ネットワークスペシャリスト試験 その12 過去問から学んだ覚えるべきことのまとめ
ブログを自分用の試験対策まとめノートみたいに使ってしまって気が引けますが、これを読み返すことで定型パターンや基本的な考え方、覚える語句をしっかり身に付ける目的として記載してみます。
完全に自分の備忘録としてですが、NW(ネットワークスペシャリスト試験)の過去問を解いていて記録した (覚えておきたい単語) と (覚えておきたい出題パターン) のまとめです。
※午後問題のみ
本試験までにこれくらいはすぐに解答として出せるように覚えてしまい、そこから更にネットワークの知識を深めたいと思います。
この試験は単純なパターン暗記だけでは絶対に合格できない試験だと思っていますが、過去に似たような観点の問題が出題されていたらノータイムで(迷わず)解答できるようになっておかないと時間内に問題回答ができず話にならないと思っていますので、ここで書いたことは早いところマスターしておきたいと思っています。
以下、過去問を新しい順に一問一答形式で自分でまとめて掲載します。
解答はすぐに見れないように反転して表示するようにしました。
※令和2年は新型コロナウィルスの影響で試験がありませんでした。
------------------------------------------------------------------------------------
(令和3年過去問より)
午後I
問1
(覚えておきたい単語)
・IPアドレスを端末に通知するサーバは?:
DHCPサーバ
・アプリケーション層に属するプロトコルで、REST APIで使用するものは?:
HTTP (もしくはHTTPS)
・LLDPが属するプロトコルは第何層か?:
2
・MIBの情報を取得するプロトコルは?:
(覚えておきたい出題パターン)
・MAXアドレステーブルに何も学習されていないL2SWに機器AがICMP Echo requestを流すと、そのL2SWはどのように転送するか?※スイッチの基本動作と考える:
L2SWの入力ポート以外の全てのポートに転送される。
・ルータA(RTとする)を使用する拠点に出荷する時、RTにRT管理コントローラをIPアドレスではなくFQDNで記述する利点は何か?:
RT管理コントローラのIPアドレスが変更された場合でもRTの設定変更が不要である。
・各拠点(各店舗)の端末から送られてくるログを受信するサーバを本社には設置できない理由は?
※本文のヒントから導出する問題。ヒントは「インターネットからルータに接続した機器はアクセスできない」「ルータに接続した機器とBPに接続した機器との間の通信はできない」
店舗から本社にはBP経由でしかアクセスできないから
問2
(覚えておきたい単語)
・Gateway に設定するIPsec VPN認証用に用いるのは事前( ):
共有鍵
・OSFPのリンクステートアドバタイズメント(LSA)のひとつでOSPFエリア内の情報を管理するのは( )LSAと呼ばれる:
ルータ
・OSPFのメトリック値は何とよぶ?:
コスト
・OSPFのアルゴリズムの名前は?:
(覚えておきたい出題パターン)
・FWが直接接続・スタティック(静的経路)・OSPFといった複数経路を持っているときOSPFエリアにある機器からインターネットへのアクセスを可能にするにはFWにどのような設定を行えばよいか?:
OSPFへデフォルトルートを導入する
・OSPFが複数の経路情報を一つに集約する機能を持つのはどのような目的のためか?:
ルーティングテーブルサイズを小さくするため
※ルータの負荷を軽減するため
・OSPFのエリアAとCは同じエリア。AとCの間にあるBだけ異なるエリア。この状態でC経由でAの機器をインターネットやネットワークに接続するにはOSPFどのような設定を行えばよいか?:
OSPF仮想リンクの接続設定を行う。
※エリアAとCの仮想リンクを確立させる
・OSPFエリア1に存在する(各支社)個別の経路を集約するにはどうすればよいか?:
OSPFエリア1の支社個別経路を 172.16.0.0/16 に集約する。
※経路集約を行う
問3
(覚えておきたい単語)
・音声データをIPパケット化してLAN上に流すとき、イーサネットフレームヘッダ(L2データ)、IPヘッダ(L3データ)に加えて、( )とRTPヘッダ(いずれもL4データ)が不可される。:
・IPパケット化された音声でトラブルが発生したとき、音声パケットは遅延または( )が発生していた。:
破棄 OR ドロップ OR 損失
・音声フレームにCoS値に対応したDSCP(Diffserve Code Point)値を、IPヘッダの( )フィールドにマーキングする。:
(覚えておきたい出題パターン)
・IP Phoneネットワーク(クラウドPBX)において音声信号がIPパケット化される通話はどのような通話か。:
拠点間の内線通話
・IP-GWが音声パケットのジッタ(ゆらぎ)を吸収するバッファを持っているが、そのバッファを大きく過ぎるとスムーズな会話ができなくなる。「パケット」という言葉を用いてその理由を述べよ。:
パケットの音声化遅延が大きくなるから
・PoE対応のL2SWにPoE未対応の機器を誤って接続した場合、PoEの機能に注目してどのような状態になるか述べよ:
L2SWからの給電が行われない。
・IP Phone (ITEL)のアップリンクポートにタグVLANを設定するが、レイヤ2のCoS値を基にした優先制御を行うためにタグVLANが必要になる。その理由を述べよ:
フレーム中のタグ情報内の優先ビットを使用するから
・音声フレームをキュー1、データフレームをキュー2に入れる。キュー1に音声フレームが残っていなくても、キュー1に入った音声フレームの出力が待たされるときがある。どのような場合か?:
データフレームが出力中の場合。
・パケットを音声パケット、Eパケット、Dパケットの3種類に分類して、それぞれDSCP値をマーキングする。なぜEパケットとDパケットを別々に分類するのか、目的を述べよ:
DパケットによるEパケット転送への影響を少なくするため。
午後II
問1
(覚えておきたい単語)
・外部から送信された名前解決要求をIPSが提供するフルサービスリゾルバに転送するのはDNS( )である。:
フォワーダ
・VRRPにおいて、片方のルータをマスタルータにするためにはルータの( )を大きく(小さく)設定する。:
プライオリティ値
・STPでルートブリッジを決定する要素(スイッチに設定する)を2つ答えよ:
ブリッジプライオリティ値
・STPのポートの役割名を3つ答えよ:
①ルートポート
②指定ポート
③非指定ポート
・ルートブリッジに設定するポート名を答えよ:
指定ポート
・STPでブロックされるときに使用されるポートを答えよ:
非指定ポート
(覚えておきたい出題パターン)
・RSTPがSTPよりトポロジの再構築にかかる時間を短縮できる理由を2つ答えよ(本文にヒントあり):
①ポート故障時の代替ポートを事前に決定しているから
②転送遅延がなく、ポートの状態遷移を行うから
・L3SWを2台スタック運用するときに運用負荷を軽減できる理由を答えよ:
2台のL3SWを1台のスイッチとして管理できるから
・スタックとリンクアグリゲーションによりSTPとRSTPが不要になる理由を答えよ:
ループがない構成だから
・DHCP DISCOVERメッセージを受け取ったスイッチが異なるサブネットのDNSサーバに依頼を転送するときに受信したインターフェースのIPアドレスを giaddrフィールドに設定して転送したのはなぜか?
PCが収容されているサブネットを識別し、対応するDHCPのスコープからIPアドレスを割り当てるため
問2
(覚えておきたい単語)
・ OSPF / VRRP / BGP がピアリング先に定期的に送るメッセージ名を答えよ:
OSPF:Helloパケット
BGP :キープアライブ
(覚えておきたい出題パターン)
・通信の利用状況を調査するために行う単位時間当たりの通信料(ビット/秒)を求める際に時間平均することの問題点を答えよ。:
取得間隔の間で発生したバースト通信が分からなくなる。
・ルータAとルータBがそれぞれのループバックインタフェースに設定したIPアドレスを利用し、 iBGPのピアリングとしてそのIPアドレスを利用するのはなぜか(NICに設定した IPアドレスではなく)?:
ルータAとルータBは OSPFを構成するインタフェースが二つあり、迂回路を構成できるから
・BGPで隣接するASから経路情報を受信する際に、自身のAS番号が含まれている場合はその経路情報を破棄する。その理由は?:
経路のループを回避するため。
・BGPの標準仕様ではトラフィックを分散する経路制御はできない。そのBGPの標準仕様とはどのような内容か?
※完全な知識問題ではない。解答はほぼ本文から抜き出し
可能:
BGPテーブルから最適経路を一つだけ選択し、ルータのルーティングテーブルに反映する。
・ルーティングテーブルに静的経路とBGPの動的経路が存在し、静的経路が削除された時点で動的経路による制御に切り替えが行われる理由を答えよ。※知識問題:
BGPの経路情報より静的経路設定の経路情報の方が優先されるから。
・回線の輻輳を検知するために、ICMPのPINGを利用した監視サーバの監視対象として、ルータAとルータBを追加することを考えたが、問題があるため見送った。その問題点について2つ挙げよ。
※知識問題・・・だが解答の切り口が見つけにくい:
①輻輳時にエコー応答を受信することがあり検知できない
②ルータAとルータBの障害時に誤って検知する
※「ルータAとBを対象にすることが問題」ではなく、ICMPの性質について問うていたことがわかりづらい設問
・管理サーバに保存されている統計データとは別のデータについても監視によりトラフィック異常とは別の異常を検知できることを確認した。どのようなデータを監視し、どのような異常を検知できるか?
※データに関しては本文にヒントあり。後半も本文抜き出しで回答できるが、そもそも何を訊いているかピンと来るはず
(データ)FWとプロキシサーバの通信ログデータ
(検知内容)単位時間あたりの通信ログデータ量が突発的に増えたり減ったりしたこと
------------------------------------------------------------------------------------
(令和元年過去問より)
午後I
問1
(覚えておきたい単語)
・ディスタンスベクタ型のルーティングプロトコルの代表は?:
RIP
・リンクステート型のルーティングプロトコルの代表は?:
OSPF
・パス(ASパス)と方向(ベクトル)を組み合わせたルーティングプロトコルの代表は?:
BGP (もしくはBGP4)
・OSPFで必ず存在しなければならないエリア番号0のエリアを何という?:
バックボーン
・VRRPのマスタルータが故障した際に、ブロードキャストして他機器のMACアドレスを更新するために新しくマスタとなったルータが送るパケット何という?:
GARP
ICMP
・SNMPが取得する管理データを何と言う?:
MIB
・SNMPが監視対象機器に対してデータを取得することを何と言う?
ポーリング
・監視対象機器からSNMPサーバに対して状態変更の通知を行うものは何か?
SNMPトラップ
(覚えておきたい出題パターン)
・静的なLAG(リンクアグリゲーション)ではなく自動でリンク管理するLACPを設定することにより、LAGを構成する回線の一本がきれたときに可能となることは?:
リンクダウンを伴わない故障発生時に、LAGのメンバから故障回線を自動で除外できる
・LAGを構成する回線一本が切れた場合に、切れた回線を含む同一LAGを構成するIF全てを自動的に閉塞するが、もし閉塞しなければどのような問題点があるか。「パケット」という言葉を用いて説明せよ。
(ヒント、LAGで回線冗長し、2Gビット/秒としている状況):
1Gビット/秒を超えたパケットが廃棄される。
・LAGを構成する回線の負荷分散(どの線を使用するかの決定)はハッシュ関数によって決定される。IPアドレスとポート番号ではなくMACアドレスをハッシュ関数の計算の元数値としたとき負荷分散がうまくいかない理由を答えよ。
(ヒント、MACアドレスの方は毎回同じルーティングルート):
通信の送信元を宛先MACアドレスの組み合わせが少なくハッシュ関数の計算値が分散しないから
問2
(覚えておきたい単語)
・ラウンドロビン方式は処理を( )に振り分ける。:
順番
・HTTPリクエストのポート番号は?:
80
200
・Cookieを利用するときHTTPの( )ヘッダフィールドにセッションIDを追加する:
Set-Cookie
・上記のHTTPレスポンスを受け取った後、次に送信するリクエストについては( )ヘッダフィールドに追加する。
(覚えておきたい出題パターン)
・「利用者のWebブラウザ- WAF-FW―LB-Webサーバ」という接続で稼働しているとき、WAFが故障時も通信を成立させたい。そのためFWで行う設定は何か?
