問題ID: 4685
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
umaiumai
投稿数: 14
投稿数: 14
############################
問題
以下の条件でVLAN11に属するPCがサーバーへアクセスするのを制限するためにどうすれば良いか(3つ選択)
・VLAN11では送信元が172.18.1.0/24のみ許可する(フィルタリングは出来る限りサーバーファームに近い位置で行うこと)
・VLAN11に属するPCはRADIUSサーバーを使った認証をする(認証は出来る限りPCに近い位置で行うこと)
・RADIUSサーバのアドレスは「192.168.100.1」
・キーは「abc777」
選択肢
1.SwitchBで「aaa new-model」を有効にする
2.SwitchAで「aaa new-model」を有効にする
3.SwitchAにRADIUSサーバを使用したIEEE802.1X認証の設定する
4.SwitchA Fa0/1のout方向にRACLの設定をする
5.SwitchBにVACLの設定をする
6.SwitchBにRADIUSサーバを使用したIEEE802.1X認証の設定する
7.SwitchAにVACLの設定をする
SwitchBで「ip routing」を有効にする
正解
1,6,7
###########################
正解が4ではない理由は何でしょうか?
解説には『VLAN11以外についてもフィルタリングしてしまうことになるので 誤りです』とあるのですが問題文のどこからVLAN11以外をフィルタリングしてはいけないと読み取れるのでしょうか?
フィルタリングしてもvlan11以外のものはpermitすれば問題ないと思うのですがいかがでしょうか?
問題
以下の条件でVLAN11に属するPCがサーバーへアクセスするのを制限するためにどうすれば良いか(3つ選択)
・VLAN11では送信元が172.18.1.0/24のみ許可する(フィルタリングは出来る限りサーバーファームに近い位置で行うこと)
・VLAN11に属するPCはRADIUSサーバーを使った認証をする(認証は出来る限りPCに近い位置で行うこと)
・RADIUSサーバのアドレスは「192.168.100.1」
・キーは「abc777」
選択肢
1.SwitchBで「aaa new-model」を有効にする
2.SwitchAで「aaa new-model」を有効にする
3.SwitchAにRADIUSサーバを使用したIEEE802.1X認証の設定する
4.SwitchA Fa0/1のout方向にRACLの設定をする
5.SwitchBにVACLの設定をする
6.SwitchBにRADIUSサーバを使用したIEEE802.1X認証の設定する
7.SwitchAにVACLの設定をする
SwitchBで「ip routing」を有効にする
正解
1,6,7
###########################
正解が4ではない理由は何でしょうか?
解説には『VLAN11以外についてもフィルタリングしてしまうことになるので 誤りです』とあるのですが問題文のどこからVLAN11以外をフィルタリングしてはいけないと読み取れるのでしょうか?
フィルタリングしてもvlan11以外のものはpermitすれば問題ないと思うのですがいかがでしょうか?
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:ここじゃないでしょうかね?
引用:「VLAN11に属する」とあるので、それ以外に波及する(可能性のある)定義では誤りとみなされるのかなーと 
もっというと、「より良い選択肢があり、指定回答数を満たしているのならそれ以外の回答は正解とはみなさない」というところですかね。
問題文のどこからVLAN11以外をフィルタリングしてはいけないと読み取れるのでしょうか?
引用:
以下の条件でVLAN11に属するPCがサーバーへアクセスするのを制限するためにどうすれば良いか
もっというと、「より良い選択肢があり、指定回答数を満たしているのならそれ以外の回答は正解とはみなさない」というところですかね。
antares01
投稿数: 690
投稿数: 690
「VLAN11では送信元が172.18.1.0/24のみ許可する」と言うことは、
VLAN11に割り当てられたNWアドレスは例えば172.18.0.0/16で、
その中の172.18.1.1-255の人だけサーバアクセスを許可する
と言うことなんでしょうかね。
そうであれば、Src:172.18.1.0/24 Dst:サーバ のみRACLで許可すると、
VLAN11以外の人がサーバアクセスできなくなるし、
VLAN11以外を都度、許可すれば良いと言われると、
面倒だから素直にVLAN11の中だけでまずはフィルタリングしろって
ことになりそうですね。
この問題的にはRACLよりもVACLのほうがベターと思います。
VLAN11に割り当てられたNWアドレスは例えば172.18.0.0/16で、
その中の172.18.1.1-255の人だけサーバアクセスを許可する
と言うことなんでしょうかね。
そうであれば、Src:172.18.1.0/24 Dst:サーバ のみRACLで許可すると、
VLAN11以外の人がサーバアクセスできなくなるし、
VLAN11以外を都度、許可すれば良いと言われると、
面倒だから素直にVLAN11の中だけでまずはフィルタリングしろって
ことになりそうですね。
この問題的にはRACLよりもVACLのほうがベターと思います。
umaiumai
投稿数: 14
投稿数: 14
ありがとうございます。
内容について自分なりに整理できてきました。
『「VLAN11に属する」とあるので、それ以外に波及する(可能性のある)定義』
通常のRACLならば設定が正しければ問題ないと思っていたのですがどのような場合に波及するのでしょうか?
『フィルタリングは出来る限りサーバーファームに近い位置で行うこと』
仰られることも理解はできたのですがこの条件がある限り、たとえVACLがベターであっても仕様上RACLで設定が可能であるならばRACLが正解になるかと思います。
内容について自分なりに整理できてきました。
『「VLAN11に属する」とあるので、それ以外に波及する(可能性のある)定義』
通常のRACLならば設定が正しければ問題ないと思っていたのですがどのような場合に波及するのでしょうか?
『フィルタリングは出来る限りサーバーファームに近い位置で行うこと』
仰られることも理解はできたのですがこの条件がある限り、たとえVACLがベターであっても仕様上RACLで設定が可能であるならばRACLが正解になるかと思います。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:たとえばですが、
・SwitchAのFa0/1にNAT outside定義がされていたら?(Catalyst65XXなら、ないとは言い切れない)
・各VLANにpermit定義していない新たなセグメントが追加されたら?
(追記)
・そもそもそれ以前に「その他のVLAN配下のセグメントをpermitするフィルタ」というのは「VLAN11に属するPCがサーバーへアクセスするのを制限」以上のことをしてますよね?
※denyだけではなくpermitもフィルタリング(許可フィルタ)です
「現時点の設定が正しくても今後問題(都度メンテナンス含む)の起きる定義」がベターでしょうか?
引用:この条件って、
引用:この選択肢のどちらを選ぶかのためだと思ってたのですが、RACLを選択させるためのものなんでしょうかね?
『「VLAN11に属する」とあるので、それ以外に波及する(可能性のある)定義』
通常のRACLならば設定が正しければ問題ないと思っていたのですがどのような場合に波及するのでしょうか?
・SwitchAのFa0/1にNAT outside定義がされていたら?(Catalyst65XXなら、ないとは言い切れない)
・各VLANにpermit定義していない新たなセグメントが追加されたら?
(追記)
・そもそもそれ以前に「その他のVLAN配下のセグメントをpermitするフィルタ」というのは「VLAN11に属するPCがサーバーへアクセスするのを制限」以上のことをしてますよね?
※denyだけではなくpermitもフィルタリング(許可フィルタ)です
「現時点の設定が正しくても今後問題(都度メンテナンス含む)の起きる定義」がベターでしょうか?
引用:
『フィルタリングは出来る限りサーバーファームに近い位置で行うこと』
仰られることも理解はできたのですがこの条件がある限り
引用:
5.SwitchBにVACLの設定をする
7.SwitchAにVACLの設定をする
umaiumai
投稿数: 14
投稿数: 14
確かにNAToutsideが設定されていれば,ダイナミックNATであればさらにRACLは厳しそうですね。
ありがとうございます。
『この選択肢のどちらを選ぶかのためだと思ってたのですが、RACLを選択させるためのものなんでしょうかね?』
問題の作成者がどういう意図で作っていたかを議論していたわけでわなくて、どれが正しいのかを議論しているだけなのですが。
ありがとうございます。
『この選択肢のどちらを選ぶかのためだと思ってたのですが、RACLを選択させるためのものなんでしょうかね?』
問題の作成者がどういう意図で作っていたかを議論していたわけでわなくて、どれが正しいのかを議論しているだけなのですが。
umaiumai
投稿数: 14
投稿数: 14
すみません、追記です。
『「VLAN11に属するPCがサーバーへアクセスするのを制限」以上のことをしてますよね?』
問題文にはそれ以上のことをしてはいけないと記載されていないと思います。
『「VLAN11に属するPCがサーバーへアクセスするのを制限」以上のことをしてますよね?』
問題文にはそれ以上のことをしてはいけないと記載されていないと思います。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
あまりこういうやりとりでスレッドを伸ばすべきではないのかもしれないのですが…
引用:前の投稿で
引用:とおっしゃっていたので、『問題作成者がこの条件から「RACLを採用せよ」と言っているのだ』と判断されていたのだと思っていました。
なので、umaiumaiさんもご認識の通り
引用:VACLがベターなので、設定するのはよりサーバファームに近いSwitchAだと判断させる、そのための条件として提示されているのだと思いますよ、ということを言っただけですよ
※表現がおかしかったかな…?
