CCNA 完全合格テキスト&問題集の章末確認問題を解説します

2024-12-282025-01-03

本記事はアフィリエイトリンクを含んでいます。

本記事について

本記事ではネットワーク技術研究家である当サイト管理人が、以下の CCNA 参考書である「シスコ技術者認定教科書 CCNA 完全合格テキスト＆問題集［対応試験］200 -301」について各章末にある確認問題の解説を行っています。CCNA合格を目指す人のためのコンテンツです。

なお、本記事では対象の問題文については掲載していません。上記書籍を購入済みの人を対象に、解説のみを記載しています。

本記事は 2024年10月1日発行の電子書籍版に基づいています。

1章確認問題の解説

Q1

基礎知識の暗記問題です。OSI参照モデルには「7階層」が定義されています。

Q2

基礎知識の暗記問題です。データにヘッダを付加することを「カプセル化」といいます。

Q3

基礎知識の暗記問題です。TCP/IPモデルのトランスポート層のデータは「セグメント」と呼ばれます。

Q4

基礎知識の暗記問題です。TCP/IPモデルでいうと、SMTP、HTTPはアプリケーション層のプロトコルです。PPPはリンク層のプロトコルです。ICMPはインターネット層のプロトコルです。

Q5

イーサネットとはOSI参照モデルでいうと物理層・データリンク層におけるプロトコルのため、「イーサネットヘッダ」というとデータリンク層のヘッダを指していると考えられます。データリンク層のヘッダにはMACアドレスが含まれています。

Q6

OSI参照モデルでいうと、リピータハブはレイヤ1（物理層）で動作する機器です。ルータはレイヤ3（ネットワーク層）で動作する機器です。リピータハブは半二重通信を行います。

Q7

レイヤ2で動作するスイッチでは、スイッチを通るフレームの送信元MACアドレスと入力ポートの組み合わせをMACアドレステーブルに記録します。フレームを受信した際は「宛先MACアドレス」を「MACアドレステーブル」で検索し転送先ポートを決定します。MACアドレステーブルに宛先MACアドレスがない場合は、すべてのポートからフレームを転送するフラッディングを行います。

Q8

スイッチではVLANという技術を使用してポートにVLAN IDを割り当てることによって、「ブロードキャストドメイン」をVLAN ID別に分割することができます。

Q9

レイヤ2スイッチがフレームを受信した際、MACアドレステーブルに宛先MACアドレスがない場合は、すべてのポートからフレームを転送するフラッディングを行います。

Q10

OSI参照モデルにおけるネットワーク層（レイヤ3）では、宛先・送信元の識別情報として「IPアドレス」を使用します。IPアドレス（v4）は32ビットで表現されます。（例：192.168.1.10）

なお、最近使われ始めている比較的新しいプロトコルであるIPv6では、IPアドレスは128ビットで表現されます。

Q11

インターネット上で使用されるIPアドレスは「グローバルIPアドレス」、LAN内でのみ使用されるIPアドレスは「プライベートIPアドレス」と呼ばれます。

Q12

サブネットマスクを2進数で表現した場合ネットワーク部は1で表されます
サブネットマスクは32ビットで構成されます
サブネットマスクの10進数での表記方法としては、8ビットごとに10進数に変換してピリオド区切りで表現されます

Q13

プレフィックス長が「/27」の場合、IPアドレスの数は 32-27=5 ビットから 2の5乗=32個ありますが、ホストに割り当てられるIPアドレスの個数はそこから先頭のネットワークアドレス、末尾のブロードキャストアドレスの2つを除いた 30 個になります。

Q14

ICMP：IP通信のエラー通知や、疎通確認に使われるプロトコルです
IPsec：暗号化通信（VPN）のために使用されるプロトコルです
ARP：IPアドレスをもとにMACアドレスを取得するためのプロトコルです
RARP：MACアドレスをもとにIPアドレスを取得するためのプロトコルです

Q15

サブネット 192.168.10.64/27 のアドレスの範囲は 192.168.10.64～192.168.10.95 ですが、先頭の 192.168.10.64 はネットワークアドレス、末尾の 192.168.10.95 はブロードキャストアドレスのため、ホストに割り当てられるアドレス範囲は 192.168.10.65～192.168.10.94 になります。

Q16

クラスCアドレスではホスト部が8ビットのため、ホストアドレスは 2の8乗=256個あります。255.255.255.224 のサブネットではホスト部は5ビットのため、ホストアドレスは 2の5乗=32個になります。このサブネットでクラスCアドレスを分割する場合、256/32=8となるため、8つのネットワークに分割されます。

Q17

192.168.118.110/29 のネットワークのアドレス範囲は 192.168.118.110～192.168.118.117 です。このうち先頭の 192.168.118.110 はネットワークアドレス、末尾の 192.168.118.117 はブロードキャストアドレスのため、ホストに割り当て可能なアドレス範囲は 192.168.118.111～192.168.118.116 となります。

Q18

TCPは信頼性重視のプロトコルで、3ウェイハンドシェイクを行います
UDPは速度重視のプロトコルで、データの到達確認を行いません

Q19

HTTP は TCP/80 を使用します
NTP は UDP/123 を使用します
DHCP は UDP/67,68 を使用します
SMTP は TCP/25,587 等を使用します

Q20

TCPは信頼性重視のプロトコルで、3ウェイハンドシェイクによりコネクションの確立を行います
UDPは速度重視のプロトコルで、データの到達確認を行いません
TCP ではデータ通信以外に確認通信が発生するため、オーバーヘッド（データ通信以外の付属的な通信）がUDPより大きくなります

2章確認問題の解説

Q1

Cisco 機器のCLIにアクセスするためには、コンソールケーブルを使用して直接PCを機器のコンソールポートに接続する「コンソール接続」を行うか、または Telnet や SSH を使用してネットワーク経由で接続する「VTY 接続」を行います。

Q2

Telnet：通信は暗号化されません
SSH：通信は暗号化されます
HTTP：Web サーバへの通信に使用されるプロトコルです。通信は暗号化されません。WebUIのある機器ではWebコンソール接続時に使用される場合がありますが、対象書籍のここまでの文脈では触れられていないため回答としては誤りになります
SMTP：Eメール送信用のプロトコルです

Q3

ユーザEXECモード：機器ログイン直後のモードで、一部の確認コマンドのみ使用できます。プロンプト表示は「>」です
特権EXECモード：すべての確認コマンド確認や各種操作を行うことができます。プロンプト表示は「#」です

Q4

enable：ユーザEXECモードから特権EXECモードに移行するためのコマンドです
configure terminal：特権EXECモードからグローバルコンフィギュレーションモードに移行するためのコマンドです
exit：一つ下のレベルのモードに移行するためのコマンドです
login：モードの移行とは関係のないコマンドです

Q5

exit：一つ下のレベルのモードに移行するためのコマンドです
end：コンフィギュレーションモードから一気に特権EXECモードへ移行するためのコマンドです。これをline設定モードで使用すると特権EXECモードに移行してしまい問題の要件とは合っていないため誤りとなります
logout、disable：モードの移行とは関係のないコマンドです

Q6

コンフィグ種別	保存場所	再起動時の動作
startup-config	NVRAM	内容は消えない
running-config	RAM	内容は消える

Q7

Cisco 機器では IOS のイメージファイルはフラッシュメモリに保存されます。

Q8

Cisco 機器で現在の設定（動作中のコンフィグ）を確認するコマンドは#show running-configです。

#show nvram：存在しないコマンドです
#show flash：フラッシュメモリ内に保存されているデータを表示するコマンドです
#show startup-config：startup-configの内容を表示するコマンドです

Q9

running-config の内容を startup-config にコピーするコマンドは以下の2種類があります。

#copy running-config startup-config
#write memory

対象書籍ではcopy running-config startup-configのみが説明されています。

なおcopyコマンドは以下の書式になっています。

#copy <コピー元ファイル名> <コピー先ファイル名>

Q10

対象書籍の記載に従えば、Cisco ルータを初期化するためには特権EXECモードにて以下コマンドを実行します。

#erace startup-config

ただし、実際の業務では設定を工場出荷時に戻すためには以下の2つのコマンドが使われるため、参考として記載しておきます。

#write erace
- startup-config を削除するコマンドです
#delete flash:vlan.dat
- フラッシュメモリ内のvlan.datというファイルを削除するコマンドです。これを実行しないとVLAN設定情報が残ったままになります

Q11

グローバルコンフィギュレーションモードで特権EXECモードのコマンド（show コマンドなど）を実行するためには先頭に「do」を付ける必要があります。

例： (config)#do show running-config

Q12

Cisco 機器のCLIのプロンプト表記は以下のルールになっています。

<ホスト名><モードを示す文字列>

モード	モードを示す文字列	プロンプト例
ユーザEXECモード	>	Router>
特権EXECモード	#	Router#
グローバルコンフィギュレーションモード	(config)#	Router(config)#

問題無いのCLI表示例では、グローバルコンフィギュレーションモードにてあるコマンドを実行した後のプロンプト表示のホスト名部分が「Router」に変わっています。よって、実行したコマンドはホスト名を「Router」と設定するコマンドであることが推測できます。ホスト名設定コマンドは以下の通りです。

ホスト名設定コマンド

(config)#hostname <ホスト名>

Q13

Cisco 機器で設定されている各種パスワードを暗号化するためには、グローバルコンフィギュレーションモードでservice password-encryptionコマンドで設定を行います。

Q14

line vty 0 4の設定モードにて設定を行っているため、TelnetやSSHのリモート接続に関する設定となります。passwordとloginの設定を行っているため、結果としてリモート接続時にパスワード認証が必要になります。

Q15

enable password testの設定によって、特権EXECモードに移行時（enableコマンド実行時）にパスワードとして「test」が要求されます。

以下設定によって、コンソール接続時にパスワードとして「cisco」が要求されます。

line con 0
 password cisco
 login

以下設定によって、TelnetやSSHによるリモート接続時にパスワードとして「cisco」が要求されます。

line vty 0 4
 password ccna
 login

Q16

コンソール接続またはVTY接続にてローカル認証（Cisco 機器のコンフィグで設定したユーザ情報を使用した認証）を有効にするためには、対象の line 設定モードにてlogin localコマンドを実行します。

Q17

enable secretとenable passwordはいずれも特権EXECモードへの移行時（enableコマンド実行時）のパスワードを設定するコマンドです。enable secretで設定したパスワードは暗号化されますが、enable passwordで設定した場合パスワードは暗号化されません。

enable secretとenable passwordの両方が設定されていた場合、enable secretの設定が優先されます。

Q18

以下の設定はローカルユーザの設定です。password の右の「7」は特権レベルではなくパスワードの暗号化タイプを示しています。

username test password 7 XXXXXXXXXXXXXXXXXXXXXX

以下のようにline設定にpasswordとlogin localが設定されている場合、認証方式はローカル認証方式になります。（password設定は意味のない設定になります）

line con 0
 password ccna
 login local

よってこの設定ではコンソール接続時にローカルユーザのtestを使用したユーザ認証が必要になります。

Q19

自動ログアウトの設定は、対象のline設定モードにて以下の設定を行います。

自動ログアウト設定コマンド

(config-line)#exec-timeout <分> <秒>

デフォルトでは10分で自動タイムアウトする設定になっています。自動ログアウトをさせたくない場合はタイムアウト時間を0分0秒として設定します。コマンドとしては(config-line)#exec-timeout 0 0になります。

Q20

VTY接続でどのプロトコルを許可するかの設定は対象line vty設定モードにて以下コマンドで設定します。

lie vtyのプロトコル許可設定コマンド

(config-line)#transport input <許可プロトコル>

SSHのみ許可したい場合は許可プロトコルの部分をsshとして(config-line)#transport input sshと設定します。

3章確認問題の解説

Q1

役割	転送時基にする宛先情報	転送時基にするテーブル
L2スイッチ	MACアドレス	MACアドレステーブル
ルータ	IPアドレス	ルーティングテーブル

ポート番号は、ポリシールート等の特殊なルーティング設定が無い限りはスイッチングやルーティングには影響しません。

Q2

インターフェースのIPアドレスの設定は以下のようにインターフェース設定モードに移行した後ip addressコマンドで設定を行います。

interface GigabitEthernet1/0/1
 ip address 10.1.1.1 255.255.255.0

また、そのインターフェースを実際に使用するためにはno shutdownコマンドでインターフェースを有効化する必要があります。

interface GigabitEthernet1/0/1
 no shutdown

Q3

シリアルインターフェースにDCE、DTEのどちらのコネクタが接続しているかを確認できるコマンドはshow controllers serial <IF番号>です。

以下はコマンド出力例です。5行目にケーブル情報が表示されDTEであることが分かります。

Router# show controllers serial 2/1/1
 
Serial2/1/1 - (SPA-4XT-SERIAL) is up
 Encapsulation: Frame Relay
 Cable type: RS-232 DTE
 mtu 1500, max_buffer_size 1524, max_pak_size 1608 enc 84
 loopback: Off,  crc: 16, invert_data: Off
 nrzi: Off, idle char: Flag
 tx_invert_clk: Off, ignore_dcd: Off
 rx_clockrate: 552216, rx_clock_threshold: 0
 serial_restartdelay:60000,  serial_restartdelay_def:60000
 
     RTS up, CTS up, DTR up, DCD up, DSR up

Q4

show ip interface briefの見方に関する問題です。

以下は出力例です。

Router# show ip interface brief
Interface     IP-Address     OK?  Method  Status                  Protocol
Ethernet0     10.108.00.5    YES  NVRAM   up                      up      
Ethernet1     unassigned     YES  unset   administratively down   down    
Loopback0     10.108.200.5   YES  NVRAM   up                      up      
Serial0       10.108.100.5   YES  NVRAM   up                      up      
Serial1       10.108.40.5    YES  NVRAM   up                      up      
Serial2       10.108.100.5   YES  manual  up                      up      
Serial3       unassigned     YES  unset   administratively down   down

