やったことのない午後Ⅱとついでに同じ年の午後Ⅱ、あとは振り返りようで午後Ⅰを1問といった感じ。
2017(H29) 秋 午後Ⅱ問1
問題はこちらから(IPA 平成29年度秋期試験 問題冊子・解答例・採点講評・配点割合)。
思ってたより理解できてたけど、記述内容はブラッシュアップが必要そう。あと情報整理力がまだまだ足りてない感じ。知識がない分ちゃんと記載内容を正確に把握できないと答えられないなあと反省。記述の着目ポイントは悪くなかったと思うのですが。
SDNとはなんぞや
問題を振り返る前に用語の整理。
Software Defined Networkの略。直訳の「ソフトウェアで定義されたネットワーク」の通り、ソフトウェアによってネットワークを管理する技術です。経路制御を行うコントロールプレーンとデータ転送を行うデータプレーンの機器を分け、データプレーンをコントロールプレーンで集中制御します。
様々な方式がありますが、代表例であり、本問で主題となっているOpenFlowを取り上げます。
OpenFlowは、Open Flow Controller (OFC)とOpen Flow Switch (OFS)で構成されます。
OFSに入るパケットの制御をOFCが集中制御します。
OFCとOFS間の通信メッセージとして、問題文で示されているのはPacket-In、Packet-Out、Flow-Modの3つです。
通信メッセージ名 | 通信の方向 | 用途 |
---|---|---|
Packet-In | OFS → OFC | 入力パケットと入力ポートIDを、OFCに通知する。 |
Packet-Out | OFC → OFS | 出力パケットと出力ポートIDを送り、OFSに出力させる。 |
Flow-Mod | OFC → OFS | 変更情報を送り、OFSの管理テーブルを変更させる。 |
ピンとこなかったのでそれぞれ図にしてみました。
詳細は以下をどうぞ。
設問1
穴埋め。
お.
空欄の前の部分で、OFCはLLDPフレームを使用してOFSの接続情報を得ている旨が記されています。このフレームを得るには、OFSからOFCLLDPPフレームを送信する必要があります。表2のActionのOutputの部分を見ると、Output(controller) がPacket-Inメッセ―ジを使用してOFCに転送するActionのようです。よってcontrollerが正解。
ポートIDと間違えたんですが、なんでだろう。フレームをOFCへ送信する必要性が分かってなかったあたり?
き.
「OFS1の全ポートについて、OFS1の装置名とそれぞれのポートIDを格納したLLDPフレームを出力させ」ということから、LLDPフレームには送信元の装置名と送信したポートIDが載っているとのことが分かります。
手順③の流れを具体的に書くと、送信元はOFS2、送信ポートIDはp9というLLDPフレームを、OFS2とp9で隣接するOFS1が受け取り、それをOFCに転送しているというものです。よってOFS2が正解。
OFS1が送信したLLDPフレームを隣接するOFS2が受信してOFCに転送、OFS2が送信したLLDPフレームを隣接するOFS1が受け取ってOFCに転送という流れが分かっていませんでした。
LLDPについて補足。
Link Layer Discovery Protocolの略で、IEEE802.1ABとして標準化。隣接している機器間でお互いの情報を交換するプロトコルです。交換される情報にはMACアドレスやIPアドレス、ポート名、VLAN名などがあります。ネットワークの構成を確認するために使用されたりするそうです。
R3の午後1問1にも出てましたね。
設問2 (3)
エントリに含まれるパケット識別条件を、表2中のMFを用いて答える問題。
このエントリというのは、ARP RequestとARP ReplyをOFCに通知するためのエントリです。
ARP RequestとARP ReplyはどちらもARPのパケットです。なのでパケット識別条件は、ARPのパケットである、というものになりそうです。
また、本文p6に「固有のイーサネットタイプ88CCをもつLLDPフレームを使って」、「ETH_TYPEが88CCに等しいときのActionとして」という記述があります。これを基に解答ができそうです。
