ICTSC Tech Blog

ICTSC2025 一次予選 問題解説: 問7 - 問11

ICTSC2025 問題解説

問7

架空の会社であるA社の現在の社員数と部署ごとに下記の通りにサブネットが割り当てられている。どの部署も1人1 IP アドレスを利用しており、部署ごとにサブネットを分けるという社内ルールがある。また、各サブネットごとにゲートウェイ用 IP アドレスとして3つの IP アドレスが確保される。

  • 総務部:50人 192.168.0.0/26
  • 経理部:20人 192.168.0.64/27
  • 法務部:25人 192.168.0.96/27
  • 企画部:100人 192.168.0.128/25
  • 第一営業部:200人 192.168.100.0/24
  • 第二営業部:240人 192.168.110.0/24
  • 第一開発部:220人 192.168.200.0/24
  • 第二開発部:250人 192.168.210.0/24

今年も採用活動がうまくいき、下記の通りの人数の新規入職者が配属されることが決定した。

  • 総務部:3人
  • 経理部:1人
  • 法務部:3人
  • 第一営業部:2人
  • 第二営業部:2人
  • 第二開発部:5人

Aさんは総務部で社内のネットワークを管理している。新規入職者が利用する IP アドレスを払い出そうとしているが、速やかに解決すべき課題があることに気づき上司に報告することにした。

上司に報告する課題について適当なものを全て選べ。

選択肢(複数選択)

  1. 総務部の IP アドレスが足りない
  2. 経理部の IP アドレスが足りない
  3. 法務部の IP アドレスが足りない
  4. 企画部の IP アドレスが足りない
  5. 第一営業部の IP アドレスが足りない
  6. 第二営業部の IP アドレスが足りない
  7. 第一開発部の IP アドレスが足りない
  8. 第二開発部の IP アドレスが足りない
  9. Aさんの勘違いで特に問題はない

正解

3,8

解説

各サブネットの利用可能IPアドレスは下記の通り。

  • /27:30 IPアドレス
  • /26:62 IPアドレス
  • /25:126 IPアドレス
  • /24:254 IPアドレス

ゲートウェイ用として3IPアドレス確保するよう記述があるのでホストに使えるIPアドレスは上記から3を引いたものとなる。

  • /27:27 IPアドレス
  • /26:59 IPアドレス
  • /25:123 IPアドレス
  • /24:251 IPアドレス

現在の利用者数、サブネット、配属数を見比べてみると下記が分かる。
よって答えは 3,8 となる。

  1. 総務部の社員数は3名増えて53名。/26で賄うことができる。
  2. 経理部の社員数は1名増えて21名。/27で賄うことができる。
  3. 法務部の社員数は3名増えて28名。/27では賄うことができない。
  4. 企画部の社員数は100名のままで変更なし。
  5. 第一営業部の社員数は2名増えて202名となり/24で賄なうことができる。
  6. 第二営業部の社員数は2名増えて242名となり/24で賄なうことができる。
  7. 第一開発部の社員数は220名のままで変更なし。
  8. 第二開発部の社員数は5名増えて255名。/24では賄うことができない。

問8

問7で上司に報告した課題の解決策について、適当なもの全て選べ。

選択肢(複数選択)

  1. 総務部のサブネットを 192.168.0.0/25 に拡張する
  2. 経理部のサブネットを 192.168.0.64/25 に拡張する
  3. 法務部のサブネットを 192.168.0.64/26 に拡張する
  4. 企画部のサブネットを 192.168.0.128/24 に拡張する
  5. 第一営業部のサブネットを 192.168.100.0/23 に拡張する
  6. 第二営業部のサブネットを 192.168.110.0/23 に拡張する
  7. 第一開発部のサブネットを 192.168.200.0/23 に拡張する
  8. 第二開発部のサブネットを 192.168.210.0/23 に拡張する
  9. 上記回答では解消されない問題がある

