応用情報技術者 2017年 春期 午後 問05
レイヤ3スイッチの故障対策に関する次の記述を読んで、設問1〜4に答えよ。
R社は、社員50名の電子機器販売会社であり、本社で各種のサーバを運用している。本社のLAN構成とL3SW1の設定内容を図1に示す。
〔障害の発生と対応〕
ある日、社員のK君は顧客先から帰社した後、自席のPCで営業支援サーバとファイルサーバを利用して提案資料を作成した。その後、在庫を確認するために業務サーバを利用しようとしたが、利用できなかった。そこで、K君は情報システム課のJ君に、ファイルサーバと営業支援サーバは利用できるが、業務サーバが利用できないことを報告した。J君は、J君の席のPCからは業務サーバが利用できるので、業務サーバに問題はないと判断した。そこで、J君は①K君の席に行き、K君のPCでpingコマンドを172.16.1.1宛てに実行した。業務サーバからの応答はあったものの、利用できないままであった。しばらくすると、一部の社員から、業務サーバだけでなくファイルサーバや営業支援サーバも利用できないという連絡が入ってきた。
これらの連絡を受け、J君は②DNSサーバの故障又はDNSサーバへの経路の障害ではないかと考え、J君の席のPCでpingコマンドをa宛てに実行したところ応答がなかった。そこで、J君はサーバルームに行って調査し、L3SW1のp4が故障していることを突き止め、保守用のL2SWと交換して問題を解消した。
〔J君が考えた改善策〕
故障による業務の混乱が大きかったので、J君は、L3SW故障時もサーバの利用を中断させない改善策を検討した。J君が考えた、L3SWの冗長構成を図2に示す。
図2では、L3SWを冗長化するためのL3SW2と、サーバを接続するためのL2SW2を新規に導入する。L3SW1とL3SW2に必要な設定を行い、L3SW1とL3SW2の間でOSPFによるb経路制御を稼働させる。PCとサーバに設定されたデフォルトゲートウェイなどのネットワーク情報は、図1の状態から変更しない。
J君は、図2に示した冗長構成案を上司のN主任に説明したところ、サーバが利用できなくなる問題は解消されないとの指摘を受けた。N主任の指摘内容を次に示す。
PCのデフォルトゲートウェイには、L3SW1の内部ルータのVLANインタフェースアドレスcが設定されており、PCによるサーバアクセスは、L3SW1のp10経由で行われる。L3SW1のp1故障時には、③図2中のL3SW1のルーティングテーブルが更新され、ネクストホップIPアドレスdがセットされる。その結果、PCから送信されたサーバ宛てのパケットがL3SW1の内部ルータに届くと、L3SW1は当該PC宛てで、経路の変更を指示するeパケットを送信する。PCはeパケットの情報によって、サーバに到達可能な別経路のゲートウェイのIPアドレスを知り、サーバ宛てのパケットを d に送信し直すことによって、パケットはサーバに到達する。しかし、サーバからの応答パケットは、L3SW1 の内部ルータのVLANインタフェースに届かないので、サーバは利用できない。L3SW1 の p10 の故障の場合、又は p10 への経路に障害が発生した場合も、同様にサーバが利用できなくなる。
このような問題を発生させないために、N主任は、VRRP (Virtual Router Redundancy Protocol) を利用する改善策を示した。
〔N主任が示した改善策〕
VRRP は、ルータを冗長化する技術である。L3SW で VRRP を稼働させると、L3SW の内部ルータのVLANインタフェースに仮想IPアドレスが設定される。本社 LAN で VRRP を稼働させるときの構成を、図3に示す。
図3に示したように、L3SW1 と L3SW2 の間で二つの VRRP グループを設定する。VRRP グループ 1, 2 とも、L3SW1 の内部ルータの優先度を L3SW2 の内部ルータよりも高くして、L3SW1 の内部ルータのVLANインタフェースに仮想IPアドレスを設定する。L3SW1 の故障の場合、又は L3SW1 への経路に障害が発生した場合は、VRRP の機能によって、L3SW2 の内部ルータのVLANインタフェースに仮想IPアドレスが設定される。PC及びサーバは、パケットを仮想IPアドレスに向けて送信することによって、L3SW1 経由の経路に障害が発生しても L3SW2 経由で通信できるので、PCによるサーバの利用は中断しない。
