ネットワークスペシャリスト 2013年 午後1 問02
端末の管理強化に関する次の記述を読んで、設問1〜3に答えよ。
Z社は、生活雑貨の企画、製造及び販売を行う企業である。本社は東京にあり、商品の製造と配送を行う商品本部が山梨にある。ネットワーク管理は、本社の情報管理課が行っている。Z社の現在のネットワーク構成を、図1に示す。
〔IPアドレス割当ての仕組みと経緯〕
Z社では、全ての機器のIPアドレスを固定で割り当てていた。しかし、近年はPCの増設、入替えが頻繁になり、IPアドレス管理業務が煩雑になってきた。また、①構築管理の許可を得ずにPCのIPアドレスを割り当て、他のPCの通信に障害が発生したことがあった。そこで、DHCPを用いたIPアドレス自動割り当てに切り替えた。現在、全社のPCのIPアドレスは、本社にあるDHCPサーバで一元管理し、ルータでDHCP ア を動作させて商品本部での割当てに対応させている。
IPアドレス自動割当てでは、PC使用者の利便性が高まる反面、ネットワーク障害の調査では支障を来すことがあった。例えば、ウイルスに感染し、不正なパケットを送信しているPCを特定するには、ルータ又はWebサーバのイテーブルからIPアドレスとMACアドレスの対応を調べ、MACアドレスからSWのポートを特定し、更に配線図面を見てケーブルをたどる必要があった。
また、商品本部で行った、a GHz帯の電波を使用するIEEE 802.11a規格の商品の管理端末の導入試験では、不正なDHCPサーバの接続によって、PCに不正なIPアドレスが割り当てられる問題が発生した。この障害は、商品管理端末の接続用に準備した、②家庭用の無線LAN アクセスポイント機能付きブロードバンドルータ(以下、BB ルータという)の誤ったポートを SW に接続したことによって、BB ルータ内蔵の DHCP サーバから商品本部の PC にIPアドレスが割り当てられたことが原因であった。これらの点から、情報管理課の O 主任と U君は、端末の管理強化策を検討することになった。
〔端末の管理強化策の妥当と確認〕
U君がまとめた端末の管理強化策の案は、次のとおりである。
・L2SW 及び SW がもつ DHCP スヌーピング機能を使用する。この機能によって、L2SW 及び SW は、正規の DHCP サーバと端末間で通信される DHCP メッセージを、通過するポートの場所を含めて監視する。さらに、正規の DHCP サーバからIPアドレスを割り当てられた端末だけが通信できるように、ポートのフィルタを自動制御する。
・端末登録システムを開発し、Webサーバ上で動作させる。DHCP サーバは、端末登録システムに MAC アドレスが登録された端末からのIPアドレス割当要求だけに応答するように、ソフトウェアを改修する。
・端末の使用者は、接続済みの PC からブラウザを使って、事前に氏名及び端末のMAC アドレスを登録する。
U君は、O 主任に端末の管理強化策の案を説明した。O 主任は、U君の案に対して次の 3 点を指示した。
・端末登録システムの登録情報に、端末の機種名を加えること。MAC アドレスの上位b ビットには、OUI(ウに固有の値)があるが、端末の機種名を付け加えることによって、端末の特定がより容易になる。
・特別に固定IPアドレスの割り当てが必要な端末に対して、DHCP サーバから常に決まったIPアドレスが割り当てられるように機能を追加すること。
・導入後、端末登録システムに端末の登録を完了するまでの暫定運用では、使用者の利便性を考慮した DHCP サーバの運用ができること。
U君は、O 主任の指示に従って案を見直し、本社に先行導入する計画を立て、SWの増設も併せて代日作業を行った。U君が行った作業は、次のとおりである。
作業1:端末登録システム及び故修後の DHCP サーバのソフトウェアを起動する。次に、動作確認用の 2 台の PC (PC1 及び PC2) の情報を、端末登録システムに登録する。
作業2:L2SW1、SW1 及び SW2 に DHCP スヌーピング機能を設定する。PC1 及び PC2 を SW1 に接続してWebサーバにアクセスし、動作確認を行う。次に、PC1 及び PC2 を SW2 に接続してWebサーバにアクセスし、動作確認を行う。
作業3:SW3 に DHCP スヌーピング機能を設定して、L2SW1 に接続する。PC1 及び PC2 を SW3 に接続して、作業2 と同様の動作確認を行う。
作業1 及び作業2 は、問題なく終了した。しかし、作業3 では、PC1 だけを接続したときにはWebサーバにアクセスできたが、PC2 も接続したときには PC1、PC2 ともにWebサーバにアクセスできなくなった。このとき、L2SW1、SW1、SW2 及び SW3 では、ポートでのフレーム送受信を表す LED が、全て同時に高速に点滅していた。
U君はまず、SW3 から PC2 を切り離した後に L2SW1 を再起動して、正常状態に回復させた。次に、L2SW1 に エ ポートを設定してトラフィックモニタを接続し、PC2 を再接続してフレームのキャプチャリングを行った。キャプチャリングの結果から、障害には、次の三つが関係していることが分かった。
