折れない心

何度も敗北を味わってきた筆者が挫けずに試験勉強や語学を頑張ります。現在は資格試験(英検1級、TOEIC)対策も含めて英語の勉強に取り組んでいます。

ネットワークスペシャリスト試験 その4 平成30年度の過去問

平成30年のNWの午後試験の過去問(午後I +午後II)を解いてみました。
 
問題を解いたあとの解説参照はもちろんネスペシリーズの『ネスペ30知』を使用しました。
ネスペ30 知 -ネットワークスペシャリストの最も詳しい過去問解説

ネスペ30 知 -ネットワークスペシャリストの最も詳しい過去問解説

 
 

これまで平成28年と平成30年の2年分を解いてみて感じたことは

・午後1は時間勝負・知識が無いと門前払いだけどじっくり対策すればなんとかなりそう。
・午後2は知識は当然必要。そのうえで発想力や記述力も求められる。かなりの難度。
 
という印象です。
 
NW午後2について
本当に難問が多く、問題をぱっと見ただけでは解答の見当も付かないことが多かったです。
 
とにかく解答できるものから先に応えていって、最後まで解してから最初に戻ってまだ解答していない問題からじっくり解くというやり方のほうが文章を読むのが遅いYuubari的にはよさそう。

ただし、2時間制限でも時間的に厳しかったので最後まで読み終えるのは40分くらいにし、残り1時間20分でじっくり問題を解くという流れにもっていきたいです。
 
また、知識を問う語句問題は1問も落としたくない。
合否をわけるのは間違いなく配点の比重の大きい記述問題ですが、1,2点勝負となったときは知識問題の得点にかかりそうです。

自分用の備忘録ですが以下設問ごとのメモ。
 ------------------------------------------------------------------------------
(午後I)
(問1)
設問1 
(1) 語句問題。通常のプロキシがフォワードプロキシという名称ということが出てこなかった。
ア: フォワード(プロキシ) 
※当然理屈はしっていたけど「フォワードプロキシ」という言い方が思いつかなった
イ: リバース(プロキシ)  →正解できた。
 
(2) ややこしく考えすぎた。「プロキシの利用者」と書いてしまったけど、シンプルに「利用者ID」でよかった。
→認証するときに必要なものは
・利用者ID
・パスワード
 
設問2
(1)(メソッド名) 語句問題。
CONNECTメソッドは以前の過去問に出てきたので解答できた。
HTTPSでアクセスするためのHTTPプロトコルのメソッド名は?
→CONNECTメソッド というのは必ず覚えたい。
(対策) CONNECTメソッド用いたプロキシサーバのセキュリティ利用法を問う
(自分の解答) ※部分点はもらえる?
HTTPSで用いる通信ポート以外を通信不可とする
(公式解答)
HTTPS以外のポートのCONNECTを拒否する
 
(2) 知識問題。いかに正確に解答できるか。
(自分の解答)
サーバの証明書
(公式解答)
プロキシサーバのルート証明書
※プロキシサーバがブラウザに信頼してもらうようブラウザにインストールさせるものは?
→プロキシサーバのルート証明書この理屈と言い回しは正確に覚えておきたい
 
設問3
(1) SDNの構成について。知らなかったけど文脈で正解を書けた。
データプレーン;トラフィック転送
コントロールブレーン:装置管理

(2) 「静的経路」はCCNAの勉強していなかったらイメージできなかったかも
(自分の解答) ※ほぼ正解?
G社SaaSへの通信経路でSD-WANルータをネクストホップに設定する。
(公式解答)
ネクストホップがSD-WANルータとなるデフォルトルート
 
(3) 正解。理屈で考えてこれしかない。
 
(4) 本文の理解力を問う問題。
(自分の正解) ※正解と思ってよさそう。 「HTTP通信」の記述がなくても理屈は通る
G社SaaSへの社内PCからの通信
(公式解答)
G社SaaSへのHTTPS通信
 
(5)

(自分の解答) 正解。理屈で考えれば簡単
G社SaaSへのアクセスはプロキシサーバを経由しないといけないから
(公式解答)
社内PCからG社SaaSへのアクセスがプロキシサーバを経由しなくなるから

