令和3年NW 午後Ⅱ 問1 設問6 (3)
さかなさん
(No.1)
この問いでは、新公開WEBサーバに割り当てることができるIPアドレスの範囲を聞かれています。
正解は「172.16.254.128~172.16.254.254」であり、この答えに対して3つの疑問を持っています。
・割り当てられるIPブロックは、下線部8の通り172.16.254.0/24のアドレス範囲ですが、表6/7を見ると172.16.254.128/25のアドレス範囲が静的経路として設定されています。なぜ異なるサブネットが設定されているのか、そして新FWに転送された172.16.254.128/25宛ての通信が、その後どのように転送されるのか理解できませんでした。
・172.16.254.128は172.16.254.128/25のネットワークアドレスにあたり、使用できないのではないでしょうか。(172.16.254.255はブロードキャストアドレスとして理解しています)
・正解の範囲のIPアドレスを割り当てられたサーバのサブネットはどれに当たるのでしょうか。
私は座学の勉強しかしてこなかったので、IPアドレスの設定がどのように行われるのか理解が浅く、上の疑問を解消できませんでした。
助言をいただけると幸いです。
よろしくお願いいたします。
正解は「172.16.254.128~172.16.254.254」であり、この答えに対して3つの疑問を持っています。
・割り当てられるIPブロックは、下線部8の通り172.16.254.0/24のアドレス範囲ですが、表6/7を見ると172.16.254.128/25のアドレス範囲が静的経路として設定されています。なぜ異なるサブネットが設定されているのか、そして新FWに転送された172.16.254.128/25宛ての通信が、その後どのように転送されるのか理解できませんでした。
・172.16.254.128は172.16.254.128/25のネットワークアドレスにあたり、使用できないのではないでしょうか。(172.16.254.255はブロードキャストアドレスとして理解しています)
・正解の範囲のIPアドレスを割り当てられたサーバのサブネットはどれに当たるのでしょうか。
私は座学の勉強しかしてこなかったので、IPアドレスの設定がどのように行われるのか理解が浅く、上の疑問を解消できませんでした。
助言をいただけると幸いです。
よろしくお願いいたします。
2025.03.23 13:38
boyonboyonさん
(No.2)
私もこの問題を解いたときには
172.16.254.129~172.16.254.254
にしました。答えを見て何で128からなんだろうと疑問に思いました。
いろいろ考えた結果を書き込ませていただきます。
現行のWebサーバの属するネットワークは、
IPアドレスが、172.16.254.10~172.16.254.100
の範囲なので 172.16.254.0/25
の中に収まります。
新Webサーバの属するネットワークは 172.16.254.128/25
になるので、合わせてDMZのサブネット 172.16.254.0/24
になります。
・・・DMZを現行と新で半分ずつ使うと考えられるのではないかと思いました。
そう考えれば 172.16.254.1~172.16.254.254 が使用でき、
現行には、1~127,新には128~254を割り当てると解釈すれば、解答のようになります。(後で述べますが、1は両方で使います。)
/25は実際に独立したサブネットではなく、分割使用を表すためのものだと考えました。
あと、Webサーバのデフォルトゲートウェイ(FW)は、現行と新で同じ IPアドレスになっています。(スタックL2SW側)
172.16.254.1 172.16.254.0/24に入っている。
PCから新Webサーバにアクセスするのは、
PC→L3SW1→スタックL3SW→新FW→新Webサーバ
新FWからWebサーバは、スタックL2SW側のインターフェイスが同じサブネット内になるので到達可能かと思います。
172.16.254.129~172.16.254.254
にしました。答えを見て何で128からなんだろうと疑問に思いました。
いろいろ考えた結果を書き込ませていただきます。
現行のWebサーバの属するネットワークは、
IPアドレスが、172.16.254.10~172.16.254.100
の範囲なので 172.16.254.0/25
の中に収まります。
新Webサーバの属するネットワークは 172.16.254.128/25
になるので、合わせてDMZのサブネット 172.16.254.0/24
になります。
・・・DMZを現行と新で半分ずつ使うと考えられるのではないかと思いました。