・PC2 の OS では、DHCP サーバを見つけるためのメッセージである オ 及び DHCPREQUEST にフラグビットを立てて、DHCP サーバから DHCPOFFER 及び DHCPACK をブロードキャストで送信するよう要求していた。
・SW1 及び SW2 では、PC2 向けの DHCPOFFER 及び DHCPACK を受信ポートから折り返し転送していた。SW では、SW に接続していない端末向けの DHCP メッセージのブロードキャストフレームを受信すると、折り返し転送する不具合があった。
・L2SW1 に設定の誤りがあり、DHCP スヌーピング機能が動作していなかった。
また、SW3 を切り離し、かつ、L2SW1 の設定を誤ったままにして、作業2 の構成を再現したときの DHCP メッセージのキャプチャリングを行った。そのときに、PC2 では、DHCP によるIPアドレス自動割当てにおける正常のメッセージ数である 4 メッセージよりも多い、c メッセージを送受信していることが分かった。作業3 で起きた障害は、SW3 の増設によって SW の不具合が表面化したものであった。
U君は、L2SW1の設定の誤りを修正して、DHCPスヌーピング機能の動作を検証した。L2SW1は、DHCPサーバの接続ポート以外から受信したDHCPOFFER及びDHCPACKを破棄するので、SW3を接続しても障害が発生しないことが分かった。
U君から検証結果の報告を受けたO主任は、SWの不具合があっても運用に影響しないと判断し、端末の管理強化策を導入することにした。
翌営業日、本社では、PC使用者からの苦情もなく1日の業務は無事終了した。ただし、O主任は、U君が休日の作業を行ったときに発生した障害から、現在のネットワーク構成の弱点を特定し、③本社及び商品本部のL2SWの代わりにレイヤ3スイッチを使用する構成を検討するよう、U君に指示した。
情報管理課は、端末の管理強化策の暫定運用中に各部門の協力を得て準備を完了し、本社での本運用を開始した。続いて、商品本部にも導入・運用を拡大し、PC使用者に大きな負担を掛けることもなく、端末の管理強化を達成することができた。
設問1:
本文中のア~オに入れる適切な字句を答えよ。
模範解答
ア:リレーエージェント
イ:ARP
ウ:製造者
エ:ミラー
オ:DHCPDISCOVER
解説
解答の論理構成
-
【問題文】「本社にあるDHCPサーバで一元管理し、ルータでDHCP ア を動作させて商品本部での割当てに対応させている。」
DHCPサーバが本社だけにあり、異なる拠点(商品本部)へは中継が必要です。RFC2131 で定義される中継機能は “DHCP Relay Agent” です。よってア=「リレーエージェント」。 -
【問題文】「ルータ又はWebサーバのイテーブルからIPアドレスとMACアドレスの対応を調べ」
IP と MAC の対応表は ARP テーブルで管理されます。したがってイ=「ARP」。 -
【問題文】「MAC アドレスの上位b ビットには、OUI(ウに固有の値)がある」
OUI(Organizationally Unique Identifier)は機器のメーカー固有番号です。日本語では一般に“製造者”を指します。従ってウ=「製造者」。 -
【問題文】「L2SW1 に エ ポートを設定してトラフィックモニタを接続し、…フレームのキャプチャリングを行った。」
解析用に特定ポートへトラフィックを複写する機能はポートミラーリング(SPAN)。設定するポートは “ミラーポート” と呼ばれるためエ=「ミラー」。 -
【問題文】「DHCP サーバを見つけるためのメッセージである オ 及び DHCPREQUEST にフラグビットを立てて…」
DHCP プロセスは DISCOVER → OFFER → REQUEST → ACK の4段階。サーバ探索に用いるのは “DHCPDISCOVER”。ゆえにオ=「DHCPDISCOVER」。
以上より
ア:リレーエージェント
イ:ARP
ウ:製造者
エ:ミラー
オ:DHCPDISCOVER
ア:リレーエージェント
イ:ARP
ウ:製造者
エ:ミラー
オ:DHCPDISCOVER
誤りやすいポイント
- ア に「プロキシ」や「ブロードキャストリレー」と記入するミス。DHCP の正式用語は “Relay Agent”。
- イ を MAC アドレス表と思い込み「MACアドレステーブル」と誤記。IP と MAC の対応は ARP テーブルであり、スイッチの MAC テーブルとは異なる。
- OUI の説明から ウ に「企業」や「ベンダ」などを入れてしまう。問題文は「製造者」に言及している。
- トラフィック解析用ポートを「SPAN」や「タップ」と書きエを外す。設問はポート名を問うており、正解は「ミラーポート」。
- DHCP のフェーズ順序を混同し、オ に「DHCPDISCOVER」以外(例:DHCPREQUEST)を入れてしまう。
FAQ
Q: DHCP リレーエージェントと BOOTP リレーは同じものですか?
