arashi1977さんの助け合いフォーラム投稿一覧

CDP(Cisco Discovery Protocol) はその名の通り「隣接しているCiscoデバイスの情報を確認」するためのシスコ独自のプロトコルです。
対してLLDP(Link-Layer Discovery Protocol) は IEEE 802.1AB で規定された「標準」プロトコルであり、シスコ以外のベンダーも実装して利用しています。

使い分けたいかどうかは環境によると思います。全部シスコ製品だから CDP 使う、でもいいですし、シスコも含むマルチベンダーで構成しているから LLDP を使う、とか。オールシスコだけど標準準拠でいきたいから LLDP ってのもありですね。

サーバ自身宛か、別のホストへ転送すべきものかを判断するための「ルーティング」ですね。サーバだからといって受け取る全てのパケットが「自分自身宛」とは限りません。

ARPテーブルってARP(Address Resolution Protocol)によって解決した情報を記録してあるものですよね。で、ARPが何のためにあるかって、「あるIPアドレスを持つ装置のMACアドレス」を知りたいからですよね。その目的って「IPで通信するために、IPパケットの送信先になるMACアドレスを知る」ことです。

で、今回の話で言うと「L2スイッチ自体が誰かとIPで通信する」場合にはARPが必要ですしそのためのARPテーブルを持つわけですが、それがない前提ですよね？（スイッチは基本的にL2フレームをスイッチングするだけなので、IPで通信するものではない）
また、「（DHCPスヌーピング）バインディングデータベースがARPテーブルと同一視できるか」と言うお話であれば、DHCPどこいった？って話になりますよね。

と言うことで結局は

単に用途の違い

と言うことになるかなぁと思います。

攻撃元が異なるアドレスに切り替わったとしても、そのアドレスからの「過剰な」リクエストレートを判断基準にしているので特に問題ないと思うのですが…
もしよければ ksjym2 さんが「適切」と思われるこの問題の他の選択肢とその理由をお聞かせいただけないでしょうか？

宛先はSwitchBの「5555.5555.5555」だと考えたのですが

SwitchB の 5555.5555.5555 は「SwitchBそのもの」宛という意味になってしまうので違うんですね。SwitchB の向こうにいる RouterB に渡したいので、　6666.6666.6666 じゃないといけないのです。

なぜこのMACアドレスは「3」の位置ではなく、「4」の位置で使われるべきなのでしょうか。

ここはちょっと意図が読み取れなかったので、補足いただけるとありがたいです。

CCNAの問題ID: 6865の参考にも記載があります。抜粋すると

クラスBは第2オクテット（16ビット）までがネットワーク部なので「/16」となります。

です。

なので、128.0.0.0-191.255.255.255は

• 128.0.0.0/16
• 128.1.0.0/16
• 128.2.0.0/16

のように、 /16 ごとがクラスフルの範囲です。クラスBのアドレス範囲だけではなく、ネットワーク部のサイズまで意識する必要があります。

確かに。「または」ではなく「および」とかならわかります。

また、file.txtの中身が問題文に無い、行頭や行末の指定もないです。

ここはまぁそういうものです。どのような内容であったとしても設問の条件に合う行が抽出できる検索文字列を問われているので、 file.txt がどのような内容であったとしても設問の条件を満たすものを選べば良いので。

この問題はcatとcatsどちらも含むものを正解としていると認識しておりますが、いかがでしょうか？

ここは同じ認識です。

うーん…そもそも設問が

下図のSwitchに「switchport trunk allowed vlan add 110」を設定したときの動作について

なのですから、「設定が反映されたところまで」が表示されてたらそれはすでに問題として意味がないのではないでしょうか？「この状態にこの設定を入れたらどうなる？」という問題を「この状態のスイッチの動作として正しいものは？」に変えるべきということであれば、どの段階の図を表示するかではなく問題自体を変更するようにというお話になりますよね。
この問題と回答、解説に誤りがあるわけではないのであれば、問題の形式を変える必要性はないのではないかなぁと思います。

誤答解説のこの部分ですか？

シングルAZ構成では高可用性やフェイルオーバーを実現できませんので、誤りです。

確かに「フェイルオーバー」はシングルAZ構成でもできますが、当該AZ障害の場合はフェイルオーバーする先ごとなくなるので「高い可用性を確保」しているとは言えないから、ということなのかなぁと思います。そういう意味では記述が明確ではないかなぁって気がしますね (^^;

192.168.20.18のホスト部は第４オクテットの.18を２進数表記したときの00001011の「1011」

ここが間違いですね。18を2進数表記したら 0001 0010(16+2) になります。 1011 だと「11（8+2+1）」です。

経緯や何かはこちらが参考になるかなと思います。

Geekなページ：IPv6アドレスにおける「インターフェース識別子」という名称の謎とModified EUI-64によるIPv6アドレス生成
https://www.geekpage.jp/blog/?id=2020-7-21-1

