令和7年春期試験午後問題 問5
問5 ネットワーク
⇱問題PDF
社内LANの障害対応に関する次の記述を読んで,設問に答えよ。
社内LANの障害対応に関する次の記述を読んで,設問に答えよ。
広告
Y社は,従業員約50名の経営コンサルティングサービスを提供する企業である。従業員は会社支給のPCを使用して,Y社のオフィスや自宅などのテレワーク環境で日々の業務を行っている。当該PCには,ディスク暗号化,PC利用時の多要素認証や自宅からY社のオフィスへのSSL-VPN接続などのセキュリティ対策を施している。
Y社のオフィスのLAN(以下,Y社LANという)は,社内LANセグメント(以下,社内LANという)とDMZセグメント(以下,DMZという)で構成され,Y社のオフィス内では,PCは社内LANに接続して利用している。
社内LANには無線LANのアクセスポイント(以下,無線APという)が設置され,PCは有線LAN又は無線LANで社内LANに接続する。PCのネットワーク関連の設定は,社内LANに設置したDHCPサーバを利用して行われる。社内LANにはプリンタが設置されており,社内LAN上のPCから印刷することができる。
DMZにはプロキシサーバ,キャッシュDNSサーバ及びファイルサーバが設置されており,社内LAN上のPCはプロキシサーバ経由でインターネットにアクセスしている。業務で使用するファイル類はファイルサーバに保管し,Y社のオフィスやテレワーク環境のPCを使って従業員間でファイルを共有している。
Y社LANは総務部が所管しており,B主任とCさんが日常的な運用管理と障害対応を行っている。Y社のネットワーク構成を図1に示す。また,IPアドレスを固定で割り当てている主な機器のIPアドレスとMACアドレスを表1に示す。
〔プリンタの印刷障害〕
ある日,従業員から"社内LAN上のPCからプリンタへの印刷ができない"という報告が総務部にあった。連絡を受けたCさんが,社内LANに接続していた自身のPC(以下,PC-Cという)からプリンタに印刷を試みたところ,印刷できない状況であった。
まずCさんはプリンタ本体の管理画面を確認し,プリンタのネットワーク接続に問題がないことや,ネットワークインタフェースのMACアドレス及びIPアドレスに誤りがないことを確認した。PC-Cからプリンタに対してpingコマンドを実行したところ,プリンタからの応答はなかった。
次にPC-CのARPテーブルの内容を調べてみると,表2のとおりであった。
Cさんは表2を確認して,①プリンタに割り当てられているIPアドレスが他の機器に設定されていると判断し,従業員全員にPCのIPアドレスを確認するように依頼した。その結果,従業員のDさんから"自宅のテレワーク環境で会社支給のPCを接続した際にIPアドレスを手動で設定していたが,その設定のまま社内LANに接続した"との連絡を受けた。DさんのPC(以下,PC-Dという)を確認したところ,手動でIPアドレスaが設定されていた。CさんはPC-DのIPアドレスをDHCPサーバから自動で取得する設定に変更した後,PC-Cからプリンタに印刷できることを確認した。
Cさんは,プリンタの印刷障害への対応状況をB主任に報告した。B主任は,今回の障害への対応策として,②社内LANを二つのサブネットに分割してPCとプリンタを別のセグメントに接続する対築を検討するようにCさんに指示した。また,セキュリティ対策として,社内LANにPCを接続する際の,MACアドレス認証や認証サーバを用いたIEEEb認証を導入することの検討と,PCのIPアドレスをDHCPサーバから自動で取得する設定の変更を原則禁止とする旨の社内規程への明記及び従業員への周知をCさんに指示した。
〔インターネットのアクセス障害〕
ある日,従業員から"インターネットにアクセスできない"という多数の報告が総務部にあった。Cさんが原因を調査するために,PC-Cからプロキシサーバ及びキャッシュDNSサーバに対してpingコマンドを実行して疎通確認を行ったところ,いずれも正常な応答が返ってきた。さらに,cコマンドを実行してキャッシュDNSサーバで名前解決ができるか確認したところ,名前解決はできなかった。
Cさんは,キャッシュDNSサーバのDNSソフトウェアに不具合が発生していると考えて,キャッシュDNSサーバを再起動した。再起動後,名前解決ができるようになり,インターネットへのアクセスが正常化したことを確認した。
