ネスぺ午後に向けて気を付けるポイント

スポンサーリンク

こんにちは、しぐれがきです。

サーバ開発においてネットワークの仕組みを理解しているのは重要だと思い、2017年度秋に開催されるネットワークスペシャリストを受験することにしました。
いよいよ、受験日まで1ヶ月という時期で、ネスぺの午後の過去問を解き進めています。
が、全然合格点に届きません泣
不安です。。。

本記事では午後の過去問を解いた中で間違えた/あいまいな点を整理しました。
自分の見直しのために備忘録的にまとめています。
※解いたら追加していくので、受験までにはどんどん更新していこうと思います。

目次

目次


参考

(全文PDF・単語帳アプリ付) 徹底攻略 ネットワークスペシャリスト教科書 平成29年度

ネスペ 27 礎 -ネットワークスペシャリストの最も詳しい過去問解説 (情報処理技術者試験)

ネスペ 26 道 ?ネットワークスペシャリストの最も詳しい過去問解説 (情報処理技術者試験)

ネスぺの剣25 ~ネットワークスペシャリストの最も詳しい過去問解説 (情報処理技術者試験)

【ネットワークに関することが体系的によくまとめられているサイト】

ネットワークエンジニアに必要なネットワーク技術とCisco・Juniper・F5製品の技術解説。NWエンジニアの仕事内容や年収を紹介。ネットワークスペシャリスト、CCNA/CCNP/CCIEの情報発信。

【その他の参考サイト】
各章で参考サイトを記載。



平成28年秋 午後1 問1


平成28年秋 午後1問1は電子メールシステムに関する問題です。

[設問1] SMTM-AUTH


SMTPを拡張して、SMTPを送信するときにクライアントとメールサーバとの間でユーザ名とパスワードなどで認証する方式
SMTPSはSSL/TLSで伝送路を暗号化したメール送信プロトコル

認証せずにメールが送信できると、不正なメールの送信の踏み台にされる可能性があるので、SMTP-AUTHや後述するメールの認証方法を利用すること。

[設問1] メールサーバの資源レコード


DNSへのメールサーバのレコード登録は以下の様に記載する。

 ドメイン名 IN MX 優先度 メールサーバのFQDN(ホスト名) 

[設問2] SMTPで自ドメイン以外へのメール転送を許可すると・・・


SMTPメールサーバが社外宛のメールを受信したときに、社外宛てのメールを送信してしまう。
そのため、踏み台に利用される可能性がある。


[設問2] OP25Bを設定するルータ


OP25Bを設定するルータはISPのインターネットに接続する側のルータである。
ISP利用者側のルータに設定するのもいいが、複数あるルータに対して設定しないといけない上に、ISP内の25番ポートのメールは許可しているため、ISP外へ出ていくインターネットとの境界にあるルータに設定する。


[設問2] サブミッションポート


プロバイダによってOP25Bによる他プロバイダ宛のメール送信が制約がかけられた。
他プロバイダ宛のメール送信を行う場合は、サブミッションポート(TCPの587番ポート)でメールを送信する。サブミッションポート経由のメール送信はSMTP-AUTHが必須のため、送信メールサーバの認証を行うことで不正なメールを他プロバイダに送信されないようにしている。

[設問2] 暗号化したSMTP


SSL/TLSを導入することでSMTPの伝送路を暗号化できる。
暗号化する方法としては、最初から暗号化SMTP専用のポートで行う方法と、STARTTLSを利用する方法がある。
STARTTLSを利用した方法では通信開始時は暗号化を行わず、ポート番号は25番で通信をするが、STLSコマンドでTLS通信に途中で切り替えられる。
このとき、ポート番号は変わらず25番を利用できる。

[設問3] SMTPコマンドのシーケンス


以下のシーケンスでSMTPの通信をする。
主なコマンドを以下
・「HELO」コマンド
通信開始
・「EHLO」コマンド
通信開始(拡張版)
・「MAIL FROM:」コマンド
送信者
・「RCPT TO:」コマンド
受信者
・「DATA」コマンド
メールの本文
・「QUIT」コマンド
終了


[共通] メールでの認証方法


メールでの認証方法は幾つかある。

POP before SMTP


SMTPは認証機能がないため、SMTPを送信する前にPOPでクライアント認証をし、その後の一定期間だけ同じIPアドレスからのSMTP通信の許可をする方式

SMTP-AUTH


SMTPを拡張して、SMTPを送信するときにクライアントとメールサーバとの間でユーザ名とパスワードなどで認証する方式

OP25B(Outbound Port 25 Blocking)


