドレスに依存しないルーティングが可能という言葉に引っ張られてしまったなと思います。ただどちらかといえばここでは事業者閉域IP網は複数の利用者が共有するものという認識がなかったほうが原因でしょうね。

設問3 (3)

必要なことは考えられていたけど、解答できなかった点の振り返り。

該当の下線部は「複数のルーティングプロトコルから得た同一宛先への異なる経路情報から、適切な経路を選択する」で、問題文は「Eさんが検討したルーティング方式において、L3SWでの経路の優先選択の考え方を25字以内で答えよ」。
解答は「BGP4から得られた経路を優先する」です。

解答するまでの思考はこんな感じでした。
・IP-VPNではBGP4、インターネットVPNではOSPFを使用する
・IP-VPNはインターネットVPNより優先
・下線部に「複数のルーティングプロトコルから得た」とあるので、ルーティングプロトコルを文中に含める必要はありそう
・IP-VPNを優先して、IP-VPNが使えない時はインターネットVPNを使用する経路設定的なことが書きたい
・字数足りない???

ダメだった点はIP-VPNをインターネットVPNに切り替えるための設定は何が必要かと考えた点。
IP-VPNが使用できなくなった場合はBGP4から経路が得られなくなるので勝手にOSPFの経路になるわけですから、そもそもそんなものは必要ないというか存在しないんですよね。
IP-VPNを優先する = BGP4から得られた経路を優先するで必要十分だったのでした。

2019(R1) 秋 午後Ⅰ 問1

問題はこちらから(IPA 令和元年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
ネットワークの増強に関する問題。昨年10月17日以来2回目。記述が難しかったけど、問題文自体はちゃんと読めたあたり成長してるはず。

設問1 (4)

顧客に割り当てているVLANタグの付与が必須となる回線を全て答える問題。

VLANは物理的な接続ではなく、仮想的にネットワークを分割する技術で、VLANタグはタグVLANにおいてネットワークを分割(区別)する際に使用されます。
つまりVLANタグの付与が必須なのは、あて先を区別する必要がある回線です。

分かりやすいように図1のビル3階に書き込んでみます。

図1に書き込み

回線コとシは顧客セグメント1宛て、回線サとスは顧客セグメントm宛てと決まっているため、ここは宛先を区別する必要がないです。よってタグは不要。
また、問題文よりL3SW1とL3SW2のL2SWへの接続ポートにはタグVLANが設定されているため、キとクにはタグが付与されます。残るはケですが、L3SW2からL2SW1宛てL3SW1からL2SW2宛てのパケットが通過することや、L2SWからどの顧客セグメント宛てに送るのか区別するためにタグが必要です。
したがって解答は、「キ、ク、ケ」です。

「VLANタグの付与が必須」がちゃんと理解できて、図に書き込んでみれば分かる話だったなあ。

おまけでVLANに関する用語のメモ。
VLAN ID
12ビットで、1 ~ 4094の範囲で指定する。1はデフォルトVLANの値、0と4095は予約されている。
アクセスポート
1つのVLANだけに所属するポート。ポートVLANではこちらを設定する。
トランクポート
複数のVLANに所属するポート。

調べてたときに分かりやすかったページ。

ポートVLANとタグVLANの違いとは?
VLANの方式の中でもっともよく使われる「ポートVLAN」と「タグVLAN」を解説する。

設問1 (4)

静的LAG(リンクアグリゲーション)ではなく、LACPを設定することによって可能になることを答える問題。

そもそもLACPがなにかよく分からず……。静的に対するのだから、おそらく何かを自動でやってくれるのだろうとは思ったのですが。

LACP(Link Aggregation Control Protocol)とは、スイッチ間でネゴシエーションを行い、動的に設定するプロトコルです。IEEE 802.adで標準化されています。LACPDUメッセージで制御情報を定期的にやり取りすることで、動的に論理グループのメンバを変更できます。
LAGの設定方法は、上記のLACPを使用する場合と、L2SWの各ポートで論理グループを作成し、手動で機能をONにする静的な方法の2通りです。

