折れない心

何度も敗北を味わってきた筆者が挫けずに試験勉強や語学を頑張ります。現在は資格試験(英検1級、TOEIC)対策も含めて英語の勉強に取り組んでいます。

ネットワークスペシャリスト試験 その6 平成29年度の過去問

平成2 9年のNWの午後試験の過去問(午後I +午後II)を解いてみました。
解き終わって参照した解説本はやはりこちらのネスペシリーズのネスペ29です。
ネスペ 29 魂 -ネットワークスペシャリストの最も詳しい過去問解説

ネスペ 29 魂 -ネットワークスペシャリストの最も詳しい過去問解説

 

 

(今回29年度の過去問を解いてみて気づいたこと)
・午後Iと午後IIの難易度の違いにびっくりしました。
特に午後IIの問1が本当に難問でした。SDNとシーケンス図の苦手意識は払しょくできない気がします。
 
・午後IIの問1はネットワーク図が多すぎて読むだけで時間不足に陥りました。ネットワーク図を素早く理解する練習をしたい。
 
・過去問を解いてみて時間配分に失敗しました。下記のやり方で改善したい。
→まずざっと読み(1H),問題解くために1H使う。つぎに問1-4を1時間で時間配分したい。(そうしないと最後まで解答がたどりつかない)
 
実際に解いてみた印象や過去問から学んだ自分への備忘録などを詳細に書いてみたいと思います。
完全に自分のための記事にしてしまいすみませんが。

------------------------------------------------------------------------------------------
(午後Iについて)
(問1)1
設問1 恥ずかしながら、過去問を解いてみてア~オまで1問も正解できませんでした。ア、イ、オあたりは正解したかった。
ア:SHA-01 → SHA-1 が正解。0はいらない。
イ:2 → (TLS)1.2 が正解。
ウ:SYN → Client-Hello が正解。TCP-IPの通信を訊かれているわけでもないとわかっていたが苦し紛れで書きました。
エ;ACK → Server-Hello が正解。
オ:トンネリング → リバースプロキシ が正解。もちろんリバースプロキシは知っているが、この問題の解答になるとは思わなかった。
設問2
(1)暗号アルゴリズムとハッシュアルゴリズムの用途を問う問題。
暗号アルゴリズム
(自分の解答)
送信者の認証 → 認証 が正解。「送信者の」は不要でした。
盗聴防止 → 鍵交換
 
ハッシュアルゴリズム
(自分の解答)
改ざん防止。正解でした。同じ意味で「メッセージ認証」が公式解答。
 
(2)顧客システムの特徴を解答する問題。ヒントが無ければ難問だが、ピンときて本文を探せばそのまま解答が書いてある。
(自分の解答)
顧客ごとに利用する機器、プロトコルなど環境が様々であること
(公式解答)
顧客システムは様々なプロトコルを利用している
 
(3)VPN用のIPアドレスがPCのインターフェースのどの部分に割り当てられるか答える問題。これは正解しないといけない問題だった。
(自分の解答)IPアドレスを書けなんて言われてない上、2つも解答を書いてしまっていて大反省、質問分をよく読まないといけない
 192.168.0.0/16 , 172.16.10.0/24
(公式解答)まず、「PCのどのネットワークインターフェースに」という点でPCに限定されるし、ネットワークインターフェースもNICとvNICしかないので、解答は絞られる。
vNIC

設問3
カ:開発LAN →正解でした。1行目と2行目の「送信元IPアドレス」と「宛先IPアドレス」に  202.y.44.0/28 が入っていることで当たりを付けられる。
キ:DMZ →正解でした。
ク:172.16.10.0/24 →  17216.0.0/16  が正解。
ケ:202.y.44.0/28 → 202.y.44.2/32 が正解。 TCP/443 を利用しているのでSSL-VPN通信。なのであて先はDMZではなく、SSL-VPN装置(202.y.44.2/32)になる。サブネット表記はなくても正解?

