papico2さんの助け合いフォーラム投稿一覧
Cisco機器を一度も触ったことが無い人は、こちらのサイトにある簡易シミュレータを触っておくのオススメです。
https://mondai.ping-t.com/g/question_subjects#content-large_category_1
結果defaultのローカルデータベースでログインできるという解答
AAAを使用している場合はデフォルトで各回線に「default」が適用されています。
こんな感じ。
設定
Switch(config)#aaa new-model
Switch(config)#aaa authentication login default local
Switch(config)#aaa authorization exec default local
Switch(config)#line vty 0 4
Switch(config-line)#password telnet123
Switch(config-line)#transport input telnet
Switch(config-line)#login authentication default ←
Switch(config-line)#authorization exec default ←
Switch(config-line)#end
設定を確認
Switch#show running-config
!
aaa new-model
!
aaa authentication login default local
aaa authorization exec default local
!
line vty 0 4
password telnet123
transport input telnet
!
↑「login authentication default」「authorization exec default」はデフォルトなのでshow runに表示されていません。つまり、「login authentication default」があっても無くても結果は同じになります。
今回の場合は「aaa authentication login default local」でローカルデータベースを指定しているので「ユーザ名:cisco、パスワード:ping-t123」で認証することになります。「login authentication default」を入力してもしなくても同じです。
telnet123でログインするという認識で正しいでしょうか?
「password telnet123」とAAA両方使っている場合の優先度については参考にある【認証コマンドの優先度】が参考になるかと思います。
それはそれとして
問題文コマンド画面のラインコンフィグレーションには、「login authentication default」の指定がありません。
設問の画面はshow runではありませんし、こちらは誤植かと思われます。
「ネットワーク機器を集中管理する」もの。と大きな意味で捉え回答する
そのご認識で大丈夫だと思いますよ。
APICとは → ACIのコントローラ(表からの抜粋です)
コントローラとは → ネットワーク機器を集中管理するためのソフト(表からの抜粋です)
この場合はなぜフラッディングというのでしょうか。
おそらく1回目の通信を想定しているのかと思います。
図では1台しか用意されていませんが、2台以上にしても同じ動き(VLAN30にフラッディング)になります。つまり「一つのポートに送出することをフラッディング」と言っているわけではなく、フラッディングの結果1つのポートから送出しているということかと。
そしてネイティブVLANを間違って設定した場合は、フラッディングしたとしてもVLANでわけているから対象のPCに届かない。ということかと思います。
PCを接続した場合は20秒待たずにブロッキング→リスニングとなるので30秒ですみます。
https://milestone-of-se.nesuke.com/nw-basic/stp/portfast-bpdufilter/
ブロッキング→リスニングで20秒待つのはSTPが働いたあとの話で、間接障害が発生した場合になります。
https://hirotanoblog.com/stp-convergence/1783/#toc3
改善お願いします。
改善の意味がよくわからなかったのですが、シーケンス番号が書かれてないのは間違いじゃないか?という話であればシーケンス番号は省略できます。
解説にもありますが、シーケンス番号を省略した場合は10ずつ増加していきます。
こんな感じ。
設定
Router(config)#ipv6 access-list ACL1
Router(config-ipv6-acl)#permit ipv6 host 2001:DB8:1:1::1 any
Router(config-ipv6-acl)#permit ipv6 host 2001:DB8:1:1::2 any
Router(config-ipv6-acl)#deny ipv6 2001:DB8:1:1::/64 any
Router(config-ipv6-acl)#permit ipv6 any any
Router(config-ipv6-acl)#end
確認
Router#show running-config
!
ipv6 access-list ACL1
permit ipv6 host 2001:DB8:1:1::1 any
permit ipv6 host 2001:DB8:1:1::2 any
deny ipv6 2001:DB8:1:1::/64 any
permit ipv6 any any
!
Router#show ipv6 access-list
IPv6 access list ACL1
permit ipv6 host 2001:DB8:1:1::1 any sequence 10
permit ipv6 host 2001:DB8:1:1::2 any sequence 20
deny ipv6 2001:DB8:1:1::/64 any sequence 30
permit ipv6 any any sequence 40
Router#
show runではシーケンス番号確認できませんが、show ipv6 access-listを使うとシーケンス番号を確認できます。
シーケンスが10ずつ増えていくのは前提知識になると思うので、試験対策として覚えておいた方が良いかもしれませんね。
アクセスポートには設定できないと思って
できますよ。こんな感じ
Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport trunk native vlan 10
Switch(config-if)#shutdown
Switch(config-if)#end
Switch#show run
!
interface GigabitEthernet0/1
switchport trunk native vlan 10
switchport mode access
shutdown
media-type rj45
negotiation auto
!
