トップページ/動作検証 ネットワーク系/INE Workbook Volume II lab 11 - DynagenでCCIEを目指す

採点結果

トピック	正誤	備考
1.1 STP Features	○
1.2 MAC Address Notifications	○
1.3 Layer 2 Features	×	問題文解釈ミス
1.4 IP Phones	×	ケアレスミス, 知識不足
1.5 PPP Authentication	×	知識不足
2.1 OSPF	○
2.2 IGP Features	○
2.3 BGP Features	○
2.4 BGP Advertisement	○
3.1 IPv6 Addressing & Routing	○
3.2 Traffic Engineering	○
4.1 VRF	○
4.2 VPNv4 BGP	×	ケアレスミス
5.1 RP Advertisement	○
5.2 Multicast Testing	×	知識不足
5.3 Multicast Security	×
5.4 Layer 2 Multicast	×
6.1 Protocol Filtering	○
6.2 IOS Firewall	○
7.1 Change Logging	○
7.2 Web Acceleration	○
8.1 Traffic Shaping	○
8.2 Traffic Marking	○
8.3 Rate-Limiting	×	知識不足
8.4 Traffic Classification	○

1.3 Layer 2 Features

問題文誤読

問題文を誤読してしまいました。"device is able to detect and respond to an indirect link failure in 20 seconds"を"max-ageはデフォルト20秒だから、何も設定する必要ないよな？"と考えてしまいました。
デフォルト設定ではindirect link failureは検知できないので、"backbonefast"が必要です。また、復旧にはforwarding delayの2倍の時間が必要ですので、forwarding delayを10秒に変更する必要があります。

まとめ

TODO necessary layer 2覚えていなかった。
オンラインドキュメントを検索してもヒットしないので、たぶん出ないと思う。だけど、念のためまとめ。
arp -> 0x0806
pvst -> lsap 0x4242
pvst_plus -> lsap 0xAAAA, 0x010B

1.4 IP Phones

ケアレスミス

以下赤字部分が漏れてしまいました。問題文に"Ensure that all traffic originating from the IP phones maintains its CoS value"と書かれているので、赤字部分は必須です。

interface FastEthernet0/7
 switchport access vlan 17
 switchport voice vlan 7
 mls qos trust cos

まとめ

vol Iでは、"macroを定義し、そのmacroをinterfaceに適用する"方法について述べられています。
一方、本問で求めらているmacroの使い方は以下の通りです。

Switch(config)# &b(){define interface-range} &i(){VPORTS} &b(){fa0/7, fa0/8}

Switch(config)# &b(){interface range macro} &i(){VPORTS}
Switch(config-if)# &b(){switchport access vlan} &i(){17}
Switch(config-if)# &b(){switchport voice vlan} &i(){7}
Switch(config-if)# &b(){mls qos trust cos}

1.5 PPP Authentication

aaa authenticationにおいて、"radius local"のような認証方法を定義すると、radiusサーバがダウンしていても必ずradiusサーバに問い合わせを実施します。しかし、dead timeを定義すると、radiusサーバが応答を返さなかった場合はdead timeの間だけradiusサーバに問い合わせをしなくなり、不必要なtimeout待ち時間を削減する事ができます。
dead timeの定義方法は以下の通りです。

{{
<pre class="simple">
Router(config)# radius-server deadtime min
</pre>
}

4.2 VPNv4 BGP

ケアレスミス

BGP neighborが確立できない原因を追及する事ができませんでした。
結果的には、以下赤字部分が漏れてTTLが足りなかったのが原因です。非常に簡単なトラブルシューティングだっただけに悔しいです。

R4: router bgp 200 bgp router-id 150.27.4.4 no bgp default ipv4-unicast neighbor 150.27.6.6 remote-as 100 neighbor 150.27.6.6 update-source Loopback0 ! address-family vpnv4 neighbor 150.27.6.6 activate neighbor 150.27.6.6 send-community extended exit-address-family omitted

5.2

まとめ

R3をnbma-modeで動作される事を禁止されているため、以下のようにR1, R4間のtunnelをマルチキャストが通るように設定します。問題文で許可されない限りIPアドレスを追加する事は禁止されているので、"ip unnumbered Loopback0"を使用します。
"ip unnumered Loopback0"を使用すると、R1, R4のtunnel interfaceが同一セグメントに属してはいないので、ユニキャスト通信はできません。しかし、マルチキャスト通信は可能です。"ip unnumbered Loopback0"はマルチキャスト通信のみで充分な場合、有効なデザインパターンと言えそうです。

 R1:
interface Tunnel14
 tunnel source Loopback0
 tunnel destination 150.XX.4.4
 ip unnumbered Loopback0
 ip pim sparse-mode

 R4:
interface Tunnel14
 tunnel source Loopback0
 tunnel destination 150.XX.1.1
 ip unnumbered Loopback0
 ip pim sparse-mode

sparse modeでは、IGMPを受信したルータはRP方向に向かってIGMPを転送する事でshared treeを作成します。SW1からのIGMPを受信したR1は、ルーティングテーブルに従ってR3へIGMPを転送します。R3はnbma-modeで動作していないため、IGMPをR4に転送する事はありません。従って、現状の設定ではshared treeは完成しません。
そこで、SW1から受信したIGMPをtunnel経由でR4に転送するよう、R1にstatic multicast routeを追加します。

 R1:
ip mroute 150.XX.4.0 255.255.255.0 tunnel 14

5.3 Multicast Security

まとめ - Source Treeの制限

vol I学習済みの内容ですが、苦手なのでまとめなおします。
以下のコマンドでregister messageの受信を制限する事ができます。aclには受信を許可するregister messageの送信元, 宛先アドレスを指定して下さい。

Router(config)# ip pim accept-register list acl

以下のコマンドでregister messageを送信する送信元I/Fを定義する事ができます。

Router(config)# ip pim register-source interface

まとめ - Shared Treeの制限

vol I学習済みの内容ですが、苦手なのでまとめなおします。
以下のコマンドで、(*, G)join messageを制限(shared tree作成を制限)する事ができます。aclには、マルチキャストグループを設定したstandard ACLを指定して下さい。

Router(config)# ip pim accept-rp rp_addr acl

accept-rpコマンドを以下のように使用すれば、Auto-RPキャッシュに存在する(*, G)join messageのみを許可するようになります。

Router(config)# ip pim accept-rp auto-rp