2018年9月13日木曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問3-設問4

最後は監視!

ども。いよいよH29のラストです。VPNの監視についてです。それにしても、H29 は午後Ⅰが難しかった。因みに、午後Ⅱは無線LANの問2が簡単でした。もう1つの問1はSDNでしたので、即、あきらめました。私も、もう古い人間の部類に入ってきたので、SDNとかは気持ちが乗らないのです。というより、頭がついていきません。


設問4.本文中の⑥について、二つあるVPNトンネルをそれぞれ監視する目的を35字以内で述べよ。


まず、通信の正常性を確認するために、K社から対抗のルータのインターフェース(e)と(f)にpingを打っています。また2つのVPNはアクティブ/スタンバイ構成です。アクティブのVPNaが死んだどきは、スタンバイに切り替わります。この時は、フェールオーバするので、一次的に通信切れたりするため、よく気づきます。しかし、スタンバイのVPNbが死んだときは、何も起こらないため気づかないケースもあります。

ただ、スタンバイのVPNが死んだままの状態では問題です。せっかく高いお金をかけて作った冗長構成が動かない状態では、何の意味もありません。
(ただ、最近の機械なかなか壊れないんだよね。本当に待機系っているのかなと思う時ときが多々あります。)
そのためVPNの両系を監視しておく必要が有るんですね。

そういえば、余談ですが、SNMPv2を深く理解している人がどれだけいるのでしょうか。
私も周りの人間も、監視を導入するときは、いつもSNMPについて理解しないまま、ソフトウェアの仕様に合わせて設定しているだけです。そのため、いまいち仕組みをよくわかっていません。(専門書も読んでみたけど、なかなか難解でした。)
もしかしたら、SNMPに代わる監視のプロトコルを考えついたら、億万長者になれるかも。
余談が過ぎました。

 答え:ネットワーク接続の冗長構成が失われたことを検出するため。


H29の終わりに


やっと1年分の午後Ⅰを書き終えました。ほんと私自身も勉強になりましたよ。次回は、過去問解説は1回休んでから、H28の午後Ⅰにチャレンジします。

そういえば皆さんは、勉強はかどっているでしょうか。もう9月も中頃になるので、そろそろ追い込みを始めている方もいるかもしれません。
ただ、ラストスパートにはちと早いので気を付けてください。ネットワークスペシャリストは、考える問題も多いですが、一般的な知識や暗記もので解ける問題が約4割出題されます。暗記ものを本気でするなら最後の3週間です!早く始めても減速します。

ネスぺの勉強を通して、仕事に生かすスキルを身に着けるのは当然のことですが、結局は受からなければ、せっかくの勉強した時間がもったいないです。
なので、スパートをかける元気は最後の3週間にとっておいてくださいね
では、また~

2018年9月12日水曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問3-設問3

動的ルーティングはやっぱ便利!

ということで、BGPやOSPFの仕組みについての問題です。今の時代、もうルータやL3スイッチが3台以上並んだら、動的ルーティングです。スタティックでやってるとめんどくさくてかないません。でも、BGPについては本当に勉強不足だな~。一応、問題文で答えが出せるように工夫されていますが、やっぱ知識不足では解けませんね。


設問3.[K社NWとL社クラウドサービスとの経路情報の交換の検討]について(1)~(4)に答えよ。


(1)本文中の下線③について、静的経路制御と比較して動的経路制御を選択した利点を40字以内で述べよ。


利点って、経路情報を簡単に構築できるから簡単で便利だからです。ただ、これだと点数はもらえないです。本文に基づいて少しひねった回答をすればOKです。(私はうまい答えを導きませんでしたが。)

今回の問題で注目すべきは2本のVPNを結んでいます。また、前半の[クラウドサービスとネットワーク接続の検討]の章の中盤に「VPNトンネルは、VPNa1をアクティブ、VPNb1をスタンバイとする。」とあります。
つまり、動的ルーティングで冗長化も実現しようとしているんですね。VRRPとか駆使すればできるかもしれませんが、その前にL3SWがいるから、PCのデフォルトゲートとなるだろう仮想アドレス等あまり考えないで良いんです。

