ネットワークスペシャリスト 2021年 午後1 問01
ネットワーク運用管理の自動化に関する次の記述を読んで、設問1〜3に答えよ。
A社は、中堅の中古自動車販売会社であり、東京に本社のほか10店舗を構えている。
〔現状の在庫管理システム〕
A社では、在庫管理システムを導入している。本社及び店舗では、社内の全ての在庫情報を把握できる。在庫管理システムは、本社の在庫管理サーバ、DHCPサーバ、DNSサーバ、本社及び店舗に2台ずつある在庫管理端末、並びにこれらを接続するレイヤ2スイッチ(以下、L2SWという)から構成される。在庫管理端末はDHCPクライアントである。
本社と店舗との間は、広域イーサネットサービス網(以下、広域イーサ網という)を用いてレイヤ2接続を行っている。L2SWにVLANは設定していない。
本社の在庫管理サーバでは、在庫情報の管理と、在庫管理システム全ての機器のSNMPによる監視を行っている。在庫管理システムで利用するIPアドレスは192.168.1.0/24であり、各機器にはIPアドレスが一つ割り当てられている。
店舗が追加される際には、その都度、情報システム部の社員が現地に出向き、L2SWと在庫管理端末を設置している。店舗のL2SWは、在庫管理サーバからSSHによるリモートログインが可能である。
現状の在庫管理システムの構成を、図1に示す。
A社は、販売エリアの拡大に着手することにした。またこの機会に、新たに顧客サービスとして全ての店舗でフリーWi-Fiを提供することにした。情報システム部のBさんは上司から、ネットワーク更改について検討するよう指示された。
Bさんが指示を受けたネットワーク更改の要件を次に示す。
・WAN回線は、広域イーサ網からインターネットに変更する。
・全ての店舗にフリーWi-Fiのアクセスポイント(以下、Wi-Fi APという)を導入する。
・既存の在庫管理システムの機器は継続利用する。
・フリーWi-Fiやインターネットを経由して社外から在庫管理システムに接続させない。
・店舗における機器の新設・故障交換作業は、店舗の店員が行えるようにする。
・SNMPによる監視及び SSH によるリモートログインの機能は、在庫管理システムから分離し、新たに設置する運用管理サーバに担わせる。
〔新ネットワークの設計〕
Bさんは、本社と店舗との接続に、インターネット接続事業者である C社が提供する法人向けソリューションサービスを利用することを考えた。このサービスでは、インターネット上に L2 over IP トンネルを作成する機能をもつルータ(以下、RTという)を用いる。RTの利用構成を図2に示す。
Bさんが調査した内容を次に示す。
・RTは物理インタフェース(以下、インタフェースを IF という)として、BP, EP, RPをもつ。
・EPは、ISP-CにPPPoE接続を行い、グローバルIPアドレスが一つ割り当てられる。RTには、C社から出荷された時にPPPoEの認証情報があらかじめ設定されている。
・RPに接続した機器は、RTのNAT機能を介してインターネットにアクセスできる。インターネットからRPに接続した機器へのアクセスはできない。
・RPに接続した機器とBPに接続した機器との間の通信はできない。
・RTの設定及び管理は、C社データセンタ上のRT管理コントローラから行う。他の機器からは行うことができない。
・RTがRT管理コントローラと接続するときには、RTのクライアント証明書を利用する。
・RT管理コントローラは、EPに付与されたIPアドレスに対し、pingによる死活監視及びSNMPによるMIBの取得を行う。
Bさんが考えた、ネットワーク更改後の在庫管理システムの構成を、図3に示す。
本社に設置するRTと店舗に設置するRT間でポイントツーポイントのトンネルを作成し、本社を中心としたスター型接続を行う。店舗の RT の BP は、トンネルで接続された本社の RT の BP と同一ブロードキャストドメインとなる。
Bさんが考えた、新規店舗への機器の導入手順を次に示す。
・情報システム部は、店舗に設置する機器一式、構成図、手順書及びケーブルを店舗に送付する。そのうち L2SW、Wi-Fi AP については、本社であらかじめ初期設定を済ませておく。
・店員は、送付された構成図を参照して各機器を接続し、電源を投入する。
・RT は、自動で ISP-C に PPPoE 接続し、インターネットへの通信が可能な状態になる。
・RT は、RT 管理コントローラに、① REST API を利用して RT のシリアル番号と BP のIPアドレスを送信する。
・RT は、RT 管理コントローラが保持する最新のファームウェアバージョン番号を受け取る。
・RT は、RT で動作しているファームウェアバージョンが古い場合は、RT 管理コントローラから最新ファームウェアをダウンロードし、更新後に再起動する。
・RT は、RT 管理コントローラから本社の RT のIPアドレスを取得する。
・RT は、本社の RT との間にレイヤ 2 トンネル接続を確立する。
・店員は、Wi-Fi AP 配下の Wi-Fi 端末及び②在庫管理端末から通信試験を行う。
・店員は、作業完了を情報システム部に連絡する。
〔構成管理の自動化〕
Bさんは、③店舗から作業完了の連絡を受けた後で確認を行うために、LLDP (Link Layer Discovery Protocol) を用いて BP 配下の接続構成を自動で把握することにした。RT、L2SW 及び在庫管理端末は、必要な IF から OSI 基本参照モデルの第 a 層プロトコルである LLDP によって、隣接機器に自分の機器名や IF の情報を送信する。隣接機器は受信した LLDP の情報を、LLDP-MIB に保持する。なお、全ての機器で LLDP-MED (LLDP Media Endpoint Discovery) を無効にしている。