図3の構成にするときは、④PCとサーバに設定されているネットワーク情報の一つを、図1の状態から変更することになる。
J 君は、N主任から示された改善策を基に、本社 LAN の L3SW の故障対策案をまとめ、N主任と共同で情報システム課長長に提案することにした。
設問1:
本文中のa~eに入れる適切な字句を解答群の中から選び、記号で答えよ。
解答群
ア:172.16.1.1
イ:172.16.1.4
ウ:172.16.1.250
エ:172.16.1.251
オ:172.16.2.250
カ:172.16.2.251
キ:GARP
ク:ICMPリダイレクト
ケ:静的
コ:動的
サ:プロキシARP
模範解答
a:イ
b:コ
c:オ
d:カ
e:ク
解説
解答の論理構成
- 【問題文】には「②DNSサーバの故障又はDNSサーバへの経路の障害ではないかと考え」とあり、DNSサーバの IP は【問題文】の図1で「172.16.1.4」と示されています。したがって a は「172.16.1.4」→解答群「イ」。
- 「OSPFによるb経路制御」は、OSPF が RIP などと同じくルーティング情報を交換して経路を自動で決定するプロトコルであることから「動的」→解答群「コ」。
- 【問題文】には「PCのデフォルトゲートウェイには、L3SW1の内部ルータのVLANインタフェースアドレスcが設定されており」とあり、図1 の VLAN20 側インタフェースは「172.16.2.250」です。よって c は「172.16.2.250」→解答群「オ」。
- 「③図2中のL3SW1のルーティングテーブルが更新され、ネクストホップIPアドレスdがセットされる」との記述から、障害時に迂回先となる L3SW2 の VLAN20 側アドレスを指定する必要があります。図2 における L3SW2 の VLAN20 側インタフェースは「172.16.2.251」です。従って d は「172.16.2.251」→解答群「カ」。
- 【問題文】では「L3SW1は当該PC宛てで、経路の変更を指示するeパケットを送信する」とあり、ルータがより適切なゲートウェイを通知する際に利用する制御メッセージは ICMP Redirect です。よって e は「ICMPリダイレクト」→解答群「ク」。
以上より
a:イ
b:コ
c:オ
d:カ
e:ク
b:コ
c:オ
d:カ
e:ク
誤りやすいポイント
- DNS の IP を誤って「172.16.1.1」などサーバ群の別アドレスにしてしまうミス。
- OSPF を「静的」と勘違いし、経路制御を「ケ」と回答してしまうパターン。
- デフォルトゲートウェイが VLAN10(172.16.1.250)ではなく VLAN20(172.16.2.250)であることを図1から読み取れず間違えるケース。
- 「ICMPリダイレクト」と「GARP」「プロキシARP」を混同しやすい。
FAQ
Q: なぜ VRRP では PC のデフォルトゲートウェイを変更する必要があるのですか?
A: VRRP では 2 台の L3SW にまたがる仮想 IP を用意し、PC はその仮想 IP をデフォルトゲートウェイとして参照します。図1 のままでは実 IP「172.16.2.250」を向いているため、仮想 IP に置き換える必要があるからです。
A: VRRP では 2 台の L3SW にまたがる仮想 IP を用意し、PC はその仮想 IP をデフォルトゲートウェイとして参照します。図1 のままでは実 IP「172.16.2.250」を向いているため、仮想 IP に置き換える必要があるからです。
Q: ICMP リダイレクトは常に送信されるのですか?
A: ルータが同一インタフェースに属する別のルータを次の経由先として認識した場合にのみ送信されます。セキュリティ上無効化されることも多く、本問では有効前提です。
A: ルータが同一インタフェースに属する別のルータを次の経由先として認識した場合にのみ送信されます。セキュリティ上無効化されることも多く、本問では有効前提です。
Q: OSPF を採用しても片方向通信が起きるのはなぜですか?
