平成21年 ネットワークスペシャリスト 午後Ⅰ 問1 ネットワークの障害 設問3


平成21年 ネットワークスペシャリスト 午後Ⅰ問題

有料版メールマガジン「ネットワークのおべんきょしませんか? PREMIUM」にて、平成21年 ネットワークスペシャリストの午後解説をすべて配布しています。


解答

(1) フレームの種類:ブロードキャストフレーム
制限されない理由:L2SWでの転送処理ではIPヘッダは評価されないから
(2) 

 
H21NSP_09.png

(3) PCを接続しても直ちに通信が可能な状態にはならない
(4) 使用できないように閉塞状態にする
別のVLANを割り当ててタグVLANでの中継から外す

解説

(1)
イーサネットのネットワーク構成が適切でなく、ループ構成になっているとイーサネットフレームがループします。ループするイーサネットフレームとして、最も考えられるフレームの種類はブロードキャストです。ARPリクエストなどのブロードキャストフレームがえんえんとループしてしまい、ネットワークがダウンすることをブロードキャストストームと呼びます。

L2SWでイーサネットフレームを転送する際には、IPヘッダは参照しません。そのため、IPヘッダ内のループ防止のTTLは機能しません。

(2)
Z社で、誤接続によってレイヤ2スイッチがループ構成になってしまいました。その原因となる誤接続がどのようなものなのかを考える問題です。ループ構成になると、ブロードキャストフレームが延々とコピー、転送されてループします。これをブロードキャストストームと呼びます。ブロードキャストストームが発生すると、すぐに帯域を使い切ってしまって正常に通信できなくなります。こうしたブロードキャストストームの影響はVLAN内に限定されます。ブロードキャストフレームが転送される範囲は、VLAN内だけだからです。あるVLANでブロードキャストストームが発生していても、基本的には他のVLANには影響しません。この問題は、いったいどのVLANで誤接続が行われてブロードキャストフレームが発生してしまったのかを明らかにする問題です。そして、考えるポイントが冒頭で述べたように、VLANに関連してネットワークの論理構成がどのようになっているかを明確にすることです。

【Z社のVLAN構成】
では、具体的にZ社のVLAN構成を考えます。問題文の表よりZ社には、VLAN1、VLAN10、VLAN20、VLAN30の4つのVLANがあります。そして、各L2SWと広域イーサ網接続のポートとL2SW3とAPの接続ポートをIEEE802.1QタグVLANで接続しています。APもタグVLANをサポートしていることから、APは簡易的なスイッチとしてVLANを定義できる機器であることがわかります。このタグVLANのポートは、各機器で定義しているVLANごとに分割して考えることができます。また、タグVLANのポートでは複数のVLANのイーサネットフレームを多重化して、送受信することが可能です。

H21NSP_10.png
図 9 タグVLANの接続

上記のネットワーク構成と問題文の記述および表からZ社の4つのVLANごとの論理構成と想定される通信を考えていきます。

【VLAN1】
まず、VLAN1についてです。問題文の表より、VLAN1は各L2SWとAPの監視用ポート(L2SW-MPおよびAP-MP)と管理用のMPCが所属するVLANです。L2SWやAPなどのネットワーク機器にはリモートから稼働状況を確認したり設定変更するために監視用のIPアドレスを設定することが一般的です。監視用のIPアドレスに対してPingによる稼働状況の確認や、SSH/Telnet/HTTP/SNMPなどで遠隔から設定変更や設定の確認を行うことができます。こうした確認や設定変更を行うための管理専用の端末として、MPCを設置していると考えられます。つまり、VLAN1はネットワーク管理用のVLANです。VLAN1に所属する機器と想定できる主な通信を図にすると、次のようになるでしょう。

H21NSP_11.png
図 10 VLAN1の構成

なお、営業所のSWはVLAN1ではなくVLAN10に所属しています。そのため、MPCから営業所のSWを管理することはできません。


【VLAN10】
次にVLAN10について考えます。VLAN10には販売管理サーバ(HK-SV)、PC、SWが所属しています。PCとHK-SVの間で商品情報や在庫情報の管理を行うようなシステムが稼働しているものと考えられます。PCから商品情報の問い合わせがあったり、受注処理を行ったりすると、HK-SVを介してDB-SVへその情報をアップデートするような処理を行うようなシステムでしょう。

H21NSP_12.png
図 11 VLAN10の構成

なお、図ではDB-SVもありますが、DB-SVはVLAN10の所属ではありません。DB-SVとHK-SVはL2SWを介さずに直結しているのでVLAN10とは直接関係ありません。


【VLAN20】
VLAN20には、商品管理サーバ(SK-SV)と可搬型端末(HT)が所属しています。配送所のHTで出荷処理などを行った結果をSK-SV経由でDB-SVに更新するようなシステムだと思われます。

H21NSP_13.png
図 12 VLAN20の構成

なお、VLAN10のときと同じように、DB-SVはSK-SVと直結されているのでVLAN20とは無関係です。また、営業所にはHTが存在しないので営業所全体もVLAN20とは無関係です。


【VLAN30】
VLAN30はIP電話(IPT)とIP-PBXが所属しているVLANです。VLAN30上でIP電話による音声通話のデータのデータを転送することになります。IP電話で通話するときには、まずIP-PBXとの間で制御メッセージ(呼制御)をやり取りします。その後、目的のIP電話との間で音声データを直接送受信します。VLAN30の構成と配送所と本社内のIP電話の通信を表すと次の図のようになります。

