tmomo1109さんの助け合いフォーラム投稿一覧

一般的にセッション開始後はユーザモードになるものです。
以下Ciscoの資料です。

https://www.cisco.com/c/ja_jp/td/docs/cian/ios/ios15-1s/cg/019/cf-15-1s/cf-cli-basics.html#:~:text=%E3%83%AB%E3%83%BC%E3%82%BF%E3%81%A7%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%82%92%E9%96%8B%E5%A7%8B%E3%81%99%E3%82%8B%E3%81%A8%E3%81%8D%E3%80%81%E4%B8%80%E8%88%AC%E3%81%AB%E3%83%A6%E3%83%BC%E3%82%B6%20EXEC%20%E3%83%A2%E3%83%BC%E3%83%89%E3%81%8C%E9%96%8B%E5%A7%8B%E3%81%95%E3%82%8C%E3%81%BE%E3%81%99%E3%80%82

https://www.cisco.com/c/ja_jp/td/docs/cian/ios/ios15-1s/cg/019/cf-15-1s/cf-cli-basics.html#12153

これを変更してセッション開始後、特権モードに入るよう設定することが可能ですが、セキュリティ的にも使用されることはありません。
全てのコンソールログインにデフォルトで特権モードを与える場合、以下のコマンドでできます。

Router(config)#line console 0
Router(config-line)#privilege level 15

設問でこのような特殊な設定はされていないので、デフォルトの権限の変更は行われていませんし、ログイン後はユーザモードです。

設問の内容を整理すると、
①ルータBでパスワード「pingt」を設定 → 暗号化後「$1$YAN5$…」
②ルータAで暗号化後のパスワード「$1$YAN5$…」を設定 (※これは暗号化前のパスワード「pingt」と同じ) ←ここがポイント
↓
つまりルータAに設定されたパスワードは「pingt」であり、ルータAの特権モードには「pingt」で入れる　ということです。

ルータAでルータBで設定したイネーブルパスワードを設定しているので、ルーターAからルーターBの特権モードにログインできるイメージでした。

ルータAとルータBで同じパスワードを設定していますが、それぞれ別物です。
同じパスワードだから両方の特権モードにログインできるというものではありません。

または、ルータBへのリモート接続でこのパスワードを使用できるイメージいうことでしょうか？
ルータBへのリモート接続後、特権モードへ入るとしたら、パスワードはこちらも「pingt」です。

ですが、この問題で問われているのはそこではなく、
ルータAに設定されたパスワードがルータBと同じであることを読み取ることです。

VLANごとにしか有効にできない仕様であり、そういうコマンドなのでVLANを指定しなければなりません。

Switch(config)#ip arp inspection ?
  filter      Specify ARP acl to be applied
  log-buffer  Log Buffer Configuration
  validate    Validate addresses
  vlan        Enable/Disable ARP Inspection on vlans

理由を考えるなら、すべてのVLANでARP検査を行うとすると、処理が多すぎてパフォーマンスにも影響があるので、
VLANごとに必要/不必要を判断して設定を行う必要があるから…でしょうか。

設問の場合、VLANについて言及されていないので、デフォルトVLAN1に属していると考えて
「(config)#ip arp inspection vlan 1」で良いです。

既に暗号化された文字列をパスワードとして設定したときは、再度暗号化はされません。

Router(config)#enable secret 5 $1$YAN5$ygN3nzMJCuBaD559sj5g.1
Router(config)#end
Router#
Router#sho run | include enable
enable secret 5 $1$YAN5$ygN3nzMJCuBaD559sj5g.1
Router#

