ネットワークスペシャリスト 2014年 午後1 問02
ファイアウォールの障害対応に関する次の記述を読んで、設問1~3に答えよ。
Z社は、美⼥用品・健康⽤品を扱う企業である。Z社には企画部と営業部があり、各部の PC は部署ごとの VLAN に属している。ネットワークの管理は、企画部システム課のO主任と U君が⾏っている。Z社の現在のネットワーク構成を、図1に示す。
〔FWの構成と交換作業〕
Z社では、FW1 を主系に設定し、FW2 を副系に設定した Active-Standby 冗長構成を採⽤し、運⽤を⾏っている。通常時、FW は、必ず主系が Active 動作になり、副系が Standby 動作になる仕様である。
FW では、ア と呼ばれる機能によって、ネットワークアドレス及びポート番号の変換を⾏っている。また、主系から副系にフェールオーバした後も通信を継続させるために、FW が通信の中継のために管理している情報(以下、管理情報という)を⾃動的に引き継ぐ イ フェールオーバ機能を動作させている。FW がフェールオーバした後に、多くのアプリケーションでデータの保全性が保たれて平常どおり通信できるのは、①トランスポート層のプロトコルの機能によることが⼤きい。
FW1 と FW2 の間にはフェールオーバリンクと呼ばれる専⽤接続があり、設定情報の同期、管理情報の複製、及び対向 FWの動作状態の識別に使⽤されている。フェールオーバリンクには、ケーブル直結にする構成と SW を挟む構成があるが、Z 社では、②障害切分けのために SW2 を挟む構成を採用している。FWの冗長構成及びフェールオーバに関する動作は、次のとおりである。
・FWの冗長化機能は、仮想アドレスを使用する方式ではなく、主系のIPアドレス及び MAC アドレスを副系が引き継ぐ方式である。
・新たに Active 動作になった FW は、切り替わったことを通知するフレームを FWの各ポートから送信する。FW に接続しているスイッチは、このフレームを受信することで、③レイヤ 2 機能で用いるテーブルを適切に更新することができる。
・Active 動作の FW を副系から主系に切り戻すためには、手動操作が必要である。
・FW は、起動時にフェールオーバリンクによって、他の Active 動作中の FW を認識すると、主系又は副系であるかにかかわらず Standby 動作になる。このとき、FW は自己の設定情報を無視して、Active 動作中の FW から設定情報を同期する。
Z 社では、数日前に FW1 が故障して、FW2 にフェールオーバした。U君は、通信に影響を与えずに交換できると考え、代替機を手に入れ、交換作業を行うことにした作業当日、U君は、FW1 を工場出荷時の設定のままの代替機と交換し、配線後に電源を投入した。少ししてから SW2 を見ると、FW1 接続ポートで、OSI 基本参照モデルのウ層での正常接続を表すリンク LED が消灯していた。そこで、UTP のコネクタを強く押し込んだところ点灯した。その直後から、システム課に DMZ 及び社外へのアクセスができないとの苦情が相次いだ。慌てて、FW1 と FW2 を確認すると、両方とも Z 社用のフィルタリングルールを含む設定情報が失われていたので、直ちに FW1 の設定情報を復元し、FW2 に設定情報を同期させた。しかし、その後もアクセスできないとの苦情が続いた。U君は、事故の原因を特定して通信を回復した後、今回の交換作業における事故事で、次の二つが関係していることを確認した。
・FW1 は、電源投入後に FW2 を認識できず、Active 動作になった。
・フェールオーバリンク接続時に、FW1 が主系設定であったので、副系の FW2 は FW1 から設定情報の同期と管理情報の複製を行い、Standby 動作に切り替わった。
次は、今回の交換作業に関する O主任 と U君の会話である。
O主任:今回、FW1 の交換作業のミスは、U君らしくなかったわ。
U君:すみません。うかつでした。
O主任:FW1とFW2の設定を復元後も、通信が回復しなかったのはなぜかしら。
