平成25年秋期試験午後問題 問4
問4 ネットワーク
⇱問題PDF
ネットワーク障害調査に関する次の記述を読んで,設問1~4に答えよ。
ネットワーク障害調査に関する次の記述を読んで,設問1~4に答えよ。
広告
P社は,ペット用品のインターネット通信販売業者である。本社事業所内に調達部,総務部,販売部,企画部があり,約80名の社員で商品の企画・調達・配送などの業務を行っている。通信販売のシステムは,他社が運営するショッピングサイトを活用しており,自社で制作した販売用Webページをインターネット経由でショッピングサイトにアップロードして商品を販売している。
社員が業務で使用するPCと,ファイル共有のために使用しているファイルサーバ(以下,FSという)は,購入後数年を経ており,社員からは"処理速度が遅い。"という声が上がっている。そこで,全てのPCとFSをリプレースすることにした。リプレースは,総務部情報システム課のQ君が担当することになった。
〔本社事業所のネットワーク構成〕
Q君は,PCとFSのリプレースに当たり,現在の本社事業所のネットワーク構成の調査を行った(図1)。 本社事業所内のPCからブラウザを用いてWebページにアクセスする場合には,プロキシサーバを経由する。また,電子メールの送受信はメールサーバを利用して行っており,PCとメールサーバとの間の通信は,本社事業所内の通信であるので,通信路の暗号化やSMTP認証は利用していない。PCは一度設置したら移設することは少ないので,DHCPは利用していない。インターネットやDMZから各部のFSにアクセスできないようにファイアウォールを設置している。ネットワーク機器は適切に設定がされており,障害などは発生していない。また,リプレース後もネットワーク構成やネットワーク機器の設定変更は行わない。
〔PCとFSの設定〕
Q君は,約80台のPCと各部のFSの設定作業を3名の情報システム課員だけで行うことは不可能と判断し,設定ガイドを作成して,各部で任命されているIT係に部内のPCの設定作業の説明を依頼した。IT係は,部内の各PCに割り当てるIPアドレスを決定した後,設定ガイドの内容を部員に説明し,PCの設定をPCの使用者自身で行ってもらうように依頼した。また,各部に設置するFSについては,PCと同様にログインを行って設定画面から設定が可能であるので,IT係に設定してもらうととにした。
図2に調達部向け設定ガイドを示す。他の部向けにも同様の設定ガイドを作成した。〔トラブル事象1〕
PCのリプレース後に,総務部のR君から"ショッピングサイトにアクセスできない。"との連絡があり,Q君がトラブル調査を実施した。
Q君は,総務部内の他のPCからショッピングサイトにアクセスを試み,正常にアクセスできることを確認した。次に,R君のPCからプロキシサーバへ正しく通信できることを確認するために,R君のPCからeコマンドを用いて x.y.z.103 宛てにICMPパケットを送信し,正常に応答があることを確認した。
次にQ君は,fコマンドを用いて,gの名前解決(FQDNからIPアドレスを調べる)を試みたところ,エラーとなった。このことから,R君のPCのhの設定に誤りがあることを特定した。その誤りを訂正し,R君のPCからショッピングサイトに正常にアクセスできることを確認した。
〔トラブル事象2〕
総務部のS君から,"先週の調達状況の確認をしようとしたところ,調達部のFSにアクセスできない。"との連絡があり,Q君がトラブル調査を実施した。
Q君は,S君のPCと同様に,自分のPCからも調達部のFSにアクセスできないことを確認した。また,調達部のPCからは調達部のFSに正常にアクセスできることを確認した。Q君は,S君のPCから traceroute コマンドを用いて,調達部のFSへのアクセス確認を行った。traceroute コマンドの実行結果を図3に示す。 Q君は調査結果を基に,原因となっていた設定の誤りを特定した。その誤りを訂正し,S君のPCから調達部のFSに正常にアクセスできることを確認した。
〔FSの利用状況確認画面の利用〕
