こんにちはちゅーりーです。
2025年4月のネットワークスペシャリスト試験(以下、ネスペ)に合格しました。
テキストをパラパラと眺める程度はしていたものの、1月の前半まではAWS SAA試験に取り組んでいたのでネスペに集中して取り組んだのは1月中旬から4月の試験日までの約3か月ほど。正直かなり運がよかったことも事実ですが、今後ネスペ試験に挑む方のために取り組んだ内容についてポイントを残しておこうと思います。
ちゅーりー苦労したけど何とか一発合格しました
ウォンバまさか合格するなんて・・・
学習のポイント
ネスペの合格率は約15%でチャンスは春試験の年1回とかなりの難易度。
ちなみにちゅーりーが受験した令和7年試験の合格率は17.8%だったようです。
試験は午前Ⅰ、午前Ⅱ、午後Ⅰ、午後Ⅱと4区分計5時間にまたがる長期戦で、そのうち一つでも合格点の60点を下回ると不合格という狭き門です。
| 午前Ⅰ: 9:30 – 10:20 (50分) | 30問, 四肢択一 | 応用情報レベルの問題が出題される。 |
| 午前Ⅱ: 10:50 – 11:30 (40分) | 25問, 四肢択一 | ネットワーク関連の知識問題。 |
| 午後Ⅰ: 12:30 – 14:00 (90分) | 3問中2問選択, 記述式 | 主にネットワーク知識を確認する問題。 |
| 午後Ⅱ: 14:30 – 16:30 (120分) | 2問中1問選択, 記述式 | ネットワーク知識に加え、長文読解力が求められる難関。 |
午前Ⅰ試験の対策
午前Ⅰ試験は本試験とあまり関係のない内容が出題されることが多く対策にも地味に時間を削られます。直前期ともなるとそれが受験生に心理的なストレスとしてのしかかってくるのも事実。
元も子もないですが、午前Ⅰは「受験自体を回避するのが得策」です。下記3つの条件のうちいずれかを満たせば午前Ⅰ試験の免除を2年間ゲットできます。
・応用情報技術者試験の合格
・いずれかの高度情報処理試験の合格
・高度情報処理試験の午前Ⅰ試験で60点以上の獲得
ちゅーりーは2023年秋の情報処理安全確保支援士試験で不合格になりましたが、その際に午前Ⅰ試験の免除をゲットして2024年春の受験で合格しました。そして、その午前Ⅰ免除期間でネスペに合格しました。
計画的にネスペの受験を目指す場合、場合によっては10月の秋試験で応用情報技術者試験や他の高度情報処理試験に取り組んで午前Ⅰ試験の免除を狙うのも手です。その場合は応用情報技術者試験ドットコムで過去問をひたすら周回しましょう。
ちゅーりー午後Ⅰ試験は本当につらい・・
午前Ⅱ試験対策
ネットワークスペシャリストドットコムの過去問道場を過去6回分ほど何度か周回で問題ありません。
基本的にはネットワーク関連の知識が問われるため、午後試験の対策を進めていく中で知識をきっちりと身に着けていけば自然と対策となるはず。ちゅーりーが受験した令和7年は初見の問題が数多く出題されて少々焦りましたが、落ち着いて学んだ知識を思い出しながら消去法で答えを導き出すことができました。
25問中15問以上正解で突破できます。ちゅーりーは20問正解と危なげなく突破。
ちゅーりー落ち着いてやればきっと大丈夫!
ウォンバ午前問題はサクッと対策を終わらせたいね
午後Ⅰ試験&午後Ⅱ試験
他の高度試験同様、ネスペ試験も午後問題が本番!
ネスペはとにかくネットワーク知識が重要。知っていれば正解できるし、知らなければ正解できない問題が数多く出題されます。もちろん文章を読み解く力を問う問題もありますが、それも基礎知識があって初めてスタート地点に立てるもの。
とにかく網羅的に知識を身に着けることが必要です。
うろ覚えの知識はIPAの思うツボ!「あれ、何だったかな・・・?」とならないようにまずはきっちりと基礎知識を定着化し、試験まで何度も何度も反芻しましょう。
もちろん1回で覚えることなど不可能です。
最初はわからなくても気にせず、何度も何度も問題を解いたり暗記ノートを空で書き写すなどして回転です。コツとしてはインプットよりもアウトプットを意識すること。大体「インプット2に対してアウトプット8」を目安とすればいいでしょう。
インプットは「整理と網羅」、アウトプットは「継続と周回」を意識しましょう。ネスペは範囲が広く、似たような用語が数多く出てくるため「今どの範囲を勉強しているのか?」頭を整理して意識しながら知識をインプットします。
ちゅーりーとにかくアウトプット!何度も回転させることが重要!
ウォンバ資格試験の鉄則だね!