Cさんは,インターネットのアクセス障害への対応状況をB主任に報告した。B主任は,今回の障害への対応策として,キャッシュDNSサーバの稼働状況を監視する対策に加えて,③キャッシュDNSサーバの不具合時にもインターネットへのアクセスが継続できる対策を検討するようにCさんに指示した。
〔インターネットのアクセス遅延〕
その後,従業員から"インターネットへのアクセスがとても遅い"という報告が総務部にあった。Cさんは,DMZのL2SWにミラーポートを設定して,DMZとインターネットとの間,及び社内LANとDNZとの間に流れている通信パケットを一定時間パケットアナライザーでキャプチャして分析することにした。分析の結果,DMZとインターネットとの間の通信量は少ないが,社内LANとDNZとの間の通信量が非常に多いことが分かった。そこで,社内LANとDMZとの間の送信元と送信先の組合せ別のパケットの割合を整理することにした。整理した結果の一部を表3に示す。
Cさんは表3などを確認して,インターネットのアクセス遅延は,複数の従業員のPCがdとの間で800Mビット/秒を超える大量の通信を繰り返し実行していることが原因であると判断し,該当する従業員にPCの操作を一時中断するように依頼した。その結果,インターネットへのアクセス速度は平常時と同程度に戻った。
Cさんは,インターネットのアクセス遅延への対応状況をB主任に報告した。B主任は,今回の障害への対応策として,dと社内LANとの間のトラフィック量を④L3SWのSNMPを用いた管理機能を使って監視する仕組みや,dのQoS機能を使ってeを制限する仕組みについて,導入の検討を行うようにCさんに指示した。
Y社のオフィスのLAN(以下,Y社LANという)は,社内LANセグメント(以下,社内LANという)とDMZセグメント(以下,DMZという)で構成され,Y社のオフィス内では,PCは社内LANに接続して利用している。
社内LANには無線LANのアクセスポイント(以下,無線APという)が設置され,PCは有線LAN又は無線LANで社内LANに接続する。PCのネットワーク関連の設定は,社内LANに設置したDHCPサーバを利用して行われる。社内LANにはプリンタが設置されており,社内LAN上のPCから印刷することができる。
DMZにはプロキシサーバ,キャッシュDNSサーバ及びファイルサーバが設置されており,社内LAN上のPCはプロキシサーバ経由でインターネットにアクセスしている。業務で使用するファイル類はファイルサーバに保管し,Y社のオフィスやテレワーク環境のPCを使って従業員間でファイルを共有している。
Y社LANは総務部が所管しており,B主任とCさんが日常的な運用管理と障害対応を行っている。Y社のネットワーク構成を図1に示す。また,IPアドレスを固定で割り当てている主な機器のIPアドレスとMACアドレスを表1に示す。
ある日,従業員から"社内LAN上のPCからプリンタへの印刷ができない"という報告が総務部にあった。連絡を受けたCさんが,社内LANに接続していた自身のPC(以下,PC-Cという)からプリンタに印刷を試みたところ,印刷できない状況であった。
まずCさんはプリンタ本体の管理画面を確認し,プリンタのネットワーク接続に問題がないことや,ネットワークインタフェースのMACアドレス及びIPアドレスに誤りがないことを確認した。PC-Cからプリンタに対してpingコマンドを実行したところ,プリンタからの応答はなかった。
次にPC-CのARPテーブルの内容を調べてみると,表2のとおりであった。
Cさんは,プリンタの印刷障害への対応状況をB主任に報告した。B主任は,今回の障害への対応策として,②社内LANを二つのサブネットに分割してPCとプリンタを別のセグメントに接続する対築を検討するようにCさんに指示した。また,セキュリティ対策として,社内LANにPCを接続する際の,MACアドレス認証や認証サーバを用いたIEEEb認証を導入することの検討と,PCのIPアドレスをDHCPサーバから自動で取得する設定の変更を原則禁止とする旨の社内規程への明記及び従業員への周知をCさんに指示した。
〔インターネットのアクセス障害〕