リプレースの1か月後,企画部のIT係のT君から,"FSの説明書に,Webブラウザを用いてFSの利用状況確認ができるとの記述がある。しかし,①自席のPCからWebブラウザを用いて,説明書に記述のとおり企画部のFSにアクセスしてみたが,利用状況確認ページが表示できなかった。'との連絡があった。なお,T君のPCや企画部のFSは,設定ガイドのとおり設定されており,FS内ファイルの読み書きは可能であった。
その後,T君はQ君から連絡された設定変更を行い,FSの利用状況確認ページを表示できるようになった。
社員が業務で使用するPCと,ファイル共有のために使用しているファイルサーバ(以下,FSという)は,購入後数年を経ており,社員からは"処理速度が遅い。"という声が上がっている。そこで,全てのPCとFSをリプレースすることにした。リプレースは,総務部情報システム課のQ君が担当することになった。
〔本社事業所のネットワーク構成〕
Q君は,PCとFSのリプレースに当たり,現在の本社事業所のネットワーク構成の調査を行った(図1)。 本社事業所内のPCからブラウザを用いてWebページにアクセスする場合には,プロキシサーバを経由する。また,電子メールの送受信はメールサーバを利用して行っており,PCとメールサーバとの間の通信は,本社事業所内の通信であるので,通信路の暗号化やSMTP認証は利用していない。PCは一度設置したら移設することは少ないので,DHCPは利用していない。インターネットやDMZから各部のFSにアクセスできないようにファイアウォールを設置している。ネットワーク機器は適切に設定がされており,障害などは発生していない。また,リプレース後もネットワーク構成やネットワーク機器の設定変更は行わない。
〔PCとFSの設定〕
Q君は,約80台のPCと各部のFSの設定作業を3名の情報システム課員だけで行うことは不可能と判断し,設定ガイドを作成して,各部で任命されているIT係に部内のPCの設定作業の説明を依頼した。IT係は,部内の各PCに割り当てるIPアドレスを決定した後,設定ガイドの内容を部員に説明し,PCの設定をPCの使用者自身で行ってもらうように依頼した。また,各部に設置するFSについては,PCと同様にログインを行って設定画面から設定が可能であるので,IT係に設定してもらうととにした。
図2に調達部向け設定ガイドを示す。他の部向けにも同様の設定ガイドを作成した。〔トラブル事象1〕
PCのリプレース後に,総務部のR君から"ショッピングサイトにアクセスできない。"との連絡があり,Q君がトラブル調査を実施した。
Q君は,総務部内の他のPCからショッピングサイトにアクセスを試み,正常にアクセスできることを確認した。次に,R君のPCからプロキシサーバへ正しく通信できることを確認するために,R君のPCからeコマンドを用いて x.y.z.103 宛てにICMPパケットを送信し,正常に応答があることを確認した。
次にQ君は,fコマンドを用いて,gの名前解決(FQDNからIPアドレスを調べる)を試みたところ,エラーとなった。このことから,R君のPCのhの設定に誤りがあることを特定した。その誤りを訂正し,R君のPCからショッピングサイトに正常にアクセスできることを確認した。
〔トラブル事象2〕
総務部のS君から,"先週の調達状況の確認をしようとしたところ,調達部のFSにアクセスできない。"との連絡があり,Q君がトラブル調査を実施した。
Q君は,S君のPCと同様に,自分のPCからも調達部のFSにアクセスできないことを確認した。また,調達部のPCからは調達部のFSに正常にアクセスできることを確認した。Q君は,S君のPCから traceroute コマンドを用いて,調達部のFSへのアクセス確認を行った。traceroute コマンドの実行結果を図3に示す。 Q君は調査結果を基に,原因となっていた設定の誤りを特定した。その誤りを訂正し,S君のPCから調達部のFSに正常にアクセスできることを確認した。
〔FSの利用状況確認画面の利用〕
リプレースの1か月後,企画部のIT係のT君から,"FSの説明書に,Webブラウザを用いてFSの利用状況確認ができるとの記述がある。しかし,①自席のPCからWebブラウザを用いて,説明書に記述のとおり企画部のFSにアクセスしてみたが,利用状況確認ページが表示できなかった。'との連絡があった。なお,T君のPCや企画部のFSは,設定ガイドのとおり設定されており,FS内ファイルの読み書きは可能であった。