A: DHCP は BOOTP を拡張したプロトコルで、リレー動作も共通です。現在は “DHCPリレーエージェント” と表記されるのが一般的です。
A: DHCP は BOOTP を拡張したプロトコルで、リレー動作も共通です。現在は “DHCPリレーエージェント” と表記されるのが一般的です。
Q: ARP テーブルはどの層で管理されていますか?
A: ARP は TCP/IP におけるネットワーク層(OSI 第3層)とデータリンク層(第2層)を橋渡しする役割で、OS 上ではネットワークスタック内に保持されます。
A: ARP は TCP/IP におけるネットワーク層(OSI 第3層)とデータリンク層(第2層)を橋渡しする役割で、OS 上ではネットワークスタック内に保持されます。
Q: ポートミラーリングとネットワークタップの違いは?
A: ポートミラーリング(ミラーポート)はスイッチ内部でフレームを複写するソフトウェア/ハードウェア機能、タップは物理的にケーブル間に割り込ませる装置です。スイッチ障害時にも計測を継続したい場合はタップを用います。
A: ポートミラーリング(ミラーポート)はスイッチ内部でフレームを複写するソフトウェア/ハードウェア機能、タップは物理的にケーブル間に割り込ませる装置です。スイッチ障害時にも計測を継続したい場合はタップを用います。
関連キーワード: DHCPリレー, ARPテーブル, OUI, ポートミラーリング, DHCPDISCOVER
設問2:〔IPアドレス割当ての仕組みと経緯〕について、(1)~(3)に答えよ。
(1)本文中の a に入れる適切な数値を答えよ。
模範解答
a:5
解説
解答の論理構成
-
問題文には、次のような記述があります。
「商品本部で行った、a GHz帯の電波を使用するIEEE 802.11a規格の商品の管理端末の導入試験では…」
ここで空欄 a は、IEEE 802.11a が使用する周波数帯を示しています。 -
IEEE 802.11 の各規格と周波数帯は以下の特徴があります。
・IEEE 802.11b / 802.11g / 802.11n(一部)は主に 2.4 GHz 帯を使用
・IEEE 802.11a は 5 GHz 帯を使用 -
したがって、空欄 a には 5 を入れることで
「5 GHz帯の電波を使用するIEEE 802.11a規格」
という正しい記述になります。
誤りやすいポイント
- IEEE 802.11b/g と混同して「2.4 GHz」としてしまうミスが多いです。IEEE 802.11a だけは 5 GHz 帯を使用する点を押さえましょう。
- “n” や “ac” など複数規格を覚えていると、周波数帯が可変であることに引きずられて誤記入するケースがあります。設問はあくまで「IEEE 802.11a」に限定されています。
- 『GHz 帯』という言い回しから小数点以下を入れたくなりますが、整数で「5」を解答欄に記入する点に注意が必要です。
FAQ
Q: IEEE 802.11a と 802.11ac はどちらも 5 GHz を使うのですか?