ある日,従業員から"インターネットにアクセスできない"という多数の報告が総務部にあった。Cさんが原因を調査するために,PC-Cからプロキシサーバ及びキャッシュDNSサーバに対してpingコマンドを実行して疎通確認を行ったところ,いずれも正常な応答が返ってきた。さらに,cコマンドを実行してキャッシュDNSサーバで名前解決ができるか確認したところ,名前解決はできなかった。
Cさんは,キャッシュDNSサーバのDNSソフトウェアに不具合が発生していると考えて,キャッシュDNSサーバを再起動した。再起動後,名前解決ができるようになり,インターネットへのアクセスが正常化したことを確認した。
Cさんは,インターネットのアクセス障害への対応状況をB主任に報告した。B主任は,今回の障害への対応策として,キャッシュDNSサーバの稼働状況を監視する対策に加えて,③キャッシュDNSサーバの不具合時にもインターネットへのアクセスが継続できる対策を検討するようにCさんに指示した。
〔インターネットのアクセス遅延〕
その後,従業員から"インターネットへのアクセスがとても遅い"という報告が総務部にあった。Cさんは,DMZのL2SWにミラーポートを設定して,DMZとインターネットとの間,及び社内LANとDNZとの間に流れている通信パケットを一定時間パケットアナライザーでキャプチャして分析することにした。分析の結果,DMZとインターネットとの間の通信量は少ないが,社内LANとDNZとの間の通信量が非常に多いことが分かった。そこで,社内LANとDMZとの間の送信元と送信先の組合せ別のパケットの割合を整理することにした。整理した結果の一部を表3に示す。
Cさんは,インターネットのアクセス遅延への対応状況をB主任に報告した。B主任は,今回の障害への対応策として,dと社内LANとの間のトラフィック量を④L3SWのSNMPを用いた管理機能を使って監視する仕組みや,dのQoS機能を使ってeを制限する仕組みについて,導入の検討を行うようにCさんに指示した。
広告
設問1
〔プリンタの印刷障害〕について答えよ。
(3) に関する解答群
- FTP
- ICMP
- ブロードキャスト
- ユニキャスト
b に関する解答群
- 802.11a
- 802.11n
- 802.1Q
- 802.1X
解答例・解答の要点
- 表2項番3のMACアドレスがプリンタのものと異なっていたから (30文字)
- a:192.168.1.21
- ウ
- b:エ
解説
- 本文には「プリンタのネットワーク接続に問題がないことや,ネットワークインタフェースのMACアドレス及びIPアドレスに誤りがないことを確認」とあります。つまり、プリンタ側の設定は表1のとおり、IPアドレス:192.168.1.21、MACアドレス:00-00-5E-00-53-63 で正しいことが前提です。
障害発生時のPC-CのARPテーブル(表2)を確認すると、プリンタのIPアドレスである 192.168.1.21 に対し、00-00-5E-00-53-E4 というプリンタとは異なるMACアドレスが対応付けられています。PCはARPテーブル(キャッシュ)の対応に従ってイーサネットフレームの宛先MACを決めるため、この保持内容だと、本来プリンタ(00-00-5E-00-53-63)に送られるべき 192.168.1.21 宛の通信が、別の機器(00-00-5E-00-53-E4)に届いてしまうことになります。
ARPテーブルに間違った対応関係が記録されていたという事実は、同一ネットワーク内に同一IPアドレスをもつ複数の機器が存在することを強く示唆します。Cさんは、ARPテーブル内のプリンタに対応するMACアドレスが本来とは異なること、すなわち表2項番3の情報をもとにIPアドレスの重複を判断したと言えます。
∴表2項番3のMACアドレスがプリンタのものと異なっていたから
【補足】
同一IPをもつ複数の機器が存在する場合、ARP要求(ブロードキャストで行われる)に対して、複数台の機器がARP応答を返します。早く届いたほうがARPテーブルに記録されるため、タイミング次第で他の機器のMACアドレスが登録されてしまうことになります。 - 〔aについて〕
