トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 01 - DynagenでCCIEを目指す

採点結果

トピック	正誤	備考
1.1 Layer 2 Features	×	問題文誤読
2.1 OSPF	×	問題文誤読
2.2 IGP Features	○
2.3 BGP Bestpath Selection	○
3.1 IPv6 Addressing	○
3.2 IPv6 Multicast Basics	×
4.1 LDP	×	問題文見落とし
4.2 VPN	○
5.1 RP Assignment	○
5.2 Multicast Testing	○
5.3 Multicast Filtering	○
6.1 Denial of Service Traking	○
6.2 Spoof Preventation	○	問題文が複数の意味に読み取れましたが、模範解答の解答の可能性も考慮できたので正解とします。
6.3 Information Leaking	×	問題文誤読(語彙力不足)
6.4 Control Plane Protection	×	知識不足
7.1 RMON	○
7.2 NTP	○
7.3 NTP Authentication	×	問題文誤読
7.4 Traffic Accounting	○
7.5 Gateway Redundancy	○
7.6 Network Address Translation	○
7.7 Embedded Event Manager	○	模範解答と異なりますが、正解にします。
8.1 Frame Relay Traffic Shaping	×	問題文誤読
8.2 Rate Limiting	×	問題文誤読
8.3 CBWFQ	○
8.4 Catalyst QoS	×	知識不足

所感

• 問題文の誤読による不正解が目立ちます。制限時間が短い試験ですが、次回以降、焦らずに問題文をじっくり読む事で失点を防ぎたいと思います。
• "2.2 IGP feature", "2.3 Bestpath Selection"は模範解答と異なる答案を作成しましたが、正解扱いにしたいと思います。IGP, BGPは解答例が無限に存在するので、正解にすべきか不正解にすべきか判断に苦しみます。近いうちに、MOC labを受験して、私の採点基準が甘すぎないかどうかを確認したいと思います。

lab01 1.1 Layer 2 Features

問題文誤読

以下をprotected portによって実装してしまいました。protected portでも題意は満たしますが、VLAN281を使っても良いという指示から"private vlanを使用しろ"という出題意図が読み取れるので、不正解扱いにします。

• These ports should still be allowed to communicate with R2's VLAN28 interface but not SW2's V28 interface.
• You are not allowd to use VLAN ACLs to accomplish this, but you are allowed to create and use additional VLAN 281.

lab01 2.1 OSPF

問題文解釈

私は以下問題文を"OSPF(protocol number 89)をACLで拒否するな"の意味に捕えてしまいました。しかし、出題意図は"neighborをunicastで確立し、frame relay網内に新たなOSPFルータが現れたとしても通信を阻害しないしないようにして下さい"の意味です。unicast neighborを設定するメリットとして、ルータ追加時に通信断が発生しない事が挙げられる事を理解していないと、問題文を出題意図通りに読み取るのは難しいと思います。

• Ensure that other devices running OSPF on the segment between R4 and R5 cannot intercept the OSPF communication between R4 and R5.

lab01 4.1 LDP

問題文誤読

以下の問題文を誤読してしまいました。私は"MPLS neighborをLoopbackからgenerateする"の意味に誤読してしまいましたが、"Loopback address(150.X.0.0/16)に対してのみラベルをgenerateする"の意味です。時間がないからと言って、問題文を斜め読みしてしまうと、酷い思い込みによる間違いを犯す可能性があります。

• Configure so that the labels are only generated for the respective router's Loopback0 interfaces.

lab01 6.2 Spoof Preventation

問題文解釈

以下の問題文の意味が複数通りに取れてしまいました。単にaccess-listで拒否すれば良いのか、uRPF checkを実装すべきなのかが分かりませんでした。迷ったすえ、access-listで拒否してしまうと、6.1の設定が満たせなくなると思い、uRPF checkを実装してしまいました。しかし、模範解答はaccess-listでした。
なお、uRPF checkはcatalyst swithcに対して設定ができないため、uRPF checkでBB3からのアドレス偽装を拒否する事はできません。問題文に"BB1, BB2, or BB3"と書いてあったため、uRPFを設定してしまいました。