運用管理サーバは、L2SW と在庫管理端末から b によって LLDP-MIB を取得して、L2SW と在庫管理端末のポート接続リストを作成する。さらに、運用管理サーバは、c が収集した RT の LLDP-MIB の情報を REST API を使って取得して、ポート接続リストに加える。
ポート接続リストとは、b で情報を取得する対象の機器(以下、自機器という)の IF と、そこに接続される隣接機器の IF を組み合わせにした表である。ある店舗で想定されるポート接続リストの例を、表1に示す。
Bさんは上司にネットワーク更改案を提案し、更改案が採用された。
設問1:〔現状の在庫管理システム〕について、(1)〜(3)に答えよ。
(1)名前解決に用いるサーバの IP アドレスを、在庫管理端末に通知するサーバは何か。図1中の機器名で答えよ。
模範解答
DHCP サーバ
解説
解答の論理構成
-
在庫管理端末がどの方式でネットワーク設定を受け取るかを確認します。
――【問題文】「在庫管理端末はDHCPクライアントである。」
DHCPクライアントは、IP アドレスだけでなくデフォルトゲートウェイや DNS サーバアドレスなどの各種情報も DHCP サーバから受領します。 -
問題が尋ねているのは、
――「名前解決に用いるサーバの IP アドレスを、在庫管理端末に通知するサーバは何か。」
ここで「名前解決に用いるサーバ」とは DNS サーバを指しますが、“その IP アドレスを通知する”役割を担うのは DHCP サーバです。 -
図1の機器名で答える必要があります。図1には「DHCPサーバ」という機器が明示されています。よって、在庫管理端末へ DNS サーバアドレスを通知するサーバは
―― 解答:DHCP サーバ
となります。
誤りやすいポイント
- 「DNSサーバ自体が自分の IP アドレスを教える」と誤認しがちですが、DNS サーバは名前解決処理を担当するだけで、端末設定の配布はしません。
- 「在庫管理サーバが一元管理しているので、そこから配布される」と混同するケース。監視機能と IP パラメータ配布は別物です。
- 図1に複数サーバ(DHCP、DNS、在庫管理)が描かれているため、機能の切り分けを読み違えてしまうことがあります。
FAQ
Q: DHCP で配布できる情報は IP アドレス以外に何がありますか?
A: サブネットマスク、デフォルトゲートウェイ、DNS サーバ、NTP サーバ、ドメイン名など多岐にわたります。本問はその中の「DNS サーバアドレス」に着目しています。
A: サブネットマスク、デフォルトゲートウェイ、DNS サーバ、NTP サーバ、ドメイン名など多岐にわたります。本問はその中の「DNS サーバアドレス」に着目しています。
Q: 在庫管理端末が固定 IP で運用されていた場合、答えは変わりますか?
A: 固定 IP(スタティック設定)なら DNS サーバアドレスも手動設定となり、DHCP サーバは関与しません。本システムでは DHCP クライアントと明示されているため、DHCP サーバが正解になります。
A: 固定 IP(スタティック設定)なら DNS サーバアドレスも手動設定となり、DHCP サーバは関与しません。本システムでは DHCP クライアントと明示されているため、DHCP サーバが正解になります。
Q: DHCP サーバと DNS サーバを同一機器で運用する場合、どちらを答えるべきですか?
A: 問題は「通知するサーバ」を聞いているので、機能的に DHCP サーバが正解です。物理的に同一装置であっても役割を区別して答えます。
A: 問題は「通知するサーバ」を聞いているので、機能的に DHCP サーバが正解です。物理的に同一装置であっても役割を区別して答えます。
関連キーワード: DHCP, DNS, IPアドレス配布, クライアント設定, ネットワーク自動設定
設問1:〔現状の在庫管理システム〕について、(1)〜(3)に答えよ。
(2)図1の構成において、在庫管理システムのセグメントの IP アドレス数に着目すると、店舗の最大数は計算上幾つになるか。整数で答えよ。
模範解答
82
解説
解答の論理構成
-
利用できるアドレス数を把握
問題文で「在庫管理システムで利用するIPアドレスは192.168.1.0/24であり、各機器にはIPアドレスが一つ割り当てられている。」とある。
/24 なら 個のアドレスのうち、ネットワークアドレス (192.168.1.0) とブロードキャストアドレス (192.168.1.255) は使用不可なので
256 − 2 = 254 個 が機器に割り当てられる最大数となる。 -
本社で消費するアドレス数を算出
「在庫管理システムは、本社の在庫管理サーバ、DHCPサーバ、DNSサーバ、本社及び店舗に2台ずつある在庫管理端末、並びにこれらを接続するレイヤ2スイッチ(以下、L2SWという)から構成される。」とある。
本社には
・在庫管理サーバ …1
・DHCPサーバ …1
・DNSサーバ …1
・在庫管理端末 …2
・L2SW …1
合計 6 台 → 6 アドレス消費。 -
店舗1か所あたりのアドレス数を算出
各店舗にも「2 台ずつある在庫管理端末」と「L2SW」が存在するため、
2(端末)+1(L2SW)= 3 アドレス を1店舗で使用する。 -
収容可能な店舗数を計算
使える総アドレス 254 から本社 6 アドレスを差し引くと、店舗用に割り当てられるのは
254 − 6 = 248 アドレス。
1店舗あたり 3 アドレスなので
したがって最大店舗数は 82 店舗 となる。
誤りやすいポイント
- ネットワーク/ブロードキャストアドレスの 2 つを引き忘れる
- 本社の「L2SW」に IP が不要と勘違いし、6 台ではなく 5 台で計算してしまう
- 店舗あたりの端末数を 2 ではなく 1 と読み違える
- /24 を 255 アドレスと誤って覚えてしまう(正しくは 256)
FAQ
Q: 在庫管理端末は DHCP クライアントですが、静的割当てと計算が変わりますか?
