・SSOにおいて、通信を中継する方式:リバースプロキシ方式
・WebサーバがPCにCookieを渡す方法:Set-Cookie
平成27年の午後1問1は7割強の正答率でした。設問1の知識の穴埋め問題で全問正解できなかったのは痛いですね。まだ基礎知識が足りていないのかもしれません。
設問3(1)は、先にSSOサーバにアクセスすることから、「sso.a-sha.example.jp」と解答してしまいましたが、正解は「a-sha.example.jp」でした。SSOサーバだけでなく、他のサーバにもCookieを持ち回らなければなりませんので、確かにもっと広い範囲のドメインを指定する必要がありますね。
平成27年の午後1問2は2度目の解答でしたが、9割の正答率でした。
設問1(ウ)は、「フェイルオーバー」と解答してしまいました。意味的には間違っていないと思いましが、正解は「維持」ですね。
設問2(1)は、IPアドレスはエンドツーエンドということがわかっていたのですが、機器bではなく送信元の機器aを答えてしまいました。ケアレスミスなので、本番では絶対しないようにしたいです。
・フォールスポジティブ:正常な通信を誤って不正と検知してしまうこと。
・フォールスネガティブ:不正な通信を見逃してしまうこと。
平成27年の午後1問3は2度目の解答でしたが、ほぼ満点でした。記述式は多少減点される可能性があることと、設問2(1)は正解がわかっていたにもかかわらず、ケアレスミス(図の見間違い)で誤答してしまいました。
平成27年の午後2問1はギリギリ6割ぐらいの正答率です。HTTP1.1の前提知識が必要で、かつ過去問で出てこなかった目新しい内容なので、難易度が高く感じました。
午後2は問題を見て得意な方を選べば良いのですが、苦手に感じた問題でも安定して7割程度は解答できるようにしておかないと少々不安です。
設問1(1)は、「同一セグメント」と書いてあったので考えすぎて「MACアドレス」と解答してしまいました。ロードバランサはワンアーム構成ではなく通常の構成で、しかも、そのことは設問1(3)と(4)でも問われています。素直に「送信元IPアドレス」とすべきでした。惜しいです。
設問2(1)は、PCから見ると新業務サーバがリバースプロキシになっているように見えますが、そうではないようです。また、シーケンス図を見ると、中継装置の方が手前に位置しているので、こちらの方がリバースプロキシのようにも見えますが、中継サーバはあくまでリクエストに応じて代理で情報を取得しているのに対して、通信アダプタの方は、単独でHTTPヘッダ「If-Modified-Since:x」を付加したリクエストを設備へ送信しているので、リバースプロキシということですね。解説を読めば何となくわかったような気もしますが、今ひとつスッキリしません。
設問2(5)は、正解の方の一つの「設備とTCPコネクションが確立できない場合」は、通信アダプタが落ちていることを想定して、同様の解答ができましたが、「設備がNot Modifiedを応答した場合」の方は解答できませんでした。設問2(4)で、多くの場合に通信アダプタがのキャッシュの方が中継サーバのキャッシュよりも新しいので、その場合は設備への通信を行わないという風に解答しましたが、そうではなく、通信アダプタに限定した解答を求められていました。しかしながら、設備も状況というのは、常に変動しているはずなので、設備側の状況が更新されていないというケースは少ないのではないかという気もしますが、深読みしすぎでしょうか。
設問2(6)は、前問の不正解を引きずってしまいました。通信アダプタのキャッシュが新しい場合は、オンデマンドで設備への通信を行う必要がないので、通信間隔を大きくすると、設備への通信が発生する機会が増えるので、レスポンスが悪くなるという解答をしましたが、正解はそうではなく、「電源断などで設備との通信ができない場合の稼働情報が古くなる」とのことでした。理由としては確かに納得できるものです。
設問3(2)は、イーサネットフレームのデータ部分とあったので、フレームの末端のチェックサム部分を解答してしまいました。IPヘッダとUDPヘッダは、イーサネットフレームの中ではデータ部分に格納されるものですね。
設問4(3)のイは、毎秒トランザクション30件×通信アダプタの稼働率0.8=24と解答してしまいました。コネクションの保持時間を計算に入れる必要があるので、正しくは、毎秒トランザクション30件×コネクションの保持時間3秒×通信アダプタの稼働率0.8=72になりますね。
設問4(5)は、HTTP1.1にkeepaliveの機能があることは知っていましたが、この設問では、クローズ処理について聞かれています。しかも、「クローズ処理オプション」と書いてあるので、専門知識がないと解答ができないように思わされます。解説を読めば、コネクション数を減らすために後続がなければ切断するという、やや当たり前の内容になっていますが、この解答をすんなり導き出せた人はいるのでしょうか?
設問4(6)は、パイプラインを有効に使うために、URLをまとめなければならないというところまではわかりましたが、通信アダプタにFQDNを付与するという点までは思い至りませんでした。難しいですね。
・IPsecの送信側では、認証データを含むAHヘッダを付与する。認証データは、元のパケットを元に計算した値となる。受信側では、受信したパケットから認証データを再計算する。それと、送られてきた認証データが一致すれば、正規の送信者であるという認証が行なえ、同時に改ざんがないことも確認できる。
・IPsecの通信は、ESPプロトコルによる暗号化通信の前に、IKEプロコトルを使って鍵計算を行う。IKEはフェーズ1とフェーズ2に分かれ、フェーズ1では、ISAKMP SAと呼ばれる制御用のセッションを確立する。このIKE(ISAKMP)で使うポート番号が500番である。
・ESPヘッダにはポート番号が存在しない。
平成27年の午後2問2は2度目で7割強の正答率です。VXLANは頻出なので、ほぼ正答できていましたが、他の部分はまだまだ理解が不十分なようです。設問1のeは、「マルチキャストIPアドレスを基に生成」とあったので、「マルチキャストグループ」と解答してしまいました。「フレーム」とあるので、データリンク層のことを聞かれていると気づくべきでした。
設問2(1)は、ネットワーク構成図に他の顧客宅のCPEが書いてあったので、「CPEで使用しているIPアドレスの重複」を書いてしまいました。よく考えれば、CPEのアドレスを割り振るのはISPなので重複はありえず、重複があるとすれば、ユーザー側で自由にネットワークアドレスを決められるPC〜CPEの間とISPが管理しているCPE〜CGNの間ということになりますね。
設問2(2)は、今回はシェアードアドレスが題材になっているということで、「グローバルIPアドレスとシェアードIPアドレスとアクセス日時」を解答しましたが、正解はもっとシンプルで、「送信元IPアドレスと送信元ポート番号とアクセス時刻」でした。
設問3(1)は、ほぼ解答できていましたが、設問中に「認証対象に着目して」とあるので、「IPヘッダの内容が書き換えられる」と明記すべきでした。減点対象となったかもしれません。
設問4(1)は、解説を読めば納得ですが、2回目でも、「マルチキャストMACアドレスが送信元アドレスになることはない」というアイデアは浮かんできませんでした。難しいです。
設問4(2)は、ビデオサーバではなくルータ2に着目して、IGMPの制御がないことから、「ビデオサーバから送られたパケットをそのまま中継するから」という解答にしました。正解に近い部分点はもらえるのではないかと思いますが、正解の「ビデオサーバは、マルチキャストパケットを送信する側だから」というのは、当たり前過ぎて書きにくい解答だと思います。
0 件のコメント:
コメントを投稿