技能五輪全国大会

(1)

技能五輪全国大会予選会

IT ネットワークシステム管理

競技課題概要第１版

（職種への参加の手引き

2015 年）

平成

27 年 6 月 12 日

競技委員作成

(2)

１．「IT ネットワークシステム管理」競技概要企業や一般家庭に設置されている殆どのコンピュータは、ネットワークによって巨大なインターネット網に接続されています。インターネットに接続された企業のサーバシステムには、高い信頼性が求められます。このようなシステムを設計・構築・運用管理するのが「IT ネットワークシステム管理」技術者です。技術者には高い信頼性のあるシステムを構築するための技術と知識が必要となります。また、システムにトラブルが発生したとき、この技術者はその現象と状況を的確に判断して対処しなければなりません。技術者にはこれまでの経験と知識だけではなく、判断力と想像力も求められます。そこで、この「IT ネットワークシステム管理」競技では、信頼性のある ICT・サーバシステムを構築することと、インターネットへの接続も含めた社内ネットワーク構築技術の技を競います。同時期に開催する若年者ものづくり競技大会の「IT ネットワークシステム管理」とは競技課題のレベルが異なりますので注意してください。本競技は技能五輪全国大会の予選ですので、競技課題も技能五輪全国大会に準じたものになります。ただし、競技時間が技能五輪全国大会とは異なることから、使用する機器は少なく、ＯＳの種類も減らしています。競技課題案（２割程度変更して出題）を添付していますので、参考にしてください。２．競技日程・競技開始の前日競技内容の説明、競技場所の抽選、機材の確認・競技日（競技時間：４時間）３．競技に使用する主な機器と支給部品・サーバ用デスクトップＰＣ 2 式・ＤＶＤ（ＯＳおよびアプリケーション） 2 式・クライアント用ＰＣ（Windows 7 Pro） 1 台・ Cisco 製ルータ 2811(Ver.12.4.10C) 3 台

・ Cisco 製スイッチング Hub Catalyst 2960G-8TC-L (Version 12.2(35)SE) 2 台

・ハブ 1 台・ LAN ケーブル（ UTP CAT5E、既製品）数本・シリアルケーブル（DCE，DTE）各２本

競技委員側で構築する上位サーバとの接続用に L3 スイッチ（WS-C3750-24TS-E または FXC7024）を用意し利用しますが、選手は設定等、直接操作は行えません。

(3)

４．競技課題概要与えられた「シナリオ」、「競技課題の背景」、「ネットワーク構築に関する基本ポリシー」を読んで、下記の作業を行います。Ａ．サーバＰＣ構築作業指定された各種サーバ機能を実現するため、以下の作業を行います。・ＯＳのインストールと設定・各種サーバ（DNS、Web 等）のインストールと設定・ネットワーク接続作業Ｂ．クライアントＰＣの設定指定されたネットワークシステムにおけるクライアント側ＰＣの設定として、以下の作業を行います。・クライアント設定・ネットワーク接続作業Ｃ．ネットワーク機器の設定指定されたネットワークシステム構成とセキュリティを実現するため、以下の作業を行います。・ルータ基本設定・ルーティング設定・アドレス変換設定・ネットワーク接続作業「９．競技課題案」をベースに少し（２割程度）変更を加えて競技課題とします。５．注意事項Ａ．日本語環境が設定可能なＯＳおよびアプリケーションは、日本語環境を使用します。Ｂ．サーバＰＣのＯＳは Debian GNU/Linux 8.0.0 Jessie とします。

Ｃ．ルータの機能として Web 環境での設定が可能な機種であっても、競技中にこの Web 環境でルータの各種設定を行うことを禁止します。６．採点および評価基準採点は、与えられた「競技課題」を理解し、要求されたシステムが正確に実現されているかを客観的に評価します。配点は「Ａ．サーバＰＣ構築作業」が 55%未満、「Ｂ．クライアントＰＣの設定」が 10%未満、「Ｃ．ネットワーク機器の設定」が 55%未満です。時間に応じた加点はありません。ただし、同点の場合には作業時間の短い方を上位とします。７．持参工具等特にありませんが、筆記用具は持参してください。

(4)

