こんにちは、こじろうです。
この記事では、N/Wスペシャリスト平成28年午後Ⅱ問2に挑戦していきたいと思います。
別記事のネットワークエンジニアのススメでも紹介しましたが、文系SEからするとシステムエンジニアよりもネットワークエンジニアになった方が良いキャリアを気づかる可能性があります。
僕自身も、プログラマ➡システムエンジニア➡ITコンサルタントとキャリアチェンジしてきましたが、所々、ネットワークエンジニアとして活動し、成果を出すことに成功してきました。
文系SEのみなさまにも是非、ネットワークの知識を蓄えて頂きたく、IPAが主催しているネットワークエンジニアの資格試験について、僕なりの解答方法と、IPAが公表している模範解答を紹介していきたいと思います。
【この記事でわかること】
- N/Wスペシャリストの問題を解く上で持つべき考え方
- 平成28年午後Ⅱ問2における各設問の考え方
- 1 設問を解き始める前の前提
- 2 問題文を読みながら僕が考えていった内容
- 3 SPを選択するキーを[空欄イ]と呼び…
- 4 IKEフェーズ1にはメインモードと[空欄ウ]モードがある…
- 5 下線部(a)Y社で検討中のIPSecルーターは、OSPFの通常の設定ではリンクステート情報の交換パケットをカプセル化できない…
- 6 IPパケットをGREでカプセル化すると、カプセル化された元のパケットの宛先への[空欄エ]情報をインターネットが持たなくても…
- 7 イーサネットインターフェースのMTUサイズを適切な値にすることによってパケットの[空欄オ]を防げる
- 8 下線部(b)GREを利用することにしてGRE over IP Secを稼働させる方法について検討した。
- 9 下線部(c)通信モードはトランスポートモードを選択する。
- 10 下線部(d)PC➡専用線➡データセンタ➡プロキシサーバ…
- 11 設問2⑴表2中のライフタイム終了時点に、IPSecルータで行われる処理…
- 12 設問2⑵表2中の認証方式によって認証できる対象と、その認証対象…
- 13 設問3⑴について…
- 14 設問3⑵について…
- 15 設問3⑶について…
- 16 設問4⑵図7中のESP認証データ長は、表2中のパラメーターで選択された方式によって変化する理由…
- 17 設問4⑶について…
- 18 設問5⑴について…
- 19 設問5⑵について…
- 20 設問5⑶について…
- 21 設問5⑷について…
- 22 設問5⑹について…
- 23 ネットワークの勉強をして良かったなーと思うこと
- 24 ネットワークの勉強をして良かったなーと思うこと
設問を解き始める前の前提
詳細は以下の記事を読んで頂きたいのですが、過去問に挑戦する前に頭に入れておいて欲しいことが2つあります。参考:【文系SE】ネットワークスペシャリストー解答時のフレームワークー
- 問題文を読みつつ設問を推測する。(設問を読んでから考えていては間に合わない)
- 問題文を読んでいく中で「これ、聞かれるだろうな」と推測する。
それでは、いってみましょう!!😃
問題文を読みながら僕が考えていった内容
SAに関連付けられたSPI[空欄ア]ビットの整数値で割り当てられる
※更新中
設問1ですが、
模範解答は’32’ビットでした。
SPを選択するキーを[空欄イ]と呼び…
※更新中
設問1ですが、
模範解答は’セレクタ’でした。
IKEフェーズ1にはメインモードと[空欄ウ]モードがある…
設問1ですが、IPSecで利用する鍵の交換時におけるモード設定について問われています。
鍵交換時の認証にはメインモードとアグレッシブモードがあります。
通常はメインモードが利用され、認証時に通信相手のIPアドレスを使用する必要あり。通信相手へ動的なIPアドレスが付与される場合は、通信相手のIPアドレスを設定する必要のないアグレッシブモードで実行する必要があります。
参考:【文系SE】ネットワーク~IPSec~
模範解答は’アグレッシブモード’でした。
下線部(a)Y社で検討中のIPSecルーターは、OSPFの通常の設定ではリンクステート情報の交換パケットをカプセル化できない…
設問2⑶ですが、カプセル化できない理由を問われています。
「あるべき姿」VS「実際の状況」で考えていくと…