LACPが有用な場面として、本文中には「ビル管理会社が提供するM/Cには、1000BASE-LX側IFがリンクダウンしたときに1000BASE-T側IFを自動でリンクダウンさせる機能はない。」という記述があります。(ちなみにリンクダウンとは別の機器と接続できず、通信できない状態のこと)

静的LAGを使用している場合は、1000BASE-LX側IFのリンクダウンに気が付けませんが、LACPであればLACPDUを受信しなくなることで、コアルータとL3SWがリンクの故障に気がつきます。そして論理グループから故障した回線を除外できます。
1000BASE-T側はリンクダウンをしてないけど、対向のIFがリンクダウンしちゃって通信できない場合の回線を除外できるわけですね。

よって解答は「リンクダウンを伴わない故障発生時に、LAGのメンバから故障回線を自動で除外できる」でした。

設問1 (5)

LAGを構成する回線のうち1本が切れた場合に、切れた回線を含む同一LAGを構成するL3SW3とL2SW3の間でLAGのIFを自動閉塞しない場合に生じる問題を答えます。記述内容には「パケット」を使用する必要があります。

コアルータとL3SWの間、L3SWとL2SWの間は、1Gビット/秒の回線(1000BASE-T)で接続されており、LAGが設定されているため、最大2Gビット/秒で通信ができます。

ここで、L3SW3とL2SW3の間のLAGが1本切れた場合を考えます。
コアルータとL3SW3は2本の回線が使用できるため2Gビット/秒で通信できます。しかし、L3SW3からL2SW3へは1本の回線しか使用できないため、1Gビット/秒でしか通信できません。そのため、コアルータから1Gビット/秒より大きいデータが来ても、L3SW3では1Gビット/秒を越えるデータを送信できず、破棄されてしまいます。

よって解答は「1Gビット/秒を超えたパケットが破棄される」です。

L3SW3とL2SW3の間でLAGのIFを自動閉塞するというのが、L3SW3とL2SW3の間で1本ダメになった場合にもう1本も閉塞してしまう状況を指してることが理解できてませんでした。あと通信がコアルータ⇔L3SW⇔L2SWであることに気づけなかったのもダメでしたね。

設問1 (6)

解答までは辿り着けたけど、記述内容が悪かった点の反省。
MACアドレスを基にハッシュ関数を計算する場合では負荷分散がうまくいかない理由を答える問題。
これに対してうまくいくとされているのは、IPアドレスとポート番号を使用する場合です。
解答は「通信の送信元と宛先MACアドレスの組み合わせが少なく、ハッシュ関数の計算値が分散しないから」です。

分散がうまくいかない理由を答えるので、直接的原因として、ハッシュ関数の計算値が分散しないことについて言及する必要があるとは思います。ここは足りませんでした。
また計算値が分散しない理由は、MACアドレスが限られているからです。IPアドレスは端と端の値なので多数の組み合わせを取り得ますが、送信元・宛先MACアドレスは隣接する機器になるため、数が多くありません。ただコアルータ⇔L3SW⇔L2SW間のみ注目してMACアドレスが決まり切っているからとしたのはダメでした。CR⇔L2SW⇔L3SWでの場合、顧客状況に応じてCRが変わることから一応複数の組み合わせが考えらえるので、「組み合わせが少ない」程度の記述にすべきでした。

2021(R3)春 午後Ⅰ 問2

問題はこちらから(IPA 令和3年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
昨年11月29日以来3回目です。が、なんとなくだけ覚えていて肝心な部分が分からない……つまり完全に物にできていなかったということですね。今度こそは完璧に!

