tmomo1109さんの助け合いフォーラム投稿一覧

ポートタイプが「 MDI 」であるデバイスは「 PC、ルータ 」などが該当します。
MDI同士またはMDI-X同士のデバイス間の接続は「クロスケーブル」が使用されます。
したがって、PCとルータはクロスケーブルで接続されるのは正しいです。
https://www.infraexpert.com/study/ethernet3.html#:~:text=%E2%97%86%E3%80%80%E3%82%B9%E3%83%88%E3%83%AC%E3%83%BC%E3%83%88%E3%82%B1%E3%83%BC%E3%83%96%E3%83%AB%E3%81%A8%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B1%E3%83%BC%E3%83%96%E3%83%AB%E3%81%AE%E6%8E%A5%E7%B6%9A%E4%BE%8B

「別設定にlocalが書かれている」とは、設定例にある「(config)#aaa authentication login default group radius local」のことですか？

設問で問われているのは、「(config)#aaa authorization exec default group radius if-authenticated」の意味です。
「if-authenticated」自体は「認証済みなら通す」であり、権限レベルは認証の段階で既に決まっているものが適用されます。
この「if-authenticated」の理解で「ユーザが認証されている場合、あらかじめ設定した権限レベルを与える」を選択できるので
local認証が設定されている・いないは解答の選択に直接関係するわけでもないですし、無くても問題ないと思います。

LACPは、自身が「passive」でも相手側が「active」ならEtherChannelを形成します。
設問では、SwitchAは「mode passive」でも、SwitchBが「mode active」なので成立します。

手元の実機でやってみましたが、rangeモードでも「no switchport」コマンドは使えましたよ。

Switch#show interfaces status

Port      Name               Status       Vlan       Duplex  Speed Type
Gi0/1                        connected    1            auto   auto unknown　(← Vlan1 = スイッチポート)
Gi0/2                        connected    1            auto   auto unknown　(← Vlan1 = スイッチポート)
Gi0/3                        connected    1            auto   auto unknown　(← Vlan1 = スイッチポート)
Switch#
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#
Switch(config)#int range gi 0/1 -3
Switch(config-if-range)#no switchport (← rangeモードで設定)
Switch(config-if-range)#
*Aug 22 01:01:37.845: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to up
*Aug 22 01:01:38.054: %LINK-3-UPDOWN: Interface GigabitEthernet0/2, changed state to up
*Aug 22 01:01:38.262: %LINK-3-UPDOWN: Interface GigabitEthernet0/3, changed state to up
Switch(config-if-range)#end
Switch#show interfaces status
*Aug 22 01:01:45.057: %SYS-5-CONFIG_I: Configured from console by console

Port      Name               Status       Vlan       Duplex  Speed Type
Gi0/1                        connected    routed       auto   auto unknown　(← routed = L3ポート= no switchport が設定されている)
Gi0/2                        connected    routed       auto   auto unknown　(← routed = L3ポート)　
Gi0/3                        connected    routed       auto   auto unknown　(← routed = L3ポート)　
Switch#

「APとエッジノード間」が最も適切な選択肢と言える理由は、
AP⇔エッジ間のVXLANトンネルはエンドポイントから送信されたすべてのデータトラフィックが必ず通るトンネルであるという点がポイントになると思います。

一方「エッジノードとボーダーノード間」については、たしかにVXLANが張られる場合もありますが、外部ネットワークとの通信に限られます。
AP⇔エッジ間のVXLANトンネルはエンドポイントから送信されたデータトラフィックが必ず通る最初のトンネルであり、以下のように宛先によってはさらに別のVXLANトンネルを通ることになります。
　・宛先が同一エッジ配下の場合・・・そのままローカルで転送される
　・宛先が異なるエッジ配下の場合・・・エッジ間で張られる別のVXLANトンネルを使って別のエッジへ転送される
　・宛先が外部ネットワーク・・・エッジ⇔ボーダー間でVXLANトンネルが構築されてボーダーノードへ向けて転送される

ただ、上記の通り「エッジノードとボーダーノード間」もVXLANトンネルが構築されるわけなので、
「エッジノードとボーダーノード間」も正解に含めるべきだというご指摘は正しいと思います。