A: 変わりません。DHCP でも静的でも 1 端末につき 1 アドレスを占有する点は同じです。
A: 変わりません。DHCP でも静的でも 1 端末につき 1 アドレスを占有する点は同じです。
Q: L2SW が管理 VLAN を持たない場合、IP を確保しなくても良いのでは?
A: 問題文に「各機器には IP アドレスが一つ割り当てられている」と明記されているため、L2SW も対象に含めて計算する必要があります。
A: 問題文に「各機器には IP アドレスが一つ割り当てられている」と明記されているため、L2SW も対象に含めて計算する必要があります。
Q: 将来サーバを増設したら店舗数はどう計算し直せば良いですか?
A: 追加サーバ台数を本社分に加算し、再度「254 -(本社消費アドレス)」を 3 で割って切り捨てれば、最新の収容可能店舗数を求められます。
A: 追加サーバ台数を本社分に加算し、再度「254 -(本社消費アドレス)」を 3 で割って切り捨てれば、最新の収容可能店舗数を求められます。
関連キーワード: IPv4, サブネットマスク, ブロードキャストアドレス, アドレス設計, ホスト部
設問1:〔現状の在庫管理システム〕について、(1)〜(3)に答えよ。
(3)本社の L2SW の MAC アドレステーブルに何も学習されていない場合、在庫管理サーバが監視のために送信したユニキャストの ICMP Echo request は、本社の L2SW でどのように転送されるか。30字以内で述べよ。このとき、監視対象機器に対する IP アドレスと MAC アドレスの対応は在庫管理サーバの ARP テーブルに保持されているものとする。
模範解答
L2SW の入力ポート以外の全てのポートに転送される。
解説
解答の論理構成
- 問題は「本社の L2SW の MAC アドレステーブルに何も学習されていない場合」と明示しています。スイッチが宛先 MAC アドレスを学習していないユニキャストフレームを受信したときの動作を問う設問です。
- イーサネット・スイッチは、宛先 MAC が未知の場合、該当フレームをフラッディング(全ポート送信)します。ただしループを避けるため「入力ポート」には送出しません。
- フレームの上位レイヤは「ユニキャストの ICMP Echo request」ですが、L2SW が参照するのは第2層ヘッダのみであり、ICMP であるかどうかは影響しません。
- 以上より、在庫管理サーバから送信されたフレームは「L2SW の入力ポート以外の全ポートに転送される」という結論になります。
誤りやすいポイント
- ARP テーブルが埋まっていることを理由に「特定ポートだけに転送される」と考えてしまう
→ ARP は第3層の話で、L2SW が参照するのは第2層の MAC テーブルです。 - ブロードキャストと混同し「全ポート」と書きたくなる
→ 正しくは「入力ポート以外の全てのポート」。入力ポートに送り返すことはありません。 - VLAN を設定していない点を見落とし、VLAN 間の制限を想定してしまう
FAQ
Q: ARP テーブルが埋まっているのに、なぜスイッチは宛先を知らないのですか?
A: ARP は IP ⇔ MAC の対応表で、送信元ホストが保持します。スイッチは自分の MAC テーブルに宛先 MAC を学習していない限りフラッディングします。
A: ARP は IP ⇔ MAC の対応表で、送信元ホストが保持します。スイッチは自分の MAC テーブルに宛先 MAC を学習していない限りフラッディングします。
Q: ブロードキャストと未知ユニキャストのフラッディングは同じですか?
A: 動作は同じく「入力ポート以外の全ポートに送る」ですが、スイッチはブロードキャストと未知ユニキャストを区別して内部処理します。STP や IGMP スヌーピングなどで制御方法が異なります。
A: 動作は同じく「入力ポート以外の全ポートに送る」ですが、スイッチはブロードキャストと未知ユニキャストを区別して内部処理します。STP や IGMP スヌーピングなどで制御方法が異なります。
Q: VLAN がある場合、この動作は変わりますか?
