平成30年度の午後Ⅱ問題対策①－問2【前半】

連載 [第5回] :

2019年9月25日(水)

はじめに

今回から2回にわたって、平成30年度午後Ⅱ問題問2を解説します。問題や解答例、講評はこちらからダウンロードできます。午後Ⅱ問題の試験時間は2時間と長いため、過去問を解く時間の確保は難しいかもしれません。しかし時間配分を把握するためにも、試験当日までに少なくとも1度は過去問題に対して、本番試験と同じ時間通りに挑戦してみてください。

午後Ⅱ問題問2の概要

午後Ⅱ問題も午後Ⅰ問題と同様に、全体説明と大括弧(〔〕)のタイトルが付いた複数の段落で構成されています。しかし、午後Ⅰ問題よりも段落が5つ程度に増えており、また、1つの段落内で扱われる情報量も多く複雑な内容になっています。午後Ⅱ問題では2つの問から1問を選択する必要があるため、問題文を読み込む時間を長めに確保して、得意な分野を扱った問を選択できるようにしましょう。

それでは、問2の概要を確認していきましょう。問2はホスティングサービスを運営しているY社のサービス基盤構築に関する問題です。問は全体説明と4つの段落で構成されており、以下の内容が記述されています。

全体説明(14ページ1行目から15ページ8行目まで)
Y社のホスティングサービスのシステム構成の説明と、3点の要件を満たすために従来の技術を用いた方式(従来方式)とSDN技術を用いた方式(SDN方式)の比較を行うことの説明
1段落目(15ページ[従来方式でのサービス基盤の構成案])
サービス基盤を従来方式で構築する場合の構成案に関する説明と、そこで利用される要素技術(VLAN、リンクアグリゲーション、FW、LBなど)に関する説明
2段落目(16ページ[SDN方式でのサービス基盤の構成案])
サービス基盤をSDN方式で構築する場合の構成案に関する説明と、SDNで利用する技術(OpenFlow)や構成要素(OFC/OFS)の説明
3段落目(18ページ[二つの方式の検討])
従来方式とSDN方式の比較と、SDN方式を採用したテストシステムを構築して導入効果を確認するよう指示を受けたことの説明
4段落目(18ページ[技術習得を目的とした制御方式の設計])
テストシステムを構築する前にOpenFlowの技術習得を目的としてMACアドレスの学習によるパケット転送制御方式を考えて挙動を確認したことの説明と、その際にSDN機器に対して設定したフローテーブルなどの情報の説明

設問では、リンクアグリゲーションなどの穴埋め問題や、従来方式におけるFWやVLANの設定を考察する問題、SDN方式におけるシステム構成やOFC/OFSにおける通信処理の流れについて考察する問題などが取り上げられています。設問の前半部分はリンクアグリゲーションやVLANなど、試験でよく出題される分野であるため比較的取り組みやすいですが、後半部分はSDN技術の基本知識が前提として求められます。SDNに関する設問はこれまでも何度か出題されているため、過去問題で知識を得ている人には比較的取り組みやすいかもしれませんが、そうでない場合は問1を選択することも視野に入れると良いでしょう。

なお、午後Ⅱ問題は設問に対する考え方を問題文や設問の流れで誘導する傾向があります。そのため、これまでに解答してきた設問をヒントに次の設問を考えることで全ての設問を解答できた、ということも珍しくはありません。2つの問のどちらも自信のない分野が含まれていた、という状況でも解答をあきらめないことが重要です。