A: ルーティングは動的に切り替わっても、エンドノード(PC・サーバ)のデフォルトゲートウェイは固定です。戻りパケットが元のルータへ届かなければ対向からは応答できず、片方向通信となります。
A: ルーティングは動的に切り替わっても、エンドノード(PC・サーバ)のデフォルトゲートウェイは固定です。戻りパケットが元のルータへ届かなければ対向からは応答できず、片方向通信となります。
関連キーワード: OSPF, VRRP, ICMPリダイレクト, デフォルトゲートウェイ, 冗長化
設問2:〔障害の発生と対応〕について、(1)、(2)に答えよ。
(1)本文中の下線①の操作の目的を、30字以内で述べよ。
模範解答
業務サーバへの経路に障害があるかどうかを確認するため
解説
解答の論理構成
- 【問題文】では、K君は「業務サーバ」を利用できないが、他のサーバは利用できると報告しています。
- J君は自席の PC からは「業務サーバ」を利用できたため、サーバ自体の故障ではなく、K君の PC からサーバまでのネットワーク経路に問題があると推測しました。
- そこで下線①「K君の席に行き、K君のPCでpingコマンドを172.16.1.1宛てに実行」しました。
- ping は ICMP Echo を用いて到達可否を確認する基本的な疎通テストであり、アプリケーション層ではなくネットワーク層(レイヤ3)の経路を検証します。
- 宛先 IP「172.16.1.1」は図1で「業務サーバ」に割り当てられているアドレスです。
- 以上より、操作の目的は「K君の PC から業務サーバまでの経路に障害があるかどうか」を判定することになります。
誤りやすいポイント
- 「サーバが生きているか確認」だけと答えると、既に J 君は自席から接続できておりサーバ稼働を把握しているため主旨がずれます。
- ping=通信可能性の判定と理解せず、アプリケーション層の問題切り分け手順だと誤解するケース。
- 目的を「ネットワーク全体の障害確認」と広げ過ぎると、設問が求める主体(業務サーバへの経路)から逸脱します。
FAQ
Q: なぜ「172.16.1.1」宛てだったのですか?
A: 図1で「172.16.1.1」は「業務サーバ」に設定された IP アドレスであり、問題の対象そのものだからです。
A: 図1で「172.16.1.1」は「業務サーバ」に設定された IP アドレスであり、問題の対象そのものだからです。
Q: ping 応答があればアプリも必ず使えるのでは?
A: ping は IP レベルの疎通のみを確認します。上位プロトコル (TCP/UDP) やアプリ設定、ポートの閉塞などがあれば通信が失敗することがあります。
A: ping は IP レベルの疎通のみを確認します。上位プロトコル (TCP/UDP) やアプリ設定、ポートの閉塞などがあれば通信が失敗することがあります。
Q: 自席 PC から確認ではだめだったのですか?
A: 自席では正常に到達しているため、原因が K君の PC〜L3SW1 間に限定されるかを切り分ける必要があり、K君の PC での確認が必須でした。
A: 自席では正常に到達しているため、原因が K君の PC〜L3SW1 間に限定されるかを切り分ける必要があり、K君の PC での確認が必須でした。
関連キーワード: ping, ICMP, 経路障害, 疎通確認, ネットワーク層
設問2:〔障害の発生と対応〕について、(1)、(2)に答えよ。
(2)本文中の下線②について、DNSサーバが利用できなくても、業務サーバ、ファイルサーバ及び営業支援サーバの利用を正常に行えている社員がいるのはなぜか。その理由を、25字以内で述べよ。
模範解答
PCにDNSのキャッシュが残っているから
解説
解答の論理構成
- 事象の整理
- 本文では、J君が「②DNSサーバの故障又はDNSサーバへの経路の障害ではないかと考え」とあります。
- しかし一部の社員は、DNSサーバが不達でも業務サーバ・ファイルサーバ・営業支援サーバに正常にアクセスできていました。
- 名前解決の要否
- サーバ利用時には、ホスト名を IP アドレスへ変換する DNS が通常必要です。
- ところが「DNSサーバの故障」でも通信できた PC があったということは、名前解決を DNS で行わずとも IP アドレスが判明していたと推測できます。
- キャッシュの存在
- OS やブラウザは、過去の DNS 応答をローカルに保持します。これを DNS キャッシュと呼びます。
- 以前に同じサーバへアクセスしていれば、IP アドレスはローカルに保存されているため、新たに DNS クエリを送信する必要がありません。
- したがって
- DNS サーバが不通でも「PCにDNSのキャッシュが残っている」PC では名前解決が内部で完結し、サーバを問題なく利用できたと結論づけられます。
誤りやすいポイント
- 「hosts ファイルに手動登録されていた」と思い込む
→ 問題文にその示唆はなく、全社員で発生しない点と整合しません。 - サーバの FQDN ではなく IP 直打ちで接続したと考える
→ 社員が普段通り利用している描写からは IP 直打ちの可能性は低いです。 - 「キャッシュ=プロキシサーバのキャッシュ」と混同する
→ 本設問は DNS キャッシュ(ローカル or OS 内部)を指しています。
FAQ
Q: DNS キャッシュはどこに保存されていますか?