A: VLAN が設定されていれば、フラッディングは同一 VLAN 内のポートに限定されます。本設問では「L2SW に VLAN は設定していない」と条件が示されています。
A: VLAN が設定されていれば、フラッディングは同一 VLAN 内のポートに限定されます。本設問では「L2SW に VLAN は設定していない」と条件が示されています。
関連キーワード: フラッディング, スイッチングハブ, MACアドレス学習, 不明ユニキャスト
設問2:〔新ネットワークの設計〕について、(1)〜(4)に答えよ。
(1)C 社が RT を出荷するとき、RT に RT 管理コントローラを IP アドレスではなく FQDN で記述する利点は何か。50 字以内で述べよ。
模範解答
RT 管理コントローラの IP アドレスが変更された場合でも RT の設定変更が不要である。
解説
解答の論理構成
-
管理プレーンの接続方法
【問題文】には「RT の設定及び管理は、C社データセンタ上のRT管理コントローラから行う。他の機器からは行うことができない。」とあります。したがって、各 RT は出荷時に管理コントローラの接続先をあらかじめ保持し、その情報を頼りに運用開始後ずっと通信します。 -
IP アドレス固定記述のデメリット
管理コントローラ側でセグメント移設や冗長化構成変更が起きると IP アドレスが変わる可能性があります。出荷済み RT に IP を直接書き込んでいる場合、全国の拠点で一斉に設定変更が必要となり、多大な工数とリスクが発生します。 -
FQDN 記述のメリット
FQDN は DNS により「名前 → 最新の IP アドレス」へ動的に解決されます。出荷済み RT は名前を問い合わせるだけでよく、DNS レコードを更新すれば自動的に新しい IP へ到達できます。 -
結論
よって「RT 管理コントローラの IP アドレスが変更された場合でも RT の設定変更が不要」となるため、設問要求の利点を満たします。
誤りやすいポイント
- DHCP で新 IP を配ればよいと考えがちですが、【問題文】の構成では「RT 管理コントローラ」がデータセンタ側にあり、RT 自身はクライアント側です。DHCP では管理コントローラのアドレスを配布できません。
- 「FQDN を書く=DNS 頼みなので逆に脆弱」と誤解しがちですが、一般に DNS 冗長化は IP 変更よりはるかに容易です。
- 利点を「名前解決で接続できる」とだけ書くと抽象的すぎて減点対象になりやすいです。IP 変更時の再設定不要という運用面の具体的効果を示す必要があります。
FAQ
Q: DNS サーバが止まったら RT は管理コントローラに接続できなくなりますか?
A: 一般には RT 起動時に DNS 解決を行い、以後は IP をキャッシュします。DNS 障害時でもキャッシュ有効期間内は通信可能な設計にするのが普通です。
A: 一般には RT 起動時に DNS 解決を行い、以後は IP をキャッシュします。DNS 障害時でもキャッシュ有効期間内は通信可能な設計にするのが普通です。
Q: RT 側からコントローラを名前解決する場合、DNS サーバはどこにありますか?
A: ISP のリゾルバや自社権威 DNS のどちらでも構いませんが、到達性を確保しやすい ISP の DNS を設定する例が多いです。
A: ISP のリゾルバや自社権威 DNS のどちらでも構いませんが、到達性を確保しやすい ISP の DNS を設定する例が多いです。
Q: FQDN を複数登録して冗長化することはできますか?
A: はい。DNS の A レコードを複数登録すればラウンドロビンによる簡易冗長化、あるいは SRV レコードで優先度付きの冗長化も行えます。
A: はい。DNS の A レコードを複数登録すればラウンドロビンによる簡易冗長化、あるいは SRV レコードで優先度付きの冗長化も行えます。
関連キーワード: DNS, FQDN, 名前解決, ネットワーク運用, 冗長化
設問2:〔新ネットワークの設計〕について、(1)〜(4)に答えよ。
(2)本文中の下線①について、RT が RT 管理コントローラに登録する際に用いる、OSI 参考モデルでアプリケーション層に属するプロトコルを答えよ。
模範解答
HTTP 又は HTTPS
解説
解答の論理構成
- 問題文は下線①について、
「RT は、RT 管理コントローラに、① REST API を利用して RT のシリアル番号と BP の IP アドレスを送信する」
と記述しています。 - REST API は、リソースの取得・更新を HTTP メソッド(GET/POST/PUT/DELETE など) で実現する設計指針です。REST 自体は “方式” であり、OSI 参照モデルのプロトコル名には該当しません。
- 従って、OSI 参考モデルでアプリケーション層に属し、REST API の実体となるプロトコルは HTTP(暗号化を施す場合は HTTPS)です。
- 以上より解答は「HTTP 又は HTTPS」となります。
誤りやすいポイント
- 「REST」が直接プロトコル名だと思い、REST と解答してしまう。REST はアーキテクチャスタイルであり、OSI 参照モデルの分類対象外です。
- HTTPS を “トランスポート層” と誤認し、TCP/UDP と混同する。HTTPS は HTTP に TLS/SSL を被せただけで、依然としてアプリケーション層プロトコルです。
- 「TLS」「SSL」を回答に入れる。TLS/SSL はプレゼンテーション層に位置付けられ、設問条件に合いません。
FAQ
Q: HTTP と HTTPS の両方を書かないと減点されますか?
