11.ネットワークスペシャリスト対策ノート

「ネットワークスペシャリスト」はネットワークエンジニアを対象とした国内最難関試験です。

公式サイトより抜粋した試験概要は以下の通りです。

試験概要

対象者像

・高度IT人材として確立した専門分野

・情報システム企画・要件定義・開発・運用・保守への支援

・ネットワーク技術の専門家、情報システム基盤の中心的役割

役割と業務

・情報システム基盤であるネットワーク資源の管理

・ネットワークシステムの要求分析、効率性・信頼性・安全性を考慮した企画・要件定義・開発・運用・保守

・情報システム企画・要件定義・開発・運用・保守へのネットワーク関連技術支援

期待する技術水準

・最適なネットワーク技術・サービス動向を選択可能

・要求を的確に理解、ネットワークシステムの要求仕様を作成可能

・設計、プロトコル・セキュリティ技術、サービス、コストを評価し、最適な設計が可能

・ネットワーク関連企業を活用して、ネットワーク構築・運用が可能

リンク集

SE娘の剣

ネットワークスペシャリストの楽々合格サイトです。

各スペシャリスト試験を徹底研究します。

ネットワークスペシャリスト イージス

ネットワークスペシャリスト試験対策のためのWeb教科書。

みんなの受験期

合格体験記

ロードバランサ

・参考サイト

http://www.atmarkit.co.jp/ait/articles/0302/05/news001.html

NAT（Network Address Translation）

・L4SW

→TCP/UDPセッションを終端

→TCPの場合はシーケンス番号まで見て同一コネクションか判断

→UDPの場合は同一ソースIP/ポート番号であれば一定期間同一コネクションと判断

・L7SW

→Cookieパーシステンス(接続維持機能)

→HTTPヘッダのUser-Agentで接続先サーバ群を分ける

→SOAPメッセージ内のトランザクションIDをベースに接続サーバを決定

MAT（MAC Address Translation）

・DestMAC Addressで負荷分散

負荷分散技術

・サーバ負荷による分散

→CPU使用率

→応答時間

→メモリ使用率

→データ通信量

→処理待ち行列の長さ

・サーバヘルスチェック

正常に応答を返さないサーバにユーザーリクエストを割り振らないようにロードバランサが常時行っている作業

→pingチェック：ICMP Echo Request/Reply

→ポートチェック：TCP SYN/ACK

→コンテンツチェック：HTTP GET/POSTのRequest/Reply

→アプリケーションチェック：SIP REGISTER/Reply

・サーバ接続維持機能

同一クライアントからの複数のコネクションを同一のサーバに割り振り続けるための機能

クレジットカード決済やアンケート受け付けなど、クライアントからの入力を受け付けるサイトではロードバランサに必須な機能

→ソースIPアドレスで判別

→SSLセッションIDで判別

→Cookieで判別

ネットワークストレージ

・NAS（Network Attached Storage）

コンピュータネットワークに直接接続して使用するファイルサーバ

アプライアンス(専用)ファイルサーバ

・SAN(StrageAreaNetwork)

外部記憶装置間および記憶装置とコンピュータの間を結ぶ高速なネットワーク

TCP/IPネットワークとは独立に構築

http://www.atmarkit.co.jp/ait/articles/0208/22/news001.html

http://www.infraexpert.com/study/networking6.html

→IP-SAN

FCIP(Fiber Channel over IP)

iFCP(internet Fiber Channel Protocol)

iSCSI

ストレージとサーバとの通信に使用するSCSIコマンド/レスポンスをTCPパケットにカプセル化

イニシエータとターゲットから構成

→FC-SAN

ファイバチャネルプロトコル

・Fibre Channel

コンピュータと周辺機器を結ぶためのデータ転送方式の一つ

SCSIプロトコルの低レイヤプロトコルで弱点を補う技術

→FCP(Fibre Channel Protocol)

