折れない心

何度も敗北を味わってきた筆者が挫けずに試験勉強や語学を頑張ります。現在は資格試験(英検1級、TOEIC)対策も含めて英語の勉強に取り組んでいます。

ネットワークスペシャリスト試験 その7 平成27年度の過去問

平成2 7年度の過去問(午後)を解いてみました
 
「解いてみました」といっても平成27年の過去問(午後I、午後II)を解いたのは今年5月はじめでした。間に2カ月置いてようやく午後1と午後2の全問解き、解説も読んで答え合わせしました。
 
解説は当然こちらのネスぺシリーズ平成27年度対応を参考にしました。
とりあえずこれでNW(ネットワークスペシャリスト試験)の過去問は30、29、28、27年を一通り解いたことになります。
4年分を2-3回繰り返し解くのがこの試験の一般的な対応方法かと思いますが、先にCCNA試験に合格したいのでいったんNWは離れます。
CCNA試験が終わったらまたNWに戻ってくるつもりです。
 
それにしても午後2は問題文自体が難解かつ長大で読んでいて本当に苦しいです(´· ·`)
 
(平成27年過去問を解いて感じたこと)
・知識が無いとそもそも太刀打ちできない(回答の基軸が思いつかない)問題がNWはやはり多い。ネットワークの基礎力大事!
・ある程度問題とそれに対するパターンはあるはずなのでよくあるパターンを本試験までに脊髄反射できるようにしたい
・午後2は時間配分に気を付けたい。最初の1時間でざっと問題文を読み、残り1時間で問題を解く方針で
・簡単な問題と凄い難問が入り混じっている。難問に悩んで時間を浪費したくない。思い切りよく難問をとばす

------------------------------------------------------------------------------------------
(午後Iについて)
45分制限で解き始めて 38分で回答が終わったからそこまで複雑な内容で無かった。
しかし、知識を問う問題が多くARPやレイヤ(階層)の考えが甘いと正答率が低くなる。
 
(問1)
設問1:知識と「気づき」を問う問題
ア:全くわからずSSOでたまに出る単語「ケルベロス」と書いて×
イ:正解
ウ:答え思いつかなかった。Set-Cookieはなかなか出てこない単語。何問
エ:正解
オ:「仮想」と書いて×。インターフェースに繋がる枕詞として「ループバック」は思いつかなかった
 
設問2
正解。間違えたらいけない問題
 
設問3
(1)
「eigyou.a-sha.example.jp」と書いてしまった。共通のドメイン属性を付与するにはそれではNG。営業だけではなく広告システムも連動するにはどうすればいいか考えたが、気づけなかった。

(2)難問。Secure属性のことはSC試験で学んだけど、ここでさっと思い出せることはできなかった。
(Yuubariの解答)不正解
発行するCookieに有効期間を設定する。
Cookieに何らかの仕掛けを施す必要があるというのは文脈から判断できたが、「Secure属性」は考え付かなった。
 
設問4
(1)TCPコネクションでLBが振り分けるが、レイヤ7の情報では振り分けられない理由を問う問題。TCPがレイヤ4なので答えの方向性は簡単にわかったけど、回答の仕方に非常に悩みました。
(Yuubariの回答)TCPコネクション確立により負荷分散の振り分けが決定するから
(公式解答)SYNパケットにはレイヤ7属性が含まれていないから
⇒そもそもTCPコネクション確立が振り分けの起点ではなく、SYNパケットの到達が起点を本文に書いてある。
そのうえでSYNパケットがレイヤ7は情報埋め込めないよ、という方向性で答えを書くべきだった。記述力が必要な問題。
 
(2)
苦し紛れでRARPと書いて不正解。GARPを覚えないと・・・
(3)自信はなかったが、書いた内容は完璧に正解
(Yuubariの回答)VIPアドレス宛てのARPの応答には答えないように設定する。
 
------------------------------------------------------------------------------------------
(問2) 問1と違い、時間ぎりぎりだった。答えの方向性はバッチリわかったのに何故か違う答えを書いていたり、記述力はまだまだ不足している。
 