プロバイダのメールサーバを介さない直接25番ポートでSMTP通信することを防止する方式
迷惑メールの送信に自社のネットワークを使われないようにするためのプロバイダの対策
この場合、契約しているプロバイダから社内メールサーバ経由でメールを送りたいときはブロックされてしまう。
そのため、サブミッションポート(587番)を使ってSMTP-AUTHで認証してメールを送信する。

SPF(Sender Polocy Framework)


SPF(Sender Polocy Framework)はIPアドレスでメールサーバの正当性を検証する

DKIM(DomeinKeys Identified Mail)


DKIM(DomeinKeys Identified Mail)はデジタル署名を用いてメールサーバの正当性を検証し、送信ドメイン認証を行う方法。



平成28年秋 午後1 問2


平成28年秋 午後1問2はモバイルネットワークの検討に関する問題です。

[設問1] 事前共有鍵


無線LANの認証方式の1つ。
PSK(Pre-Shared Key)で事前に共有鍵を交換しておく

無線LANの暗号化については平成25年秋 午後2問1で整理しているのでそちらを参照
無線LANの暗号化について

[設問2] 無線LANのステルス機能


無線LANのアクセスポイントは定期的にビーコンを送信している。
無線LAN端末はそのビーコンを受信することで、アクセス先を選択できるようにしている。
ステルス機能はこの定期的なビーコンを出さないように設定する機能。
注意は、無線LANからの接続要求(アクティブスキャン)をするとアクセスポイントは応答を返してしまうこと

また、SSIDやMACアドレスは暗号化されていないため、傍受がしやすいので注意

[設問4] プロキシ認証によるユーザ特定


プロキシサーバはレイヤ3のIPアドレス情報しかとれず、ユーザ名などのログはとれない。
また、IPアドレスはDHCPで動的に払い出されていることが多く、IPアドレスからユーザを特定することは難しい。

このとき、プロキシサーバでユーザ特定する方法として、プロキシ認証というものがある。
これはプロキシユーザがアクセス時にユーザ認証させることにより、その情報をログに残すことができる。これにより、ユーザ特定が可能となる。

[設問4] Request-URIの情報


・接続先ホスト名
・接続先ポート名
URIの情報にはホスト名や:によってポートを指定するなど情報がはいっている。



平成28年秋 午後1 問3


平成28年秋 午後1問3はメールサーバの更改に関する問題です。

[設問1] DNSラウンドロビンでのサーバ接続の偏りについて

DNSサーバでラウンドロビンで接続先を決定しているときには以下の点に注意
・接続要求元の数 < 接続先の数の場合、接続先が偏ってしまう。
・DNSサーバはキャッシュを持つため、この偏りはDNSが更新したときにその他の接続移行し、偏りは継続する。


[設問3] メールサーバ移行時のメールルーティングについて


メールサーバ移行時は新旧メールサーバを並行稼働させる。
(DNSサーバのキャッシュの関係で、しばらくの間旧メールサーバあてのメールが送信される可能性もあるため)
このとき、新メールサーバから旧メールサーバへメール転送(メールルーティング)を実装する必要がある。


[共通] プライマリDNSからの更新通知(Notifyメッセージ)


ゾーン転送はセカンダリからプライマリに対して要求して実行するが、その契機はプライマリ、セカンダリどちらからもできるようになっている。

セカンダリからゾーン転送要求


プライマリからゾーン転送要求


参考:
【DNSにおけるゾーン転送】

DNSを構築する上で、インターネット上の障害に備えた構成が必要です。 そのため同じZone情報を持つ、ネームサーバを複数持ちます。 この複数のネームサーバ間で、プライマリサーバからセカンダリサーバへZ



平成28年秋 午後2 問1


平成28年秋 午後2問1はネットワークシステムの拡張に関する問題です。

[設問5] 移行作業で問題発生時の対応


移行作業で問題が発生したときはもとの状態に戻せることが重要
これを切り戻しという。



平成27年秋 午後1 問1


平成27年秋 午後1問1はシングルサインオンの導入に関する問題です。

[設問1] Set-Cookie


HTTPレスポンスヘッダでサーバはレスポンスに関する追加情報を載せる。
Set-CookieでWebサーバがPCにCookieを渡す時に使用される。
Set-Cookieの属性は以下のようなものがある。
・expires
クッキーの有効期限
・domain
クッキーが有効なドメイン
・secure
HTTPSのみクッキーを有効

参考:

[設問1] ループバックインタフェース


自IPアドレスとは異なるアドレス宛てのパケットを受信するときに設定する。
平成27年午後1問1ではLBに設定されているVIPアドレスをSSOサーバにも受信させたい場合に、SSOサーバのループバックインタフェースにVIPアドレスを設定している。

[設問3] URLの構成


ホスト名+ドメイン名がFQDN(Fully Qualified Domain Name)
FQDN以降のサブドメインやIDを含む部分全体をURL(Uniform Resource Locator)

以下はshiguregaki.comのメインページのURLにホスト名wwwを加えたもの

[設問4] GARP


正式名はGratuitous ARP
GARPは「IPアドレスの重複検出」や「冗長化機器の切り替え時」に使用される

[共通] DSR方式によるサーバの二重化


DSRはDirect Server Returnの略
クライアントからのリクエストはロードバランサが受付、レスポンスはロードバランサが経由せず、直接サーバがクライアントに返す方式
サーバにはループバックインタフェースにロードバランサのIPアドレスを設定
ロードバランサは受信したパケット転送時にMACアドレスのみサーバのMACアドレスに変更する
行きのパケット:クライアント => ロードバランサ => サーバ
返りのパケット:サーバ => クライアント


メリット
・LBの処理が減少するので、システム全体のスループットが向上する

デメリット
DSRはL4でしか動作しないため、
・CookieなどのL7の情報をもとに負荷分散はできない
・ロードバランサでSSL終端はできない
・サーバにロードバランサのIPアドレスを設定が必要となる

参考:

ロードバランサ - ワンアーム構成。

[共通] シングルサインオン


シングルサインオンとは一度の認証で複数のサーバやアプリケーションを利用できる仕組み。
大きく分けて2つの型がある
1.エージェント型(チケット型)
SSOを構築するサーバにエージェントソフトウェアをインストールする。
ユーザは認証サーバで認証を受けて、許可されるとチケットが発行される。
ユーザはそのチケットを使ってサーバにアクセスし、サーバはそのチケットを確認することで認証済みのユーザであることを判定する。

2.リバースプロキシ型
ユーザからの要求を一度リバースプロキシサーバがすべて受け付けて、中継する。
認証もリバースプロキシサーバで行う。



平成27年秋 午後1 問2


平成27年秋 午後1問2はファイアウォールの負荷分散に関する問題です。

[設問4] RSTフラグ


RSTフラグはTCPヘッダのコントロールフラグ内にあるフラグの1つであり、コネクションが強制的に切断されることを意味する。何らかの異常を検出した場合に送信される。

その他のコントロールフラグは以下。


[共通] 透過モード


透過モードはルーティングの機能はOFFにしてレイヤ2のブリッジ機能のみ有効にするモード。
ブリッジモードとも呼ばれる。
レイヤ2のブリッジ機能となるため、IPアドレスやポートの変換は行われず、宛先MACアドレスのみ変換される。

透過モードを行えるのはルータやFW、LBなどがある。
ルータをルーティング機能をOFFにしてL2スイッチとして使うのと同じ。
利点としては、同一ネットワークになるため、VLANやマルチキャスト、ブロードキャストなどのパケットが転送することができる。


[共通] FWの冗長化


FWを冗長化する方法は以下の2つある。
1.VRRPを利用した方法
2.独自プロトコルを使用した方法

VRRPを利用した方法

優先度によって、Active/Standbyを判定しており、優先度が大きい方がActiveとなる。
VRRPによって仮想化されたIPアドレス、MACアドレスを持ち、外部との通信はこの仮想アドレスを使用する。
ActiveのFWは定期的にVRRP広告をStandbyのFWに送信し、StandbyのFWはそのVRRP広告を受信することでActive機器が正常に動いていることを把握する。
VRRP広告が来なくなったら、StandbyのFWがActiveとなる。
このとき、仮想IPアドレス、仮想MACアドレスをStandbyだったFWを引き継ぐ。
TCPセッションは張りなおす必要ががある。

また、ARPの応答はActiveのFWのみが応答する。


参考:

独自プロトコルを使用した方法


FWはフェールオーバリンクと呼ばれる専用のケーブルで接続する。
このケーブルは専用である必要はなく、LANケーブルでもOK。
また、スイッチを挟んでもOK。(H26年午後1問2で出題されている)
この専用ケーブルを接続するポートはFWに設定する必要がある。

フェールオーバリンクでConfig値やセッション値をやり取りしているため、ActiveのFWに異常が発生してもセッション情報を引き継ぐことができる。
また、異常時にはActiveのFWに設定されていたIPアドレス、MACアドレスがStandbyのFWに引き継がれる。
ただし、このとき接続するポートが変わるため、GARP(Gratuitous ARP)で接続機器のARPテーブルを更新する。


