【ネスぺ対策】ネットワーク層まとめ
2022
4/16
ネットワークスペシャリスト合格に必要となる知識を一問一答形式で確認していきます。
目次
IPアドレス
IPv4におけるクラスト先頭ビットの対応を述べよ
クラス 先頭ビット アドレス範囲 A 0 0.0.0.0/8~127.255.255.255/8 B 10 128.0.0.0/16~191.255.255.255/16 C 110 192.0.0.0/24~223.255.255.255/24 D 1110 224.0.0.0/32~239.255.255.255/32 E 1111 240.0.0.0/32~255.255.255.255/32
IPv4のクラス
IPv4におけるアドレスの型とアドレスの形式の対応を述べよ
アドレスの型 先頭ビット IPv4表記 未指定 IPv4では定義されない IPv4では定義されない ループバック 0111 1111 通常は127.0.0.1 マルチキャスト 1110 ※クラスD 224.0.0.0/32~239.255.255.255/32 ※クラスD ブロードキャスト ホスト部のビットが全て1 ホスト部のビットが全て1 ユニキャスト 上記以外 上記以外
IPv4のアドレス型と先頭ビット形式
IPv6におけるアドレスの型と先頭ビットの対応を述べよ
アドレスの型 先頭ビット IPv6表記 未指定 00...0 ::0/128 ループバック 00...1 ::1/128 マルチキャスト 1111 1111 ff00::/8 リンクローカル 1111 1110 10 fe80::/10 ユニークローカル 1111 110 fc00::/7 グローバルユニキャスト 上記以外 上記以外
IPv6のアドレス型と先頭ビット形式
IPv4とIPv6の共存技術の三分類とその概要を述べよ
トンネリングIPv6パケットをIPv4パケットでカプセル化する。6to4/ISATAP/Teredoなど。 デュアルスタック単一機器にIPv4とIPv6という仕様の異なるプロトコルスタックを共存させて使い分ける。 トランスレータトランスレータ機能をもつハードウェアを使用して相互変換を行う方式。Proxy/NAT-PT/TRT方式など。
NAT越えを説明せよ。
NATの外部から内部に接続することができないという問題を解決すること。NATはIPv4の枯渇を防ぐために開発されたグローバルアドレスとプライベートアドレスを一対一に対応付ける技術であり,基本的には内側から外側への接続のみを想定していた。NAPTも同様の思想で,一つのグローバルアドレスに対して複数のプライベートアドレスを対応付けるためにポート番号を用いるものである。しかし,最近では外側から内側への接続を行うことが多くなってきたため,NAPT越えを行う必要が出てきている。本質的には,IPv6を用いることでIPアドレスの枯渇問題が実質的に解決されるため,NAPTを用いる必要がなくなる。つまり,トンネリング・デュアルスタック・トランスレータといったIPv4とIPv6の共存技術もNAT越えに分類される。他にも,NAT越えにはアプリケーション側でNAPT変換テーブルを作成する技術などが利用される。
6to4/ISATAP/Teredoをそれぞれ説明せよ
6to4はグローバルIPv4アドレス(32bit)と割り当てたIPv6プレフィックス(16bit)を組み合わせてIPv6アドレスを生成し,IPv4パケットをIPv6パケットでカプセル化する。つまり,IPv4アドレスをIPv6アドレスの中に埋め込む手法である。6to4を利用するためには6to4リレールータが必要になるほか,IPv4グローバルアドレスが必要になるためNAT配下では利用できない。一方で,ISATAPは6to4をプライベートIPv4アドレスでも利用できるように改良した手法であるが,6to4同様にNAT配下では用いることができない。一方で,TeredoはIPv6パケットをIPv4のUDPメッセージに加工して送信する技術で,NAT配下でも利用することができる。ただし,NAT環境の判別や送信先情報を取得するためにTeredoサーバを経由する必要があったり,Teredoリレールータを用いる必要があったりするなど,やや複雑な構成になる。
IPv6でパケットを中継するルータの負荷が軽減される理由は何か
IPv4射影アドレスを図示せよ
IPv4射影アドレスとは,IPv4アドレスをIPv6アドレスとして表現したアドレスのことを指す。