よって解答は「ETH_TYPEがARPのイーサネットタイプに等しい」です。
理解はできるけど、この文章組み立てるのは難しくない?と思って本文見返していたらまんま同じ部分があって「あ~!」ってなりました。そもそも特定の機器が送ってきたパケットが条件だと思って送信元IPアドレスとか送信元MACアドレスかと考えてしまいました。ARPパケット全部だったんですよね。
ちなみにARPのイーサネットタイプの値は0806らしいです。
設問2 (6)
表中のActionを答えます。
該当するFlow-Mod(2)は、新FWからLBにARP Requestが送信された後に、LBからARP Replyが送られた直後、新FWにARP Replyを送る直前にOFCからOFS1に送信されたものです。そのため、OFCがOFS1に対してLBから送られたARP Requestを新FWに送信させる設定をしてると考えられます。
OFS1と新FW間のDMZはVLAN IDがv2です。そのためPush-VLAN、Set-Field VLAN_VID = v2でパケットのヘッダにv2のVLANヘッダを追加させます。その後、ポートp7に送信させるので、Output(p7)が続きます。
よって解答は
Push-VLAN
Set-Field VLAN_VID = V2
Output(p7)
です。
表1のエントリ1のActionを見て、3行とも全部VLANを設定していると勘違いしたのですが、Output(ポートID)はそのポートIDにパケットを送信するというActionです。OFSから新FWへパケットを送信させるにはOutput(p7)という設定が必要です。Flow-ModでOFS1に設定したあと、Packet-OutでOFCからOFSへARP Replyが送信されて新FWへ送信されるというような通信の流れやOpenFlowの設定自体を理解できていなかった点も誤解した原因かなあ。
設問3 (4)
より適したエッジサーバが選択される場合を答える問題。
まず関連用語について整理します。
・CDN(Contents Delivery Network)
各地に配置したキャッシュサーバが大本のホストサーバの内容をミラーリングすることで、コンテンツの配信を最適化したネットワーク。クライアントがアクセスするサーバを1台から複数台のサーバに増やすことによるアクセスおよび処理の分散化や、クライアントがより近いキャッシュサーバへアクセスすることによる遅延削減といった利点があります。
・EDNS-Client-Subnet
DNSの拡張プロトコルであるEDNS0を使用することで、DNSサーバへ問い合わせ元の情報を伝達する技術。
従来では、ユーザーの使用するキャッシュサーバ(フルリゾルバ)は、 ネットワーク的に近いサーバを利用することが主流でした。 そのため、DNSの問い合わせを受けた権威サーバは、 問い合わせを送信してきたキャッシュサーバとユーザーの位置を、 ほぼ同一と見なして問題ありませんでした。しかし、最近になって、 Google Public DNSやOpenDNSなど大規模な公開キャッシュサーバがサービスされ、 それを利用するユーザーが増加するなど、 従来の想定が成り立たなくなることが観測されるようになりました。
この問題を解消するため、 キャッシュサーバに問い合わせてきたユーザーの接続するアドレスブロック(サブネット)を、 権威サーバに通知できるように考え出されたものがEDNS Client Subnetです
インターネット用語1分解説~EDNS Client Subnetとは~ – JPNIC
ようは、ユーザの位置情報を権威サーバに教える技術ということですね。
問題に戻ります。
下線部の内容は「EDNS-Client-Subnet(RFC7871)を使ってDNSクライアントの情報が通知された場合には、その情報も利用し、より適したエッジサーバを選択する。」です。
通知されるDNSクライアント情報というのは、上述のようにDNSクライアントの位置情報(サブネット)です。
よって解答は「DNSクライアントとDNSフルリゾルバが、ネットワーク上で離れた位置にある場合」です。
EDNS-Client-Subnetは知らなかったけど、より近いサーバがあるならそっちに切り替えるってことかなと考えるとこまではできたけど、記述の組み立てがイマイチだったパターン。
