ネスぺノート

ノートというよりアウトプットメモ。
ネットワークスペシャリスト試験合格前に書いているので半信半疑ぐらいで読んでいただくのが吉。

2024年7月4日追記:無事2回目の受験で合格しました。免除、68、75、76でした。ホッ

ページ内リンク

VRRP

マスタルータからのアドバタイズメントパケットを受信しなくなったらマスタがダウンしたとみなし入れ替わる。
逆に「受信できるなら切り替わらない」のでトラッキング設定などで一本がリンクダウンしたらもう一方も優先度を下げ、マスタを切り替える場合もある。(令和4年午後2-1はトラフィック分散の都合。)

令和元年午後1-1アドバタイズメントパケットの通り道を答える設問 > カ は独立したIPセグメントなので除外される。
(キ)と(ク)でVRRPを組んでいるのでここは「通る」で確定。
(ケ)はL2SW間の回線なので、(キ)や(ク)と同一セグメント。よって(キ、ク、ケ)。
令和3年午後2-1のようにトランクポートを設定している描写があれば(カ)もVRRPアドバタイズメントパケットが通ったかもしれない。多分。

VRRPアドバタイズメントパケット(マルチキャスト)にはVRIDも含まれるので、VLANは見分けられる。
VRRPはVLAN単位で構成されアドバタイズパケットも該当のVLAN内で通信される。
他、単語としてVRID、プリエンプト、プリエンプトディレイ、プライオリティ値 など

マルチキャスト

マルチキャストMACアドレスの先頭は 01:00:5E。
L2SW > 設定なしの状態だとブロードキャストと同様にフラッディング。
ルータ > 設定なしの状態だとブロードキャストと同様に転送されない。

PIM > L3機器間でマルチキャストルーティングをするためのプロトコル。
IGMP > レシーバを管理するためのプロトコル。

PC > L2SW > L3SWまでがIGMP。L3SW同士はPIM

PIM-SM(スパースモード,プル型)
IF単位で設定。グループアドレスでしか判断できず、ソース指定ができないため、不要なソースからのデータも受け取ってしまう。
RP(ランデブーポイント。サーバから近い方が良い。),BSR(ランデブーポイントのIPアドレスを通達するルータ)
BSRからRPのアドレスを受信したルータはIGMPjoinを受けると、PIMでRPに向かって配信を要求する。
PIMHello(マルチキャストパケット) > PIMネイバーと隣接関係を結ぶ。

SSM > ソース指定ができるようになるが、IGMPv3必須。PIMも必要。SSMはラストホップルータ(レシーバに最も近いルータ)に設定。デバイス単位で設定。
IGMPスヌーピング > L2SWがIGMPを傍受して必要なIFにだけデータを流す。フラッディングしなくなる。

令和5年午後1-2 > IGMPv2はソース指定での参加要求ができないためソース別に分けたいなら、ソース毎に個別のマルチキャストグループアドレスを用意する必要があった。IGMPv3だとソース指定できるのでグループアドレスは全てのIFで同一でOKになりアドレス設計が楽になる。

STP

IEEE802.1Dループ防止、冗長化。収束後のBPDUはルートポートは受信だけ。非指定ポートもBPDUの受信だけはしている。
MaxAgeタイマーの秒数を経過してもルートブリッジからのBPDUを受信しない場合、障害発生とみなしSTP の再構築を開始する。
令和3年午後2-1のパスコストを0にしたBPDU > ルートブリッジであることを示している。
切り替えが遅く、別試験の過去問でも「遅いからダメ」的なことを言われてた(確か)。
またお前かポジションの気の毒なヒト。
誤接続時のループ対策にもなるSTPさん。

他、単語としてルートガード、BPDUガード、portfast。試験には出ないかもしれない。

RSTP,MSTP,TRILL

RSTPは初めから役割が決まっているので切り替わりが早い。非指定ポートがさらに2の役割に分かれる。

代替ポート > 接続先が指定ポートの場合代替ポート。ルートポートがダウンすると即座にルートポートになる。
バックアップポート > 対向する指定ポートがダウンすると即座に指定ポートになる。

