ネットワークスペシャリスト - SE娘の剣 -

ネットワークスペシャリストの試験対策サイトです。
ネスペ試験の合格体験談、合格のコツ、過去問解説、基礎知識などの情報を掲載します。

カテゴリ: 14.可用性、信頼性

 バックアップ対策を検討する際において、復旧にかかる時間や、どの時点までデータを復元できるかは大事な要素です。これらの指標として、RTO(目標復旧時間)とRPO(目標復旧時点)があります。どちらも,短時間であればあるほど,対策費用は大きくなります。

RPO(目標復旧時点:Recovery Point Objective)
 RPOは,障害発生からどの時点までデータを復旧できるかの時間です。
RTO(目標復旧時間:Recovery Time Objective)
 RTOは,障害が発生してからシステムが復旧するまでに要する時間です。

H20NW午後橘2にRTO関連の問題がある。
バックアップ対策を実施する際の要件として、RPO(Recovery Point Objective)、RTO(Recovery Time Objective)が重要である。ここでは、RPOは、障害発生からどの時点までデータを復旧できるかを表す指標とし、RTOは、障害が発生してからシステムが復旧するまでの時間を表わす指標とする。どちらも、短時間であればあるほど、費用は大きくなる。

RTOとRPO

IPAが発表する応用情報のシラバスに、ネットワーク管理に関して以下の記述がある。これを参考に、今後詳しく書いていきたい。

(1)ネットワーク運用管理
1) 構成管理
構成情報を維持し,変更を記録する構成管理の管理方法を理解する。
【用語例】 ネットワーク構成,バージョン

2) 障害管理
障害の検出,分析,対応を行う障害管理の管理方法を理解する。
【用語例】 情報収集,障害の切分け,障害原因の特定,復旧措置,記録

3) 性能管理
トラフィック量と転送時間の関係の分析などによる,ネットワークの性能の管理方法を理解する。
【用語例】 トラフィック監視

(2)ネットワーク管理ツール
ネットワーク管理に利用されているツールの機能,仕組みを理解する。
【用語例】 ping,ipconfig,arp,netstat

(3)SNMP
ネットワークを構成する機器を集中管理するためのプロトコルであるSNMP とMIB(Management Information Base:管理情報ベース)を使用したトラフィック解析方法を理解する。
【用語例】 SNMP エージェント,SNMP 管理ステーション,get 要求,put 要求,trap 要求

1) 構成管理
過去問では、ネットワーク構成の管理に関して、「ネットワーク構成の変更の都度、ネットワーク構成図を更新する。(H19NW午前 問17)」と述べられている。H16NW午前問17
H16NW午前問45 SNMP

■全般
・過去問ではSNMPに関して、「TCP/IPの環境で使用されるプロトコルのうち、構成機器や障害時の情報収集を行うために使用されるネットワーク管理プロトコル(H20秋AP午前-問60)」と述べている。
・UDP161と162を使う。
・コミュニティはpublicが一般的。本当は変えたほうがよい。ネットワークを流れるときは暗号化されずに流れる。
過去問(H23NW午後1問3)を見てみよう。
・監視対象となる機器は,SNMP v1/v2c 対応の機器を導入する。監視の対象範囲に[ カ ]名を付け,監視SVがこれを指定して,対象機器に問い合わせる。

[正解]
カ:コミュニティ

・Trapとポーリングは絶対に覚えましょう。※過去問(H23午後橘1)では、穴埋めでTrapが問われた。解答例は、最初のTが大文字で「Trap」)
snmp
・trapに関して過去問では、「ネットワーク管理プロトコルであるSNMPバージョン1のメッセージタイプのうち、異常や事象の発生を自発的にエージェント自身がマネージャに知らせるために使用するもの(H21NW午前2-17)」と述べられています。
・Simpleという名のとおり、プロトコルは単純である。SNMPマネージャとSNMPエージェント間のメッセージの種類は6つしかない。
・機器側ではMIB(Management Information Base)というツリー構造のデータベースを持って、問いかけに対して答えるだけというシンプルな動きである。仕組みが簡単なので、安価なSwitchなどでもSNMP機能を有することが多い。
・インテリジェントSwitchやSNMP対応Switchと書かれている場合には、SNMPの情報を持つことで、ステータス情報をマネージャとやりとりできる。

