ネスぺ午後に向けて気を付けるポイント

こんにちは、しぐれがきです。

サーバ開発においてネットワークの仕組みを理解しているのは重要だと思い、2017年度秋に開催されるネットワークスペシャリストを受験することにしました。
いよいよ、受験日まで1ヶ月という時期で、ネスぺの午後の過去問を解き進めています。
が、全然合格点に届きません泣
不安です。。。

本記事では午後の過去問を解いた中で間違えた/あいまいな点を整理しました。
自分の見直しのために備忘録的にまとめています。
※解いたら追加していくので、受験までにはどんどん更新していこうと思います。

目次

参考

【(全文PDF・単語帳アプリ付) 徹底攻略 ネットワークスペシャリスト教科書 平成29年度】

【ネスペ 27 礎 -ネットワークスペシャリストの最も詳しい過去問解説 (情報処理技術者試験)】

【ネスペ 26　道　?ネットワークスペシャリストの最も詳しい過去問解説 (情報処理技術者試験)】

【ネスぺの剣25 ~ネットワークスペシャリストの最も詳しい過去問解説 (情報処理技術者試験)】

【ネットワークに関することが体系的によくまとめられているサイト】

【その他の参考サイト】
各章で参考サイトを記載。

平成２８年秋 午後１　問１

平成２８年秋 午後１問１は電子メールシステムに関する問題です。

[設問１] SMTM-AUTH

SMTPを拡張して、SMTPを送信するときにクライアントとメールサーバとの間でユーザ名とパスワードなどで認証する方式
SMTPSはSSL/TLSで伝送路を暗号化したメール送信プロトコル

認証せずにメールが送信できると、不正なメールの送信の踏み台にされる可能性があるので、SMTP-AUTHや後述するメールの認証方法を利用すること。

[設問１] メールサーバの資源レコード

DNSへのメールサーバのレコード登録は以下の様に記載する。

　ドメイン名　IN　MX　優先度　メールサーバのFQDN(ホスト名)　

[設問２] SMTPで自ドメイン以外へのメール転送を許可すると・・・

SMTPメールサーバが社外宛のメールを受信したときに、社外宛てのメールを送信してしまう。
そのため、踏み台に利用される可能性がある。

[設問２] OP25Bを設定するルータ

OP25Bを設定するルータはISPのインターネットに接続する側のルータである。
ISP利用者側のルータに設定するのもいいが、複数あるルータに対して設定しないといけない上に、ISP内の25番ポートのメールは許可しているため、ISP外へ出ていくインターネットとの境界にあるルータに設定する。

[設問２] サブミッションポート

プロバイダによってOP25Bによる他プロバイダ宛のメール送信が制約がかけられた。
他プロバイダ宛のメール送信を行う場合は、サブミッションポート(TCPの587番ポート)でメールを送信する。サブミッションポート経由のメール送信はSMTP-AUTHが必須のため、送信メールサーバの認証を行うことで不正なメールを他プロバイダに送信されないようにしている。

[設問２] 暗号化したSMTP

SSL/TLSを導入することでSMTPの伝送路を暗号化できる。
暗号化する方法としては、最初から暗号化SMTP専用のポートで行う方法と、STARTTLSを利用する方法がある。
STARTTLSを利用した方法では通信開始時は暗号化を行わず、ポート番号は25番で通信をするが、STLSコマンドでTLS通信に途中で切り替えられる。
このとき、ポート番号は変わらず25番を利用できる。

[設問３] SMTPコマンドのシーケンス

以下のシーケンスでSMTPの通信をする。
主なコマンドを以下
・「HELO」コマンド
通信開始
・「EHLO」コマンド
通信開始(拡張版)
・「MAIL FROM:」コマンド
送信者
・「RCPT TO:」コマンド
受信者
・「DATA」コマンド
メールの本文
・「QUIT」コマンド
終了

[共通] メールでの認証方法

メールでの認証方法は幾つかある。

POP before SMTP

SMTPは認証機能がないため、SMTPを送信する前にPOPでクライアント認証をし、その後の一定期間だけ同じIPアドレスからのSMTP通信の許可をする方式

SMTP-AUTH

SMTPを拡張して、SMTPを送信するときにクライアントとメールサーバとの間でユーザ名とパスワードなどで認証する方式

OP25B(Outbound Port 25 Blocking)

プロバイダのメールサーバを介さない直接２５番ポートでSMTP通信することを防止する方式
迷惑メールの送信に自社のネットワークを使われないようにするためのプロバイダの対策
この場合、契約しているプロバイダから社内メールサーバ経由でメールを送りたいときはブロックされてしまう。
そのため、サブミッションポート(587番)を使ってSMTP-AUTHで認証してメールを送信する。

SPF(Sender Polocy Framework)

SPF(Sender Polocy Framework)はIPアドレスでメールサーバの正当性を検証する

DKIM(DomeinKeys Identified Mail)

DKIM(DomeinKeys Identified Mail)はデジタル署名を用いてメールサーバの正当性を検証し、送信ドメイン認証を行う方法。

平成２８年秋 午後１　問２

平成２８年秋 午後１問２はモバイルネットワークの検討に関する問題です。

[設問１] 事前共有鍵

無線LANの認証方式の１つ。
PSK(Pre-Shared Key)で事前に共有鍵を交換しておく

無線LANの暗号化については平成２５年秋 午後２問１で整理しているのでそちらを参照
無線LANの暗号化について

[設問２] 無線LANのステルス機能

無線LANのアクセスポイントは定期的にビーコンを送信している。
無線LAN端末はそのビーコンを受信することで、アクセス先を選択できるようにしている。
ステルス機能はこの定期的なビーコンを出さないように設定する機能。
注意は、無線LANからの接続要求(アクティブスキャン)をするとアクセスポイントは応答を返してしまうこと

また、SSIDやMACアドレスは暗号化されていないため、傍受がしやすいので注意

[設問４] プロキシ認証によるユーザ特定

プロキシサーバはレイヤ３のIPアドレス情報しかとれず、ユーザ名などのログはとれない。
また、IPアドレスはDHCPで動的に払い出されていることが多く、IPアドレスからユーザを特定することは難しい。

このとき、プロキシサーバでユーザ特定する方法として、プロキシ認証というものがある。
これはプロキシユーザがアクセス時にユーザ認証させることにより、その情報をログに残すことができる。これにより、ユーザ特定が可能となる。

[設問４] Request-URIの情報

・接続先ホスト名
・接続先ポート名
URIの情報にはホスト名や：によってポートを指定するなど情報がはいっている。

平成２８年秋 午後１　問３

平成２８年秋 午後１問３はメールサーバの更改に関する問題です。

[設問１] DNSラウンドロビンでのサーバ接続の偏りについて

DNSサーバでラウンドロビンで接続先を決定しているときには以下の点に注意
・接続要求元の数 < 接続先の数の場合、接続先が偏ってしまう。
・DNSサーバはキャッシュを持つため、この偏りはDNSが更新したときにその他の接続移行し、偏りは継続する。

[設問３] メールサーバ移行時のメールルーティングについて

メールサーバ移行時は新旧メールサーバを並行稼働させる。
(DNSサーバのキャッシュの関係で、しばらくの間旧メールサーバあてのメールが送信される可能性もあるため)
このとき、新メールサーバから旧メールサーバへメール転送(メールルーティング)を実装する必要がある。

[共通] プライマリDNSからの更新通知(Notifyメッセージ)

ゾーン転送はセカンダリからプライマリに対して要求して実行するが、その契機はプライマリ、セカンダリどちらからもできるようになっている。

セカンダリからゾーン転送要求

プライマリからゾーン転送要求

参考：
【DNSにおけるゾーン転送】

平成２８年秋 午後２　問１

平成２８年秋 午後２問１はネットワークシステムの拡張に関する問題です。

[設問５] 移行作業で問題発生時の対応

移行作業で問題が発生したときはもとの状態に戻せることが重要
これを切り戻しという。

平成２７年秋 午後１　問１

平成２７年秋 午後１問１はシングルサインオンの導入に関する問題です。

[設問１] Set-Cookie

HTTPレスポンスヘッダでサーバはレスポンスに関する追加情報を載せる。
Set-CookieでWebサーバがPCにCookieを渡す時に使用される。
Set-Cookieの属性は以下のようなものがある。
・expires
クッキーの有効期限
・domain
クッキーが有効なドメイン
・secure
HTTPSのみクッキーを有効

参考：

[設問１] ループバックインタフェース

自IPアドレスとは異なるアドレス宛てのパケットを受信するときに設定する。
平成２７年午後１問１ではLBに設定されているVIPアドレスをSSOサーバにも受信させたい場合に、SSOサーバのループバックインタフェースにVIPアドレスを設定している。

[設問３] URLの構成

ホスト名+ドメイン名がFQDN(Fully Qualified Domain Name)
FQDN以降のサブドメインやIDを含む部分全体をURL(Uniform Resource Locator)

以下はshiguregaki.comのメインページのURLにホスト名wwwを加えたもの

[設問４] GARP

正式名はGratuitous ARP
GARPは「IPアドレスの重複検出」や「冗長化機器の切り替え時」に使用される

[共通] DSR方式によるサーバの二重化

DSRはDirect Server Returnの略
クライアントからのリクエストはロードバランサが受付、レスポンスはロードバランサが経由せず、直接サーバがクライアントに返す方式
サーバにはループバックインタフェースにロードバランサのIPアドレスを設定
ロードバランサは受信したパケット転送時にMACアドレスのみサーバのMACアドレスに変更する
行きのパケット：クライアント　=> ロードバランサ　=>　サーバ
返りのパケット：サーバ　=>　クライアント

