折れない心

何度も敗北を味わってきた筆者が挫けずに試験勉強や語学を頑張ります。現在は資格試験(英検1級、TOEIC)対策も含めて英語の勉強に取り組んでいます。

ネットワークスペシャリスト試験 その12 過去問から学んだ覚えるべきことのまとめ

 

 ブログを自分用の試験対策まとめノートみたいに使ってしまって気が引けますが、これを読み返すことで定型パターンや基本的な考え方、覚える語句をしっかり身に付ける目的として記載してみます。

 

完全に自分の備忘録としてですが、NW(ネットワークスペシャリスト試験)の過去問を解いていて記録した (覚えておきたい単語) と (覚えておきたい出題パターン) のまとめです。

※午後問題のみ

 

本試験までにこれくらいはすぐに解答として出せるように覚えてしまい、そこから更にネットワークの知識を深めたいと思います。

この試験は単純なパターン暗記だけでは絶対に合格できない試験だと思っていますが、過去に似たような観点の問題が出題されていたらノータイムで(迷わず)解答できるようになっておかないと時間内に問題回答ができず話にならないと思っていますので、ここで書いたことは早いところマスターしておきたいと思っています。

 

以下、過去問を新しい順に一問一答形式で自分でまとめて掲載します。

解答はすぐに見れないように反転して表示するようにしました。

------------------------------------------------------------------------------------

(令和元年過去問より)

 

午後I

問1

 (覚えておきたい単語)

・ディスタンスベクタ型のルーティングプロトコルの代表は?:

RIP

・リンクステート型のルーティングプロトコルの代表は?:

OSPF

・パス(ASパス)と方向(ベクトル)を組み合わせたルーティングプロトコルの代表は?:

BGP (もしくはBGP4)

・OSPFで必ず存在しなければならないエリア番号0のエリアを何という?:

バックボーン

VRRPのマスタルータが故障した際に、ブロードキャストして他機器のMACアドレスを更新するために新しくマスタとなったルータが送るパケット何という?:

GARP

PINGプロトコル名を答えよ:

ICMP

SNMPが取得する管理データを何と言う?:

MIB

SNMPが監視対象機器に対してデータを取得することを何と言う?

ポーリング

・監視対象機器からSNMPサーバに対して状態変更の通知を行うものは何か?

SNMPトラップ

 

 

(覚えておきたい出題パターン)

・静的なLAG(リンクアグリゲーション)ではなく自動でリンク管理するLACPを設定することにより、LAGを構成する回線の一本がきれたときに可能となることは?:

リンクダウンを伴わない故障発生時に、LAGのメンバから故障回線を自動で除外できる

 

・LAGを構成する回線一本が切れた場合に、切れた回線を含む同一LAGを構成するIF全てを自動的に閉塞するが、もし閉塞しなければどのような問題点があるか。「パケット」という言葉を用いて説明せよ。(ヒント、LAGで回線冗長し、2Gビット/秒としている状況):

1Gビット/秒を超えたパケットが廃棄される。

 

・LAGを構成する回線の負荷分散(どの線を使用するかの決定)はハッシュ関数によって決定される。IPアドレスとポート番号ではなくMACアドレスハッシュ関数の計算の元数値としたとき負荷分散がうまくいかない理由を答えよ。(ヒント、MACアドレスの方は毎回同じルーティングルート):

通信の送信元を宛先MACアドレスの組み合わせが少なくハッシュ関数の計算値が分散しないから

 

問2

 (覚えておきたい単語)

ラウンドロビン方式は処理を(   )に振り分ける。:

順番

・HTTPリクエストのポート番号は?:

80

・HTTPリクエストの成功時のステータスコードは?:

200

Cookieを利用するときHTTPの(     )ヘッダフィールドにセッションIDを追加する:

Set-Cookie

・上記のHTTPレスポンスを受け取った後、次に送信するリクエストについては(   )ヘッダフィールドに追加する。

Cookie

 

(覚えておきたい出題パターン)

・「利用者のWebブラウザ- WAF-FW―LB-Webサーバ」という接続で稼働しているとき、WAFが故障時も通信を成立させたい。そのためFWで行う設定は何か?(ヒント、通常はFWでWAFからのHTTPSしか許可していない):

任意のIPアドレスからWebシステムへのHTTPS通信を許可する。

 

 

問3

 (覚えておきたい単語)

・異なるセグメントにDHCPのサービスを提供するためにスイッチが持つ機能を答えよ:

DHCPリレーエージェント

 

(覚えておきたい出題パターン)

・全て静的ルーティングルートで構成されているネットワークにおいて新しいセグメントをL3スイッチに追加するとき、必要な設定内容は?:

新しい(対処用)セグメントのルーティング情報を追加する 

 

 

午後II

問1 ※この問題はほとんど図表の解読力を即興で問う問題

 (覚えておきたい単語)

 ・顧客が同じ閉域回線を共用するIP-VPNの技術は?:

MPLS

 

(覚えておきたい出題パターン)

なし 

 

問2

 (覚えておきたい単語) 

・攻撃者が行う対象をしらべるためのスキャンの種類2つを答えよ。:

1.アドレス(ホスト)スキャン

2.ポースキャン

TCPのヘッダを構成する4つを答えよ:

1.送信元ポート番号

2.宛先ポート番号

3.シーケンス番号

4.確認応答番号

・クローズのポート宛にTCPUDPを送って返送されるパケットは?:

ICMP

 

(覚えておきたい出題パターン)

・ uRPF(Unicast Reverse Path Forwarding)でフィルタリングすると偽装されたパケットが到達することが少なくなる。どういう内容のフィルタリングか?:

ルータが受信したパケットの送信元IPアドレスが、ルーティングテーブルに存在しない場合、受信したパケットを破棄する。

・メール中継サーバが、送信元偽装の目的で踏み台にされることを回避するために行う設定は?:

インターネット(外部)から受信した、当社のメールアドレス宛て以外のメールは中継処理しない。 

・内部LANに侵入したマルウェアの活動を早期に検知するためにプロキシサーバ(ヒント:ユーザ認証を行う)とFWのログを定期的に検査することにした。プロキシサーバのログに、マルウェアの活動が疑われる異常な通信が記録されることがある。それはどうのような通信か?:

プロキシサーバでの認証エラーが短時間に繰り返されている。

 

------------------------------------------------------------------------------------

(平成30年過去問より)

 

午後I

問1

 (覚えておきたい単語)

・社内に対してアクセス先URLのログ取得や、外部サーバのコンテンツをキャッシュして使用帯域を削減する目的のプロキシサーバの機能を(    )プロキシという:フォワード

・外部から公開サーバのコンテンツに直接アクセスさせることによる改ざんの防止、負荷分散、応答速度の向上のために用いるプロキシサーバの機能を(    )プロキシという:

リバース

HTTPSでアクセスするためのHTTPプロトコルのメソッド名をこたえよ:

CONNECTメソッド

・プロキシサーバを経由して送られた暗号化されたデータを復元しようとして出たエラーメッセージ’’証明書が信頼できない’’に対処するためにPCにインストールするものは何か?:

プロキシサーバのルート証明書

・SDNで用いられるデータプレーンと対になるプレーンは?:

コントロール

 

(覚えておきたい出題パターン)