引用:
設問からの条件を再度整理します。
・VLAN11に属するPCがサーバへアクセスするのを制限する
・VLAN11では送信元が172.18.1.0/24のみ許可する(=その他のVLAN11からの送信は拒否)
・サーバファームおよびVLAN12,13については言及がない
この場合、確かにSwitchAのFa0/1に対するRACLでもVLAN11に対するVACLでも「設問の条件に指定がなく、設定すればできるからどちらでも良い。むしろRACLの方が設問の条件にある『よりサーバファームに近い』を満たす」とは言えます。ですが個人的にはどちらを選択するかが、CCNPを保有するエンジニアのレベルを表すと考えています。
求められている要件はVLAN11からのアクセスを制限することであり、サーバファームへのアクセスを制限することではありません。 VLAN11以外からのアクセスに影響の出る可能性のある手法を採択するのでは、実現した結果が同じでも
・実現コスト(事前影響範囲調査、VLAN11以外へ影響のない定義作成(現在の環境によってはVACLより設定行数は多くなるでしょう)、サーバファーム及びVLAN11/12/13すべてを巻き込んだテストの実施)
・保守コスト(VLAN12,13配下からの、サーバファームへのアクセス障害時における当該RACLの影響調査)
・運用コスト(VLAN12,13配下への新セグメント追加、VLAN新設によるセグメント追加時のRACL定義メンテナンス、もちろんテストを含む)
を考慮できていないとみなされます。
上記例は設問の条件に記載がない(今後のことも考慮せよなどとは書いていない)ですが、記載されていなければなんでもしていいとは言えないですよね。課題を一歩踏み込んで考慮して
・最小のコストでよりよいものが選択できるか
・ネットワークの設計、管理、保守が考えられているか
ということを採用する技術の選択に活かせるかも、試験の中でチェックされているのだと思っています。
なにより実環境でも、楽な設定のほうが作るのも解析するのも助かりますからね
引用:
問題の作成者がどういう意図で作っていたかを議論していたわけでわなくて、どれが正しいのかを議論しているだけなのですが。
引用:
『フィルタリングは出来る限りサーバーファームに近い位置で行うこと』
仰られることも理解はできたのですがこの条件がある限り
なので、umaiumaiさんもご認識の通り
引用:
たとえVACLがベターであっても
※表現がおかしかったかな…?
引用:
『「VLAN11に属するPCがサーバーへアクセスするのを制限」以上のことをしてますよね?』
問題文にはそれ以上のことをしてはいけないと記載されていないと思います。
設問からの条件を再度整理します。
・VLAN11に属するPCがサーバへアクセスするのを制限する
・VLAN11では送信元が172.18.1.0/24のみ許可する(=その他のVLAN11からの送信は拒否)
・サーバファームおよびVLAN12,13については言及がない
この場合、確かにSwitchAのFa0/1に対するRACLでもVLAN11に対するVACLでも「設問の条件に指定がなく、設定すればできるからどちらでも良い。むしろRACLの方が設問の条件にある『よりサーバファームに近い』を満たす」とは言えます。ですが個人的にはどちらを選択するかが、CCNPを保有するエンジニアのレベルを表すと考えています。
求められている要件はVLAN11からのアクセスを制限することであり、サーバファームへのアクセスを制限することではありません。 VLAN11以外からのアクセスに影響の出る可能性のある手法を採択するのでは、実現した結果が同じでも
・実現コスト(事前影響範囲調査、VLAN11以外へ影響のない定義作成(現在の環境によってはVACLより設定行数は多くなるでしょう)、サーバファーム及びVLAN11/12/13すべてを巻き込んだテストの実施)
・保守コスト(VLAN12,13配下からの、サーバファームへのアクセス障害時における当該RACLの影響調査)
・運用コスト(VLAN12,13配下への新セグメント追加、VLAN新設によるセグメント追加時のRACL定義メンテナンス、もちろんテストを含む)
を考慮できていないとみなされます。
上記例は設問の条件に記載がない(今後のことも考慮せよなどとは書いていない)ですが、記載されていなければなんでもしていいとは言えないですよね。課題を一歩踏み込んで考慮して
・最小のコストでよりよいものが選択できるか
・ネットワークの設計、管理、保守が考えられているか
ということを採用する技術の選択に活かせるかも、試験の中でチェックされているのだと思っています。
なにより実環境でも、楽な設定のほうが作るのも解析するのも助かりますからね
umaiumai
投稿数: 14
投稿数: 14
ありがとうございます。
設定としてVACLがベターなのは理解させていただきました。
『・VLAN11に属するPCがサーバへアクセスするのを制限する
・VLAN11では送信元が172.18.1.0/24のみ許可する(=その他のVLAN11からの送信は拒否)
・VLAN12,13については言及がない
この場合、確かにSwitchAのFa0/1に対するRACLでもVLAN11に対するVACLでも「設問の条件に指定がなく、設定すればできるからどちらでも良い。むしろRACLの方が設問の条件にある『よりサーバファームに近い』を満たす」とは言えます。』
だがもう一歩踏み込んで考えれば
記載されていないから何でもしていいわけではない、しかし要件定義(よりサーバファームに近い)は無視してでもVACLを選択するのが正解だ。
と仰られているということでよろしいでしょうか?
(追記)
もちろんよりレベルの高いエンジニアであれば要件定義に対して問題提起をするのは重要だと思います。
しかしこのような試験問題に対して要件定義を変えましょうというのは可能なものなのでしょうか?
設定としてVACLがベターなのは理解させていただきました。
『・VLAN11に属するPCがサーバへアクセスするのを制限する
・VLAN11では送信元が172.18.1.0/24のみ許可する(=その他のVLAN11からの送信は拒否)
・VLAN12,13については言及がない
この場合、確かにSwitchAのFa0/1に対するRACLでもVLAN11に対するVACLでも「設問の条件に指定がなく、設定すればできるからどちらでも良い。むしろRACLの方が設問の条件にある『よりサーバファームに近い』を満たす」とは言えます。』
だがもう一歩踏み込んで考えれば
記載されていないから何でもしていいわけではない、しかし要件定義(よりサーバファームに近い)は無視してでもVACLを選択するのが正解だ。
と仰られているということでよろしいでしょうか?
(追記)
もちろんよりレベルの高いエンジニアであれば要件定義に対して問題提起をするのは重要だと思います。
しかしこのような試験問題に対して要件定義を変えましょうというのは可能なものなのでしょうか?
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:無視してないですよ?
よりよい選択としてVACLを採択したまでであって、その上でVLAN11がSwitchB配下に存在しているので、よりサーバファームに近いSwitchAでVACL定義をすると決めただけです。
要件が「最も近いところ」ならしかたなくサーバファーム接続ポートであるSwitchAのFa0/1でのRACLを検討しますが、「よりサーバファームに近い」ですので、ちゃんとVLAN11からみて、何か(今回はSwitchB)と比較して「よりサーバファームに近い所(SwitchA)」を選択していますよ
逆に質問で申し訳ないのですが、「RACLでなければならない」理由って、上記の「よりサーバファームに近い」を満たす以外に何を想定されていますか?
要件定義(よりサーバファームに近い)は無視してでもVACLを選択するのが正解だ。
よりよい選択としてVACLを採択したまでであって、その上でVLAN11がSwitchB配下に存在しているので、よりサーバファームに近いSwitchAでVACL定義をすると決めただけです。
要件が「最も近いところ」ならしかたなくサーバファーム接続ポートであるSwitchAのFa0/1でのRACLを検討しますが、「よりサーバファームに近い」ですので、ちゃんとVLAN11からみて、何か(今回はSwitchB)と比較して「よりサーバファームに近い所(SwitchA)」を選択していますよ
逆に質問で申し訳ないのですが、「RACLでなければならない」理由って、上記の「よりサーバファームに近い」を満たす以外に何を想定されていますか?
umaiumai
投稿数: 14
投稿数: 14
『むしろRACLの方が設問の条件にある『よりサーバファームに近い』を満たす」とは言えます』
『「よりサーバファームに近い」ですので、ちゃんとVLAN11からみて、何か(今回はSwitchB)と比較して「よりサーバファームに近い所(SwitchA)」を選択していますよ 』
意見がコロコロ変わっているようですが大丈夫ですか?
『・VLAN12,13については言及がない』
→VACLでもRACLでも対応可能
『よりサーバファームに近い』
→対応可能な選択肢4,5,7のうちよりサーバーファームに近い4のRACLを選択
これがRACLしか選べない理由です、何も難しい考えはしていないと思います。
『「よりサーバファームに近い」ですので、ちゃんとVLAN11からみて、何か(今回はSwitchB)と比較して「よりサーバファームに近い所(SwitchA)」を選択していますよ 』
意見がコロコロ変わっているようですが大丈夫ですか?