R1で設定された「passive-interface Gi0/2」により
Gi0/2（10.10.10.0/24 側）では Hello パケットを送信しないため、このリンク（PC-R1間）ではネイバー関係が確立されません。
一方、Gi0/1（192.168.10.0/24 側）はパッシブ設定ではないため、R1-R2間ではネイバーが確立し、ルート情報のやり取りが行われます。

ただし「network 10.10.10.0 0.0.0.255 area 0」により、Gi0/2（10.10.10.0/24 側）もOSPFに参加はしているので
非パッシブであるGi0/1（192.168.10.0/24 側）からは
「192.168.10.0/24」と「10.10.10.0/24」の両方のルート情報がアドバタイズされます。

なお、問題ID:39980では「passive-interface default」コマンドによって、
すべてのインターフェース でルーティングアップデートやHelloパケットの送信を停止しており、
ひとつのインターフェースをパッシブにしている本問（29074）とは設定内容が異なります。

厳密に言えば、「パケット」ではなく「フレーム」の破棄という認識は正しいです。

ですが「パケット」は、多くの資料や教材で汎用的な 転送単位の総称 として用いられる用語なので
そこに関して厳密に区別しようとする必要はないと思います。
Ciscoの公式でも違反モードについて以下のように説明されています。
https://www.cisco.com/c/ja_jp/td/docs/sw/lanswt-core/cat6500swt/cg/008/3999-08/3999-08-48.html#18786:~:text=%E9%80%81%E4%BF%A1%E5%85%83%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%81%8C%E4%B8%8D%E6%98%8E%E3%81%AA%E3%83%91%E3%82%B1%E3%83%83%E3%83%88%E3%82%92%E5%BB%83%E6%A3%84%E3%81%97%E3%81%BE%E3%81%99

本問では、実際に設定するパスワードの前に「0」が明示的に記載されていますが、これは
「このパスワードは平文で保存する」ことを明示していると捉えてよろしいでしょうか。

はい、その認識で正しいです。

Switch(config)#username tanaka privilege 1 password 0 tanakaPass
Switch(config)#end
*Jul  7 02:04:50.342: %SYS-5-CONFIG_I: Configured from console by console
Switch#sho run
Building configuration...
ー略ー
!
username tanaka password 0 tanakaPass　←平文
no aaa new-model
!
ー略ー

▪️暗号化の場合
usernameコマンドで暗号化のアルゴリズムを指定したいときは algorithm-type < md5 | sha256 | scrypt > secretで指定できて、
後でshow running-configで番号でどのアルゴリズムを使用したか表示される（md5=5, sha256=8, scrypt=9)

はい、正しい認識です。

Switch(config)#username yamada privilege 1 algorithm-type md5 secret yamadaPass
Switch(config)#username takahashi privilege 1 algorithm-type sha256 secret takahashiPass
Switch(config)#username sato privilege 1 algorithm-type scrypt secret satoPass
Switch(config)#
Switch(config)#end
*Jul  7 02:10:41.855: %SYS-5-CONFIG_I: Configured from console by console
Switch#sho run
Building configuration...
ー略ー
!
username tanaka password 0 tanakaPass
username yamada secret 5 $1$OqVX$CLuyLIAn0gAhS/JGjiyY5.　←md5 
username takahashi secret 8 $8$ES.5EEfiMeL/sY$mb1MIw0eY9ZkbzUxjY9srDQE9pER4lmL.xp9mbG9uGQ　←sha256 
username sato secret 9 $9$r4zKB0hg93InVo$DzUZykjQVZfe.3TzqGwNFubry1kOOp94ayEiMa7xQCs　←scrypt 
no aaa new-model
!
ー略ー

設問の言う「経路が使用不能（到達不能）」と、permanentオプションの「出力インターフェースがダウン」は別の話です。

①経路が使用不能（到達不能）
　＝宛先に向かう途中に問題があり、宛先まで到達できない
　→ 静的ルートはルーティングテーブルに残る

②出力インターフェースがダウン
　＝自身の出力インターフェース自体が物理的または論理的に使えない（ダウン）状態
　→ 通常はルーティングテーブルから削除される
　

②の状況においてもルートを消さずに残しておくためのオプションが「permanent」です。

「aaa authorization console」のことかと思いますが、これはコンソールに認可を適用するためのコマンドです。
デフォルトではコンソールでの認可プロセスはディセーブルであるため、有効化するための設定が必要です。
https://www.infraexpert.com/study/aaaz06.html#:~:text=list%2Dname%20%5D-,%E2%97%86%E3%80%80%E3%82%B3%E3%83%B3%E3%82%BD%E3%83%BC%E3%83%AB%E8%AA%8D%E5%8F%AF%E3%81%AE%E6%9C%89%E5%8A%B9%E5%8C%96,-(config)%23%20aaa

