tmomo1109さんの助け合いフォーラム投稿一覧
IPアドレスクラスは古い組み分けで、グローバル、プライベートアドレスは新しい組み分けという認識でしたが
「クラスA/B/C」と「プライベート/グローバル」は全く別軸の話です。古い、新しいという話ではありません。
先頭オクテットが 0~127 のアドレスは、すべてクラスAに分類されるので、「10.255.255.170」「124.192.168.5」ともにクラスAです。
クラスAの中からプライベートアドレス用に定められた範囲が「10.0.0.0~10.255.255.255」です。
つまり
・10.255.255.170 → クラスA かつ プライベートアドレス
・124.192.168.5 → クラスA かつ グローバルアドレス
です。
以下は実機でコマンドを実行した結果で、コマンドが存在することを確認できます。
Router(config)#ip route 192.168.20.0 255.255.255.0 192.168.10.254
Router(config)#end
Router#show
*Nov 25 00:13:49.064: %SYS-5-CONFIG_I: Configured from console by console
Router#
Router#show ip static route ←コマンド実行できる
Codes: M - Manual static, A - AAA download, N - IP NAT, D - DHCP,
G - GPRS, V - Crypto VPN, C - CASA, P - Channel interface processor,
B - BootP, S - Service selection gateway
DN - Default Network, T - Tracking object
L - TL1, E - OER, I - iEdge
D1 - Dot1x Vlan Network, K - MWAM Route
PP - PPP default route, MR - MRIPv6, SS - SSLVPN
H - IPe Host, ID - IPe Domain Broadcast
U - User GPRS, TE - MPLS Traffic-eng, LI - LIIN
IR - ICMP Redirect
Codes in []: A - active, N - non-active, B - BFD-tracked, D - Not Tracked, P - permanent
Static local RIB for default
M 192.168.20.0/24 [1/0] via 192.168.10.254 [N]
Router#
Router#show ip ?
…省略
static Static operation ←コマンドが存在する
tcp TCP/IP header-compression statistics
traffic IP protocol statistics
traffic-export Show ip traffic-export statistics
trigger-authentication Trigger-authentication host table
urlfilter IOS URL Filtering Information
virtual-reassembly IP Virtual Fragment Reassembly (VFR) information
vrf VPN Routing/Forwarding instance information
wccp WCCP IPv4 information
Router#
RouterAでRSA暗号鍵を生成されていない場合、ssh接続できないと思うのですが、
という点はその通りです。
ただし、show running-config にはRSA鍵の有無は表示されないため、「生成されていない」とまでは判断できません。
この問題では、SSHに必要なその他の設定は一通りそろっているので、RSA鍵はすでに生成済みであることを前提とした設問と解釈するしかないと思います。
鍵が生成済みであると前提条件として問題文に明記されていた方が良いかもしれませんね。
以下の問題ですか?
RouterAで以下条件のアクセスリストを作成する
・端末Aから端末BへのICMPに関するアクセスを拒否
・上記以外の全てのアクセスを許可
・管理番号は「100」で、「host」キーワードを使用
・作成したアクセスリストを適切なインターフェースに適用
確認したら正解は以下で「host」も含まれていましたが、見間違いではないでしょうか?
access-list 100 deny icmp host 192.168.1.100 host 192.168.3.100
access-list 100 permit ip any any
interface ethernet 0
ip access-group 100 in
正解は送信元から"host"を取った"access-list 100 deny icmp 192.168.1.100 host 192.168.3.100"とのことですが、
「host」を取ったコマンドでは判定は「×」でしたが、違う問題のことでしょうか?
質問の意図が少し分かりにくいですが、やはりコツコツ問題を解いて慣れていくのが一番確実だと思います。
もし仮想化分野にあまり馴染みがないなら、VMware Workstationなどの仮想化ソフトを使って実際に環境を作ってみると、仕組みをイメージしやすくなると思います。
ただ、試験ではそこまで深い知識までは求められないので、やはり問題演習を通して必要な要点をつかむのが確実かと思います。
シミュレーション問題は言ってしまえばコマンド問題なので、このように設定せよというタスクに対するコマンドが分かればいいわけです。
設定コマンドをしっかり覚えられているなら、シミュレーション問題対策に特別力を入れる必要はないと思います。
ただ実機に慣れていないとかであれば、ping-tのシミュレーション問題やパケットトレーサーで操作に慣れておいた方が試験でも落ち着いて対応できると思うので、慣れるという目的ではやっておいた方がいいと思います。
ポートタイプが「 MDI 」であるデバイスは「 PC、ルータ 」などが該当します。
MDI同士またはMDI-X同士のデバイス間の接続は「クロスケーブル」が使用されます。
したがって、PCとルータはクロスケーブルで接続されるのは正しいです。
https://www.infraexpert.com/study/ethernet3.html#:~:text=%E2%97%86%E3%80%80%E3%82%B9%E3%83%88%E3%83%AC%E3%83%BC%E3%83%88%E3%82%B1%E3%83%BC%E3%83%96%E3%83%AB%E3%81%A8%E3%82%AF%E3%83%AD%E3%82%B9%E3%82%B1%E3%83%BC%E3%83%96%E3%83%AB%E3%81%AE%E6%8E%A5%E7%B6%9A%E4%BE%8B
「別設定にlocalが書かれている」とは、設定例にある「(config)#aaa authentication login default group radius local」のことですか?