そう考えれば 172.16.254.1~172.16.254.254 が使用でき、
現行には、1~127,新には128~254を割り当てると解釈すれば、解答のようになります。(後で述べますが、1は両方で使います。)
/25は実際に独立したサブネットではなく、分割使用を表すためのものだと考えました。
あと、Webサーバのデフォルトゲートウェイ(FW)は、現行と新で同じ IPアドレスになっています。(スタックL2SW側)
172.16.254.1 172.16.254.0/24に入っている。
PCから新Webサーバにアクセスするのは、
PC→L3SW1→スタックL3SW→新FW→新Webサーバ
新FWからWebサーバは、スタックL2SW側のインターフェイスが同じサブネット内になるので到達可能かと思います。
2025.03.24 00:46
さかなさん
(No.3)
boyonboyonさん、お返事ありがとうございます。
DMZサブネット(172.16.254.0/24)を「/25」で2つに分割し、現行サブネットと新サブネットに分けることは納得できました。
しかし、スタックL3SWー新FW1/新FW2間の静的経路では、宛先ネットワークが「172.16.254.128/25」となっているため、仮に新公開WEBサーバーに172.16.254.128を設定すると、上記の区間で正しくルーティングが行われないのではと考えました。(ネットワークアドレスに当たるため)
なお、移行作業のステップ3内で、スタックL3SWー新FW1/新FW2間の静的経路は削除され、デフォルトゲートウェイとして新FW1/新FW2が指定されているため、本番環境では正しくルーティングが行われると考えています。
結論として、私の理解の範囲では、移行作業のステップ2で確認作業を行う際に、172.16.254.128を割り当てたサーバに対して正しく疎通確認が取れないといった考えになります。
恐らく、私の理解にどこか誤りがあるはずなのですが、それが何処なのかはわかりません..
DMZサブネット(172.16.254.0/24)を「/25」で2つに分割し、現行サブネットと新サブネットに分けることは納得できました。
しかし、スタックL3SWー新FW1/新FW2間の静的経路では、宛先ネットワークが「172.16.254.128/25」となっているため、仮に新公開WEBサーバーに172.16.254.128を設定すると、上記の区間で正しくルーティングが行われないのではと考えました。(ネットワークアドレスに当たるため)
なお、移行作業のステップ3内で、スタックL3SWー新FW1/新FW2間の静的経路は削除され、デフォルトゲートウェイとして新FW1/新FW2が指定されているため、本番環境では正しくルーティングが行われると考えています。
結論として、私の理解の範囲では、移行作業のステップ2で確認作業を行う際に、172.16.254.128を割り当てたサーバに対して正しく疎通確認が取れないといった考えになります。
恐らく、私の理解にどこか誤りがあるはずなのですが、それが何処なのかはわかりません..
2025.03.24 12:04
genndyさん
(No.4)
この問題難しいですよね。NW構成図にIPアドレスを書き込むとわかりやすいです。
以下私の理解になります。
boyonboyonさんの解説通りWebサーバに割り当て可能なIPアドレスを現行と新で分割するためです
現行Webサーバ:172.16.254.1~172.16.254.127
新Webサーバ:172.16.254.128~172.16.254.254
新FWのIPアドレスは172.16.254.1で、172.16.254.0/24のサブネットに属しています。
仮に新公開WebサーバのIPアドレスを172.16.254.200とすると新FWと同じサブネットに属しているので、新FWと新公開Webサーバ間はMACアドレスを利用して転送します。
Webサーバのサブネットは172.16.254.0/24なので、ネットワークアドレスは172.16.254.0になります。
静的経路の172.16.254.128/25は、上記の新WebサーバのIPアドレス範囲を示すものです。
現行Webサーバも新Webサーバもサブネットは172.16.254.0/24になります。
以下私の理解になります。
> なぜ異なるサブネットが設定されているのか
boyonboyonさんの解説通りWebサーバに割り当て可能なIPアドレスを現行と新で分割するためです
現行Webサーバ:172.16.254.1~172.16.254.127
新Webサーバ:172.16.254.128~172.16.254.254