『・VLAN12,13については言及がない』
→VACLでもRACLでも対応可能
『よりサーバファームに近い』
→対応可能な選択肢4,5,7のうちよりサーバーファームに近い4のRACLを選択
これがRACLしか選べない理由です、何も難しい考えはしていないと思います。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:ちゃんと
引用:と言っていますよ。
私は最初から、「正答はRACLではなくVACLでよい」という立場でしゃべっているつもりなのですが…
逆に
引用:といいつつ
引用:にこだわる理由が知りたかったのです。
問題の読み取りの相違かとも思うのですが、
引用:の条件を、「VLAN11からのアクセスを制限するにあたって」
私:
採用するフィルタリング技術の実装をするにあたってはサーバファームに近い装置で実施
umaiumaiさん:
サーバファームの直近で実施可能なフィルタリング技術を選択
と、双方で条件のとらえ方が違うような気がするんですよね。
また、
引用:についても「言及がない=」
私:
現状に手を加えない(変更してはならない)
umaiumaiさん:
現状と同じ挙動になるように許可フィルタ定義すればRACLでもよい(変更してもよい)
と、既存環境への影響に対する考え方も異なるようです。
で、もう一度整理した条件を確認すると
引用:であり、その私の発言について
引用:との理解をいただけたと思っていました。
その認識を持っていただけているのに、RACLを選ぶ理由が「ただ実装位置が最も近いから」という理由だけであるのに疑問を持ったわけです。
条件は「フィルタリングは【出来る限り】サーバーファームに近い位置で行う」であり、「【最も】」ではありませんので、実装位置は採用技術によって変動する余地があると考えています。
『むしろRACLの方が設問の条件にある『よりサーバファームに近い』を満たす」とは言えます』
『「よりサーバファームに近い」ですので、ちゃんとVLAN11からみて、何か(今回はSwitchB)と比較して「よりサーバファームに近い所(SwitchA)」を選択していますよ 』
意見がコロコロ変わっているようですが大丈夫ですか?
引用:
「VLAN11に属する」とあるので、それ以外に波及する(可能性のある)定義では誤りとみなされるのかなーと
==========
なので、umaiumaiさんもご認識の通り
引用:
----------------------------
たとえVACLがベターであっても
----------------------------
VACLがベターなので
==========
むしろRACLの方が設問の条件にある『よりサーバファームに近い』を満たす」とは言えます。ですが個人的にはどちらを選択するかが、CCNPを保有するエンジニアのレベルを表すと考えています。
==========
求められている要件はVLAN11からのアクセスを制限することであり、サーバファームへのアクセスを制限することではありません。
私は最初から、「正答はRACLではなくVACLでよい」という立場でしゃべっているつもりなのですが…
逆に
引用:
設定としてVACLがベターなのは理解させていただきました。
引用:
『・VLAN12,13については言及がない』
→VACLでもRACLでも対応可能
『よりサーバファームに近い』
→対応可能な選択肢4,5,7のうちよりサーバーファームに近い4のRACLを選択
これがRACLしか選べない理由です
問題の読み取りの相違かとも思うのですが、
引用:
VLAN11では送信元が172.18.1.0/24のみ許可する(フィルタリングは出来る限りサーバーファームに近い位置で行うこと)
私:
採用するフィルタリング技術の実装をするにあたってはサーバファームに近い装置で実施
umaiumaiさん:
サーバファームの直近で実施可能なフィルタリング技術を選択
と、双方で条件のとらえ方が違うような気がするんですよね。
また、
引用:
『・VLAN12,13については言及がない』
私:
現状に手を加えない(変更してはならない)
umaiumaiさん:
現状と同じ挙動になるように許可フィルタ定義すればRACLでもよい(変更してもよい)
と、既存環境への影響に対する考え方も異なるようです。
で、もう一度整理した条件を確認すると
引用:
・VLAN11に属するPCがサーバへアクセスするのを制限する
・VLAN11では送信元が172.18.1.0/24のみ許可する(=その他のVLAN11からの送信は拒否)
・サーバファームおよびVLAN12,13については言及がない
求められている要件はVLAN11からのアクセスを制限することであり、サーバファームへのアクセスを制限することではありません。
(略)
を考慮できていないとみなされます。
引用:
設定としてVACLがベターなのは理解させていただきました。
その認識を持っていただけているのに、RACLを選ぶ理由が「ただ実装位置が最も近いから」という理由だけであるのに疑問を持ったわけです。
条件は「フィルタリングは【出来る限り】サーバーファームに近い位置で行う」であり、「【最も】」ではありませんので、実装位置は採用技術によって変動する余地があると考えています。
umaiumai
投稿数: 14
投稿数: 14
VACLがベターであるのに異論はありません。
最初の質問に戻らせていただきますが、問題文のどこからvlan11以外をフィルタリングしてはいけないと読み取れるのか?
ということです。
解説には以下の記載があります。
『「SwitchA Fa0/1のout方向にRACLの設定をする」
サーバーファームに近い位置でのフィルタリングにはなりますが、VLAN11以外についてもフィルタリングしてしまうことになるので 誤りです。』
少なくとも私と解説の中ではRACLがサーバーファームに近い位置でのフィルタリングであることに一致しています。
またこの解説を言い換えれば
「VLAN11以外についてもフィルタリングしてしまうことになる」が誤りでなければ「サーバーファームに近い位置でのフィルタリングになる」RACLが正しいと読み取れます。
だからこそ今回こちらに質問させていただきました。
繰り返しになりますがVACLがベターあることに異論を唱えるつもりもありません。
というか問題視しておりません。
最初の質問に戻らせていただきますが、問題文のどこからvlan11以外をフィルタリングしてはいけないと読み取れるのか?
ということです。
解説には以下の記載があります。
『「SwitchA Fa0/1のout方向にRACLの設定をする」
サーバーファームに近い位置でのフィルタリングにはなりますが、VLAN11以外についてもフィルタリングしてしまうことになるので 誤りです。』
少なくとも私と解説の中ではRACLがサーバーファームに近い位置でのフィルタリングであることに一致しています。
またこの解説を言い換えれば
「VLAN11以外についてもフィルタリングしてしまうことになる」が誤りでなければ「サーバーファームに近い位置でのフィルタリングになる」RACLが正しいと読み取れます。
だからこそ今回こちらに質問させていただきました。
繰り返しになりますがVACLがベターあることに異論を唱えるつもりもありません。
というか問題視しておりません。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
おっかしいなぁ…どこでロジックがずれるんだろう?
ちょっと流れを整理させていただいていいですか?
「問題文のどこからVLAN11以外をフィルタリングしてはいけないと読み取れるのか?」
↓
・「VLAN11に属する」とあるので、それ以外に波及する(可能性のある)定義では誤りとみなされるのかな
・「その他のVLAN配下のセグメントをpermitするフィルタ」というのは「VLAN11に属するPCがサーバーへアクセスするのを制限」以上のことをしてますよね?
※denyだけではなくpermitもフィルタリング(許可フィルタ)です
↓
「『「VLAN11に属するPCがサーバーへアクセスするのを制限」以上のことをしてますよね?』
問題文にはそれ以上のことをしてはいけないと記載されていないと思います。」
↓
・求められている要件はVLAN11からのアクセスを制限することであり、サーバファームへのアクセスを制限することではありません
・VLAN11以外からのアクセスに影響の出る可能性のある手法を採択するのでは、課題への対応が浅い。
↓
「VACLがベターなのは理解させていただきました。
しかし要件定義(よりサーバファームに近い)は無視してでもVACLを選択するのが正解だと仰られているということでよろしいでしょうか?」
↓
・提示された条件は「出来る限りサーバーファームに近い位置」であり、「最もサーバファームに近い位置」は要求されていない
・前述のとおり、第一の要求は「VLAN11に属するPCがサーバーへアクセスするのを制限」することである。
ただし、実装位置が複数想定される場合の判断においては「出来る限りサーバーファームに近い位置」にするよう条件指定されている。
・回答数指定が「3つ」となっているので、第2の選択肢を入れる余地がない(dot1x関連で2個使っているので、フィルタリングにかかわる回答は1個しかできない)
・VLAN11以外についての言及がない以上、それ以外に対する設定変更は前述のとおりリスクを伴うため選択するべきではない
=> RACLよりVACLがよい
※「VACLがベターあることに異論を唱えるつもりもありません。というか問題視しておりません。」との共通認識
↓
私の結論:この問題はVACLでの回答を求めていると考えられる。
合わせて、「出来る限りサーバーファームに近い位置」にするよう条件指定されていることから、3つ目の正答は「SwitchAにVACLの設定をする」となる。
※RACLでも不可能ではないが、より良い回答があり、なおかつ指定回答数を満たしているため、RACLを正答とする理由がない。
↓
『この解説を言い換えれば
「VLAN11以外についてもフィルタリングしてしまうことになる」が誤りでなければ「サーバーファームに近い位置でのフィルタリングになる」RACLが正しいと読み取れます。』
↓
umaiumaiさんの結論:この要件に対するフィルタリングはRACLよりVACLがベターではあるが、VACLではなくRACLが正解。
理由は「サーバーファームに近い位置でのフィルタリングになる」ため
不明点:
・「RACLよりVACLがよい」のでVACLが正答となることがわかっているのに、なぜRACLが正しいということになるのか???