(自分の解答) ほぼ正解。最初は思いつかず、余った時間で本文を最初から読み直したら気づいた
出張先からは本社DMZを通らずG社SaaSにアクセスするユーザがいるから
(公式解答)
出張先のPCからG社SaaSへのアクセスが記録されるから
 
(覚えておきたい単語)
・社内に対してアクセス先のURLのログ取得や外部サーバのコンテンツをキャッシュして使用帯域を削減する目的で用いられるのは(     )プロキシという:フォワード
・外部から公開サーバのコンテンツに直接アクセスさせないことによる改ざん防止や負荷分散、リモートアクセスで用いられるのは(     )プロキシという:リバース
HTTPSでアクセスするためのHTTPプロトコルのメソッド名を答えよ(PCとサーバ間の暗号化通信をプロキシサーバは暗号化復号せずに透過中継する):CONNECTメソッド
・プロキシサーバが暗号化された情報を復号して再度暗号化したがクライアントPCでは証明書が信頼できないエラーが表示された。PCにインストールが必要なものは?:プロキシサーバのルート証明書
・SDNで通信トラフィックを転送するのは(    )プレーン:データ
・SDNで通信装置を集中制御するのは(     )プレーン:コントロール
 
(覚えておきたい出題パターン)
クラウドサービスAに到達するために、Aに至る経路はPC-Switch―SD-WANルーターAである。AのIPアドレスが変わってもSwitchの設定を変更しなくても済むようにSwitchのスタティックルート(静的経路情報)を変更したい。どのような静的経路情報か?:ネクストホップがSD-WANルータとなるデフォルトルート

-------------------------------------------------------------------------------
(問2)
設問1
ア:ICMP →正解できた。ping」「echo request」とくればこのプロトコルしかない
イ:IPアドレス →pingの宛先に必須。「静的IPアドレス」と書いたけど正解でいい?
ウ:UDP →「FTP」と書いてしまって×。SYSLOGが使用するプロトコルというところからUDPを導出するのは厳しい。トランスポート層プロトコルであるTCPもしくはUDPから導出したかった。
エ:コミュニティ →SMNPが用いる監視の対象範囲らしい。苦し紛れで「SA」と書いたけど、この問題は難問。

設問2
(1)スイッチがVRRP冗長化する対象を問う問題
(Yuubariの解答)※スイッチのIPアドレスは不正確。具体的にはデフォルトゲートウェイ
コアスイッチのIPアドレス
(公式解答)
デフォルトゲートウェイ
 
(2)難問。知らなければ解けない
(Yuubariの解答) 苦し紛れ解答。
ポートのリンク状態遷移
(公式解答)※要記憶
VRRPアドバタイズメント
 
(3) p4をトランクポートにするということはそこを通過する全てのVLANを設定する
(公式解答) VLAN100、VLAN200、VLAN300
 
設問3
(1)選択肢を絞れば解答できる。、
 
(2)知識問題。実際にSTPを構築した経験がある人は簡単に答えられたかも。
(Yuubariの解答)
スパニングツリーが機能せずブロックされたから
(公式解答)
スパニングツリーが再構築中だったから

設問4
(1) SNMPエージェント と SNMPマネージャ がどれかを問う問題
SNMPエージェントの答えがわからず「PC」と書いてしまったのはかなり反省。
SNMPマネージャはこれしかないという解答。
 
(2)ポーリングとトラップのマイナス点を問う問題。
ポーリング:易問
(Yuubariの解答)
ポーリングが実行されるまでネットワークの異常を検知できない
(公式解答)
5分ごとに状態を取得するので多くの場合異常検知が遅れる
トラップ:トラップの問題点としては?
(Yuubariの解答)
SNMPマネージャにメッセージを送る経路で障害があり送信できない
(公式解答)
到達確認がないのでメッセージが失われる可能性がある

(3) 知識+本文のヒントを汲み取れるかの問題。難問。
(Yuubariの解答)
一台のSNMPエージェントが遅れないとき別のエージェントが送信できるようにする
(公式解答)
スパニングツリーが再構築するまでインフォームの再送信を繰り返す
 
