DynagenでCCIEを目指す
INE Workbook Volume II lab 13
最終更新:
it_certification
-
view
- 採点結果
- 1.2 PPP
- 2.2 OSPF
- 2.3 IGP Redistribution
- 2.4 BGP Traffic Engineerng
- 2.5 BGP Filtering
- 3.1 OSPFv3
- 5.2 Multicast Routing Stability
- 6.2 DDos Attack Defense
- 6.3 CBAC Tuning
- 6.4 DHCP Ssecurity
- 6.5 Management Security
- 7.2 Traffic Accounting
- 7.4 DHCP
- 7.5 Logging
- 8.2 Congestion Management
- 8.4 Policy Routing
- 8.6 Marking
採点結果
| トピック | 正誤 | 備考 |
|---|---|---|
| 1.1 IP Telephony | ○ | |
| 1.2 PPP | - | 出題不備 |
| 2.1 RIPv2 | ○ | |
| 2.2 OSPF | × | 思いつかず |
| 2.3 IGP Redistribution | × | 思いつかず |
| 2.4 BGP Traffic Engineerng | × | ケアレスミス |
| 2.5 BGP Filtering | × | 知識不足 |
| 3.1 OSPFv3 | × | 問題文誤読 |
| 3.2 Stateless Autoconfiguration | × | vol I 記憶漏れ |
| 3.3 Tunneling | ○ | |
| 5.1 Multicast Distribution | × | 2.2と連動しているため不正解です。 |
| 5.2 Multicast Routing Stability | ○ | |
| 6.1 Network Harding | ○ | |
| 6.2 DDos Attack Defense | × | 問題文誤読 |
| 6.3 CBAC Tuning | × | 問題文誤読 |
| 6.4 DHCP Security | × | 知識不足 |
| 6.5 Management Security | ○ | |
| 7.1 Management/Logging | ○ | |
| 7.2 Traffic Accounting | × | 知識不足 |
| 7.3 DHCP | - | 出題不備 |
| 7.4 DHCP | × | 知識不足 |
| 7.5 Logging | × | 知識不足 |
| 7.6 Router Redundancy | × | vol I 記憶漏れ |
| 8.1 Legacy QoS Support | ○ | |
| 8.2 Congestion Management | × | 知識不足 |
| 8.3 Congestion Management | × | 計算ミス |
| 8.4 Policy Routing | × | ケアレスミス |
| 8.5 VoIP QoS | ○ | |
| 8.5 VoIP QoS | × | Marking |
1.2 PPP
出題不備
出題不備です。IPCPでIPアドレスを取得する事ができません。
2.2 OSPF
まとめ
難しい問題ではありませんが、答えを思いつきませんでした。
2.3 IGP Redistribution
まとめ
難しい問題ではありませんが、答えを思いつきませんでした。
2.4 BGP Traffic Engineerng
ケアレスミス
以下の通り、local preferenceが大きいルートが優先されない現象が発生しました。
Rack4R6#show ip bgp
BGP table version is 15, local router ID is 150.4.6.6
Status codes: s suppressed, d damped, h history, * valid, > best, i - internal,
r RIB-failure, S Stale
Origin codes: i - IGP, e - EGP, ? - incomplete
Network Next Hop Metric LocPrf Weight Path
*> 28.119.16.0/24 54.4.2.254 500 0 54 i
* i 150.4.4.4 0 100 0 54 i
*> 28.119.17.0/24 54.4.2.254 500 0 54 i
* i 150.4.4.4 0 100 0 54 i
*> 112.0.0.0 54.4.2.254 0 500 0 54 50 60 i
* i 150.4.4.4 0 100 0 54 50 60 i
*> 113.0.0.0 54.4.2.254 0 10 0 54 50 60 i
* i 150.4.4.4 0 100 0 54 50 60 i
*> 114.0.0.0 54.4.2.254 0 500 0 54 i
* i 150.4.4.4 0 100 0 54 i
*> 115.0.0.0 54.4.2.254 0 10 0 54 i
* i 150.4.4.4 0 100 0 54 i
*> 116.0.0.0 54.4.2.254 0 500 0 54 i
* i 150.4.4.4 0 100 0 54 i
*> 117.0.0.0 54.4.2.254 0 10 0 54 i
* i 150.4.4.4 0 100 0 54 i
*> 118.0.0.0 54.4.2.254 0 500 0 54 i
Network Next Hop Metric LocPrf Weight Path
* i 150.4.4.4 0 100 0 54 i
*> 119.0.0.0 54.4.2.254 0 10 0 54 i
* i 150.4.4.4 0 100 0 54 i
r> 139.4.0.0 0.0.0.0 32768 i
s> 139.4.5.0/24 139.4.0.3 20 32768 i
Rack4R6#
原因はiBPG同期でした。BGPをIGPに配送する事を忘れたという非常に単純なミスだっただけにもったいないです。
Rack4R6#show ip bgp 113.0.0.0
BGP routing table entry for 113.0.0.0/8, version 5
Paths: (2 available, best #1, table Default-IP-Routing-Table)
Flag: 0x820
Advertised to update-groups:
1
54 50 60
54.4.2.254 from 54.4.2.254 (212.18.3.1)