設問1 知識問題。アかウどちらかは正解したかった。
ア:誤。「ビットレート」と書いてしまった。「スループット」との違いがわかっていなかった。
覚えよう:処理能力を問われているときは「ビットレート」ではなく「スループット」と答えないといけない。
イ:正解
ウ:誤。「切断」と全く逆の答えを書いてしまった。Active-Standbyだと片方が切れても「維持」される考えらしい。
 
設問2 
(1)この問題を完璧に正解できなかったのは本当に反省。レイヤ2とレイヤ3のデータ転送の違いはわかっていたのだけれども、宛先IPを「ルータ」としてしまったのは猛省しないといけない。
(A)宛先IPアドレス;ルータb ⇒宛先IPアドレス(最終目標地点)がルータのわけがない。
(B)宛先IPアドレス:ルータb ⇒宛先IPアドレス(最終目標地点)がルータのわけがない。
 
(2)IPアドレス(パケット)とMACアドレスの違い。
(Yuubariの回答)宛先IPアドレスを振分けの基準にできない。
(公式解答)宛先IPアドレスを書き換えられない
⇒「制約」と言われてもなかなかイメージが出てこない。設問の問いかけが難しい。なかなか思いつかない答えだった。

(3)「行きと戻りは同じFW」が答えの方向軸なのだけど、ロードバランス(負荷分散)について答えてしまった
(Yuubariの回答)同じ割合の負荷分散となるようにLBaとLBbが設定されている
(公式解答)セッション単位に2台のLBが同じFWを選択する
行きと戻りが異なると通信が成立しない、という考え方は覚えておきたい
 
設問3
(1)正解できました。ただし、最初は思いつかず先に読み進めたら故障に関わる話が出て記述できた。
(Yuubariの回答)1台が故障しても運用を維持可能とするため
 
(2)足し算レベルの計算問題と読解力
あ:99(正解)
い:90(不正解)⇒これを正解するには本文をじっくり読まないと導き出せない
 
(3)正解できました。すぐには思いつかずじっくり考えてようやく記述できました。類似問題が出るかもなので覚えておきたい。
(Yuubariの回答)FWに至るどの経路で障害が発生しているか判断可能となる
 
(4)公式解答通りに書くには難しい。部分点はもらえる?
(Yuubariの回答)故障が起きているFWに対するパケット送信の負荷を軽減できる
(公式解答)リトライアウトを待たずにコネクションの切断を検知できる
⇒「リトライアウト」という単語はまず思いつかない。要は「再送処理を繰り返し待たずに」というニュアンスで書ければOK。
------------------------------------------------------------------------------------------
問3
SC対策したことがあれば比較的簡単な問題が多かったです。
それだけに設問1を落としまくったのは痛かった。
 
設問1 5問中正解できたのは(イ)だけでした。ア、ウは正解したかった。
(ア)を自信たっぷりに「アノニマス」と書いてしまった。。。ハッカー集団か^^;
(ウ)「プロミキャス」モードは覚えておきたい。自分宛てのMACアドレス以外も無差別にフレームを取り込むNICの動作モードのことを言う。要暗記!
(エ)( )アドレスときてまさかIPアドレスを答えさせるとは思いませんでした。
(オ)難問。ICMPのコードを覚えていないと解けない。この問題は捨ててもいいかな・・・
 
設問2
(1)これは簡単な穴埋め問題だった
 
(2)「IDSとFWの連携」について具体的にどういう仕組みか問う問題。公式解答で「ACL」という言葉が唐突に出てちょっとびっくりした。この言葉は普段からスイッチの設定変更していないとなかなか出てこないと思います。
(Yuubariの回答)IDSが検知した送信元アドレスがFWに共有され不正な接続はFWが遮断する
(公式解答)FWのACLを動的に変更して、遮断の対象とする送信元アドレスを追加する
 
(3)これは仮にもSC持ちだから間違えません。
(Yuubariの回答)不正な接続を試みた攻撃者が送信元IPアドレスを偽装することができるから
(公式解答)不正アクセスの送信元アドレスが偽装されている可能性があるから

設問3
(1)これもSC持ちならわりと簡単な問題。
(Yuubariの回答)防御対象のサーバに発券された脆弱性に関連する通信をIPSが遮断して新入防止を行う
(公式解答)保護する機器にセキュリティパッチを適用するまでの間、脆弱性を悪用する攻撃の通信を遮断する
 