• To help prevent this type of attack in the future configure your network so that traffic will not be accepted from BB1, BB2. or BB3 if it sourced from your address space 183.X.0.0/16.

lab01 6.3 Information Leaking

問題文誤読

問題文を完全に誤読しました。原因は語彙力不足で、"reconnaissance(偵察する)"の意味が分からなかった事です。
"In order to minimize information exposere"という記述から、"情報を減らす" -> "不要なルーティング情報を受け取らない"と苦し紛れの推測をしてdistribution-listを定義してしまいました。下手に設定を投入すると、正答の設定まで壊れてしまう可能性が高いので、意味を理解できなかった問題は素直に捨てた方が高いスコアが出そうな気がしました。

• Your security manager is concerned with potential network reconnaissance attack originating from behind BB2.
• In order to minimize information exposure configure SW4 not to notify hosts behind BB2 of nay networks that it does not know about.
• Additionally, SW4 should not disclose tis network mask to nay host the VLAN 102 segment.

lab01 7.3 NTP Authentication

問題文誤読

以下の部分を完全に誤読してしまいました。"R3, R6がBB1, BB3を認証する"の意味に捕えてしまいました。誤読の原因は、authenticateの意味を知らなかったせいです。authenticateを辞書で調べると、"本物である事を証明する", "to prove that something is true or real"と定義されています。
"configure R3 and R6 to be authenticated"を直訳すると、"R3とR6が本物である事を証明するよう設定しなさい"となります。すなわち、R3, R6にkeyを設定し、R1, R2, R4, R5, SW1, SW4はこのkeyを信頼するように設定するという意味になります。

• In order to ensure that your internal time servers are not being spoofed, configure R3 and R6 to be authenticated using the MD5 password CISCO.

lab01 7.7 Embedded Event Management

別解答例

模範解答と異なる解答を作成しましたが、恐らく問題ないと思います。しかし、模範解答のように、syslog eventで定義した数値が環境変数として使用できる事も覚えておきましょう。

• 私の解答

event manager applet APP_DETECT_LOAD
 event interface name Serial0/0/0 parameter txload entry-op gt entry-val 204 entry-type value poll-interval 10
 action 1.0 cli command "enable"
 action 2.0 cli command "show interfaces Serial 0/0/0 | include "(Serial|txload)"
 action 3.0 syslog msg "$_cli_result"
!
interface Serial 0/0/0
 load-interval 30

• INE模範解答

event manager applet INTERFACE_MONITOR
 event interface name Serial0/0/0 parameter txload entry-op gt entry-val 204 entry-type value poll-interval 1
 action 3.0 syslog msg "R6's $_interface_name out put rate:
$_intarface_parameter = $_interface_value"
!
interface Serial 0/0/0
 load-interval 30

lab01 8.1 Frame Relay Traffic Shaping

問題文誤読

Beの計算を誤りました。"maximum transmission"とは、瞬間最大速度として1536Kbpsとなるという意味です。具体的にいえば、tc(50 msec)の間だけ1536Kbps送信できるという意味ですので、Beは以下のように算出する事ができます。

 Bc + Be = 1536 Kbps * 50 msec

• R5's connection to the Frame Relay cloud supports a transmission rate of 1536Kbos.
• In the case that R5 has accumulated credit it should be allowed to burst up to the maximum transmission rate supported on the circuit to R4.
• Assume an Interval (Tc) of 50ms.

lab01 8.2 Rate Limiting

問題文誤読

模範解答はMQC Policingを実装していましたが、私はLegacy CARを実装してしまいました(問題文タイトルにRate Limitingと書かれていたので、rate-limitコマンドを使いたくなってしまいました)。不正解とは言い切れませんが、今回は不正解扱いにしたいと思います。
問題文で明示的にLegacy CARと記載されていない限りは、MQC Policingを使用したいと思います。

• 私の解答

interface FastEthernet0/0
 rate-limit output access-group 182 128000 4000 4000 conform-action transmit exceed-action drop
!
access-list 182 permit icmp any any

• INE模範解答

class-map match-all ICMP
 match protocol icmp
!
policy-map POLICE_ICMP
 class ICMP
  police cir 128000 bc 4000
!
interface FastEthernet0/0
 service-policy output POLICE_ICMP