８．競技上の注意事項 a．各種マニュアルの持ち込みは一切認めません。 b．配布したＯＳなどが書き込まれたＤＶＤ以外のソフトウェアの持ち込みは一切認めません。 c．質問などがある場合には、競技委員に申し出て下さい。 d．競技終了の合図で、作業を直ちに終了して下さい。 e．競技時間内に作業を終了した場合には、その旨を競技委員に申し出て、競技委員の指示に従って下さい。 f．競技中に、トイレ、体調不良などが生じた場合には、その旨を競技委員に申し出て、競技委員の指示に従って下さい。 g．競技中の水分補給のための飲料水の持ち込みは認めます。 h．携帯電話の電源は切っておいて下さい。

(5)

９．競技課題案（参考）

競技課題の背景

あなたは、ネットワークシステムの構築を専門とする企業のエンジニアである。製造業を営む技能五輪社より、社内ネットワークシステムの更改業務を受注し、そのプロジェクトマネージャとなった。先方企業はネットワークの可用性、信頼性の向上を強く要望している。信頼性向上に向け構築を行うサービスは、Web（負荷分散）、DNS（プライマリ，セカンダリ）、メール（プライマリ，セカンダリ）である。またネットワークの冗長構成と負荷分散を考慮する。あなたはこれから、先方企業の要望に基づき社内ネットワークとサービスの構築検証を行う。ただし、メールサービスについて今回は検証の対象外とする。

競技課題

設問を読み、先方企業からの条件及びあなたのチームが作成した設計案をもとに、検証用システムを構築しなさい。次の点に注意をすること。・競技終了時に指定された配線接続になっていること。・競技終了時に指定された設定がネットワーク装置の NVRAM に保存されていること。全てのハードウェアは採点前に再起動される。・競技課題の仕様を満たすならば、どのような設定を行っても構わない。課題中に設定する値や設定項目の指定がない場合は、競技者が自身で判断して仕様を満たす設定を行うこと。競技課題に記述がない項目に関しては採点対象としない。構築を行うネットワークの仕様は次の通りである。物理サーバを 2 台導入する。 1 台目のサーバは OS に Debian GNU/Linux をインストールし構築する（以降 deb01）。deb01 では Web、プライマリ DNS などのサービスを提供する。2 台目のサーバは OS に Debian GNU/Linux をインストールし構築する（以降 deb02）。deb02 では Web、セカンダリ DNS などのサービスを提供する。

クライアントが接続される部署は VLAN によって管理を行う。各 VLAN 同士はルータによってルーティングを行う。構築するネットワークでは、ルーティングプロトコルを用いて、相互に通信が可能なように経路情報を登録する。

(6)

ロールによるフィルタリングは行わない。なお、課題におけるインターネットのエリアは、競技委員側が用意する L3 スイッチに接続することで仮想的に提供される。インターネット（仮想）上に設置された検証用サーバと通信し、確認できる環境が用意される。 ●検証用サーバ（アドレス：160.250.0.100）の機能仮想インターネット上に検証用サーバが設置されている。下記のサービスが稼働している。必要に応じて各競技者エリアまで敷いてある LAN ケーブルを通してアクセスしてよい。・ DNS が稼働しており、www.skills2015.it.jp、ftp.skills2015.it.jp の正引きが登録されている。・ Web サーバが稼働しており、http://160.250.0.100/で Web アクセス可能である。・ FTP サーバが稼働しており、anonymous ログイン可能である。また、課題を行う際のネットワーク機器の配置は以下の通りとする。その他の詳細な設定内容は、構成図や設問に記載する。ネットワークの構成は、次のページに示す。ルータ3 ルータ2 ルータ1 スイッチ2 スイッチ1

(7)

ネットワーク構成図

上位ネットワーク Debian（deb02）・Web サーバ・セカンダリメールサーバ（予定）・セカンダリDNS サーバここから下が競技者エリアルータ1 ルータ2 ルータ3 スイッチ2 スイッチ1 インターネット・Web サーバ・プライマリメールサーバ（予定）・プライマリDNS サーバ Debian（deb01） ServerVLAN HUB 検証用サーバ ClientVLAN ClientVLAN

(8)

ネットワーク機器接続表

各ネットワーク機器のインターフェースの接続先は次の通りである。機器ホスト名インターフェース接続先ルータ 1 R1 Fa0/0 上位ネットワーク Fa0/1 HUB Se0/0/0 ルータ 2 Se0/1/0 ルータ 3 ルータ 2 R2 Fa0/0 スイッチ 1 Fa0/1 - Se0/0/0 ルータ 1 ルータ 3 R3 Fa0/0 スイッチ 2 Fa0/1 - Se0/0/0 ルータ 1 スイッチ 1 SW1 Gi0/1 ルータ 2 Gi0/2-Gi0/3 スイッチ 2 Gi0/4 deb01 の NIC1 Gi0/5-Gi0/8 -