BPDUもv2になっており、8ビット増。プロポーザル、アグリーメント、トポロジチェンジ。

MSTPはVLANをグループ分けして複数のSTPを構成できる。
インスタンス > VLANグループ、リージョン > リージョンが異なるとインスタンスの変更可。
TRILLは等コストの場合、OSPFっぽく経路分散もできる。

令和5年午後2-1メモいろいろ

新設ルータのRT13はBGPで経路を覚えるため、VRRPを先に動かしスタンバイになると経路が覚えられないままになる。
FW10→RT14のpingがダメな理由はこの時点でRT13は経路学習しておらずRT14まではpingを届けられない。
マルチホーム接続前と後でRT11のデフォルトルートのnexthop機器が変わる。ループが発生しないよう先にRT11をFW40へ向ける。

令和5年午後1-1メモいろいろ

GET,POSTなどはHttp/1.1。http/2は :method:POST。:method:GETなど。
1つのTCPコネクションで複数のストリームを転送できパイプラインのような順番に関する制約がなくなったがフロー制御が必要になった。ストリームID。
ストリームIDはクライアント発が奇数、サーバ初が偶数としてIDの衝突を避けている。
ALPN > TLSの拡張。クライアントが提案し、サーバが選択。TLSハンドシェイクのClient-Helloで提案。クライアントとサーバが通信するアプリケーション層プロトコルをネゴシエーションするための機能。
「利用可能なアプリケーションプロトコルのリストを送信する。」

h2の通信シーケンス > https
h2cの通信シーケンス > http(平文。クリアのC)

OpenFlow

ホップバイホップ方式のSDN。SDN仲間のVXLANはオーバレイ方式(カプセル化)。
OFSは起動するとOFCとの間でTCPコネクションを確立する。OFCとOFS間にOFチャネルが開設され、OFチャネルを経由してフローテーブルの更新や作成が行われる。

packet in(S > C) 管理テーブルにルールないけどどうする?
packet out(C > S) inを受けてのOFSへ指示
Flow Mod(C > S) 管理テーブル更新してー or この管理テーブル登録してー

管理テーブル > MF(パケット識別子)、条件(IPアドレスやMACアドレスなど)、Action(MFのパケットの処理内容)
※OFSが持っている管理テーブルにMFがあればpacket in は出さない。

VXLAN

ネットワーク越しにLANを実現(L2overL3のオーバレイネットワークを実現)すること。
あたかも同一のL2セグメントにいるかのように通信ができる。…あたかもしれない。

オーバレイネットワーク > 物理的なネットワークの「上に」構成された仮想的なネットワーク。
アンダーレイネットワーク > VXLANによって構築された仮想ネットワーク(実際のネットワーク≈アンダーの認識でOK?)

VXLANはUDPでカプセル化する。遠隔地のVTEPを見つけるときにマルチキャストを利用する。

無線LAN

トライバンド > クライアント側ではなくAP側の機能。2.4 + W52/W53 + W56で3つ。3つあっても1台のPCが接続できる周波数帯は1つだけ。車線の数が3つになって渋滞が減り、通信が安定する。トライに6GHzが加わるとクワッドバンド。IEEE802.11ax(Wi-Fi6e)
別に速度が速くなったり帯域が拡大するわけではない。らしい。

チャネルボンディング > チャネル(帯域幅)をまとめる。
MIMO > アンテナを束ねる。

W52 > レーダーと干渉しない
W53 > レーダーと干渉するかも
W56 > レーダーと干渉するかも

DFS > レーダーを検知すると別のチャネルに遷移する。遷移した先がW53やW56だとレーダーと干渉しないか1分待機して様子見する。W52だとすぐに通信開始できる。