◆SNMPのメッセージ
シンプルと言われるだけあって、わずか5種のメッセージしかない
1)Get-Request
2)Get-Next-Request
3)Get-Response
4)Set-Request
5)Trap

■バージョン
・v1→v2→v3
・現在はv2が主流かな
・v2による改良点は、GetBulkRequestによる複数一括の処理など
・v1とv2の互換性は無い
・v3ではセキュリティが強化されており、コミュニティ名が暗号化されたりする(と思う)

■MIB
・管理情報をMIBと呼ばれるデータベースに保存する。
・拡張MIB(またはPrivateMIBだとおもう)により、独自の管理ができる。
・MIB1は144種、MIB2は171種のオブジェクトが定義されている。各オブジェクトはOID(ObjectID)で識別される。MIB2はMIB1に対して下方互換がある。

◆RMON(Remote Network Monitoring)
Remoteという言葉のとおり、遠隔から監視する。SNMPを拡張している。
MIBはある一点の情報を表示するのに対し、RMONでは点を線にして監視する。その結果、ネットワークの使用率なども管理できる。
RMON1はレイヤ2の情報、RMON2はレイヤ3以上の情報を持つ。

◆過去問より
過去問で、SNMPを理解するに相応しい出題があるので紹介する。正解以外の選択肢についても、なぜ間違っているかを理解してほしい。

【H18NW午前 問45】
TCP/IPにおけるネットワーク管理プロトコルであるSNMPに関する記述のうち、適切なものはどれか。
 
ア SNMPで定義されているメッセージは、マネージャからの要求に対してエージェントが応答する形式のものだけである。
イ SNMPは、UDPを用いている。
ウ エージェントからのすべてのメッセージは、マネージャの同一ポートに送られる。
エ マネージャがエージェントにアクセスする管理情報のデータベースは、RDBと呼ばれる。

 正解:イ

・負荷分散装置=ロードバランサと思ってよい。ネットワークスペシャリスト試験ではLBと図に書かれることが多い。
・道路(road)ではなく、負荷(load)をバランス(balace)良く分配する装置(er) 
・過去問にはロードバランサの基本機能の説明として「クライアントからの要求が特定のサーバに集中しないように、複数のサーバに振り分ける。(H20NW午前 問9)」との記載がある。
・SSLによって暗号化されると、Cookieなどのデータの中身を見た負荷分散が行えない。SSLアクセラレータをどこに置くかという問題がSMで出題されていた。(H17年SM午後1 問3 設問2(2))

・HTTPはステートレスな通信である。そこで、HTTPの通信が毎回違うサーバに振り分けられるとやっかい。過去問では、どうやってセッションを保持するかについて問われたと思う。

・L4レベルとL7レベルの負荷分散装置がある。
・L3レベルの負荷分散は、負荷分散装置ではなくVRRPなどのルータの機能で実現することが多い。

・実際の製品としては、BigIPやリンクプルーフなどがあるだろう。また、Microsoft社のNLBの機能も、負荷分散装置ではないが、負荷分散の仕組みである。それ以外にはDNSラウンドロビンによる負荷分散をとる方法もある。

・仕組み
負荷分散装置が実IP以外に仮想IPアドレスを持つ。

               ┃
         ┏━━┻━━┓
         ┃負荷分散  ┃
         ┗━━┳━━┛
   IP 10.1.1.10┃  
               ┃  
   ━━━━━━┻━━━━━
┏━┻┓  ┏━┻┓  ┏━┻┓ 
┃WEB1┃  ┃WEB1┃  ┃WEB1┃ 
┗━┳┛  ┗━┳┛  ┗━┳┛ 
10.1.1.1  10.1.1.2  10.1.1.3

・実際の製品では、負荷分散の機能だけでなく、セキュリティ機能や高速化(SSLの高速化、帯域圧縮)機能なども付加した製品が多く、アプリケーションスイッチと呼ばれることもある。(試験には出ないと思う)