設問4
(1)表2のアクセスリストを適用するインターフェースを答える問題。表2のACLは 172.16.0.0/16 の入力IFに適用する。また複数選択することから自然に解答は見えてくる。⑤を入れ忘れないようにしたい。
(自分の解答)
・⑤、⑥ → ②、③、④、⑤。この問題は正解したかった
 
(2)H社内のVLAN間通信で禁止される不正なアクセスを問う問題。
(自分)方向性は合っていたが、あくまでH社内のVLAN間通信での不正なアクセスであることを強調したかった。
当該構築業務とは関係がないPCからの他の開発環境への不正なアクセス。
(公式解答)
顧客システム構築ネットワークから他社の顧客システム構築ネットワークへの通信
(3)表3のACLを適用するIFを選ぶ問題。
(自分の解答)
 → 正解。 正解はしたけど、いまいち自信がなかった。消去法で正解してしまった。
------------------------------------------------------------------------------------------
(問2)ほかの問題と比べるとだいぶ簡単な問題でした。しかしその分、高得点を取らないと相対評価で落とされるという問題だったかと思います。

設問1知識問題。わからなかったので空欄にしました。要暗記。
(公式解答)
バーストトラフィック
 
設問2
「画面転送通信」を間違えたのは大反省。
VDI導入前に経由する通信:ファイル転送通信(正解)
VDI導入後に経由する通信;①プリンタ通信 ②インターネット通信(不正解)→ 画面転送通信(正解)
(2)計算問題。時間も惜しかったし、何より苦手なので捨てました。
a.  1G ビット →  1.25 が正解。
b.  100 → 正解
c.  140 →  1 0 が正解
 
(3)支店のインターネット接続回線を廃止する理由とそうするときの利点
(自分の解答)ほぼ正解だと思う
理由:支店のインターネット通信が本社経由で行われることになるから
(公式解答)
理由:インターネット通信は本社の仮想PCから行われるから
 
(自分の解答)ほぼ正解だと思う
利点:支店・本社のインターネット通信のセキュリティ対策が一元化可能
(公式解答)
利点:情報セキュリティ対策を本社で集中的に行うことができる
 
設問3
(1)帯域確保を行わなかったときに起こる遅延の原因をプリンタ通信の特性に注目して解答する問題

(自分の解答)「プリンタ通信の特性に着目して」という条件に引きずられすぎた
プリンタ通信による帯域の占有率が不明確だから
(公式解答)当たり前すぎて公式解答みて拍子抜けしました
プリンタ通信が画面転送通信を圧迫するから
 
シェーピングの動きについて説明させる問題。実質知識問題でした。
(自分の解答)
クラス単位で帯域確保の制御
(公式解答)
送出タイミングを調整する
 
設問4 イだけは難問。
 仮想スイッチ → 正解
イ VDIサーバ → 任意 が正解。ANYでも不正解らしい
ウ C&Cサーバ → 正解。
 

------------------------------------------------------------------------------------------
問3
設問1できれば全問正解したいところでした
ア NAPT → 正解。 NATと書かなかったのは過去問で学んだ成果
イ PSK → 正解。事前共有鍵でももちろん正解
ウ MIB → 不正解。AS が正解。なぜか思い出せなかった。
エ TCP → 正解。正解できたけどかなり怪しかった
オ ICMP → 正解
カ 応答 → 不正解。Echo Reply が正解。Replyだけでは不正解だと思われる

設問2
(1)トランスポートモードを選択した理由を問う問題。そもそもCCNAの勉強をしていなければトランスポートモードとトンネルの違いもわからなかったと思う

(自分の答え)答えの方向性は合っていた?部分点はもらえるかな
IPアドレスが暗号化されると送信先に到達しないため
(公式解答)
暗号化の通信がグローバルIPアドレス間の通信だから
 
MTUが1500を超えたときにVPNルータが行う処理を問う問題
(自分の解答)「分割」という方向性で部分点はもらえるか
MTUを超えるパケットは分割して1500以下にして送信する
(公式解答)「フラグメント」はともかく「リアセンブル」という発想はなかなか出てこない
フラグメントとリアセンブルの処理が発生する
 
設問3
静的経路制御と比較して動的経路盛業を選択した利点を問う問題
(自分の解答)方向性がややずれた。障害の観点で解答したかった
機器構成に変更があったとき関連する全ての機器の設定を変更する必要があるから
(公式解答)
BGPによって回線断や機器障害を検知し、トラフィックをう回できる