WPA2ハンドオーバ
事前認証 > 他のAP経由で事前に認証。
PMKキャッシュ > 認証キーをAPが保持、PMKの再生成不要。

WLCの動作モード
管理機能だけをWLCが行う > 利点は認証後に WLC に障害が発生してもクライアント間の通信が継続できる。
実際の通信もWLCが行う > 利点は通信に関するポリシー(ACLなど)も一元管理ができる。悪い点は帯域の圧迫、WLCに高負荷。WLCがボトルネックになり得る。

シーケンス > 周波数スキャン > ESSIDの一致を確認 > 認証 > アソシエーション(連携)
ビーコン(ビーコン内のESSID)が得られないときはプローブ要求、プローブ応答(アクティブスキャン)
SSIDステルス > ビーコンにSSIDを含めない。(通常は平文でESSIDがビーコンに含まれている。)

※多分試験には出ないBluetooth(個人的に気になったので調べました。)
ピコネット > Bluetooth端末間で一時的(アドホック)に形成される小規模なネットワーク。マスタ(1台)+スレーブ(7台)=計8台まで。
マスタは別のピコネットにスレーブとして参加できる。マスタはID(3bit)を持っており、IDを使ってセキュリティを確保する。通信の主導権は常にマスタが持つ。マ「スレーブ1番送信せよ」ス1「おっすマスター」
ペアリング > マスタ-スレーブ間でリンクキー(乱数)の交換。リンクキーから生成されたセッションキーで暗号化。リンクキーの交換は公開鍵暗号で暗号化。

プロキシ

プロキシ自動設定ファイル(PAC) > セットアップスクリプトを指定。
プロキシサーバを複数設定でき先に記述されたプロキシサーバが優先される。デフォルトルートをFWに指定していて、特定のドメイン以外へのhttpsだけはプロキシをネクストホップに指定する場合はPACが適している。

プロキシ例外リスト(プロキシ除外リスト) > 令和4年はこっち。「業務サーバと営業支援サーバのFQDNをプロキシ除外リストに登録する。」社内Webサーバへのアクセス時など、あえてプロキシを経由させたくない場合はこっち。

プロキシでhttpsを復号するなら「プロキシサーバのルート証明書」。
CONNECTメソッド > CONNECT www.xxx.co.jp:443 http/1.1 のような形なので、ホスト名(FQDN)とポートの指定のみ。
復号機能がないとRequestURIをプロキシサーバは受け取れない。
必要のないポートのCONNECTを拒否する設定を入れるとセキュリティが高くなる。平成30年午後1-1「https以外のポートのCONNECTを拒否する。」

制御いろいろ

シェーピング > 帯域を超過したときに帯域制御装置がパケットに対して行う制御。送信タイミングを調整する。超過したパケットをバッファに一時的に蓄積し、帯域の使用率が低下したときにパケットを送信する。
フロー制御 > 速度やデータの量を制御。TCPだとウィンドウサイズ(L2ヘッダなども含んでいる)がフロー制御を担当。バッファがいっぱいになる前にデータの送信を抑制する。バッファも超えると廃棄。
※ルータなどではIPパケットの転送待ち(バッファ)がよく発生するのでWeb会議の音声パケットなどは優先制御で先に(優先的に)通す。
順序制御 > TCPだとシーケンス番号が担当。正しい順序で再構築するため。
RTCP > UDP。RTPの順序制御やQoSの保証を担当。ポートはRTPが偶数、RTCPが奇数。
PMTUD > 最大MTUサイズを特定する。Packet too Bigメッセージでフラグメント回避。
※MTU > ルータが調整。 MSS > PCが3wayハンドシェイク時に調整。UDPはハンドシェイクが無いのでMTUで調整のみ。
PBR > ポリシーベースの経路制御。ルーティングテーブルに基づかない。プロトコルやソースなどの条件で経路選択させる。