A: どちらも 5 GHz 帯を利用しますが、伝送方式・速度やチャネル幅が大きく異なります。設問は「IEEE 802.11a」に限定されているため、5 GHz と判定します。
A: どちらも 5 GHz 帯を利用しますが、伝送方式・速度やチャネル幅が大きく異なります。設問は「IEEE 802.11a」に限定されているため、5 GHz と判定します。
Q: 2.4 GHz と 5 GHz の混在環境でも DHCP の仕組みは同じですか?
A: 周波数帯が異なっても、IP 層より上位(DHCP などアプリ層)の動作は同じです。ただし電波干渉や到達距離、チャネル数など物理・MAC 層の違いが運用面に影響します。
A: 周波数帯が異なっても、IP 層より上位(DHCP などアプリ層)の動作は同じです。ただし電波干渉や到達距離、チャネル数など物理・MAC 層の違いが運用面に影響します。
Q: 規格だけでなく周波数帯を覚えるコツはありますか?
A: 「a は 5、b/g は 2.4」とセットで暗記するのが定番です。“a” が “5” と語呂合わせで覚えると混乱しにくくなります。
A: 「a は 5、b/g は 2.4」とセットで暗記するのが定番です。“a” が “5” と語呂合わせで覚えると混乱しにくくなります。
関連キーワード: IEEE 802.11a, 5 GHz帯, 無線LAN, 周波数, 規格
設問2:〔IPアドレス割当ての仕組みと経緯〕について、(1)~(3)に答えよ。
(2)本文中の下線①では、何が起きたことで通信に障害が発生したのか。15字以内で答えよ。
模範解答
IPアドレスの重複割当て
解説
解答の論理構成
- 原因となった出来事を示す本文引用
─ 下線①の文章に「構築管理の許可を得ずにPCのIPアドレスを割り当て、他のPCの通信に障害が発生した」とあります。 - ここから読み取れる事実
─ 無断で IP アドレスを設定した結果、既にネットワーク上で使用中のアドレスと衝突した可能性が高いと分かります。 - ネットワーク障害の典型例
─ 二台以上の端末が同一アドレスを持つと ARP 解決が錯綜し、通信が成立しなくなります。 - よって下線①で発生した障害は「IPアドレスの重複割当て」であると論理的に導けます。
誤りやすいポイント
- 「無断で固定アドレスを設定したこと」と答えると、行為の説明に留まり“何が起きたか”を示せません。
- 「IPアドレスの誤設定」とすると範囲が広過ぎ、重複という本質を外してしまいます。
- MAC アドレスの衝突や DHCP 設定ミスと取り違える受験者もいますが、本文では DHCP 以前の固定運用時の問題です。
FAQ
Q: なぜ重複が起きると通信が完全に途絶するのですか?
A: ARP の応答が複数出るため送信先 MAC が揺れ続け、正しい相手にフレームが届かなくなるためです。
A: ARP の応答が複数出るため送信先 MAC が揺れ続け、正しい相手にフレームが届かなくなるためです。
Q: DHCP 導入は重複防止以外にどんな利点がありますか?
A: アドレス管理の自動化により設定ミス・管理負荷が大幅に減り、端末増減にも柔軟に対応できます。
A: アドレス管理の自動化により設定ミス・管理負荷が大幅に減り、端末増減にも柔軟に対応できます。
Q: もし固定アドレスを残す場合はどう管理すべきですか?