それでは、問2の前半部分に相当する、設問1〜3を解説していきましょう。

設問1

用語に関する穴埋め問題です。考え方の方針は午後Ⅰ問題と変わりません。穴埋め箇所の前後の文脈から知識を活用する、もしくは推測することで解答します。ただし、午後Ⅱ問題は問題文の分量が多いため、穴埋めの箇所を探すことに手間取らないようにしましょう。本問では1段落目に集中しているため、容易に見つけることができます。(ア)は前後にある【リンクアグリゲーションとVLANを設定】や【それぞれ，一つのL2SWとして動作できるようにする】という記述から解答を導き出すことができます。(イ)は直前にある【セッション情報を継承する】という記述から解答を導き出すことができます。(ウ)はLBを設定する際に求められるアルゴリズムを書けば良いことがわかります。(エ)はNICの話題であることと直後の【アクティブ／アクティブの状態にする】こと、NICの接続先はリンクアグリゲーションが設定してあるL2SWc/L2SWdであることから解答を導き出せます。

以上より、解答例は(ア)がスタック、(イ)がステートフル、(ウ)が負荷分散、(エ)がチーミングとなります。

設問2

(1)の解説と回答例

FW装置の中に複数の仮想FWを稼働させる理由を考察する問題です。Y社はホスティングサービスを提供しており、現状のネットワーク構成は14ページの図1で確認できます。この構成を図2の構成に変更した場合に、FWに求められる仕組みを考えれば、それが解答となります。まず、サービス基盤に求められる要件について確認します。この要件は15ページの上段に3つまとめられています。このうち(2)から、サービス基盤を顧客ごとに論理的に独立させることが必要であることが読み取れます(図1)。顧客ごとに必要となる仕組みをFW機能の観点で考えてみると、FWのフィルタリングルールが挙げられます。そのため、解答例は「顧客ごとに異なるフィルタリングの設定が必要であるから」となります。

図1：サービス基盤に求められる3つの要件(14ページ下段と15ページ上段から抜粋)

なお、FWのフィルタリング機能以外に必要となる機能、すなわちルーティング機能も解答の候補となります。IPAの解答例では「顧客ごとにルーティングの設定が必要であるから」となっています。

(2)の解説と回答例

FWの冗長化機能を実現するために監視すべき項目を挙げる問題です。設問には【FWaからFWbに切り替えるのに，FWa又はFWbが監視する内容】とある通り、FWaとFWbの視点で考える必要があります。まずはFW全体の状況を把握します。FWが利用されている構成は15ページの図2です。また、16ページ上段と中段からFWaがアクティブでFWbはスタンバイとして設定されていることがわかります(図2)。これらのことから、FWaからFWbへの切り替えが必要となる状況と、その状況を検出するために監視する内容をそれぞれ考えます。

図2：FWの構成状況(16ページ上段と中段から抜粋)

最初に、FWaの視点で考えます。15ページの図2にある通り、FWaはL2SWbやLBbと接続されていません。そのため、FWaの上下にあるL2SWaやLBaのリンクに異常が発生した場合は物理的にFWaを経由した通信が通らなくなるので、FWbをアクティブに切り替えなければなりません。従って、FWaはL2SWaとLBaを監視対象とする必要があります。次に、FWbの視点で考えます。FWbはスタンバイですが、FWaがダウンした場合はアクティブへと切り替わらなければなりません。そのため、FWaが監視対象となります(図3)。これらのことから、解答例は「FWaによるL2SWaへの接続ポートのリンク状態」「FWaによるLBaへの接続ポートのリンク状態」「FWbによるFWaの稼働状態」の3つです。

図3：FWaからFWbにアクティブが切り替わる3つのパターン

なお、これらの解答例は設問の条件にある【FWaからFWbに切り替える】場合に監視する内容ですが、実際にはこれとは逆のパターンであるFWbからFWaに切り替えるための設定も必要になります。すなわち、「FWbによるL2SWbへの接続ポートのリンク状態」「FWbによるLBbへの接続ポートのリンク状態」「FWaによるFWbの稼働状態」の3つも監視する内容として挙げることができます。IPAの解答例では、これらも正解として扱っています。

