ネットワークスペシャリスト - SE娘の剣 -

ネットワークスペシャリストの試験対策サイトです。ネットワークスペシャリスト試験の合格体
験談、合格のコツ、過去問解説、基礎知識などの情報を掲載します。 ネットワークスペシャリスト
試験対策なら左門至峰の最も詳しい過去問解説「ネスペ」シリーズ(技術評論社)で!!
ネットワークスペシャリスト試験に合格すると、ネットワークに関する知識や技術だけでなく、読解力や文章力も身につきます。
さらに、この試験に合格できたという自信を得ることができます。

カテゴリ: 14.可用性、信頼性

H16秋NW午後玉筍欧CDNの問題があります。

-------------以下、過去問
〔CDNの目的と仕組み〕
CDNの目的と仕組みについて, I係長がH課長に説明した内容は,次のとおりである。
CDNは, VOD (Video On Demand)のようなストリーミング型の映像配信サービスを,インターネットを利用して,高いサービス品質で提供するためのネットワークである。インターネットを経由してコンテンツを配信し,視聴者がPCでリアルタイムに再生する場合,トラフィックや負荷の集中によってサービス品質が低下することがある。その要因となるのは,ルータ,スイッチングハブ,サーバ,回線などのネットワーク構成要素である。 CDNを利用すれば,これらが要因となって発生するサービス品質の低下を抑止できる。
CDNは,次の三つの要素で構成される。
オリジンサーバ
キャッシュサーバ
コンテンツ複製ネットワーク
オリジンサーバは,オリジナルコンテンツの登録,管理などを行い,コンテンツ複製ネットワークを使用して,キャッシュサーバにコンテンツを複製する機能をもつ。キャッシュサーバは,オリジンサーバが複製したコンテンツを保管し,視聴者にコンテンツを配信する機能をもつ。コンテンツ複製ネットワークは,オリジンサーバに登録されているコンテンツをキャッシュサーバに複製するために使用される。コンテンツは,キャッシュサーバから配信されるので,(ア)キャッシュサーバが設置されたISPの利用者に対して、高品質の映像配信サービスの提供が可能になる。

H課長:CDNの目的と仕組みは理解できた。映像配信サービスを提供するためには,CDNを利用した方がよさそうなので,CDNを利用したコンテンツ配信システムを具体化させてくれないか。
H課長の指示を受けて,I係長は,コンテンツ配信システムの構成,コンテンツ複製方式,映像配信サービスの提供方式などをまとめた。

米国のアカマイ社が有名であり、インターネット世界総量の20%以上をこの会社のネットワークが利用されているとも言われている。YahooやGoogleなどを経由して動画を見ていても、実際のサーバはアカマイ社のものを利用しているケースが多いようだ。

動画のトラヒックは日々増えており、かつリアルタイム通信の要求が増えている。
非同期で提供すればよいのであれば、時間をずらして提供すればよい。しかし、リアルタイムになると圧縮技術などを駆使した技術的な対策が求められる。

CDNでは、各拠点にコンテンツのコピーを持つサーバを配置する。利用者はコピーから情報を入手することで、配信元の負荷を軽減する。
この仕組みがあったおかげで、700万人が見たともいわれるオバマ大統領のリアルタイム配信が可能になった。
CDP以外には、P2Pの仕組みを使うことも有用と考えられる。WinMXなどのファイル交換の仕組みは、大規模なサーバ無しにファイルを簡単に交換できた。あの原理である。
この仕組みはどこまで商用化されているかは不明であるが、原理は色々なところで活用されているであろう。

 バックアップ対策を検討する際において、復旧にかかる時間や、どの時点までデータを復元できるかは大事な要素です。これらの指標として、RTO(目標復旧時間)とRPO(目標復旧時点)があります。どちらも,短時間であればあるほど,対策費用は大きくなります。

RPO(目標復旧時点:Recovery Point Objective)
 RPOは,障害発生からどの時点までデータを復旧できるかの時間です。
RTO(目標復旧時間:Recovery Time Objective)
 RTOは,障害が発生してからシステムが復旧するまでに要する時間です。