設問3 (5)
CDNの適用によって解消されるTAT悪化の要因を二つ答えます。
上述しましたが、CDNのメリットには以下があります。
・処理分散
・遅延解消
要因を答えるので、それらを裏返すと解答は「Web-Bサーバの処理能力不足」、「機械とWeb-B間の通信遅延」となります。
内容的にはこれらが言いたかったんだけど、あまりに解答が雑過ぎたと反省……。
設問4 (1)
転用後の業務サーバのIPアドレスを決めたあと、それらを用いた準備内容について答える問題。
機械がアクセスする業務サーバは、LBによって振り分けられています。ただ単に業務サーバへ転用するだけでは、LBの振り分け対象外です。振り分け対象としてLBに追加する必要があります。具体的にはIPアドレスをLBの振り分け先に追加します。「それを用いて準備作業を行う。」という下線部的にもIPアドレスの使用がポイントになりそうです。
よって解答は「転用後の業務サーバのIPアドレスを、LBの振り分け先に追加しておく」です。
LBに転用後の業務サーバも振り分け対象として追加するところまでは分かったんですが、IPアドレスについて言及しなかった部分はダメでしたね。
設問4 (4)
B社拠点(国外)利用バックアップ案のNWに関する準備を答える問題。
本文中でB社サービス構築と接続、およびバックアップ作成に関連がありそうな部分を抜き出します。
「現在の情報システム基盤は、国内工場の自社設備と、国内外にサービス拠点をもつクラウドサービス事業者B社のIaaS環境で構築されている。」(p.2)
「B社クラウドサービス(図1中のB社CDN、B社ISP)を活用して ~ Web-Bへのアクセス経路を実現する。」(p.3)
「B社APIサービスを使って、B社拠点(国外)のA社向けIaaS環境も利用できるので、そこにWeb-Bのバックアップを作成する」(p.12)
そこらへんをまとめるといい感じでしょうか。あとはアクセス先が国内拠点から国外拠点に変更になるため、DNSのレコードを変える必要もありそうです。
解答は「CDN、ISP、IaaS環境の構築と切替えに関する、APIサービスとDNSを使った手順の確立」です。
国外拠点にも国内拠点と同様の環境を事前構築する必要がありそうとは思ったのですが、切替えに関する部分は足りませんでした。あと様々な技術名に言及できてなかったですね。採点講評にも「準備作業全体を答えるのではなく一部の切替え作業手順を述べた解答が目立った」とあるので自分と同じような人がいっぱいいたんじゃないかなあ。もっとも過不足なく答えるのは難しそうだけど……。
設問4 (5)
バックアップ案として、自社設備利用案と比較した時のB社拠点(国外)利用案の利点を二つあげる問題。
国外に拠点があると、もし国内拠点が全部ダメになってしまった場合でも継続可能です。ようはリスク分散を国内と国外という大きなスケールでやってるみたいな感じですね。またA社は顧客が国内外にいることが言及されているため、国外の顧客が国外拠点を使用し続けることができそうというところも考えるポイントになりそうです。よって一つ目は「国外を利用するので国内の広域災害の影響を回避できる」です。
二点目については、本文中の「B社クラウドサービスを活用して、Web-Aへのアクセス経路よりも高速なWeb-Bへのアクセス経路を実現する。」という部分がポイントです。ようは、自社設備利用案(Web-A)よりも、B社IaaS利用案(Web-B)の方が通信が速いということです。障害時も、B社の国外拠点を使用すれば平時と変わらない性能が出せます。よって二つ目は「B社CDNなどを使い通常時と同じ品質を保つことができる」です。
二つ目は着眼点自体は合ってたんですが書けなかったです。あとやっぱり記述内容が雑過ぎたのでもうちょっと具体的にする必要がありそう。
2017(H29) 秋 午後Ⅱ問2
1つ前と同じ年の問題なのでIPAのリンクは略。
1月11日以来2回目。解いたことあるのにボロボロじゃないですかね……。
設問1
穴埋め。知識がないと解けない。
d.
WEPで使用されているRC4は、共通鍵暗号方式です。
e.
WPA2の規格。IEEE 802.11i です。
設問2 (1)
穴埋め。こっちも知識がないと解けなかった……多分。
g.