IP-Address 列では、設定方法が静的・DHCPに関わらず現在対象インターフェースに割り当てられているIPアドレスが表示されます。unassigned表示の場合、IPアドレスは未割当であることを意味
Method 列については、それぞれ以下の意味です
- unset：インターフェースは未設定状態
- manual：手動でアドレス設定変更がされた状態
- DHCP： ip address dhcp 設定の場合
- NVRAM：再起動時にスタートアップコンフィグから設定が読み込まれた状態
Status 列については、それぞれ以下の意味です
- up：ケーブル接続され物理的に up 状態（no shutdown 設定となっている状態）
- down：物理的に down 状態（no shutdown 設定となっている状態）
- administratively down：管理的に down 状態（shutdown 設定となっている状態）
Protocol 列については、データリンク層レベルでの up/down を示し、up の場合キープアライブを送受信できる状態であることを意味します

インターフェースで正常に通信できるためには Status と Protocol の両方が up である必要があります。

Q5

show ip interface briefの表示結果で Status が up の場合、インターフェース設定としてはno shutdown設定となっていて、かつ物理的には up しています。さらに Protocol が down となっている場合、データリンク層に何か問題がある可能性が考えられます。シリアルインターフェースについてはDCE側でクロックレートが未設定の場合 Protocol が down となります。

Q6

Ping コマンドでは ICMP プロトコルが使用されます。

Q7

Cisco 機器において宛先までに経由するルータのアドレスを確認するためには特権EXECモードでtracerouteコマンドを使用します。

Q8

Cisco ルータでルーティングテーブルを確認するためには特権EXECモードでshow ip routeコマンドを実行します。

以下は出力例です。

R1#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override
 
Gateway of last resort is not set
 
     10.0.0.0/8 is variably subnetted, 5 subnets, 3 masks
S       10.0.0.0/8 [1/0] via 192.168.10.2
C       10.10.10.0/30 is directly connected, Serial1/0
L       10.10.10.1/32 is directly connected, Serial1/0
C       10.10.20.0/30 is directly connected, Serial2/0
L       10.10.20.1/32 is directly connected, Serial2/0
     172.31.0.0/24 is subnetted, 1 subnets
S       172.31.10.0 [1/0] via 10.10.10.2
     192.168.10.0/24 is variably subnetted, 2 subnets, 2 masks
C       192.168.10.0/30 is directly connected, Serial3/0
L       192.168.10.1/32 is directly connected, Serial3/0

Q9

ルータがルーティングの際にパケットの宛先IP・送信元IPを書き換えることはありません
ルータはルーティングの際にパケットの宛先MAC・送信元MACを以下の通り書き換えます
- 宛先MAC：ルーティングする際のネクストホップアドレスに対応するMACアドレスに書き換え
- 送信元MAC：ルーティングする際の自身の出力インターフェースのMACアドレスに書き換え

Q10

Cisco ルータの初期設定ではデフォルトルートは設定されていません
デフォルトルートは、宛先IPアドレス宛のルートがルーティングテーブルに存在しない場合に使用されるルートです

Q11

宛先IPアドレスへのルートがルーティングテーブルに複数存在する場合、ネットワークアドレスが最も大きいルート（プレフィックス長が最も長いルート）が優先されて使用されます。このルールを「ロンゲストマッチ」といいます。

Q12

ルータのルーティングテーブルにインストール（学習）されるルートの分類として主に以下があります。

スタティックルート：管理者によって手動で設定されたルート
ダイナミックルート：ダイナミックルーティングプロトコルによって他のルータから自動で学習されたルート
コネクテッドルート：ルータに直接接続しているセグメントへのルート。IPアドレスが設定されたインターフェースが up 状態になると、そのIPアドレスを含むセグメントへのルートがコネクテッドルートとして自動で学習されます

Q13

スタティックルートの特徴として以下があります。

管理者が手動で設定する必要があるため、設定量が多い場合設定や管理に手間がかかる
ルートの計算などは必要ないので、ダイナミックルーティングと比べるとCPU負荷は小さい
ルータ1台で完結する設定のため他のルータと情報交換するといったことは発生しない
設定した通りのルーティングとなるため自動で経路を切り替えるといったことはできない
- ただしフローティングスタティックという手法はあります

Q14

スタティックルートの最もシンプルな設定構文は以下の通りです。

スタティックルート設定コマンド

(config)#ip route <宛先ネットワーク> <サブネットマスク> <ネクストホップアドレス>

オプションとして出力インターフェースの指定などを追加することもできます。再帰ルート発生防止として出力インターフェースも指定することを推奨します。

Q15

デフォルトルートを設定する場合は、スタティックルート設定構文で宛先ネットワークとサブネットマスクの両方を「0.0.0.0」として設定します。

デフォルトルート設定コマンド

(config)#ip route 0.0.0.0 0.0.0.0 <ネクストホップアドレス>

Q16

ルーティングテーブルではルートごとに学習方法に応じてコードが表示されます。

スタティックルートのコードは「S」であり、デフォルトルートの場合はコードに「*」が付加されます。よってスタティックルートとして設定されたデフォルトルートのコードは「S*」となります。

Router01#show ip route
Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP
       a - application route
       + - replicated route, % - next hop override, p - overrides from PfR

Gateway of last resort is 192.168.179.1 to network 0.0.0.0

S*    0.0.0.0/0 [1/0] via 192.168.179.1
      10.0.0.0/8 is variably subnetted, 4 subnets, 3 masks
C        10.1.1.0/24 is directly connected, Vlan10
L        10.1.1.1/32 is directly connected, Vlan10
C        10.107.19.48/28 is directly connected, Vlan824
L        10.107.19.49/32 is directly connected, Vlan824
      192.168.1.0/32 is subnetted, 1 subnets
C        192.168.1.10 is directly connected, Loopback0
      192.168.179.0/24 is variably subnetted, 2 subnets, 2 masks
C        192.168.179.0/24 is directly connected, Vlan179
L        192.168.179.254/32 is directly connected, Vlan179

Q17

ルートの3行目から、192.168.100.0/24 宛の場合は 192.168.1.2 をネクストホップとするスタティックルートが設定されていることが分かります
コネクテッドルート(C)として 192.168.100.0/24 は表示されていないため、192.168.100.0/24 は直接接続はしていません
「S* 0.0.0.0/0 via 192.168.1.2」の表示からネクストホップを 192.168.1.2 とするデフォルトルートが設定されているため、172.16.0.1 宛のパケットは破棄されずに 192.168.1.2 に転送されます

Q18

ダイナミックルーティングではルーティングプロトコルを利用して他ルータと自動でルート情報を交換できます
ダイナミックルーティングでは障害時に自動でルートを切り替えることができます
ダイナミックルーティングでは他ルータとの通信が発生するため、その分帯域を使用し、また情報処理のためにCPU負荷が増加します
ダイナミックルーティングはスタティックルーティングと比べて初期設定の設計工数は大きくなりますが、運用開始後の管理の手間は比較的小さいといわれています

Q19

アドミニストレーティブディスタンスとは、ルーティングプロトコルごとに設定されたルートの優先度です。プロトコル別に優先度が決まっていて、小さい方がより優先されます。

メトリックとは、ルーティングプロトコルごとに定義されたルートの優先度であり、ルーティングプロトコル内で同一宛先に対して複数のルートがある場合にそのルーティングプロトコルにおける最適なルートを決める際に使用されます。こちらも値が小さい方がより優先されます。

Q20

プロトコル	アルゴリズムによる分類	アルゴリズム
RIP	ディスタンスベクタ型	ベルマン・フォード法
EIGRP	拡張ディスタンスベクタ型	DUAL
OSPF、IS-IS	リンクステート型	SPF(ダイクストラ)

Q21

プロトコル	コード	アドミニストレーティブディスタンス
RIP	R	120
OSPF(内部ルート)	O	110
OSPF(外部ルートType1)	O E1	110
OSPF(外部ルートType2)	O E2	110
EIGRP(内部ルート)	D	90
EIGRP(外部ルート)	D EX	170
スタティックルート	S	1

Q22

フローティングスタティックルートとは、アドミニストレーティブディスタンスを大きく設定した優先度の低いスタティックルートであり、通常時はルーティングテーブルにはインストールされないが、障害により通常のルートが消えた際にバックアップとしてルーティングテーブルにインストールされるようなスタティックルートのことです。

スタティックルートのアドミニストレーティブディスタンスは「1」のため、スタティックルートのバックアップとしてのフローティングスタティックを設定するためには、アドミニストレーティブディスタンスを「1」より大きく設定したスタティックルートとして設定する必要があります。

アドミニストレーティブディスタンス（AD）値を指定したスタティックルートの設定構文は以下です。

スタティックルート設定コマンド(AD値有り)

(config)#ip route <宛先ネットワーク> <サブネットマスク> <ネクストホップアドレス> <AD値>

Router01(config)#ip route 10.2.3.0 255.255.255.0 192.168.179.1 10

AD値は 1-255 の範囲の整数で設定できます。

4章確認問題の解説

Q1

OSPFではネイバーの死活監視を目的としたHelloパケットを定期的に送受信しますが、ルート情報は変化が発生したタイミングでのみ送信します
OSPFはリンクステート型のプロトコルです。リンク状態の情報であるLSAを交換します。各ルータはLSDBを生成して保存します
OSPFは可変長サブネットマスク(VLSM)に対応しています
OSPFではインターフェースの帯域幅をコストとします
OSPFの計算処理は複雑なため、比較的ルータへの負荷は大きくなります

Q2

OSPFでネイバーを確立するためには以下の設定を対向ルータと合わせておく必要があります。

Helloインターバル、Deadインターバル
IPアドレスのサブネットマスク
スタブエリアの場合はエリア内のすべてのルータにスタブエリアの設定がされていること
- Helloパケットにスタブフラグとして情報が含まれ、それが一致している必要がある
認証設定
エリアID

Q3

OSPFのルータIDの優先順位は以下の通りです。

OSPF設定におけるrouter idコマンドでの設定
ループバックインターフェースのIPアドレス
インターフェースのIPアドレスの内最も大きいアドレス

Q4

OSPFにおけるDR、BDRの選出ルールは以下の通りです。

プライオリティの最も大きいルータがDRになる
プライオリティが2番目に大きいいルータがBDRになる
プライオリティが同一の場合、ルータIDが最も大きいルータがDR、2番目に大きいルータがBDRになる

OSPFのプライオリティはインターフェース設定内で行います
プライオリティのデフォルト値は1で、0-255の範囲で設定できます
プライオリティ値が 0 のルータは必ずDROTHERになります

Q5

OSPFではインターフェースの帯域幅をもとに算出したコストを使用して最適なルートを決定します。

Q6

LANインターフェースではデフォルトでip ospf network broadcastの設定がされます。従ってFastEthernetのデフォルトのネットワークタイプはブロードキャストです。

Q7

OSPFでは他のエリアと通信する際はバックボーンエリアを通して通信を行います
複数のエリアと接続しているルータはABR（エリアボーダルータ）と呼ばれます
ASBR（ASバウンダリルータ）はOSPF以外のルーティングプロトコルが動作しているルータです
シングルエリアOSPFの場合、バックボーンエリアである必要があるのでエリア番号は「0」になります
マルチエリアOSPFの場合、エリア間ではLSDB含む完全な情報ではなくルート情報のみ交換します

Q8

ネットワークを階層化して管理する方式をマルチエリアOSPFといいます
エリアを分ける場合も必ずバックボーンエリアを作成する必要があります

Q9

インターフェースでOSPFを有効化するためには以下の2通りの設定方法があります。

router ospf設定内のnetworkコマンドで対象インターフェースのIPアドレスを含むネットワーク範囲を設定
インターフェース設定内でip ospf <ID> area <area>を設定

一般的にはnetowrkコマンドで設定することが多く、ip ospf areaで設定することはほとんどありません。

Q10

OSPFのネイバー情報を確認するコマンドはshow ip ospf neighborです。

Router2# show ip ospf neighbor 

Neighbor ID     Pri    State      Dead Time    Address     Interface
192.168.45.1    1      FULL/DR    00:00:36     10.0.0.1    Ethernet0

Q11

Helloインターバル、ルータプライオリティを確認できるコマンドはshow ip ospf interfaceです。

Router1# show ip ospf interface ethernet 0
Ethernet0 is up, line protocol is up 
  Internet Address 10.10.10.1/24, Area 0 
  Process ID 1, Router ID 192.168.45.1, Network Type BROADCAST, Cost: 10
  Transmit Delay is 1 sec, State BDR, Priority 1 
  Designated Router (ID) 172.16.10.1, Interface address 10.10.10.2
  Backup Designated router (ID) 192.168.45.1, Interface address 10.10.10.1
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    Hello due in 00:00:06
  Index 1/1, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 2, maximum is 2
  Last flood scan time is 0 msec, maximum is 4 msec
  Neighbor Count is 1, Adjacent neighbor count is 1 
    Adjacent with neighbor 172.16.10.1  (Designated Router)
  Suppress hello for 0 neighbor(s)

Q12

OSPFのコスト設定はインターフェース設定内で行います。その設定方法としては以下の2通りがあります。

ip ospf costコマンドを使用して直接コストを指定する
bandwidthコマンドを使用して帯域幅を変更し、間接的にコストを変更する

①②の両方が設定されている場合①の設定に基づいてコストが決まる点に注意してください。

Q13

show ip ospf neighborコマンドでは以下の出力例の通り、次の情報が確認できます。

ネイバーのルータID
ネイバーのプライオリティ
ネイバーとの隣接関係の状態（DR、BDR等）
ネイバーのDeadタイマー
ネイバーのアドレス
ネイバーと接続する自身のインターフェース

Router2# show ip ospf neighbor 

Neighbor ID     Pri    State      Dead Time    Address     Interface
192.168.45.1    1      FULL/DR    00:00:36     10.0.0.1    Ethernet0