その後,T君はQ君から連絡された設定変更を行い,FSの利用状況確認ページを表示できるようになった。
広告
設問1
図2中のa~dについて,(1),(2)に答えよ。
- a,bに入れる,調達部のPCに設定可能なIPアドレスの範囲を,接続できるPCの台数が最大となるように答えよ。
- c,dに入れる適切な字句を答えよ。なお,dについては,ウェルノウンポート番号を答えよ。
解答例・解答の要点
- a:172.16.1.1
b:172.16.1.252
- c:172.16.0.101
d:25
解説
- 〔a,bについて〕
「リプレース後もネットワーク構成やネットワーク機器の設定変更は行わない」と記述されていること、および図2中のネットマスクが"255.255.255.0"になっていることから、調達部ネットワークは現状と同じ"172.16.1.0/24"とわかります。
ネットマスクが24ビットなのでホストアドレス部は下位8ビット、つまりアドレスの範囲は"172.16.1.0"~"172.16.1.255"になります。しかし、これら全てがPCに割当て可能なわけではありません。以下の4つのアドレスについては予約済または使用済であるため範囲から除外する必要があります。- ネットワークアドレス…172.16.1.0
- ブロードキャストアドレス…172.16.1.255
- 調達部ルータのIPアドレス…172.16.1.254
(図1中に記述されている) - 調達部FSのIPアドレス…172.16.1.253
(図2中に記述されている)
∴a=172.16.1.1
b=172.16.1.252 - 〔cについて〕
図1よりDNSサーバのIPアドレスは"172.16.0.101"とわかるためcにはこのIPアドレスが入ります。
もしかするとDNSサーバのホスト名"nsp1.p.example.jp"と迷うかもしれません。しかし、ホスト名で登録してしまうと"nsp1.p.example.jp"からIPアドレスを得る手段がなくなり、DNSサーバと通信できなくなってしまうため適切ではありません。
∴c=172.16.0.101
〔dについて〕
SMTPはポート"TCP/25"を使用します。したがってdは25です。
∴d=25
広告
設問2
〔トラブル事象1〕について,(1),(2)に答えよ。
- 本文中のe,fに入れる適切なコマンドを解答群の中から選び,記号で答えよ。
- 本文中のg,hに入れる適切な字句を図1中の字句を用いて答えよ。
e,f に関する解答群
- arp
- ifconfig
- netstat
- nslookup
- ping
- route
解答例・解答の要点
- e:オ
f:エ
- g:プロキシサーバ
h:DNSサーバ
解説
- 選択肢の各コマンドの機能は次の通りです。〔eについて〕
pingは、IPネットワークにおいてネットワークの疎通を確認するコマンドです。ICMP(Internet Control Message Protocol)の「Echo Request」を相手の端末に送信し、相手から「Echo Reply」メッセージが送られてくるかを確認することで通信可能な状態かを判定する仕組みになっています。
正しく通信できることを確認するために行い、ICMPパケットを利用するという記述からpingが適切と判断できます。
∴e=オ:ping〔fについて〕
nslookupは、DNSサーバに名前解決要求を行いその結果を確認することでDNSサーバが正常に動作しているかを確認するコマンドです。
「fコマンドを用いて,名前解決を試みた」という記述からnslookupが適切と判断できます。
f=エ:nslookup - 〔gについて〕
P社では「ブラウザを用いてWebページにアクセスする際は,プロキシサーバを経由する」ので、まず疑われるのはプロキシサーバ,DNSサーバの不具合です。しかし総務部の他のPCからは正常にアクセスできること、および本文中の「ネットワーク機器は適切に設定がされており,…リプレース後も…設定変更は行わない」という記述から、ショッピングサイトにアクセスできない原因は、R君のPCにあると判断できます。
