FCSS_SDW_AR-7.4日本語問題集には練習試験問題解答 [Q39-Q61]

FCSS_SDW_AR-7.4日本語問題集には練習試験問題解答

FCSS_SDW_AR-7.4日本語はFortinet Certified Solution Specialist実際の無料試験練習テスト

質問 # 39
最高品質の戦略を使用して SD-WAN ルールを設定し、事前定義されたヘルスチェック Default_FortiGuard を選択して、FortiGuard サーバーに対するリンクパフォーマンスをチェックしました。
品質基準として、Custom-profile-1 を選択しました。
FortiGate は、トラフィックを誘導するために使用するリンクを決定するために、どのような要素をどのような順序で使用しますか?

A. レイテンシ - ジッタ - パケット損失 - バイバンド幅 - メンバー構成順序
B. リンク品質指標 - メンバー構成順序 - リンクコストしきい値
C. SLA目標を満たすリンク - メンバー構成順序 - メンバーローカルコスト
D. レイテンシ - メンバー構成順序 - リンクコストしきい値

正解：C

解説：
最高品質戦略では、FortiGateはまず、選択されたパフォーマンスSLA（この場合はCustom-profile-1）で定義されたSLA目標を満たすリンクをチェックします。次に、FortiGateはメンバーの設定順序に基づいて優先順位を決定します。複数のリンクが依然として条件を満たしている場合は、最終的にメンバーのローカルコストを考慮して最適なパスを選択します。

質問 # 40
HUB IPsec_RecommendedテンプレートとBRANCH IPsec_Recommendedテンプレートを使用してオーバーレイトポロジを定義しました。次に、SD-WANテンプレートを使用してSD-WANメンバー、ルール、パフォーマンスSLAを定義しました。
デバイスに変更を適用し、FortiManager モニターメニューを使用して各 SD-WAN メンバーのステータスを示すグラフィカルビューを取得します。
このグラフィカルビューを取得する方法を最もよく説明している記述はどれですか。

A. VPN モニターマップビューを使用して、SLA 合格または不合格ステータスを含む、ブランチ、ハブ、およびトンネルステータスのマップビューを取得します。
B. SD-WAN モニターテンプレートビューを使用して、SLA 合格または不合格ステータスを含む、ブランチ、ハブ、およびトンネルステータスのマップビューを取得します。
C. SD-WAN モニターのアセットビューを使用して、各デバイスのステータスと各 SD-WAN メンバーの SLA ステータスを表示するドーナツビューとテーブルビューを取得します。
D. SD-WAN モニターのテーブルビューを使用して、SLA 合格または不合格ステータスを含む各 SD-WAN メンバーのステータスを表示するドーナツビューとテーブルビューを取得します。

正解：D

解説：
FortiManager の SD-WAN モニターのテーブルビューでは、ドーナツビジュアル化に加えて、各 SD-WAN メンバーのステータスと SLA 合格/不合格を示す詳細なテーブルが提供され、必要なメンバーごとのヘルスビューが提供されます。

質問 # 41
SD-WAN ルールを構成する際に、SLA ターゲットと SD-WAN ルールに関するどの 3 つの要素を考慮する必要がありますか? (3 つ選択してください。)

A. メンバーメトリックは、ルールが SLA ターゲットを使用する場合にのみ測定されます。
B. SD-WAN ルールを構成するときに、異なるパフォーマンス SLA から複数の SLA ターゲットを選択できます。
C. SLA ターゲットは、最低コスト (SLA) 戦略で構成された SD-WAN ルールによってのみ使用されます。
D. SD-WAN ルールは SLA ターゲットを使用して、優先メンバーが SLA 要件を満たしているかどうかを確認できます。
E. SD-WAN ルールを構成するときに、同じパフォーマンス SLA からの複数の SLA ターゲットを選択できます。