日経ネットワークにも「再配布と経路集約」というテーマで取り上げられていました(日経クロステック記事)。設問1~3についてよく理解できると思います。

設問1

解答自体はあってたんですが、LSAとかOSPF関連の用語ををまとめておきたいので。

タイプ名称作成ルータ内容
1Router-LSAすべてのルータエリア内部に、自ルータのリンク情報を通知する
2Network-LSA代表ルータエリア内部に、自エリアのネットワーク情報を通知する
3Network-Summary-LSA代表ルータエリア内部に、他エリアのネットワーク情報を通知する
4ASBR-Summary-LSAエリア境界ルータエリア内部に、AS境界ルータの情報を通知する
5AS-External-LSAAS境界ルータ全体に、非OSPFネットワークの経路情報を通知する

OSPFルータはLSAの情報を交換し合い、リンクステートデータベース(LSDB)を作成します。そのLSDBを基に、ルーティングテーブルを作成します。

複数のエリアに接続されているルータをエリア境界ルータ(Area Border Router: ABR)といいます。エリア境界ルータは、接続しているエリアのすべてのLSDBを保持しています。各エリアで計算された経路情報を他のエリアに伝える役割を持ちます。

すべての非バックボーンエリアは必ずバックボーンエリアに接続されている必要があり、エリア境界ルータも必ずバックボーンエリアに接続されている必要があります

設問2

全社のOSPFエリアからインターネットへのアクセスを可能にするための設定を答える問題。

問題文には「FWにはインターネットへの静的デフォルト経路を設定しており」とあります。この静的デフォルト経路(デフォルトルート)をOSPFに教えてあげればOSPFエリアからもインターネットにアクセスできそうです。

ルータは同じルーティングプロトコルで動作するルータとしか経路情報を交換しません。異なるルーティングプロトコルを使用しているネットワークへ情報を伝えるためのルート情報変換処理再配布または導入と呼びます。

よって解答は「OSPFへデフォルトルートを導入する」です。
デフォルトゲートウェイしか出てこなかったや。静的経路とOSPF間の再配布と、デフォルトルートがキーワードですね。あと再配布は分かってたけど導入とも言うのは忘れてました。とはいえ再配布でも〇かな?

設問3 (4) f

ルーティングループを防止するためのOSPF経路表の穴埋め問題。(3)とも関連あり。

集約した経路に存在しないネットワークが含まれていて、かつデフォルトルートが設定されている場合にルーティングループが発生する可能性があります。

例えば172.16.20.0/23というネットワークは集約した172.16.0.0/16の範囲ですが、実際には存在しません。本社のL3SWやFWは172.16.20.0/23宛てのパケットを受信すると、集約されたルーティングテーブルにしたがって、ルータへ送信します。しかしルータはそのあて先を知らないため、デフォルトルートであるFWへ送信します。それを受信したFWはルーティングテーブルを見てルータへ送信して……といった風にルータとFW間でループが生じます。これを防ぐには、ルータのルーティングテーブルに、集約した経路へのパケットを破棄するよう(ネクストホップ null)設定します。

よって解答はルータでした。
ルータとFWでループすることは覚えていたのですが、なぜループするのかは忘れていたためFWと答えてしまいました。原理がわかれば答えがルータと分かりますね。

なおルート集約の際、ルータのルーティングテーブルに集約したネットワークドレスに対してNull0向けのルートが自動で登録される場合があります。このルートは、破棄ルート(discard root)またはNull0ルートと呼ばれています。

設問4 (2)

フロア間OSPF追加設定を行う必要がある二つの機器と、設定内容を答える問題。

OSPFでは、バックボーンエリア(エリア0)は絶対に分断されてはいけません。分断された場合、バックボーンエリア同士は通信不能になります。エリア境界ルータはバックボーンエリアから受け取った経路情報を再度バックボーンエリアへ送信しないからです。

物理的には分断されている場合でも、仮想的に直接接続されているようにする技術がOSPF仮想リンクです。これをエリア境界ルータに設定します。エリア境界ルータはルータとL3SW1です。

よって解答は ルータL3SW1、設定内容は「OSPF仮想リンクの接続設定を行う」です。

エリア0は1つじゃないとダメで、分けたい場合は何か設定するんだったよな~ということだけ覚えていて言葉が出てきませんでした。OSPF仮想リンク。大事なことなのでもう一度言います、OSPF仮想リンクです。
なお、2つのバックボーンエリアを繋ぐ場合だけでなく、バックボーンエリアに隣接していないエリアをバックボーンエリアに接続させる場合にもOSPF仮想リンクは使用されます。