設問で問われているのは、「(config)#aaa authorization exec default group radius if-authenticated」の意味です。
「if-authenticated」自体は「認証済みなら通す」であり、権限レベルは認証の段階で既に決まっているものが適用されます。
この「if-authenticated」の理解で「ユーザが認証されている場合、あらかじめ設定した権限レベルを与える」を選択できるので
local認証が設定されている・いないは解答の選択に直接関係するわけでもないですし、無くても問題ないと思います。
LACPは、自身が「passive」でも相手側が「active」ならEtherChannelを形成します。
設問では、SwitchAは「mode passive」でも、SwitchBが「mode active」なので成立します。
手元の実機でやってみましたが、rangeモードでも「no switchport」コマンドは使えましたよ。
Switch#show interfaces status
Port Name Status Vlan Duplex Speed Type
Gi0/1 connected 1 auto auto unknown (← Vlan1 = スイッチポート)
Gi0/2 connected 1 auto auto unknown (← Vlan1 = スイッチポート)
Gi0/3 connected 1 auto auto unknown (← Vlan1 = スイッチポート)
Switch#
Switch#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Switch(config)#
Switch(config)#int range gi 0/1 -3
Switch(config-if-range)#no switchport (← rangeモードで設定)
Switch(config-if-range)#
*Aug 22 01:01:37.845: %LINK-3-UPDOWN: Interface GigabitEthernet0/1, changed state to up
*Aug 22 01:01:38.054: %LINK-3-UPDOWN: Interface GigabitEthernet0/2, changed state to up
*Aug 22 01:01:38.262: %LINK-3-UPDOWN: Interface GigabitEthernet0/3, changed state to up
Switch(config-if-range)#end
Switch#show interfaces status
*Aug 22 01:01:45.057: %SYS-5-CONFIG_I: Configured from console by console
Port Name Status Vlan Duplex Speed Type
Gi0/1 connected routed auto auto unknown (← routed = L3ポート= no switchport が設定されている)
Gi0/2 connected routed auto auto unknown (← routed = L3ポート)
Gi0/3 connected routed auto auto unknown (← routed = L3ポート)
Switch#
「APとエッジノード間」が最も適切な選択肢と言える理由は、
AP⇔エッジ間のVXLANトンネルはエンドポイントから送信されたすべてのデータトラフィックが必ず通るトンネルであるという点がポイントになると思います。
一方「エッジノードとボーダーノード間」については、たしかにVXLANが張られる場合もありますが、外部ネットワークとの通信に限られます。
AP⇔エッジ間のVXLANトンネルはエンドポイントから送信されたデータトラフィックが必ず通る最初のトンネルであり、以下のように宛先によってはさらに別のVXLANトンネルを通ることになります。
・宛先が同一エッジ配下の場合・・・そのままローカルで転送される
・宛先が異なるエッジ配下の場合・・・エッジ間で張られる別のVXLANトンネルを使って別のエッジへ転送される
・宛先が外部ネットワーク・・・エッジ⇔ボーダー間でVXLANトンネルが構築されてボーダーノードへ向けて転送される
ただ、上記の通り「エッジノードとボーダーノード間」もVXLANトンネルが構築されるわけなので、
「エッジノードとボーダーノード間」も正解に含めるべきだというご指摘は正しいと思います。
R1で設定された「passive-interface Gi0/2」により
Gi0/2(10.10.10.0/24 側)では Hello パケットを送信しないため、このリンク(PC-R1間)ではネイバー関係が確立されません。