Q14

OSPFでネイバーを確立するためには以下の設定を対向ルータと合わせておく必要があります。

Helloインターバル、Deadインターバル
IPアドレスのサブネットマスク
スタブエリアの場合はエリア内のすべてのルータにスタブエリアの設定がされていること
- Helloパケットにスタブフラグとして情報が含まれ、それが一致している必要がある
認証設定
エリアID

show ip ospf interfaceの出力を見ると、R1とR2でHelloインターバルが5と10で一致していないことがわかります。これが原因となります。

Q15

exstart 状態
- 2台のOSPF隣接ルータが双方向通信を確立し、（マルチアクセスネットワークでの）DR/BDR選定が完了すると、ルータはExstart状態に移行します。この状態では、ネイバールータがプライマリ/下位の関係を確立し、DBDパケットの交換時に使用する初期DBD(Database Descriptor)シーケンス番号を決定します
exchange 状態
- Primary/Subordinateの関係がネゴシエートされると、ネイバールータはExchange状態に移行します。この状態では、LSDB全体を記述したDBDパケットをルータが交換します。ルータはリンクステートリクエストパケットも送信し、近隣ルータからの最新のLSAを要求します

OSPFネイバーが exstart/exchange 状態のままになる原因としては、ルータ間でインターフェースのMTUが一致していないことです。

Q16

OSPFのプロセスIDは他のルータ一致させる必要はありません
OSPFのプロセスIDはOSPFプロセス毎に設定が必要です
プロセスIDはグローバルコンフィギュレーションモードでrouter ospf <プロセスID>の形式で設定します

Q17

OSPFのパッシブインターフェース(passive-interface)設定は、対象のインターフェースについてHelloパケット、及びルーティングアップデートを送信しないようにすることを意味します。

そのインターフェースが所属するネットワークセグメントをOSPFでの広報対象ルートに含めたいが、対向にネイバーとするルータが存在しない場合にパッシブに設定します。

Q18

show ip ospf neighborの出力を見ると、interfaceとしてFastEthernet0/0とFastEthernet0/1の2つが存在することが分かります。よって、R1は2つのマルチアクセスネットワークに接続しているといえます。

OSPFのDR、BDRはセグメント毎に選出されるため、FastEthernet0/0のセグメントとFastEthernet0/1のセグメントそれぞれでDR、BDRが選出されたため、DRとBDRが2つずつ表示されています。

Q19

OSPFでデフォルトルートを配布するためにはrouter-ospf設定内でdefault-information originateを設定します。

Q20

当コストロードバランシングの最大ルート数の確認はshow ip protocolsでできます。

以下出力例では8行目のMaximum path: 4より最大ルート数は4であることが分かります。

Router01#show ip protocols

Routing Protocol is "ospf 10"
  Outgoing update filter list for all interfaces is not set
  Incoming update filter list for all interfaces is not set
  Router ID 192.168.1.10
  Number of areas in this router is 1. 1 normal 0 stub 0 nssa
  Maximum path: 4
  Routing for Networks:
    192.168.179.0 0.0.0.255 area 0
  Routing Information Sources:
    Gateway         Distance      Last Update
  Distance: (default is 110)

5章確認問題の解説

Q1

ACLの特徴として以下があります。

ACLのどのルールにも一致しない通信は拒否されるという、暗黙のdenyの性質を持ちます
ACLのルールは上から順に検査され、一番最初に一致したルールに基づき許可・拒否が確定します
- 一致するルールが見つかった時点で検査は終了となります
ACLのルールにはsequence番号があり、ACL追加設定時にsequence番号を指定しない場合はACLの一番最後に追加されます

Q2

ACLの特徴として以下があります。

ACLはインターフェースのインバンド・アウトバウンドの両方に同時に設定することができます
ACLは一つのインターフェースにつきインバンド・アウトバウンドそれぞれ一つずつのみ設定できます
ACLではサブネットマスクではなくワイルドカードマスクを指定します
ACLのルールにはsequence番号があり、設定順序を意識して設定する必要があります

Q3

標準ACLのリスト番号は1～99、1300～1999の範囲である必要があります
拡張ACLのリスト番号は100～199、2000～2699の範囲である必要があります

Q4

標準ACLでは送信元IPアドレスのみが条件なのに対して、拡張ACLでは以下の情報を条件に設定できます。

プロトコル（TCP/UDP/ICMP）
送信元IPアドレス
送信元ポート番号
宛先IPアドレス
宛先ポート番号

Q5

ACLにて単一のアドレスのみを対象としたい場合、以下の2通りの表記方法があります。

ワイルドカードマスクを「0.0.0.0」として指定する
ワイルドカードマスクの代わりに「host <IPアドレス>」の形式で指定する

Q6

インバウンドに設定されたACLは対象インターフェースに入力されるパケットに対して適用されます
ACLフィルタリングはルーティングよりも前に処理されます
インバウンドにACLが設定されている場合、ルータ自身を送信元とする通信はチェックの対象になりません

Q7

172.31.1.0/24を送信元とする通信のみ拒否したい場合、以下の2つのルールを以下の順序で設定する必要があります。

172.31.1.0/24を送信元とする通信を拒否するルール
送信元anyの通信を許可するルール

ip access-list 10 deny 172.31.1.0 0.0.0.255
ip access-list 10 permit any

①のルールのみだと暗黙のdenyにより結果的にすべての通信が拒否されてしまうため、②のルールが2番目に必要になります。

Q8

問題のACLではアクションがdenyのルール1行のみが設定され、それがインターフェースのインバウンド方向に設定されています。

この場合、ACLの効果としては暗黙のdenyにより対象インターフェースに入力されるすべての通信が拒否されることになります。

Q9

名前付き拡張ACLの設定に関する問題です。名前付き拡張ACLの設定手順は以下の通りです。

ip access-list extended <名前>コマンドを実行し、ACL設定モードに移行する
以下構文で個別のルールの設定を行う
- <permit|deny> <protocol> <送信元アドレス> <wildcard> <送信元port> <宛先アドレス> <wildcard> <宛先port>
- <port>ではポート番号を以下のルールで設定します
  - eq <ポート番号>：指定したポート番号に一致する
  - gt <ポート番号>：指定したポート番号より大きい
  - lt <ポート番号>：指定したポート番号より小さい
  - ポート番号で制限しない場合は<port>の部分の指定は不要です

問題文の要件ではHTTP通信とTelnet通信だけを許可するため、以下の2つのルールを設定する必要があります。

指定の送信元アドレスから指定の宛先アドレス・宛先port tcp/80 (http)への通信を許可するルール
指定の送信元アドレスから指定の宛先アドレス・宛先port tcp/23 (telnet)への通信を許可するルール

なおウェルノウンポートは番号の代わりにプロトコル名で指定が可能です。

80 → www
23 → telnet

実際の設定内容としては以下になります。

ip acccess-list extended ACLTEST
 permit tcp 192.168.10.192 0.0.0.15 192.168.1.0 0.0.0.127 eq www
 permit tcp 192.168.10.192 0.0.0.15 192.168.1.0 0.0.0.127 eq telnet

なお、暗黙のdenyがあるため、最後に全ての通信を拒否するルールを設定する必要はありません。

Q10

ACLフィルタはインターフェースだけでなく、TelnetやSSHによる管理アクセスの制限を目的としてline vtyに対しても設定することができます。

line vtyに対して設定する場合の構文は以下の通りです。

line vtyでのACL設定コマンド

(config-line)#access-class <ACL番号・名> in

Q11

ACL設定内容の確認を行うためのコマンドには以下の2つがあります。

#show running-configを実行しでコンフィグ内容で確認する
#show access-listsを実行して設定されているACLの内容を表示する

show access-listsではシーケンス番号や、各ルールの適用回数（ヒットカウント）を含めて確認することができます。

Q12

インターフェースに適用されているACLを確認するためにはshow ip interfaceコマンドを実行します。

以下出力例では9,10行目でアウトバウンド、インバンドそれぞれに適用されているACLを確認できます。

Router01#show ip interface VLAN1
Vlan1 is down, line protocol is down
  Internet address is 172.16.0.1/24
  Broadcast address is 255.255.255.255
  Address determined by non-volatile memory
  MTU is 1500 bytes
  Helper address is not set
  Directed broadcast forwarding is disabled
  Outgoing access list is not set
  Inbound  access list is 1
  Proxy ARP is enabled
  Local Proxy ARP is disabled
  Security level is default
  Split horizon is enabled
以下略

Q13

標準ACLの場合は宛先近く、拡張ACLの場合は送信元の近くに適用するのが良いとされています。ただしこれはあくまでCCNA試験で得点するにはこのように考えたほうが良いという話で、実際のネットワーク設計では要件に合わせて柔軟に考える必要があります。

Q14

ACLの1行目にはdenyのルール、2行目には「permit 0.0.0.0 0.0.0.0」のルールが設定されています。

2行目がどのような意味を持つのかがポイントになりますが、ワイルドカードマスクが「0.0.0.0」のため、送信元が指定したアドレス 0.0.0.0 に一致する場合のみ許可されることなります。ただアドレス 0.0.0.0 が送信元となることは無いため、実質的には該当する通信が存在しないルールになります。

よって、このACLの効果としてはすべての通信が拒否されることになります。

Q15

ACLの設定順序は動作結果に影響するため確認する必要があります
ACLを適用する方向（in/out）は動作結果に影響するため確認する必要があります
ACLを適用する対象インターフェースは動作結果に影響するため確認する必要があります
ACLの最後に自動で追加されるルールは暗黙の許可ではなく暗黙の拒否です

6章確認問題の解説

Q1

LAN内で使用されるアドレスはグローバルIPアドレスではなくプライベートIPアドレスです
スタティックNATでは1対1のNATになるため、1つのグローバルIPアドレスを1つのプライベートIPアドレスでのみ使用します
LANとインターネットの境界に存在するルータでプライベートIPアドレスをグローバルIPアドレスに変換することはNATの代表的な利用例です
ルータはNATテーブルに変換前IPアドレスと変換後IPアドレスの対応を記録します

Q2

一方向NATでは外部ネットワークから通信を開始できません
双方向NATでは外部ネットワークから通信を開始して内部ネットワークと通信することができます
一般的なインターネット接続では一方向NATが利用されます

Q3

（ダイナミック）NAPTでは一つのグローバルIPアドレスを複数のプライベートIPアドレスで共有するために、IPアドレスの他に送信元ポート番号も変換します (変換後のポート番号は一定範囲内でランダムに決定されます)
（ダイナミック）NAPTでは対象通信が発生したタイミングで動的にNATテーブルにエントリが登録されるため、一方向NATといえます

対象書籍ではNAPTをダイナミックなものとして扱っていますが、スタティックNAPTを設定することもできます。スタティックNAPTの場合、[変換前IPアドレス・変換前ポート番号]の組と、[変換後IPアドレス・変換後ポート番号]の組が1対1で対応し、外部からも通信を開始することができます。よってスタティックNAPTは双方向NATといえます。

Q4

アドレスプールの設定構文は以下の通りです。

アドレスプール設定コマンド

(config)#ip nat pool <プール名> <先頭アドレス> <末尾アドレス> netmask <サブネットマスク>
- <先頭アドレス> <末尾アドレス>；プールのアドレス範囲の先頭アドレスと末尾アドレスを指定
- <サブネットマスク>：プールのアドレスのサブネットマスクを指定

Router01(config)#ip nat pool POOL 100.1.1.2 100.1.1.5 netmask 255.255.255.0

以下はプールの設定ではなくダイナミックNATの設定構文です。

ダイナミックNAT設定コマンド

(config)#ip nat inside source list <ACL番号/名> pool <プール名>
- <ACL番号/名>；NAT変換対象の送信元を定義したACL
- <プール名>：変換後のアドレスを定義したプール

Q5

NATテーブルに動的に登録されたエントリをすべて削除するコマンドは以下です。

NATテーブルクリアコマンド

#clear ip nat translation *

スタティックNAT設定に対応して固定で登録されるエントリについてはこのコマンドを実行しても削除されません。削除されるのはダイナミックNATによって動的に登録されたエントリのみです。

Q6

ダイナミックNATではACLでpermitに該当するIPアドレスが変換対象になります
アドレスプールはグローバルコンフィギュレーションモードで設定します。NATコンフィギュレーションモードというモードは存在しません
アドレス変換の対象になる内部ローカルアドレスをACLで指定します
- 問題文の「変換に使用される」という表現は日本語としておかしいですが読み替えてください
ACLとアドレスプールはNAT設定のオプションとして明示的に指定する必要があります

ダイナミックNAT設定コマンド

(config)#ip nat inside source list <ACL番号/名> pool <プール名>
- <ACL番号/名>；NAT変換対象の送信元を定義したACL
- <プール名>：変換後のアドレスを定義したプール

Q7

NATテーブルを確認するコマンドは以下です。

NATテーブル確認コマンド

#show ip nat translations

Device# show ip nat translations

Pro Inside global         Inside local       Outside local        Outside global
tcp 192.168.1.1:514      192.168.2.3:53     192.168.2.22:256     192.168.2.22:256
tcp 192.168.1.1:513      192.168.2.2:53     192.168.2.22:256     192.168.2.22:256
tcp 192.168.1.1:512      192.168.2.4:53     192.168.2.22:256     192.168.2.22:256
Total number of translations: 3

Q8

NAT変換の統計情報を確認するコマンドは以下です。

NAT変換の統計情報の確認コマンド

#show ip nat statistics

Router01#show ip nat statistics
Total active translations: 0 (0 static, 0 dynamic; 0 extended)
Peak translations: 0
Outside interfaces:
Inside interfaces:
Hits: 0  Misses: 0
CEF Translated packets: 0, CEF Punted packets: 0
Expired translations: 0
Dynamic mappings:
-- Inside Source
[Id: 1] access-list 1 pool POOL refcount 0
 pool POOL: netmask 255.255.255.0
        start 100.1.1.2 end 100.1.1.5
        type generic, total addresses 4, allocated 0 (0%), misses 0