U君:FW1を代替機に交換した結果、FW1の各ポートのMACアドレスが変わったので、通信ができなかったのです。FWには、自ポートに設定されたIPアドレスの解決を要求する エ を用いて接続機器のARPテーブルを更新する機能がないので、手動操作が必要でした。このようなミスの再発防止のために、FW故障時の交換作業手順を整理しておきます。
O主任:お願いします。それから、FWの管理の都合上、フィルタリングルールを全社内と営業部で分けたいので、仮想FWを導入する案の検討をお願いできないかしら。
U君:はい、分かりました。
U君は、FW故障時の交換作業手順を整理し、表1にまとめた。
〔仮想 FW 導入案の検討〕
まず、U君は、仮想FWについて調査した。仮想FWとは、FW1及びFW2の中に論理的なFWの機能を複数定義できる機能である。フィルタリングルールは、仮想FWごとに独立して設定できる。仮想FWには、FWの各ポート〔フェールオーバリンク中ポートを除く〕に相当する仮想ポートがあり、それぞれにIPアドレス及びVLAN番号を割り当てる。仮想FWとの通信は、オVLANを使用して1本のリンクに複数のVLANを収容する接続〔以下、トランキング接続という〕を行い、VLAN番号を合致させることで可能になる。
U君は、企画部門の仮想FW及び営業部門の仮想FWの両方を、それぞれFW1及びFW2に定義する構成案を考えた。仮想FWの導入に伴い、企画部と営業部のVLAN間通信を廃止する。DNSサーバ及びWebサーバは現在のままとし、トランキング接続を使用しない。新たに機器を購入せずに、④台のスイッチを相互に入れ替えて対処する。
さらに、仮想FWについて調査を進めると、Active-Active冗長構成とした物理FW〔FW1及びFW2〕に、⑤Active動作に設定した仮想FWを適切に配置すると、物理FW間での負荷が分散可能であることが分かった。
U君は、これらの調査結果を○主任に報告し、仮想FWの導入案は了承された。仮想FWの導入作業は、翌月の法定点検による全館停電日に合わせて行うことになった。
設問1:
本文中のア〜オに入れる適切な字句を答えよ。
模範解答
ア:NAPT
イ:ステートフル
ウ:物理 又は 第1
エ:Gratuitous ARP 又は GARP
オ:タグ 又は Tag
解説
解答の論理構成
- 【問題文】「FW では、ア と呼ばれる機能によって、ネットワークアドレス及びポート番号の変換を行っている。」
→ “ネットワークアドレス及びポート番号”の両方を変換するのは Network Address Port Translation。略称は “NAPT” であるため ア=「NAPT」。 - 【問題文】「管理している情報…を自動的に引き継ぐ イ フェールオーバ機能」
→ セッション状態(ステート)を保持して切替える機能は “ステートフル(failover)” と呼ばれる。よって イ=「ステートフル」。 - 【問題文】「OSI 基本参照モデルのウ層での正常接続を表すリンク LED」
→ LED は物理信号の有無を示す。OSI 第1層=物理層であり、リンクが点灯/消灯するのもここ。したがって ウ=「物理」。 - 【問題文】「自ポートに設定されたIPアドレスの解決を要求する エ を用いて接続機器のARPテーブルを更新」
→ 自身の IP/MAC を通知する ARP は “Gratuitous ARP(GARP)” である。従って エ=「Gratuitous ARP」。 - 【問題文】「仮想FWとの通信は、オVLANを使用して 1 本のリンクに複数の VLAN を収容…(トランキング接続)」
→ 1本の物理リンクに VLAN 情報を付与して多重化する方式は “タグ VLAN” と呼ばれる。以上より オ=「タグ」。
誤りやすいポイント
- 「NAPT」と「PAT」を同義と捉えつつ、和文で “IP マスカレード” と書いてしまう誤答が多い。
- “ステートフル” を “フェールセーフ” や “ホットスタンバイ” と混同しがち。
- OSI 層の LED 表示は L2 と早合点しやすいが、実際に点灯を司るのは L1。
- “Gratuitous ARP” を “Proxy ARP” と取り違えるケースが頻発。
- “タグ VLAN” の対義語 “ポート VLAN(アクセスポート)” と混線し、単に “VLAN” とだけ書くと減点される。
FAQ
Q: 「NAPT」と「NAT」の違いは何ですか。