[共通] LBのヘルスチェック

LBからのヘルスチェックは以下のようなものがある。
1.pingチェック(IPレベルでのチェック)
2.ポートチェック(TCP/UDPレベルでのチェック)
3.コンテンツチェック(HTTPを使ったチェック)
4.アプリケーションチェック(アプリレイヤでのチェック)

参考:

〜サーバヘルスチェック/サーバ接続維持〜



平成27年秋 午後1 問3


平成27年秋 午後1問3は侵入検知・防御システムの導入に関する問題です。

[設問1] アノマリ型とシグネチャ型


異常検知の方法として以下の2種類ある。
1.シグネチャ型
既知の攻撃パターンに基づいてパターン・マッチングによって通信パケット内に不正なビット列などが入っていないかを調べて、異常を検出する。
サーバの既知の脆弱性を突いた攻撃を防ぐことができる。
シグネチャは,基本セットをベンダーが用意してくれている。ユーザカスタマイズも可能。

2.アノマリ型
RFCのプロトコル仕様などと比較して異常なパケットやトラフィックを分析して統計的に異常なパケットを検出する。
違反するものはすべて異常だと判断する。
新しいプロトコルが出てきたときなどは変更が必要。

[設問1] ミラーポートの設定


IDSでパケット監視をするときには以下の設定する必要がある。
・L2SWにミラーポートの設定
※シェアードHUB(バカHUB)でも代用可能
・IDSにプロミスキャスモードの設定
=>自分あてのMACフレーム以外でも受信できるようにする。

[設問1] port unreachable


ICMPのタイプ3(Destination Unreachable;宛先到達不能)のコード3(port unreachable;ポートを使用できない)
ICMPを使ってコネクション切断やUDPのさらなる攻撃を防ぐことができる。

ICMPのタイプ、コードについては後述

[設問3] IPSのバイパス機能


IPSが冗長化されていない場合、IPSが故障すると通信できなくなる。
バイパス機能(フェールオープン機能)で「遮断せず、通信をそのまま通過させる」ことが可能
IPSの機能として実装されているもので、バイパス機能有効/無効は設定で変更できる

[共通] IDSとIPS


IDS(Intrusion Detection System)は侵入検知システム
検知する機能のみのため、ネットワーク管理者がその検知した内容に基づいてセキュリティ制御をしない限り攻撃を防止することはできないし、リアルタイムに攻撃を阻止することもできない。

IDS(Intrusion Prevention System)は侵入防止システム
検知するだけでなく、破棄したりセッションを切断して即座に防御できる。

IDSの種類


IDSには2種類ある。
1.ネットワーク型IDS(NIDS)
ネットワークに接続せてたネットワーク全般を管理する。(平成27年秋 午後1 問3はこのタイプ)

2.ホスト型IDS(HIDS)
ホストにインストールして特定のホストを監視する。
ホスト型IDSの場合、暗号化されたパケットやファイルの改ざんについての不正も検出することができる。

フォールスポジティブとフォールスネガティブ


IDSとIPSのエラーは以下の2つがある。

1.フォールスポジティブ
正常な通信を誤って異常と検知してしまうこと

2.フォールスネガティブ
異常な通信を検知できずに見逃してしまうこと

[共通] ICMPのタイプとコード一覧


ICMPはIPヘッダの上位につき、以下のフォーマットの様にタイプとコードで識別される。


ICMPのタイプ一覧


ICMPのタイプとその内容は以下


ICMPのタイプとコードの組み合わせ一覧


ICMPのタイプとコードの組み合わせについては以下
※背景黄色は個人的に出る可能性があるもの


参考:

ICMPについてはじめから解説。



平成27年秋 午後2 問1


平成27年秋 午後2問1はサーバ冗長化、閉域網の拡張に関する問題です。

[設問4] HTTPヘッダのconnectionフィールド


HTTPヘッダのGeneral headers(一般ヘッダー)にconnectionフィールドがある。
connectionフィールドは応答後ににTCPコネクションを切断するか否かなどを指定する

Connection: close
応答の後にTCP切断を指示

Connection: KeepAlive
コネクションの継続を指示


複数の物理リンクを束ねて1つの論理リンクとして扱うことのできる技術
最大8本の物理リンクを1つの論理リンクに束ねられる。
これによりリンクの冗長化を実現できる。
リンクアグリゲーションはスイッチ間以外にサーバ-スイッチ間においても実装可能

