ネットワーク【3分】シンキング – IPv6 ACL(シーケンス番号が便利!)

Cisco
2022.08.17
カモフラ<br>(管理人)
カモフラ
(管理人)

ネットワーク(特にCisco)が大好きな皆様へCCNA/CCNP/CCIE試験で問われる【お題】をQuiz形式で出題致します。また、本ブログではCiscoさんが無償で提供する【Packet Tracer】や【GNS3】を利用しての簡単なシュミレーションと実際の業務で役立つワンポイントなども織り混ぜながら、皆さんが楽しめるコンテンツ(3分でサクッと読める内容)となります。

本日のお題 :

緊急メンテナンスのため、一時的にホスト2(2001:1::2)からホスト1(2001:1::1)へリモートアクセス用のSSH/Telnet接続を許可したい。本設定は既存のセキュリティポリシーに影響を与えないように対応する必要があり、また、メンテナンス終了後は削除します。本件の解決策を答えなさい。(解答を1つ選択)

  • A : no sequence 40
  • B : permit ipv6 host 2001:1::2 host 2001:1::1
  • C : no sequence 100
  • D : permit ipv6 host 2001:1::2 host 2001:1::1 sequence 35

R1 コンフィグ
hostname R1
ipv6 unicast-routing
!
interface Loopback1
ipv6 address 2001:1::1/128
ipv6 ospf 1 area 0
!
interface FastEthernet0/0
ipv6 address 2002::/64 eui-64
ipv6 traffic-filter IPv6-Filter in
ipv6 ospf 1 area 0
!
ipv6 router ospf 1
router-id 1.1.1.1
log-adjacency-changes
!
ipv6 access-list IPv6-Filter
permit icmp any any
permit ipv6 any host FF02::5
permit ipv6 any host FF02::6
deny tcp any any range 22 1023
permit ipv6 any host FF02::2
permit ipv6 any host FF02::A
permit tcp any any gt 1023 established
deny ipv6 any any
!
line con 0
line aux 0
line vty 0 4
password test
login
!
end

R2 コンフィグ
hostname R2
ipv6 unicast-routing
!
interface Loopback1
ipv6 address 2001:1::2/128
ipv6 ospf 1 area 0
!
interface FastEthernet0/0
ipv6 address 2002::/64 eui-64
ipv6 ospf 1 area 0
!
ipv6 router ospf 1
router-id 2.2.2.2
log-adjacency-changes
!
!
!
!
!
!
!
!
!
!
!
!
!
line con 0
line aux 0
line vty 0 4
password test
login
!
end

【君もヒーローになれる】IT業界に強いエンジニア特化型(優良転職サイト)で最高のキャリアを手に入れよう!
エンジニアに特化したオススメ転職サービスを厳選【きっとアナタにとって最適な企業/仕事が見つかります】
job-it-blog.com
2022.01.05
IT業界で高年収(安定)・ヤリガイ(刺激)を求めている皆様を応援するサイト【就活/転職/未経験からのチャレンジ】
IT業界への就活/転職活動に不安を感じる方向けに【後悔しない活動】のやり方を徹底解説致します。
job-it-blog.com
2021.05.23

本日の回答 :

正解は【D】になります。

回答のポイントはACL変更に対して、「既存のセキュリティポリシーに影響を与えない=既存コンフィグの削除はしない」をどのように満たすのか?を考慮して回答する必要があります。今回のケースでは「回答 : A」で要件を満たせるように見えますが、既存のセキュリティポリシーが変わるのでNG、「回答 : B」では、ACLの順番として「sequence番号 100以降」に追加されてしまうのでNG、なので「sequence番号 30<>40の区間」に設定追加することで問題が解決できそうです。(メンテナンス終了後は、”no sequence 35“コマンドで全体のACLに影響なく、35番目だけを削除することが可能です)