H20NW午後橘2にRTO関連の問題がある。
バックアップ対策を実施する際の要件として、RPO(Recovery Point Objective)、RTO(Recovery Time Objective)が重要である。ここでは、RPOは、障害発生からどの時点までデータを復旧できるかを表す指標とし、RTOは、障害が発生してからシステムが復旧するまでの時間を表わす指標とする。どちらも、短時間であればあるほど、費用は大きくなる。

RTOとRPO

IPAが発表する応用情報のシラバスに、ネットワーク管理に関して以下の記述がある。これを参考に、今後詳しく書いていきたい。

(1)ネットワーク運用管理
1) 構成管理
構成情報を維持し,変更を記録する構成管理の管理方法を理解する。
【用語例】 ネットワーク構成,バージョン

2) 障害管理
障害の検出,分析,対応を行う障害管理の管理方法を理解する。
【用語例】 情報収集,障害の切分け,障害原因の特定,復旧措置,記録

3) 性能管理
トラフィック量と転送時間の関係の分析などによる,ネットワークの性能の管理方法を理解する。
【用語例】 トラフィック監視

(2)ネットワーク管理ツール
ネットワーク管理に利用されているツールの機能,仕組みを理解する。
【用語例】 ping,ipconfig,arp,netstat

(3)SNMP
ネットワークを構成する機器を集中管理するためのプロトコルであるSNMP とMIB(Management Information Base:管理情報ベース)を使用したトラフィック解析方法を理解する。
【用語例】 SNMP エージェント,SNMP 管理ステーション,get 要求,put 要求,trap 要求

1) 構成管理
過去問では、ネットワーク構成の管理に関して、「ネットワーク構成の変更の都度、ネットワーク構成図を更新する。(H19NW午前 問17)」と述べられている。H16NW午前問17
H16NW午前問45 SNMP

■全般
・過去問ではSNMPに関して、「TCP/IPの環境で使用されるプロトコルのうち、構成機器や障害時の情報収集を行うために使用されるネットワーク管理プロトコル(H20秋AP午前-問60)」と述べている。
・UDP161と162を使う。
・コミュニティはpublicが一般的。本当は変えたほうがよい。ネットワークを流れるときは暗号化されずに流れる。
過去問(H23NW午後1問3)を見てみよう。
・監視対象となる機器は,SNMP v1/v2c 対応の機器を導入する。監視の対象範囲に[ カ ]名を付け,監視SVがこれを指定して,対象機器に問い合わせる。

[正解]
カ:コミュニティ

・Trapとポーリングは絶対に覚えましょう。※過去問(H23午後橘1)では、穴埋めでTrapが問われた。解答例は、最初のTが大文字で「Trap」)
snmp
・trapに関して過去問では、「ネットワーク管理プロトコルであるSNMPバージョン1のメッセージタイプのうち、異常や事象の発生を自発的にエージェント自身がマネージャに知らせるために使用するもの(H21NW午前2-17)」と述べられています。
・Simpleという名のとおり、プロトコルは単純である。SNMPマネージャとSNMPエージェント間のメッセージの種類は6つしかない。
・機器側ではMIB(Management Information Base)というツリー構造のデータベースを持って、問いかけに対して答えるだけというシンプルな動きである。仕組みが簡単なので、安価なSwitchなどでもSNMP機能を有することが多い。
・インテリジェントSwitchやSNMP対応Switchと書かれている場合には、SNMPの情報を持つことで、ステータス情報をマネージャとやりとりできる。

◆SNMPのメッセージ
シンプルと言われるだけあって、わずか5種のメッセージしかない
1)Get-Request
2)Get-Next-Request
3)Get-Response
4)Set-Request
5)Trap

■バージョン
・v1→v2→v3
・現在はv2が主流かな
・v2による改良点は、GetBulkRequestによる複数一括の処理など
・v1とv2の互換性は無い
・v3ではセキュリティが強化されており、コミュニティ名が暗号化されたりする(と思う)

■MIB
・管理情報をMIBと呼ばれるデータベースに保存する。
・拡張MIB(またはPrivateMIBだとおもう)により、独自の管理ができる。
・MIB1は144種、MIB2は171種のオブジェクトが定義されている。各オブジェクトはOID(ObjectID)で識別される。MIB2はMIB1に対して下方互換がある。