インターネット接続ができないということは、R君のPCとプロキシサーバが上手く通信できていないことを意味します。したがってpingとnslookupを使用して通信状態を診断すべき機器は「プロキシサーバ」になります。
∴プロキシサーバ
〔hについて〕
nslookupコマンドを実行すると引数のホスト名が存在すればそのIPアドレスが、存在しなければ「存在しない」という旨のメッセージが返されます。つまりエラーが表示されるということは、DNSサーバにアクセスできていないことを示します。したがってR君のPCのDNSサーバの設定が誤っていることになります。
∴DNSサーバ
広告
設問3
〔トラブル事象2〕について,どの設定項目の設定誤りが原因か。想定されるものを二つ挙げ,それぞれ20字以内で述べよ。
解答例・解答の要点
①:調達部FSのデフォルトゲートウェイ (17文字) ※順不同
②:調達部FSのネットマスク (12文字) ※順不同
②:調達部FSのネットマスク (12文字) ※順不同
解説
tracerouteは、IPヘッダーの「TTL」とICMPの「Time Exceeded」メッセージを利用して、引数で与えられたホストに到達するまでに経由するルータを調査する機能です。ルータはTTLが1のパケットを受け取ると、そのパケットを破棄して送信元に「Time Exceeded」メッセージを送り返します。この仕組みを応用し、最初はTTLが1のパケット、次は2のパケット,…というようにTTLを1ずつ増やしていくことでパケットが通過するすべてのルータの情報を取得します。(最後のホストは「Time Exceeded」を返さないため、ICMPメッセージの「Echo Reply」または「Port Unreachable」から情報を得ます)tracerouteの実行結果を見ると、パケットは総務部ルータを通過し、調達部ルータに到達していますが、その後はタイムアウトになっています。ネットワーク構成を見れば調達部FSに到達するのに経由するルータはこの2つのみですから、タイムアウトの原因はパケットが調達部FSに到達していない、若しくは調達部FSからの応答パケットが帰ってこないのどちらかと推測できます。問題の切り分けについては以下の4点に着目します。
- 調達部PCから調達部FSにアクセスできているため、調達部FSのIPアドレスは適切に設定されている
- tracerouteの引数は調達部FS"172.16.1.253"を指している
- tracerouteのパケットは調達部ルータまで届いている
- ネットワーク機器は適切に設定されており、障害も発生していない
調達部FSに設定した項目のうち、この問題の原因として考えられるのは「ネットマスク」「デフォルトゲートウェイ」の設定です。もしデフォルトゲートウェイが誤っていれば調達部ルータに応答パケットが届きません。またネットマスクの誤りでは「送信元の総務部PCが同じネットワーク内の機器である」と誤認識して、応答パケットを調達部ネットワーク内に送出してしまっている可能性が考えられます。
∴調達部FSのデフォルトゲートウェイ
調達部FSのネットマスク
広告
設問4
本文中の下線①について,T君のPCからWebブラウザを用いてFSの利用状況確認ページが表示できなかった理由を35字以内で述べよ。
解答例・解答の要点
プロキシサーバ経由でFSにアクセスしようとしていたから (27文字)
解説
図2のPCへの設定ガイドでは、プロキシの例外設定が「なし(全てのURLにプロキシサーバを利用)」となっています。この設定があるため、PCのWebブラウザからFSにアクセスすると、そのリクエストはプロキシサーバに送られます。プロキシサーバはFSに代理アクセスしようとしますが、P社では「インターネットやDMZから各部のFSにアクセスできないようにファイアウォールを設置している」ので、DMZ上のプロキシサーバからFSへの通信はファイアウォールで遮断されてしまいます。この状態ではPCにはレスポンスが返ってきません。
つまり、FSの利用状況確認ページが表示されなかったのでは、プロキシサーバ経由でのアクセスがファイアウォールで遮断されるからです。
∴プロキシサーバ経由でFSにアクセスしようとしていたから
広告
広告