(2)悩みました。解答をみてなるほどとは思いましたがまったく思い付きませんでした。実はヒントが本文にありました。迷ったら本文に戻ること!本文のヒントは
①IDSが併設されている(最悪不正アクセスを防御はできなくても検知はできる)
②過去にセキュリティの問題でシステムを数日間休止した
の2点。言われてみればその通りですが、しかしなかなか気づきませんね。
(公式解答)通信をそのまま通過させ、遮断しない機能
 
(3)これもちょっと悩みました。何とか書いた回答は方向性は合っていましたが、何を訊いているのかいまいちピンと来ませんでした。
(Yuubariの回答)IDS・IPSが検知・遮断した不正な通信の内容を確認する
(公式解答)不正アクセスの対応を最適化するためにログを取得して解析する
 
------------------------------------------------------------------------------------------
午後II
 
設問1
(解いた感想)
・最後まで完答できたという意味で時間配分はうまくいきました
・図と計算問題は相変わらず苦手
・まだまだ本文のヒントを見逃してしまっている

(1)
何を書いてよいかわからず「プライベートIPアドレス」と書いて不正解。
公式解答が「送信元IPアドレス」だけど解答みたら納得。
 
(2)正解しました
 
(3)(4)「全て答えよ」の設問で正答が1つしかないケースは初めてだったかも。
送信元IPアドレスはWebサーバでホップされる時に変わるので、①しかない。
送信先IPアドレスはLB正が変換してWebサーバに届けるので⑥しかない。
理屈ではわかるけど、「全て答えよ」のケースで答えを1つしか書かない勇気がなかなか持てない^^;

設問2[保守システムの機能強化]の本文は本当に読んでいるだけで頭痛がするほど情報の洪水でした。これをひとつひとつ理解するように読むと時間が足りないので、流し読みして問題を解くときにじっくり読みました。
 
本文のヒントを元に解答を導き出す問題。
「う」と「え」が不正解。解説を読んでもいまいちピンとこない。
本文の「収集周期は、サービス開始時は1時間とし、段階的に5分程度に短縮し」というヒントからピンと来たい。「悩んだら本文のヒントを探す」と改めて覚えておきたい。
(Yuubariの回答)情報取得トリガの設定変更を設備ごとに行わずにすむ
⇒意味としてはかなり正答に近いと思う
(公式解答)稼働情報の収集周期の変更が用意である。
 
「通信アダプタが最新の稼働情報を持っているタイムスタンプの時刻」と考える。
すると、 T’ か Tc しかない。「更新情報を取得できた場合」はTcになる。
※慌てず、問題の条件とシーケンス図を比べれば解けた問題。
質問が問いたいのは「中継装置と通信アダプタの更新頻度の違い」について。これについてはピンときた
(Yuubariの回答)自装置がキャッシュしているより新しい稼働情報が得られない時があるから
⇒もう少し本文の言葉を用いて正答に近づけたかった。
(公式解答)中継装置より通信アダプタのキャッシュの更新頻度が高く新しいから
難しくはないけど公式解答のような正答を書けるのが理想
(Yuubariの回答)※本文の言葉を用いたので部分点は大きくもらえるとおもう
・設備が通電されておらず通信が設備まで到達できないとき
・新しい稼働情報が得られないかったとき
(公式解答)
・設備とTCPコネクションが確立できない場合
・設備がNot Modified を応答したとき
すぐに答えは思いつくものの「電源断などで設備との通信ができない場合」という条件を入れるのが難しい
(Yuubariの回答)設備の稼働情報を最新の状態で得られずサービス品質が低下する
(公式解答)電源断などで設備との通信ができない場合の稼働情報が古くなる

設問3
(1)「中継装置」にするか、「通信アダプタ」にするか迷う。FWから外向きに向かう(FWを通過しない)のは「通信アダプタ」なので答えはこれになる。
 
(2)全く思いつきませんでした。イーサネット部のデータ部の中身を覚えていれば正解できたかも?
 