Q9

通信を開始する前にNATテーブルにエントリが登録される場合、スタティックNATが設定されています。

NATテーブルのエントリが以下の場合、設定されているスタティックNATの内容は以下の通りです。

Router01#show ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 100.0.0.1          192.168.100.1      ---                ---

ip nat inside source static 192.168.100.1 100.0.0.1

Inside local：変換前の送信元アドレスを示します
Inside global：変換後の送信元アドレスを示します

Q10

指定したインターフェースのIPアドレスを変換後アドレスとして使用したダイナミックNAPTを行う場合、以下の構文で設定します。

ダイナミックNAPT設定コマンド(インターフェースIP使用)

(config)#ip nat inside source list <ACL番号/名> interfac <インターフェース名> overload
- <ACL番号/名>；NAT変換対象の送信元を定義したACL
- <インターフェース名>：IPアドレス使用対象のインターフェース

(config)#ip nat inside source list 10 interface Vlan179 overload

この場合、指定したACLに一致した送信元IPアドレスは指定したインターフェースのIPアドレスに変換されます。

Q11

DHCPはネットワーク接続のために必要な設定をサーバからクライアントへ自動で割り当てるためのプロトコルです。

ドメイン名からIPアドレスを解決するプロトコルはDNSです
宛先ホストとの疎通確認に使用されるプロトコルはICMPです
インターネット接続の際にIPアドレスを変換するプロトコルはNATです

Q12

DHCPの通信順序は以下の通りです。

クライアントからDHCP Discoverを送信する
サーバからDHCP Offerを送信する
クライアントからDHCP Requestを送信する
サーバからDHCP Acknowlegeを送信する

Q13

DHCPサーバからクライアントに配布される基本的な情報は以下の通りです。

クライアントのIPアドレス及びサブネットマスク
デフォルトゲートウェイ
DNSサーバのアドレス

Q14

CiscoルータでDHCPサーバを有効化する場合に設定必須の項目は以下の通りです。

DHCPプール
対象ネットワークアドレス及びサブネットマスク（DHCPプール内の設定）

ip dhcp pool DHCPPOOL
 network 10.2.3.0 255.255.255.0

その他の以下のような項目はオプションです。

デフォルトゲートウェイ
リース期間
DNSサーバ

Q15

CiscoルータにおいてインターフェースのIPアドレスをDHCPで設定するためには、対象インターフェースの設定モードで以下の設定を行います。

インターフェースのIPアドレス設定(DHCP)

(config-if)#ip address dhcp

Q16

CiscoルータにてDHCPサーバとして払い出すIPアドレスの除外設定をするためには以下の構文で設定します。

DHCP払い出しアドレスからの除外設定

(config)#ip dhcp excluded-address <先頭アドレス> <末尾アドレス>
- <先頭アドレス> <末尾アドレス>；除外対象にするアドレス範囲の先頭と末尾のアドレスを指定

Q17

DHCPで配布したIPアドレスと、その配布先MACアドレスを確認するコマンドは以下です。

DHCPアドレス配布状況確認コマンド

#show ip dhcp binding

Router01#show ip dhcp binding
Bindings from all pools not associated with VRF:
IP address          Client-ID/              Lease expiration        Type
                    Hardware address/
                    User name
10.107.19.50        0100.e04c.27ff.4a       Dec 30 2024 12:24 PM    Automatic

Q18

Gratuitous ARP の目的としては以下の2つがあります。

特定のIPアドレスが他の機器で使用されていないかを確認するため
周辺機器のARPキャッシュやMACアドレステーブルを更新させるため

Q19

CiscoルータのDHCPサーバのリース期間のデフォルト値は「1日」です。

Q20

IPアドレスのコンフリクトを検出するのはDHCPサーバであり、そのために使用するプロトコルはGratuitous ARPやICMP(ping)です
IPアドレスのコンフリクトが検出された場合、対象のIPアドレスはクライアントへの配布対象から除外されます。再度配布対象に含めるためには手動でclear ip dhcp conflict <IPアドレス>コマンドを実行する必要があります
IPアドレスのコンフリクトが検出された場合、対象のIPアドレスは管理者がclear ip dhcp conflict <IPアドレス>コマンドを実行するまではクライアントへの配布対象から除外され続けます

7章確認問題の解説

Q1

レイヤ2スイッチであっても管理用IPアドレスを設定することができます。このためTelnetやSSHによるリモート管理アクセスが可能です
異なるネットワークからスイッチに管理アクセスするためには、スイッチにデフォルトゲートウェイを設定しておく必要があります
スイッチの管理IPアドレスはSVI (Switch Virtual Interface) と呼ばれる仮想インターフェースに対して設定します
- interface VlanX が SVI に該当します
スイッチは物理・仮想インターフェース毎にMACアドレスを持ちます

Q2

レイヤ2スイッチにてデフォルトゲートウェイを設定するコマンドは以下です。

デフォルトゲートウェイ設定コマンド

(config)#ip default-gateway <ゲートウェイアドレス>

Switch01(config)#ip default-gateway 10.1.1.254

Q3

VLANはブロードキャストドメインを分割します。これにより各ブロードキャストドメインで不要なパケットが送信されないようになります
VLANは元のネットワークを複数の異なるネットワークに分割します。これにより異なるネットワーク間では相互にアクセスできなくなるため、不要なアクセスを防ぐことになります
VLANを変更するためにはスイッチのポートVLAN設定を変更します。物理的な配線の変更は不要です
VLANにはネットワークを分割する機能がありますが、VLAN間のデータ転送を行う機能はありません。VLAN間のデータ転送を行うためにはルータが必要です

Q4

Ciscoスイッチにおけるスイッチポートには以下の2種類があります。

アクセスポート：単一のVLANに属し、タグの付け外しをしないポートです
トランクポート：VLANタグの付いたフレームを送受信し、タグの付け外しをするポートです

スイッチポートのVLANの設定方法としては以下の2種類があります。

ポートベースVLAN：ポート別に手動で固定のVLAN設定を行う設定方法
ダイナミックVLAN：ポートに接続した端末のMACアドレスに応じて動的にVLANを割り当てる方法

Q5

トランクポートはスイッチ間を接続する際に設定されます。PCやサーバは通常タグ付きフレームを送受信することができないため、アクセスポートに接続されます
アクセスポートでスイッチ間を接続することも可能です。スイッチ間をアクセスポートにするかトランクポートにするかは要件に応じて決定されます
複数のVLANが通るリンクをトランクリンクといいます
VLANは複数のスイッチにまたがって設定することが可能です

Q6

トランクポートで設定されるトランキングプロトコルには以下の2つがあります。

ISL
IEEE802.1Q

現在のネットワークではISLはほぼ使われておらず、IEEE802.1Qが使われています。

Q7

IEEE802.1Qを使用した際の最大フレームサイズは1522バイトです。ISLの場合は最大フレームサイズは1548バイトです
Cisco独自のプロトコルはISLです。IEEE802.1Qは標準化されたプロトコルで、他ベンダでも使用されています
IEEE802.1QではEthernet IIフレームの送信元MACアドレスの後ろにタグ情報として2バイトのTPIDと2バイトのTCIを挿入します
IEEE802.1Qではタグ挿入位置がフレームの中間のため、FCSの再計算が必要です
新しいヘッダでカプセル化するのはISLです

Q8

1600バイトより大きいフレームはジャンボフレームと呼ばれます。ベビージャイアントフレームとは、タグ無しフレームの最大サイズである1518バイトよりも大きく1600バイト以下のフレームのことを指します
通常のイーサネットフレームの最大サイズは1518バイトです
IEEE802.1Qを使用した際の最大フレームサイズは1522バイトです
スイッチにはMTUと呼ばれる、扱えるパケットの最大サイズの設定があります。デフォルトでは1500バイトです。MTUを超えるサイズのフレームは破棄されます。MTUは設定次第で大きくすることも可能なため、1518バイトより大きいフレームだからといって破棄されるとは限りません

Q9

スイッチ間でネゴシエーションすることでトランクポートかアクセスポートかを自動で決定するためのプロトコルはDTPです。

Q10

DTPの動作モードと結果の組み合わせは以下の通りです。

動作モード	Dynamic desirable	Dynamic auto	Trunk	Access
Dynamic desirable	Trunk	Trunk	Trunk	Access
Dynamic auto	–	Access	Trunk	Access
Trunk	–	–	Trunk	Trunk/Access
Access	–	–	–	Access

Q11

音声VLANとは、一つのアクセスポートに対してデータ通信用VLANとIP電話用VLANを混在させることができる機能です
IP電話の音声データを優先したい場合はQoSと呼ばれる設定を行う必要があります

Q12

CiscoのIP電話では、IP電話に接続したPCから受信したデータに対しては何も手を加えずにそのままスイッチに転送します。

Q13

VTPはCisco独自のプロトコルであり標準化はされたものではありません
リビジョン番号はVLAN設定が変更されるたびに加算されていきます。よってリビジョン番号が大きい方がより新しい情報を持っているといえます
VTPドメイン名は情報同期させるスイッチ間で一致している必要があります
トランスペアレントモードのスイッチではVLANの作成、変更、削除は可能です
VTPバージョン3では拡張VLANに対応しています

Q14

ルータオンアスティック構成の場合、ルータとスイッチは1本のリンクで接続され、その1本のリンクで複数のVLANの通信を通す必要があります。よってそのリンクはトランクリンクである必要があります。

ルータでタグVLAN通信を行うためには、ルーテッドポートに対してサブインターフェースを設定する必要があります。またサブインターフェースにてスイッチで使用するのと同じトランキングプロトコルを設定する必要があります。

問題の選択肢には無いですが、この他サブインターフェースにはVLAN IDの指定とIPアドレスの設定も必要です。

Q15

レイヤ3スイッチは、レイヤ2スイッチの機能に加えてレイヤ3の情報に基づく転送（ルーティング）を行うことができます
レイヤ3スイッチの物理ポートは、設定次第でスイッチポートとしてもルーテッドポートとしても使用することができます
レイヤ3スイッチ1台でVLAN機能とルーティング機能の両方を使用することができます
レイヤ3スイッチでVLAN間ルーティングを行う場合、VLAN IDに対応するSVIを作成し、そのSVIにIPアドレスを設定します。物理ポートにはポートVLAN設定のみを行います
レイヤ3スイッチではポート番号も扱うことができます

Q16

スイッチポートをアクセスポートに設定するためには、対象のインターフェース設定モードで以下コマンドを実行します。

アクセスポートと設定するコマンド

(config-if)#switchport mode access

interface FastEthernet0/1
 switchport mode access

なお、以下はアクセスポートのVLAN IDの設定です。

interface FastEthernet0/1
 switchport access vlan 10

Q17

スイッチで作成されているVlanを確認するコマンドはshow vlanです。

Switch01#show vlan

VLAN Name                             Status    Ports
---- -------------------------------- --------- -------------------------------
1    default                          active    Gi0/1
10   VLAN0010                         active    Fa0/1, Fa0/2, Fa0/3, Fa0/4
                                                Fa0/5, Fa0/6
20   VLAN0020                         active
30   VLAN0030                         active
179  VLAN0179                         active    Fa0/7, Fa0/8
1002 fddi-default                     act/unsup
1003 token-ring-default               act/unsup
1004 fddinet-default                  act/unsup
1005 trnet-default                    act/unsup

VLAN Type  SAID       MTU   Parent RingNo BridgeNo Stp  BrdgMode Trans1 Trans2
---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------
1    enet  100001     1500  -      -      -        -    -        0      0
10   enet  100010     1500  -      -      -        -    -        0      0
20   enet  100020     1500  -      -      -        -    -        0      0
30   enet  100030     1500  -      -      -        -    -        0      0
179  enet  100179     1500  -      -      -        -    -        0      0
1002 fddi  101002     1500  -      -      -        -    -        0      0
1003 tr    101003     1500  -      -      -        -    -        0      0
1004 fdnet 101004     1500  -      -      -        ieee -        0      0
1005 trnet 101005     1500  -      -      -        ibm  -        0      0

Remote SPAN VLANs
------------------------------------------------------------------------------


Primary Secondary Type              Ports
------- --------- ----------------- ------------------------------------------

Q18

インターフェースの状態、設定されたVLAN、Duplexの状態などを確認できるコマンドはshow interfaces statusです。

Switch01#show interfaces status

Port      Name               Status       Vlan       Duplex  Speed Type
Fa0/1                        notconnect   10           auto   auto 10/100BaseTX
Fa0/2                        notconnect   10           auto   auto 10/100BaseTX
Fa0/3                        connected    10         a-full  a-100 10/100BaseTX
Fa0/4                        notconnect   10           auto   auto 10/100BaseTX
Fa0/5                        notconnect   10           auto   auto 10/100BaseTX
Fa0/6                        notconnect   10           auto   auto 10/100BaseTX
Fa0/7                        connected    179        a-full  a-100 10/100BaseTX
Fa0/8                        notconnect   179          auto   auto 10/100BaseTX
Gi0/1                        notconnect   1            auto   auto Not Present