ただ、答えは40字です。上の内容を少し整理してうまく書く必要があります。

 答え:BGPによって回線断や機器障害を検知し、トラフィックを迂回できる。

なるほど。うまい。


(2)本文中の下線④について、パッシブインターフェースの動作の特徴を、20字以外で述べよ。


これは、知識問題です。特にCatalystなどでOSPFを設定したことのある人にはラッキー問題でした。
特にOSPFのエリアの境界あたりルータやスイッチを配置した場合、パッシブインターフェースの設定をして余計な経路情報を出さないためにHelloパケットを止めます。例えば、10系のネットワークでは経路情報を流したいけど、vlan11にだけHelloパケットを出したくない場合は、以下のコマンドを書きます。

 ***********
 Cata1(config)#router ospf 1
 Cata1(config-router)# network 10.0.0.0/8 area 0
 Cata1(config-router)# passive-interface vlan11
 ***********

 答え:Helloパケットを出さない。

(3)本文中の【 A 】に入れる適切な字句を答えよ。


この問題は山勘でも解けます。「大きい」か「小さい」です。(正解率50%)ただ、午前問でもおなじみの内容です。OSPFではコスト値が小さい方を経路として採用します。
それで、(1)でもありましたが、「VPNa1をアクティブ、VPNb1をスタンバイ」です。
本文では、「VPNb1側のコストをVPNa1と比べて【 A 】します。」もう、おわかり。

 答え:大きい


(4)本文中の下線⑤について、経路のループを防止するために必要な経路制御情報を40字で述べよ。


経路情報の再配布は異なるルーティングプロトコル間の通信がある場合に発生することが多いです。本文にもあるように「VPNa1とVPNb1が、BGPで受けた経路情報をOSPFに再配布する」と言っています。

異なるルーティングプロトコル間では、なかなかそれぞれの仕様が異なるから、下手するとループするような経路情報が登録されたりするんですね。TTLが死ぬまでぐるぐる回ります。Tracerouteすると面白いよ。

回避策としてよくやる手は、スイッチのACLなどのフィルタリング設定で、怪しい機器からは経路情報を受け取らないようにします。
昔、私もRIP→OSPF変換でなぜかうまくいかず、ネットでいろいろ調べてルートフィルタリング(経路情報をアドバタイズするかどうかを制限する機能)という設定したらうまくいったことがありました。まぐれでしたが、なんとかクリア。
でも、この問題間違えました。経験生かせてね~。頭悪いのかな~。。自信なくす~。。


 答え:eBGPからOSPFへ再配布された経路をeBGPへ再配布しない。

それにしても、アクセス数増えんな。。

最近は良い問題集が多いからか、アクセスしてくれる人いないな。。
少々心が折れてきましたが、H29問題もあと少し、ひとまずやり遂げるぞ!


2018年9月11日火曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問3-設問2

いきなりインターネットVPN!

次はインターネットVPNについてです。これもネットワーク関連の仕事をしていると年に1回は設定する機会が訪れますが、いつも同じConfigを使いまわしているので、意外と仕組みを忘れてしまいがちです。講評にも「VPNやトンネリング技術について、ネットワーク技術者として正確に理解してもらいたい」とあります。これを機にもう1回復習します。

設問2.[インターネットVPN接続の検討]について、(1)、(2)に答えよ。


(1)本文中の下線①について、今回の構成では、トランスポートモードを選択している。選択した根拠をIPアドレスに着目して30字以内で述べよ。


これは難しい。正直、難解です。つーか、もっと良い方法あるよ!と言いたくなります。なぜなら、2つの用語(機能)を使って、合わせ技で暗号化する必要があるからです。
(仕事ではこの方法は、おそらく選ばないと思う。。)