A: 設問は「プロトコルを答えよ」と単数形ですが、模範解答は「HTTP 又は HTTPS」です。どちらか片方でも正解になります。
A: 設問は「プロトコルを答えよ」と単数形ですが、模範解答は「HTTP 又は HTTPS」です。どちらか片方でも正解になります。
Q: OSI 参照モデルではどの層か明示する必要がありますか?
A: 設問が “OSI 参考モデルでアプリケーション層に属するプロトコル” と限定しているため、プロトコル名だけを書けば十分です。層番号や説明を添える必要はありません。
A: 設問が “OSI 参考モデルでアプリケーション層に属するプロトコル” と限定しているため、プロトコル名だけを書けば十分です。層番号や説明を添える必要はありません。
Q: REST API は必ず HTTPS を使うべきですか?
A: セキュリティ観点からは HTTPS が推奨ですが、技術的には HTTP でも動作します。問題文は暗号化の有無を指定していないため両方を許可しています。
A: セキュリティ観点からは HTTPS が推奨ですが、技術的には HTTP でも動作します。問題文は暗号化の有無を指定していないため両方を許可しています。
関連キーワード: REST, HTTP, HTTPS, アプリケーション層, OSI参照モデル
設問2:〔新ネットワークの設計〕について、(1)〜(4)に答えよ。
(3)本文中の下線②について、店舗の在庫管理端末から運用管理サーバに traceroute コマンドを実行すると、どの機器の IP アドレスが表示されるか。図3中の機器名で全て答えよ。
模範解答
運用管理サーバ
解説
解答の論理構成
- traceroute は TTL が 1 減るたびに L3(ルータ) の IP アドレスを表示するコマンドです。
- 問題文には「本社に設置するRTと店舗に設置するRT間でポイントツーポイントのトンネルを作成し、本社を中心としたスター型接続を行う。店舗の RT の BP は、トンネルで接続された本社の RT の BP と同一ブロードキャストドメインとなる。」とあります。
- 「同一ブロードキャストドメイン」とは L2 で直結しているのと同義で、IP パケットはルーティングを受けずにそのまま届きます。
- 在庫管理端末と運用管理サーバは共に BP 側のネットワークに属し、間に RP 経由のルーティング機器が存在しません。
- したがって TTL は途中で減らず、traceroute が認識する経由ルータは 0 台、最初に応答するのは宛先自身だけです。
- この結果、表示される IP アドレスは宛先である「運用管理サーバ」のものだけになります。
- よって図3中の機器名で答えると「運用管理サーバ」が正解です。
誤りやすいポイント
- 「RT」があるので経由ルータがあると誤解する
BP 側トンネルは L2 over IP であり、IP の転送は行わないため TTL は減りません。 - traceroute は L2 機器も表示すると勘違いする
表示されるのは TTL を減算する L3 機器のみです。スイッチや L2 トンネルの区間は一覧に現れません。 - RP と BP の役割混同
問題文にある「RPに接続した機器とBPに接続した機器との間の通信はできない。」を読んで BP の存在を忘れがちですが、在庫管理端末と運用管理サーバは BP─BP で接続されています。
FAQ
Q: traceroute の TTL=1 の応答が「運用管理サーバ」になる理由は?
A: 最初のパケットの TTL 値 1 が減算されるルータが存在しないため、目的地である「運用管理サーバ」が直接応答します。
A: 最初のパケットの TTL 値 1 が減算されるルータが存在しないため、目的地である「運用管理サーバ」が直接応答します。
Q: BP と RP を跨いで通信しているように見えるのですが?
A: 在庫管理端末と運用管理サーバは BP 同士で接続された閉域 L2 上にあり、RP 側セグメントには一切出ません。
A: 在庫管理端末と運用管理サーバは BP 同士で接続された閉域 L2 上にあり、RP 側セグメントには一切出ません。
Q: L2 over IP トンネル内の IP ヘッダで TTL は減らないのですか?