正解：B、C、D

解説：
SLA目標の使用は、特定のSD-WAN戦略に特有のものです。「最低コスト（SLA）」および「帯域幅最大化（SLA）」戦略は、設定されたSLA目標に基づいてルーティングを決定するよう明示的に設計されています。「最高品質」戦略ではパフォーマンス指標が使用されますが、必ずしもSLA目標を同様に必要としたり参照したりするわけではありません。一方、「手動」戦略では、パス選択に指標は一切使用されません。
これは、SLAターゲットを設定したSD-WANルールの中核機能です。レイテンシ、ジッター、パケットロスの特定のしきい値を設定したSLAターゲットを設定する目的は、アプリケーションにとって「許容可能な」パフォーマンスを定義することです。SD-WANルールはこれらのターゲットを使用して、フローをメンバー（インターフェース）に誘導する前に、メンバー（インターフェース）がこれらの要件を満たしているかどうかを確認します。これにより、優先パスが良好なユーザーエクスペリエンスを提供し続けることが保証されます。
FortiGateでは、単一のSD-WANルールで複数の異なるパフォーマンスSLAを参照できます。これは、単一のSD-WANルールで、それぞれ異なるパフォーマンス要件を持つ複数のアプリケーションのトラフィックを処理する必要がある複雑な導入において非常に重要です。例えば、単一のルールで、厳格なレイテンシ／ジッタ目標を設定したパフォーマンスSLAに基づいてVoIPトラフィックを誘導すると同時に、より緩やかな要件を設定した別のパフォーマンスSLAに基づいて一般的なWebトラフィックを処理するといったことが可能です。

質問 # 42
MSSP 管理者は、既存の SD-WAN トポロジで ADVPN を構成するように求められます。
FortiManagerは、専用のADOMで顧客デバイスを管理します。以前の管理者はSD-WANオーバーレイトポロジを使用していました。
このシナリオに当てはまる記述はどれですか? (2 つ選択してください。)

A. プライマリ-プライマリデュアルハブトポロジを含むあらゆるタイプのトポロジに対して、SD-WAN オーバーレイテンプレートで自動検出 VPN をアクティブ化できます。
B. 自動検出 VPN が有効になっている場合、FortiManager はハブ内の IPsec および BGP テンプレートを更新します。
C. オーバーレイテンプレートで自動検出 VPN を有効にした後、ADVPN 2.0 と ADVPN 1.0 のいずれかを選択する必要があります。
D. 単一ハブトポロジの場合にのみ、SD-WAN オーバーレイテンプレートで自動検出 VPN をアクティブ化できます。

正解：A、B

解説：
When you enable ADVPN (auto-discovery VPN) in the overlay template, FortiManager automatically updates both the IPsec and BGP templates on the hub so that shortcut tunnels can be established dynamically.
ADVPN can be activated in the SD-WAN overlay template for any supported topology, including dual-hub primary-primary, not just single hub.

質問 # 43
展示品を参照してください。

示された出力から、どのような 2 つの結論を導き出すことができますか? (2 つ選択してください。)

A. サブネット 10.22.0.0/24 宛ての UDP トラフィックはポリシールートに一致します。
B. サブネット 10.22.0.0/24 宛ての UDP トラフィックは、手動 SD-WAN ルールと一致します。
C. アプリケーションカテゴリを宛先として 1 つの SD-WAN ルールが定義されます。
D. 1 つの SD-WAN ルールによりトラフィックの負荷分散が可能になります。

正解：A、C

解説：
1 つの SD-WAN ルールが、アプリケーションカテゴリを宛先として定義されています。# 診断出力には、Microsoft.Portal、Operational.Technology、Social.Media などのアプリケーション制御の一致が表示され、SD-WAN ルールがアプリケーションカテゴリを宛先として使用していることがわかります。
サブネット 10.22.0.0/24 宛の UDP トラフィックがポリシールートと一致します。# 最初のエントリ (id=1) には、宛先 10.22.0.0/24 のプロトコル = 17 (UDP) が表示されており、このトラフィックが SD-WAN ルールではなくポリシールートによって処理されていることが確認されます。