A: NAT はアドレスだけを変換しますが、NAPT はアドレスに加え “ポート番号も併せて変換” します。複数端末が 1 つのグローバル IP を共有できる点が特徴です。
A: NAT はアドレスだけを変換しますが、NAPT はアドレスに加え “ポート番号も併せて変換” します。複数端末が 1 つのグローバル IP を共有できる点が特徴です。
Q: ステートフルフェールオーバがない場合、何が起きますか。
A: セッション情報が引き継がれないため、TCP ではコネクションがリセットされ、通信中のアプリケーションは再接続を要求されます。
A: セッション情報が引き継がれないため、TCP ではコネクションがリセットされ、通信中のアプリケーションは再接続を要求されます。
Q: Gratuitous ARP はどのようなタイミングで送りますか。
A: IP アドレスの引継ぎや MAC アドレス変更直後に送信し、ネットワーク機器の ARP テーブルを更新します。これにより古い MAC 宛のフレームが残らず、通信断を最小化できます。
A: IP アドレスの引継ぎや MAC アドレス変更直後に送信し、ネットワーク機器の ARP テーブルを更新します。これにより古い MAC 宛のフレームが残らず、通信断を最小化できます。
関連キーワード: NAPT, ステートフル, 物理層, Gratuitous ARP, タグVLAN
設問2:〔FWの構成と交換作業〕について、(1)〜(5)に答えよ。
(1)図1において、機器間がトランク接続でなければならない箇所はどこか。図1中の機器名を用いて答えよ。
模範解答
SW3とL3SWの間
解説
解答の論理構成
- トランク接続が必要となる条件
- VLAN 間ルーティングや複数 VLAN の集約を 1 本の物理リンクで行うとき、そのリンクは “タグ付きフレームを通す” トランクポートに設定します。
- Z 社ネットワークに存在する VLAN
- 【問題文】に「企画部と営業部の PC は部署ごとの VLAN に属している。」とあります。よって少なくとも「企画部 VLAN」と「営業部 VLAN」の 2 つが同時に存在します。
- 各スイッチの役割と接続構成
- L3SW はルーティング機能を担当し、下位の L2 スイッチへ各 VLAN を中継します。
- SW3 は 1 台の L2 スイッチであり、その配下には「企画部 VLAN の端末」と「営業部 VLAN の端末」の両方がぶら下がっています。
- したがって、SW3 と L3SW 間のリンクだけは 2 つ以上の VLAN を同時に流す必要があり、トランク設定が必須です。
- 他リンクがトランク不要な理由
- FW や DMZ 側は個別セグメントで運用されており、問題文に「複数 VLAN を 1 本に収容する」旨の記載はありません。
- SW2–L3SW 間も DMZ 側との単一セグメント接続であり、マルチ VLAN を流す要件は示されていません。
- 以上より、機器間がトランク接続でなければならない箇所は
- 「SW3 と L3SW の間」
が正解になります。
- 「SW3 と L3SW の間」
誤りやすいポイント
- DMZ 用に複数 VLAN があると想定し、SW2–L3SW を選んでしまう。
- ファイアウォールへのリンクは “複数ネットワーク” という言葉から無条件にトランクだと勘違いする。
- 図を見て SW3 以外にも複数 VLAN が書き込まれていると早合点し、根拠を確認せずに複数箇所を回答する。
- トランク=タグ VLAN とアクセス=アンタグ VLAN の概念整理が不十分で、L3SW 側だけをトランクに設定すれば良いと誤解する。
FAQ
Q: トランク接続にしないと実際にはどんな障害が起きますか?
A: 企画部 VLAN のフレームか営業部 VLAN のフレームのいずれか一方しか流れず、もう一方の端末は通信できません。混在する SW3 配下で「片方の部署だけネットワークに出られない」という事象になります。
A: 企画部 VLAN のフレームか営業部 VLAN のフレームのいずれか一方しか流れず、もう一方の端末は通信できません。混在する SW3 配下で「片方の部署だけネットワークに出られない」という事象になります。
Q: SW3 を 2 台に分ければトランクは不要になりますか?