まずは、IP in IPです。正直、今までほとんど耳にしたことのない言葉です。ただ、何となく、言葉の意味からも分かるように、IPパケットにIPヘッダを付けてカプセル化すると考えます。

次に、午後問に到達している方々はご存知、IPsecにはトランスポートモードとトンネルモードの2つの通信モードがあります。大きな違いは、「もとのパケットのIPヘッダが暗号化されるかどうか」です。トランスポートモードでは、パケットのもとのIPヘッダは変更されませんが、トンネルモードではパケットのもとのIPヘッダも暗号化します。

本文に戻ります。[インターネットVPN接続の検討]の章の初めに、「L社クラウドサービスのVPNルータとK社NWのVPNルータでは、互いのグローバルIPアドレスを利用して…IP in  IPを用いてトンネルが構成される。このトンネルの通信をIPSecを用いて暗号化する」とあります。

つまり、既にグローバルIPアドレスでオリジナルIPパケットはカプセル化されています。
それを暗号化する際、トンネルモードだと、さらにVPN用の新規IPアドレスでカプセル化して、グローバルIPアドレスのヘッダ以降の全てを暗号化する必要があります。
(せっかく、IP in IPでグローバルアドレスのIPヘッダを付けているのに!)

それに対して、トランスポートモードだと、グローバルIPアドレスのIPヘッダは変更せず、オリジナルIPアドレスのヘッダ以降を暗号化します。
(文章で伝わるかな…。近日中に絵を付けます。待っててね!)

〇トランスポートモード
 IPヘッダ(グローバルIP)
  +ESPヘッダ
   +オリジナルIPヘッダ(プライベート)
    +IPペイロード

〇トンネルモード
 新規IPヘッダ
  +ESPヘッダ
   +IPヘッダ(グローバルIP)
    +オリジナルIPヘッダ(プライベート)
     +IPペイロード

言い換えると、既に、グローバルIPアドレスでの通信できる状態だから、このIPヘッダも含めてIPSecで暗号化しなくて良いってこと!
え~と。だから~。。もうやめます。
※だめだ。。説明が下手だ。。

 答え:暗号化対象の通信がグローバルIPアドレス間の通信だから


(2)本文中の下線②について、IP in IPで作成されたトンネルインターフェースのMTUの値を1,500とした場合、VPNルータで発生する処理を30字以内で述べよ。ここで、インターネットを含むすべてのインタフェースのMTUの値を1,500とする。


(1)にあるように、最初、オリジナルIPヘッダ(プライベート)+IPペイロードまでで、MTU1,500です。それにいろいろ付くので、1,500を超えます。こんな時は、過去問やっていると何回も出ていますが、ルータにて分割(フラグメント)します。ルータが忙しくなるので、負荷が上がります。
ただ、答えを見てびっくり。

 答え:フラグメントとリアセンブルの処理が発生する

なんですか「リアセンブル」って?
調べてみると、通信先のルータで、分割されたIPパケットが全て送信されたら、作り直す(組み立てる)処理を行っているらしい。う~ん。フラグメントだけで、半分点数もらえるのかな。

今回の感想

(1)は時間をかけてやっと解けたけど、実際のテストの時間内では解けなかっただろう。ただ、「グローバルIPアドレス」を使っているという点はかけたかも。(負け惜しみですね。)よーし。また明日もがんばろー!

2018年9月6日木曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問3-設問1

OSPFはいいけど、BGPはどうかな… 

ども。問3に入ります。これは当時の試験では選択しませんでした。なぜなら、問題文をパラパラ見たときに、BGPの文字を見つけたからです。正直、使ったことない…です。でも、いずれ使うかも。いや、使う機会ないかも。講評にも設問2,3,4で軒並み「正解率は低かった」とありました。いや、、でも、覚えていて損はないはず。さぁ、挑戦だ!