質問 # 44
顧客が SD-WAN インフラストラクチャのインストールと管理を MSSP に委託する場合、MSSP は通常、管理を容易にし、高価なリソースを共有するために、ハブをインフラストラクチャ内に保持します。
MSSP が顧客の敷地内にハブをインストールするのはどのような状況ですか (2 つ選択してください)。

A. 管理者はブランチ間で大量のトラフィックが発生することを予想しています。
B. 顧客は大量の VoIP トラフィックを予想しています。
C. 顧客は集中型ブレイクアウトを備えた SIA を必要としています。
D. ブランチトラフィックの大部分は、企業のデータセンターに送信されます。

正解：A、D

質問 # 45
添付資料を参照してください。添付資料には、Branch IPsec 1とBranch_IPsec_2を定義する2つのIPsecテンプレートが示されています。各テンプレートはVPNトンネルを定義しています。管理者が2つ目のテンプレートをFortiGateデバイスに割り当てようとしたときにFortiManagerに表示されたエラーメッセージも示されています。問題の原因を最もよく表しているのはどれですか？

A. 各 FortiGate デバイスには、トンネルタイプが静的であるテンプレートを 1 つだけ割り当てることができます。
B. rootVDOM に設定されているトンネルの branch1_fgt 設定を確認する必要があります。
C. 両方のテンプレートで同じ送信インターフェイスを使用する必要があります。
D. 各 FortiGate デバイスに割り当てることができる IPsec テンプレートは 1 つだけです。

正解：D

質問 # 46
SD-WAN のコンテキストでは、SIA は何に相当しますか?

A. ソフトウェアインターネットアクセス
B. ローカルブレイクアウト
C. リモートブレイクアウト
D. セキュアインターネット認証

正解：C

解説：

質問 # 47
展示物を参照してください。

最初の図は、SD-WAN テンプレートからの SD-WAN ゾーン HUB1 と SD-WAN メンバーの構成を示しており、2 番目の図は、FortiGate デバイスで収集されたコマンド diagnose sys sdwan member の出力を示しています。
診断出力に表示されている内容を最もよく表す記述はどれですか?

A. 診断出力はデバイスbranch1_fgtで収集されました
B. 診断出力には、HUB1-VPN1 とすべての HUBx-VPNy メンバーがダウンしていることが示されています。
C. 診断出力はデバイス branch2_fgt で収集されました。
D. 診断出力は、図に示されている SD-WAN テンプレートで構成されたデバイスに対応していません。

正解：A

解説：
診断出力には、SD-WANメンバー4（HUB1-VPN1）、5（HUB1-VPN2）、7（HUB2-VPN1）、8（HUB2-VPN2）、9（HUB2-VPN3）がリストされています。メンバー6（HUB1-VPN3）は含まれていません。テンプレートによると、HUB1-VPN3はbranch2_fgtとbranch3_fgtにのみインストールされており、branch1_fgtにはインストールされていません。したがって、出力はbranch1_fgtからのものと考えられます。

質問 # 48
展示品を参照してください。

この図には、ハードウェアオフロードをサポートする FortiGate デバイス上のセッションの詳細と、関連するいくつかのインターフェイスのインデックス番号が表示されます。
展示物に示された情報に基づいて、どのような 2 つの結論を導き出すことができますか? (2 つ選択してください。)

A. 対称トラフィックの元の方向は、ポート 3 からポート 2 へ流れます。
B. デフォルトでは、FortiGate は対称フローと非対称フローをオフロードします。
C. 非対称トラフィックの応答方向はポート2からポート3に流れます。
D. 補助セッションはハードウェアにオフロードできます。

正解：A、C

解説：
セッションの詳細には、対称フローの元の方向がポート 3 # ポート 2 として表示されます。
非対称フローの応答方向は、ポート 2 # ポート 3 としてリストされます。

質問 # 49
FortiGate の VPN イベントログを示す図を参照してください。

展示に示された出力に基づいて、どの記述が正しいですか?