・条件(出来る限り近い)を満たす、要件に対するより良い答えよりも、より厳しい条件(最も近い)を満たすものを正解とするべきということ???
・それとも、RACLを正解とするには指定回答数が足りないので「回答数指定が少ないのがおかしい」という話なのか???
※でも前の発言で「しかしこのような試験問題に対して要件定義を変えましょうというのは可能なものなのでしょうか?」とあるので、そういう意図はないはず…
と認識しているのですが、間違っているところがあればご指摘いただけないでしょうか?
ちょっと流れを整理させていただいていいですか?
「問題文のどこからVLAN11以外をフィルタリングしてはいけないと読み取れるのか?」
↓
・「VLAN11に属する」とあるので、それ以外に波及する(可能性のある)定義では誤りとみなされるのかな
・「その他のVLAN配下のセグメントをpermitするフィルタ」というのは「VLAN11に属するPCがサーバーへアクセスするのを制限」以上のことをしてますよね?
※denyだけではなくpermitもフィルタリング(許可フィルタ)です
↓
「『「VLAN11に属するPCがサーバーへアクセスするのを制限」以上のことをしてますよね?』
問題文にはそれ以上のことをしてはいけないと記載されていないと思います。」
↓
・求められている要件はVLAN11からのアクセスを制限することであり、サーバファームへのアクセスを制限することではありません
・VLAN11以外からのアクセスに影響の出る可能性のある手法を採択するのでは、課題への対応が浅い。
↓
「VACLがベターなのは理解させていただきました。
しかし要件定義(よりサーバファームに近い)は無視してでもVACLを選択するのが正解だと仰られているということでよろしいでしょうか?」
↓
・提示された条件は「出来る限りサーバーファームに近い位置」であり、「最もサーバファームに近い位置」は要求されていない
・前述のとおり、第一の要求は「VLAN11に属するPCがサーバーへアクセスするのを制限」することである。
ただし、実装位置が複数想定される場合の判断においては「出来る限りサーバーファームに近い位置」にするよう条件指定されている。
・回答数指定が「3つ」となっているので、第2の選択肢を入れる余地がない(dot1x関連で2個使っているので、フィルタリングにかかわる回答は1個しかできない)
・VLAN11以外についての言及がない以上、それ以外に対する設定変更は前述のとおりリスクを伴うため選択するべきではない
=> RACLよりVACLがよい
※「VACLがベターあることに異論を唱えるつもりもありません。というか問題視しておりません。」との共通認識
↓
私の結論:この問題はVACLでの回答を求めていると考えられる。
合わせて、「出来る限りサーバーファームに近い位置」にするよう条件指定されていることから、3つ目の正答は「SwitchAにVACLの設定をする」となる。
※RACLでも不可能ではないが、より良い回答があり、なおかつ指定回答数を満たしているため、RACLを正答とする理由がない。
↓
『この解説を言い換えれば
「VLAN11以外についてもフィルタリングしてしまうことになる」が誤りでなければ「サーバーファームに近い位置でのフィルタリングになる」RACLが正しいと読み取れます。』
↓
umaiumaiさんの結論:この要件に対するフィルタリングはRACLよりVACLがベターではあるが、VACLではなくRACLが正解。
理由は「サーバーファームに近い位置でのフィルタリングになる」ため
不明点:
・「RACLよりVACLがよい」のでVACLが正答となることがわかっているのに、なぜRACLが正しいということになるのか???
・条件(出来る限り近い)を満たす、要件に対するより良い答えよりも、より厳しい条件(最も近い)を満たすものを正解とするべきということ???
・それとも、RACLを正解とするには指定回答数が足りないので「回答数指定が少ないのがおかしい」という話なのか???
※でも前の発言で「しかしこのような試験問題に対して要件定義を変えましょうというのは可能なものなのでしょうか?」とあるので、そういう意図はないはず…
と認識しているのですが、間違っているところがあればご指摘いただけないでしょうか?
umaiumai
投稿数: 14
投稿数: 14
全く質問に対する回答をいただけてないですよね。
別に構いませんが。
すみません、私の質問と無関係ですし面倒だったので言及していなかったのですが私自身はVACLがベターだとは思ってません。
理解したのはあくまでVACLがベターだというarashi1977さんの意見です。
以下は「よりサーバーファームに近い」という条件がない場合でRACLかVACLのどちらがより適切か私なりの意見を記載させていただきます。
「VLAN11に属するPCがサーバーへアクセスするのを制限するため」
という上記の大前提があります。
VACLはvlan11のみが対象だからRACLより適切だということですがそもそもそこから違いますよね。
『SwitchA Fa0/1のout方向にRACLの設定をする』場合は
Vlan11→サーバー
Vlan12→サーバー
Vlan13→サーバー
をフィルタリングするのに対して
『SwitchAにVACLの設定をする』場合は
Vlan11→サーバー
Vlan11→Vlan12
Vlan11→Vlan13
Vlan12→Vlan11
Vlan12→Vlan11
サーバー→Vlan11
をフィルタリングします。
この中で制限が必要なものは「vlan11→サーバー」のみとなります。
(上記はCCNP保有者として〜やらで意訳したり条件定義を無視したものではなく、あくまで問題文から客観的に読み取れるものです)
さてどちらの方がフィルタリングするのが少ないでしょうか?
また今回の条件ではRACLの場合はsoureのみの指定になるため標準ACLで構いません。
VACLの場合はdestの指定も必要なため少なくとも拡張ACLでのdestまでの指定が必要でさらにvlanアクセスマップの作成も必要なためRACLよりも工数が多くなる。
どちらの方が構築が楽でしょう?運用が楽でしょう?
VACLの方が設定も多い、フィルタリングするものも多いのですがそれでも運用上はVACLの方がメリットがあるのでしょうか?
別に構いませんが。
すみません、私の質問と無関係ですし面倒だったので言及していなかったのですが私自身はVACLがベターだとは思ってません。
理解したのはあくまでVACLがベターだというarashi1977さんの意見です。
以下は「よりサーバーファームに近い」という条件がない場合でRACLかVACLのどちらがより適切か私なりの意見を記載させていただきます。
「VLAN11に属するPCがサーバーへアクセスするのを制限するため」
という上記の大前提があります。
VACLはvlan11のみが対象だからRACLより適切だということですがそもそもそこから違いますよね。
『SwitchA Fa0/1のout方向にRACLの設定をする』場合は
Vlan11→サーバー
Vlan12→サーバー
Vlan13→サーバー
をフィルタリングするのに対して
『SwitchAにVACLの設定をする』場合は
Vlan11→サーバー
Vlan11→Vlan12
Vlan11→Vlan13
Vlan12→Vlan11
Vlan12→Vlan11
サーバー→Vlan11
をフィルタリングします。
この中で制限が必要なものは「vlan11→サーバー」のみとなります。
(上記はCCNP保有者として〜やらで意訳したり条件定義を無視したものではなく、あくまで問題文から客観的に読み取れるものです)
さてどちらの方がフィルタリングするのが少ないでしょうか?
また今回の条件ではRACLの場合はsoureのみの指定になるため標準ACLで構いません。
VACLの場合はdestの指定も必要なため少なくとも拡張ACLでのdestまでの指定が必要でさらにvlanアクセスマップの作成も必要なためRACLよりも工数が多くなる。
どちらの方が構築が楽でしょう?運用が楽でしょう?
VACLの方が設定も多い、フィルタリングするものも多いのですがそれでも運用上はVACLの方がメリットがあるのでしょうか?
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
私の意見は「ダメと言ってるわけではなくて、より良いものがありますからそちらを選びましょう」です。最初の投稿でも言っていますが
引用:です。
なので、
引用:質問=「問題文のどこからvlan11以外をフィルタリングしてはいけないと読み取れるのか?」に対して「ここがだめだと言っている」という明確な発言ができていないのです。
そこが「はぐらかしている」というようにとらえられたのであれば申しわけありません。
そこで、umaiumaiさんのご提案をもとに考えてみました。
引用:
設問の要件を満たすVACLってこの程度でできそうな気がするんです(今実機がないので検証できてません、ごめんなさい)
VLAN11に入ってくるトラフィックで
・172.18.1.0/24からサーバファームへは許可
・それ以外からサーバファームへは破棄
・そのほかの通信は許可
という設定にしてみました。13行ぐらいですかね。
当然ながら、VLAN12,13についてはVACL適用していないのでフィルタリングは行われません。
VLAN11からサーバファームへの通信許可対象が増えた場合はFOR_PERMIT_FROM_VLAN11_TO_SERVERFIRMに追加したらいいですし、VLAN11からのアクセスを拒否する宛先を増やしたいときはFOR_DENY_FROM_VLAN11_TO_SERVERFIRMに追加するだけで済みます。
もちろんVLAN11へのセグメント追加時、VLAN12,13の環境変更や新規VLAN追加時の影響もありません。
で、
引用:とおっしゃってるように実装するなら、RACLだとこうですよね
この設問のトポロジにはありませんが、SwitchAを経由してサーバがインターネットと通信する場合、通信先の送信元(グローバル)アドレスもRACLアクセスリストに追加する必要が出てきます。
SwitchA Fa0/1のout方向のフィルタなので、サーバファームに入ってくるところでpermitしないといけなくなりますので、インバウンドトラフィックが多い場合はRACLアクセスリストへのpermit対象はかなり増えることが予想されます。
※ここは設問には記載のないところなので、「実際に適用するとしたときの考慮」レベルでとらえてください。
わざと複雑にした、と言われるとつらいのですが実際VLAN11,12,13配下のセグメントがどのように利用されているかは全く設問に記載されていないので、より悪いことを考慮する必要があるかと思うんですよね。
個人的な感想ではVACLの方が楽そうなのですが…
何より、RACLはテストが大変そうです…
いかがでしょうか?