トランクになった場合にネイティブVLANの設定がいきる感じですね。
私の認識では「192.168.1.48/28」のアドレス範囲は「192.168.1.49~192.168.1.63」で「ブロードキャストアドレスは64」です。
ブロードキャストアドレスはホスト部を全て「1」にしたアドレスなので「63」になりますね。
サブネット関連がわからない場合はまずは2進数にすることをお勧めします。
↓4オクテット目を見ていくとこんな感じ
1111 0000 ←サブネットマスク(/28は左から4つが1なので、左から4つが同じになる範囲が同じネットワーク)
0011 0000 ←ネットワークアドレス(48)※左から4つは「0011」
0011 0001 ←左から4つが「0011」になる最初のホストアドレス(49)
0011 1110 ←左から4つが「0011」になる最後のホストアドレス(62)
0011 1111 ←左から4つが「0011」になるブロードキャストアドレス(63)
↑ホスト部が全部1
ホストAとBのアドレスとゲートウェイが同じネットワークではなく、別ネットワークになっているように思います。
ホストA:192.168.10.44/28のネットワークアドレスは「192.168.10.32」
ホストB:192.168.10.45/28のネットワークアドレスは「192.168.10.32」
なので、どちらも同じネットワークですね。
サブネットがわからない場合は無理せずまずは2進数にすることをお勧めします。
↓4オクテット目を見ていくとこんな感じ
1111 0000 ←サブネットマスク(/28は左から4つが1なので、左から4つが同じになる範囲が同じネットワーク)
0010 0000 ←ネットワークアドレス(32)※左から4つは「0010」
0010 0001 ←左から4つが「0010」になる最初のホストアドレス(33)
0010 1110 ←左から4つが「0010」になる最後のホストアドレス最後(46)
0010 1111 ←左から4つが「0010」になるブロードキャストアドレス(47)
↓ホストAとBはどちらも左から4つが「0010」で同じネットワークになっていることがわかります
0010 1100 ←ホストA(44)
0010 1101 ←ホストB(45)
たしかに不明瞭ですね。ただ解説には
MACアドレスを学習するためにはスイッチに入力されるデータが必要ということになるので、正解は「input data」です。
と書かれていますし、この問題については単純に「受信した時に学習するんだよ」ということをポイントにしていて、フィールド名のような一つ深い知識は問われていないように見えます。
ちなみに、不明瞭な問題文や選択肢については実際の試験でも普通に出てきたりするので、勉強の段階である程度覚悟しておくと本番での動揺を抑えられるかと思います。
また2週目を開始したいのですが、この場合は、どのように進めれば良いのでしょうか?
2週目として全ての問題を実施する方法が分かりませんでした。
その状況であれば出題対象でヒットにチェックを入れることで問題を実施できるようになるかと思います。
「過去に一度でもミスのあった問題」というかたちでの問題抽出ができませんでした。
この抽出方法は無かったと思います。
できれば2週目を行い1週目の結果と合わせて間違いやすい問題を抽出し再チャレンジするという使い方をしたいのですが、そのような使い方はできませんでしょうか?
