tmomo1109さんの助け合いフォーラム投稿一覧
「APとエッジノード間」が最も適切な選択肢と言える理由は、
AP⇔エッジ間のVXLANトンネルはエンドポイントから送信されたすべてのデータトラフィックが必ず通るトンネルであるという点がポイントになると思います。
一方「エッジノードとボーダーノード間」については、たしかにVXLANが張られる場合もありますが、外部ネットワークとの通信に限られます。
AP⇔エッジ間のVXLANトンネルはエンドポイントから送信されたデータトラフィックが必ず通る最初のトンネルであり、以下のように宛先によってはさらに別のVXLANトンネルを通ることになります。
・宛先が同一エッジ配下の場合・・・そのままローカルで転送される
・宛先が異なるエッジ配下の場合・・・エッジ間で張られる別のVXLANトンネルを使って別のエッジへ転送される
・宛先が外部ネットワーク・・・エッジ⇔ボーダー間でVXLANトンネルが構築されてボーダーノードへ向けて転送される
ただ、上記の通り「エッジノードとボーダーノード間」もVXLANトンネルが構築されるわけなので、
「エッジノードとボーダーノード間」も正解に含めるべきだというご指摘は正しいと思います。
R1で設定された「passive-interface Gi0/2」により
Gi0/2(10.10.10.0/24 側)では Hello パケットを送信しないため、このリンク(PC-R1間)ではネイバー関係が確立されません。
一方、Gi0/1(192.168.10.0/24 側)はパッシブ設定ではないため、R1-R2間ではネイバーが確立し、ルート情報のやり取りが行われます。
ただし「network 10.10.10.0 0.0.0.255 area 0」により、Gi0/2(10.10.10.0/24 側)もOSPFに参加はしているので
非パッシブであるGi0/1(192.168.10.0/24 側)からは
「192.168.10.0/24」と「10.10.10.0/24」の両方のルート情報がアドバタイズされます。
なお、問題ID:39980では「passive-interface default」コマンドによって、
すべてのインターフェース でルーティングアップデートやHelloパケットの送信を停止しており、
ひとつのインターフェースをパッシブにしている本問(29074)とは設定内容が異なります。
厳密に言えば、「パケット」ではなく「フレーム」の破棄という認識は正しいです。
ですが「パケット」は、多くの資料や教材で汎用的な 転送単位の総称 として用いられる用語なので
そこに関して厳密に区別しようとする必要はないと思います。
Ciscoの公式でも違反モードについて以下のように説明されています。
https://www.cisco.com/c/ja_jp/td/docs/sw/lanswt-core/cat6500swt/cg/008/3999-08/3999-08-48.html#18786:~:text=%E9%80%81%E4%BF%A1%E5%85%83%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%81%8C%E4%B8%8D%E6%98%8E%E3%81%AA%E3%83%91%E3%82%B1%E3%83%83%E3%83%88%E3%82%92%E5%BB%83%E6%A3%84%E3%81%97%E3%81%BE%E3%81%99
本問では、実際に設定するパスワードの前に「0」が明示的に記載されていますが、これは
「このパスワードは平文で保存する」ことを明示していると捉えてよろしいでしょうか。
はい、その認識で正しいです。
Switch(config)#username tanaka privilege 1 password 0 tanakaPass
Switch(config)#end
*Jul 7 02:04:50.342: %SYS-5-CONFIG_I: Configured from console by console
Switch#sho run
Building configuration...
ー略ー
!
username tanaka password 0 tanakaPass ←平文
no aaa new-model
!
ー略ー
▪️暗号化の場合
usernameコマンドで暗号化のアルゴリズムを指定したいときは algorithm-type < md5 | sha256 | scrypt > secretで指定できて、
後でshow running-configで番号でどのアルゴリズムを使用したか表示される(md5=5, sha256=8, scrypt=9)
はい、正しい認識です。
Switch(config)#username yamada privilege 1 algorithm-type md5 secret yamadaPass
Switch(config)#username takahashi privilege 1 algorithm-type sha256 secret takahashiPass
Switch(config)#username sato privilege 1 algorithm-type scrypt secret satoPass
Switch(config)#
Switch(config)#end
*Jul 7 02:10:41.855: %SYS-5-CONFIG_I: Configured from console by console
Switch#sho run
Building configuration...