Q19

ルータのサブインターフェースにVLAN IDを設定するコマンドは以下です。

サブインターフェースへのVLAN ID設定コマンド

(config-if)#encapsulation dot1Q <VLAN ID>
- トランキングプロトコルをIEEE802.1Qにする前提のコマンドです

interface GigabitEthernet8.1
 encapsulation dot1Q 10

Q20

スイッチでSVIを作成するコマンドは以下です。

SVI作成コマンド

(config)#interface Vlan<VLAN ID>
- 「Vlan」と<VLAN ID>の間に半角スペースがあっても構いません

interface Vlan10

Q21

ポートに設定されたモードと実際に動作しているモードなどのスイッチポートの状態を確認できるコマンドはshow interfaces switchportです。

Switch01#show interfaces switchport
(前略)
Name: Fa0/7
Switchport: Enabled
Administrative Mode: static access
Operational Mode: static access
Administrative Trunking Encapsulation: dot1q
Operational Trunking Encapsulation: native
Negotiation of Trunking: Off
Access Mode VLAN: 179 (VLAN0179)
Trunking Native Mode VLAN: 1 (default)
Administrative Native VLAN tagging: enabled
Voice VLAN: none
Administrative private-vlan host-association: none
Administrative private-vlan mapping: none
Administrative private-vlan trunk native VLAN: none
Administrative private-vlan trunk Native VLAN tagging: enabled
Administrative private-vlan trunk encapsulation: dot1q
Administrative private-vlan trunk normal VLANs: none
Administrative private-vlan trunk associations: none
Administrative private-vlan trunk mappings: none
Operational private-vlan: none
Trunking VLANs Enabled: ALL
Pruning VLANs Enabled: 2-1001
Capture Mode Disabled
Capture VLANs Allowed: ALL

Protected: false
Unknown unicast blocked: disabled
Unknown multicast blocked: disabled
Appliance trust: none
(後略)

8章確認問題の解説

Q1

STPはデータリンク層のプロトコルでありレイヤ2のループを防止します
STPはループ防止のために一部ポートをブロック状態にします
STPは「IEEE802.1D」で規格化されています。「IEEE802.1W」はRSTPです
STPでは自動計算によりブロッキングポートが決定されるため、管理者は手動でブロッキングポートを定める必要はありません
スイッチ同士は必要な情報を含むBPDUを交換します。BPDUに含まれるブリッジIDに基づいてルートブリッジが決定されます

Q2

ブリッジIDを構成する情報は以下の2つです。

ブリッジプライオリティ（先頭2バイト）
MACアドレス（末尾6バイト）

ブリッジIDが最も小さいスイッチがルートブリッジになります。

Q3

STPにてルートポート選出の基準は以下の順で3つあります。

ルートブリッジまでのパスコスト（ルートパスコスト）が最も小さいポート
送信元ブリッジIDが最小のBPDUを受信したポート
送信元ポートIDが最小のBPDUを受信したポート

Q4

STPのポート状態の内MACアドレスを学習する状態は以下の2つです。

ラーニング：受信したフレームの送信元MACアドレスを学習するが、データ転送はしない
フォワーディング：ルートポートまたは指定ポートとなり、データ転送が行われる状態

Q5

STPでは障害が発生すると自動で冗長ルートに切り替わります
障害発生時はルート切り替わり完了までに最大で50秒かかります
- 最大エージタイマー：20秒
- 再計算から収束まで：30秒

Q6

Portfastが設定されたポートでは端末接続後即座にフォワーディング状態になります
デフォルトではPortfastは無効です
スイッチと接続するポートにPortfastを設定するとループが発生する可能性があります
PortfastはCisco独自の拡張機能のため他ベンダ機器では設定できるとは限りません

Q7

Portfastが設定されている場合、BPDU受信の有無にかかわらず即座にフォワーディング状態になります
Portfastが設定されている場合そのポートでSTP機能が動作しないためループが検出されない可能性があります
Portfastが設定されている場合、BPDU受信をトリガーとする動作は何もありません
Portfastが設定されているポートにスイッチが接続されてもSTPのコンバージェンスの速度は変わりません

Q8

RSTPはSTPとの互換性があります。RSTPが有効のスイッチとSTPが有効のスイッチが混在している場合、RSTPが有効のスイッチの動作はSTPが有効の場合と同じ動作になります
RSTPのコンバージェンスまでの時間は数秒になります
RSTPはIEEE802.1Wで規格化されています
RSTPとSTPとでブロッキングポートの選出アルゴリズムは同じです
RSTPではSTPでの非指定ポートの代わりに代替ポートとバックアップポートが存在します

Q9

RSTPのポートの役割については、ルートポートと指定ポートについてはSTPと同じで、代替ポートとバックアップポートは新しい役割となっています
RSTPではSTPでの非指定ポートの代わりに代替ポートとバックアップポートが存在します
バックアップポートは指定ポートの予備です
代替ポートはルートポートの予備です

Q10

RSTPの各ポート状態について

ラーニングではデータ転送をしませんが、受信したフレームの送信元MACアドレスを学習します
ディカ―ディングではデータの転送もMACアドレスの学習もしません
STPにおけるディセーブル、ブロッキング、リスニングの3状態がRSTPではディスカーディング1状態にまとめられています
上記の通りSTPとRSTPではポート状態は異なります

Q11

CSTではVLAN全体で一つのトポロジーを構成します
PVST+ではトランキングプロトコルとしてIEEE802.1Qにも対応しています
PVST+ではVLAN別にトポロジーを構成できるため、VLANごとにブロッキングポートを変えることができます
同じパターンのインスタンスを1つにまとめて管理し負荷が少ないのはMSTPです

Q12

show spanning-treeコマンドでは以下が確認できます。

VLANごとのSTP有効インターフェース
ルートブリッジ、及び自スイッチのプライオリティ
ルートブリッジのMACアドレス
自インターフェースの状態

Switch01#show spanning-tree

VLAN0010
  Spanning tree enabled protocol ieee
  Root ID    Priority    32778
             Address     0022.0cbe.7980
             This bridge is the root
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32778  (priority 32768 sys-id-ext 10)
             Address     0022.0cbe.7980
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  300 sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/3               Desg FWD 19        128.3    P2p

Q13

STPは初期設定では有効です
プライオリティは4096の倍数である必要があります
プライオリティがより小さいスイッチがルートブリッジになるため、ルートブリッジにするためにはデフォルトより小さい値にする必要があります
パスコストを変更することでポートの役割を変更することは可能です
ポートIDは設定変更可能なポートプライオリティとポート番号から構成されるため、ポートプライオリティを変えることでポートIDを変更することが可能です

Q14

STPの動作を確認できるdebugコマンドはdebug spanning-tree eventsです。

以下のようなログを表示することができます。

*Mar  1 05:45:31.479: STP[10]: Generating TC trap for port FastEthernet0/3
*Mar  1 05:45:33.199: setting bridge id (which=3) prio 32778 prio cfg 32768 sysid 10 (on) id 800A.0022.0cbe.7980
*Mar  1 05:45:33.199: set portid: VLAN0010 Fa0/3: new port id 8003
*Mar  1 05:45:33.199: STP: VLAN0010 Fa0/3 -> listening
*Mar  1 05:45:48.206: STP: VLAN0010 Fa0/3 -> learning
*Mar  1 05:46:03.213: STP: VLAN0010 Fa0/3 -> forwarding

Q15

STPのブリッジプライオリティ設定コマンドは以下の通りです。

STPブリッジプライオリティ設定コマンド

(config)#spanning-tree vlan <VLAN ID> priority <プライオリティ>
- プライオリティは 0-61440 の範囲の 4096 の倍数で指定します

Switch01(config)#spanning-tree vlan 10 priority 8192

Q16

STPのインターフェースの役割とその表示内容としては以下があります。

ルートポート → Root
指定ポート → Desg
非指定ポート → Altn

Q17

ポートプライオリティの設定は対象インターフェース設定モードにて以下コマンドで行います。

ポートプライオリティ設定コマンド

(config-if)#spanning-tree vlan <VLAN ID> cost <コスト>
- コストは 1-200000000 の範囲で指定します

Switch01(config-if)#spanning-tree vlan 10 cost 100

Q18

STP動作モードをRSTPにする設定コマンドは以下です。

ポートプライオリティ設定コマンド

(config)#spanning-tree mode rapid-pvst

Q19

Portfastの設定は対象インターフェース設定モードにて以下コマンドで行います。

Portfast設定コマンド

(config-if)#spanning-tree vlan <VLAN ID> cost <コスト>
- コストは 1-200000000 の範囲で指定します

Switch01(config-if)#spanning-tree vlan 10 cost 100

Q20

Root ID のところで Cost 19 と表示されたというのは以下のような表示であることが想定されます。

Switch01#show spanning-tree vlan 10

VLAN0010
  Spanning tree enabled protocol ieee
  Root ID    Priority    32768
             Address     0042.68f4.c520
             Cost        19
             Port        3 (FastEthernet0/3)
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec

  Bridge ID  Priority    32778  (priority 32768 sys-id-ext 10)
             Address     0022.0cbe.7980
             Hello Time   2 sec  Max Age 20 sec  Forward Delay 15 sec
             Aging Time  15  sec

Interface           Role Sts Cost      Prio.Nbr Type
------------------- ---- --- --------- -------- --------------------------------
Fa0/3               Root FWD 19        128.3    P2p

Root ID の箇所に Cost が表示される場合、自スイッチとは別のスイッチがルートブリッジとなっていて、そのルートブリッジまでのパスコストが Cost として表示されます。

各スイッチの設定がデフォルトであることから、自スイッチよりもルートブリッジになっているスイッチの方が MAC アドレスが小さいということがいえます。

9章確認問題の解説

Q1

EtherChannelの特徴について

バンドルしたリンクを通るトラフィックを各リンクに分散させることができるのはその通りです
バンドル内のリンクに障害が発生した場合に別のリンクを使用して接続を維持できるのはその通りです
どんなポートでもバンドルできるわけではなく、Speed、Duplex等の各種設定が一致している必要があります
EtherChannelでは帯域を増やせるほか、負荷分散が可能です

Q2

Cisco独自のEtherChannelプロトコルはPAgPです。PAgPで使用できるモードは以下です。

auto
desirable

Q3

双方のモードが PAgP の auto の場合、EtherChannel は形成できません。auto モードの対向は desirable である必要があります
EtherChannel のモードが on の場合、静的な EtherChannel となるため、双方のモードが on の場合は静的な EtherChannel が形成されます
片方が LACP のモード active、もう片方が LACP のモード passive の場合、問題なく EtherChannel は形成されます
片方のモードが PAgP の auto の場合、もう片方のモードは PAgP の desirable である必要があります。このためもう片方のモードが on の場合は EtherChannel は形成されません

Q4

レイヤ3の EtherChannel では、物理インターフェースには IP アドレスを設定せず、論理インターフェース（Port-channel インターフェース）に IP アドレスを設定します
レイヤ2のポートとレイヤ3のポートを混在して EtherChannel を設定することはできません
レイヤ3の EtherChannel を設定する場合、各物理インターフェースで no switchport を設定します
アクセスポート、トランクポートはレイヤ2のポート設定のため、レイヤ3の EtherChannel を構成するインターフェースでは設定しません

Q5

レイヤ2の EtherChannel では、物理インターフェースにも Port-channel インターフェースにも IP アドレスは設定しません
レイヤ2の EtherChannel を設定する場合、インターフェースで no switchport は設定しません
インターフェース設定の channel-group コマンドはそのインターフェースを所属させるチャネルグループを設定するコマンドです
対向のスイッチとネイティブVLANを合わせる必要があります

Q6

EtherChannel を設定するためにはメンバーインターフェースのSpeed、Duplex、VLAN等の設定を併せる必要があります

Q7

LACP を使用した EtherChannel を設定するためには、動作モードを active または passive にした channel-group 設定を行う必要があります。その設定コマンドは以下です。

LACPによるEtherChannel設定コマンド

(config-if)#channel-group <グループID> mode <active|passive>

Q8

各ポートに設定された EtherChannel のモードを確認できるコマンドはshow etherchannel detailです。

Switch01#show etherchannel detail
                Channel-group listing:
                ----------------------

Group: 1
----------
Group state = L2
Ports: 2   Maxports = 16
Port-channels: 1 Max Port-channels = 16
Protocol:   LACP
Minimum Links: 0
                Ports in the group:
                -------------------
Port: Fa0/5
------------

Port state    = Down Not-in-Bndl
Channel group = 1           Mode = Active          Gcchange = -
Port-channel  = null        GC   =   -             Pseudo port-channel = Po1
Port index    = 0           Load = 0x00            Protocol =   LACP

Flags:  S - Device is sending Slow LACPDUs   F - Device is sending fast LACPDUs.
        A - Device is in active mode.        P - Device is in passive mode.

