ネットワークスペシャリスト - SE娘の剣 -

左門至峰によるネットワークスペシャリストの試験対策サイトです。勉強方法、合格体験談、合格のコツ、過去問解説、基礎知識などの紹介します。

トップ > 9.1 ネットワーク研修およびセミナー > ネットワークハンズオン研修

ネットワークハンズオン研修

9.1 ネットワーク研修およびセミナー

1.ネットワークハンズオン研修

Network Challenge ~実機を使ったネットワークの構築および学習のチャレンジ~ の募集を開始しました。
ネスペ塾が終了後、約2時間半という短時間ですが、実機に触れながら課題にチャレンジしていただきます。
https://nespe.connpass.com/event/136812/

ネットワークの基礎知識の深堀、実機操作によるネットワークの本質の理解、ネスペ試験合格するためにご活用ください。
時間が限られていますので、時間が許す限りになりますが、主な内容は以下です。

■スイッチ
・VLANの設定(ポートVLAN、タグVLAN)
・上記の2つのパケットの違いの確認
・ミラーポートの設定
・DHCPサーバの設定、DHCPのパケットの確認
・MACアドレステーブルの確認
・STPの設定、状態確認
・STPの切り替わり時間の測定
・リンクアグリゲーションの設定、状態確認
・リンクアグリゲーションの切り替わり時間の測定   など

■ルータ
・IFの設定
・NATの設定、NATテーブルの確認
・スタティックルート
・RIPの設定
・RIPの切り替わり時間の測定
・OSPFの設定、DR/BDRの確認
・OSPFの切り替わり時間の測定
・COSTの設定
・VRRPの設定
・MTUの確認     など

nw

2.Network Challenge 自宅課題

以下、実際にパソコンを操作して確認をお願いします。

①NIC:自分のNICのDupulexとSpeedが何に設定されているかを確認してください。
また、選択できるDupulexには何があるか、Speedには何があるか、答えてください。
②自分のPCのMACアドレスを確認して記載してください。また、メーカ名は? MACアドレスは何ビット? また、何バイト?
③Wiresharkをインストールしてください。
④パケットキャプチャができるように、プロミスキャスモードをONにしてください。
 →本当にできたかを確認するため、画面にはなんと記載されていましたか?「○○においてプロミスキャスモードを有効にする」 「○○」に当てはまる字句を答えよ。
⑤8.8.8.8にPingを打ちましょう。正常に応答がありましたか?
⑥上記のping結果で、TTLの値はいくつでしたか?また、これは何を示していますか?
⑦Wireshakで、イーサネットフレームの生データを見てください。16進数表記の最初の48ビットにはなんと書かれていますか?
⑧それは何を表していますか?
⑨先ほどのPing送信の場合、イーサネットヘッダのTYPEには何がセットされますか? そして、実際にどうなっているか、パケットで確認してください。
⑩0xはどういう意味ですか?
⑪先ほどのPing送信の場合、IPヘッダのプロトコル番号は何番と書かれますか?そして、実際にどうなっているか、パケットで確認してください。
⑫先ほどのPing送信の場合、宛先IPアドレスは16進数表記で何と書かれますか?そして、実際にどうなっているか、パケットで確認してください。
⑬先ほどのPing送信の場合、PCからサーバへの通信と、その応答における、TYPEとCODEをそれぞれ記載してください。
⑭PCのARPテーブルを削除してください。 →コマンドを記載してください。
⑮ping8.8.8.8を打ちましょう。Arpが流れたと思いますが、ARPパケットでは、何のIPのMACアドレスを解決していますか?
⑯PCのARPテーブルを確認してください。確認したコマンドは何ですか?
⑰ARPテーブルに記載があるエントリを3つ以上記載し、それぞれ何かを説明してください。
⑱解決したMACアドレスは何ですか? →ヒント:遠いサーバの宛先MACアドレスは分からないかもしれない
⑲ARP要求パケットの宛先MACアドレスを答えてください。
⑳上記の宛先に送るフレームを、なんといいますか? 