メリット
・LBの処理が減少するので、システム全体のスループットが向上する

デメリット
DSRはL4でしか動作しないため、
・CookieなどのL7の情報をもとに負荷分散はできない
・ロードバランサでSSL終端はできない
・サーバにロードバランサのIPアドレスを設定が必要となる

参考：

[共通] シングルサインオン

シングルサインオンとは一度の認証で複数のサーバやアプリケーションを利用できる仕組み。
大きく分けて２つの型がある
１．エージェント型(チケット型)
SSOを構築するサーバにエージェントソフトウェアをインストールする。
ユーザは認証サーバで認証を受けて、許可されるとチケットが発行される。
ユーザはそのチケットを使ってサーバにアクセスし、サーバはそのチケットを確認することで認証済みのユーザであることを判定する。

２．リバースプロキシ型
ユーザからの要求を一度リバースプロキシサーバがすべて受け付けて、中継する。
認証もリバースプロキシサーバで行う。

平成２７年秋 午後１　問２

平成２７年秋 午後１問２はファイアウォールの負荷分散に関する問題です。

[設問４] RSTフラグ

RSTフラグはTCPヘッダのコントロールフラグ内にあるフラグの１つであり、コネクションが強制的に切断されることを意味する。何らかの異常を検出した場合に送信される。

その他のコントロールフラグは以下。

[共通] 透過モード

透過モードはルーティングの機能はOFFにしてレイヤ２のブリッジ機能のみ有効にするモード。
ブリッジモードとも呼ばれる。
レイヤ２のブリッジ機能となるため、IPアドレスやポートの変換は行われず、宛先MACアドレスのみ変換される。

透過モードを行えるのはルータやFW、LBなどがある。
ルータをルーティング機能をOFFにしてL2スイッチとして使うのと同じ。
利点としては、同一ネットワークになるため、VLANやマルチキャスト、ブロードキャストなどのパケットが転送することができる。

[共通] FWの冗長化

FWを冗長化する方法は以下の２つある。
１．VRRPを利用した方法
２．独自プロトコルを使用した方法

VRRPを利用した方法

優先度によって、Active/Standbyを判定しており、優先度が大きい方がActiveとなる。
VRRPによって仮想化されたIPアドレス、MACアドレスを持ち、外部との通信はこの仮想アドレスを使用する。
ActiveのFWは定期的にVRRP広告をStandbyのFWに送信し、StandbyのFWはそのVRRP広告を受信することでActive機器が正常に動いていることを把握する。
VRRP広告が来なくなったら、StandbyのFWがActiveとなる。
このとき、仮想IPアドレス、仮想MACアドレスをStandbyだったFWを引き継ぐ。
TCPセッションは張りなおす必要ががある。

また、ARPの応答はActiveのFWのみが応答する。

参考：

独自プロトコルを使用した方法

FWはフェールオーバリンクと呼ばれる専用のケーブルで接続する。
このケーブルは専用である必要はなく、LANケーブルでもOK。
また、スイッチを挟んでもOK。(H26年午後１問２で出題されている)
この専用ケーブルを接続するポートはFWに設定する必要がある。

フェールオーバリンクでConfig値やセッション値をやり取りしているため、ActiveのFWに異常が発生してもセッション情報を引き継ぐことができる。
また、異常時にはActiveのFWに設定されていたIPアドレス、MACアドレスがStandbyのFWに引き継がれる。
ただし、このとき接続するポートが変わるため、GARP(Gratuitous ARP)で接続機器のARPテーブルを更新する。

[共通] LBのヘルスチェック

LBからのヘルスチェックは以下のようなものがある。
１．pingチェック(IPレベルでのチェック)
２．ポートチェック(TCP/UDPレベルでのチェック)
３．コンテンツチェック(HTTPを使ったチェック)
４．アプリケーションチェック(アプリレイヤでのチェック)

参考：

平成２７年秋 午後１　問３

平成２７年秋 午後１問３は侵入検知・防御システムの導入に関する問題です。

[設問１] アノマリ型とシグネチャ型

異常検知の方法として以下の2種類ある。
１．シグネチャ型
既知の攻撃パターンに基づいてパターン・マッチングによって通信パケット内に不正なビット列などが入っていないかを調べて、異常を検出する。
サーバの既知の脆弱性を突いた攻撃を防ぐことができる。
シグネチャは，基本セットをベンダーが用意してくれている。ユーザカスタマイズも可能。

２．アノマリ型
RFCのプロトコル仕様などと比較して異常なパケットやトラフィックを分析して統計的に異常なパケットを検出する。
違反するものはすべて異常だと判断する。
新しいプロトコルが出てきたときなどは変更が必要。

[設問１] ミラーポートの設定

IDSでパケット監視をするときには以下の設定する必要がある。
・L2SWにミラーポートの設定
※シェアードHUB(バカHUB)でも代用可能
・IDSにプロミスキャスモードの設定
=>自分あてのMACフレーム以外でも受信できるようにする。

[設問１] port unreachable

ICMPのタイプ3(Destination Unreachable;宛先到達不能)のコード3(port unreachable;ポートを使用できない)
ICMPを使ってコネクション切断やUDPのさらなる攻撃を防ぐことができる。

ICMPのタイプ、コードについては後述

[設問３] IPSのバイパス機能

IPSが冗長化されていない場合、IPSが故障すると通信できなくなる。
バイパス機能(フェールオープン機能)で「遮断せず、通信をそのまま通過させる」ことが可能
IPSの機能として実装されているもので、バイパス機能有効/無効は設定で変更できる

[共通] IDSとIPS

IDS(Intrusion Detection System)は侵入検知システム
検知する機能のみのため、ネットワーク管理者がその検知した内容に基づいてセキュリティ制御をしない限り攻撃を防止することはできないし、リアルタイムに攻撃を阻止することもできない。

IDS(Intrusion Prevention System)は侵入防止システム
検知するだけでなく、破棄したりセッションを切断して即座に防御できる。

IDSの種類

IDSには2種類ある。
１．ネットワーク型IDS(NIDS)
ネットワークに接続せてたネットワーク全般を管理する。(平成２７年秋 午後１　問３はこのタイプ)

２．ホスト型IDS(HIDS)
ホストにインストールして特定のホストを監視する。
ホスト型IDSの場合、暗号化されたパケットやファイルの改ざんについての不正も検出することができる。

フォールスポジティブとフォールスネガティブ

IDSとIPSのエラーは以下の２つがある。

１．フォールスポジティブ
正常な通信を誤って異常と検知してしまうこと

２．フォールスネガティブ
異常な通信を検知できずに見逃してしまうこと

[共通] ICMPのタイプとコード一覧

ICMPはIPヘッダの上位につき、以下のフォーマットの様にタイプとコードで識別される。

ICMPのタイプ一覧

ICMPのタイプとその内容は以下

ICMPのタイプとコードの組み合わせ一覧

ICMPのタイプとコードの組み合わせについては以下
※背景黄色は個人的に出る可能性があるもの

参考：

平成２７年秋 午後２　問１

平成２７年秋 午後２問１はサーバ冗長化、閉域網の拡張に関する問題です。

[設問４] HTTPヘッダのconnectionフィールド

HTTPヘッダのGeneral headers(一般ヘッダー)にconnectionフィールドがある。
connectionフィールドは応答後ににTCPコネクションを切断するか否かなどを指定する

Connection: close
応答の後にTCP切断を指示

Connection: KeepAlive
コネクションの継続を指示

[共通] リンクアグリゲーション

複数の物理リンクを束ねて1つの論理リンクとして扱うことのできる技術
最大8本の物理リンクを1つの論理リンクに束ねられる。
これによりリンクの冗長化を実現できる。
リンクアグリゲーションはスイッチ間以外にサーバ-スイッチ間においても実装可能

リンクアグリゲーション状態ではスイッチがどちらのポートに送信するかを負荷分散をしている。
片側の異常を検出すると、残りのポートを使って通信を継続する。

参考：
【リンクアグリゲーションについてまとめられたページ】

リンクアグリゲーションの設定方法は大きく２つある。
１．スタティックリングアグリゲーション
各装置のコンフィグを手動で設定する
２．ダイナミックリングアグリゲーション
LACPプロトコルを使用しスイッチ間でネゴシエーションして動的にリンクアグリーゲーションを構築する

[共通] チーミング

チーミングとはサーバ等に搭載した物理NICを論理的に一つに束ねる技術。
帯域増加や負荷分散、冗長化を実現できる。
※チーミングを行うには物理NICとそのドライバが対応している必要がある。

チーミングは以下の３通りある
１．フォールトトレランス
ActiveラインとStandbyラインに分けて使用する。
Activeラインが不具合発生時にはStandbyラインがActiveとなる。
→負荷分散にはなっていない

２．リンクアグリゲーション
物理NICを束ねることで冗長化しつつ、帯域幅を増加することができる。
スイッチ側ポートもリンクアグリゲーションを実装必要

３．ロードバランシング
物理NICを束ねることで冗長化しつつ、トラフィックの負荷分散を行うことができる。
それぞれの各通信は物理NIC1枚だけで処理されるので、複数NICによって通信を独立して行えるので、スループットは向上する。