(ヒント、通常はFWでWAFからのHTTPSしか許可していない):
任意のIPアドレスからWebシステムへのHTTPS通信を許可する。
問3
(覚えておきたい単語)
・異なるセグメントにDHCPのサービスを提供するためにスイッチが持つ機能を答えよ:
DHCPリレーエージェント
(覚えておきたい出題パターン)
・全て静的ルーティングルートで構成されているネットワークにおいて新しいセグメントをL3スイッチに追加するとき、必要な設定内容は?:
新しい(対処用)セグメントのルーティング情報を追加する
午後II
問1
(覚えておきたい単語)
・SIP UA がPBXに対して位置情報登録を依頼する際に、SIPメソッドである( )を使ってリクエストを行う。:
REGISTER
・SIP UAがPBXに対して発信を行うときに使用するSIPメソッドは( )である。:
INVITE
・SIP UAのリクエストが成功してPBXが送信するレスポンスは( )である。:
200 OK
※失敗のときは ''401 Unauthorized''
・顧客が同じ閉域回線を共用するIP-VPNの技術は?:
MPLS
(覚えておきたい出題パターン)
・現行環境と新環境をLANの観点から分離したい。L3SWを用いてどのように実現するか?:
L3SWの新環境の収容ポートを新しいセグメントにして、現行環境の収容ポートとのルーティングを禁止する。
※VLANによって区分し、現行・新の間のルーティングをできないようにする
問2
(覚えておきたい単語)
・攻撃者が行う対象をしらべるためのスキャンの種類2つを答えよ。:
1.アドレス(ホスト)スキャン
2.ポースキャン
・TCPのヘッダを構成する4つを答えよ:
1.送信元ポート番号
2.宛先ポート番号
3.シーケンス番号
4.確認応答番号
・クローズのポート宛にTCPやUDPを送って返送されるパケットは?:
ICMP
(覚えておきたい出題パターン)
・ uRPF(Unicast Reverse Path Forwarding)でフィルタリングすると偽装されたパケットが到達することが少なくなる。どういう内容のフィルタリングか?:
ルータが受信したパケットの送信元IPアドレスが、ルーティングテーブルに存在しない場合、受信したパケットを破棄する。
・メール中継サーバが、送信元偽装の目的で踏み台にされることを回避するために行う設定は?:
インターネット(外部)から受信した、当社のメールアドレス宛て以外のメールは中継処理しない。
・内部LANに侵入したマルウェアの活動を早期に検知するためにプロキシサーバ(ヒント:ユーザ認証を行う)とFWのログを定期的に検査することにした。プロキシサーバのログに、マルウェアの活動が疑われる異常な通信が記録されることがある。それはどうのような通信か?:
プロキシサーバでの認証エラーが短時間に繰り返されている。
------------------------------------------------------------------------------------
(平成30年過去問より)
午後I
問1
(覚えておきたい単語)
・社内に対してアクセス先URLのログ取得や、外部サーバのコンテンツをキャッシュして使用帯域を削減する目的のプロキシサーバの機能を( )プロキシという:フォワード
・外部から公開サーバのコンテンツに直接アクセスさせることによる改ざんの防止、負荷分散、応答速度の向上のために用いるプロキシサーバの機能を( )プロキシという:
リバース
・HTTPSでアクセスするためのHTTPプロトコルのメソッド名をこたえよ:
CONNECTメソッド
・プロキシサーバを経由して送られた暗号化されたデータを復元しようとして出たエラーメッセージ’’証明書が信頼できない’’に対処するためにPCにインストールするものは何か?:
プロキシサーバのルート証明書
・SDNで用いられるデータプレーンと対になるプレーンは?:
コントロール
(覚えておきたい出題パターン)
・プロキシサーバで認証することによりアクセスログに付加できる情報は何か?:
利用者ID
・CONNECTメソッドを用いるとき、社内に侵入したマルウェアによる通信(HTTPS以外の通信)を遮断するためのプロキシサーバでの対策を答えよ:
HTTPS以外のポートのCONNECTを拒否する。
・SaaS-WANルータ―L3SWという形で接続されているとき、SaaSのIPアドレスが変更さてもL3SWの設定を変更しないで済むにはL3SWの静的経路情報(スタティックルート)をどのように設定すればよいか:
ネクストホップがWANルータとなるデフォルトルート
問2
(覚えておきたい単語)
ICMP
・Echo Requestパケットの宛先の機器に割り振る必要があるものは?:
・SYSLOGで用いるトランスポートプロトコルは?:
・SNMPのグループ名は?:
コミュニティ
・VRRPで冗長化しているものは、PCやサーバでは接続の対象として何の設定を行う?:
・VRRPがマスタルータからバックアップルータに切り替わるのはバックアップルータがあるメッセージを受け取らなくなったときである。そのメッセージ名は?:
VRRPアドバタイズメント
(覚えておきたい出題パターン)
・スパニングツリーが構成されたスイッチ群で、うち一台の接続が切れたがそのスイッチから監視サーバにSYSLOGが届かなかった。「スパニングツリー」という言葉を用いて理由を説明すると?:
スパニングツリーが再構築中だったから
・ポーリング(定期的に機器の情報を取得しにいく)でユーザの報告より先に異常を検知できなかった。その問題点は?:
5分ごとに状態を取得するので多くの場合異常検知が遅れる。
・トラップ(異常が起きたときに取得する通知で異常を検知する)で異常を検知できない可能性がある問題点は何か?:
到達確認がないのでメッセージが失われる可能性がある。
・SNMPインフォームは監視サーバにメッセージを送るとき応答確認を行う。STPで構成されたスイッチで接続の異常が発生したときに対応する動作はどういうものか?:
スパニングツリーが再構築するまでインフォームの再送信を繰り返す。
問3
(覚えておきたい単語)
・IP-VPNでCEルータからPEルータに送られるパケットに付与される固定長のタグ情報を何というか?:
ラベル
・IPSecが動作するのはOSI基本参照モデルの( )レイヤか?:
ネットワーク
・事業者閉域IP網内で複数の利用者のトラフィックを中継するのに、用いられるパケット転送技術を何というか?:
MPLS
(覚えておきたい出題パターン)
・事業者閉域IP網内の利用者トラフィック中継処理においてタグ情報(ラベル)を利用する目的を答えよ:
利用者ごとのトラフィックを区別するため
・IPSecトンネル接続のルーティングはOSPFによって行われる場合、GRE over IPSecが利用されるが、その理由は?:
OSPFのマルチキャスト通信を通すため
※OSPFのリンクステート情報交換はIPマルチキャスト通信で行われる
・フルメッシュタイプの接続のIPSecトンネルのネットワーク構成において、追加拠点向けIPSecトンネルを手動で追加するのが望ましくない理由は?:
新拠点追加のときに全拠点の設定変更が必要になるから
・あるルータがOSPFで代表ルータ(DR)に選ばれないようにするため、そのルータに設定すべきことは?:
OSPFのプライオリティを0に設定する。
午後II
問1
(覚えておきたい単語)
・TLSの3機能を答えよ。情報を「 」する機能、情報の改ざんを「 」する機能、通信相手を「 」する機能:
暗号化、検知、認証
(覚えておきたい出題パターン)
・X社が保守している他社エリアからX社にTCPコネクションでデータが送られるとき、他社エリア内にあるFWによってなりすましや侵入を防ぐ対策は何か:
X社が運用・保守を行う機器からX社FWの方向に確立されるTCPコネクションだけを許可する。
・上記をTLSの機能を用い、顧客エリア内のデバイスに対して行う対策は何か:
クライアント証明書を配布してクライアント認証を行う。
・TCPの再送機能だけではメッセージの消失が防げないのはどういう場合か:
TCP送信処理中に、デバイスの電源断などでTCPコネクションが開放された場合
・WebAPの絶対URIはHTTPリクエストに含まれるURIと一致していなければならない。顧客向けのAPI利用ガイドラインには、この対策に必要な顧客への依頼事項があるがそれは何か:
WebAPのURIを固定にし、絶対URIを事前に通知してもらう。
・顧客ネットワークと自社ネットワークの間でNAT変換を行う状況において、顧客ネットワーク内に顧客サーバを追加したとき自社で必要な設定は何か(2つ):
①1:1静的双方向NATの設定をNATルータに設定する
②通信を許可するルールを通信装置内のFWに追加する
問2
(覚えておきたい単語)
・複数のスイッチを( )接続して一つのスイッチをして動作させる:
スタック
・アクティブなFWをスタンバイFWにセッション継承することを( )フェールオーバという:
ステートフル
・物理サーバの複数のNICを集約することを( )機能という:
(覚えておきたい出題パターン)
・複数の顧客の通信を扱うFW では複数の仮想FWを稼働させる必要がある。その理由は?:
①顧客ごとに異なるフィルタリングの設定が必要だから もしくは ②顧客ごとにルーティングの設定が必要だから
・FW2台を接続してアクティブ―スタンバイで機能させて冗長化させたとき、アクティブFWが切り替わるためにそれぞれのFWが監視する内容は?6つ答えよ
※アクティブFWは機器A、Bに繋がっている:
①スタンバイFWによるアクティブFWの稼働状況
②アクティブFWによる機器Aへの接続ポートのリンク状況
③アクティブFWによる機器Bへの接続ポートのリンク状況
④アクティブFWによるスタンバイFWの稼働状況
⑤スタンバイFWによる機器A'への接続ポートのリンク状況
⑥スタンバイFWによる機器B'への接続ポートのリンク状況
・サーバ内の仮想サーバの物理サーバ間移動のために必要になる複数の顧客のVLANはどのポートか?また設定するVLANの内容を答えよ:
物理サーバへの接続ポートに、全ての顧客の仮想サーバに設定されたVLAN IDを設定する。
・OpenFlowコントローラとOpenFlowスイッチを通信させるためにOpenFlowスイッチにTCPコネクションの確立に必要な最小限の情報は何か?:
・仮想FWの設定で必要なネットワーク設定情報を6つあげよ:
①フィルタリングルール
②仮想FWのVLAN ID
③仮想FWのIPアドレス
④仮想FWのサブネットマスク
⑤仮想FWの仮想MACアドレス
⑥ルーティング情報
※仮想FWに限らずこれらをFWに設定する
・3つの物理サーバに3顧客の仮想サーバを分散して配置することにより発生する可能性がある問題を答えよ:
3顧客のシステムが同時に止まってしまう。
・上記の対処方法として取るべき仮想サーバの配置を答えよ:
3顧客向けの仮想サーバを、それぞれ異なった物理サーバに配置する。
・同一サーバ(同一セグメント)にあるFWとLBがOFSを経由せずに通信ができる理由を答えよ:
FWの内部側ポートとLBの仮想IPアドレスを持つポートは、同一セグメントであり、同じ物理サーバ内で処理されるから。
------------------------------------------------------------------------------------
(平成29年過去問より)
午後I
問1
(覚えておきたい単語)
・ハッシュアルゴリズムで十分な安全性を確保できないとされるハッシュアルゴリズムはMD5または、( )である。:
・TLS1.0 は安全性が確保できないのでバージョンが上のTLS( )以上を使用すべき:
1.2
・SSL/TLS のコネクション開設時にクライアント側からサーバ側に送られるメッセージは( )メッセージ:
Client Hello
・サーバ側からクライアント側に送られるメッセージは( ):
Server Hello
・SSL-VPNの基本動作は( )、ポートフォワーディング、L2フォワーディングの3方式がある。:
リバースプロキシ
①使用する暗号アルゴリズム=RSAなどの公開鍵の場合、用途を2つ答えよ:
認証、鍵交換
②使用する暗号アルゴリズム=AESなどの共通鍵の場合、用途を1つ答えよ:
暗号化通信
③使用する暗号アルゴリズム=SHA-256などのハッシュアルゴリズムの場合、用途を1つ答えよ:
メッセージ認証(改ざん検知)
問2
(覚えておきたい単語)
・一時的に大量の帯域を使用する現象を引き起こすトラフィックを何というか?:
バーストトラフィック
(覚えておきたい出題パターン)
・専用線(DVI)経由で本社と支店を結ぶとき 、支店で引かれていたインターネット回線を廃止する理由は?また情報セキュリティ対策上の利点は?:
※本文にヒントあり
(理由)インターネット通信は本社の仮想PCから行われるから
(利点)情報セキュリティ対策を本社で集中的に行うことができるから
・支店と本社間でDVIの画面転送通信と本社プリントサーバへのプリンタ出力通信指示の通信が混在しているとき、画面転送の操作性が悪化する場合がある。その原因は?:
プリンタ通信が画面転送通信を圧迫するから
・本社から支店方向の通信の帯域が各支店のアクセス回線の契約帯域を超過したときに、帯域制御装置がパケットに対して行う制御の内容を答えよ。※その制御は支店への複数クラスのパケットに対するシェーピングが可能である。:
送出タイミングを調整する
問3
(覚えておきたい単語)
・IPアドレスとポート番号の変換処理を( )という:
NAPT
・接続する相手を認証する方式として、両方の機器であらかじめ、( )と呼ばれる同じ鍵を共有する方式がある。:
事前認証鍵(PSK)
・BGPの概念で、特定のルーティングポリシーで管理されたルータの集まりを ( )という:
AS ※Autonomous System 自律システム
・BGP接続ではルータ間をトランスポートプロトコルのひとつである( )のポートを使用して経路情報の交換を行う。:
・Pingは( )※プロトコル名 のecho requestパケットを監視対象に送り、( )パケットが監視対象から返ってくることで到達性を確認する。:
ICMP、echo reply
(覚えておきたい出題パターン)
・ある状況下において通信の暗号化モードを選ぶとき、IPヘッダも暗号化対象とするトンネルモードではなく、IPヘッダは暗号化対象としないトランスポートモードの接続を選択する理由を、IPアドレスに着目して答えよ(ヒント:グローバルIPアドレスを用いて通信する):
暗号化対象の通信がグローバルIPアドレス間の通信だから
※プライベートIPアドレスの通信ならばトランスポートモードは使用できる
・MTUの値が1500だった場合(最大サイズ)、パケットサイズが暗号化によってそれ以上となったとき、ルータで発生する処理を答えよ:
フラグメントとリアセンブルの処理が発生する。
※最大値を超えるとパケットは分割されて送信され、受信側で再構成される
・冗長構成の通信方式でBGP(動的経路制御)を選択した場合、静的経路制御を用いる場合にはない利点を答えよ。:
BGPによって回線断や機器障害を検知し、トラフィックをう回できる。
・経路情報の交換を行う必要がないパッシブインターフェースの動作の特徴を答えよ:
Helloパケットを出さない。
・冗長化しているVPN接続AとBがあるとき、Aを優先(アクティブ)したい。その場合Bの設定はどうすればよいか?:
Bのコストを大きくする
・BGPとOSPFが入り混じった経路ルーティングがある。BGPからOSPFの経路情報がループしてしまうとき、経路のループを防ぐために必要な経路制御を答えよ。:
BGPからOSPFへ再配布された経路を再びBGPへ再配布しない。
・2つある冗長化したVPNトンネルがそれぞれの経路を監視している目的を答えよ:
ネットワーク接続の冗長構成が失われたことを検出するため。
午後II
問1 ※この問題はほとんど図表の解読力を即興で問う問題
(覚えておきたい単語)
・名前解決(DNS)で別名を適用するためのレコードの文字列は?:
CNAME
(覚えておきたい出題パターン)
・複数の接続可能なエッジサーバがあり、DNSクライアントが選択権を持っていてより適したエッジサーバを選択するのはどのような場合か?DNSクライアントはDNSフルリゾルバを経由する:
DNSクライアントとDNSフルリゾルバが、ネットワーク上で離れた位置にある場合
・クライアント―サーバ間の通信の間に、CDN(Contents Delivery Network:コンテンツ配信ネットワーク)を設けることにより解消されるTAT(Turn Around Time)の要因を二つ答えよ:
①サーバの処理能力不足
②クライアント・サーバ間の通信遅延
・ネットワークを拡張し、OFCを用いて自社のサーバリソースを自由にカスタムできるようにしたとき、障害復旧時間(RTO)を短縮できる要因をふたつ述べよ:
①転用する業務サーバに関する物理配線の変更が不要になる
②管理ソフトウェアを用いて、社内要員だけで対応できる。
※本文中にヒントあり
・国外に拠点をDRとして持っておくメリットは?:
国外を利用するので国内の広域災害の影響を回避できる。
問2
(覚えておきたい単語)
・80.211b = ( ) GHz ・ 最大( )Mビット/秒:2.4 , 11
・80.211g = ( ) GHz ・ 最大( )Mビット/秒:2.4 , 54
・80.211a = ( ) GHz ・ 最大( )Mビット/秒:5 , 54
・80.211n = ( ) GHz ・ 最大( )Mビット/秒:2.4 and 5 , 600
・80.211ac = ( ) GHz ・ 最大( )Gビット/秒:5 , 6.9
・無線LAN接続機能として( )での接続要求を拒否する機能がある:
any
・WEPはRC4暗号化アルゴリズムを使用した( )鍵暗号方式:
共通
・WPA2はAES暗号化アルゴリズムに対応し、IEEE( )準拠の方式:
802.11i
・WEPは1バイト単位の( )暗号であるRC4を使用してパケット暗号化を行う:
ストリーム
・WEPは( )のWEPキーが使用され続けるリスクがある:
同一