TCPと異なり隣接ノード間の局所的なバッファ枯渇に対してもフロー制御可能

・FCoE(FiberChanneloverEthernet)

http://www.cisco.com/web/JP/news/cisco_news_letter/tech/fcoe/index.html

FCoEフレーム：平均2112バイト

輻輳管理にPAUSE機能を使用

※FCoEを支える技術

http://www.atmarkit.co.jp/fserver/articles/fcoe/02/01.html

・I/O統合

複数あるネットワークやストレージ アダプタを１つの統合ネットワーク アダプタ（CNA：Converged Network Adapter）に機能統合すること

サーバの仮想化

http://www.infraexpert.com/study/virtual.html

http://www.infraexpert.com/study/virtual2.html

-ソフトウェアエミュレーション

ハードウェアを選ばない代わりにエミュレータを動作させるためのOSが必要

ソフトウェアの負荷により性能向上が困難

-ハイパーバイザー型

ホストOSを利用せず、仮想化ソフトが直接物理的なハードウェアの入出力処理を実行するためオーバヘッドが小さく、ハードウェアリソースを柔軟に管理可能

-ホストOS型

ホストOS上で仮想化ソフトをインストールし利用

冗長化

・NICチーミング

物理NICの冗長化。

複数回線を同時に使用して帯域拡大も図る。

※LAG（リンクアグリゲーション）＝冗長化と帯域増

・クラスタシステム

→ハートビート

サーバが正常でも疎通が取れなくなった場合複数サーバがファイルシステムを同時マウント

（ネットワークパーティション問題、スプリット・ブレイン・シンドローム）

→ハートビート回線を複数にして冗長化する。

・VRRP

・スタックとVRF

スタック＝2台のL2SW/L3SWを１台にみたてる

VRF＝１台のL3SWに複数のルーティング機能をもたせる

・TRILL

最短経路のみ選択

http://itpro.nikkeibp.co.jp/article/Keyword/20101019/353114/

Ethernet・無線LAN規格

・IEEE802.3af

http://telec.org/feature/feature13.html

→Alternative A

データの送受信を行いつつ、信号を送る線のペア（信号対）48Vの電圧を印加

→Alternative B

データのやりとりで使用しない予備線のペア（予備対）に48Vの電圧を印加

(4,5,7,8番ピン)

・IEEE802.3at(PoE Plus)

最大34.20Wを給電可能

・IEEE802.3ad：リンクアグリゲーション

・IEEE802.1ad：QinQ

・IEEE802.11a：5GHz、54Mbps

・IEEE802.11b：2.4GHz、11Mbps

・IEEE802.11g：2.4GHz、54Mbps、チャネルボンディング(複数周波数)

・IEEE802.11n：2.4/5GHz、300Mbps、MIMO(複数アンテナ)

※5GHz：5.2、5.3、5.6GHzの３つに分かれる

※802.11i：WPA2

※IEEE802.11nのモード

①Legacy mode

11a/b/gと同じフレームフォーマット

②Mixed mode

11a/gが理解できる11nのフレームフォーマット

IEEE802.11nのプリアンブルの前にIEEE802.11a/bのプリアンブルを付与

③Greenfield mode

11n専用フレームフォーマット

※無線LANでは、論理的接続であるアソシエーションを有線LANでいうPortとみなす

・DFS(Dynamic Frequency Selection)

周波数調整で電波干渉を回避

・TPC(Transmit Power Control)

電力出力調整で電波干渉を回避

・タブレット：アンテナ最大２本まで

音声

・IP-PBX

USBリダイレクト方式

TC-V方式

遅延、ジッタ

・音声データで考慮すべき事項

音声遅延：処理時間そのもの

音声遅延のジッタ(ゆらぎ)：処理時間のばらつき

VPN

・SSL-VPN

http://www.infraexpert.com/study/security7.html

http://www.infraexpert.com/study/security8.html

メリット：クライアント側はWebブラウザがあれば良い

HELLOメッセージ

リバースプロキシ：SSL-VPNゲートウェイでURL変換、変換後はSSLなし、http通信

ポートフォワーディング

①SSL-VPNゲートウェイにhttpsアクセス

②Javaアプレットダウンロード

③JavaアプレットがSSL-VPNゲートウェイにSSLトンネル確立

④JavaアプレットがクライアントPCのhosts編集

⑤データはJavaアプレットからSSL通信経由でSSL-VPNゲートウェイに送信

※ループバックアドレス：127.0.0.1～127.255.255.254

・OCSP(Online Certificate Status Protocol)