Cさんは、プリンタに割り当てられているIPアドレスが他の機器に設定されていると判断し、IPアドレスの確認を依頼しています。その結果、PC-Dに「手動でIPアドレスaが設定されていた」と続きます。その後、PC-Dについて、IPアドレスをDHCPサーバから自動で取得する設定に変更したところ、通信障害は解消しています。
これらの内容を踏まえると、プリンタのIPアドレス(192.168.1.21)が重複して設定されていた機器は、PC-Dであったとわかります。したがって、空欄aに入るのは「192.168.1.21」です。
∴a=192.168.1.21
【補足】
図1の注記には「DHCPサーバからは 192.168.1.101~200 のIPアドレスを配布」とあります。プリンタの 192.168.1.21 はこの配布範囲外の"固定"として設計されており、本来PCが手動設定する運用は想定されていません。ところがPC-Dが固定値を持ち込んだために、ARPテーブル上で 192.168.1.21 → 別のMACアドレス という矛盾が生じ、プリンタへの通信が届かなくなった、というのが今回の障害の流れです。 - 「サブネットに分割する」とは、2つのネットワークの間にL3スイッチ/ルータ(以下、L3機器)を置いて、別々のネットワークセグメントとすることを意味します。同じサブネットに属する端末同士はブロードキャストを相互に受信できますが、L3機器の先にはブロードキャストは届きません。したがって答えは「ウ:ブロードキャスト」です。
ICMPやFTPは特定のIPアドレスを宛先にしたユニキャスト通信なので、L3機器の先にある相手にも問題なく届きます。
PCとプリンタを別のサブネットに分離すると、PCはプリンタと通信する際、デフォルトゲートウェイであるL3機器にパケットの転送を依頼します。PCがプリンタのIPアドレスについてARP要求をする必要がなくなるため、今回のように同一IPを手動登録したPCが接続されても、ARPテーブルの不整合によるプリンタへの通信障害を防ぐことができます。
∴ウ:ブロードキャスト - 〔dについて〕
選択肢のIEEE規格はそれぞれ次の技術に対応します。- IEEE 802.11a/n … 無線LAN
- IEEE 802.1Q … タグVLAN
- IEEE 802.1X … LANに接続する端末の認証
∴b=エ:802.1X
広告
設問2
〔インターネットのアクセス障害〕について答えよ。
- 本文中のcに入れる適切な字句を答えよ。
- 本文中の下線③について,キャッシュDNSサーバのサービス継続に関連して取るべき対策はどれか。最も適切なものを解答群の中から選び,記号で答えよ。
解答群
- キャッシュDNSサーバのCPU数を増やす。
- キャッシュDNSサーバのメモリを増やす。
- キャッシュDNSサーバを多重化する。
- キャッシュDNSサーバを定期的に再起動する。
解答例・解答の要点
- c:nslookup
- ウ
解説
- 〔cについて〕
空欄cには、Cさんが「キャッシュDNSサーバで名前解決ができるか確認」するために実行したコマンド名が入ります。前段でpingコマンドによる疎通確認が行われているので、pingではありません。
ネットワーク管理でよく使われるツールには以下があります。- ping:宛先への到達可否と遅延(往復時間)を確認
- nslookup:DNSに名前解決を問い合わせ、結果を確認
- tracert:宛先までに経由するルータの一覧と遅延を可視化
- arp:IPアドレスとMACアドレスの対応表を表示・更新
- ipconfig:端末のネットワーク設定の表示・更新
基本形:nslookup <名前> [DNSサーバ]∴c=nslookup
例)nslookup www.example.com 192.168.11.41
なお、UNIX系PCではdigやhostなどのコマンドも同種の目的で使用されますが、本問では特定OSの使用が明示されていないため、最も一般的なnslookupという答えが無難です。 - 今回のDNSサーバ障害の原因となったのは、DNSサーバソフトウェアの不具合でした。ここで求められているのは、性能を高める方法ではなく、ソフトウェアの不具合が発生してもインターネットアクセスを継続できるようにするための対策です。
- 再起動でDNSサービスが復旧したという説明から、原因はDNSサーバの負荷ではなく一時的な障害だったとわかります。CPUを増やしても今回のようなソフトウェア不具合による停止は回避できません。