ー略ー
!
username tanaka password 0 tanakaPass
username yamada secret 5 $1$OqVX$CLuyLIAn0gAhS/JGjiyY5. ←md5
username takahashi secret 8 $8$ES.5EEfiMeL/sY$mb1MIw0eY9ZkbzUxjY9srDQE9pER4lmL.xp9mbG9uGQ ←sha256
username sato secret 9 $9$r4zKB0hg93InVo$DzUZykjQVZfe.3TzqGwNFubry1kOOp94ayEiMa7xQCs ←scrypt
no aaa new-model
!
ー略ー
設問の言う「経路が使用不能(到達不能)」と、permanentオプションの「出力インターフェースがダウン」は別の話です。
①経路が使用不能(到達不能)
=宛先に向かう途中に問題があり、宛先まで到達できない
→ 静的ルートはルーティングテーブルに残る
②出力インターフェースがダウン
=自身の出力インターフェース自体が物理的または論理的に使えない(ダウン)状態
→ 通常はルーティングテーブルから削除される
②の状況においてもルートを消さずに残しておくためのオプションが「permanent」です。
「aaa authorization console」のことかと思いますが、これはコンソールに認可を適用するためのコマンドです。
デフォルトではコンソールでの認可プロセスはディセーブルであるため、有効化するための設定が必要です。
https://www.infraexpert.com/study/aaaz06.html#:~:text=list%2Dname%20%5D-,%E2%97%86%E3%80%80%E3%82%B3%E3%83%B3%E3%82%BD%E3%83%BC%E3%83%AB%E8%AA%8D%E5%8F%AF%E3%81%AE%E6%9C%89%E5%8A%B9%E5%8C%96,-(config)%23%20aaa
MACアドレステーブルへのエントリ追加は、静的設定であっても動的学習であっても、「転送テーブルを生成・更新する制御の処理」であり、コントロールプレーンの役割に該当します。
一方、データプレーンの役割は、既に存在するエントリを用いてパケットやフレームを転送することに限られるため、エントリの追加はデータプレーンの処理には含まれません。
すでに lineコンフィグレーションモード((config-line)#)にいても、
そこで「line…」コマンドを打てば、そのまま別のlineコンフィグレーションモードへ移行できます。
Switch(config)#line con 0
Switch(config-line)#line vty 0 4
Switch(config-line)#
インターフェースコンフィグレーションモードでも同様に、
そのまま別のインターフェースコンフィグレーションモードへ移れたりします。
Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#interface GigabitEthernet 0/2
Switch(config-if)#
入力の手間を減らせる便利機能であり、誤りではないです。
おそらくですが、パケットトレーサーが「suspended」状態を実装していないとかではないでしょうか。
パケットトレーサーは実機を完全再現したものではないので、実機との動作の差はいろいろ出てきます。
本来なら「suspended」になるはずのポートが「Down」と表示されるのも、「suspended」状態を持っていないからだと考えられます。
実機の検証では以下のように、問題同様「suspended (s)」状態になりました。
SW1#sho etherchannel summary
(略)
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) LACP Gi0/1(P) Gi0/2(P) Gi0/3(P)
(↑すべてバンドルされてる状態)
SW1#
SW1#
SW1#
SW1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#
SW1(config)#
SW1(config)#
SW1(config)#int gi 0/1
SW1(config-if)#shutdown(←シャットダウン)
SW1(config-if)#end
SW1#
*Jun 21 01:47:08.791: %SYS-5-CONFIG_I: Configured from console by console
*Jun 21 01:47:08.961: %LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to administratively down
*Jun 21 01:47:09.961: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to down
SW1#
SW1#
SW1#sho etherchannel summary
(略)
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) LACP Gi0/1(D) Gi0/2(P) Gi0/3(P)
(↑Gi0/1が"Down(D)"状態になる)
■SW2の状態変化(※設問とは違い、Gi0/4~6ではなく、Gi0/1~3を使用しています)
SW2#