・プロキシサーバで認証することによりアクセスログに付加できる情報は何か?:

利用者ID

・CONNECTメソッドを用いるとき、社内に侵入したマルウェアによる通信(HTTPS以外の通信)を遮断するためのプロキシサーバでの対策を答えよ:

HTTPS以外のポートのCONNECTを拒否する。

SaaS-WANルータ―L3SWという形で接続されているとき、SaaSIPアドレスが変更さてもL3SWの設定を変更しないで済むにはL3SWの静的経路情報(スタティックルート)をどのように設定すればよいか:

ネクストホップがWANルータとなるデフォルトルート

 

問2

(覚えておきたい単語)

Pingで用いられるプロトコル名は?:

ICMP

・Echo Requestパケットの宛先の機器に割り振る必要があるものは?:

IPアドレス

・SYSLOGで用いるトランスポートプロトコルは?:

UDP

SNMPのグループ名は?:

コミュニティ

VRRP冗長化しているものは、PCやサーバでは接続の対象として何の設定を行う?:

デフォルトゲートウェイ

VRRPがマスタルータからバックアップルータに切り替わるのはバックアップルータがあるメッセージを受け取らなくなったときである。そのメッセージ名は?:

VRRPアドバタイズメント

 

(覚えておきたい出題パターン)

・スパニングツリーが構成されたスイッチ群で、うち一台の接続が切れたがそのスイッチから監視サーバにSYSLOGが届かなかった。「スパニングツリー」という言葉を用いて理由を説明すると?:

スパニングツリーが再構築中だったから

・ポーリング(定期的に機器の情報を取得しにいく)でユーザの報告より先に異常を検知できなかった。その問題点は?:

5分ごとに状態を取得するので多くの場合異常検知が遅れる。

・トラップ(異常が起きたときに取得する通知で異常を検知する)で異常を検知できない可能性がある問題点は何か?:

到達確認がないのでメッセージが失われる可能性がある。

SNMPインフォームは監視サーバにメッセージを送るとき応答確認を行う。STPで構成されたスイッチで接続の異常が発生したときに対応する動作はどういうものか?:

スパニングツリーが再構築するまでインフォームの再送信を繰り返す。

 

問3

(覚えておきたい単語)

・IP-VPNでCEルータからPEルータに送られるパケットに付与される固定長のタグ情報を何というか?:

ラベル

IPSecが動作するのはOSI基本参照モデルの(    )レイヤか?:

ネットワーク

・事業者閉域IP網内で複数の利用者のトラフィックを中継するのに、用いられるパケット転送技術を何というか?:

MPLS

 

(覚えておきたい出題パターン)

・事業者閉域IP網内の利用者トラフィック中継処理においてタグ情報(ラベル)を利用する目的を答えよ:

利用者ごとのトラフィックを区別するため

IPSecトンネル接続のルーティングはOSPFによって行われる場合、GRE over IPSecが利用されるが、その理由は?:

OSPFのマルチキャスト通信を通すため

※OSPFのリンクステート情報交換はIPマルチキャスト通信で行われる

・フルメッシュタイプの接続のIPSecトンネルのネットワーク構成において、追加拠点向けIPSecトンネルを手動で追加するのが望ましくない理由は?:

新拠点追加のときに全拠点の設定変更が必要になるから

・あるルータがOSPFで代表ルータ(DR)に選ばれないようにするため、そのルータに設定すべきことは?:

OSPFのプライオリティを0に設定する。

 

午後II

問1

(覚えておきたい単語)

TLSの3機能を答えよ。情報を「   」する機能、情報の改ざんを「   」する機能、通信相手を「   」する機能:

暗号化、検知、認証

 

(覚えておきたい出題パターン)

・X社が保守している他社エリアからX社にTCPコネクションでデータが送られるとき、他社エリア内にあるFWによってなりすましや侵入を防ぐ対策は何か:

X社が運用・保守を行う機器からX社FWの方向に確立されるTCPコネクションだけを許可する。

・上記をTLSの機能を用い、顧客エリア内のデバイスに対して行う対策は何か:

クライアント証明書を配布してクライアント認証を行う。

TCPの再送機能だけではメッセージの消失が防げないのはどういう場合か:

TCP送信処理中に、デバイスの電源断などでTCPコネクションが開放された場合

・WebAPの絶対URIはHTTPリクエストに含まれるURIと一致していなければならない。顧客向けのAPI利用ガイドラインには、この対策に必要な顧客への依頼事項があるがそれは何か:

WebAPのURIを固定にし、絶対URIを事前に通知してもらう。

・顧客ネットワークと自社ネットワークの間でNAT変換を行う状況において、顧客ネットワーク内に顧客サーバを追加したとき自社で必要な設定は何か(2つ):

①1:1静的双方向NATの設定をNATルータに設定する

②通信を許可するルールを通信装置内のFWに追加する

 

問2

 (覚えておきたい単語)

・複数のスイッチを(   )接続して一つのスイッチをして動作させる:

スタック

・アクティブなFWをスタンバイFWにセッション継承することを(    )フェールオーバという:

ステートフル

・物理サーバの複数のNICを集約することを(     )機能という:

チーミング

 

 (覚えておきたい出題パターン)

・複数の顧客の通信を扱うFW では複数の仮想FWを稼働させる必要がある。その理由は?:

①顧客ごとに異なるフィルタリングの設定が必要だから もしくは ②顧客ごとにルーティングの設定が必要だから

・FW2台を接続してアクティブ―スタンバイで機能させて冗長化させたとき、アクティブFWが切り替わるためにそれぞれのFWが監視する内容は?6つ答えよ

※アクティブFWは機器A、Bに繋がっている:

①スタンバイFWによるアクティブFWの稼働状況

②アクティブFWによる機器Aへの接続ポートのリンク状況

③アクティブFWによる機器Bへの接続ポートのリンク状況

④アクティブFWによるスタンバイFWの稼働状況

⑤スタンバイFWによる機器A'への接続ポートのリンク状況

⑥スタンバイFWによる機器B'への接続ポートのリンク状況

 ・サーバ内の仮想サーバの物理サーバ間移動のために必要になる複数の顧客のVLANはどのポートか?また設定するVLANの内容を答えよ:

物理サーバへの接続ポートに、全ての顧客の仮想サーバに設定されたVLAN IDを設定する

・OpenFlowコントローラとOpenFlowスイッチを通信させるためにOpenFlowスイッチにTCPコネクションの確立に必要な最小限の情報は何か?:

OFCのIPアドレス もしくは 自OFSのIPアドレス

・仮想FWの設定で必要なネットワーク設定情報を6つあげよ:

①フィルタリングルール

②仮想FWのVLAN ID

③仮想FWのIPアドレス

④仮想FWのサブネットマスク

⑤仮想FWの仮想MACアドレス

⑥ルーティング情報

※仮想FWに限らずこれらをFWに設定する

・3つの物理サーバに3顧客の仮想サーバを分散して配置することにより発生する可能性がある問題を答えよ:

3顧客のシステムが同時に止まってしまう。

・上記の対処方法として取るべき仮想サーバの配置を答えよ:

3顧客向けの仮想サーバを、それぞれ異なった物理サーバに配置する。

・同一サーバ(同一セグメント)にあるFWとLBがOFSを経由せずに通信ができる理由を答えよ:

FWの内部側ポートとLBの仮想IPアドレスを持つポートは、同一セグメントであり、同じ物理サーバ内で処理されるから。

 

------------------------------------------------------------------------------------

(平成29年過去問より)

 

午後I

問1

 (覚えておきたい単語)

・ハッシュアルゴリズムで十分な安全性を確保できないとされるハッシュアルゴリズムはMD5または、(    )である。:

SHA-1

MD5, SHA-1, SHA-256くらいを覚えておく

・TLS1.0 は安全性が確保できないのでバージョンが上のTLS(   )以上を使用すべき:

1.2

SSL/TLS のコネクション開設時にクライアント側からサーバ側に送られるメッセージは(    )メッセージ:

Client Hello

・サーバ側からクライアント側に送られるメッセージは(    ):

Server Hello

SSL-VPNの基本動作は(    )、ポートフォワーディング、L2フォワーディングの3方式がある。:

リバースプロキシ

SSL通信における暗号アルゴリズムの使用について

①使用する暗号アルゴリズムRSAなどの公開鍵の場合、用途を2つ答えよ:

認証、鍵交換

②使用する暗号アルゴリズム=AESなどの共通鍵の場合、用途を1つ答えよ:

暗号化通信

③使用する暗号アルゴリズム=SHA-256などのハッシュアルゴリズムの場合、用途を1つ答えよ:

メッセージ認証(改ざん検知)

 

問2

(覚えておきたい単語)

・一時的に大量の帯域を使用する現象を引き起こすトラフィックを何というか?:

バーストトラフィック

 

(覚えておきたい出題パターン)

専用線(DVI)経由で本社と支店を結ぶとき 、支店で引かれていたインターネット回線を廃止する理由は?また情報セキュリティ対策上の利点は?:

※本文にヒントあり

(理由)インターネット通信は本社の仮想PCから行われるから

(利点)情報セキュリティ対策を本社で集中的に行うことができるから

 ・支店と本社間でDVIの画面転送通信と本社プリントサーバへのプリンタ出力通信指示の通信が混在しているとき、画面転送の操作性が悪化する場合がある。その原因は?:

プリンタ通信が画面転送通信を圧迫するから

・本社から支店方向の通信の帯域が各支店のアクセス回線の契約帯域を超過したときに、帯域制御装置がパケットに対して行う制御の内容を答えよ。※その制御は支店への複数クラスのパケットに対するシェーピングが可能である。:

送出タイミングを調整する

 

問3

(覚えておきたい単語)

IPアドレスとポート番号の変換処理を(    )という:

NAPT

・接続する相手を認証する方式として、両方の機器であらかじめ、(   )と呼ばれる同じ鍵を共有する方式がある。:

事前認証鍵(PSK)

・BGPの概念で、特定のルーティングポリシーで管理されたルータの集まりを (   )という:

AS ※Autonomous System 自律システム

・BGP接続ではルータ間をトランスポートプロトコルのひとつである(    )のポートを使用して経路情報の交換を行う。:

TCP

Pingは(     )のecho requestパケットを監視対象に送り、(   )パケットが監視対象から返ってくることで到達性を確認する。:

ICMP、echo reply

 

(覚えておきたい出題パターン)

・ある状況下において通信の暗号化モードを選ぶとき、IPヘッダも暗号化対象とするトンネルモードではなく、IPヘッダは暗号化対象としないトランスポートモードの接続を選択する理由をIPアドレスに着目して答えよ(ヒント:グローバルIPアドレスを用いて通信する):

暗号化対象の通信がグローバルIPアドレス間の通信だから

※プライベートIPアドレスの通信ならばトランスポートモードは使を採用用できるできない

・MTUの値が1500だった場合(最大サイズ)、パケットサイズが暗号化によってそれ以上となったとき、ルータで発生する処理を答えよ:

フラグメントとリアセンブルの処理が発生する。※最大値を超えるとパケットは分割されて送信され、受信側で再構成される

・冗長構成の通信方式でBGP(動的経路制御)を選択した場合、静的経路制御を用いる場合にはない利点を答えよ。:

BGPによって回線断や機器障害を検知し、トラフィックをう回できる。

・経路情報の交換を行う必要がないパッシブインターフェースの動作の特徴を答えよ:

Helloパケットを出さない。

冗長化しているVPN接続AとBがあるとき、Aを優先(アクティブ)したい。その場合Bの設定はどうすればよいか?:

Bのコストを大きくする

・BGPとOSPFが入り混じった経路ルーティングがある。BGPからOSPFの経路情報がループしてしまうとき、経路のループを防ぐために必要な経路制御を答えよ。:

BGPからOSPFへ再配布された経路を再びBGPへ再配布しない。

・2つある冗長化したVPNトンネルがそれぞれの経路を監視している目的を答えよ:

ネットワーク接続の冗長構成が失われたことを検出するため。

 

 

午後II

問1 ※この問題はほとんど図表の解読力を即興で問う問題

(覚えておきたい単語)

 ・名前解決(DNS)で別名を適用するためのレコードの文字列は?:

CNAME

 

(覚えておきたい出題パターン)

 ・複数の接続可能なエッジサーバがあり、DNSクライアントが選択権を持っていてより適したエッジサーバを選択するのはどのような場合か?DNSクライアントはDNSフルリゾルバを経由する:

DNSクライアントとDNSフルリゾルバが、ネットワーク上で離れた位置にある場合

・クライアント―サーバ間の通信の間に、CDN(Contents Delivery Network:コンテンツ配信ネットワーク)を設けることにより解消されるTAT(Turn Around Time)の要因を二つ答えよ:

①サーバの処理能力不足

②クライアント・サーバ間の通信遅延

・ネットワークを拡張し、OFCを用いて自社のサーバリソースを自由にカスタムできるようにしたとき、障害復旧時間(RTO)を短縮できる要因をふたつ述べよ:

①転用する業務サーバに関する物理配線の変更が不要になる

②管理ソフトウェアを用いて、社内要員だけで対応できる。

※本文中にヒントあり

・国外に拠点をDRとして持っておくメリットは?:

国外を利用するので国内の広域災害の影響を回避できる。

 

 

問2

(覚えておきたい単語)

・80.211b = (           ) GHz ・ 最大(      )Mビット/秒:2.4 ,   11

・80.211g = (           ) GHz ・ 最大(      )Mビット/秒:2.4 ,   54

・80.211a = (           ) GHz ・ 最大(      )Mビット/秒:5 ,   54

・80.211n = (           ) GHz ・ 最大(      )Mビット/秒:2.4 and 5 ,   600

・80.211ac = (           ) GHz ・ 最大(      )Gビット/秒:5 ,   6.9

無線LAN接続機能として(    )での接続要求を拒否する機能がある:

any

・WEPはRC4暗号化アルゴリズムを使用した(   )鍵暗号方式:

共通

・WPA2はAES暗号化アルゴリズムに対応し、IEEE(    )準拠の方式:

802.11i

・WEPは1バイト単位の(    )暗号であるRC4を使用してパケット暗号化を行う:

ストリーム

・WEPは(     )のWEPキーが使用され続けるリスクがある:

同一

・WPAでは(    )で動的に生成されてクライアントに配布されるPMK(Pairwise Master Key)を基に、無線LAN端末および(    )の両者で生成される。:

認証サーバ

・TKIP暗号アルゴリズムは一時鍵、IV(Initialization Vector)、無線LAN端末の(   )を混合してキーストリームを生成する:

MACアドレス

・WPA2では事前(    )の方法およびPMKの保持方法が規定されている。:

認証

 ・IEEE802.3at規格のPoE機能の呼称は?:

PoE+

 

(覚えておきたい出題パターン)

・APとクライアントPCの利用者認証を済ませた後はWLCを経由しないで通信できる仕組みにおいて、そのメリットを2つ答えよ。:

①WLCに通信の負荷が集中するのを抑制することができる

②認証後にWLCに障害が発生しても、その無線LAN端末の通信は継続できる

・無線通信において外来電波による悪影響を答えよ: 

電波干渉によって、通信障害が発生する。

 ・周波数帯が異なる自社APのセル(カバー範囲)を重ねる理由を2つ答えよ:

①ハンドオーバーをスムーズに行わせるため

②APの負荷分散を行わせるため

・ダウンロードサーバがクライアント証明書を管理するとき、クライアントPCで必要となる情報を2つ答えよ:

①CAの自己証明書

②クライアントの秘密鍵

・無線LANAPでクライアント証明書を配布するときのセキュリティ上の問題を答えよ:

ダウンロードサーバの認証情報が漏えいすると、来訪者(第三者)もクライアント証明書などがダウンロードできてしまう。

・訪問者に無線LAN APを接続させるとき、知らせないといけない情報2つを答えよ:

①ESSID

②PSK

・ APとクライアントPCの利用者認証を済ませた後、WLCに障害が発生した場合、クライアントPCで発生する問題を答えよ。またその理由も答えよ。:

(問題)ハンドオーバができなくなる

(理由)クライアントPCに配布したPMKと認証関連情報がWLCで保持されているから

------------------------------------------------------------------------------------

(平成28年過去問より)

 

午後I

問1

 (覚えておきたい単語)

・メールをどのメールサーバに転送するとき参照する資源レコードを(    )レコードという:

MX (Mail Exchanger) 

SMTPプロトコル上でユーザ認証を行う方式を何というか?:

SMTP-AUTH

TCPの587番ポートで、メールを送信するためのポートを何という?:

サブミッションポート

・POP3のポート番号は何番?:

110

SMTP通信開始のSMTPプロトコルのコマンドは?:

HELO(EHLO)

SMTP通信中に送信元ドメインが得られるSMTPプロトコルのコマンドは(送信元メールアドレスの通知)?:

MAIL FROM

SMTP通信中の宛先メールアドレスのSMTPプロトコルのコマンドは?:

RCPT TO

SMTP通信中のメール本文送信のSMTPプロトコルのコマンドは?:

DATA

 

(覚えておきたい出題パターン)

・自社ドメイン以外への宛先へ、メールを転送することを行えない設定はどのような情報セキュリティ上のリスクを避けるためか?:

不正メールの踏み台にされてしまうリスク

SPF(送信元ドメイン認証)において、SPFレコードと照合される情報は何か?:

送信元メールサーバのIPアドレス

 

 

問2

 (覚えておきたい単語)

・WEPの暗号化アルゴリズムは?:RC4

・WPAの暗号化アルゴリズムは?:TKIP

・WPA2の暗号化アルゴリズムは?:AES

無線LANの認証方式は(     )認証である:事前共有鍵

・モバイルWifiルータに挿入する通信事業者が契約者を識別する情報が記録されているものは?:

SIMカード

・モバイルWifiルータに設定するゲートウェイの設定項目の名称は?:

APN(Access Point Name)

・モバイルWifiルータで行われるIPアドレスとポート番号の変換処理を何という?:NAPT

・プロキシサーバはタブレット端末からの(    )要求によってHTTPSサーバへ情報を転送される:

CONNECT

  

(覚えておきたい出題パターン)

・無線APのSSIDを隠蔽するステルス機能の動作を答えよ:

定期的に送信するビーコン信号を停止する。

・無線APのステルス機能とMACアドレスフィルタリングを用いた対策でもSSIDMACアドレスは容易に取得されてしまう。その理由を電波を用いて通信を行う無線LANの特性に着目して答えよ:

SSIDMACアドレスは暗号化できず、傍受されるから

 ・ユーザがVPN接続用途の会社貸与のタブレット端末やモバイルWifiルータ、ハードウェアトークンを紛失したとき、ネットワーク管理者が取るべき行動を紛失したVPN接続の利用者IDに注目して述べよ:

VPN接続の利用者IDを停止する。

・プロキシサーバのログからユーザを特定するためにプロキシサーバに必要な機能名を答えよ:

プロキシ認証

・またそのための設定の内容を答えよ:

ユーザごとに利用者IDを登録する。

HTTPSの場合、HTTPと比較して取得できるログの内容が限られる。HTTPSのRequest-URIから取得できるログの内容を2つ挙げよ:

①接続先ホスト名

②接続先ポート番号

HTTPS接続のCONNECTメソッド内で接続先を指定するRequest-URIには接続先ホスト名(FQDNIPアドレス)と接続先ポート番号の2つだけが含まれる。

 

問3 ※この大問はほぼネットワーク図の読解

 (覚えておきたい単語)

 ・プライマリDNSセカンダリDNSにゾーン情報を更新することを何という?:

ゾーン転送

・メールゲートウェイとメールサーバの間でメールが転送されるときに使用されるプロトコルの名称は?:

SMTP

 

(覚えておきたい出題パターン)

・メールゲートウェイ(送信元)からメールサーバ(宛先)へのメール転送において、DNSラウンドロビンを用いても負荷の偏りが生じやすい。それが起きる条件とその理由は?※送信元の方が送信先より機器の台数が少ない: 

(条件)送信元が少数の場合

(理由)送信元は、DNSキャッシュが生存している間、宛先を変えないから

・メールゲートウェイと通信しているメールサーバを更改する際に、双方を経由しているFWの設定を変更する必要がある。どのように設定変更するか?:

新メールサーバとメールゲートウェイとの間のSMTP通信を、双方向とも許可する。

 

午後II  ※この大問はほとんど図表の解読力を即興で問う問題

問1

 (覚えておきたい単語)

・システム切り替え時に問題発生時に行う手段として(    )に要する時間を考慮すべきである。:

切り戻し 

 

(覚えておきたい出題パターン)

・「インターネットISP(社外)―LB―FW-Webサーバ(複数)」という構成のとき、Webサーバが増えた場合FWの設定変更内容を2つ答えよ。LBでNAT変換している。:

①許可する通信を追加する。

②宛先NATに関する定義を追加する。

・「インターネットISP(社外)―LB―FW-Webサーバ(複数)」という構成のとき、インターネット回線(社外)を別々の会社の2回線に冗長化した。LBは通信の行きと戻りを同じISP経由にする。社外からWebサーバへのアクセス時に行きと戻りが同じIPSを経由しなかった場合に発生する問題を答えよ:

応答が行きの宛先IPアドレスとは異なる送信元IPアドレスから戻る。

 

 

問2

 (覚えておきたい単語)

