【ネスペ】令和4年春午後1問2の解説(ネットワークスペシャリスト試験)
このNoteでは、ネットワークスペシャリスト試験 令和4年春午後1問2の解説をします。
今回のテーマは拠点間のセキュア通信と、システムのクラウド化。ネスペでもセキスペでも良くあるテーマですね。ネスペなので、機器の設定に深く踏み入った印象でした。
「知らなくても問題文の情報から推測する設問」が多かったです。知らないことだらけの中、地に足のついた理解の組み立てが重要。
ネットワークの知識はどんなに勉強しても足りません。必ず本試験のどこかに未知の技術が出てきます。そこから正解を掴み取る「粘り」を、今回の演習で身に着けるチャンスにして下さい。
なお、私のNoteは、学生時代の独学合格体験、IT専門学校での資格対策授業の経験を詰め込んでいます。少しでも信用して頂けたら嬉しいです。
それでは始めましょう!
\私の3ヶ月の学習記録/
設問1(1) | 送信元IPアドレス
設問1(1):a. b. c. d。
必ず正解してください。
下線①周辺より、P社営業支援サービスにアクセスできる機器のIPアドレスを問われていると読み取ります。
本社も営業所(本社経由)もFWを通過してアクセスしているので、最終的な送信元IPアドレスはFWのグローバルIPアドレス。
(正確にはFWのNAT/NAPTによって、送信元IPアドレスがPCのプライベートIPアドレスからグローバルIPアドレスに書き換わった状況です)
表1(及び注3)より、a. b. c. d。
設問1(2)a
設問1(2)a:ルーティング
必ず正解してください。空欄a周りはルーティングの話。ルータ, ルート, 経路などの言葉がたくさんありますから。
ルーティングテーブルも午後問題で出ますね。
午前2問題ではルーティングプロトコルや経路計算が出ます。
>ルーティングプロトコルのNote
>経路計算のNote
設問1(3)b | 両方の口を見る
設問1(3)b:本社のL3SW
必ず正解してください。
図と表を対応づけると、IPsecルータの社内向けのインタフェースの記述がないと分かります。
本社のIPsecルータは、本社L3SWとインターネット(営業所向け)への接続のためですね。表2「ISPのルータ」がインターネット接続のためで既に書かれているので、残りは本社側の「本社のL3SW」。
別の手法でも確認。FWを見ると、ISPのルータ(インターネット接続のため)と本社L3SW(本社側)の2つがある。本社IPsecルータを見るとISPのルータ(インターネット側)があるので、本社側の「本社のL3SW」だろうなと。
設問1(3)c, d | 問題文から探す(基本)
設問1(3)c:静的経路制御
設問1(3)d:静的経路制御
正解はできます。問題文にヒント(答え)があります。
下線②に「本社のIPsecルータには~静的な~を設定」から、cは静的だなと。
下線②の次の行「営業所のIPsecルータには~静的経路を設定」から、dも静的だなと。
設問1(4) | 既存表に倣う
設問1(4)VRF:65000:2
設問1(4)宛先:0. 0. 0. 0/0
必ず正解してください。
本社IPsecルータは、営業所から受けて、本社L3SWに転送していくので、表2を見て解答します。
宛先「0.0.0.0/0」の意味は次問の解説で。
設問1(5)
設問1(5):ISPが割り当てる営業所のIPsecルータのIPアドレスが動的だから
難しいですね。今後正解しましょう。
インターネットにアクセスするには、ISP(インターネット接続サービスの業者)に一度接続して、グローバルIPアドレスを借りたり、DNSなどのサポートを受ける必要があります。どのグローバルIPアドレスが割り当てられるかは、分かりません。
「0.0.0.0/0」は、無効/不明/適用外を指します(Wikipedia)。全てのIPアドレスを指したり、デフォルトルートの宛先を指したりもします。過去問によく出ています。
R05春にも出ますよ。>ネスペ令和5年春午後1問1の解説Note
設問1(6) | 経路不明だからこその静的経路・デフォルトルート
設問1(6):172. 17. 1. 0/24
※「営業所のLAN」でも正解
静的経路(スタティックルート)は、宛先までの経路を記述したもの。集配ルートみたいなものですね。とはいえ、全ての宛先について書くのは現実的ではないので、基本的に動的経路を使います。
静的経路は、宛先までの経路が不明な時に、ひとまず送る先を記述する使い方をします。この経路を「デフォルトルート」、宛先を「デフォルトゲートウェイ」と云い、午後問題で出ます。
なお、デフォルトゲートウェイは、端末にDHCPサーバがIPアドレス・サブネットマスクを割り当てる時にも通知されます。>ネスペ令和3年秋午後1問1の解説Note(後日公開*)
設問2(1)e
設問2(1)e:暗号(化)
必ず正解してください。
IPsec、IPsecVPN、ESPって暗号化しかないです。全て詳しく知っておいてください。午前2でも午後でも最重要テーマなので。
>IPsecとVPNのNote
別解で「カプセル化」も正解にしてくれるかなと。文面に暗号鍵やアルゴリズムを用いた表現がないので。データ(ペイロード)を暗号化して「ESPトレーラを付加して」カプセル化は、文意が通ります。