リンクアグリゲーション状態ではスイッチがどちらのポートに送信するかを負荷分散をしている。
片側の異常を検出すると、残りのポートを使って通信を継続する。


参考:
【リンクアグリゲーションについてまとめられたページ】

リンクアグリゲーションの解説



リンクアグリゲーションの設定方法は大きく2つある。
1.スタティックリングアグリゲーション
各装置のコンフィグを手動で設定する
2.ダイナミックリングアグリゲーション
LACPプロトコルを使用しスイッチ間でネゴシエーションして動的にリンクアグリーゲーションを構築する

[共通] チーミング


チーミングとはサーバ等に搭載した物理NICを論理的に一つに束ねる技術。
帯域増加や負荷分散、冗長化を実現できる。
※チーミングを行うには物理NICとそのドライバが対応している必要がある。

チーミングは以下の3通りある
1.フォールトトレランス
ActiveラインとStandbyラインに分けて使用する。
Activeラインが不具合発生時にはStandbyラインがActiveとなる。
→負荷分散にはなっていない

2.リンクアグリゲーション
物理NICを束ねることで冗長化しつつ、帯域幅を増加することができる。
スイッチ側ポートもリンクアグリゲーションを実装必要

3.ロードバランシング
物理NICを束ねることで冗長化しつつ、トラフィックの負荷分散を行うことができる。
それぞれの各通信は物理NIC1枚だけで処理されるので、複数NICによって通信を独立して行えるので、スループットは向上する。

参考:
【チーミングについてまとめられたページ】

チーミングとは、チーミングの種類(フォールトトレランス、リンクアグリゲーション,ロードバランシング)の解説。ボンディングとの違いは?

[共通] HTTPメッセージ


HTTPメッセージは以下のような構成になっている。
・Start line
・HTTP headers
・Empty line
・Body

以下はshiguregakiブログのメインページにアクセスしたときのHTTPリクエスト/レスポンスのやり取り

HTTPメッセージ Start line


【リクエスト】

構成は以下の通り。

HTTPリクエストのStart line
メソッド リクエストURI HTTPバージョン

メソッドは以下の通り。
・GET:データを取得
・POST:データを登録
・CONNECT:プロキシにトンネル接続要求
・HEAD:ヘッダのみを取得
※GETとHEADは必ずサポートしないといけない

【レスポンス】

構成は以下の通り。

HTTPレスポンスのStart line
HTTPバージョン ステータスコード 説明句

ステータスコードは以下の通り。
100番台は正常に処理中
200番台は正常
(200はOK)
300番台はさらに動作が必要なもの
400番台は間違ったリクエスト
(404はNot Found)
500番台はサーバのエラー
(500はInternal Server Error)

HTTPメッセージ HTTP headers


HTTPヘッダはさらに4つに分類される。
・ジェネラル・ヘッダ
要求と応答の双方で使われるヘッダ・フィールド
・要求ヘッダ
要求の付加情報として使われるヘッダ・フィールド
・応答ヘッダ
応答の付加情報として使われるヘッダ・フィールド
・エンティティ・ヘッダ
エンティティ(ボディ部分の情報)の付加情報として使われるヘッダ・フィールド


【ジェネラル・ヘッダ】

【要求ヘッダ】

【応答ヘッダ】

【エンティティ・ヘッダ】

参考:
【HTTP メッセージについてまとめられたページ】

HTTP メッセージは、サーバーとクライアントがデータを交換する手段です。クライアントが送信してサーバーにアクションを起こさせるリクエストと、サーバーの回答であるレスポンスの、2 種類のメッセージがあります。

【HTTPヘッダ一覧についてまとめられたページ】



平成27年秋 午後2 問2


平成27年秋 午後2問2はCGN基盤の改善に関する問題です。

[設問1] FTPのアクティブモードとパッシブモード


データ転送用のTCPコネクション確立の方法でアクティブモードとパッシブモードの2種類ある。

アクティブモード
FTPサーバ=>FTPクライアントでTCPコネクションを確立する。
ファイヤウォールなどによってサーバからクライアントへの通信を許可していないことが多いので、うまくいかないことが多い。

パッシブモード
FTPクライアント=>FTPサーバでTCPコネクションを確立する。

[設問4] マルチキャストMACアドレスがSWに学習されていない理由


SWは受け取ったパケットの送信元MACアドレスをポートと紐づけて学習する。


マルチキャストMACアドレスが送信元アドレスになることはないため、SWには学習されない。
そのため、スイッチはマルチキャストフレームを受信すると受信ポート以外のすべてのポートにフラッティングされ、受信ポート以外のすべてのポートにマルチキャストフレームを送信する。
宛先MACアドレスを持つ端末は受信したパケットに対して、応答を送ると、その応答パケットの送信元MACアドレスを学習し、それ以降はそのMACアドレスが宛先になったパケットを受信してもフラッティングは発生せずパケットが転送される。