・WPAでは( )で動的に生成されてクライアントに配布されるPMK(Pairwise Master Key)を基に、無線LAN端末および( )の両者で生成される。:
認証サーバ
・TKIP暗号アルゴリズムは一時鍵、IV(Initialization Vector)、無線LAN端末の( )を混合してキーストリームを生成する:
・WPA2では事前( )の方法およびPMKの保持方法が規定されている。:
認証
・IEEE802.3at規格のPoE機能の呼称は?:
PoE+
(覚えておきたい出題パターン)
・APとクライアントPCの利用者認証を済ませた後はWLCを経由しないで通信できる仕組みにおいて、そのメリットを2つ答えよ。:
①WLCに通信の負荷が集中するのを抑制することができる
②認証後にWLCに障害が発生しても、その無線LAN端末の通信は継続できる
・無線通信において外来電波による悪影響を答えよ:
電波干渉によって、通信障害が発生する。
・周波数帯が異なる自社APのセル(カバー範囲)を重ねる理由を2つ答えよ:
①ハンドオーバーをスムーズに行わせるため
②APの負荷分散を行わせるため
・ダウンロードサーバがクライアント証明書を管理するとき、クライアントPCで必要となる情報を2つ答えよ:
①CAの自己証明書
②クライアントの秘密鍵
・無線LANAPでクライアント証明書を配布するときのセキュリティ上の問題を答えよ:
ダウンロードサーバの認証情報が漏えいすると、来訪者(第三者)もクライアント証明書などがダウンロードできてしまう。
・訪問者に無線LAN APを接続させるとき、知らせないといけない情報2つを答えよ:
①ESSID
②PSK
・ APとクライアントPCの利用者認証を済ませた後、WLCに障害が発生した場合、クライアントPCで発生する問題を答えよ。またその理由も答えよ。:
(問題)ハンドオーバができなくなる
(理由)クライアントPCに配布したPMKと認証関連情報がWLCで保持されているから
------------------------------------------------------------------------------------
(平成28年過去問より)
午後I
問1
(覚えておきたい単語)
・メールをどのメールサーバに転送するとき参照する資源レコードを( )レコードという:
MX (Mail Exchanger)
・SMTPプロトコル上でユーザ認証を行う方式を何というか?:
・TCPの587番ポートで、メールを送信するためのポートを何という?:
サブミッションポート
・POP3のポート番号は何番?:
110
HELO(EHLO)
・SMTP通信中に送信元ドメインが得られるSMTPプロトコルのコマンドは(送信元メールアドレスの通知)?:
MAIL FROM
・SMTP通信中の宛先メールアドレスのSMTPプロトコルのコマンドは?:
RCPT TO
・SMTP通信中のメール本文送信のSMTPプロトコルのコマンドは?:
DATA
(覚えておきたい出題パターン)
・自社ドメイン以外への宛先へ、メールを転送することを行えない設定はどのような情報セキュリティ上のリスクを避けるためか?:
不正メールの踏み台にされてしまうリスク
・SPF(送信元ドメイン認証)において、SPFレコードと照合される情報は何か?:
送信元メールサーバのIPアドレス
問2
(覚えておきたい単語)
・WPAの暗号化アルゴリズムは?:TKIP
・WPA2の暗号化アルゴリズムは?:AES
・無線LANの認証方式は( )認証である:事前共有鍵
・モバイルWifiルータに挿入する通信事業者が契約者を識別する情報が記録されているものは?:
・モバイルWifiルータに設定するゲートウェイの設定項目の名称は?:
APN(Access Point Name)
・モバイルWifiルータで行われるIPアドレスとポート番号の変換処理を何という?:NAPT
・プロキシサーバはタブレット端末からの( )要求によってHTTPSサーバへ情報を転送される:
CONNECT
(覚えておきたい出題パターン)
・無線APのSSIDを隠蔽するステルス機能の動作を答えよ:
定期的に送信するビーコン信号を停止する。
・無線APのステルス機能とMACアドレスフィルタリングを用いた対策でもSSIDやMACアドレスは容易に取得されてしまう。その理由を電波を用いて通信を行う無線LANの特性に着目して答えよ:
・ユーザがVPN接続用途の会社貸与のタブレット端末やモバイルWifiルータ、ハードウェアトークンを紛失したとき、ネットワーク管理者が取るべき行動を紛失したVPN接続の利用者IDに注目して述べよ:
VPN接続の利用者IDを停止する。
・プロキシサーバのログからユーザを特定するためにプロキシサーバに必要な機能名を答えよ:
プロキシ認証
・またそのための設定の内容を答えよ:
ユーザごとに利用者IDを登録する。
・HTTPSの場合、HTTPと比較して取得できるログの内容が限られる。HTTPSのRequest-URIから取得できるログの内容を2つ挙げよ:
①接続先ホスト名
②接続先ポート番号
※HTTPS接続のCONNECTメソッド内で接続先を指定するRequest-URIには接続先ホスト名(FQDNかIPアドレス)と接続先ポート番号の2つだけが含まれる。
問3 ※この大問はほぼネットワーク図の読解
(覚えておきたい単語)
・プライマリDNSがセカンダリDNSにゾーン情報を更新することを何という?:
ゾーン転送
・メールゲートウェイとメールサーバの間でメールが転送されるときに使用されるプロトコルの名称は?:
(覚えておきたい出題パターン)
・メールゲートウェイ(送信元)からメールサーバ(宛先)へのメール転送において、DNSラウンドロビンを用いても負荷の偏りが生じやすい。それが起きる条件とその理由は?※送信元の方が送信先より機器の台数が少ない:
(条件)送信元が少数の場合
(理由)送信元は、DNSキャッシュが生存している間、宛先を変えないから
・メールゲートウェイと通信しているメールサーバを更改する際に、双方を経由しているFWの設定を変更する必要がある。どのように設定変更するか?:
新メールサーバとメールゲートウェイとの間のSMTP通信を、双方向とも許可する。
午後II ※この大問はほとんど図表の解読力を即興で問う問題
問1
(覚えておきたい単語)
・システム切り替え時に問題発生時に行う手段として( )に要する時間を考慮すべきである。:
切り戻し
(覚えておきたい出題パターン)
・「インターネットISP(社外)―LB―FW-Webサーバ(複数)」という構成のとき、Webサーバが増えた場合FWの設定変更内容を2つ答えよ。LBでNAT変換している。:
①許可する通信を追加する。
②宛先NATに関する定義を追加する。
・「インターネットISP(社外)―LB―FW-Webサーバ(複数)」という構成のとき、インターネット回線(社外)を別々の会社の2回線に冗長化した。LBは通信の行きと戻りを同じISP経由にする。社外からWebサーバへのアクセス時に行きと戻りが同じIPSを経由しなかった場合に発生する問題を答えよ:
応答が行きの宛先IPアドレスとは異なる送信元IPアドレスから戻る。
問2
(覚えておきたい単語)
・SA(Security Association)の内容が確定すると、SAに関連付けされたSPI(Security Parameters Index)が( )ビットの整数値で割り当てられる。:
32
・SP(セキュリティポリシー)を選択するキーを( )と呼び、IPアドレス、プロトコル、ポート番号が利用される。:
・IPSecルータの両端が固定IPアドレスの場合は( )モード、動的IPアドレスを使う場合を( )モードを使う。:
メイン、アグレッシブ
・イーサネットインターフェースのMTUサイズを適正な値に変更することにより、パケットの( )を防げる:
断片化(フラグメンテーション)
・ライフタイムが終了してSAが消滅したあとに、SAを再作成する処理を( )という:
リキー(ReKey)
・IPパケットの最大長はMTUで表され、イーサネットの場合( )バイトである。:
1500
(覚えておきたい出題パターン)
・IPSecで認証する2つの対象を答えよ:
①通信相手のIPSecルータの認証
② 転送データの完全性の認証(データが通信中に改ざんされていないこと)
・Y社で検討中のIPSecルータは、OSPFの通常の設定では、リンクステート情報の交換パケットをカプセル化できない。その理由を答えよ。※ヒントとしてIPSec ではユニキャストのIPパケットをカプセル化して転送する。:
OSPFのリンクステート情報交換は、IPマルチキャスト通信で行われるから
・通信暗号化GRE(レイヤー3利用)とL2TP(レイヤー2利用)があり、いずれもマルチキャスト通信が可能。GREを利用する利点をL2TPを利用する場合として比較して影響の度合いを考慮して答えよ。※ヒントとして1パケットで転送するデータ量がGREの方が多い。:
カプセル化によるオーバーヘッドがL2TPより小さいので、一つのパケットで転送するデータ量が多い。
・ESP認証データ長はパラメータで選択された方式によって変換する。その理由を答えよ。※本文にヒントあり:
ESP認証データ長は、使用する認証アルゴリズムによって変化するから
・STPを使用しない形のネットワーク機器4台のループ構造(L3スイッチ、L2スイッチA、L2スイッチB、ルータ)でレイヤ2のループを発生させないためには、どのようにサブネットを設計すればよいか。L2スイッチAとL2スイッチBの設定で実現させよ:
L2スイッチAとL2スイッチBを異なるサブネットにする。
・支店にはVRRPで冗長構成されたルータが2台あり、支店のPCはそのルータを経由して外部のサーバにアクセスする。2台のルータを直接接続している接続が切れたとき、支店のPCの外部のサーバまでのアクセス経路を''VRRPのマスタルータ''という字句を用いて答えよ。※VRRPのマスタルータはどちらのルータかは本文からはわからない。:
どのサーバアクセスも、VRRPのマスタルータが稼働する機器に接続されたWAN回線を経由して行われる。
------------------------------------------------------------------------------------
(平成27年過去問より)
午後I
問1
(覚えておきたい単語)
・SSO(Single Sign On)の方式はサーバにソフトウェアモジュールをインストールして実現するエージェント方式とSSOサーバにおいて全ての通信の中継を行う( )方式がある。:
リバースプロキシ
・あるサーバへのサービス要求を別のサーバに向け直すことを( )という:
リダイレクト
・WebサーバがPCにCookieを受け渡す方法は送出されるHTTP応答パケットの( )ヘッダフィールドに属性を付与する。:
Set-Cookie
・PCからあるドメインへの認証リクエストの宛先がVIPアドレスとなるように( )サーバに設定する:
・SSOサーバが自IPアドレスと異なるVIPアドレス宛てのパケットを受信しなければならない。そのためVIPアドレスを付与した( )インタフェースをSSOサーバに設定する。:
ループバック
・IPアドレス重複エラー検知に用いられるARPの名称を答えよ。※自分のIPアドレスに対するMACアドレスを解決する目的のARP:
GARP
(覚えておきたい出題パターン)
・WebブラウザからCookieが平文でネットワーク上に意図せず流れてしまうことを防ぐためにサーバがCookieを発行するために実施すべき方策を答えよ:
CookieにSecure属性を付ける。
・SYNパケットにはCookieなどのレイヤ7情報が含まれていないとすると、通信を振り分ける機器 (LB)はレイヤ7の情報を基にして振り分け先サーバを選定するような方式に対応できない。その理由を答えよ:
SYNパケットにはレイヤ7情報が含まれていないから
・同じVIP(Virtual IP address)がLBとSSOサーバに設定されてしまっているためARPによって重複エラーが検知された。SSOサーバに対してどのように設定すれば対処できるか:
VIPアドレスに対するARPリクエストに応答しないように設定する。
問2
(覚えておきたい単語)
・1秒当たりの転送データ量を( )という。転送量ではなく処理能力の面から答えよ:
スループット ※ビットレート ではない。ビットレートは転送量
・1秒当たりの転送の単位は転送( )数:
パケット
・FWの故障発生時にセッション( )ができない:
維持
(覚えておきたい出題パターン)
・FWがセッションの終端ノードでない場合、2台のFWによる負荷分散ではパケットに対して行える操作に制約がある。その制約のためサーバ負荷分散で使われる仮想IPアドレスを用いる方式は使用できない。その制約とは何か?:
宛先IPアドレスを書き換えられない。
・2台のLBの間にFWも2台ある(経路が2つ。負荷分散のため)。2つのLBによるパケットの振り分けは、FWでの動的フィルタリングが正しく行われるように実行される必要がある。これはある条件が成立しなければならない。その条件を答えよ:
セッション単位に、2台のLBが同じFWを選択する(コネクションの往路と復路が同一のFWを経由しなければならないということ)。
・2台のFW構成のところにもう1台FWを追加する。処理能力補強の理由以外でもう1台追加する理由を答えよ:
故障発生時の性能を不足させないため
・2台のLBの間にFWが3台ある。対向するLBとの間で、経由するFWをを変化させながら、相互にヘルスチェック用パケットを送信する。LBがFWに対してヘルスチェック用パケットを送信するやり方と比べた利点を答えよ:
FWを経由するLB間の経路の障害を検出できる。
・上記構成でFW1台が故障したときFWを挟んでいる両LBが、RSTフラグをオンにしたパケットをTCPコネクションの両端に送信する。これを行うことによりTCPコネクションの両端のノードにどのような利点を与えるか:
リトライアウト(再送処理)を待たずにコネクションの切断を検知できる。
問3
(覚えておきたい単語)
・シグネチャ型と異なり、定義されたプロトコルの仕様などから逸脱したアクセスがあった場合に不正とみなす検知方法を( )型という:
アノマリ(もしくは異常検知)
・本来であれば宛先ではないポートにフレームが届くようにスイッチ上で設定するポートを( )ポートという:
ミラー もしくは ミラーリング
・ブロードキャストフレームを除き、無差別にすべてのフレームを取り込むネットワークポート(NIC)の動作モードを( )モードという:
プロミスキャス
・TCPによる攻撃をやめさせるためにパケットの送信元にICMPヘッダのコードに設定するパケットの設定は( )portである。:
unreachable
(覚えておきたい出題パターン)
・IDSとFWが連携することで不正な接続を遮断する仕組みを答えよ。:
FWのACLを動的に変更して、遮断の対象とする送信元アドレスを追加する。
・ICMPを使った攻撃抑止のために攻撃者に送出するパケットが、実際には攻撃者に届かないことがある理由を答えよ:
不正アクセスの送信元アドレスが偽装されている可能性があるから
・防御対象のサーバに新たな脆弱性が発見された場合のIPSの一時的な運用とは何か答えよ。※遠く離れた段落にヒントあり。かつて「アプリケーションへの影響確認テストに時間が掛かり、当該サーバにセキュリティパッチを適用するまで、営業支援システムを数日間休止せざるを得なかった」事件があった。:
保護する機器にセキュリティパッチを適用するまでの間、脆弱性を悪用する攻撃の通信を遮断する。
・IPSの機能の一部が故障した場合に備えた機能として、通信を継続して利用できる状態にするためのIPSの機能を答えよ:
通信をそのまま通過させ、遮断しない機能
・IDSやIPSのセキュリティレベルの継続的な向上のために、管理用PCを使って行うべきことを答えよ:
不正アクセスへの対応を最適化するために、ログを取得して解析する。
午後II
問1
(覚えておきたい単語)
なし
(覚えておきたい出題パターン)
・「業務サーバと設備」が通信しており、設備の稼働情報をサーバは定期的に入手している。稼働情報取得のトリガは、設備ではなく業務サーバ側にあるが、それは運用上の利点となっている。その理由を述べよ。:
稼働情報の収集周期の変更が容易である。 ※本文にヒントあり
・「設備―通信アダプタ―中継装置―業務サーバ」という形で接続されている。それぞれの機器がGETリクエストを送信する間隔が異なる。GETリクエストして得た情報はキャッシュされるがそれぞれの情報得る間隔がことなるのはなぜか。キャッシュに注目して答えよ:
中継装置より通信アダプタのキャッシュの更新頻度が高く新しいから
・上記の構成で「設備ー通信アダプタ」間の最新の更新情報が取得できなかったときどのような場合か2パターン答えよ。:
①設備とTCPコネクションが確立できない場合 (設備が故障している場合)
②設備がNot Modified を応答した場合 (設備から新しい稼働情報が得られなかった場合)
・「設備―通信アダプタ」間の情報取得周期を長くした場合(例えば1分間隔から2分間隔へ変更)、業務サーバが受け取る応答への影響を述べよ:
電源断などで設備との通信ができない場合の稼働状況が古くなる
・HTTP(TCP)を変換してCoAP(UDP)でデータ送信するときターンアラウンドタイムが向上する。CoAPとUDPの特徴を2つ挙げよ:
①TCPコネクションの確立と終了の手順が不要である。
②CoAPはヘッダ長が短いなど、データの格納効率が良い。
・同時コネクション数を軽減するという目的において、中継装置のTCPコネクション保持時間はどのような設定方針にすべきか:
正常な通信に支障がない範囲でなるべく小さくする
・TCPコネクション保持時間を短縮するという目的において、業務サーバからの情報取得依頼のリクエストにおけるクローズ接続オプションの使い方について述べよ:
後続がないリクエストに付与し、コネクションを切断する。
・同時コネクション数を削減したい。そのためトランザクションをパイプライン化する工夫をしたいが、その前提として設備のリソースを指定する際のURL(設備はそれぞれFQDNを持つ)に関する設計方針を述べよ。複数の設備を通信アダプタがまとめて接続管理している:
通信アダプタにFQDNを付与し、同一コネクションを使って複数の設備から稼働情報を取得する。
問2 (覚えておきたい単語)
16ビット ※ポート番号の最大は2の16乗である65535
FTPでサーバからクライアントが指定したポートに対してTCPコネクションの確立を試みるモードを何という?:
アクティブモード
上記の逆でFTPクライアントからサーバにTCPコネクションを確立するモードを何と言う?:
パッシブモード
クラスD ※範囲224.0.0.0-239.255.255.255
フレームは何を基準にデータを送る?:
(覚えておきたい出題パターン)
・プライベートIPアドレスを使用していて複数顧客のネットワークを束ねるCPEとCGN装置間のネットワークでどのようなときに問題が生じるか?:
PCのネットワークアドレスと、CPEとCGN装置間のネットワークアドレスが重なったとき
・顧客宅のPCがインターネット上のWebサーバにアクセスしたとき、PCを特定するのにWebサーバがログとして記録する必要がある情報を3つ挙げよ
①送信元IPアドレス
②送信元ポート番号
・暗号化方式AHではIPアドレス変換が行われると認証エラーが発生する。その理由を認証対象に着目して答えよ:
IPヘッダが認証対象なので、IPアドレスが書き換えらると認証データが計算値と一致しなくなるから
・暗号化方式ESPではポート変換が行えない。理由を述べよ:
TPC又はUDPヘッダが暗号化の対象であり、ポート番号が暗号化されていてわからないから
もしくは
ESPヘッダにはポート番号が存在しないから
・ISAKMPメッセージの送信元ポート番号及び宛先ポート番号を500から4500に変更する。このときNATが行われると送信元ポート番号が変換されるので、IPsecを使用する機器の、受信パケットに対するフィルタリング設定を変更する必要がある、どのように変更するかを答えよ:
送信元ポート番号が500と4500以外のISAKMPメッセージも受信できるようにする。
・マルチキャスト通信にてスイッチから送出されるマルチキャストのデータがフラディングされるのはマルチキャストMACアドレスがスイッチによって学習されないからである。その理由を述べよ:
マルチキャストMACアドレスが送信元アドレスになることがないから
※スイッチは送信元MACアドレスのみを学習し、宛先MACアドレスは学習しない
・VXLANをセグメントによって通信路が論理的に分離されるとき、VLAN数の制限を緩和できる。その理由を答えよ:
膨大な数の論理セグメントが構成できるから(VXLANごとに、VLANを利用できるから)
・宛先不明の機器に通信したい。マルチキャストで通信する必要があるがユニキャストで行われない理由を答えよ:
宛先となる機器(VM)の存在場所が不明だから
・ユニキャストで可能な通信をすべてマルチキャストで送信するときに顕在化する問題を答えよ:
不要なマルチキャストパケットがネットワーク内に転送されるので、L3SWやネットワークの負荷が高まる。
------------------------------------------------------------------------------------
(平成26年過去問より)
午後I
問1
(覚えておきたい単語)
・OSPFのコストのメトリックは?:
帯域幅
・OSPFのバックボーンエリアはエリア番号は?:
0
・QoSの通信優先評価はIPヘッダの何というフィールドが基準?:
ToS (イーサネットの場合はCoSが基準)
・その通信優先評価基準のQoSの名前は?:
DiffServ (その反対の基準はIntServ)
(覚えておきたい出題パターン)
・VRRPの仮想IPアドレスは、AセグメントのPCのデフォルトゲートウェイとしてどう設定する?:
Aセグメントに対応した仮想ルータのIPアドレスを設定する
・特定のセグメントが意図した仮想ルータにアクセスするようにするにはルータの設定をどうする?:
該当するルータがアクティブになるようにプライオリティ値を設定する
・通信高速化する機器が、データキャッシュを送信する機能があるときにどういう状況で本領発揮する?:
ラウンドトリップ時間が大きいとき
・2拠点の両端に置かれた通信高速化する機器が自動で停止する機能はどういうとき発動する?:
片方が故障したとき
問2
(覚えておきたい単語)
・ネットワークアドレスとポート番号を変換する機能の名前は?:
NAPT
・通信のための管理情報をネットワーク機器が自動で引き継ぐのは( )フェールオーバ起動と呼ぶ:
ステートフル
・接続ポートのリンクLEDが消灯しているのは何層の問題?:
物理層、もしくは1層
・機材変更などで自ポートに設定されたIPアドレスの解決を他の機器に対して更新要求する機能を何という?:
GARP
・レイヤ2層で用いるテーブルは?:
MACアドレステーブル
・複数のVLANを1本にまとめるために物理ポートではなくデータを基準にしたVLAN技術は?:
タグVLAN
(覚えておきたい出題パターン)
・冗長構成の機器の間にスイッチを入れる目的は?:
①:リンク断をふせぐ ②障害の特定が容易になる。
・冗長構成の機器を負荷分散するにはどうすればよいか?:
それぞれのセグメントでそれぞれをアクティブ(Active)にする
問3
(覚えておきたい単語)
・多数のコンピュータが標的を集中的に攻撃するのは何という?:
分散型DoS攻撃
・大量のデータを送信して相手のサービスを妨害する攻撃を何という?:
フラッド攻撃
・問い合わせを受けたサーバが他にサーバに回答を問い合わせることを( )的な問合せという?:
再帰的
・発信元を偽装してその応答を押し付けるDNSの攻撃を何という?:
DNSリフレクタ攻撃
・オープンリゾルバで自分が攻撃主にされてしまったときの立場を何と言う?:
踏み台
・自分の組織に侵入するテストを行うことを何という?:
(覚えておきたい出題パターン)
・大きいサイズのICMPエコーの応答を使った攻撃を防ぐにはFWにどんな機能を持たせたらよいか?:
断片化されたエコーパケットを許可しない機能
・DNSのキャッシュを無効にしておかないとどんなリスクがある?:
DNSキャッシュが改ざんされる
・FWで内部から外部への不正な通信を発見、防止するために必要なFWの機能は?2つ挙げよ:
①内部から外部への通信に対する遮断ルールを設定する
②FWで遮断した通信の結果ログを監視する
・インシデント対応後に将来発生するインシデントへの対応としてセキュリティ担当者が実施すべきことは?:
対処結果の評価を行い、インシデントの対処方法を見直す。
午後II
問1
(覚えておきたい単語)
・HTMLで作成されたコンテンツを送受信するプロトコルは?:
HTTP
・データに含まれる特定の文字列を遮断する機能は?:
コンテンツフィルタリング
・Connect処理が完了して通路が出来たTCPデータをそのまま転送するのは何処理?:
トンネリング
・送信者のDNSレコードに送信者のメールサーバのIPアドレスを登録されており、受信メール認証するシステムを何という?:
SPF
・ディジタル署名をメールヘッダに付与して受信メールサーバで検証する送信ドメイン認証を何という?:
(覚えておきたい出題パターン)
・送信メールのドメインが正しいか確認するとき、2つの何のドメインを比較する?:
①メール送信元のIPアドレスが所属するドメイン ②メールのドメイン
・SPFを採用するとき、自社メール中継サーバ(外部と直接送受信するメールサーバ)を自社DNSサーバに登録するのはなぜか?:
社外に送信されるメールの送信元IPアドレスがメール中継サーバになるから
・サーバ証明書が正当だと判断するには何が必要?:
プロキシサーバのルート証明書
・SSL通信でPCとWebサーバの間にプロキシサーバがあるとき、PC間とWebサーバを抜いたらプリマスタシークレットの共有に失敗する理由は?:
プロキシサーバが暗号化されたプリマスタシークレットを復号できないから。
・ログの検査間隔を短縮して定期的に検査を行うことで得られる恩恵は?:
マルウェア(問題)を早期発見ができる
問2
(覚えておきたい単語)
・音声データを転送する場合の一般的なプロトコルは?:
RTP (Real time Transport Protocol)
・SIPで使われるメッセージの形式は?:
テキスト形式
・HTTPSのポート番号は何番?:
443
・電話をかけたり切るなどの呼制御を行うプロトコルは?:
(覚えておきたい出題パターン)
・VPNで生成した仮想IPアドレスはどのようなものであるべきか?:
サービス提供用内部LANのネットワークに属するIPアドレス
・冗長化を実現する上で実物の機器ではなくSDNを利用するときのコスト面での有利な理由は?:
ネットワーク機器ごとに異なるハードウェアを用意せずに済む
------------------------------------------------------------------------------------
(平成25年過去問より)
午後I
問1
(覚えておきたい単語)
・SSLハンドシェイクプロトコルでは( )メッセージにより暗号化アルゴリズムを決定する:
HELLO
・ループバックアドレスの範囲のIPアドレスは?:
127.0.0.1 ~ 127.255.255.254
・Javaアプレットで特定のIPアドレスとサーバの( )を対応するよう設計する:
・サーバ証明書の正当性を本人に代わり認証してくれる組織は?:
・HTTPSのポート番号は?:
443
(覚えておきたい出題パターン)
・外部と通信する際にプライベートIPアドレスではなくループバックアドレスを使用するセキュリティ的なメリットは?:
外部からの不正利用が発生しない
・クライアントからサーバへのデートアクセスで、待ち受けポートとプライベートアドレスを紐づけたマッピングテーブル用いるときに、この方式ができないのはアプリケーションのどんな特徴があるか?:
サーバ側のポート番号が変化する
・通信装置のデータ保持(キャッシュ)時間を延ばすことで得られるメリットは?:セッション確立による負荷を軽減させるため
・クライアント証明書の管理に必要な情報は?:
クライアント証明書の有効期限
問2
(覚えておきたい単語)
・DHCPの要求をほかのルータに求めるルータの機能は何という?:
DHCPリレーエージェント
・IPアドレスとMACアドレスの対応を表しているテーブルを何という?:
ARPテーブル
5GHz帯
・MACアドレスのOUIは何の固有の値?:
製造主
・MACアドレスは全何ビット?:
48ビット
・そのうちOUIは何ビット?:
24ビット
・スイッチのトラフィックモニタを接続して計測のために使用するポートの形状を( )ポートという?:
ミラーポート
・DHCPメッセージの流れの4工程をそれぞれ言うと?:
DHCPDISCOVER→DHCPREQUEST→DHCPOFFER→DHCPACK
(覚えておきたい出題パターン)
・管理者の許可を得ずにPCに固定IPアドレスを振るときに起こる可能性のある問題は?:
IPアドレスの重複
・MACアドレスを登録した機器にしかIPアドレスを振れないシステムを実装するときに必要な暫定的な対処は?:
・DHCPフレームを転送中にSwitch上でポートのフレーム送受信が高速に点滅しているときに起こっているであろう事象は?:
SWとSWの間でのブロードキャストフレームの折り返し
・複数のL2SWを用いてVLANを構成するときにどういう構成だと輻輳が発生しにくいか? ※STP以外の方法で:
SW単位にVLANを設定し、VLAN間経路制御とDHCPリレーを行う構成
問3
(覚えておきたい単語)
・IEEE802.1QのVLANで用いられる32ビットの要素は何?:
タグ
・IEEE802.1QのVLANで使用するタグのVIDは何ビット?:
12ビット
・複数の物理筐体(L2スイッチなど)を接続し、一つのスイッチとして機能させる機能を何と言う?:
スタック
(覚えておきたい出題パターン)
・スイッチ間のリンクアグリゲーションのメリットは何?二つ答えよ:
リンクの冗長化、帯域の有効活用
・L3SWにVRF(Virtual Routing and Fowarding)機能を持たせるとき、一つのL3機器に複数のどのような機能を持たせるか?:
仮想ルータ機能
・共有NWで複数の顧客のVLANで発生する可能性のある問題を2つ挙げよ?:
①個々の顧客で使用しているVLAN IDが重複する ②VLAN数に制限があるが、これを超える
・L2SWの2台で冗長化を実現する方法を2つ答えよ:
①STPを動作させブロックポイントを設ける ②リンクアグリゲーションを単一のリンクとして扱う
・FW2台を Active – Standby 構成で冗長化するためにFW装置に必要な機能を答えよ:
複数の独立したFWを1台のFW装置で稼働させる機能
午後II
問1
(覚えておきたい単語)
・パケットフィルタリングを行うことができる機器は?:
ルータ、レイヤ3スイッチ
・スイッチをSTPでルートブリッジにするにはブリッジIDの値をどのようにする?:
最小 にする
802.11
・無線LANの認証でWEPキーを利用するとき、APから受信した乱数をPCは( )して返送する。:
暗号化
・WPA2の暗号アルゴリズムは?:AES
・APのネットワーク識別子は?:SSID もしくは ESSID
・宛先IPアドレスへの送信方法の種類を3つ答えよ:
ユニキャスト、マルチキャスト、ブロードキャスト
・転送先アドレス(のMACアドレス)が更新されたとき、当事者である機器が同一サブネット内の機器に対して、それらの機器が持つARPテーブルキャッシュを書き換えるために行う通信プロトコルのプロトコル名は?:
GARP
・他のホストの代理でARPを応答する仕組みを何と言う?:
プロキシARP
(覚えておきたい出題パターン)
・STPでスイッチAとBの特定のポート(X)をブロッキングポートとした。そのポートをブロッキングポートとした理由は?:
スイッチAとスイッチBのXへの経路のパスコスト値が最も大きいから
・WEPの無線通信の重大なセキュリティリスクは?:
暗号化されたデータが盗聴されてしまうこと
再認証が不要になるから
・PCが無線接続時にローミングして接続先APが変わり、新しい接続先APの接続先デフォルトゲートウェイが元のAPと異なるとき、PCがLANやインターネットに繋がらなくなった理由は?:
PCが持っている設定のデフォルトゲートウェイに接続できないから
・GARPを発信する目的は?:
同一サブネット内のIPノードが持つARPキャッシュを更新させるため
・無線LAN APのサイトサーベイで調査すべき電波の状態を3つ:
社外から送信される無線LANの電波状態
APからの電波到達範囲
壁やパーティションの電波の透過状態
・サイトサーベイの調査結果を基に導入作業前に確定すべき設計項目を4つ挙げると:
APの設置場所の設計
使用するチャンネルの設計
APの設置方法の検討
APの出力電波強度の設計
・APを設置した後に無線子機で行うテストを2つ挙げると?:
機器を移動させてのローミング可否テスト
FTPなどによる実行通信速度のテスト
問2
(覚えておきたい出題パターン)
・オーバレイ方式のSDN(レイヤ3ネットワーク上にレイヤ2データをカプセル化して接続用トンネルを作る)を用いるとき、サーバ接続用スイッチに必要な機能は?:
接続用トンネルを終端する機能 もしくは カプセル化用ヘッダを追加・削除する機能
・オーバレイ方式で拠点間の接続で起こる可能性のある問題は?:
中継路でのフラグメンテーション発生
・TRILLにはできなくてOpenFlowでできる経路選択の柔軟性は何?:
最短経路以外の経路が利用できる
・PC-AがARPを発信したとき、別ネットワークにあるPC-B(本来関係ないPC)とPC-C(MACアドレスを知りたい対象PC)のIPアドレスが特定の条件下で重複している。PC-Aに起きる問題は?:
別ネットワークのPC-BのMACアドレスをPC-CのものとしてPC-Aが登録してしまう
・認証を求めるフレームを発信するPCと認証サーバがMACアドレスを基に認証を行うとき、この2つの間に中継スイッチを置いた場合、中継スイッチが必要な機能は?:
認証フレームの透過転送機能。
・ポートベースで「PCと認証サーバ間」で認証を行うとき、この両者の間に中継スイッチを置いた場合、発生するセキュリティ上の問題は?(状況:中継スイッチのポートで認証を行う):
1台のPCが認証されると後続のPCは認証なしで接続できる
・PCが認証フレームを発信する代わりに認証スイッチがそれ発信し認証サーバが認証フレームを検出する。その経路の間に中継スイッチを置いた場合、PCが認証フレームを発信しないといけない理由は?:
中継スイッチ経由だとPC接続ポートがリンクアップしても認証スイッチでは検出できないから
------------------------------------------------------------------------------------------
(以下自分用メモ)
・問題文の1文1文がネットワーク図の前提条件。1文1文に斜線を引いて意識しながら問題文を読み込みたい。
・問題を解くときはできるだけ自分でネットワーク図を書き写し、図に本文の条件をどんどん追記していく。本文に記された条件を見逃すと正解にたどり着けない。
・記述式の問題はいきなり回答欄を埋めるのではなく軽くメモ書きで解答を書いておき、のちに清書して解答を埋める(思い込みによる誤答の防止のため)
・問題文で問われていることをしっかり読む(思いこまない)。理由を訊かれる問題は「~から」で締めくくること。
・解答が思付かないときは本文に戻り、本文の条件(ヒント)から答えを導きだす。
・記述問題はなるべく本文の語句を利用して回答する。
・解答のヒントは問われている部分の直前を探し、徐々に探索範囲を広げていく。ヒントが無い問題もあるので、そういうときはこだわらず次の問題に進む。
・どうしても解答が思いつかず、また本文に答えの手掛かりが見つからなければ深入りせず、飛ばして先に進む。時間をいくらかけてもわからないとんでもない難問もあるので、時間を浪費しないようにしたい。
・本文に描かれたネットワーク図は重要だけど、図の注意書きや本文に書かれた条件が正答を導き出すヒントの場合も多いので問題を解くときは図に引っ張られすぎないようにしたい。