A. ADVPN ショートカットには IPsec トンネル統計ログメッセージはありません。
B. マスタートンネル T_INET_0 は ADVPN ショートカットを受け入れることができません。
C. VPN トンネル T_MPLS_0 はショートカットトンネルです。
D. マスタートンネル T_MPLS_0 から構築されたショートカットトンネルが 1 つあります。

正解：C

解説：
When reviewing VPN log messages, the field advpnsc will help you identify the shortcut VPN tunnels.
FortiGate will set advpnsc value 1 for any log messages related to shortcut tunnels; for any other tunnel, the advpnsc value is set to 0.

質問 # 50
図を参照してください。送信元LANデバイス10.0.1.133から発信され、会社のSMTPメールサーバー10.66.0.125宛てにFortiGateが受信したトラフィックについて、どのような結論を導き出せますか？

A. ForliGateはLANデバイス10.0.1.133からのトラフィックを会社のSMTPメールサーバーに誘導します。
ポート2経由の10.66.0.125。
B. FortiGateはLANデバイス10.0.1.133からのトラフィックを会社のSMTPメールサーバに誘導します。
SD-WAN メンバー ID 4 経由の 10.66.0.125。
C. FortiGate は、SD-WAN メンバー ID 1 または 2 を介して、LAN デバイス 10.0.1.133 からのトラフィックを SMTP メールサーバー 10.66.0.125 に誘導します。
D. FortiGateはLANデバイス10.0.1.133からのトラフィックを会社のSMTPメールサーバに誘導します。
10.66 0.125 ポート3経由。

正解：C

解説：
The policy-route output shows the matching SD-WAN service for destination 10.66.0.0/24 is vwl_service=4 (LAN-to-Corp2) with vwl_mbr_seq=1 2 and paths oif=3(port1) and oif=4(port2).
Therefore, traffic from 10.0.1.133 to 10.66.0.125 is steered via SD-WAN member ID 1 or 2.

質問 # 51
FortiGateは本番環境で稼働しています。WANリンクの使用を最適化し、冗長性を向上させるために、SD-WANを有効化して設定します。
この構成更新プロセスの一環として何を行う必要がありますか?

A. SD-WAN メンバーとして使用するインターフェースを無効にします。
B. ルーティング構成で SD-WAN メンバーとして使用されるインターフェイスへの参照を置き換えます。
C. ファイアウォールポリシーで SD-WAN メンバーとして使用されるインターフェイスへの参照を置き換えます。
D. SD-WAN ライセンスを購入してインストールし、FortiGate デバイスを再起動します。

正解：B

解説：
SD-WAN を有効にし、インターフェースを SD-WAN メンバーとして追加すると、それらのインターフェースはルーティングで直接参照されなくなります。ルーティング設定の参照（スタティックルート、ポリシールートなど）を SD-WAN ゾーンに置き換える必要があります。ただし、ファイアウォールポリシーは、個々のメンバーインターフェースを置き換えることなく、引き続き SD-WAN ゾーンを参照できます。

質問 # 52
展示品を参照してください。

管理者は、SD-WANオーバーレイテンプレートを使用して、ハブアンドスポーク型SD-WANトポロジ用のIPsecトンネル構成を準備しました。図は、1台のFortiGateデバイスに対するFortiManagerのインストールプレビューを示しています。
展示に基づいて、FortiGate デバイスに適用された構成を最もよく説明する記述はどれですか。

A. ハブへの動的 IPsec トンネルを確立するスポークデバイスです。ADVPN ショートカット要求を送信できます。
B. ハブへの動的IPsecトンネルを確立するスポークデバイスです。ローカルサブネットの範囲は
10.10.128.0/23 です。
C. ハブデバイスです。ADVPNショートカットオファーを送信できます。
D. ハブデバイスです。スポークデバイスを自動的に検出し、SD-WANトポロジに追加します。