テキストやudemyなどのWEB講座で一通り試験範囲を確認。この時点で暗記はしなくてよい。あくまでどんな内容があるのかを把握することが目的。
とにかくインプットよりもアウトプット。ある程度理解したら先に進もう。紙のテキストが苦手な時はudemyのWEB講座を活用しよう。
ただし、下記のテキストは過去問解説をpdfでダウンロード可能。さらっとした解説ではあるが、移動中の学習にはかなり使えるので入手しておくことをおススメする。
■コース内容紹介
・もし期待値に合わないと思ったら返金も可能ですのでご遠慮なく返金ください!!
・通常だとここまで...
ちゅーりーは左門先生のネスペワークブックを使用しました。
問題を解きながらその章で語られている基礎知識についてテキストの内容を追記しながら暗記ノートにまとめました。基礎問題集を回しながら暗記ノートを確認+暗記内容を空で何度もノートに書いて覚えます。
ネスペワークブックはただ解くだけではもったいない!解いた章に関係する内容を暗記ノートで再確認・反芻しながら進めることで、基礎学習のペースメーカーとしましょう。
ある程度基礎知識が固まってきたら過去問10回分を解き始めます。
わからない点は悩みこまずに解答や解説を確認すること。詳しい解説を確認したい場合はネスペ本(R6、R5など)を購入してもよいでしょう。ただ、1回1回にそこまで時間をかけたり、無理に暗記したりしないこと。
基本的に何度も何度も周回することで知識を定着化していきます。
STEP2とSTEP3を並行で何度も何度も回転させます。
ちゅーりーはネスペワークブックと暗記ノートの書き写しを4、5回。過去問も過去10回分を4周ほど周回しました。辛くても回転!継続こそが合格への近道です。
合格時の暗記ノートの内容
ここからはちゅーりーが暗記ノートにまとめた内容を紹介します。そんなの知ってるよ!と思われる内容が多いかと思いますが、これからネスペに挑む方に向けて書き残しておくようにします。
ちゅーりーもそこまで余裕のある点数での合格ではありませんでした(午前Ⅰ:85点、午後Ⅱ:65点)ので、「最低でもこのぐらいは頭に入ってないと合格は不可能」です。
基礎をおろそかにすれば応用問題は解けません。何度も何度も空で書いて暗記し、頭に叩き込みましょう。うろ覚えの知識は高度試験では命取り!人に説明ができるレベルに!
メモ書きレベルなので、万が一知らなかった内容があったら自分で調べて理解を深めましょう。
ちゅーりーネスペは知識勝負!
ウォンバそれじゃスタート!!
ネットワーク基礎知識
まずは基礎知識から。OSI基本参照モデル、TCP/IPモデルはネットワークレイヤを理解するすべての基本となるのでよく理解しておこう。各層の役割と該当するプロトコル、機器は暗記。
パケット構造についても暗記しておくことが望ましい。余裕があれば各項目のバイト数も押さえておこう。
OSI基本参照モデルとTCP・IPモデル
まずは基本中の基本、OSI基本参照モデル、TCP/IPモデルから。
ちゅーりーは表を空で書けるまで何度も繰り返しました。
| レイヤ | OSI基本参照モデル | TCP/IPモデル | 役割 | 該当するプロトコル | 該当する機器 |
|---|---|---|---|---|---|
| L7 | アプリケーション層 | アプリケーション層 | アプリケーション通信 | http/https/DNS/SMTP/NTP/ nslookup/dig/curlなど | |
| L6 | プレゼンテーション層 | 文字コードなど | |||
| L5 | セッション層 | ||||
| L4 | トランスポート層 | トランスポート層 | 通信の信頼性 | TCP/UDP TEST NET Connection | |
| L3 | ネットワーク層 | インターネット層 | End To Endの通信 | IP/ICMP(ping/traceroute) | ルータ、L3スイッチ |
| L2 | データリンク層 | ネットワークIF層(リンク層) | Link By Linkの通信 | ARP | L2スイッチ(スイッチングハブ)、ブリッジ |
| L1 | 物理層 | リピーター |
パケット
イーサネットフレームはイーサネットヘッダ、IPヘッダ、TCPヘッダ、アプリケーションデータで構成されています。イーサネットヘッダはイーサネットタイプで、IPヘッダはプロトコルタイプで、TCPヘッダはポート番号で上位のデータの内容を示します。
| イーサネットヘッダ -イーサネットタイプ ※フレームという | IPヘッダー -プロトコルタイプ ※パケットという | TCPヘッダー -ポート番号 ※セグメントという(UDPはデータグラム) | アプリケーションデータ |
ちゅーりー基本中の基本!
ウォンバパケットの構成(カプセル化)は覚えておこう!