ネットワークスペシャリスト試験 その11 平成25年度の過去問
ネットワークスペシャリスト試験 平成2 5年度の過去問(午後)を解いてみました。
とりあえずこれで平成30年~平成25年の6年分のNW過去問1週目が終わりました。
この時点で今まで満足して解ききったNW過去問の大問は1問もありません。
手を変え品を変え、毎回違う観点からネットワークの問題で受験生を毎年悩ませるNWの試験作成委員は本当に凄いと思います^^;
令和1年の過去問は直前の腕試しで解くとして、これまで解いた6年分の過去問演習の2週目にこれから入りますが、それと並行してネスぺイージスやSE娘の剣などのサイトを毎日少しずつ読みながらネットワークの基礎知識を補強したいと思います。
(平成25年過去問を解いて感じたこと)
平成26年過去問を先月解いて、以前よりちょっと手ごたえを感じたのですがそう甘くはなかったです・・・
「CCNAも合格したしある程度ネットワークの基礎は出来つつあるかも」というYuubariの淡い自信が完全に打ち砕かれました (´∇`;)
自信には程遠い正答率に意気消沈です。。。本当にNW試験は広く深くネットワークの理解と知識を求めてきますね。
これが高度情報試験の「スペシャリスト試験」なのかと認識を改めました。
今回の過去問演習もこちらのネスぺシリーズの解説を参考にしました。
左門至峰さんによるコラムも勉強の箸休めになるし、冒頭の「過去問から見えてくる合格のポイント」も参考になりました。
------------------------------------------------------------------------------------------
(午後Iについて)
問1
そこまで難しい内容の問題ではありませんでしたが、個人的にネットワーク図やテーブル表記の理解がそもそも理解不足(不得手)なので正答率は酷いもの。
これを乗り越えないと合格が見えてこないので何度も解いて慣れるしかないと思っています。
設問2
(2)
公式解答を見たとき、「ポート番号が変化するってあり得るの?」と思ったけど、FTPも行きと帰りで番号が違いますね。
それを思いつくかどうかの問題。初見で思いつきませんでした。
(3)
IPアドレス、ポート番号設問の記述の「Javaアプレットが受け付けるIPアドレス」の意味がわかりませんでした。単純に接続元のIPアドレス(ループバックアドレス)を書けば良いのですね。
ただし、Javaアプレットに記載されるループバックアドレスは図に出てこないからここで正答を書くのはYuubariには厳しいです。
TCPコネクション何を答えるべきかわかっているのに全部間違えたのは痛すぎた。
書くべき答えの候補を頭の中で出すだけ出して吟味した内容を記述したい。そうしないと、この手のミスで延々減点され続けてしまう。
設問3
この手の表を穴埋めしていく問題がとにかく苦手。
この問題はとても簡単なのに、表を読み込むことに時間をかけすぎて悩んだ挙句間違いだらけになってしまう。正確に、かつ素早く表を読み込めるように練習したい。
図1に書き込んで簡単に図解すればすぐに解ける問題だった。
設問4
(2)
この問題はいくら考えても答えが出ませんでした。本文にヒントもあまり無く、知識で答える問題でした。
そもそもJavaアプレットでウィルス対策ソフトの定義ファイルの適用情報を確認したり、PCのキャッシュ情報や履歴情報を削除できると知りませんでした。
思いつきもしないので正答できる問題ではありませんでしたが、考え方は覚えておきます。
(覚えておきたい単語)
・SSLハンドシェイクプロトコルでは( )メッセージにより暗号化アルゴリズムを決定する:HELLO
・ループバックアドレスの範囲のIPアドレスは?: 127.0.0.1 ~ 127.255.255.254
・Javaアプレットで特定のIPアドレスとサーバの( )を対応するよう設計する:FQDN
・サーバ証明書の正当性を本人に代わり認証してくれる組織は?:第三者認証局
・HTTPSのポート番号は?:443
(覚えておきたい出題パターン)
・外部と通信する際にプライベートIPアドレスではなくループバックアドレスを使用するセキュリティ的なメリットは?:外部からの不正利用が発生しない
・クライアントからサーバへのデートアクセスで待ち受けポートとプライベートアドレスを紐づけたマッピングテーブル用いるときに、この方式ができないのはどんなアプリケーションの特徴があるか?:サーバ側のポート番号が変化する
・通信装置のキャッシュ時間を延ばすことで得られるメリットは?:セッション確立による負荷を軽減させるため
・クライアント証明書の管理に必要な情報は?:クライアント証明書の有効期限
------------------------------------------------------------------------------------------
問2
DHCP、MACアドレスとIPアドレスの繫がりが主題の問題。
とても読みやすい問題文で、設問も序盤はそこまで難しくなかったので45分制限で解きながら「これは結構時間余るかな?」と思っていたら甘かったです。
設問3の答えがどれもなかなか思いつかず、結局45分ギリギリになってしまいました。
フレームの流れは自分で図解して考えましたが、これに時間がかかり過ぎました。
スピーディに解かないと対応できませんでした。
DHCPの動きとフレームの流れの基本としっかりとわかっていないと解けない問題があり、Yuubariの正答率には悔いが残ります。
設問1
Yuubariにしては珍しく設問1の語句問題は全問正解でした。
設問2
(3)
解答を見ればとても簡単なのに解いているときはこれが思いつかない。
設問3
(1)
c:これが解けなかったということはフレームの動きがトレースしきれていなかったから。こういう問題を正確に解けるようになりたい。
(2)
問題文の対応箇所を探すのに手間取った。問題文を読みながら設問と対応する場所をチェックして時間短縮していくようにしたい。
固定IPアドレスの割り当て:これも解答を見ればとても簡単な答えだった。何を問われているのかわからない問題だった。
暫定運用中の対処:答えがうかばず後回しにしていたが、少し余った時間で思いついたので正答になる答えを書けました。
(3)
この問題が解けなかったということはフレームの動きが読み切れていなかったということ。復習して次は解けるようにしたい。
(4)
L3SWを使ってVLANを組むということはいわゆる「ルータ・オン・ア・スティック」の役割をさせたいということはわかりましたが、それを「SW単位でVLANを組む」という発想が思いつかなった。
この問題を初見で正解できた人は本当にL3SWの役割をしっかり理解している人だと思います。
(覚えておきたい単語)
・DHCPの要求をほかのルータに求めるルータの機能は何という?:DHCPリレーエージェント
・IPアドレスとMACアドレスの対応を表しているテーブルを何という?:ARPテーブル
・MACアドレスのOUIは何の固有の値?:製造主
・MACアドレスは全何ビット?:48ビット
・そのうちOUIは何ビット?:24ビット
・スイッチのトラフィックモニタを接続して計測のために使用するポートの形状を何ポートという?:ミラーポート
・DHCPメッセージの流れをそれぞれ言うと?:DHCPDISCOVERY→DHCPREQUEST→DHCPOFFER→DHCPACK
(覚えておきたい出題パターン)
・管理者の許可を得ずにPCに固定IPアドレスを振るときに起こる可能性のある問題は?:IPアドレスの重複
・MACアドレスを登録した機器にしかIPアドレスを振れないシステムを実装するときに必要な暫定的な対処は?:MACアドレスが未登録でもIPアドレスを割り当てる。
・DHCPフレームを転送中にSwitch上でポートのフレーム送受信が高速に点滅しているときに起こっているであろう事象は?:SWとSWの間でのブロードキャストフレームの折り返し
・複数のL2SWを用いてVLANを構成するときにどういう構成だと輻輳が発生しにくいか?:SW単位にVLANを設定し、VLAN間経路制御とDHCPリレーを行う構成
------------------------------------------------------------------------------------------
問3
VLANとネットワーク機器の冗長化について問う問題。
VLANについてはCCNA受験のときに学んだのですが甘かったです (´∇`;)
NW試験で問われる知識はさらに掘り下げた内容でした。基礎力をもっと磨かないと厳しいと思い知った大問でした。
それはそれとして、この大問の設問は全般的に何を訊いてきているのか分かりにくかったです。
内容的にそこまで難しい問題文ではなかったですが、IPA採点講評で「全体的に正解率は低かった」と書かれていますが設問の分かりにくさが原因な気がします。
答え合わせで公式解答をみて「問われていたのはこっちか~!」と声を出してしまった問題が結構ありました。
設問1
ア:IEEE802.1Q と言えばタグVLANなのはCCNAで散々出てきました。「32ビット」という単語で惑わされて不正解に。
イ:知らなければ解けない。正直こんな細かいことまで問われるとは思ってもみませんでした。
設問2
(1)と(2)
問題文はレイヤ2のストーリーが展開されているのに、レイヤ3の視点で解答してしまい玉砕。仮にレイヤ2(MACアドレス)の話だとわかっても(2)を解答通りに同じ単語を並べて記述するのは勇気がいる。
(4)
この問題は本文抜き出し型の問題かと思い、本文に記載されている「フロア間配線の物理的な制約があり接続ポートが不足する可能性」「物理的な接続で管理上のミスにより障害が他のシステムに影響する」と書いてしまいました。
この2つは仮想化で構成を試みるための単なる前提でしかなかったようです。
解答はVLAN固有の問題だったわけですが、この解答はVLANの深い知識が不足しているYuubariにはできない答えでした。これを機に感が方を覚えておきます。
設問3
(1)
誤ってFWを繋いでしまいました。
(2)
この問題は問いかけ方が直球ではなく意地が悪いと思います。「L2SWで対応する方法」と言われても出題者が何を求めているのか想像できませんでした。「L2SWで冗長化を実現するにはどうすればよいか」と訊かれたら想像しやすかったかも。
それにしてもYuubariはここでSTPを書けるかは微妙なところですが。
(3)
全く答えが思いつきませんでした。答え合わせで公式解答を見て「えっ・・・これでいいの?」と思いました。
(覚えておきたい単語)
・IEEE802.1QのVLANで用いられる32ビットの要素は何?タグ
・IEEE802.1QのVLANで使用するタグのVIDは何ビット?:12ビット
・複数の物理筐体(L2スイッチなど)を接続し、一つのスイッチとして機能させる機能を何と言う?:スタック
(覚えておきたい出題パターン)
・スイッチ間のリンクアグリゲーションのメリットは何?二つ答えよ:リンクの冗長化、帯域の有効活用
・L3SWにVRF(Virtual Routing and Fowarding)機能を持たせるとき、一つのL3機器に複数のどのような機能を持たせるか?:仮想ルータ機能
・共有NWで複数の顧客のVLANで発生する問題は?:①個々の顧客で使用しているVLAN IDが重複する ②VLAN数に制限があるが、これを超える
・L2SWの2台で冗長化を実現する方法を2つ答えよ:①STPを動作させブロックポイントを設ける ②リンクアグリゲーションを単一のリンクとして扱う
・FW2台を Active – Standby 構成で冗長化するためにFW装置に必要な機能を答えよ:複数の独立したFWを1台のFW装置で稼働させる機能
------------------------------------------------------------------------------------------
(午後IIについて)
問1
120分の制限時間で105分で解き終わったのですが、設問5を除き全般的にあまりYuubariの正解率はいまいちでした。Yuubariは相変わらずネットワーク図の解釈やデータの流れを問う問題の正解率が悪いです。
しかし内容的には比較的読みやすい問題文だったので解答欄に空欄を残さず本文を読みながら制限時間からすると順調に問題を解き進めることができました。
本試験時の受験者の正答率もかなり高かったようで、もしこの年の午後IIの<問1>を選んで合格ラインに滑り込むには落としてはいけない問題ばかりだったと思います。
特に設問5はボーナス問題ばかりでしたので、全体的にかなりハイレベルな点数の中での争いになったのかと思います。
そういう僅差の勝負では問1の設問1のような語句問題(純粋な知識問題)の出来などのわずかな差で合否が別れそうな気がします。
理解度の面では問題を解いていて、STPの計算方法(ブロッキングポートの考え方)・無線LANの細かい仕様の内容を問われる問題でまだまだ理解しきれていないと自覚してしまいました。
このあたりの分野はCCNAでも学んだはずですが、こうして問題として出されて解けないとするとまだまだ深く知識が定着できていないですね。
ほかのネスぺシリーズで左門至峰さんが「基礎を忠実に理解していないとこの試験は突破できない」という趣旨をよく述べていますが、本当にその通りだと痛感してしまいました。
設問1
なんと・・設問1の語句問題が全問不正解でした(><)
この年NWを受けなくて良かったかも( )笑
ア はパケットフィルタリングができるのはレイヤ3スイッチ(レイヤ2ではなくて)ということを知りませんでした。考えてみれば「パケット」フィルタリングなんだからレイヤ3なのは当然なのですけどね。
イ は「0」と答えてしまいました。小さければ小さいほど優先されるというのは知っていましたが「最小」という単語が思いつかなかったです。
ウ は最初の無線LANの規格が「802.11」ということ自体知りませんでした。エ は「解読」と書いてしまいました。真逆の答えですね。
オ はAESと答えてしまいました。AESはWPA2でした。もうほとんど使われていないWEPのRC4の方を訊いてくるなんて。。。カ 「SSID」だと簡単すぎるのでなんだろう、と考えすぎて「MACアドレス」と書いてしまい不正解。
設問2
(1)
リンクアグリゲーションの位置を問う問題何度図1を見ても設問のリンクアグリゲーションの場所が見つけられませんでした。
公式解答をみて「えっ、これってチーミングの位置じゃないの・・・」としばし頭を抱えてしまいました。サーバではなくスイッチのポートだからこの位置でもリンクアグリゲーションになるんですね。それとスイッチが接続している「スタック」の意味がわかりませんでした。冗長化しているってことなんですね。
(2)
間違えた理由が自分でもわからない。問題の読み違えしたのだと思う。
(3)と(4)
(3)は公式解答をほぼ同じ解答をできましたけど、STPのブロッキングポートの考え方がまだ本質的に理解できていない。解説を何度も読み返さないと・・・
(5)
解答欄が一つしかないので解答は一つしかないと思い込んで不正解。Aは解答の仕方さえ合っていれば正答できましたが、Bは「L3SW1→L3SW2」のルートが思いつきませんでした。
設問3
(1)
正解できましたが、自分の中から答えが出てくるまでちょっと考えこんでてしまった。
(2)
「認証が不要」という記述がすぐに出てくるようになりたい。
(3)
この設問が求めている答えはわかりましたが、記述がうまくいかなかった。本文のヒントから「デフォルトゲートウェイ」というキーワードを思いつきたかった。
設問4
(1)
「マルチキャスト」はともかく、「限定的ブロードキャストアドレス」という単語は思いつきません(><)
(2)
「GARP」を思いつかなったのは痛恨。過去問を解いていてGARPが解答になったことは何度もあったのに一回も正解したことがないです。そろそろ正解できるようにならないと・・・・
(3)
「プロキシARP」なんてそうそう思い付きません・・・・
(4)
これは簡単な穴埋めだったので全問正解できました。
設問5
ボーナスステージのような問題しかない。
ここはおそらく受験者のほとんどが高得点だったと思う。ただし、公式解答に書かれている「電波の透過状態」「出力電波強度」「実行通信速度」といった無線LANの基礎単語は思いつかなかったので覚えておこうと思います。
(覚えておきたい単語)
・パケットフィルタリングを行うことができる機器は?:ルータ、レイヤ3スイッチ
・スイッチをSTPでルートブリッジにするにはブリッジIDの値をどのようにする?:最小 にする
・無線LAN最初の標準規格IEEE「 」である。:802.11
・無線LANの認証でWEPキーを利用するとき、APから受信した乱数をPCは「 」して返送する。:暗号化
・WPA2の暗号アルゴリズムは?:AES
・APのネットワーク識別子は?:SSID もしくは ESSID
・宛先IPアドレスの種類を3つ答えよ:ユニキャスト、マルチキャスト、ブロードキャスト
・転送先アドレス(のMACアドレス)が更新されたとき、当事者である機器が同一サブネット内の機器に対して、それらの機器が持つARPテーブルキャッシュを書き換えるために行う通信プロトコルのプロトコル名は?:GARP
・他のホストの代理でARPを応答する仕組みを何と言う?:プロキシARP
(覚えておきたい出題パターン)
・スイッチAとBの特定のポート(X)がブロッキングポートになった。その理由は?:スイッチAとスイッチBのXへの経路のパスコスト値が最も大きいから
・WEPの無線通信の重大なセキュリティリスクは?:暗号化されたデータが盗聴されてしまうこと
・WPA2のローミング時、ローミングが短縮される理由は?:再認証が不要になるから
・PCが無線接続時にローミングして接続先APが変わり、新しい接続先APの接続先デフォルトゲートウェイが元のAPと異なるとき、PCがLANやインターネットに繋がらなくなった理由は?:PCが持っている設定のデフォルトゲートウェイに接続できないから
・GARPを発信する目的は?:同一サブネット内のIPノードが持つARPキャッシュを更新させるため
・無線LAN APのサイトサーベイで調査すべき電波の状態を3つ挙げると?