IPv4射影アドレスの可視化
TTLは何ヘッダに含まれるか
IPヘッダ。tracerouteの仕組みを理解しておけば,TTLがIPヘッダに含まれることは容易に理解できる。
IPv6で0を省略できるのはどのような場合か
0で始まる場合(後ろの0は省略できない) 全てが0(:0000:)の場合 :0000:が連続する場合(一箇所だけ)1111:0000:0000:4444→1111::4444
IPv6の拡張ヘッダとは
40byteの基本ヘッダとデータ部の間に挿入される最小0byteのヘッダのこと。IPv4ではTCP/IPとは分離されていたESPヘッダやICMPv6ヘッダ,フラグメントヘッダ,ルーティングヘッダなどが定義されている。
IPsecやPPTPの典型的な問題点とその解決方法を述べよ
IPsecやPPTPのヘッダにはポート番号が設定できないため,NAPTを通過することができない。この問題を解決するため,以下の解決策が用いられる。
NATトラバーサル:UDPでカプセル化する VPNパススルー:ESPヘッダ中のSPI(Security Parameter Index)を元に判別
tracerouteで表示されるIPアドレスは何を表すか
経由したL3デバイスのIPアドレス。例えば,L2 over IPで構成されたルータはL2デバイスとして機能するためtracerouteでは表示されない。
各拠点を直接結んで他の拠点を経由しない構成のことを何と呼ぶか
フルメッシュ構成。逆に,一つのデバイスが一元管理する構成をハブアンドスポーク構成と呼ぶ。これらはIPsec VPNの代表的な構成の二つである。
ルータによるIPパケットの分割処理の欠点を述べよ。また,その対策をアルゴリズムとともに述べ,IPv6での扱いを述べよ
欠点は以下の二つ。
ルータの処理が重くなること 分割された断片の一つが失われるだけで元のIPデータグラムの全てが失われてしまうこと。
一般には,経路MTU探索を用いて経路上で分割処理が必要とならない最大のMTUを求めておき,始点ホスト側でIPデータグラムをあらかじめ分割することで,ルータによる分割処理を防止する。経路MTU探索は,IPヘッダ中の分割禁止フラグを1に設定して,ICMP到達不能メッセージが返答されればその中のMTUの値を用い,正常に通信できれば初回に用いたMTUの値を用いるというものである。また,IPv6では分割処理は始点ホスト側でのみ行われ,経路MTU探索は実装がほぼ必須の機能になっている。加えて,IPv6では最小のMTUが1280byteと定められているため,経路MTU探索を行わずとも始点ホスト側でIPデータグラムを1280byte単位で分割してから送信してもよいことになっている。
ルーティング
ルーティングプロトコルをまとめよ。
プロトコル 下位プロトコル 方式 適応範囲 ループの検出 RIP UDP 距離ベクトル 組織内 なし OSPF IP リンク状態 組織内 あり EGP IP 距離ベクトル 対外接続 なし BGP TCP 経路ベクトル 対外接続 あり
ルーティングプロトコルまとめ
ルーティングプロトコルで勘違いしやすいのはEGPである。ルーティングプロトコルは組織内のIGP(Interior Gateway Protocol)とEGP(Exterior Gateway Protocol)に分かれ,RIPやOSPFはIGPに分類される。一方で,EGPでは主にBGP(Border Gateway Protocol)が利用されるが,EGPにはEGPという名前のプロトコルも存在する。すなわち,IGPの対義語としてのEGPと,EGPを実現するプロトコルとしてのEGPの両者が混在しているのである。上の表におけるEGPは後者であり,初期のインターネットで利用されていたAS間のルーティングプロトコルである。しかし,経路情報の収束が遅いことや管理者が経路を任意に指定できないこと,クラスを使わないIPアドレスの割り当てと経路情報の集成を行うCIDR(Classless Inter-Domain Routing)に対応していないことなどから,現在ではBGPの利用が主流になっている。
IBGPの概要/起こり得る問題とその対策/対策を打つことによる問題とその対策を説明せよ。