参考：
【チーミングについてまとめられたページ】

[共通] HTTPメッセージ

HTTPメッセージは以下のような構成になっている。
・Start line
・HTTP headers
・Empty line
・Body

以下はshiguregakiブログのメインページにアクセスしたときのHTTPリクエスト/レスポンスのやり取り

HTTPメッセージ Start line

【リクエスト】

構成は以下の通り。

HTTPリクエストのStart line
メソッド　リクエストURI　HTTPバージョン

メソッドは以下の通り。
・GET:データを取得
・POST:データを登録
・CONNECT:プロキシにトンネル接続要求
・HEAD:ヘッダのみを取得
※GETとHEADは必ずサポートしないといけない

【レスポンス】

構成は以下の通り。

HTTPレスポンスのStart line
HTTPバージョン　ステータスコード　説明句

ステータスコードは以下の通り。
100番台は正常に処理中
200番台は正常
(200はOK)
300番台はさらに動作が必要なもの
400番台は間違ったリクエスト
(404はNot Found)
500番台はサーバのエラー
(500はInternal Server Error)

HTTPメッセージ HTTP headers

HTTPヘッダはさらに4つに分類される。
・ジェネラル・ヘッダ
要求と応答の双方で使われるヘッダ・フィールド
・要求ヘッダ
要求の付加情報として使われるヘッダ・フィールド
・応答ヘッダ
応答の付加情報として使われるヘッダ・フィールド
・エンティティ・ヘッダ
エンティティ（ボディ部分の情報）の付加情報として使われるヘッダ・フィールド

【ジェネラル・ヘッダ】

【要求ヘッダ】

【応答ヘッダ】

【エンティティ・ヘッダ】

参考：
【HTTP メッセージについてまとめられたページ】

【HTTPヘッダ一覧についてまとめられたページ】

平成２７年秋 午後２　問２

平成２７年秋 午後２問２はCGN基盤の改善に関する問題です。

[設問１] FTPのアクティブモードとパッシブモード

データ転送用のTCPコネクション確立の方法でアクティブモードとパッシブモードの2種類ある。

アクティブモード
FTPサーバ=>FTPクライアントでTCPコネクションを確立する。
ファイヤウォールなどによってサーバからクライアントへの通信を許可していないことが多いので、うまくいかないことが多い。

パッシブモード
FTPクライアント=>FTPサーバでTCPコネクションを確立する。

[設問４] マルチキャストMACアドレスがSWに学習されていない理由

SWは受け取ったパケットの送信元MACアドレスをポートと紐づけて学習する。

マルチキャストMACアドレスが送信元アドレスになることはないため、SWには学習されない。
そのため、スイッチはマルチキャストフレームを受信すると受信ポート以外のすべてのポートにフラッティングされ、受信ポート以外のすべてのポートにマルチキャストフレームを送信する。
宛先MACアドレスを持つ端末は受信したパケットに対して、応答を送ると、その応答パケットの送信元MACアドレスを学習し、それ以降はそのMACアドレスが宛先になったパケットを受信してもフラッティングは発生せずパケットが転送される。

※フラッティングとは、宛先MACアドレスがMACアドレステーブル管理テーブルに登録されていないときに、スイッチが受信したポート以外のポート全てに対して受信パケットを転送する動作のことをいう。

参考：
【MACアドレステーブル管理に関してまとめられているサイト】

[共通] IPSec

ネットワーク層でデータのセキュリティを保護するのに使用されるプロトコル
上位レイヤはTCP、UDPに限らない。ただし、ネットワーク層はIPでないといけない。
※SSLはセッション層で動作し、下位はTCPとIPでないといけない制約があり、SSLはUDPにはSSLは利用できない。

ISAKMP SAとIPsec SA

IPsecでは2種類の仮想通信路;SA(Security Association)を構築する。
１．ISAKMP SA
制御用のSA
暗号化プロトコルや暗号鍵の交換を行う。

２．IPsec SA
データ通信用のSA
上りと下りで別々のSAを構築する。

構築の順番はISAKMP SA=>IPsec SA

鍵交換(IKE)

鍵交換は２フェースで構築される。

１．IKE フェーズ 1
ネゴシエーションによりISAKMP SAに必要な以下のパラメータを決定する。
交換方法として、メインモードとアグレッシブモードの２つがある。

２．IKE フェーズ 2
ネゴシエーションによりIPsec SAに必要な以下のパラメータを決定する。

参考：
【IKE鍵交換手順がまとめられているサイト】

IPSecで利用されるプロトコル

・AH(Authentication Header)
データの認証を行う。暗号化はしない。

・ESP(Encapsulated Security Payload)
データの認証および暗号化を行う。

IPsecの通信モード

・トランスポートモード
IPパケットを付け加えずヘッダとペイロードの間にセキュリティプロトコル(AH/ESP)が入る

AHトランスポートモードのパケットフォーマットは以下の通り

ESPトランスポートモードのパケットフォーマットは以下の通り

・トンネルモード
新しいIPアドレスを付け加える
IPsecゲートウェイでLAN内でのIPアドレスを隠ぺいする場合などに使われる

AHトンネルモードのパケットフォーマットは以下の通り

ESPトンネルモードのパケットフォーマットは以下の通り

平成２６年秋 午後１　問１

平成２６年秋 午後１問１は広域イーサネットによるLAN間接続に関する問題です。

[設問１] TOS(Type of Service)フィールド

IPヘッダにある優先度を定義するPrecedenceを含む8ビットのフィールド。
Precedenceは2^3(0から7まで)段階の優先度が指定できる。値が大きいほど優先度が高いことを意味する。

参考：
【IP Precedenceについてまとめられているサイト】

[設問１] IntServとDiffServ

QoSに関して以下の２つの技術がある。
１．IntServ
特定のアプリケーション間の通信において、経路上のルータに必要な帯域を確保する。
→RSVP(Resource ReSerVation Protocol)を利用

２．DiffServ
特定のネットワーク内において、パケットに対して優先制御する。
→MACヘッダのCoS(Class od Service)やIPヘッダのToS(Type of Service)のIP Precedenceを利用

DiffServのときにはToSフィールドをDSフィールドで上書きをして、優先度を6ビット(64段階)まで利用できるようにする。

[設問３] WASを導入する効果があるもの

ラウンドトリップ時間が大きい場合、効果が大きい
Ackの代理応答機能によって、WANを跨いだAck送受信の回数を減らせることでラウンドトリップ時間を減少させる。
※WASとはWAN高速化装置(WAN Acceleration System)

[設問４] WASの機能を自動で停止する機能

WASが故障しても通信を継続するために必要な機能は２つある。

１．バイパス機能
故障時には自動的にケーブル接続と同じ状態にする。

２．対向側の故障の検知
WASは対向のWASと連携しながら動作してる。
片側のWASが故障したときにそれを検知して、通信を継続する必要がある。

[共通] QoSについて

QoS(Quality of Service)は要求や品質を満足させられているかの尺度。ネットワーク分野ではルータやレイヤ３スイッチなどのIPレイヤで実装される技術。

１．優先制御
フレームの種類や宛先に応じて優先度を変える。
２．アドミッション制御
通信を開始する前に帯域などのリソースを確保して、通信を制御する。
３．シェービング
最大速度を超過しないかを監視し、超えた場合は送信間隔などを調整することで最大速度を超えないようにトラフィックを平準化する。
４．ポリシング
最大速度を超過しないかを監視し、超えた場合は破棄するか優先度を下げるかして最大速度を超えないようにトラフィックを平準化する。

[共通] VRRP

VRRP(Virtual Router Redundancy Protocl;仮想ルータ冗長プロトコル)はルータを冗長化するプロトコル。

VRRPの設定

１．VRRP関連パラメータ設定
VRRPルータにVRRPグループ、仮想IPアドレス、優先度を設定する。
また必要あれば、異常検知するためのパラメータである広告インターバル、マスタダウンタイマを設定する。(デフォルトでルータに適切な値が設定されているようなので、基本変更は不要)

また、VRRPルータ配下にいる機器のデフォルトGWに仮想IPアドレスを設定する。

２．ポートを接続して、ルータを起動
ルータを起動すると、VRRP広告をルータ間でやり取りして、優先度の高いルータがマスタルータとなり、それ以外はバックアップルータとなる。
このとき優先度以外にもVRRPグループや仮想IPアドレスなどを交換している。

３．GARPで配下の機器に通知
マスタルータがGARPを送信して、スイッチに仮想MACアドレスを学習させる。

異常時のVRRPの動作

１．VRRP広告が来ないのを検知
マスタルータは定期的にバックアップルータにVRRP広告を送信している。バックアップルータはVRRP広告が一定時間来ないことを検知すると、バックアップルータの中で一番優先度の高いルータがマスタルータとなる。
VRRP広告の送信間隔やバックアップルータがマスタダウンと判断する時間は個別に設定可能