A: アドレス台帳の整備や IP 競合検知ツールの導入、DHCP の “予約” 機能で固定払い出しする方法が有効です。
A: アドレス台帳の整備や IP 競合検知ツールの導入、DHCP の “予約” 機能で固定払い出しする方法が有効です。
関連キーワード: IPアドレス, 衝突, ARP, DHCP
設問2:〔IPアドレス割当ての仕組みと経緯〕について、(1)~(3)に答えよ。
(3)本文中の下線②では、BBルータのポートのうち、SWに接続したポートは何を接続すべきポートであったのか。15字以内で答えよ。
模範解答
PCを接続すべきポート
解説
解答の論理構成
-
事故の発端
- 本文には、下線②として
「②家庭用の無線LAN アクセスポイント機能付きブロードバンドルータ(以下、BB ルータという)の誤ったポートを SW に接続した」
という記述があります。 - この“誤ったポート”を通じて「BB ルータ内蔵の DHCP サーバから商品本部の PC に IP アドレスが割り当てられた」結果、社内に不正 DHCP が出現しました。
- つまり接続したポートは、BB ルータ側で DHCP サーバ機能が有効な“LAN 側”ポートであったことが分かります。
- 本文には、下線②として
-
本来接続すべきだった相手
- 家庭用 BB ルータの LAN 側ポートは、一般家庭において“PC やプリンタなどの端末”を挿す位置です。
- したがって、本文の設問「SW に接続したポートは何を接続すべきポートであったのか」の答えは
“PC を挿すためのポート”という表現になります。
-
解答
- よって解答は「PCを接続すべきポート」となります。
誤りやすいポイント
- 「WAN ポートこそ正解では?」と勘違いする
WAN 側ポートは NAT/PPPoE などの外部接続用で、通常 DHCP サーバは動きません。問題文は“不正 DHCP が動いた”と述べているため、LAN 側であることが確定します。 - 「アクセスポイント用ポート」などと書いてしまう
AP 機能を持つ機器ですが、LAN ポート=端末接続用という基本構造は変わりません。 - “LAN ポート”とだけ答える
試験では「何を接続すべきか」を尋ねています。設備名称ではなく“接続対象”を明示する必要があります。
FAQ
Q: なぜ LAN ポートだと社内に DHCP がばらまかれるのですか?
A: 家庭用ルータは LAN 側ポートと無線側で同一サブネットを形成し、内蔵 DHCP サーバがブロードキャストで IP を配布します。LAN ポートを社内 SW に直結すると、そのブロードキャストが企業ネットワーク全体に届いてしまうためです。
A: 家庭用ルータは LAN 側ポートと無線側で同一サブネットを形成し、内蔵 DHCP サーバがブロードキャストで IP を配布します。LAN ポートを社内 SW に直結すると、そのブロードキャストが企業ネットワーク全体に届いてしまうためです。
Q: WAN ポートを社内 SW に接続していれば安全だったのですか?
A: WAN 側は NAT の外側であり、通常 DHCP サーバは動作しません。WAN 側であれば社内セグメントとはレイヤ2で分離されるため、不正 DHCP が広がる心配はありません。
A: WAN 側は NAT の外側であり、通常 DHCP サーバは動作しません。WAN 側であれば社内セグメントとはレイヤ2で分離されるため、不正 DHCP が広がる心配はありません。
Q: 今後、同様の事故を確実に防ぐ方法は?
A: 本文で採用した「DHCP スヌーピング」で正規サーバ以外の DHCP メッセージを遮断するほか、ポート毎の機器認証(IEEE 802.1X)や ACL によるブロードキャスト制御も有効です。
A: 本文で採用した「DHCP スヌーピング」で正規サーバ以外の DHCP メッセージを遮断するほか、ポート毎の機器認証(IEEE 802.1X)や ACL によるブロードキャスト制御も有効です。
関連キーワード: DHCPスヌーピング, ブロードキャスト, LANポート, NAT, アクセススイッチ
設問3:〔端末の管理強化策の立案と確認〕について、(1)~(4)に答えよ。
(1)本文中のb 、cに入れる適切な数値を答えよ。
模範解答
b:24
c:6
解説
解答の論理構成
-
【問題文】には
“MAC アドレスの上位b ビットには、OUI(ウに固有の値)がある”
とあります。
① OUI(Organizationally Unique Identifier) は IEEE が割り当てる固定長フィールドで、MAC アドレス先頭の 24 bit が常に OUI に充てられます。
② 後続の 24 bit がベンダ固有のインタフェース識別子となるため、上位部は “24” 以外になり得ません。
➜ b に入る数値は 24 です。 -
DHCP メッセージ数に関する記述は
“PC2 では、DHCP による IP アドレス自動割当てにおける正常のメッセージ数である 4 メッセージよりも多い、c メッセージを送受信していることが分かった。”
とあります。
① 通常の DHCP 4-way ハンドシェークは
• DHCPDISCOVER → DHCPOFFER → DHCPREQUEST → DHCPACK
の 4 メッセージ。
② しかし本件では
• “PC2 の OS では…フラグビットを立てて…ブロードキャストで送信するよう要求”
• “SW1 及び SW2 では…DHCPOFFER 及び DHCPACK を受信ポートから折り返し転送”
により、DHCPOFFER と DHCPACK が 二重に届く 状況が発生。- DISCOVER … 1 回
- O F F E R … 2 回(本来 + 折返し)
- REQUEST … 1 回
- A C K … 2 回(本来 + 折返し)
合計 6 メッセージとなります。
➜ c に入る数値は 6 です。
誤りやすいポイント
- OUI の長さを「企業番号=3 byte」と覚えていても bit に直し忘れて “3” と答えるミス。
- DHCP の冗長メッセージ数を「4 + α」で感覚的に 8 や 10 としてしまい、折返しが各 1 回である事実を見落とす。
- OFFER/ACK の“折返し転送”をリピータハブのブロードキャストと混同し、「全メッセージが二重」と誤解する。
FAQ
Q: OUI はいつも 24 bit 固定ですか?
