tmomo1109さんの助け合いフォーラム投稿一覧

助け合いフォーラムの投稿
2023/06/30 コメント
untrustポートではDHCPOFFER・ACKは通さないところをこのコマンドで通す可能性が出てくるのでしょうか?
攻撃者がMACアドレスを偽装してDHCPパケットを送信した場合にそうなります。 例えば攻撃者がGi0/1の先にいたとして、スイッチはGi0/1に接続されているデバイスのMACアドレスは知っているとします。(MACアドレステーブルに登録済み) しかし、攻撃者はMACアドレスを偽り、DHCPパケットに含まれる送信元MACアドレスを、自分ではない別のMACアドレスに偽造して送信します。 そうすると、スイッチが知っているMACアドレスとDHCPパケットに含まれるMACアドレスは異なってくるわけです。 解説にも「接続されたDHCPクライアントのMACアドレスと、DHCPパケットに含まれる送信元MACアドレス」の比較するとあります。 不正クライアントが罪を別のPCやサーバになすり付けるためなのでしょうか。 →MACアドレスの偽装は今回のDHCPに限らず、様々な攻撃で登場します。 セキュリティを突破したり、突破したことを気付かせないようにしたり、様々なメリットがあるのでしょう。 別のPCやサーバになすり付けるためというよりは、身分(MACアドレス)を偽って攻撃するのが、まぁ普通といったところでしょうか… ご参考になれば幸いです。
2023/06/30 返信
untrustポートではDHCPOFFER・ACKは通さないところをこのコマンドで通す可能性が出てくるのでしょうか?

MACアドレス検証機能はDHCPメッセージの正当性を検証するものであり
MACアドレス検証の結果によってuntrustedポートからのDHCP OFFERやACKを許可するわけではありません。

DHCPスヌーピングでは、untrustedポートからのDHCP OFFERやACKは基本的にブロックされます。
これは、untrustedポートからこれらのメッセージが来ることは、
通常はDHCPサーバーがuntrustedポートに接続されているという不正な状況を示しているからです。

あくまでもMACアドレス検証は、「念には念を」でセキュリティをより強固なものにするために使用します。

2023/06/29 コメント
ルーティングテーブル載っていない経路
はい、ルーティングテーブルでは、ネットワーク部が一致するものが選ばれます。
2023/06/29 コメント
ルーティングテーブル載っていない経路
見間違っておりました、失礼しました。。 そこの部分は忘れてください。。 前述の繰り返しにはなりますが 「C」はそのネットワークが直接接続されていることを示しており、 つまり、「C 16.1.1.0 is directly connected, Serial1/1」という表示は、ネットワーク16.1.1.0がSerial1/1というインターフェースを通じて直接このルータに接続されていることを示しています。 したがって、「16.1.1.2」は直接接続されたネットワーク「16.1.1.0」上に存在していると解釈することができます。 よって、Serial1/1というインターフェースの先に「16.1.1.2」が存在するという結論に至ります。
2023/06/28 返信
ルーティングテーブル載っていない経路

ルーティングテーブルの表示から
「16.1.1.0/30」というネットワークは、Se1/1に直接接続されたネットワークであることが分かります。
(「C」は直接接続を表します。)

つまり「16.1.1.0/30」はSe/1の先にあるので、このネットワークに属する「16.1.1.2」も当然Se1/1の先にあります。

2023/06/23 返信
VYTのユーザー名

SSHはユーザ名必須で、Telnetはパスワードのみでも可能という認識で正しいです。
TelnetもAAA認証を設定すれば、ユーザ名とパスワードを使用するローカルデータベース認証を行うことができます。

2023/06/21 返信
OSPFのコストを求める問題

単位がなぜ異なるのかといっても、そういうコマンドだからとしか言えないですね…

「auto-cost reference-bandwidth」はMbps、
「(GigabitEthernet0/0) bandwidth」はKbps で指定するコマンドなのです。

以下、実機でコマンド入力したときの出力です。
Router(config-router)#auto-cost reference-bandwidth ?
<1-4294967> The reference bandwidth in terms of Mbits per second

Router(config)#interface GigabitEthernet 0/0
Router(config-if)#bandwidth ?
<1-10000000> Bandwidth in kilobits

これはシンプルに覚えるしかないと思います。

2023/06/15 返信
簡易シミュレータ(switch)について

簡易シミュレータ(switch)について
→簡易シミュレータ(ルータ版)のQ13ですよね?

確かに64000と判断する要素はなさそうですが、
DCEに対して設定するクロックレートとして良く用いられる64000という数値を、例として挙げているだけではないでしょうか?