社外から送信される無線LANの電波状態
APからの電波到達範囲
壁やパーティションの電波の透過状態
・サイトサーベイの調査結果を基に導入作業前に確定すべき設計項目を4つ挙げると
APの設置場所の設計
使用するチャンネルの設計
APの設置方法の検討
APの出力電波強度の設計
・APを設置した後に無線子機で行うテストを2つ挙げると?
機器を移動させてのローミング可否テスト
FTPなどによる実行通信速度のテスト
------------------------------------------------------------------------------------------
(午後II)
問2
OpenFlow(SDN)がメインのテーマで、そこにARPやDHCP・IEEE802.1X認証といったお馴染みの技術をちりばめた問題でした。
本番と同じく制限時間120分で解いてみましたが、じっくり理解しながら解いていたら丁度120分で全ての回答欄を埋めることができました。
問題文にOpenFlowとは明記されていませんが、これがテーマなのは読めばわかります。
OpenFlowはメジャーな技術ではないのでNWでもあまりテーマにはならないので、Yuubariには馴染みは薄いですがCCNAの勉強のときたまに出てきたので名前となんとなくの概要は知っていました。「なんとなく知っている」だけでも心理的に楽になるのでだいぶ有利ですね。
では過去問を解いていて出来は良かったかというと・・・・・もっと勉強しないと( )泣
OpenFlowがメインテーマではあるものの、ネットワークの基礎をちゃんと抑えていれば正解できた問題もたくさんありました。
こういうところで確実に得点できるように今後改善していきたいです。
設問1
(1)
これくらいの語句問題は難なく全問正解したい。bで「スイッチ」と書いてしまったのは反省
(2)
アはともかく、イが難しい(というか全く解答思いつかなかった)。こういう問題は知ってるかどうかの差だと思いました。
(3)
これも知ってるかどうかの問題。知らなかったYuubariは当然不正解。
設問2
(1)
三つ反省点・図4の中で(A)の位置を見誤ってそもそも勘違いしていた(OFSaからOFCへのデータの流れかと思ってしまった)・設問で「当てはまる解答がなければ’’なし’’と書け」と書いてあるのを見逃した・書くべき解答が2つあることを想定していなかった問題を解くときに、こういう「所与」を見逃すのが本当に反省しないといけない。
(2)と(3)
IPアドレスが重複するときに起こる問題を問う設問。
ただし、ここで書くべき内容の条件は「ARPのデータのやりとり時に起こる問題」ということ。そこまではわかりました。
公式解答で書かれている解答をみて初めて「ここで書くべきだったのはARPを発信してからの戻りの結果」だということがわかりました。
そういう視点で書かないといけないということが「当たり前」の感覚にならないと正解できない問題でした。
また、公式解答をみて一瞬「なぜ間違った方のPCのMACアドレスが登録されるの??」と悩みましたが、設問は「発生する可能性のある問題」という所与がありました。
こういう所与を見逃しては正答できないですね。
問題を解くときは設問に書かれている「所与」もきちんと把握した上で解答を記述しないといけないです。
設問3
(1)
これは簡単でした。
(2)
知らないと解けない問題。知らなかったので不正解でした(><)
(3)
<セキュリティ問題>は知らないと解けない問題。
<OF方式で考えられる対処方法>は文脈でなんとか近い回答はできそう。
(4)
直観で「RADIUSサーバ」と書いてしまった。この試験はそれで正答できるほど甘くないから本当にその答えで良いのか解きながら自問自答しながら解答を推敲したい。
(5)
出題パターンとして覚えておきたい。
(6)
<D>も<E>も自分が苦手のシーケンス図を読み解く問題。公式解答をみてもわからなくて、解説を読んで初めて理解できました。理解はできたけど、この手のシーケンス図の問題を解けるようになるにはどうしたらよいのだろう。
(覚えておきたい単語)
・ソフトウェアで定義されたネットワークを「 」という?:SDN
・宛先MACアドレスを見てデータ転送する機器を「 」という:レイヤ2スイッチ
※単なる「ネットワークスイッチ」は不正解
・データ転送するときに宛先IPアドレスをみてパケットの書き換えを行う機器を「 」という:ルータ もしくは レイヤ3スイッチ
(覚えておきたい出題パターン)
・オーバレイ方式のSDN(レイヤ3ネットワーク上にレイヤ2データをカプセル化して接続用トンネルを作る)を用いるとき、サーバ接続用スイッチに必要な機能は?:接続用トンネルを終端する機能 もしくは カプセル化用ヘッダを追加
・削除する機能・オーバレイ方式で拠点間の接続で起こる可能性のある問題は?:中継路でのフラグメンテーション発生
・TRILLにはできなくてOpenFlowでできる経路選択の柔軟性は何?:最短経路以外の経路が利用できる
・PC-AがARPを発信したとき、別ネットワークにあるPC-B(本来関係ないPC)とPC-C(MACアドレスを知りたい対象PC)のIPアドレスが特定の条件下で重複している。PC-Aに起きる問題は?:別ネットワークのPC-BのMACアドレスをPC-CのものとしてPC-Aが登録してしまう
・認証を求めるフレームを発信するPCと認証サーバがMACアドレスを基に認証を行うとき、この2つの間に中継スイッチを置いた場合、中継スイッチが必要な機能は?:認証フレームの透過転送機能。
・ポートベースでPC―認証サーバ間で認証を行うとき、この両者の間に中継スイッチを置いた場合、発生するセキュリティ上の問題は?:1台のPCが認証されると後続のPCは認証なしで接続できる
・PCが認証フレームを発信する代わりに認証スイッチがそれ発信し認証サーバが認証フレームを検出する。その経路の間に中継スイッチを置いた場合、PCが認証フレームを発信しないといけない理由は?:中継スイッチ経由だとPC接続ポートがリンクアップしても認証スイッチでは検出できないから
ネットワークスペシャリスト試験 その10 平成26年度の過去問
今年(2020年)10月にCCNA試験を受けるまではネットワークスペシャリスト試験(NW)の対策は今年7月からいったん中断していましたが、先月CCNA受験が終わったので、またNW対策に戻ってきまして平成2 6年度の過去問(午後)を解いてみました。
久々にNWの過去問を解きましたが、午後Iを3問・午後IIを2問解いて答え合わせをし、解説を読むだけで相当時間がかかりますね。
今のYuubariには時間的・気力的にも1ケ月に1年分の過去問演習が限界です。
(平成26年過去問を解いて感じたこと)
CCNA試験後にはじめてNWの過去問を解いたのですが、CCNA受験を通して基礎力が上がって以前よりも問題分が読みやすくなっていて自分でもびっくりしました。
VRRPやOSPF、STPといった技術がCCNA試験対策で培われたので正答できるかはともかく問題分の理解が以前過去問を解いたときより捗りました。
その恩恵かわかりませんが午後1も午後2も若干時間が余りました。
ただし単語を問う知識問題はまだまだ正解率が物足りないので残りの勉強期間を通じて強化したいです。
解説は当然こちらのネスぺシリーズ平成26年度対応を参考にしました。
こちらの本ですが、カバーをめくると驚きの演出がありました。
巻末の小説や途中のコラムも読んでいて楽しかったですし、左門先生のこういう遊び心は試験勉強の緩急がついてとてもリラックスできてと思います。
お堅い専門書が苦手なYuubariは左門至峰先生の参考書にこういうところを求めています。
------------------------------------------------------------------------------------------
(午後Iについて)
(問1)
問題文自体はCCNA対策を経たおかげでVRRPもOSPFも理解できていたので読みやすかったです。
ただし設問が全般的に難易度高かった。
設問2
(2)
解答をみて一瞬「?」になってしばらく、なぜこの解答になるのか考え込んで正答が経路情報の集約だとわかりました。
経路集約はどうも苦手なのでこの先も正解できる自信がないです。
(3)
この問題が正解できなかったのは痛い。公式解答をみてため息。この問題を落とした自分が情けない。
経路を問う問題は解きながらいろいろなパターンを自分の中で提示して理屈をもって取捨選択して正答できるようにしたい。
設問3
(1)
ルータが経路取捨のために用いる情報ときたらIPアドレス、ポート番号というのは覚えておかないといけない。
(覚えておきたい単語)
・OSPFのコストのメトリックは?:帯域幅
・OSPFのバックボーンエリアはエリア番号は?:0
・QoSの通信優先評価はIPヘッダの何というフィールドが基準?:ToS (イーサネットの場合はCoSが基準)
・その通信優先評価基準のQoSの名前は?:DiffServ (その反対の基準はIntServ)
(覚えておきたい出題パターン)
・VRRPの仮想ルータIPアドレスをAセグメントのPCのDGはどう設定する?:Aセグメントに対応した仮想ルータのIPアドレスを設定する
・特性のセグメントが意図した仮想ルータにアクセスするようにするにはどうする?:該当するルータがアクティブになるようにプライオリティ値を設定する
・通信高速化する機器が、データキャッシュを送信する機能があるときにどういう状況で本領発揮する?:ラウンドトリップ時間が大きいとき
・2拠点の両端に置かれた通信高速化する機器が自動で停止する機能はどういうとき発動する?:片方が故障したとき
------------------------------------------------------------------------------------------
(問2)
問題文自体は難解ではなかったですが、設問が結構難しかった。
よく本文を読めばわかる単語問題を結構ミスしたのが反省点。
問3の仮想化技術については理解不足でした。
それとどうでもいいことですが、問題文中の会話文で女性言葉が出てきたのは新鮮。
設問2
(1)
「どこで?」と訊かれているのでSW3とL3SWの間、と答えないといけなかった。
(2)
TCPの再送機能ことは知っていたけど、ここですっと書けるほどの馴染みがない知識でした。
(3)
・リンク断を防ぐ
・どちらのFWの障害か特定が容易になる
この2つをかければ正解だったけど、後者しかかけませんでした。
(5)
SWを3つ並べて解答してしまったが、そもそもSWはレイヤ2機器なのでARPテーブルは持てないから候補としては除外すべき。
設問3
(1)
解説を読んでもイマイチ理解できません・・・
(覚えておきたい単語)
・ネットワークアドレスとポート番号を変換する機能の名前は?:NAPT
・通信のための管理情報をネットワーク機器が自動で引き継ぐのは「 」フェールオーバ起動と呼ぶ:ステートフル
・接続ポートのリンクLEDが消灯しているのは何層の問題?:物理層、もしくは1層
・機材変更などで自ポートに設定されたIPアドレスの解決を他の機器に対して更新要求する機能を何という?:GARP
・レイヤ2層で用いるテーブルは?:MACアドレステーブル
・複数のVLANを1本にまとめるために物理ポートではなくデータを基準にしたVLAN技術は?:タグVLAN
(覚えておきたい出題パターン)
・冗長構成の機器の間にスイッチを入れる目的は?①リンク断をふせぐ ②障害の特定が容易になる。
・冗長構成の機器が負荷分散するにはどうすればよいか?:それぞれのセグメントでそれぞれをアクティブ(Active)にする
------------------------------------------------------------------------------------------
問3
セキュリティの問題。
仮にもSC持ちなのでセキュリティ問題には強くなっておきたい。
設問2
(2)
「一定サイズ以上のICMPデータの応答には応じない機能」と書いたけど、これだけと答えが浅すぎて減点かも。
MTUのサイズは1500バイトに制限されるので、それ以上のデータは断片化される。公式解答はそれを書いてほしかったようだけど、それは記述するのが難しい。一応頭の片隅に入れておきたい。
設問3
DNSのゾーン転送についてまだ理解が足りないなあと解いていて感じてしまった。
この問3は比較的パターン化された問題が多いので再出題されたとき確実に解答できるようにしておきたい。
問3
(1)
設問には直接関わらない知識だけど・・・
・DNSコンテンツサーバはキャッシュ無効にすべき
・DNSキャッシュサーバは攻撃を受けない内部セグメントに設置する
こうすることでDNSキャッシュポイズニングを防げる。
(2)
セカンダリサーバがDMZと内部セグメントにそれぞれあるという発想ができなかったです。
ヒントは「DMZのDNSサーバは、キャッシュ機能を無効にしたセカンダリの冗長構成」という部分ですが、意味がわからなくて最初にここを読んだとき戸惑ってしまった。
設問4
(1)
「攻撃を受けた機器の隔離」と書きました。間違える可能性の低い問題。
(2)
「将来発生するインシデントの対応」というのがポイントと考え、そこを起点に答えを出しました。
「今回行った対処の見直し及び改善点の検証を行う」と書きましたが正答に近いと思います。
この問題は完全にITサービスマネージャ試験の問題ですね。
(覚えておきたい単語)
・多数のコンピュータが標的を集中的に攻撃するのは何という?:分散型DoS攻撃
・大量のデータを送信して相手のサービスを妨害する攻撃を何という?:フラッド攻撃
・問い合わせを受けたサーバが何的な問合せという?:再帰的
・発信元を偽装してその応答を押し付けるDNSの攻撃を何という?:DNSリフレクタ攻撃
・オープンリゾルバで自分が攻撃主にされてしまったときの立場を何と言う?:踏み台
・自分の組織に侵入するテストを行うことを何という?:ペネトレーションテスト
(覚えておきたい出題パターン)
・大きいサイズのICMPエコーの応答を使った攻撃を防ぐにはFWにどんな機能を持たせたらよいか?:断片化されたエコーパケットを許可しない機能
・DNSのキャッシュを無効にしておかないとどんなリスクがある?:DNSキャッシュが改ざんされる
・FWで内部から外部への不正な通信を発見、防止するために必要なFWの機能は?:①内部から外部への通信に対する遮断ルールを設定する ②FWで遮断した通信の結果ログを監視する
・インシデント対応後に将来発生するインシデントへの対応としてセキュリティ担当者が実施すべきことは?:対処結果の評価を行い、インシデントの対処方法を見直す。
-----------------------------------------------------------------------------------------
(午後IIについて)
問1
SC(情報処理安全確保支援士)試験並みに情報セキュリティに特化した設問でした。
Yuubariは一応SC持ちなのですが、取得が2年前だったということもあって結構忘れてしまっているところがあり、過去問を解いていていまいちな出来に終わってしまいました。
