【備忘録】ネットワークスペシャリスト 2015秋に向けて　午後

ネットワークスペシャリスト取得の為に、午後問題の過去問を解き始めたアルパパです。（2015年10月に受験予定です）
自分が間違えた問題と理解が足りない問題について、その問題に関わる知識を備忘録的に書いています。

#学習の都度こちらに追記していくので頻繁に更新します。
#こんなコンテンツでも人の役に立ったら嬉しいﾃﾞｽ・・Googleさん許してぇ・・

平成２６秋　午後１　問１

TOSフィールド

IPヘッダ内にある転送の優先度を示すために存在するフィールド。（TOSとはType Of Serviceの略）

Diffservモデル

一般的なQoSのモデル。パケットを分類し、優先度に応じたパケット送出のスケジューリングを行う。パケットの分類の際は、TOSフィールドの先頭6ビットを再定義したDSフィールド（DSCP値）を使用する事が出来る。

WAS（Wan Acceleration Services）

WAN高速化装置の事。WANアクセラレーターとも言う？データの圧縮やキャッシュの保持をする事で、高速化を図る。

TCPではデータ送信後に相手からの確認応答（ACK）を受信する事で、データが届いた事を確認し次のパケットを送信する。
この送信してから確認応答を得るまでの時間を「ラウンドトリップタイム」という。この時間が長ければ長いほどTCPの通信効率が悪いという事になる。

ラウンドトリップタイムが長くなるWAN環境ほど、WASを導入する事で効果が発揮しやすくなる。

平成２６秋　午後１　問３

ペネトレーションテスト（侵入テスト）

脆弱性があるかどうかを確認する為に、実際に攻撃や侵入をさせてテストする手法。

ゾーン転送

DNSにおいてプライマリDNSサーバが保持しているゾーン情報（ホスト名とIPアドレスの対応などの情報）を定期的にセカンダリDNSサーバへ転送することを言う。DNSサーバの設定が正しくされていない場合は、本来セカンダリDNSサーバへするべきゾーン転送が関係の無い第３者へ送られる事で情報漏えいとなり、それを元に攻撃されかねないので注意する必要がある。

平成２６秋　午後２　問１

MTA

メールサーバなどでメールの送信を実際に行うソフトウェアのこと。Message Transfer Agentの略。

ちなみにいわゆる「メーラ」はMUA(Mail User Agent）というらしい。

コモン名をコピーする理由

コモン名が一致していないと、PCがWebサーバへアクセスする時にエラーが出るので、サーバ証明書１と同じコモン名を持たせたサーバ証明書２を作りPCへ送る。

プロキシサーバのルート証明書をPCに保有させる理由

サーバ証明書の検証時にルート証明書が必要となるため、PCへ保有させる必要がある。

一般的なSSLを利用したWebサイトであれば、主要なパブリック認証局のルート証明書が予めWebブラウザなどに登録されているが、本問題ではルート認証局はプロキシサーバを利用していると考えられるので、ルート認証局が発行するルート証明書をPCへ登録しておく必要がある。

プリマスターシークレット

SSLでクライアントとサーバ間で暗号化のための共通鍵のやりとりをする際に作成する情報。プリマスタシークレットを証明書より取得したサーバの公開鍵を用いて暗号化して送る。

＃設問では、サーバ証明書１をそのまま転用すると、Webサーバの公開鍵を利用することになり、それを用いてPCから送られたプリマスターシークレットはプロキシサーバで復号することが出来ない。（自分が発行した公開鍵では無いため）

なのでサーバ証明書１を受け取ったプロキシサーバは自身の公開鍵を含むサーバ証明書２をPCへ送付する必要がある。

不審なメールを受信した際の規定について

・怪しいメールの添付ファイルは開かない
・怪しいメールに記載のリンク先へアクセスしない
・不審なメールを受信したことを管理者に報告する
・メール送信者に送信の事実を確認する

平成２５秋　午後１　問１

ループバックアドレスの範囲

127.0.0.1～127.255.255.254から利用可能

パブリック認証局

シマンテック、グローバルサイン、サイバートラストなどの他社に証明書を発行する機関の事。パブリック認証局のルート証明書はブラウザやメールソフトなどに予め組み込まれている。

