DynagenでCCIEを目指す
INE Workbook Volume II lab 14
最終更新:
it_certification
-
view
採点結果
| トピック | 正誤 | 備考 |
|---|---|---|
| 1.1 Packet Sniffing | ○ | |
| 1.2 Configuration Management | × | 知識不足 |
| 1.3 Traffic Filtering | × | 問題文誤読 |
| 1.4 Spanning Tree | × | 思いつきませんでした |
| 1.5 Switch Features | × | 思いつきませんでした |
| 1.6 Hub-and-Spoke | ○ | |
| 1.7 Point-to-Point Addressing | × | 思いつきませんでした |
| 2.1 RIP | ○ | |
| 2.2 OSPF | ○ | |
| 2.3 EIGRP | ○ | |
| 2.4 EIGRP | ○ | |
| 2.5 EIGRP | ○ | |
| 2.6 IGP Redistribution | ○ | |
| 2.6 BGP Peering | ○ | |
| 2.7 BGP Peering | ○ | |
| 2.8 BGP Peering | ○ | |
| 2.9 AS-Path Manipulation | ○ | |
| 2.10 BGP Bestpath Selection | ○ | |
| 2.11 BGP Summarization | ○ | |
| 2.12 AS-Path Manipulation | ○ | |
| 2.13 BGP Route Injection | ○ | |
| 3.1 IPv6 Addressing | ○ | |
| 3.2 IPv6 Tunneling | ○ | |
| 3.3 EIGRP | ○ | |
| 5.1 RP Assignment | × | 知識不足 |
| 5.2 MBONE Connection | × | 捨て |
| 5.3 DVRP Interoperability | × | 捨て |
| 6.1 Dos Protection | ○ | |
| 6.2 Attack Mitigation | × | 知識不足 |
| 6.3 Infrastructure Security | ○ | |
| 6.4 Traffic Monitoring | × | 知識不足 |
| 7.1 Configuration Management | ○ | |
| 7.2 NAT on a Stick | × | 知識不足 |
| 7.3 ICMP Error Reporting | ○ | |
| 7.4 Gateway Redundancy | ○ | |
| 8.1 Priority Queueing | ○ | |
| 8.2 Congestion Managenet | ○ |
1.2 Configuration Management
まとめ
以下のコマンドで、起動時のIOSやconfigファイルを指定する事ができます。
Router(config)# boot config-file file_path Router(config)# boot system file_path
確認方法は以下の通りです。
Rack15SW1#show boot
BOOT path-list : flash:/dummy
Config file : flash:/archived/backup.config
Private Config file : flash:/private-config.text
Enable Break : yes
Manual Boot : no
HELPER path-list :
Auto upgrade : yes
Auto upgrade path :
Timeout for Config
Download: 0 seconds
Config Download
via DHCP: disabled (next boot: disabled)
Rack15SW1#
1.3 Traffic Filtering
問題文誤読
問題文を以下のように誤読してしまいました。
私の解答は間違えとは言い切れませんが、"do not use the command switchport port-security mac-address 0000.0c12.3456 to accomplish this"との指示なので"switchport port-security"は使って良いようです。私はこの問題文を見た瞬間にport-security以外の方法を考えてしまいました。
"switchport port-security mac-address"は使うなと言われたら、何か違うport-secyrityの実装方法がないか考えるようにしたいと思います。
私の解答は間違えとは言い切れませんが、"do not use the command switchport port-security mac-address 0000.0c12.3456 to accomplish this"との指示なので"switchport port-security"は使って良いようです。私はこの問題文を見た瞬間にport-security以外の方法を考えてしまいました。
"switchport port-security mac-address"は使うなと言われたら、何か違うport-secyrityの実装方法がないか考えるようにしたいと思います。
- 私の解答
R5: interface FastEthernet0/0 mac-address 0000.0c12.3456 SW1: mac access-list extended ACL_F05_IN permit host 0000.0c12.3456 any ! interface FastEthernet0/5 mac access-group ACL_F05_IN in
- INE模範解答
R5: interface FastEthernet0/0 mac-address 0000.0c12.3456 SW1: interface FastEthernet0/5 switchport mode access switchport port-security switchport port-security mac-address sticky
1.5 Switch Features
まとめ
正直、この問題は酷過ぎると思います。
こんなトリッキーな設定は、実践では使用厳禁です。
しかも、(CCIE試験は注意書きで禁止されていない事は何をやっても良い試験ですが)初期設定でshutdown状態であったI/Fを勝手にno shutして良いなんて発想は思いつかないし、余っているVLAN4, VLAN42を使うなんて発想は思いつくはずもありません。
