情報処理技術者試験ナビ

当サイトは準備中です。

NW H26秋 午後Ⅰ 問2

◀️ 前へ次へ ▶️

 ファイアウォールの障害対応に関する次の記述を読んで,設問1〜3に答えよ。

 Z社は,美容用品・健康用品を扱う企業である。Z社には企画部と営業部があり,各部のPCは部ごとのVLANに属している。ネットワークの管理は,企画部システム課のO主任とU君が行っている。Z社の現在のネットワーク構成を,図1に示す。

f:id:honmurapeo:20180510205734p:plain

FWの構成と交換作業
 Z社では,FW1を主系に設定し,FW2を副系に設定したActive-Standby冗長構成を採用し,運用を行っている。通常時,FWは,必ず主系がActive動作になり,副系がStandby動作になる仕様である。
 FWでは,  ア   と呼ばれる機能によって,ネットワークアドレス及びポート番号の変換を行っている。また,主系から副系にフェールオーバした後も通信を継続させるために,FWが通信の中継のために管理している情報(以下,管理情報という)を自動的に引き継ぐ   イ   フェールオーバ機能を動作させている。FWがフェールオーバした後に,多くのアプリケーションでデータの保全性が保たれて平常どおり通信できるのは,①トランスポート層のプロトコルの機能によるところが大きい。
 FW1とFW2の間にはフェールオーバリンクと呼ばれる専用接続があり,設定情報の同期,管理情報の複製,及び対向FWの動作状態の識別に使用されている。フェールオーバリンクには,ケーブル直結にする構成とSWを挟む構成があるが,Z社では,②障害切分けのためにSW2を挟む構成を採用している。FWの冗長構成及びフェールオーバに関する動作は,次のとおりである。

  • FWの冗長化機能は,仮想アドレスを使用する方式ではなく,主系のIPアドレス及びMACアドレスを副系が引き継ぐ方式である。
  • 新たにActive動作になったFWは,切り替わったことを通知するフレームをFWの各ボートから送信する。FWに接続しているスイッチは,このフレームを受信することで,③レイヤ2機能で用いるテーブルを適切に更新することができる。
  • Active動作のFWを副系から主系に切り戻すためには,手動操作が必要である。
  • FWは,起動時にフェールオーバリンクによって,他のActive動作中のFWを認識すると,主系又は副系であるかにかかわらずStandby動作に入る。このとき,FWは自己の設定情報を無視して,Active動作中のFWから設定情報を同期する。

 Z社では,数日前にFW1が故障して,FW2にフェールオーバした。U君は,通信に影響を与えずに交換できると考え,代替機を入手次第,交換作業を行うことにした。
 作業当日,U君は,FW1を工場出荷時の設定のままの代替機と交換し,配線後に電源を投入した。少したってからSW2を見ると,FW1接続ポートで,OSI基本参照モデルの   ウ   層での正常接続を表すリンクLEDが消灯していた。そこで,UTPのコネクタを強く押し込んだところ点灯した。その直後から,システム課にDMZ及び社外へのアクセスができないとの苦情が相次いだ。慌てて,FW1とFW2を確認すると,両方とも。Z社用のフィルタリングルールを含む設定情報が失われていたので,直ちにFW1の設定情報を復元し,FW2に設定情報を同期させた。しかし,その後もアクセスできないとの苦情が続いた。U君は,事故の原因を特定して通信を回復した後,今回の交換作業における事故では,次の二つが関係していることを確認した。

  • FW1は,電源投入後にFW2を認識できず,Active動作になった。
  • フェールオーバリンク接続時に,FW1が主系設定であったので,副系のFW2はFW1から設定情報の同期と管理情報の複製を行い,Standby動作に切り替わった。

 次は,今回の交換作業に関するO主任とU君の会話である。

O主任:今回,FW1の交換作業のミスは,U君らしくなかったわ。

U君 :すみません。うかつでした。

O主任:FW1とFW2の設定復元後も,通信が回復しなかったのはなぜかしら。

U君 :FW1を代替機に交換した結果,FW1の各ボートのMACアドレスが変わったので,通信ができなかったのです。FWには,自ポートに設定されたIPアドレスの解決を要求する   エ   を用いて接続機器のARPテーブルを更新する機能がないので,手動操作が必要でした。このようなミスの再発防止のために,FW故障時の交換作業手順を整理しておきます。

