管理メニュー

DynagenでCCIEを目指す

INE Workbook Volume II lab 02

最終更新:

it_certification

- view
管理者のみ編集可

採点結果

トピック 正誤 備考
1.1 Link Aggregation × 知識不足
1.2 802.1x Authentication × 知識不足
1.3 Performance Optimization × 知識不足
2.1 OSPF
2.2 EIGRP
2.3 RIP Filtering 問題文が複数の意味に読み取れましたが、模範解答の解答の可能性も考慮できたので正解とします。
2.4 IGP Redistribution 模範解答と異なりますが、正解とします。
2.5 BGP Peering
2.6 BGP Filtering 問題文が複数の意味に読み取れましたが、模範解答の解答の可能性も考慮できたので正解とします。
2.7 BGP Summarization
2.8 BGP Tuning × vol I 記憶漏れ
3.1 IPv6 Development
4.1 L2 VPN × 知識不足
5.1 Multicast Testing
5.2 Multicast Traffic Control × 知識不足
6.1 Router Hardening × 知識不足
6.2 Zone-Based Firewall
6.3 Traffic Logging
6.4 ICMP Filtering × ケアレスミス
7.1 RMON
7.2 Remote Access
7.3 Remote Access Security
7.4 Syslog × vol I 記憶漏れ
7.5 System Management × 知識不足
8.1 Congestion Management
8.2 Policy Routing
8.3 Congestion Managemtn
8.4 Frame Relay Traffic Shaping × 計算ミス

所感

  • 全体的に"知らんがな"の問題が多かったです。"まだまだ覚える事が沢山ある"と思うと気が滅入ります。


lab 02 1.1 Link Aggregation

まとめ

LACPは最大16本までをLACPの候補として設定できますが、activeにできるのは8本までです。そのため、LACPには以下lacp priorityを用いてacitiveなポートを選出する機能が備わっています。 
┏━━━━━━━━━━┳━━━━━━┳━━━━━━━━━┳━━━━━━┓
┃lacp system-priority┃ mac address┃lacp port-priority┃ port-number┃
┗━━━━━━━━━━┻━━━━━━┻━━━━━━━━━┻━━━━━━┛
 <----------------------------------><--------------------------------> 
               system id                            port id
 <--------------------------------------------------------------------> 
                               lacp priority
まず、各スイッチのsystem idを比較し、system idが最も小さいスイッチをlacp dicision maker(LACPのactiveポートを選出するスイッチ)として選出します。次に、lacp dicision makerは各ポートのlacp priorityを比較し、lacp priorityが小さいポートをactiveポートとして選出します。

これらのパラメータをチューニングするには、以下のコマンドを使用します。 
Router(config)# lacp system-priority priority
Router(config-if)# lacp port-priority priority

lab 02 1.2 802.1x Authentication

まとめ

dot1xの認証設定は以下の通りです。ヘルプストリングでは、認証名, 認証方式に多数の候補が表示されますが、サポートされるのはdefault group raduisのみです。 
Router(config)# aaa new-model
Router(config)# aaa authentication default group radius

dot1xを使用するためには、グローバルにdot1xを有効化する設定を投入する必要があります。 
Router(config)# dot1x system-auth-control

dot1xを有効にしたいポートに対して以下のコマンドを投入します。dot1xが有効にできるのはaccess portのみです。 
Router(config-if)# swtichport mode access
Router(config-if)# dot1x port-control auto

dot1xには、single host modeとmulti host modeが存在します。デフォルト設定は、1台のホストのみが接続可能なsingle host modeです。複数台のホストが接続可能なmulti host modeに変更するには以下のコマンドを入力します。 
Router(config-if)# dot1x host-mode multi-host

dot1xには再認証の機能が備わっています。再認証とは、一定間隔でホストを認証する設定で、デフォルトでは無効化されています。再認証の設定は以下の通りで、serverを指定した場合はRADIUSサーバで定義された認証間隔を使用します。 
Router(config-if)# dot1x timeout reauth-period [ sec | server ]

lab 02 1.3 Performance Optimization

まとめ

Catalyst SwitchはSDM templateを編集する事でルーティングまたはスイッチングに特化される事ができます。設定コマンドは以下の通りで、設定を反映させるには再起動が必要です。 
Router(config-if)# sdm prefer [ default | vlan | routing ]

設定確認は以下の通りです。デフォルト設定では2000 prefixのルーティングがサポートされている事が読み取れます。 
Rack12SW1#show sdm prefer
 The current template is "desktop default" template.
 The selected template optimizes the resources in
 the switch to support this level of features for
 8 routed interfaces and 1024 VLANs.