イーサネットフレーム
| 宛先MACアドレス(6オクテット) | 送信元MACアドレス(6オクテット) | タイプ (2オクテット) | データ (~1500オクテット)※MTU | FCS (4オクテット) ※エラー検知用 |
フレームの先頭には相手のNICと同期を取るためプリアンブル(7オクテット)、
SFD(Start Frame Delimiter)、1オクテットがセットされる。
IPヘッダー
IPパケットの構造、並び順は覚えておこう。
| 送信元IPアドレス | 宛先IPアドレス | TTL | TOS | プロトコル | データ |
| 32ビット | 32ビット | 8ビット | 8ビット | 8ビット | |
| 生存回数 ※ルータを中継できる数 | サービスタイプ ※DiffServで使用 | 6:TCP 1:ICMP など |
TCPヘッダー
・送信元ポート番号(16bit)、宛先ポート番号、シーケンス番号、確認応答番号、コントロールフラグ(6:SYN、3:ACK)など、構成する項目を覚えておこう。
・再送制御、ウィンドウ制御、フロー制御の違いや動きを覚えておこう。
・3ウェイハンドシェイクはSYN⇒SYN+ACK⇒ACK。
ちゅーりーSYN
ウォンバSYN + ACK
ちゅーりーACK
その他ヘッダ
UDPヘッダ、HTTPヘッダ辺りも構成項目を覚えておこう。
・HTTPヘッダは、HTTPリクエストヘッダ、HTTPレスポンスヘッダそれぞれの項目、
Cache-Controlのパラメタ、Cookie属性(Expiresなど)も不意に聞かれるので可能な限り押さえておこう。
httpレスポンスコード
httpステータス。
・200:OK
・300:OKだが、、リダイレクト
・400:クライアントエラー(401:認証エラー/403:権限エラー)
・500:サーバエラー
httpバージョン
HTTP/1.1:テキストベース、データの通信順に制限。
HTTP/2 :バイナリベース、ストリーム、ヘッダ圧縮(HPACK)。
HTTP/3 :TCPの代わりにQuick、0-RTT。
ARP
IPアドレスからMACアドレスを取得するプロトコル。結果はARPテーブルに格納される。
同じデータリンク内(ブロードキャストが届く)で使用。
逆にMACアドレスからIPアドレスを求めるのはRARP。
ARPパケットの中身はプロトコルタイプ、送信元MACアドレス/IPアドレス、宛先MACアドエス/IPアドレス、探索MACアドレス/探索IPアドレスなど。探索MACアドレスと探索IPアドレスは応答パケットで使用される。
※ARPリクエストの宛先MACアドレスにはブロードキャストアドレスが入る。
GARP
GratuitousARP(意味のないARP)。利用目的は主に下記2つ。
・IPアドレスの重複をチェックする時。
・ARPテーブルの更新(デバイスのMACアドレスが変わった場合)を伝える時。
※VRRPなど。
ICMP
いつも職場で「ピング、ピング」言われているのは実はICMPプロトコルを使用したプログラムだった。他にはtracertなど、通信状況のチェックを行うプログラムもある。L3レイヤ、つまりはネットワーク層のプロトコルである。
・0: エコー応答(echo reply)
・3: 到達不能(Destination Unreachable)
・5: リダイレクト
・8: エコー要求(echo request)
・11: 時間経過 ※TTLが0に。
ちゅーりーピングで疎通確認しといて!
ウォンバトレースルートで障害ポイントを探そう!
ICMPv6
・IPv6にはARPはなく、ICMP近隣探索メッセージへ。
・32ビット⇒128ビットへ。
・IPヘッダ長は40ビット固定。
・ルータでの分割やチェックサム廃止。
・IP-Secが必須。
マルチキャスト
・特定の複数ノードに1つのデータを同時に配信。マルチキャストアドレスは224.0.0.0~224.255.255.255。
・PIMでディストリビューションツリーを構成。
・IGMPは上位のルータにマルチキャストグループへの参加、離脱情報を交換するプロトコル。
・ルータ、L3でマルチキャストグループを管理。
・宛先MACアドレス(01-00-5e-01-01-01)
・IPアドレス(224.XXX.XXX.XXX)
・IGMPスヌーピングはL2の機能、必要ポートのみ排出し、フラッディングしない。
・IGMPv2:明示的なLeaveが可能。
・IGMPv3:ソース指定が可能。
・PIMはマルチキャスト用のルーティングプロトコル。
・PIM-DM(デンスモード):一度全てマルチキャスト通信して、次回から不要パケットを削除。
・PIM-SM(スパースモード):最初から不要な通信をルータに送らない。
※PIM-SSMはソースIPを指定可能、IGMPv3が必要。
DNS
・A、CNAME、MX、TXT、NSなどのレコード形式は覚えておこう。
・マスタDNSからスレーブDNSへのゾーン転送、要求はスレーブから。
・マスタのゾーン情報が変わったことを通知するのは、NOTIFYメッセージ。
・Aレコードのホスト名はワイルドカードにできる(DomainFlux)。
IPアドレス
・プライベートIPアドレスの範囲
10.0.0.0~10.255.255.255
172.16.0.0~172.31.255.255
192.168.0.0~192.168.255.255
| クラス | ネットワークアドレスの長さ | 先頭ビット |
|---|---|---|
| クラスA | 8ビット | 先頭ビット0 |
| クラスB | 16ビット | 先頭ビット10 |
| クラスC | 24ビット | 先頭ビット110 |
| クラスD | マルチキャスト用 | 先頭ビット1110 |
L2SW
IFは48ポートある。MACアドレステーブルを持ち、送信元のMACアドレスとポートの紐づけを保持する。静的にテーブルにレコードを追加することも可能で、動的に登録されたレコードは電源OFFでクリアされる。
テーブルにレコードがない、または送信先のMACアドレスとポートの紐づけが見つからなかった場合は送信元ポート以外のすべてのポートにフラッディングする。
ちゅーりーMACアドレステーブルとかルーティングテーブルとかがごっちゃになりがち!