正解

8,9

解説

問題7の結果から解決すべき問題があるのは法務部、第二開発部のサブネットとなる。
それぞれの選択肢を見てみると

3. 法務部のサブネットを 192.168.0.64/26 に拡張する

   →192.168.0.64/26 にした場合、経理部サブネットと重複することになり部署ごとにサブネットを分けるというルールを満たしていないため不適切。

8. 第二開発部のサブネットを 192.168.210.0/23 に拡張する

   →192.168.210.0/23 に拡張した場合、利用可能な IP アドレスの数が507となり解決策として適切。

9. 上記回答では解消されない問題がある

   →法務部のサブネットについては1-8の選択肢では問題が解決しないためこちらが適切。

よって解答は 8,9 となる。

問9

Zさんは、Cisco社のネットワーク機器で構成されたとある専用サーバサービスのネットワーク運用をしている。新規顧客(CustomerB)がサーバを契約してくれたので、Zさんはこれからネットワークの開通作業を行う。CustomerB の契約開始日まで余裕があるが、Zさんは事前に設定を入れておくことにした。

全区間結線が完了し、ルータである GW1 と GW2 の設定も完了している。また、顧客同士の通信はルータでは折り返さない仕様になっている。残りはスイッチ SW1 と SW2 のみの設定となった。

Zさんは CustomerB に SW1 と SW2 の GigabitEthernet0/2 と VLAN101 をアサインしようと考えてる。各機器の現在の設定内容は以下の通りである。

以下は SW1 の設定から一部抜粋したものである。

~中略~
interface Port-channel1
description To_SW2
switchport trunk allowed vlan 100
switchport mode trunk

interface GigabitEthernet0/1
description To_CustomerA_Main
switchport access vlan 100
switchport mode access

interface GigabitEthernet0/47
description UPlink
switchport trunk allowed vlan 100
switchport mode trunk

interface GigabitEthernet0/49
description To_SW2_Int0/49
switchport trunk allowed vlan 100
switchport mode trunk
channel-group 1 mode on

interface GigabitEthernet0/50
description To_SW2_Int0/50
switchport trunk allowed vlan 100
switchport mode trunk
channel-group 1 mode on

~中略~

以下は SW2 の設定から一部抜粋したものである。

~中略~
interface Port-channel1
description To_SW1
switchport trunk allowed vlan 100
switchport mode trunk

interface GigabitEthernet0/1
description To_CustomerA_Sub
switchport access vlan 100
switchport mode access

interface GigabitEthernet0/47
description UPlink
switchport trunk allowed vlan 100
switchport mode trunk

interface GigabitEthernet0/49
description To_SW1_Int0/49
switchport trunk allowed vlan 100
switchport mode trunk
channel-group 1 mode on

interface GigabitEthernet0/50
description To_SW1_Int0/50
switchport trunk allowed vlan 100
switchport mode trunk
channel-group 1 mode on
~中略~

Zさんは下記コマンドをそれぞれの SW に投入し、config を commit、保存し作業を完了させた。作業完了後一息ついていると CustomerA から問い合わせの連絡が来た。

以下は SW1 に投入したコマンドである。

interface GigabitEthernet0/2
description To_CustomerB_Main
switchport access vlan 101
switchport mode access

interface Port-channel1
switchport trunk allowed vlan 101

interface GigabitEthernet0/47
switchport trunk allowed vlan 101

以下は SW2 に投入したコマンドである。

interface GigabitEthernet0/2
description To_CustomerB_Main
switchport access vlan 101
switchport mode access

interface Port-channel1
switchport trunk allowed vlan 101

interface GigabitEthernet0/47
switchport trunk allowed vlan 101

この時の CustomerA の問い合わせ内容とそれに対応すべき内容について最も適当なものを1つ選べ。

選択肢(択一選択)

  1. 接続不良に関する問い合わせ。設定作業直後から想定しない通信を検知している。Zさんはヒアリングするために CustomerA へ連絡する
  2. 接続不良に関する問い合わせ。設定作業直後から接続しづらい状況が不定期に発生している。Zさんは GW にて ARP の調査を行い、状況をヒアリングするために CustomerA へ連絡する
  3. 接続不良に関する問い合わせ。設定作業直後から接続しづらい状況が続いている。Zさんは SW にて Interface の利用帯域を調査し、状況をヒアリングするために CustomerA へ連絡する
  4. 接続不良に関する問い合わせ。設定作業直後から接続できない状況が続いている。Zさんは SW の設定を切り戻し、状況をヒアリングするために CustomerA へ連絡する
  5. 接続不良に関する問い合わせ。設定作業直後から接続できない状況が続いている。Zさんは SW の再起動を行い、状況をヒアリングするために CustomerA へ連絡する