一方、Gi0/1(192.168.10.0/24 側)はパッシブ設定ではないため、R1-R2間ではネイバーが確立し、ルート情報のやり取りが行われます。
ただし「network 10.10.10.0 0.0.0.255 area 0」により、Gi0/2(10.10.10.0/24 側)もOSPFに参加はしているので
非パッシブであるGi0/1(192.168.10.0/24 側)からは
「192.168.10.0/24」と「10.10.10.0/24」の両方のルート情報がアドバタイズされます。
なお、問題ID:39980では「passive-interface default」コマンドによって、
すべてのインターフェース でルーティングアップデートやHelloパケットの送信を停止しており、
ひとつのインターフェースをパッシブにしている本問(29074)とは設定内容が異なります。
厳密に言えば、「パケット」ではなく「フレーム」の破棄という認識は正しいです。
ですが「パケット」は、多くの資料や教材で汎用的な 転送単位の総称 として用いられる用語なので
そこに関して厳密に区別しようとする必要はないと思います。
Ciscoの公式でも違反モードについて以下のように説明されています。
https://www.cisco.com/c/ja_jp/td/docs/sw/lanswt-core/cat6500swt/cg/008/3999-08/3999-08-48.html#18786:~:text=%E9%80%81%E4%BF%A1%E5%85%83%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%81%8C%E4%B8%8D%E6%98%8E%E3%81%AA%E3%83%91%E3%82%B1%E3%83%83%E3%83%88%E3%82%92%E5%BB%83%E6%A3%84%E3%81%97%E3%81%BE%E3%81%99
本問では、実際に設定するパスワードの前に「0」が明示的に記載されていますが、これは
「このパスワードは平文で保存する」ことを明示していると捉えてよろしいでしょうか。
はい、その認識で正しいです。
Switch(config)#username tanaka privilege 1 password 0 tanakaPass
Switch(config)#end
*Jul 7 02:04:50.342: %SYS-5-CONFIG_I: Configured from console by console
Switch#sho run
Building configuration...
ー略ー
!
username tanaka password 0 tanakaPass ←平文
no aaa new-model
!
ー略ー
▪️暗号化の場合
usernameコマンドで暗号化のアルゴリズムを指定したいときは algorithm-type < md5 | sha256 | scrypt > secretで指定できて、
後でshow running-configで番号でどのアルゴリズムを使用したか表示される(md5=5, sha256=8, scrypt=9)
はい、正しい認識です。
Switch(config)#username yamada privilege 1 algorithm-type md5 secret yamadaPass
Switch(config)#username takahashi privilege 1 algorithm-type sha256 secret takahashiPass
Switch(config)#username sato privilege 1 algorithm-type scrypt secret satoPass
Switch(config)#
Switch(config)#end
*Jul 7 02:10:41.855: %SYS-5-CONFIG_I: Configured from console by console
Switch#sho run
Building configuration...
ー略ー
!
username tanaka password 0 tanakaPass
username yamada secret 5 $1$OqVX$CLuyLIAn0gAhS/JGjiyY5. ←md5
username takahashi secret 8 $8$ES.5EEfiMeL/sY$mb1MIw0eY9ZkbzUxjY9srDQE9pER4lmL.xp9mbG9uGQ ←sha256
username sato secret 9 $9$r4zKB0hg93InVo$DzUZykjQVZfe.3TzqGwNFubry1kOOp94ayEiMa7xQCs ←scrypt
no aaa new-model
!