A: はい。企画部用と営業部用で物理的にスイッチを分離し、それぞれ単一 VLAN しか扱わない構成にすれば、L3SW との接続はアクセスリンクで済みます。
A: はい。企画部用と営業部用で物理的にスイッチを分離し、それぞれ単一 VLAN しか扱わない構成にすれば、L3SW との接続はアクセスリンクで済みます。
Q: L3SW 側でルーティングが動いているのにトランクが必要なのはなぜ?
A: ルーティングは L3SW の VLAN インタフェース(SVI)単位で行います。その上で、下位スイッチへ各 VLAN のレイヤ 2 フレームを届ける必要があるため、物理リンクはタグ付き=トランクに設定するのが原則です。
A: ルーティングは L3SW の VLAN インタフェース(SVI)単位で行います。その上で、下位スイッチへ各 VLAN のレイヤ 2 フレームを届ける必要があるため、物理リンクはタグ付き=トランクに設定するのが原則です。
関連キーワード: VLAN, トランクポート, レイヤ3スイッチ, タグ付フレーム, アクセスリンク
設問2:〔FWの構成と交換作業〕について、(1)〜(5)に答えよ。
(2)本文中の下線①のプロトコルの機能を、10字以内で答えよ。
模範解答
TCPの再送機能
解説
解答の論理構成
- 【問題文】には「FW がフェールオーバした後に、多くのアプリケーションでデータの保全性が保たれて平常どおり通信できるのは、①トランスポート層のプロトコルの機能による」とあります。
- フェールオーバ直後は一時的なパケットロスや順序乱れが発生します。これを上位層から隠蔽し、通信を継続させる代表的なトランスポート層プロトコルは「TCP」です。
- TCP は接続型であり、パケット未達を検出すると同一データを再送し、到達確認(ACK)を行うことで「データの保全性」を担保します。
- よって、①に該当する具体的な機能は「TCPの再送機能」と判断できます。
誤りやすいポイント
- 「ウィンドウ制御」「フロー制御」も TCP の機能ですが、問題文が強調する“データの保全性”と“パケットロスへの耐性”に最も直結するのは再送機構です。
- UDP は再送制御を持たないため誤答となります。
- 「シーケンス番号」や「コネクション維持」だけを答えると機能名が不十分で減点対象になり得ます。
FAQ
Q: ACK とシーケンス番号も信頼性機構ですが、なぜ再送機能が答えなのですか?
A: ACK とシーケンス番号は再送判定の前提情報であり、実際にデータを補完して通信を継続させる主役は再送動作だからです。
A: ACK とシーケンス番号は再送判定の前提情報であり、実際にデータを補完して通信を継続させる主役は再送動作だからです。
Q: フェールオーバ時に TCP セッションは切れませんか?
A: 主系の IP アドレスと MAC アドレスを副系が引き継ぎ、さらに「TCPの再送機能」により欠損分を補完するため、多くの場合セッションは維持されます。
A: 主系の IP アドレスと MAC アドレスを副系が引き継ぎ、さらに「TCPの再送機能」により欠損分を補完するため、多くの場合セッションは維持されます。
Q: 再送タイマの値を短くすればもっと早く復旧しますか?