3.スイッチ課題

(0)Cisco機器へのログインの実施(コンソール、Telnet)
  実際に設定してみよう - ネットワークスペシャリスト - SE娘の剣 -
(2)スイッチ演習1  
①自分のIPアドレスを192.168.1.x/24に設定してください。※xの部分は指示に従ってください。11~22の間のどれか
②LANケーブルをスイッチに接続し、隣の人のPCにPingを打ってください。正常に返ってきましたか?
③もし、正常に通信ができない場合、何が原因かを考えてください。 ヒント:PCのセキュリティ機能かも
④LANケーブルをクロスケーブルにした場合、何番と何番のピンアサインが違うか。(余裕があれば実物を見ること) ★必須ではないので、適宜飛ばしてください。
⑤皆さんのPCのLANポートのインターフェースはMDIかMDI-Xのどっちか?また、スイッチングハブは?
⑥クロス―ケーブルにして、スイッチングハブと接続することを考える。通信は正常に行えるか。行えるとすると、なんという機能が有効になっているからなのか
⑦Catalyst(またはCiscoルータ)にログインしましょう。(Consoleまたはtelnet、またはSSH接続)
⑧事前説明した基本設定を確認しましょう。Configを表示して、先ほどの設定が入っているかを確認しましょう。
⑨ネットワーク機器を接続しましょう。他のスイッチ2台と接続してください。
⑩ミラーポートを設定してください(port1をport7にミラー)。誰かの通信を盗聴してみましょう。
 パケットキャプチャのすすめ - ネットワークスペシャリスト - SE娘の剣 -
⑪上記で、実際に他の人のパケットを盗聴してください。
⑫SWにDHCPサーバの設定をしてください。→どんな設定ができるかを確認する
 実際に設定してみよう(DHCPサーバの設定)
⑬DHCPサーバからIPアドレスを取得してください。
⑭DHCPサーバのIPアドレスはなんですか? →ヒント)ipconfig/allを使いましょう
⑮DHCPサーバからIPアドレスを取得する4つのパケットをパケットキャプチャで確認し、何かを答えてください。※同じ端末に2回目以上の払い出しの場合、4つではなく簡略化されている場合があります。
⑯DHCPのパケットを見て、Lease Timeの値はいくつですか?また、それは何を示していますか?
⑰DHCPサーバ(今回はCiscoの機器)で、DHCPサーバによるIPアドレスの払出しの様子を確認してください。
 実際に設定してみよう(4.DHCPサーバの設定)
⑱ポートVLANを設定してください。Port1~3をVLAN10、Port4~6をVLAN20にします。
 ※Telnetなどで接続して設定している場合は、設定用のポートとして、VLANを割り当てないport8などにPCを接続しましょう。
 VLAN(1.ポートVLAN)
⑲同じVLAN間では、Pingの通信が可能であることを確認してください。(IPアドレスは、PCに固定で割当てください)
⑳違うVLAN間では、pingの通信ができないことを確認してください。

(2-2)スイッチ演習2
①スイッチのMACアドレステーブルを確認してください。
 スイッチ - ネットワークスペシャリスト - SE娘の剣 -
②MACアドレステーブルでは、何と何をの情報を管理していますか?
③ポートVLANを設定したフレームをWiresharkで確認しましょう。VLAN10という値はどこかに記載されていますか?
④他のスイッチと接続しましょう(ポート7)。そして、その間をタグVLANを設定し、VLAN10とVLAN20を通過させてください。
 VLAN - ネットワークスペシャリスト - SE娘の剣 -
⑤異なるスイッチ間で、同じVLANの場合、通信が正常にできることを確認してください。
⑥タグVLANが設定されたポートの通信をキャプチャし、フレームを確認しましょう。VLAN10という値はどこかに記載されていますか?フレームフォーマットはどうなっていますか?
 VLAN(3.VLANのフレーム)
⑦VLANは何ビットですか? また、VLAN番号はいくつまで設定できますか?実際にVLAN20000を作成して結果を確認しましょう。
⑧スイッチ(またはルータ)自身のMACアドレスを確認してください。sh interface vlan1 ←該当するIF(またはVLANを指定)
⑨ループを作りましょう。(SW2台でもループは可能)
⑩STPの状態を確認してください。
コマンドはsh spanning-tree (ルータの場合は show spanning-tree brief が見やすい)
 スパニングツリープロトコル(STP) - ネットワークスペシャリスト - SE娘の剣 -
⑪ルートブリッジはどれか
⑫どこがブロックされていますか? →スイッチの場合は、ランプも確認しましょう(色が違うはずです)
⑬STPの制御フレームを何というか。また、実際のパケットを確認すること→WiresharkではSTPでフィルタしましょう。RootIDの情報を確認すること。
⑭経路の切り替わりを確認しましょう。4つのステータスの変化を確認してください。
⑮ルートの切り替わり時間も計測しましょう。
⑯STPをオフにして、ループを作りましょう。(SW1台でもループは可能)
 スパニングツリープロトコル(STP) - ネットワークスペシャリスト - SE娘の剣 - 
⑰ランプが高速に点滅しているのを確認します。
⑱STPを元に戻す(つまり、有効化してください)
⑲リンクアグリゲーションを設定してください。
 リンクアグリゲーションとチーミング - ネットワークスペシャリスト - SE娘の剣 -
  ※Ciscoの下位ルータでは設定不可
⑳ランプはどうなりましたか?