LACP

IEEE802.3ad。対向のSW間でリンクアグリゲーションのネゴシエーションを自動で行う。LACPによるアグリゲーションに参加できるのは同じ通信規格、速度のポート同士。全二重対応が必要。
VLANを使用している場合は同じVLANに参加していることも必要。KEEPALIVEを交換して動的に構成変更するため、リンクダウンを伴わない通信障害が発生しても対応できる。(令和元年午後1-1)
令和元年午後1-1については、メディアコンバータがLPT(リンクパススルー)に対応していればLACPなしの静的リンクアグリゲーションでもOkだった。(多分)

サーバでやるならチーミングモードをLACPに設定する。
チーミング > フォールトトレランス(active-standby)、ロードバランシング(負荷分散)、リンクアグリゲーション(縮退運用、帯域拡大)。

BGP

BGP > メトリックはパスアトリビュートのMED(最も小さい,eBGPピア用)やAS-PATH(最も短い),LOCAL-PREF(最も大きい,iBGPピア用)で経路を決定。通常はAS-PATHが優先。

ネイバーテーブル
BGPテーブル > ピアから貰った経路情報を登録するテーブル。同じネットワークへの経路が複数ある場合、パスアトリビュートにより1つだけ選ぶ。
ルーティングテーブル 3つは別のテーブル
BGPテーブルに経路を載せる条件 > ネクストホップに到達性がある。別サブネットなどで到達できない経路はBGPテーブルに載らない。

BGPメッセージ > KEEPALIVE,UPDATE,OPEN,NOTIFICATION
一定時間内にKEEPALIVEを受信しない場合ピアがダウンとみなし「BGP接続を切断し、経路情報をクリアする(令和5年午後2-1)」
NOTIFICATIONメッセージを受け取ってもピアがダウンとみなし即切断。

next-hop-self(令和5年午後2-1) > eBGPとiBGPの境界ではiBGPルータでもeBGPのように自分自身をnexthopにしてから配信する。

フラップ > アップダウンを繰り返す。フラップが発生するとルータに負荷がかかる。

シードメトリック > 手動設定
アドミニストレイティブディスタンス > 小さい方が優先。スタティック(AD値1)より直接接続の方が優先される(AD値0)。
ルーティングテーブルの優先順は ロンゲストマッチ > AD値 > メトリック

OSPF

OPSF > メトリックとしてコスト(帯域幅が大きいほどコストは小さい。小さい方が優先)を用いる。
30分毎にLSAを生成しルーティングテーブルを更新する。
LSUの中のLSAのデータベースがLSDB
DBD > LSAのリスト。アジャセンシーとDBDを交換して不足しているLSAを知る。
LSRパケット > 足りないLSAをアジャセンシーにリクエスト。相手からLSUでLSAをもらう。
LSR> LSUの流れでLSDBがアジャセンシーと同じ内容となり、同期が完了する。
Helloパケット > ルータプライオリティ8bit(プライオリティ値が0ならDR/BDRにはならない。平成30年午後1-3),ルータID(一意のためプライオリティ値が同一でもルータIDでDR/BDRが決まる。)
障害が発生するとトリガードアップデートによって最新のLSAを含んだLSUをネットワーク上すべてのルータにアドバタイズ(広告)する。
ネイバー > ルート情報は交換していない。
アジャセンシー > ルート情報も交換している。安謝戦士って誤変換されて面白かった。

エリア0 = バックボーンエリア
スタブエリア > エリア内に流れるLSAを集約しているエリア。出口となるABRは一つだけなので細かいLSAは不要。サマリーLSA,ASBRサマリーLSA,AS外部LSAは集約(デフォルトルート)してしまう。ASBRを配置できないエリア。バーチャルリンクのトランジットエリアにもできないエリア。
ABR > エリア間を接続するルータ
ASBR > RIPなどほかのルーティングプロトコルと接続するルータ(別プロトコルからの経路情報を再配布するルータ)
バックボーンルータ > エリア0に接続するIFがあるルータ