設問1.本文中の【 ア 】~【 カ 】に入る適切な字句を答えよ。


【 ア 】


これは簡単!文章に「FWでIPアドレスとポート番号の変換処理」とあります。NAPTです。NATではないので要注意です。違いは以下です。(詳しくはグーグル先生へ。)

 NAT(Network Address Translation)
   グローバルIPアドレスとプライベートIPアドレスを1対1で変換。

 NAPT(Network Address Port Translation)
   1つのグローバルIPアドレスと複数のプライベートIPアドレスに変換。
   ※NAPTは名前に「port」が入っています。(IPアドレス+ポート番号を変換)

※NAPT以上に出題回数の多い問題あるのかな。午前問にもありました。
************
問題:ダイヤルアップルータやブロードバンドルータが、IPマスカレード(NAPT)機能実現するために管理している情報はどれか。

【ア
IPアドレスと、ネットワークインターフェースカード固有のMACアドレスの対応


一定時間内にアクセスしたURLとそのページの内容

プライベートIPアドレス及びそのポート番号と、グローバルIPアドレス及びそのポート番号の対応

ホスト名とISPへ接続するたびに変わるグローバルIPアドレスの対応

 答え:ウ

************

 答え:NAPT




【 イ 】


IPsecのVPN通信についてです。IPsecは、本当によく出ます。頑張って覚えよう。(仕事でもよく使うし。)

IPsecではフェーズ1とフェーズ2という2段階で、暗号化用の通信を開始します。
まず、フェーズ1では、お互いのルータ間で認証、鍵の生成、暗号化アルゴリズム(3DESとかAES等)などを決めます。それで、ISAKMP SA(IKE SAとも言う)という制御用のトンネルを作ります。

次にフェーズ2では実際の通信で使う鍵情報:IPsec SAを作ります。IPsec SAは上りと下りで2本です。

説明していて難しいな。ためしにルータか、一番安いFortigateとか買って設定してみてください。(2台いるけど)実際設定してみたら、「なんだそんなことか」という感じ。


この問題では、フェーズ1で、お互いのルータが認証する方法を聞いています。デジタル署名を使う方法とかいろいろあるんですが、一番使われているのが、事前鍵共有(パスフレーズ)方式です。文章の中でも「両方の機器であらかじめ同じ鍵を共有する方式」とあります。

 答え:事前共有鍵(Pre Shared Key)

これも、一度ルータを設定してみてください。「こんな簡単なもの?」と思います。


【 ウ 】


とうとう出ましたBGP。まずはBGPについて、下の午前問題(頻出)を読んでください。

************
問題:IPネットワークのルーティングプロトコルの一つであるBGP-4の説明として、適切なものはどれか。ここで、自律システムとは、単一のルーティングポリシによって管理されるネットワークを示す。

】経由するルータの台数に従って最短経路を自動的に決定する。サブネットマスクの情報で通知できないなどの理由で、大規模なネットワークには適用しにくい。


】自律システム間を接続するルーティングプロトコルとして規定され、経路が変化したときだけ、その差分を送信する。

】自律システム内で使用され、距離ベクトルとリンクステートの両アルゴリズムを採用したルーティングプロトコルである。

】ネットワークをエリアと呼ぶ小さな単位に分割し、エリア間をバックボーンで結ぶ形態を採り、伝送路の帯域幅をパラメータとして組み込むことができる。


 答え:イ

 ア:RIPの説明

 イBGP-4の説明
 ウEIGRPの説明
 エOSPFの説明

 EIGRPは、Ciscoだけの機能ではないのか…(まぁ、いっか。)
************

本題に戻ると問われている用語は「特定のルーティングポリシーで管理されたルータの集まり」です。上の参考問題の中に入っちゃってますが、「自律システム:AS」のことです。因みにASとは、これも午前問題で問われてます。

************
問題:BGP-4におけるASに関する記述として,適切なものはどれか。

【ア
あるルータが作成したRouter-LSAが伝播するルータの集合である。

接続されるルータの数,ブロードキャストやマルチキャストの使用の有無,トポロジ種別などによって区分けされたネットワーク群であり,Helloプロトコル
によって隣接関係を確立する。