MACアドレステーブルへのエントリ追加は、静的設定であっても動的学習であっても、「転送テーブルを生成・更新する制御の処理」であり、コントロールプレーンの役割に該当します。
一方、データプレーンの役割は、既に存在するエントリを用いてパケットやフレームを転送することに限られるため、エントリの追加はデータプレーンの処理には含まれません。

すでに lineコンフィグレーションモード（(config-line)#）にいても、
そこで「line…」コマンドを打てば、そのまま別のlineコンフィグレーションモードへ移行できます。

Switch(config)#line con 0
Switch(config-line)#line vty 0 4
Switch(config-line)#

インターフェースコンフィグレーションモードでも同様に、
そのまま別のインターフェースコンフィグレーションモードへ移れたりします。

Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#interface GigabitEthernet 0/2
Switch(config-if)#

入力の手間を減らせる便利機能であり、誤りではないです。

おそらくですが、パケットトレーサーが「suspended」状態を実装していないとかではないでしょうか。

パケットトレーサーは実機を完全再現したものではないので、実機との動作の差はいろいろ出てきます。
本来なら「suspended」になるはずのポートが「Down」と表示されるのも、「suspended」状態を持っていないからだと考えられます。

実機の検証では以下のように、問題同様「suspended (s)」状態になりました。

SW1#sho etherchannel summary
（略）
Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(SU)         LACP      Gi0/1(P)    Gi0/2(P)    Gi0/3(P)
（↑すべてバンドルされてる状態）
SW1#
SW1#
SW1#
SW1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
SW1(config)#
SW1(config)#
SW1(config)#
SW1(config)#int gi 0/1
SW1(config-if)#shutdown（←シャットダウン）
SW1(config-if)#end
SW1#
*Jun 21 01:47:08.791: %SYS-5-CONFIG_I: Configured from console by console
*Jun 21 01:47:08.961: %LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to administratively down
*Jun 21 01:47:09.961: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to down
SW1#
SW1#
SW1#sho etherchannel summary
（略）
Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(SU)         LACP      Gi0/1(D)    Gi0/2(P)    Gi0/3(P)
（↑Gi0/1が"Down（D）"状態になる）

■SW2の状態変化（※設問とは違い、Gi0/4～6ではなく、Gi0/1～3を使用しています）

SW2#
*Jun 21 01:45:18.948: %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel1, changed state to up
SW2#
SW2#
SW2#show et
SW2#show etherchann
SW2#show etherchannel summ
SW2#show etherchannel summary
（略）
Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(SU)         LACP      Gi0/1(P)    Gi0/2(P)    Gi0/3(P)
（↑SW1のGi0/1のシャットダウン前、すべてバンドルされている）

SW2#
*Jun 21 01:48:29.213: %EC-5-L3DONTBNDL2: Gi0/1 suspended: LACP currently not enabled on the remote port.（←SW1のシャットダウンを検知）
SW2#show etherchannel summary
（略）
Number of channel-groups in use: 1
Number of aggregators:           1

Group  Port-channel  Protocol    Ports
------+-------------+-----------+-----------------------------------------------
1      Po1(SU)         LACP      Gi0/1(s)    Gi0/2(P)    Gi0/3(P)
（↑SW1のGi0/1のシャットダウン後、SW2のGi0/1（接続インターフェース）は“suspended (s)”状態）
SW2#

SNMPやSDNもスイッチの管理に有用な技術ですが、VTPも管理を容易にする技術のひとつです。
CiscoではVTPについて以下のように説明されています。

VLAN Trunk Protocol（VTP）を使用すると、スイッチド ネットワークでの管理作業が軽減されます。

https://www.cisco.com/c/ja_jp/support/docs/lan-switching/vtp/10558-21.html#:~:text=VLAN%20Trunk%20Protocol%EF%BC%88VTP%EF%BC%89%E3%82%92%E4%BD%BF%E7%94%A8%E3%81%99%E3%82%8B%E3%81%A8%E3%80%81%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81%E3%83%89%20%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%81%A7%E3%81%AE%E7%AE%A1%E7%90%86%E4%BD%9C%E6%A5%AD%E3%81%8C%E8%BB%BD%E6%B8%9B%E3%81%95%E3%82%8C%E3%81%BE%E3%81%99%E3%80%82