A: 一般に OS のメモリ上の名前解決キャッシュと、ブラウザやアプリケーションが独自に持つキャッシュの二重構造です。
A: 一般に OS のメモリ上の名前解決キャッシュと、ブラウザやアプリケーションが独自に持つキャッシュの二重構造です。
Q: キャッシュが切れると再び接続できなくなりますか?
A: 有効期限 (TTL) 超過後は再度 DNS クエリが必要になります。その時点で DNS が不通ならアクセス不可となります。
A: 有効期限 (TTL) 超過後は再度 DNS クエリが必要になります。その時点で DNS が不通ならアクセス不可となります。
Q: DNS キャッシュ以外に似た仕組みはありますか?
A: hosts ファイルへの静的記述も DNS 代替手段ですが、今回は全 PC 一律ではないため該当しません。
A: hosts ファイルへの静的記述も DNS 代替手段ですが、今回は全 PC 一律ではないため該当しません。
関連キーワード: DNS, 名前解決, キャッシュ, TTL, ネットワーク障害
設問3:
本文中の下線③について、更新が発生する図2中のL3SW1のルーティングテーブルの項番を答えよ。また、VLANインタフェースとVLAN名の更新後の内容を、それぞれ答えよ。
模範解答
ルーティングテーブルの項番:1
VLANインタフェースの更新後の内容:172.16.2.250
VLAN名の更新後の内容:VLAN20
解説
解答の論理構成
-
きっかけとなる障害
- 問題文に「③図2中のL3SW1のルーティングテーブルが更新され」とあるのは、L3SW1 の p1(VLAN10 側)障害時を想定した記述です。
- この結果、L3SW1 から VLAN10(サーバ側)への直接経路が失われるため、OSPF により別経路(L3SW2 経由)が計算されます。
-
更新対象の経路はどれか
-
図2の「L3SW1のルーティングテーブル(抜粋)」には項番1 宛先ネットワーク 172.16.1.0/24 VLANインタフェース 172.16.1.250 VLAN名 VLAN10 項番2 宛先ネットワーク 172.16.2.0/24 VLANインタフェース 172.16.2.250 VLAN名 VLAN20
-
サーバが属するネットワークは「172.16.1.0/24」であり、この行が 項番1 です。したがって更新対象は項番1になります。
-
-
更新後の VLAN インタフェースと VLAN 名
- L3SW1 はサーバネットワークへ直接つながっていないため、自身の VLAN10 インタフェース(「172.16.1.250」)は使えません。
- 代わりに、PC 側のネットワーク経由で L3SW2 にバイパスさせるため、VLAN20 側のインタフェース「172.16.2.250」を経路の出力点に変更します。
- それに伴い VLAN 名も VLAN20 に書き換わります。
- 問題文はこの動きを「ネクストホップIPアドレスdがセットされる」と説明しており、ICMP リダイレクトによって PC にも経路が通知される仕組みです。
-
まとめ
- よって、更新が発生する行は項番1。
- 更新後の VLAN インタフェースは「172.16.2.250」、VLAN 名は「VLAN20」となります。
誤りやすいポイント
- 「p1 の障害=VLAN10 側が不通」なのに、VLAN インタフェースを「172.16.1.250」のままにしてしまう。OSPF はあくまで到達可能なインタフェースを選定します。
- 項番2(PC 側ネットワーク)を更新すると勘違いする。宛先ネットワークがどちらかに注目すること。
- VLAN インタフェースの IP を「172.16.2.251」と誤記。これはネクストホップ(L3SW2 側)であって、L3SW1 自身のインタフェースではありません。
FAQ
Q: なぜ VLAN20 に経路が振り替わるのですか?
A: サーバネットワーク(VLAN10)への直接リンクが切れたため、L3SW1 はOSPFで学習済みの「L3SW2 経由」の経路を選択します。L3SW2 との接続は VLAN20 側のポート p10 なので、出力インタフェースが VLAN20 になります。
A: サーバネットワーク(VLAN10)への直接リンクが切れたため、L3SW1 はOSPFで学習済みの「L3SW2 経由」の経路を選択します。L3SW2 との接続は VLAN20 側のポート p10 なので、出力インタフェースが VLAN20 になります。
Q: ICMP リダイレクトは必須ですか?