設問4 (3)

本社とE社のエリア0を1つのエリア0としたことで、支社ネットワーク集約の効果がなくなり、本社のOSPFエリア0のネットワーク内に支社個別経路が現れてしまうので、それを防ぐネットワーク機器への追加設定を答えます。

ルータは、エリア1を集約した経路を本社側のエリア0へ広告しています。
一方、L3SW1はエリア1を集約しないまま、E社側のエリア0へ広告しています。
この状態でルータとL3SW1で仮想リンクを行うと、ルータはE社側のエリア0へ集約された経路を広告し、L3SW1は本社側のエリア0へ集約されていない経路を広告してしまいます。よって本社のOSPFエリア0のネットワーク内に支社個別経路が現れてしまうのでした。
この問題は、L3SW1にも集約設定をしてやれば解決しそうです。

解答は機器がL3SW1、設定が「OSPFエリア1の支社個別経路を172.16.0.0/16に集約する」でした。

エリア0を1つにすることで支社個別経路が現れるの意味がそもそもあまり理解できなかったんですよね。繋がったことでルータはE社側に広告し、L3SW1は本社側に広告しちゃって、後者が問題だったというわけでした。

2022(R4)春 午後Ⅰ 問2

問題はこちらから(IPA 令和4年度春期試験 問題冊子・解答例・採点講評・配点割合)。
直近であるR4の問題は解いてなかったので初です。設問2が全然ダメだったので、IKEの勉強しないとなあ。

設問1 (5)

本社のIPsecルータが営業所のIPsecルータとIPsec VPNを確立するために、静的なデフォルトルート(0.0.0.0/0)の設定が必要になる理由を答える問題。

本文中に「本社及び営業所のIPsecルータは、IPsec VPNを確立したときに有効化される仮想インタフェース(以下、トンネルIFという)を利用して相互に接続する。」と記載があります。つまり、トンネルIF(VRF識別子で65000:2)はIPsec VPNを確立した後に使用されます。

ではIPsec VPNの確立はどのように行われるのか?それはインターネットに接続するインタフェース(表1のINT-IF、VRF識別子は65000:1)を使用するのです。
表1を見ると本社のIPsecルータのINT-IFのIPアドレスはs.t.u.vで、固定のグローバルIPアドレスとなっています。一方、営業所のIPsecルータのINT-IFのIPアドレスw.x.y.zはISPから割り当てられた動的なグローバルIPアドレスとなっています。

本社のIPsecルータが営業所のIPsecルータとIPsec VPNを確立するためには、営業所のIPsecルータがどんなグローバルIPアドレスであっても本社のIPsecルータが接続できる必要があります。そのためにデフォルトルートを設定しなければいけないのです(0.0.0.0/0はすべての値に合致する⇒どんなIPアドレスでも接続できる)。

よって解答は「ISPが割り当てる営業所のIPsecルータのIPアドレスが動的だから」です。

IPsec VPNを確立する際に使用するVRFが65000:1で、65000:2は確立後に使用するということが分かってなかったです。
あと図表の注に答えとかヒントがあることって多いよなあとしみじみ。

設問2 (1)

穴埋め。

e. 該当部は「ESPトレーラを付加することで(e)化する。」
ESPなので「暗号化」か?でもトレーラを追加するだけで暗号化はできるのか?と思いカプセル化としたんですが、正解は「暗号」でした。ESPトレーラはパケット長を調整(ブロック暗号用に)し、認証時にパケットが改ざんされていないか確認するための情報が含まれるそうです。まあESPトレーラって暗号化範囲に含まれますし、カプセル化ならヘッダの方を指しそうですしね。

f. 「IP」ヘッダ。IPアドレスヘッダとは言わんのです。

g. 「Child」であってたけど。
Child SAって何?と思ったら、Child SAはIKEバージョン1でIPsec SAと呼ばれていたとのことで。納得。IKE SA(ISAKMP SA) → IPsec SAが IKE SA → Child SAになったってことでしょうか。

h. Diffie-Helmanグループ番号はIKEでネゴシエーションされるパラメータの一つ。Diffie-Helmanアルゴリズムの種類と使用する鍵長を示します。よって正解は「鍵長」。
Diffie-Helmanは言わずと知れた鍵交換のアルゴリズムですが、Diffie-Helmanグループ番号とは初耳でした。