特にSPFの仕組みを忘れていたので設問2はかなり減点となりました。
設問2
(1)
簡単すぎて何を問われているかのか(書くべきか)悩んでしまった。
そういうときは本文に戻るとヒントがある。
・不審な添付ファイルを開く
・リンク先にアクセスする
この2つを盛り込みたかった。
(2)
どのドメインを比較するかの問題。ひとつはメールアドレスのドメインということがわかるけど、もう一つを書くのが難しい。
「メール送信元のMTAのIPアドレスが所属するドメイン」という言葉がなかなか出てこない。
(4)
「サーバ名」を間違えると漏れなく「理由」も不正解になる。
設問3
(3)は難問だと思います。
公式解答をみると理屈はわかるけど、「プリマスタシークレット」と言われてもピンと来ない。
設問4
(1)
解答を見てしまうととても簡単にわかる問題なのに、解いているときは時間に追われているせいもあって間違えてしまう・・・
(3)
公式解答をみて、なぜUDPを許可するのか疑問だったけど、DNSを通信させるためにUDPを許可するということが解説を読んで理解できた。これはなかなか思いつかない難問だと思います。
(4)
3ウェイハンドシェイクの「SYN=1、ACK=0」を読み取れるかがポイント。それをもって解答を導き出さないといけないけどふつうに難問だと思います。また「逆方向に」という表現で公式解答はまとめているのが上手いので真似したい。
設問5
(1)
プロキシサーバ交換により従来できなかったことを基軸に考えて答えを導くのですが、制限文字数が多い。一言でいえば「SSL認証の成功、失敗のログ」だけど、これでは短すぎるので本文の言葉を利用して最大60字に近づく字数を埋める。
(2)
一般論で自由に書いても解ける問題だけど、逆に言えばたくさん選択肢がある問題だから困った。
そういうときは本文を参考にする。
・マルウェアが埋め込まれたファイルが添付されていたり
・Webサイトへのリンク先を示すURLが本文に記載されていたり
というヒントから最低でも2問は正答できる。
(覚えておきたい単語)
・HTMLで作成されたコンテンツを送受信するプロトコルは?:HTTP
・データに含まれる特定の文字列を遮断する機能は?:コンテンツフィルタリング
・Connect処理が完了して通路が出来たTCPデータをそのまま転送するのは何処理?:トンネリング
・送信者のDNSレコードに送信者のメールサーバのIPアドレスを登録されており、受信メール認証するシステムを何という?:SPF
・ディジタル署名をメールヘッダに付与して受信メールサーバで検証する送信ドメイン認証を何という?:DKIM
(覚えておきたい出題パターン)
・送信メールのドメインが正しいか確認するとき、2つの何のドメインを比較する?:①メール送信元のIPアドレスが所属するドメイン ②メールのドメイン
・SPFを採用するとき、自社メール中継サーバ(外部と直接送受信するメールサーバ)を自社DNSサーバに登録するのはなぜか?:社外に送信されるメールの送信元IPアドレスがメール中継サーバになるから
・サーバ証明書が正当だと判断するには何が必要?:プロキシサーバのルート証明書
・SSL通信でPCとWebサーバの間にプロキシサーバがあるとき、PC間とWebサーバを抜いたらプリマスタシークレットの共有に失敗する理由は?:プロキシサーバが暗号化されたプリマスタシークレットを復号できないから。
・ログの検査間隔を短縮して定期的に検査を行うことで得られる恩恵は?:マルウェア(問題)を早期発見ができる
------------------------------------------------------------------------------------------
問2
前半はIP-PBX設置、後半はSDN、VPNが主題の設問でした。
IP-PBX設置はYuubariも仕事で何度か関わったことがあるのですが、専門家ではないので過去問を解いていてまだそこまで理解できていない・知識が足りないことに気づきました。
IP-PBXを日常的に扱っている人には解きやすい問題だったかも。
ですがCCNAでも出題される範囲でしたので以前よりはこの分野を理解できていて、改めてCCNAを経ていてよかったと感じたところです。
それにしても設問3が難しすぎでした・・・・
設問1
(2)
IP-PBXの具体的な役割を問う問題で何を書くべきかわからず難しかったです。IP-PBXの知識がある人は正答に近づけたかもしれません。
・URIから相手のIPアドレスを求める
・相手にINVITEメッセージを送る
この2点を書いてほしかったようです。
次の段落でヒントというかSIPサーバの具体的な役割の記述があるのでこの問題は飛ばして先に進めておくのが良かったかも。
下線の先に大きなヒントがあるケースは稀にあるので悩んだら無理に解答を埋めずに先に進むのも手かと思いました。
設問2
(1)
UAについては前の段落で「ユーザエージェントという呼ばれる端末」と説明がある。
その上でVoIP-GWの位置を図2で見ればすぐにわかる問題だった。
それができなかったのは問題を解いていて焦って見落としがあるからかも。
制限時間との兼ね合いで難しいけど、解きながら「本当にこの解答で良いの?」と自問自答してミスを無くしたい。
(2)
公衆IP網で使用するIPアドレスがプライベートIPになってしまう怖れがあることに気付けるかどうかの設問。
公式解答をみると書けて当たり前ですが、実際この解答が書けない。
Yuubariの書いた解答は「発信元IPアドレスが重複してしまい個別のセッションとして区別することができない」と書きましたが、これは各企業のプライベートIPアドレスが競合するという意味で書きました。字数に余裕があったのでそこを掘り下げて書けば正答に近づけたかも。
(3)
前問の問題点をSBCがどうやって解消するかを問う問題。
公衆IP網に乗せるために「プライベートIPアドレスをグローバルIPアドレスに変換する」という方向性はなんとなくわかりましたが、具体的に記述するのが難しかったです。
Yuubariの書いた解答は「両側のSIP制御の実装上の差異を吸収することでIPアドレスの重複を避ける」ですが、ちょっと具体性が不足していました。
「SIPの中のプライベートIPアドレスをVoIP-GWのグローバルIPアドレスに変換する」という形で記載しないといけなかったです。
ただし、SBCのことなどYuubariは知らなかったからここまで具体的に書けなかったので知識がある人はすらすら書ける問題だったかもしれません。
設問3
(1)
難問すぎてYuubariにはさっぱりわかりませんでした。
苦し紛れでVLANとMACアドレステーブルの関係性について記述してしまいました。
ネスぺシリーズを読んでようやく理解できましたが、「該当する企業のデータ(特定のVLAN)のデータをロガーの仮想NICですべて取り込みたい」ということを書けば正解ということですね。ちょっとこれは書けそうに無いです・・・
とりあえずパケットキャプチャーでこういう考え方があるということだけ頭の片隅に置いておきます。
(2)
この問題もかなり難しかったです。
ネットワークスイッチのMACアドレス管理の仕組み・機能に熟知していないとなかなか正答できないと思います。
MACアドレス学習機能を抑止できるスイッチがあるなんてYuubariは知らなかったし、思いつきもしなかったです。
設問4
(1)
これもYuubariには難問でした。IP-PBXはあくまでUAの仲介役というのは解説を読んで理解はできましたが、本文を読んでいるときにはまったくわかりませんでした。
一般的なPBXも音声パケットを中継しないのでしょうか?すると思っていました。この問題限定の考え方なんでしょうかね。いずれにしろYuubariには解けない問題でした。
(2)
図2をみればすぐ解ける問題
(3)
この3つの条件を満たさないと解けない問題でした。
・図5(a)と比較する
・RTPを入れるべきと気づく
・e, f に何が来るかわかるか
(4)
正直何を書けば良いのかまったくわかりませんでしたので本文に戻ってみると、18ページにSRCの説明で「また、音声パケット以外に、音声パケットに関係した通話の属性情報も、通知できる」と書いてあるのを見つけました。
「音声パケットに関係した通話の属性情報も取得できるから」と記載しました。
この問題の理解は不十分でしたが部分点はもらえると思います。
これは知識問題じゃなくて本文からヒントを見つける国語の問題に近い気がします。
わからないならわからないなりに本文を正確に読み込んで泥臭く部分点を狙いたい。
(5)
PBXの音声取得においてパッシブとアクティブの違いやメリットを明確に説明できる人はPBXの専門としている人くらいかと思います。Yuubariは本文から判断するしかなかったのですが、「ロガーごとにL2SWの専用ポートを用意せずに済む点」と書きました。
部分点はもらえそうです。
設問5
(2)
これはわりと一般的なことを問う問題なのでパターンとして覚えておきたい。
(3)
比較的簡単な問題ですが、一般論で書くとNG。冗長化という観点から記述する必要がある。
(覚えておきたい単語)
・音声データを転送する場合の一般的なプロトコルは?:RTP (Real time Transport Protocol)
・SIPで使われるメッセージの形式は?:テキスト形式
・HTTPSのポート番号は何番?:443
・電話をかけたり切るなどの呼制御を行うプロトコルは?:SIP
(覚えておきたい出題パターン)
・VPNで生成した仮想IPアドレスはどのようなものであるべきか?:サービス提供用内部LANのネットワークに属するIPアドレス
・冗長化を実現する上で実物の機器ではなくSDNを利用するときのコスト面での有利な理由は?:ネットワーク機器ごとに異なるハードウェアを用意せずに済む
ネットワークスペシャリスト試験 その9 - 今から何をすれば来年の4月NW受験で合格できるか考えてみました
本来2020年の秋試験(10月)で受験するはずだったネットワークスペシャリスト試験(NW)ですが、新型コロナウィルス流行の影響で来年の春(2021年4月)に延期されました。
今から約5か月後にYuubariはこの試験を受けることになるわけですが、具体的に今から何をすれば合格に近づけるか考えてみました。
この試験に限らないことですが、「現実的にどういう方法を選択して目標(合格)に近づけるか」を真剣に考えることは目標達成に近づくために必要なプロセスかと思います。
現時点のNW対策状況
まずは現時点でのYuubariのNWの対策状況を振り返ってみました。
―基礎固め
NWの受験の前にCCNAの受験を通してネットワークの基礎知識を構築しておく予定を立てて先月CCNAを受験して合格したのですが、これはNW合格のために相当有益だったと断言できます。
途中で仕事の繁忙によって勉強が中断した時期もありますが、約11か月CCNAの勉強に取り組んできたことでネットワークの基礎がだいぶ自分の中で醸成されました。
具体的にはCCNA受験の後にNWの過去問(午後問題)を解いてみて、VRRPやVLAN、アクセスコントロールリスト、SDNといった技術の問題についてはCCNA受験の恩恵で以前よりだいぶNWの過去問(午後問題)に書かれている状況を理解しやすくなりました。
この「同じ分野の試験を連続して受ける」という相乗効果は2019年にITILファンデーション試験を受験したあとにITサービスマネージャ試験(SM)を受けたときにも感じたシナジー効果だと思っています。
※ITサービスマネージャ試験(SM)はITILに準拠
―NW過去問演習の進捗
情報処理技術者試験は過去問演習が非常に大事だと思っています。
午前1についてはYuubariはまだ免除が残っているので考えなくて良いとして、過去の経験から午前2も直前(1-2週間前くらいから)に過去問をやりこむことでパスできそうです。
超えるべき壁は午後1と午後2なのですが、これを乗り越えるにはこれまでの経験から過去問にしっかり向き合って対策するほか無いと思っています。その向き合い方について考えてみました。
今年(2020年)の2月からNWの午後の過去問に取り組んでいますが、進行状況としては以下です。
令和1年:まだ未着手
平成30年:一度問題を解いてから解説を読み、情報を整理
平成29年:一度問題を解いてから解説を読み、情報を整理
平成28年:一度問題を解いてから解説を読み、情報を整理
平成27年:一度問題を解いてから解説を読み、情報を整理
平成26年:一度問題を解いてから解説を読み、情報を整理
平成25年:一度問題を解いてから解説を読み、情報を整理
※ちなみに令和1年~平成25年までは左門至峰さんの過去問解書ネスペシリーズを購入済みです。
午後2は特に問題文も難解で長いですし、NWの過去問1年分解いて解説を読むだけでかなり時間がかかりますが、年内に令和1年を除いて平成25年度までは1度解ききれるかと思います。(令和1年の過去問は試験直前に腕試しで解いてみるつもり)
もし余力があれば平成23~21年の過去問にも取り組みますが、年明けからは新しい問題に手を付けず、これまで解いてきた過去問を何度も解きなおそうと思います。
残り5か月でこの過去問の進行具合は悪くないペースだと思いますが、年明けには自分の人生の中でとても大きなイベントが待っているので年明け以降にどれだけ勉強時間が取れるか未知数ではあります。
少なくともしばらくは新しいことに取り組める状況ではないと思うので、今年中に過去問をある程度仕上げたいと思っています。
過去の経験から考えてこれからYuubariがすべきこと
まず大前提なのが、過去問の理解だと思っています。
NWの午後1と午後2の文章は今までYuubariが受けてきた高度情報試験(SC,PM,SM)の中で最も技術的な意味で難解に感じます。
正直なところ地頭が相当悪いと自分でも感じていますが、左門至峰さんのネスぺシリーズが相当詳細に解説してくれていますがそれでも理解に時間がかかり、苦手のシーケンス図・データフローの問題は出題されるとお手上げ状態です。
NWの過去問はYuubariにとってはとても難解なので何度も解いて何度も解説を読んでから初めて理解に至るのですが、しかし理解しただけでは不足していて、同じパターンの問題が出題されたときに「いかに公式解答に近い正しい記述で得点を重ねていくか」が勝負だと思っています。
合格レベルの解答を書くに至るまで何をすることが必要か考えてみました。
―IPA公式解答の記憶の刷り込み
記述式の試験なので出題者の意図に近い記述ができれば当然高得点になります。
Yuubariの場合、NWの過去問を解いていて「この問題はなんとなく出題者がこういう解答を要求している」とわかるときがありますが、考えているイメージを記述して解答に表現できずにもどかしいときが何度もありました。
これが非常にもどかしくて「解答の方向性はわかっているのに正答できない」というとてももったいない(残念な)結果になります。
これを解消するにはIPAの公表している公式解答(の特にキーワード)を暗記するほか思いつかないです。
文章を読んだり書いたりすることは嫌いではないのですが、理解力も読むスピードも劣っているYuubariがNWの午後問題を制限時間内に読んで合格する内容の記述で解答欄を埋めるには過去問の公式解答を覚えておくのは避けては通れないと思っています。
