Re: 問題ID: 4685
Re: 問題ID: 4685
msg# 1.13
umaiumai
投稿数: 14
投稿数: 14
『問題文にフィルタ対象の指定に「VLAN11、172.18.1.0/24からサーバへのアクセスの拒否、許可」との記載があるので、「具体的なアドレスは不明だが対象として明記」されているので仮の値で記述したまでであり、「VLAN12,13に対してのフィルタリング要件の記載がない(不明)」ため、コンフィグに記述できないのです。(VLAN11の他セグメントは暗黙のdenyで破棄するので明記する必要なしと判断)』
→
何を根拠に「具体的なアドレスは不明だが対象として明記」していたので「仮の値を記述した」?
何を根拠に「VLAN12,13に対してのフィルタリング要件の記載がない(不明)」ため、「コンフィグに記述できない」?
仮の値を記述できるものとできないものの分け方の根拠が全く不明です。
サーバーファームのIPアドレスもVLAN11のIPアドレスも変動するものではなく特定の数値となります。
そのためどちらも仮の値で記述することに問題はない。
というのが私の意見となります。
『「問題文にはVLAN12,13に対して許可せよと書いていないのに許可フィルタを設定している」のであり、「問題文から客観的に読み取れる情報に基づいた設定」ではないと認識しています。ですがこのpermit行を入れない限り、172.18.1.0/24以外の送信元からはサーバファームへのアクセスが不可能となってしまい、「問題文にはVLAN12,13からの通信を拒否せよと書いてないのに拒否フィルタを設定している」ことになります。(=「VLAN11以外についても(許可・拒否)フィルタリングしてしまうため誤り」に相当)』
→
これはVACLについても同様ですよ。
前述しているようにVACLの方が許可フィルタをしているフローが多数あり、
vlan access-map VACL_VLAN11 30
action forward
この設定を入れないと問題文に記載のない通信を破棄しますよ。
前回も記載させていただいたのですがVACLの優位性を示すために偏った見方をされると議論できませんし、するに値しません。
『umaiumaiさんの考え方を当てはめると、「PC-AとRouterAの間にスイッチを接続する」も正解のように思います。
なぜなら、ルータ直結では不可能ですが、スイッチを入れることでPC-Bに192.168.1.0/24のセグメントのアドレスを付与し、PC-Aと同一セグメントに収容することで直接接続することが可能になるからです。こうすればルーティング処理といったルータへの負荷軽減、既存設定への変更も不要なことから工数は非常に少なく(設定の検証をする必要もない)、またPC間通信の遅延の発生という観点からも有利と考えられます。問題のトポロジもWAN回線を使っているとは明確に記載されておらず、UTPケーブル長を100m以内に収められないと判断する根拠はありません。
なにより、問題文には「接続変更は不可、アドレス変更は不可」といった記載はないため、この手法を選択することに問題はないと考えられます』
→
「PC-AとRouterAの間にスイッチを接続する」も正解のように思います。
その選択肢はどこにもありません、選択肢にないものを何故持ち出してくるのでしょうか?
申し訳ありませんがお話が理解できません。
→
何を根拠に「具体的なアドレスは不明だが対象として明記」していたので「仮の値を記述した」?
何を根拠に「VLAN12,13に対してのフィルタリング要件の記載がない(不明)」ため、「コンフィグに記述できない」?
仮の値を記述できるものとできないものの分け方の根拠が全く不明です。
サーバーファームのIPアドレスもVLAN11のIPアドレスも変動するものではなく特定の数値となります。
そのためどちらも仮の値で記述することに問題はない。
というのが私の意見となります。
『「問題文にはVLAN12,13に対して許可せよと書いていないのに許可フィルタを設定している」のであり、「問題文から客観的に読み取れる情報に基づいた設定」ではないと認識しています。ですがこのpermit行を入れない限り、172.18.1.0/24以外の送信元からはサーバファームへのアクセスが不可能となってしまい、「問題文にはVLAN12,13からの通信を拒否せよと書いてないのに拒否フィルタを設定している」ことになります。(=「VLAN11以外についても(許可・拒否)フィルタリングしてしまうため誤り」に相当)』
→
これはVACLについても同様ですよ。
前述しているようにVACLの方が許可フィルタをしているフローが多数あり、
vlan access-map VACL_VLAN11 30
action forward
この設定を入れないと問題文に記載のない通信を破棄しますよ。
前回も記載させていただいたのですがVACLの優位性を示すために偏った見方をされると議論できませんし、するに値しません。
『umaiumaiさんの考え方を当てはめると、「PC-AとRouterAの間にスイッチを接続する」も正解のように思います。
なぜなら、ルータ直結では不可能ですが、スイッチを入れることでPC-Bに192.168.1.0/24のセグメントのアドレスを付与し、PC-Aと同一セグメントに収容することで直接接続することが可能になるからです。こうすればルーティング処理といったルータへの負荷軽減、既存設定への変更も不要なことから工数は非常に少なく(設定の検証をする必要もない)、またPC間通信の遅延の発生という観点からも有利と考えられます。問題のトポロジもWAN回線を使っているとは明確に記載されておらず、UTPケーブル長を100m以内に収められないと判断する根拠はありません。
なにより、問題文には「接続変更は不可、アドレス変更は不可」といった記載はないため、この手法を選択することに問題はないと考えられます』
→
「PC-AとRouterAの間にスイッチを接続する」も正解のように思います。
その選択肢はどこにもありません、選択肢にないものを何故持ち出してくるのでしょうか?
申し訳ありませんがお話が理解できません。
投稿ツリー
-
問題ID: 4685
(umaiumai, 2014-7-9 8:56)
-
Re: 問題ID: 4685
(arashi1977, 2014-7-9 9:18)
-
Re: 問題ID: 4685
(antares01, 2014-7-9 17:59)
-
Re: 問題ID: 4685
(umaiumai, 2014-7-10 9:25)
-
Re: 問題ID: 4685
(arashi1977, 2014-7-10 10:26)
-
-
Re: 問題ID: 4685
(umaiumai, 2014-7-10 23:19)
-
Re: 問題ID: 4685
(umaiumai, 2014-7-10 23:26)
-
Re: 問題ID: 4685
(arashi1977, 2014-7-11 0:39)
-
-
Re: 問題ID: 4685
(umaiumai, 2014-7-11 9:14)
-
Re: 問題ID: 4685
(arashi1977, 2014-7-11 9:51)
-
-
Re: 問題ID: 4685
(umaiumai, 2014-7-11 12:52)
-
Re: 問題ID: 4685
(arashi1977, 2014-7-11 13:59)
-
-
Re: 問題ID: 4685
(umaiumai, 2014-7-11 15:50)
-
Re: 問題ID: 4685
(arashi1977, 2014-7-11 19:07)
-
-
Re: 問題ID: 4685
(umaiumai, 2014-7-11 21:23)
-
Re: 問題ID: 4685
(arashi1977, 2014-7-11 22:45)
-
-
Re: 問題ID: 4685
(umaiumai, 2014-7-12 6:57)
-
Re: 問題ID: 4685
(arashi1977, 2014-7-12 9:28)
-
-
Re: 問題ID: 4685
(antares01, 2014-7-12 8:40)
-
Re: 問題ID: 4685
(arashi1977, 2014-7-12 9:29)
-
-
Re: 問題ID: 4685
(umaiumai, 2014-7-13 4:47)
-
Re: 問題ID: 4685
(arashi1977, 2014-7-14 6:46)
-
-
Re: 問題ID: 4685
(umaiumai, 2014-7-15 22:52)
-