EUI-64では、グローバルに一意な値である場合にはuniversal/localビットが0なので、 64ビットのうち、最下位ビットのみが1となるような値（注：インターフェース識別子部分が「::1」となるようなアドレスのこと）は、グローバルに一意という意味があることになってしまいます。

たとえば、2001:db8::1というユニキャストIPv6アドレスを手動で設定したとき、Modified EUI-64ではなく、通常のEUI-64を採用していた場合、 インターフェース識別子に含まれるuビットが0 となるので、 64ビットのうち最下位ビットのみが1というインターフェース識別子がグローバルに一意であるものを示すことになってしまう わけです。

しかし、 手動設定での2001:db8::1というユニキャストIPv6アドレスの下位64ビットは世界で一意となるようなユニークな値ではありません。 こういう設定を行いたい人が多そうなので、 Modified EUI-64では、uビットが0の場合はlocalで、1の場合がuniversalという風に、意味を反転させたのです。

①ポリシーのデフォルト値そのものを変えてしまう

ですね。 iptables でいう、 -P オプションのことです。

①の場合、ufw resetは、ufw defaultで変える前の標準のデフォルトに戻るのではなく、
①で変えた後のデフォルトに戻ることになりますか？

その通りです。実機でやるとそのようになりますね。

$ sudo ufw status verbose
Status: inactive   ←初期状態はinactive（ufwが動作していない）
$ sudo ufw --force enable
Firewall is active and enabled on system startup
$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)   ←incoming:deny, outgoing allow になっている
New profiles: skip
$ sudo ufw default allow incoming   ←incoming:allowにdefaultポリシーを変更
Default incoming policy changed to 'allow'
(be sure to update your rules accordingly)
$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: allow (incoming), allow (outgoing), disabled (routed)   ←incoming:allowになっている
New profiles: skip
$ sudo ufw --force reset
Backing up 'user.rules' to '/etc/ufw/user.rules.20240828_140215'
Backing up 'before.rules' to '/etc/ufw/before.rules.20240828_140215'
Backing up 'after.rules' to '/etc/ufw/after.rules.20240828_140215'
Backing up 'user6.rules' to '/etc/ufw/user6.rules.20240828_140215'
Backing up 'before6.rules' to '/etc/ufw/before6.rules.20240828_140215'
Backing up 'after6.rules' to '/etc/ufw/after6.rules.20240828_140215'

$ sudo ufw status verbose
Status: inactive
$ sudo ufw --force enable
Firewall is active and enabled on system startup
$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: allow (incoming), allow (outgoing), disabled (routed)   ←reset後もdefaultで設定した incoming:allow は変わっていない
New profiles: skip

以下の内容について疑問があります。
記載内容として正確性に欠けると思われます。

疑問なのか記述に対する訂正希望なのかがいまいちわからないので疑問についてのお話として考えてみました。
ただ、疑問のポイントがよくわからないのですが、設問の条件は

AWSアカウントを持っていないユーザーに、非公開設定されたAmazon S3のデータへアクセスさせたい。

なので、「AWSアカウントベースでの制御は不可」な相手に「非公開設定＝パブリックアクセスではない」のオブジェクトを参照させたいというもののはずです。
「★1、★2 の記載」というのは「AWSアカウントを持っているユーザーがアクセス権限設定の対象なので」に対してのものだと理解したので「バケットポリシー or ACL でパブリックアクセスにすればできるじゃん」というご認識なのだと読み取りましたが、それは「非公開設定されたデータを非公開じゃなく世界中全てに公開する設定に変更すればいいじゃん」と同じことかと思いますので、上記の条件を無視（条件を勝手に変更）しているのでこの問題の回答を導くには不適切かなと思います。

GigabitEthernet0/1の場合は接続先のスイッチのMacアドレスが表示されているのでしょうか？

はい、トランクリンクなので対向スイッチの（同一） MAC アドレスが見えているという状況ですね。

また、FastEthernet0/2もトランクポートだと思うのですが、vlanが一つか複数かでMacアドレスの表示が変わってくるのでしょうか？

ここがよくわからなかったのですが、なぜトランクポートだと思ったのでしょうか？Fa0/2 が紐づいた VLAN は 20 だけしかないので、

interface FastEthernet0/2
 switchport mode access
 switchport access vlan 20

となっている Fa0/2 の先にスイッチまたはハブが接続されているという状況かと思うのですが…

これではFa0/11が非指定ポートになりブロッキング状態になります。そうなるとFa0/11がブロッキング状態なので、

正答は

Switch1(config)#interface FastEthernet 0/12
Switch1(config-if)#spanning-tree vlan 2 port-priority 16

と、Switch1 の Fa0/12 において VLAN2 のポートプライオリティを変更しているものです。VLAN1 の設定は変更していないので、Fa0/11 は設定前と同じく Switch1:Desg / Switch2:Root のままで転送はできると思いますが、「要件を満たせない」というのはどういう状況のことをおっしゃっていますか？