※設問１の空欄エですがCAと回答してしまいました。ざっくり過ぎた。

平成２５秋　午後１　問２

DHCPスヌーピング機能

主にL2スイッチに実装される、パソコンなどが行うDHCPでのIPアドレス取得のやりとりを監視し、不正な端末の接続を防ぐことが出来る機能のこと。（ちなみに「スヌーピング」とはのぞき見のこと）

本機能を有効にした機器内でIPアドレス、MACアドレス、接続先L2スイッチポート番号などの情報を管理し、管理上にない不正な端末からのアクセスがあればこれを遮断する事が可能。

これ以外にも予めDHCPサーバの接続ポートを指定しておくことで、それ以外のポートからDHCPサーバが送信するべきメッセージ（IPアドレスの利用通知（DHCPOFFER）など）が送られてきた場合は、これを破棄することが出来る。これにより不正なDHCPサーバの接続による意図しないIPが通知されるようなネットワーク障害を防ぐことが可能となる。

#本問題では、DHCPスヌーピング機能が一部のL2スイッチで有効になっていなかったために、フレームの不要な転送を遮断することが出来なかった。

平成２５秋　午後１　問３

IEEE802.1QタグのVIDを示すフィールドのビット数

12ビット。0～4095までを表す事が出来るが、実際に利用できるVIDは1～4094まで。

IEEE802.1Qタグの構造

全32ビットで構成され、16ビットのTPIDと同じく16ビットのTCIに分かれる。TCIは、PCP、CFI、VIDに分かれる。

TPID（16ビット）・・・IEEE802.1Qタグが付いたフレームである事を表す。
TCI（16ビット）
・PCP（3ビット）・・・フレームの優先度を表す。
・CFI（１ビット）・・・アドレス形式を表す。
・VID(12ビット）・・・VLAN　IDを表す。

IEEE802.1Qトンネリング

サービスプロバイダなどで利用される、IEEE802.1Qタグが付いたフレームに更にIEEE802.1Qタグをつける技術の事。顧客ネットワークから802.1Qタグが付与されたフレームについてサービスプロバイダ側機器で更に802.1Qタグをつける。

あくまでサービスプロバイダ内でフレームの転送をしている時だけ、多重で802.1Qタグが付与され、顧客ネットワークにフレームが到達した場合はオリジナルの802.1Qタグのみになる。

この技術により、顧客ネットワーク間でのVLAN　IDの重複を防げることや、VIDの制限で4,094(1と4095は使えないため）種類のネットワークしか収容できないという事が無くなる。

平成２４秋　午後１　問１

権威DNSサーバ

ドメインの情報を管理し、外部からの問い合わせに対応するDNSサーバ。DNSコンテンツサーバとも言う。

FQDNに対応するIPアドレスの情報（Aレコード）や、そのゾーンのメールサーバの名前（MXレコード）、そのゾーンの権威DNSサーバの名前（NSレコード）などを持っている。

＃設問では、DNS-PおよびDNS-SがWebサイトに関する名前解決要求を受けて、SLB-Mを応答します。具体的に言うと、DNS-PおよびDNS-SのNSレコードを参照して、webサイトのFQDNに関する適切なIPを返答してくれるSLB-Mの情報を要求元に返します。その後、SLB-Mが再度名前解決要求を受けて適切なIPアドレスを応答する流れになります。

DNS-PやDNS-SはWebサイトのドメインも含むゾーン情報を管理していると考えられますが、このようにあるドメインを管理しており、外部からの問い合わせに対応するDNSサーバの事を権威DNSサーバといいます。（書いていたら、一番上の文と同じになってしまったのですｗ）

DNS権限委譲

あるDNSで配下にあたる特定のドメイン（サブドメイン）を特定のDNSで管理させたい場合に、権限の委譲を行う事でそのドメインに対する最終的な応答は特定のDNSが行えるようになる。（具体的には、NSレコードを作成することを言う？）

＃設問では、Webサーバのドメインに関するIPアドレスの情報はSLB-Mが持つ事になるので、DNS-Pが問い合わせを受けた時に、WebサーバのドメインはSLB-Mに聞いてもらえるように権限の委譲をDNS-Pで行います。