スイッチ 2 SW2 Gi0/1 ルータ 3 Gi0/2-Gi0/3 スイッチ 1 Gi0/4 deb01 の NIC2 Gi0/5-Gi0/8 -

HUB 任意ポートルータ１

任意ポート deb02

・インターフェース記号 Fa：FastEthernet, Gi：GigabitEthernet, Se：Serial ・接続先の「－」はネットワーク機器接続未指定ポート。

・接続先の「上位ネットワーク」は、各競技エリアまで敷いている LAN ケーブルを指す。

(9)

インターフェース設定表

各ネットワーク機器インターフェースの設定値は、次の通りである。 ●インターフェース IP アドレスの設定機器ホスト名インターフェース IP アドレス L3 スイッチ（上位参考情報）－ 160.250.XX.254/30 ルータ 1 R1 Fa0/0 160.250.XX.253/30 Fa0/1 160.250.XX.14/28 Se0/0/0 192.168.12.1/30 Se0/1/0 192.168.13.1/30 ルータ 2 R2 Fa0/0 各ｻﾌﾞﾈｯﾄの最老番ﾎｽﾄｱﾄﾞﾚｽから２減じたアドレス Se0/0/0 192.168.12.2/30 ルータ 3 R3 Fa0/0 各ｻﾌﾞﾈｯﾄの最老番ﾎｽﾄｱﾄﾞﾚｽから１減じたアドレス Se0/0/0 192.168.13.2/30 スイッチ 1 SW1 Vlan1 192.168.1.1/24 スイッチ 2 SW2 Vlan1 192.168.1.2/24

・インターフェース記号 Fa：FastEthernet, Gi：GigabitEthernet, Se：Serial VlanX：Virtual LAN with id X

なお、VLAN に接続するルータのインターフェースには VLAN ID と一致するサブインタフェースを使用する。 ●SW1,SW2 の VLAN の設定 VLAN 番号 VLAN 名割付ポートサブネット用途 1 － 192.168.1.0/24 管理 VLAN 2 ClientVLAN SW1 の Gi0/6-Gi0/8 SW2 の Gi0/6-Gi0/8 192.168.2.0/24 クライアントセグメント 100 ServerVLAN SW1 の Gi0/4-Gi0/5 SW2 の Gi0/4-Gi0/5 160.250.XX.16/28 サーバセグメント ※ VLAN1、VLAN2、VLAN100 のゲートウェイアドレスは、各サブネットの最老番のホストアドレスとする。

(10)

ネットワーク機器（ルータ及びスイッチ）の設定項目

●ケーブリング、IP アドレス設定・以上の構成をもとに、ネットワークを接続、設定しなさい。 ●パスワード・ネットワーク機器に以下の表に従って特権モード、コンソール、 Telnet(vty0-4)に対しパスワードを設定しなさい。・全てのパスワード及び特権モードパスワードは暗号化する。モード enable console telnet パスワード enah27! conh27! telh27 ●共通設定・各ネットワーク機器にネットワーク機器接続表等にあるホスト名を設定する。・タイムゾーンを日本標準時に設定する。・コマンド誤入力による DNS 検索を行わない。・コンソールで表示割り込みに対する入力文字列の補完を有効にする。・コンソールでタイムアウトを無効にする。・コンソールで--More--機能を無効にする。 ●シリアル接続・ルータ 1 を DCE、ルータ 2 とルータ 3 を DTE として、シリアルケーブルで接続しなさい。・通信速度は 128Kbps とし、帯域幅も同じ値になるように設定しなさい。・カプセル化プロトコルは PPP を使用すること。・ルータ 1 とルータ 2 間は CHAP 認証を設定しなさい。使用するユーザ名とパスワードは任意とする。 ●ルーティング・各ルータ間で経路交換を行う。ルーティングプロトコルとして EIGRP を使用する。

・ルータ 1 の Fa0/0 と Fa0/1 は EIGRP に含めない。

・ServerVLAN と ClientVLAN のホストがルータ１経由でインターネットに接続できるように、ルータ１にデフォルトルートを設定し、ルータ１からデフォルトルートの通知をするように設定しなさい。

(11)