この簡易シミュレータのQ13で必要な学習は「DCEにクロックレートを設定すること」であり、設定値は重要ではないのではないでしょうか?
実際に64000以外の数値を設定しても双方pingは成功しますし、次の問題にも進めますよ。

2023/06/05 返信
cisco packet tracer(aoki kotone)

以下の点をご確認してみてはどうでしょうか?

(1)IPアドレスが設定できているかの確認
コマンドプロンプトでipconfigを入力し、IPアドレスが設定されているかご確認ください

C:\>ipconfig

FastEthernet0 Connection:(default port)

   Connection-specific DNS Suffix..: 
   Link-local IPv6 Address.........: FE80::2E0:B0FF:FEC0:3C86
   IPv6 Address....................: ::
   IPv4 Address....................: 192.168.1.11
   Subnet Mask.....................: 255.255.255.0
   Default Gateway.................: ::
                                     192.168.1.254

(2)接続ケーブルの確認
自身にもpingが通らないとのことですので、接続ケーブルが正しくなく、インターフェースが起動していない可能性があります。
「cross-over」を指定するのではなく「Automatically(ケーブル選択一番右の雷マーク)」で接続してみてはどうでしょうか?

2023/05/31 返信
WPA3で実装された認証方式はどれか について

例えば、

セキュリティ規格「WPA3」は暗号化方式として「GCMP」を使用する
暗号化方式「GCMP」とは、暗号化アルゴリズムに「AES」を使用する暗号化方式である

というような位置づけです。

以下のリンク先の画像が分かりやすかったので参考にどうぞ。
https://xtech.nikkei.com/atcl/nxt/column/18/00308/060500004/#:~:text=%E5%8F%AF%E8%83%BD%E6%80%A7%E3%81%8C%E9%AB%98%E3%81%84%E3%80%82-,%E6%B7%B7%E4%B9%B1%E3%82%92%E6%8B%9B%E3%81%8F%E3%83%A1%E3%83%BC%E3%82%AB%E3%83%BC%E3%81%AE%E8%A1%A8%E8%A8%98,-AP%E3%81%AE%E4%B8%AD

認証方式は、暗号化方式とはまた別の話で、セキュリティ規格ごとに異なる認証方式(WPA3ならSAEなど)が使われます。

2023/05/29 返信
仮想回線(VTY)へのACL適用モードについて

おっしゃる通り「access-class」コマンドはラインコンフィグレーションモードで使用するコマンドです。
インターフェースコンフィグレーションモードでは使用できません。
Router(config)#line vty 0 4
Router(config-line)#access-class 101 in

設問では「インタフェースにアクセスリストを適用」するコマンドを聞いているので
ひっかけとして敢えて(config-if)を使っているだけだと思います。

2023/05/19 返信
port-securityで違反時にportをshutdownするコマンド

確かに、(config-if)#switchport port-security コマンドを実行すると、そのインターフェースに対してポートセキュリティが有効になり
この時デフォルトの設定として、セキュリティ違反が発生した際の動作はポートをシャットダウンするように設定されます。

ですが、この問題が要求しているのは、「セキュリティ違反時、ポートをシャットダウンするように明示的に設定するコマンド」です。
つまり問題は、違反が発生したときにポートがシャットダウンするように特定の設定を施すコマンドを求めています。

(config-if)#switchport port-security は、ポートセキュリティを有効にするだけで、
その結果として何が起こるか(shudown, restrict, protect)を明示的に設定するものではないため
この問題の文脈においては間違った選択肢とされるのではないでしょうか。

2023/05/04 返信
CCNAの勉強方法

私はフルコンボにしてから受験に臨みました。

意地悪問題に慣れておくのも悪くないと思います。
試験のときは時間もあまりないので、素早く正解を導き出すのも重要です。
いつも使っていた問題集より少しひねった問題が出て、手が止まってしまうを繰り返すと最後まで解けなかったりもするので…

あまり試験勉強にさく時間がないのであれば、他の参考書と比較して
必要ないと思った問題は捨てて、効率よく勉強してみるのも手だと思います。

2023/05/04 返信
LoopbackアドレスによるospuのルータIDの選出について

「ループバックインターフェースの中で最大のIPアドレス」というのは、
「"RAのループバックアドレス"の中で最大のIPアドレス」であり、セグメントのループバックアドレスの中で最大ではありません。
(機器によって異なるとは思いますが、1つのルータには0~2,147,483,647までのループバックアドレスを設定できるようです。)

RAにはループバックアドレスは設定されていない(設問では明示されていないので、されていないと考えるのが一般的です)ので
設定した時点で、そのアドレスが”RAのループバックアドレス”の中で最大のループバックアドレスとなり、ルータIDに選出されるアドレスになります。

設問ではRAをDRに選出する方法を問われているので、
前述の通り(結果としてルータIDとなる)ループバックアドレスを、他のルータIDより大きなIPアドレスに設定することで、RAがDRに選出されるようになります。

2023/05/04 返信
pingの送信ができないのだからそもそも応答できないのでは。。?