(3)の解説と回答例

仮想サーバを物理サーバ間で移動させた場合に、L2SWc/L2SWdに必要となるVLANの設定を考察する問題です。解答として求められている情報はVLANを設定するポートとその内容なので、まずはVLANの利用目的やネットワーク構成を確認します。VLANの利用目的は16ページ上段にある通り【顧客間のネットワークを論理的に独立させる】ことです。また、VLANを設定するルールとして【接続先の顧客ごとにリンクアグリゲーションとVLANを設定する】とあります(図4)。そのため、L2SWc/L2SWdから物理サーバに対する通信は、顧客ごとのVLAN-IDで通信できるように設定する必要があることがわかります。次に、物理サーバについて確認します。物理サーバの情報は15ページの図2に、顧客向けの各種サーバは物理サーバ内の仮想サーバとして稼働していると記述されています。また、仮想サーバ内には仮想スイッチがあり、ここでL2SWc/L2SWdを経由した通信に含まれるVLAN-IDが識別され、それぞれの顧客の仮想サーバに通信が振り分けられます。

図4：VLANの割り当てに関するルール(16ページ上段から抜粋)

これらから、L2SWc/L2SWdには「LB側は顧客に割り当てた全てのVLAN-IDを通す」こと、「物理サーバ側は、その物理サーバ内にある仮想サーバを利用する顧客のVLAN-IDを通す」ことを設定すれば良いとわかります。しかし、下線部③には【仮想サーバの物理サーバ間移動に必要となるVLANを設定】とあります。これは、物理サーバに障害が発生した場合に仮想サーバを移動させることや、リソース不足となった物理サーバからリソースに余裕のある別の物理サーバに仮想サーバを移動させることを想定していると推測できます。従って、物理サーバ向けのVLANの設定は、全ての顧客のVLAN-IDを通す設定でなければこの要件を満たすことができないと結論付けられます(図5)。以上より、解答例は「物理サーバへの接続ポートに、全ての顧客の仮想サーバに設定されたVLAN IDを設定する。」となります。

図5：L2SWc/L2SWdに必要なVLANの設定(P社の仮想サーバを移動させた場合のイメージ)

結果的には、L2SWc/L2SWdの全ポートに対して顧客に割り当てた全てのVLAN-IDを通す設定が必要となります。しかし、下線部③の条件を考慮すると、解答は「(L2SWc/L2SWdの)全ポート」ではなく「物理サーバへの接続ポート」とすることが望ましいでしょう。

設問3

OFC/OFS間でTCPコネクションを確立するために必要となる情報を考察する問題です。OFCとOFSについては16ページ下段から17ページにかけて解説があります。OFSはOpenFlowに対応したスイッチで、OFCからの通信制御に基づいてデータを転送します。また、OFCはOpenFlowに対応したコントローラで、OFSが行うデータ転送の動作を制御します。データの転送はOFCで管理されるフローテーブルに基づいて行われるため、通常の通信を通すネットワーク以外に、OFC/OFS間でやり取りを行うネットワークが必要となります。本問におけるフローテーブルのやり取りに関する情報は17ページ下段に記述があり、OFC/OFS間は管理用ポートを経由して接続すること、OFSが起動した際にOFCとの間でTCPコネクションを確立することが読み取れます(図6)。

図6：OFC/OFS間のTCPコネクションに関する情報(17ページ下段から抜粋)

TCPコネクションの確立に必要な情報は通信相手のIPアドレスとポート番号です。OFSは起動した際にOFCとTCPへのコネクションを確立することから、解答は「OFCのIPアドレスとポート番号」となります。しかし、これでは文字数が16文字で、設問の条件となる15文字以内を満たしません。そこで、OpenFlowではデフォルトのポート番号として6653番(製品によっては6633番)を利用することから、ポート番号の記述を省略して15文字以内とします。従って、解答例は「OFCのIPアドレス」となります。

なお、問題文にはTCPコネクションの確立要求をOFCとOFSのどちらから送信するかが明記されていません。そのため、OFCからTCPコネクションの確立要求を行う場合を想定した場合の解答である、「自OFSのIPアドレス」もIPAでは正解としています。