DynagenでCCIEを目指す
INE Mock lab 02
最終更新:
it_certification
-
view
trouble shooting
| 設問 | 自己採点 | 自己評価 | INE採点 | INE評価 |
| Ticket1 | ○ | ○ | ||
| Ticket2 | ○ | ○ | ||
| Ticket3 | ○ | ○ | ||
| Ticket4 | ○ | ○ | ||
| Ticket5 | ○ | ○ | ||
| Ticket6 | ○ | ○ | ||
| Ticket7 | × | 見落とし | × | SW4 should've obtained its IP address via DHCP |
| Ticket8 | ○ | ○ | ||
| Ticket9 | ○ | ○ |
configuration
| 設問 | 自己採点 | 自己評価 | INE採点 | INE評価 |
| 1.1 802.1x | ○ | × | dot1x isn't globally enabled on SW1 | |
| 1.2 Broadcast Limiting | ○ | ○ | ||
| 2.1 OSPF | × | 模範解答と異なる実装方法です。 | × | a tunnel through area 47 is required to join parts of the backbone area 0 |
| 2.2 EIGRP | △ | 模範解答と異なる実装方法です。 | ○ | |
| 2.3 EIGRP | ○ | × | you're not allowed to use static routes for this task | |
| 2.4 IGP Redistributon | ○ | × | you're not allowed to use static routes for this task | |
| 2.5 BGP Summarization | △ | 模範解答と異なる実装方法です。 | × | you're not allowed to use static routes for this task |
| 2.6 BGP Bestpath Selection | ○ | ○ | ||
| 2.7 BGP Bestpath Selection | ○ | × | R1's route to the next-hop 164.23.23.3 is via R3 | |
| 3.1 IPv6 Addressing | ○ | ○ | ||
| 3.2 OSPFv3 | × | 語彙不足。besideの意味が分からなかったため誤読。 | ○ | |
| 3.3 IPv6 Summarization | × | 前問題の影響で不正解。 | ○ | |
| 5.1 RP Filtering | × | 知識不足 | × | ip pim accept-rp auto-rp |
| 5.2 IGMP Filtering | ○ | ○ | ||
| 5.3 IPv6 Multicast | × | collocateとcollectを見間違えて誤読。 | ○ | |
| 5.4 IPv6 MLD | ○ | ○ | ||
| 6.1 Traffic Filtering | ○ | ○ | ||
| 6.2 DOS Preventation | ○ | ○ | ||
| 6.3 ZFW | × | 知識不足 | × | security zones are not applied to R6's interfaces |
| 7.1 SNMP | ○ | × | only VTP related traps should've been sent to the server | |
| 7.2 SNMP | ○ | × | ACL10 should've been used for this task, not ACL_NMS | |
| 7.3 TCP Tuning | × | ○ | ||
| 8.1 Frame Relay Traffic Shaping | ○ | ○ | ||
| 8.2 Congestion Management | ○ | ○ | ||
| 8.3 Marking | ○ | ○ | ||
| 8.4 Congestion Management | ○ | × | host 164.23.47.200, not 155.23.47.200 | |
| 8.5 Per-VLAN Classification | × | × | policy-maps should've been applied to the SVIs |
Ticket7
まとめ
"DVMRPの設定は知らないから解けない"の最悪の思考パターンをしてしまいました。慎重にInterface FastEthernet 0/0のconfigを眺めれば解けた問題でした。
1.1 802.1x
採点基準
INEの指摘通りのケアレスミスでした。非常にもったいないです。
Rack23SW1#show dot1x all Sysauthcontrol Disabled Dot1x Protocol Version 2 Critical Recovery Delay 100 Critical EAPOL Disabled Dot1x Info for FastEthernet0/9 ----------------------------------- PAE = AUTHENTICATOR PortControl = AUTO ControlDirection = Both HostMode = SINGLE_HOST Violation Mode = PROTECT ReAuthentication = Disabled
2.1 OSPF
採点基準
INE模範解答のtunnelを作成する案も頭をよぎりましたが、勝手にtunnelを作成して良いか分からなかったので結局以下のような答案を作成してしまいました。INEの採点基準を見る限りでは、"you may use one static route"のような指示がない限りstatic routeは使っていけないという事でしょうか。試験本番では、static routeやtunnelを使って良いかは必ずプロテクタに質問したいと思います。
- 私の回答
R4: ip route 150.23.7.0 255.255.255.0 164.23.47.7 ip route 164.23.7.0 255.255.255.0 164.23.47.7 ! router ospf 1 area 47 stub no-summary network 164.23.47.4 0.0.0.0 area 47 SW1/ router ospf 1 area 47 stub network 164.23.47.7 0.0.0.0 area 47
- INE 模範解答