平成２４秋　午後１　問２

IEEE802.3af

LANケーブルを通じて電力を供給するPoEの規格。ポート毎に最大でも15.4Wの供給しか出来ない。

IEEE802.3at(PoE+)

IEEE802.3afの上位規格でポート毎に30Wの電力を供給できる。PoE＋(プラス)とも呼ばれる。

1本のLANケーブルは8本の銅線を使っている

１，２，３，６本目は使っているが、４，５，７，８本目は使っていない。

認証VLAN

ネットワークへさせる前に認証を行い、認証成功後に接続させる方式。

＃設問では、元々無線APで認証VLANを利用しており、何らかの形で利用者を認証していたが、WLCを導入した場合モードAだと上手く動かない事がわかり、モードBにする必要があるという内容でした。

さらに再認証になる事象は何かという問いについては、無線APで認証処理をしてますので、接続先のAPが変更（ローミングという）になった場合や、PC自体が再起動した場合が該当します。

平成２５秋　午後２　問１

RC4

WEPで利用される共通鍵暗号方式。現状、利用可能な暗号方式の中ではかなり弱い部類に入る。

IEEE 802.11

IEEEで最初に規格化された無線LAN規格。最大速度は2Mpbsだった。

IEEE 802.11i

通信規格ではなく、セキュリティ標準について定める規格。WPAやWPA2もIEEE802.11iに準拠している。

限定的ブロードキャストアドレス

すべてのアドレスを指す「255.255.255.255」のブロードキャストアドレスのこと。リミテッドブロードキャストアドレスとも言う。同一ネットワーク内のすべてのＩＰ宛てに送るときは、ホスト部を全て１にした「指定ブロードキャストアドレス（ディレクティッドブロードキャストアドレス）」を使う。

ＭＮがホームネットワークにいても、訪問先ネットワークにいてもFAからのAdvertisementメッセージを受信するために、このような特殊な宛先ＩＰアドレスを指定して通信をする。

平成２４秋　午後１　問３

チャネルボンディング

IEEE802.11nにてチャネルを束ねて一つにする事で高速化を図る技術。11aや11gでは1チャネル（20MHz)で通信をしていたが、11nでは2チャネル（40MHz)を束ねて使うことが出来る。これにより伝送速度を2倍以上にすることが出来る。

11nの最大通信速度（2ストリーム）は300Mbps

20MHzで最大144Mpbsであった通信速度は、11nでは300Mbpsになる。この速度はアンテナの数（ストリーム数）によって変わる。最大4ストリームで600Mbps

MIMO

複数のアンテナをデータ送受信の際に同時に使うことで無線通信を高速化させる。（Multiple input Multiple output)

プリアンブル

フレームの先頭に付与される同期用の信号のこと。

mixed mode（ミクスドモード）

無線APの11a/gと11nを混在させる場合にmixed modeに無線APを設定することによって混在が可能になる。具体的には11nのフレームの先頭に11a/gと同じ形式のプリアンブルを付与することでフレームの衝突を避けることが出来るようになる。しかし、遅い方の通信速度に合わせることになることから、11n本来のスピードは出なくなる。

URLリライティング

Cookieを利用できない場合に、URLにセッションIDを含めた形でサーバからの情報を記録する。しかし、セッションIDを盗聴され悪用される可能性があるので、注意する必要がある。

フレームアグリゲーション

複数のフレームをまとめて送信する仕組み。フレーム毎に必要となる確認応答の回数が減ったり、フレームの送信の間に発生する待ち時間を減らすことが出来るので高速化を実現する。しかし、フレームの送信によるチャネルの占有時間が長くなるため、結果的に無線LANを利用するアプリケーションの待ち時間が長くなる場合がある。

User-Agentフィールド

HTTPリクエストのヘッダ部分に含まれるクライアントが利用しているWebブラウザやバージョンなどの情報。Webアプリケーション側で画面の大きさやブラウザの種類を識別して適切なコンテンツを表示させるために必要な情報となる。あくまで自己申告なので、User-Agentは偽装が出来る。