-------------------------------------------------------------------------------問3
設問1
(ア)「ラベル」が正解。知識問題。パケットに付けるタグ情報の名称のこと、要記憶。
(イ)「VPルータ」が正解だが、「ルータ」だけだとどうなんだろう。
(ウ)「ネットワーク」が正解。これは間違えてはいけない
(エ)「IP-VPN
(オ)「インターネットVPN」。「IPSec」と書いて書きなおした判断は正解だった。
 
設問2 タグ情報を利用する目的は?
(1)「MPLS」が正解。どうしても答えが出てこなかった。普段MPLS回線で仕事しているのに・・・。事業者閉域IP網、という言葉でMPLSにピンときたかった
 
(2)
(Yuubariの解答) ほぼ正解
他の利用者のトラフィックのパケットと区別するため
(公式解答)
利用者ごとのトラフィックを区別するため

設問3
(1)GER Over IPSecを利用する目的を問う問題。難問だった。OSPFがマルチキャストというのは28年の過去問で知っていたが、ここですっと記述することは困難。
(Yuubariの解答)わからないので苦し紛れ
トラフィックの増加を防ぐため
(公式解答)
OSPFのマルチキャスト通信を通すため
 
(2)各拠点のPEルータが受信する経路情報とは?
(Yuubariの解答) 相当悩んだ末の苦し紛れ解答
各径路のコストとメトリック
(公式解答)「こんな解答でよかったの?」という印象
ほかの拠点への経路情報
 
(3)スイッチの経路の優先経路を問う問題。難問。何を訊いているのかすら想像が難しい
(Yuubariの解答)
最長一致経路をもつ経路を優先する
(公式解答) ルーティングプロトコルの種類とアドミニストレーティブディスタンスを理解していないと解答できない。知識とひらめきが必要な難問。
BGP4から得られた経路を優先する
 
設問4
(1)フルメッシュで追加構成があるときの問題点。これはすぐ思いついた。
(Yuubariの解答)
既存の全ての拠点で追加設定を行わなければならないから
(公式解答)
新拠点追加のときに全拠点の設定変更が必要になるから
 
(2)FWが得られた情報とは?
(Yuubariの解答) これは△くらいもえらえるかな?
対向側のルータのIPアドレス情報
(公式解答)
大阪支店のFW2のグローバルIPアドレス
 
(3)
機器:スポークになるべき機器は?
「FW2、FW3」。選択の検討からこれしかない
設定:スポーク機器を代表ルータにしないようにするための設定とは?難問中の難問。Yuubariはいくら考えても答えが思いつかず空欄。
公式解答→「OSPFのプライオリティを0に設定する」
※ルーティングプロトコルの「プライオリティ」という概念や「0にする」という考え方は普段ルータの設定をしている人じゃないと思いつかないと思います。
 
-------------------------------------------------------------------------------
(午後II)
内容的に聞いたこともない技術が満載で、後半の設問の難易度にもびっくりしました。
この問題を120分で解ききることも難しかったです。
問4ですが、NAT変換の理解が及ばず解説を読んでもピンときません (   ) 泣
 
問1
設問1
(1) 知識語句問題
ア~ウ:「機密性」「完全性」(「可用性」)を具体的に表現すると?「暗号化」し「認証」する、「改ざんを検知する」。ここは迷わず正解。
エ:「TCP」コネクションが出てくるまでにちょっと時間がかかった。コネクションという言葉が出てきたらすぐにTCPコネクションを連想したい。すぐに思いつかなくても本文の先に進むとTCPコネクションの記載があるので解答できる。
TCP=コネクション型通信(3ウェイハンドシェイク)
UDP=コネクションレス型通信
 
(2) FWでできる対策とは?
考え方
・そもそもFWの役割は?→侵入防止
・本文のヒントから考える。ヒントを探すときは下線の近くから。この問題はずばり直前にヒントがあった。
(自分が書いた解答)※方向性は近い?
FWに承認されている工作装置、デバイスおよび通信装置意外のインターネットへのアクセスを禁止する。
(公式解答)
X社が運用・保守を行う危機からX社FWの方向に確立されるTCPコネクションだけを許可する
 
(3)まったく思いつかなかった。SC勉強しているときなら思いついたかも?
TLS機能 
および
・デバイス、エッジサーバなどの機器を認証する
という条件から考えて「クライアント証明書を配布してクライアント認証を行う」という解答を導きだす。「クライアント証明書」のことは頭の片隅に入れておこう。