R4: interface Tunnel0 ip unnumbered Loopback0 tunnel source 164.23.47.4 tunnel destination 164.23.47.7 ! router ospf 1 area 47 stub no-summary network 164.23.47.4 0.0.0.0 area 47 SW1: interface Tunnel0 ip unnumbered Loopback0 tunnel source 164.23.47.7 tunnel destination 164.23.47.4 ! router ospf 1 area 47 stub network 164.23.47.7 0.0.0.0 area 47
2.2 EIGRP
採点基準
出題意図を全く無視した回答でしたが、正解扱いでした。試験本番ならば、"may I change K value ?"と質問した方が無難かと思われます。
なお、私の回答の"variance 4"は全ルータで必要な設定ではありませんが、同じEIGRPドメインでポリシーが異なるのは気持ち悪いという感覚から、全ルータに設定を投入しています。また、delayも片側で充分ですが、行きと戻りで経路が異なる可能性があるのはトラブルの元ですので、両側にdelayを設定しています。
なお、私の回答の"variance 4"は全ルータで必要な設定ではありませんが、同じEIGRPドメインでポリシーが異なるのは気持ち悪いという感覚から、全ルータに設定を投入しています。また、delayも片側で充分ですが、行きと戻りで経路が異なる可能性があるのはトラブルの元ですので、両側にdelayを設定しています。
- 私の回答
R1: interface Loopback0 delay 10 ! interface Serial0/0 delay 90 ! interface Serial0/1 delay 10 ! router eigrp 100 variance 4 metric weights 0 0 0 1 0 0 R2: interface Serial0/0.12 point-to-point bandwidth 128 delay 90 ! interface Serial0/0.23 point-to-point bandwidth 512 delay 10 ! router eigrp 100 variance 4 metric weights 0 0 0 1 0 0 R3: interface Serial1/1.23 point-to-point delay 10 ! interface Serial1/2 bandwidth 1536 delay 10 clock rate 1280000 ! router eigrp 100 variance 4 metric weights 0 0 0 1 0 0 R6: router eigrp 100 variance 4 metric weights 0 0 0 1 0 0
- INE 模範解答
R2: interface Serial0/0.12 bandwidth 128 ! interface Serial0/0.23 bandwidth 512 ! router eigrp varience 4 R3: interface Serial1/2 bandwidth 1536 clock rate 1280000
2.5. BGP Summarization
採点基準
模範解答の案も頭をよぎりましたが、勝手に150.XX.6.0, 164.XX.26.0をadvertiseして良いか分からなかったため、以下のような答案を作成してしまいました。
- 私の回答
R6: ip route 164.23.0.0 255.255.0.0 Null0 ip route 164.23.0.0 255.255.192.0 Null0 ! router bgp 200 network 150.23.0.0 mask 255.255.240.0 network 164.23.0.0 mask 255.255.192.0 omitted
- INE模範解答
R6: router bgp 200 network 164.23.26.0 mask 255.255.255.0 network 150.23.6.0 mask 255.255.255.0 aggregate-address 164.23.0.0 255.255.0.0 summary-only aggregate-address 150.23.0.0 255.255.0.0 summary-only omitted
2.7 BGP Bestpath Selection
採点基準
INEの指摘の通りです。BGPのnext-hopはIGPテーブルを基に転送されるので、要件通りのルートを通っているかどうかの慎重な確認が求められます。もしも要件を満たしていないならば、next-hopを変更する、IGPのメトリックを調節するなどの工夫が求められます。
3.2 OSPFv3
採点基準
besidesの意味を知らなかったため、問題文を誤読してしまいました。besidesは肯定文では"…の他にも"の意味ですが、疑問文, 否定文では"…を除いて"の意味です。INEの自動採点では正解となっていますが、私の答案はsite-local addressを使用しているため不正解が妥当な採点基準であると思います。
- 私の回答
R3: interface FastEthernet0/1 ipv6 address FC00:0:0:3::3/64 ipv6 ospf 1 area 3 ! interface Tunnel35 no ip address ipv6 address FC00:0:0:35::3/64 ipv6 ospf 1 area 0 tunnel source Loopback0 tunnel destination 150.23.5.5 R5: interface Tunnel35 no ip address ipv6 address FC00:0:0:35::5/64 ipv6 ospf 1 area 0 tunnel source Loopback0 tunnel destination 150.23.3.3 ! interface FastEthernet0/0 ipv6 address FC00:0:0:5::5/64 ipv6 ospf 1 area 5
3.3 IPv6 Summarization
採点基準
かなり独創的な答案を作成しましたが、正解のようです。
- 私の回答
R1: interface Serial0/1 ipv6 address FC00:0:0:13::1/64 ipv6 ospf 2 area 0 R3: interface Serial1/2 ipv6 address FC00:0:0:13::3/64 ipv6 ospf 2 area 0 ipv6 router ospf 1 redistribute ospf 2 ! ipv6 router ospf 2 summary-prefix FC00::/61 summary-prefix FC00:0:0:13::/64 not-advertise redistribute ospf 1
5.3 IPv6 Multicast
採点基準
問題文を誤読したので、全く実装を試みませんでした。しかし、なぜか自動採点では正解扱いになっていました。