224.0.0.5リンクローカルマルチキャストあてにHelloパケットを送信し、同一サブネットのルータとネイバー関係を結ぶ。プライオリティ値に従ってDR,BDRを選出する。
DR/BDRはサブネット単位で1台ずつ。
DR/BDR が選出されたあと、各ルータはDR/BDRと隣接関係を結ぶため(アジャセンシー)224.0.0.6リンクローカルマルチキャストあてにLSU(リンクステートアップデート)を送信し、経路情報を伝える。
DRは224.0.0.5あてにLSUパケットを送信し、各ルータに経路情報を伝えルーティングテーブルに反映させる。

パッシブインタフェース > ルーティング情報を受信はするが送信はしないIF。接続先がPCやサーバなど。
IPv6に対応するならOSPFv3
ECMP > 基本的に手動設定は不要で等コストに設定すると自動で経路分散する。OSPF以外でも使える。パケットモードとフローモード。フローモードの方が品質は安定する。

令和3年午後1-2いろいろ

FWや本社内のL3SWのルーティングテーブルを小さくするため、ルータで支社L3SWへの個別経路を集約した状態で経路を広告している。

ルータはFW及び本社内L3SWから集約経路あての「内向き」通信パケットについては受け取ってルーティングするべきだが、支社内L3SWから集約経路あての通信パケットはルーティングしなくていい。(してしまうとFWとルータのお互いがデフォルトルートに一致してしまい投げ合いする。)
よって、null0で集約経路あての「外向き」パケットは破棄する。(と、いうことだと思う。)
支社内でのルーティングは個別経路のロンゲストマッチで対応できるので、わざわざ集約経路を使わなくても良い。

バーチャルリンク設定はABR(エリア境界ルータ)で設定するのでL3SW1とルータ。
図で騙されそうだが、本文を読むとE社側のエリア0はL3SW1までなので境界ルータは解答の2つだけしかない。

OSPFのLSAタイプ

種類 ルータ エリア 説明
ルータLSA 全ルータ エリア内 自身の情報
ネットワークLSA DR エリア内 ネットワーク情報
サマリーLSA ABR エリア内 他エリアの経路情報
ASBRサマリーLSA ABR エリア内 ASBRまでの経路情報
AS外部LSA ASBR 全エリア 外部接続の経路情報

VLAN

ブロードキャストドメインを分割する。
同じL2SWに複数のVLANが設定されている場合、L3機器でルーティングを行わないと直接通信できない > セキュリティ対策になる。

アクセスポート
トランクポート,トランクリンク(IEEE802.1Q 32bitのタグ追加,VLANIDは内12bit イーサネットフレーム1522byte)

ダイナミックVLAN > MACベースVLAN,サブネットベースVLAN,認証VLAN,タグVLAN

PKI(公開鍵暗号基盤),証明書,署名

公開鍵証明書の中の公開鍵。
CA > RA(登録局),IA(発行局),VA(検証局,電子証明書の有効性(CRLにシリアルがあるか?の問い合わせに回答するVA))

OV証明書 > ドメインの所有権+法的実在性
EV証明書 > ドメインの所有権+法的実在性+物理的実在性

S/MIME証明書 > メール送信者が使用する公開鍵証明書。S/MIMEは暗号化ができる。ハイブリッド暗号化方式。共通鍵を公開鍵暗号方式で渡す。
公開鍵証明書 > 署名前証明書のハッシュ値を作成しCAの署名鍵で暗号化。X.509。
エンドエンティティ証明書 > サーバ証明書などがコレ。一般の公開鍵を証明。
ルート証明書 > エンドエンティティ証明書を発行したCAの公開鍵を上位のCAが証明。
CA証明書 > 証明機関自体を証明する証明書
ルート証明書 > 信頼できる認証機関によって署名された最上位の証明書。中間CAやエンドエンティティ証明書の信頼性を確保するため。