パッシブインターフェースの動作の特徴を問う問題。CCNA勉強していなければ全く解答が思いつかなった
(自分の解答)「広告しない」という表現で〇もしくは部分点はもらえるとおもう。
ルーティング情報の受信はするが広告しない
(公式解答)この表現で解答できるひとは皆無だと思う。
Helloパケットを出さない
 
(3)
(自分の解答)
多く設定 と書いた。「大きく」が公式解答だけど、まあ〇もらえるかな。
 
(4)経路ループを防止するために必要な経路制御を問う問題
(自分の解答)「再配布」しないという表現がほしかった。ホップ数は関係ない。
決められたホップ数を超えるとそれ以上次の経路に進まないように設定する
(公式解答)この表現で解答するのは難しい。
eBGPからOSPFへ再配布された経路を再びeBGPへ再配布しない。
 
設問4 2つあるVPNトンネルをそれぞれ監視する目的を問う問題。何を訊きたいかよくわからないけど、公式解答をみると「えっ、これでよかったの?」という解答でした。
(自分の解答)
それぞれ異なるプライベートIPアドレスが設定されているから
(公式解答)
ネットワーク接続の冗長構成が失われたことを検出する
 
------------------------------------------------------------------------------------------
(午後II)
問1 SDNとシーケンス図という自分が苦手な2つが組み合わさった問題なのでかなり苦戦しました。解いていていくら時間があっても足りない感覚でした。
 
設問1 8題中3つしか正解できなかったのは反省。(お)以外は全問正解できるべき。また穴埋めで配点が低い問題なので設問1に時間をかけすぎたくない。
(自分の解答)
あ: i3 →  i1 が正解。FWがグローバルIPを持ち、NAT変換するからまずFWがあて先になる。
い:NAT →正解
う:i2 →  i3 が正解。LBで目的のサーバに振り分けるからLBがNAT変換後の宛先になる。
え:Packet-Out →  Flow-Mod が正解。「OSF内の管理テーブルに登録させる」がヒント。
お:ポートID →  controller が正解。OFCに転送する方向なのでこちらが正解らしい。難しい。
か:Flow-Mod →  Packet-Out が正解。これは正解できないといけなかった。
き:OSF2 →正解
く:p9 →正解

設問2 難問すぎて解いていて頭が痛かったです。理解するのも時間がだいぶ必要でした。
(1)
(自分の解答)「こ」以外正解できましたが偶然に近いです。それと解くのに時間かかりすぎました。悩んだらあまり時間をかけずにスピーディーに先に進んで理解できてきたら戻って解答すべきと感じました。また、律義に「け」から解く必要はない、わかるところから埋めて解答時間を縮めたい。
け:  v2
こ: v2→「なし」が正解、図をよくみると⑭の処理はVLANを経由していない。
さ: m2
し: m3
す: i4
 
(2)
公式解答は「②、⑧、⑨、⑩」。
1.本文「ブロードキャスト通信」の意味がARPのことを指しているとピンとこないといけない。
2.Packet-Outをシーケンス図から探すと、①、②、⑧、⑨、⑩、⑫になる
①はOUTじゃないから除外できるとして⑫が除外される理由が解説を読んでも理解不能です。
 
(3)正解できなければいけない問題だった。イーサネットフレームの構造が思い浮かべば正解に近づける
(自分の解答)
ETH-SRCのエントリを一致するように登録しておく
(公式解答)
ETH-TYPEがARPイーサネットタイプに等しい
 
考え方として・・
1.設問ではOFCは ARP Request と ARP reply の通知に関わるパケット識別条件を訊いている
2.ARPパケットはイーサネットヘッダのうちイーサネットタイプにARPが設定される
3.そこからETH-TYPEがARPのタイプに等しいという解答を導き出す
 
覚えておくこと
イーサネットのフレーム構造
<宛先MACアドレス>-<送信元MACアドレス>-<イーサネットタイプ>-<データ(ペイロード)>-<FCS>
 
(4)難問。空欄にしてしまった。何を問われているかすらいまいちぴんと来なかった。解答をみて初めて何を問われているかわかった。
(公式解答)
(外部NW内の)RT-1と新FWの通信
考え方
Flow-Mod(1)の場所を図4で確認する。そもそもFlow-ModはAPRの結果をOFCに格納する処理。
そこからRT-1と新FWの通信であることを知り、解答に書く(この発送がほとんど無理だけど)
 
