CCNA 試験勉強法初心者 CoPP セキュリティ対策

カモフラ
(管理人)

ネットワーク(特にCisco)が大好きな皆様へCCNA/CCNP/CCIE試験で問われる【お題】をQuiz形式で出題致します。また、本ブログではCiscoさんが無償で提供する【Packet Tracer】【GNS3】【CML Free】を利用しての簡単なシュミレーションと実際の業務で役立つワンポイントなども織り混ぜながら、皆さんが楽しめるコンテンツ(３分でサクッと読める内容)となります。

本日のお題 :
本日の回答 :
おすすめの書籍 :
Cisco人気ブログのご紹介 :

本日のお題 :

【RT1】と【RT2】はインターネット経由でアクセスが可能なため、外部からの攻撃(DOS)に対するセキュリティ対策を検討しています。管理端末(NMS-PC)以外からのアクセスにはCoPP(コントロールプレーンポリシング)にてトラフィックの流量制限などを実施したいと考えています。本件を実現する方法としてベストアンサーを1つ答えなさい。

A : service-policy input MGMT-IN
B : service-policy out MGMT-IN
C : service-policy MGMT-IN input
D : service-policy MGMT-IN out

RT1 コンフィグ
hostname RT1
!
class-map match-all MGMT-ACCESS
match access-group 100
!
policy-map MGMT-IN
class MGMT-ACCESS
police 1000000
!
interface Loopback1
ip address 1.1.1.1 255.255.255.255
!
interface Ethernet0/0
ip address 100.0.0.1 255.255.255.0
!
interface Ethernet0/1
ip address 192.168.1.254 255.255.255.0
!
router bgp 100
network 192.168.1.0
neighbor 100.0.0.2 remote-as 200
!
ip access-list extended 100
10 deny tcp host 192.168.1.1 any eq telnet
20 deny tcp host 192.168.1.1 any eq 22
control-plane
*****
!
line con 0
line aux 0
line vty 0 4
login
transport input ssh
!
end

RT2 コンフィグ
hostname RT2
!
class-map match-all MGMT-ACCESS
match access-group 100
!
policy-map MGMT-IN
class MGMT-ACCESS
police 1000000
!
interface Loopback1
ip address 2.2.2.2 255.255.255.255
!
interface Ethernet0/0
ip address 100.0.0.2 255.255.255.0
!
router bgp 200
neighbor 100.0.0.1 remote-as 100
!
ip access-list extended 100
10 deny tcp host 192.168.1.1 any eq telnet
20 deny tcp host 192.168.1.1 any eq 22
!
control-plane
*****
!
line con 0
line aux 0
line vty 0 4
login
transport input ssh
!
!
!
!
end

未経験からインフラエンジニアに挑戦(失敗しない最短ルートをご紹介します！)｜カモフラ

はじめにコロナ禍以降、未経験から ”エンジニア転職” を考える人は年々増えています。理由1 : 「会社に依存せず（スキル）で仕事を決めることができる」理由2 : 「IT業界は平均年収が高く、また常に人不足であり仕事に困らない」理由3 : 「テレワークなど福利厚生が充実しており、また将来はフリーランスへ独立など...

【君もヒーローになれる】IT業界に強いエンジニア特化型(優良転職サイト)で最高のキャリアを手に入れよう！

エンジニアに特化したオススメ転職サービスを厳選【きっとアナタにとって最適な企業/仕事が見つかります】

IT業界で高年収(安定)・ヤリガイ(刺激)を求めている皆様を応援するサイト【就活/転職/未経験からのチャレンジ】

IT業界への就活/転職活動に不安を感じる方向けに【後悔しない活動】のやり方を徹底解説致します。

本日の回答 :

正解は【A】になります。

回答のポイントは「コントロールプレーンの保護・トラフィックの制限」について正しく理解する必要があります。一般的にQOS(ポリシング)はNW機器の I/F にアタッチしますが、CoPPの場合は「コントロールプレーン – control-plane」に直接アタッチして、インプットのトラフィックを制限する事でCPUリソースを守ることが可能です。そのため、今回のケースでは「A」の設定方法が正解となります。

Cisco IOS XE Bengaluru 17.6.x（Catalyst 9300 スイッチ）セキュリティコンフィギュレーションガイド - コントロールプレーンポリシングの設定 [サポート]

コントロールプレーンポリシングの設定

CoPP（コントロールプレーンポリシング）とは、ネットワーク機器のCPUを保護するためのセキュリティ機能で、制御プレーン（コントロールプレーン）への過剰なトラフィックやマルウェアによるDoS攻撃を制限し、ネットワークの安定性を確保します。

また、CoPPは「CCNP試験」でもよく出題されるトピックの１つであり、具体的なアーキテクチャと設定方法までマスターしておく事がとても重要です。初めてはちょっと難しい概念ですが、ここを乗り越えて目指せ1UP!!!(CCNPクラスの試験ではアーキテクチャについても深い知識が求められるよ！)

【TOEIC 800点は通過点】正しい学習で簡単に理想の英語力を習得する方法

お金と時間を費やす事なくTOEIC 800点レベルの英語力が誰でも簡単に習得できる方法を共有します

IT業界へ転職(高年収/内定)と市場価値の上げ方を徹底解説

IT業界への転職活動は今がチャンスです。高年収/内定の狙い方や市場価値の上げ方について解説致します

Cisco人気ブログのご紹介 :

イケてるエンジニアになる方法！「ネットワーク【３分】シンキング」は Cisco好きな皆さんへ転職時に役立つ「実践スキル」を提供いたします！

CCNA/CCNPを取得して人生Happyになりたい方向けにコンテンツを発信しています！

もう量産型ザクとはいわせない "Cisco Packet Tracer" を活用してCCNA/CCNP取得時に"イケてるエンジニア"になろう！

Cisco Packet Tracerを活用してCCNA/CCNP取得時に1UPなエンジニアになろう

年収500万を超えたいなら"CCNPはインフラエンジニア/MUSTな資格"というお話

問題集でCCNP資格を取得するだけではあなたの市場評価は低いです。高年収/評価を勝ち取る方法とは？

CCNP 筆記試験(300-410)/受験される方へワンポイント【現役CCIE 監修】

新CCNP試験(300-410) 攻略のアップデートと注意点を徹底解説致します。

CCIE 筆記試験(350-401 Pass!!!)/受験される方へワンポイント【現役CCIE 監修】

CCIE/CCNP共通試験(350-401) 受験のアップデートと注意点を徹底解説致します。

CCIE ラボ試験をパスするために覚悟する事【現役 CCIE解説】

Cisco最高峰試験(CCIEラボ)に合格するためには不屈の覚悟と精神力が必要な理由を解説します

皆様からのご質問について

本サイトでは皆様からご質問を受け付けております。ご質問には必ずご回答させていただきますので、まずは本ブログサイトの”お問い合わせ“より、ご連絡をお願い致します。

にほんブログ村

ネットワーク【3分】シンキング – CoPP(コントロールプレーンポリシー)って何？DOS攻撃からNW機器を守ろう！

本日のお題 :

本日の回答 :

おすすめの書籍 :

Cisco人気ブログのご紹介 :

コメント