  number of unicast mac addresses:                  6K
  number of IPv4 IGMP groups + multicast routes:    1K
  number of IPv4 unicast routes:                    8K
    number of directly-connected IPv4 hosts:        6K
    number of indirect IPv4 routes:                 2K
  number of IPv4 policy based routing aces:         0
  number of IPv4/MAC qos aces:                      0.75K
  number of IPv4/MAC security aces:                 1K

Rack12SW1#

ルーティングに特化した設定に変更すると、8000 prefixのルーティングがサポートされている事が読み取れます。 
Rack12SW1#show sdm prefer
 The current template is "desktop routing" template.
 The selected template optimizes the resources in
 the switch to support this level of features for
 8 routed interfaces and 1024 VLANs.

  number of unicast mac addresses:                  3K
  number of IPv4 IGMP groups + multicast routes:    1K
  number of IPv4 unicast routes:                    11K
    number of directly-connected IPv4 hosts:        3K
    number of indirect IPv4 routes:                 8K
  number of IPv4 policy based routing aces:         0.5K
  number of IPv4/MAC qos aces:                      0.75K
  number of IPv4/MAC security aces:                 1K

Rack12SW1#

lab02 2.3 RIP Filterring

問題文解釈

深読みし過ぎて、問題文の赤字部分が気になりました。"単純にBB3からのルートを拒否すれば良いのか(一緒にSW2からのルートも拒否して構わないのか)" それとも"BB3からのルートを拒否しSW2からのルートは許可するのか"が分かりませんでした。後述の"2.4 IGP Redistribution"で"IGP domaiのreachabilityを保証しなさい"との指定があったので、SW2からのルートは拒否してはいけないものだと思ってしまいました。
  • Configure SW1 so that it does not accept routes with an even second octet from BB3

別解答例

  • 私の解答
 SW1:
interface Tunnel0
 ip unnumbered Vlan783
 tunnel source Vlan783
 tunnel destination 204.12.XX.8

router rip
 offset-list 1 in 16 Vlan783

 SW2:
interface Tunnel0
 ip unnumbered Vlan783
 tunnel source Vlan783
 tunnel destination 204.12.XX.7
  • INE模範解答
 SW1:
router rip
 offset-list 1 in 16 Vlan783

lab02 2.4 IGP Redistribution

まとめ

再配送は異なるルーティングドメイン間の疎通を可能にする機能ですが、"suboptimal routing", "routing loops"などの問題が発生しえます。これらの問題を解決するためには、以下を実装する必要があります。
  • Rule 1 : Router should always prefer internal prefix information over any external information
  • Rule 2 : Sprit-Horizon : Never redistribute a prefix injected from domai A into B back to domain A

Rule 1について議論します。EIGRPは、AD値によりinternal EIGRPよりもexternal EIGRPの方が優先されます。OSPFは、inner, internal, externalの順で優先されます。しかし、RIPはinternal prefixが優先される機能は備わっていません。そこで、RIPは再配送する際にseed metricを8にする事でinternalが優先されるようになります(maximum hopsが16なので、再配送されたmetricが8とすれば、経験則としてinternal RIPが優先されれます。)

Rule 2について議論します。RIP, EIGRPはsplit-horizonがデフォルトで有効になっています。OSPFに関しては、再配送を実施したルータは再配送したルートをOSPF databaseに格納しない事によって、"教えられたルートを教え返さない"ようにしています。

受験テクニック

CCIE試験では、実践ではありえないくらい複雑な再配送処理を行います。そこで、まず以下のようなdistribution diagramを作成し、構成を整理します。 
 120/120               110/169                90/170
┏━━━┓            ┏━━━┓            ┏━━━┓
┃      ┃            ┃      ┃<----R2---->┃      ┃
┃RIPv2 ┃<---SW1---->┃ OSPF ┃<----R3---->┃EIGRP ┃
┃      ┃            ┃      ┃<----R4---->┃      ┃
┗━━━┛            ┗━━━┛            ┗━━━┛

以下の経験則に基づいて、AD値の調整やルートフィルタを実装します。(但し、経験則なので例外もあります。この規則で実装できないパターンについては、後述のシナリオで出題されます。)
  • Rule 1 : For every IGP, the distance for non-native (external) prefixes should be higher than any other native distance among other routing protocols.
  • Rule 2 : If there is a central routing domain providing transit services to other "edge" routing domains its external AD should be the lowest among other routing domain ADs.
  • Rule 3: For every routing domain, check if its native prefixes loop back through the redistribution topology. Start with a given domain and follow along the arrows noticing if the routes may ever loop back.