H21年NW午後1問3に負荷分散装置(LB:ロードバランサ)に関する出題がある。これを解説することで、負荷分散装置の理解を深めてほしい。
a

[増強するeシステムの構成]
 eシステムの増強は,情報システム部のP君が担当することになった。P君は,eシステムの利用者数と,ベンダから入手したパフォーマンスに関する仕様を基に,eSVRとLBの機種を選定した。また,コンテンツと管理情報の一元管理のために,ファイルサーバも併せて導入することにした。
選定したLBは,()処理の振分け機能,()[ ア ]維持機能,()ヘルスチェック機能 をもっている。()には,様々な方式がある。システムの応答時間は,eSVRの負荷の増加とともに長くなると考えられたので,応答時間が最短のeSVRに処理を振り分ける方式を採用することにした。()には,リクエスト元のIPアドレスに基づいて行うレイヤ3方式や,Webページにアクセスしたユーザに関する情報を保持する[ イ ]に埋め込まれた,セッションIDに基づいて行うレイヤ7方式などがある。eシステムを利用するPCには, IPアドレスが固定設定されているので,レイヤ3方式を利用することにした。()には,レイヤ3,レイヤ4及びレイヤ7の各レイヤで稼働状況を監視する方式がある。eシステムのサービスポートの稼働状況を監視するために,レイヤ4方式を利用することにした。
 LBの故障時に,ネットワーク構成を変更しなくてもeシステムの運用が継続できるように,LBとeSVRは,図の構成で設置することにした。 PCからのeシステム利用には,社内のPCを三つのブロックに分け,各ブロックのPCごとに,異なったeSVRのホスト名を指定させる。DNSで,三つのホスト名に一つのVIPを対応付けることによって,LB経由でeSVRに接続できる。このように, eSVRのホスト名を使い分けることで,LBの故障時にもDNSの設定変更によって,3台のeSVRに処理を振り分けることができる。選定したLBには, PCからVIPあてに送信されたパケットの,送信元IPアドレスをLBの実アドレスに変換してeSVRに転送する,ソースNAT機能がある。ソースNAT機能を利用すると,既設eSVRのネットワーク情報の設定変更が不要になる。しかし,管理上必要な情報が,eSVRのログから取得できなくなってしまう問題があるので,ソースNAT機能は利用しないことにした。

負荷分散装置の機能には以下がある。 ※問題文を活用して解説します。
(1)処理の振分け機能・・・負荷分散装置の基本機能
 「(i)には様々な方式がある。」と書かれているように、様々な方式があります。例えば、ラウンドロビン方式として順番に振り分ける、接続されているセッション数が少ないサーバに振り分ける、サーバの負荷を判断して振り分ける、などがあります。
 この問題では「応答時間が最短」のサーバに振り分けると述べられています。振分け方式は製品によって異なります。
 また、振り分ける際にL4レベルでの振分けも可能で、ポート番号を見てアプリケーションごとにサーバを振り分けることもできます。

(2)セッション維持機能・・・接続先のサーバが変化しても、利用者のセッションを維持する。
 ユーザが情報を入力したり、その入力情報に基づいた動きをするサーバの場合、LBにて違うサーバに接続させられては困る。

1)L3方式
リクエスト元のIPアドレスに基づいてセッションを維持する。実際には、一定時間が過ぎるとIPアドレス情報と接続サーバとの関係を保持した情報は廃棄されるであろう。

2)L7方式
Cookieに埋め込まれたセッションIDに基づいて行う。または、HTTPのヘッダ内容を見る場合がある。この場合は、TCPのコネクションを確立しないと中身を見ることができないので、LBがサーバの代わりに3Wayハンドシェイクのコネクションを確立する。その後、LBが接続するサーバのみとTCPコネクションを確立することになる。