上記の通り、パスワードを設定後show runを確認しても、パスワードは入力したままです。

フローティングスタティックルートは「show ip static route」コマンドで確認できます。
問題ID:34604が参考になると思います。

外部グローバルアドレス＝送信元アドレスではありません。

以下の解説の通りですが、

この4つのアドレスを考える時だけは、内部＝自分、外部＝相手、ローカル＝内側、グローバル＝外側 と言い換えると分かり易くなります。

PCがサーバにアクセスした場合、内部はPC、外部はサーバですよね。
サーバのグローバルアドレスは「120.1.1.1」なので答えは「120.1.1.1」です。

「show spanning-tree」の出力のうち、設問の画像の中で読み取れる情報を答える問題です。

「Bridge ID（自身の情報）」やインターフェースの情報を隠したうえで読み取れる情報を答えるので
設問の画像のみで解答は導けます。

RB⇔FTPサーバは同一ネットワークなので、RBのARP要求にFTPサーバが応答します。
そのためRBはFTPサーバのMACアドレスを知っていますし、宛先MACはFTPサーバとなります。

宛先IPはずっと変わらないとして、宛先MACアドレスは途中でネットワーク機器を通る度に
変わっていく認識だったのですが、

いえ、解説にもある通り、ハブやスイッチを経由してもネットワークはまたがないので、宛先MACアドレスも送信元MACアドレスも変わりません。

逆方向（PC-4 → PC-1）は考慮されましたか？

PC-4から送信されたデータは、ネイティブVLAN（VLAN10）からのデータなので、タグを付けずSwitchBから転送されます。
タグなしフレームを受け取ったSwitchAはネイティブVLAN（VLAN20）へデータを転送するので、PC-1には届きません。

通信は一方通行では成立しないので、選択肢「PC-1とPC-4は通信できる」は誤りです。

DAIを有効にすることで、デフォルトで 全てのポート が信頼できないポート（着信したARPパケットを検査するポート）になります。

つまり、Fa0/24もFa0/3も（Fa0/1もFa0/2も…）全てのポートがuntrustedポートであり、
着信したARPパケットを検査するポートになるということです。

確かにVRRPではアクティブなルータがマスタールータ、スタンバイ状態のルータがバックアップルータですが
この表では、一方のルータが稼働、一方が待機する形の冗長化技術を「アクティブ/スタンバイ」と記しているだけなのではないでしょうか。

・Ping-t社がもっているグローバルアドレスは100.2.2.151～100.2.2.154/27

の4つであるのに対し、それ以上の

・16台同時にインターネットに接続できるようにする

という条件を満たすにはPATを使用する必要があります。

できませんね。

PCは通常タグのない通信のみを扱います。

サーバBからパケットを受信する場合、そのパケットにはVLAN20のタグが付与されています。
PCは通常VLANタグのついたパケットを処理することができないので、受信したパケットは破棄され、通信はできません。

サーバAからパケットを受信する場合、そのパケットはネイティブVLANのパケットなのでタグが付与されていません。
したがってPCでも扱えるパケットなので、この通信は成功します。

DHCPサーバーで特定のアドレスを除外する機能は、除外アドレスがどのDHCPプールに属しているかに関わらず
全てのDHCPプールにわたって適用されます。

基本的にアドレスプールの範囲が重複することはないですが、
仮に以下のような3つのプールを持つDHCPサーバがあるとします。

ip dhcp pool pool100
 network 192.168.10.0 255.255.255.0
!
ip dhcp pool pool200
 network 192.168.10.0 255.255.255.248
!
ip dhcp pool pool300
 network 192.168.10.0 255.255.255.128

このとき例えば「192.168.10.1」を除外する設定をすれば、すべてのプールでこのアドレスは使用しません。
サーバーがいかなる状況下でもクライアントにこのアドレスを割り当てないように保証します。

ホスト（PCやサーバ、ネットワーク機器など）に割り当てる用のIPアドレスということです。
各サブネットには、ネットワークアドレス、ブロードキャストアドレス、および少なくとも1つのホスト用アドレスが必要です。

例えば192.168.10.0のネットワークのサブネットを「/31」にした場合
アドレス範囲：192.168.10.0～192.168.10.1
これにはネットワークアドレス（192.168.10.0）、ブロードキャストアドレス（192.168.10.1）がありますが、
実際にホストに割り当て可能なアドレスが存在しません。

