network_hogeさんの助け合いフォーラム投稿一覧
単純な「設定」の面でいえば、間違ってはいないと思います。
ですが、問題の主旨である「192.168.10.100からのsnmpリクエスト受信を制御する」ことを考慮した際に、
「接続が存在しない許可ACLのみを追加して制御する」のは迂遠と思われます。
それであれば、「接続を許可しない機器の拒否ACLを追加する」または「接続先の機能を止める」
という選択の方が考え方は簡単です。
※ 以降は、設問がどこまで意図しているか不明な上での、個人的な見解です。
もしgt81056さんの設定を導入した場合、
①構成上では無関係の設定を追加することによる、機器管理上の煩雑化
(時期を開けて見返したときに「この設定、何のために入れた?」となりかねない)
②許可をしなくていい設定を追加したことによる、セキュリティ上の問題
(悪意ある人物がこの設定を知った際に、許可IPを使用して悪用をする可能性がある)
という点を考慮すると、適切な解答では無いと考えられます。
質問でいただいている2進数表記を把握されているという前提で解説です。
14 ⇒ 00001110 ⇒ 000011 / 10
18 ⇒ 00010010 ⇒ 000100 / 10
サブネット「/30」は、第4オクテットの左6ビットまでが「ホストが属するネットワーク部」を表します。
そう考えると、14と18で左6ビットが違っているのが分かります。
そして、ネットワークアドレスを割り出す場合は「ホスト部ビットがすべて0」となりますので、
000011 / 00 ⇒ 00001100 ⇒ 12
000100 / 00 ⇒ 00010000 ⇒ 16
となり、『サブネットが違う』ということになります。
実際に使用したことが無い内容ですが、手法はあるようです。
https://www.n-study.com/eigrp-detail/eigrp-unequal-cost-load-balance-2/
https://www.n-study.com/eigrp-detail/eigrp-unequal-cost-load-balance/
サブネットマスクは、
①2進数32ビットの表記で、左から1を詰めていきます。
②8ビットを1オクテットとしてドットで分割表記していきます。
③オクテット毎に10進数に変換して表記できます。
「/24」のサブネットであれば、
①ビット表記サブネット:
「11111111111111111111111100000000」
⇒2進数表記で左から、1のビットが24個
②ドット分割ビット表記サブネット:
「11111111.11111111.11111111.00000000」
⇒上の表記を、8ビットずつでドット区切り
③ドット分割+10進数変換表記サブネット
「255.255.255.0」
⇒ドット区切りの8ビット(オクテット)を、それぞれ10進数へ変換
(解説の言う、「サブネットマスク長はドット付き10進数表記でも表記できます」の部分)
2進⇔10進変換を含むサブネットマスクについては、
サブネット(ネットワーク分野)で調べてみた方が分かりやすいかもしれませんね。
問題そのものと直接関係ありませんが、「最強WEB問題集」上部の注意書きの
『実試験の難易度と同程度の、複数分野に跨がる知識を必要とする問題は「効果的な設計」の5分野に収録しています。』
という文、「効果的な設計」と旧区分の項目名になっています。
現行区分の「最強WEB問題集」では「Well-Architected Frameworkに基づいた設計」になると思われますので、
修正いただいた方がよいかと思います。
ご確認ください。
懸念の通り、実際にこの設定をした場合には「172.16.6.0 ~ 172.16.6.63」と「172.16.6.128 ~ 172.16.6.255」宛の
通信もルータBからルータAに転送されると思われます。
ですが、この設問で問われているのは、「選択肢の中で、図に対して一番適する経路集約を答える」ことなので、
それ以上のことは気にする必要はありませんよ。
補足:
ただし、ルータAに到達するとしても、該当のエンドポイントが無ければ「宛先未到達」を返されます。
とはいえ、実務でこんなことをすればセキュリティホール間違いなしですが…。
この問題は、上で何かしらのコマンドを投入した結果が「show int ~」で出力されているので、
下を読んで回答しないといけません。
「show int」の結果で
①Administrative modeが「static access」
⇒コマンドによる「access」モードの指定が実行されている
②Administrative Trunking Encapsulationが「dot1q」
⇒コマンドによる「dot1q」カプセル形式の指定が実行されている
また、「カプセル形式を指定した」から「必ずtrunk」で稼働させる必要があるわけではありません。
あくまでswitchport trunk encapsulationは「trunkモードにする場合のカプセル形式指定」なので、