(2-3)スイッチ演習3
①1本のケーブルを切断してください。切り替わり時間は何秒でしたか?
②2台のPCで、サブネットマスクを変えて通信をしましょう。通信できますか? できたのはなぜですか?
③どういう場合にできなくなりますか?
④スイッチの時刻を確認しましょう。
⑤NTPと同期をしてみましょう。
 各種プロトコル(3.Ciscoスイッチにおける、NTPによる時刻同期の設定)

4.FW課題

(4)ファイアウォール演習
①機器とPCをストレートケーブルで接続します。(ポートは1-7のポートのどれか)
②PCのIPアドレスが、192.168.1.0/24のセグメントで取得できているかを確認します。
 初期設定と初期化((3)NTTのフレッツ光でFortiGateを接続する。) 
③Fortigateにログインし、基本的な環境設定をしておきましょう。
 初期設定と初期化 - FortiGateの設計/設定ガイド 
※WiFiは無効にしておいた方がいい場合があります。
④WANを接続しよう。
(インターネットがWiFiしかない場合は以下)
 WiFi環境しかない状態で、有線LAN接続をさせる方法 ~中継器を使います。
インターネット接続は、以下のような環境になっています。
 初期設定と初期化 - FortiGateの設計/設定ガイド 
WANのインターフェースをDHCPに設定します。
 初期設定と初期化((2)初期の基本設定) 
⑤インターネットにアクセスできましたか? 
⑥8.8.8.8のPingは通りますか?
⑦既存のポリシーをみてみましょう。
 ファイアウォールポリシー((1)デフォルトのポリシー) 
⑧この2つのポリシーは何を意味していますか?
⑨DMZを作ってみましょう。DMZを含めて、FWに関する物理および論理構成図を描いてください。
⑩DMZにPCを接続します。DMZのPCが、FortiGateにPingが届くようにしましょう。
必要に応じて、以下を参照。
 ファイアウォールポリシー(1.ファイアウォールルールの設計) 
⑪LANのPCからDMZのPCにpingが届くようにしましょう。※ポリシーの設定が必要です。
⑫ポリシーの設定。LAN側からWAN側へのping通信を禁止してみましょう。※pingを拒否するにはどのプロトコルを拒否しますか?
 ファイアウォールポリシー(2.ポリシーの書き方) 
⑬8.8.8.8にpingを打ってみて、pingが通らなくなりましたか?
それでも通ってしまう場合、ポリシーの順序が悪いのかもしれません。
 ファイアウォールポリシー((2) ポリシーの順序)  
⑭セキュリティ機能を試してみましょう。AVの設定を有効にします。
 AVの設定 - FortiGateの設計/設定ガイド 
⑮eicarというテストウイルスファイルをダウンロードしてみよう。
 AVの設定((2)AV機能のテスト) 
 エラーが出てブロックされることを確認
⑯ログも「ログ&レポート」>「アンチウイルス」に表示されていることを確認
⑰SSLインスペクションの設定に入る前に、まずは、SSLのサイトが正常にアクセスできることを確認します。
⑱FortiGateでSSLフルインスペクションの設定をします。(deep-inspection)
 SSLフルインスペクション - FortiGateの設計/設定ガイド 
⑲HTTPSのサイトで、エラーが出ることを確認します。
⑳証明書をインストールする必要がありますが、何の証明書を入れればいいでしょうか?