(3)CoAPの特徴がわからなくてもTCPUDPの違いで答えればよい。
(Yuubariの回答)
・通信が失敗してもデータの再取得を行わない
・データのメッセージ形式が単純で短く通信のスピードが早い
⇒①データ量が少ない ②通信確認を行わない ということはわかっていたけど、回答にうまく反映できなかったと思う
(公式解答)
TCPコネクションの確立と終了の手順が不要である
・CoAPはヘッド長が短いなどデータの格納効率が良い

設問4 
(1)正解はできたけれど、自信は無かった。デフォルトゲートウェイということでLANの出入口と考えてしまったが、図5をみると業務サーバが直接接続しているのはLBだけなのでそこから正解を導き出したい。
 
(2)これはYuubariには難問でした。図にどう反映させていいのかさっぱりわかりませんでしたし、答えをみてもなぜそうなるかいまいちわかりませんでした。
ヒントは本文中の「LB利用の有無を考慮し、新業務サーバと中継装置は別のVLANに収容」という部分。
それでL2SW-20,21 と L2SW-30-31 にわけ、かつ冗長性を持たせるためにそれぞれの内部SWのポートを別々の物理SWに繋ぐ。
Yuubariには絶対に解けない問題ですが、こういう考え方もあると覚えておきます。
 
(3)アはなんとかわかりました。イ・ウについては解説を読んでも理解に至りませんので、諦めました。計算問題は本当に苦手ですが、複数問あったらなんとか数問は正解しておきたいです。
 
(4)「短縮案」に関わる漠然としすぎた問題だけど、本文から読み解くに T out が積になりコネクション数を増やしているところに着目。やはりヒントは本文にあります。そこからT out を短くしたいという意図は読めました。
(Yuubariの回答)
TCPの無通信タイムアウト時間を現在より短く設定する
(公式解答)
正常な通信に支障がない範囲でなるべく小さくする
 
(5)「リクエストに対するリプライ」をどう対処するか、ときたら「返事がなくても切断する」という機軸で回答したかった。あさっての方向で回答を書いてしまいました。
(Yuubariの回答)
同時コネクションに上限を設け上限を超えた以降の接続を拒否する
(公式解答)意味はわかりますがこの書き方は真似できない
後続がないリクエストに付与し、コネクションを切断する
 
これは難問だったようで正解率が低かったそうです。FQDNをどうにか工夫して設定して同時コネクション数を削減するということはなんとなくわかりましたが、具体的な方法がわからずあてずっぽうで回答してしまいました。
(Yuubariの回答)設備ごとに設備を指定するためのFQDNを異なるFQDNに設定し同時接続が発生することを避ける
(公式解答)通信アダプタにFQDNを付与し、同一コネクションを使って複数の設備から稼働情報を取得する
 
------------------------------------------------------------------------------------------

問2 全く解答の方向性が掴めない難問と比較的わかりやすい問題が混じった大問でした。NAT444もVXLANも聞いたことがない技術でした。本当にIT技術のテクニカルな分野は底が知れない新技術がどんどん出てくる世界なんだなあとNWの問題を解いていて感じます。
 
設問1 5問中、正解したのは  (a) と (d) の2問。 (c)も正解して3問正解したかった。
(a) これは本文ちゃんと読めば簡単
(b) 知識問題。TCPUDPのポート番号が何ビットで構成されているか知らないと解答できない
(c)[パッシブ」とかいて誤答。「パッシブ」「アクティブ」はサーバからみたときの挙動。だからこの問題の回答は「アクティブ」になる
(d) 知識問題。これはできなくても仕方ないかも。「マルチキャストIPアドレス」なんて初めて聞きました。
 
設問2
(1) 「プライベートIPアドレス」を用いたときに起きる問題を問う問題。「プライベートIPアドレスの重複」が答えの基軸になるのはすぐにピンと来ましたが、具体的に何の機器と機器が重複するのかいまいちわかりませんでした。結局あさっての方向の回答になってしまった。
(Yuubariの回答)CGN装置が顧客PCのプライベートIPアドレスグローバルIPアドレスに変換ができないとき
(公式解答)PCのネットワークアドレスとCPEとCGN装置間のネットワークアドレスが重なったとき
※シェアードアドレス部分と顧客LAN内のプライベートIPアドレスの重複が問題と考えるのが正しかった
 