(5)じっくり考えればわかる問題だが、とにかく時間が足りなくなってしまう。ジレンマです。こういう図の問題を素早く理解できるように本試験までに練習したい。
せ: p1 →  p6が正解。
そ: v2 → 「なし」が正解。
た: m1 → 正解。
ち: m2 → 正解。
 
(6)
(公式解答)
 Push-VLAN, Set-Field VLAN-VID=v2, Output(p7)
考え方
図4の Flow-Mod(2)のエントリ1はOFS1から新FWへの通信、エントリ2は新FWからLBへの通信(シーケンス図を参照すればわかるけど、なかなか理解しづらい。やはりシーケンス図は苦手)
LB→OFS1→新FW→LBの流れであることがわかればあとはそれに従い空欄を埋める

3.「そ」については、LBはトランクを使用していないからまだこの時点でVLANは無しとなる。

4.ActionについてはFlow-Mod(1)のエントリ1のActionを参照にして書く。しかし、そこまで考えが到るのが難しい。
 
設問3
(1)知識問題。知りませんでしたので覚えておきます。
(公式解答)CNAME
 
(2)A社DNSで名前解決されるかB社DNSで名前解決されるかを問われているのはわかったけど、FQDNの書き方がわかりませんでした。

(公式解答) webtest.asha.example.com
(3)上記と同じ。FQDNの答え方がわからなかった。
(公式解答)  weblive.asha.example.com
 
(4)解答をみたら納得ができますが、なかなかこの答が思いつかない。本文にヒントがあると思ってしまった。

(自分の解答)
通信に高負荷がかかりB社CDNのエッジサーバが処理を代行するとき
(公式解答)
DNSクライアントとDNSフルリゾルバがネットワーク上で離れた位置にある場合
 
(5)この問題も同じく解答をみると納得はいくけど思い付きませんでした。「サーバへの負荷」「通信遅延」はキーワードとしてひとつ覚えておきたい
(公式解答)
Web-Bのサーバ処理能力不足
機械とWeb-B間の通信遅延
 
設問4
(1)サーバのIPアドレスが変わったときに備えた準備を問う問題。ITサービスマネージャ的な考えで答えてしまった。あくまでNW試験なので技術的観点から答えないといけない。
(自分の解答)
業務サーバ利用者に転用後の業務サーバのIPアドレスを通知しておく
(公式解答)
転用後の業務サーバのIPアドレスをLBの振り分け先に追加しておく
 
(2)何を訊かれて、何を答えるべきかはわかりましたが、「リソースレコード」という訊かれ方をしてどう答えてよいのかわからなかった。このあたり正確に解答できるかどうかは実務で積んだ経験で差が出そうです。
(自分の解答)
置き換え前: asha.example.com
置き換え後: bshacdn.example.net
(公式解答)
置き換え前: weblive IN A i6
置き換え後: weblive IN A i1
 
(3)新工場LANを使った場合のメリットを問う問題。漠然としたことを問う問題は本文のヒントを利用したい。しかしメリットを訊かれているのに「~から」という答え方をしたのは間違いだった。答えの方向性は合っていたと思う。
(自分の解答)
・LANの構成変更を自社の運用要員で行うことが可能だから
・自社の設備変更を要せずに代替設備へ移行可能だから
(解答例)
・転用する業務サーバに関する物理配線の変更が不要になる。
・管理ソフトウェアを用いて、社内要員だけで対応できる
 
(4)これは難問だったと思う。ネスぺシリーズで合格者の2名の答案でも不正解な問題でした。Yuubariはまったく答えの方向性すら思いつかず空欄になりました。わからないなりにも漠然と「●●環境構築と切り替えに関する、●●の手順の確立」くらいは書いて部分点を拾いたかった
(公式解答)
CDN,ISP,IaaS環境の構築と切り替えに関する、AIPサービスとDNSを使った手順の確立
 