正直、この問題を初見で解ける人が居るとは思えません。
こんなトリッキーな設定は、実践では使用厳禁です。
しかも、(CCIE試験は注意書きで禁止されていない事は何をやっても良い試験ですが)初期設定でshutdown状態であったI/Fを勝手にno shutして良いなんて発想は思いつかないし、余っているVLAN4, VLAN42を使うなんて発想は思いつくはずもありません。
正直、この問題を初見で解ける人が居るとは思えません。
模範解答のようなaccess vlan割当を実施する事でSW3経由にする事ができます。
恐らく出題意図は、access port, trunk portの仕様をちゃんと理解しているかどうかの確認であると思います。access portに割り当てるVLANは対向のスイッチ間で異なっていても疎通は問題ありません(保守性としては大問題ですが…)。なお、VLANが異なると以下のような警告メッセージが表示されます。警告メッセージを表示させたくない場合は、CDPを無効化して下さい。
恐らく出題意図は、access port, trunk portの仕様をちゃんと理解しているかどうかの確認であると思います。access portに割り当てるVLANは対向のスイッチ間で異なっていても疎通は問題ありません(保守性としては大問題ですが…)。なお、VLANが異なると以下のような警告メッセージが表示されます。警告メッセージを表示させたくない場合は、CDPを無効化して下さい。
Rack15SW3# *Mar 1 03:40:52.315: %CDP-4-NATIVE_VLAN_MISMATCH: Native VLAN mismatch discovered on FastEthernet0/14 (1363), with Rack15SW1 FastEthernet0/17 (4). Rack15SW3#
1.7 Point-to-Point Addressing
まとめ
subnet maskが/32で互いに疎通可能にするためには、pppで接続するしかありません。
この問題は"peer default ip address"コマンドが禁止されているので、ppp multilinkを定義し、multilinkにLoopbackアドレスを割り当てるという特殊な設定方法を用います。
R4: interface Loopback45 ip address 167.15.45.4 255.255.255.255 ! interface Multilink1 ip unnumbered Loopback45 ! interface Serial0/1/0 encapsulation ppp ppp multilink ppp multilink group 1 R5: interface Loopback45 ip address 167.15.45.5 255.255.255.255 ! interface Multilink1 ip unnumbered Loopback45 ! interface Serial0/1/0 encapsulation ppp ppp multilink ppp multilink group 1
2.3 EIGRP
まとめ
以下模範解答の赤字部分が漏れてしまいました。赤字部分がないと、R1, R3などからBB3へのEIGRP updateが可能になってしまいます。
なお、EIGRPが使用するマルチキャストアドレス224.0.0.10に対応するMACアドレスは0100.5e00.000です。
なお、EIGRPが使用するマルチキャストアドレス224.0.0.10に対応するMACアドレスは0100.5e00.000です。
SW3: no ip igmp snooping vlan 1363 ! interface FastEthernet 0/24 ip access-group DENY_EIGRP in ! ip access-list extended DENY_EIGRP 10 deny eigrp any any 20 permit ip any any ! mac-address-table static 0100.5e00.000 vlan 1363 int f0/14 f0/15 f0/20 f0/21
2.4 EIGRP
まとめ
この問題は"1.6 Hub-and-Spoke"とセットで考える必要があります。
1つのinterfaceには1つのEIGRP keyしかセットできません。しかし、subinterfaceの使用は"1.6 Hub-and-Spoke"で禁止されています。そこで、以下のようにppp over frame-relayを設定し、Virtual-Template毎にkeyを設定する手法を採用します。
1つのinterfaceには1つのEIGRP keyしかセットできません。しかし、subinterfaceの使用は"1.6 Hub-and-Spoke"で禁止されています。そこで、以下のようにppp over frame-relayを設定し、Virtual-Template毎にkeyを設定する手法を採用します。
R1: interface Serial0/0 frame-relay interface-dlci 103 ppp Virtual-Template13 ! interface Virtual-Template13 ip address 167.15.135.1 255.255.255.0 ip authentication mode eigrp 10 md5 ip authentication key-chain eigrp 10 CISCO13 R3: interface Serial1/0 frame-relay interface-dlci 301 ppp Virtual-Template13 frame-relay interface-dlci 305 ppp Virtual-Template35 ! interface Virtual-Template13 ip address 167.15.135.3 255.255.255.0 ip authentication mode eigrp 10 md5 ip authentication key-chain eigrp 10 CISCO13 ! interface Virtual-Template35 ip address 167.15.135.3 255.255.255.0 ip authentication mode eigrp 10 md5 ip authentication key-chain eigrp 10 CISCO35 R5: interface Serial0/0/0 frame-relay interface-dlci 503 ppp Virtual-Template35 ! interface Virtual-Template35 ip address 167.15.135.5 255.255.255.0 ip authentication mode eigrp 10 md5 ip authentication key-chain eigrp 10 CISCO35