(2)答えの方向性は正しかった。もう少し詳細に書ければ正解だった
(Yuubariの回答)①アクセス時刻 ②PCのIPアドレス ③接続ポート番号
(公式解答)①アクセス時刻 ②送信元IPアドレス ③送信元ポート番号
 
設問3
(1)IPアドレス変換行われると認証エラーが起きる理由を問う問題。正確に公式解答通りに書くのは難しいけど、回答の基軸はわかった。
(Yuubariの回答)送信先となる機器のIPアドレスがパケットのデータ部に埋め込まれているためIPアドレス変換を行うと認証されなくなるから
(公式解答)IPヘッダが認証対象なので、IPアドレスが書き換えられると認証データが計算値と一致しなくなるから
※AHの認証方式を知らないと「計算値と一致」はどう頑張っても出てこない単語。
 
(2)ESPパケット図とみて、TCP/UDPにポート番号が暗号化して埋め込まれていることに気づくかどうかの問題。当然Yuubariは気づきませんでした。
(Yuubariの回答)サーバからクライアントが指定したポートに対してTCPコネクションを行うのでポート変換ができないから
(公式解答)ESPヘッダにはポート番号が存在しないから (または)TCP又はUDPヘッダが暗号化の対象であり、ポート番号が暗号化されていてわからないから
 
(3)難問。解説を読んでもいまいちピンとこない。
(Yuubariの回答)受信を許可するパケットのポート番号に4500を追加するフィルタリングの更新を行う
(公式解答)送信元ポート番号が500と4500以外のISAKMPメッセージも受信できるようにする
 
設問4
(1)スイッチがMACアドレスを学習するときは宛先アドレスは覚えず送信元アドレスしか覚えない、というスイッチの基本的動作を把握していないと正解できない問題。あさっての方向で回答してしまった。
(Yuubariの回答)MACアドレスマルチキャストIPアドレスが紐付かないから
(公式解答)マルチキャストMACアドレスが送信元アドレスになることがないから
 
(2)IGMPを使用する目的を本文から考え直し、その上でビデオサーバがなぜIGMPを使用しないか考える。ビデオサーバはユニキャストしか受けないからIGMPは利用しない。IGMPはマルチキャストを受けるためのプロトコル
(Yuubariの回答)ビデオサーバのMACアドレスIPアドレスは通信性質上変換できないから
(公式解答)ビデオサーバはマルチキャストパケットを送信する側だから。
 
(3)
ア:解答をみると「ああ、なるほど」と思いますが、具体的なMACアドレスをここで書かせるとは考え付かなかったです。
イ:これは①~③まで正解しておきたかった問題。冷静に考えればわかる問題でした。

設問5
(1)VXLANを使うとVLANを細分化できる、という機軸で書こうと思いました。答えの方向性はそれで合っていましたが、公式解答通りには書くのは難しい。Yuubariの書いた回答でも〇もらえそうな気もします。
(Yuubari)通信路が異なる同じVLANIDを使用できるから
(公式解答)・2の 24乗のVXLANセグメントが構成できるから
      ・膨大な数の論理セグメントが構成できるから
 
(2)これは正解必須の問題でした。なんで思いつかなかったんだろう。たしかにARPマルチキャストだけど、問題が求めているのはなぜそもそもAPRマルチキャストなのかという点。
(Yuubari)ARP要求はマルチキャストで行われるため
(公式解答)宛先となるVMの存在場所が不明だから
宛先IPアドレス、送信元IPアドレスは両方正解しておきたかった。じっくり図をみたらわかったはず。
 
(3)これは難問。解答の方向性すら全くわかりませんでした。まさか前問のIGMPがここで出てくるとは思わなかった。
 
(4)簡単すぎて書いていてこの答でいいのか不安になる問題。
(Yuubariの回答)全てのVXLANの通信がマルチキャストで行われることにより通信負荷が上昇しレスポンスが悪化する
(公式解答)不要なマルチキャストパケットがネットワーク内に転送されるのでL3SWやネットワークの負荷が高まる。
 
宛先IPアドレス、送信元IPアドレス:これは誤答してしまいました。ARPはあくまでスイッチ間だと考える。
 
―――――――――――――――――――
ようやく4年分を解きましたが、NWの過去問演習は本当に苦しいです・・・