A: 過度に短縮すると輻輳を招く恐れがあります。ネットワーク全体の遅延特性を考慮して適正値を設定することが重要です。
A: 過度に短縮すると輻輳を招く恐れがあります。ネットワーク全体の遅延特性を考慮して適正値を設定することが重要です。
関連キーワード: TCP, 再送制御, フェールオーバ, 信頼性制御, パケットロス
設問2:〔FWの構成と交換作業〕について、(1)〜(5)に答えよ。
(3)本文中の下線②を採用する利点は何か。50字以内で具体的に述べよ。
模範解答
一方のポート故障による対向ポートのリンク断を防ぎ、どちらのFWの障害か特定が容易になる。
解説
解答の論理構成
- まず本文には「フェールオーバリンクには、ケーブル直結にする構成と SW を挟む構成があるが、Z 社では、②障害切分けのために SW2 を挟む構成を採用している。」とあります。
- ケーブル直結の場合、リンクが1本しかないため、ケーブル断や一方のポート障害が起きると両端でリンクダウンが発生し、どちらに原因があるのか判断しづらくなります。
- 一方、間にスイッチ(SW2)を入れると、FW1‐SW2 と FW2‐SW2 の2本の物理リンクに分割されます。この構成では、例えば FW1 側ポートが故障しても SW2‐FW2 間は生きているため、FW2 からはリンクアップ状態のままです。
- したがって「どちらの FW 側で障害が起きたか」をリンク状態だけで容易に切り分けられ、もう一方の FW が不要にリンクダウンすることも避けられます。
- 以上より、設問の利点は「一方のポート故障で対向ポートまで巻き込まず、障害箇所を特定しやすいこと」と説明できます。
誤りやすいポイント
- スイッチを入れる目的を「帯域増加」や「負荷分散」と勘違いする。実際は障害切分けが主目的です。
- フェールオーバリンクを VLAN トランキングと混同し、レイヤ3冗長経路だと思い込む。ここでは単純なレイヤ2直結回線です。
- 「SW を挟むと遅延が増えフェールオーバが遅くなる」と決めつける。実用上無視できる程度であり、本問の焦点は信頼性向上です。
FAQ
Q: スイッチを挟んだ場合、フェールオーバの検知が遅れることはありませんか?
A: 通常のリンクビートはそのまま流れるため遅延はほとんどありません。検知はほぼリアルタイムです。
A: 通常のリンクビートはそのまま流れるため遅延はほとんどありません。検知はほぼリアルタイムです。
Q: スイッチに障害が起きた場合はどうなりますか?
A: フェールオーバリンクが完全に断となり、両 FW が互いを認識できなくなります。このときは両 FW が Active になる恐れがあるため、スイッチにも冗長化を検討します。
A: フェールオーバリンクが完全に断となり、両 FW が互いを認識できなくなります。このときは両 FW が Active になる恐れがあるため、スイッチにも冗長化を検討します。
Q: 直接接続でもポート LED で切り分けできるのでは?
A: 双方同時にリンクダウンするため、どちら側が原因か即断できません。スイッチを介すことで片側のみリンクダウンとなり、原因機器を容易に特定できます。
A: 双方同時にリンクダウンするため、どちら側が原因か即断できません。スイッチを介すことで片側のみリンクダウンとなり、原因機器を容易に特定できます。
関連キーワード: フェールオーバリンク, ポート障害, リンクステータス, 障害切分け, 冗長構成
設問2:〔FWの構成と交換作業〕について、(1)〜(5)に答えよ。
(4)本文中の下線③のテーブル名を、15字以内で答えよ。
模範解答
MACアドレステーブル
解説
解答の論理構成
-
問題文の該当箇所を確認
引用:
「FW に接続しているスイッチは、このフレームを受信することで、③レイヤ 2 機能で用いるテーブルを適切に更新することができる。」
ここで問われているのは “レイヤ 2 機能で用いるテーブル” の名称です。 -
レイヤ 2 スイッチが保持する代表的なテーブルを整理
• レイヤ 2(データリンク層)のスイッチがフレーム転送に利用するのは、宛先 MAC アドレスとスイッチポートを対応付けるテーブルです。
• このテーブルには学習した MAC アドレスが登録されるため、機器がポートを変更すると書き換えが必要になります。 -
用語の正式名称を特定
• 世間一般でも試験対策書でも「MACアドレステーブル」と呼ばれます。
• 他に「フォワーディングテーブル」「学習テーブル」などの別名がありますが、問題文は “レイヤ 2 機能で用いる” とだけ述べており、もっとも標準的・直接的な名称で答えるのが適切です。 -
よって解答は
MACアドレステーブル
誤りやすいポイント
- ARPテーブルと混同する
ARPテーブルは IP アドレスと MAC アドレスの対応関係を保持する L3 側のデータです。レイヤ 2 スイッチが自動学習するテーブルとは役割が異なります。 - CAMテーブルという表現に迷う
機器ベンダによっては CAM(Content-Addressable Memory)テーブルとも呼びますが、試験では一般的な「MACアドレステーブル」を用いることが多いです。 - ルーティングテーブルを想起してしまう
フェールオーバの話題で「切り替え=経路制御」と早合点し、L3 のテーブルを答えてしまうミスが散見されます。問題文は “レイヤ 2” と明示しています。
FAQ
Q: スイッチが受信した通知フレームは具体的に何を更新するのですか?
