Archive
個人的に感じていることですが、ネットワークスペシャリスト試験で出題される新技術は、日経NETWORK(コミュニケーションも)で特集された記事が多いということです。

24年度の秋試験でいえば、午後2問1で出題されたイーサネットファブリック技術。
浸透しつつある比較的新しめの技術かと思いますが、これも、日経NETWORK, 2012/06号 ■特集2 新技術「イーサネットファブリック」 で特集されています。

内容もTRILLのフレームフォーマットなどの表記が酷似しており、この特集を一通り理解していればかなり点数は違ってくるはず。

22年度のPM2問2の仮想化技術の外部物理スイッチとの仮想化方式もしかりです。
※こちらは日経コミュニケーション 2010/06/01号 仮想サーバーがきちんと動くネットワークの作り方 及び 2010/02/01号 考慮すべきは冗長化と負荷分散 重要なのは物理NICの設定

もちろん、過去にさかのぼって日経NETWORKのどの記事が取り上げられるかはわかりませんが、ネットワークスペシャリスト試験との関連性はかなりあると思っています。(IPAは意識して問題を作成しているはず)

そういう意味でも日経NETWORKや日経コミュニケーションは、ネットワークスペシャリスト試験において、非常にいい参考書となるのではないでしょうか。





にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
ネットワークスペシャリスト試験ではQoSの理解は非常に重要。

QoSは大きく分けて、「優先制御」と「帯域制御」のふたつがある
L2レベルではVLANタグのTCIのCoS値
L3レベルではIPのToSフィールドで設定する

TOSフィールドの値をVLANタグのTCIのプライオリティビットに変換(L3→L2)することもできる。(広域イーサを通る場合、そのエッジSWで設定したり)

ルータの動作として、
入力インタフェースからパケットを受け取って、出力インタフェースでは一度パケットをバッファしてから送信する。
FTPなどの重たい通信(バースト性の通信)に対して、ビデオや音声などのデータを優先して出力する。(両方キューイングして、音声データを先に出してやる)

これがQoSの方式の1つであるDiffServ(ディフサーブ)の「キューイング」方式。
IPヘッダのToSフィールドを見る

キューイングの種類
FIFO … First In First Out
WFQ … Weighted Fair Queueing
23年の午後Ⅰで出た

WFQについて
以下の項目でトラフィックをフローに分割する。
・宛先/送信元ネットワークアドレス
・宛先/送信元MACアドレス
・宛先/送信元ポート番号
・フレームリレーDLCI、FECN、BECN、DE
・IPヘッダQos(ToS)

重み係数=4096/(IPプレシーデンス+1) TOSフィールドで設定
データトラフィックや音声トラフィックなどで使用するIP Precedence値は 0 ~ 5 で使用。一般的にPCデータはデフォルトの[ 0 ]でIP電話などの音声トラフィックは[ 5 ]を使用。

このフローの中から低/高ボリュームを認識し、IPヘッダのToSやパケット長などから優先するパケットを決定する。

IP(L3)レベル=ToS フィールドの上位 3 ビットを IP Precedence としてパケットをマークするために使用。

L2レベル=拡張VLANタグのTCIフィールドにCoS(Class of Service)として記載。プライオリティビット3ビットのフィールド。フレームの優先度を0(最低)から7(最高)で示す。

VLANタグはイーサネットフレームのタイプの前に「タグ」が付加される。
タグにはTPIDがあり、0x8100となっているとVLANタグが挿入されていることがわかる。
その他、TCIでVLAN IDが入っている。プライオリティビットを設定できる(音声パケットの優先制御時)

(広域イーサのエッジSWで反映される)





にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
SSL関連の頻出パターン

これもネットワークスペシャリストで頻出するパターン

SSL(S/MIME)で暗号化されたデータを、プロキシ、WAF 、LB(負荷分散装置)などの機器を経由させ、かつ、ウイルスチェック通信ログの取得が要件となるケースが多い。

設問のパターン(例)としては、

要件を満たせない理由を問われる:プロキシではデータが暗号化されておりウイルスチェックができない

要件をどう満たすかの方法を問われる:WAFでSSLを終端して、その後検査する(通信が暗号化されているとシグネチャの検査ができないから)







にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
FWのフィルタリング設定 というフレーズは後で必ず設問にからんでくるから要チェック!





にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
ネットワークスペシャリストでは、データ移行に関する問題がよく出題される。

出題パターンは、移行テストの目的や、作業スケジュール表の空欄の作業内容などを回答させる設問が多い。

移行テストの目的の解答例(このへんは汎用的に使えるんじゃないかと)
・データ移行に要する時間の確認
・データ移行を行う手順と使用するツールの検証
・データが正しく移行されたかのデータ正当性の確認
・新業務システムにおけるデータの完全性の確認

移行作業においては、問題発生時に備え、発生しうるリスクを想定し、その回避策や軽減策をまとめた行動プランを予め検討しておく

障害発生時、作業続行不可となった際、移行作業を断念し切り戻しを行う制限時間と判断基準





にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
よくファイルや証明書などを配布用サーバ(配布サーバ、Webサーバ)で、顧客や保守作業員に配布する時のセキュリティ対策について、
一度しかダウンロードできないようにする。とか、ダウンロード後ファイルが削除されるようにする。等が頻出パターン

ネットワークスペシャリストでも情報セキュリティスペシャリストでも
覚えておいて損はないと思う。





にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
物理NICについて
管理用のポートは2重化しておく
→管理用ポートの障害時に仮想マシンにアクセスできなくなってしまうから

ライブマイグレーション用やストレージとの接続用ポートは
独立させておく

予め帯域設計をしっかりしておく
→物理サーバごとのトラフィック量、CPUやメモリなどをモニタリングする。リソースは時期によって異なるので、ピーク値を計測

試験でお得意がコレ↓
サーバベース方式(SBC)
サーバで稼働させるアプリを複数のPCで共用する
仮想PC方式
PCの独立したプログラム実行環境をTCと1対1でサーバ上に用意する

仮想化のメリット(運用の観点)
・容易に仮想サーバの増設ができる(拡張性)
・障害時に代替サーバへ移動できる 






にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
これは実際に試験場でもやってる人は多い?かもしれないが、問題用紙の最後のほうにある[メモ用紙]のページを定規で切って問題用紙から切り離す。

午後の問題では、「50字以内で述べよ」等の長文が多数出題される。
回答の方法としては、まずズラズラっと字数を考慮せず回答を記入して、字数がオーバーしたら余分な箇所を削っていく作業を行うとよい。ポイントが絞れる。

これを問題文の余白でやっているとスペースがなかったり、小さく書いて読みにくかったりってことになるのだが、わざわざページをめくって最後のページのメモ用紙に書いて、また問題のページに戻って…なんてやってる時間はまずない。

そこで切り離したメモ用紙を使用する。
細かいことだけど知っておくと便利ですよ。




にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
TCPのフロー制御と違って、L2レベル(データリンク層)で行うフロー制御

バックプレッシャー方式:半二重 発信元ポートにジャム信号送出
ieee802.3x方式:全二重 PAUSE信号送出





にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
ネットワークスペシャリスト試験の回答で使えるキーワード

キーワード:ケーブル接続 秘匿性 漏洩 通信の遮断 伝送遅延(RTT的意味)、処理遅延、転送遅延(ネットワーク機器であれば単に負荷と書かずに転送遅延を盛り込む) 限定する 制限する 経路 第三者 任意に メールサーバ系は「転送する」 対応付ける  完全性の確認 正当性の確認 明確化 煩雑 輻輳 優先転送(QoS) 通信帯域の確保 障害原因の解析 管理工数の増大 利用者パスワード 定義情報 回避 定義する 運用管理の省力化 FWで検知 レスポンス速度の低下 ウィンドウサイズの縮小 バッファの枯渇 音声品質の劣化 パケットロス