２．GARPで配下の機器に通知
マスタルータ変わったことをGARPを送信して、スイッチに通知して、仮想MACアドレスを学習させる。

VRRPグループを使った冗長化構成

VRRPグループID(VRID)を使うことで、冗長化構成を持たせることもできる。

仮想MACアドレスについて

VRRPの仮想MACアドレスはルールがある。
0000.5e00.01xx までの値は常に同じであり、最後の2ビットはVRRPのグループ番号で値で変わる。

上の画像の例だと、MAC-VR1はVRIDが1のため「0000.5e00.0101」、MAC-VR2はVRIDが2のため「0000.5e00.0102」となる。

参考：
【VRRPの仕組みについてまとめられているサイト】

[共通] ネットワークで使用する時間について

システムとしての指標と通信としての指標の２つある。
システムの指標：ターンアラウンドタイム、レスポンスタイム
通信の指標：ラウンドトリップタイム、レイテンシ

平成２６年秋 午後１　問２

平成２６年秋 午後１問２はファイアウォールの障害対応に関する問題です。

[設問１] ステートフルフェールオーバ機能

ファイアウォールで保持している通信セッションの情報を、冗長化したバックアップのファイアウォールに引き継つぐことができる機能。
ステートフルフェールオーバ機能を実装するには、冗長化する２台のファイアウォール通しでフェールオーバケーブルを接続する。
詳細は平成２７年秋 午後１　問２で整理したので、こちらを参照

[設問２] トランク接続の区間

トランク接続はタグVLANを利用して１本のリンクに複数のVLANを収容する接続のため、タグVLANの区間がタグ接続の区間となる。

[設問２] フェールオーバリンク後に通信が正常にできる理由

フェールオーバリンクが発生すると、一度、通信は切断されるので、パケットは破棄される。
それでも通信が正常に行えているのは、TCPの再送機能で破棄されても再送で通信を担保しているから。

[設問２] 冗長化したFWの間にSWを入れる理由

SWを介すことで、物理ポートの故障をLEDの点灯でわかるため、障害の切り分けがしやすくなるため。
また、片側のポートが故障すると正常である対向ポートも切断される。SWを挟むことで、正常な対向ポートは切断が発生しなくなる。

[設問３] MACアドレステーブルとARPテーブル

MACアドレステーブル
MACアドレスとポート、さらにはVLAN IDを関連付けるテーブル
レイヤ2スイッチが持つ。

テーブル内容は以下。
・Vlan ID
・MACアドレス
・タイプ(Static/Dynamic)
・ポート

ARPアドレステーブル
IPアドレスとMACアドレスを関連付けるテーブル
レイヤ3以上のネットワーク機器はこのテーブルを持つ
※L2SWはARPテーブルを持たない。
Windowsだと「arp -a」コマンドでARPアドレステーブルを確認できる。

テーブル内容は以下。
・IPアドレス
・MACアドレス
・種類(動的/静的)

[共通] トランク接続

トランク接続とは、1本のリンクで複数のVLANパケットを通信できるようにする接続。
VLANは別々のブロードキャストドメイン分割されているため、VLAN間の通信を行うには個別にリンクが必要になるが、トランク接続することでVLAN間の通信を行う論理リンクを1本の物理リンク上で行えるようになる。

参考：
【スイッチのアクセスポートとトランクポートについてまとめられているサイト】

[共通] VLANの種類

VLANとは物理的な接続形態から独立させて、仮想的なネットワークを構築する技術。
ブロードキャストドメインを分割することができる。
VLANの実現方法としては以下の２つある。

ポートベースVLAN
スイッチのポートごとにVLAN IDを設定する。

タグVLAN
イーサネットヘッダにVLANタグを挿入し、その値をもとに適切なVLANに転送する。
異なるスイッチ間でもVLANを構築できる。
タグVLANはIEEE 802.1Qで標準化されている。
タグVLAN IDは12ビットで表せるので、0?4095分だけ。

参考：
【VLANについてまとめられているサイト】

[共通] 仮想FWの導入

FWの仮想化については平成２７年秋 午後１　問２で整理したので、こちらを参照

平成２６年秋 午後１　問３

平成２６年秋 午後１問３はネットワークのセキュリティ対策に関する問題です。

[設問１] Dos攻撃 Flood攻撃

分散型DOS攻撃(DDOS攻撃)
多数のコンピュータが標的サーバを集中的に攻撃する
SYN Flood(フラッド)攻撃
TCPパケットを大量に送信し、応答待ちにして新たな接続を妨害する攻撃
UDP Flood(フラッド)攻撃
コネクションレスのUDPパケットを大量に送信する攻撃
リロード攻撃(F5攻撃)
WebブラウザでF5ボタンを連打することで、リロードを多数行うことでWebサーバに負荷をかける攻撃

[設問１] 再帰的問合せと反復問合せ

例えば「shiguregaki.xxx.co.jp」というドメイン名のIPアドレスをDNSサーバに問い合わせたとき、DNSサーバはjp,co.jp,xxx.co.jp,shiguregaki.xxx.co.jpと順次、格納しているDNSサーバにアクセスして最終的な「shiguregaki.xxx.co.jp」のIPアドレスを入手する。これを反復問合せという。

問合せを行ったDNSサーバは反復問合せを行って、問合せ元に再帰的に問合せ結果を返す。そのため、問合せ元-DNSサーバ間は再帰的問合せという。

[設問１] DNSリフレクション

送信元IPアドレスを攻撃対象のIPアドレスに詐称して、DNSサーバへ問合せを行うことで、問合せ応答パケットを攻撃対象に送信させる攻撃手法。
DNSサーバへの問合せはUDPで行うことができるので、送信元IPアドレス偽装したUDPパケットを作成することで攻撃が簡単にできてしまう。

[設問２] 大きなサイズのICMPエコー応答を使った攻撃手法

大きなサイズのデータはフラグメント化されるため、要求元に届くときにはフラグメント化されていて、複数パケットを受信することになる。
そのため、FWではフラグメント化されたエコーパケットを許可しないようにする必要がある。

[設問３] DNSのゾーン転送

DNSサーバの管理情報を他のDNSサーバへ転送すること
ゾーン転送はセカンダリDNSからプライマリDNSへの要求をする

[共通] DNSサーバのゾーンファイル

ゾーンファイルはリソースレコードというドメイン名とIPアドレスに対応させるデータを複数持っている。
リソースレコードは以下のフォーマットで記載される。

ラベル　TTL　クラス　タイプ　リソースデータ

ラベルはドメイン名、TTLはDNSサーバがゾーンファイルのデータをキャッシュする時間、クラスは IN (= Internet) 以外は基本的に使用されない。
タイプ、リソースデータは後述する。

タイプとリソースデータ

タイプとリソースデータの関係は以下の通り。

SOAのパラメータ

・Serial：シリアル番号
ゾーン転送で、セカンダリDNSはこの番号の更新があるかを確認し、変更あれば更新する。
・Refresh：更新間隔
・Retry：転送再試行時間
・Expire：レコード有効時間
・Minimum TTL：否定的キャッシュ有効時間

参考：
【DNSサーバのゾーンファイルについてまとめられているページ】

平成２６年秋 午後２　問１

平成２６年秋 午後２問１は標的型メール攻撃の対策に関する問題です。

[設問１] TCP上でのIPアドレス改ざん

TCP上ではスリーハンドシェイクで送信元とセッションを確立しているため、IPアドレスを改ざんすると通信が行えなくなる。
そのため、TCP上でのIPアドレスの改ざんは事実上できない。

一方、UDPの場合はセッションを張っていないため、IPアドレスの改ざんの可能性がある。(IPスプーフィング)

[設問１] コンテンツフィルタリング

「野球」「パチンコ」などの業務に関係ない言葉を不適切な言葉として、それらを含む通信を遮断する機能

[設問２] IPアドレスでのドメイン認証

送信者の妥当性を送信者のメールアドレスに含まれるドメイン名と、送信元IPアドレスが所属するドメイン名を比較することでチェックする。
例えば、「shiguregaki@shiguregaki.com」という送信元メールアドレスに対して送信元IPアドレスが所属するドメイン名を逆引きすると「shiguregaki.com」となったら、送信者の妥当性が確認できます。

[設問３] ルート証明書

ルート証明書はサーバ証明書の正当性を確認するときに使用する。”サーバの妥当性”ではないことに注意。
サーバ証明書は認証局によって発行される。このとき、サーバ証明書には発行者や有効期限などの証明書情報とともに「認証局が署名したデジタル署名」を付与する。認証局の妥当性を判断するにはこのデジタル署名を複合する必要がある。この「認証局が署名したデジタル署名」を複合するために、ルート証明書内にある認証局の公開鍵を使う。これによって、デジタル署名を複合した値と、証明書内にあるデータのハッシュ値と比較することで認証局の妥当性を判定できる。

一方、サーバ証明書はルート証明書と同じようにサーバの公開鍵とサーバに関する証明書の情報が格納されている。これを使うことで同じようにサーバの妥当性も判定できる。

平成２５年秋 午後１　問１

平成２５年秋 午後１問１はリモート接続ネットワークの検討に関する問題です。

[設問１] ループバックアドレスの範囲

ループバックアドレスは127.0.0.0/8が割り当てられる
127.0.0.1?127.255.255.254
ALL 0 はネットワーク ALL 1 はブロードキャスト

[設問１] FQDN

ホスト名＋ドメイン名がFQDN
平成２７年秋 午後１問１で整理しているのでこちらを参照

[設問１] 第三者認証局

サーバ証明書の正当性は信頼できる第三者認証局に発行してもらうことで担保する。
認証局自体は誰でもつくることができるので、信頼できる第三者であることが重要

[設問２] ループバックアドレスを導入するメリット

ループバックアドレスは他の端末からアクセスすることはできない。
そのため、外部からの不正利用が発生しない。

[設問４] クライアント証明書の管理業務

クライアント証明書の管理業務は主に以下の３つ

１．証明書の新規発行
秘密鍵と証明書を作成する。
トークンに証明書を組み込む

２．証明書の更新
有効期限が切れる前に新しい証明書を発行して更新する。

３．証明書の失効
トークンの紛失や盗難時に証明書を無効にする。
無効化した証明書はCRL(Certificate Revocation List)に登録する。

[共通] VPN（Virtual Private Nework）とは

VPNとは仮想的なプライベートネットワーク接続のこと

VPNの種類

VPNはインターネットVPNとIP-VPNの２つに分類される。
・インターネットVPN
インターネットを使用したVPNであり、SSL-VPNとIPsec-VPNがある。