同一の管理ポリシによって管理されるネットワーク群であり,2オクテット又は4オクテットのAS番号によって識別される。


リンクステート型の共通のプロトコルを使用して,ルーティング情報を相互に交換するルータの集合である。


 答え:ウ(ア、イ、エはOSPFの説明)

************

 答え:AS


【 エ 】


これ、解けなかった。。答えを見て、問題文投げたくなったし。
でも、文章の中に「トランスポートプロトコル」とか、「ポート番号」とか「コネクション」とかって親切に言ってますね。。

 答え:TCP

ちくしょー!考えすぎた!


【 オ 】【 カ 】


突然、Pingの問題です。因みに、これを「ピング」って読む人は日本人だけです。正式には「ピン」です。そこんとこ、よろしく。(でも仕事で「ピン」って使うと少し恥ずかしい気持ちになる。)
pingのプロトコルはICMPです。これはTCPやUDPと同じL4です。
通信試験でおなじみのコマンドで、echo requestを監視対象機器に飛ばしてecho replyが返ってくることで疎通できるか確認します。

 答え:オ:ICMP、カ:echo reply


なんか、知識問題の説明は、自分のつたない日本語より、午前問の例題の方がわかりやすいですね。今度からそうします!


2018年9月4日火曜日

【ネスペ過去問解説】平成29年度 午後Ⅰ 問2-設問4

VDIは仮想。だから何かあったら大変!

VDIは当然、物理的なクライアントではないので、ウィルス感染などの被害にあったときに、ケーブルを抜くなどの簡単な操作では対応できません。そのとき、どうするというのが問われています。あまり深く考えずに、素直にいきましょう。


設問4.本文中の【 ア 】~【 ウ 】に入れる適切な字句を答えよ。


【 ア 】


上と同じことを言いますが、仮想PCにはケーブルが繋がっていません。では、ウィルスなどのマルウェアに感染した時にはどうすればいいのでしょうか。まずは、他への感染を防ぐために、対象の仮想PCをネットワークから遮断する必要があります。文章には「その仮想PCを【 ア 】から切り離す」とあります。
そこで、文章に戻ると、前半の[VDIの事前調査]の章をみると、(2)に「仮想PCは仮想SWとの接続によって、外部との通信が可能となる」とあります。

 答え:仮想SW


【 イ 】、【 ウ 】


まず、この問題は標的型攻撃対策装置がC&CサーバのIPアドレスを特定した時の話です。
C&Cサーバって何でしょうか。
グーグル先生に聞くと以下の答えが返ってきました。

C&Cサーバーとは、サイバー犯罪に関する用語で、マルウェアに感染してボットと化したコンピュータ群(ボットネット)に指令(command)を送り、制御(control)の中心となるサーバーのことである

なんか漫画「ブラッディ・マンデイ」に出てきそうな攻撃です。
(こういうのをかっこいいと、つい思ってしまいます。)
要はクライアント側がインターネット上のサーバと何らかの通信をするということです。

次に、UTMで行うフィルタリング定義についてですが、本文中では、「インターネット方向の通信を遮断する」とあります。つまり、内部LANからインターネットへの上向きの通信で対応しちゃおうということです。

そうなると送信元である【 イ 】は、他の仮想PCも含めて全て(任意)ですね。宛先の
【 ウ 】はC&Cサーバです。

 答え:【 イ 】:任意、【 ウ 】:C&Cサーバ

私、【 イ 】の答えに「any」と答えてしまいました。あれは正解だったのかなぁ。。部分点もらえなかったかな。。


問2を書き終えて思うこと。

ブログを書き始めて、2週間近くたち、グーグル先生で検索かけても、なかなか出てこない日々が続きました。(正直、独り言はさみしいっす。)でも、いろいろと調べてみると、「Google Search Console」に登録しないといけなかったんですね。あと、誰かにリンクしてもらわないと、クロールという人が見つけてくれないんですね。
今まで離れ小島だったんだ。。
勉強不足でした。
この世界もまた深い。

ただ、今日、初めて検索に引っ掛かりました!うれしい!