システム移行、
データに対して 完全性の確認=情報処理においてデータが全て揃っていて完全である事を保証する

移行ツールや移行プログラムに対して ツールの正当性の確認



にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
問題選択は設問3~5の配点が高そうな部分が解けそうか?で判断する
配点の低い穴埋めは問題選択には使用しない。




にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
・試験問題で、箇条書きされた技術要件
セキュリティポリシーやシステム要件

・あえて(わざわざ)書き足してある違和感のある記述
例)PCは固定IPアドレスを使用している
解答を一意にするための伏線となっているのでこのような違和感のある記述は目立つように問題用紙に★などをつけておく




にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
PCをポート単位で認証してからLANに接続させる技術、有線・無線問わず使われる。

サプリカント(PC)-オーセンティケーター(認証SW)-認証サーバ(RADIUS)

認証のやり取りにはPPPを拡張したEAPと呼ばれるプロトコルを使う。

LANに接続した時点でサプリカント(クライアントPC)からオーセンティケーター(無線APや認証SW)に認証要求を送る。

サプリカントはEAPOLでオーセンティケータにEAPパケットの入った
MACフレームを送り、オーセンティケーターではEAPパケットを取り出し、RADIUSパケットの先頭に、MACヘッダー、IPヘッダー、UDPヘッダー、に乗せ変えて認証サーバへ中継する。
(RADIUSはUDP上で動作するプロトコル)

RADIUSパケット上で所属VLANも指定できる。

EAPOLパケットのタイプ「3」は,オーセンティケータからサプリカントに暗号通信用の鍵情報を配布するためのEAPOL-Keyと呼ばれるメッセージである。
このメッセージは「キー・フレーム」と呼ばれ,無線LANにおいて無線LANアクセス・ポイントからサプリカントに対して暗号通信の鍵情報を通知する際に使われる。

無線LANを使う際には,暗号通信のために無線LANアクセス・ポイントと無線LANクライアントにWEPキーなどの暗号鍵情報を設定する必要がある。
IEEE802.1Xを使うと,このキー・フレームのしくみを利用して,無線LANクライアントに自動的に暗号鍵情報を通知できるようになる。

認証方式(3種類)
1.ユーザidとPWを使うEAP-MD5方式
認証サーバより、まずチャレンジコードと呼ばれるものをサプリカントに送る。
認証サーバより送られたチャレンジコードとPWをMD5ハッシュ関数に入れたものと、ユーザidを合わせて、認証サーバに送り返す。
認証サーバでもチャレンジコードをハッシュ関数に入れ、サプリカントより送られたレスポンスコードと一致すれば認証成功とする
(生データは流れないが、チャレンジコードとレスポンスコードの組み合わせによってはPWが推測されてしまう可能性あり)

無線LANアダプタの設定画面では,そもそもEAP-MD5が選択肢として表示されない。
電波を盗聴されやすい無線LANでは,EAP-MD5方式は利用できないようになっているのである。


2.EAP-PEAP
SSLの仕組みを使って、共有鍵でやりとりする。
暗号化した上でチャレンジ・レスポンス方式を使用する為、MD5より安全だが、認証サーバにはサーバ証明書が、サプリカントにはサーバ証明書を検証できるルートCA証明書が必要になる。


3.EAP-TLS
EAP-PEAPで行なった証明書のやり取りをサーバとクライアントの両方で行なう。
サーバはまずサプリカントにサーバ証明書を送り、サプリカントは自身のルートCA証明書でサーバ証明書を検証する。その後、サプリカントはクライアント証明書を認証サーバに送り、認証サーバも自身のCA証明書で検証し、うまくいけば認証成功。最もセキュリティ強度は高い。この方式はユーザIDとPWを入力する必要がないが、ユーザ毎にクライアント証明書とCAルート証明書を配布する必要がある為、管理が大変になる。