lab 02 5.2 Multicast Traffic Control

まとめ

pim nbma-modeは、frame relay網のハブルータに対して投入する設定です。この機能を有効にすると、教えられたルートを教え返す(split horizon無効化)ようになり、reachabilityを保証できるようになります(ここまでは vol Iで学習済みです)。
また、nbma-modeを有効にすると、マルチキャストパケットを全ルータにフラッディングするのではなく、必要なDLCI宛てのみをフラッディングするようになります。まずは、nbma-modeが未設定の状態のルーティングテーブルを確認します。特にDLCI(next-hop)を意識した制御がなされていない事が読み取れます。 
Rack12R2#show ip mroute 228.28.28.28
IP Multicast Routing Table
Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected,
       L - Local, P - Pruned, R - RP-bit set, F - Register flag,
       T - SPT-bit set, J - Join SPT, M - MSDP created entry,
       X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement,
       U - URD, I - Received Source Specific Host Report,
       Z - Multicast Tunnel, z - MDT-data group sender,
       Y - Joined MDT-data group, y - Sending to MDT-data group
Outgoing interface flags: H - Hardware switched, A - Assert winner
 Timers: Uptime/Expires
 Interface state: Interface, Next-Hop or VCD, State/Mode

(*, 228.28.28.28), 00:12:42/00:02:35, RP 150.12.2.2, flags: S
  Incoming interface: Null, RPF nbr 0.0.0.0
  Outgoing interface list:
    Serial0/0, Prune/Sparse, 00:01:13/00:00:00
    Serial0/0, Forward/Sparse, 00:00:55/00:02:35

(132.12.26.6, 228.28.28.28), 00:08:04/00:02:40, flags: T
  Incoming interface: FastEthernet0/0, RPF nbr 0.0.0.0
  Outgoing interface list:
    Serial0/0, Prune/Sparse, 00:01:14/00:00:00
    Serial0/0, Forward/Sparse, 00:01:10/00:03:19

Rack12R2#


まずは、nbma-mode設定後のルーティングテーブルを確認します。DLCI(next-hop)を意識した制御がなされている事が読み取れます。 
Rack12R2#show ip mroute 228.28.28.28
IP Multicast Routing Table
Flags: D - Dense, S - Sparse, B - Bidir Group, s - SSM Group, C - Connected,
       L - Local, P - Pruned, R - RP-bit set, F - Register flag,
       T - SPT-bit set, J - Join SPT, M - MSDP created entry,
       X - Proxy Join Timer Running, A - Candidate for MSDP Advertisement,
       U - URD, I - Received Source Specific Host Report,
       Z - Multicast Tunnel, z - MDT-data group sender,
       Y - Joined MDT-data group, y - Sending to MDT-data group
Outgoing interface flags: H - Hardware switched, A - Assert winner
 Timers: Uptime/Expires
 Interface state: Interface, Next-Hop or VCD, State/Mode

(*, 228.28.28.28), 00:16:13/stopped, RP 150.12.2.2, flags: S
  Incoming interface: Null, RPF nbr 0.0.0.0
  Outgoing interface list:
    Serial0/0, 132.12.0.1, Forward/Sparse, 00:01:27/00:03:01

(132.12.26.6, 228.28.28.28), 00:00:07/00:03:29, flags: T
  Incoming interface: FastEthernet0/0, RPF nbr 0.0.0.0
  Outgoing interface list:
    Serial0/0, 132.12.0.1, Forward/Sparse, 00:00:07/00:03:22

Rack12R2#

lab02 6.1 Router Hardening

まとめ

Source routingを拒否する方法として以下の2通りが挙げられます。
まず1つ目の方法は以下のようなACLをinterfaceに適用する方法です(vol I 学習済み)。 
ip access-list extended DROP_SOURCE_ROUTE
 10 deny ip any any option ssr
 20 deny ip any any option lsr
 30 permit ip any any
もうひとつの方法がルータ全体に対してSource routingを無効化する方法です。 
Router(config)# no ip source-route


lab02 7.2 Remote Access

まとめ

以下のコマンドで、telnetログインしたユーザがabsolete-timeoutにより切断される前に、"間もなく切断される"旨の警告メッセージを表示させる事ができます。 
Router(config-line)# logout-warning sec

lab02 7.4 Syslog

まとめ

syslogの紛らわしい設定について復習します(vol I 学習済み)。
以下のコマンドでsyslogサーバに転送するログのlog levelを定義します(trapではありません) 
Router(config-line)# logging trap level
以下のコマンドでsyslogをSNMP trapとして転送する際のlog levelを定義します。 
Router(config-line)# logging history level


ethernet I/Fではlink up/downの際にログが出力されます。しかし、frame relay I/Fの場合は、以下のようにログ出力させる条件を変更する事ができます。 
Rack12R3(config-if)#logging event ?
  dlci-status-change  DLCICHANGE messages
  frame-relay         Frame-relay messages
  link-status         UPDOWN and CHANGE messages
  subif-link-status   Sub-interface UPDOWN and CHANGE messages