・IP-VPN
IP-VPNは通信事業者が提供するクローズドなIPネットワークを利用したVPNである。
IP-VPNはMPLSプロトコルというラベルを使用した技術を使ったMPLS-VPNがある。

MPLSについてはその他で整理している。
MPLSについて

トンネリングと暗号化

VPN接続はトンネリングと暗号化によって実現されている。
VPNを実現できるプロトコルは幾つかあるが、IPsec-VPNとSSL-VPNが主流

参考：
【トンネリングと暗号化についてまとめられているサイト】

[共通] SSL-VPNとIPsec-VPNのメリット、デメリット

SSL-VPNのメリット、デメリット

・メリット
Webブラウザでアクセス可能
クライアントにソフトウェアをインストールが不要(L2フォワーディングは必要)

・デメリット
TCPのみ利用可能のため、マルチキャストやブロードキャストの配信には利用できない。
TCPのみ利用可能のため、リアルタイム性が重視される動画や音声のストリーム配信には利用できない。

IPsec-VPNのメリット、デメリット

・メリット
UDPにも利用可能のため、マルチキャストやブロードキャストの配信に利用できる。
UDPにも利用可能のため、リアルタイム性が重視される動画や音声のストリーム配信には利用できる。

・デメリット
クライアントPCに必ずVPN Clientのソフトウェアをインストールする必要がある

[共通] SSL構築シーケンス

以下のシーケンスでSSL暗号化通信を構築する。

[共通] SSL-VPNの３方式

SSL-VPNは以下の３方式が主流
・リバースプロキシ型
・ポートフォワード
・L2フォワーディング

リバースプロキシ型

クライアントPCからブラウザ経由でSSL-VPNゲートウェイにアクセス
ユーザ認証ができたら、接続先のURLを変換させて、通信させる。
Webブラウザ上で動作するアプリケーションしか使用できないので、メールサーバやFTPは使用できない。

ポートフォワード

クライアントPCからブラウザ経由でSSL-VPNゲートウェイにアクセスしたときにJava アプレットをダウンロードし、SSL-VPNゲートウェイとはJavaアプレットを経由して通信する。
SSL-VPNゲートウェイの設定でサーバのIPアドレスとポート番号を事前に定義する必要があることから、動的にポート番号が変更するアプリケーションは使用できない

L2フォワーディング

クライアントPCからブラウザ経由でSSL-VPNゲートウェイにアクセスしたときにSSL-VPNクライアントソフトがインストールされる。
アプリケーションのデータをHTTPパケットでカプセル化してSSL通信を行う。
FTPなどの動的にポート番号が変わるアプリケーションの通信も利用可能

参考：
【SSL-VPNの３方式についてまとめられているサイト】

平成２５年秋 午後１　問２

平成２５年秋 午後１問２は端末の管理強化に関する問題です。

[設問１] DHCPリレーエージェント

DHCPDISCOVER(DHCP発見パケット)はUDPのブロードキャストで送信するため、ルータを超えて別のネットワークに送信することができない。
DHCPサーバとDHCPクライアントが同じネットワーク上にあればよいが、別のネットワークにある場合は、DHCPリレーエージェントを導入する必要がある。

DHCPリレーエージェント機能は通常はルータに搭載されている。

[共通] DHCPの仕組み

以下のシーケンスでDHCPクライアントはIPアドレスを設定する。
(ブロードキャスト)DHCPDISCOVER:DHCP発見パケット
(ユニキャスト)DHCPOFFER:DHCP提供パケット
(ブロードキャスト)DHCPREQUEST:DHCP要求パケット
(ユニキャスト)DHCPACK:DHCP確認応答パケット

平成２５年秋 午後１　問３

平成２５年秋 午後１問３はVLANネットワークの再構築に関する問題です。

[設問１] タグVLAN

タグVLANはIEEE 802.1Qで規格化されている。
VIDは12ビットである。
詳細は平成２６年秋 午後１問２で整理したので、そちらを参考

[設問１] VRF(Virtual Routing and Forwaiding)

VRFで1つのルータの中で複数のルータを仮想的に保持できる技術

[設問１] スタック接続

複数の物理筐体を接続し、単一のスイッチとして機能させる機能
スタック接続については平成２４年秋 午後１問２で整理したので、そちらを参照

[設問２] タグVLANでの宛先/送信元MACアドレス

タグVLANではL2SWやL3SWを通っても、宛先MACアドレス、送信元MACアドレスは変更されない

[設問３] L2SWの冗長化構成

L2SWの冗長化構成は以下の２つがある。
１．スパニングポート(STP)を設定する
２．リンクアグレーションで単一のリンクにする。

平成２５年秋 午後２　問１

平成２５年秋 午後２問１は無線LANの導入に関する問題です。

[設問１] 無線LANのセキュリティ

WEP(Wired Equivalent Privacy)

アクセスポイントなどのネットワーク識別子であるESS-IDごとにWEPキーを設定しておく
暗号化アルゴリズムはRC4
WEPは弱点が発見され使用されていない。

暗号鍵は「固定暗号鍵＋ランダム値IV(Initialization Vector)」で構成される。
固定暗号鍵：40ビットか104ビット
ランダム値IV：24ビット

WPA(Wi-Fi Protected Access)

WPAはIV(Initialization Vector)が48ビットになり、動的に変化できる。

運用方法はEnterpriseとPersonal版の２種類あり

Enterprise WPA
IEEE 802.1X認証サーバを使用する。

Personal WPA
PSK(Pre-Shared Key)で事前に共有鍵を交換しておく

WPA2(Wi-Fi Protected Access 2)

暗号化をAES-CCMPを使用する。

[設問２] アクティブ/アクティブのチーミング

アクティブ/アクティブ構成のチーミングはリンクアグリゲーションと同じように動作するため、リンクアグリゲーションの設定が必要
リンクアグリゲーション、チーミングについては平成２７年秋 午後２問１で整理しているので、そちらを参照。
平成２７年秋 午後２問１ リンクアグリゲーション
平成２７年秋 午後２問１ チーミング

[設問２] STPとVRRPの同時導入について

STPはレイヤ２の技術であり、VRRPはレイヤ３の技術である。
そのため、ネットワーク構成の中で冗長化を並行して導入することができる。
STPはブロッキングポートを設けて、故障時には通信経路を変える
VRRPは２台のルータを仮想化して１台の仮想ルータにして、故障時には仮想ルータの情報を片側に引き継ぐことで冗長化を行う
それぞれ独立して導入しても問題はない。

[設問３] 指定的ブロードキャストアドレスと限定的ブロードキャストアドレス

ブロードキャストは２種類ある。
指定的ブロードキャストアドレス
ホスト部のみがALL 1のアドレス。
同じネットワーク内のルータを超えたブロードキャストができる。

限定的ブロードキャストアドレス
ALL 1のアドレス。
ルータを超えることができない。

平成２４年秋 午後１　問１

平成２４年秋 午後１問１はDNSサーバ構築の検討に関する問題です。

[設問１] 権威DNSサーバ

ドメイン名に関する完全な情報を持つネームサーバのこと。
ドメインの情報について外部からの問合せに応答する。

[設問３] ドメインの権限委譲

DNSサーバは自身の管理するドメイン名空間(ゾーン)の一部分を、別の複数のサーバへ管理を委任することができる。これにより、DNSサーバはツリー構造の構成をしている。

[共通] サーバの負荷分散

サーバの負荷分散装置をSLBと略す。
SLBは仮想IPアドレスを持ち、DNSサーバにはこの仮想IPアドレスを登録する。クライアントPCはDNSサーバからSLBの仮想IPアドレスを受け取り、仮想IPアドレスに対して要求を送信する。要求を受信したSLBはサーバの負荷状況を見て最適なサーバに割り振りを行う。

サーバへの振り替え方は様々な方法がある。ラウンドロビン型の様に順番に割り振るものから、リースコネクション型の様にコネクション数や応答時間、通信量から低負荷なサーバに割り振る方法もある。

参考：
【サーバの負荷分散について詳細に記載されているサイト】

平成２４年秋 午後１　問２

平成２４年秋 午後１問２は無線LANシステムの構築に関する問題です。

[設問１] Ethernetで給電

PoE（Power over Ethernet）というEthernetケーブルで給電できる技術がある。
IEEE 802.3afで規格化されており、各ポートに15.4Wの給電を実現できる。

規格はAlternative A方式とAlternative B方式がある。
Ethernetのケーブルは4対8本のケーブルで構成されており、どのピンを使うかで、2タイプに分かれる。