※注意
IEEE802.1Xはあくまでも認証プロトコルであり,暗号化については規定していない。
セキュリティを高めるには,ユーザ認証と暗号化を同時に実施する必要がある。




にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
ネットワークスペシャリスト試験では定番の負荷分散技術。
負荷分散入門はひととおり読んでおくとよい。

負荷分散技術系の問題では、ループバックインターフェースがらみの問題や、負荷分散の方式レイヤーレベルでの故障監視方式に注目。

クライアントはLBのVIPにアクセスし、そのアクセスをWebサーバに転送するわけだが、そもそもVIPへのアクセスなので、Webサーバは自身のIPアドレスと異なるパケットを受信するためパケットを破棄してしまう。
これを防ぐには、WebサーバのループバックインターフェースにVIPを指定する。(ループバックインターフェースとは自身の仮想的なIPアドレス)

LBにてSSLアクセラレータも兼用する場合は戻りもLBにする必要あり。

以下、負荷分散入門より引用

負荷分散の方式
・ラウンドロビン
各サーバに、順番にリクエストを振り分けます
・静的な重み付きラウンドロビン
各サーバに、あらかじめ設定された比率でリクエストを振り分けます
・最小コネクション数
処理中のコネクションが少ないサーバにリクエストを振り分けます
・最小クライアント数
接続中のクライアントが少ないサーバにリクエストを振り分けます
・最小データ通信量
処理中のデータ通信量が少ないサーバにリクエストを振り分けます
・最小応答時間
応答時間が短いサーバにリクエストを振り分けます
・最小サーバ負荷
CPU、メモリ、I/Oの利用率が低いサーバにリクエストを振り分けます
・最小FNA LU数
使用中のLUが少ないサーバにリクエストを振り分けます


セッション維持機能として次のオプションを提供しています。
ノード単位の分散
リクエストの送信元IPアドレスに基づいて、クライアントを識別します
cookie(クッキー)オプション
cookieに登録された情報に基づいて、クライアントを識別します
URLリライト・オプション
URLに埋め込まれた情報に基づいて、クライアントを識別します
HTTP認証ヘッダー・オプション
HTTPリクエストヘッダーの認証情報に基づいて、クライアントを識別します
SSLセッションID・オプション
SSLセッションIDに基づいて、クライアントを識別します


IPCOMでは、次の故障監視方式を提供しています。
装置監視
各サーバに対してPINGを送信し、その応答で故障を判断します(L3レベル監視)
サービス監視
各サーバのTCPポートおよびUDPポートにリクエストを送信し、その応答で故障を判断します(L4レベル監視)
アプリケーション監視
各サーバのアプリケーションにリクエストを送信し、その応答で故障を判断します(L7レベル監視)
負荷計測エージェントによる監視
各サーバの負荷計測エージェントから送られるパケットの有無で故障を判断します
バックLAN 監視
負荷分散装置に直接接続していないLANインターフェースを、SNMPで監視します



にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
回線速度は物理的に信号を伝送する速度、スループットは実質的なデータの転送速度。要するに回線速度や途中のネットワーク機器の伝搬処理や通信相手コンピュータの処理等を全て含んだものがスループット(末端同士の実質的な通信速度)

RTT
クライアントの処理遅延(データをパケット化してネットワークに送出する)ルータ等ネットワーク機器の処理遅延、物理的な回線を伝送する伝搬遅延、サーバが処理する処理遅延、全ての遅延を足した応答時間をRTTと呼ぶ
※ネットワーク遅延=機器遅延+伝搬遅延




にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
ネットワークスペシャリストで毎年のように出題される技術。

ネットワーク上でIPパケットを暗号化しデータの完全性や機密性を実現する仕組み。
レイヤー3で動作するのでTCPやUDPなど上位のプロトコルを利用するアプリケーションソフトはIPsecが使われていることを意識する必要はない。