(3)ヘルスチェック機能・・・サーバの生死を確認する機能
「レイヤ3、レイヤ4及びレイヤ7の各レイヤで稼働状況を監視する方式がある。」と述べられている。

後半に述べられている、LB故障時の仕組みは非常に面白い。
業務で参考にさせてもらうつもりだ。

よくある設計として、LBをインラインに入れる。つまり「PC→LB→サーバ」という一連の流れで接続するのだ。LBはフェールオープン機能が無いものが多いため、LBが故障すると、サーバへの通信ができなくなる。そこで、LBをやむなく(無駄に)二重化することが多い。
 情報処理試験のこの問題文では、LBを1台で運用する方法を書いている。LBをインラインに入れず、DNSの設定変更だけでサーバへアクセスできるようにしているのである。
何を言っているのか分からない人も多いかもしれないが、感動したのは私だけでは無いと思う。

そもそも、なぜSTPが必要なのか?
女性笑顔
これは分かります。
機器間でBPDU(Bridge Protocol Data Unit)をやりとりすることで、ループを防ぐため。ループが発生すると、ネットワークが輻輳状態になって、通信ができないからです。
そのとおり。
だが、LANの設計をするときに、あえてループを作ることが一般的である。なぜだろうか?
それは、ループ構成を組んで、STPを有効にしておけば、障害時にはそのループが迂回経路になるからだ。しかも、障害時には自動的にSTPの再計算が走って、迂回経路に自動切り替えしてくれるから便利である。
従来のCSTでは、切り替えのコンバージェンス(収束)に40秒ほどかかっていたが、RSTPなどでは、数秒で切り替わる。

STPの目的を整理すると次の2つになる。

STPの目的
.襦璽廚硫麋
⊃頼性向上(冗長性の確保)

過去問では、スパニングツリーの機能を、「複数のブリッジ間で情報を交換し合い、ループ発生や障害時の迂回ルート決定を行う。(平成17年度 午前 問44)」、「BPDUと呼ばれる制御フレームをやり取りして通信のループを回避するプロトコル。(平成21年度 午後1問1)」と述べています。

デメリット
STPによるデメリットもあります。それは、「PCを接続しても直ちに通信が可能な状態にならない(H21NW午後1問1設問3(3)」ことです。
STPが有効なSwitchingHUBにPCを接続しても、IEEE802.1Dによる通常のSTPの場合、BPDUのやりとりが行われるので、正常に接続されるまでに40秒ほどかかってしまう。

PC→HUB→STP有効のSW→DHCPサーバ

という構成の場合、PCがDHCPによるIPアドレスを要求しても、STP有効のSWがリンクアップされず、DHCPサーバからIPアドレスが取得できないという問題が発生することもある。

STPの無効化
スイッチ全体で無効にする場合(no spanning-tree protocol)と、ポート単位で無効にする(portfast)場合がある。上記で書いたような問題を回避するために、PCを接続するポートには、portfastを入れることがあります。

以下は情報処理試験では出題されないと思いますので参考程度に

スパニングツリーの種類
・STP(Spanning Tree Protocol):IEEE 802.1Dで規定 ←Dは大文字が正式。
・PVST(Per VLAN Spaninng Tree) VLANごとのSpaninng Tree。※CiscoではPVST+
・RSTP(Rapid Spanning Tree):IEEE 802.1wで切り替えが速いSTP。現在はIEEE802.1Dに統合されている。CSTPの場合、トポロジー変更があったことをTCN(Topology Change Notification)BPDUで知らせ、そこから再計算をスタートさせる。RSTPではTCN BPDUをネットワーク全体に伝えることはせず、変更が必要なスイッチと直接やりとり(Handshake方式)を行うことで、高速化している。ただ、リンクダウンなどではなく、リンクアップや機器が追加された場合は、全体の再計算が必要なので、通常のSTPと同様の収束時間が必要。
・MSTP(Multiple Spanning Tree Protocol):IEEE802.1s。PVSTはVLANごとのSTP。しかし、VLANが増えてくると、それぞれでSTPを処理すると負荷が増える。そこで、VLANをまとめてインスタンスというグループを作り、そのグループでSTPを設定する。

参考
119通報のシステムトラブルは、STPの設定をしなかったためにループを起こしたことのようだ。「システム障害はなぜ二度起きたか」(日経BP社)は、「2011年1月、消防車や救急車の出動を支援する東京消防庁の情報システムがダウンし、119通報がつながりにくくなる事態が発生した。原因は一本のLANケーブルの誤接続によって通信の「ループ」が発生したこと。予備システムも機能せず、影響は約四時間半に及んだ」と述べられている。