引用:
もっというと、「より良い選択肢があり、指定回答数を満たしているのならそれ以外の回答は正解とはみなさない」というところですかね。
なので、
引用:
全く質問に対する回答をいただけてないですよね。
別に構いませんが。
そこが「はぐらかしている」というようにとらえられたのであれば申しわけありません。
そこで、umaiumaiさんのご提案をもとに考えてみました。
引用:
『SwitchAにVACLの設定をする』場合は
Vlan11→サーバー
Vlan11→Vlan12
Vlan11→Vlan13
Vlan12→Vlan11
Vlan12→Vlan11
サーバー→Vlan11
をフィルタリングします。
この中で制限が必要なものは「vlan11→サーバー」のみとなります。
(略)
あくまで問題文から客観的に読み取れるものです
設問の要件を満たすVACLってこの程度でできそうな気がするんです(今実機がないので検証できてません、ごめんなさい)
VLAN11に入ってくるトラフィックで
・172.18.1.0/24からサーバファームへは許可
・それ以外からサーバファームへは破棄
・そのほかの通信は許可
という設定にしてみました。13行ぐらいですかね。
当然ながら、VLAN12,13についてはVACL適用していないのでフィルタリングは行われません。
ip access-list extended FOR_PERMIT_FROM_VLAN11_TO_SERVERFIRM
permit ip 172.18.1.0 0.0.0.255 (dest:サーバファーム)
!
ip access-list extended FOR_DENY_FROM_VLAN11_TO_SERVERFIRM
permit ip any (dest:サーバファーム)
!
vlan access-map VACL_VLAN11 10
match ip address FOR_PERMIT_FROM_VLAN11_TO_SERVERFIRM
action forward
!
vlan access-map VACL_VLAN11 20
match ip address FOR_DENY_FROM_VLAN11_TO_SERVERFIRM
action drop
!
vlan access-map VACL_VLAN11 30
action forward
!
vlan filter VACL_VLAN11 vlan 11
もちろんVLAN11へのセグメント追加時、VLAN12,13の環境変更や新規VLAN追加時の影響もありません。
で、
引用:
『SwitchA Fa0/1のout方向にRACLの設定をする』場合は
Vlan11→サーバー
Vlan12→サーバー
Vlan13→サーバー
をフィルタリングする
============================
今回の条件ではRACLの場合はsoureのみの指定になるため標準ACLで構いません。
interface FastEthernet0/1
ip access-group RACL out
!
ip access-list standard RACL
permit 172.18.1.0 0.0.0.255
!その他VLANからのトラフィックpermit定義、たとえば
! permit 10.1.0.0 0.0.255.255
! permit 10.2.0.0 0.0.255.255
! permit 10.3.0.0 0.0.127.255
! permit 10.4.0.0 0.0.3.255
! permit 10.4.128.0 0.0.127.255
! permit 172.18.2.0 0.0.0.255
! permit 192.168.1.0 0.0.0.255
! permit 192.168.4.0 0.0.0.255
!・連続してればまとめて定義できますが、不連続だと個別でやらないとぬけが出る。
! たとえば各VLAN配下が/8をサブネット化している可能性もあるので、上記のような
! 複雑なワイルドカードを適用することも考えられる。
! また、VLAN12,13に172.18.2.0/24が存在しないとも言い切れない
!・範囲外の通信許可対象セグメントが追加されたら当然permit行を追加する必要がある。
!・permit anyとか使ってしまうと意図していないものが許可される可能性があるので
! 不用意に使用できない
! たとえばVLAN11に、上記の個別permit定義外のもの(暗黙のdenyでのdropを意図)が
! 追加されたときに対応できない。
!・上記ACLではどのVLANから来たものか判別できないので、各VLANの全セグメントで
! 許可すべきものの洗い出しが必要
SwitchA Fa0/1のout方向のフィルタなので、サーバファームに入ってくるところでpermitしないといけなくなりますので、インバウンドトラフィックが多い場合はRACLアクセスリストへのpermit対象はかなり増えることが予想されます。
※ここは設問には記載のないところなので、「実際に適用するとしたときの考慮」レベルでとらえてください。
わざと複雑にした、と言われるとつらいのですが実際VLAN11,12,13配下のセグメントがどのように利用されているかは全く設問に記載されていないので、より悪いことを考慮する必要があるかと思うんですよね。
個人的な感想ではVACLの方が楽そうなのですが…
何より、RACLはテストが大変そうです…
いかがでしょうか?
umaiumai
投稿数: 14
投稿数: 14
『Vlan12→Vlan11
Vlan12→Vlan11』
は
『Vlan12→Vlan11
Vlan13→Vlan11』
の間違いです、申し訳ありません。
『そこで、umaiumaiさんのご提案をもとに考えてみました。』
「そこで」と仰られましても本来聞きたい質問を答えていただけてないのですが。
というより、私は意見を述べただけで提案すらしたつもりはありません。
(実際に構築する案件なら分かるのですが、試験問題のように結果が決まっているものに対して提案なんてできるものではありません)
また具体的な設定を記載いただいているのですが、その前に情報をいただけないと何を仰られているかわかりません。
ちなみにRACLの方がテストが大変とはどういう場合を想定しているのですか?
Vlan12→Vlan11』
は
『Vlan12→Vlan11
Vlan13→Vlan11』
の間違いです、申し訳ありません。
『そこで、umaiumaiさんのご提案をもとに考えてみました。』
「そこで」と仰られましても本来聞きたい質問を答えていただけてないのですが。
というより、私は意見を述べただけで提案すらしたつもりはありません。
(実際に構築する案件なら分かるのですが、試験問題のように結果が決まっているものに対して提案なんてできるものではありません)
また具体的な設定を記載いただいているのですが、その前に情報をいただけないと何を仰られているかわかりません。
ちなみにRACLの方がテストが大変とはどういう場合を想定しているのですか?
antares01
投稿数: 690
投稿数: 690
umaiumaiさん
arashi1977さん
口をはさんで申し訳ないですが、このまま続けてもお二人が納得できるような結論に
たどり着きそうな気がしませんし、そろそろ終わりにしたらどうでしょうか。
arashi1977さん
口をはさんで申し訳ないですが、このまま続けてもお二人が納得できるような結論に
たどり着きそうな気がしませんし、そろそろ終わりにしたらどうでしょうか。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
どうやら私は根本的に誤解していたようです。
私はumaiumaiさんがこの問題に対して
引用:と質問されていたと思い、「4(RACL)より7(VACL)のほうが適切ですよ、それはこういう面からです」と、答えていたつもりでした。
ですが
引用:とのことなので、上記の考えが完全に違っていたのですね。
ここで言う質問とは「問題文のどこからVLAN11以外をフィルタリングしてはいけないと読み取れるのでしょうか?」のことでよろしいでしょうか?
umaiumaiさんもご認識の通り
引用:と、問題文から客観的に(仮定、推測は含まない)という点を元にお話しないといけなかったのですね。
引用:とのことですが、これはまさに「問題文から客観的に読み」とって作成したものです。
問題文にあるのは以下のとおりです(フィルタリングに関する部分のみ)
引用:「VLAN11では172.18.1.0/24を許可する」以外に許可すべき対象、拒否すべき対象に関して何も情報はありません。
ではそれを踏まえてコンフィグ例を、ということで出したのが前述の例です。再掲しますが
VACL:
RACL:
「上記RACL定義のアクセスリストにその他のセグメントのpermit定義がないから間違いだ」と言われたとしても、問題文から客観的に読み取れる情報からではこれしか書きようがありません。
その他の許可すべきセグメントの情報がありませんので…
そうすると、暗黙のdenyによって問題文に明示的に記載されていないVLAN12,13からのトラフィックはSwitchA Fa0/1のout方向のフィルタ(RACL定義)によって破棄されます。
これではVLAN11からのアクセスのみならずVLAN12,13に対するdenyフィルタが発動してしまい、設問にないVLAN12,13へのdeny/permitを考慮しないといけなくなるため誤りになると思うのですが、いかがでしょうか。
引用:を満たしていても、問題文にない「VLAN12,13からサーバファームへのアクセスをフィルタ」といったことをしてしまうのでは「要件の拡大解釈」とならないでしょうか。
一応その他の点についてもですが
引用:おっしゃるとおりで、結果も提示されている情報も決まっているのに「VLAN12,13のセグメントのpermitを入れれば正しく動く」と言われても「そのpermit行を書くにあたっての情報はどこにあるの?ないのにどうやって書けるの?」というのが、解説にある「VLAN11以外についてもフィルタリングしてしまうことになるので 誤りです。」になると理解しています。
引用:再掲しますが
引用:です。
引用:問題文にない話題なので混乱のもとになるかもしれませんが、例えばですが、
permit 10.3.1.0 0.0.0.255
が元々あって、新たに10.3.2.0/24および10.3.3.0/24が追加されたときに
permit 10.3.0.0 0.0.3.255
と誤って設定した場合を想定して、「10.3.0.0/24が通信可能となっていないこと」といったテスト項目が盛り込まれることが想定されます。
上述のとおり、暗黙のdenyで拒否されていたはずのものが勝手にpermitされてしまうのでは目的を達したとは言えませんよね。それを許容するならそもそもpermit anyしてしまえばいいってことになりかねないので。
また、SwitchA Fa0/1のout方向に適用されているアクセスリストなので、VLAN11,12,13全てが関連していることからテスト対象を絞ることができません。
別の観点から言えば(これも問題文にないのであくまで例示、ですが)、別の意図で元々設定していたSwitchA Fa0/1へのout方向のアクセスフィルタがあった場合、そちらと統合する必要性が出てくることから、適用するACLの修正時には本件のアクセスリスト以外の目的が毀損されていないことの確認が必須となります。
その場合は当然追加(修正)が1行であっても全部テストする必要があります。
VACLの場合であれば、修正したアクセスリストが影響するのがVLANアクセスマップのみであること、ひいてはそのマップを適用したVLANのみしか影響しないことがわかっているので、テスト対象はVLAN11に絞ることができます。
そういった点から「VACLよりもRACLのテストのほうが大変」と想定しています。
私はumaiumaiさんがこの問題に対して
引用:
正解が4ではない理由は何でしょうか?