ウォンバL2スイッチはレイヤ2なのでMACアドレステーブル!
PoE
PoE(パワーオブイーサネット)はリンク接続とともに給電機能も持つ優れもの。主にL2スイッチに搭載され、無線AP接続&給電などで活躍します。PoEの規格は下記の通り。
ちなみにIEEEは「アイトリプルイー」と言います。米国電気電子学会のことで、国際的な標準化活動なども実施している組織です。
| IEEE802.af | PoE | 15.4W |
| IEEE802.at | PoE+ | 30W |
| IEEE802.bt | PoE++ | 90W |
PPPoE
PointToPointProtocolOverEthernetの略。イーサネットと組み合わせて認証を行うプロトコルです。
CHAPやPAP(古い)というプロトコルを使用して認証とコネクションを実現します。
※PoEスイッチとは違うので注意!!
| イーサネットヘッダ | PPPヘッダ | データ | FCS |
代表的なイーサネット
bpsはビット毎秒です。1Gbpsであるならば1秒間に1Gビットの通信が可能ということ。
| 規格 | 速度 | 名称 | ケーブル |
|---|---|---|---|
| 10BASE-T | 10Mbps | ||
| 100BASE-TX | 100Mbps | ||
| 1000BASE-T | 1Gbps | ギガビットイーサネット | Cat5が対応 |
| 25GBASE-T | 25Gbps | マルチギガビットイーサネット | Cat6、Cat7が対応 |
| 5GBASE-T | 5Gbps | ||
| 10GBASE-T | 10Gbps | 10ギガビットイーサネット |
ケーブルは下記2種類ですが、使い方が異なります。
・クロスケ―ブル: ルータとルータ、ルータとPCを接続。
・ストレートケーブル: スイッチとルータ、スイッチとPCを接続。
MDIとMDIX、AutomaticMDI/MDIXは午前Ⅱでよく出題されるので覚えておこう。
冗長化
ネットワーク機器は故障する湖可能性があるため、ネットワーク冗長化は実ネットワーク環境でも非常に大切です。ネスペ試験でも出題確率が高いので重点的に勉強しましょう。
リンクアグリゲーション(LAG)/ IEEE802.3ad
・スイッチ間、スイッチ/サーバ間の複数ケーブルを論理的に束ねて信頼性と性能を向上。
・LACP(リンクアグリゲーションコントロールプロトコル)を使用して対向機器の状態を動的に確認する。
LACP情報を双方でやり取りするので、片方のリンクダウンを検知可能。
・LLDP(リンクローカルディスカバリープロトコル)でL2広告を行うことでホスト名やインタフェース情報をやり取りする。
・混乱しがちですが、下記2つはLAGの要素技術と言えます。
・チーミング:複数NICを論理的に束ねる。信頼性と性能向上。
・チャネルボンディング(無線):帯域を束ねる。信頼性と性能向上。
・LAGはスパニングツリー(後述)と比べブロッキングポートがないので無駄なリソースを使わない分優れています。
ちゅーりーさらっとLAG(ラグ)って言うと玄人っぽいです
ウォンバまたカッコつけて・・・
STP(スパニングツリープロトコル)
物理的にループした構造を論理的に切り離し、通信のループを防ぐ。
※基本的にブロードキャストストームを防ぐ目的。
【スパニングツリーの構成】
①ルートブリッジを決める。
「ブリッジID」が小さいもの。ルートブリッジのポートは全て「指定ポート」となる。
※ブリッジIDはブリッジプライオリティ+MACアドレス。
②各ブリッジのルートポートを決める。
ルートブリッジまでのパスコストが決め手となる。
③各ブリッジ間の指定ポート(代表ポートとも)を決める。
ルートブリッジにパスコスト的に近い方が選択される。
④ルートポートと指定ポート以外はブロッキングポートとなる。
STPの各ポートの状態
- ディセーブル(利用不可)
- ブロッキング
- リスニング
- ラーニング(BPDU受送信)
- フォワーディング(転送許可)
BPDU(ブリッジプロトコルデータユニット)
・ブリッジIDやパスコストの情報。
※ルートブリッジからのみ送られる。複数経路でBPDUを受信=ループ!と判断。
RSTP(ラピッドスパニングツリー)
スパニングツリーを改良したプロトコル。ブロッキングポートを代替ポートとバックアップポートに分け、障害発生時に利用する。
・代替ポート → ルートポートへ
・バックアップポート → 指定ポート(代表ポート)へ
※障害発生時のコンバージェンス(切り替わり)が早い。
MSTP(マルチプルスパニングツリー)
これもSTPの改良版。VLANごとにスパニングツリーを構成できる。
スタック
複数のスイッチをスタックケーブルでつなぎ、論理的に1台のスイッチとして利用できる。
設定も1台として完了、冗長性を確保し、ポートを単純に増やすことができる。
※リンクアグリゲーションやチーミングが可能。
VRF
1つのルーターを複数の仮想ルータに分割する。ルーティングテーブルを複数持てる(ポートに紐づく)。
デフォルトルートを2つもつことなどができる。
分割されたルータでは別ネットワークと扱われるので、IP重複もOK。
VRRP
・複数のルータを仮想ルータとして論理的に一つにまとめて冗長化。
・つまり、デフォルトゲートウェイを冗長化するということ。