A: PC はデフォルトゲートウェイとして「172.16.2.250」を使い続けます。L3SW1 が経路変更を教える唯一の標準的手段が ICMP リダイレクトであり、OSPF や VRRP を PC が直接理解するわけではありません。
A: PC はデフォルトゲートウェイとして「172.16.2.250」を使い続けます。L3SW1 が経路変更を教える唯一の標準的手段が ICMP リダイレクトであり、OSPF や VRRP を PC が直接理解するわけではありません。
Q: VRRP を導入すれば今回のようなテーブル更新は見えなくなりますか?
A: はい。PC とサーバは仮想 IP アドレスへの送信しか行わなくなるため、経路切替は L3SW1/L3SW2 間で自動的に処理され、エンドホストからは透過的になります。
A: はい。PC とサーバは仮想 IP アドレスへの送信しか行わなくなるため、経路切替は L3SW1/L3SW2 間で自動的に処理され、エンドホストからは透過的になります。
関連キーワード: OSPF, ICMPリダイレクト, VLAN, ルーティングテーブル, 冗長化
設問4:
本文中の下線④について、変更することになる情報を答えよ。また、サーバにおける変更後の内容を答えよ。
模範解答
変更することになる情報:デフォルトゲートウェイアドレス
サーバにおける変更後の内容:172.16.1.200
解説
解答の論理構成
- 【問題文】では、下線④について「PCとサーバに設定されているネットワーク情報の一つを、図1 の状態から変更することになる」とあります。
- 図1 ではサーバのデフォルトゲートウェイに「172.16.1.250」が設定されています。これは “L3SW1 の内部ルータの VLAN インタフェース” です。
- ところが VRRP を導入すると【問題文】に「L3SW の内部ルータの VLAN インタフェースに仮想 IP アドレスが設定される」と明記され、図3 には “VRRPグループ1(VLAN10) 仮想IPアドレス:172.16.1.200” が示されています。
- VRRP 運用時、端末は仮想 IP アドレスをデフォルトゲートウェイに設定しないと、マスター装置切替時に通信が継続できません。したがって変更対象のネットワーク情報は “デフォルトゲートウェイアドレス” になります。
- サーバは VLAN10(172.16.1.0/24)に属しているため、新しいデフォルトゲートウェイ値は VRRP グループ1 の仮想 IP アドレス「172.16.1.200」となります。
以上より
・変更する情報:デフォルトゲートウェイアドレス
・サーバにおける変更後の内容:172.16.1.200
・変更する情報:デフォルトゲートウェイアドレス
・サーバにおける変更後の内容:172.16.1.200
誤りやすいポイント
- IP アドレスを「172.16.1.250」→「172.16.1.251」と勘違いする
L3SW2 の物理 IP を指定しても VRRP による自動切替は起こりません。 - 変更対象を DNS サーバ設定だと思い込む
VRRP はルータ冗長技術であり名前解決とは無関係です。 - PC 側だけを書き、サーバ側を失念する
問題は「PCとサーバ」と明記され、サーバの新値を具体的に要求しています。
FAQ
Q: なぜ PC 側の変更後アドレスを問われないのですか?
A: PC は VLAN20 であり VRRP グループ2 の仮想 IP「172.16.2.200」を設定します。設問は “サーバにおける変更後の内容” のみを尋ねているため、VLAN10 の値だけ答えれば足ります。
A: PC は VLAN20 であり VRRP グループ2 の仮想 IP「172.16.2.200」を設定します。設問は “サーバにおける変更後の内容” のみを尋ねているため、VLAN10 の値だけ答えれば足ります。
Q: VRRP を使えば静的ルーティング設定も不要になりますか?
A: ルータ間の経路制御は OSPF などが担当します。VRRP はゲートウェイ冗長の仕組みであり、ルーティングテーブル自体の動的更新は行いません。
A: ルータ間の経路制御は OSPF などが担当します。VRRP はゲートウェイ冗長の仕組みであり、ルーティングテーブル自体の動的更新は行いません。
Q: 仮想 IP アドレスは必ず .200 にする必要がありますか?
A: いいえ。ネットワーク内で未使用であれば任意ですが、本問題では図3 に「172.16.1.200」「172.16.2.200」と指定されているので、そのまま利用します。
A: いいえ。ネットワーク内で未使用であれば任意ですが、本問題では図3 に「172.16.1.200」「172.16.2.200」と指定されているので、そのまま利用します。
関連キーワード: VRRP, デフォルトゲートウェイ, 仮想IPアドレス, ルータ冗長, VLAN