A: フレームの送信元 MAC アドレスを学習し、そのアドレスが接続されているポート情報を「MACアドレステーブル」に書き込み直します。
A: フレームの送信元 MAC アドレスを学習し、そのアドレスが接続されているポート情報を「MACアドレステーブル」に書き込み直します。
Q: ARPテーブルをクリアする操作と MACアドレステーブルの更新はどう違いますか?
A: ARPテーブルは L3 機器(ルータやホスト)で手動クリアが必要な場合があります。一方、スイッチの MACアドレステーブルはフレーム受信により自動学習・自動更新されるため通常は手動操作が不要です。
A: ARPテーブルは L3 機器(ルータやホスト)で手動クリアが必要な場合があります。一方、スイッチの MACアドレステーブルはフレーム受信により自動学習・自動更新されるため通常は手動操作が不要です。
Q: 冗長構成でフェールオーバ直後に通信が途絶える原因は?
A: 新しい主系機のポート MAC アドレスが変わり、スイッチ側の「MACアドレステーブル」に旧ポート情報が残っていると誤転送が起こり、通信が一時的に不通になることがあります。
A: 新しい主系機のポート MAC アドレスが変わり、スイッチ側の「MACアドレステーブル」に旧ポート情報が残っていると誤転送が起こり、通信が一時的に不通になることがあります。
関連キーワード: MACアドレス, スイッチングテーブル, フェールオーバ, ARP
設問2:〔FWの構成と交換作業〕について、(1)〜(5)に答えよ。
(5)表1中のaに入れる機器名を、図1中の機器名を用いて三つ答えよ。また、bに入れる確認内容を、20字以内で答えよ。
模範解答
a:ルータ、DNSサーバ、Webサーバ
b:FW1から設定情報が同期されたこと
解説
解答の論理構成
-
ARP テーブルを初期化すべき機器の抽出
- 表1の(5)では「L3SW, a について初期化する。」とある。
- 交換後に変化するのは「FW1の各ポートのMACアドレス」なので、FW1 と直接 IP 層で通信し、ARP キャッシュを保持する機器が対象になる。
- 図1で FW1 と直接 IP 通信を行うのは「ルータ」「DNSサーバ」「Webサーバ」の3機器である。これらはいずれも L3 機能(ARP テーブル)を持つホスト/ルータであり、ARP エントリの更新が必要になる。
⇒ a=「ルータ、DNSサーバ、Webサーバ」
-
FW2 交換時に確認すべき内容の導出
- 表1の FW2‐(3) は「Standby動作に入り、b を確認する。」
- 交換作業手順の目的は、Active 側(今回なら「FW1」)と同一の設定で Standby に入ること。
- 問題文には「副系の FW2 は FW1 から設定情報の同期と管理情報の複製を行い、Standby 動作に切り替わった。」と記載されている。
- よって確認すべきなのは「FW1から設定情報が同期されたこと」。
⇒ b=「FW1から設定情報が同期されたこと」
誤りやすいポイント
- SW2 や SW4 を a に入れてしまう
レイヤ2スイッチは ARP テーブルを保持しないため初期化対象外です。 - 「管理情報の複製」まで b に含めてしまう
確認ステップは“設定情報”にフォーカスしており、用語を広げると減点対象になります。 - Active / Standby の立場を取り違える
FW1 交換時は FW2 が Active、FW2 交換時は FW1 が Active という前提を忘れやすいです。
FAQ
Q: ARP テーブルの初期化はどのように行いますか?