実際のモードがどちらでも問題はありません。
grep '1234.'は
「『1234』と、その後に1文字」が含まれている文字列を検索させます。
そのため、前後に何文字入っていたとしても「『1234』と、その後に1文字」の条件に該当すれば
検索合致となります。
例にしていただいている『012349』の「0」の立ち位置と、回答『0123499』の末尾「9」は
文字列の構成としては同じ立ち位置です。
(config)#router ospf ● は、OSPFのプロセス作成と「プロセスID(● 部分)」を付与するコマンドです。
エリアIDとは関連性がなく、システム的に「1 ~ 65535」の範囲でプロセスIDを付与する決まりになっています。
※ プロセスIDの数値はルータ内管理における数値の為、に順序の制約はなく、いきなり「100」を付与することもできます。
シミュレータ(Cisco Packet Tracer)で以下構成を作って確認してみました。
【Router-A】
<10.1.1.1/30>(ospf area0)
|
|
<10.1.1.2/30>(ospf area0)
【Router-B】
<10.1.2.1/30>(ospf area0)
|
|
<10.1.2.2/30>(ospf area0)
【Router-C】
<10.1.3.1/30>(ospf area1)
|
|
<10.1.3.2/30>(ospf area1)
【Router-D】
この構成で、Router-Cに対してOSPFのプロセスIDを
「10.1.2.(router ospf 1)」と「10.1.3.(router ospf 2)」で分けてみました。
〔コマンド〕
Router-C(config)#router ospf 1
Router-C(config-router)#network 10.1.2.0 0.0.0.3 area 0
Router-C(config)#router ospf 2
Router-C(config-router)#network 10.1.3.0 0.0.0.3 area 1
結果、【A】【B】は【D】向けのルーティングを学習できず、
【D】は【A】【B】向けのルーティングを学習できませんでした。
実践で使ったことはありませんが、使用用途としては、
対象のルータを境界線として、外側と定義する方向にルーティングを
広告しないようにすることが目的になるかと思われます。
おそらく、回答欄の
①「【?】に入るコマンド」群
②「【1】~【3】のうち誤っているコマンド」群
から「それぞれ1つ」選べ、ということだと思います。
(分かりにくいといえば分かりにくい表現ですが…)
参考URL欄の
『ネットワークエンジニアとして「GLBP ( Gateway Load Balancing Protocol )」:GLBPとは』
にも記載がありますが、
①GLBPでは「両方のルータが同時にアクティブで稼働する」
②GLBPでは「両方のルータがAVFを持ち、プライオリテ上位のルータのみAVGを持つ」
ようになっています。
●AVG
・自身を含むGLBPの同一グループ下にある全ルータに、それぞれ仮想MACを割り当てる。
⇒AVGを持つルータ・持たないルータとも仮想MACを持ち、アクティブとして稼働させる。
(例:RouterAは仮想MAC「0007.b400.0101」「0007.b400.0102」を生成し、自身に末尾「0101」を、対向に「0102」を割り当てる)
・仮想IP宛にARP要求が来た場合、仮想MACを返答する。
返答する仮想MACは、GLBP同一グループ下のルータの仮想MACのどれか1つを、
ARP要求1件ごとに振り分けて応答する。
⇒仮想IP宛のARP要求を一律で受け取り、自身・対向のどちらかの仮想MACを応答で返す。
エンド側には、グループ下で割り当てられている仮想MACのどれかが通知される。
(例:PC-AはARPの応答でMAC末尾0101を受け取ったけど、PC-Bは末尾0102を受け取り、PC-Cは0101を、PC-Dは0102を…)
●AVF
・自身の仮想MAC宛に届いたパケットをルーティングする。
⇒デフォルトゲートウェイのIPは同じでもMACは異なるため、通信はGLBPグループ下のルータで分散し、
各ルータの仮想MAC宛通信を処理する。
自身に割り当てられた仮想MAC以外の通信は、対向がダウンしない限り受信すらしない。
簡単にいえば、AVGは「GLBPグループにおける、仮想MACの管理者」といったところでしょうか。
参考URL欄の『ネットワークエンジニアとして「Voice VLAN」』にもありますが、
Cisco IP Phoneには「NW機器接続用ポート」と「PC接続用ポート」の2口があり、
IP Phoneを中継する形で接続することにより、NW機器の物理インターフェースの使用数を
節約することが出来ます。
接続のイメージは、参考欄の図解がそのままです。
この設問において、RouterBが
①PCと(SwitchBを経由して)接続されているインターフェースは「Fa0/1」