DKIM > 個人的にはS/MIMEと混ざる。こっちは送信元ドメイン認証。鍵ペアの更新が必要でSPFよりハードル上がる。更新の際は新旧両方の「セレクタ」を残すこと。ある程度経ってから旧セレクタを消す。TXTレコードへ公開鍵を設定。メールサーバ内に秘密鍵。秘密鍵で送信して送信し、受信者はDNSサーバのTXTレコードの公開鍵で復号する。改ざん検知もできる。

DNSSEC > 今度はDKIMと混ざりがち。DNSレコードの正当性を確認するためのDNSSEC。
RRSIGレコード,DNSKEYレコード,DS(DNSKEYのハッシュ値),KSK(秘密鍵),ZSK(秘密鍵)
①ゾーン内の各レコードを秘密鍵で署名し電子署名を作成。秘密鍵に対応する公開鍵を公開。
②DNSキャッシュサーバから問い合わせを受けた場合、権威DNSサーバ(RFC的にはコンテンツではなく権威らしい)は電子署名付きの応答を返す(RRSIGレコード)。
③受けとったDNSキャッシュサーバがこの応答を公開鍵で復号できればゾーン管理者が作成したものであり、改ざんもされていないレコード。

※親ゾーンの管理者に公開鍵(DNSKEY)のハッシュ値(DS)を渡し、親ゾーンはDSに対して親の秘密鍵で署名を公開する。
※親ゾーンのDSはTLDに登録され、TLDのDSは各キャッシュサーバに登録されている。信頼の連鎖。

CAAレコード > 令和5秋の支援士で出てた(はず)。偽の認証局から勝手に自ドメインの証明書が発行されないようにCAを指定する。

IPv6

プレフィックス+インタフェースID = 128bit
ブローキャスト廃止>マルチキャストで代用。
エニーキャスト追加(グループあて。グループの中で最も近いIFに到着したらストップ。)
スコープ > リンクローカル、ユニークローカル、グローバル

グローバルユニキャストアドレス > 2001::/16(先頭001)
グローバルルーティングプレフィックス(48bit ISPから割当)+サブネットID(16bit 組織で割当)+インタフェースID(64bit ホスト)
ユニークローカルアドレス > FC00::/7(FD00::/8)
リンクローカルアドレス > FE80::/64 リンクローカルにpingを打つ場合、IFの指定が必要。
ループバックアドレス > ::1
IPv4射影アドレス > ::FFFF:192.168.0.1(例)。先頭80bitがすべて0次の16bitが全て1残り32bitがIpv4アドレス。
※Ipv6端末がv4しかサポートしていない端末と通信時に使用。v6とv4 の共存。

EUI-64 > インタフェースIDを自動生成するためのフォーマット。48bitのMACアドレス中央に FFFE を追加し64bitに拡張後、先頭7bit目を反転(0なら1、1なら0へ)させてインタフェースID生成。

ICMPv6 > Protocol番号58,近隣探索(ルータ要請、ルータ広告、近隣要請、近隣広告)
ND (NeighborDiscovery) 
RS/RAメッセージ(マルチキャスト) > IPv6アドレスの自動設定,Ipv6プレフィックスの検出,パラメータ(MTUの値など)の検出,ルータの検出など。
NS/NAメッセージ(マルチキャスト) > アドレス解決(ARPの代わり),重複検出,到達不能検出など。

Redirectメッセージ(ユニキャスト) > 最適なNexthopを通知。
IPv6アドレスを生成した時点でマルチキャストグループに参加している。

DHCPv6 > なぜかデフォルトゲートウェイのアドレスは配布できない。プレフィックス、インタフェースID,DNSサーバは配布できる(多分)。
IPv6はICMPv6のRS/RAで設定するのが基本なため、DHCPv6サーバは無くてもいける。

DNSのAレコードは AAAA (32bitが4倍になったからAも4倍したで。ってことらしい。)
IPv6の逆引きアドレスは4ビットずつ逆に並べ、コロンを取りピリオドで区切り、.ip6.arpa を末尾につける。
…気になって調べたものの、ここまでは試験には出ないと思う。