(4-2)ファイアウォール演習
①証明書をPCのブラウザにインストールします。このとき、証明書はどこに配置しますか?
②HTTPSのサイトで、エラーが出ないことを確認します。
③証明書を削除するのと、FortiGateにて、SSLインスペクションを無効にしましょう。
④HAの設定をするので、HAの設計をしましょう。IFやIPアドレス、HAポートの設計など
 基本設定(動作試験) 
⑤HAの設定を2台のFGに設定しましょう。
⑥HAの状態を確認しましょう。プライオリティを設定していると思いますが、どちらがマスターになっていますか?
⑦HAを設定して、無事にインターネットに通信できることを確認します。
⑧HAを切り替えてみましょう。(マスターのWANを切断します)。HAのステータスはどうなりましたか?
⑨外部にPingを打ち続けて、HAの切り替わり時間を測定しましょう。pingは何回落ちましたか?
⑩VDOMの設定をしましょう。まずは、VDOMを設計します。
⑪VDOMの設定を実際に入れてみましょう。
DMZとWAN2ポートを使って、仮想FWを作成してください。
 各種の高度な設定(1.VDOMについて) 
⑫DMZとWAN2ポートでは、ICMPが拒否されるポリシーを作ってみましょう。
⑬ForigateでIPsec。構成図を描きましょう。
⑭2台のFWのIF設定をしましょう。
⑮ウィザードを使ってIPsecの設定をしてみましょう。
 インターネットVPN(IPsec) - FortiGateの設計/設定ガイド 
⑯VPNが張れたことを、IPsecモニタから状態確認をしましょう。
⑰拠点間でPingが送受信できることを確認しましょう。
⑱VPN>IPsecトンネルから、IPsecではどんな設定がされているかを確認しましょう。

5.ルータ課題

(0)Cisco機器へのログインの実施(コンソール、Telnet)
 実際に設定してみよう(1.Ciscoに接続してみよう)

(1)ルータ演習1
①3拠点を接続するネットワークを構成します。ネットワーク構成図とIPアドレスの設計をしてください。
②その構成図に、ルータのインターフェースの番号(FE1、など)を割り当ててください。(LAN側は、FE0-7を使ってください。この8つはスイッチとして動作させることができます。WANの1つめはGE0、2つ目はFE8を使いましょう)。
③ルータのLAN側とWAN側にIPアドレスを設定してください。(FE0-7はスイッチとして1つのグループです。vlan1にIPアドレスを割り当ててください)
 LANとイーサネット - ネットワークスペシャリスト - SE娘の剣 - 
④PCからルータのインターフェースにpingが疎通できることを確認してください。
⑤PCからルータ越えのPCにpingが通ることを確認してください。
⑥宛先NATの設定をしてください。
 NAT - ネットワークスペシャリスト - SE娘の剣 - 
⑦pingの疎通ができることを確認してください。
⑧パケットキャプチャをして、IPアドレスがルータの前後で変換されていることを確認してください。
⑨NATテーブルを確認しましょう。
⑩NATの設定を削除してください。
⑪対向となるルータとPCを接続しましょう。(まずはルータ1台)
⑫ルータのIFの設定をしてください。
⑬pingを順に送信し、ルータのLAN側、WAN側、対向ルータのWAN側、LAN側、対向のPCのどこまで届くかを確認してください。また、届かない場合の理由はなぜ?
⑭スタティックルートを書いて、対向ルータの先にあるセグメントのPCに疎通できるようにしましょう。
 ルーティング(5.スタティックルート)
⑮ルーティングテーブルを確認してください。
⑯pingの疎通ができることを確認してください。
⑰スタティックルートを削除し、元のように対向の拠点にPingが通らないことを確認してください。
⑱RIPで経路を書いてみましょう。
⑲ルーティングテーブルを確認してください。
⑳pingの疎通ができることを確認してください。