設問2(1)f | ネスペでよく出る「モード」
設問2(1)f:IP
必ず正解してください。
IPsecには2つのモードがあります。
メインモード:IPアドレスが固定の場合に使う。LAN間接続を想定。
アグレッシブモード:IPアドレスが変わる場合に使う。リモートアクセスを想定。
必ずモード名まで覚えてください。午後問題で問われたことがあります。しかもセキスペで。(セキスペ平成28年秋午後1問1*)
セキスペで出た程度のプロトコル知識は、ネスペでは知っておかねばですよね。当然ネスペは午前の段階で出ています。>【ネスペ】IPsecとVPNのNote
設問2(1) g, h | 問題文の流れから推測する
設問2(1)g:Child
設問2(1)h:鍵長
正解できるはずです。
【g】のchild SAは、問題文から推測できます。11頁末から、IKE SAで暗号化方式の取り決めをし、Child SAで暗号通信を確立する旨が書かれています。
【g】の段階では、ESPトレーラを付加(データは暗号化済み)なので、暗号化の取り決め(IKE SA)後と分かり、Child SAと判断できます。
【h】はわざわざ2回空欄を出してくれてます。2回目の「【h】の長い」から、何らかの長さ。1回目の【h】から鍵生成のアルゴリズムと何か。以上から、鍵長と判断します。鍵長はFE, AP, セキスペで何度も耳にしてるので閃くのは普通です。
分からなければ問題文から流用しましょう。残念ながら不正解ですが。10頁に「暗号化アルゴリズム」「擬似ランダム関数」「完全性アルゴリズム」「Diffie-Hellmanグループ番号」などありますね。なーんか今後問われる気がします。あと暗号化の「初期化ベクトル(IV)」。ちょっと調べておくと良いかもと個人的には。
設問2(2) | 知らなくても問題文から推測する
設問2(2):IKE SA と Child SA
分からなくても正解できます。
IPsecVPNは、IKE SAを確立し、Child SAを確立してできるようになります。11頁末に知らなくても問題文からも読み取れます。
設問文に「ネゴシエーション」ともあり、11頁に「IKE SAを介してネゴシエーション」も見つかります。
おあつらえ向きに2つあるので、そのまま答えます。もっと詳しい状態確認を書くのかな?と思っちゃいますが、分かる範囲で遠慮なく書いてください。
メタ読み。「2つ答えよ」をノーヒントで出すことは早々ないです。まずは問題文から探して間違いありません。
セキスペですが「2つ例を挙げよ」がノーヒントで出たことがあります。とはいえレアケース。簡単な事例で正解にするパターンでした。>セキスペ令和4年春午後1問3設問2(1)のNote
また、「全て答えよ」は表や図を見る旨が書かれてますよね。
設問3(1) | よくある解答パターン
設問3(1):N社専用のIPアドレスであること
正解できます。セキスペでもよくある解答パターン。すぐに思いつきました。
下線④の前の方まで読みます。「P社営業支援サービス」のアクセス制御の変更の必要性が書かれています。従来はFWのグローバルIPアドレス(a. b. c. d, 設問1(1))でしたね。
今回の改修で、Q社SGWのFW経由でアクセスするようになりました。一度インターネットに出るので、Q社SGW-FWのグローバルIPアドレスへのアクセス許可を出すよう変更します。
ところが下線④周辺。「FWのNAPTのために、Q社SGWから割り当てられた固定グローバルIPアドレスを設定」。しかし「N者以外にも提供されていると考えて」。
もし他の会社にも「同じ」グローバルIPアドレスが提供されている場合、別会社もP社サービスにアクセスできるようになります。(別会社がP社を知ってるかはさておき)
よって模範解答の「N社専用のIPアドレスであること」16文字。私は「他社と重複することがあるのか」14文字。他社と同じは嫌だという趣旨を書けば良いです。
設問3(2) | ネスペならではの視点
設問3(2):Q社SGWサービスの経由によって発生する遅延
答えにくかったですね。頑張って何か書いて欲しいです。最後の問題だから失点覚悟でさらっと短時間でOK。
今回の改修での変更点は、Q社を経由すること、テレワーク端末が追加されることでした。
私は観点が違って「テレワークの追加によって回線や機器の負荷が高くなる」25文字。Q社中継の影響も考えましたが、テレワークによる端末増加の方が影響が大きいかなと。正解にしてくれそうで、ダメ寄りかもしれません。
ネスペでは通信パケットが届くだけでなく、使用に充分な速度が出ているかなどの実用面まで考えさせます。
まとめ
お疲れ様でした!
設問1(5)はともかく、他は全て正解できるようになって下さい。
今回は、IPsecの詳細(IKE SA, Child SA)に踏み込む良い機会でした。
過去問で出たので、今後は「IKE SA」と「Child SA」も常識になりましたね。
一方で、「暗号化アルゴリズム」「擬似ランダム関数」「完全性アルゴリズム」「Diffie-Hellmanグループ番号」とわざわざ問題文に書いて問いもしてないので、今後出すかもジャブにも感じます。
以上になります。でわでわ。
\私の3ヶ月の学習記録/
いいなと思ったら応援しよう!