・VRID(8ビット)でVRRPのグループを管理。
・VRRP広告(アドバタイズメント)をマスターとなったルータから送る。
プライオリティ値が大きいルータがマスタルータとなる。マスタルータはVRRP広告をバックアップルータと交換し、それがハートビートを兼ねる。
・複数の仮想ルータをVRIDを設定して使い分けできる。
・preempt(プリエンプト)機能は、より優先度の高いルータが常にマスタルータとして選択される設定。
・VRRPトリガーはルータの片側インタフェースが故障したら、もう一方のインタフェースのプライオリティ値を下げることでマスタルータを切り替える。バックアップルータのプリエンプト機能がONである必要がある。
・マスタルータが切り替わったら、前述のGARPでMACアドレスを更新する。
・VRRP広告はマルチキャストで送信される。つまりはルータ越えできない。
異なるサブネットをつなぐ場合は、それぞれ仮想IPが必要となる。
・VRRPv3はIPv6対応。
・VRRPはマスタとバックアップルータ両方に経路情報をセットする必要がある。勝手に同期はされない。
無線LAN
定番の無線LANです。どちらかというと午前Ⅱ試験での出題が多いかもしれません。暗記するだけなのでさらっと押さえておこう。
| 規格 | 速度 | 2.4GHz | 5GHz | 6GHz | Wi-fi | 技術 |
|---|---|---|---|---|---|---|
| IEEE802.11b | 〇 | 〇 | ||||
| IEEE802.11a | ||||||
| IEEE802.11g | 〇 | |||||
| IEEE802.11n | 600Mbps | 〇 | 〇 | 4 | MIMO、OFDM | |
| IEEE802.11ac | 6.9Gbps | 〇 | 5 | MU-MIMO、OFDMA | ||
| IEEE802.11ax | 9.6Gbps | 〇 | 〇 | 〇 | 6 | |
| IEEE802.11be | 46Gbps | 〇 | 〇 | 〇 | 7 |
語呂合わせ
・規格 : バッグン(ア)シクセ(bagnacxe)
・2.4GHz: 美人バツイチ(bgnxe)
ちゅーりー語呂合わせに苦労の跡が見えます
ウォンバ何のこっちゃ・・・
・同一のSSIDでのAP間移動を「ローミング」と言います。(WLCがあるとスムーズに切り替えが行われます)
・隠れ端末対策としてRTS/CTS方式を使う。
・端末同士が通信するアドホックモード、無線APと端末が通信するインフラストラクチャモード。
無線LANの暗号化
| WEP | RC4(ストリーム暗号)を使う。すでに危殆化。 |
| WPA | TKIPにより認証サーバでPMKを基に一時鍵を生成。 |
| WPA2 | AESベースのCCMP。 |
| WPA3 | SAEによる安全な鍵交換。 |
VLAN
VLANもネスペ試験では出題がとても多いです。実際のネットワーク運用ではほぼ間違いなく利用する重要な技術です。
VLANはL2スイッチを仮想的に分割するようなイメージです。ポートVLANとタグVLANは覚えておこう。
ポートVLANではポートをAccessポートにし、タグLANではTrunkポートにします。Trunkポートは複数のVLANが通過できますので、タグをつけて識別することになります。ネイティブVLANはタグなしで送信されます。
通常、ルータやL3スイッチでないとブロードキャストドメインを分割できませんが、VLANを使えばL2レベルで分割することができます。
ちゅーりー机上だけだと何だかイメージがわかないです
ウォンバパケットトレーサーでシミュレーションしてみるのもいいかも
タグ付きのイーサネットフレーム
| 宛先MACアドレス | 送信元MACアドレス | タグ(4バイト) VLANID(12ビット) | タイプ | データ | FCS |
※VLANIDは12ビットなので4,096がVLANの最大数となる。
DHCP
DHCPメッセージはそのまま覚えよう。DHCP REQUESTがブロードキャスト通信なのは、どのDHCPサーバからのOFFERを受け取ったのかを他のサーバにも伝えるため。
| DHCP DISCOVER | クライアントから | ブロードキャスト |
| DHCP OFFER | サーバから | ユニキャスト |
| DHCP REQUEST | クライアントから | ブロードキャスト |
| DHCP ACK | サーバから | ユニキャスト |
DHCPリレーエージェント
DHCPリレーエージェントはルータとL3スイッチの機能。DHCPメッセージをDHCPサーバへ転送する。
giaddrにL3のポートIPアドレスをセットすることで、DHCPサーバが割り振るIPアドレスを選択する。
DHCPスヌーピング
DHCPスヌーピングはスイッチングハブ(L2)の機能。不正なDHCPサーバのIPアドレス配布とIPアドレスの手動設定を防ぐ。
・trustedポート: DHCPサーバが接続されたポート。
・untrustedポート: DHCPスヌーピングを行うポート。
※DHCPメッセージを盗聴し、正規IPアドレスが振られたMACアドレスを記憶しておく。
ちゅーりー「臭いをかぐ」という意味みたいだね
ウォンバクンクン・・・何かお菓子持ってない?