A: はい。IEEE 802 で規定され、過去も現在も 24 bit で運用されています。
A: はい。IEEE 802 で規定され、過去も現在も 24 bit で運用されています。
Q: DHCPDISCOVER などをブロードキャストにするフラグは何のため?
A: クライアントがまだ IP アドレスを持たない環境で、サーバが同一サブネット内にいない場合でも中継装置が扱いやすいように、応答をブロードキャストしてほしい旨を示す目的です。
A: クライアントがまだ IP アドレスを持たない環境で、サーバが同一サブネット内にいない場合でも中継装置が扱いやすいように、応答をブロードキャストしてほしい旨を示す目的です。
Q: 折返し転送バグがあっても DHCP スヌーピングで解決できた理由は?
A: スヌーピングは不正ポートから来る DHCPOFFER/DHCPACK を破棄するため、バグで複製されたフレームがあってもスイッチが受信段階で遮断できたからです。
A: スヌーピングは不正ポートから来る DHCPOFFER/DHCPACK を破棄するため、バグで複製されたフレームがあってもスイッチが受信段階で遮断できたからです。
関連キーワード: OUI, DHCPスヌーピング, ブロードキャストフラグ, 折返し転送, レイヤ2ループ
設問3:〔端末の管理強化策の立案と確認〕について、(1)~(4)に答えよ。
(2)O主任が U君に指示した、固定 IP アドレスの割当て及び暫定運用中の対処に必要な DHCP サーバの機能を、それぞれ30字以内で述べよ。
模範解答
固定IPアドレスの割当て:MACアドレスに対応付けたIPアドレスを割り当てる。
暫定運用中の対処:MACアドレスが未登録でもIPアドレスを割り当てる。
解説
解答の論理構成
-
固定 IP アドレスの割当て
- 【問題文】には、
「特別に固定 IP アドレスの割り当てが必要な端末に対して、DHCP サーバから常に決まった IP アドレスが割り当てられるように機能を追加すること。」
とあります。 - “常に決まった”=毎回同じアドレスを返す条件は、DHCP が端末を識別できることが前提です。Z社の端末識別キーとして既に登録・管理しているのは「MAC アドレス」なので、「MAC アドレスに対応付けた IP アドレスを割り当てる」機能が要求事項を満たします。
- 【問題文】には、
-
暫定運用中の対処
- O主任の指示は、
「導入後、端末登録システムに端末の登録を完了するまでの暫定運用では、使用者の利便性を考慮した DHCP サーバの運用ができること。」
です。 - 端末登録が未完了の機器にも「利便性」を確保するには、登録の有無にかかわらずアドレスを払い出す必要があります。したがって、暫定期間中は「MAC アドレスが未登録でも IP アドレスを割り当てる」動作が求められます。
- O主任の指示は、
これらの根拠を踏まえ、模範解答は次のようになります。
・固定 IP アドレスの割当て:MACアドレスに対応付けたIPアドレスを割り当てる。
・暫定運用中の対処:MACアドレスが未登録でもIPアドレスを割り当てる。
・固定 IP アドレスの割当て:MACアドレスに対応付けたIPアドレスを割り当てる。
・暫定運用中の対処:MACアドレスが未登録でもIPアドレスを割り当てる。
誤りやすいポイント
- 「常に決まった IP アドレス」を“スタティックに手動設定する”と誤解し、DHCP 機能としての自動割当を外してしまう。
- 暫定運用を“無条件で誰でも通信可”と解釈し、端末登録システムそのものを一時停止すると考えてしまう。実際は DHCP だけを緩和し、他の監視・ログ取得は継続する想定です。
- 「MAC アドレスフィルタリング=固定割当」と短絡し、MAC―IP 対応表を DHCP が持つことを忘れる。
FAQ
Q: 固定割当に必要な DHCP 機能は特別なオプション設定ですか?