> 新FWに転送された172.16.254.128/25宛ての通信が、その後どのように転送されるのか
新FWのIPアドレスは172.16.254.1で、172.16.254.0/24のサブネットに属しています。
仮に新公開WebサーバのIPアドレスを172.16.254.200とすると新FWと同じサブネットに属しているので、新FWと新公開Webサーバ間はMACアドレスを利用して転送します。
> 172.16.254.128は172.16.254.128/25のネットワークアドレスにあたり、使用できないのではないでしょうか
Webサーバのサブネットは172.16.254.0/24なので、ネットワークアドレスは172.16.254.0になります。
静的経路の172.16.254.128/25は、上記の新WebサーバのIPアドレス範囲を示すものです。
> 正解の範囲のIPアドレスを割り当てられたサーバのサブネットはどれに当たるのでしょうか
現行Webサーバも新Webサーバもサブネットは172.16.254.0/24になります。
2025.03.24 14:32
さかなさん
(No.5)
genndyさん、お返事ありがとうございます。
恐らく私が理解てきていないのはこの部分です。
「Webサーバのサブネットは172.16.254.0/24なので、ネットワークアドレスは172.16.254.0になります。
静的経路の172.16.254.128/25は、上記の新WebサーバのIPアドレス範囲を示すものです。」
WEBサーバーのサブネットが172.16.254.0/24であることは納得できました。
しかし、スタックL3SWー新FW1/新FW2間の静的経路に172.16.254.128/25が設定されていることから、移行作業中に現行PCから新公開WEBサーバへ疎通確認を行う際に、172.16.254.128を設定したサーバへのルーティングが正しく行われないのではないかと考えた次第です。
恐らく私が理解てきていないのはこの部分です。
「Webサーバのサブネットは172.16.254.0/24なので、ネットワークアドレスは172.16.254.0になります。
静的経路の172.16.254.128/25は、上記の新WebサーバのIPアドレス範囲を示すものです。」
WEBサーバーのサブネットが172.16.254.0/24であることは納得できました。
しかし、スタックL3SWー新FW1/新FW2間の静的経路に172.16.254.128/25が設定されていることから、移行作業中に現行PCから新公開WEBサーバへ疎通確認を行う際に、172.16.254.128を設定したサーバへのルーティングが正しく行われないのではないかと考えた次第です。
2025.03.24 17:23
genndyさん
(No.6)
現行PCから172.16.254.128宛にパケットを送信した場合の流れは以下のようになり、新公開Webサーバの動作確認は問題なくできると思います。
1. 表7のL3SW1の静的経路より、172.16.254.128/25宛のパケットをスタックL3SWへ転送する
2. 表6のスタックL3SWの静的経路より、172.16.254.128/25宛のパケットを新FWへ転送する
3. 新FWから新公開Webサーバは同一サブネットのため新FWのARPテーブルを参照してPCのMACアドレス宛てに転送する
1. 表7のL3SW1の静的経路より、172.16.254.128/25宛のパケットをスタックL3SWへ転送する
2. 表6のスタックL3SWの静的経路より、172.16.254.128/25宛のパケットを新FWへ転送する
3. 新FWから新公開Webサーバは同一サブネットのため新FWのARPテーブルを参照してPCのMACアドレス宛てに転送する
2025.03.24 19:55
さかなさん
(No.7)
「2. 表6のスタックL3SWの静的経路より、172.16.254.128/25宛のパケットを新FWへ転送する」について、
仮に2.の静的経路で転送されるパケットの宛先IPアドレスが172.16.254.128である場合、ネットワークアドレスに該当するのではと考えた次第です。(正解には172.16.254.128が含まれています)
しかし、皆さんの考えは一致している様子なので、私の勉強不足で理解が追い付いていないだけの気がしてきました..
仮に2.の静的経路で転送されるパケットの宛先IPアドレスが172.16.254.128である場合、ネットワークアドレスに該当するのではと考えた次第です。(正解には172.16.254.128が含まれています)
しかし、皆さんの考えは一致している様子なので、私の勉強不足で理解が追い付いていないだけの気がしてきました..