※フラッティングとは、宛先MACアドレスがMACアドレステーブル管理テーブルに登録されていないときに、スイッチが受信したポート以外のポート全てに対して受信パケットを転送する動作のことをいう。

参考:
【MACアドレステーブル管理に関してまとめられているサイト】

Layer2スイッチについて解説。

[共通] IPSec


ネットワーク層でデータのセキュリティを保護するのに使用されるプロトコル
上位レイヤはTCP、UDPに限らない。ただし、ネットワーク層はIPでないといけない。
※SSLはセッション層で動作し、下位はTCPとIPでないといけない制約があり、SSLはUDPにはSSLは利用できない

ISAKMP SAとIPsec SA


IPsecでは2種類の仮想通信路;SA(Security Association)を構築する。
1.ISAKMP SA
制御用のSA
暗号化プロトコルや暗号鍵の交換を行う。

2.IPsec SA
データ通信用のSA
上りと下りで別々のSAを構築する。

構築の順番はISAKMP SA=>IPsec SA

鍵交換(IKE)


鍵交換は2フェースで構築される。

1.IKE フェーズ 1
ネゴシエーションによりISAKMP SAに必要な以下のパラメータを決定する。
交換方法として、メインモードとアグレッシブモードの2つがある。

2.IKE フェーズ 2
ネゴシエーションによりIPsec SAに必要な以下のパラメータを決定する。

参考:
【IKE鍵交換手順がまとめられているサイト】

IPSecで利用されるプロトコル


・AH(Authentication Header)
データの認証を行う。暗号化はしない。

・ESP(Encapsulated Security Payload)
データの認証および暗号化を行う。

IPsecの通信モード


・トランスポートモード
IPパケットを付け加えずヘッダとペイロードの間にセキュリティプロトコル(AH/ESP)が入る

AHトランスポートモードのパケットフォーマットは以下の通り

ESPトランスポートモードのパケットフォーマットは以下の通り



・トンネルモード
新しいIPアドレスを付け加える
IPsecゲートウェイでLAN内でのIPアドレスを隠ぺいする場合などに使われる

AHトンネルモードのパケットフォーマットは以下の通り

ESPトンネルモードのパケットフォーマットは以下の通り



平成26年秋 午後1 問1


平成26年秋 午後1問1は広域イーサネットによるLAN間接続に関する問題です。

[設問1] TOS(Type of Service)フィールド


IPヘッダにある優先度を定義するPrecedenceを含む8ビットのフィールド。
Precedenceは2^3(0から7まで)段階の優先度が指定できる。値が大きいほど優先度が高いことを意味する。


参考:
【IP Precedenceについてまとめられているサイト】

QoS - IP Precedence(IPプレシデンス)の解説

[設問1] IntServとDiffServ


QoSに関して以下の2つの技術がある。
1.IntServ
特定のアプリケーション間の通信において、経路上のルータに必要な帯域を確保する。
→RSVP(Resource ReSerVation Protocol)を利用

2.DiffServ
特定のネットワーク内において、パケットに対して優先制御する。
→MACヘッダのCoS(Class od Service)やIPヘッダのToS(Type of Service)のIP Precedenceを利用

DiffServのときにはToSフィールドをDSフィールドで上書きをして、優先度を6ビット(64段階)まで利用できるようにする。

[設問3] WASを導入する効果があるもの


ラウンドトリップ時間が大きい場合、効果が大きい
Ackの代理応答機能によって、WANを跨いだAck送受信の回数を減らせることでラウンドトリップ時間を減少させる。
※WASとはWAN高速化装置(WAN Acceleration System)

[設問4] WASの機能を自動で停止する機能


WASが故障しても通信を継続するために必要な機能は2つある。

1.バイパス機能
故障時には自動的にケーブル接続と同じ状態にする。

2.対向側の故障の検知
WASは対向のWASと連携しながら動作してる。
片側のWASが故障したときにそれを検知して、通信を継続する必要がある。

[共通] QoSについて


QoS(Quality of Service)は要求や品質を満足させられているかの尺度。ネットワーク分野ではルータやレイヤ3スイッチなどのIPレイヤで実装される技術。