Local information:
                            LACP port     Admin     Oper    Port        Port
Port      Flags   State     Priority      Key       Key     Number      State
Fa0/5     SA      down      32768         0x1       0x0     0x106       0x45

Age of the port in the current state: 0d:00h:00m:31s

Q9

ネゴシエーションプロトコルを使用せずに EtherChannel を構成するモードはonです。

Q10

show lacp neighborコマンドのFlagsとしてSPと表示されています。「P」は passive モードであることを示します。show lacp neighborコマンドでは対向スイッチの状態が表示されるため、対向スイッチのモードが passive であるということは、自スイッチのモードは active であるといえます。

10章確認問題の解説

Q1

IPv6 アドレスは 128ビットです。16ビットごとに「:」で区切られ、16進数で表記されます
IPv6 ではブロードキャストアドレスは廃止されています
インターフェースID は IPv4 のホスト部に該当します。EUI-64 形式で自動生成することができます
IPv6 アドレスの「0」が連続した区間は「::」で省略できますが、省略できるのは一つの区間のみです。複数「::」が現れる表記は誤りです

Q2

同一ネットワーク内での通信のみで使用される IPv6 のアドレスの種類はリンクローカルアドレスです。

Q3

複数の宛先に通信する際に用いられる IPv6 アドレスはマルチキャストアドレスです。マルチキャストアドレスは最初の8ビットが「11111111」から始まるため、「FF00::/8」となります。

Q4

IPv6 のデフォルトルートを設定する場合、宛先ネットワークの表記は「::/0」になります。そのようになっている選択肢が正解です。

Q5

IPv6 のルーティングテーブルを表示するコマンドはshow ipv6 routeです。

Q6

リンクローカルアドレスを EUI-64 形式で自動生成する場合の設定コマンドは(config-if)#ipv6 enableです
グローバルユニキャストアドレスを EUI-64 形式で自動生成する場合の設定コマンドは(config-if)#ipv6 address <アドレス(プレフィックスのみ)>/<プレフィックス長> eui-64です
(config-if)#ip v6 address autoconfigはSLLACによる自動設定をする場合の設定コマンドです

Q7

ステートレスアドレス自動設定（SLLAC）では、NDPというプロトコルを使用してルータとの間でRSメッセージやRAメッセージのやり取りを行い、RAメッセージで受け取ったプレフィックス情報に自身のMACアドレスから生成した EUI-64 形式のインターフェースIDを付与した IPv6 アドレスを生成します。

Q8

IPv6 アドレスを設定した場合に所属するマルチキャストグループは以下です。

FF02::1 → リンクローカル内の全ノード宛のマルチキャストグループ
FF02::2 → リンクローカル内の全ルータ宛のマルチキャストグループ
FF02::1:FFxx:xxxx → 要請ノードマルチキャストアドレスのマルチキャストグループ。「xx:xxxx」はインターフェースのIPv6アドレスの下から24ビット

Q9

ユニークローカルユニキャストアドレスは、IPv4のプライベートIPアドレスに該当する、インターネット上ではルーティングできないアドレスです。

Q10

ルータでIPv6ルーティングを有効化する設定コマンドは(config)#ipv6 unicast-routingです。

デフォルトではIPv6ルーティングは無効化されています。

Q11

NDPでは ICMPv6 パケットが使用され、同一セグメントに存在する他の機器の探索に使用されます。

機器の時刻同期に使われるプロトコルは NTP です
通信のフィルタリングには使用されません
IPv6のルーティングを有効・無効には関係ありません

Q12

IPv6を有効化したインターフェースが参加しているマルチキャストグループを確認できるコマンドはshow ipv6 interfaceです。

以下の例のJoined group address(es):の箇所に参加マルチキャストグループが表示されています。

Router01#show ipv6 interface vlan999
Vlan999 is down, line protocol is down
  IPv6 is tentative, link-local address is FE80::242:68FF:FEF4:C520 [TEN]
  No Virtual link-local address(es):
  Global unicast address(es):
    FC00::1, subnet is FC00::/64 [TEN]
  Joined group address(es):
    FF02::1
    FF02::2
  MTU is 1500 bytes
  ICMP error messages limited to one every 100 milliseconds
  ICMP redirects are enabled
  ICMP unreachables are sent
  ND DAD is enabled, number of DAD attempts: 1
  ND reachable time is 30000 milliseconds (using 30000)
  ND advertised reachable time is 0 (unspecified)
  ND advertised retransmit interval is 0 (unspecified)
  ND router advertisements are sent every 200 seconds
  ND router advertisements live for 1800 seconds
  ND advertised default router preference is Medium
  Hosts use stateless autoconfig for addresses.

Q13

EUI-64 ではインターフェースIDは以下の手順で生成されます。

48ビットのMACアドレスを24ビットずつに分割し、間に16ビットのFFFEを挿入する
先頭から7ビット目の0/1を反転する

Q14

SLLACで設定されるアドレスはグローバルユニキャストアドレスです。

Q15

IPv6アドレスの表記は以下のルールをすべて満たしている必要があります。

16ビットごとに「:」で区切られ、全体で128ビットである
16進数で表記される
区切られた各ブロックの先頭の「0」は省略可能
「0」が連続する区間は「::」と省略表記が可能。ただし省略表記できるのは1つの区間のみ

上記考慮して考えます。

a → 省略表記の「::」が2箇所あるので誤り
b → 正しい表記
c → 「g」が含まれていて、16進数表記になっていないため誤り
d → 全体の長さが128ビットを超えているため誤り

Q16

IPv4ネットワーク上でIPv6トラフィックをルーティングするための手法は「6to4トンネル」です。

NAT はIPアドレス変換技術です
DHCPv6 はIPアドレスを自動で割り当てるためのプロトコルです
デュアルスタックは一つの機器にIPv4アドレスとIPv6アドレスの両方を共存させる技術です

11章確認問題の解説

Q1

デフォルトゲートウェイを冗長化するプロトコルは以下です。

GLBP → Cisco 独自のプロトコルで、Active/Active 型の冗長化ができます
HSRP → Cisco 独自のプロトコルで、Active/Standby 型の冗長化ができます
VRRP → 標準化されたプロトコルです

以下はゲートウェイ冗長化プロトコルではありません。

EIGRP → ダイナミックルーティングプロトコルです
SNMP → ネットワーク監視をするためのプロトコルです
BGP → ダイナミックルーティングプロトコルです

Q2

HSRPで使用される仮想MACアドレスは以下のルールで決定されます。

HSRPの仮想MACアドレス

0000.0c07.ac[HSRPグループ番号(16進数)]

Q3

HSRPの詳細情報を確認できるコマンドはshow standbyです。

Router01#show standby
Vlan179 - Group 1
  State is Active
    2 state changes, last state change 00:01:12
  Virtual IP address is 192.168.179.111
  Active virtual MAC address is 0000.0c07.ac01
    Local virtual MAC address is 0000.0c07.ac01 (v1 default)
  Hello time 3 sec, hold time 10 sec
    Next hello sent in 0.816 secs
  Preemption disabled
  Active router is local
  Standby router is unknown
  Priority 120 (configured 120)
  Group name is "hsrp-Vl179-1" (default)

※Standbyルータがダウンしている場合の出力例です

Q4

HSRP でプライオリティが高い場合に常にアクティブにするためには Preempt を有効化します。

設定コマンドは以下です。

HSRPのPreempt有効化

(config-if)#standby <ID> preempt

Q5

HSRP で Preempt が有効化されている場合、よりプライオリティが大きいルータが起動したタイミングで即時アクティブが切り替わります。

Q6

show standbyコマンドで確認できる内容は以下です。

仮想IPアドレス
HSRPプライオリティ

Router01#show standby
Vlan179 - Group 1
  State is Active
    2 state changes, last state change 00:01:12
  Virtual IP address is 192.168.179.111
  Active virtual MAC address is 0000.0c07.ac01
    Local virtual MAC address is 0000.0c07.ac01 (v1 default)
  Hello time 3 sec, hold time 10 sec
    Next hello sent in 0.816 secs
  Preemption disabled
  Active router is local
  Standby router is unknown
  Priority 120 (configured 120)
  Group name is "hsrp-Vl179-1" (default)

Q7

HSRPv1/v2 のどちらでも認証設定ができます
Helloパケットの宛先アドレスは HSRPv1 では 224.0.0.2、HSRPv2 では 224.0.0.102 です
設定可能なグループ番号の範囲は HSRPv1 では 0-255、HSRPv2 では 0-4095 です

Q8

QoS で帯域幅を増やすことはできません
QoS はデフォルトで無効になっています
QoS はネットワークの品質（=サービス品質）を保証するための技術です
Qos のモデルにはIntServ、DiffServ、ベストエフォートの3つがあります
- 一般的に Cisco 機器で明示的に設定する QoS は DiffServ に該当します
音声通話の品質を保つには QoS の設定が必要です

Q9

先に来たものを先に出すモデルはベストエフォートです
あらかじめフローの帯域幅を確保するのはIntServです
送信元から宛先までの各機器で帯域を確保するのはIntServです
DeffServはCoSやDSCPを使用してパケットを処理します

Q10

イーサネットフレームの優先度を表すのは DSCP ではなく CoS です。DSCP は IP パケットの優先度を表します
IP パケットの ToSフィールド8ビットの内、先頭3ビットを使用するのがIP Precedence、先頭6ビットを使用するのが DSCP です
CoS は 802.1Q タグの中の3ビットの PCP というフィールドに該当します

対象書籍では CoS に該当するフィールド名を「PRI」と表記していますが、「PCP」と表記することの方が一般的のため「PCP」と覚えることをお勧めします。

Q11

RED ではパケットの優先度を考慮せずにランダムにパケットを破棄します
WRED ではパケットの優先度を考慮してパケットを破棄します
WRED では優先度の高いパケットも破棄される可能性があります
キューが一杯になった場合にそれ以降のパケットをすべて破棄する手法はテールドロップです

Q12

ポリシングはルーティングプロトコルの優先順位とは関係ありません
ポリシングではCIR（制限レート）を超過するパケットをドロップします
ポリシングではCIRを下回るトラフィックをマーキングすることはありません
CIR を超過するパケットをキューに格納する手法はポリシングではなくシェーピングです

Q13

選択肢の中でキューイング・スケジューリングに関する手法の名称は以下です。

FIFO
PQ
WFQ

Q14

SNMP はマネージャとエージェントから構成されます
SNMP では TCP ではなく UDP (161,162) が使用されます
SNMP はネットワーク機器の状態監視、情報収集のために使用されます
SNMP マネージャ（監視サーバ）が各ネットワーク機器を監視します。SNMP エージェント（各ネットワーク機器）は管理対象です。

Q15

SNMP エージェントで状態変化があったときに SNMP マネージャに自発的に通知するメッセージは以下です。

Trap
Inform Request

以下は SNMP マネージャからエージェントへの問合せ通知です。

GetBulk Request
Get Request

以下は SNMP マネージャから問い合わせがあった際のエージェントからの応答です。

Get Response

Q16

MIB（Management Information Base）とは、SNMP で利用可能な機器情報をツリー構造で記述した情報です。

ベンダ問わず一般的な情報を記述した標準MIBと、ベンダ固有の情報を記述した拡張MIBが存在します。

通常、拡張MIBについてはSNMPマネージャには含まれていないため、手動で追加的に拡張MIBを追加する必要があります

Q17

SNMPv1/v2 はどちらもコミュニティ文字列を使用して認証を行います
ユーザ認証を行うのは SNMPv3 です
SNMPv1/v2 に改ざん防止機能はありません
暗号化機能を持つのは SNMPv3 です

Q18

SNMPv3 で利用可能な認証アルゴリズムは MD5 または SHA です。

Q19

SNMPv3 エージェントで設定が必要な項目は以下です。

SNMP グループ
SNMP ユーザ

エンジン ID は固有値が自動で設定されます。SNMP トラップ送信先は、トラップ送信が必要な場合のみ設定します。

Q20

SNMPビューの設定を確認するコマンドはshow snmp viewです。

Router01#show snmp view
*ilmi system - included permanent active
*ilmi atmForumUni - included permanent active
cac_view pimMIB - included read-only active
cac_view msdpMIB - included read-only active
cac_view interfaces - included read-only active
cac_view ip - included read-only active
cac_view ospf - included read-only active
以下略

12章確認問題の解説

Q1

ログバッファのデフォルトサイズは機種によって異なります
Telent や SSH でリモート接続した際は、デフォルトではターミナル上にシステムログは表示されません
Syslog を使用して外部の Syslog サーバにシステムログを転送することが可能です
ログバッファは RAM 上に確保されるため、他のプロセスに影響を与える可能性もあります

Q2

ファシリティはログの分類を表すものであり、重要度を表すものではありません。ファシリティのデフォルト値は「local7」です
ログのレベルは 0-7 の8段階に分けられています。数値が小さいほど重要度の高いことを意味します
一番重要度が高いログレベル（レベル0）は「emergencies」です
指定したログレベル以下のログ全てが表示・保存の対象になります
- 例：ログレベル 3を指定した場合、レベル 0-3 のログが対象になる

Q3

ログのシーケンス番号を表示するようにするためには(config)#service sequence-numbersを設定する必要があります
ログのタイムスタンプの形式を変更するためには(config)#service timestampsコマンドのオプションを指定して設定します

Q4

機器のRAMにシステムログを保存するための設定コマンドは(config)#logging bufferedです。

Q5

RAMに保存しているログを表示するコマンドは#show loggingです。

Router01#show logging
Syslog logging: enabled (0 messages dropped, 4 messages rate-limited, 0 flushes, 0 overruns, xml disabled, filtering disabled)

No Active Message Discriminator.



No Inactive Message Discriminator.


    Console logging: level debugging, 58 messages logged, xml disabled,
                     filtering disabled
    Monitor logging: level debugging, 0 messages logged, xml disabled,
                     filtering disabled
    Buffer logging:  level debugging, 58 messages logged, xml disabled,
                    filtering disabled
    Exception Logging: size (8192 bytes)
    Count and timestamp logging messages: disabled
    Persistent logging: disabled

No active filter modules.