2025.03.24 22:54
boyonboyonさん
(No.8)
表7で示しているのは、表1で示しているIPアドレスの割り当て範囲をネットワークアドレスで表記したものと考えてみたらいかがでしょう。
⑧の中でも、「~172.16.254.0/24のIPアドレスブロックから未使用のIPアドレスを割り当てる」と書いてあります。
実際に、サブネットを172.16.254.0/25と172.16.254.128/25 に分割してしまったら、新FWの設定などがめんどうになりそうです。
⑧の中でも、「~172.16.254.0/24のIPアドレスブロックから未使用のIPアドレスを割り当てる」と書いてあります。
実際に、サブネットを172.16.254.0/25と172.16.254.128/25 に分割してしまったら、新FWの設定などがめんどうになりそうです。
2025.03.25 01:04
犬。さん
(No.9)
>さかなさん
おはようございます。
横から失礼いたします。
>仮に2.の静的経路で転送されるパケットの宛先IPアドレスが172.16.254.128である場合、ネットワークアドレスに該当するのではと考えた次第です。
さかなさんの不明点はここですよね。
経路上のネットワーク機器が、宛先である172.16.254.128だった場合、ネットワークアドレスとして計算し、転送しないのでは?という意味だと感じました。
あくまでも仮想環境ですが、ノードには/24で、ネットワーク機器には/25でスタティックルートを書いてみました。
そこで、/25であればネットワークアドレスになる宛先にPingを実行したところ、問題なく疎通できました。
つまり、/25でルートを書いた場合でも、ネットワークアドレスとして計算されないということです。
>私の勉強不足で理解が追い付いていないだけの気がしてきました..
机上で勉強されている以上、そこは仕方がないのでは?と思います。
如何でしょうか?
2025.03.25 11:51
さかなさん
(No.10)
boyonboyonさん、犬。さん、お返事ありがとうございます
「表7で示しているのは、表1で示しているIPアドレスの割り当て範囲をネットワークアドレスで表記したものと考えてみたらいかがでしょう。」
この様に考えれば納得はできるのですが、こればかりは実際にルーティングテーブルの表記や設定方法に慣れなければ理解は難しい気がします。
「あくまでも仮想環境ですが、ノードには/24で、ネットワーク機器には/25でスタティックルートを書いてみました。
そこで、/25であればネットワークアドレスになる宛先にPingを実行したところ、問題なく疎通できました。」
ありがとうございます。
"WEBサーバが属するサブネットは/24であるため、経路情報にある172.16.254.128/25の172.16.254.128はネットワークアドレスに当たらない"という形で、もやもやする部分もありますが納得出来ました。
勉強をすすめるうちに完全に理解できるようになりたいものです。
ありがとうございました。
「表7で示しているのは、表1で示しているIPアドレスの割り当て範囲をネットワークアドレスで表記したものと考えてみたらいかがでしょう。」
この様に考えれば納得はできるのですが、こればかりは実際にルーティングテーブルの表記や設定方法に慣れなければ理解は難しい気がします。
「あくまでも仮想環境ですが、ノードには/24で、ネットワーク機器には/25でスタティックルートを書いてみました。
そこで、/25であればネットワークアドレスになる宛先にPingを実行したところ、問題なく疎通できました。」
ありがとうございます。
"WEBサーバが属するサブネットは/24であるため、経路情報にある172.16.254.128/25の172.16.254.128はネットワークアドレスに当たらない"という形で、もやもやする部分もありますが納得出来ました。
勉強をすすめるうちに完全に理解できるようになりたいものです。
ありがとうございました。
2025.03.25 14:37
返信不要さん
(No.11)
ルーティングテーブルの宛先範囲のうち、最小のIPアドレスがネットワークアドレスかどうかは、指定先のセグメントで決定されるので問題ありません。今回の場合、ルーティングテーブルの範囲は25ビットだけど、指定先であるサーバのセグメントは24ビットなので問題ありません。
ただ、第4オクテットが255の場合、指定先の範囲が23ビット以下でも、ルータ、FW、L3SWなどL3を扱う機器で指定ブロードキャストと見なされドロップされる可能性は、あります。
ただ、第4オクテットが255の場合、指定先の範囲が23ビット以下でも、ルータ、FW、L3SWなどL3を扱う機器で指定ブロードキャストと見なされドロップされる可能性は、あります。
2025.03.29 19:22
返信投稿用フォーム
スパム防止のためにスレッド作成日から40日経過したスレッドへの投稿はできません。