WAN
WANは拠点間通信。午後問題でも頻出のカテゴリです。
| 種類 | レイヤ | 必須 |
| 専用線 | L1 | |
| 広域イーサ | L2 | IEEE802.1QのタグVLAN |
| IP-VPN | L3 | MPLS、IP回線 |
| インターネットVPN | ||
| IP-SecVPN | ||
| SSL-VPN ・リバースプロキシ ・ポートフォワーディング ・L2フォワーディング | ・WEBブラウザ経由 ・事前にポート番号とIPを決定 ・動的IPがOK |
ちゅーりーVPNはセキュアなインターネット通信には必須の技術です
IP-Sec
結構重要なIP-Sec。実行モードや暗号化モードなど覚えることがいっぱいです。
・IKE-SA:
IKEフェーズ1(ISAKMP SA生成のため)
・暗号化アルゴリズム
・ハッシュアルゴリズム
・ライフタイム
・認証方法
※各パラメータで一つ選択。
※DH鍵交換を行う
※通信相手のVPN機器の認証(IPアドレス)によりなりすまし検知。
IKEフェーズ2(ISAKMP SAで暗号化)
・セキュリティプロトコル
・暗号化プロトコル
・認証アルゴリズム
・ライフタイム
・カプセル化モード
※各パラメータで一つ選択。
※ハッシュ値の送信と検証で、メッセージが改ざんされていないかを検知。
・IPSec-SA(Child-SA ※v2):クライアント⇔サーバで2本必要。
ライフタイムが過ぎるとSAを終了⇒リキー(Rekey)⇒新たなSA。これはリプレイ攻撃を防ぐため。
認証と鍵交換
・メインモード:IPアドレスも含む認証。
・アグレッシブモード:簡略化された認証。
※認証には事前共有鍵を使う方法などがある。
必要なもの:
・IP-Sec通信に必要なIPアドレス。
・トンネル確率のためのカギ情報。
実行モード
〇トランスポートモード
| オリジナルIPヘッダー | AH or ESP | IPペイロード |
※パソコン同士などのend-to-end通信で利用される。
〇トンネルモード
| 新IPヘッダー | AH or ESP | オリジナルIPヘッダー | IPペイロード |
※新しいIPヘッダーが付与される。拠点間通信のルーター同士など。個別のIP-Secの設定が必要。
(カプセル化が行われる。セキュリティの向上とプライベートネットワークの通信をインターネット上で安全に行うため。プライベートIP⇔グローバルIP)
暗号モード
・AH:メッセージ認証のみで暗号化はしない。つまりオリジナルIPヘッダも認証対象となる。
・ESP:メッセージ認証&暗号化。オリジナルIPヘッダは認証対象ではない。
| 新IPヘッダ | ESPヘッダ | オリジナルIPヘッダ | ESPトレーラー | ESP認証データ |
| << 暗号化範囲 >> | ||||
| << 認証範囲 >> | ||||
IP-Sec NATトラバーサル
IPアドレスやポートの変換に対して対応するため、ESPに対して新しいUDPヘッダを付与する。
ちゅーりー名前がカッコいいIP-Sec
ウォンバ結構出題頻度も多い気がするね
MPLS
とりあえず下記のキーワードと構成は覚えておこう。
CER:カスタマーエッジルータ
PER:プロバイダエッジルータ
LSR:ラベルスイッチングルータ(ラベルを付与)
LSP:ラベルスイッチパス(片側一方向の仮想的な経路)
ルーティング
ネスペ試験の定番、ルーティングです。通信の向き先をコントロールする重要な技術。様々なルーティングプロトコルが存在し、スタティックルートや直接接続と合わせて複雑な経路決定を可能とします。
| ルーティングプロトコル | 種類 | 上位プロトコル |
|---|---|---|
| RIP、RIPv2 | 距離ベクトル | UDPを利用 |
| OSPF | リンクステート(状態) | IPを利用 |
| BGP | 経路(パス)ベクトル | TCPを利用 |
RIP
・各ルータが自分の持っている経路情報をブロードキャスト(つまり、自分が保持していないルーティングテーブルをもらう。メトリックはホップ数)。30秒に1回RIPパケットを送りあう。
180秒(6回)来ないと接続が切れたと判断し距離ベクトルデータベースから削除。
・定期的にルーティングアップデートを行う。構成変更時のトリガードアップデートは変更に30秒ぐらいかかる。
・ホップ数は15が限界。
ループ防止
・スプリットホライズン:受信した経路を受信した相手に返さない。
・ルートポイズニング:リンクダウンしたインターフェースのメトリック値を最大の16にして隣接ルータに送信。
・ポイズンリバース:到達不能な経路情報を受け取ったら、メトリック値を最大の16にしてそのまま返す。※スプリットホライズンよりも優先。
ちゅーりーくらえ!スプリットホライズン!
