tmomo1109さんの助け合いフォーラム投稿一覧
MACアドレス検証機能はDHCPメッセージの正当性を検証するものであり
MACアドレス検証の結果によってuntrustedポートからのDHCP OFFERやACKを許可するわけではありません。
DHCPスヌーピングでは、untrustedポートからのDHCP OFFERやACKは基本的にブロックされます。
これは、untrustedポートからこれらのメッセージが来ることは、
通常はDHCPサーバーがuntrustedポートに接続されているという不正な状況を示しているからです。
あくまでもMACアドレス検証は、「念には念を」でセキュリティをより強固なものにするために使用します。
ルーティングテーブルの表示から
「16.1.1.0/30」というネットワークは、Se1/1に直接接続されたネットワークであることが分かります。
(「C」は直接接続を表します。)
つまり「16.1.1.0/30」はSe/1の先にあるので、このネットワークに属する「16.1.1.2」も当然Se1/1の先にあります。
SSHはユーザ名必須で、Telnetはパスワードのみでも可能という認識で正しいです。
TelnetもAAA認証を設定すれば、ユーザ名とパスワードを使用するローカルデータベース認証を行うことができます。
単位がなぜ異なるのかといっても、そういうコマンドだからとしか言えないですね…
「auto-cost reference-bandwidth」はMbps、
「(GigabitEthernet0/0) bandwidth」はKbps で指定するコマンドなのです。
以下、実機でコマンド入力したときの出力です。
Router(config-router)#auto-cost reference-bandwidth ?
<1-4294967> The reference bandwidth in terms of Mbits per second
Router(config)#interface GigabitEthernet 0/0
Router(config-if)#bandwidth ?
<1-10000000> Bandwidth in kilobits
これはシンプルに覚えるしかないと思います。
簡易シミュレータ(switch)について
→簡易シミュレータ(ルータ版)のQ13ですよね?
確かに64000と判断する要素はなさそうですが、
DCEに対して設定するクロックレートとして良く用いられる64000という数値を、例として挙げているだけではないでしょうか?
この簡易シミュレータのQ13で必要な学習は「DCEにクロックレートを設定すること」であり、設定値は重要ではないのではないでしょうか?
実際に64000以外の数値を設定しても双方pingは成功しますし、次の問題にも進めますよ。
以下の点をご確認してみてはどうでしょうか?
(1)IPアドレスが設定できているかの確認
コマンドプロンプトでipconfigを入力し、IPアドレスが設定されているかご確認ください
C:\>ipconfig
FastEthernet0 Connection:(default port)
Connection-specific DNS Suffix..:
Link-local IPv6 Address.........: FE80::2E0:B0FF:FEC0:3C86
IPv6 Address....................: ::
IPv4 Address....................: 192.168.1.11
Subnet Mask.....................: 255.255.255.0
Default Gateway.................: ::
192.168.1.254
(2)接続ケーブルの確認
自身にもpingが通らないとのことですので、接続ケーブルが正しくなく、インターフェースが起動していない可能性があります。
「cross-over」を指定するのではなく「Automatically(ケーブル選択一番右の雷マーク)」で接続してみてはどうでしょうか?