ブロックポートの決め方
・ルートブリッジは、ネットワークの状態を自分を中心としたツリー構造として把握する。
・一定間隔でBPDU(Bridge Protocol Data Unit)パケットを交換する。ルートブリッジ以外は転送するだけ。RSTPでは全スイッチが相互に交換する仕組みとなり、高速な収束を可能にしている。
・最小のブリッジID(プライオリティ+MACアドレス)を持つ機器がルートブリッジ。デフォルトのプライオリティは32768
 [BID(8byte)]=[ プライオリティ(2byte)][ MACアドレス(6byte)] で構成されるため、MACアドレスよりもプライオリティが優先される。
・ステータスは ブロッキング(20秒)→リスニング(15秒)→ラーニング(15秒)→フォワーディング
 RSTP(802.1w)ではブロッキングやリスニングをまとめてディスカーディングとしている。
・ブロッキングポート(非指定ポート)の決め方。
 1)各スイッチで、ルートブリッジに最も近いポートがルートポート
 2)各セグメント(機器と機器をつないだ線)で、ルートブリッジに最も近いポートが指定ポート
 3)それ以外がブロック(非指定)ポートでブロックされる。

※ややこしいが、実際には結構シンプル。ルートブリッジに最も遠いところがブロックされるだけ。

過去問にて
STPによる経路に関する出題があるので紹介する。
【H20NW午前 問44】
図は、レイヤ2スイッチによって、スパニングツリープロトコルを用いて構成されるLANを示す。各スイッチにブリッジプライオリティ設定値は等しく、パスコストは10Mビット/秒ポートに100、100Mビット/秒ポートに19が設定されている。PC1とPC2の通信に使用される経路はどれか。ここで、i,j,kはそれぞれ同じ数値を示す。


stp
本来は4択であるが、自分の言葉で解答を考えてほしい。

正解:スイッチA-C-Bを使用

※H20NW午後1問4には、SWのブリッジのプライオリティの決め方を問う問題があった。
ブロックされたポート(NDP)では、フレームの転送は行わない。
女性ハテナ 

NDPのつながっている両方をNDPとしてブロックしては?
どうせ、通信はしないんでしょ。
NDPはBPDUの受信をするが、送信もしない。BPDUを交換しないと、STPのトポロジー変更に対応できない。なので、両方NDPにするのではなく、片方は、BPDUを送信するDPにする。

過去問(平成25年NW午後玉1)を解いてみよう
・L2SWとL3SWでは,  STP (Spanning Tree Protocol)が動作している。L3SW1をルートブリッジとするために,L3SW1のブリッジIDは〔 イ 〕の値となっている。

スパニングツリーは、言葉の通りツリー(tree)構造になっています。そのツリー構造の根(root)、つまり起点になるのがルートブリッジです。ルートブリッジとなるためにはブリッジIDがどのような値であるべきかを問われています。ルートブリッジとして選出されるのは、最小のブリッジIDを設定されたスイッチと決められています。

解答:最小


IEEE802.1s
PVSTはVLANごとのSTP。しかし、VLANが増えてくると、それぞれでSTPを処理すると負荷が増える。そこで、VLANをまとめてインスタンスというグループを作り、そのグループでSTPを設定する。

過去問(H24年NW午後玉2)を見てみよう
STPを調査したところ,今回設定したSTPは,ツリーをVLANごとに構成できないことが分かった。詳しく調べると,VLANごとにツリーを構成するためには.  IEEE802.1sで規定されているMSTP (Multiple spanning Tree Protocol)を使うことが必要であった。
MSTPは,複数のVLANをインスタンスと呼ばれるグループにまとめ,インスタンス単位でスパニングッリーの計算を行う。このとき,インスタンスごとにルートブリッジ及びブロッキングポートが決定され,インスタンス単位にツリーが構成される。