本来、パケットをカプセル化するときは、中身のデータをカプセル化して、一意な宛先情報(ユニキャストアドレス)を追加します。
どころが実際のところ、OSPFで扱われるIPアドレスはマルチキャストアドレスのみです。
参考:マルチキャストアドレス、ユニキャストアドレス ※更新中
そのため、OSPFのデフォルトの設定では、カプセル化した時に一意な宛先情報を設定することができないため、結果、カプセル化ができないのです。(そのため、本問ではGREという技術を使ってOSPFプロトコルのパケットをカプセル化&一意なIPアドレス:ユニキャストアドレスを設定するわけですね。)
模範解答は’OSPFのリンクステート情報の交換はIPマルチキャスト通信で行われるから’でした。
IPパケットをGREでカプセル化すると、カプセル化された元のパケットの宛先への[空欄エ]情報をインターネットが持たなくても…
※更新中
IPアドレスと最初答えてしまいましたが、後ろに’情報’という文字が来ていることを考えると、「アドレッシング」ではなく「ルーティング」に関する言葉を入れた方が良さそうです。
模範解答は’経路’でした。
イーサネットインターフェースのMTUサイズを適切な値にすることによってパケットの[空欄オ]を防げる
※更新中
TCPによるパケット(セグメント)制御においてMTUサイズを変更する目的は、パケットのオーバーフローによる破棄を防ぐためです。
参考:TCP
MTUは、一つのセグメントのデータ長(最大1500バイト)を指します。これは端末間で定義する項目で送信側から指定します。(ちなみにMSSは、TCPセグメントからTCPヘッダ、IPヘッダ(それぞれ20バイト、合計40バイト)を除いたデータ長(最大1460バイト)を指します。)
似たような項目にウィンドウサイズがあります。これはTCPコネクションにおいて、送信側が受信側の応答確認を待たずに連続して送信できるデータ長を指します。例えば、送信対象のTCPセグメントがMTU:1500バイトのデータを20個で、ウィンドウサイスが12000バイトの場合、受信側の応答確認(ACK)なしで一気に送信できるセグメント数は8(1500*8=12000バイト)となります。
模範解答は’破棄’でした。
下線部(b)GREを利用することにしてGRE over IP Secを稼働させる方法について検討した。
※更新中
設問3⑷ですが、GREを利用する利点を、L2TPを利用する場合と比較して答えよという問いになります。
‘利点’や’メリット’ときたら、運用上、もしくは業務上のメリットを考える必要があります。
- 運用上のメリット(設定の更新や不具合発生時の対応が楽になるetc)
- 業務上のメリット
(業務所要時間が短くなる、ネットワークや機器のCPUといったリソースの使用率が下がるetc)
問題文を改めて見返してみると、運用上、もしくは業務の所要時間が短くなるような記載は見当たりません。一方で、GREとL2TPのパケット構成(図3と図5)を見比べてみると、L2TP(図5)の方が、暗号化されるデータが一つ多いですね。はい、PPPヘッダのことです。
模範解答は’カプセル化によるオーバーヘッドがL2TPより小さいので、一つのパケットで送信できるデータ量が多い。でした。’
下線部(c)通信モードはトランスポートモードを選択する。
設問1⑵ですが、トランスポートモードを選択しなければならない理由を問われています。
IPSecでは、対象パケットのカプセル化が端末間でなされるならばトランスポートモード、経由するルータ間ならばトンネルモードを選択します。
参考:【文系SE】ネットワーク~IPSec~
本問でのIPSecによるトンネリング処理は、カプセル化時にGREを使ってOSPFのリンクステート情報を対象パケットに組み込むことが明記されておりますが、このGREによる処理は、端末上でなされます。
模範解答は’GREでトンネリングが行われるから’でした。
下線部(d)PC➡専用線➡データセンタ➡プロキシサーバ…
※更新中
設問5⑸ですが、インターネットVPN経由の経路とならない理由を問われています。
コスト値を示して…とあるので、動的ルーティングにおいてコスト値が小さい方が優先経路となる…という考えを使って解答せよ、ということなのでしょう。