ちなみにIPsec VPN利用時には、IKEのバージョンやDiffie-Helmanグループ番号は選択できるそうです。

設問2 (2)

IPsec VPNを確立できない場合に失敗しているネゴシエーションを特定するために、何の状態を確認すればいいかを本文の語句で答えます。状態?

SAはさまざまなパラメータを含んでいるコネクションです。IPsec VPNが確立できない時は、そのパラメータがあっているか確認する必要がある、つまりSAの状態がどうかを確認する必要があるということです。

よって解答はIKE SAChild SAでした。

ネゴシエーションの特定ってことはどのSAかを特定する(SPIを確認するとか)ってことかと思ったんですが、SAのパラメータがあっているかどうかって話だったみたいですね。まあ状態って言ってるのでパラメータではなさそう?とは思いましたが……。

2021(R3)春 午後Ⅱ 問2

問題はこちらから(IPA 令和3年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
重点対策で設問2と設問3だけが対象だったので、とりあえずその2題を解きました。ルーティング関連の知識もっとつけなきゃな。

設問2 (1)

iBGPのピアリングにループバックインタフェースに設定したIPアドレスを利用する理由を答える問題。
FW10とのインタフェースの数に注目して答えます。
FW10のインタフェースは1つで、ルータ10とルータ11は複数あるなと思いましたが、それが何になるかは分からず。

まず用語をおさえます。
BGPの経路情報を交換するネットワーク機器のことをBGPスピーカ、BGPスピーカ間に形成されたTCPコネクションあるいはTCPコネクションを形成したBGPスピーカ同士のことをBGPピアと言います。
BGPピアには、異なるASスピーカ間に形成されるeBGPピアと、同じSA内のスピーカ間に形成されるiBGPピアがあります。
またループバックインタフェースとは、物理インタフェースによらない仮想的なインタフェースのことです。その機器さえ起動していれば、ループバックインタフェースに設定したIPアドレスを使用して通信することができます。

iBGPのピアリングに物理インタフェースを指定すると、そのインタフェースがリンクダウンした場合に通信が行えなくなります。しかしループバックインタフェースに設定したIPアドレスを使用した場合、機器が生きていれば経路情報を交換できます。
物理インタフェースにとらわれないので、iBGPピアリングにルータ10はaとc、ルータ11はbとdのOSPFを構成するインタフェースいずれも使用することができます。片方のインタフェースがダメになってももう片方を迂回路として通信を続けることができます。

解答は「ルータ10とルータ11はOSPFを構成するインタフェースが二つあり、迂回路を構成できる」です。

設問2 (2)

FW10のルーティングテーブルの穴埋め。
「iBGPピアリングで、経路情報を公告する際に、BGPパスアトリビュートの一つであるNEXT_HOPのIPアドレスを、自身のIPアドレスに書き換える設定を行う」とあるが、書き換えを行わない場合に、FW10のルーティングテーブルに追加で必要になる設定(宛先ネットワークアドレス)を答えます。

FW10はルータ10、ルータ11とiBGPピアリングを行っています。書き換えが行われない場合、ルータ10Zとルータ11Zの情報が伝わらず、FW10はパケットの送信先が分かりません。ルータ10Z宛てならルータ10へ、ルータ11Z宛てならルータ11へという経路情報をルーティングテーブルに追加すればよさそうです。

また本文中に「ピアリングには、fとh、gとiに設定したIPアドレスを利用する」とあります。このインタフェースをルータ10Z宛て、ルータ11Z宛ての宛先ネットワークアドレスとしてやりましょう。

よって解答は、インタフェースfの α.β.γ.2/30と hの α.β.γ.1/30を集約して、α.β.γ.0/30
またインタフェースgの α.β.γ.6/30 と iのα.β.γ.5/30を集約して、α.β.γ.4/30

