arashi1977さんの助け合いフォーラム投稿一覧
まず「何を条件に指定できるのか」と言うのが根本にあるのですよね。IPパケットのレベルで考えるのなら「IPヘッダ」ですし、TCP/UDPの場合は「TCP/UDPヘッダ」です。その中に何が情報としてあるのか、と言うのがわかっていればそんなに悩むことはありません。
(まぁ基本として「送信元」「宛先」アドレスが条件に含まれるのでここでは触れません)
IPプロトコルの場合は
Router(config)#access-list 100 deny ip any any ?
dscp Match packets with given dscp value
fragments Check non-initial fragments
log Log matches against this entry
log-input Log matches against this entry, including input interface
option Match packets with given IP Options value
precedence Match packets with given precedence value
time-range Specify a time-range
tos Match packets with given TOS value
ttl Match packets with given TTL value
<cr>
とありますが、これは https://ja.wikipedia.org/wiki/IPv4#%E3%83%91%E3%82%B1%E3%83%83%E3%83%88 にあるようにIPヘッダに含まれている情報にフィルタ条件が指定できることがわかります。
他も同じことですね。上位層プロトコルというかTCP/UDP/ICMPヘッダにある情報がなんでも指定できると言うだけです。
Router(config)#access-list 100 deny tcp any any ?
ack Match on the ACK bit
dscp Match packets with given dscp value
eq Match only packets on a given port number
established Match established connections
fin Match on the FIN bit
fragments Check non-initial fragments
gt Match only packets with a greater port number
log Log matches against this entry
log-input Log matches against this entry, including input interface
lt Match only packets with a lower port number
neq Match only packets not on a given port number
option Match packets with given IP Options value
precedence Match packets with given precedence value
psh Match on the PSH bit
range Match only packets in the range of port numbers
rst Match on the RST bit
syn Match on the SYN bit
time-range Specify a time-range
tos Match packets with given TOS value
ttl Match packets with given TTL value
urg Match on the URG bit
<cr>
Router(config)#access-list 100 deny udp any any ?
dscp Match packets with given dscp value
eq Match only packets on a given port number
fragments Check non-initial fragments
gt Match only packets with a greater port number
log Log matches against this entry
log-input Log matches against this entry, including input interface
lt Match only packets with a lower port number
neq Match only packets not on a given port number
option Match packets with given IP Options value
precedence Match packets with given precedence value
range Match only packets in the range of port numbers
time-range Specify a time-range
tos Match packets with given TOS value
ttl Match packets with given TTL value
<cr>
Router(config)#access-list 100 deny icmp any any ?
<0-255> ICMP message type
administratively-prohibited Administratively prohibited
alternate-address Alternate address
conversion-error Datagram conversion
dod-host-prohibited Host prohibited
dod-net-prohibited Net prohibited
dscp Match packets with given dscp value
echo Echo (ping)
echo-reply Echo reply
fragments Check non-initial fragments
general-parameter-problem Parameter problem
host-isolated Host isolated
host-precedence-unreachable Host unreachable for precedence
host-redirect Host redirect
host-tos-redirect Host redirect for TOS
host-tos-unreachable Host unreachable for TOS
host-unknown Host unknown
host-unreachable Host unreachable
information-reply Information replies
information-request Information requests
log Log matches against this entry
log-input Log matches against this entry, including input
interface
mask-reply Mask replies
mask-request Mask requests
mobile-redirect Mobile host redirect
net-redirect Network redirect
net-tos-redirect Net redirect for TOS
net-tos-unreachable Network unreachable for TOS
net-unreachable Net unreachable
network-unknown Network unknown
no-room-for-option Parameter required but no room
option Match packets with given IP Options value
option-missing Parameter required but not present
packet-too-big Fragmentation needed and DF set
parameter-problem All parameter problems
port-unreachable Port unreachable
precedence Match packets with given precedence value
precedence-unreachable Precedence cutoff
protocol-unreachable Protocol unreachable
reassembly-timeout Reassembly timeout
redirect All redirects
router-advertisement Router discovery advertisements
router-solicitation Router discovery solicitations
source-quench Source quenches
source-route-failed Source route failed
time-exceeded All time exceededs
time-range Specify a time-range
timestamp-reply Timestamp replies
timestamp-request Timestamp requests
tos Match packets with given TOS value
traceroute Traceroute
ttl Match packets with given TTL value
ttl-exceeded TTL exceeded
unreachable All unreachables
<cr>
そして、OSI 7階層モデルで考えると「他のレイヤの情報は見えない」のですから、IP(レイヤ3)のレベルではTCP/UDP(レイヤ4)の情報を識別できない=ACLの条件として利用できない(eq sshのような指定はできない)と言うだけのことです。
原則としては「できません」と言うことになりますが、標準/拡張ACLを「名前付きACL」として扱えばできるんですよね。
Router#show access-lists
Standard IP access list 1
10 permit any
Extended IP access list 100
10 permit ip any any
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#ip access-list standard 1
Router(config-std-nacl)#5 deny any
Router(config-std-nacl)#ip access-list extended 100
Router(config-ext-nacl)#5 deny tcp any any
Router(config-ext-nacl)#end
Router#show access-lists
Standard IP access list 1
5 deny any
10 permit any
Extended IP access list 100
5 deny tcp any any
10 permit ip any any
Router#
解説の最後に
暗黙のdenyによって「192.168.1.0/24」からRouterAへのpingも拒否されるため設問の要件2が満たせません。
って書いてあるのですが、そのままでいい理由はこことは別ですか?