模範解答は’インターネットVPN経由のコスト値が最小230であるのに対し、専用線経由のコスト値は200で最も小さい。’でした。
設問2⑴表2中のライフタイム終了時点に、IPSecルータで行われる処理…
表2中のライフタイム終了時点に、IPSecルータで行われる処理を問われています。
IKEのフェーズ2では、IPSec SAが確立され、IPSecパケットのトンネルが生成されるわけですが、その寿命は一時間であり、経過後は再度IPSec SAを生成(Re Key)する必要があります。
参考:【文系SE】ネットワーク~IPSec~
模範解答は’リキー(Re Key)’でした。
設問2⑵表2中の認証方式によって認証できる対象と、その認証対象…
※更新中
対象のIPSecパケットに対して事前に合意した方法で認証用ハッシュ値を取り、受信した側は受け取ったIPSecパケットに対して認証用ハッシュ値を取り、同じハッシュ値となることで、通信中に当該パケットが改ざんされていないか確認できます。
模範解答は、’IPSec通信中で送受信されるメッセージが通信中に改ざんされていないこと’でした。
設問3⑴について…
※更新中
図3中の[空欄あ]、図5中の[空欄い]に入れる最大バイト数を問われています。
模範解答は
ア:1436 (←1500-20-4-20-20=1436)
イ:1414 (←1500-20-8-16-2-20-20=1414)
でした。
設問3⑵について…
※更新中
図4中のPCからサーバへの通信における図3中のIPヘッダ1とIPヘッダ2の送信元IPアドレスおよび宛先IPアドレスを図4中の字句を用いて回答することを求められています。
模範解答は
IPヘッダ1:(送信元 α.0.0.1)(宛先 β.0.0.1)
IPヘッダ2:(送信元 192.168.10.1)(宛先 192.168.0.100)
でした。
設問3⑶について…
※更新中
図6中の①、②の通信でPCが取得するIPアドレスが格納されるヘッダを、図5中の項目で答えることが求められています。
PC(LAC)はそれぞれのタイミングでどの機器とコネクション・セッションを貼るのかが問われています。
模範解答は
①の通信でPCが取得するIPアドレスが格納されるヘッダ:IPヘッダ1
②の通信でPCが取得するIPアドレスが格納されるヘッダ:IPヘッダ2
でした。
設問4⑵図7中のESP認証データ長は、表2中のパラメーターで選択された方式によって変化する理由…
IPSecにおけるESP認証データ長は、対象がIPヘッダ、認証対象データ、ESPトレーラ決まっているので、一件、表2にあるような認証や暗号化のアルゴリズムによって値は変わらないように見えますが、認証アルゴリズム(MD5-SUMとかSHA-1とか)毎に、認証実施向けに算出・パケットに付与するハッシュ(メッセージダイジェスト)値の大きさが変わるのです。
参考:【文系SE】ネットワーク~IPSec~
模範解答は’ESP認証データ長は認証アルゴリズムによって変化するから’でした。
設問4⑶について…
※更新中
図7で暗号化される項目名を全て答えよ、という問いになります。
こちらも、IPSecにおけるESPヘッダー、トレーラーの仕様を理解していないと解答は厳しいでしょう。
参考:【文系SE】ネットワーク~IPSec~
模範解答は’GREヘッダ、IPヘッダ2、TCP/UDPヘッダ、データ、ESPトレーラ’でした。
設問5⑴について…
※更新中
図9の構成において、図1の構成からサーバをデータセンタに移設するのに伴いサブネットを再設計してデータセンタへ移設するサブネットを問われています。
アドレス設計についてのルールを知らないと、解答は厳しいですね。
参考:IPアドレス※更新中
模範解答は’172.168.128.0/24、172.168.17.0/20’でした。
設問5⑵について…
※更新中
図9のデータセンタのIPSecルータ、L3SW、L2SWa、L2SWbの間でレイヤ2のループを発生させないためにはどのようにサブネットを設計すればよいか、を問われています。
ここでのループとは、ブロードキャストフレームが連鎖的に発生し、永続的に各ルータ、L3SW、L2SWa(b)をめぐってしまうことを指していると推定します。