Origin IGP, metric 0, localpref 10, valid, external, best
54 50 60
150.4.4.4 (metric 20) from 150.4.4.4 (150.4.4.4)
Origin IGP, metric 0, localpref 100, valid, internal, not synchronized
Rack4R6#
2.5 BGP Filtering
まとめ
maximum-prefixの使い方を誤って覚えていました。まずmaximum-prefixの書式について復習します。
Router(config)# neighbor ip_addr maximum-prefix maximum [ threshold ] [ restart restart-interval ] [ warning-only ]
| 例 | 挙動 |
|---|---|
| neighbor 204.12.4.254 maximum-prefix 10 | maximum(10)超過でBGP neighborを切断します。 |
| neighbor 204.12.4.254 maximum-prefix 10 warning-only | maximum(10)超過で警告のログを出力します。(neighbor 切断なし) |
| neighbor 204.12.4.254 maximum-prefix 10 80 | threshold(8)超過で警告ログ出力, maximum(10)超過でBGP neighbor切断します。 |
| neighbor 204.12.4.254 maximum-prefix 10 80 warning-only | threshold(8)超過でログ出力, maximum(10)超過で警告のログを出力します。(neighbor 切断なし) |
3.1 OSPFv3
問題文誤読
"Ensure that R6 cannot see R2's VLAN2 prefix and R2 cannot see R6's VLAN prefix"との指示ですが、以下の私が作成した解答のように"cannot see"は"advertiseするな"の意味ではありません。
- 私の解答
R2: interface FastEthernet0/0 ipv6 ospf 1 area 0 ! interface Serial0/1 ipv6 ospf 1 area 0 R3: interface FastEthernet0/0 ipv6 ospf 1 area 36 ! interface Serial1/3 ipv6 ospf 1 area 0 ! ipv6 router ospf 1 area 0 range 2001:CC1E:4:2::/64 not-advertise area 36 range 2001:CC1E:4:6::/64 not-advertise R6: interface FastEthernet0/0 ipv6 ospf 1 area 36 ! interface FastEthernet0/1 ipv6 ospf 1 area 36
問題文で明示されない限りreachabilityを保証しなければならないですが、
"Ensure that R6 cannot see R2's VLAN2 prefix and R2 cannot see R6's VLAN6 prefix."との指示です。
もはや"なぞなぞ"のような問題ですが、答えは経路集約です。模範解答は以下の通りです。
"Ensure that R6 cannot see R2's VLAN2 prefix and R2 cannot see R6's VLAN6 prefix."との指示です。
もはや"なぞなぞ"のような問題ですが、答えは経路集約です。模範解答は以下の通りです。
- INE模範解答
R2: interface FastEthernet0/0 ipv6 ospf 1 area 1 ! interface Serial0/1 ipv6 ospf 1 area 0 ! ipv6 router ospf 1 area 1 range 2001:CC1E:X:0::/62 R3: interface FastEthernet0/0 ipv6 ospf 1 area 0 ! interface Serial1/3 ipv6 ospf 1 area 0 ! ipv6 router ospf 1 area 0 range 2001:CC1E:4:2::/64 not-advertise area 36 range 2001:CC1E:4:6::/64 not-advertise R6: interface FastEthernet0/0 ipv6 ospf 1 area 1 ! interface FastEthernet0/1 ipv6 ospf 1 area 0 ! ipv6 router ospf 1 area 1 range 2001:CC1E:X:4::/62
5.2 Multicast Routing Stability
まとめ
以下のコマンドでマルチキャストルーティングテーブルに載せるエントリの数を制限できます。
Router(config)# ip multicast route-limit num
6.2 DDos Attack Defense
問題文誤読
この問題は以下の2通りの意味に取れます。
- watch modeでwatch-timeoutを10秒に設定
- intercept modeでsyn-timeoutを10秒に設定
intercept modeでないと6.3 CBAC Tuningの設定ができないので、この問題ではintercept modeの設定を投入します。
6.3 CBAC Tuning
問題文誤読 1
"Ensure that TCP connection terminate within a 2 second window"とありますが、
syn-timeout, fin-timeoutのどちらの意味にも取れます。6.2でsynの設定を投入している事から推測すると、
"fin-timeout 2秒"が出題意図ではないかと推測できます。
syn-timeout, fin-timeoutのどちらの意味にも取れます。6.2でsynの設定を投入している事から推測すると、
"fin-timeout 2秒"が出題意図ではないかと推測できます。
問題文誤読 2
重箱の隅をつつくような話ですが、CCIE試験では以下のような1の違いも減点対象となります。
CBACは下限値を下回ると再び疎通可能な状態になります。問題文で"stop clamping when the number reaches 80"とあるので、80で疎通可能にするためには下限値81を設定する必要があります。