*Jun 21 01:45:18.948: %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel1, changed state to up
SW2#
SW2#
SW2#show et
SW2#show etherchann
SW2#show etherchannel summ
SW2#show etherchannel summary
(略)
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) LACP Gi0/1(P) Gi0/2(P) Gi0/3(P)
(↑SW1のGi0/1のシャットダウン前、すべてバンドルされている)
SW2#
*Jun 21 01:48:29.213: %EC-5-L3DONTBNDL2: Gi0/1 suspended: LACP currently not enabled on the remote port.(←SW1のシャットダウンを検知)
SW2#show etherchannel summary
(略)
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) LACP Gi0/1(s) Gi0/2(P) Gi0/3(P)
(↑SW1のGi0/1のシャットダウン後、SW2のGi0/1(接続インターフェース)は“suspended (s)”状態)
SW2#
SNMPやSDNもスイッチの管理に有用な技術ですが、VTPも管理を容易にする技術のひとつです。
CiscoではVTPについて以下のように説明されています。
VLAN Trunk Protocol(VTP)を使用すると、スイッチド ネットワークでの管理作業が軽減されます。
おっしゃっている「show etherchannel summary」は誤答です。
問題の正解は「show interfaces port-channel」ですので、
「show etherchannel summary」を選択して不正解となるなら問題ないと思います。
グローバルでDCHPスヌーピングを有効化した後にVLAN単位で有効化することで、初めてそのVLANの全ポートがuntrustedポートになるわけではないのですか?
違います。
グローバル設定の時点で全ポートがuntrustedポートになります。
グローバルで有効化した時点で全てのポートがuntrustedポートになるのであれば、VLAN単位で有効化する意味はあるのでしょうか??
あります。
グローバルは “全ポート untrusted になる” という事前準備段階、
VLAN単位の設定により実際にトラフィックの検査が開始というイメージでいいと思います。
受信側が輻輳を検知したら再マーキング&バッファに保存して、バッファサイズを超過したときに再マーキングしたパケットを優先的に破棄するということなのでしょうか??
ポリシングでは、超過トラフィックを破棄または再マーキングします。
ここで再マーキングされたパケットは、その後WREDなどの輻輳回避の動作で(そういう設定をすれば)優先的に破棄されるということです。
あとバッファについてなのですが、TCPのフロー制御の説明で出てくるバッファと同じメモリ領域を指しているのでしょうか?
TCPの送受信バッファと、QoSバッファ(キュー)は別物です。
トンネルの up/down 判定は VRF ではなくグローバルルーティングテーブルを使います。
「tunnel vrf」を設定した場合はVRF内で判断されますが、この問題では設定されていないので
グローバルに必要なルートが存在しトンネルがupしていると解釈できます。
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/interface/command/ir-cr-book/ir-t2.html#wp1780631157
ping ipv6 はあってもなくてもいいです。
Router#ping 2001:1:1:1::2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:1:1:1::2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Router#
Router#ping ipv6 2001:1:1:1::2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:1:1:1::2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
enable secretコマンドとenable algorythm-typeコマンドについてなのですが
enable secretコマンドは「enable secret level 1」のように特権レベルは指定できるけど、暗号化タイプは5(MD5)しか使用できない
enable algorythm-type secretコマンドはMD5以外の暗号化タイプを指定できるけど、特権レベルの指定はできない(デフォルトの15になる)
その認識で良いと思います。
「enable algorythm-type secret」について、私の環境ではレベル指定のコマンドが出てきましたが、使用はできませんでした。
バージョンによるものなのか何なのか分かりませんが、指定できないと解釈していいと思います。ご参考までに。
Router(config)#enable algorithm-type md5 secret ?