RouterC→RouterBへPing
RouterAのFa0/0にはACL100が適用されており、Echo-Replyにより、Ping応答は許可されます。

このPing応答とは、RouterC(もしくはその他)の「Ping送信(問い合わせ)」に対し、RouterBが**「Ping応答」**する通信を指します。

一方、RouterB→RouterCへPingの場合、
RouterBは**「Ping送信(問い合わせ)」**するので、前述のRouterCの問い合わせに対する「Ping応答」とは通信の種類が別物です。

つまり、RouterBの「応答」は通るけど、RouterBの発する「送信(問い合わせ)」は通らないのがRouterAのACL適用状態です。
よってRouterCからRouterBへのPingは通ります。

2023/04/24 返信
IPアドレスの決定について

IPアドレスD:192.168.3.53 255.255.255.252
→第4オクテット「53」を2進数に直すと「00110101」
(255.255.255.252(/30)なのでホスト部は2ビット)
→アドレス範囲は「00110100」(52)~「00110111」(55)

ホスト部が全て0=ネットワークアドレス、
ホスト部が全て1=ブロードキャストアドレスです。

.52はネットワークアドレスなので、ホストに割り当てられない
.55はブロードキャストアドレスなので、ホストに割り当てられない
.53はSe1/0(IPアドレスD)で使用済み
→割り当て可能なアドレスは.54しかないので、「IPアドレスC」は「192.168.3.54」になる

また、IPアドレスCとIPアドレスDが同一ネットワークであるということはどこから分かるのでしょうか。
接続された2つのインターフェースは同一ネットワークに属すると考えるのが一般的なので、深く考える必要はないと思います。

ご参考になれば幸いです。

2023/04/21 返信
DMVPNの解説について

「複数の拠点を接続するVPNの設定作業を簡略化する」というのは
動的にVPN通信を行うことによって、各VPN拠点への面倒な(静的な)設定作業などが簡略化されることを指しているのではないでしょうか?

一般的な拠点間VPN構築と比べて、設定が簡単であることを指していると思うので、トポロジで比較するのは少し違う気もします。

2023/04/12 コメント
なぜDHCPやARPに関する攻撃がレイヤ2レベルの攻撃になるのでしょうか?
DHCPサーバには、MACアドレスに対して配布したIPアドレスがマッピングとして登録されています。 DHCPクライアントが発するDHCP DISCOVERフレームには、自身のMACアドレスの情報も含まれ、DHCPサーバはどのクライアント(MACアドレス)にどのIPアドレスを割り当てたかを管理しています。 ・DHCP DISCOVERフレームの中身 https://net-skills.net/intro-menu3/dhcp-details5/#:~:text=%E3%81%A3%E3%81%A6%E3%81%84%E3%81%BE%E3%81%99%E3%80%82-,DHCP%20DISCOVER%20%E3%83%95%E3%83%AC%E3%83%BC%E3%83%A0,-DHCP%20OFFER%20%E3%83%95%E3%83%AC%E3%83%BC%E3%83%A0 ・DHCPサーバ側では、MACとIPアドレスが以下のように管理されています https://atmarkit.itmedia.co.jp/ait/articles/1510/08/news018_2.html#:~:text=%E3%81%AE%E8%A8%AD%E5%AE%9A%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89-,%E6%A4%9C%E8%A8%BC,-DHCP%E3%81%AB%E3%82%88%E3%82%8B%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9 (1)は大量のなりすましMACを使用することで、DHCPサーバのIPアドレスプールを使い果たしてIPアドレスを枯渇させ、正規のDHCPサーバが機能しなくなることを目的としており、攻撃の下準備の段階です。 ※この部分については参考書などでもあまり触れられておらず、攻撃のポイントとなるのは(3)(4)なので、あまり気にしなくて良いと思います。ややこしくなっしまい、すみません。
2023/04/11 返信
なぜDHCPやARPに関する攻撃がレイヤ2レベルの攻撃になるのでしょうか?