CBACは下限値を下回ると再び疎通可能な状態になります。問題文で"stop clamping when the number reaches 80"とあるので、80で疎通可能にするためには下限値81を設定する必要があります。
{{
<pre class="simple">
<font color="#cc0000"><strike>ip inspect max-incomplete low 80</strike></font>
<font color="#cc0000">ip inspect max-incomplete low 81</font>
ip inspect max-incomplete high 100
ip inspect one-minute low 40
ip inspect one-minute high 60
<pre class="simple">
<font color="#cc0000"><strike>ip inspect max-incomplete low 80</strike></font>
<font color="#cc0000">ip inspect max-incomplete low 81</font>
ip inspect max-incomplete high 100
ip inspect one-minute low 40
ip inspect one-minute high 60
6.4 DHCP Ssecurity
まとめ
DHCP relay agentはデフォルトでDHCP optionを書き変えてしまいます。DHCP optionの取り扱いについては以下のコマンドで設定する事ができます。
Router(config)# ip dhcp relay information policy {drop | keep | replace}
6.5 Management Security
object-groupを使用すると、ACLを定義する際に、IPアドレスやprotocolをひとまとめにする事ができます。使用例は以下の通りです。
Rack4R5(config)#object-group ? network network group service service group Rack4R5(config)#object-group network TELSSH Rack4R5(config-network-group)#150.4.1.1 /32 Rack4R5(config-network-group)#150.4.2.2 /32 Rack4R5(config-network-group)#150.4.3.3 /32 Rack4R5(config-network-group)#150.4.7.7 /32 Rack4R5(config-network-group)#150.4.8.8 /32 Rack4R5(config-network-group)#exit Rack4R5(config)# Rack4R5(config)# Rack4R5(config)#access-list 105 permit tcp object-group TELSSH any range 22 23
7.2 Traffic Accounting
まとめ NBAR
NBARについて"This accounting should include both the total number of packets sent and received as well as a 5 minute utilization average"との指示があります。NBARのパケット収集間隔はload-intervalに依存します。従って、デフォルトは5分ですので明示的な設定は不要です。
なお、load-intervalの設定は以下の通りです。
なお、load-intervalの設定は以下の通りです。
Rack4R6(config-if)# load-interval 300
まとめ gathering traffic statistics
"packet size distribution"の意味が理解できず、正解を導けませんでした。"packet size distribution"は、"96byteから127byteまでのパケットが全体の20%"のようなパケットの分散の意味のようです。"packet size distribution"はnetflowで収集します。
INEの解説によると、二者択一にIP AccountingかNetFlowを使用します。しかし、この問題では、"packet size distribution"と"packet / byte count for specific source /destination address pairs"を収集しなければならないので、IP AccountingとNetFlowの両方を設定しなければなりません。
なお、(vol Iでは触れられていない内容ですが、) 以下のような設定を使用すると、NetFlowで収集する情報をより細かく指定する事ができるようです。この問題では、"protocol"の収集も指示されています。"ip flow egress"コマンドのみでは"protocol"の収集はされないので、この問題では以下のような詳細の設定が求められます。
Rack4R5(config)#flow monitor TEST Rack4R5(config-flow-monitor)#? cache Configure Flow Cache parameters default Set a command to its defaults description Provide a description for this Flow Monitor exit Exit from Flow Monitor configuration mode exporter Add an Exporter to use to export records no Negate a command or set its defaults record Specify Flow Record to use to define Cache statistics Collect statistics Rack4R5(config-flow-monitor)#statistics packet protocol Rack4R5(config-flow-monitor)#statistics packet size Rack4R5(config-flow-monitor)#record netflow ipv4 protocol-port-tos Rack4R5(config-flow-monitor)#exit Rack4R5(config)# Rack4R5(config)# Rack4R5(config)#int f0/1 Rack4R5(config-if)#ip flow monitor TEST output