6.3 ZFW
まとめ
vol Iでの誤植が多かったため、selfへのFirewall設定の学習を後回しにしていました。selfに対する設定の注意点は以下の通りです。
- INBOUND方向のみ設定可能 (オンラインドキュメントの中にはOUTBOUND方向の設定例もありますが、IOSによっては機能しません)
- selfは片方向の通信制御であるため、CBACは使用できません。ACLによってポート番号などを制御します。
最終的な解答は以下の通りです。
R6: no zone-pair security ZP_INSIDE_TO_OUTSIDE source INSIDE destination OUTSIDE no zone-pair security ZP_OUTSIDE_TO_DMZ source OUTSIDE destination DMZ no zone-pair security ZP_INSIDE_TO_DMZ source INSIDE destination DMZ no zone security INSIDE no zone security OUTSIDE no zone security DMZ no policy-map type inspect PMAP_OUTSIDE_TO_SELF no policy-map type inspect PMAP_INSIDE_TO_OUTSIDE no policy-map type inspect PMAP_INSIDE_TO_DMZ no policy-map type inspect PMAP_OUTSIDE_TO_DMZ no class-map type inspect match-any CMAP_OUTSIDE_TO_SELF no class-map type inspect match-any CMAP_INSIDE_TO_OUTSIDE no class-map type inspect match-any CMAP_INSIDE_TO_DMZ no class-map type inspect match-any CMAP_OUTSIDE_TO_DMZ no ip access-list extended ACL_OUTSIDE_TO_SELF ! ip access-list extended ACL_OUTSIDE_TO_SELF permit eigrp any any permit tcp any any eq bgp permit tcp any any eq 22 permit tcp any any eq 443 permit icmp any any echo-reply permit tcp any eq telnet any ! class-map type inspect match-all CMAP_OUTSIDE_TO_SELF match access-group name ACL_OUTSIDE_TO_SELF class-map type inspect match-any CMAP_INSIDE_TO_OUTSIDE match protocol icmp match protocol http match protocol ftp match protocol dns match protocol aol class-map type inspect match-any CMAP_INSIDE_TO_DMZ match protocol http match protocol ftp match protocol dns match protocol icmp class-map type inspect match-any CMAP_OUTSIDE_TO_DMZ match protocol http match protocol ftp match protocol dns ! policy-map type inspect PMAP_OUTSIDE_TO_SELF class type inspect CMAP_OUTSIDE_TO_SELF pass class class-default drop policy-map type inspect PMAP_INSIDE_TO_OUTSIDE class type inspect CMAP_INSIDE_TO_OUTSIDE inspect class class-default drop policy-map type inspect PMAP_INSIDE_TO_DMZ class type inspect CMAP_INSIDE_TO_DMZ inspect class class-default drop policy-map type inspect PMAP_OUTSIDE_TO_DMZ class type inspect CMAP_OUTSIDE_TO_DMZ inspect class class-default drop ! zone security INSIDE zone security OUTSIDE zone security DMZ ! interface Virtual-Template 1 zone-member security OUTSIDE interface FastEthernet 0/0 zone-member security DMZ interface FastEthernet 0/1 zone-member security INSIDE ! zone-pair security ZP_INSIDE_TO_OUTSIDE source INSIDE destination OUTSIDE service-policy type inspect PMAP_INSIDE_TO_OUTSIDE zone-pair security ZP_OUTSIDE_TO_DMZ source OUTSIDE destination DMZ service-policy type inspect PMAP_OUTSIDE_TO_DMZ zone-pair security ZP_INSIDE_TO_DMZ source INSIDE destination DMZ service-policy type inspect PMAP_INSIDE_TO_DMZ zone-pair security ZP_OUTSIDE_TO_SELF source OUTSIDE destination self service-policy type inspect PMAP_OUTSIDE_TO_SELF
受験テクニック
Firewallで拒否された場合と許可された場合での挙動は大きく異なります。
この問のINSIDEからOUTSIDEへの疎通テストについて考察します。BB2は設定変更が不可能なので、BB2でHTTPサービスを起動させる事はできません。しかし、以下のようにINSIDEからOUTSIDEへのtcp 80とtcp 22の通信を試みると、ある程度の動作確認ができます。tcp 80の場合は、Firewallを通過しBB2がport unreachableを返します。従ってすぐにコネクションが切れます。一方、tcp 22の場合は、Firewallでdropされるので待ちタイムアウト待ちの状態となります。このような動作の違いからある程度の設定確認ができます。