②サーバと(RouterA・SwitchAを経由して)接続されているインターフェースは「Se1/1」
です。
構成図上どの機器とも物理的に接続していない「Fa0/0」と「Se1/0」では、どのような設定を入れても
「受け入れ口は開いてても道が橋が架かっていない」、
「送り出し口を開けててもその先は崖」
の状態なので、通信に関与できません。
[ PC ]―〔RouterA〕―〔RouterB〕―【Server】
上の図において、「PCからServerへの通信を拒否する」ACLを設定する場合の適用先インターフェースは、
標準ACL:RouterBの、Server(宛先)と直接接続するインターフェース = 拒否する宛先近くへの適用
拡張ACL:RouterAの、PC(送信元)と直接接続するインターフェース = 拒否する送信元近くへの適用
になります。
質問の書き方から、問題の捉え方を少し違えているのでは、と感じています。
この設問で問われているのは、あくまで
①CatAのVLANテーブルを表示している【?】部分のコマンド
②CatAのFa0/3に接続されているセグメントのデフォルトゲートウェイ
です。
既にVLAN・デフォルトゲートウェイとサブインターフェースの設定は完了している状態なので、
「デフォルトゲートウェイにどのIPを設定するか」という点は特に設問で聞かれてはいません。
なので、
①【?】部分のコマンド
②VLANテーブルから、「Fa0/3にどのVLANが設定されているか」と、RouterAのインターフェースにVLAN10のIPが何で設定されているか」
を確認すればいいのです。
あえて設問そのものに指摘するのであれば、
サブインターフェースの図とVLANテーブルの図の間にある2行が迂遠な書き方なので、
読み違えを招きそうだとは思いますが…。
RA ~ RD間で「直接的」な動作はありません。
RA ~ RC間は、RBを含め同じASに所属しているため、
RBを介してBGP(iBGP)が動作させることが出来ます。
(ただし、動作させるために個別の設定が必要ですが…)
ですが、RA ~ RD間はASが異なるため、RBを介してもBGPで直接的にやり取りを行えません。
RDがRAの情報を知りたい場合、「RBが持っているRAの情報を告知してもらう」必要があります。
①192.20.11.32**/27**のネットワークであること
②ブロードキャストアドレスは、**ホストアドレス部のビットが「全て1」**になる
という点を把握していただいたうえで、解説します。
まず①より、アドレスの使用範囲ですが、
第4オクテットの「32」を2進数ビット表記に変えると「00100000」になります。
「/27」の表記より、左3ビットまでがネットワークアドレスに使用されます。
(これを、サブネットマスクといいます。)
そのため、「001(サブネット部) / 00000(ホスト部)」と分割できます。
残りのホスト部は右5ビット分の「00000(10進数:0)」から「11111(10進数:31)」までとなります。
あとは、サブネット部の「32」を加算して
「192.20.11.32 ~ 192.20.11.63」になります。
そして②より、
第4オクテットにてサブネット部「32」とホスト部が全部1の「31」を足した、
「192.20.11.63」が正答となります。
この設問において、各Switch間を相互に接続しているのですが、
この構成は「対障害」の観点で構成されます。(冗長構成)
もし「対障害」を考慮しないのであれば、「SwitchA ~ SwitchB」の接続は不要です。
「A ~ B」間を接続するのは、
・「A ~ C」間の断線orポート障害対策(PC-Cへの迂回経路)
・「B ~ C」間の断線orポート障害対策(VLAN1・3への迂回経路)
を確保する為と考えられます。
その上で、迂回させるためのVLAN設定も必要になります。
・「A ~ C」間:VLAN2の追加
・「B ~ C」間:VLAN1・3の追加
・「A ~ B」間:VLAN1~3の追加
こうなると設問の構成下、すべてのSwitch間で、全VLANを通すことになります。
よってL2ループの構成が成立し、STPが起動することになります。
この設問のACLは、
「ルータ2」の「Ethernet0」から「出ていく」通信に対して適用されます。
Router2(config)# access-list 20 deny 192.168.20.128 0.0.0.31
Router2(config)# access-list 20 permit any
→ACL20番は、「192.168.20.128/27」からの通信のみ拒否します
Router2(config)# Ethernet 0
Router2(config-if)# ip access-group 20 out
→ACL20番は、インターフェースEthernet0をout(ルータから出る)方向に通過する通信に適用します
なので、ルータ2のEthernet0を通過しない「人事部」向け通信については、そもそもACL20番は適用されません。