ネットワークスペシャリスト要点整理

ネットワークスペシャリストの受験者向けに、要点を整理したブログとなります。間違い等あれば教えてください。

【ネットワークスペシャリスト】試験結果と回答再現

本日の正午にネットワークスペシャリストの結果が出たのでそちらの共有と、再現回答を記載したいと思います。

 試験結果

無事合格できました。一発で合格できてよかったです。

個人的に落ちるなら午後Ⅰで足りないだろうなと思っていたのですが、ふたを開けてみれば80点取っていて驚きました。 TACとかで解答速報が1週間後に出るので自己採点していましたが60点付近でしたので結構びくびくしていました。 TACとかでも全然解答間違っていて、実は自分があっていた箇所もあったので参考程度にしておくとよさそうです。

再現回答

■午後Ⅰ

【問1】

設問1

(1) a バックボーン b ルータ c デフォルトゲートウェイ

(2) 不正な機器と経路交換が行われ経路の流出や別の経路が使用される問題

(3) 大きくする

(4) ルータがOSPFで受け取る経路が最新の状態

設問2

(1) 大阪本社:(ウ)

  東京本社:(ア)(イ)

(2) 広域イーサ網接続インタフェースのコストを1001以上とする

(3) 想定外自称発生時にインタフェースの有効化で復旧対応可能のため

(4) タグをつけどのインタフェースのケーブルか判断できるようにする

(5) R11,R20,R30,L3SW10

【問3】

設問1

(1) ログ解析時にログの時刻が正しいことを保証するため

(2) ・RADIUSプロトコルを用いた利用者認証を行うため

  ・登録したFQDNIPアドレス宛ての通信をブロックするため

(3) L3SWのDHCPリースログ

(4) a プロキシサーバ b 認証サーバ

(5) c 10080 d 443

設問2

(1) SGWサービスのルート証明書

(2) C&Cサーバ

設問3

(1) 2,7

(2) B,A,I,E,I,K

(3) 内部セグメント、SWGサービス、TCP/443

(4) アクセス許可をする送信元をSWG-GIPだけに制限する設定変更

(5) 通信遅延が減る利点

■午後Ⅱ

【問1】

設問1 a IPアドレス b ブロード c 応答

設問2

(1) d 16 e 32 f 64

(2) 所属する同一のセグメント上

(3) 同じLLAやGUAを持つ機器がないことを確認し被りがなく一意に識別できることを保証するため

(4) 2001:db8:11bb:1:8:800:200c:417a 、 64

(5) デフォルトルータ

(6) IPv6アドレスからPCが特定不可のため

設問3

(1) TCP

(2) 2001:db8:xxxx::10, 2001:db8:xxxx::20

  ns1.example.net. , ns2.example.net.

(3) IPv6が不通となった場合でもIPv4を用いて継続して通信が可能なため

設問4

(1) ISPから割り当てられたGUAのリソース削減を行うことと、外部からのアクセスをできないようにする目的

(2) traceroute6を使用した際に静的に設定したGUAをもとに機器が特定できる利点

(3) RAメッセージにGUAの生成やデフォルトルータの決定に必要な情報を入れ送信する

(4) ア fe80::1 イ b ウ fc80::2 エ c オ fe80::1 カ d キ fe80::2 ク f ケ fe80::1

(5) ホップリミットが0になるまでルータ間でくり返し送受信され、ホップリミットが0になると破棄される

(6) 宛先ネットワークのプレフィックス長がより長いため

(7) NAPT

(8) 宛先への経路における最大のMTU

まとめ

明確に誤っている箇所もありますが、原文のまま記載しました。

午後Ⅰは特に思ったのですが、結構回答は幅広く正解になっているみたいです。

コツとしては、1つでもミスがあると間違えになると思うので、書きすぎないということが大切かと思います。

以上参考になれば幸いです。

【ネットワークスペシャリスト対策】ルーティングプロトコル関連

ルーティングプロトコル関連

RIP

特徴

  • ディスタンスベクタ型のダイナミックルーティングプロトコル

⇒どちらの方向の何個先にあるかでルーティングを行う

  • ディスタンスについては、最大15までのみ対応。中小規模のネットワークに使用
  • 30秒ごとにルーティングテーブルをブロードキャストで伝達する

RIP-2

RIPv1と比較した特徴

OSPF

特徴

  • リンクステート型のダイナミックルーティングプロトコル  ⇒どのように接続されているかというトポロジ情報をもとに経路を判断   ループ構造を持つネットワークでも問題なく判断可能
  • ネットワークのスピードを考慮し経路を選定  ⇒コストという概念を付加し回線のスピードを考慮した経路を選ぶことができる
  • SPF(Shortest Path First)アルゴリズムを使用し、経路を決定する
  • エリアという概念で区切り、エリア内のトポロジ情報のみを保持することで負荷を軽減する