「WEPキーが使用され続ける」、つまり変更されないということで、同一が正解。
WEPキーは手動で端末に設定され、それが使用続けます。
i.
TKIPは、一時鍵、IV、MACアドレスを混合してキーストリームを作成します。
設問3 (3)
外来電波による悪影響の内容を答える問題。
無線LANは電波なので、外来電波と干渉が生じる可能性があります。電波干渉が生じると、通信が不安定になったり、正常に通信ができなくなります。
よって解答は「電波干渉によって、通信障害が発生する」です。
周波数が被るとまずいってところは分かるんですが、前回も今回もうまく記述できなかった……。
通信障害という言葉でまとめられれば良かったのかな。
設問3 (5)
L2SWで今回必要になる最小供給電力を答える問題。
AP一つあたりの電力量は18W、それが12台なので、18 × 12 = 216W です。
30Wって答えちゃいました。PoE+の供給電力じゃなかったですね。問題はよく読みましょう。
設問4 (1)
クライアント証明書を利用する場合、証明書のほかにNPCで必要となる情報を2つ答えます。
クライアント証明書に関するメモはこちらの問題で。
RADIUSサーバがデジタル証明書を発行するCAとして機能すること、サーバ証明書とクライアント証明書をRADIUSサーバが発行することが記載されています。
クライアント証明書を使用するためには、公開鍵に対応する秘密鍵が必要です。またPKCS#12形式は秘密鍵も格納することができる証明書のフォーマットなのでそこからも推測ができます。よって一つ目はクライアントの秘密鍵。
またサーバ証明書も発行すると記述があるため、クライアント側でサーバ認証を行うだろうと推測されます。サーバ証明書の正しさを証明するには、発行したCAの証明が必要です。今回CAであるRADIUSサーバはプライベートCAなので、自己証明書が証明になります。
したがって二つ目はCAの自己証明書です。
クライアント証明書自体と秘密鍵以外に存在する情報ってCAの自己証明書くらいしかなくね?とは思ったけど、検証される側がCAの証明書っているのかと悩み、結局なにも書きませんでした。これが本番なら埋めるために書いてただろうけども。サーバ認証で使うからって書いてある解説とクライアント証明書を使うからって書いてる解説があってやっぱりもやもや。
設問4 (2)
認証エラー時に特別なVLANを設け、そこにダウンロードサーバを置いた場合のクライアント証明書の配布に関するセキュリティ上の問題を答えます。
認証に失敗した場合にアクセスできる場所にダウンロードサーバを設置するということは、誰でもダウンロードサーバにアクセスできてしまうということです。とはいえダウンロードサーバは利用者IDとパスワードで認証を行ってからファイルをダウンロードさせているため、アクセスできるだけでは入手できません。もっとも認証情報が漏えいすれば入手出来てしまうということなのですが。
よって解答は「ダウンロードサーバの認証情報が漏えいすると、来訪者もクライアント証明書などがダウンロードできてしまう」です。
社外の人間にクライアント証明書が入手されてしまうことは書けたけど、ダウンロードサーバの認証情報漏えいの部分がないと不十分でした……。
設問4 (3)
クライアント証明書をダウンロードできない本社の営業員を答える問題。
有線LANで接続できる環境にダウンロードサーバを設置するとのことですが、無線LANに移行した後に有線LANは撤去されてしまいます。移行後に配属された人はダウンロードができません。
よって解答は「無線LAN導入後に営業部に配属された営業員」です。
また「クライアント証明書の更新は無線LAN経由で可能である」という記述もあります。更新は可能ですが、更新し損ねると無線LANの認証で弾かれてどうしようもなくなります。
したがって「クライアント証明書の有効期限を切らせた営業員」も〇です。
有線LANがあるうちに入手する必要があるところまでは考えられたのですが。
有線LANの撤去前にダウンロードし損ねた社員も該当しないでしょうか。そんな人はいないからやっぱりダメ?