この問のINSIDEからOUTSIDEへの疎通テストについて考察します。BB2は設定変更が不可能なので、BB2でHTTPサービスを起動させる事はできません。しかし、以下のようにINSIDEからOUTSIDEへのtcp 80とtcp 22の通信を試みると、ある程度の動作確認ができます。tcp 80の場合は、Firewallを通過しBB2がport unreachableを返します。従ってすぐにコネクションが切れます。一方、tcp 22の場合は、Firewallでdropされるので待ちタイムアウト待ちの状態となります。このような動作の違いからある程度の設定確認ができます。
R6: Rack23R2#telnet 222.22.2.1 80 Trying 222.22.2.1, 80 ... % Connection refused by remote host Rack23R2#telnet 222.22.2.1 22 Trying 222.22.2.1, 22 ... % Connection timed out; remote host not responding Rack23R2#
また、show policy-mapのカウンタから想定通りの動作をしているかを確認する方法も有効です。
R6:
Rack23R6#show policy-map type inspect zone-pair ZP_INSIDE_TO_DMZ
policy exists on zp ZP_INSIDE_TO_DMZ
Zone-pair: ZP_INSIDE_TO_DMZ
Service-policy inspect : PMAP_INSIDE_TO_DMZ
Class-map: CMAP_INSIDE_TO_DMZ (match-any)
Match: protocol http
1 packets, 24 bytes
30 second rate 0 bps
Match: protocol ftp
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol dns
0 packets, 0 bytes
30 second rate 0 bps
Match: protocol icmp
1 packets, 80 bytes
30 second rate 0 bps
Inspect
Packet inspection statistics [process switch:fast switch]
tcp packets: [0:2]
icmp packets: [0:10]
Session creations since subsystem startup or last reset 2
Current session counts (estab/half-open/terminating) [0:0:0]
Maxever session counts (estab/half-open/terminating) [0:1:0]
Last session created 00:06:14
Last statistic reset never
Last session creation rate 0
Maxever session creation rate 2
Last half-open session total 0
Class-map: class-default (match-any)
Match: any
Drop
4 packets, 96 bytes
Rack23R6#
7.1 SNMP
採点基準
模範解答と異なりますが、特に問題ないと思われます。模範解答のように、globalとtrap server単位の両方でvtpを有効にする必要はありません。
- 私の回答
R6: snmp-server community CISCORO RO snmp-server community CISCORW RW snmp-server location San Jose, CA US snmp-server contact CCIE Lab SW1 snmp-server chassis-id 221-787878 snmp-server enable traps vtp snmp-server host 164.23.5.100 CISCOTRAP
7.2 SNMP
採点基準
INEの指摘通りのケアレスミスです。"use a standard access-list number 10"という問題文の指定を見落としてしまいました。
SW1: Rack23SW1#show run | i snmp snmp-server community CISCORO RO ACL_NMS snmp-server community CISCORW RW ACL_NMS snmp-server location San Jose, CA US snmp-server contact CCIE Lab SW1 snmp-server chassis-id 221-787878 snmp-server enable traps vtp snmp-server host 164.23.5.100 CISCOTRAP Rack23SW1#
7.3 TCP tuning
模範解答と異なるがOKのようです。
- 私の回答
SW1: ip telnet timeout retransmit 5 ! ip tcp ecn ip tcp selective-ack ip tcp timestamp ip tcp window-size 131072
- INE模範解答
SW1: ip tcp synwait-time 5 ! ip tcp ecn ip tcp selective-ack ip tcp timestamp ip tcp window-size 131072
8.4 Congestion Management
採点基準
ケアレスミスでした。
- 私の回答
SW1:
ip access-list extended ACL_VLAN47_HTTP
permit tcp any host 155.23.47.200 eq www
!
class-map match-all CMAP_VLAN47_HTTP
match access-group name ACL_VLAN47_HTTP
!
policy-map PMAP_VLAN47_HTTP
class CMAP_VLAN47_HTTP
bandwidth percent 25
8.5 Per-Vlan Classification
まとめ
vol I 学習済みの内容でしたが、思い出せませんでした。
Per-Vlan Per-Port Classificationはいつも忘れるので、オンラインドキュメント内のサンプル設定を探すか繰り返し演習して忘れないようにするか、何らかの対策が必要であると感じました。
Per-Vlan Per-Port Classificationはいつも忘れるので、オンラインドキュメント内のサンプル設定を探すか繰り返し演習して忘れないようにするか、何らかの対策が必要であると感じました。