IPSec メインモードグローバルIPアドレスによる認証を行う。主にLAN間接続を想定。

接続相手のIPアドレスが動的に変わる場合はアグレッシブモードでIPアドレスではないIDの認証を行う。主にリモートアクセスを想定。

トランスポートモードとトンネルモード

トランスポートモードはipsecを実装したPC同士での接続
元のIPヘッダを使う(カプセル化はしない)のでセキュリティはやや落ちる。端末数が多くなるとインストール作業などの管理工数の手間がかかる
ペイロード部分だけをESPなりで暗号化する

トンネルモードはルータ間(LAN間)接続を行う
IPヘッダを含めたパケット全てを暗号化し、新たなIPヘッダを付加する




にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
ネットワークスペシャリストは過去問演習が重要なのは周知の事実。
過去問+予想問題集を数こなすのが合格への近道。

問題がわからない場合はずっと悩んでいないですぐに答えを見る。
そしてそのストックをとにかく増やす。







にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
ネットワークスペシャリストで定番の技術、SSL-VPNのまとめ。
SSL-VPN入門

アクセス方式

・リバースプロキシ
VPNへのHTTPSアクセスを他サーバへHTTPに変換して中継する。
https://vpn.hoge.co.jp/intra を http://intra.hoge.co.jp/ に変換して中継
ブラウザで動作するアプリケーションしか使えない。

・ポートフォワーディング
MPCのhostsを書き換え(例 127.0.0.1 intra.a-sha.co.jp intra)、社内サーバ宛ての通信はモジュールを経由する。
モジュールでパケットをSSLでカプセル化してVPNへ転送、VPNサーバにて予め443宛ての通信を宛先IPやポートなどの情報を定義しておき、宛先サーバに転送する。(ポートが固定されているサービスしか使えない)

・L2フォワーディング
VPNに接続すると仮想NICが構成され社内IPが割り当てられる。(ActiveX等利用)
アプリケーションが仮想NICへデータを送信した際に、L2レベルまるごとSSLでカプセル化してVPNへ送信する。
|イーサ|IPヘッダ|TCPヘッダ|VPN(SSL/TCP)ヘッダ|★イーサ|IPヘッダ|TCPヘッダ|データ| ★以降がソフトNIC元データ(SSL暗号化対象)

VPNではカプセル化を解除して、L2のデータを転送する。

認証方式
・固定PW
・ワンタイムパスワード
・チャレンジレスポンス方式
・同期方式(トークン)
・クライアント証明書

アクセス制御
FWなど

エンドポイントセキュリティ
・ウイルスソフトが入っているか、セキュリティパッチは適用されているかモジュールを使って検査する


にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
問題を階層にあてはめて考える。
最初のうちはわからないけど、問題をたくさんこなすうちに理解できるようになってくる。

例えば、
SIPをS/MIMEで暗号化するか、SSLで暗号化するか(平成20年午後2問2から)

S/MIME プレゼンテーション層
SIP セション層
SSL トランスポート層

階層にそって問題が出題されている。
それが理解できてくれば合格は近いと思う。



にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
FCoEは去年同様今年も出題され、今後普及されつつある技術で来年も出題されることが濃厚かと思います。このあたりのキホン技術を大変わかりやすく紹介しているムービーがあったので覚書。

仮想化の落とし穴と脱出法
仮想化ソリューション スペシャルサイト


#3:FCoEってなんなんだろう?




にほんブログ村 資格ブログ IT系資格へ
にほんブログ村






    
プロフィール

Author:katsudon
どーしてもネットワークスペシャリストに合格したいオッサンが、試験テクニックや技術ネタ・勉強法や勉強記録なんかを備忘録もかねてログに残していきます

スポンサード リンク

Powered by amaprop.net
月別アーカイブ
カテゴリ
検索フォーム
最新記事
RSSリンクの表示