全コンボを目指していくと自然とその使い方になります。
ヒット状態で不正解になるとミスに落とされるので、必然的に間違いやすい問題に再チャレンジすることになります。
また、自信のない問題はお気に入りに登録しておくと便利でした。
RBとRCで再配送の設定をしているので、RF→RE→RD→RC→RA経由(OSPFで学習)の経路が採用される認識であるため困惑しております。
そのパターンもありますが、
RBとRCで双方向の再配送の設定をしているので、RF→RE→RD→RB→RAで学習というパターンもありますよね。26308ではこちらのパターンが出題されているだけですね。
ループするパターンが右回りと左回りの2パターンあるからこそRCとRBの両方にフィルタリングが必要になります。
矢印はOSPF→EIGRPに再配送となっています。こちらについても理解できておりません。。
EIGRPからOSPFに入ってきた経路情報(192.168.1.0)を、EIGRPに戻していることがループの原因になっています。
なのでOSPF→EIGRPへのout方向でフィルタリングして192.168.1.0をEIGRPに戻さないようにすることをループが解消できます。
ルーティングテーブルを使った通常のルーティングよりも「set ip next-hop」や「set ip next-hop recursive」を使ったPBRが優先されるので、その辺の知識も問われているのではないでしょうか。
コストの調整を行っている。
コスト(メトリック)をいじった場合に影響があるのはルーティングテーブルなので、この情報からはルーティングテーブル上RAのネクストホップはRBになっていることが読み取れます。
ですが、設定にある「set ip next-hop」と「set ip next-hop recursive」はどちらもルーティングテーブルより優先されるので結果として解説の
したがって、設問では以下のような経路を使用する設定となります。
正常時:RA→RC→REを通る経路を使用 ←set ip next-hopの動き
RCの障害発生時:RA→RD→REを通る経路を使用 ←set ip next-hop recursiveの動き
というルーティングテーブルを使わない動きになります。
この設定内容でも正しく動作するのでしょうか。
狙った動作にはならないと思います。実行しようとしてもこんな感じになるので、EEMでも同じことになります。
Switch#copy runnin-config startup-config
Destination filename [startup-config]?
%Error opening flash0:runnin-config (File not found)
Switch#
とはいえ二つ目の図の中を見るとaction 2.0 cli command "copy running-config startup-config"になっているので、action 2.0 cli command "copy runnin-config startup-config"は脱字かと思われます。
詳しくないので勉強がてら調べてみました。少しでも参考になれば幸いです。
[normal_burst_bytes] と [maximum_burst_bytes]を指定できると記載されていますが、これを指定した時、violate actionを指定できるという認識
まず、それらやPIRなしで「violate action」を指定できるのかということを調べてみたところCIRだけで指定できました。
Router(config)#policy-map B
Router(config-pmap)#class CLASS
Router(config-pmap-c)#police cir 30000 conform-action transmit ?
exceed-action action when rate is within conform and conform + exceed burst
<cr>
Router(config-pmap-c)#police cir 30000 conform-action transmit exceed-action drop ?
violate-action action when rate is greater than conform + exceed burst ←
<cr>
Router(config-pmap-c)#police cir 30000 conform-action transmit exceed-action drop violate-action drop
Router(config-pmap-c-police)#end
Router#show running-config
~
policy-map B
class CLASS
police cir 30000 conform-action transmit exceed-action drop violate-action drop
~
Router#show policy-map
Policy Map B
Class CLASS
police cir 30000 bc 1500 be 1500
conform-action transmit
exceed-action drop
violate-action drop
一つ目の参考URLにヒントになりそうな所があったのでいくつか抜粋
https://www.cisco.com/c/ja_jp/td/docs/switches/datacenter/nexus3000/sw/qos/7x/b_3k_QoS_Config_7x/b_3k_QoS_Config_7x_chapter_0100.html#concept_8EAAEF41E96A469FA7EB405D8FABB9AB
シングルレート ポリサーは、トラフィックの認定情報レート(CIR)をモニタします。デュアルレート ポリサーは、CIR と最大情報レート(PIR)の両方を監視します。
exceed:トラフィックのデータ レートが超過した場合に実行される単一のアクション。基本的なアクションは、廃棄またはマークダウンです。デフォルトは廃棄です。
violate:トラフィックのデータ レートが設定済みのレート値に違反した場合に実行される単一のアクション。基本的なアクションは、廃棄またはマークダウンです。デフォルトは廃棄です。
cir をビット数で、またはリンク レートの割合としてポリシングします。データ レートが cir 以下の場合は、conform アクションが実行されます。be および pir を指定していない場合は、すべてのトラフィックが violate アクションを実行します。
私の環境下ではviolateではなくexceedを先に指定する必要があったので、この辺はIOS依存?かもしれませんが、動きとしてはe78hearさんが考えている通りシングルの場合はどちらかしか動作せずデュアルにしてはじめて活きるっぽいですね。
ただ、シングルではどちらかしか動作しないにしてもexceedとviolateの両方を設定しておくことは可能、そして抜粋にある通りデフォルトはどちらもdropということではありそうです。