LINE The UNENCRYPTED (cleartext) 'enable' secret
level Set exec level password
Router(config)#enable algorithm-type md5 secret level ?
% Ambiguous command: "enable algorithm-type md5 secret level "
追加の疑問なのですが、enable secretコマンドで特権レベル以外にも
「enable secret 5 $1$5pGM$.PU2fEzYbxi76xcMJrF3C.」のように使用するハッシュ関数と計算結果のハッシュ値をパスワードとして指定できるみたいですが、
この時実際に特権モードに移動するときにユーザが入力するパスワードはハッシュ計算前の平文のパスワードですよね?
はい、ユーザが入力するのは平文です。
はい、その認識で良いです。
ルートブリッジはブリッジIDにより決まり、ブリッジIDは「プライオリティ値 + 拡張システムID(=VLAN ID) + MACアドレス」で構成されます。
STP計算では、このブリッジIDが比較されます。
https://www.ciscopress.com/articles/article.asp?p=2832407&seqNum=4#:~:text=Spanning%20Tree%20Algorithm%3A%20Root%20Bridge%20(3.1.2.3)
同時に発生する事象というより、
ひとつの事象をそれぞれUDP側の視点とTCP側の視点から表現した2つの用語です。
大量のUDPのトラフィックが帯域を完全に占領(UDP dominance)し、TCPトラフィックにまったく譲ろうとしない状況(TCP starvation)という
実質的にひとつの事象を指している用語たちと捉えて良いと思います。
https://techstat.net/1-1-f-starvation/
結果としてホスト間で一意ですが、定義として正しくありません。
ユニークローカルアドレスは、RFC 4193では「サイト(=組織)内での一意性」をスコープとして設計されています。
ここでの話は“定義”に基づいたものであって、結果論を考える必要はないと思います。
IEEE 802.1Qトンネリング(Q-in-Q)は、AToM(Any Transport over MPLS)ベースのL2VPNを構成する手段のひとつです。
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/mp_l2_vpns/configuration/xe-16/mp-l2-vpns-xe-16-book/ieee-802-1q-tunneling-qinq-for-atom.html?utm_source=chatgpt.com#GUID-8E5A4E69-4463-4289-8F09-42B14443976E
Q-in-Qは技術的にはVLANの仕組みを拡張したものですが
サービスプロバイダーで使用するWAN技術として見るなら、VPN関連として扱われても違和感ないと思います。
ただ参考にQ-in-Qの説明がないのは気になりますね。
たしかに「SW1をルートブリッジにすれば遠回りは発生しないのでは?」という考え方も、設計上は成り立ちます。
ですが、この問題で問われているのは、「HSRPのActiveルータとSTPのルートブリッジを同じ機器にすることが望ましい」という、ネットワーク設計におけるベストプラクティスです。
解説で示されている構成は、あくまでも「ルートブリッジとActiveルータが別々だった場合にどのような問題が起きるか」を
分かりやすくするための例であり、そこに対して「他の構成でも問題起きないのでは?」は考える必要はないと思います。
解説の通りに設定するとSW1-CatA間のいずれかがブロッキングポートになり、
解説通りというのは、CatAがルートブリッジのときに、SW1-CatA間のいずれかがブロッキングポートになるということでしょうか?
ルートブリッジ自身のポートは全て指定ポート、CatAに向かうSW1のポートはルートポートなので
SW1-CatA間のいずれかがブロッキングポートになることはないと思います。
はい、その認識で合っています。
解説にも以下の記述がありますよ。
PSK(Pre-Shared Key:事前共有鍵)認証または、SAE(Simultaneous Authentication of Equals:同等性同時認証)を利用している場合は「WPAパーソナル」と呼ばれます。
IEEE 802.1X/EAP認証を利用している場合は「WPAエンタープライズ」と呼ばれます。