BGPのうちAS内のBGPルータで経路情報をやり取りするものをIBGP,AS間のBGPルータで経路情報をやりとりするものをEBGPと呼ぶ。IBGPではループを防ぐために他のIBGPルータから受信した情報を他のIBGPルータに送らないスプリットホライズンという対策を打つが,AS内にIBGPルータ数が多い場合には必要なセッションが膨大になってしまうため,他のIBGPルータから受信した情報をループを発生させることなく転送するルートリフレクションという仕組みを利用する。
LSAの種類をまとめよ
名前 範囲 概要 ルータ LSA エリア内部 全てのルータが作成する。 IPアドレスやコストの情報が含まれる。 ネットワーク LSA エリア内部 DRが生成する。 ルータの接続情報が含まれる。 サマリー LSA エリア内部と バックボーンエリア ABRが作成する。 他のエリアの情報の要約情報が含まれる。 AS境界ルータ LSA エリア内部 ABRが作成する。 AS境界ルータIDとそこに到達するためのコストのペアが含まれる。 AS外部 LSA OSPFドメイン全体 ABRが作成する。 ASの外側にあるネットワークアドレスが含まれる。
LSAのまとめ
BGPルータ同士が送り合う五つのメッセージを述べよ
OPEN:セッション開始 KEEPALIVE:定期的に送信される生存確認 UPDATE:経路の追加や削除が発生した場合に送信 NOTIFICATION:セッションの切断やエラー通知 ROUTE-REFRESH:経路情報の要求
IGPとEGPはどちらの方が大切か
AS間の情報をやりとりするEGPの方が大切。このことから,EGPの一つであるBGPではTCPが利用され,IGPの一つであるRIPやOSPFではUDPが利用されることが分かる。したがって,OSPFではマルチキャストを利用して不特定多数のOSPFルータと経路交換を行うのに対し,BGPではピアリングと呼ばれる論理的な接続を行ったルータにTCPポートの179番で接続する。
BGPの二つの分類を述べよ。また,それらのBGP間でやり取りされる経路情報とBGP内でやり取りされる経路情報の差異を述べよ。
BGPには,異なるAS間で利用されるeBGPと同一AS内で利用されるiBGPがある。eBGPとiBGP間でやり取りされる経路情報は,NEXT_HOPを自分の情報に書き換える。一方で,iBGP内でやり取りされる経路情報は,NEXT_HOPを自分の情報に書き換えない。なぜならば,eBGPとiBGP間でやり取りを行うということは,そのルータは異なるASへの窓口として機能しているということであり,NEXT_HOPを書き換えることで異なるASへの接続先を明示することができるからであり,iBGP内でやり取りを行う際は,必ずしも自分を経由する経路が最適であるという保証はないため,NEXT_HOPを書き換えることで最適でない経路を設定してしまうことに繋がりかねないからである。iBGP内で適切な経路をNEXT_HOPに指定するためには,静的に運用者が設定するか,特定のルータに自分の情報でNEXT_HOPを書き換える設定を行う必要がある。
BGPのパスアトリビュートを述べよ
AS_PATH:経由してきたAS番号の並び NEXT_HOP:宛先ネットワークアドレスに向かうためのIPアドレス MULTI_EXIT_DISC:eBGPピアに対して通知する優先度 LOCAL_PREF:iBGPに通知する優先度
NEXT_HOPの対象はネットワーク「アドレス」である点に注意。BGPはそもそも複数のASを結ぶ間で利用されるプロトコルであったからである。それなのになぜiBGPのようにAS内でBGPが使われているかに関しては,役割の階層化の結果BGPにもAS内で動作する機能を持たせた方が上手くいくと判断したからだと理解しておけばよい。
OSPFでコストが同じ経路はどのような扱いになるか
負荷分散される。STPではMACアドレスを参照してルートスイッチを定めるため,混同しないように注意が必要。
エリアとASについて説明せよ
ASの中にエリアが複数存在する。ネットワークを複数のエリアに分割する理由は,ルータの負荷分散や処理速度向上。
距離ベクトル型とパスベクトル型の違いを述べよ
前者では経由するルータの数しかわからないのに対し,後者では経由するAS番号が分かるためループの判別が可能になる。
経路選択の互換性について述べよ
あるルーティングプロトコルで学習した経路情報を異なるルーティングプロトコルで通知するためには,ルート再配布を行う必要がある。例えば,OSPFとスタティックルートは混在させることはできないため,OSPFでスタティックルートを再配布する必要がある。