例えば、
セキュリティ規格「WPA3」は暗号化方式として「GCMP」を使用する
暗号化方式「GCMP」とは、暗号化アルゴリズムに「AES」を使用する暗号化方式である
というような位置づけです。
認証方式は、暗号化方式とはまた別の話で、セキュリティ規格ごとに異なる認証方式(WPA3ならSAEなど)が使われます。
おっしゃる通り「access-class」コマンドはラインコンフィグレーションモードで使用するコマンドです。
インターフェースコンフィグレーションモードでは使用できません。
Router(config)#line vty 0 4
Router(config-line)#access-class 101 in
設問では「インタフェースにアクセスリストを適用」するコマンドを聞いているので
ひっかけとして敢えて(config-if)を使っているだけだと思います。
確かに、(config-if)#switchport port-security コマンドを実行すると、そのインターフェースに対してポートセキュリティが有効になり
この時デフォルトの設定として、セキュリティ違反が発生した際の動作はポートをシャットダウンするように設定されます。
ですが、この問題が要求しているのは、「セキュリティ違反時、ポートをシャットダウンするように明示的に設定するコマンド」です。
つまり問題は、違反が発生したときにポートがシャットダウンするように特定の設定を施すコマンドを求めています。
(config-if)#switchport port-security は、ポートセキュリティを有効にするだけで、
その結果として何が起こるか(shudown, restrict, protect)を明示的に設定するものではないため
この問題の文脈においては間違った選択肢とされるのではないでしょうか。
私はフルコンボにしてから受験に臨みました。
意地悪問題に慣れておくのも悪くないと思います。
試験のときは時間もあまりないので、素早く正解を導き出すのも重要です。
いつも使っていた問題集より少しひねった問題が出て、手が止まってしまうを繰り返すと最後まで解けなかったりもするので…
あまり試験勉強にさく時間がないのであれば、他の参考書と比較して
必要ないと思った問題は捨てて、効率よく勉強してみるのも手だと思います。
「ループバックインターフェースの中で最大のIPアドレス」というのは、
「"RAのループバックアドレス"の中で最大のIPアドレス」であり、セグメントのループバックアドレスの中で最大ではありません。
(機器によって異なるとは思いますが、1つのルータには0~2,147,483,647までのループバックアドレスを設定できるようです。)
RAにはループバックアドレスは設定されていない(設問では明示されていないので、されていないと考えるのが一般的です)ので
設定した時点で、そのアドレスが”RAのループバックアドレス”の中で最大のループバックアドレスとなり、ルータIDに選出されるアドレスになります。
設問ではRAをDRに選出する方法を問われているので、
前述の通り(結果としてルータIDとなる)ループバックアドレスを、他のルータIDより大きなIPアドレスに設定することで、RAがDRに選出されるようになります。
RouterC→RouterBへPing
RouterAのFa0/0にはACL100が適用されており、Echo-Replyにより、Ping応答は許可されます。
このPing応答とは、RouterC(もしくはその他)の「Ping送信(問い合わせ)」に対し、RouterBが**「Ping応答」**する通信を指します。
一方、RouterB→RouterCへPingの場合、
RouterBは**「Ping送信(問い合わせ)」**するので、前述のRouterCの問い合わせに対する「Ping応答」とは通信の種類が別物です。
つまり、RouterBの「応答」は通るけど、RouterBの発する「送信(問い合わせ)」は通らないのがRouterAのACL適用状態です。
よってRouterCからRouterBへのPingは通ります。
IPアドレスD:192.168.3.53 255.255.255.252
→第4オクテット「53」を2進数に直すと「00110101」
(255.255.255.252(/30)なのでホスト部は2ビット)
→アドレス範囲は「00110100」(52)~「00110111」(55)
ホスト部が全て0=ネットワークアドレス、
ホスト部が全て1=ブロードキャストアドレスです。
.52はネットワークアドレスなので、ホストに割り当てられない
.55はブロードキャストアドレスなので、ホストに割り当てられない
.53はSe1/0(IPアドレスD)で使用済み
→割り当て可能なアドレスは.54しかないので、「IPアドレスC」は「192.168.3.54」になる
また、IPアドレスCとIPアドレスDが同一ネットワークであるということはどこから分かるのでしょうか。
接続された2つのインターフェースは同一ネットワークに属すると考えるのが一般的なので、深く考える必要はないと思います。
ご参考になれば幸いです。
「複数の拠点を接続するVPNの設定作業を簡略化する」というのは
動的にVPN通信を行うことによって、各VPN拠点への面倒な(静的な)設定作業などが簡略化されることを指しているのではないでしょうか?