◆RMON(Remote Network Monitoring)
Remoteという言葉のとおり、遠隔から監視する。SNMPを拡張している。
MIBはある一点の情報を表示するのに対し、RMONでは点を線にして監視する。その結果、ネットワークの使用率なども管理できる。
RMON1はレイヤ2の情報、RMON2はレイヤ3以上の情報を持つ。

◆過去問より
過去問で、SNMPを理解するに相応しい出題があるので紹介する。正解以外の選択肢についても、なぜ間違っているかを理解してほしい。

【H18NW午前 問45】
TCP/IPにおけるネットワーク管理プロトコルであるSNMPに関する記述のうち、適切なものはどれか。
 
ア SNMPで定義されているメッセージは、マネージャからの要求に対してエージェントが応答する形式のものだけである。
イ SNMPは、UDPを用いている。
ウ エージェントからのすべてのメッセージは、マネージャの同一ポートに送られる。
エ マネージャがエージェントにアクセスする管理情報のデータベースは、RDBと呼ばれる。

 正解:イ

・負荷分散装置=ロードバランサと思ってよい。ネットワークスペシャリスト試験ではLBと図に書かれることが多い。
・道路(road)ではなく、負荷(load)をバランス(balace)良く分配する装置(er) 
・過去問にはロードバランサの基本機能の説明として「クライアントからの要求が特定のサーバに集中しないように、複数のサーバに振り分ける。(H20NW午前 問9)」との記載がある。
・SSLによって暗号化されると、Cookieなどのデータの中身を見た負荷分散が行えない。SSLアクセラレータをどこに置くかという問題がSMで出題されていた。(H17年SM午後1 問3 設問2(2))

・HTTPはステートレスな通信である。そこで、HTTPの通信が毎回違うサーバに振り分けられるとやっかい。過去問では、どうやってセッションを保持するかについて問われたと思う。

・L4レベルとL7レベルの負荷分散装置がある。
・L3レベルの負荷分散は、負荷分散装置ではなくVRRPなどのルータの機能で実現することが多い。

・実際の製品としては、BigIPやリンクプルーフなどがあるだろう。また、Microsoft社のNLBの機能も、負荷分散装置ではないが、負荷分散の仕組みである。それ以外にはDNSラウンドロビンによる負荷分散をとる方法もある。

・仕組み
負荷分散装置が実IP以外に仮想IPアドレスを持つ。

               ┃
         ┏━━┻━━┓
         ┃負荷分散  ┃
         ┗━━┳━━┛
   IP 10.1.1.10┃  
               ┃  
   ━━━━━━┻━━━━━
┏━┻┓  ┏━┻┓  ┏━┻┓ 
┃WEB1┃  ┃WEB1┃  ┃WEB1┃ 
┗━┳┛  ┗━┳┛  ┗━┳┛ 
10.1.1.1  10.1.1.2  10.1.1.3

・実際の製品では、負荷分散の機能だけでなく、セキュリティ機能や高速化(SSLの高速化、帯域圧縮)機能なども付加した製品が多く、アプリケーションスイッチと呼ばれることもある。(試験には出ないと思う)