デュアルスタック > 単一の機器にv4とv6の異なるプロトコルを共存させる仕組み。1つのIFにv4v6どちらも設定可能。
トランスレータ > 4>6, 6>4を実現するための技術。
トンネリング > v4ネットワークを経由してv6通信。v6パケットをv4パケットにカプセル化する。
GREトンネル(手動),6to4トンネル(自動),Teredoトンネル(自動、Teredoサーバと連携),ISATAPトンネル(自動)

SNMP

SYSLOGはイベントベース。SNMPは定期的に監視できる。
SNMPv1,v2cはコミュニティによる認証や暗号化はなし。v3ではユーザ認証、暗号化あり。
PDU > SNMPマネージャとエージェント間でやり取りするメッセージ。get要求(M > A),set要求(M > A),Trap(A > M)。
MIB > 管理情報データベース。OIDで識別。ツリー構成。
RMON > SNMPの拡張。MIBはある一点の情報を表示するがRMONは点を線で表示でき、トラフィック量、使用率などを管理できる。トラブルシューティング、エラーモニタリング目的。

IPsec

AH,ESP > AHとASPの認証はHMAC(メッセージ認証=改ざん検知の方の認証)。ESPはペイロードの暗号化ができる。(AESなど)
トランスポートモード,トンネルモード > トランスポートモードは元のIPヘッダにあるIPアドレスによってルーティングされるため、プライべートIPが宛先の場合WANに出れない。トランスポートモードでNAPTをかけるとヘッダー情報が変化してしまいパケットの整合性が取れず、TCPチェックサムでエラーになる(多分)
NAPTできないのは「TCP/UDPヘッダも暗号化されているから。」
NAPTできない対策はVPNパススルー機能やNATトラバーサル(ISAKMPメッセージで相手に通知。4500使うやつ)。

SPD > ルータにあるデータべース。IPアドレス、プロトコル、ポートなどの組(セレクタ)を見て、IPsecを適用(PROTECT)するか、せずにルーティングテーブルに従ってルーティングするか(BYPASS)決める。
SAD > SPDがPROTECTの場合SADを確認。SADに登録されたSAの値はSPI(32bit)。アルゴリズム、暗号化用の共通鍵の値、ライフタイムの値などが載っている。
SA > VPN装置間のコネクション(実際にはパラメータの組)。一方通行なため、上り用下り用で別のSA。SAを見分けるためのSPI。SPIはESPやAHのパケットに含まれる。
ルータに障害が起きた、2種のライフタイムがどちらも切れたなどの場合SAは消滅するので作り直しが必要。SAを作るためのIKE。鍵交換(DH)、暗号化方式、メッセージ認証方式、相手の認証。UDP500で動作。IKEでネゴシエーションした値がSADに載る。
IKEのトラフィックを保護するためのISAKMPSA(v2だとIKESA)(認証用のフェーズ1とIPSecSAを作るためのフェーズ2がある。),IPSecのトラフィックを保護するためのIPSecSA(v2 ChildSA)
モード(v1のみ) > メインモード(固定IP,IPアドレスを認証に使うので固定のみ)、アグレッシブモード(動的IPならこっち)。DH鍵交換のモード。認証は事前共有鍵方式と証明書の方式がある。

OAuth2.0,OpenID Connect

OAuth > 認可を行う。アクセストークンを使用してクライアントがリソースサーバーの資源を使用していいかを確認する。
※フローが数種類あるので注意。直接アクセストークンを返すタイプや認可コードと引き換えにアクセストークンを引き換えるタイプなどがある。