設問2
(1) 本文の状況理解力を問う問題。TCPのメッセージ消失のケースについて。
(自分が書いた解答))※方向性は近い?
TCPコネクションが切断され送信者が送信データを破棄したとき
(公式解答)
TCPの送信処理中にデバイスの電源断などでTCPコネクションが解放された場合
本文の表現を用いると公式解答に近づく
 
(2)メッセージの処理を保留する理由。本文のヒントを読み解けるか試す問題。
(自分が書いた解答)※方向性は近い?
新しいパケットとみなされなくするため
(公式解答)
メッセージの重複を防止する
→難しい問題だけど、本文のヒントを見逃さなければ正答に近づける。本文の表現を用いると公式解答に近づける
 
(3) 穴埋め。本文の読解力を試す。
オ だけミス。読解ミス
 
(4) 図解を読み解く力を試す問題。
解説を読んでもいまいちすっきりしない。
しかし自分が書いた解答「デバイスD1,デバイスD2,デバイスD3」はあり得ない。デバイスD3ってどこから出てきた?
すぐに答えが思いつかないときは解答の候補をいくつか出してみて理屈を以て取捨選択して消去法で答えを出すとよいかも。

設問3
(1) 穴埋め。本文の状況理解力を問う問題。
サ と シ をミス。
サ はリダイレクト応答がどこから受けたかという浅い見方ではなく、「どこにリダイレクトされたか」訊かれていた。
 
(2)
トークンの有効期限を問われているのはわかったが、10分なのか60分なのか解説よんでもいまいちすっきりしない。
 
(3) 本文の読解力を問う問題。
(自分が書いた解答)※方向性は近い?
顧客サーバのURIが変わったときは顧客からX社に必ず連絡する体制にする
(公式解答))
WebAPのURIを固定にし、絶対URIを事前に通知してもらう
→本文の理解力は不足していたかもしれないが答えの方向性は想像がついた。しかし「絶対URI」という聞きなれない単語を解答に入れる勇気はなかった。
 
設問4 難問多い。
(1) NATについての理解力を問う問題
(自分の書いた解答) ※苦し紛れの解答。NATの理解不足。
NATルータPのプライベートアドレスはX社が指定したIPアドレスを使用する
(公式解答)
送信元IPアドレスをNATルータPに、宛先IPアドレスをエッジサーバPに、それぞれ変換する
→何を訊かれているのかいまいちわからなかったけど、公式解答を読んでよくわかった。NATについての機能の理解度が不足していると解答できない問題だった。
 
(2) 難問。
(自分の書いた解答)
NATルータP'のプライベートIPアドレスの通信を許可する
(公式解答)
顧客サーバP'からNATルータP'のポート8883番への通信
→正直、公式解答通りに書ける気がしない。
 
(3) 本文理解力を問う問題。じっくり考えたら解ける。
考え方
・候補となるトピックは本文では3つしか登場しない。
「交換サーバ」を使うパターンは3つのうちどれかを検証する
→さすがに3つとも答案に書いてしまうのはセンスが無かった。
 
(4) 顧客サーバを1台追加した場合の対応を問う問題。
(自分の書いた解答)※FWの方は正解? もう一つも方向性は近い
・通信装置内のFWに追加するサーバとの通信を許可する設定を行う
・エッジサーバと顧客サーバを通信する設定を行う。
(公式解答)
・通信を許可するルールを通信装置内のFWに追加する
・1:1静的双方向NATの設定をNATルータに追加する
→NATの方は前の問題ができてないと解答として出てこない。
 
(覚えておきたい単語)
TLSの主要な機能を3つ答えよ:①情報の暗号化 ②改ざん検知 ③電子証明書を用いた通信相手の認証
HTTPSでアクセスするためのHTTPプロトコルのメソッド名は?:CONNECTメソッド
 