2.7 BGP Peering
問題文誤読
"do not allow R3 to attempt to initiate the BGP session"の意味が理解できませんでした。この指示の意味は以下の通りです。恐らく、接続の準備が整ったら"no neighrbor XX.XX.XX.XX shutdown"コマンドを投入するのが、現実的なBGPの運用なのかもしれません。実務経験がないので、BGPの暗黙の常識が読み取れずに苦戦しています。
R3: router bgp 100 neighbor 150.15.9.9 shutdown neighbor 150.15.10.10 shutdown omitted
2.11 BGP Summarization
まとめ
経路集約時に自動生成されるNull 0へのルートによって、reachabilityが保証されなくなってしまう事が稀にあります。IGPの場合はAD値を255に設定する方法をvol Iで学習しました。BGPも同様にAD値を255にする方法は有効です。BGPでAD値を255にする場合は、以下のようにdistanceコマンドを用いて、"local routes BGP"を255に設定します。
SW2: router bgp 65078 aggregate-address 150.15.0.0 255.255.240.0 summary-only distance bgp 20 200 255
以下のようにdiscardしたくないルートのみを255に設定する方法でも差し支えありません。
SW2: ip access-list standard ACL_NO_DISCARD 10 permit 150.15.0.0 0.0.15.255 ! router bgp 65078 aggregate-address 150.15.0.0 255.255.240.0 summary-only distance 255 0.0.0.0 255.255.255.255 ACL_NO_DISCARD
5.1 RP Assignment
まとめ
通常、staticに設定されたRPよりもAuto-RPの設定の方が優先されます。仮に、static RPを使用したい場合は、以下のようにoverrideキーワードを使用します。false Auto-RP messageによる攻撃を受けた場合などに有効です。
Router(config)# ip pim rp-address addr override
6.2 Attack Mitigation
ケアレスミス
初めて見る設定でしたが、ヘルプストリングを慎重に眺めれば解けた問題でした。
以下のようにany-optionを指定すると、option付きのIPを全て拒否する事ができます。
以下のようにany-optionを指定すると、option付きのIPを全て拒否する事ができます。
Rack15R6(config-ext-nacl)#10 deny ip any any option ? <0-255> IP Options value add-ext Match packets with Address Extension Option (147) any-options Match packets with ANY Option com-security Match packets with Commercial Security Option (134) dps Match packets with Dynamic Packet State Option (151) encode Match packets with Encode Option (15) eool Match packets with End of Options (0) ext-ip Match packets with Extended IP Option (145) ext-security Match packets with Extended Security Option (133) finn Match packets with Experimental Flow Control Option (205) imitd Match packets with IMI Traffic Desriptor Option (144) lsr Match packets with Loose Source Route Option (131) mtup Match packets with MTU Probe Option (11) mtur Match packets with MTU Reply Option (12) no-op Match packets with No Operation Option (1) nsapa Match packets with NSAP Addresses Option (150) record-route Match packets with Record Route Option (7) router-alert Match packets with Router Alert Option (148) sdb Match packets with Selective Directed Broadcast Option (149) security Match packets with Basic Security Option (130) ssr Match packets with Strict Source Routing Option (137) stream-id Match packets with Stream ID Option (136) timestamp Match packets with Time Stamp Option (68) traceroute Match packets with Trace Route Option (82) ump Match packets with Upstream Multicast Packet Option (152) visa Match packets with Experimental Access Control Option (142) zsu Match packets with Experimental Measurement Option (10) Rack15R6(config-ext-nacl)#
6.4 Traffic Monitoring
まとめ
7.2 NAT on a Stick
まとめ
なお、模範解答通りの設定で題意を満たすかどうかは怪しいので、
2週目の学習時に慎重に動作確認する予定です。
2週目の学習時に慎重に動作確認する予定です。