dot1qはtrunkではないのですか?よろしくおねがいいたします。
質問の意図するところがよくわからないのですが、設問の図の Operational Mode: static access から、解説の通り switchport mode access が実行されているのは間違いないのですが、そう言うことではないのですかね?
設問では
Cisco DNA Centerを使用したネットワークの特徴と言えるものはどれか(2つ選択)
とあるので、「どのような設定をするかは事前に検証が必要」なのが「DNA Centerの特徴」だといえるのか、が問題ID:8452の意図するところかと思います。
そして、疑問に思われている解説は「SD-Access」の「アンダーレイの構築」の話です。「DNA Center」の特徴を説明したものではありません。
さらに、
ブラウンフィールドで行う場合は、以下の点に注意が必要です。
と、「アンダーレイ構築時にブラウンフィールドで行う場合」と限定した話になっているので、「DNA Centerの特徴」からはどんどん離れていっていると思います。
もし問題ID:8452の設問が
既存のネットワークを強制的にCisco DNA Centerを用いたネットワークに移行させたい。事前に実施すべきことは何か。
と言うものであれば疑問を持たれてもおかしくないと思いますが、あくまで「特徴」を聞かれているのだと理解されると良いのではと思います。
^15$はそれぞれ行頭と行末が1と5という条件なので
12345の行とのみマッチすると考えていましたが違ったのでその理由が知りたいです。
^15$ だと「15」しかマッチしないんですね。
12345とマッチするには「行頭が1」「234とマッチする何か」「行末が5」じゃないとダメなんです。
設問は外部からmail.example.com宛にメールが届くようにとあるのに解答には、外部から「mail.example.com」という名前で接続に来た場合にとあり矛盾している気がします。
疑問点をもう少し噛み砕いていただけると嬉しいです。どう言う点がどう矛盾しているのかが読み取れませんでした。
通信としては
- 外部のSMTPサーバから
mail.example.comに接続する - 接続後、SMTPによりメールを送信する
と言うシンプルなものですが、ここにDNSが絡んでくると追加の考慮が発生します。例えばGmailの場合だと example@gmail.com に送ろうと思うと、まず gmail.com のMXを探す必要が出てきます。(ここが設問のmail.example.comの部分)
では実際gmail.comがどうなっているかと言うとこうです。(2022/8/29時点)
% dig +short @8.8.8.8 gmail.com mx
40 alt4.gmail-smtp-in.l.google.com.
10 alt1.gmail-smtp-in.l.google.com.
30 alt3.gmail-smtp-in.l.google.com.
20 alt2.gmail-smtp-in.l.google.com.
5 gmail-smtp-in.l.google.com.
gmail.comに繋ぎたいのに、宛先ホスト名が gmail-smtp-in.l.google.com とかってなってます。じゃあそれは誰かって言うと
% dig +short @8.8.8.8 gmail-smtp-in.l.google.com a
142.251.8.26
142.251.8.26 だとわかります。これでようやくメールを送信するために接続する先のアドレスが142.251.8.26であり、その際外部からは「@gmail.com」で接続しにいくことになります。
この流れの中で、解説文と照らして疑問に思われている(矛盾していると思われている)のはどのあたりでしょうか?
takizawatさんの理解がうまく読み取れないのですが…
複数の違うIPアドレスに設定させるのがIPマスカレードなはず
これは送信元、宛先のどちらについて言及されているものですか?