NetFlowによって確認できる情報は以下の通りです。赤字の通り"packet size distribution"と"protocol"が記録されている事を確認して下さい。
Rack4R5#show flow monitor TEST statistics
Cache type: Normal
Cache size: 4096
Current entries: 0
High Watermark: 1
Flows added: 1
Flows aged: 1
- Active timeout ( 1800 secs) 0
- Inactive timeout ( 15 secs) 1
- Event aged 0
- Watermark aged 0
- Emergency aged 0
Packet size distribution (99 total packets):
1-32 64 96 128 160 192 224 256 288 320 352 384 416
.000 .000 .000 1.00 .000 .000 .000 .000 .000 .000 .000 .000 .000
448 480 512 544 576 1024 1536 2048 2560 3072 3584 4096 4608
.000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000 .000
Protocol Total Flows Packets Bytes Packets Active(Sec) Idle(Sec)
-------- Flows /Sec /Flow /Pkt /Sec /Flow /Flow
ICMP 1 0.0 99 100 0.0 6.6 15.9
Total: 1 0.0 99 100 0.0 6.6 15.9
Rack4R5#
vol Iで学習済みですが、IP Accountingによって取得できる情報は以下の通りです。
Rack4R5#show ip accounting Source Destination Packets Bytes 139.4.15.1 139.4.58.8 100 10000 Accounting data age is 03:36 Rack4R5#
7.4 DHCP
問題文誤読
"if R6 is down, R3 should be the default gateway. This behavior shold not rely on any client OS specific mecanics."とありますので、以下の私の解答は不正解であると思います。(かと言って、必要のない限りはアドレスは追加してはいけないとの制約なので、自信を持ってHSRPを投入するのはかなり難しいです)
- 私の解答
R1: ip dhcp pool VLAN367 network 139.4.0.0 255.255.255.0
まとめ
HSRPとhelper-addressを併用する時は注意が必要です。模範解答は以下のようになっています。仮に"redundancy"オプションがないと、R3, R6の両方のルータがbroadcastを転送してしまいます。"redundancy"オプションを付ける事によって、HSRPのActiveルータのみがbroadcastを転送するようになります。
R3: interface FastEthernet 0/0 standby 1 name HSRP standby 1 ip 139.4.0.1 standby 1 preempt ip hepler-address 139.4.13.1 redundancy HSRP R6: interface FastEthernet 0/1 standby 1 name HSRP standby 1 ip 139.4.0.1 standby 1 preempt standby 1 priority 101 ip hepler-address 139.4.13.1 redundancy HSRP
7.5 Logging
まとめ
"再起動後もログが残るように"との指示です。私はlogging bufferコマンドを使用してしまいましたが、bufferに保存したログは再起動時に消えてしまいます。再起動前のログを確認したい場合は、logging fileコマンドでflash領域に保存します。
実務経験の少なさが露呈してしまいました。
- 私の解答
SW1: SW2: logging buffered 8192 informational
- INE模範解答
SW1: SW2: logging file flash:log.txt informational
8.2 Congestion Management
まとめ
"bandwidth inherit"コマンドを使用すると、main interfaceと同じbandwidthをsubinterfaceに設定する事ができます。
interface Serial0/0/0
bandwidth 384
bandwidth inherit
end
Rack4R5#show interfaces Serial 0/0/0.501
Serial0/0/0.501 is up, line protocol is up
Hardware is GT96K Serial
Internet address is 139.4.15.5/24
MTU 1500 bytes, BW 384 Kbit/sec, DLY 20000 usec,
reliability 255/255, txload 3/255, rxload 1/255
Encapsulation FRAME-RELAY
CRC checking enabled
Last clearing of "show interface" counters never
Rack4R5#
8.4 Policy Routing
ケアレスミス
CCIE試験ではわずか1の違いで不正解になるようなので、"以上"なのか"より大きい"なのかは問題文から慎重に読み取る必要があります。
route-map RMAP_POLICE permit 10 match ip address ACL_POLICEmatch length 1250 1500match length 1251 1500 set ip next-hop 139.4.25.2
8.6 Marking
思いつかず
以下模範解答のようにMACアドレスによるclassificationも可能です。
class-map SW2 match destination max XXXX.XXXX.XXXX ! policy-map SWOUT class SW2 set precedence 7 ! interface FastEthernet0/1 service-policy output SWOUT