A: トンネルの外側(ISP 網)ではカプセル化パケットがルーティングされますが、その TTL はトンネル終端で廃棄され、内側のオリジナルパケットの TTL には影響を与えません。
A: トンネルの外側(ISP 網)ではカプセル化パケットがルーティングされますが、その TTL はトンネル終端で廃棄され、内側のオリジナルパケットの TTL には影響を与えません。
関連キーワード: traceroute, TTL, L2 over IP, ブロードキャストドメイン, NAT
設問2:〔新ネットワークの設計〕について、(1)〜(4)に答えよ。
(4)図3において、全店舗の Wi-Fi AP から送られてくるログを受信するサーバを追加で設置する場合に、本社には設置することができないのはなぜか。ネットワーク設計の観点から、30 字以内で述べよ。
模範解答
店舗から本社には BP 経由でしかアクセスができないから
解説
解答の論理構成
- Wi-Fi AP は店舗 RT の RP に接続されます。
─ 問題文:「店舗の RT の RP は、Wi-Fi AP」 - RP で動く通信仕様
─ 問題文:「RP に接続した機器は、RT の NAT 機能を介してインターネットにアクセスできる。インターネットから RP に接続した機器へのアクセスはできない。」 - BP と RP 間の分離
─ 問題文:「RP に接続した機器と BP に接続した機器との間の通信はできない。」 - 店舗から本社へ張られている回線は BP 側の L2 over IP トンネルだけです。
─ 問題文:「店舗の RT の BP は、トンネルで接続された本社の RT の BP と同一ブロードキャストドメインとなる。」 - したがって Wi-Fi AP(RP 側)から新サーバ(本社 BP 側を想定)へは経路が存在しません。
- よって「店舗から本社には BP 経由でしかアクセスができないから」が適切な理由となります。
誤りやすいポイント
- 「NAT で外向き通信はできるので本社にも届く」と誤解する
─ 受信側が RP 配下にない限り、NAT では本社内への着信は不可です。 - BP と RP を VLAN のように柔軟に切替えられると考える
─ 問題文に明記のとおり両者はレイヤ分離され、相互通信不可です。 - 本社側 RP にサーバを置けば良いと考え、要件の「社外から在庫管理システムに接続させない」を見落とす
─ RP 側に置くと外部公開になり、セキュリティ要件を満たしません。
FAQ
Q: Wi-Fi AP のログをクラウドに直接送る方式は検討できますか?
A: はい。RP 経由での外向き通信は許可されているため、クラウド受信なら本社に置く制約はありません。
A: はい。RP 経由での外向き通信は許可されているため、クラウド受信なら本社に置く制約はありません。
Q: 本社にサーバを置く場合、ポートフォワーディング設定で解消できませんか?
A: 問題文で RT 設定は「RT 管理コントローラから行う。他の機器からは行うことができない」とあり、本社側で任意のポート開放はできません。
A: 問題文で RT 設定は「RT 管理コントローラから行う。他の機器からは行うことができない」とあり、本社側で任意のポート開放はできません。
Q: BP–RP 間の通信制限はファーム更新などで変更可能ですか?
A: RT の基本仕様として分離が定義されており、店舗側でファーム更新してもルーティングポリシーの変更権限は提供されていません。
A: RT の基本仕様として分離が定義されており、店舗側でファーム更新してもルーティングポリシーの変更権限は提供されていません。
関連キーワード: BP, RP, NAT, L2 over IP, セグメンテーション
設問3:〔構成管理の自動化〕について、(1)〜(4)に答えよ。
(1)本文中の a に入れる適切な数値を答えよ。
模範解答
a:2
解説
解答の論理構成
- 問題文の該当箇所
引用:「RT、L2SW 及び在庫管理端末は、必要な IF から OSI 基本参照モデルの第 a 層プロトコルである LLDP によって、隣接機器に自分の機器名や IF の情報を送信する。」 - LLDP の位置付け
- LLDP(Link Layer Discovery Protocol)は IEEE 802.1AB で規定されたリンク層の発見プロトコルです。
- OSI 基本参照モデルにおいてリンク層は「第2層(データリンク層)」に相当します。
- 従って、a に入る数値は「2」になります。
誤りやすいポイント
- 「リンク層=第1層」と混同し、物理層と誤答してしまう。
- LLDP-MED と LLDP を同一視し、VoIP 端末などアプリケーション寄りの7層と勘違いする。
- SNMP や REST API との関連から3層以上と誤認し、ネットワーク層(3)を選択してしまう。
FAQ
Q: LLDP は IP アドレスを使わないのにどうやって隣接機器を検出するのですか?
A: イーサネットのマルチキャスト MAC アドレス 01:80:C2:00:00:0E に対してフレームを送出し、同一セグメント内の機器が受信して認識します。IP は不要です。
A: イーサネットのマルチキャスト MAC アドレス 01:80:C2:00:00:0E に対してフレームを送出し、同一セグメント内の機器が受信して認識します。IP は不要です。
Q: LLDP-MED を無効にしている理由は何ですか?
A: 本設問では音声端末や PoE 電力クラスなどの追加属性が不要であり、標準 LLDP 情報(機器名・IF 名など)だけでポート接続リスト作成が可能だからです。
A: 本設問では音声端末や PoE 電力クラスなどの追加属性が不要であり、標準 LLDP 情報(機器名・IF 名など)だけでポート接続リスト作成が可能だからです。
Q: LLDP 情報を SNMP で取得する際の MIB 名称は?
