※本記事は問題を解いた考え方と解答を記載していますので、事前に令和4年度春期のネットワークスペシャリスト試験(NW)の午後一を解いてからご確認ください。
令和4年度春期のネットワークスペシャリスト(NW)の午後問題
令和4年度春期のネットワークスペシャリスト(NW)の午後問題は以下の3つあります。
それぞれの問題について、解説を記載しました。
- 午後Ⅰの問1 ネットワークの更改に関する問題
- 午後Ⅰの問2 セキュアゲートウェイサービスの導入に関する問題
- 午後Ⅰの問3 シングルサインオンの導入に関する問題
- 午後Ⅱの問1 テレワーク環境の導入に関する問題
- 午後Ⅱの問2 仮想化技術の導入に関する問題
ネットワークスペシャリスト試験(問2の設問1の解答)
(1)
本文中の下線①のIPアドレスを表1中のIPアドレスで答える問題です。
まずは下線①の内容を確認すると、P社営業支援サービス側でアクセスを許可するIPアドレスを答える必要があります。
「本社のFWを経由しない経路からの接続を制御」するという記載もヒントになっており、本社FWを経由してP社サービスにアクセスする送信元IPアドレスが答えになります。
図1で示すと、以下の赤線の箇所のIPアドレスです。
表1中のIPアドレスで答える必要があるため、赤枠の「a.b.c.d」が答えです。
【解答例】
a,b,c,d
(2)
本文中の a に入入れる適切な字句を答える問題です。
a の箇所を確認すると、VRFを利用して保持する2つのテーブルの名前を答えます。
VRF(Virtual Routing and Forwarding)という内容から想像できますが、答えは「ルーティングテーブル」です。
表1と表2に2つのルーティングテーブルが設定されているため、それもヒントになっています。
【解答例】
a : ルーティング
(3)
表2中 b ~ d に入れる適切な字句を表2中の字句を用いて答える問題です。
bについて、
本社IPsecルータからのデフォルトルートのネクストホップ(次の転送先)が答えになります。
図1で示すと、以下の赤線の箇所になるため「本社のL3SW」が答えです。
※表2中に「本社のL3SW」という記載があるため、「本社L3SW」などと回答すると不正解になる可能性があるかと思います。
cとdについて、
本文中の以下の箇所の経路設定に関する記載があり、赤枠の箇所が今回の答えが記載されています。
「トンネルIFをネクストホップとした静的経路を設定」という記載があるため、 c と d は両方とも静的経路になります。
【解答例】
b : 本社のL3SW
c : 静的経路制御
d : 静的経路制御
(4)
“本社のIPsecルータ”が営業所のPCからP社営業支援サービスあてのパケットを転送するときに選択する経路(VRF識別子と宛先ネットワーク)を表2中の字句を用いて答える問題です。
図1で問題文に記載の「営業所のPC」から「P社営業支援サービス」への通信経路を記載します。
以下の通信をする場合の「本社のIPsecルータ」の経路(VRF識別子と宛先ネットワーク)を確認します。
※営業所から本社を経由せずに、営業所から直接PC社営業支援サービスへの通信は設問1の(1)で回答したように送信元IPアドレス制御をしているため、アクセスできません。
表2で示すと、以下の赤枠の行のルーティング設定になります。
営業所から本社を経由するため、VRF識別子はVPN接続時のルーティングである「65000:2」になり、宛先ネットワークは172.17.1.0.24(営業所のLAN)以外のためデフォルトルート(0.0.0.0/0)になります。
【解答例】
VRF識別子 : 65000:2
宛先ネットワーク : 0.0.0.0/0
(5)
本文中の下線②について、デフォルトルート(宛先ネットワーク0.0.0.0/0の経路)が必要になる理由を答える問題です。
下線②の箇所を確認すると、本社のIPsecルータと営業所のIPsecルータでVPN接続を確認するときに、デフォルトルート(0.0.0.0/0)を使用している理由を答える必要があります。
図1と表1で示すと、それぞれ以下の赤枠の箇所の通信が質問されています。また、接続先である「営業所のIPsecルータ」の内容は表1中の緑色の枠です。
接続先にある「営業所のIPsecルータ」のIPアドレスを確認すると、注4に「w.x.y.zはISPから割り当てられた動的なグローバルIPアドレス」である旨の記載があります。
動的なIPアドレスのため、宛先IPアドレスを設定して静的な経路情報を設定することはできません。
そのため、デフォルトルート(0.0.0.0/0)を使用しています。
【解答例】
ISPが割り当てる営業所のIPsecルータのIPアドレスが動的だから
(6)
本文中の下線③の宛先ネットワーク、表2中の字句を用いて答える問題です。
下線③の箇所を確認すると、本社のIPsecルータがOSPFに静的経路を再配布する宛先ネットワークの情報を答える必要があります。
表2で本社のIPsecルータが静的経路制御になっている箇所を確認すると、以下の赤枠の2行のみです。
どちらの経路情報を再配布しているか考えると、本社のFWとL3SWはVPN確立後の営業所のIPアドレス(172.17.1.0/24)を持っていないため、「172.17.1.0/24」が答えになります。