(5)B社拠点(海外)利用のDR案のメリットを問う問題。正直なところ、この問題も皆目答えの方向性がつかめませんでした。

(自分の解答)。しかい公式解答の①は難問だと思います。
①A社社員の設定変更作業を要せず切り替え可能な点(苦し紛れすぎる解答)
②十分な通信速度が担保される点
(公式解答)②は技術論というよりDRの知識で考えて導き出す
①B社CDNなどを使い通常時と同じ品質を保つことができる。
②国外を利用するので国内の広域災害の影響を回避できる
------------------------------------------------------------------------------------------
 
問2
 
設問1  bしか正解できないかったのはマズイ (><)  a, b,d は最低でも正解したかった。
a. 2. 4 が正解。なぜか 「2.5」と書いてしまった。無線LANの基礎からやり直し。
b. 5 が正解。これは正解できたが正直 aとb で悩んだので無線LANの規格を覚え直したい。
c. any が正解。「Any接続」は知ってはいたが、この言い回しがすぐに出てこない。
d. 「共通」鍵が正解。鍵の種類を訊かれているのに「DES」とかあさっての回答をしてしまった。一般にセキュリティでいう鍵の種類は「秘密」「公開」「共通」の3種類しかない
e. IEEE802.11i」が正解。完全な知識問題、これは常識なので要記憶。
無線LAN規格まとめ
※絶対覚えないといけないのになかなか覚えられません。何か良い覚え方がないものですかね
規格      周波数帯       伝送速度
802.11a    5GHz       最大 54Mビット/秒
802.11b    2,4GHz         最大 11Mビット/秒
802.11g    2.4GHz     最大 54Mビット/秒
802.11n    2,4GHz, 5GHz  最大 600Mビット/秒
802.11ac   5GHz      最大 6.9Mビット/秒
 
設問2
(1)この穴埋め問題もほぼ全滅でした。せめて最後の3問(H,I , J) は正解したかった。
f.「ストリーム」暗号が正解。「ブロック暗号」はまとまった単位で暗号化し、「ストリーム暗号」はビット、バイト単位で暗号化するそうです。
g..「同一」が正解。これは文脈を読む問題だけど、何を訊かれているのかいまいちわかりにくい。
h.「認証サーバ」が正解。「ルートサーバ」と書いたけど不正解だろうか?サーバはサーバでも一時鍵を作成するのは「認証鍵」だと覚えておきたい。
i.「MACアドレス」が正解。TKIPの知識がないと答えられない。要記憶。
j.「認証」が正解。「利用者認証」と書いたけど正解もらえるかな?
 
(2) 理詰めで考えると解ける問題だけど、理解して文章化することが困難。主語と述語を考えるだけでつらい。
(自分の回答)
暗号文 e1が暗号鍵とカウンタ値によりXORして平文M1にもどされる。
(公式解答)
カウンタ値CとAESで暗号化した結果と暗号文ブロックe1をXORする。
 
設問3
(1)苦手な計算問題。正直まったく頭が整理できず空欄にしてしまった。
 
(2)WLCによるハンドオーバの利点を問う問題。CCNAでWLCの勉強はしていても利点までは問われないので知識+経験が問われる問題だと思う。本文のヒントも生かして正解したかった。
(自分の回答)
×・利用者認証に要する時間を短縮できる。
〇・WLCで認証処理が同時に発生してしょりが停滞するリスクを避けられる。
(公式解答)
・WLCに通信の負荷が集中するのを抑制できる
・認証後にWCLに障害が発生しても、その無線LAN端末の通信は継続できる。(これがハンドオーバの利点。本文にヒントあり)
 
(3)無線LAN常識問題。
(自分の回答)ほぼ正解?
同じ周波数の電波が混線して通信障害が生じる
(公式解答)
電波干渉によって、通信障害が生じる。
 
(4)実際絵に書いてみるとグループ数は4で良いとわかる。問題を解いている間はわからないけど。

(グループの数)6と書いてしまい誤り。
 が正解

(目的)APの範囲(セル)を重ねる目的を問う問題
(自分の解答)
一つのAPにNPCが10台以上の接続を回避するため
(公式解答)
・ハンドオーバをスムーズに行うため
・APの負荷分散を行わせるため
 