A: IEEE802.1AB-MIB(一般に LLDP-MIB と呼ばれる)を用います。lldpRemTable などのテーブルで隣接機器情報を取得できます。
A: IEEE802.1AB-MIB(一般に LLDP-MIB と呼ばれる)を用います。lldpRemTable などのテーブルで隣接機器情報を取得できます。
関連キーワード: LLDP, OSI参照モデル, データリンク層, ネットワーク監視, 自動構成
設問3:〔構成管理の自動化〕について、(1)〜(4)に答えよ。
(2)本文中の b に入れる適切なプロトコル名及び c に入れる適切な機器名を、本文中の字句を用いて答えよ。
模範解答
b:SNMP
c:RT 管理コントローラ
解説
解答の論理構成
-
b に入るべきプロトコル
・本文には「運用管理サーバは、L2SW と在庫管理端末から b によって LLDP-MIB を取得して…」とあります。
・MIB を取得する標準プロトコルは SNMP です。また本文には「本社の在庫管理サーバでは…SNMP による監視を行っている」や「RT管理コントローラは…SNMP による MIB の取得を行う」とあり、監視・MIB 取得の文脈で一貫して SNMP が用いられています。
⇒ よって b には「SNMP」が入ります。 -
c に入るべき機器
・本文には「運用管理サーバは、c が収集した RT の LLDP-MIB の情報を REST API を使って取得して…」とあります。
・RT の情報を収集する主体として本文に登場するのは「RT管理コントローラ」です。「RT管理コントローラは、EP に付与された IP アドレスに対し…SNMP による MIB の取得を行う」と明記されています。
⇒ よって c には「RT 管理コントローラ」が入ります。
誤りやすいポイント
- MIB 取得=LLDP 専用の別プロトコルと勘違いし、NETCONF や RESTCONF と答えてしまう。本文は SNMP を複数回強調している点に注意が必要です。
- c を「RT」そのものと解釈してしまうケース。本文は「収集した RT の LLDP-MIB」と主語を分けており、収集役は「RT管理コントローラ」であると読み取れます。
- LLDP-MED を無効としている記述を深読みし、LLDP-MED 用の管理装置があるのではと想像してしまう。設問はあくまで LLDP-MIB 取得に使う装置を問うています。
FAQ
Q: SNMP 以外に MIB を取得できる仕組みはありますか?
A: 近年は NETCONF や gRPC などでも機器情報を取得できますが、本文が取得プロトコルとして明示しているのは SNMP だけです。
A: 近年は NETCONF や gRPC などでも機器情報を取得できますが、本文が取得プロトコルとして明示しているのは SNMP だけです。
Q: LLDP-MED を無効にすると何が変わるのですか?
A: 音声端末の VLAN 自動設定などメディア向け拡張情報が流れなくなりますが、基本 LLDP 機能(隣接情報通知)はそのまま利用できます。本設問では LLDP 基本機能だけで十分です。
A: 音声端末の VLAN 自動設定などメディア向け拡張情報が流れなくなりますが、基本 LLDP 機能(隣接情報通知)はそのまま利用できます。本設問では LLDP 基本機能だけで十分です。
Q: RT 管理コントローラと運用管理サーバはどのように連携しますか?
A: RT 管理コントローラが収集した LLDP-MIB 情報を運用管理サーバが REST API で取得し、ポート接続リストへ統合します。これにより RT への直接 SNMP アクセスを行わずに構成を把握できます。
A: RT 管理コントローラが収集した LLDP-MIB 情報を運用管理サーバが REST API で取得し、ポート接続リストへ統合します。これにより RT への直接 SNMP アクセスを行わずに構成を把握できます。
関連キーワード: SNMP, LLDP, REST API, MIB, トンネル接続
設問3:〔構成管理の自動化〕について、(1)〜(4)に答えよ。
(3)本文中の下線③について、情報システム部は、何がどのような状態であるという確認を行うか。25 字以内で述べよ。ただし、機器などの物品は事前に検品され、初期不良や故障はないものとする。
模範解答
各機器の接続構成が構成図どおりであること
解説
解答の論理構成
- 作業完了後に行う確認対象は、【問題文】の下線部“③店舗から作業完了の連絡を受けた後で確認を行うために、LLDP … で BP 配下の接続構成を自動で把握する”という記述から、LLDP により取得する「接続構成」であると分かります。
- さらに LLDP では“隣接機器に自分の機器名や IF の情報を送信する”ため、運用管理サーバは“ポート接続リスト”を作成します。リスト例(表1)は、機器間の物理接続が正しいかを判定する目的であることを示しています。
- 新規店舗へは“構成図、手順書”を送り“店員は…構成図を参照して各機器を接続”しますが、機器の初期不良はない前提なので、確認すべきは「接続が図面通りになっているか」です。
- 以上より、③で行う確認は「各機器の接続構成が構成図どおりであること」と導けます。
誤りやすいポイント
- LLDP =死活監視と誤解し「機器が通信可能か」を答えてしまう。LLDP は隣接情報の収集であり、疎通試験ではありません。
- “最新ファームウェアへの更新”や“トンネル確立”をチェック対象と考えるミス。これらは LLDP では確認できず、③の目的外です。
- 「在庫管理端末の IP 取得状況」など論点を DHCP 側に置いてしまう。本文は物理接続確認にフォーカスしています。
FAQ
Q: なぜ LLDP を選んでいるのですか?
A: LLDP はレイヤ2で動作し、機器名・ポート情報を相互送信するため、配線ミスを即座に可視化できるからです。
A: LLDP はレイヤ2で動作し、機器名・ポート情報を相互送信するため、配線ミスを即座に可視化できるからです。
Q: “ポート接続リスト”は誰が作るのですか?