IPv6 ACL の設定
www.cisco.com

既存のセキュリティポリシーに影響を与えないように xxx しなさい」はCCNP/CCIE試験ではお馴染みの決まり文句であり、回答する際には注意が必要なキーワードの1つです。Cisco ACLは大きく分けると「標準ACLと拡張ACL」の2種類ですが、識別方法にはさらに「番号と名前」があります。実際の案件ベースで考えると「名前付き拡張ACL」が採用されているケースが非常に多いと感じます。私が考える考察として「ACLの各行にシーケンス番号」が付与され、ACLの並替え・挿入・削除がとても簡単にできるのが、ウケている理由なのかな?と感じます。

IPv6 ACLも基本ルールはIPv4とほぼ変わりませんので、細かい差分や気になる箇所は、「Cisco公式のコンフィグレーションガイド」を参考に「実機 or シュミレータ環境」で確認することがとても重要です。(CCNP試験ではこの辺の応用力も試されています!)

【TOEIC 800点は通過点】正しい学習で簡単に理想の英語力を習得する方法
お金と時間を費やす事なくTOEIC 800点レベルの英語力が誰でも簡単に習得できる方法を共有します
job-it-blog.com
2021.08.29
IT業界へ転職(高年収/内定)と市場価値の上げ方を徹底解説
IT業界への転職活動は今がチャンスです。高年収/内定の狙い方や市場価値の上げ方について解説致します
job-it-blog.com
2021.07.12

おすすめの書籍 :

CCNA完全合格テキスト&問題集 Cisco教科書 [対応試験]200-301 /翔泳社/林口裕志
posted with カエレバ
楽天市場
Amazon
Yahooショッピング
シスコ技術者認定教科書 CCNP Enterprise 完全合格テキスト&問題集 [対応試験]コア試験ENCOR(350-401)
posted with カエレバ
楽天市場
Amazon
Yahooショッピング
CCNP Enterprise完全合格テキスト&問題集 Cisco教科書 [対応試験]コンセントレーション /翔泳社/林口裕志
posted with カエレバ
楽天市場
Amazon
Yahooショッピング

Cisco人気ブログのご紹介 :

イケてるエンジニアになる方法!「ネットワーク【3分】シンキング」は Cisco好きな皆さんへ転職時に役立つ「実践スキル」を提供いたします!
CCNA/CCNP取得で転職時に年収500万を狙う(イケてるエンジニアになる方法を徹底解説!)
job-it-blog.com
2022.09.06
もう量産型ザクとはいわせない "Cisco Packet Tracer" を活用してCCNA/CCNP取得時に"イケてるエンジニア"になろう!
Cisco Packet Tracerを活用してCCNA/CCNP取得時に1UPなエンジニアになろう
job-it-blog.com
2022.01.27
年収500万を超えたいなら"CCNPはインフラエンジニア/MUSTな資格"というお話
問題集でCCNP資格を取得するだけではあなたの市場評価は低いです。高年収/評価を勝ち取る方法とは?
job-it-blog.com
2021.12.01
CCNP 筆記試験(300-410)/受験される方へワンポイント【現役CCIE 監修】
新CCNP試験(300-410) 攻略のアップデートと注意点を徹底解説致します。
job-it-blog.com
2022.03.18
CCIE 筆記試験(350-401 Pass!!!)/受験される方へワンポイント【現役CCIE 監修】
CCIE/CCNP共通試験(350-401) 受験のアップデートと注意点を徹底解説致します。
job-it-blog.com
2021.06.06
CCIE ラボ試験をパスするために覚悟する事【現役 CCIE解説】
Cisco最高峰試験(CCIEラボ)に合格するためには不屈の覚悟と精神力が必要な理由を解説します
job-it-blog.com
2021.09.05
皆様からのご質問について

本サイトでは皆様からご質問を受け付けております。ご質問には必ずご回答させていただきますので、まずは本ブログサイトの”お問い合わせ“より、ご連絡をお願い致します。

コメント