ウォンバポイズンリバース!
・RIP2:マルチキャスト、サブネット、認証機能に対応(クラスレス)
・RIPng:IPv6対応
OSPF
・全ルータがネットワークのトポロジ(接続状態)を完全に把握し、それを元に経路制御をおこなう。
・IPアドレスでルータを認識しルータ間でリンク状態を交換する。
・動的経路(メトリック値はコスト)だが、デフォルトルートを設定できる。
デフォルトルートは自動的に配布されないので、明示的に設定が必要。
・コストはL3(ルータ)排出時に加算される。
・経路集約を行い、ルーティングテーブルのサイズを小さくできる。経路集約は手動。
・やり取りする情報はLSA(リンクステートアドバタイズメント)、LSDBを構築する。
・SPFアルゴリズム(ダイクストラ法)で最短経路を計算する。
・内部ルータ(R)、DR、BDR、ABR、ASBRは覚えておこう。
| タイプ | 名称 | 含まれる情報 | 出力元 |
|---|---|---|---|
| 1 | ルータLSA | 自分のルータ情報 | 全ルータ |
| 2 | ネットワークLSA | エリア内のルータ情報 | DR |
| 3 | ネットワークサマリLSA | 各エリアの経路(ブロードキャスト) | ABR |
| 4 | ASBRサマリLSA | ASBRへの経路(ブロードキャスト) | ABR |
| 5 | 外部LSA | 外部の経路(ブロードキャスト) | ASBR |
・ルータのプライオリティ値が大きいルータがDRに。
※0にすると選択されることはない。手動で設定できる。
・ECMP(イコールコストマルチパス):コストを同じにすることでより柔軟なルーティングが可能。
パケットモードとフローモードがある。フローモードの方が安定。
OSPF仮想リンク
直接エリア0(バックボーンエリア)に接続できない時、ABRに設定する。
ちなみにバックボーンエリアにかかるルータをバックボーンルータともいう。
BGP
・AS(オートノーマスシステム)間のルーティング。経路基準は通過するASの数となる。
BGPスピーカー(ルータ)同士が経路交換を行う。
・対向ルータをBGPピアという。
・TCP上で動くプロトコルである。
・クラスレス。
メッセージ
・OPEN:セッション確立
・UPDATE:差分
・NOTIFICATION:エラー
・KEEP ALIVE:死活監視
・AS-PATHプリペンド:通過するASの数を増やすことで、経路を選ばれにくくする。
・経路交換は差分形式でTCPで行う。
メトリック値(パスアトリビュート)
| 番号 | 名称 | 意味 | 優先される |
|---|---|---|---|
| 2 | AS-PATH | 経路が通過したASの数 | 短い |
| 3 | NEXT-HOP | 到達できないと無効なルートとみなす | |
| 4 | MULTI-EXIT-DISC(MED) | 異なるAS間の優先度 | 小さい |
| 5 | LOCAL-PREF | 同一AS内の経路優先度 | 大きい(最も優先) |
| 8 | COMMUNITY |
・フルメッシュでのやり取りはネットワーク負荷となる。特定のルータ(ルートリフレクタ)がBGP情報を集約してやり取りする。これをルートリフレクションという。
・ルーティングループを防ぐため、AS-PATHに自AS番号が含まれていた場合は経路情報を破棄する。
※AS-Override、allows-inを使用して意図的にルーティングポリシーを制御することもできる。
・AS-PATHプリペンド:AS-PATHアトリビュートに意図的に特定のAS番号を追加し、不利にして経路調整。
ルーティングプロトコルごとの優先度
・AD値(アドミニストレーティブディスタンス)が小さいものを優先してルーティングテーブルに登録する。実際はOSPFは110、RIPは120などの値が存在する。スタティックルート(1)や直接接続(0)が最も優先されるが、手動でAD値を変更することは可能。
SNMP
ネットワーク機器の監視用のプロトコル。エージェントとマネージャで構成される。
マネージャからの要求に対しエージェントが情報を送信(get request⇒get response)したり、設定変更(set request⇒set response)する。エージェントが自発的にtrapする設定も可能。
MIBというデータベースで情報管理。
SNMPv1:暗号化なし。コミュニティ名指定で情報をやり取り。
SNMPv2:trapに代わるインフォーム(到達確認と再送機能)
SNMPv3:データ暗号化。コミュニティ名に代わるUSM。ハッシュ値で改ざん検知。
VXLAN
なんだか最近出題される頻度が高いVXLAN。SDNなどと同じL3アンダーレイネットワークの上にL2オーバーレイネットワークを構築する技術。最大で1677万個のVLANを構築することが可能。
| IPv4ヘッダ ※アンダーレイネットワーク | UDPヘッダ | VXLANヘッダ | イーサネットフレーム ※オーバーレイネットワーク | |