・SA(Security Association)の内容が確定すると、SAに関連付けされたSPI(Security  Parameters Index)が(   )ビットの整数値で割り当てられる。:

32

・SP(セキュリティポリシー)を選択するキーを(     )と呼び、IPアドレスプロトコル、ポート番号が利用される。:

セレクタ

IPSecルータの両端が固定IPアドレスの場合は(    )モード、動的IPアドレスを使う場合を(    )モードを使う。:

メイン、アグレッシブ

イーサネットインターフェースのMTUサイズを適正な値に変更することにより、パケットの(   )を防げる:

断片化(フラグメンテーション

・ライフタイムが終了してSAが消滅したあとに、SAを再作成する処理を(    )という:

リキー(ReKey)

・IPパケットの最大長はMTUで表され、イーサネットの場合(    )バイトである。:

1500

 

 

(覚えておきたい出題パターン)

IPSecで認証する2つの対象を答えよ:

①通信相手のIPSecルータの認証

② 転送データの完全性の認証(データが通信中に改ざんされていないこと)

・Y社で検討中のIPSecルータは、OSPFの通常の設定では、リンクステート情報の交換パケットをカプセル化できない。その理由を答えよ。※ヒントとしてIPSec ではユニキャストのIPパケットをカプセル化して転送する。:

OSPFのリンクステート情報交換は、IPマルチキャスト通信で行われるから

・通信暗号化GRE(レイヤー3利用)とL2TP(レイヤー2利用)があり、いずれもマルチキャスト通信が可能。GREを利用する利点をL2TPを利用する場合として比較して影響の度合いを考慮して答えよ。※ヒントとして1パケットで転送するデータ量がGREの方が多い。:

カプセル化によるオーバーヘッドがL2TPより小さいので、一つのパケットで転送するデータ量が多い。

・ESP認証データ長はパラメータで選択された方式によって変換する。その理由を答えよ。※本文にヒントあり:

ESP認証データ長は、使用する認証アルゴリズムによって変化するから

・STPを使用しない形のネットワーク機器4台のループ構造(L3スイッチ、L2スイッチA、L2スイッチB、ルータ)でレイヤ2のループを発生させないためには、どのようにサブネットを設計すればよいか。L2スイッチAとL2スイッチBの設定で実現させよ:

L2スイッチAとL2スイッチBを異なるサブネットにする。

・支店にはVRRPで冗長構成されたルータが2台あり、支店のPCはそのルータを経由して外部のサーバにアクセスする。2台のルータを直接接続している接続が切れたとき、支店のPCの外部のサーバまでのアクセス経路を''VRRPのマスタルータ''という字句を用いて答えよ。※VRRPのマスタルータはどちらのルータかは本文からはわからない。:

どのサーバアクセスも、VRRPのマスタルータが稼働する機器に接続されたWAN回線を経由して行われる。

 

------------------------------------------------------------------------------------

(平成27年過去問より)

 

午後I

問1

 (覚えておきたい単語)

・SSO(Single Sign On)の方式はサーバにソフトウェアモジュールをインストールして実現するエージェント方式とSSOサーバにおいて全ての通信の中継を行う(   )方式がある。:

リバースプロキシ

・あるサーバへのサービス要求を別のサーバに向け直すことを(    )という:

リダイレクト

・WebサーバがPCにCookieを受け渡す方法は送出されるHTTP応答パケットの(    )ヘッダフィールドに属性を付与する。:

Set-Cookie

・PCからあるドメインへの認証リクエストの宛先がVIPアドレスとなるように(    )サーバに設定する:

DNS

・SSOサーバが自IPアドレスと異なるVIPアドレス宛てのパケットを受信しなければならない。そのためVIPアドレスを付与した(    )インタフェースをSSOサーバに設定する。:

ループバック

IPアドレス重複エラー検知に用いられるARPの名称を答えよ。※自分のIPアドレスに対するMACアドレスを解決する目的のARP

GARP

 

 

(覚えておきたい出題パターン)

WebブラウザからCookieが平文でネットワーク上に意図せず流れてしまうことを防ぐためにサーバがCookieを発行するために実施すべき方策を答えよ:

CookieにSecure属性を付ける。

・SYNパケットにはCookieなどのレイヤ7情報が含まれていないとすると、通信を振り分ける機器 (LB)はレイヤ7の情報を基にして振り分け先サーバを選定するような方式に対応できない。その理由を答えよ:

SYNパケットにはレイヤ7情報が含まれていないから

・同じVIP(Virtual IP address)がLBとSSOサーバに設定されてしまっているためARPによって重複エラーが検知された。SSOサーバに対してどのように設定すれば対処できるか:

VIPアドレスに対するARPリクエストに応答しないように設定する。

 

問2

 (覚えておきたい単語)

・1秒当たりの転送データ量を(    )という。転送量ではなく処理能力の面から答えよ:

スループット ※ビットレート ではない。ビットレートは転送量

・1秒当たりの転送の単位は転送(    )数:

パケット

・FWの故障発生時にセッション(    )ができない:

維持

 

(覚えておきたい出題パターン)

・FWがセッションの終端ノードでない場合、2台のFWによる負荷分散ではパケットに対して行える操作に制約がある。その制約のためサーバ負荷分散で使われる仮想IPアドレスを用いる方式は使用できない。その制約とは何か?:

宛先IPアドレスを書き換えられない。

・2台のLBの間にFWも2台ある(経路が2つ。負荷分散のため)。2つのLBによるパケットの振り分けは、FWでの動的フィルタリングが正しく行われるように実行される必要がある。これはある条件が成立しなければならない。その条件を答えよ:

セッション単位に、2台のLBが同じFWを選択する(コネクションの往路と復路が同一のFWを経由しなければならないということ)。

・2台のFW構成のところにもう1台FWを追加する。処理能力補強の理由以外でもう1台追加する理由を答えよ:

故障発生時の性能を不足させないため

・2台のLBの間にFWが3台ある。対向するLBとの間で、経由するFWをを変化させながら、相互にヘルスチェック用パケットを送信する。LBがFWに対してヘルスチェック用パケットを送信するやり方と比べた利点を答えよ:

FWを経由するLB間の経路の障害を検出できる。

・上記構成でFW1台が故障したときFWを挟んでいる両LBが、RSTフラグをオンにしたパケットをTCPコネクションの両端に送信する。これを行うことによりTCPコネクションの両端のノードにどのような利点を与えるか:

リトライアウト(再送処理)を待たずにコネクションの切断を検知できる。

 

問3

 (覚えておきたい単語)

 ・シグネチャ型と異なり、定義されたプロトコルの仕様などから逸脱したアクセスがあった場合に不正とみなす検知方法を(    )型という:

アノマリ(もしくは異常検知)

・本来であれば宛先ではないポートにフレームが届くようにスイッチ上で設定するポートを(   )ポートという:

ミラー もしくは ミラーリング

・ブロードキャストフレームを除き、無差別にすべてのフレームを取り込むネットワークポート(NIC)の動作モードを(     )モードという:

プロミスキャス

TCPによる攻撃をやめさせるためにパケットの送信元にICMPヘッダのコードに設定するパケットの設定は(    )portである。:

unreachable

 

(覚えておきたい出題パターン)

 ・IDSとFWが連携することで不正な接続を遮断する仕組みを答えよ。:

FWのACLを動的に変更して、遮断の対象とする送信元アドレスを追加する。

・ICMPを使った攻撃抑止のために攻撃者に送出するパケットが、実際には攻撃者に届かないことがある理由を答えよ:

不正アクセスの送信元アドレスが偽装されている可能性があるから

 ・防御対象のサーバに新たな脆弱性が発見された場合のIPSの一時的な運用とは何か答えよ。※遠く離れた段落にヒントあり。かつて「アプリケーションへの影響確認テストに時間が掛かり、当該サーバにセキュリティパッチを適用するまで、営業支援システムを数日間休止せざるを得なかった」事件があった。:

保護する機器にセキュリティパッチを適用するまでの間、脆弱性を悪用する攻撃の通信を遮断する。

 ・IPSの機能の一部が故障した場合に備えた機能として、通信を継続して利用できる状態にするためのIPSの機能を答えよ:

通信をそのまま通過させ、遮断しない機能

・IDSやIPSのセキュリティレベルの継続的な向上のために、管理用PCを使って行うべきことを答えよ:

不正アクセスへの対応を最適化するために、ログを取得して解析する。

 

午後II

問1

 (覚えておきたい単語)

 なし

 

(覚えておきたい出題パターン)

・「業務サーバと設備」が通信しており、設備の稼働情報をサーバは定期的に入手している。稼働情報取得のトリガは、設備ではなく業務サーバ側にあるが、それは運用上の利点となっている。その理由を述べよ。:

稼働情報の収集周期の変更が容易である。 ※本文にヒントあり

・「設備―通信アダプタ―中継装置―業務サーバ」という形で接続されている。それぞれの機器がGETリクエストを送信する間隔が異なる。GETリクエストして得た情報はキャッシュされるがそれぞれの情報得る間隔がことなるのはなぜか。キャッシュに注目して答えよ:

中継装置より通信アダプタのキャッシュの更新頻度が高く新しいから

・上記の構成で「設備ー通信アダプタ」間の最新の更新情報が取得できなかったときどのような場合か2パターン答えよ。:

 

①設備とTCPコネクションが確立できない場合 (設備が故障している場合)

②設備がNot Modified を応答した場合 (設備から新しい稼働情報が得られなかった場合)

・「設備―通信アダプタ」間の情報取得周期を長くした場合(例えば1分間隔から2分間隔へ変更)、業務サーバが受け取る応答への影響を述べよ:

電源断などで設備との通信ができない場合の稼働状況が古くなる

・HTTP(TCP)を変換してCoAP(UDP)でデータ送信するときターンアラウンドタイムが向上する。CoAPとUDPの特徴を2つ挙げよ:

TCPコネクションの確立を終了の手順が不要である。

②CoAPはヘッダ長が短いなど、データの格納効率が良い。

・同時コネクション数を軽減するという目的において、中継装置のTCPコネクション保持時間はどのような設定方針にすべきか:

正常な通信に支障がない範囲でなるべく小さくする

TCPコネクション保持時間を短縮するという目的において、業務サーバからの情報取得依頼のリクエストにおけるクローズ接続オプションの使い方について述べよ:

後続がないリクエストに付与し、コネクションを切断する。

・同時コネクション数を削減したい。そのためトランザクションをタイプライン化する工夫をしたいが、その前提として設備のリソースを指定する際のURL(設備はそれぞれFQDNを持つ)に関する設計方針を述べよ。複数の設備を通信アダプタがまとめて接続管理している:

通信アダプタにFQDNを付与し、同一コネクションを使って複数の設備から稼働情報を取得する。

 

問2 (覚えておきたい単語)

TCP/ UDPのポート番号は何ビットで構成されている?:

16ビット ※ポート番号の最大は2の16乗である65535

FTPでサーバからクライアントが指定したポートに対してTCPコネクションの確立を試みるモードを何という?:

アクティブモード

上記の逆でFTPクライアントからサーバにTCPコネクションを確立するモードを何と言う?:

パッシブモード

マルチキャストIPアドレスのクラスは?:

クラスD ※範囲224.0.0.0-239.255.255.255

フレームは何を基準にデータを送る?:

MACアドレス

 

 

(覚えておきたい出題パターン)

・プライベートIPアドレスを使用していて複数顧客のネットワークを束ねるCPEとCGN装置間のネットワークでどのようなときに問題が生じるか?:

PCのネットワークアドレスと、CPEとCGN装置間のネットワークアドレスが重なったとき

・顧客宅のPCがインターネット上のWebサーバにアクセスしたとき、PCを特定するのにWebサーバがログとして記録する必要がある情報を3つ挙げよ

①送信元IPアドレス

②送信元ポート番号

アクセス時間

・暗号化方式AHではIPアドレス変換が行われると認証エラーが発生する。その理由を認証対象に着目して答えよ:

IPヘッダが認証対象なので、IPアドレスが書き換えらると認証データが計算値と一致しなくなるから

・暗号化方式ESPではポート変換が行えない。理由を述べよ:

TPC又はUDPヘッダが暗号化の対象であり、ポート番号が暗号化されていてわからないから

もしくは

ESPヘッダにはポート番号が存在しないから

・ISAKMPメッセージの送信元ポート番号及び宛先ポート番号を500から4500に変更する。このときNATが行われると送信元ポート番号が変換されるので、IPsecを使用する機器の、受信パケットに対するフィルタリング設定を変更する必要がある、どのように変更するかを答えよ:

送信元ポート番号が500と4500以外のISAKMPメッセージも受信できるようにする。

マルチキャスト通信にてスイッチから送出されるマルチキャストのデータがフラディングされるのはマルチキャストMACアドレスがスイッチによって学習されないからである。その理由を述べよ:

マルチキャストMACアドレスが送信元アドレスになることがないから

※スイッチは送信元MACアドレスのみを学習し、宛先MACアドレスは学習しない

・VXLANをセグメントによって通信路が論理的に分離されるとき、VLAN数の制限を緩和できる。その理由を答えよ:

膨大な数の論理セグメントが構成できるから(VXLANごとに、VLANを利用できるから)

・宛先不明の機器に通信したい。マルチキャストで通信する必要があるがユニキャストで行われない理由を答えよ:

宛先となる機器(VM)の存在場所が不明だから

・ユニキャストで可能な通信をすべてマルチキャストで送信するときに顕在化する問題を答えよ:

不要なマルチキャストパケットがネットワーク内に転送されるので、L3SWやネットワークの負荷が高まる。

 

------------------------------------------------------------------------------------

(平成26年過去問より)

午後I

問1

(覚えておきたい単語)
・OSPFのコストのメトリックは?:

帯域幅
・OSPFのバックボーンエリアはエリア番号は?:


QoSの通信優先評価はIPヘッダの何というフィールドが基準?: 

ToS (イーサネットの場合はCoSが基準)
・その通信優先評価基準のQoSの名前は?:

DiffServ (その反対の基準はIntServ)

 

(覚えておきたい出題パターン)
VRRPの仮想IPアドレスは、AセグメントのPCのデフォルトゲートウェイとしてどう設定する?:

Aセグメントに対応した仮想ルータのIPアドレスを設定する
・特定のセグメントが意図した仮想ルータにアクセスするようにするにはルータの設定をどうする?:

該当するルータがアクティブになるようにプライオリティ値を設定する
・通信高速化する機器が、データキャッシュを送信する機能があるときにどういう状況で本領発揮する?:

ラウンドトリップ時間が大きいとき
・2拠点の両端に置かれた通信高速化する機器が自動で停止する機能はどういうとき発動する?:

片方が故障したとき

 

問2

(覚えておきたい単語)
・ネットワークアドレスとポート番号を変換する機能の名前は?:

NAPT
・通信のための管理情報をネットワーク機器が自動で引き継ぐのは(     )フェールオーバ起動と呼ぶ:

ステートフル
・接続ポートのリンクLEDが消灯しているのは何層の問題?:

物理層、もしくは1層
・機材変更などで自ポートに設定されたIPアドレスの解決を他の機器に対して更新要求する機能を何という?:

GARP
・レイヤ2層で用いるテーブルは?:

MACアドレステーブル
・複数のVLANを1本にまとめるために物理ポートではなくデータを基準にしたVLAN技術は?:

タグVLAN

 

(覚えておきたい出題パターン)
・冗長構成の機器の間にスイッチを入れる目的は?:

①:リンク断をふせぐ ②障害の特定が容易になる。
・冗長構成の機器が負荷分散するにはどうすればよいか?:

それぞれのセグメントでそれぞれをアクティブ(Active)にする

 

問3

(覚えておきたい単語)
・多数のコンピュータが標的を集中的に攻撃するのは何という?:

分散型DoS攻撃
・大量のデータを送信して相手のサービスを妨害する攻撃を何という?:

フラッド攻撃
・問い合わせを受けたサーバが他にサーバに回答を問い合わせることを(   )的な問合せという?:

再帰
・発信元を偽装してその応答を押し付けるDNSの攻撃を何という?:

DNSリフレクタ攻撃
・オープンリゾルバで自分が攻撃主にされてしまったときの立場を何と言う?:

踏み台
・自分の組織に侵入するテストを行うことを何という?:

ペネトレーションテスト


(覚えておきたい出題パターン)
・大きいサイズのICMPエコーの応答を使った攻撃を防ぐにはFWにどんな機能を持たせたらよいか?:

断片化されたエコーパケットを許可しない機能
DNSのキャッシュを無効にしておかないとどんなリスクがある?: 

DNSキャッシュが改ざんされる
・FWで内部から外部への不正な通信を発見、防止するために必要なFWの機能は?:

①内部から外部への通信に対する遮断ルールを設定する ②FWで遮断した通信の結果ログを監視する
・インシデント対応後に将来発生するインシデントへの対応としてセキュリティ担当者が実施すべきことは?:

対処結果の評価を行い、インシデントの対処方法を見直す。

 

午後II

問1

(覚えておきたい単語)
・HTMLで作成されたコンテンツを送受信するプロトコルは?:

HTTP
・データに含まれる特定の文字列を遮断する機能は?:

コンテンツフィルタリング
・Connect処理が完了して通路が出来たTCPデータをそのまま転送するのは何処理?:

トンネリング
・送信者のDNSレコードに送信者のメールサーバのIPアドレスを登録されており、受信メール認証するシステムを何という?:

SPF
ディジタル署名をメールヘッダに付与して受信メールサーバで検証する送信ドメイン認証を何という?: 

DKIM

 

(覚えておきたい出題パターン)
・送信メールのドメインが正しいか確認するとき、2つの何のドメインを比較する?:

①メール送信元のIPアドレスが所属するドメイン ②メールのドメイン
SPFを採用するとき、自社メール中継サーバ(外部と直接送受信するメールサーバ)を自社DNSサーバに登録するのはなぜか?:

社外に送信されるメールの送信元IPアドレスがメール中継サーバになるから
サーバ証明書が正当だと判断するには何が必要?:

プロキシサーバのルート証明書
SSL通信でPCとWebサーバの間にプロキシサーバがあるとき、PC間とWebサーバを抜いたらプリマスタシークレットの共有に失敗する理由は?:

プロキシサーバが暗号化されたプリマスタシークレットを復号できないから。
・ログの検査間隔を短縮して定期的に検査を行うことで得られる恩恵は?:

マルウェア(問題)を早期発見ができる

 

問2

(覚えておきたい単語)
・音声データを転送する場合の一般的なプロトコルは?:

RTP (Real time Transport Protocol)
SIPで使われるメッセージの形式は?:

テキスト形式
HTTPSのポート番号は何番?:

443
・電話をかけたり切るなどの呼制御を行うプロトコルは?:

SIP

 

(覚えておきたい出題パターン)
VPNで生成した仮想IPアドレスはどのようなものであるべきか?:

サービス提供用内部LANのネットワークに属するIPアドレス
冗長化を実現する上で実物の機器ではなくSDNを利用するときのコスト面での有利な理由は?:

ネットワーク機器ごとに異なるハードウェアを用意せずに済む

 

------------------------------------------------------------------------------------

(平成25年過去問より)

午後I

問1

(覚えておきたい単語)

SSLハンドシェイクプロトコルでは(     )メッセージにより暗号化アルゴリズムを決定する:

HELLO

ループバックアドレスの範囲のIPアドレスは?:

 127.0.0.1 ~ 127.255.255.254

Javaアプレットで特定のIPアドレスとサーバの(    )を対応するよう設計する: 

FQDN

サーバ証明書の正当性を本人に代わり認証してくれる組織は?:

三者認証局

HTTPSのポート番号は?:

443


(覚えておきたい出題パターン)

・外部と通信する際にプライベートIPアドレスではなくループバックアドレスを使用するセキュリティ的なメリットは?:

外部からの不正利用が発生しない

・クライアントからサーバへのデートアクセスで、待ち受けポートとプライベートアドレスを紐づけたマッピングテーブル用いるときに、この方式ができないのはアプリケーションのどんな特徴があるか?:

サーバ側のポート番号が変化する

・通信装置のデータ保持(キャッシュ)時間を延ばすことで得られるメリットは?:セッション確立による負荷を軽減させるため

 

・クライアント証明書の管理に必要な情報は?:

クライアント証明書の有効期限

 

問2

(覚えておきたい単語)

DHCPの要求をほかのルータに求めるルータの機能は何という?: 

DHCPリレーエージェント

IPアドレスMACアドレスの対応を表しているテーブルを何という?: 

ARPテーブル

IEEE 802.11a は何GHz帯?:

5GHz帯

MACアドレスのOUIは何の固有の値?:

製造主

MACアドレスは全何ビット?:

48ビット

・そのうちOUIは何ビット?:

24ビット

・スイッチのトラフィックモニタを接続して計測のために使用するポートの形状を何ポートという?:

ミラーポート

DHCPメッセージの流の4工程をそれぞれ言うと?:

DHCPDISCOVER→DHCPREQUEST→DHCPOFFER→DHCPACK


(覚えておきたい出題パターン)

・管理者の許可を得ずにPCに固定IPアドレスを振るときに起こる可能性のある問題は?:

IPアドレスの重複

MACアドレスを登録した機器にしかIPアドレスを振れないシステムを実装するときに必要な暫定的な対処は?:

MACアドレスが未登録でもIPアドレスを割り当てる。

 