A: 一般的な“予約アドレス”機能(MAC 予約、IP/MAC バインディング)で実装可能です。
A: 一般的な“予約アドレス”機能(MAC 予約、IP/MAC バインディング)で実装可能です。
Q: 暫定運用で未登録端末にアドレスを配布するとセキュリティが下がりませんか?
A: 端末登録完了への移行期間に限定し、L2SW の DHCP スヌーピングやログ監視を併用することでリスクを抑えます。
A: 端末登録完了への移行期間に限定し、L2SW の DHCP スヌーピングやログ監視を併用することでリスクを抑えます。
Q: 登録完了後に誤って未登録端末が接続された場合はどうなりますか?
A: DHCP が応答しないためアドレスを取得できず通信不可となり、不正端末を抑止できます。
A: DHCP が応答しないためアドレスを取得できず通信不可となり、不正端末を抑止できます。
関連キーワード: DHCP, MACアドレス, IPアドレス固定割当, フィルタリング, スヌーピング
設問3:〔端末の管理強化策の立案と確認〕について、(1)~(4)に答えよ。
(3)作業3の動作確認中に起きた障害の原因となった機器の動作を、図1中の機器名を用いて、35字以内で述べよ。
模範解答
SW1とSW2の間でのブロードキャストフレームの折り返し
解説
解答の論理構成
-
障害の状況整理
作業3で「PC2 も接続したときには PC1、PC2 ともに Webサーバにアクセスできなくなった」「ポートでのフレーム送受信を表す LED が、全て同時に高速に点滅」とあり、典型的なブロードキャストストームが発生していることが分かります。 -
キャプチャ結果の分析
キャプチャでは次の三つが判明しました。
・「PC2 の OS では、…DHCPDISCOVER 及び DHCPREQUEST にフラグビットを立てて、…DHCPOFFER 及び DHCPACK をブロードキャストで送信するよう要求」
・「SW1 及び SW2 では、PC2 向けの DHCPOFFER 及び DHCPACK を受信ポートから折り返し転送していた。SW では、SW に接続していない端末向けの DHCP メッセージのブロードキャストフレームを受信すると、折り返し転送する不具合があった。」
・「L2SW1 に設定の誤りがあり、DHCP スヌーピング機能が動作していなかった。」ここで障害の“引き金”は PC2 ですが、“原因となった機器の動作”は「SW1」「SW2」の折り返し転送(リフレクト)であると特定できます。 -
折り返し転送の影響
②の不具合により、SW1⇔SW2 間で同じブロードキャストフレームが行き来し続け、L2SW1 まで巻き込んでフレームが増幅、ネットワーク全体が通信不能に陥りました。 -
結論
よって設問の要求どおり図1中の機器名で表すと、
「SW1とSW2の間でのブロードキャストフレームの折り返し」
が正解となります。
誤りやすいポイント
- ループの発生元を「L2SW1 の設定ミス」と断定しがちですが、設問は“原因となった機器の動作”を問うため、折り返し転送を起こした「SW1」「SW2」を示す必要があります。
- PC2 が DHCP フラグを立てた事実をそのまま原因と見做す誤答が多いです。PC2 は発端にすぎず、ネットワーク全体を麻痺させた主因ではありません。
- 「ブロードキャストストーム」とだけ書くと“機器名を用いよ”の指示を満たさないため減点対象です。
FAQ
Q: ループ防止技術(STP など)があれば本障害は防げましたか?
A: STP が有効ならポートをブロックしてループを抑止できた可能性があります。ただし今回の折り返しはスイッチ内部の不具合なので、STP だけでは完全に防げないケースもあります。
A: STP が有効ならポートをブロックしてループを抑止できた可能性があります。ただし今回の折り返しはスイッチ内部の不具合なので、STP だけでは完全に防げないケースもあります。
Q: DHCPDISCOVER にフラグビットを立てる OS は珍しいのですか?
A: 一部 OS では無線環境やマルチ Subnet 環境でサーバ検出性を高めるために既定でブロードキャスト要求を行います。設定で無効化できる場合もあります。
A: 一部 OS では無線環境やマルチ Subnet 環境でサーバ検出性を高めるために既定でブロードキャスト要求を行います。設定で無効化できる場合もあります。
Q: DHCPスヌーピングを有効化した後、同様の不具合が残っていても問題ありませんか?