ですが
引用:
本来聞きたい質問を答えていただけてないのですが。
ここで言う質問とは「問題文のどこからVLAN11以外をフィルタリングしてはいけないと読み取れるのでしょうか?」のことでよろしいでしょうか?
umaiumaiさんもご認識の通り
引用:
あくまで問題文から客観的に読み取れるものです
引用:
また具体的な設定を記載いただいているのですが、その前に情報をいただけないと何を仰られているかわかりません。
問題文にあるのは以下のとおりです(フィルタリングに関する部分のみ)
引用:
以下の条件でVLAN11に属するPCがサーバーへアクセスするのを制限するためにどうすれば良いか
・VLAN11では送信元が172.18.1.0/24のみ許可する(フィルタリングは出来る限りサーバーファームに近い位置で行うこと)
ではそれを踏まえてコンフィグ例を、ということで出したのが前述の例です。再掲しますが
VACL:
ip access-list extended FOR_PERMIT_FROM_VLAN11_TO_SERVERFIRM
permit ip 172.18.1.0 0.0.0.255 (dest:サーバファーム)
!
ip access-list extended FOR_DENY_FROM_VLAN11_TO_SERVERFIRM
permit ip any (dest:サーバファーム)
!
vlan access-map VACL_VLAN11 10
match ip address FOR_PERMIT_FROM_VLAN11_TO_SERVERFIRM
action forward
!
vlan access-map VACL_VLAN11 20
match ip address FOR_DENY_FROM_VLAN11_TO_SERVERFIRM
action drop
!
vlan access-map VACL_VLAN11 30
action forward
!
vlan filter VACL_VLAN11 vlan 11
RACL:
interface FastEthernet0/1
ip access-group RACL out
!
ip access-list standard RACL
permit 172.18.1.0 0.0.0.255
その他の許可すべきセグメントの情報がありませんので…
そうすると、暗黙のdenyによって問題文に明示的に記載されていないVLAN12,13からのトラフィックはSwitchA Fa0/1のout方向のフィルタ(RACL定義)によって破棄されます。
これではVLAN11からのアクセスのみならずVLAN12,13に対するdenyフィルタが発動してしまい、設問にないVLAN12,13へのdeny/permitを考慮しないといけなくなるため誤りになると思うのですが、いかがでしょうか。
引用:
「VLAN11に属するPCがサーバーへアクセスするのを制限するため」
という上記の大前提があります。
一応その他の点についてもですが
引用:
実際に構築する案件なら分かるのですが、試験問題のように結果が決まっているものに対して提案なんてできるものではありません
引用:
具体的な設定を記載いただいているのですが、その前に情報をいただけないと何を仰られているかわかりません。
引用:
VLAN11に入ってくるトラフィックで
・172.18.1.0/24からサーバファームへは許可 ←問題の「VLAN11では送信元が172.18.1.0/24のみ許可する」に相当
・それ以外からサーバファームへは破棄 ←問題の「VLAN11に属するPCがサーバーへアクセスするのを制限」に相当。許可していないとこからのサーバファームアクセス拒否
・そのほかの通信は許可 ←問題に記載がないので、その他の通信を誤って破棄しない
という設定
引用:
RACLの方がテストが大変とはどういう場合を想定しているのですか?
permit 10.3.1.0 0.0.0.255
が元々あって、新たに10.3.2.0/24および10.3.3.0/24が追加されたときに
permit 10.3.0.0 0.0.3.255
と誤って設定した場合を想定して、「10.3.0.0/24が通信可能となっていないこと」といったテスト項目が盛り込まれることが想定されます。
上述のとおり、暗黙のdenyで拒否されていたはずのものが勝手にpermitされてしまうのでは目的を達したとは言えませんよね。それを許容するならそもそもpermit anyしてしまえばいいってことになりかねないので。
また、SwitchA Fa0/1のout方向に適用されているアクセスリストなので、VLAN11,12,13全てが関連していることからテスト対象を絞ることができません。
別の観点から言えば(これも問題文にないのであくまで例示、ですが)、別の意図で元々設定していたSwitchA Fa0/1へのout方向のアクセスフィルタがあった場合、そちらと統合する必要性が出てくることから、適用するACLの修正時には本件のアクセスリスト以外の目的が毀損されていないことの確認が必須となります。
その場合は当然追加(修正)が1行であっても全部テストする必要があります。
VACLの場合であれば、修正したアクセスリストが影響するのがVLANアクセスマップのみであること、ひいてはそのマップを適用したVLANのみしか影響しないことがわかっているので、テスト対象はVLAN11に絞ることができます。
そういった点から「VACLよりもRACLのテストのほうが大変」と想定しています。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
antares01さん
ありがとうございます。
私も長くなりすぎた気がするので、そろそろ終わりにしたほうが良いのかな…とは思っていました
ありがとうございます。
私も長くなりすぎた気がするので、そろそろ終わりにしたほうが良いのかな…とは思っていました
umaiumai
投稿数: 14
投稿数: 14
「問題文のどこからVLAN11以外をフィルタリングしてはいけないと読み取れるのでしょうか?」のことでよろしいでしょうか?
→
前に記載させていただきましたが、解説の中からも読み取れるように
「VLAN11以外についてもフィルタリングしてしまうことになる」が誤りでなければ「サーバーファームに近い位置でのフィルタリングになる」RACLが正しいと読み取れるためです。
つまり私の中では「正解が4ではない理由」=「VLAN11以外以外についてもフィルタリングしているため誤り」と同義となっております。(これはVACLがベターかどうかという話とはまったく関係がありません)
『問題文から客観的に(仮定、推測は含まない)という点を元にお話しないといけなかったのですね。』
→
ありがとうございます、やっとまともな議論ができるようになるのかと思っております。
前回、今回で記載いただいている「VACL」の設定に関しては客観的に記載いただいており問題ないと思っております。
「RACL」に関して前回は根拠の不明なIPをいきなり持ち出されたため『情報をいただけないと何を仰られているのかわからない』と記載させていただきました。
今回記載いただいた「RACL」の設定については非常に残念に思います。
なぜ「VACL」のときは「不明なサーバーファームのIP」を「(dest:サーバファーム)」と代用して記載しているのに、「RACL」の設定では「不明なVLAN11、12、13のIP」がわからないので記載できず(別の言葉で代用せず)、誤りになると結論づけられるのでしょうか?