自分の存在を通知するためのメッセージをOSPF/VRRP/BGPのそれぞれに対して答えよ
OSPF:Helloパケット VRRP:VRRP広告 BGP:キープアライブ
BGPでは静的経路情報と動的経路情報にはどのような違いがあるか
OSPFとBGPを併用した場合の経路選択の優先度について説明せよ
IGPよりもEGPの方が大切であることから,OSPFよりBGPの方が優先度の値が小さいことが理解できる。
プロトコル 優先度 直接接続 0 スタティックルート 1 BGP 20 OSPF 110 RIP 120
ルーティングプロトコルの優先度
MPLSの二種類のラベルを説明せよ
転送用ラベル:MPLS網内の全てのルータで交換される 識別用ラベル:MPLS網内では保持し続ける
OSPFのDRとBDRを選出する単位は何か
セグメント。OSPFのエリア単位ではないため注意。また,BDRのBはBoarderではなくBackupであるため,BDRがなくてもOSPFは動作する。
RIPの欠点を述べよ
経路に障害が発生した場合などに経路の迂回路を見つけるのに時間がかかる点。これは,定期的な経路情報の交換であるレギュラーアップデートを30sごとに行うことや,レギュラーアップデートが届かなかった場合に無効の判断に180s要すること,さらにはルーティングテーブルから無効な経路を削除する前に行うガベージコレクションに120sかかることなどに起因している。加えて,RIPではネットワークの回線速度を考慮せずにホップ数だけで経路を決定するため,最適な経路を選べない可能性もある。
スプリットホライズンを説明せよ。また,それで対応できないネットワーク構造を述べよ。
経路情報を教えられたインタフェースには経路情報を流さないことで,RIPの無限カウント,すなわち輻輳を防ぐ。しかし,ループ構造がある場合には輻輳を防ぐことはできない。
スタブエリアを説明せよ
出口が一つのOSPFエリアのことを指す。出口が一意に定まるため,外部情報を伝える必要がないという特徴がある。
シムヘッダを説明せよ
MPLSのラベルがないデータリンクに対して,IPヘッダの前に付与するヘッダ。例えば,イーサネットにはMPLSラベルを付与するフィールドが定義されていないため,シムヘッダを付与する必要がある。なお,シム(shim)とはくさびという意味であり,MPLSの動作に対してクリティカルに必要となる情報を差し込むというイメージで理解すればよい。
種々の通信とプロトコル
GARPの目的を二つ述べよ
DHCPにおける自アドレスと重複するIPアドレスの検知もしいずれかの端末からARP応答があればそのIPアドレスに重複があるということ フェールオーバー時のARPテーブル更新主系サーバから仮想IPアドレスを引き継いだ待機系サーバがGARPを利用する。ちなみにフェールオーバーとは主系のサーバがダウンしたときに自動的に待機系のサーバに切り替える仕組みのことを指し,システムの可用性を高めるための冗長化の一つである。
レイヤ3スイッチでVLANを構築する場合,全てのセグメントにICMPパケットは届くか
マルチキャストをユニキャストで実現しようとするとどのような問題が生じるか
サーバとマルチキャストグループに配信するNW機器の間の通信で大きな帯域を使ってしまうという問題。
マルチキャスト通信のIPアドレスとMACアドレスはどのように決定されるか
IPアドレス:クラスD(1110...) MACアドレス:上位3byteは01-00-5eで固定して下位3byteはIPアドレスの2byte目〜4byte目を使う。その際,3byte目の最初の1bitは0にする。
DHCPの動作をメッセージ名に沿って説明せよ
DHCP DISCOVER:クライアントがDHCPサーバを探すためのブロードキャスト DHCP OFFER:IPアドレスやサブネットマスクなどを提案するためのユニキャスト DHCP REQUEST:オファーの内容を受理したことを伝えるブロードキャスト DHCP ACK:IPアドレスやサブネットマスクなどの最終通知
注意するべきなのは,DHCP REQUESTがブロードキャストであるという点。ユニキャストで送ってしまうと,他のDHCPサーバもクライアントにIPアドレスの払い出しをしてしまう。また,DHCP DISCOVERがブロードキャストを用いていることに注意すると,DHCPサーバが同一セグメントに存在しない場合はDHCPが機能しないことが分かる。これを解決するのがDHCPリレーエージェントで,ルータがDHCPへの通信を中継してくれる機能である。