BGP

特徴

  • AS番号というネットワークの縄張りに割り当てられた番号を使用して行う ダイナミックルーティングプロトコル
  • CEルータ同士で渡す経路には経由したAS経路のリストを含んでおり、 このAS経路リストが最も少ないものを選定し経路を決定する
  • 自分のAS番号が含んでいる経路については削除を行いループを防ぐ
  • LOCAL_PREFという値をもとに、AS内部から出ていく際にどのルータを使用するか 決めることが可能

⇒CEルータは冗長のため複数あるのが一般的なので通常時通信はAct機から行う際などに使用

【ネットワークスペシャリスト対策】プロキシとは?

プロキシの種類

プロキシには2つの種類がある。

  • リバースプロキシ
    外部からのリクエストを最初に受け取り、内部サーバに転送する役割 Webサーバなどの配置してあるLANにあるイメージ
  • フォワードプロキシ
    外部に接続する際に、クライアントの代わりに外部サーバへ接続する役割   
    接続する端末のLAN内にあるイメージ

プロキシのメリット

  • 匿名性の向上:エンドユーザのIPアドレスを秘匿にすることが可能
  • キャッシュ機能:アクセス先情報を保存し、ネットワークの負荷軽減に
  • アクセス制御:特定サイトへのアクセスを制限
  • コンテンツフィルタ:不適切なコンテンツをブロック
  • 通信の監視と記録:トラフィックを監視し、ログを記録可能

その他プロキシ関連技術

  • PACファイル

自動でプロキシサーバを選択するためのJavaScriptファイル。

ドメインごとに異なるプロキシサーバを使用するような設定も可能。

  • WPAD(Web Proxy Auto-Discovery Protocol)

ブラウザが自動的にプロキシサーバを検出するプロトコル

WPADはPACファイルをホストしている。

ブラウザ側でWPADをオンにしておく必要あり。

イメージは、DHCPのプロキシ版のようなもの

  • CONNECTメソッド

HTTPメソッドの1つで、プロキシにHTTPSのような暗号化通信を行う際

クライアントとプロキシ間でトンネルを確立し、暗号化通信を通過するための設定。

プロキシはデータの中身を確認せず、転送するだけ

【ネットワークスペシャリスト対策】DHCPとは?

DHCPとは?

DHCPIPアドレスを割り当てるためのプロトコル

UDPを使用し、ポートはサーバ側が67、クライアント側が68。

IPアドレスが未定状態のため、TCPでハンドシェイクができないのでUDP

主な機能

サブネットマスクデフォルトゲートウェイDNSの設定など

IPアドレスをクライアントに払い出す際、リース期間を設定。

リース期間が過ぎた場合、クライアント側からDHCPサーバに更新を要求するので

それらの管理を行う。

DHCPでIP取得までの流れ【重要】

  1. クライアントがLANに参加した際に、DCHP Discoverメッセージをブロードキャストする
  2. メッセージを受信したDHCPサーバはIPアドレスを含んだDHCP Offerメッセージを送付
  3. クライアントは受信したIPアドレスを使用するためにDHCP Requestメッセージを送付 ⇒複数DHCPサーバがある場合は、最初に受信したOfferにのみRequestを送付する
  4. DHCPサーバはクライアントに対し、使用許可フラグとリース期限を含めたDHCP ACKを 送付し、IPアドレスが有効になる。

補足事項

DHCPクライアントが電源切断時にDHCP RELEASEを送付しIPアドレスを開放する。

次回の起動時に再度DHCPIPアドレスを取得する。

  • DHCPリレーエージェント

ルータやL3SWがDHCP Discoverを他のNWに転送するために行う設定のこと。

複数のNWで1つのDHCPサーバを用いたい場合に使用される。

この設定を行うことで、本来ブロードキャストの届かない他のNWにDiscoverが届く。

【ネットワークスペシャリスト対策】IEEE 802.1Xとは?