午後1にしろ、午後2にしろNWの過去問を解いて制限時間が厳しいと感じました。
記述でとても悩み時間を浪費していることが多いので、この時間を短縮してなおかつ正答に近い解答を記述するには公式解答を読み込んですぐに公式解答に近い表現を出せるようにしておくことが地頭が足りていないYuubariには必要になってきます。
「物事を理解する」ことについてはペースは非常に遅い、と自分でも思っていますが幸いにも「記憶する」ことは得意とは言えなくてもやり通す根気はあるので、不格好かもしれませんがこの方法で突き進みたいと思います。
―出題パターンを脊髄反射に叩き込む
「NWの公式解答を暗記する」というとてもスマートとは言い難い愚直なやり方で挑もうと思っていますが、制限時間内に解答を記述するスピードを上げるほかにも恩恵はあると思います。
NWの午後の過去問を4年分以上解いてきて気づいたことが「NWもほかの情報処理技術者試験と同様にパターン化された問題がある」ということです。
記述問題なのにまったく同じ切り口で出題されて書くべき解答すらほぼ同じ問題もありました。
こういう問題が再出題されたときにきっちり正答するためにも公式解答の暗記は自分にとって必要だと思いますが、出題内容と公式解答を暗記しておけばひと目で解答が書けるので問題処理の時間短縮という恩恵も得られると思います。
また過去問演習をしていて解説を読み理解したつもりになっていても記述が正しくできないと得点できない、ということは前述しましたが、IPAの公式解答を暗記することで「このパターンの技術問題はこの表現の解答になる」というお約束を自分の中で醸成できればネットワーク技術の常識も身につくとお持っています。
この方法で取り組むことで合格できるかどうかは5か月後の結果次第ですが、現時点で自分が考えた最も目標に近づくための方法だと思うので、じっくり根気よく取り組みたいと思います。
Yuubariの読んでよかった本(その7) 『夜更かしの本棚』
『夜更かしの本棚』
実力も実績もある脂の乗った6人の作家さんがおススメの小説を紹介してくれる小説のガイドブックです。
小説を紹介してくれる本を、さらにここのような泡沫ブログで紹介するというのもおかしな話かもしれませんが(´∇`;)
この本で小説を紹介してくれる作家さんは朝井リョウさん、円城 塔さん、窪 美澄さん、佐川光晴さん、中村文則さん、山崎ナオコーラさんの6人。
Yuubariはよくこの作家さんたちの作品を読むのでこの本で紹介されている小説は疑うべくもなく読みたくなりました。
・エンタメ小説は紹介されていないけど
この本の中では様々なジャンルの小説が紹介されますが、ミステリーやライトノベルのようなエンタメに特化した小説は紹介されません。
ただし、さくらももこさんのエッセイのようなカジュアルに読みやすい作品も紹介されるのでYuubariのようなライト層の読者でも手に取りやすい作品もちらほらありました。
Yuubariが聞いたことがない普段読まないタイプの本もたくさん紹介されていたので常に新しく読む本に迷っていたYuubariには 『夜更かしの本棚』はうってつけの本でした。
・Yuubariが挫折した小説
本を紹介してくれているのが文壇の第一線で活躍されている作家の方たちばかりなので骨太な文学作品も紹介されています。
紹介された作品の中には学生時代文学部だったYuubariが途中で挫折して最後まで読めなかったドストエフスキーの『カラマーゾフの兄弟』やガルシア=マルケスの『百年の孤独』もありました。
かつて挫折した作品にいつか再挑戦する時間的・精神的余裕のある日は来るのかわかりませんが・・・
・本の貸し借りができる相手がいると良いですね
Yuubariが自分で読む本を選ぶ基準は
1.もともと著作が好きな作家さんの作品
2.どこかで推奨されていた、人が勧めていた作品
というパターンが多いのですが、以前の職場ではよく小説を貸し借りする人がいましたのでいろいろな作品に出合えました。
これからは電子書籍が主となってくるのでそういう機会は残念ながら少なくなりそうですが。
どうしても読む候補が見つからなければ本屋大賞・直木賞・このミス(『このミステリーがすごい』)などの受賞作からピックアップします。
しかし、『夜更かしの本棚』のようなブックガイドがあると、まったく知らなかった作品にも出会う機会も出来て、読む本の幅も広がって豊かな読書ライフを楽しめそうです。
できれば学生のときのように読書の時間が十分にあるときに出会いたかった1冊です。
CCNA Routing and Switching(その11)合格までを振り返ってみました
先月CCNAに合格したのですが、この試験についていろいろ感じたことがあるので忘れないうちに書いてみます。
(CCNAの難易度・勉強期間ついて)
Yuubariが感じたCCNAの難易度は「ITの知識(特にネットワークの分野)が無い人が挑戦すると準備がとても大変だけど、ある程度知識がある人にとってはちょうど良いネットワークの勉強になる」といったものです。
ただし基本情報技術者試験(FE),応用情報技術者試験(AP)レベルでもお目にかからないようなかなり「詳細かつ最新のネットワーク技術」を問われる試験であることは間違いないです。
とにかくITネットワーク全般に関して覚えることが多岐にわたるため、全くITの知識が無い人がこの試験を挑戦するとなるとまともにチャレンジすると半年くらいはかかるのではないでしょうか。
元々ネットワークの知識が豊富だったり、かなり記憶力の良い方でしたら1~3カ月で合格できるかもしれませんが。
また、時間がある学生さんならば短期間でも合格するレベルに持っていけるかとは思いますが、後述するクラムメディアの利用有無でも合格までに要する期間は違ってくる気はします。
ちなみにYuubariは2019年12月はじめからCCNAの勉強を開始し、2020年の10月末付近で合格しています。
合格までにおよそ11カ月もかかったわけですが、正直なところだいぶまったりペースで取り組んでしまいました(*´ω`)
勉強の途中でCCNAの試験制度の変更があったり、10月のネットワークスペシャリスト試験が半年延期になったため急いで合格する必要がなくなったというのがまったりペースになった原因ではあります。
(CCNAを受けた意義)
現在のCCNA(試験番号200-301)はとても幅広いので、ネットワークを専門で業務に当たっている人でも馴染みがない分野の出題については勉強しないと解けないレベルなのではと思います。
一方で2020年2月の試験改正からCisco Switch や Cisco Routerのコマンド問題(シミュレーション問題)が無くなったため、実用性は若干薄れた試験になってしまった印象もあります。
意義の面から言うとYuubariは仕事でルータ・スイッチ・WLAN機器・UTM機器ともに触る機会はありますが、これらの機器を日常的に設定するようなネットワーク専門の仕事をしているわけではありませんので、この試験の勉強をしてとても得るものがありました。
年頭に掲げた目標の通り2020年はネットワークの勉強に充てるつもりだったので、今振り返ってもCCNAの勉強は単なる試験合格だけではなく、知識拡充という意味でとても充実した成果をもたらしてくれたと思います。
CCNAを受けなければUchino会社のルータのルーティングが実際にどういう設定で稼働しているかもわからなかったし、スイッチのSTPが具体的にどういう形で設計されているかも知らないままだったと思います。
また、個人的には本命の試験(ネットワークスペシャリスト試験=NW)を受ける前のネットワーク知識の基礎力形成という意味での前準備として最適な試験だったと思います。
CCNAに合格したことで間違いなく一定水準のネットワークの知識が身に付き、自信が付きました。
ルータで設定されたACLがどのように情報を制限しているかも具体的にイメージできるのでNWの過去問を解いていても設問の状況をより想像できるようになりました。
(合格までにたどった道のり)
CCNA合格まで、ざっくり言うとこのような方法で勉強を進めて合格までたどり着きました。
象さん本(「一週間でCCNAの基礎が学べる本」)を2~3周読んで基礎知識を得る
↓
CCNAイージス、3分間ネットワーキングを毎日少しずつ読む。わからないところがあっても立ち止まらず毎日決まった分量読み進める。(純粋なインプットに時間をかけたくなかった)
↓
上記と並行してPing-tのCCNAの無料範囲の問題をひたすら解く。全部金(2度連続して正解する)にする。
Ping-tの解説は読むが、あまり1問1問の理解に時間をかけすぎずとにかくひたら問題を解く。
↓
クラムメディアを一ケ月分購入、こちらは解説が無いのでとにかく何度も解いて問題と解答を覚える。
↓
Ping-tの有料範囲を3カ月購入。ひたすら解いて全問題を金(2度連続して正解する)にする。そのあと無料範囲も含めて全部解き直す。このフェーズが一番時間がかかりました。
↓
受験、合格
書籍のテキストはCCNA入門用の「一週間でCCNAの基礎が学べる本」以外は購入せず、Ping-tを読んでいてどうしてもわからないところがあればCCNAイージスで調べたりしました。
CCNAイージスが優れたWebテキストだったので個人的には書籍のテキストは不要でした。
(問題集として購入したPing-tとクラムメディア)
Ping-tは解説も詳細でとても優れたWebサービスであることは間違いないですが、以下難点も感じました。
・問題数が多すぎる
→Yuubariが受験したとき、Ping-tのCCNAの問題数は無料・有料範囲併せて全877問でした。試験前に丸1日朝から夜まで解いても終わらなかったくらいの凄い分量です。さすがに問題数が多すぎてこの量を終わらせるのに時間がかかりました。
・本試験と問題の語句や視点が違う
→これはCCNA本試験が悪いのですが、「CISCO語」と言われるほど直訳調の単語(とてもわかりにくい日本語)がCCNA本試験ではたくさん出てきます。Ping-tだけの正しい技術用語で勉強してきた人はCCNAの本試験で面食らうのではないでしょうか。Yuubariもクラムメディアの問題をやっていなければかなり当惑していたと思います。
一方クラムメディアですが、相変わらず凄い的中率でした。
YuubariはCCNA試験を受験しているときに、試験時間中に余裕があったので何問クラムメディアと類似問題があるか数えていましたが、103問中61問がクラムメディアで購入した問題と極めて類似していました。
つまりクラムメディアの問題集を購入して問題と解答を覚えれば少なくとも6割近くは正解に近づけることになります。
また、CCNA本試験と同じ言い回しの「CISCO語」まで再現されているので本試験で当惑することは無くなると思います。
しかしデメリットもあるので記載しておきます。
・実力は付かない
→これが最大の欠点ですがクラムメディアの問題は解説が無いに等しいので、クラムメディアだけで勉強して合格しても何のネットワークに関する実力も付かない(CCNAが単なる暗記ゲームと化してしまう)。
・解答が間違っているものがある
→クラムメディアの問題に対する解答が明らかに間違っているときがありました。それも1問ではなく数問。Ping-tなどでだいぶ知識が付いてから誤答に気づきましたが、間違ったまま解答を覚えて本試験に臨んだとしたら類似問題が出題されても当然その問題は不正解になります。そのあたりはそのうちクラムメディアの中の人が訂正してくれるのでしょうかね?
YuubariはPing-tとクラムメディアを併用して利用しましたが、併用するやり方で正解だったと自分でも思います。
確かにPing-tは問題数が多すぎて自分の納得がいくまでやりこむのは時間がかかり根気が要るものでしたが、満足するまでやりこんだおかげで相当なネットワークについての自力が付いたと感じています。
クラムメディアに関しても上述した通りCISCO語も含めて類似問題がだいぶ出題されたので、自信をもって落ち着いて試験に臨むことができました。
Yuubariの場合は合格そのものがCCNA受験の目的ではなかったのですが、Yuubariにとってはあまりにも受験料が高い試験なのでクラムメディアを利用したのはすこし後ろめたくもあるものの一発合格の保険のためだと割り切りました。
英検1級(その1)挑戦はじめました
先々週、Cisco Sytems CCNA に合格して以来、次の目標を考えていました。
次の目標
本来でしたら先月10月にネットワークスペシャリスト試験(NW)を受けている予定でしたが新型コロナウィルスの影響でNW試験は来年4月に延期となりました。
となると当然来年の4月までNWの対策を続けることになるのですが、去年の12月くらいからずっとネットワークの勉強をしてきて、これに少々飽きも感じているのでここはNW対策の勉強をしつつも気分転換に別の勉強を再開してみるのも良いかな、と感じました。
Yuubariが途中でストップしている勉強としては通関士試験、日商簿記2級がありますが、正直この2つは現在の仕事のスキルという意味では差し迫って取り組むものではないです。
そうなると。。。英語の勉強を再開するのが適切かなという結論に達しました。
英語はいまの仕事でとても利用頻度が高いですし、今の職場で英語がもっとスムーズに使いこなせたら業務効率も上がるので有用性は間違いないです。
英語学習のモチベーション維持
いつものことですが、目標がないとYuubariは学習モチベーションを保てない意識の低さを抱えています (´∇`;)
ここはひとつ例のごとく資格試験の挑戦でモチベーションを保ちたいと思います。
ひとくちに英語の資格試験といってもたくさん種類がありますが、TOEIC・英検あたりがYuubariにとっては馴染みが深いです。
TOEICは2年前に820点だった時以来伸びしろが止まってますし、英検も4年前に準1級に合格して以来トライをやめてしまっています。
英語の勉強を再開するにはこれらに取り組むのがYuubariにとっては取っ付きが良いです。
一時期TOEICの勉強ばかりして英語が嫌いになった時期もあるので、ながらく手付かずだった英検1級の勉強を始めました。
英検1級はTOEIC 900点取るよりはるかに難しいとYuubariは感じていますので、Yuubariの現在の英語力からすると英検1級を受験する準備だけでも2年はかかると思っています。
英検1級対策の第一歩
まずは対策として最も時間がかかる単語の記憶から始めました。
準1級受験で頻出単語を覚えるときお世話になった「パス単」ですが、1級でも手に取って毎日少しずつ覚え始めました。
※実は1級のパス単自体3年前に買ってあったんですけど、ほこりをかぶってました (´∇`;)
それにしても1級の単語は本当に難しいです・・・見たことが無い単語ばかりで記憶する行為が非常に苦しいです。
TOEICでは現時点で知らない単語がほぼ出てこないので、この英検特有の「見たことがない英単語を延々覚える苦しさ」に懐かしさすら感じています (´∇`;)
でも最低限の語彙力を付けないと1級に挑戦することすら叶わないのでここは根気よく取り組みたいです(=_=)
英検1級の過去問はだいぶ前から買ってあるのですが、まずは単語を地道に覚えてから長文・英作文を含めて英検1級の過去問に挑戦したいと思います。