H21年NW午後1問3に負荷分散装置(LB:ロードバランサ)に関する出題がある。これを解説することで、負荷分散装置の理解を深めてほしい。
a

[増強するeシステムの構成]
 eシステムの増強は,情報システム部のP君が担当することになった。P君は,eシステムの利用者数と,ベンダから入手したパフォーマンスに関する仕様を基に,eSVRとLBの機種を選定した。また,コンテンツと管理情報の一元管理のために,ファイルサーバも併せて導入することにした。
選定したLBは,()処理の振分け機能,()[ ア ]維持機能,()ヘルスチェック機能 をもっている。()には,様々な方式がある。システムの応答時間は,eSVRの負荷の増加とともに長くなると考えられたので,応答時間が最短のeSVRに処理を振り分ける方式を採用することにした。()には,リクエスト元のIPアドレスに基づいて行うレイヤ3方式や,Webページにアクセスしたユーザに関する情報を保持する[ イ ]に埋め込まれた,セッションIDに基づいて行うレイヤ7方式などがある。eシステムを利用するPCには, IPアドレスが固定設定されているので,レイヤ3方式を利用することにした。()には,レイヤ3,レイヤ4及びレイヤ7の各レイヤで稼働状況を監視する方式がある。eシステムのサービスポートの稼働状況を監視するために,レイヤ4方式を利用することにした。
 LBの故障時に,ネットワーク構成を変更しなくてもeシステムの運用が継続できるように,LBとeSVRは,図の構成で設置することにした。 PCからのeシステム利用には,社内のPCを三つのブロックに分け,各ブロックのPCごとに,異なったeSVRのホスト名を指定させる。DNSで,三つのホスト名に一つのVIPを対応付けることによって,LB経由でeSVRに接続できる。このように, eSVRのホスト名を使い分けることで,LBの故障時にもDNSの設定変更によって,3台のeSVRに処理を振り分けることができる。選定したLBには, PCからVIPあてに送信されたパケットの,送信元IPアドレスをLBの実アドレスに変換してeSVRに転送する,ソースNAT機能がある。ソースNAT機能を利用すると,既設eSVRのネットワーク情報の設定変更が不要になる。しかし,管理上必要な情報が,eSVRのログから取得できなくなってしまう問題があるので,ソースNAT機能は利用しないことにした。

負荷分散装置の機能には以下がある。 ※問題文を活用して解説します。
(1)処理の振分け機能・・・負荷分散装置の基本機能
 「(i)には様々な方式がある。」と書かれているように、様々な方式があります。例えば、ラウンドロビン方式として順番に振り分ける、接続されているセッション数が少ないサーバに振り分ける、サーバの負荷を判断して振り分ける、などがあります。
 この問題では「応答時間が最短」のサーバに振り分けると述べられています。振分け方式は製品によって異なります。
 また、振り分ける際にL4レベルでの振分けも可能で、ポート番号を見てアプリケーションごとにサーバを振り分けることもできます。

(2)セッション維持機能・・・接続先のサーバが変化しても、利用者のセッションを維持する。
 ユーザが情報を入力したり、その入力情報に基づいた動きをするサーバの場合、LBにて違うサーバに接続させられては困る。

1)L3方式
リクエスト元のIPアドレスに基づいてセッションを維持する。実際には、一定時間が過ぎるとIPアドレス情報と接続サーバとの関係を保持した情報は廃棄されるであろう。

2)L7方式
Cookieに埋め込まれたセッションIDに基づいて行う。または、HTTPのヘッダ内容を見る場合がある。この場合は、TCPのコネクションを確立しないと中身を見ることができないので、LBがサーバの代わりに3Wayハンドシェイクのコネクションを確立する。その後、LBが接続するサーバのみとTCPコネクションを確立することになる。

(3)ヘルスチェック機能・・・サーバの生死を確認する機能
「レイヤ3、レイヤ4及びレイヤ7の各レイヤで稼働状況を監視する方式がある。」と述べられている。

後半に述べられている、LB故障時の仕組みは非常に面白い。
業務で参考にさせてもらうつもりだ。

よくある設計として、LBをインラインに入れる。つまり「PC→LB→サーバ」という一連の流れで接続するのだ。LBはフェールオープン機能が無いものが多いため、LBが故障すると、サーバへの通信ができなくなる。そこで、LBをやむなく(無駄に)二重化することが多い。
 情報処理試験のこの問題文では、LBを1台で運用する方法を書いている。LBをインラインに入れず、DNSの設定変更だけでサーバへアクセスできるようにしているのである。
何を言っているのか分からない人も多いかもしれないが、感動したのは私だけでは無いと思う。