A: ルータやサーバの OS コマンド(例: arp ‑d)で該当 IP のエントリを削除するか、機器再起動でクリアします。
A: ルータやサーバの OS コマンド(例: arp ‑d)で該当 IP のエントリを削除するか、機器再起動でクリアします。
Q: もし ARP テーブルを初期化しなかった場合、どのような現象が起きますか?
A: 古い MAC アドレス宛のフレームが送信され続けるため、通信断やタイムアウトが発生します。
A: 古い MAC アドレス宛のフレームが送信され続けるため、通信断やタイムアウトが発生します。
Q: 仮想 FW を導入した場合、ARP テーブル初期化手順は変わりますか?
A: 仮想 FW でも物理ポートの MAC アドレスが変わる場合は同様の対応が必要です。仮想化により MAC が不変なら省略可能です。
A: 仮想 FW でも物理ポートの MAC アドレスが変わる場合は同様の対応が必要です。仮想化により MAC が不変なら省略可能です。
関連キーワード: NAT, フェールオーバ, ARPキャッシュ, 冗長構成, トランキング
設問3:「仮想FW導入案の検討〕について、(1)、(2)に答えよ。
(1)本文中の下線④の入れ替えを、図1中の機器名を用いて答えよ。ただし、各機器のポートには、余裕があるものとする。
模範解答
SW4とL3SWを相互に入れ替える。
解説
解答の論理構成
- 仮想FW導入後は、FWとの間を「“オVLANを使用して1本のリンクに複数のVLANを収容する接続〔以下、トランキング接続という〕”」で結ぶ計画です。
- トランキング接続では、VLAN間ルーティングを行うレイヤ3機能を持つスイッチがFW直近に位置していることが望ましく、仮想FWに接続するスイッチには IP ルーティング機能が必要です。
- ところが本文には「“DNSサーバ及びWebサーバは現在のままとし、トランキング接続を使用しない。”」とあり、DMZ 側(DNS/Web サーバ側)はレイヤ2スイッチで十分であることが示唆されています。
- 現状の図1では、FW に最も近い位置にある DMZ 側のスイッチが「SW4」、社内 VLAN 間ルーティングを担っているのが「L3SW」です。
- そこで「“④台のスイッチを相互に入れ替えて”」という指示の対象は、
・FW 直近に置いてトランキング接続を張りたい L3機能付きスイッチ … 「L3SW」
・DMZ だけを収容し、レイヤ2で足りるスイッチ … 「SW4」
の 2 台になります。 - ゆえに解答は「SW4とL3SWを相互に入れ替える。」となります。
誤りやすいポイント
- “トランキング接続を使用しない”の主語を取り違え、DMZ 側ではなく社内側と誤解する。
- 「相互に入れ替える」を単純に“前後の配線を差し替える”と受け取り、物理配置変更の必要性を見落とす。
- レイヤ2/レイヤ3スイッチの機能差を意識せず、トランキングとルーティングの関係を結び付けられない。
FAQ
Q: トランキング接続を行うとき、必ずレイヤ3スイッチが必要ですか?
A: VLAN 間ルーティングを FW 側で完結させる設計もありますが、本問は仮想FWが VLAN をまたいで動くため、FW 直近に IP ルーティング機能を持つ「L3SW」がある方が合理的です。
A: VLAN 間ルーティングを FW 側で完結させる設計もありますが、本問は仮想FWが VLAN をまたいで動くため、FW 直近に IP ルーティング機能を持つ「L3SW」がある方が合理的です。
Q: DMZ に L3SW を残してはいけないのでしょうか?
A: DMZ はサーバ台数が少なく、VLAN も単一です。レイヤ3機能を置いても利用価値が乏しいため、コストとポート数の観点からレイヤ2スイッチ「SW4」で十分です。
A: DMZ はサーバ台数が少なく、VLAN も単一です。レイヤ3機能を置いても利用価値が乏しいため、コストとポート数の観点からレイヤ2スイッチ「SW4」で十分です。
Q: 物理的にスイッチを入れ替える際、停止時間をどう確保しますか?
