Re: 問題ID: 4685

この質問の投稿一覧へ

なし Re: 問題ID: 4685

msg# 1.12
depth:
1
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 | 投稿日時 2014-7-13 4:47 | 最終変更
umaiumai  常連   投稿数: 14
「問題文のどこからVLAN11以外をフィルタリングしてはいけないと読み取れるのでしょうか?」のことでよろしいでしょうか?

前に記載させていただきましたが、解説の中からも読み取れるように
「VLAN11以外についてもフィルタリングしてしまうことになる」が誤りでなければ「サーバーファームに近い位置でのフィルタリングになる」RACLが正しいと読み取れるためです。
つまり私の中では「正解が4ではない理由」=「VLAN11以外以外についてもフィルタリングしているため誤り」と同義となっております。(これはVACLがベターかどうかという話とはまったく関係がありません)


『問題文から客観的に(仮定、推測は含まない)という点を元にお話しないといけなかったのですね。』

ありがとうございます、やっとまともな議論ができるようになるのかと思っております。



前回、今回で記載いただいている「VACL」の設定に関しては客観的に記載いただいており問題ないと思っております。

「RACL」に関して前回は根拠の不明なIPをいきなり持ち出されたため『情報をいただけないと何を仰られているのかわからない』と記載させていただきました。

今回記載いただいた「RACL」の設定については非常に残念に思います。
なぜ「VACL」のときは「不明なサーバーファームのIP」を「(dest:サーバファーム)」と代用して記載しているのに、「RACL」の設定では「不明なVLAN11、12、13のIP」がわからないので記載できず(別の言葉で代用せず)、誤りになると結論づけられるのでしょうか?
別の言葉で代用すれば設定が可能であるのに、それをRACではできないのはエンジニアとしてのレベルの低さかと思います。
もしくはVACLの優位性を伝えるために敢えてやったのであれば、エンジニアとして恥ずべき行為であり議論するに値しません。

長すぎるとの意見もありますのでこちらから「RACL」の設定内容を提示いたします。
以下であれば問題に適切な設定になっているかと思います。
######################
access-list 1 permit 172.18.1.0 0.0.0.255
access-list 1 deny (VLAN11のネットワーク)
access-list 1 permit any

interface FastEthernet0/1
ip access-group 1 out
######################

それではここからは、VACLとRACLのどちらがより適切であるかのお話に入らせていただきます。

■設定量(設定する工数)
上記を設定する工数ですがそれぞれのネットワークが単一のプレフィックスならば「VACL」は13行、「RACL」は5行となります。
ただし要件には記載されていない不明なIPが存在します。
サーバーファームのプレフィックス数が多ければVACLの設定が多くなり、VLAN11のプレフィック数がサーバーファームより9つ以上多ければRACLの設定が多くなります。
確か、CISCOでは1つのVLANには単一のネットワークを使用することを推奨していたような気がします。(古い記憶のため違うかも)
CCNPの試験は当然CISCOの機器の使用を前提としており、ネットワークもCISCO推奨のものを使用するのが当然かと思いますが、こちらも要件定義には確定事項として記載されていないため「どちらが優位かはこの条件だけでは不明である」と判断させていただきます。

■本設定による機器への負荷
通常のCISCO機器であれば通常のACLの動作はHW処理となるためどんなにトラフィックが多くなろうと処理能力は変わらす、ここでの優勢は変わらないと考えます。

ただし設定自体によるメモリ使用量は違います。
Sourceしか使用しない標準ACLの方が、拡張ACLよりも断然使用するメモリが少ないです。
機器にもよると思いますが標準ACLと拡張ACLでは5倍ほどの差があるのではないかと思います。
さらにVACLではVLANアクセスマップも使用するため、メモリ使用量に対する負荷はRACLの方が少ないです。

■運用面
問題があったときに該当のフィルタの状態を確認したい場合
【VACLの場合】
show vlan filter vlan 11
show vlan access-map VACL_VLAN11
show ip access-list FOR_PERMIT_FROM_VLAN11_TO_SERVERFIRM
show ip access-list FOR_DENY_FROM_VLAN11_TO_SERVERFIRM

【RACLの場合】
show ip interface fa0/1
show ip access-list 1

上記のように確認コマンドの量の少なさからRACLが優位といえる


またフィルタリング対象について既述ですが
【VACL】
Vlan11→サーバー
Vlan11→Vlan12
Vlan11→Vlan13
Vlan12→Vlan11
Vlan13→Vlan11
サーバー→Vlan11
(以下が漏れていましたので追記いたします)
Vlan11内でSwitchAのvlan11のSVI向けの通信

【RACL】
Vlan11→サーバー
Vlan12→サーバー
Vlan13→サーバー

であることからRACLの方が優位であると言えます。


【将来的な拡張性】
今後の要件定義によってどちらが好ましいかはいくらでも変わるため、どちらでも可能性があり不明といたします。

以上をまとめるとそれぞれの優位性は以下と私は考えます。

【VACLのメリット】
とくになし

【RACLのメリット】
設定によるメモリ使用量が少ない
問題発生時に確認コマンドが少ない
フィルタリングする通信フローが少ない

【判断不能】
設定量は要件により変わるため不明
通信が流れることによる負荷はどちらも差異がない
将来性は要件により変わるため不明

以上となります。
長くなり失礼いたしました。

投稿ツリー

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.