- 「ア」と同様の理由で誤りです。
- 正しい。冗長構成にすれば、ソフトウェア障害時のDNSサービスの継続が可能です。キャッシュDNSサーバを二重化し、端末やプロキシに必要な設定をすることにより、片方が故障してももう一方のサーバで名前解決を処理できます。
- 再起動するたびに計画停止が発生し、その都度インターネットに接続できなくなります。サービス継続の観点からみて問題外です。
広告
設問3
〔インターネットのアクセス遅延〕について答えよ。
- 本文中のdに入れる適切な字句を図1中の機器名で答えよ。
- 本文中の下線④について,L3SWから運用管理者に通知する際に用いるSNMPの通知機能の名称を答えよ。また,その通知を送信する条件を答えよ。
- 本文中のeに入れる適切な字句を解答群の中から選び,記号で答えよ。
e に関する解答群
- DMZ内のトラフィック
- 特定のPCからDMZへのトラフィック
- ファイルサーバから社内LANへのトラフィック
- ファイルサーバからプロキシサーバへのトラフィック
解答例・解答の要点
- d:ファイルサーバ
- 名称:SNMPトラップ
条件:トラフィック量が800Mビット/秒を超える
- e:ウ
解説
- 〔dについて〕
図1・表1の情報をもとに、表3中のIPアドレスとY社ネットワークの機器を対応付けると次のようになります。パケットの割合が多い組合せは、いずれもファイルサーバ(192.168.11.51)を送信元/宛先とするものとわかります。また、通信の相手は社内LANのPCです。この内容より、複数の従業員のPCとの間で大量の通信を繰り返していた機器は「ファイルサーバ」とわかります。したがって、空欄dに入る機器名は「ファイルサーバ」です。
∴d=ファイルサーバ - SNMP(Simple Network Management Protocol)は、ネットワーク上のデバイスの情報を取得し、監視するための標準プロトコルです。
SNMPは管理する側の「SNMPマネージャ」と、管理される側の「SNMPエージェント」から構成されます。SNMPマネージャがネットワーク機器に導入されたSNMPエージェントを通じて情報を収集し、機器の状態の監視や遠隔操作を行うことができます。
〔名称について〕
SNMPでやり取りされる主なメッセージは以下のとおりです。- SNMP Get:エージェントが保持する情報の取得
- SNMP Set:エージェントが保持する情報の更新
- SNMP Trap:エージェントからマネージャへの通知
〔条件について〕
今回のインターネットアクセスの遅延は、「800Mビット/秒を超える大量の通信を繰り返し実行して」いたことが原因だと説明されています。このため原因とされる「800Mビット/秒を超える通信が発生」した際に、管理者に通知する仕組みとするのが望ましいです。管理者はこの通知を受け取った段階で、該当者にPC操作の一時中断を依頼することで、社内全体への影響を防ぐことができます。
∴名称=SNMPトラップ(Trap)
条件=トラフィック量が800Mビット/秒を超える - 〔eについて〕
QoS(Quality of Service)とは通信品質を保証するための技術・手法の総称です。本問では「ファイルサーバのQoS機能」とあることから、ファイルサーバ側で行う通信制御を意味しています。
ファイルサーバがデータを送る相手としては、"社内LANのPC"と"テレワーク環境のPC"の2つがあります。〔インターネットのアクセス遅延〕に「DMZとインターネットとの間の通信量は少ないが,社内LANとDNZとの間の通信量が非常に多い」とあるように、今回の遅延障害は、2つのうち"社内LANのPC"向けの通信で大量のトラフィックが発生したことが原因です。表3を見ると「ファイルサーバ → 社内LANのPC」の通信(18.0%、10.3%、9.2%)が大きな割合を占めており、この仮説が裏付けられています。したがって、この向きの通信を絞ることが効果的な対策となります。
以上より、ファイルサーバのQoS機能で制限対象とするのは、ファイルサーバから社内LANへのトラフィックと判断できます。
∴e=ウ:ファイルサーバから社内LANへのトラフィック
広告
広告