考え方としては
- SNATは「受け取ったパケットをNATして”指定されたアドレス”から送信されたように見せかける」ものです。
- IPマスカレードは「受け取ったパケットをNATして”自分のIPアドレス”から送信されたように見せかける」ものです。SNATの特殊パターンと言えますね。
- どちらも指定の仕方(
-sで指定する対象)で1:1にも1:Nにもできます。
なのですが…
直接接続スタティックルートの場合、自分が隣接しているN/W(同じN/W内)に対してのみルーティングができるイメージなのですが、
これはどうして別ネットワーク(192.168.1.0/24)にルーティングができるのでしょうか?
Point-to-Point接続だから、ですね。
「このインターフェースから出せば受け取った相手がその宛先にルーティングしてくれる」と言う環境なのです。
スイッチから「人が座る机」までの間のケーブルを1本で済ませたいから、というのが一番わかりやすいかもしれません。
これまでPCだけが配備されていたオフィスに「既存のケーブルをそのまま流用してIP Phoneを追加できます!IP Phoneにはスイッチ向けとPC向けのポートがあるので、間に挟む形で設置すれば追加工事を抑えてIP Phoneを展開できます!」って言われたら、追加のケーブル不要で増やせるならいいかなって思って導入されやすくなる、という話かなーと。
単純に、Ciscoの実装がそうなっているからというだけの話ではあるのですが、それだけじゃ面白くないのでRFC 5905とか読んでみると良いかと思います。NTPv4の仕様について定義されているものですが、この中ではキー識別子とメッセージダイジェスト(MD5)が認証に使用されていると書かれてはいますが、SHA-1については言及がありません。(さらにいうと、MD5にセキュリティ的な問題があるのはわかっている、との記載もありますね)
ちなみに、RFC 5906をサポートしていればより強固なNTPセキュリティが担保されるようですが、CiscoではRFC 5906は現時点では実装していないようです。
以下のコマンドを例にすると
ip route 0.0.0.0 0.0.0.0 192.168.1.254 GigabitEthernet0/0
0.0.0.0 0.0.0.0が「デフォルトルート(0.0.0.0/0)」192.168.1.254が「デフォルトゲートウェイ」
です。シンプルにいうと「ルーティングテーブルにない宛先全てに該当する経路情報=デフォルトルート」「デフォルトルート宛のパケットを処理するルータ(などのネットワーク機器、それを表すIPアドレス)=デフォルトゲートウェイ」という関係性です。
例えばスイッチで ip routing が無効になっている場合はルーティングテーブルが存在しないので、デフォルトゲートウェイを設定しておく(ip default-gateway 192.168.1.254のような)ことで全ての外部向け通信を特定のアドレスに向けることが可能になるのですね。
お尋ねの正答選択肢のもう一方(認証で使用するポートが変更されている)を掘り下げると見えてきます。
設問の設定では
- スイッチが参照するRADIUSサーバの設定を確認している
- 設定されたサーバのポート番号がそれぞれ認証用:1801, アカウンティング用:1883となっている
- よってスイッチはこの設定を元に、宛先サーバのポート1801, 1883へRADIUS認証用のパケットを送信する
- 宛先となっているRADIUSサーバ側が、標準設定(デフォルト)のままだと、認証用:1812, アカウンティング用:1813で待ち受けるので、1801/1883ポートへパケットが送られても処理できない
- 処理できない=認証結果をスイッチに返さない
- 認証結果が返ってこない=スイッチがRADIUS認証を正しく行えない
という話なので、「サーバ側がデフォルト(標準)のポートを使う設定になっているのに、スイッチ側が標準とは異なるポートへアクセスするようにしたら認証に失敗するよね」ってだけのことかと思います。
デフォルトのSSHサーバ(ポート22番)に、意図的にポート2222とかでSSH接続しようとしても接続拒否される、というのと同じ話ですね。
以前の質問 https://mondai.ping-t.com/g/posts/189 が解決したのかどうかが個人的に気になっていますが、それはさておき。
宛先近くとは一体どういう意味なのでしょうか。
「意味が理解できない」ということなのですが、解説の冒頭にある
- 「標準アクセスリストには」で始まるブロック
- 「拡張アクセスリストには」で始まるブロック
についてどう理解されたかをお尋ねしても良いでしょうか?(解説で説明していることの繰り返しにならないようにするため)
私がループバックと聞くと一例として機器のアドレスが「127.0.0.1」になると思うのですが、
うーん、これって「ループバックアドレス」のことをおっしゃってますか?
