いろんなものはつながっている

ネットワークスペシャリスト試験の勉強(1)

ネットワークスペシャリスト試験の勉強は、ネスペ23、ネスペ22β、ネスペ21で行った。


ひととおり本を読んでみて、L2,L3レイヤに関するトピックが圧倒的に多いなと思った。ルーティングの問題はほとんどない印象をうけた。

ノートにメモしたH21からH23までの午後I,IIのトピックをざっとあげてみる。

H23 午後I-1 VOD(Video On Demand)の設置

ホテルにVODを導入しましょう、というおはなし。

設備を増強するのは難しく、現在のネットワークにVODを導入すると帯域がきびしい。そこで、PC利用とVOD利用のネットワークをVLANでわける。さらに、各部屋のPC利用者間でアクセスできないようにプライベートLANを導入する。

h23pm1-1

上記の仕様を満たすため、

  • PC用にAのVLAN(青)、VOD用にBのVLAN(赤)を設定し、帯域制御でVOD用のデータを優先させることで、ストレスなくVODサービスを利用できるようにしてる。
  • ただし、親機をL2スイッチでまとめてしまうと各部屋のPC間でアクセスできてしまうのでそこはプライベートLANを設定して、アクセスできないようにする。

といった対応をとっている。

H23 午後I-2 メールアーカイブシステム

メールのアーカイブをつくりましょう、というおはなし。

アーカイブをつくる目的は2つあり、

  • 一つはメールデータを数年間保存し必要な情報を即座に抽出できるにしたい。
  • もう一つは災害対策用で、しかたがって遠隔地に保存したい
    • というもの。
      h23pm1-2

      上記の仕様を満たすため、

      • 災害対策用に遠隔地にアーカイブを生成するのに広域イーサネット網を利用するため、業務に支障がでないように帯域制御をする。
      • 帯域制御を設計するため、待ち行列モデルをもとに1日のメールの転送量を見積もる。
      • アーカイブされたメールの改ざん防止のためデジタル署名を付加する。

      といった方針でネットワークを設計している。

      H23 午後I-3 フランチャイズ店を展開する会社のネットワーク

      インターネットカフェをフランチャイズ展開している会社で、今まで自社で行ってきたネットワーク監視を外部に委託するため、それに応じてネットワーク構成を変更する、というおはなし。

      h23pm1-3

      変更したネットワークは以下のような特徴をもっている。

      • 遠隔地にあるネットワーク監視を委託した外部業者およびデータセンターから各々のフランチャイズ店にアクセスできるようにVPNを導入する。
      • 安価にすますため、VPNはIP-VPNではなくインターネットVPNを採用。
      • 会員用PCと業務用PCをきりはなすためにVLANでわける。
      • VLANの設定だけだと、VLAN(赤)内の会員PC同士が通信できてしまうので、L2スイッチにプライベートLANを設定し、会員PC同士が通信できないようにする。

      また、問題では、FWやL2スイッチが壊れた際の対応についても取り上げている。

      H23 午後II-1 モバイル端末のVPN接続

      1つのグローバルアドレスで2種類のVPNをはりましょう、というおはなし。

      ひとつは、A社データセンターと地域保守会社の間、もうひとつは、A社データセンターとモバイルPC間。
      1つのグローバルアドレスを使って2種類のVPNを使い分ける。そのため、同じインターフェースに2つの識別記号がわりあてられている。aは通常のインターフェースで、eはVPN用のトンネルインターフェースとして使用する。

      h23pm2-1

      1.A社データセンターと地域保守会社の間のVPN
      VPN1のルーティングの設定に192.16.32.0/24宛のパケットはインターフェースeを介してVPN2へルーティングされる設定をVPN1のルーティング設定にすることで、VPN1とVPN2間にVPNのトンネルの確立する。

      VPNトンネルがアクティブではないと暗号化されてないパケットがインターネットにでていってしまうので、その対策として、アクティブではない場合は192.16.32.0/24宛のものはNULLポートへ送信(破棄)という設定も追加する。

      2.A社データセンターとモバイルPCとのVPN
      モバイルPCからの接続はインターフェースaのグローバルアドレスあてに送られてきたパケットのなかでポート番号443のパケットはモバイル端末接続装置に転送される。