別の言葉で代用すれば設定が可能であるのに、それをRACではできないのはエンジニアとしてのレベルの低さかと思います。
もしくはVACLの優位性を伝えるために敢えてやったのであれば、エンジニアとして恥ずべき行為であり議論するに値しません。
長すぎるとの意見もありますのでこちらから「RACL」の設定内容を提示いたします。
以下であれば問題に適切な設定になっているかと思います。
######################
access-list 1 permit 172.18.1.0 0.0.0.255
access-list 1 deny (VLAN11のネットワーク)
access-list 1 permit any
interface FastEthernet0/1
ip access-group 1 out
######################
それではここからは、VACLとRACLのどちらがより適切であるかのお話に入らせていただきます。
■設定量(設定する工数)
上記を設定する工数ですがそれぞれのネットワークが単一のプレフィックスならば「VACL」は13行、「RACL」は5行となります。
ただし要件には記載されていない不明なIPが存在します。
サーバーファームのプレフィックス数が多ければVACLの設定が多くなり、VLAN11のプレフィック数がサーバーファームより9つ以上多ければRACLの設定が多くなります。
確か、CISCOでは1つのVLANには単一のネットワークを使用することを推奨していたような気がします。(古い記憶のため違うかも)
CCNPの試験は当然CISCOの機器の使用を前提としており、ネットワークもCISCO推奨のものを使用するのが当然かと思いますが、こちらも要件定義には確定事項として記載されていないため「どちらが優位かはこの条件だけでは不明である」と判断させていただきます。
■本設定による機器への負荷
通常のCISCO機器であれば通常のACLの動作はHW処理となるためどんなにトラフィックが多くなろうと処理能力は変わらす、ここでの優勢は変わらないと考えます。
ただし設定自体によるメモリ使用量は違います。
Sourceしか使用しない標準ACLの方が、拡張ACLよりも断然使用するメモリが少ないです。
機器にもよると思いますが標準ACLと拡張ACLでは5倍ほどの差があるのではないかと思います。
さらにVACLではVLANアクセスマップも使用するため、メモリ使用量に対する負荷はRACLの方が少ないです。
■運用面
問題があったときに該当のフィルタの状態を確認したい場合
【VACLの場合】
show vlan filter vlan 11
show vlan access-map VACL_VLAN11
show ip access-list FOR_PERMIT_FROM_VLAN11_TO_SERVERFIRM
show ip access-list FOR_DENY_FROM_VLAN11_TO_SERVERFIRM
【RACLの場合】
show ip interface fa0/1
show ip access-list 1
上記のように確認コマンドの量の少なさからRACLが優位といえる
またフィルタリング対象について既述ですが
【VACL】
Vlan11→サーバー
Vlan11→Vlan12
Vlan11→Vlan13
Vlan12→Vlan11
Vlan13→Vlan11
サーバー→Vlan11
(以下が漏れていましたので追記いたします)
Vlan11内でSwitchAのvlan11のSVI向けの通信
【RACL】
Vlan11→サーバー
Vlan12→サーバー
Vlan13→サーバー
であることからRACLの方が優位であると言えます。
【将来的な拡張性】
今後の要件定義によってどちらが好ましいかはいくらでも変わるため、どちらでも可能性があり不明といたします。
以上をまとめるとそれぞれの優位性は以下と私は考えます。
【VACLのメリット】
とくになし
【RACLのメリット】
設定によるメモリ使用量が少ない
問題発生時に確認コマンドが少ない
フィルタリングする通信フローが少ない
【判断不能】
設定量は要件により変わるため不明
通信が流れることによる負荷はどちらも差異がない
将来性は要件により変わるため不明
以上となります。
長くなり失礼いたしました。
→
前に記載させていただきましたが、解説の中からも読み取れるように
「VLAN11以外についてもフィルタリングしてしまうことになる」が誤りでなければ「サーバーファームに近い位置でのフィルタリングになる」RACLが正しいと読み取れるためです。
つまり私の中では「正解が4ではない理由」=「VLAN11以外以外についてもフィルタリングしているため誤り」と同義となっております。(これはVACLがベターかどうかという話とはまったく関係がありません)
『問題文から客観的に(仮定、推測は含まない)という点を元にお話しないといけなかったのですね。』
→
ありがとうございます、やっとまともな議論ができるようになるのかと思っております。
前回、今回で記載いただいている「VACL」の設定に関しては客観的に記載いただいており問題ないと思っております。
「RACL」に関して前回は根拠の不明なIPをいきなり持ち出されたため『情報をいただけないと何を仰られているのかわからない』と記載させていただきました。
今回記載いただいた「RACL」の設定については非常に残念に思います。
なぜ「VACL」のときは「不明なサーバーファームのIP」を「(dest:サーバファーム)」と代用して記載しているのに、「RACL」の設定では「不明なVLAN11、12、13のIP」がわからないので記載できず(別の言葉で代用せず)、誤りになると結論づけられるのでしょうか?
別の言葉で代用すれば設定が可能であるのに、それをRACではできないのはエンジニアとしてのレベルの低さかと思います。
もしくはVACLの優位性を伝えるために敢えてやったのであれば、エンジニアとして恥ずべき行為であり議論するに値しません。
長すぎるとの意見もありますのでこちらから「RACL」の設定内容を提示いたします。
以下であれば問題に適切な設定になっているかと思います。
######################
access-list 1 permit 172.18.1.0 0.0.0.255
access-list 1 deny (VLAN11のネットワーク)
access-list 1 permit any
interface FastEthernet0/1
ip access-group 1 out
######################
それではここからは、VACLとRACLのどちらがより適切であるかのお話に入らせていただきます。
■設定量(設定する工数)
上記を設定する工数ですがそれぞれのネットワークが単一のプレフィックスならば「VACL」は13行、「RACL」は5行となります。
ただし要件には記載されていない不明なIPが存在します。
サーバーファームのプレフィックス数が多ければVACLの設定が多くなり、VLAN11のプレフィック数がサーバーファームより9つ以上多ければRACLの設定が多くなります。
確か、CISCOでは1つのVLANには単一のネットワークを使用することを推奨していたような気がします。(古い記憶のため違うかも)
CCNPの試験は当然CISCOの機器の使用を前提としており、ネットワークもCISCO推奨のものを使用するのが当然かと思いますが、こちらも要件定義には確定事項として記載されていないため「どちらが優位かはこの条件だけでは不明である」と判断させていただきます。
■本設定による機器への負荷
通常のCISCO機器であれば通常のACLの動作はHW処理となるためどんなにトラフィックが多くなろうと処理能力は変わらす、ここでの優勢は変わらないと考えます。
ただし設定自体によるメモリ使用量は違います。
Sourceしか使用しない標準ACLの方が、拡張ACLよりも断然使用するメモリが少ないです。
機器にもよると思いますが標準ACLと拡張ACLでは5倍ほどの差があるのではないかと思います。
さらにVACLではVLANアクセスマップも使用するため、メモリ使用量に対する負荷はRACLの方が少ないです。
■運用面
問題があったときに該当のフィルタの状態を確認したい場合
【VACLの場合】
show vlan filter vlan 11
show vlan access-map VACL_VLAN11
show ip access-list FOR_PERMIT_FROM_VLAN11_TO_SERVERFIRM
show ip access-list FOR_DENY_FROM_VLAN11_TO_SERVERFIRM
【RACLの場合】
show ip interface fa0/1
show ip access-list 1
上記のように確認コマンドの量の少なさからRACLが優位といえる
またフィルタリング対象について既述ですが
【VACL】
Vlan11→サーバー
Vlan11→Vlan12
Vlan11→Vlan13
Vlan12→Vlan11
Vlan13→Vlan11
サーバー→Vlan11
(以下が漏れていましたので追記いたします)
Vlan11内でSwitchAのvlan11のSVI向けの通信
【RACL】
Vlan11→サーバー
Vlan12→サーバー
Vlan13→サーバー
であることからRACLの方が優位であると言えます。
【将来的な拡張性】
今後の要件定義によってどちらが好ましいかはいくらでも変わるため、どちらでも可能性があり不明といたします。
以上をまとめるとそれぞれの優位性は以下と私は考えます。
【VACLのメリット】
とくになし
【RACLのメリット】
設定によるメモリ使用量が少ない
問題発生時に確認コマンドが少ない
フィルタリングする通信フローが少ない
【判断不能】
設定量は要件により変わるため不明
通信が流れることによる負荷はどちらも差異がない
将来性は要件により変わるため不明
以上となります。
長くなり失礼いたしました。
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
大変申し訳ありませんが、本件についての発言はこれを最後とさせていただきます。
このような終わり方をせざるをえないことを残念に思います。
私がこのフォーラムで出来ることは「問題に対する正答を導き出すための支援」程度であって、「出題者の意図しない選択肢を正解とするための議論」ではありません。
ご認識のとおり、本件の扱っている元ネタは「試験問題」であり、問題作成者が意図を持って特定の選択肢を選ばせるように作成されたものです。ですので回答するにあたってはその出題者の意図も汲み取りつつ、客観的に(仮定、推測は含まず)選択することで出題者の思う通りの回答、すなわち当該問題に対する正答に辿り着けると考えております。私はそのためのお手伝いができればと思い、回答をするよう心がけております。
その前提に基づき、私の問題文に対する考え方は