正解

4

解説

今回の問題はvlan add vlan-nameコマンドを把握していることがカギとなる。

SW1,SW2に投入したコマンドを見ると switchport trunk allowed vlan 101 となっており、結果 Port-channel1GigabitEthernet0/47vlan 101 のみが所属することになる。
その結果 vlan 100 を利用している CustomerA は GW1,GW2 への到達性を失うこととなる。

  1. 接続不良に関する問い合わせ。設定作業直後から想定しない通信を検知している。Zさんはヒアリングするために CustomerA へ連絡する。

     →通信断となっており、通信は検知しないため不適切。

  2. 接続不良に関する問い合わせ。設定作業直後から接続しづらい状況が不定期に発生している。Zさんは GW にて ARP の調査を行い、状況をヒアリングするために CustomerA へ連絡する。

     →接続しづらい状況不定期に発生しているということは通信ができているときもあるということになるため不適切。

  3. 接続不良に関する問い合わせ。設定作業直後から接続しづらい状況が続いている。Zさんは SW にて Interface の利用帯域を調査し、状況をヒアリングするために CustomerA へ連絡する。

     →問い合わせ内容としては妥当。

      本ケースでは利用帯域を調査することは解決にはつながらないため適切とは言えない。

  4. 接続不良に関する問い合わせ。設定作業直後から接続できない状況が続いている。Zさんは SW の設定を切り戻し、状況をヒアリングするために CustomerA へ連絡する。

     →問い合わせ内容は妥当。

      設定を切り戻した場合CustomerAの通信は復旧するので妥当。

      また、その後の状況ヒヤリングという動作も妥当。

  5. 接続不良に関する問い合わせ。設定作業直後から接続できない状況が続いている。Zさんは SW の再起動を行い、状況をヒアリングするために CustomerA へ連絡する。

     →問い合わせ内容は妥当。

      config を保存しているので再起動しても事象は変わらないため不適切。

問10

架空の会社であるA社では下記のように業務サーバサブネットへの通信については FW(ファイアウォール)を経由させることになっている。各ネットワーク機器は Juniper Network 社製のものを採用している。ルータA、B、Cはそれぞれ FW と直接つながっており、ルーティングには OSPF を用いている。また事務サブネットと営業サブネット間は FW を経由せずに通信が可能となっている。

A社の情報システム担当であるZさんは、近年事務サブネットから業務サーバサブネットへの接続頻度が上がってきており、通信断に対する業務影響が無視できなくなってきているらしいと耳にした。そのため、ZさんはルータAと FW 間がシングル接続であることを気にしている。

Zさんはすぐに実施できそうな対策を考えた結果、下記のアイデアを思いついた。

ルータAが業務サーバサブネットと通信するときの next-hop をルータBにすれば、ルータAと FW の間が切れた場合でも通信できるのではないか

善は急げということで、Zさんは下記設定をルータAに投入することにした。

set routing-options static route 業務サーバサブネット next-hop ルータB

なお、「業務サーバサブネット」「ルータB」はプレースホルダであり、実際にコマンドを投入する際にはそれぞれ CIDR、IP アドレスが利用される。

設定後しばらくすると、通信ができないという問い合わせがあった。いったい何が起きたのか。原因と思われる内容について最も可能性が高いものを1つ選べ。

選択肢(択一選択)

  1. 業務サーバサブネット宛ての通信がルータAとルータBの間でピンポン状態になっている
  2. 業務サーバサブネット、事務サブネット間で非対称ルーティングが発生しており、FW で通信を破棄している
  3. 営業サブネット、FW 間の OSPF でルーティングループを検知し、通信を遮断している
  4. 事務サブネット、営業サブネット間通信が FW 経由になってしまったため FW でフィルタリングされてしまっている