平成２３秋　午後１　問１

ブロードバンド伝送方式

搬送波の変調及び復調によってデータ伝送を行う方式。今日の高速な回線を示す「ブロードバンド」とは意味が違う。

1000BASE-SX

マルチモード光ファイバで利用する規格。

ディジタル著作権管理

音楽や映像などのディジタルデータの著作権保護を目的として、暗号化などを用いて利用や複製を制御制限する技術の事。

同軸ケーブル

電磁波の漏れやノイズの影響などを受けにくくデータ転送に適している。

平成２３秋　午後１　問２

ディジタル証明書を使う意味

・改ざんされていないことを確認する
・発信者の正当性を確認する

RPO

災害発生からどれぐらい前までの業務データを復旧できるかの目標。

M/M/1　待ち行列理論のまとめ

■処理要求＝λ (単位時間あたりの要求件数）
問題では：1秒で10件
■処理速度＝μ（単位時間あたりの処理速度）
問題では：1秒で12.5件
■平均サービス時間＝1/μ=Ts（1件あたりの処理時間）
問題では：1/12.5 = 0.08秒
■利用率(p)＝λ/μ
問題では：10/12.5 = 0.8
■平均待ち行列件数＝p/(1-p）
問題では：0.8/(1-0.8) = 0.8/0.2 = 4件
■平均待ち時間=(p/(1-p)* Ts
問題では：4 * 0.08 = 0.32秒

平成２４秋　午後２　問２

ＩＣＭＰリダイレクト

ルータやＦＷやＬ３などのルーティングするネットワーク機器が、パケット転送の際に送信元の機器と同一ネットワーク内の別の機器へ経路を向ける場合に送信される通信効率化を行うためのメッセージ。本メッセージを受け取った機器は、メッセージ送信元のルーティング機器を介さずに直接宛先ネットワークへのルートを持つネットワーク機器へと向かう。

＃ＩＰリダイレクトと解答してしまいました。Ciscoのコンフィグ上だとＩＣＭＰリダイレクト部分の設定が「ip redirect」となっているため・・・

IPv6ヘッダの長さ

ＩＰｖ６ヘッダの長さは40バイトである。ちなみにＩＰｖ４ヘッダは20バイト。

変換用プレフィックス

IPv6とIPv4を相互に接続するトランスレータにおいてIPv4アドレスをIPv6アドレスにマッピングする場合、変換用のIPv6プレフィックスを用意する。

このIPv6プレフィクスの中に変換したいIPv4アドレスを16進数で記載する事で、IPアドレスだけで変換対象のIPv4アドレスが
分かる。

＃設問の場合
変換対象のIPv4アドレス：203.0.113.1
2進数に変換：11001011 00000000 01110001 00000001
16進数に変換：CB00:7101

変換用プレフィックス：2001:db8:1:2:0:ffff::/96
上記のIPv4アドレスの対応付け：2001:db8:1:2:0:ffff:CB00:7101

平成２３秋　午後２　問２

リンクアグリゲーションの効果

・冗長化
・帯域拡大

ＶＲＲＰが動作するルータの役割

・マスタルータ
・バックアップルータ

#HSRPの場合は「アクティブルータ」「スタンバイルータ」です。設問で堂々と「スタンバイ」と解答しました・・

SOAレコード

権威ＤＮＳが持っている自らが管理するゾーンの事を記載するレコードの事。中にリフレッシュ時間などが記載されている。

リフレッシュ時間

セカンダリＤＮＳサーバがプライマリＤＮＳサーバからゾーンデータをコピーする間隔。

ワンタイムパスワードの発行間隔が長いとまずい理由

ワンタイムパスワードの発行間隔が長いと、短時間の間に複数回同じワンタイムパスワードを用いて不正ログインを実施することが出来てしまう。（一度ログインが成功したパスワードは使えなくなるが、入力しログインを試みることは出来る）

ワンタイムパスワードの仕組み（時刻同期方式）

（１）トークンが決められた間隔毎にパスワードを生成する。（このパスワードは現在の時刻を種とする。）

（２）認証サーバ側に入力されると現在有効なパスワードかを判定する。（この時も現在の時刻を種として判定する。）

※種を元として同じパスワードが求められるように計算に同じ仕組みを用いる。

（３）一度ログインが成功したら、そのパスワードを無効にする。

※トークンが認識する現在時刻と、認証サーバの現在時刻がずれる場合があるので、認証サーバ側である程度の時刻のズレを許容するように設定しなければいけない。

※パスワードが生成された時刻とそのパスワードを用いてログインした認証サーバ側の時刻とのズレを認証サーバへ情報として残すことで、次回の認証時のパスワード計算に用いる。（そもそもトークンに通信機能（NTPによる同期など）は無いと思うので、時刻はいずれズレる。これを補正するための仕組みが存在する）