    Trap logging: level informational, 60 message lines logged
        Logging Source-Interface:       VRF Name:

Log Buffer (8192 bytes):

*Jan  2 00:00:00.999: %IOS_LICENSE_IMAGE_APPLICATION-6-LICENSE_LEVEL: Module name = c800 Next reboot level = advipservices and License = advipservices
*Dec 30 01:41:52.731: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0  State changed to: Initialized
*Dec 30 01:41:52.735: %VPN_HW-6-INFO_LOC: Crypto engine: onboard 0  State changed to: Enabled idb->namestring GigabitEthernet         idb->state 0
interface is down

*Dec 30 01:42:09.871: %LINEPROTO-5-UPDOWN: Line protocol on Interface VoIP-Null0, changed state to up
*Dec 30 01:42:09.871: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0, changed state to down
*Dec 30 01:42:09.871: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:1, changed state to down
*Dec 30 01:42:09.871: %LINEPROTO-5-UPDOWN: Line protocol on Interface BRI0:2, changed state to down
*Dec 30 01:42:09.871: %LINK-3-UPDOWN: Interface GigabitEthernet8, changed state to up
*Dec 30 01:42:09.871: %LINK-3-UPDOWN: Interface FastEthernet0, changed state to up
*Dec 30 01:42:10.655: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to down
*Dec 30 01:42:10.871: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet8, changed state to down
*Dec 30 01:42:10.871: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet0, changed state to down
*Dec 30 01:42:11.871: %LINK-3-UPDOWN: Interface GigabitEthernet8, changed state to down
*Dec 30 01:42:11.871: %LINK-3-UPDOWN: Interface FastEthernet0, changed state to down

Q6

NTPに関する問題：

インターネット接続の際にIPアドレスを変換するための技術は NAT です
NTP はサーバと時刻同期を行うためのプロトコルです。NTP では UTC 時刻が扱われます
ドメイン名からIPアドレスを解決するためのプロトコルは DNS です
ネットワークを利用するために必要な情報を自動的に割り当てるプロトコルは DHCP です

Q7

Cisco 機器を NTP クライアントとして動作させるためには以下コマンドで NTP サーバの設定を行います。

NTPサーバ設定コマンド

(config)#ntp server <サーバアドレス>

(config)#ntp server 10.20.30.40

Q8

CIsco 機器でタイムゾンを設定するコマンドは以下です。

NTPサーバ設定コマンド

(config)#clock timezone <設定名> <時> <分>
- <設定名>：任意の文字列で設定名を指定します
- <時> <分>：UTC からの時差を指定します。<分>はオプションです

(config)#clock timezone JST 9 0

Q9

Cisco 機器を NTP クライアントと設定したときに、信頼できる NTP サーバとのみ同期するためには以下の認証設定を行います。

NTP認証の有効化
NTPサーバのIPアドレスの指定と同時に認証キーの指定

Q10

NTP同期情報を確認するコマンドはshow ntp associationsです。

Router01#show ntp associations

  address         ref clock       st   when   poll reach  delay  offset   disp
*~127.127.1.1     .LOCL.           7      3     16     1  0.000   0.000 7937.5
 * sys.peer, # selected, + candidate, - outlyer, x falseticker, ~ configured

Q11

CDP はデータリンク層で動作するプロトコルです
CDP では隣接 Cisco 機器との機器情報の交換や、Cisco IP電話への音声 VLAN ID の通知ができます

Q12

LLDP は標準化されたプロトコルであり、Cisco 独自ではありません
CDP フレームの送信に使用される VLAN については、設定されている最も小さい VLAN ID、つまり VLAN 1 が使用されます
デフォルトのフレーム送信間隔は、CDP は60秒、LLDP は30秒です
LLDP で IOS のバージョン情報も取得できます
CDP にはバージョン1と2があり、取得できる情報が異なります

Q13

CDPバージョン2で取得できる情報は以下です。

隣接デバイスのホスト名
隣接デバイスのデバイスタイプ
隣接デバイスのモデル情報
隣接デバイスのインターフェース情報
隣接デバイスのネットワーク層のアドレス
隣接デバイスのIOSソフトウェア、バージョン情報
隣接デバイスのVTPドメイン名
隣接デバイスのネイティブVLANの情報
隣接デバイスのインターフェースのDuplexの情報

Q14

LLDPで取得した隣接機器の詳細情報を表示するコマンドは#show lldp neighbors detailです。

Q15

LLDPの初期化遅延時間を設定するコマンドは以下です。

LLDP初期化遅延時間設定コマンド

(config)#lldp reinit <秒>
- <秒>：初期化遅延時間を 2-5 秒の範囲から指定

Q16

IOSファイル名やコンフィギュレーションレジスタ値を確認できるコマンドはshow versionです。

Router01#show version
Cisco IOS Software, C800 Software (C800-UNIVERSALK9-M), Version 15.8(3)M9, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2022 by Cisco Systems, Inc.
Compiled Thu 08-Sep-22 14:16 by mcpre

ROM: System Bootstrap, Version 15.4(1r)T1, RELEASE SOFTWARE (fc1)

Router01 uptime is 3 hours, 0 minutes

～中略～

Configuration register is 0x2102

Q17

IOSの起動順序は以下の通りです。

POSTの実行
ブートストラップの実行
Cisco IOSソフトウェアの読み込み
startup-configの読み込み

Q18

IOS や running-config を TFTP サーバにアップロードする際は、copy コマンドを使用します。

copyコマンドの書式

#copy <コピー元ファイル名> <コピー先ファイル名>

running-config を TFTP サーバにアップロードする場合は以下のコマンドになります。

#copy running-config tftp:

Router01#copy running-config tftp:
Address or name of remote host []? 10.1.1.33
Destination filename [router01-confg]?
.!!
2925 bytes copied in 4.448 secs (658 bytes/sec)

Q19

パスワードリカバリを行う場合、再起動時にスタートアップコンフィグを読み込ませないようにします。この場合は、コンフィギュレーションレジスタ値を0x2142にします。

Q20

現在管理ログインしているユーザを表示するコマンドはshow usersです。

Router01#show users
    Line       User       Host(s)              Idle       Location
   0 con 0                idle                 00:00:20
* 10 vty 0     admin      idle                 00:00:00 10.1.1.33

  Interface    User               Mode         Idle     Peer Address

13章確認問題の解説

Q1

キャンパスネットワークの3階層ネットワーク設計モデルにおける3つの階層は以下です。

コア層
ディストリビューション層
アクセス層

以下はOSI参照モデルにおける階層です。

ネットワーク層
データリンク層

Q2

キャンパスネットワークの2階層ネットワーク設計モデルについて：

中小規模のネットワークや簡易なネットワークで用いられます
エンドユーザが接続する機器は高機能ではないものが用いられます
拠点同士を接続する場合はケーブル数が増えるため、コア層を設けた3階層モデルにすることが推奨されています
アクセス層とディストリビューション層から構成されます。ディストリビューション層はコラプストコアとも呼ばれます

Q3

キャンパスネットワークは、「構内ネットワーク」「エンタープライズネットワーク」と呼ばれることもあります
キャンパスネットワークの設計思想として、「階層型ネットワーク設計」があります

Q4

WANについて：

WANではユーザが自由に配線や機器の配置を行うことはできません
地理的に離れた拠点間を接続する際には、通信事業者のサービスを利用します
WANサービスには以下があります
- 専用線サービス
- 回線交換サービス
- パケット交換サービス
WANのトポロジはポイントツーポイントだけでなく以下があります
- フルメッシュ
- パーシャルメッシュ
- ハブアンドスポーク

Q5

WANのトポロジについて：

一部の拠点間のみを接続するのはパーシャルメッシュです
ポイントツーポイント構成はWANで用いられる場合があります
コストを下げつつ信頼性をある程度維持できる構成はパーシャルメッシュです
ハブアンドスポーク構成では、ハブとなっている拠点の負荷が高くなります
ハブアンドスポーク構成では、一番契約回線数が少なくなります

Q6

WANの接続形態について：

DCE は顧客側ネットワーク内に設置され、通信事業者側ネットワークと直接接続します
- モデムや ONU が DCEに該当します
DTE は顧客側ネットワーク内に設置され、DCEを経由して通信事業者側ネットワークと接続します
- データ送受信を行うルータや端末が DTE に該当します
ローカルループとは、DCEから通信事業者の基地局までの回線を指します

Q7

専用線について：

専用線では他のユーザと回線を共有することはなく、帯域が100%保証されています
回線のメンテナンスや設置は通信事業者が行うため、ユーザ側に専門的な技術の要求は少ない
専用線は他のWANサービスと比べて高価です
専用線の通信品質やセキュリティは高いです

Q8

PPPについて：

HDCLでは対向ルータと機器ベンダを合わせる必要がありますが、PPPでは対向ルータを別ベンダの機器にすることも可能です
PPP にはユーザ認証や圧縮機能があります
Cisco ルータのシリアルインターフェースのデフォルトのカプセル化としては HDLC が使われます

Q9

PPPで使用できる認証機能は以下です。

PAP
CHAP

Q10

VPNについて：

拠点のプライベートネットワークが直接接続しているように見せかけるという内容はその通りです
専用線やフレームリレーよりコストは低くなります
インターネットを利用するインターネットVPN、通信事業者の閉域網を使用するIP-VPNがあります
フルメッシュ型の通信をすることも可能です

Q11

インターネットVPNの2つの種類は以下です。

サイト間VPN
- 拠点間のLANを接続するためのVPNです
リモートアクセスVPN
- 個別のPCなどのモバイル端末が拠点LANに接続するためのVPNです

Q12

MPLSについて：

MPLSはもともとL2とL3の間で動作します
IPヘッダは20バイト、MPLSヘッダは4バイトのため、ルータが読み込むデータ量は減ります
MPLSはIP-VPNで良く使われます
ラベルを使用することにより転送の高速化、QoS機能の実現ができます

Q13

IPsecについて：

IPsecではトンネリングと暗号化を行うことができます
Cisco独自のプロトコルではなく標準化されたプロトコルです
ESPやAHというプロトコルを使用します

Q14

サイト間VPN使用時にユーザデータを暗号化して転送するプロトコルはIPsecです。

Q15

広域イーサネットについて：

通信事業者の広域イーサネット網を使用します
拠点間を接続するために使用します
IP以外のネットワーク層のプロトコルも使用することができます
一般的なイーサネットインターフェースがあれば接続できます

Q16

GREについて：

GREはマルチプロトコルに対応しています
マルチキャストやブロードキャストのパケットをカプセル化できます
GREにセキュリティ機能はありません
IPsecと組み合わせて GRE over IPsec として使用することもあります

14章確認問題の解説

Q1

なりすまし攻撃の説明について：

DoS 攻撃はマルウェアを使用するのではなく、サーバに過剰な負荷を掛けることでサービスを妨害する攻撃です
許容できるサイズを超えた巨大なデータを送り付けることで誤作動を起こさせる攻撃はバッファオーバーフロー攻撃であり、なりすまし攻撃とは別の手法です
DDoS 攻撃は、ウィルスに感染させた複数のPCを使用して対象サーバを一斉に攻撃する手法です
IPアドレスやMACアドレスを偽造して攻撃することはなりすまし攻撃の定義に当てはまります

Q2

人の社会的、心理的弱点を利用して情報を取得する攻撃手法はソーシャルエンジニアリング攻撃と呼ばれます。

Q3

情報セキュリティに関する事故・事件のことをインシデントと呼びます
プログラム上の欠陥やシステム・ネットワークの設計上の問題などのセキュリティ上の欠陥を脆弱性と呼びます

Q4

Cisco 機器においてイネーブルパスワードの暗号化で指定できるアルゴリズムは以下です。

MD5
SHA256
Scrypt

Q5

Cisco 機器のイネーブルパスワードについて：

enable password とenable secret の両方が設定されている場合、enable secret の設定が優先されます
enable secret で使用される暗号化アルゴリズムはデフォルトでは MD5 です
enable secret を設定済みの状態で再度 enable secret コマンドを設定すると、設定は上書きされます。なおオプションのアルゴリズムの指定の有無にかかわらず上書きされます
show running-config には暗号化のタイプが数値で表示されます
- 5 → MD5
- 8 → SHA256
- 9 → Scrypt

Q6

外部ネットワークから企業や家庭内のネットワークを守るためのソフトウェアや機器はファイアウォールです
ファイアウォールにはステートフルインスペクションと呼ばれる機能があります。これは許可された【内部から外部への通信】に対応する【外部から内部への戻りの通信】を動的に許可するという機能です

Q7

DMZの説明について：

DMZとはネットワークを分割したゾーンという概念における一つのゾーンの分類であり、ファイアウォールの設定によりつくられるものではありません
DMZとは、組織内ネットワーク範囲の内、外部ネットワークに公開され、外部ネットワークからアクセス可能なサーバを配置する領域のことを指します
DMZは外部ネットワークから見るとファイアウォールを超えた先の位置に配置されます

Q8

IDS は侵入検知システムと呼ばれ、不正アクセスなどを検知・記録する機器です
IPS は侵入防止システムと呼ばれ、不正アクセスを検知・記録・遮断する機器です

Q9

スイッチにおいて、接続を許可する端末のMACアドレスをあらかじめ登録しておき、スイッチがフレームを受信時にその送信元MACアドレスが事前に登録したMACアドレスと異なる場合はフレームを破棄する、という機能を「ポートセキュリティ」と呼びます。

Q10

スイッチにおけるポートセキュリティ設定について：

1つのポートに登録できるMACアドレスの最大数のデフォルトは1つです
動的に登録されたMACアドレスを running-config に保存させたい場合はスティッキーラーニングを有効化します
許可するMACアドレスは手動で設定することができます
ポートセキュリティは全ポートでデフォルトで無効になっています

Q11

ポートセキュリティの違反カウンタを確認できるコマンドは以下です。

show port-security
show port-security interface <インターフェース名>

Q12

スイッチでは、ポートで何らかの原因でエラーを検知した場合、ポート状態を自動でerr-disabled状態にしてデータ通信が不可になります。err-disabled状態になると、デフォルトでは管理者がポートの無効化、再有効化を行うまではerr-disabled状態を維持します。

(config)#errdisable recovery cause <原因>コマンドを設定すると、指定した原因についてはerr-disabled状態になった後、一定時間経過後に自動でerr-disabled状態が解除されます。この設定をerr-disabled状態の自動復旧設定と呼びます。

本問いでは自動復旧が設定されている原因の確認コマンドが問われています。

show errdisable recoveryコマンドを実行することで、各原因について自動復旧の有効・無効の状態を確認できます。

Switch01#show errdisable recovery
ErrDisable Reason            Timer Status
-----------------            --------------
arp-inspection               Disabled
bpduguard                    Disabled
channel-misconfig (STP)      Disabled
dhcp-rate-limit              Disabled
dtp-flap                     Disabled
gbic-invalid                 Disabled
inline-power                 Disabled
link-flap                    Disabled
mac-limit                    Disabled
loopback                     Disabled
pagp-flap                    Disabled
port-mode-failure            Disabled
pppoe-ia-rate-limit          Disabled
psecure-violation            Disabled
security-violation           Disabled
sfp-config-mismatch          Disabled
small-frame                  Disabled
storm-control                Disabled
udld                         Disabled
vmps                         Disabled

