📝

ネスペ午後Ⅱ対策メモ

2024/04/20に公開

NWの午後Ⅱ試験で直前に読む用のメモ。
抽象化された問題と解答。

令和5年度 春 午後Ⅱ

問 1 プロキシサーバ, 監視, BGP, VRRP

設問 1

負荷分散を目的として1つのドメイン名に複数のIPアドレスを割り当てる方式

DNSラウンドロビン

プロキシサーバーに対してping監視では不十分な理由(TCP監視を追加する理由)

プロキシサーバーのアプリケーションプロセスが停止した場合に検知できないから

サーバー1で異常を検知した時にサーバー2を利用するためにAレコードを書き換えるIPアドレス

サーバー2のIPアドレス

リソースレコードのTTLを短くする理由

キャッシュDNSサーバがキャッシュを保持する時間を短くするため

自動でプロキシサーバーを切り替えるためのDNS以外の方法

プロキシ自動設定機能を利用する

プロキシ自動設定機能を利用する側の環境で生じる制限

対応するPCやサーバーでしか利用できない

設問 2

BGPは[___]間で経路交換する

AS(自律システム)

RFC4271で規定されている。
TCP179を使う

BGPで経路交換を行う隣接ルータの呼び方

ピア

BGPで経路情報の追加,削除に交換するメッセージ

UPDATE

BGP接続の確立や維持のために交換するメッセージ

KEEPALIVE

BGPのメッセージタイプ

タイプ 名称 説明
1 OPEN BGP接続開始時に交換する。自AS番号,BGPID,バージョンなどの情報を含む。
2 UPDATE 経路情報の交換に利用する。経路の追加や削除が発生した場合に送信される。
3 NOTIFICATION エラーを検出した場合に送信される。
4 KEEPALIVE BGP接続の確立やBGP接続の維持のために交換する。
BGPの最適経路選択アルゴリズムが導いた経路情報を反映する先

ルーティングテーブル

iBGPではLOCAL_PREF値が[___]値を持つ経路を選択する

大きい

next-hop-selfを設定した時にiBGPで広告する経路情報のネクストホップ

自身のIPアドレス

BGPで定期的にやり取りされるメッセージのタイプ

4(KEEPALIVE)

BGPピアとKEEPALIVEが一定時間受信できなくなった時の動作

BGP接続を切断し,経路情報がクリアされる。

VRRP導入をBGP導入より後にする必要がある理由

予備系のルーターがVRRPマスターになった時に経路情報を保持していないと受信パケットを転送できないため。

ping試験で確認するべき内容

パケットロスが発生しないこと

増設したネットワーク機器のping確認の元と宛先

増設したルーターと内部のFWか元のルーター
増設したルーターと回線の先のピア

BGPの経路情報を有効にするためにルーターから静的経路制御を削除する理由

BGPより静的な経路情報が優先されるため

可用性向上の確認をするための想定障害発生箇所(接続先ルーターを除く)
  • 主系ルーター
  • 予備系ルーター
  • 主系回線
  • 予備系回線
  • 主系LAN接続
  • 予備系LAN接続

設問 3

2つ以上の機器でルーティング設定を変えなければいけない状態で,1つだけ変えると起こること

ルーティングのループが発生する

インターネット接続の切替でSaaSを利用する業務に影響が出る理由(SaaSでは送信元IPアドレスでアクセス制限している)

送信元IPアドレスが変わるから

インターネットに接続する経路が変わり,グローバルIPアドレスが変わる。

SaaSへの送信元IPアドレスを変えないためのポリシーベースドルーティングの設定

送信元IPアドレスが現行プロキシサーバーで宛先IPアドレスがインターネットの場合にネクストホップを現行ルーターとする設定

新しいインターネット接続経路でSaaSを利用可能にする恒久対応

SaaSの送信元IPアドレスによるアクセス制限の設定変更

問 2 負荷分散, DNS, NAT, SAML

設問 1

ネームサーバーのサーバー名を指定するDNSレコードタイプ

NS

メールサーバーのDNSレコードタイプ

MX

インターネット向けのAレコードでネームサーバーに登録するIPアドレス

FWでTCP/53,UDP/53を許可しているグローバルIPアドレス

インターネット向けのAレコードでメールサーバーに登録するIPアドレス

TCP/25を許可しているグローバルIPアドレス

社内LAN向けのAレコードでネームサーバーに登録するIPアドレス

FWでTCP/53,UDP/53を許可しているローカルIPアドレス

社内LAN向けのAレコードでメールサーバーに登録するIPアドレス

TCP/25を許可しているローカルIPアドレス

設問 2

サーバー証明書が1つしかないECサーバーに内部用アドレスでアクセスするとTLSハンドシェイク中にエラーとなる理由

コモン名とURLのドメインが異なるから

※経路は省略

設問 3

サービスが停止するサーバー増強

スケールアップ

サービスを停止せずに行えるサーバー増強

スケールアウト

2台で十分なサーバーを3台で構成する理由(将来のアクセス増加は考慮しない)

1台故障時にも応答速度の低下を発生させないため

※NATは一部省略

LBでソースNATした場合の変換後のパケットの送信元IPアドレス

LBの物理IPアドレス

設問 4

LBを構成した時にECサーバについてDNSのAレコードが示す機器とIPアドレス

機器: LB
IPアドレス: 仮想IPアドレス

既設サーバーのホスト名をLBの仮想IPアドレスに割り当てるときに,既設サーバーで必要な変更はホスト名と[___]

IPアドレス

ワンアームのLBを追加してソースNATをせずに既設サーバーを運用するためには既設サーバーのデフォルトGWをどう変更するか

元のデフォルトGWからLBに変更する

LBでソースNATする時にHTTPヘッダーにX-Forwarded-Forフィールドを追加する目的

サーバーにアクセス元のIPアドレスを通知するため

既設サーバーのサーバー証明書をLBに流用するための作業

既設サーバーにインストールされているサーバー証明書と秘密鍵をLBに移す。

設問 5

IPアドレスとポート番号の組み合わせでアクセス元を識別する場合に,TCPコネクションが切断されるとセッション維持ができなくなる理由

TCPコネクションが再設定されるたびにポート番号が変わる可能性があるから

Cookie中のセッションIDでのセッション管理について,LBがセッション管理テーブルに新たなレコードを登録するのはどのような場合か

サーバーからの応答に含まれるCookieセッションIDがセッション管理テーブルに存在しない場合

レイヤー7に対して,レイヤー3およびレイヤー4では適切な監視が行われない理由

サービスが稼働しているかどうか検査しないから

設問 6

foo⑪ SPであるサーバーがSAML認証要求(SAML Request)をIdPにリダイレクトを要求するために必要な情報

アクセス元のユーザーが所属している組織の情報

IdPが作成するデジタル署名の検証を行うために,SPのサーバーに登録するべき情報

IdPの公開鍵証明書

クライアントがST(Service Ticket)を改ざんできない理由

IdPの秘密鍵を所有していないから

SAML Response内のSAMLアサーションについてSPが検証可能な内容
  • 信頼関係のあるIdPが生成したものであること
  • SAMLアサーションが改ざんされていないこと

令和4年度 春 午後Ⅱ

問 1 TLS-VPN, サーバ証明書, VRRP, OCSP

問 2 VRRP, 負荷分散, 監視

令和3年度 春 午後Ⅱ

問 1 STP, RSTP, スタック

問 2 SNMP, 監視, BGP, OSPF

GitHubで編集を提案

Discussion