Re: 問題ID: 4685

この質問の投稿一覧へ

なし Re: 問題ID: 4685

msg# 1.5.1
depth:
2
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2014-7-11 0:39 | 最終変更
arashi1977  長老 居住地: 広島  投稿数: 1715
あまりこういうやりとりでスレッドを伸ばすべきではないのかもしれないのですが…
引用:
問題の作成者がどういう意図で作っていたかを議論していたわけでわなくて、どれが正しいのかを議論しているだけなのですが。
前の投稿で
引用:
『フィルタリングは出来る限りサーバーファームに近い位置で行うこと』
仰られることも理解はできたのですがこの条件がある限り
とおっしゃっていたので、『問題作成者がこの条件から「RACLを採用せよ」と言っているのだ』と判断されていたのだと思っていました。
なので、umaiumaiさんもご認識の通り
引用:
たとえVACLがベターであっても
VACLがベターなので、設定するのはよりサーバファームに近いSwitchAだと判断させる、そのための条件として提示されているのだと思いますよ、ということを言っただけですよ
※表現がおかしかったかな…?

引用:
『「VLAN11に属するPCがサーバーへアクセスするのを制限」以上のことをしてますよね?』
問題文にはそれ以上のことをしてはいけないと記載されていないと思います。

設問からの条件を再度整理します。
・VLAN11に属するPCがサーバへアクセスするのを制限する
・VLAN11では送信元が172.18.1.0/24のみ許可する(=その他のVLAN11からの送信は拒否)
・サーバファームおよびVLAN12,13については言及がない
この場合、確かにSwitchAのFa0/1に対するRACLでもVLAN11に対するVACLでも「設問の条件に指定がなく、設定すればできるからどちらでも良い。むしろRACLの方が設問の条件にある『よりサーバファームに近い』を満たす」とは言えます。ですが個人的にはどちらを選択するかが、CCNPを保有するエンジニアのレベルを表すと考えています。

求められている要件はVLAN11からのアクセスを制限することであり、サーバファームへのアクセスを制限することではありません。 VLAN11以外からのアクセスに影響の出る可能性のある手法を採択するのでは、実現した結果が同じでも
・実現コスト(事前影響範囲調査、VLAN11以外へ影響のない定義作成(現在の環境によってはVACLより設定行数は多くなるでしょう)、サーバファーム及びVLAN11/12/13すべてを巻き込んだテストの実施)
・保守コスト(VLAN12,13配下からの、サーバファームへのアクセス障害時における当該RACLの影響調査)
・運用コスト(VLAN12,13配下への新セグメント追加、VLAN新設によるセグメント追加時のRACL定義メンテナンス、もちろんテストを含む)
を考慮できていないとみなされます。

上記例は設問の条件に記載がない(今後のことも考慮せよなどとは書いていない)ですが、記載されていなければなんでもしていいとは言えないですよね。課題を一歩踏み込んで考慮して
・最小のコストでよりよいものが選択できるか
・ネットワークの設計、管理、保守が考えられているか
ということを採用する技術の選択に活かせるかも、試験の中でチェックされているのだと思っています。
なにより実環境でも、楽な設定のほうが作るのも解析するのも助かりますからね

投稿ツリー

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.