Rack12R3(config-if)#logging event

lab02 7.5 System Management

Cataylstスイッチのmodeボタンを長押しするとconfigが初期化され、スイッチが再起動します。その後、10.0.0.1にhttpアクセスするとGUIのセットアップができる機能がSETUP EXPRESSです。
セキュリティ上の観点から、この機能を無効化するには以下のコマンドを入力します。 
Router(config)# no setup express


lab02 8.4 Frame Relay Traffic Shaping

計算ミス

Bcの算出方法は正しく理解していましたが、Bcの暗算を間違えてしまいました。
事故防止の図るために、今後は、電卓かExcelで計算をするようにしたいと思います。

まとめ

また、bcの設定を漏らしてしまいました。私は、cir, tcのみを定義する設定を作成しましたが、cir, tcのみではintervalの設定が反映されないようです。
  • 私の解答
 SW2:
map-class frame-relay DCLI_OTHER
 frame-relay cir 182000
!
map-class frame-relay DCLI204
 frame-relay tc 10
 frame-relay cir 128000

 omitted

Rack12R2#show traffic-shape

Interface   Se0/0
       Access Target    Byte   Sustain   Excess    Interval  Increment Adapt
VC     List   Rate      Limit  bits/int  bits/int  (ms)      (bytes)   Active
213           56000     875    7000      0         125       875       -
205           56000     875    7000      0         125       875       -
204           128000    2000   128000    0         125       2000      -
201           182000    2843   182000    0         125       2843      -
203           182000    2843   182000    0         125       2843      -
Rack12R2#
  • INE模範解答
 SW2:
map-class frame-relay DCLI_OTHER
 frame-relay cir 182000
!
map-class frame-relay DCLI204
 frame-relay cir 128000
 frame-relay bc 1280

 omitted

Rack12R2#show traffic-shape

Interface   Se0/0
       Access Target    Byte   Sustain   Excess    Interval  Increment Adapt
VC     List   Rate      Limit  bits/int  bits/int  (ms)      (bytes)   Active
213           56000     875    7000      0         125       875       -
205           56000     875    7000      0         125       875       -
204           128000    160    1280      0         10        160       -
201           182000    2843   182000    0         125       2843      -
203           182000    2843   182000    0         125       2843      -
Rack12R2#

受験テクニック

問題文で、"Use the lowest interval(Tc)"との指定がありますが、Tcの最小値は暗記する必要はありません。ヘルプストリングから確認する事ができます。 
Rack12R2(config)#map-class frame-relay DCLI204
Rack12R2(config-map-class)#frame-relay tc ?
  10-10000  Tc, milliseconds

Rack12R2(config-map-class)#frame-relay tc
「INE Workbook Volume II lab 02」をウィキ内検索
DynagenでCCIEを目指す
人気記事ランキング
  1. トップページ/動作検証 ネットワーク系/20100621 BGP タイマーの調節
  2. トップページ/動作検証 ネットワーク系/CBAC 基本設定
  3. トップページ/動作検証 ネットワーク系/http server management
  4. トップページ/動作検証 ネットワーク系/tcp intercept
  5. トップページ/動作検証 ネットワーク系/INE Mock lab 02
  6. トップページ/動作検証 ネットワーク系/20100825 HSRP
  7. トップページ/動作検証 ネットワーク系/INE Workbook Volume I Bridging Switching
  8. トップページ/動作検証 ネットワーク系/20100813 IP SAL
  9. トップページ/動作検証 ネットワーク系/20100512 ODR(On-Demand Routing)
  10. トップページ/動作検証 ネットワーク系/20100605 BGP トランジットAS フルメッシュ構成
もっと見る
最近更新されたページ
もっと見る
人気記事ランキング
  1. トップページ/動作検証 ネットワーク系/20100621 BGP タイマーの調節
  2. トップページ/動作検証 ネットワーク系/CBAC 基本設定
  3. トップページ/動作検証 ネットワーク系/http server management
  4. トップページ/動作検証 ネットワーク系/tcp intercept
  5. トップページ/動作検証 ネットワーク系/INE Mock lab 02
  6. トップページ/動作検証 ネットワーク系/20100825 HSRP
  7. トップページ/動作検証 ネットワーク系/INE Workbook Volume I Bridging Switching
  8. トップページ/動作検証 ネットワーク系/20100813 IP SAL
  9. トップページ/動作検証 ネットワーク系/20100512 ODR(On-Demand Routing)
  10. トップページ/動作検証 ネットワーク系/20100605 BGP トランジットAS フルメッシュ構成
もっと見る
最近更新されたページ
もっと見る
ウィキ募集バナー