H21NSP_14.png
図 13 VLAN30の構成

【ブロードキャストストームが発生したVLAN】
このようなVLAN構成を踏まえて、どのVLAN内でブロードキャストフレームが発生したかを考え、スイッチでの誤接続を明らかにしていきます。ブロードキャストストームが発生しているVLANについて、問題文の下記の記述からわかります。

L2SW3の前面パネルを観察したところ、広域イーサ網の接続ポートとAPの接続ポートだけに、フレーム転送を表すLEDの連続的な高速点滅が見られた。そこで,L2SW3の未使用のポートを,広域イーサ網を接続しているポートのモニターポートとして設定して,トラフィックモニタを接続し,通信されているフレームを解析してみた。すると,大量に通信されているのは,タグが付加されていないフレームであること,フレームの内容はすべて同じIPパケットであり,IPヘッダの送信元IPアドレスは,営業所のPCのものであることが分かった。

広域イーサ網の接続ポートとAPの接続ポートはどちらもIEEE802.1QタグVLANで、VLANが多重化されています。そのポートのLEDが高速点滅しているということはAP接続ポートと広域イーサ網接続ポートで、ブロードキャストストームの影響で大量にイーサネットフレームの転送が行われています。先ほどのVLANごとの構成と通信を基にして、L2SW3のタグVLANポートで多重化されているVLANを考えると、次の図のようになります。

H21NSP_15.png
図 14 L2SW3のタグVLANポートで多重化されているVLAN

この図のように、L2SW3とAPの接続ポートで多重化されているVLANは、VLAN1とVLAN20です。つまり、VLAN1とVLAN20のどちらかでブロードキャストストームが発生していることになります。ブロードキャストストームの発生の原因となった誤接続は、L2SW2で行われたものです。問題文の図2を見ると、L2SW2にはVLAN20がありません。L2SW2にはVLAN20は無関係なので定義していないのでしょう。誤接続を行ったL2SW2にVLAN20がないということは、VLAN20ではブロードキャストストームは発生していません。つまり、ブロードキャストストームが発生しているのはVLAN1です。

また、トラフィックモニタでキャプチャしたイーサネットフレームからもVLAN1でブロードキャストストームが発生していることが分かります。キャプチャしたフレームにはVLANタグが付加されていません。タグVLANで転送する際にVLANタグを付加しないVLANをネイティブVLANと呼びます。この問題のL2SWの仕様でネイティブVLANはVLAN1です。VLAN1でブロードキャストフレームが発生しているので、キャプチャ結果でタグが付加されていないイーサネットフレームが確認されています。

以上より、L2SW2のVLAN1のポートとSWをループ上に誤接続してしまい、VLAN1でブロードキャストストームが発生してしまったことが障害の原因です。なお、ブロードキャストストームの影響は、基本的には他のVLANには波及しません。ですが、このZ社のネットワーク構成はVLAN1が広域イーサ網をまたがって存在しています。そのため、VLAN1で発生したブロードキャストストームで広域イーサ網の帯域が占有されてしまったので、他のVLANでの通信もできなくなっています。

※ だから、あんまりよろしくないネットワーク構成ですよねぇ、この問題のネットワーク構成は・・・
広域イーサ網をまたがってVLANを存在させるようなネットワーク構成はやらない方がいいです。この問題のようにループの危険性もあります。でも、通常時も問題がたくさんあるネットワーク構成です。広域イーサ網に接続するアクセス回線の帯域は明確ではありませんが、ブロードキャストフレームが広域イーサ網をがんがん通っていきます。ブロードキャストフレームによって、広域イーサ網のアクセス回線の帯域がかなり消費されてしまうことでしょう。
※ それに、広域イーサのサービスで、IEEE802.1Qのアクセス回線が可能なサービスも限定されますよねぇ。L2SWとL3SWはいまでは、そんなにコストが変わらないので広域イーサ網にはL3SWで接続して、ブロードキャストが広域イーサ網を通っていくようなネットワーク構成はやめた方がいいでしょう、ホントは。

(3)
イーサネットフレームのループ回避のために、スパニングツリープロトコルがあります。スパニングツリープロトコルを利用すれば、配線がループ上になっていたとしてもイーサネットフレームがループしないようにできます。
スイッチでスパニングツリープロトコルを有効化すると、BPDUを定期的にやり取りしてループを検出します。ループになっていると、特定のポートをブロック状態にしてフレームの転送をブロックし、イーサネットフレームがループしないように制御します。
スパニングツリープロトコルを利用している場合、PCなどを接続しても、そのポートですぐに通信できるようにはなりません。スパニングツリーの計算を行って、ループが発生しないことを確認してからポートを利用できるようになります。PCやサーバなどを接続するポートは、ループしているはずはないのですが、すぐにポートを利用できないというデメリットがあります。この点を30字以内でまとめれば解答になります。

※ スパニングツリープロトコルの拡張で、PCやサーバなどを接続するポートをすぐに利用できるようにする機能もあります。

(4)
未使用の空いているポートを「使えない」状態にしておくことは、この問題のような誤接続の防止やセキュリティ対策上でもとても重要です。「使えない」状態にしておけば、誤接続してもブロードキャストストームは発生しません。また、外部からの侵入者が未使用のポートに接続しても、LANに不正アクセスされる心配はありません。

未使用のポートを「使えない」状態にするためには、主に次のような方法があります。

  • ポートを無効化する
  • ポートを存在しないVLANに割り当てる

企業向けのレイヤ2スイッチであれば、ポート単位で有効化/無効化を指定できます。また、ポートをそのスイッチに存在しないVLANに割り当てると、そのポートは利用できない状態になります。

参考URL