公開鍵証明書の失効状態を取得するための通信プロトコル

・HTTPのCONNECTメソッドを使ったSSL通信

http://www.atmarkit.co.jp/fsecurity/rensai/handling03/handling01.html

・VLAN

VLANタグ：4byte＝32bit

16bit：TPID(タイプ)＝0x8100

3bit：優先度

1bit：CFI

12bit：VID＝最大2^12＝4096

・IKE：Internet Key Exchange

IPSecSAの鍵交換プロトコル

アグレッシブモード：装置IDと鍵(PSK)とを対応付け→動的IPもOK→但しIDが非暗号化

メインモード：固定IPと鍵(PSK)とを対応付け

※DESの後継：AES

セキュリティ

・DRM(Digital Rights Management)：デジタル著作権管理

・UTM(Unified Threat Management)：統合脅威管理

VPN、Webフィルタリング、ウイルスチェックなど複数のセキュリティ機能をもつ装置

http://itpro.nikkeibp.co.jp/article/Keyword/20111128/375121/

・検知と防御

IDS(検知のみ)、IPS(防御も)

・検知方式

ホスト型：コンピュータ上で異常検知

ネットワーク型：ネットワーク上で異常検知

・検知方法

シグネチャ型：パターンマッチング

アノマリ型：プロトコル仕様をチェック

・検知誤り

フォールスポジティブ

フォールスネガティブ

・ローカルワイプ、リモートワイプ：ロックをかける

・SPF(Sender Policy Framework)

メール送信元IPとSPFレコードのIPとを比較認証

DHCP

クライアント(68)->サーバ(67)：①DHCP Discover

クライアント(68)<-サーバ(67)：②DHCP Offer

クライアント(68)->サーバ(67)：③DHCP Request

クライアント(68)<-サーバ(67)：④DHCP ACK

クライアント(68)->サーバ(67)：※DHCP Release

DHCPリレーエージェント

DHCPサーバ/クライアントが異サブネットの場合、

クライアントからのブロードキャストをユニキャストに変換しDHCPサーバに届ける

DHCPスヌーピング

http://www.infraexpert.com/study/dhcp4.htm

DHCPクライアントとDHCPサーバとのやりとりをスヌーピング(のぞき見)

→バインディングテーブル構築

DHCPクライアントのMACアドレス、IPアドレスリース、バインディングタイプ、ポート情報

→DHCPスヌーピング有効状態で[untrust]ポートで受信した際、

送信元MACアドレスとDHCPクライアントのMACアドレスを比較

一致していればパケット転送を行い、一致していなければ破棄

⇒[untrust]ポートでDHCPサーバからのパケットを受信しても透過させず、

不正にDHCPサーバ接続させたとしても、不正なIPアドレスの割り当ては行われない

※[untrust]：DHCPクライアント向かい

※[trust]：DHCPサーバ向かい

その他

・M/M/1モデル

ある窓口サービスの客の到着分布、サービスがされている時間分布、およびそのサービスの窓口数が

下記の状態のときの平均待ち時間や平均応答時間をシステム性能に応用したモデル。

→トランザクション到着分布：Ｍ（ポアソン分布）

→回線利用分布 ：Ｍ（指数分布）

→通信回線数 ：１

※Ｎ：発生件数、Ｔ：平均処理時間 とすると、

回線利用率ρ＝ＮＴ

待ち行列長＝ＮＴ/(１－ＮＴ)

平均待ち時間＝平均処理時間×待ち行列長＝Ｔ×ＮＴ/(１－ＮＴ)

平均応答時間＝平均待ち時間＋平均処理時間＝Ｔ×ＮＴ/(１－ＮＴ)＋Ｔ

・Ajax

・SOCKS

CS型アプリケーションにファイアーウォールサービスを透過的に使用することを可能にする

→動的アドレスではだめ