https://tex2e.github.io/rfc-translater/html/rfc5735.html
127.0.0.0/8 - このブロックは、インターネットホストループバックアドレスとして使用するために割り当てられます。
で、質問の元になっている「OSPFのループバック」と言われているのは正しくは「Cisco IOS内の論理的なインターフェースであるLoopbackインターフェースに割り当てたIPアドレス」のことではないかと思います。
Loopbackインターフェースも物理インターフェース(GigabitEthernetなど)と同じように、任意のIPアドレスを割り当てることが可能なので、好きなように「1.1.1.1」とか「2.2.2.2」を使ってるだけだと思いますよ。
前半の質問だけならなんとか答えられそうです。
SSLの有効化がなぜポート80では出来ないのかがどこを調べても分からず、、、。
やろうと思えばできますよ、普通やらないだけで。解説にも
SSLでの接続時に使用するHTTPS(ポート443番)
とあるように、「インターネットの世界では特に指定がない場合、HTTPSはポート443、暗号化のないHTTPはポート80を使う」というのが標準(共通認識)なので、サーバ側が「443も80もHTTPS対応にするぜ!」ってやったとしても、クライアント(ブラウザ)が標準に従っている場合、暗号化なしでポート80に接続した場合、サーバが「暗号化通信じゃないのでNG」って接続拒否することになります。
そういうサーバを用意しても「誰もちゃんと繋ぎにこない…」ってなるだけなので、普通はやらない(標準に従う)ってだけのことです。
ポート443はhttpsでSSL有効化されてるからむしろそちらをSSLEngine onにしても素人目線では無駄かと思ってしまいます。
こっちの意図がよくわからないのですが、「ポート443だからと言って、暗号化が自動的に行われる(SSLEngine onする必要がない)」ということはないので、ポート443側のVirtualHostにSSLEngine Onするのが「標準に従った設定」となりますよ、というぐらいでしょうか…
普通にmkdir でディレクトリを作る場合は、「/」要らないですよね?
設問が
ホームディレクトリに\workディレクトリを作成することができるコマンドはどれか
なので、「ホームディレクトリ」が確実に指定されてないとダメなんじゃないですかね? / なしだと「現在のディレクトリ」になるので、ホームディレクトリであることが保証できないんじゃないかと。
おそらく mkdir ~\\work の選択肢のことを聞かれてるのだと思うのですが、 ~ 単体だと「ホームディレクトリ」の意味を持ちますが、~\work だとホームディレクトリの意味が消え失せてしまうのですよね。ホームディレクトリの意味を残すためには ~/ としないとダメ、ってことなんですよね。
何が動作しているんでしょうね?
そもそもRA-RB / RB-RC / RB-RDはBGPで接続しているとはなっていますが、RA-RDは「直接接続していない」と解説にも記載があるので、「接続していないもの同士で何が動作しているか」はこの図からは全く読み取れないです。
逆に、「RAとRD間では何が動作しているの」かは重要なのか?と気になってしまいました。
初歩的ではないですが、規模によって有用性が感じられないかもしれませんね。
イメージしやすい一例で言えば「インターネットへの出口が2つある」構成ですかね。この場合、スタティックにデフォルトルートを登録すると、向けた側との接続が切れてしまうとせっかく2つ用意した出口のもう一つが使われなくなってしまいます。こう言う時、それぞれの出口となるルータからデフォルトルートを広告してもらうようにしておいて、その経路情報が一時的にでもなくならないように(OSPFの再計算が発生しないように)alwaysを使うとかかなと。
もう一つはイメージしにくいかもですが、「インターネット接続をデフォルトルートではなく個別の経路情報としてもらっている場合」とかですね。「自分がデフォルトルートとなるように広告しないといけないが、自分がデフォルトルートとして使用する経路がない」場合なんかが該当します。
こっちのパターンを理解するとしたら「必ずしもすべてのルータにとってデフォルトルートが存在するわけではない」というのがポイントですかねー。