おっしゃっている「show etherchannel summary」は誤答です。

問題の正解は「show interfaces port-channel」ですので、
「show etherchannel summary」を選択して不正解となるなら問題ないと思います。

設問文に以下の条件があります。

なお、OSPFのプロセスIDには「1」を使用する。

グローバルでDCHPスヌーピングを有効化した後にVLAN単位で有効化することで、初めてそのVLANの全ポートがuntrustedポートになるわけではないのですか？
違います。
グローバル設定の時点で全ポートがuntrustedポートになります。

グローバルで有効化した時点で全てのポートがuntrustedポートになるのであれば、VLAN単位で有効化する意味はあるのでしょうか？？
あります。
グローバルは “全ポート untrusted になる” という事前準備段階、
VLAN単位の設定により実際にトラフィックの検査が開始というイメージでいいと思います。

受信側が輻輳を検知したら再マーキング＆バッファに保存して、バッファサイズを超過したときに再マーキングしたパケットを優先的に破棄するということなのでしょうか？？

ポリシングでは、超過トラフィックを破棄または再マーキングします。
ここで再マーキングされたパケットは、その後WREDなどの輻輳回避の動作で（そういう設定をすれば）優先的に破棄されるということです。

あとバッファについてなのですが、TCPのフロー制御の説明で出てくるバッファと同じメモリ領域を指しているのでしょうか？

TCPの送受信バッファと、QoSバッファ（キュー）は別物です。

トンネルの up/down 判定は VRF ではなくグローバルルーティングテーブルを使います。

「tunnel vrf」を設定した場合はVRF内で判断されますが、この問題では設定されていないので
グローバルに必要なルートが存在しトンネルがupしていると解釈できます。
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/interface/command/ir-cr-book/ir-t2.html#wp1780631157

ping ipv6 はあってもなくてもいいです。

Router#ping 2001:1:1:1::2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:1:1:1::2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Router#

Router#ping ipv6 2001:1:1:1::2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 2001:1:1:1::2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

enable secretコマンドとenable algorythm-typeコマンドについてなのですが

enable secretコマンドは「enable secret level 1」のように特権レベルは指定できるけど、暗号化タイプは5（MD5）しか使用できない

enable algorythm-type secretコマンドはMD5以外の暗号化タイプを指定できるけど、特権レベルの指定はできない（デフォルトの15になる）

その認識で良いと思います。
「enable algorythm-type secret」について、私の環境ではレベル指定のコマンドが出てきましたが、使用はできませんでした。
バージョンによるものなのか何なのか分かりませんが、指定できないと解釈していいと思います。ご参考までに。

Router(config)#enable algorithm-type md5 secret ?
  LINE   The UNENCRYPTED (cleartext) 'enable' secret
  level  Set exec level password

Router(config)#enable algorithm-type md5 secret level ?
% Ambiguous command:  "enable algorithm-type md5 secret level "

追加の疑問なのですが、enable secretコマンドで特権レベル以外にも
「enable secret 5 $1$5pGM$.PU2fEzYbxi76xcMJrF3C.」のように使用するハッシュ関数と計算結果のハッシュ値をパスワードとして指定できるみたいですが、
この時実際に特権モードに移動するときにユーザが入力するパスワードはハッシュ計算前の平文のパスワードですよね？

はい、ユーザが入力するのは平文です。

はい、その認識で良いです。
ルートブリッジはブリッジIDにより決まり、ブリッジIDは「プライオリティ値 + 拡張システムID（＝VLAN ID） + MACアドレス」で構成されます。
STP計算では、このブリッジIDが比較されます。
https://www.ciscopress.com/articles/article.asp?p=2832407&seqNum=4#:~:text=Spanning%20Tree%20Algorithm%3A%20Root%20Bridge%20(3.1.2.3)

同時に発生する事象というより、
ひとつの事象をそれぞれUDP側の視点とTCP側の視点から表現した2つの用語です。

大量のUDPのトラフィックが帯域を完全に占領（UDP dominance）し、TCPトラフィックにまったく譲ろうとしない状況（TCP starvation）という
実質的にひとつの事象を指している用語たちと捉えて良いと思います。
https://techstat.net/1-1-f-starvation/