ネスペ午後Ⅱ対策メモ
NWの午後Ⅱ試験で直前に読む用のメモ。
抽象化された問題と解答。
令和5年度 春 午後Ⅱ
問 1 プロキシサーバ, 監視, BGP, VRRP
設問 1
負荷分散を目的として1つのドメイン名に複数のIPアドレスを割り当てる方式
DNSラウンドロビン
プロキシサーバーに対してping監視では不十分な理由(TCP監視を追加する理由)
プロキシサーバーのアプリケーションプロセスが停止した場合に検知できないから
サーバー1で異常を検知した時にサーバー2を利用するためにAレコードを書き換えるIPアドレス
サーバー2のIPアドレス
リソースレコードのTTLを短くする理由
キャッシュDNSサーバがキャッシュを保持する時間を短くするため
自動でプロキシサーバーを切り替えるためのDNS以外の方法
プロキシ自動設定機能を利用する
プロキシ自動設定機能を利用する側の環境で生じる制限
対応するPCやサーバーでしか利用できない
設問 2
BGPは[___]間で経路交換する
AS(自律システム)
RFC4271で規定されている。
TCP179を使う
BGPで経路交換を行う隣接ルータの呼び方
ピア
BGPで経路情報の追加,削除に交換するメッセージ
UPDATE
BGP接続の確立や維持のために交換するメッセージ
KEEPALIVE
BGPのメッセージタイプ
タイプ | 名称 | 説明 |
---|---|---|
1 | OPEN | BGP接続開始時に交換する。自AS番号,BGPID,バージョンなどの情報を含む。 |
2 | UPDATE | 経路情報の交換に利用する。経路の追加や削除が発生した場合に送信される。 |
3 | NOTIFICATION | エラーを検出した場合に送信される。 |
4 | KEEPALIVE | BGP接続の確立やBGP接続の維持のために交換する。 |
BGPの最適経路選択アルゴリズムが導いた経路情報を反映する先
ルーティングテーブル
iBGPではLOCAL_PREF値が[___]値を持つ経路を選択する
大きい
next-hop-selfを設定した時にiBGPで広告する経路情報のネクストホップ
自身のIPアドレス
BGPで定期的にやり取りされるメッセージのタイプ
4(KEEPALIVE)
BGPピアとKEEPALIVEが一定時間受信できなくなった時の動作
BGP接続を切断し,経路情報がクリアされる。
VRRP導入をBGP導入より後にする必要がある理由
予備系のルーターがVRRPマスターになった時に経路情報を保持していないと受信パケットを転送できないため。
ping試験で確認するべき内容
パケットロスが発生しないこと
増設したネットワーク機器のping確認の元と宛先
増設したルーターと内部のFWか元のルーター
増設したルーターと回線の先のピア
BGPの経路情報を有効にするためにルーターから静的経路制御を削除する理由
BGPより静的な経路情報が優先されるため
可用性向上の確認をするための想定障害発生箇所(接続先ルーターを除く)
- 主系ルーター
- 予備系ルーター
- 主系回線
- 予備系回線
- 主系LAN接続
- 予備系LAN接続
設問 3
2つ以上の機器でルーティング設定を変えなければいけない状態で,1つだけ変えると起こること
ルーティングのループが発生する
インターネット接続の切替でSaaSを利用する業務に影響が出る理由(SaaSでは送信元IPアドレスでアクセス制限している)
送信元IPアドレスが変わるから
インターネットに接続する経路が変わり,グローバルIPアドレスが変わる。
SaaSへの送信元IPアドレスを変えないためのポリシーベースドルーティングの設定
送信元IPアドレスが現行プロキシサーバーで宛先IPアドレスがインターネットの場合にネクストホップを現行ルーターとする設定
新しいインターネット接続経路でSaaSを利用可能にする恒久対応
SaaSの送信元IPアドレスによるアクセス制限の設定変更
問 2 負荷分散, DNS, NAT, SAML
設問 1
ネームサーバーのサーバー名を指定するDNSレコードタイプ
NS
メールサーバーのDNSレコードタイプ
MX
インターネット向けのAレコードでネームサーバーに登録するIPアドレス
FWでTCP/53,UDP/53を許可しているグローバルIPアドレス
インターネット向けのAレコードでメールサーバーに登録するIPアドレス
TCP/25を許可しているグローバルIPアドレス
社内LAN向けのAレコードでネームサーバーに登録するIPアドレス
FWでTCP/53,UDP/53を許可しているローカルIPアドレス
社内LAN向けのAレコードでメールサーバーに登録するIPアドレス
TCP/25を許可しているローカルIPアドレス
設問 2
サーバー証明書が1つしかないECサーバーに内部用アドレスでアクセスするとTLSハンドシェイク中にエラーとなる理由
コモン名とURLのドメインが異なるから
※経路は省略
設問 3
サービスが停止するサーバー増強
スケールアップ
サービスを停止せずに行えるサーバー増強
スケールアウト
2台で十分なサーバーを3台で構成する理由(将来のアクセス増加は考慮しない)
1台故障時にも応答速度の低下を発生させないため
※NATは一部省略
LBでソースNATした場合の変換後のパケットの送信元IPアドレス
LBの物理IPアドレス
設問 4
LBを構成した時にECサーバについてDNSのAレコードが示す機器とIPアドレス
機器: LB
IPアドレス: 仮想IPアドレス
既設サーバーのホスト名をLBの仮想IPアドレスに割り当てるときに,既設サーバーで必要な変更はホスト名と[___]
IPアドレス
ワンアームのLBを追加してソースNATをせずに既設サーバーを運用するためには既設サーバーのデフォルトGWをどう変更するか
元のデフォルトGWからLBに変更する
LBでソースNATする時にHTTPヘッダーにX-Forwarded-Forフィールドを追加する目的
サーバーにアクセス元のIPアドレスを通知するため
既設サーバーのサーバー証明書をLBに流用するための作業
既設サーバーにインストールされているサーバー証明書と秘密鍵をLBに移す。
設問 5
IPアドレスとポート番号の組み合わせでアクセス元を識別する場合に,TCPコネクションが切断されるとセッション維持ができなくなる理由
TCPコネクションが再設定されるたびにポート番号が変わる可能性があるから
Cookie中のセッションIDでのセッション管理について,LBがセッション管理テーブルに新たなレコードを登録するのはどのような場合か
サーバーからの応答に含まれるCookieセッションIDがセッション管理テーブルに存在しない場合
レイヤー7に対して,レイヤー3およびレイヤー4では適切な監視が行われない理由
サービスが稼働しているかどうか検査しないから
設問 6
foo⑪ SPであるサーバーがSAML認証要求(SAML Request)をIdPにリダイレクトを要求するために必要な情報
アクセス元のユーザーが所属している組織の情報
IdPが作成するデジタル署名の検証を行うために,SPのサーバーに登録するべき情報
IdPの公開鍵証明書
クライアントがST(Service Ticket)を改ざんできない理由
IdPの秘密鍵を所有していないから
SAML Response内のSAMLアサーションについてSPが検証可能な内容
- 信頼関係のあるIdPが生成したものであること
- SAMLアサーションが改ざんされていないこと
Discussion