A: 「DHCP スヌーピング機能が…DHCPOFFER 及び DHCPACK を破棄する」ため、折り返し転送が届かずブロードキャストストームが沈静化します。根本的なバグ修正にはなりませんが運用上の影響は抑えられます。
A: 「DHCP スヌーピング機能が…DHCPOFFER 及び DHCPACK を破棄する」ため、折り返し転送が届かずブロードキャストストームが沈静化します。根本的なバグ修正にはなりませんが運用上の影響は抑えられます。
関連キーワード: ブロードキャストストーム, DHCPスヌーピング, レイヤ2スイッチ, ループ防止, フレームリフレクト
設問3:〔端末の管理強化策の立案と確認〕について、(1)~(4)に答えよ。
(4)O主任が本文中の下線③で実現しようとしているネットワーク構成を、“VLAN”という字句を用いて、40字以内で述べよ。
模範解答
SW単位にVLANを設定し、VLAN間経路制御とDHCPリレーを行う構成
解説
解答の論理構成
- 問題文には、O主任が下線部 “③本社及び商品本部のL2SWの代わりにレイヤ3スイッチを使用する構成” を検討するよう指示したとあります。レイヤ3スイッチはスイッチングに加えてルーティング機能を備え、VLAN間の経路制御やDHCPリレーを内部で実装できます。
- 端末の管理強化策では、L2SW/SWの DHCPスヌーピング を活用して「正規の DHCP サーバから IP アドレスを割り当てられた端末だけが通信できる」ようにする点が重要です。ところが、複数の L2SW をまたぐ場合はブロードキャスト域が広くなり、障害時にネットワーク全体へ影響が及びやすい弱点があります。
- レイヤ3スイッチを導入し VLAN を SW(スイッチ)単位で分割すれば、ブロードキャスト域を局所化しつつ、レイヤ3スイッチ自身が VLAN間のルーティング(経路制御) と DHCPリレー を実行でき、DHCPスヌーピングの制御範囲も適切に区切れます。
- 以上より、本問の要求を満たす構成は「SWごとにVLANを割り当て、レイヤ3スイッチでVLAN間ルーティングとDHCPリレーを行う」ことだと論理的に導かれます。
誤りやすいポイント
- 「レイヤ3スイッチ導入」だけを答え、VLANを明示しない
- VLAN間ルーティングの利点を書かず、単に「ネットワークを分ける」と抽象的に記述
- DHCPリレー機能を忘れ、DHCPスヌーピングとの関係を説明しない
- L2SW でも VLAN は設定可能だが、ブロードキャスト域の分割と経路制御を同一筐体で完結できる点がレイヤ3スイッチ導入の核心であることを見落とす
FAQ
Q: レイヤ3スイッチを導入すると、既存のDHCPサーバは不要になりますか?
A: 不要にはなりません。レイヤ3スイッチは DHCPリレー 機能で DHCP サーバとの仲介を行うため、サーバは従来どおり必要です。
A: 不要にはなりません。レイヤ3スイッチは DHCPリレー 機能で DHCP サーバとの仲介を行うため、サーバは従来どおり必要です。
Q: SW単位でVLANを分けるとポート単位での細かな制御はできなくなりますか?
A: 可能です。SW全体を一つのVLANにする運用例を示しただけであり、必要に応じてポート単位で複数VLANを定義し、その上でレイヤ3スイッチが経路制御を行えます。
A: 可能です。SW全体を一つのVLANにする運用例を示しただけであり、必要に応じてポート単位で複数VLANを定義し、その上でレイヤ3スイッチが経路制御を行えます。
Q: DHCPスヌーピングはレイヤ3スイッチに置き換えると不要ですか?
A: 不要ではありません。レイヤ3スイッチでも L2 部分で DHCP スヌーピングを動作させ、正規サーバ以外からの DHCP メッセージを遮断することで安全性を確保します。
A: 不要ではありません。レイヤ3スイッチでも L2 部分で DHCP スヌーピングを動作させ、正規サーバ以外からの DHCP メッセージを遮断することで安全性を確保します。
関連キーワード: VLAN, レイヤ3スイッチ, DHCPリレー, DHCPスヌーピング, ブロードキャストドメイン