(5)知識問題+簡単な計算問題
呼称:PoE+
→これは用語として覚えておきたい。ぴーおーいーぷらす。
最小供給電力: 216
→AP 1台が 18W。オフィスエリアのAP8台+接客エリアのAP4台=12台。18W×12=216W

設問4
(1)EAP-TLSは相互認証。相互認証の際にクライアント側で必要なものを問う問題。難題でした。
(自分の解答)両方×
使用される暗号化方式
使用される利用者認証方式
(公式解答)
CAの自己証明書(CAのルート証明書
クライアントの秘密鍵
 
(2)クライアント証明書配布の方法についてのセキュリティ的なリスクを問う問題。
(自分の解答)満額もらえるかわからないけど、部分点はもらえる解答だったと思います。
NPCとダウンロードサーバの無線通信を盗聴され有効なID,パスワードが流出し第三者がクライアント証明書を取得する
(公式解答)
ダウンロードサーバの認証情報が漏洩すると来訪者もクライアント証明書などがダウンロードサーバできてしまう。
 
(3)クライアント証明書をダウンロードできないパターンを問う問題。易問でした。
(自分の解答)ほぼ満額もらえる解答できました。
クライアント証明書の有効期限が切れた本社の営業員
(公式解答)後者は思いつきませんでしたので記憶に残しておきたいです
・クライアント証明書の有効期限を切らせた営業員
もしくは
無線LAN導入後に営業部に配属された営業員
 
設問5
(1)
サプリカントとなる機器はどれか?
(自分の解答)これは反省・・・認証を受ける機器だからNPCしかない
ダウンロードサーバ
(公式解答)
NPC
 
・オーセンティケータとなる機器はどれか?
(自分の解答)
RADIUSサーバ
(公式解答)本文を遡ると「WLCが利用者認証を行う」ことが書かれてはいるがかなり前の段落なので探すのが難しい
WLC
 
(2)パーソナルモードで認証するときに必要な要素を問う問題
(自分の解答)②は×になるか、部分点もらえるかな?
接客エリアのAPのESSID
ESSIDのパスワード
(公式解答)
EESID
PSK( Pre Shared Key, セキュリティキー、事前認証鍵)
 
(3)
(自分の解答)なぜ二個も解答を記入したのか自分でもわからない^^;本試験でやらかさないように設問で答える内容はしっかり確認して解答したいですね。
㋐、㋑
(公式解答)㋐の無線区間はVLANになり得ない。なので正解は㋑
 
(4)来訪者にインターネットアクセスだけを許すにはVLAN設定をどうすればいいか?
(自分の解答)VLANにポート接続の設定を行うことを考えて解答しましたが、公式解答は違う発想でした。
HTTPSのポート接続だけを許可する設定をVLAN200に行う。
(公式解答)「ルータ2を経由するようにVLANを設定する」という発想がまったく思い付きませんでした。
ルータ2への接続ポートだけにVLAN200のポートVLANを設定する。
 
(5)WCLに障害が起きたときにNPCで発生する問題を問う問題。本文中に書かれているWLCの機能・役割を的確に確認できるか試す問題。迷ったら問題文に戻り、WLCの機能を再確認すると良かった。

・発生する問題
(自分の解答)
クライアント証明書の更新を実行できない
(公式解答)
ハンドオーバできなくなる
 
・その問題が発生する理由は?
(自分の解答)
NPCRADIUSサーバから直接クライアント証明書をダウンロードできないから
(公式解答)
NPCに配布したPMKと認証関連情報がWLCで保持されているから
 
(6)営業部課員のNPCがインターネット回線に出るルートを問う問題。落ち着いて正解できた。
NPC→AP→L2SW5→L3SW→FW→L2SW1→プロキシサーバ→L2SW1→FW1→ルータ1→(インターネット)

------------------------------------------------------------------------------------------
 
これでこれまで、NWの過去問は平成28,30,29年の3年分が終了しました(まだ1回しか解いていませんが)。
令和1,30,29,28,27,26,25,24,23,22,21  の過去問を9月までに一回解く予定です。(青字が一回解いた年度)
 
10月の試験までに毎月2年分ずつ解き進めて、9月になったら復習で1年分ずつこれまで解いた全てのNWの過去問を解きなおす状況に持っていきたいです。