Timer interval: 300 seconds

Interfaces that will be enabled at the next timeout:

Q13

DHCPスヌーピングについて：

DHCPスヌーピングでは、不正なDHCPサーバを用いて不正なネットワーク情報をPCに割り振るような攻撃を防止します
異なるネットワークに配置されたDHCPサーバにDHCPリクエストを中継する機能はDHCPリレーです
DHCPスヌーピング設定では、スイッチの各ポートを信頼できるポートと信頼できないポートに分類します
DHCPスヌーピングで防ぐことができる攻撃は、DHCPスプーフィング攻撃と呼ばれます
DHCP サーバに不正アクセスすることは DHCPスヌーピングではありません

Q14

DHCPスヌーピングを有効化するコマンドは以下です。

DHCPスヌーピング有効化設定コマンド

(config)#ip dhcp snooping

Q15

ダイナミックARPインスペクションについて：

信頼しないポートに着信したARPパケットは検査します
不正なARPパケットを着信した場合、そのARPパケットを破棄します。ポートをerr-disabled状態にはしません
ARPパケットの検査にはDHCPスヌーピングバインディングデータベースが使用されます
端末に固定IPアドレスが設定されている場合はなりすましと判断される可能性があります。この場合の回避策として手動でMACアドレスの対応表を設定することができます

Q16

問題文の設定例では以下が設定されています。

VLAN 10 に対してダイナミックARPインスペクションを有効化
Fa0/2に対してアクセスポート、VLAN 10 の設定

この場合の動作について：

デフォルトでFa0/2は信頼しないポートになります。Fa0/2の状態は端末が接続されればアップになります。信頼するポートの設定をしていないからと言ってダウン状態にはなりません
インターフェース単位でダイナミックARPインスペクションを有効化する設定はなく、グローバルで有効化すると指定VLANのポートすべてで有効になります
ダイナミックARPインスペクションが有効化されたVLANに属するポートはデフォルトですべて信頼されないポートになります
スイッチのポートは管理上ダウンにはなりません

Q17

RADIUSについて：

RADIUSではパケットのパスワードのみが暗号化されます
ルータやスイッチのログイン認証に使用できます
認証にUDP1812、アカウンティングにUDP1813を使用します
RADIUSではTCP49は使用しません。これを使用するのはTACACS+です
RADIUSでは認可が認証と組み合わされ区別されていないため、AAAの3つの機能は独立していません

Q18

AAAの認証と認可の違いについて：

認証はアクセス許可のみを対象とし、認可はアクセス権限範囲の決定を対象としています
ユーザが開始したアクティビティを記録するのはアカウンティングです

Q19

ログイン認証でTACACS+を使用するための設定コマンドは以下です。

DHCPスヌーピング有効化設定コマンド

(config)#aaa authentication login default group tacacs+

Q20

IEEE802.1X 認証について：

PCなどが社内ネットワークにアクセスする前にユーザIDやパスワードなどで認証を行うことはIEEE802.1Xの説明として合っています
APなどを使用した無線ネットワークでもIEEE802.1Xを使用できます
ユーザが入力した認証情報を送信するPC側のソフトウェアはサプリカントと呼ばれます
認証サーバにはRADIUSを使用する必要があります

15章確認問題の解説

Q1

アクセスポイントを識別するために付けるIDで最長32文字のIDは、ESSIDです。SSIDとも呼ばれます。

DSSID → このような無線用語は存在しません
BSSID →BSSを識別するIDです、48ビットで構成されます。通常はアクセスポイントのMACアドレスと同値です
USERID → このような無線用語は存在しません

Q2

アクセスポイントを制御（管理）するための機器はワイヤレスLANコントローラです。

APIC、APIC-EM → Cisco の SDN コントローラの名称です
ルータ → アクセスポイントを制御する機能はありません

Q3

標準化された無線LANの規格は IEEE802.11 です。

IEEE802.11 の中でも以下のような規格があります。

IEEE802.11b
IEEE802.11a
IEEE802.11g
IEEE802.11n
IEEE802.11ac
IEEE802.11ax

Q4

5GHz 帯を使用する無線LANの規格は以下です。

IEEE802.11a
IEEE802.11n
IEEE802.11ac
IEEE802.11ax

Q5

ワイヤレスLANコントローラ（WLC）に接続することが前提であり、WLCと接続が切れると動作ができなくなるアクセスポイントのことを Lightweight AP (集中管理型アクセスポイント)と呼びます。

Autonomous AP (自立型アクセスポイント) は、単独でも設定・動作することができます

Q6

ワイヤレスLANコントローラ (WLC) と集中管理型アクセスポイント ( AP)との間でやり取りされるプロトコルは CAPWAP です。

CAPWAP により WLC と AP 間でトンネルが確立され、データはそのトンネルを通ります。

Q7

スプリットMACアーキテクチャとは、ワイヤレスLANコントローラ (WLC) と集中管理型アクセスポイント (AP) で役割を分ける設計のことです。

WLC と AP の役割分担は以下のようになっています。

WLC
- リアルタイム性が低い以下のような処理
  - セキュリティポリシー
  - 認証
  - ローミング管理
  - モビリティ管理
AP
- リアルタイム性が高い以下のような処理
  - 電波の送受信
  - データの暗号化と複合
  - ビーコン、プローブ応答

Q8

集中管理型の無線LAN設計では、機器間リンクの設定は以下のようにする必要があります。

集中管理型アクセスポイント～スイッチ間 → アクセスリンク（タグ無し）
無線LANコントローラ～スイッチ間 → トランクリンク（タグ有り）

Q9

IEEE802.11a の最大伝送速度は 54Mbps です。

Q10

無線LANのセキュリティ規格には以下があります。

WEP
WPA
WPA2
WPA3

TKIP は WPAで使用される暗号化方式です。また WWW は無線用語ではありません。

Q11

無線LANクライアントとアクセスポイントの接続時に行われるアソシエーション要求とアソシエーション応答で使用されるフレームは、管理フレームと呼ばれます。

Q12

WPA2 の暗号化方式は CCMP です。暗号化アルゴリズムは AES です。

CCMP では CBC-MAC を使用して改ざん検知を行っています。

Q13

認証規格の IEEE802.1X では以下の3つの役割があります。

サプリカント → クライアント端末
オーセンティケータ → アクセスポイント
認証サーバ → RADUIS サーバ

Q14

IEEE802.1X 認証で使用される認証プロトコルは EAP です。

以下のような認証方式があります。

LEAP ※Cisco独自
EAP-FAST ※Cisco独自
PEAP
EAP-TLS

Q15

無線LANコントローラの論理インターフェースの役割の種類は以下の通りです。

ダイナミックインターフェース
- アクセスポイントに割り当てる SSID と VLAN の紐づけを行う
- SSID に紐づけられた VLAN のデータ送受信を行う
- IP アドレスを持つ
バーチャルインターフェース
- モビリティ機能を提供する
サービスポートインターフェース
- アウトオブバンド管理に使用される
管理インターフェース
- WLC管理用ポート

Q16

Cisco 無線LANコントローラにて WPA2 で PSK 認証を使用する場合、Web GUI 画面の「PSK Format」のプルダウンで選択できる形式は ASCII または HEX です。

Q17

集中管理型アクセスポイントにおいて、無線LANコントローラとの接続が切れた場合でもアクセスポイントの動作を継続するモードは FlexConnect です。

Q18

Cisco 無線LANコントローラの WLAN 設定で指定できる QoS レベルは以下の4つです。

Plutinum (voice)
Gold (video)
Silver (vbest effort) ※デフォルト
Bronze (back ground)

Q19

Cisco 無線LANコントローラの Web GUI 設定画面のセキュリティタブ内のタブの内、WPA+WPA2 や 802.1X 等を設定できるタブは「Layer 2」タブです。

16章確認問題の解説

Q1

SDN について：

SDN (Software Defined Networking) とは、ソフトウェアによってネットワークを管理。制御する技術です
SDN コントローラではネットワーク上の全機器のコントロールプレーンの処理を集約して実行します
各ネットワーク機器ではデータプレーンの処理のみを実行します

Q2

SDN を構成する3つのレイヤは以下の通りです。

インフラストラクチャレイヤ
- データ転送を行う物理ネットワーク機器が該当します
コントロールレイヤ
- コントロールプレーンの処理を行う SDN コントローラが該当します
アプリケーションレイヤ
- SDN コントローラを操作するためのアプリケーションが該当します
- レイヤ間の操作では API (Application Programming Interface) が使用されます

Q3

SDN で使用される API は以下の2つに分類されます。

サウスバウンド API (サウスバウンドインターフェース)
- コントロールレイヤ（SDN コントローラ）とインフラストラクチャ（各ネットワーク機器）間でやり取りするための API です
- 使用されるプロトコルとして OpenFlow、NETCONF、RESTCONF、OpFlex があります
ノースバウンド API (ノースバウンドインターフェース)
- アプリケーションレイヤ（管理用アプリ）とコントロールレイヤ（SDN コントローラ）間でやり取りするための API です
- 標準的なプロトコルは無く、提供ベンダによって API が提供されています
- 管理用アプリと SDN コントローラ間では HTTP、HTTPS を使用してやり取りされます。このとき REST API が使用されます

Q4

Cisco ACI のために使用されるコントローラは APIC です。

Cisco ACI はデータセンター向けの SDN 技術です
Cisco ACI ではネットワーク機器として Cisco のデータセンター向けスイッチである Nexus 9000 シリーズが使用されます。

Q5

Cisco ACI におけるサウスバウンドインターフェースとしては、Cisco 独自の OpFlex が使用されます。

Q6

Cisco ACI で採用されている物理トポロジは、スパイン／リーフ型と呼ばれるファブリック型のトポロジです。

Q7

Cisco SD-Access (Cisco SDA) において使用されるコントローラは Cisco DNA Center です。

Cisco DNA Center は APIC-EM の後継に位置します。

Q8

Cisco SD-Access (Cisco SDA) で採用されている物理トポロジは APIC と同様にファブリック型のトポロジです。

Cisco SDA ではファブリック型のトポロジに対してアンダーレイネットワーク、オーバーレイネットワークという概念を取り入れています。

アンダーレイネットワーク
- 物理ネットワーク機器、配線などの物理ネットワークを指します
オーバーレイネットワーク
- アンダーレイネットワーク上に構築された論理ネットワークです
- VXLAN と LISP を使用して構成されます

Q9

REST API でデータ取得をする際に使用される HTTP メソッドは GET です。

Q10、Q11

REST API を使用したデータのやり取りでは、サーバとクライアント間でプログラム言語やバージョンが異なっていても正常にデータのやり取りができるように、汎用的なデータ形式に変換するシリアル化が行われます。

シリアル化で使用されるデータ形式としては、JSON、XML、YAMLなどがあります。

Q12

JSON ではデータはキーと値の組み合わせで表現されます
「“キー” : 値」のようにキーと値の間にコロン「:」を挟んで記述します
キーは必ずダブルクォーテーション「”」で囲みます

Q13

代表的な構成管理ツールとして以下があります。

Ansible
Puppet
Chef

Q14

構成管理ツールには、エージェントレスモデル、エージェントモデルに分類できます。管理対象機器側にエージェントソフトが必要ない場合はエージェントレスモデル、必要な場合はエージェントモデルと呼ばれます。

Ansible はエージェントレスモデルです
Puppet、Chef はエージェントモデルです

Q15

各構成管理ツールの制御ファイルの名称は以下の通りです。

Ansible → プレイブック
Puppet →マニフェスト
Chef →レシピ

Q16

各構成管理ツールの使用プロトコルと通信形態は以下の通りです。

構成管理ツール	プロトコル	通信形態
Ansible	SSH、NETCONF	プッシュ型
Puppet	HTTP、HTTPS	プル型
Chef	HTTP、HTTPS	プル型

Q17

各構成管理ツールの制御ファイルの記述形式と使用ポート番号は以下の通りです。

構成管理ツール	制御ファイルの記述形式	使用ポート番号
Ansible	YAML	なし（エージェントレス）
Puppet	独自形式	TCP8149
Chef	Ruby	TCP10002

Amazon アフィリエイトリンク

以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。

note メンバーシップへの参加もお待ちしています！

【アフィリエイト】おすすめ WordPress テーマ【SWELL】

当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ？」という感覚になりました。

また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。

技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。

レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。

よかったらシェアしてね！

URLをコピーしました！

URLをコピーしました！

CCNA 完全合格テキスト&問題集の章末確認問題を解説します

本記事について

1章確認問題の解説

2章確認問題の解説

3章確認問題の解説

4章確認問題の解説

5章確認問題の解説

6章確認問題の解説

7章確認問題の解説

8章確認問題の解説

9章確認問題の解説

10章確認問題の解説

11章確認問題の解説

12章確認問題の解説

13章確認問題の解説

14章確認問題の解説

15章確認問題の解説

16章確認問題の解説

コメント

コメントするコメントをキャンセル

CCNA 完全合格テキスト&問題集の章末確認問題を解説します

本記事について

1章 確認問題の解説

2章 確認問題の解説

3章 確認問題の解説

4章 確認問題の解説

5章 確認問題の解説

6章 確認問題の解説

7章 確認問題の解説

8章 確認問題の解説

9章 確認問題の解説

10章 確認問題の解説

11章 確認問題の解説

12章 確認問題の解説

13章 確認問題の解説

14章 確認問題の解説

15章 確認問題の解説

16章 確認問題の解説

コメント

コメントする コメントをキャンセル

1章確認問題の解説

2章確認問題の解説

3章確認問題の解説

4章確認問題の解説

5章確認問題の解説

6章確認問題の解説

7章確認問題の解説

8章確認問題の解説

9章確認問題の解説

10章確認問題の解説

11章確認問題の解説

12章確認問題の解説

13章確認問題の解説

14章確認問題の解説

15章確認問題の解説

16章確認問題の解説

コメントするコメントをキャンセル