      モバイル端末接続装置は、認証サーバに問い合わせをし認証サーバがモバイルPCの認証を行う。

      認証が完了するとモバイルPCはあたかもインターフェースgにいてL2SWのhにつながっているように動作する。

      H23 午後II-2 VRRPを用いたL3SWの冗長化

      シンクライアントシステムのための冗長化構成、認証基盤及びメールサービスへの移行方法にまつわる事柄が取り上げられている。
      h23pm2-2

      例えばVRRPでデフォルトゲートウェイを冗長化しており、それにまつわる設定値をもとに障害時の動作について問われている。

      H22 午後I-1 Webプロキシシステム

      稼働中のWebプロキシシステムに生じた問題を解決する過程を題材に利用者からみた応答性能の改善に関する事柄が問われている。

      h22pm1-1

      Webシステムはプロキシが2台ある多段プロキシシステム。プロキシ1がキャッシュとURLフィルタリングを担当し、プロキシ2がウイルスチェックを担当している。

      プロキシ1には先読み機能が実装されており、そのためプロキシ1とプロキシ2の間に多くのコネクションがはられプロキシ2がボトルネックになる、という状況が問題として取り上げられている。

      H22 午後I-2 シンクライアント導入にともなうネットワークの変更

      遠隔拠点のPCをシンクライアントに移行する際の社内ネットワーク調査に関する事柄が問われている。

      h22pm1-2

      ルータの優先制御動作において、トラフィックの状態によっては、非優先のTCP通信の転送速度が極端に低下する場合がありその原因が問われていた。
      (パケットの破棄による再送とウィンドウサイズの縮小による)

      また、シンクライアントでの動画再生による通信量をIP-VPNの余剰帯域以下にするために運用でカバーする方法が問われていた。
      (動画一つの再生に必要な通信帯域及び拠点における動画の同時再生数を制限する)

      H22 午後I-3 継続運用するためのファイアウォール冗長化技術

      DOS攻撃やSQLインジェクションなどインターネットからの攻撃を防御する仕組み及び障害発生時でもセッション情報を引き継ぎシームレスなネットワーク利用を可能とする冗長化技術に関する事柄が問われている。

      h22pm1-3

      一般的に不正アクセスを防ぐ砦としてファイヤーウォールがあるが、ファイアウォールで制御できるのはレイヤ4のトランスポート層(TCP/UDP)のみ。したがって、HTTPで通信していればそれが悪意のある通信でもファイアウォールは関与しない。DOS攻撃などはファイアウォールでは防げない。
      そこで、対応策として高度な機能をもった侵入検知システム(IDS)を付加したファイアウォールを導入している。

      また、ファイアウォールが故障した場合でも運用をとめることなくシステムを継続利用するために、ファイアウォールを2台構成にしステートフルフェールオーバーの機能をもたせている、管理情報を一定間隔で自動複製し故障時に自動でファイヤウォールが切り替わるような設定をしている。

      H22 午後II-1 サーバの冗長化と負荷分散

      基幹システムを仮想環境に再構築する事例を取り上げ、サーバの冗長化と俯瞰分散、重複除外バックアップ、認証、仮想化システム監視及びシステム切り替えについて問われている。

      h22pm2-1

      例えば、負荷分散するためロードバランサ(LB)を導入し、LBはサーバ(SV)の稼働状況をみながらPCからの要求を各サーバにふりわける。

      各サーバのデフォルトゲートウェイはLBに設定しておき、LBに応答を返す。LBは送信元IPを各サーバのIPからLBのIPに書き換えてPCに送信する。

      各サーバのデフォルトゲートウェイはL3SWではなくLBに設定しておき、LBに応答を返す。LBは送信元IPを各サーバのIPからLBのIPに書き換えてPCに送信する。

      LBが送信元IPを書き換えないと、PCに届くメッセージの送信元IPが、PCが知る由もない各サーバのままであるため、PCはメッセージをうけとれなくなってしまう。

      H22 午後II-2 障害時の仮想サーバの切り替え

      仮想化技術を利用したサービス提供用ヘルプデスクシステムの構築を題材とし、仮想化機構のもつネットワーク機能、仮想サーバと外部ネットワークの接続方式、サービス利用者とのネットワーク接続方式、及び仮想サーバシステム全体に対する可用性確保などについて問われている。

      h22pm2-2

      例えば、障害時に仮想サーバが切り替わる際に、それにともないL2SWのMACアドレスの切り替えも必要であることが問われている。

      H21 午後I-1 ネットワーク障害

      広帯域にまたがるVLANの運用を行っている社内ネットワークでの障害に関するおはなし。

      h21pm1-1

      例えば、L2SWの同じVLANのポートにSWから2本接続してしまうと上図のようにブロードキャストがループしてしまうことが問われている。

      H21 午後I-2 Webメールサービスへの移行

      自社のメールシステムからASPのWebメールサービスへ移行するというおはなし
      h21pm1-2

      ファイアウォール(FW)の設定を一度表にして整理すると同じような問題がでたときに状況を苦労なく把握できるようになると、

      H21 午後II-1 無線LANシステムの構築

      無線LANシステムの構築を題材に、セキュリティの確保方式、無線LANの接続制御方式及びPCのポータビリティ実現方式について問われている。
      h21pm2-1

関連記事

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

スポンサード リンク

カテゴリー

スポンサード リンク