2 
チーミングとリンクアグリゲーションって一緒ですか?
確か、同じと書いてある文献を見た気が・・・
それに、やっていることは同じですよね。
どちらも、LANケーブルを冗長化するので。
まあ、同じと考えてもいいが、厳密には違う。
多少乱暴ではあるば、リンクアグリゲーションは、NW機器の冗長化。チーミングはサーバのNICの冗長化と考えておいてよい。
 実際の設定も、リンクアグリゲーションの設定は、SWで設定し、チーミングの設定はサーバにて設定する。
 過去問では、両者に関して以下の説明がある。これからも、リンクアグリゲーションはNW機器、チーミングはサーバのNICの設定と考えられる。
これらのL2SWから,サーバ,NAS間の接続には,リンクアグリゲーションを設定します。サーバとNASのNICには,チーミング機能を設定して2本の回線に負荷を分散させ,[ ? ]と冗長化を図ります。(H23NW午後玉2)

ちなみに、[ ? ]には、帯域増大が入る。

■参考情報
某サーバの設定を確認したところ、チーミング方式は以下の3つがあった。
Active-Standby:Activeを使う。障害がおきればStandbyに
Active-Active:ロードバランス 
Active-Active:リンクアグリゲーションと同じ(だと思う)

※,両豺隋MACアドレスは2つのNICで同じものを使う。メーカによって違うが、仮想MACを持つのではなく、AcitveのMACアドレスをStanby時にも利用すると思う。

※の場合、100MのNICであれば200Mのスピードを出すことができる。しかし、対向もリンクアグリゲーションに対応している必要があるので、を使うことは少ないだろう。

過去問ではリンクアグリケーションのことを、「コンピュータとスイッチングハブ、又は2台のスイッチングハブの間を接続する複数の物理回線を論理的に1本の回線に束ねる技術(H20NW午前 問24)」と述べている。CiscoではFEC(Fast EtherChannel)とかGEC(Gigabit EtherChannel)と言われているので、イーサチャネルという言葉のほうがなじみ深いかもしれない。

では問題。リンクアグリゲーションの利点は何か?
これは即答してほしい。

答は、‖唹莖搬隋↓⊂蘢慌宗覆砲茲訖頼性向上)、である。(※過去問H23NW午後玉2より)
2
 
複数のポートを束ねることで、スイッチのMACアドレステーブルとかはややこしくならないんですか?
 そのあたりは仮想化の技術と同様で、利用者は意識する必要がなく、スイッチ側で処理している。
また、サーバのNICを冗長化する技術であるチーミングに関しても、理解してほしい。
女性直立

これは便利ですね。
最近はサーバとストレージ間で大容量の通信が必要になってます。
1Gを8本束ねれば、8Gbpsのスループットになりますね。
いや、ちょっと注意が必要だ。必ずしもそうとは限らない。
IPアドレスベースで負荷分散するため、同じIPアドレスとの通信だと、同じ線を使う。だから、8本あっても、実際には1本しか使われていないかもしれない。
女性ハテナ

なんでそんな仕様なんですか?
8本でロードバランスするような仕様にすればいいじゃないですか。
順序制御が難しいからね。
1000kのフレームと100kのフレームであれば、100kの方が速く届く。すると、フレームの順序が無茶苦茶になる可能性がある。だから、同じIPアドレス間の通信は同じ線で流すようにしている。イーサネットファブリックの仕組みは、技術的にこれを解消するものらしいので、対処できる製品もあるかもしれない。

■以下は参考情報
・IEEE802.3ad
・固定で静的に設定する(Cisco社の場合のコマンドではmode on)場合と、LACPなどのネゴシエーションのプロトコルを利用して動的に設定する場合がある。動的に設定する場合は、ネゴシエーションなどを自動でやってくれるので便利であるが、異機種の場合は静的に設定したほうがよいだろう。
・100Mを4本束ねることで400Mの通信を実現する。が、厳密に400Mかというと、そうではない。1つのコネクションでは1本しか使えない。なので、100Mのままである。だから、PC1対1の通信では100Mしかでない。4つ以上のコネクション(実質4台以上)になって初めて、400Mの通信が実現できる。

このページのトップヘ