正解：C

解説：
ドキュメントに記載されているように、FortiManager SD-WAN オーバーレイテンプレートのプレビューには次の内容が表示されます。
デバイスがハブとして動作している場合、この設定によりスポークへのADVPNショートカットオファーの送信が可能になります。つまり、ハブはスポーク間のオンデマンドの動的ショートカットトンネル作成を容易にし、初期検出後にブランチ間トラフィックでハブをバイパスすることで、ブランチ間通信のパフォーマンスを向上させることができます。このような役割はスケーラブルなADVPNトポロジにおいて非常に重要であり、ハブデバイスがオーバーレイを動的に最適化できるようにします。

質問 # 53
SD-WAN ルールのステータスと構成を示す展示を参照してください。

図に基づいて、測定されたレイテンシのどの変化が最初に HUB1-VPN3 を新しい優先メンバーにするでしょうか?

A. HUB1-VPN3の遅延が90msの場合
B. HUB1-VPN3の遅延が80ミリ秒の場合
C. HUB1-VPN3のレイテンシがHUB1-VPN1およびHUB1-VPN2よりも低い場合
D. HUB1-VPN1の遅延が200ミリ秒の場合

正解：D

解説：
このルールは優先モードで、HUB1-VPN1（シーケンス番号4）が最初の優先メンバー、HUB1-VPN2が2番目、HUB1-VPN3が3番目に設定されています。遅延自体が原因でHUB1-VPN3が優先メンバーになることはありません。ただし、より優先度の高いメンバーがSLAを満たさない場合、このルールが適用されます。HUB1-VPN1の遅延がSLAしきい値（ここでは遅延が200ミリ秒に達した場合をシミュレート）を超えると、FortiGateはHUB1-VPN1の使用を停止し、優先度リストの下位に移動します。このとき、HUB1-VPN3がアクティブパスになる可能性があります。

質問 # 54
FortiManager で利用可能なプロビジョニングテンプレートに当てはまる 3 つの特性はどれですか (3 つ選択してください)。

A. テンプレートグループには、システムテンプレートと SD-WAN テンプレートを含めることができます。
B. CLI テンプレートグループには、両方のタイプの CLI テンプレートを含めることができます。
C. CLI テンプレートは、CLI スクリプトまたは Perl スクリプトのタイプにすることができます。
D. 各テンプレートグループには、最大 3 つの IPsec トンネルテンプレートを含めることができます。
E. CLI テンプレートは上から下へ順番に適用されます

正解：A、B、E

解説：
The provisioning templates in FortiManager are designed for flexible, scalable configuration of large SD- WAN deployments. The official documentation explains:
"Template groups can consist of both system and SD-WAN templates, providing a way to apply consistent settings across multiple devices. CLI templates are evaluated and executed in order from top to bottom within the template group, which is crucial for managing dependencies. Furthermore, CLI template groups can contain both regular CLI templates and advanced (Perl-script-based) templates, allowing complex or conditional configuration logic." This modular design streamlines large deployments by separating system, SD-WAN, and CLI logic into reusable building blocks.
References:
[FCSS_SDW_AR-7.4 1-0.docx Q17]
FortiManager Administration Guide 7.4, "Template Groups and CLI Template Processing"

質問 # 55
図を参照してください。管理者は、ブランチのFortiGateとデータセンター内のサーバー間のトラフィックを分析し、図に示す動作を確認しました。FGT1の背後にあるLANクライアントがDC-1の背後にあるサーバーへのセッションを確立すると、DC-1では応答トラフィックがT2経由でルーティングされていることがわかります。これは、対応するSD-WANルールでT1が優先メンバーとして指定されているにもかかわらずです。
応答トラフィックをパフォーマンスが最も高いメンバー経由でルーティングするように DC-1 に指示するには、管理者はどうすればよいでしょうか。