(覚えておきたい出題パターン)
 ・顧客の環境にあるX社のFWについて、インターネット経由で顧客環境にあるのX社の機器からX社にTCPコネクションでデータが送られるとき、そのFWが行う侵入防止の対策を答えよ:(X社が運用・保守を行う機器から)(X社FWの方向に確立される)(TCPコネクションだけを許可する。)
※3要素揃って完全正答。「何が」「どの方向の」「どういうデータを許可する」
・アクセス要求してくる特定機器のなりすましを、TLS通信の機能を用いてどのように対策するか:クライアント証明書を配布してクライアント認証を行う。
 ・機器Aから機器BにTCPコネクションで通信するとき、TCPの再送機能だけではメッセージの消失が防げない。それは具体的にはどのようなケースの場合か?:TCPの再送処理中に、デバイスの電源断などでTCPコネクションが開放された場合
 ・業務サーバAのAPI(WebAP)は認可サーバでそのURIが保存されている。ユーザが認可サーバへ接続時に出すHTTPリクエストにはURIが含まれているが、認可サーバは自身が持つ絶対URIとリクエストのURIの一致を確認してアクセス許可を出す。これを維持するために新規でサービス開設するAPI管理者に依頼すべきことは?:WebAPのURIを固定にし、絶対URIを事前に通知してもらう。
・自分のネットワークにサーバを追加設置し、顧客ネットワークにあるサーバにデータ送信したい。経路上にはNATルータと相手ネットワークにFWがある。この場合どういう対処が必要か?:・通信を許可するルールを通信装置内のFWに追加する
・1:1静的双方向NATの設定をNATルータに追加する
 

-------------------------------------------------------------------------------
問2 
解いていて頭がキーンとするほど難しかった。時間も規定の2時間をオーバーしてしまった。
 
設問1 エしか正解できず。概念は知っていても単語がなかなか出てこない。
ア:スタック接続複数のスイッチを論理的にひとつにする技術があるのは知っていたが名称までは知らなかったです。要記憶。
イ:ステートフル(フェールオーバー)。これは初耳でした。冗長化しているFWの1台が破損してももう1台が処理中断させることなくサービスを自動継続させることができる機能のことを言うらしい。覚えておきます。
ウ:負荷分散。これは語句問題というより文脈把握問題。特別な名称を訊かれていると思ってしまったらもう答えは出せない。とりあえずわからなかったので、「分離」と書いたけど×でしょうね。
エ:チーミング。これは正解できました。仕事でもサーバのLAN接続は必ずチーミングしてます。同じような冗長化技術はスイッチとサーバで以下のような名称の違いがあるようです。
サーバ:チーミング
スイッチ:リンクアグリゲーション

設問2 
(1) 複数の仮想FWを稼働させなければならない理由を問う問題。
(Yuubariが書いた解答) ほぼ正解?
VLANにより顧客間のネットワークが論理的に分離されているから
(公式解答)
・顧客ごとに異なるフィルタリングの設定が必要だから
もしくは
・顧客ごとにルーティングの設定が必要だから
 
(2) 冗長化したFWのPrimaryがSecondaryに切り替わるために監視していること。答えを見れば当たり前とも思える内容だけど、解いているときは思いつかなかった。
(Yuubariが書いた解答) まるきりあさっての解答してしまったので全部×。どういう観点で問われているか理解できなかった。
①L2SWaとL2SWbを流れるパケット
②LBaとLBbのアクティブ・非アクティブの稼働状況
③L2SWcとL2SWdのどちらがアクティブか
(公式解答) 「〇〇による」という観点で書くことが求められていた
・FWbによるFWaの稼働状況
・FWaによるL2SWaへの接続ポートのリンク状態
・FWaによるLBaへの接続ポートのリンク状態
・FWaによるFWbの稼働状態
・FWbによるL2SWbへの接続ポートのリンク状態
・FWbによるLBbへの接続ポートのリンク状態
 
(3)「仮想サーバの物理移動間に必要となるVLANを設定するポート及び設定するVLANの内容」を問う問題。正直にいって何を問うているか理解できなかった。「設定するポート」というのは仮想ポートではなく物理ポートのことを言っているというところを汲み取らないといけなかった。
(Yuubariが書いた解答)
顧客ごとに論理的に分離したVLANのポートとそれぞれ異なるネットワークアドレスで設定する。
(公式解答)
物理サーバへの接続ポートに、全ての顧客の仮想サーバに設定されたVLAN IDを設定する