Alternative A方式
１?８ピンの中の1、2、3、6ピンを使用している。
※信号線も1、2、3、6ピンであり、信号線と同じピンで給電を行う。

Alternative B方式
１?８ピンの中の4、5、7、8ピンを使用している。
※信号線で使用しないピンを使用するタイプ

参考：
【PoEについて詳しくまとめられているサイト】

[設問２] スタック接続の配線について

スタック接続とは複数のスイッチを仮想的に１つのスイッチとして扱う技術。
コンフィグを共有できる。
普通のスイッチより高価
配線はin-outをリング状にする。

[設問２] ローミング

複数のアクセスポイントで同一のESS-IDを利用することで、場所を移動しても無線LANを利用できる技術

[設問３] 冗長化構成が必要な理由は？

一番の理由は障害時に通信ができなくなるから

[共通] 無線LANコントローラ(WLC)

複数のAPを集中監視する機器を無線LANコントローラ(WLC;Wireless LAN Controller)という。
従来APが行っていた認証、暗号化、電波出力調整、ローミングに関する機能を無線LANコントローラ上で機能させるため、APはアンテナの役割となる。

APと無線LANコントローラ間はトンネル化されているため、APに接続しているネットワーク機器からパケットを送信したときには、無線LANコントローラに送信されてから他ネットワークに送信される。

参考：
【無線LANコントローラについてまとめられているサイト】

平成２４年秋 午後１　問３

平成２４年秋 午後１問３はモバイル端末を利用したシステムに関する問題です。

[設問１] チャネルボンディング

無線LANで隣り合う複数のチャネルを束ねて通信することで、通信速度を束ねる技術。
従来の無線LAN(IEEE 802.11n以前)は１つのチャネルは20MHzだが、２つのチャネルをまとめることで40MHz利用可能となる。
これにより従来の通信速度理論値は144Mbpsだったのに対して、２つのチャネルをチャネルボンディングすることで300Mbpsまで速くすることができる。
※単純に２倍するよりも理論値が良くなる。

ちなみに、「チャネルアグリゲーション」はLTEのチャネルを束ねる技術。混同しないように気を付けること。

[設問１] URLリライティング

セッションIDを伝送する方法の１つ。WebサーバはHTMLソース内のすべてのURLにセッションIDを付ける。
セッションIDを伝送する方法はほかにも、HTTP Cookieを利用する方法、hidden要素を利用する方法がある。

参考：
【セッションIDの搬送方法のそれぞれのメリット、デメリットがまとまっているサイト】

[設問２] フレームアグリゲーション

フレームを連結して待ち時間を短縮する技術。
メリット
フレームを個別に送ると、フレームごとにヘッダが必要であり、それを１つのフレームに集約することでヘッダ分データサイズを節約できる。さらに、待ち時間や受信側が返す確認応答時間も集約し、通信時間を短縮できる。

デメリット
フレーム送信中は無線チャネルを占有するので、大きなフレームを受信しているときには他の通信はデータを送ることができず待たされる。

[設問３] User-Agentヘッダ

モバイル端末の種類やブラウザ、OSの種類が記載されている

例：IE バージョン11 (Windows)
User-Agent Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko

平成２７年秋 午後２　問１でHTTPヘッダについて整理している。詳細はこちらを参照

[共通] 無線LANの種類

無線LANの規格はIEEE 802.11である。
通信速度や周波数帯の違いによって、以下の様に分類されている。
※黄色背景は平成２４年秋 午後１　問２で出題された分類

参考：
【無線LAN　IEEE802.11nに関する技術が詳細にまとめられているサイト】

平成２４年秋 午後２　問２

平成２４年秋 午後２問２はネットワークシステムの再構築に関する問題です。

[設問１] 拡張ヘッダ

IPv6ヘッダは40バイト固定のため、オプションをヘッダ内に付与できない。
そのため、IPv6ペイロード長に拡張ヘッダを設けて、機能を拡張できるようにしている。

拡張ヘッダの種類はいろいろある。
ホップバイホップヘッダ、ルーティングヘッダ、フラグメントヘッダなど
拡張ヘッダの種類については以下のサイト参照
参考：
【拡張ヘッダについてまとめられているサイト】

[設問２] PCのルーティングテーブルについて

Wikipediaによるとルーティングテーブルは「ルーターやネットワーク接続されたコンピュータが持つ、個々のネットワークの宛先への経路の一覧を保持しているテーブル状のデータ構造」であり、ルーティングテーブルを持つのはルータに限らず、PCでもルーティングテーブルを持つ。
このルーティングテーブルをスタティックに指定してやれば、デフォルトゲートウェイを変える必要なくその宛先IPアドレスを指定することができる。
平成２４年秋 午後２問２では管理用PCは通常デフォルトゲートウェイとは別のルータに通信したいため、このルーティングテーブルを設定してやれば別のルータに対しての通信が行える。

ちなみに、WindowsPCの場合は「route」コマンドでルーティングの確認ができる。

[設問３] IPv6パケットフォーマット

IPv6の特徴は以下

・IPv6ヘッダ長は40バイト
(IPv4ヘッダ長は20バイト)

・IPv6アドレス長は16バイト(128bit)
2バイトx8コでアドレスを形成する。
(IPv4アドレス長は4バイト)

・ルータの処理低減
IPv6ヘッダは固定長40バイトであり、ルータで分割処理やチェックサムをなくすことでルータの負荷を低減
(IPv4ヘッダはオプションによりヘッダ長が可変、フラグメントやチェックサムもヘッダ内に含む)

・DHCPサーバが不要
IPv6アドレスはMACアドレスから算出することもできるため、DHCPサーバを実装する必要がなくなる。

・セキュリティ機能強化
IPv6はIPsecを標準サポート(認証機能や暗号化機能、なりすまし防止など)

IPv6のパケットフォーマット

IPv6のパケットフォーマットは以下。

[設問４] STPでの再構築時のMACアドレステーブルについて

STPを構成したネットワークでルートスイッチに障害が発生したときには、ネットワークの再構築が行われる。このとき、MACアドレステーブルはクリアされて、再度MACアドレスの学習が行われるため、再構築後のネットワークにもスイッチが対応可能となる。

[設問４] MSTP(Multiple Spanning Tree Protocol)

複数のVLANごとにSTPを形成することができる。
VLANごとに異なったインスタンス番号を割り当てることで、VLANごとのSTPを実現できる。
IEEE 802.1Sで規格化されているプロトコル。

スパニングツリーの改善

スパニングツリープロトコルは以下のような問題がある。
１．待ち時間が長い
２．VLANではうまく対応できない
それぞれに対して、STPの改善策が規定されている。

RSTP(Rapid STP)
STPのブロックングポートを代替ポートとバックアップポートの役割に分けることで、STPの切り替わり時間を短くされたSTP(数十秒→1?3秒)
IEEE 802.1Wで規格化されている。

MSTP(Multiple STP)
上記で記載済み

[設問４] 複数のVLANをまとめる方法

IEEE 802.1Qで規格化されたタグVLAN
トランクポートを指定するのも可
(平成２６年秋 午後１問２で整理しているのでそちらを参考)

タグVLANについて
トランクポートについて

平成２３年秋 午後１　問１

平成２３年秋 午後１問１は宿泊施設へのLAN導入に関する問題です。

[設問１] ブロードバンド方式とベースバンド方式

伝送路に電気信号を流す方式は2種類ある。

ブロードバンド方式
デジタル信号をアナログ信号に変調して流す方式
伝送路の物理的な影響を受けにくく、遠距離通信に向いている
デジタル信号→アナログ信号→デジタル信号に変調と復調をする。
振幅や周波数、移送などの波形も変化させる
変調したり、復調したりする装置が モデム

ベースバンド方式
デジタル信号をそのままの形で伝送路に流す方式
伝送路の物理的な影響を受けやすく遠距離通信に向いていない

[設問１] Ethernetの規格

100BASE-TX
UTPケーブルを使った規格
ケーブル最大長は100m

1000BASE-SX
光ファイバを使った規格
ケーブル最大長は550m

その他のEthernetの規格は以下
伝送速度はMbps単位であることに注意

[設問１] SNMPのtrap

SNMPで管理される対象(エージェント;ルータやスイッチ、サーバなど)からネットワークを管理する側(マネージャ;管理PCなど)に向けてイベントを通知するときに使用する通信
SNMP通信はポート161で行うが、trapだけはポート162で通信を行う

[設問１] デジタル著作権管理

電子機器上のコンテンツ（映画や音楽、小説など）の無制限な利用を防ぐための技術の総称
複製を制限するなど

[設問２] 様々なLANの導入方法

・PLC
Power Line Communication;電力線通信
電力線を使って通信を行う方式

・TLC
TV Line Communication;テレビ線通信
テレビ線に使われる同軸ケーブルを使って通信を行う方式
雑音に強い、安定した通信速度を実現できる

・DUN
Dial Up Network;ダイアルアップネットワーク
電話回線と使って通信を行う方式

[共通] SNMPの３種類の通信

SNMP (Simple Network Management Protocol) は、ルータ、スイッチ、サーバなどTCP/IPネットワークに接続された通信機器に対し、ネットワーク経由で監視、制御するためのアプリケーション層プロトコル

SNMPで管理される対象であるSNMPエージェントとそれらを管理するSNMPマネージャで構成される。
※エージェントはルータやスイッチ、サーバなどとなる

SNMPでは３種類の通信をサポートする。
１．動作チェック
SNMPマネージャ→SNMPエージェントに対して、「get-request」を送信し、SNMPマネージャ←SNMPエージェントに「get-response」を返すことで情報を取得する。
また、「get-next-request」→「get-response」を使うことで次々に情報を取得することも可能。