やる気が出ました。まだ、身内にしか見られていませんが、誰かの目にとまり、誰かの役にたてるときが来る日を楽しみに、続けるつもりです。
H29もあと少し。頑張ります。
だれかリンクしてー!


【ネスペ過去問解説】平成29年度 午後Ⅰ 問2-設問3

一旦VDI関係は忘れて、今度は帯域制御です!


ども。設問3に入ります。先ほどまでは、VDI関係通信について触れておりましたが、今度は、VDIをするときの帯域制御についてです。


設問3.[帯域制御の設計]について、(1)、(2)に答えよ。


(1)本文中の下線④について、帯域制御の設定を行わなかった場合、TCの操作性が悪化することが懸念される。TCの操作性が悪化する原因を、プリント通信の特性に着目して25字以内述べよ。


何を聞いているかわからない…。VDI通信とプリント通信が一緒だとTCの通信用の空きがなくなるからじゃないの…?
よくわかりませんが、とにかく問題文に「プリント通信の特性に着目して…」とあります。なので、こういう時は素直にプリント通信の特性を探してみよう。

本文には「PCからプリントサーバに印刷データを送信したときは、一次的に大量の帯域を使用する」とあります。つまり、プリント通信は、回線の帯域をあるだけ全部使っちゃうんですね。そこで、帯域制御をしていないと、画面転送が遅延してしまいます。

仕事の中でもよくあります。クライアントが一斉にソフトのアップデートをかけたりして、帯域不足となり、業務システムへのアクセスができなくなったりします。

ただ、問題に「操作性が悪化する原因」とあります。深く考えすぎてしまいがちですが、ここの答えはいたってシンプル。

 答え:プリント通信が画面転送通信を圧迫するから。

この答えをすぐに出せる人いるのでしょうか。。
まぁ、ネスぺの問題の鉄則で、「理由を聞かれたときはシンプルな答え。目的を聞かれたら深い答え」と覚えておきましょう。私も自信はなかったですが、時間がなかったので、
とりあえず、「えい!」と書いたらあたりました。よかった。。

(2)本文中の下線⑤について本社から各支店方向の通信の帯域が、各支店のアクセス回線ん契約帯域を超過した時、帯域制御装置がパケットに対して行う制御の内容を、15字以内で述べよ。


ここではシェーピングの機能にかんする説明を問われています。この問題は午前問を繰り返し説いていた人にはラッキー問題です。なぜなら、何年に一度必ずでる問題だからです。午前問題で以下のような問題があります。

************
問題:ネットワークのQoSで使用されるトラフィック制御方式に関する説明のうち,適切なものはどれか。

【ア通信を開始する前にネットワークに対して帯域などのリソースを要求し,確保の
状況に応じて通信を制御することを,アドミッション制御という。


入力されたトラフィックが規定された最大速度を超過しないか監視し,超過分の
パケットを破棄するか優先度を下げる制御を,シェーピングという。


パケットの送出間隔を調整することによって,規定された最大速度を超過しない
ようにトラフィックを平準化する制御を,ポリシングという。


フレームの種類やあて先に応じて優先度を変えて中継することを,ベストエ
フォートという。

************

答えは「ア」です。ただ、ポイントはそこではなく、この問題文では、「イ」と「ウ」の説明が「シェーピング」と「ポリシング」で逆なんですね。つまり、「シェーピング」はパケットの「送出間隔を調整」するのです。(「エ」を選んだ方。。勉強不足ですよ。もう一度午前問題にチャレンジしてください!)

 答え:送出タイミングを調整する。


なんとなく、解説書っぽくなってきました。(自己満)
明日も頑張るぞ!みんな、がんばれ!