設問3 「OFCとのTCPコネクションの確立に必要な最小限の情報を設定」を問う問題。全く解答の方向性が見いだせなかった。「TCPのコネクション」というキーワードをみて「IPアドレス」が求められていることに気づきたかった。
(Yuubariの書いた解答) 苦しまぎれ
OFS1との管理用ポート
(公式解答)
・OFCのIPアドレス
もしくは
・自OFSのIPアドレス

設問4 
(1) 仮想FWの設定に必要なネットワークを問う問題。いったい何を訊かれているのかピンと来なかった。単純に「FWを設定するためにどんな情報が必要か?」と考えたら方向性が見えてくる。解答は3つ書くことを求められているが6つ答えがある。
(Yuubariの書いた解答) ほぼ全滅。VLAN ID、ルーティング情報は書きたかった。
①顧客ごとのVLAN情報
②グループごとのIPアドレス
③物理サーバのIPアドレス
(公式解答) ⑤は思いつかないけど、ほかの解答は冷静になってひねり出したい。
①フィルタリングルール
②仮想FWのVLAN ID
③仮想FWのIPアドレス
④仮想FWのサブネットマスク
⑤仮想FWの仮想MACアドレス
⑥ルーティング情報
 
(2)VLANの設定ポートを問う問題。この問題も何を問われているのかいまいちわかりにくい。図をみながらスイッチのINとOUTのポート位置をしっかり把握して解答したかった。答えを見れば簡単に理解できるけど問題として問われるとなかなか正解が書けなくてもどかしい。
(Yuubariの書いた解答)
L2SWaとL2SWbのポートに顧客ごとのポートVLANを設定する
(公式解答)
顧客のL2SW又はL3SWに接続する、L2SWa及びL2SWbのポート

設問5
(1)
3台に分散した仮想サーバの配置方法を問う問題。
本文で書かれている図面の問題点、改善する場合の配置方法を問う問題。
漠然とした問いかけで何を訊かれるかわかりにくかった。
ネットワークの「問題点」とは障害のときと考えてよさそう。
(Yuubariの書いた解答) あさっての答えしてしまった。負荷分散するならば顧客ごとにサーバを分けるという視点が欠けていた。
問題点:異なる物理サーバで同じ顧客の同じサービスを展開すると負荷分散が行われない
改善方法:同一物理サーバ内で同じ顧客の同じサービスを展開するように機器の配置を行う

(公式解答)
問題点:物理サーバ3の障害によって、3顧客のシステムが同時に停止してしまう。
改善方法:3顧客向けの仮想サーバを、それぞれ異なった物理サーバに配置する。

(2)
何を訊かれているか理解すること自体困難だった。なんとなく答えの輪郭は見えたが、70字が長すぎて書くべきことが思いつかなった。
設問に出てくる語句、FWp /  LBp のポジションを本文の図を見ながら確認すれば答えに近づけたかも
(Yuubariの解答) 苦し紛れで書いたけど部分点はもらえる?何かどう「同じ物理サーバ」なのかしっかり記述したかった
同じ物理サーバ内で通信が行われているから
(公式解答)
FWpの内部側ポートとLBpnの仮想IPアドレスをもつポートは、同一セグメントであり、物理サーバ3内で処理されるから
 
(3) 実際に送信されたデータがどういうルートをたどってサーバにたどりつくかを問う問題。
時間もなかったのでいい加減に考えていい加減に解答してしまった。
最低でもルータ→L2SW→OSF1→ ときたらFW、LBを経由することは「従来型」の図面から想定できたはず。これを思いつかなったのはミス。
 
(4)問題文の意味を理解するだけで5分近く要した^^;
偶然だけど正解できた。よく考えたら簡単な問題だけど時間が押し迫っていると悩んでしまう。
OSF名;該当するOSF名を全て答えよ、という問題だけどそもそも登場するOSFは2つかないから両方書いておけば良い。
項番:登場するFテーブルをじっくり読むと見えてくる。時間が無いと厳しい
変更後のアクション:「P11から出力」と書いてしまったのは大反省。「物理サーバが移動する」という前提から出力ポートの変更を思いつかなかったのは反省。