DHCPスヌーピングで防ごうとしている不正はなにか
不正なIPアドレスを払い出すこと 固定IPアドレスを割り当てること
DHCPリレーエージェントのgiaddrフィールドの役割を述べよ
冗長化・暗号化
ESPのトランスポートモードとトンネルモードのパケットを図示せよ
トランスポートモードでは両端のホストがIPsecを実装している必要があり,トンネルモードでは両端のルータがIPsecを実装している必要がある。トランスポートモードではトランスポート層以上のデータを暗号化し,トンネルモードではネットワーク層以上のデータを暗号化する。ホスト間で暗号化するから対象はネットワーク層以上だと勘違いしてしまうことが多いため,注意が必要である。トランスポートモードでは,あくまでもTCPヘッダとペイロードを暗号化するだけで,よくあるホスト間の雲のイラストからIPヘッダまでを暗号化するという誤解をしないようにされたい。逆に,トンネルモードでは,IPヘッダまでをVPN機器間で暗号化するが,よくあるVPN機器間の雲のイラストからTCPヘッダまでしか暗号化していないと誤解をしないようにされたい。
トランスポートモードとトンネルモードを流れるパケット
ポートVLANとタグVLANの関係を述べよ
ポートVLANを拡張してIEEE802.1Qで標準化されたものがタグVLAN。ポートVLANでは使用するVLANの数だけポートが必要となるが,タグVLANではトランクポートと呼ばれる一つの物理ポートを利用して複数のVLANを構成することができる。
VLANのパケットを書け
VLANはデータリンク層の技術のためデータリンク層を流れるイーサネットのフレームを書けばよい。その際,オプションで送信元MACアドレスとタイプの間に4byteの802.1QVLANタグが挿入されることに注意する。
イーサネットのフレーム
802.1QVLANタグを書け
802.1QVLANタグ
VRRPメッセージの通信形態とプライオリティ値について説明せよ
通信形態:宛先が仮想IPアドレスのマルチキャスト通信 プライオリティ値:大きい方が優先
VRRPメッセージの代表的な項目を述べよ
VRRPグループID プライオリティ値 仮想IPアドレス
VRRPでFWを冗長化する欠点を述べよ
切り替え時にステートフルセッション機能の引継ぎが上手くなされないこと。
ループバックインターフェースをVIPと併せて使う典型例を述べよ
サーバが冗長化されており,自IPアドレスとは異なるVIPアドレス向けのパケットを受理したい場合に,ループバックインターフェースにVIPアドレスを設定することで,疑似的にVIP向けのパケットをサーバが受理できる。ただし,このままではARPに反応してしまうため,VIPが重複しているとしてエラー判定されてしまう。そこで,ループバックインターフェースがARPに反応しない設定を行う必要がある。
WAN高速化装置(WAS)が故障した際に必要となる機能を二つ述べよ
自動的にケーブル接続と同じ状態になる機能 対向側の故障を検知して通信を継続する機能
二つ目に関しては,WASは代理応答・キャッシュ蓄積・データ圧縮などにより対向側とペアで動作するため,片方のWASが故障してしまったら正常に動作しないことが背景にある。
WASのキャッシュ機能と代理応答機能が効果的なのはどのような場合か
ラウンドトリップ時間が大きい場合。ただし,ラウンドトリップ時間とはTCPコネクションにおけるパケットの往復時間である。
ロードバランサでは送信元IPアドレスの書き換えを行うか
行う。行わないと戻りパケットの送信元IPアドレスがロードバランサではなくサーバとなってしまうため,クライアントに戻ってきたとしてもロードバランサのIPアドレスとの不一致でパケットが破棄されてしまう。この問題を解決するため,ロードバランサではソースNATを用いて送信元IPアドレスをロードバランサのものに書き換える。その際には,クライアントのIPアドレスの情報をHTTPヘッダのX-Forwarded-Forで引き継ぐ必要がある。なお,戻りのパケットをロードバランサを介さずにサーバから直接返すことも可能であり,そのような機能をDSR(Direct Server Return)と呼ぶ。
シェアはこちらからお願いします!
URLをコピーする
URLをコピーしました!
コメント