O主任:お願いするわ。それから,FWの管理の都合上,フィルタリングルールを企画部と営業部で分けたいので,仮想FWを導入する案の検討をお願いできないかしら。

U君 :はい。分かりました。
 

 U君は,FW故障時の交換作業手順を整理し,表1にまとめた。

f:id:honmurapeo:20180510205744p:plain

仮想FW導入案の検討
 まず,U君は,仮想FWについて調査した。仮想FWとは,FW1及びFW2の中に論理的なFWの機能を複数定義できる機能である。フィルタリングルールは,仮想FWごとに独立して設定できる。仮想FWには,FWの各ポート(フェールオーバリンク用ポートを除く)に相当する仮想ポートがあり,それぞれにIPアドレス及びVLAN番号を割り当てる。仮想FWとの通信は,  オ   vLANを使用して1本のリンクに複数のVLANを収容する接続(以下,トランク接続という)を行い,VLAN番号を合致させることで可能になる。
 U君は,企画部用の仮想FW及び営業部用の仮想FWの両方を,それぞれFW1及びFW2に定義する構成案を考えた。仮想FWの導入に伴い,企画部と営業部のVLAN間通信を廃止する。DNSサーバ及びWebサーバは現在のままとし,トランク接続を使用しない。新たに機器を購入せずに,④2台のスイッチを相互に入れ替えて対処する。
 さらに,仮想FWについて調査を進めると,Active-Active冗長構成にした物理FW(FW1及びFW2)に,⑤Active動作に設定した仮想FWを適切に配置すると,物理FW間での負荷分散が可能であることが分かった。

 U君は,これらの調査結果をO主任に報告し,仮想FWの導入案は了承された。仮想FWの導入作業は,翌月の法定点検による全館停電日に合わせて行うことになった。

設問1

 本文中の   ア    オ   に入れる適切な字句を答えよ。

アの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

イの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

ウの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

エの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

オの解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

 

設問2

 〔FWの構成と交換作業〕について,(1)〜(5)に答えよ。

(1)図1において,機器間がトランク接続でなければならない箇所はどこか。図1中の機器名を用いて答えよ。
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(2)本文中の下線①のプロトコルの機能を,10字以内で答えよ。
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(3)本文中の下線②を採用する利点は何か。50字以内で具体的に述べよ。
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(4)本文中の下線③のテーブル名を,15字以内で答えよ。
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(5)表1中の   a   に入れる機器名を,図1中の機器名を用いて三つ答えよ。また,  b   に入れる確認内容を,20字以内で答えよ。
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

 

設問3

 〔仮想FW導入案の検討〕について,(1),(2)に答えよ。

(1)本文中の下線④の入れ替えを,図1中の機器名を用いて答えよ。ただし,各機器のポートには,余裕があるものとする。
 

解答例・解説
解答例

 ああああ

解説

 XXXXXXXX

 

(2)本文中の下線⑤の配置を,50字以内で具体的に述べよ。
 

解答例・解説
解答例
  • ああああ
  • ああああ
解説

 XXXXXXXX

 

 

IPA講評

出題趣旨

 ネットワークの保守作業では,ネットワークの構成, 機器の動作及び実装を理解して障害箇所の特定と機器の交換を行い, 短時間のうちに通信を復旧させる必要がある。保守対象のネットワークは,自ら設計, 構築に携わったものでないことも多く,ネットワーク構成図を読み解く能力も必要である。これらの業務に従事する 「ネットワーク技術者には, 高度な知識と経験が要求される。
 本問では, ファイアウォールの保守作業でのミス, 仮想ファイアウォールの導入検討を題材に, 通信プロトコル, ファイアウォール及び周辺機器の動作、保守作業手順のまとめ, VLAN 設計, ファイアウォール負荷分散 の考え方について基本的な要素を問う。

採点講評

 問2では, ファイアウォール(以下, FW という)の障害対応を題材に取り上げ, FW の冗長化構成と, VLAN] 及び仮想FW の設計について出題した。加えて, OSI基本参照モデルの第1層から第4層までの各層と,隣接す る層間の関係について問うことも意図した。全体として,正答率は低かった。
 設問1では,イの正答率が低かった。FW の冗長化構成における重要な機能なので把握しておいてほしい。
 設問2では,(1) をアプリケーション間の通信に着目せずに, FW に着目した解答が散見された。機能を曖昧 に説明した解答も多く, TCP の信頼性のある通信を実現する機能は何であるかを端的に解答してほしかった。 (3)は, SW2 を挟む構成にすることで,第2層を透過しつつ第1層を分離している観点から解答してほしかっ た。(5)a は正答率が低かった。(4)にも関係するが,通信の第2層と第3層の違いを把握しておいてほしい。
 設問3は,本文を読解して, VLAN 及び仮想 FW の構成図が描ければ難しくない問題である。(2)では, 仮想FW の配置の目的を主体に説明して,肝心の配置の具体性に欠ける記述になっていた解答が散見された。