平成15年度テクニカルエンジニア(ネットワーク)午後Ⅱ 問1設問5解答と解説

目次

解答

(1)ファイアウォールとMH-1のポートのモードが一致するよう、固定的に設定した(37字)

(2)Webのデータ量はページ毎にばらばらなので、最初のうちはセッション数とデータ量の比率が同じにはならないから(53字)

(3)プロキシサーバの設定を外すことで、トラフィックはVPNを経由せず直接ISPに転送され、本社のWebサーバのインバウンドとなるから(64字)

解説

(1)
イーサネットのオートネゴシエーションに関する問題です。イーサネットにはさまざまな種類があり、普通にPC等に搭載されているRJ-45と呼ばれる形状のイーサネットポートでも、100M全二重、100M半二重、10M全二重、10M半二重と4種類のモードが存在します。さらに最近ではギガビットイーサも一般に普及しているため、1G(全二重)、1G(半二重)もこれに加わることになります。
こういった通信モードを接続機器同士で自動的に交渉(ネゴシエーション)し、最適なモードにマッチングする技術をオートネゴシエーションといいます。接続機器を変更する際や、LANの物理構成を変更する時なども、自動的にモードを最適化してくれるため便利な機能です。

しかしオートネゴシエーションは万能では無いため注意が必要です。例えば、片方の機器がオートネゴの設定で、対向する機器が固定的なモードの設定であった場合、それぞれのモードが一致しないことがあります。これはオートネゴシエーションの仕組みを理解すれば仕方の無いことです。よって、対向する機器の両方ともオートネゴシエーション、もしくは両方とも固定モードに設定するというのが基本です。

H15A2-1-5pic1.JPG

固定モードの際はもちろん、10M/100M、全二重/半二重などを対向機器で一致させる必要があります。

オートネゴシエーションの仕組みについては以下のリンクを参照ください。

//www.n-study.com/network/2003/01/post_28.html#more

では問題のY社では設定モードがどうなっていたかを確認してみましょう。

ファイアウォールのポートがオートネゴシエーションモードであったので、MH-1の各ポートもこれに合わせてオートネゴシエーションモードにした。しかし、MH-1を稼働させたところ、MH-1のファイアウォール側のポートのリンクランプが点灯しなかった。そこで、作業者は、ケーブルとMH-1のポートを調べたが問題は発見できなかった。

これを見る限り、ファイアウォールもMH-1も両方ともオートネゴシエーションに設定しています。ポートもケーブルも調べて問題ないため、設定ミスや、ケーブル不良は考えられません。本来ならこれで正しくリンクアップできるはずですが、なぜリンクランプが点灯しなかったのでしょうか?

考えられる原因があるとすれば、機器の相性や精度の問題くらいでしょう。オートネゴシエーションが現在ほどメジャーではなかった頃は、オートネゴシエーション同士の対向でも正しくリンクアップしないこともあったようです。しかし現在では十分に実績が積み重なっているため、オートネゴシエーションの接続で、相性問題を気にする必要は無いでしょう。ただしギガイーサ対応機器についてはまだまだ普及が進んでいる段階のため、同様の問題があるかもしれません。

いずれにせよ以上の問題を解決するためには、固定モードで設定すればよいでしょう。また上述したとおり、対向する機器同士でモードを合わせる必要があります。回答を50字以内でまとめると

ファイアウォールとMH-1のポートのモードが一致するよう、固定的に設定した(37字)

となります。

(2)
MH-1は、アウトバウンドトラフィックを動的に振り分ける機能を持ちます。本文の〔ネットワークの概要〕でトラフィックの振り分けについての説明文があるので、再確認してみましょう。

③ アウトバウンドトラフィックの振り分け機能
 ISP側の二つのポートに対して,セション単位にアウトバウンドトラフィックを振り分けることで,回線の負荷分散を行う。振り分け比率は,任意に設定できる。

ネットワークの移行後、作業者はこの振り分け比率が設定どおり実施されているかを確認しました。確認方法と結果は以下の通りでした。

アウトバウンドトラフィックの振り分け動作を表4中の①について確認した。MH-1のログで振り分け状態を調べたところ、トラフィックは振り分けられていたが、ポートごとに送受信された累積データ量は、設定された比率と大きく異なっていたので,(d)運用開始後に再度確認することにした。

表4中の①とは社外へのWeb閲覧です。作業者がデータ量の振り分け比率を確認したところ、設定された比率と大きく異なっていました。しかし運用開始後に再度確認したところ、設定した比率に近い値になっていました。その間特に機器の設定変更を実施したなどの記載はありません。設定は全く同じなのに、なぜ運用開始後に振り分け比率の精度が高まったのでしょうか?