A: 本文に「“翌月の法定点検による全館停電日”」とあるように、全システムが止まるタイミングを利用することで業務影響を最小化しています。
A: 本文に「“翌月の法定点検による全館停電日”」とあるように、全システムが止まるタイミングを利用することで業務影響を最小化しています。
関連キーワード: VLAN, トランキング, レイヤ3スイッチ, 仮想FW, フェールオーバ
設問3:「仮想FW導入案の検討〕について、(1)、(2)に答えよ。
(2)本文中の下線⑤の配置を、50字以内で具体的に述べよ。
模範解答
・FW1で企画部用の仮想FWを、FW2で営業部用の仮想FWを、それぞれActiveにする。
・FW2で企画部用の仮想FWを、FW1で営業部用の仮想FWを、それぞれActiveにする。
解説
解答の論理構成
-
問題文は、仮想FWを「複数定義できる機能」とし、「仮想FWごとに独立して設定」できると述べています。
引用: 「仮想FWとは、FW1及びFW2の中に論理的なFWの機能を複数定義できる機能である。フィルタリングルールは、仮想FWごとに独立して設定できる。」 -
また、負荷分散の鍵となる記述として、下線⑤には「Active動作に設定した仮想FWを適切に配置」とあります。
引用: 「⑤Active動作に設定した仮想FWを適切に配置すると、物理FW間での負荷が分散可能」 -
負荷を分散したい対象は「企画部門の仮想FW及び営業部門の仮想FW」であり、両方を「FW1及びFW2に定義」すると記載されています。
引用: 「企画部門の仮想FW及び営業部門の仮想FWの両方を、それぞれFW1及びFW2に定義する構成案」 -
以上より、最適な配置は
・企画部用の仮想FWは FW1 が Active/FW2 が Standby
・営業部用の仮想FWは FW2 が Active/FW1 が Standby
と互い違いにすることで、2台の物理FWの処理をバランス良く分散できます。 -
模範解答は次の2パターンを提示しています。
引用:
「・FW1で企画部用の仮想FWを、FW2で営業部用の仮想FWを、それぞれActiveにする。
・FW2で企画部用の仮想FWを、FW1で営業部用の仮想FWを、それぞれActiveにする。」 -
いずれも「互い違いの Active 割当」である点が共通で、これが設問要求「⑤Active動作に設定した仮想FWを適切に配置」の具体的内容となります。
誤りやすいポイント
- 2つの仮想FWを同一物理FWでどちらも Active にすると、負荷分散にならず設問意図を満たしません。
- Standby の割当を記述せず Active だけを書き並べると、構成が不明確として減点対象になりやすいです。
- 「トランキング接続」や「VLAN番号」の話題と混同し、配置ではなく接続方式を答えてしまうミスが散見されます。
FAQ
Q: 2パターンとも書く必要がありますか?
A: 設問は「配置を具体的に述べよ」とあり、模範解答は代表例を2通り示しています。片方だけでも「互い違いの Active 割当」が明確なら採点上は正となります。
A: 設問は「配置を具体的に述べよ」とあり、模範解答は代表例を2通り示しています。片方だけでも「互い違いの Active 割当」が明確なら採点上は正となります。
Q: Standby 側の記述は必須でしょうか?
A: Active とセットで記述することで「互い違い」の構成が明確になります。Standby を明示しないと採点基準によっては不完全と判断される可能性があります。
A: Active とセットで記述することで「互い違い」の構成が明確になります。Standby を明示しないと採点基準によっては不完全と判断される可能性があります。
Q: Active-Active 構成と負荷分散の違いが分かりません。
A: Active-Active は物理機器(FW1・FW2)の両方が同時に通信を処理する構成、負荷分散は実際のトラフィックをどちらに振り分けるかという運用上の効果を指します。互い違いに仮想FWをActiveにすることで、結果として2台の物理FWで処理が分散します。
A: Active-Active は物理機器(FW1・FW2)の両方が同時に通信を処理する構成、負荷分散は実際のトラフィックをどちらに振り分けるかという運用上の効果を指します。互い違いに仮想FWをActiveにすることで、結果として2台の物理FWで処理が分散します。
関連キーワード: 仮想ファイアウォール, Active-Active, フェールオーバ, VLAN, 負荷分散