平成２２秋　午後１　問２

コーデック

音声や動画など符号化、復号化を行う機器やソフトウェアあるいはそれらを動作させるためのアルゴリズムの事。

ウィンドウの縮小

ネットワークが輻輳している場合はウインドウサイズが縮小され、一度に送る事の出来るデータ量が減少する。

平成２２秋　午後１　問３

クロスサイトスクリプティング

Webフォームに不正なスクリプトを埋め込んで送る攻撃。

平成２２秋　午後２　問２

ハイパーバイザー方式

サーバの仮想化において仮想化機構を動作させるためのOSを必要としない方式。

インターフェースを共有する場合の懸念点

一つの物理インターフェースを共有する事になるので、流れるトラフィックが全てそこを通る事になる。
⇒　通信帯域の確保について考慮する必要がある。

・全ての通信が集まるので、障害時のインパクトが大きい
⇒　信頼性について考慮が必要である

チーミング

物理NICを冗長化し、仮想的な１つのNICとして束ねる。※Linuxではボンディングと呼ぶ。

IPsecのトンネルモード

・新しくＩＰヘッダがつけられる。
・元々のＩＰヘッダも含めてデータを暗号化する。
・インターネットＶＰＮなどで拠点間をＬＡＮ間接続するためには「トンネルモード」を利用する。

IPsecのトランスポートモード

・元々のＩＰヘッダを利用する。
・データ部分を暗号化する。

共有ストレージ

サーバが共用で利用するデータやプログラムを保存しておく機器。共有ストレージ上に保管しておくことで冗長化されたサーバに障害が発生したとしても、予備機で同じ領域を参照する事で、サーバの動作を継続する事が出来る。

iSCSI

記憶装置とコンピューター間での通信に使うSCSIに関するコマンドをTCP/IPネットワーク上で利用するためのプロトコル。

TCP/IPを構成する機器（スイッチやルータなど）さえあれば導入可能なので、導入の敷居が低い。

平成２１秋　午後１　問１

IEEE802.11bの最大伝送速度

11Mbpsである。

平成２１秋　午後１　問２

POP3 Over SSL (POP3S)

メールの送受信をするPOP3プロトコルに暗号化をするSSLを組み合わせたプロトコル。

TCP995を用いる。

MXレコード

ＤＮＳにてそのドメインを対象とするメールをどのメールサーバ（ＦＱＤＮ）に送ればいいかを表すレコードのこと。

平成２１秋　午後２　問１

アソシエーション

無線ＡＰと無線ＬＡＮクライアントの論理的な接続の事をいう。

IEEE802.1Xを無線ＬＡＮで利用する場合の利点

有線ＬＡＮでは、認証に必要な設定をスイッチの該当物理ポートに全て設定する必要がある。

無線ＬＡＮであれば、そのＡＰへ接続をしてくるクライアントを全て対象とする事が出来るので、設定が簡単となり、接続制御上の問題が少ないと言える。

CSMA/CA

Carrier Sense Multiple Access with Collision Avoidance(搬送波感知多重アクセス/衝突回避方式）

無線ＬＡＮでコリジョンを検出する事が出来ないので、事前に他のノードが送出していないかを確認して回避する方式

無線LANでのACK

上記と同じくコリジョンを検出する事が出来ないので、送信元は相手側からＡＣＫを貰う事で届いたことを確かめている。

平成２１秋　午後２　問２

ISO/IEC2000

ISOが規定している国際規格の一つであり、ＩＴサービスを提供する組織のＩＴサービスマネジメントが適切かどうかを評価・認証するための判断基準と、ＩＴサービスマネジメントを実施するための指針について規定している。

ホットスワップ

器を稼働させたまま脱着を行える構造を持つ機器の仕組み

コンティンジェンシープラン

偶発的なトラブルに対応するための危機管理計画の事。