A: L2SW と端末からは運用管理サーバが SNMP で直接取得し、RT 分は RT 管理コントローラ経由で REST API 取得して統合します。
A: L2SW と端末からは運用管理サーバが SNMP で直接取得し、RT 分は RT 管理コントローラ経由で REST API 取得して統合します。
Q: LLDP-MED を無効にしている理由は?
A: 本用途では音声 VLAN などメディア関連の拡張情報は不要であり、情報量を最小化し誤検知を防ぐためです。
A: 本用途では音声 VLAN などメディア関連の拡張情報は不要であり、情報量を最小化し誤検知を防ぐためです。
関連キーワード: LLDP, SNMP, トポロジ自動収集, REST API, ポート接続
設問3:〔構成管理の自動化〕について、(1)〜(4)に答えよ。
(4)図3において、情報システム部の管理外の L2SW 機器 (以下、L2SW-X という) が L2SW01 の IF2 と在庫管理端末 011 の IF1 の間に接続されたとき、表1はどのようになるか。適切なものを解答群の中から三つ選び、記号で答えよ。ここで、L2SW-X は LLDP が有効になっているが、管理用 IP アドレスは情報システム部で把握していないものとする。また、接続の前後で行番号の順序に変更はないものとする。
解答群
ア:行番号3 が削除される。
イ:行番号3 の隣接機器名が変更される。
ウ:行番号5 が削除される。
エ:行番号5 の隣接機器名が変更される。
オ:自機器名 L2SW-X の行が存在する。
カ:隣接機器名 L2SW-X の行が存在する。
模範解答
イ、エ、カ
解説
解答の論理構成
-
LLDP の基本動作
- 【問題文】には「RT、L2SW 及び在庫管理端末は、… LLDP によって、隣接機器に自分の機器名や IF の情報を送信する。隣接機器は受信した LLDP の情報を、LLDP-MIB に保持する。」とあります。
- つまり“自分”を SNMP で監視されていなくても、LLDP フレームさえ流せば“相手側”の LLDP-MIB に自分の情報が掲載されます。
-
運用管理サーバが取得できる LLDP-MIB
- 「運用管理サーバは、L2SW と在庫管理端末から SNMP によって LLDP-MIB を取得」します。
- したがって情報システム部で IP アドレスを把握していない「L2SW-X」の LLDP-MIB は取得できません。
- しかし L2SW01 と 在庫管理端末 011 からは取得できるので、両者の LLDP-MIB に“隣接機器名 L2SW-X”が載ることになります。
-
ポート接続リストの変化
- 接続前:行番号3 と 5 は「L2SW01 ↔ 在庫管理端末 011」が直接接続です。
- 接続後:間に「L2SW-X」が挿入されたため、
• 行番号3 は “隣接機器名” が「在庫管理端末 011」から「L2SW-X」へ変更。
• 行番号5 は “隣接機器名” が「L2SW01」から「L2SW-X」へ変更。 - L2SW-X 自身は SNMP 収集対象外なので、自機器名として「L2SW-X」が登場する行は新規挿入されません。
-
解答群との対応
- イ:行番号3 の隣接機器名が変更される … ○
- エ:行番号5 の隣接機器名が変更される … ○
- カ:隣接機器名 L2SW-X の行が存在する … ○
- 削除(ア・ウ)や「自機器名 L2SW-X」(オ)は発生しません。
よって正答は「イ、エ、カ」です。
誤りやすいポイント
- 「LLDP を送信している=運用管理サーバから SNMP 取得できる」と早合点しやすい。実際には SNMP の到達性がなければ“隣接機器名として映るだけ”で、自機器行は作成されません。
- 行番号の並びは固定という指示を見落とし、行が追加・削除されると誤解するケース。
- LLDP-MED を無効化している点を読み飛ばし、電話機や AP の拡張 TLV が載ると勘違いするミス。
FAQ
Q: LLDP を無効化した端末を挟んだ場合、ポート接続リストはどうなりますか?
A: 無効端末は LLDP フレームを送出しないため、その前後の機器は隣接情報を取得できず、行は削除または“隣接機器名不明”になります。
A: 無効端末は LLDP フレームを送出しないため、その前後の機器は隣接情報を取得できず、行は削除または“隣接機器名不明”になります。
Q: 行番号を固定する意図は何でしょうか?
A: 接続変更のみを評価したい設問なので、行の挿入・削除による番号ずれを排除し、変更箇所(機器名・IF 名)のみを解答対象にしています。
A: 接続変更のみを評価したい設問なので、行の挿入・削除による番号ずれを排除し、変更箇所(機器名・IF 名)のみを解答対象にしています。
Q: L2SW-X の管理 IP を後日把握した場合、自機器行は自動生成されますか?
A: 把握して SNMP アクセス可能にすると、次回ポーリング時に L2SW-X 自身の LLDP-MIB を取得できるため、自機器名「L2SW-X」の行が追加されます。
A: 把握して SNMP アクセス可能にすると、次回ポーリング時に L2SW-X 自身の LLDP-MIB を取得できるため、自機器名「L2SW-X」の行が追加されます。
関連キーワード: LLDP, SNMP, MIB, ネイバーディスカバリ, トポロジー収集