●ゲートウェイの冗長化

・ルータ２とルータ３間に HSRP を設定し、以下の条件を満足するようにゲートウェイの冗長構成を実現しなさい。

VLAN 正常時の Active ルータ正常時の Standby ルータ

100 ルータ２ルータ３ 1,2 ルータ３ルータ２・仮想ルータの IP アドレスは、各サブネットの最老番のホストアドレスを使用すること。・ルータ２およびルータ３において Se0/0/0 インタフェースをトラッキングし，障害時に Active ルータが対向側のルータに自動的に切り替わるように設定しなさい。・障害復旧時は自動的に Active ルータが正常時に切り戻るようにしなさい。・Hello メッセージの送信間隔を 1 秒，ホールドタイムを 3 秒にしなさい。 ●スイッチング・各スイッチを接続しているリンクは 802.1Q のトランクリンクに設定しなさい。尚、トランクリンク確立のためのネゴシエーショントラヒックが流れないような設定にしなさい。・各スイッチの VTP モードはトランスペアレントとしなさい。・各スイッチの VLAN100 割り付けポートについては，リンクアップ時に直ちにフォワーディングできるようにしホスト接続を最適化しなさい。・スイッチ 1 とスイッチ 2 間を接続している２本の物理リンクが論理的に２ Gbps になるように EtherChannel を ON 固定で設定しなさい。 ●NAT の設定 [NAPT 設定] ・ClientVLAN のホストがルータ１経由でインターネット（上位ネットワーク）に接続できるようにルータ１に NAPT を設定しなさい。使用するグローバルアドレスはルータ 1 の Fa0/0 に設定されているアドレスとする。 [TCP 負荷分散設定] ・インターネット（上位ネットワーク側）から宛先 160.250.XX.10 への Web 接続(TCP80 番)があった場合，ルータ１にて宛先アドレスを変換し deb01(160.250.XX.17)と deb02(160.250.XX.1)へロータリー方式で負荷分散しなさい。

(12)

サーバの設定項目

以下の指示に従ってサーバの設定を行いなさい。なお、2 台のコンピュータが用意されているが、deb01 は NIC2 ポートのサーバ機を、deb02 は NIC1 ポートのサーバ機を使用すること。

●BIOS 設定（deb01、deb02）

・競技用時計で現在時刻を確認し，BIOS 画面にてUTC時刻を設定すること。 ●OS インストール

・ deb01のOSインストール

deb01のOS にDebian GNU/Linux 7.1.0をインストールする。サーバの設定に利用するパッケージ等はインストールしてもよい。セキュリティ設定でそれらのパッケージが問題となる場合は、サーバの設定後、無効にする。また、断りがない限り導入するデーモンはサーバ起動時に有効となる設定とする。使用言語日本語(ja_JP.UTF-8) キー配列日本語キーボードタイムゾーン(ローカル時間) Asia/Tokyo 管理者のパスワード root 一般ユーザアカウント名 user01 一般ユーザのフルネーム任意一般ユーザのパスワード user01 ホスト名 deb01 ドメイン名 gorinXX.it.jp deb01のネットワーク設定は以下の通りとする。 IPエイリアスによって２つのアドレスを設定する。 IPアドレス－1 160.250.XX.17 IPアドレス－2(エイリアス) 160.250.XX.18 サブネットマスク 255.255.255.240 デフォルトゲートウェイ 160.250.XX.30 ネームサーバ１ 160.250.XX.17 ネームサーバ２ 160.250.XX.1

(13)

deb01 のパーティション構成を以下のとおりとする。ただし、ソフトウェアの仕様上、サイズが若干異なっても良い。マウントポイント容量ファイルシステム / 20GB ext4 /boot 100MB ext4 /var 20GB btrfs(LV) スワップ 4GB - *1GBは、1024MBとする *LVM ボリュームグループ名はlvmvgとし、残り全ての容量を割り当てる。 *LVM 論理ボリューム名はvarとすること。・ deb02のOSインストール

deb02のOS にDebian GNU/Linux をインストールする。サーバの設定に利用するパッケージ等はインストールしてもよい。セキュリティ設定でそれらのパッケージが問題となる場合は、サーバの設定後、無効にする。また、断りがない限り導入するデーモンはサーバ起動時に有効となる設定とする。使用言語日本語(ja_JP.UTF-8) キー配列日本語キーボードタイムゾーン(ローカル時間) Asia/Tokyo 管理者のパスワード root 一般ユーザアカウント名 user01 一般ユーザのフルネーム任意一般ユーザのパスワード user01 ホスト名 deb02 ドメイン名 gorinXX.it.jp deb02のネットワーク設定は以下の通りとする。 IPエイリアスによって２つのアドレスを設定する。 IPアドレス－1 160.250.XX.1 IPアドレス－2（エイリアス） 160.250.XX.2 サブネットマスク 255.255.255.240 デフォルトゲートウェイ 160.250.XX.14 ネームサーバ１ 160.250.XX.1 ネームサーバ２ 160.250.XX.17