集約は分かりませんでしたね。そもそもネクストホップじゃなくて宛先ネットワークアドレスを答える問題だったけど……。

設問2 (4)

穴埋め問題。

イ. BGPの最適経路選択アルゴリズムにおいて、「MEDの値が最も(イ)経路情報を選択する。」の部分。
MED(MULTI_EXIT_DISC)属性とは、eBGPピアに対して通知する自身内に存在するあて先ネットワークアドレスの優先度のことです。MED値の小さいほうが優先されます。
よって「小さい」が正解です。

ウ、エ.
ウがルータ10のことで、エがルータ11のことだというところまでは分かりました。BGPテーブルのNEXT_HOPなので、ループバックインタフェースに設定したIPアドレスを答える必要がありました。よってα.β.γ.8α.β.γ.9が答えです。

設問2 (5)

「BGPの標準仕様ではトラフィックを分散する経路制御はできません」の、BGPの標準仕様が何か答える問題。

問題文中に、以下の記載があります。
「BGPでは、ピアリングで受信した経路情報をBGPテーブルとして構成する。このBGPテーブルに存在する、同じ宛先ネットワークアドレスの経路情報の中から、最適経路を一つだけ選択し、ルータのルーティングテーブルに反映する。」
経路を一つだけしか選択していないので、分散しようがないというわけです。

よって解答は「BGPテーブルから最適経路を一つだけ選択し、ルータのルーティングテーブルに反映する」です。

BGPマルチパスを設定すれば複数の経路を使えて、標準仕様ではそれができないのなら単一経路を使用してるということだろうとは考えられたのですが、問題文中にしっかり記載があったのは気づきませんでしたね。文章そのままとは……。

設問3 (3)

静的経路の削除が行われた時点で、動的経路による制御に切り替えが行われる理由を答える問題。

ルーティングプロトコル同士にも優先度があります。その優先度をAD(Administrative Distance)値といいます。以下の表にシスコのルータやL3SWでの値を示します。上にいくほど優先度が高いです。

ルーティングプロトコルAD値(デフォルト)
直接接続0
静的経路1
eBGP20
内部 EIGRP90
OSPF110
RIPv2120
外部 EIGRP170
iBGP200

静的経路とBGPが両方存在する場合には、優先度の見て分かる通り静的経路が優先されます。しかし静的経路が削除されるとBGPに切り替わります。

よって解答は「BGPの経路情報よりも静的経路設定の経路情報が優先される」です。

BGPと静的経路の両方があるところから静的経路を消したらBGPになるってだけかと思ったんですがね。解答自体には納得するんですが、あの問題文に対する解答か?という気がしてなりません。「BGPの経路情報より優先度の高い静的経路設定が削除されたから」とかならしっくりくるんですが。

設問3 (4)

通信がルータ10を経由しないようにするために、ルータ10に対して行う設定を答える問題。

ルータ10を経由しないようにするには、ルータ11を経由させればよいです。
A社からZ社への通信は、ルータ10交換時にOSPFによってルータ11を経由するルートが構築されます。
しかしこのままではZ社からA社への通信はルータ10Zに送られ、ルータ10を経由しようとしてしまいます。
ルータ10Zではなくルータ11Zへ送信させるためには、ルータ10とルータ10Zの間のeBGPピアを無効にします。

よって解答は「eBGPピアを無効にする」です。
Z社からA社の通信もルータ11経由にさせる点が思い至りませんでした。またeBGPピアの無効化も採点講評によれば「利用者に対する影響を最小限にするための通信迂回操作の一つである」とのこと。よく覚えておこう。

振り返り

問題文を読んでて分からないなと思う単語は随分減ったように感じ、結構すらすら読めるようにはなってきたと思います。反面、まだ詳細な知識まで身に着けられていない部分や、うまく文を組み立てられていない問いも少なくないです。
そういった部分をしっかり底上げしていきたいです。

コメント

タイトルとURLをコピーしました