1.優先制御
フレームの種類や宛先に応じて優先度を変える。
2.アドミッション制御
通信を開始する前に帯域などのリソースを確保して、通信を制御する。
3.シェービング
最大速度を超過しないかを監視し、超えた場合は送信間隔などを調整することで最大速度を超えないようにトラフィックを平準化する。
4.ポリシング
最大速度を超過しないかを監視し、超えた場合は破棄するか優先度を下げるかして最大速度を超えないようにトラフィックを平準化する。

[共通] VRRP


VRRP(Virtual Router Redundancy Protocl;仮想ルータ冗長プロトコル)はルータを冗長化するプロトコル。

VRRPの設定


1.VRRP関連パラメータ設定
VRRPルータにVRRPグループ、仮想IPアドレス、優先度を設定する。
また必要あれば、異常検知するためのパラメータである広告インターバル、マスタダウンタイマを設定する。(デフォルトでルータに適切な値が設定されているようなので、基本変更は不要)

また、VRRPルータ配下にいる機器のデフォルトGWに仮想IPアドレスを設定する。

2.ポートを接続して、ルータを起動
ルータを起動すると、VRRP広告をルータ間でやり取りして、優先度の高いルータがマスタルータとなり、それ以外はバックアップルータとなる。
このとき優先度以外にもVRRPグループや仮想IPアドレスなどを交換している。

3.GARPで配下の機器に通知
マスタルータがGARPを送信して、スイッチに仮想MACアドレスを学習させる。


異常時のVRRPの動作


1.VRRP広告が来ないのを検知
マスタルータは定期的にバックアップルータにVRRP広告を送信している。バックアップルータはVRRP広告が一定時間来ないことを検知すると、バックアップルータの中で一番優先度の高いルータがマスタルータとなる。
VRRP広告の送信間隔やバックアップルータがマスタダウンと判断する時間は個別に設定可能

2.GARPで配下の機器に通知
マスタルータ変わったことをGARPを送信して、スイッチに通知して、仮想MACアドレスを学習させる。


VRRPグループを使った冗長化構成


VRRPグループID(VRID)を使うことで、冗長化構成を持たせることもできる。


仮想MACアドレスについて


VRRPの仮想MACアドレスはルールがある。
0000.5e00.01xx までの値は常に同じであり、最後の2ビットはVRRPのグループ番号で値で変わる。

上の画像の例だと、MAC-VR1はVRIDが1のため「0000.5e00.0101」、MAC-VR2はVRIDが2のため「0000.5e00.0102」となる。

参考:
【VRRPの仕組みについてまとめられているサイト】

VRRPとは

[共通] ネットワークで使用する時間について


システムとしての指標と通信としての指標の2つある。
システムの指標:ターンアラウンドタイム、レスポンスタイム
通信の指標:ラウンドトリップタイム、レイテンシ




平成26年秋 午後1 問2


平成26年秋 午後1問2はファイアウォールの障害対応に関する問題です。

[設問1] ステートフルフェールオーバ機能


ファイアウォールで保持している通信セッションの情報を、冗長化したバックアップのファイアウォールに引き継つぐことができる機能。
ステートフルフェールオーバ機能を実装するには、冗長化する2台のファイアウォール通しでフェールオーバケーブルを接続する。
詳細は平成27年秋 午後1 問2で整理したので、こちらを参照

[設問2] トランク接続の区間


トランク接続はタグVLANを利用して1本のリンクに複数のVLANを収容する接続のため、タグVLANの区間がタグ接続の区間となる。

[設問2] フェールオーバリンク後に通信が正常にできる理由


フェールオーバリンクが発生すると、一度、通信は切断されるので、パケットは破棄される。
それでも通信が正常に行えているのは、TCPの再送機能で破棄されても再送で通信を担保しているから。

[設問2] 冗長化したFWの間にSWを入れる理由


SWを介すことで、物理ポートの故障をLEDの点灯でわかるため、障害の切り分けがしやすくなるため。
また、片側のポートが故障すると正常である対向ポートも切断される。SWを挟むことで、正常な対向ポートは切断が発生しなくなる。

[設問3] MACアドレステーブルとARPテーブル

MACアドレステーブル
MACアドレスとポート、さらにはVLAN IDを関連付けるテーブル
レイヤ2スイッチが持つ。

テーブル内容は以下。
・Vlan ID
・MACアドレス
・タイプ(Static/Dynamic)
・ポート

ARPアドレステーブル
IPアドレスとMACアドレスを関連付けるテーブル
レイヤ3以上のネットワーク機器はこのテーブルを持つ
※L2SWはARPテーブルを持たない。
Windowsだと「arp -a」コマンドでARPアドレステーブルを確認できる。