IEEE 802.1Xとは?

LAN内での認証に使用するプロトコル

EAP(Extensible Authentication Protocol)とRADIUSを用いる認証。

認証情報によって利用するVLANを決定することや、隔離VLANを割り当てることなどが可能。

構成について

IEEE 802.1Xを使用する際は、主に3つの機器によって構成される。

  ⇒RADIUSRADIUSサーバに送付するので、RADIUSクライアント設定が必要

  • 認証サーバ:RADIUSサーバ。オーセンティケータからのRADIUS問い合わせを検証する

EAP認証方式

ユーザ名とパスワードをMD5を使用しハッシュを作成し使用する

サーバー認証にサーバーの証明書、クライアント認証にはクライアントの証明書を使用する

用語

  • EAPOL(EAP over LAN)

EAPパケットをフレームのデータ部分に入れて送付するプロトコル

サプリカント⇔オーセンティケータ間で使用される。

【ネットワークスペシャリスト対策】PoEとは?

PoEとは?

LANケーブルを使用して電源を供給する技術

APとSWが対応していれば、その間をLANケーブル1本差すのみで使用可能となる

PoE規格

規格によって、最大供給電力が異なる。

  • IEEE 802.3af (PoE)   15.4W
  • IEEE 802.3at(PoE+)  30W
  • IEEE 802.3bt(PoE++)  90W

おおよそ15W、2倍、3倍で覚える

【ネットワークスペシャリスト対策】SSO認証とは?

SSO認証とは?

一度認証をすることで、様々なシステムで認証が不要となる認証方式のこと。

主に3つの方式があるので解説する。

SAML認証(Security Assertion Markup Language)

異なるドメイン間での認証情報の安全な交換を実現する認証方式。

例) 企業のポータルサイトでの利用 等

ユーザ・SP(Service Provider)・IdP(Identity Provider)・認証サーバが登場人物。

フロー

  1. ユーザがSPのサイトにアクセス。
  2. SPはIdPへリダイレクト
  3. IdPはユーザに認証を要求
  4. ユーザがIdPに認証情報を入力
  5. IdPは認証情報を認証サーバに送信する
  6. 認証サーバはIdPに認証結果を送付
  7. IdPは成功を確認し、SAMLアサーションをユーザに発行
  8. 以後ユーザはSPに対してSAMLアサーションを提示することで、認証をスルー可能

oAuth認証(Open Authorization)

SNSを連携するサービスで使用される認証方式。

例)Googleアカウントを使用してログイン 等

フロー

  1. ユーザがWebサービスにアクセスし、OAuth認証を選択
  2. WebサービスSNSにリダイレクト
  3. SNSは認証をユーザに要求
  4. ユーザが操作許可を行う旨と認証情報をSNSに提供
  5. SNSからユーザに認可応答をユーザに伝達
  6. ユーザが認可応答した旨をWebサービスに伝達
  7. WebサービスSNSトークン発行を要求
  8. SNSWebサービス向けにトークン発行
  9. Webサービストークンを使用しSNSの情報をもとに認証が可能に

Kerberos認証

用語

クライアント(ユーザ):認証を要求する側

KDC(Key Distribution Center)認証局(ASとTGSを含む)

  • AS(Authentication Server):ユーザ認証を行い、TGTを発行
  • TGS(Ticket Granting Server):サービスごとのチケットを発行

フロー

  1. ASに認証要求(ユーザIDを送信)
  2. ASがTGTを発行(暗号化したTGTとセッションキーを送信)
  3. クライアントがTGSにTGTを提示し、サービス利用チケットを要求
  4. TGSがサービス利用チケットを発行
  5. クライアントがサービス利用チケットをSPに提示
  6. サービスがサービス利用チケットを検証し、アクセスを許可

イメージ

⇒オーソドックスなSSO認証。

サービスに接続し、そのサービスとIdPの間でもろもろやり取りをするイメージ。

  • OAuth

SNSなどの外部アプリの認証を使用する方式。

SAMLのIdPがSNSになり、トークンの使用者などが変わる。

  • Kerberos認証

⇒最初から認証基盤にアクセスし、そこから今後使用するSPに対するチケットをもらい

使用していくイメージ。