最低2ビット、つまり「/30」とした場合
アドレス範囲：192.168.10.0～192.168.10.4
これにはネットワークアドレス（192.168.10.0）、ブロードキャストアドレス（192.168.10.3）、
そして2つのホストアドレス（192.168.10.1と192.168.10.2）が含まれます。

一部のマルチキャストアドレスはICANNという組織により管理されています。
これは固定の値で、特定のアドレスによって特定の範囲へのマルチキャストを行えます。

例えば以下のようなアドレスです。

224.0.0.1	　サブネット上の全てのマルチキャスト対応のホスト
224.0.0.2	　サブネット上の全てのマルチキャスト対応のルータ
224.0.0.5	　全てのOSPFルータ

異なるセグメントでマルチキャストアドレスを使用するには、マルチキャストルーティングの設定が必要ですが
内容的にもボリュームがありますし、CCNAの範囲ではないので気にしないでいいと思います。

LAP⇔SWでも複数のVlanが通るのでアクセスリンクにする必要があると思うのですが、認識として間違っていますか？

質問は、「LAP⇔SWでも複数のVlanが通るので トランクリンク にする必要があると思うのですが」の誤字でしょうか？

LAPとSW間では、CAPWAPトンネルを通じて全てのトラフィックがカプセル化されるため、単一VLANでの接続、つまりアクセスリンクで良いです。
WLCにデータが到着しカプセル化が解除された後は、各VLANにトラフィックを転送するため、WLCとSW間はトランクリンクにする必要があります。

①APごとの接続数とWLANの接続数は何が違うのでしょうか

例えば、同一WLANに接続するAPが5台あるとして、それぞれにクライアント100台が接続しているとします。
この場合、最大数の設定値内なので、計500台のクライアントが同時接続できます。

一方、AP2台にそれぞれクライアントが250台、計500台のクライアントが接続する場合、それはできません。
APごとの接続数は200に制限されているので、1台のAPにつき200台を超えるクライアントはWLANに接続できません。

②無線LANクライアントとはWAPのことを指しているのでしょうか

WAPとはLAPの誤字でしょうか？
APと無線LANクライアントは別物です。
無線LANクライアントとは、PCなどのエンドデバイスを指します。

見かけたWebサイトとは、LDAP認証が「無線LANクライアントの認証」に使われるという記述ではないですか？
問題は「管理者ログインの方法」なので、その場合でしたら状況は全く異なりますが…

ネイティブVLANとは、タグを付与しないVLANです。

「Administrative Native VLAN tagging: enabled」については
何を指しているのかという文献が見つからなかったので何とも言えませんが…
恐らく特定のシナリオでVLANタギングの挙動を指すか何かではないでしょうか…
（802.1QトンネリングだとネイティブVLANにもタグを付与する設定ができるので、そのあたりかと。個人的な予想でしかないですが）

依然としてネイティブVLAN自体の基本的な動作（タグを付けないこと）は変わらないと思います。

拡張ACLは送信元の近くに適用するのが推奨されますが、
条件が正しければどこに適用しても問題ないので、どちら向きでないといけないということはないです。
「Fa0/0の「インバウンド方向」に適用する」でももちろん問題ないです。

解説の中で、PCはネットワーク層の機器に位置しておりました。

ネットワーク層ではなく、ネットワーク層 以上 ですね。

ARPやICMPをサポートしているのもそうですが、
PCは、TCPやUDPを使用した通信（トランスポート層）やブラウザやメールソフトを用いた通信（アプリケーション層）など
各層にまたがる機能をサポートしているので、ひとつの層には分類されません。

IPv6のスタティックルートは認識の通りで合っています。

GigabitEthernet1/0/1の番号は「スタックメンバ番号/モジュール番号/ポート番号」ですが
問題を解く上で重要なことではないので、特に意識する必要はないです。
例えばGigabitEthernet0/1と変わらない、ただのポート番号と思っておいて問題ないです。