(14)

deb02 のパーティション構成を以下のとおりとする。ただし、ソフトウェアの仕様上、サイズが若干異なっても良い。マウントポイント容量ファイルシステム / 20GB ext4 /boot 100MB ext4 /var 20GB ext4(LV) スワップ 4GB - *1GBは、1024MBとする *LVM ボリュームグループ名はlvmvgとし、残り全ての容量を割り当てる。 *LVM 論理ボリューム名はvarとすること。 ●Bonding の設定

deb01 の eth0 と eth1 に Bonding の設定を行いなさい。使用するパッケージは ifenslave-2.6 とする。Bonding の動作モードは active-backup モードとし，eth0 を優先的にアクティブとしなさい。アクティブリンクに障害が発生した場合にはバックアップに切り替わるようにしなさい。 ●DNS の設定・使用するパッケージは bind9 とする。・ルートネームサーバ M.ROOT-SERVERS.NET のアドレスを 160.250.0.100 に変更しなさい。・ bind のバージョンを解答しないこと。・内部ネットワークからのみ再帰問い合わせを許可しなさい。ここで内部ネットワークとはネットワーク構成図においてルータ１より下部に存在するネットワーク（CleintVLAN 及び deb01,deb02 が所属する各サブネットを含む）を指し，これ以外を外部ネットワークとする。・ deb01 を gorinXX.it.jp ドメインのマスターサーバとして動作させなさい。正引きのみで逆引きは必要ない。・ deb01 を gorinXX.local ドメインのマスターサーバとして動作させなさい。 gorinXX.local ドメインは ClientVLAN に接続されるクライアントホストの名前を管理し，内部ネットワークからの問い合わせにのみ回答する。ルータアドレスを除く全てのアドレスについてクライアントホスト名との正引き逆引きを可能とすること。問い合わせ例） client1.gorinXX.local 問い合わせに対して 192.168.2.1 を回答 client2.gorinXX.local 問い合わせに対して 192.168.2.2 を回答

(15)

・・・・

client251.gorinXX.local 問い合わせに対して 192.168.2.251 を回答・ deb02 サーバは、deb01 のスレーブサーバとして動作し、deb01 サーバが保持

するゾーンデータをすべて受信させなさい。

・ deb01 は deb02 のみスレーブとして許可しなさい。deb02 からその他のサーバへのゾーン転送は許可しない。・ deb01 においてマスターのゾーンデータベースが更新された場合は、直ちにスレーブ側に通知しゾーン転送が開始されるようにしなさい。・下表にクエリ送信元別のホスト名と IP アドレスの対応を示す。deb01、deb02 からのクエリは内部ネットワークからとする。また，deb01 を gorinXX.it.jp ドメインのプライマリメールサーバ，deb02 をセカンダリメールサーバとして構成する予定である。必要なレコードを追加しなさい。 ※他に登録する必要のあるレコードがあれば各自追加しなさい。クエリ送信元ホスト名レコード IP 外部ネットワーク www.gorinXX.it.jp A 160.250.XX.10 すべて mail.gorinXX.it.jp A 160.250.XX.17 (deb01) すべて mail2.gorinXX.it.jp A 160.250.XX.1 (deb02) 内部ネットワーク www.gorinXX.it.jp A 160.250.XX.17 (deb01) 内部ネットワーク deb01.gorinXX.it.jp A 160.250.XX.17 (deb01) 内部ネットワーク deb02.gorinXX.it.jp A 160.250.XX.1 (deb02) 内部ネットワーク client1～ 251.gorinXX.local A PTR 192.168.2.1～251 ●apache2 の設定・ deb01 に Web サーバを構築しなさい。使用するパッケージは apache2-mpm-prefork とする。・ http://www.gorinXX.it.jp/にアクセスした場合、「www.gorinXX.it.jp」の文字列が表示されるように index.html を作成しなさい。・エラーページのフッタを非表示にしなさい。・ deb02 にも Web サーバを構築しなさい。

技能五輪全国大会