2 
チーミングとリンクアグリゲーションって一緒ですか?
確か、同じと書いてある文献を見た気が・・・
それに、やっていることは同じですよね。
どちらも、LANケーブルを冗長化するので。
まあ、同じと考えてもいいが、厳密には違う。
多少乱暴ではあるば、リンクアグリゲーションは、NW機器の冗長化。チーミングはサーバのNICの冗長化と考えておいてよい。
 実際の設定も、リンクアグリゲーションの設定は、SWで設定し、チーミングの設定はサーバにて設定する。
 過去問では、両者に関して以下の説明がある。これからも、リンクアグリゲーションはNW機器、チーミングはサーバのNICの設定と考えられる。
これらのL2SWから,サーバ,NAS間の接続には,リンクアグリゲーションを設定します。サーバとNASのNICには,チーミング機能を設定して2本の回線に負荷を分散させ,[ ? ]と冗長化を図ります。(H23NW午後玉2)

ちなみに、[ ? ]には、帯域増大が入る。

■参考情報
某サーバの設定を確認したところ、チーミング方式は以下の3つがあった。
Active-Standby:Activeを使う。障害がおきればStandbyに
Active-Active:ロードバランス 
Active-Active:リンクアグリゲーションと同じ(だと思う)

※,両豺隋MACアドレスは2つのNICで同じものを使う。メーカによって違うが、仮想MACを持つのではなく、AcitveのMACアドレスをStanby時にも利用すると思う。

※の場合、100MのNICであれば200Mのスピードを出すことができる。しかし、対向もリンクアグリゲーションに対応している必要があるので、を使うことは少ないだろう。

過去問ではリンクアグリケーションのことを、「コンピュータとスイッチングハブ、又は2台のスイッチングハブの間を接続する複数の物理回線を論理的に1本の回線に束ねる技術(H20NW午前 問24)」と述べている。CiscoではFEC(Fast EtherChannel)とかGEC(Gigabit EtherChannel)と言われているので、イーサチャネルという言葉のほうがなじみ深いかもしれない。

では問題。リンクアグリゲーションの利点は何か?
これは即答してほしい。

答は、‖唹莖搬隋↓⊂蘢慌宗覆砲茲訖頼性向上)、である。(※過去問H23NW午後玉2より)
2
 
複数のポートを束ねることで、スイッチのMACアドレステーブルとかはややこしくならないんですか?
 そのあたりは仮想化の技術と同様で、利用者は意識する必要がなく、スイッチ側で処理している。
また、サーバのNICを冗長化する技術であるチーミングに関しても、理解してほしい。
女性直立

これは便利ですね。
最近はサーバとストレージ間で大容量の通信が必要になってます。
1Gを8本束ねれば、8Gbpsのスループットになりますね。
いや、ちょっと注意が必要だ。必ずしもそうとは限らない。
IPアドレスベースで負荷分散するため、同じIPアドレスとの通信だと、同じ線を使う。だから、8本あっても、実際には1本しか使われていないかもしれない。
女性ハテナ

なんでそんな仕様なんですか?
8本でロードバランスするような仕様にすればいいじゃないですか。
順序制御が難しいからね。
1000kのフレームと100kのフレームであれば、100kの方が速く届く。すると、フレームの順序が無茶苦茶になる可能性がある。だから、同じIPアドレス間の通信は同じ線で流すようにしている。イーサネットファブリックの仕組みは、技術的にこれを解消するものらしいので、対処できる製品もあるかもしれない。

■以下は参考情報
・IEEE802.3ad
・固定で静的に設定する(Cisco社の場合のコマンドではmode on)場合と、LACPなどのネゴシエーションのプロトコルを利用して動的に設定する場合がある。動的に設定する場合は、ネゴシエーションなどを自動でやってくれるので便利であるが、異機種の場合は静的に設定したほうがよいだろう。
・100Mを4本束ねることで400Mの通信を実現する。が、厳密に400Mかというと、そうではない。1つのコネクションでは1本しか使えない。なので、100Mのままである。だから、PC1対1の通信では100Mしかでない。4つ以上のコネクション(実質4台以上)になって初めて、400Mの通信が実現できる。