| VNI(24ビット) | ||||
ちなみにこちらは従来のVLANフレーム。最大で4096個までVLANを構築することが可能。
| 宛先MACアドレス | 送信元MACアドレス | タグ | タイプ | データ | FCS | |
| VLANID(12ビット) | ||||||
・エンドポイントはVTEP。VLANIDとVNIのマッピングを行う。
・UDP/4789で通信する。
・24bitのVNI(1,677万のL2ネットワークを構成可能)
・アンダーレイネットワークにL3レイヤ、オーバーレイネットワーク上に仮想的なL2ネットワークを構築する。
各メトリックの優先度
メトリック値によって優先される値をまとめました。混乱するので自分で表にするのが有効です。
| 項目 | メトリック | 優先 |
|---|---|---|
| MXレコード | Preference | 小さいほう |
| BGP | LOCAL_PREF | 大きいほう |
| MULTI-EXIT-DISC(MED) | 小さいほう | |
| AS-PATH | 短いほう | |
| VRRP | プライオリティ値 | 大きいほう |
| OSPF | コスト値 | 小さいほう |
| プライオリティ値 | 大きいほう ※0はDR選出なし | |
| STP | プライオリティ値 | 小さいほう |
| ルーティングテーブル登録 | AD値(アドミニストレーティブディスタンス) | 小さいほう |
ちゅーりーいっつもごっちゃになるんだよな・・・
ウォンバ表でまとめて整理するしかないね・・
その他知識
スキャンの種類
・ホストスキャン:指定したアドレス範囲に生きているホストがいるか。
・ポートスキャン:ホストのポートに到達できるか。
uRPF
ユニキャストリバースパスフォワーディング。セキュリティ機能。
ルータで受信したパケットの送信元IPアドレスがルーティングテーブルに存在しない場合パケットを破棄する。
ウェルノウンポート
20:FTPデータ
21:FTPコントロール
22:SSH
23:telnet
25:SMTP
53:DNS
80:HTTP
110:POP3
123:NTP
143:IMAP
443:HTTPS
445:SMB
587:SMTPサブミッションポート
993:IMAPS
995:POP3S
ちゅーりー不意に問われることもあるので注意!
NTP
時刻合わせのためのプロトコル。UDPを使う。
Stratumという構想改造を持つ。
L2スイッチの動作
| 動作の種類 | 処理形式 | 信頼性 | 遅延 |
|---|---|---|---|
| ストアアンドフォワード | 全て受信してから送信 | 高 | 大 |
| フラグメントフリー | 先頭64Byteを確認して送信 | 中 | 中 |
| カットスルー | 先頭6Byteを確認して送信 | 低 | 小 |
SDN
ソフトウェアデマンドネットワーク。SD-WANはSDNをWANに適用したもの。
OFC(オープンフローコントローラ)とOFS(オープンフロースイッチ)で構成される。
マッチ条件をFテーブル(フローテーブル)という。OFSに登録される。
・マッチング条件
・アクション
※エントリになければパケット破棄 or OFSからOFCに問い合わせ。
Packet-In、Packet-Out、Flow-Midなどのコマンドは覚えておこう。
QOS
通信の優先度付けを行う。
IntSerV:RSVPを使う。
DiffSerV:IPヘッダのDSCP(TOSフィールド)先頭6ビットを使う。こっちが一般的。
※最優先:46、通常:0
WAS(WAN高速化)
RTT(ラウンドトリップタイム)の短縮を行う。下記3つ。
・代理応答
・キャッシュ蓄積
・圧縮
まとめ
・ネスペは年1回の試験開催で15%程度の難関。午前Ⅰ、午前Ⅱ、午後Ⅰ、午後Ⅱ試験に分かれており試験時間も長い。
・とにかく知識量が重要。知識問題や知識があることを前提とした問題が数多く出題される。
・午前Ⅰは免除を狙うのが無難。
・午後Ⅱは過去問を直前にやるだけで特別な対策は不要、ネットワーク知識の暗記や午後問題の対策をするうちに自然と解けるようになる。
・午後問題は過去問を何度も周回。出題された技術について処理の流れや仕組み、キーワードを理解しておく。
・本番試験では誰しも必ず初見の問題となる。
問題選択にもよるが基礎知識があればじっくり考えて答えは導き出せるはず。とにかく問題を穴が開くほどしっかりと読み込み、出題者が何を問いたいのか?出題テーマを考えてみる。
・解答用紙はとにかく気合で埋める。
最後に物を言うのは根性です。わからない!と思っても諦めずに、もがいて、あがいて、答案用紙に書き殴りましょう。これからネットワークスペシャリスト試験に挑む皆様、ご健闘をお祈りしています!!
ちゅーりーダメだと思っても諦めないこと!
ウォンバ頑張ろうね!
GLMOW!
コメント