そのため、再配布しないと営業所のPCからインターネットおよびP社営業支援サービスにアクセスする際の戻り通信が到達できません。
【解答例】
172.17.1.0/24 又は 営業所のLAN
ネットワークスペシャリスト試験(問2の設問2の解答)
(1)
本文中の e ~ h に入れる適切な字句を答える問題です。
e ~ h の箇所を確認すると、以下のようになっており、IPsec VPN接続時の用語を答える問題です。
eについて、
ESPプロトコルの役割としては、「パケットの改竄検知」と「暗号化」の2つです。
そのため、ESPトレーラを付加して実施するとことは、「暗号化」になります。
また、IPsec VPNで〇〇化でイメージできるのは「カプセル化」と「暗号化」の2つかと思いますが、カプセル化に関する記載は後述の「次に、新しいヘッダを付加する」という記載があるため、違うということからも答えが分かります。
fについて、
カプセル化に関する記載で、IPアドレスをVPN接続後のIPアドレスに変更する必要があるため、IPヘッダが答えになります。
gについて、
本文中の以下の箇所にIPsec VPNに関する記載があります。
IKEプロトコルを用いて鍵交換をする時はIKE SAを確立し、そのIKE SAを介してESPやAHをする時にChild SAを確立するように読み取れます。
穴埋めする g はESPに関する通信のため、「Child SA」が答えになります。
参考までに上記でも記載していましたが、IPsecで利用される以下の3つのプロトコルを説明します。
ネットワークスペシャリスト試験で頻繁に出題されるため、理解しておくことを推奨します。
プロトコル | 役割 | プロトコル種別 |
---|---|---|
AH | ・パケットの改ざん検知(HMAC) ・認証 | IPプロトコル番号51 |
ESP | ・データ転送 ・パケットの改ざん検知(HMAC) ・パケット暗号化(DES、3DES、AES) IPプロトコル番号50 | IPプロトコル番号50 |
IKE | ・秘密鍵の交換 | UDPポート番号500 |
hについて、
暗号化で用いる鍵を生成する際に定める内容が h に入ります。
暗号化には暗号化及び復号化のアルゴリズムと鍵を用いて実施するため、鍵に関する用語が h に入ります。
本文中に「1よりも h の長い14を用いる」と記載があるため、hは長さに関する内容ですので、「鍵長」であることが分かります。
【解答例】
e : 暗号
f : IP
g : Child
h : 鍵長
(2)
POPとのIPsec VPNを確立できない場合に、失敗しているネゴシエーションを特定するためには、何の状態を確認するべきことを2つ答える問題です。
ヒントが少なくて難しいですが、本文中のIPsec VPNの動作に関する箇所で状態を探すと、以下の赤枠の箇所があるのが分かります。
そのため、「IKE SA」と「Child SA」の2つの確立状態を確認すると失敗しているネゴシエーションを確認できます。
【解答例】
IKE SA
Child SA
ネットワークスペシャリスト試験(問2の設問3の解答)
(1)
本文中の下線④について、情報セキュリティの観点でR主任が確認した内容を答える問題です。
下線④の箇所を確認すると、P社営業支援サービス側でアクセス制御するために、Q社SQWサービスで使用しているグローバルIPアドレスのサービス仕様をセキュリティの観点で確認しているようです。
アクセス制御で接続元であるQ社SGWサービスのIPアドレスの仕様を確認しているため、P社営業支援サービス側で送信元IPアドレス制御をしたいことが想像できます。
しかし、Q社SGWサービスは不特定多数が契約可能なサービスのため、P社営業支援サービス側で送信元IPアドレス制御でQ社SGWサービスが使用するグローバルIPアドレスを許可してしまうとN社以外もP社営業支援サービスにアクセスできてしまいます。
そのため、Q社SGWサービス側にN社専用のIPアドレスを割り当てることが可能か確認しています。
【解答例】
N社専用のIPアドレスであること
(2)
本文中の下線⑤について、P社営業支援サービスの応答時間が現行よりも長くなると考えられる要因を答える問題です。
下線⑤の箇所を確認すると、テスト環境構築後に、Q社PaaS及びP社営業支援サービスの応答時間を測定しており、P社営業支援サービスの応答時間が長くなると考えた要因を答える必要があります。
環境構築前後の通信経路を赤と青の矢印で示します。
【環境構築前】
通信経路 : [本社] → [インターネット] → [P社営業支援サービス]
【環境構築後】
通信経路 : [本社 or 営業所 or テレワーク拠点] ⇒ [インターネット] ⇒ [Q社SGWサービス] ⇒ [インターネット] ⇒ [P社営業支援サービス]
上記の環境構築前後の通信経路を確認すると、Q社SGWサービスを経由しているかどうかの違いがあります。
そのため、Q社SGWサービスの状態によって通信が遅延してしまう可能性があります。
【解答例】
Q社SGWサービスの経路によって発生する遅延
書籍紹介
本問題など令和4年度春期のネットワークスペシャリスト試験(NW)の午後問題の解説を詳しく知りたい方は以下の書籍を購入して勉強することをお勧めします。