ここでまず注意したいのは、MH-1は振り分けを「セッション単位」で実施しているのに対し、比率の確認は「送受信された累積データ量」で実施されているということです。Web閲覧の際に送受信するデータ量は、閲覧するページによって全く異なってくるため、セッション数の比率とデータ量の比率が大きく異なるということは十分に考えられます。たまたまISP1経由でデータ量の多いページを閲覧し、ISP2経由でデータ量の少ないページを閲覧したとすると、セッション数は同じでも、データ量はISP1の方が多くなりますよね。

H15A2-1-5pic2.JPG

それでは、なぜ運用開始後に再度確認した時には比率の精度が高まっていたのでしょうか?それは、時間が経過するにしたがって、統計的な数値の母体が大きくなり、値が平均化されたためと考えられます。
例えばじゃんけんで勝負する時を考えると、勝敗の確率は50%にもかかわらず、勝負を開始して最初の5回、10回は50%の勝率にはならないでしょう。どちらか一方が3連勝、5連勝することもあるかもしれません。ところがこれを100回、1000回、・・と続けていくうちに、勝率は限りなく50%に近づいていくはずです。
同様に、データ量の多いページ、少ないページを数多く閲覧していくうちに、データ量の比率はセッション数の比率に収束していでしょう。

以上より、最初に調べたときに,設定された比率と大きく異なっていた原因を60字以内でまとめると

Webのデータ量はページ毎にばらばらなので、最初のうちはセッション数とデータ量の比率が同じにはならないから(53字)

となります。

(3)
下線(e)の手順で使用したPCというのは、各営業所のPCのことです。本社のWebサーバに外部からアクセスしてインバウンドを確認する代わりに、営業所のPCを外部環境と見立てて本社のWebサーバにアクセスしているというわけです。

では下線(e)の前後の文章を見てみましょう。

   

VPNの動作確認を、各営業所のPCの設定を変更しないで、業務サーバや社内メールサーバの利用及び社外のWebサーバの閲覧が可能かどうかを検証する方法で行った。

作業者は、インバウンドの動作確認を、VPNの動作を確認したPCを使用して行った。表4中の⑥の確認は,(e)PCのプロキシサーバを利用する設定を外し、ブラウザに本社のWebサーバのIPアドレスを直接入力して行った。

以上より下線(e)のPCが各営業所のPCであると読み取れますよね。
さて、ここで問題なのが、同じPCを利用しているにもかかわらず、プロキシの設定をしているときはVPNの確認になり、プロキシを外せば公開Webサーバへのインバウンドの確認になるという点です。これはプロキシの設定有無でパケットの転送先が全く異なってくるためにできることです。
プロキシサーバとは、PCの代理としてインターネットに接続するサーバで、セキュリティ強化や、キャッシュ利用によるインターネットトラフィックの低減の目的で使用されます。PCのブラウザ設定でプロキシサーバのアドレスを入力すれば、PCは直接インターネットにパケットを送信せずに、プロキシサーバに対してパケットを送信することになります。つまりプロキシの有無でパケットの転送先が異なってきます。

H15A2-1-5pic3.JPG

ここで表3のMH-2のポリシを思い出してみましょう。正しく穴埋めができていれば、MH-2では本社のセグメント(IP-h)宛てのパケットはVPNトンネルに転送され、それ以外は直接インターネットに転送されることが分かります。プロキシサーバは本社のセグメントに設置してあるため、プロキシを利用した通信はVPNトンネルを経由します。一方、プロキシサーバを外した場合は、直接インターネットに抜けていくことになりますね。

プロキシサーバを設定した場合のWeb閲覧経路
営業所のPC ~ 営業所のMH-2 ~ ISP(VPNトンネル) ~ 本社のMH-2 ~
 プロキシサーバ ~ ISP ~ Webサーバ

プロキシサーバの設定を外した場合のWeb閲覧経路
営業所のPC ~ 営業所のMH-2 ~ ISP ~ Webサーバ

これで、プロキシを外せば営業所から直接インターネットに抜けられることが分かりました。ここまで分かれば解答を記入することができますが、もう一歩踏み込んで解説します。もう1度下線(e)の前後を見ましょう。

(e)PCのプロキシサーバを利用する設定を外し、ブラウザに本社のWebサーバのIPアドレスを直接入力して行った。さらに、PCにISP1のDNSサーバのIPアドレスを設定し、ブラウザに本社のWebサーバのURLを入力して行った。

WebブラウザにIPアドレスを入力した場合とURLを入力した場合の2パタンでテストを実施しています。これはどういった意味があるのでしょうか?
IPネットワークでは、相手のIPアドレスを知らなければ通信できません。ただし通常はDNSが動的にホスト名からIPアドレスを取得してくれるため、ユーザはIPアドレスを意識する必要がありません。このことは逆に考えると、最初から通信相手のIPアドレスを知っていれば、DNSの仕組みを利用することなくWebサーバ等へのアクセスが可能であることを意味しています。
テストではこの2つのパタンを実施することで、IPネットワークの接続性とDNS動作正常性の両方を確認することができます。例えば、IPアドレスを直接入力すれば正常にWeb閲覧ができるのに、URLを入力するとWeb閲覧ができない場合は、ネットワークは正常だがDNSでどこかに不具合が出ているという切り分けができます。

H15A2-1-5pic4.JPG

H15A2-1-5pic5.JPG

上の図はWebブラウザにURLを入力した場合です。IPアドレスを入力した場合は、上の図から①、②を省略したものです。

ここで回答すべきなのは、プロキシサーバを外した場合になぜインバウンドの動作確認を行うことができるのかという理由です。
これを70字以内でまとめると

プロキシサーバの設定を外すことで、トラフィックはVPNを経由せず直接ISPに転送され、本社のWebサーバのインバウンドとなるから(64字)

となります。


テクニカルエンジニア(ネットワーク)の試験対策にはGene作成の完全解説集で!平成17-19年度版好評発売中!!ご購入はこちらから