DHCPフレームを転送中にSwitch上でポートのフレーム送受信が高速に点滅しているときに起こっているであろう事象は?:

SWとSWの間でのブロードキャストフレームの折り返し

 

・複数のL2SWを用いてVLANを構成するときにどういう構成だと輻輳が発生しにくいか? ※STP以外の方法で:

SW単位にVLANを設定し、VLAN間経路制御とDHCPリレーを行う構成

 

問3

覚えておきたい単語)

IEEE802.1QのVLANで用いられる32ビットの要素は何?:

タグ

IEEE802.1QのVLANで使用するタグのVIDは何ビット?:

12ビット

・複数の物理筐体(L2スイッチなど)を接続し、一つのスイッチとして機能させる機能を何と言う?:

スタック


(覚えておきたい出題パターン)

・スイッチ間のリンクアグリゲーションのメリットは何?二つ答えよ:

リンクの冗長化、帯域の有効活用

・L3SWにVRF(Virtual Routing and Fowarding)機能を持たせるとき、一つのL3機器に複数のどのような機能を持たせるか?:

仮想ルータ機能

・共有NWで複数の顧客のVLANで発生する問題は?:

①個々の顧客で使用しているVLAN IDが重複する ②VLAN数に制限があるが、これを超える

・L2SWの2台で冗長化を実現する方法を2つ答えよ:

①STPを動作させブロックポイントを設ける ②リンクアグリゲーションを単一のリンクとして扱う

・FW2台を Active – Standby 構成で冗長化するためにFW装置に必要な機能を答えよ:

複数の独立したFWを1台のFW装置で稼働させる機能

 

午後II

問1

(覚えておきたい単語)

・パケットフィルタリングを行うことができる機器は?:

ルータ、レイヤ3スイッチ

・スイッチをSTPでルートブリッジにするにはブリッジIDの値をどのようにする?:

最小 にする

無線LAN最初の標準規格IEEE(    )である。:

802.11

無線LANの認証でWEPキーを利用するとき、APから受信した乱数をPCは(    )して返送する。:

暗号化

・WEPの暗号アルゴリズムは?:RC4

・WPAの暗号アルゴリズムは?:RC4

・WPA2の暗号アルゴリズムは?:AES

・APのネットワーク識別子は?:SSID もしくは ESSID

・宛先IPアドレスへの送信方法の種類を3つ答えよ:

ユニキャスト、マルチキャスト、ブロードキャスト

・転送先アドレス(のMACアドレス)が更新されたとき、当事者である機器が同一サブネット内の機器に対して、それらの機器が持つARPテーブルキャッシュを書き換えるために行う通信プロトコルプロトコル名は?:

GARP

・他のホストの代理でARPを応答する仕組みを何と言う?:

プロキシARP


(覚えておきたい出題パターン)

・STPでスイッチAとBの特定のポート(X)をブロッキングポートとした。そのポートをブロッキングポートとした理由は?:

スイッチAとスイッチBのXへの経路のパスコスト値が最も大きいから

・WEPの無線通信の重大なセキュリティリスクは?:

暗号化されたデータが盗聴されてしまうこと

・WPA2のローミング時、ローミングが短縮される理由は?:

再認証が不要になるから

 

・PCが無線接続時にローミングして接続先APが変わり、新しい接続先APの接続先デフォルトゲートウェイが元のAPと異なるとき、PCがLANやインターネットに繋がらなくなった理由は?:

PCが持っている設定のデフォルトゲートウェイに接続できないから

・GARPを発信する目的は?:

同一サブネット内のIPノードが持つARPキャッシュを更新させるため

無線LAN APのサイトサーベイで調査すべき電波の状態を3つ:

社外から送信される無線LANの電波状態

APからの電波到達範囲

壁やパーティションの電波の透過状態

・サイトサーベイの調査結果を基に導入作業前に確定すべき設計項目を4つ挙げると:

APの設置場所の設計

使用するチャンネルの設計

APの設置方法の検討

APの出力電波強度の設計

・APを設置した後に無線子機で行うテストを2つ挙げると?:

機器を移動させてのローミング可否テスト

FTPなどによる実行通信速度のテスト

 

問2

(覚えておきたい出題パターン)

・オーバレイ方式のSDN(レイヤ3ネットワーク上にレイヤ2データをカプセル化して接続用トンネルを作る)を用いるとき、サーバ接続用スイッチに必要な機能は?:

接続用トンネルを終端する機能 もしくは カプセル化用ヘッダを追加・削除する機能

 

・オーバレイ方式で拠点間の接続で起こる可能性のある問題は?:

中継路でのフラグメンテーション発生

 

TRILLにはできなくてOpenFlowでできる経路選択の柔軟性は何?:

最短経路以外の経路が利用できる

 

・PC-AがARPを発信したとき、別ネットワークにあるPC-B(本来関係ないPC)とPC-C(MACアドレスを知りたい対象PC)のIPアドレスが特定の条件下で重複している。PC-Aに起きる問題は?:

別ネットワークのPC-BのMACアドレスをPC-CのものとしてPC-Aが登録してしまう

・認証を求めるフレームを発信するPCと認証サーバがMACアドレスを基に認証を行うとき、この2つの間に中継スイッチを置いた場合、中継スイッチが必要な機能は?:

認証フレームの透過転送機能。

・ポートベースで「PCと認証サーバ間」で認証を行うとき、この両者の間に中継スイッチを置いた場合、発生するセキュリティ上の問題は?(状況:中継スイッチのポートで認証を行う):

1台のPCが認証されると後続のPCは認証なしで接続できる

・PCが認証フレームを発信する代わりに認証スイッチがそれ発信し認証サーバが認証フレームを検出する。その経路の間に中継スイッチを置いた場合、PCが認証フレームを発信しないといけない理由は?:

中継スイッチ経由だとPC接続ポートがリンクアップしても認証スイッチでは検出できないから


------------------------------------------------------------------------------------------

(以下自分用メモ)

・問題文の1文1文がネットワーク図の前提条件。1文1文に斜線を引いて意識しながら問題文を読み込みたい。 

 

・問題を解くときはできるだけ自分でネットワーク図を書き写し、図に本文の条件をどんどん追記していく。本文に記された条件を見逃すと正解にたどり着けない。

 

・記述式の問題はいきなり回答欄を埋めるのではなく軽くメモ書きで解答を書いておき、のちに清書して解答を埋める(思い込みによる誤答の防止のため)

 

・問題文で問われていることをしっかり読む(思いこまない)。理由を訊かれる問題は「~から」で締めくくること。

 

・解答が思付かないときは本文に戻り、本文の条件(ヒント)から答えを導きだす。

 

・記述問題はなるべく本文の語句を利用して回答する。

 

・解答のヒントは問われている部分の直前を探し、徐々に探索範囲を広げていく。ヒントが無い問題もあるので、そういうときはこだわらず次の問題に進む。 

 

・どうしても解答が思いつかず、また本文に答えの手掛かりが見つからなければ深入りせず、飛ばして先に進む。時間をいくらかけてもわからないとんでもない難問もあるので、時間を浪費しないようにしたい。

 

・本文に描かれたネットワーク図は重要だけど、図の注意書き本文に書かれた条件が正答を導き出すヒントの場合も多いので問題を解くときは図に引っ張られすぎないようにしたい。