設問5 (3)
新たにタグVLANが設定される箇所を答える問題。
まず、ウはVLAN100、エはVLAN200だけが通過するので、タグVLANは不要です。
残るアとイですが、NPCとAP間でのパケットの識別については、ESSIDによってVLANが切り分けられます。そのためアは不要。よってイが解答です。
ア含むか含まないかで悩んだんですが、要らなかったようですね。社員が来訪者かどうかはESSIDで区別できるようです。
というか問題文に全てって書いてないので1つだったのでは?
設問5 (4)
来訪者のNPCにインターネットアクセスだけを可能にするためのL2SW5へのVLAN設定内容を答える問題。
インターネットへのアクセスだけ可能にするというのは、社内へアクセスさせないようにするということです。VLANの設定でルータ2への接続ポートだけにポートVLANを設定すれば対応できます。
また本社の営業員はインターネットアクセスにプロキシサーバを経由するので、L2SW5とルータ間を流れるのは来訪者のVLAN200のパケットだけです。
よって解答は「ルータ2への接続ポートだけに、VLAN200のポートVLANを設定する」です。
ルータ2以外とは通信できないようにするには、通信できるポートにのみポートVLANを設定すればいいんですね。
というかタグVLANとポートVLANって両方で使えるんですね。ポートVLANに対して更にタグVLANインタフェースを適用する、っていう認識でしょうか?
ポートVLANについてはこっちの問題でも。
2012(H24) 秋 午後Ⅰ 問2
問題はこちらから(IPA 平成24年度秋期試験 問題冊子・解答例・採点講評・配点割合(PDF))。
無線LANシステムの構築に関する問題。1月9日以来2回目。解答を見たら納得するけど、出てこないものがいくつか。今振り返れたからよしとしよう……。
設問1
穴埋め。
オ.
PoEの規格で、30W給電できる規格を答えます。これに該当する規格は、IEEE802.3atです。PoE+と呼ばれています。
一般にPoEと呼ばれるのはIEEE 802.3afで、15.4Wの給電が可能です。また、IEEE 802.3bt(PoE++)という規格もあり、こちらはタイプ3は60W、タイプ4は100Wの給電の給電が可能です。
なかなかこの規格が覚えられない……。ちゃんと覚えます。
設問2 (3)
すでに認証済みで無線LANを使用中のPCについて、再認証が必要となる場合を2つ答えます。
A社では認証VLANを使用しているとの記述がありますが、これはVLANとユーザ認証を組み合わせたものです。IEEE 802.1Xによる認証が行われます。サプリカント、オーセンティケータ、認証サーバで構成されるやつですね。
再認証が必要となる場合として、通信セッションの切断があります。通信が切断される状況として考えられるのは再起動です。よって一つ目の解答は再起動。
また、通信中のAPから別のAPに接続を移動すると、移動後のAPはPCの認証を行おうとします。あるAPから別のAPに移動することをローミングと言います。よって二つ目の解答はローミングです。
再起動は分かってないと答えられないし、AP切替えは思いついたけどローミングという言葉が出てきませんでした。これを機にちゃんと覚えておこう。
設問3 (2)
本社のAPも含めてWLCをBモードで動作させる場合に検討を加えるべき構成要件を答えます。
もともとはBCに設置するAPを管理することを目標にして検討していましたが、そこに本社のAPも管理する必要ができました。管理する台数が当初より増えたということです。台数が増えても処理が遅くならないようにしなければならないため、一つ目の要件は「WLCの処理能力」です。
また、本社のAPとWLC間でトンネルが構築され、かつBモードなので認証以外の全ての通信がWLCを経由するようになります。つまり通信量が増加します。よって二つ目の要件は「広域イーサ網の帯域」です。
前者はわかったけど、後者が出てこなかったなあ。
振り返り
1度解いた問題もちょっと時間があくと全然ダメですね。振り返りペースを上げるべきか。
来週以降もまだまだ落ち着かなさそうというか全て終わるのがそれこそ4月14日なんですが大丈夫か?(大丈夫じゃない)
コメント