一般的な拠点間VPN構築と比べて、設定が簡単であることを指していると思うので、トポロジで比較するのは少し違う気もします。
DHCPやARPのプロトコルのレイヤで考えるのではなく、
攻撃の手法がレイヤ2(データリンク層)を悪用した攻撃手法なので、レイヤ2攻撃になります。
どちらもレイヤ2セキュリティ(インターフェースに対して行うセキュリティ設定)で対策ができます。
■ARPスプーフィング
(1)ユーザーがARP要求をブロードキャスト
↓
(2)悪意のある攻撃者が、自身のMACアドレス(なりすましのMACアドレス)で応答
↓
(3)ユーザはなりすましに気付かず、攻撃者のMACアドレスをARPテーブルに登録
↓
(4)以後、ユーザは攻撃者のMACアドレスへトラフィックを転送し続ける
■DHCPスプーフィング
(1)悪意のある攻撃者がなりすましMACアドレスを使用し、正当のDHCPサーバへDHCP要求
↓
(2)払い出しアドレスが使い果たされる
↓
(3)不当なDHCPサーバがDHCP要求に応答するようになる(DHCP-DISCOVERフレームを悪用)
↓
(4)偽のデフォルトゲートウェイやDNSを配布し、通信を覗き見ることが可能になる
英語ですが、以下のサイトが参考になると思います。
https://www.techtarget.com/searchnetworking/tip/Preventing-Layer-2-security-threats
https://www.pearsonitcertification.com/articles/article.aspx?p=2491767
ip domain lookupはデフォルトで有効ですが
その他の選択肢に適切なものがないので、
・「ip domain lookup」が設定されていない
しか正答として選べないのではないですか?
カプセル化方式は、トランクモードの設定前に設定します。
機器によっては、カプセル化設定前にトランクモードに設定するとエラーになる機器もあります。
Switch(config-if)#switchport mode trunk
Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode.
(↑カプセル化方式が未設定のため、トランクモードの設定に失敗しています。)
上記、2つの「サブネット計算することにより」の部分で具体的にどんな計算をしているのかを知りたいです。
IPアドレスを2進数に変換して、アドレス範囲や割り当て可能なIPアドレスを求める計算を指しているのだと思います。
IPアドレスD:192.168.3.53 255.255.255.252
→第4オクテット「53」を2進数に直すと「00110101」
(255.255.255.252(/30)なのでホスト部は2ビット)
→アドレス範囲は「00110100」(52)~「00110111」(55)
.52はネットワークアドレスなので、ホストに割り当てられない
.55はブロードキャストアドレスなので、ホストに割り当てられない
.53はSe1/0(IPアドレスD)で使用済み
→割り当て可能なアドレスは.54しかないので、「IPアドレスC」は「192.168.3.54」になる
IPアドレスE:192.168.1.77 255.255.255.192
→第4オクテット「77」を2進数に直すと「01001101」
(255.255.255.192(/26)なのでホスト部は6ビット)
→アドレス範囲は「01000000」(64)~「011111111」(127)
という計算でアドレス範囲が求められます。
また「IPアドレスF」は、なぜ範囲で求めているのかも解説をお願いします。
選択肢のの中に「IPアドレスFには「192.168.1.254」が割り当てられる」があります。
IPアドレスEの属するアドレス範囲は「192.168.1.64」~「192.168.1.127」
=「192.168.1.254」は割り当てられない(誤答である)ことにたどり着くため、アドレス範囲を求める必要があると思います。
ポート番号によるRPの選出のしかたに誤った認識をされています。
パスコストやルートプライオリティが同じ値で、ポート番号の比較となったとき
確認すべきは「ルートブリッジ(SwitchC)」のポート番号です。
SwitchCのFa0/5とFa0/3では、ポート番号が若いFa0/3から送信されるBPDUが有利になります。
有利であるFa0/3からBPDUを受け取る、SwitchDのFa0/2がRPになります。
ご参考になれば幸いです。
「すべての行」というのは、nameからip_addressまでの各行すべてを指していて、
選択肢「すべての行はカンマで終わってはならない」というのは
「name、type、interfaces、ip_addressのすべての行がカンマで終わってはならない」という意味になるのではないでしょうか?
誤答解説
・すべての行はカンマで終わってはならない
キーと値のペアが続く場合はカンマによる区切りが必要ですので、誤りです。
にもあるように、name、type、interfacesのそれぞれの行の後にカンマは必要なので、
「すべての行はカンマで終わってはならない」は誤りになるのだと思います。
正しいと思いますよ。
OUIは前半24ビットなので、問題で提示されているMACアドレスの前半部分「CC-3F-18」を指します。
「CC-3F-18」は16進数なので、これを2進数に直すと
CC→11001100
3F→00111111
18→00011000
になるので、解答は正しいと思います。
間違っていると思われる理由があるのでしたら、明確に提示していただけると
何かお力になれるかもしれませんので、教えていただきたいです。