２．設定変更
SNMPマネージャ→SNMPエージェントに対して、「set-request」を送信し、SNMPマネージャ←SNMPエージェントに「set-response」を返すことで設定変更を行う。

３．イベント通知
SNMPマネージャ←SNMPエージェントに「trap」を送信することで、SNMPエージェントに発生したイベントをSNMPマネージャに通知できる。

MIB(Management Information Base)

SNMPエージェントが持っている機器情報の集合体
SNMPマネージャとSNMPエージェントはこのMIBをやりとりすることで、SNMPエージェントのCPU使用率、インターフェースの使用状況等を確認している。

参考：
【SNMPについて詳細にまとめられているサイト】

平成２３年秋 午後１　問２

平成２３年秋 午後１問２はメールアーカイブシステムの導入に関する問題です。

[設問１] RPO(目標復旧時点)

事業継続マネジメント(BCM;Businness Continuity Management)の青果物としてBCP(Business Continuity Plan;事業継続計画)を立てるが、その時に目標復旧時点(RPO;Recovery Point Objective)と目標復旧時間(RTO;Recovery Time Objective)を事前に策定しておく。

・目標復旧時点(RPO)
システム障害などでデータが損壊した際に、復旧するバックアップデータの古さの目標
バックアップデータの頻度を検討する。
?秒、?分、?時間、?日のように時間で目標を立てる。
RPOが1日であれば、1日前のデータが復旧できればよいという意味になる

・目標復旧時間(RTO)
事業が中断した際に、「いつまでに事業を復旧するか」という目標時間を表す指標

[共通] 待ち行列理論

M/M/1モデルで表さられる。(到着率/サービス時間/窓口の数)
到着率は一定ではなくランダム（ポアソン分布）でサービス時間は一定ではなくランダム(指数分布)で表すモデル。

計算式は以下で表される。

平成２３年秋 午後１　問３

平成２３年秋 午後１問３はインターネットカフェのネットワーク再構築に関する問題です。

[設問１] UTM(Unified Thread Management)

UTMとは、複数の異なるセキュリティ機能を一つのハードウェアに統合し、集中的にネットワーク管理、つまり統合脅威管理(Unified Threat Management)を行うこと
・Webフィルタリング
・アンチウイルス
・アンチスパム
・IDS/IPS
・ファイアウォール
などのセキュリティ機能をまとめた装置

[設問１] TFTP（Trivial File Transfer Protocol)

特定のコンピュータ間でファイル転送する時に使用するアプリケーション層プロトコル
TFTPはルータなどのソフトをアップロードやダウンロード時によく使用され、データは512バイトずつ区切り送受信する。

FTPとの違いは以下
１．認証が行われない
ユーザ名とパスワードによる認証なし
２．UDPを使用
信頼性よりも転送効率を重視している

参考：
【TFTPについて詳細にまとめられているサイト】

[設問１] RJ-45端子

ISDN回線で使用されるモジューラジャックのコネクタ規格
8本のワイヤー（4組のツイストペア）のUTPケーブルが一般的
LANにおける10BASE-Tや100BASE-TXなどのコネクタとして多く利用されている

[設問１] SNMPのコミュニティ名

SNMPで管理するネットワークシステムの範囲
SNMPマネージャとSNMPエージェントとの間で、同じコミュニティ名にすることで情報を共有することができる。
SNMPについては平成２３年秋 午後１問１で整理しているので、こちらを参照

参考：
【SNMPのコミュニティについてまとめられているサイト】

[設問２] プライベートVLAN

プライベートVLANとは、同じVLAN内のポートのブロードキャストドメインを分割できるVLANのこと
プライベートVLANの実装はマンションやホテルなどよく適用される技術
プライベートVLANごとの通信を遮断しつつも、インターネットへの通信は１つのVLANでまとめることができる。

プライベートVLANは以下の２つで構成される。
・プライマリVLAN
おおもとのVLAN

・セカンダリVLAN
プライマリVLANを内部で分割したVLAN
隔離VLAN、コミュニティVLANの2種類がある。
※プライマリVLANと隔離VLANは１対１で１つしか作成できないようです。

参考：
【プライベートVLANについてまとめられているサイト】

[設問３] SNMP対応上位ネットワーク機器が故障した時の大量アラーム発生について

SNMPはSNMPエージェントであるルータやスイッチ、サーバなどを監視しているが、上位ネットワーク機器であるファイウォールやルータなどが故障したとき、その配下にあるすべてのSNMPエージェントと通信ができなくなるため、SNMPは故障した上位ネットワーク機器の配下にあるすべてのSNMPエージェントが異常であると判断し、大量のアラームが発生してしまう。
アラームに対してアラーム内容をメールで送る対応をとると、大量のメールが送信されることになるので注意が必要。
対応方法としては、すべてのアラーム内容に対してメールを送るのではなく、アラーム内容をまとめて送るなどする。

平成２２年秋 午後１　問１

平成２２年秋 午後１問１はWebプロキシシステムの改善に関する問題です。

[共通] 永続的接続

HTTP 要求/応答の複数のペアを送信または受信する際に同一の TCP 接続を使用可能。
HTTPのConnection: Keep-aliveヘッダを入れることで有効になる。

HTTPのヘッダに関しては、平成２７年秋 午後２問１で整理しているのでそちらを参照
HTTPヘッダのconnectionフィールド

平成２２年秋 午後１　問２

平成２２年秋 午後１問２はネットワークの評価に関する問題です。

[設問１] 統計多重効果

独立した複数のトラフィックを１つの伝送路に多重化することで帯域を効率よく共有できる技術
通信経路の共有は、各チャネルを介して転送されるデータストリームによる瞬間的なトラフィックの要求に対応できる。
この点がOFDM(orthogonal frequency-division multiplexing;直交周波数分割多重方式)などの固定幅で共有された伝送路を作成する方式と異なる点である。

[設問１] コーデック

映像のエンコード(符号化)とデコード(復元)を双方向にできる装置やソフトウェアなどのこと。

[設問２] 伝送情報削減技術

・データ圧縮
・差分転送
・プログレッシブ符号化

[設問２] バースト性低減

帯域制御や優先制御など
QoS関連は平成２６年秋 午後１問１で整理済みのため、そちらを参照
QoSについて

平成２２年秋 午後１　問３

平成２２年秋 午後１問３はネットワーク構成の見直しに関する問題です。

全体的な流れとしては、HTTPを使った攻撃に関する問題、IDSを使った異常検知、FWの冗長化構成についてです。
「IDSを使った異常検知」、「FWの冗長化構成」についてはそれぞれ既出の問題ですので、そちらを参照。

IDSを使った異常検知(平成２７年秋 午後１問３)

FWの冗長化構成(平成２７年秋 午後１問２)

[共通] セキュリティ攻撃手法の整理

ここではセキュリティ攻撃について整理したいと思います。

IPスプーフィング

IPアドレスを偽装して攻撃
TCPではIPアドレスを偽装するとセッションが成り立たなくなるため、この攻撃が有効なのはUDPでの攻撃やICMPのping攻撃、TCPのSYNパケットのみ。

バッファオーバフロー攻撃

バッファの長さを超えるデータを送ることで、バッファの後ろの領域を上書きして動作不能にする攻撃。
入力文字列長のチェックをすることで対策となる。

Dos攻撃

大量にパケットを送ることでサービス不能にする。
踏み台によって複数のコンピュータから一斉に攻撃する標的型DOS攻撃もある。
また、フラッド攻撃なども含まれる。
フラッド攻撃については平成２６年秋 午後１問３で整理したのでそちらを参照
Dos攻撃 Flood攻撃

SQLインジェクション

不正なSQLを投入することで不正な動作をさせる攻撃
制御文字を通常の文字に置き換えるエスケープ処理やバインド処理が対策として有効

クロスサイトスクリプティング

悪意のあるスクリプトを標的サイトに埋め込み、そのスクリプトを実行させることで情報漏えいなどを発生させる攻撃。
対策としてはスクリプトを実行させないように制御文字をエスケープ処理するなどが有効

クロスサイトリクエストフォージェリ

CSRF攻撃と略される。
Webサイトにログイン中のユーザのスクリプトを操ることで思ってもいない処理をさせてしまう攻撃

参考：
【IPAのCSRFについての紹介サイト】

セッションハイジャック

セッションIDやクッキーを盗むことで別のユーザになりすまして不正アクセスをする攻撃

DNSキャッシュポイズニング

DNSのキャッシュサーバに不正な情報を入れることで、不正サイトへのアクセスを誘導する攻撃
キャッシュサーバは問い合わせがあるとコンテンツサーバに問い合わせるが、その問合せが来る前に偽の情報の応答が送られると、偽の情報としてキャッシュに保管される。
対策としては、キャッシュサーバとコンテンツサーバを分けて、外部からの問い合わせに対してキャッシュサーバは応答しないようにする。

その他

個人的に弱いところを整理しました。

[共通] RTS/CTS方式

無線LANではCSMA/CAでキャリアセンスを行い、衝突を回避している。しかし、端末間の距離の関係で、端末-アクセスポイント間は通信できるが、端末-端末間は電波が届かないケースがある。このようなケースで衝突を解決する方法として、RTS/CTS方式がある。
データ通信を行う前にRTS(Request To Send)という制御フレームを送信し、それを受け取ったアクセスポイントは全端末に対してCTS(Clear To Send)を送信する。RTSとCTSには送信抑止時間が含まれており、それを受信した端末はその抑止時間だけ送信をしない。