ー略ー
設問の言う「経路が使用不能(到達不能)」と、permanentオプションの「出力インターフェースがダウン」は別の話です。
①経路が使用不能(到達不能)
=宛先に向かう途中に問題があり、宛先まで到達できない
→ 静的ルートはルーティングテーブルに残る
②出力インターフェースがダウン
=自身の出力インターフェース自体が物理的または論理的に使えない(ダウン)状態
→ 通常はルーティングテーブルから削除される
②の状況においてもルートを消さずに残しておくためのオプションが「permanent」です。
「aaa authorization console」のことかと思いますが、これはコンソールに認可を適用するためのコマンドです。
デフォルトではコンソールでの認可プロセスはディセーブルであるため、有効化するための設定が必要です。
https://www.infraexpert.com/study/aaaz06.html#:~:text=list%2Dname%20%5D-,%E2%97%86%E3%80%80%E3%82%B3%E3%83%B3%E3%82%BD%E3%83%BC%E3%83%AB%E8%AA%8D%E5%8F%AF%E3%81%AE%E6%9C%89%E5%8A%B9%E5%8C%96,-(config)%23%20aaa
MACアドレステーブルへのエントリ追加は、静的設定であっても動的学習であっても、「転送テーブルを生成・更新する制御の処理」であり、コントロールプレーンの役割に該当します。
一方、データプレーンの役割は、既に存在するエントリを用いてパケットやフレームを転送することに限られるため、エントリの追加はデータプレーンの処理には含まれません。
すでに lineコンフィグレーションモード((config-line)#)にいても、
そこで「line…」コマンドを打てば、そのまま別のlineコンフィグレーションモードへ移行できます。
Switch(config)#line con 0
Switch(config-line)#line vty 0 4
Switch(config-line)#
インターフェースコンフィグレーションモードでも同様に、
そのまま別のインターフェースコンフィグレーションモードへ移れたりします。
Switch(config)#interface GigabitEthernet 0/1
Switch(config-if)#interface GigabitEthernet 0/2
Switch(config-if)#
入力の手間を減らせる便利機能であり、誤りではないです。
おそらくですが、パケットトレーサーが「suspended」状態を実装していないとかではないでしょうか。
パケットトレーサーは実機を完全再現したものではないので、実機との動作の差はいろいろ出てきます。
本来なら「suspended」になるはずのポートが「Down」と表示されるのも、「suspended」状態を持っていないからだと考えられます。
実機の検証では以下のように、問題同様「suspended (s)」状態になりました。
SW1#sho etherchannel summary
(略)
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) LACP Gi0/1(P) Gi0/2(P) Gi0/3(P)
(↑すべてバンドルされてる状態)
SW1#
SW1#
SW1#
SW1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW1(config)#
SW1(config)#
SW1(config)#
SW1(config)#int gi 0/1
SW1(config-if)#shutdown(←シャットダウン)
SW1(config-if)#end
SW1#
*Jun 21 01:47:08.791: %SYS-5-CONFIG_I: Configured from console by console
*Jun 21 01:47:08.961: %LINK-5-CHANGED: Interface GigabitEthernet0/1, changed state to administratively down
*Jun 21 01:47:09.961: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/1, changed state to down
SW1#
SW1#
SW1#sho etherchannel summary
(略)
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) LACP Gi0/1(D) Gi0/2(P) Gi0/3(P)
(↑Gi0/1が"Down(D)"状態になる)
■SW2の状態変化(※設問とは違い、Gi0/4~6ではなく、Gi0/1~3を使用しています)
SW2#
*Jun 21 01:45:18.948: %LINEPROTO-5-UPDOWN: Line protocol on Interface Port-channel1, changed state to up
SW2#
SW2#
SW2#show et
SW2#show etherchann
SW2#show etherchannel summ
SW2#show etherchannel summary
(略)
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) LACP Gi0/1(P) Gi0/2(P) Gi0/3(P)
(↑SW1のGi0/1のシャットダウン前、すべてバンドルされている)
SW2#
*Jun 21 01:48:29.213: %EC-5-L3DONTBNDL2: Gi0/1 suspended: LACP currently not enabled on the remote port.(←SW1のシャットダウンを検知)
SW2#show etherchannel summary
(略)
Number of channel-groups in use: 1
Number of aggregators: 1
Group Port-channel Protocol Ports
------+-------------+-----------+-----------------------------------------------
1 Po1(SU) LACP Gi0/1(s) Gi0/2(P) Gi0/3(P)
(↑SW1のGi0/1のシャットダウン後、SW2のGi0/1(接続インターフェース)は“suspended (s)”状態)
SW2#
SNMPやSDNもスイッチの管理に有用な技術ですが、VTPも管理を容易にする技術のひとつです。
CiscoではVTPについて以下のように説明されています。
VLAN Trunk Protocol(VTP)を使用すると、スイッチド ネットワークでの管理作業が軽減されます。
おっしゃっている「show etherchannel summary」は誤答です。
問題の正解は「show interfaces port-channel」ですので、
「show etherchannel summary」を選択して不正解となるなら問題ないと思います。
グローバルでDCHPスヌーピングを有効化した後にVLAN単位で有効化することで、初めてそのVLANの全ポートがuntrustedポートになるわけではないのですか?
違います。
グローバル設定の時点で全ポートがuntrustedポートになります。
グローバルで有効化した時点で全てのポートがuntrustedポートになるのであれば、VLAN単位で有効化する意味はあるのでしょうか??
あります。
グローバルは “全ポート untrusted になる” という事前準備段階、
VLAN単位の設定により実際にトラフィックの検査が開始というイメージでいいと思います。