認可サーバ
クライアント
リソースオーナ
アクセストークン、認可コード

stateパラメータ > CSRF(クロスサイトリクエストフォージェリ)対策。クライアントが生成、検証する。(リソースオーナが変わっていないかを検証)攻撃者のアカウントを使わせる、乗っ取りというより「乗っ取らせ攻撃」対策。
PKCE > Authorization Codeフローで発生する、悪意あるアプリからの認可コードの横取りを防ぐ。認可コード要求時にクライアントが検証用の値を生成し認可サーバへ送信する。認可サーバは検証用の値を保管。アクセストークン要求時に検証用の値も一致するならアクセストークンを発行。検証用の値が一致しないならクライアントが入れ替わっている。君の名は…不正アプリ…

OpenID Connect > IDトークンを使用し、認可と認証を行う。(アクセストークン+IDトークンを引き換える)
OpenIDプロバイダ > ID トークンの発行元
RP(Relying Party) > OpenIDでログインできるサイトやサービス。OAuthでいうとクライアント
ユーザ > ユーザ。OAuthでいうとリソースオーナ。
nonceパラメータ > OIDCのリプレイ攻撃対策。IDトークンを守る。

SAML

http 443でやる。
①SP > Idpに認証を要求するSAMLRequest(Idpのログイン画面URLと組み合わせてリダイレクト先URL)を生成。
②Idp > URL内のクエリ文字列からSAMLRequestを取得。認証成功ならSAMLアサーションとアサーションのデジタル署名(Idpの秘密鍵で署名)を含めたSAMLResponseを生成する。
③SP > SAMLResponse内のデジタル署名を検証し、Idpが署名したこと、データの改ざんがないことを確認する。

FIDO

FIDOUAF > 生体認証
FIDOU2F > パスワード認証+生体か所持の組み合わせ。U2F対応機が条件。
FIDO2 > デバイス側で生体認証し、ログイン先のサービスと公開鍵暗号を使った認証を行う(秘密鍵で暗号化した署名をサーバー側へ送り公開鍵で検証する)
デバイスに格納された秘密鍵は取り出されることがないのでフィッシング攻撃や中間者攻撃に強い。
WebAuthn > Webアプリ用のJavascriptAPI。認証器、ブラウザ、認証サーバの3つが必要。

DHCP,他ルーティングなど

プロキシARP > 異なるサブネットにいるホスト同士が直接通信する必要がある場合、代わりにARP応答する。
ルーティングテーブル > ネットワークアドレスで指定する。IPアドレスを直接書かないように。(令和3年午後2-2穴埋め)
フラグメント > IPヘッダのフラグフィールドのMFビットが1、またはフラグメントオフセットフィールドが0以外になっている。
フラグメントオフセットフィールド > 元のパケットの何バイト目からの部分かを示す。
大量の断片化されたパケットを受け取ると、再構成するための処理とメモリ(バッファ)が必要=リソースが大量に消費される=ping of death攻撃
DHCPスヌーピング > 正規サーバが払い出したIPアドレスとMACアドレスを覚えているので、固定IPアドレスを勝手に割り当てた不正な端末を拒否できる(MACアドレスが一致しないからフレームを破棄する)
DHCPリレーエージェント > リレーする機器がセット。giaddr(PCが収容されているサブネットを識別し,対応するDHCPのスコープからIPアドレスを割り当てるため 令和3年午後2-1)
yiaddrフィールド > クライアントに払い出すIPアドレスをセットする
ciaddrフィールド > クライアントが再リースを要求するときに、現在使用中のアドレスをセットする

参考書籍,YouTube,Webサイト

書籍
ネットワークスペシャリスト「専門知識+午後問題」の重点対策
3分間ネットワーク基礎講座
3分間ルーティング基礎講座
本物のネットワークスペシャリストになるための最も詳しい過去問解説シリーズ

YouTube
まさるの勉強部屋
NWW
ネスぺサロン

Webサイト
ネットワーク入門サイト
SEの道標
ネスぺイージス
ネットワークスペシャリスト – SE娘の剣 –
「分かりそう」で「分からない」でも「分かった」気になれるIT用語辞典
ネットワークスペシャリストドットコム