テーブル内容は以下。
・IPアドレス
・MACアドレス
・種類(動的/静的)

[共通] トランク接続


トランク接続とは、1本のリンクで複数のVLANパケットを通信できるようにする接続。
VLANは別々のブロードキャストドメイン分割されているため、VLAN間の通信を行うには個別にリンクが必要になるが、トランク接続することでVLAN間の通信を行う論理リンクを1本の物理リンク上で行えるようになる。


参考:
【スイッチのアクセスポートとトランクポートについてまとめられているサイト】

VLANのトランクポート、アクセスポートについて分かりやすく解説

[共通] VLANの種類


VLANとは物理的な接続形態から独立させて、仮想的なネットワークを構築する技術。
ブロードキャストドメインを分割することができる。
VLANの実現方法としては以下の2つある。

ポートベースVLAN
スイッチのポートごとにVLAN IDを設定する。

タグVLAN
イーサネットヘッダにVLANタグを挿入し、その値をもとに適切なVLANに転送する。
異なるスイッチ間でもVLANを構築できる。
タグVLANはIEEE 802.1Qで標準化されている。
タグVLAN IDは12ビットで表せるので、0?4095分だけ。


参考:
【VLANについてまとめられているサイト】

VLANのトランクポート、アクセスポートについて分かりやすく解説

[共通] 仮想FWの導入


FWの仮想化については平成27年秋 午後1 問2で整理したので、こちらを参照



平成26年秋 午後1 問3


平成26年秋 午後1問3はネットワークのセキュリティ対策に関する問題です。

[設問1] Dos攻撃 Flood攻撃


分散型DOS攻撃(DDOS攻撃)
多数のコンピュータが標的サーバを集中的に攻撃する
SYN Flood(フラッド)攻撃
TCPパケットを大量に送信し、応答待ちにして新たな接続を妨害する攻撃
UDP Flood(フラッド)攻撃
コネクションレスのUDPパケットを大量に送信する攻撃
リロード攻撃(F5攻撃)
WebブラウザでF5ボタンを連打することで、リロードを多数行うことでWebサーバに負荷をかける攻撃

[設問1] 再帰的問合せと反復問合せ


例えば「shiguregaki.xxx.co.jp」というドメイン名のIPアドレスをDNSサーバに問い合わせたとき、DNSサーバはjp,co.jp,xxx.co.jp,shiguregaki.xxx.co.jpと順次、格納しているDNSサーバにアクセスして最終的な「shiguregaki.xxx.co.jp」のIPアドレスを入手する。これを反復問合せという。

問合せを行ったDNSサーバは反復問合せを行って、問合せ元に再帰的に問合せ結果を返す。そのため、問合せ元-DNSサーバ間は再帰的問合せという。

[設問1] DNSリフレクション


送信元IPアドレスを攻撃対象のIPアドレスに詐称して、DNSサーバへ問合せを行うことで、問合せ応答パケットを攻撃対象に送信させる攻撃手法。
DNSサーバへの問合せはUDPで行うことができるので、送信元IPアドレス偽装したUDPパケットを作成することで攻撃が簡単にできてしまう。

[設問2] 大きなサイズのICMPエコー応答を使った攻撃手法


大きなサイズのデータはフラグメント化されるため、要求元に届くときにはフラグメント化されていて、複数パケットを受信することになる。
そのため、FWではフラグメント化されたエコーパケットを許可しないようにする必要がある。

[設問3] DNSのゾーン転送


DNSサーバの管理情報を他のDNSサーバへ転送すること
ゾーン転送はセカンダリDNSからプライマリDNSへの要求をする

[共通] DNSサーバのゾーンファイル


ゾーンファイルはリソースレコードというドメイン名とIPアドレスに対応させるデータを複数持っている。
リソースレコードは以下のフォーマットで記載される。

ラベル TTL クラス タイプ リソースデータ

ラベルはドメイン名、TTLはDNSサーバがゾーンファイルのデータをキャッシュする時間、クラスは IN (= Internet) 以外は基本的に使用されない。
タイプ、リソースデータは後述する。

タイプとリソースデータ


タイプとリソースデータの関係は以下の通り。


SOAのパラメータ


・Serial:シリアル番号
ゾーン転送で、セカンダリDNSはこの番号の更新があるかを確認し、変更あれば更新する。
・Refresh:更新間隔
・Retry:転送再試行時間
・Expire:レコード有効時間
・Minimum TTL:否定的キャッシュ有効時間

参考:
【DNSサーバのゾーンファイルについてまとめられているページ】