・Redundancyとは「余分、冗長」という意味で、VRRP(Virtual Router Redundancy Protocol)は、ルータの冗長化の仕組みで、複数のルータを論理的に1台に見せる技術です。
・過去問では「同一のLANに接続された複数のルータを、仮想的に1台のルータとして見えるようにして冗長構成を実現するプロトコル」とある。(H21NW午前 問16)
・仮想IPアドレスと仮想MACアドレスを持つ(仮想IPアドレスを実IPアドレスを同じにすることが多い)。
・CiscoでいうHSRP。HSRPとの違いは、仮想IPと実IPを共通化できるかどうか。HSRPは必ず別のIPアドレスにする必要がある。

設定内容
ルータA
・IPアドレス:192.168.1.1
・仮想IPアドレス 192.168.1.1
・グループ 10
・優先度 100

ルータB
・IPアドレス:192.168.1.2
・仮想IPアドレス 192.168.1.1
・グループ 10
・優先度 90

留意点
・グループ番号はルータAとルータBで同一にする。
・優先度が高い方がActiveになる。
・VRRPのグループを複数作成することができる。セグメントが多数ある場合は、セグメントごとにマスタルータを変えることでロードバランスが行える。

構成図
vrrp_ネットワークスペシャリスト試験

Ciscoでの設定例
上記の設計をもとにした設定例です。
ルータA
RouterA(config)#interface FastEthernet0
RouterA(config-if)# ip address 192.168.1.1 255.255.255.0
RouterA(config-if)# vrrp 10 ip 192.168.1.1
RouterA(config-if)# vrrp 10 priority 100

ルータB
RouterA(config)#interface FastEthernet0
RouterA(config-if)# ip address 192.168.1.2 255.255.255.0
RouterA(config-if)# vrrp 10 ip 192.168.1.1
RouterA(config-if)# vrrp 10 priority 90

実際の動き
・ルータAとルータBは、自動で仮想MACアドレスを作成する。
・PCは実IPアドレスではなく、仮想IP、仮想MACと通信する。(PCのARPテーブルには仮想MACが表示されるので、確認してみましょう)
・L2レベルのフレームはActiveとStandbyの両方に届く。このとき、Active側は受け取り、Standby側は破棄する。
・Activeがダウンした場合、Standby側が昇格してActiveになる必要がある。Activeがダウンしたかを知るために、VRRP広告(Helloパケット)を使う。ActiveからStandbyに定期的(基本は3秒)にHelloパケットをマルチキャストで送り、VRRP広告を受信できなかった場合、マスタルータがダウンしたと判断してStandby側が自動でActiveに昇格する。

過去問(H23NW午後2問2)を見てみよう。
VRRPでは,VRRPメッセージ(VRRP advertisement)がマスタルータから[ イ ]ルータヘ送信され,マスタルータの稼働状態が報告される。VRRPメッセージは,宛先IPアドレスが224.0.0.18の[ ウ ]キャスト通信である。Priority値は,大小関係で優先順位が決まり,PreemptモードではL3SWの起動タイミングに関係なく,最も[ エ ]値をもつルータが,マスタルータになる。

[正解]
イ バックアップ
ウ マルチ
エ 大きい

超参考情報
H23NW午後玉2設問2(5)にて、「VRRPメッセージに含まれる情報」が問われた。解答は
・VRRPグループID
・Priority値
・仮想IPアドレス
※実際は、これ以外にもある。。

参考ではあるが、この仮想IPアドレスは使っているのであろうか?
なぜこういう質問をするかというと、仮想IPアドレスは、VRRPを設定するルータに固定で設定するからだ。だから、わざわざVRRPメッセージで送る必要がない。
女性ハテナ 
例えば、マスタルータとバックアップルータで仮想IPアドレスを変えたらどうなりますか?
固定で設定した仮想IPアドレスを利用するのか、VRRPメッセージで受け取った仮想IPアドレスを使うのか、どちらでしょう。
実験してみました。※ちょろっと検証しただけなので、間違っていたらごめんなさい。
YAMAHAルータ、Vyatta
固定で設定した仮想IPアドレスを引き継ぐ。VRRPメッセージの仮想IPアドレスを使わない。
Cisco、Allied
VRRPグループ内で、仮想IPアドレスが違うと、VRRPが有効に機能しない。

要調査
VRRPで、障害が復旧したら、優先度はすぐに戻る?→Preemptにも絡むと思う

このページのトップヘ