A. config system global で snat-route-change を有効にします。
B. config system sdwan で reply-session を有効にします。
C. 応答トラフィックの FortiGate ルート検索では、元の入力インターフェースを介したルートのみを考慮します。
D. 構成システム設定で補助セッションを有効にします。

正解：D

解説：
To ensure DC-1 responds via the best-performing SD-WAN member (T1) instead of defaulting to T2, enable auxiliary-sessionunder config system settings, so reply traffic is evaluated against current route policies-not bound to the ingress interface.

質問 # 56
FortiManager で利用可能なプロビジョニングテンプレートに当てはまる 3 つの特性はどれですか (3 つ選択してください)。

A. テンプレートグループには、システムテンプレートと SD-WAN テンプレートを含めることができます。
B. CLI テンプレートグループには、両方のタイプの CLI テンプレートを含めることができます。
C. CLI テンプレートは、CLI スクリプトまたは Perl スクリプトのタイプにすることができます。
D. 各テンプレートグループには、最大 3 つの IPsec トンネルテンプレートを含めることができます。
E. CLI テンプレートは上から下へ順番に適用されます

正解：A、B、E

質問 # 57
SD-WAN マルチリージョントポロジについて正しいのはどれですか?

A. 各リージョンには独自の SD-WAN トポロジがあります。
B. リージョンは地理的エリアに対応している必要があります。
C. ADVPN とは互換性がありません。
D. ハブとスポーク間のルーティングは BGP である必要があります。

正解：A

質問 # 58
図を参照してください。FortiGateはSD-WANメンバーが機能していないと検出した場合、どのようなアクションを実行しますか？

A. FortiGate は、すべての SD-WAN メンバーがダウンしていることを検出すると、ポート 5 をダウンさせます。
B. FortiGate は、ポート 5 がデッドであると検出した後、セカンダリデバイスにフェールオーバーします。
C. FortiGate は、すべての SD-WAN メンバーが停止していることを検出すると、poft5 を介してアラートメッセージを送信します。
D. FoftiGate は、すべての SD-WAN メンバーがダウンしていることを検出すると、ポート 5 をバウンスします。

正解：A

解説：

質問 # 59
展示品を参照してください。

ソース LAN デバイス 10.0.1.133 から発信され、会社の SMTP メールサーバー 10.66.0.125 宛てに FortiGate によって受信されたトラフィックについて、どのような結論を導き出せますか?

A. ForliGateはLANデバイス10.0.1.133からのトラフィックを会社のSMTPメールサーバーに誘導します。
ポート2経由の10.66.0.125。
B. FortiGateはLANデバイス10.0.1.133からのトラフィックを会社のSMTPメールサーバ10.66に誘導します。
ポート3経由で0.125。
C. FortiGateはLANデバイス10.0.1.133からのトラフィックを会社のSMTPメールサーバに誘導します。
SD-WAN メンバー ID 4 経由の 10.66.0.125。
D. FortiGate は、SD-WAN メンバー ID 1 または 2 を介して、LAN デバイス 10.0.1.133 からのトラフィックを SMTP メールサーバー 10.66.0.125 に誘導します。

正解：D

解説：
ポリシールートの出力を見ると、宛先10.66.0.0/24に一致するSD-WANサービスはvwl_service=4（LAN-to-Corp2）、vwl_mbr_seq=1 2、パスoif=3（port1）、oif=4（port2）であることが分かります。したがって、
10.0.1.133 から 10.66.0.125 は、SD-WAN メンバー ID 1 または 2 経由でステアリングされます。

質問 # 60
図を参照してください。FortiGateを使用してLANサブネット10.0.1.0/24から企業サーバー10.2.5.254へのトラフィックを誘導するSD-WANルールとインターフェースはどれですか？