(2)ルータ演習2
①3拠点を接続し、3拠点で疎通ができることを確認しましょう。
②SWを挟んだ上で、メインの経路を抜線してみて、切り替わり時間を確認しましょう。
③OSPFでの設定をするので、一度、設定を初期化しましょう。これまでの設定を保存していなければ、再起動しても初期状態に戻るので、それでも構いません。
 OSPF((4)OSPFの設定) 
④OSPFの設計を図に書いてみましょう。エリア0をどこからどこまでにしますか?(エリアがルータ単位なのか、IF単位なのかを意識しましょう)
⑤OSPFの設定を入れてみましょう。(まずは2拠点)
⑥ルーティングテーブルを確認してください。
⑦pingの疎通ができることを確認してください。
⑧3拠点を接続し、3拠点で疎通ができることを確認しましょう。
⑨DRが何かを確認してください。
 OSPF(3.DRとBRR) 
⑩Priorityを変えて、DRが変化するかを確認しましょう。
⑪もし、DRが変化しなかった場合、どうしたらDRが変わりますか?
⑫SWを挟んだ上で、メインの経路を抜染してみて、切り替わり時間を確認しましょう。
⑬コストを指定して、Costが変化したことを確認しましょう。
⑭ルーティンブテーブルも確認しましょう。
⑮VRRPを設定するためのネットワーク構成を設計しましょう。(図に書いてください)
 VRRP - ネットワークスペシャリスト - SE娘の剣 - 
⑯VRRPを設定しましょう。
⑰VRRPの状態を確認しましょう(Cisco上でコマンドで確認)
⑱PCのデフォルトゲートウェイはどのIPに設定しますか?
⑲PCのARPテーブルをみてみましょう。何のMACアドレスが見えますか?
⑳ミラーポートを設定するなどして、VRRP広告のメッセージをみてみましょう。何が含まれていますか?

(3)ルータ演習3
①PCのMTUサイズを確認しましょう
 LANとイーサネット(8.MTUとMSS) 
②ルータのMTUを変える
 LANとイーサネット((4)MTUとMSSを実際にみてみよう) 
③MTUより大きいサイズのパケットをDFビットをつけて送信する
④Pingを打つ。TracerouteしたときのTTLとEchoのリクエストの何番かをみましょう。

6.セキュリティ課題

情報処理安全確保支援士試験を意識した内容です。

セキュリティだけではなく、ネットワークやDNS、Webサーバなどの基本的な実機操作をすることで、理解が深まると思います。
以下は想定
・FortiGateの設定
 ・FortiGateでポリシーを確認する
 ・ポリシーを作る
 ・IPSを設定してみる
 ・SSLフルインスペクションの設定
 ・証明書をPCに入れる
 ・同時に、証明書の中身を確認する
 
・DNSサーバの設定
 ※AWSのアカウントをお渡ししますので、そちらで設定していただく
 ・DNSの設定 Aレコードの設定
 ・PCからnslookupでDNSをひいてみよう
 
・Webサーバの構築
 ・AWSにWebサーバを構築する。
 ・PCからアクセス。Wiresharkでパケットキャプチャ。HTTPリクエストとレスポンスを見る。HTTPのヘッダ、ボディなどもみる
 ・Webサーバにアクセスして、サーバのアクセスログをみてみる。 
 
・Proxyサーバをたてる
 ・PCの設定をProxyサーバに向ける
 ・Proxyサーバログを見る
 ・ログフォーマットを変えてみようか。
 
・セキュアプログラミング
 ・SQLインジェクションで攻撃されるサイトを作ってみる
 ・バッファオーバフローを体験してみる。

7.サーバ課題 ※準備中

(1)AWSにログイン
・AWSでサーバを作る→AWSの仕組み、手順の確認。SSHのキーペアを作成。インスタンスを作成する。グローバルIPアドレス(IPv4 パブリック IP)を確認する。
・インバウンドルールの作成で、サービスを利用する80や53、25などを開ける
・上記のIPアドレスに対してSSHでアクセスする。
ユーザ名は ec2-user 、パスワードの代わりに先ほどの秘密鍵を選択します。
 AWSのEC2上でサーバを作成する
・ログインできたことの確認
・管理者になる。sudo -i

(2)Webサーバの起動
 Webサーバ(Apache)
①yum でインストールする
②サービスを開始する
③サービスが起動したか状態確認
④Webサーバを見てみよう。

(2)DNS
みなさん、DNSの管理者になりましょう。好きなダブドメインを払い出します。
自分でDNSサーバを構築し、インターネットに自分のサブドメインでサーバを公開しましょう。

①サブドメインのサーバを管理する。まずは構成図を書き、どのようにゾーン情報を管理するか、イメージをつかみましょう
②nslookupで各社(たとえばgoogle.com)のメールサーバ、ネームサーバ、を確認しよう

少し問題

Q1. ネームサーバは、どのサーバが最優先?
Q2. 優先度(prefernce)をどちらも10にしたらどうなる?

(3)メールサーバ
・自社ドメインでメールを送受信できるようにしよう。
・その際、SMTPのシーケンスを確認してもらったり
・エンベロープなどを見る。(メールサーバを立てなくても見えるので、場合によっては各自で体験)
・簡易に実施する場合は、telnetによるSMTPコマンドでも