[共通] マイナー(!?)なデータリンク層のプロトコル

FDDI(Fiber Distributed Data Interface )

伝送媒体に光ファイバを用いて機器を円環状に接続するループ型の接続形態を基本とし、トークンを巡回させるトークンパッシング方式の通信制御方式。
衝突が発生せず、混雑しても性能があまり低下しない。100Mbpsの伝送速度を実現できる。

ATM(Asynchronous Transfer Mode)

データを53バイト(ヘッダ5バイト、データ48バイト)のセル単位に分割して通信する。

IEEE 1394

AV機器を結ぶ高速シリアルバス規格

HDMI(High-Definition Multimedia Interface)

高画質な映像や画像をデジタル送信する規格

[共通] スイッチのフレーム転送方式

スイッチのフレーム転送方式は以下の３つある
１．ストア&フォワード方式
１つのフレーム全体を受信し、FCSチェックでエラーを確認し問題なければ転送する方式。
伝送速度は遅いが、通信品質は高い

２．カットスル―方式
宛先MACアドレスのみ読み取り、転送する方式。
伝送速度は速いが、通信品質は低下

３．フラグメントフリー
フレームの先頭64バイトのみ読み込みフレームが正常化を判断し、問題なければ転送する方式。
伝送速度はカットスル―よりも遅いがストア&フォワードよりも速い。通信品質はカットスル―方式よりも高い

参考：
【L2スイッチについてまとめられたサイト】

[共通] IEEEの規格について

[共通] MPLS(Multiprotocol Label Switching)

IP-VPNを構築するときに使用される技術。IPパケットにラベルを付与して通信を制御する。

構成要素は以下の２つ
・LER(Label Edge Router)
ラベルを付与、分離するルータ
プロバイダの境界ルータ(PER;Provider Router)に実装される
・LSR(Label Switching Router)
IP-VPN網内でのラベルスイッチングを行うルータ

また、MPLSでは宛先などの同じパケットにはどれもラベルによって同じ経路をたどる。この経路をLSP(Label Switching Pass)

[共通] 広域イーサネット

広域イーサネットはIEEE 802.1QのタグVLANを利用してデータリンク層でVPNを実現する技術。

広域イーサネットはプロバイダが提供するため、利用者ごとのVPNを実現する必要がある。このとき利用されるのがQ in Qと呼ばれる各利用者のデータをプロバイダ内用タグVLANでトンネルする技術である。これによって、利用者が個別で設定しているVLANに影響を与えることなくVPNを実現できる。

参考：
【広域イーサネットについてまとめられたサイト】

[共通] アクセス回線

インターネットを接続するにはアクセス回線の契約が必要となる。アクセス回線は以下の２つがよく利用される。

FTTH(Fiber To The Home)

光ファイバケーブルを直接引き込む。
光ファイバの終端装置としてONU(Optical Network Unit;光回線終端装置)を設置し、光と電気信号を変換する。
多重化方式を利用することで１本の光ケーブルで送信と受信を行う

ADSL(Asymmetric Digital Subscriber Line)

公衆電話網(アナログ電話回線)でデータ通信用の高周波を送ることでインターネット通信を実現。
通常の音声回線(低周波)とデータ通信用(高周波)をスプリッタで統合・分離する。
通信速度は上り(自宅⇒インターネット) < 下り(インターネット⇒自宅)

[共通] CIDR(Classless Inter-Domain Routing)

インターネット上のルーターにおけるルーティングテーブルの肥大化速度を低減させるための仕組み
IPアドレスの後にプレフィックスを付ける。

[共通] プロキシARP

旧型の機器ではサブネットマスクを認識しない場合がある。このようなときに、ルータが代理でARP応答を返すようにルータに設定する。このような機能をプロキシARPという。

[共通] モバイルIPの仕組み

移動時に通信を継続を以下の手順で行う。
事前．移動ホストのホームでホームエージェントからホームアドレスを発行してもらう。
１．移動先で、外部エージェントが定期的に出しているAdvertiseメッセージを移動ホストは受信する。
２．移動ホストは外部エージェントに自分の存在を通知する。
３．移動ホストからホームエージェントに移動ホストが自ネットワークにいることを通知
４．ホームエージェントと外部エージェント間でトンネルを確立する。

それ以降、ホームアドレス宛てのパケットをホームエージェントが受信すると、外部エージェントとの間にはったトンネルを経由して、移動ホストにパケットを転送する。

[共通] RIPでの経路変更通知方法

以下のような方法がある。

ルートポイズニング

経路切断検知時に通信不能を示す距離16の経路情報を送信する。

ポイズンリバース

到達不能の経路情報受信時に、その経路情報をそのまま隣接ルータに通知する。

トリガーアップデート

経路が変化したときに３０秒待たずにすぐに次のルータに伝送する。

[共通] RIPからRIP2になって追加された機能

・サブネットマスク対応
・マルチキャスト使用
RIPパケットはブロードキャストだったがマルチキャストに変更することで、トラフィックを軽減
・認証機能
パスワードで認証

[共通] HTTP以外のWebアクセス技術

SOAP

ソフトウェアのインタフェース仕様。
オブジェクト呼び出しに必要なXMLメッセージの交換をする。

UDDI(Universal Description, Discovery and Integration)

Webサービスを公開、検索する技術

Ajax(Asynchronous JavaScript + XML)

Webブラウザ上で非同期通信を行い、ページの一部を書き換える手法

[共通] POPの通信シーケンス

POPはメールサーバ上にあるメールをすべてクライアントにダウンロードするプロトコル
以下のシーケンスで受信メールをダウンロードする。

参考：
【POP3についてまとめられているサイト】

[共通] FTPの通信シーケンス

FTP(File Transfer Protocol)は異なるコンピュータ館でファイル転送をするプロトコル
FTPは制御用(ポート番号21)とデータ用(ポート番号20)の２つのTCPコネクションを利用する。
通信シーケンスは以下

[共通] SIPの通信シーケンス

SIP(Session Initiation Protocol)は呼制御を行うプロトコル
※データ通信は別のプロトコル(RTPなど)を使用する

通信シーケンスは以下

[共通] NTP(Network Time Protocol)

ネットワーク上で機器の時刻を維持するためのプロトコル
UTC(Universal Time Coordinated;協定世界時)を使って時間を送受信する。
stratumという階層構造を持ち、stratum0は原子時計やGPSなどの正確な時間であり、NTPの最上位サーバはこのstrutum0から時刻を取得し、strutum1を保持する。

[共通] EAP(Extensible Authentication Protocol)

EAPはPPPを拡張したプロトコル。IEEE 802.1XではEAPが使用される
EAPの認証方式は以下

EAP-MD5

サーバ認証：行わない
クライアント認証：ユーザ名とパスワード(CHAP同様にハッシュ関数利用)

EAP-PEAP

サーバ認証：サーバのデジタル証明書
クライアント認証：サーバの公開鍵で暗号路を生成し、ユーザ名とパスワードで認証

EAP-TLS

サーバ認証：サーバのデジタル証明書
クライアント認証：クライアントのデジタル証明書

EAP-TTLS

サーバ認証：サーバのデジタル証明書
クライアント認証：サーバとクライアント間にTLSで暗号路を生成し、ユーザ名とパスワードで認証

[共通] アクセスポイントのセキュリティ

・MACアドレスフィルタリング
・プライバシセパレータ
同じアクセスポイントに接続されている機器同士の通信を禁止する
・IEEE 802.11i
無線LAN用のセキュリティ技術
IEEE 802.1Xは認証LANの規格だが、それを使用し、暗号化アルゴリズムはTKIPやAES-CCMPが使用される。
WPA2はIEEE 802.11iの最終盤をベースにしている。

[共通] UPS(Uninterruptible Power Supply)

無停電電源装置
電力がなくても一定時間、電力を供給し続ける装置

[共通] 信頼性設計

・フォールトトレランス
障害が発生してもシステムとして機能停止を防ぐ設計
冗長化を行う

・フォールトアボイダンス
機器の障害発生率を下げる

・フェールセーフ
障害時には安全側に制御する

・フェースソフト
障害時には最低限のシステムの稼働を続ける
限定的機能で稼働し続けることをフォールバックという

・フォールトマスキング
障害発生時に外部に出ないようにする

・フールプルーフ
利用者が間違った操作しても危険な状況にならないように設計する

[共通] RASIS

コンピュータの信頼性を評価する時に使用

・Reliability(信頼性)
故障や障害発生のしにくさ。MTBFや故障率の指標がある

・Availability(可用性)
稼働している割合。稼働率。

・Serviceability(保守性)
障害時のメンテナンスのしやすさ、復旧の速さ。MTTR。

・Integrity(保全性・完全性)
障害時のデータ故障の起こりにくさ。一貫性を確保する

・Security(機密性)
情報漏えい等の起こりにくさ。

[共通] ホストOS型とハイパーバイザ型

サーバ上での仮想化する方式は以下の２つある。

・ホストOS型
ホストOSのミドルウェアとしてサーバ仮想化ソフトウェアをインストールする仮想化方式

・ハイパーバイザ型
ハードウェア上で直接稼働するOSフリーな仮想化方式

[共通] TRILL(Transparent Interconnection of Lots of Links)

イーサネットの経路冗長化する技術。
STPと異なり、冗長化するだけではなく負荷分散することで高速化も実現できる。

以上!