例えば、データセンタのL3SWからブロードキャストフレームが発信されると、接続しているIPSecルータとL2SWaにブロードキャストフレームが到達します。
更に、IPSecルータとL2SWaも、受信した以外のポートからブロードキャストフレームを発信します。
この時、L2SWaとL2SWbが同じネットワーク(サブネット)上に存在すると、IPSecルータはL2SWbにもブロードキャストを送信し、L3SW→IPSecルータ→L2SWb(同時にL2SWaにもブロードキャスト実施)→L3SW→IPSecルータ→L2SWb(同時にL2SWaにもブロードキャスト実施)…というループが発生する、というのが問題文から読み取れる課題となります。
一方で、L2SWaとL2SWbが異なるネットワーク(サブネット)上に存在していても、IPSec~L3SW~L2SWa(L2SWb)間でループは発生するため、模範解答では要件は達成されないのかな…と思ったのですが、よくよく考えると、IPSec~L3SW間は、OSPFのリンクステート情報交換目的の経路ですので、L2SWa(b)とはことなるネットワーク(サブネット)が設定されていると考えれば、気にする必要はありませんね。
模範解答はL2SWaとL2SWbを異なるサブネットへ配置する。’でした。
設問5⑶について…
※更新中
図9において、本社、営業所およびデータセンタで設定する仮想IPアドレスの最小個数を問われています。
模範解答は
- 本社:2
- 営業所:1
- データセンタ:2
でした。
設問5⑷について…
※更新中
図9中の名古屋営業所のIPSecルータとL3SWを直接接続する経路が切断された時の名古屋営業所のPCから本社およびデータセンタへのサーバへのアクセス経路をVRRPのマスタルータという字句を用いて答えることを求められています。
参考:ネットワークスペシャリストー過去問挑戦 平成25年午後Ⅱ問1ー
模範解答は’どのサーバアクセスもVRRPのマスタルータが稼働する機器に接続されたWAN回線を経由して行われる。’でした。
設問5⑹について…
※更新中
表3中の う え に入れる適切な経路を求められています。
模範解答は
う:広域イーサ網→本社→専用線
え:インターネットVPN→データセンタ→専用線
でした。
ネットワークの勉強をして良かったなーと思うこと
ITコンサルタントとしての現場において、プロジェクト内でトラブルシューティングやシステムインフラ設計において最も頼られる存在になり、安定した案件・プロジェクトアサインが実現できるようになりました。
参考:コンサルファームでアベイラブルになったら
文系SEであっても、こういった知識があると一目置かれた存在になれますし、キャリアアップの一助になります。
実際、僕はプログラマ➡SE(ネットワークエンジニア)➡ITコンサルタントとキャリアップしてきましたが、ITコンサルタントとして活動している今も本記事の様な技術的な部分を大事にしているため、’他のコンサルタントとは差別化された人材になれているな’と感じています。
本記事は技術的な内容でしたが、キャリアに関する情報をお探しの方はこちらも是非、ご覧ください。
参考:【文系 SE】ネットワークエンジニアのすすめ
ネットワークの勉強をして良かったなーと思うこと
ITコンサルタントとしての現場において、プロジェクト内でトラブルシューティングやシステムインフラ設計において最も頼られる存在になり、安定した案件・プロジェクトアサインが実現できるようになりました。
参考:コンサルファームでアベイラブルになったら
文系SEであっても、こういった知識があると一目置かれた存在になれますし、キャリアアップの一助になります。
実際、僕はプログラマ➡SE(ネットワークエンジニア)➡ITコンサルタントとキャリアップしてきましたが、ITコンサルタントとして活動している今も本記事の様な技術的な部分を大事にしているため、’他のコンサルタントとは差別化された人材になれているな’と感じています。
本記事は技術的な内容でしたが、キャリアに関する情報をお探しの方はこちらも是非、ご覧ください。
参考:【文系 SE】ネットワークエンジニアのすすめ
それでは、Tchau◎
こじろう