正解

2

解説

本問題は下記をテーマに扱っている。

  • ルーティングの優先度
  • 非対称ルーティングに対する FW の挙動

ルータA に static ルートを設定したことにより OSPF よりも static ルートが優先されることになる。
その結果事務サブネットから業務サーバサブネットへの通信は行きと帰りで経路が異なることになり FW で非対称ルーティングと認識され破棄されることになる。

  1. 業務サーバサブネット宛ての通信がルータAとルータBの間でピンポン状態になっている。

     →可能性はあるが、問題文にピンポン状態になるような設定がされている記述がないため不十分。

  2. 業務サーバサブネット、事務サブネット間で非対称ルーティングが発生しており、FW で通信を破棄している。

      →上記の通り適切。

  3. 営業サブネット、FW 間の OSPF でルーティングループを検知し、通信を遮断している。

      →OSPFにそういう機能はない。

  4. 事務サブネット、営業サブネット間通信が FW 経由になってしまったため FW でフィルタリングされてしまっている。

      →今回の設定ではそうはならないため不適切。

問11

架空の会社であるA社では東京と大阪に事務所を構えており、アンダーレイとして IPv4、オーバーレイとして IPv4 と IPv6 を利用して接続を行っている。また、ファイアウォールである FW1 と FW2 間で IPsec VPN トンネルを利用しており、下図の通りの構成となっている。

情報システム担当のZさんはセキュリティの向上を目的に必要な通信のみ許可すべく FW1 と FW2 の間に対して下記をフィルタ(ブラックリスト方式)するよう設定した。

  • FTP (TCP 20,21)
  • TELNET (TCP 23)
  • HTTP (TCP 80)
  • ICMPv4,v6
  • NetBIOS (UDP 137,138 / TCP 139)
  • NFS (UDP 2049 / TCP 2049)

するとしばらく経ってから社員から下記のような報告を受けた。

  • 一部リモート接続ができなくなった
  • ブラウザから一部システムが見られなくなった
  • 一部ファイル送信がしづらくなった。特にIPv6での大きなデータのファイルのやり取りができなくなった

問い合わせの大部分については想定通りであったため、その旨を解答した。しかし、IPv6でのファイルのやり取りについては想定外であったため調査を開始することにしました。

今回の問い合わせに関する想定外事象の原因について最も適当なものを1つ選べ。

選択肢(択一選択)

  1. IPsec トンネルの両端で IPv6 のネイバー探索が失敗していた
  2. ICMPv6 のフィルタリングにより PMTUD が機能しなかった
  3. SV2(サーバ)が受信 MTU 制限を通知していなかった
  4. SV1(サーバ)が IPv6 でフラグメントできず送信を諦めた
  5. FTP のフィルタリングによりファイル転送ができなくなってしまった
  6. NFS のフィルタリングによりファイル転送ができなくなってしまった

正解

2

解説

今回の問題は ICMPv6 の Path MTU Discovery (PMTUD) についての知識を問う問題となっている。

  1. IPsec トンネルの両端で IPv6 のネイバー探索が失敗していた

     →「一部ファイル送信がしづらくなった。」という文脈からトンネルは確立されていると読み取れるので不適切。

  2. ICMPv6 のフィルタリングにより PMTUD が機能しなかった

     →ICMPv6 をフィルタしてしまっているので PMTUD が使えず Packet Too Big が通知されず大きなパケットが送れなくなった、と考えられる。また報告内容とも合致するため適切。

  3. SV2(サーバ)が受信 MTU 制限を通知していなかった

     →MTU を制限するのは途中のルータや FW のため不適切。

  4. SV1(サーバ)が IPv6 でフラグメントできず送信を諦めた
     →事象としては正しいが原因ではない。

  5. FTP のフィルタリングによりファイル転送ができなくなってしまった

     →FTP のフィルタリングは実施しており想定内。

  6. NFS のフィルタリングによりファイル転送ができなくなってしまった

     →NFS のフィルタリングは実施しており想定内。