DHCPやARPのプロトコルのレイヤで考えるのではなく、
攻撃の手法がレイヤ2(データリンク層)を悪用した攻撃手法なので、レイヤ2攻撃になります。

どちらもレイヤ2セキュリティ(インターフェースに対して行うセキュリティ設定)で対策ができます。

■ARPスプーフィング
(1)ユーザーがARP要求をブロードキャスト
 ↓
(2)悪意のある攻撃者が、自身のMACアドレス(なりすましのMACアドレス)で応答
 ↓
(3)ユーザはなりすましに気付かず、攻撃者のMACアドレスをARPテーブルに登録
 ↓
(4)以後、ユーザは攻撃者のMACアドレスへトラフィックを転送し続ける

■DHCPスプーフィング
(1)悪意のある攻撃者がなりすましMACアドレスを使用し、正当のDHCPサーバへDHCP要求

(2)払い出しアドレスが使い果たされる

(3)不当なDHCPサーバがDHCP要求に応答するようになる(DHCP-DISCOVERフレームを悪用

(4)偽のデフォルトゲートウェイやDNSを配布し、通信を覗き見ることが可能になる

英語ですが、以下のサイトが参考になると思います。
https://www.techtarget.com/searchnetworking/tip/Preventing-Layer-2-security-threats
https://www.pearsonitcertification.com/articles/article.aspx?p=2491767

2023/04/09 返信
ip domain lookupはデフォルトで有効なのではないでしょうか

ip domain lookupはデフォルトで有効ですが
その他の選択肢に適切なものがないので、
・「ip domain lookup」が設定されていない
しか正答として選べないのではないですか?

2023/04/03 返信
switchport mode trunkをなぜ最後に入力しているのか

カプセル化方式は、トランクモードの設定前に設定します。
機器によっては、カプセル化設定前にトランクモードに設定するとエラーになる機器もあります。

Switch(config-if)#switchport mode trunk
Command rejected: An interface whose trunk encapsulation is "Auto" can not be configured to "trunk" mode.

(↑カプセル化方式が未設定のため、トランクモードの設定に失敗しています。)

2023/03/21 返信
具体的な計算式を知りたいです。

上記、2つの「サブネット計算することにより」の部分で具体的にどんな計算をしているのかを知りたいです。

IPアドレスを2進数に変換して、アドレス範囲や割り当て可能なIPアドレスを求める計算を指しているのだと思います。

IPアドレスD:192.168.3.53 255.255.255.252
→第4オクテット「53」を2進数に直すと「00110101」
(255.255.255.252(/30)なのでホスト部は2ビット)
→アドレス範囲は「00110100」(52)~「00110111」(55)

.52はネットワークアドレスなので、ホストに割り当てられない
.55はブロードキャストアドレスなので、ホストに割り当てられない
.53はSe1/0(IPアドレスD)で使用済み
→割り当て可能なアドレスは.54しかないので、「IPアドレスC」は「192.168.3.54」になる

IPアドレスE:192.168.1.77 255.255.255.192
→第4オクテット「77」を2進数に直すと「01001101」
(255.255.255.192(/26)なのでホスト部は6ビット)
→アドレス範囲は「01000000」(64)~「011111111」(127)
という計算でアドレス範囲が求められます。

また「IPアドレスF」は、なぜ範囲で求めているのかも解説をお願いします。

選択肢のの中に「IPアドレスFには「192.168.1.254」が割り当てられる」があります。
IPアドレスEの属するアドレス範囲は「192.168.1.64」~「192.168.1.127」
=「192.168.1.254」は割り当てられない(誤答である)ことにたどり着くため、アドレス範囲を求める必要があると思います。

2023/03/14 返信
STP関連の参考について

ポート番号によるRPの選出のしかたに誤った認識をされています。

パスコストやルートプライオリティが同じ値で、ポート番号の比較となったとき
確認すべきは「ルートブリッジ(SwitchC)」のポート番号です。

SwitchCのFa0/5とFa0/3では、ポート番号が若いFa0/3から送信されるBPDUが有利になります。
有利であるFa0/3からBPDUを受け取る、SwitchDのFa0/2がRPになります。

ご参考になれば幸いです。

2023/02/28 返信
JASONのデータ形式について

「すべての行」というのは、nameからip_addressまでの各行すべてを指していて、

選択肢「すべての行はカンマで終わってはならない」というのは
「name、type、interfaces、ip_addressのすべての行がカンマで終わってはならない」という意味になるのではないでしょうか?

誤答解説
・すべての行はカンマで終わってはならない
キーと値のペアが続く場合はカンマによる区切りが必要ですので、誤りです。
にもあるように、name、type、interfacesのそれぞれの行の後にカンマは必要なので、
「すべての行はカンマで終わってはならない」は誤りになるのだと思います。

2023/02/26 返信
問題ID6842について

正しいと思いますよ。

OUIは前半24ビットなので、問題で提示されているMACアドレスの前半部分「CC-3F-18」を指します。
「CC-3F-18」は16進数なので、これを2進数に直すと
CC→11001100
3F→00111111
18→00011000
になるので、解答は正しいと思います。

間違っていると思われる理由があるのでしたら、明確に提示していただけると
何かお力になれるかもしれませんので、教えていただきたいです。

戻る