引用:です。問題文に記載のないものについては何らの影響も及ぼしてはならない、と考えています。
なので、
引用:については、問題文にフィルタ対象の指定に「VLAN11、172.18.1.0/24からサーバへのアクセスの拒否、許可」との記載があるので、「具体的なアドレスは不明だが対象として明記」されているので仮の値で記述したまでであり、「VLAN12,13に対してのフィルタリング要件の記載がない(不明)」ため、コンフィグに記述できないのです。(VLAN11の他セグメントは暗黙のdenyで破棄するので明記する必要なしと判断)
ですが、umaiumaiさんの考え方は
引用:のようです。これは前述の私のRACL定義について残念に思われていること、および例示いただいたRACL定義の
からもそのように読み取れました。
しかしこれは、「問題文にはVLAN12,13に対して許可せよと書いていないのに許可フィルタを設定している」のであり、「問題文から客観的に読み取れる情報に基づいた設定」ではないと認識しています。ですがこのpermit行を入れない限り、172.18.1.0/24以外の送信元からはサーバファームへのアクセスが不可能となってしまい、「問題文にはVLAN12,13からの通信を拒否せよと書いてないのに拒否フィルタを設定している」ことになります。(=「VLAN11以外についても(許可・拒否)フィルタリングしてしまうため誤り」に相当)
にも関わらず
引用:とおっしゃっている以上、問題に対する向き合い方が異なるので、これ以上私がお力添えできることはないと判断いたしました。
ですがこれではumaiumaiさんの疑念を晴らすお手伝いが全く出来ていないことになりますので、勝手ながら同様の考え方で回答を導き出せるかどうかを調査してみました。その結果以下の問題が参考になるのではないかと思いましたので、ご考察の一助になればと思い提示させていただきます。
お手すきの時で結構ですので、以下の問題をご参照いただければと思います。
CCNAコンテンツ:最強WEB問題集CCNA Routing and Switching (新試験対応)
問題分野:ICND2 ルーティング
問題ID:12741
設問:PC-AとPC-B間で通信が確立しない。どうすれば解決できるか。
正答:RouterAにスタティックルーティングを使って192.168.3.0/24宛のルートを設定する
umaiumaiさんの考え方を当てはめると、「PC-AとRouterAの間にスイッチを接続する」も正解のように思います。
なぜなら、ルータ直結では不可能ですが、スイッチを入れることでPC-Bに192.168.1.0/24のセグメントのアドレスを付与し、PC-Aと同一セグメントに収容することで直接接続することが可能になるからです。こうすればルーティング処理といったルータへの負荷軽減、既存設定への変更も不要なことから工数は非常に少なく(設定の検証をする必要もない)、またPC間通信の遅延の発生という観点からも有利と考えられます。問題のトポロジもWAN回線を使っているとは明確に記載されておらず、UTPケーブル長を100m以内に収められないと判断する根拠はありません。
なにより、問題文には「接続変更は不可、アドレス変更は不可」といった記載はないため、この手法を選択することに問題はないと考えられます。
ですが、私にはやはりこの回答を選択することが正解だと確信することができません。
私の「umaiumaiさんの考え方」の理解が誤っているのか、問題の読み取り方が誤っているのか、私の理解では判断することができませんでした。
umaiumaiさんのお役に立てず、力不足で申し訳ありませんでした。
今後もエンジニアとしてのレベルアップに向けて精進したいと思います。
また別のご質問で、お力添えができれば幸いです。
お付き合いいただき、ありがとうございました。
このような終わり方をせざるをえないことを残念に思います。
私がこのフォーラムで出来ることは「問題に対する正答を導き出すための支援」程度であって、「出題者の意図しない選択肢を正解とするための議論」ではありません。
ご認識のとおり、本件の扱っている元ネタは「試験問題」であり、問題作成者が意図を持って特定の選択肢を選ばせるように作成されたものです。ですので回答するにあたってはその出題者の意図も汲み取りつつ、客観的に(仮定、推測は含まず)選択することで出題者の思う通りの回答、すなわち当該問題に対する正答に辿り着けると考えております。私はそのためのお手伝いができればと思い、回答をするよう心がけております。
その前提に基づき、私の問題文に対する考え方は
引用:
「言及がない=」
私:
現状に手を加えない(変更してはならない)
なので、
引用:
なぜ「VACL」のときは「不明なサーバーファームのIP」を「(dest:サーバファーム)」と代用して記載しているのに、「RACL」の設定では「不明なVLAN11、12、13のIP」がわからないので記載できず(別の言葉で代用せず)
ですが、umaiumaiさんの考え方は
引用:
現状と同じ挙動になるように許可フィルタ定義すればRACLでもよい(変更してもよい)
access-list 1 permit any
しかしこれは、「問題文にはVLAN12,13に対して許可せよと書いていないのに許可フィルタを設定している」のであり、「問題文から客観的に読み取れる情報に基づいた設定」ではないと認識しています。ですがこのpermit行を入れない限り、172.18.1.0/24以外の送信元からはサーバファームへのアクセスが不可能となってしまい、「問題文にはVLAN12,13からの通信を拒否せよと書いてないのに拒否フィルタを設定している」ことになります。(=「VLAN11以外についても(許可・拒否)フィルタリングしてしまうため誤り」に相当)
にも関わらず
引用:
以下であれば問題に適切な設定になっているかと思います。
ですがこれではumaiumaiさんの疑念を晴らすお手伝いが全く出来ていないことになりますので、勝手ながら同様の考え方で回答を導き出せるかどうかを調査してみました。その結果以下の問題が参考になるのではないかと思いましたので、ご考察の一助になればと思い提示させていただきます。
お手すきの時で結構ですので、以下の問題をご参照いただければと思います。
CCNAコンテンツ:最強WEB問題集CCNA Routing and Switching (新試験対応)
問題分野:ICND2 ルーティング
問題ID:12741
設問:PC-AとPC-B間で通信が確立しない。どうすれば解決できるか。
正答:RouterAにスタティックルーティングを使って192.168.3.0/24宛のルートを設定する
umaiumaiさんの考え方を当てはめると、「PC-AとRouterAの間にスイッチを接続する」も正解のように思います。
なぜなら、ルータ直結では不可能ですが、スイッチを入れることでPC-Bに192.168.1.0/24のセグメントのアドレスを付与し、PC-Aと同一セグメントに収容することで直接接続することが可能になるからです。こうすればルーティング処理といったルータへの負荷軽減、既存設定への変更も不要なことから工数は非常に少なく(設定の検証をする必要もない)、またPC間通信の遅延の発生という観点からも有利と考えられます。問題のトポロジもWAN回線を使っているとは明確に記載されておらず、UTPケーブル長を100m以内に収められないと判断する根拠はありません。
なにより、問題文には「接続変更は不可、アドレス変更は不可」といった記載はないため、この手法を選択することに問題はないと考えられます。
ですが、私にはやはりこの回答を選択することが正解だと確信することができません。
私の「umaiumaiさんの考え方」の理解が誤っているのか、問題の読み取り方が誤っているのか、私の理解では判断することができませんでした。
umaiumaiさんのお役に立てず、力不足で申し訳ありませんでした。
今後もエンジニアとしてのレベルアップに向けて精進したいと思います。
また別のご質問で、お力添えができれば幸いです。
お付き合いいただき、ありがとうございました。
umaiumai
投稿数: 14
投稿数: 14
『問題文にフィルタ対象の指定に「VLAN11、172.18.1.0/24からサーバへのアクセスの拒否、許可」との記載があるので、「具体的なアドレスは不明だが対象として明記」されているので仮の値で記述したまでであり、「VLAN12,13に対してのフィルタリング要件の記載がない(不明)」ため、コンフィグに記述できないのです。(VLAN11の他セグメントは暗黙のdenyで破棄するので明記する必要なしと判断)』
→
何を根拠に「具体的なアドレスは不明だが対象として明記」していたので「仮の値を記述した」?
何を根拠に「VLAN12,13に対してのフィルタリング要件の記載がない(不明)」ため、「コンフィグに記述できない」?
仮の値を記述できるものとできないものの分け方の根拠が全く不明です。
サーバーファームのIPアドレスもVLAN11のIPアドレスも変動するものではなく特定の数値となります。
そのためどちらも仮の値で記述することに問題はない。
というのが私の意見となります。
『「問題文にはVLAN12,13に対して許可せよと書いていないのに許可フィルタを設定している」のであり、「問題文から客観的に読み取れる情報に基づいた設定」ではないと認識しています。ですがこのpermit行を入れない限り、172.18.1.0/24以外の送信元からはサーバファームへのアクセスが不可能となってしまい、「問題文にはVLAN12,13からの通信を拒否せよと書いてないのに拒否フィルタを設定している」ことになります。(=「VLAN11以外についても(許可・拒否)フィルタリングしてしまうため誤り」に相当)』
→
これはVACLについても同様ですよ。
前述しているようにVACLの方が許可フィルタをしているフローが多数あり、
vlan access-map VACL_VLAN11 30
action forward
この設定を入れないと問題文に記載のない通信を破棄しますよ。
前回も記載させていただいたのですがVACLの優位性を示すために偏った見方をされると議論できませんし、するに値しません。
『umaiumaiさんの考え方を当てはめると、「PC-AとRouterAの間にスイッチを接続する」も正解のように思います。
なぜなら、ルータ直結では不可能ですが、スイッチを入れることでPC-Bに192.168.1.0/24のセグメントのアドレスを付与し、PC-Aと同一セグメントに収容することで直接接続することが可能になるからです。こうすればルーティング処理といったルータへの負荷軽減、既存設定への変更も不要なことから工数は非常に少なく(設定の検証をする必要もない)、またPC間通信の遅延の発生という観点からも有利と考えられます。問題のトポロジもWAN回線を使っているとは明確に記載されておらず、UTPケーブル長を100m以内に収められないと判断する根拠はありません。
なにより、問題文には「接続変更は不可、アドレス変更は不可」といった記載はないため、この手法を選択することに問題はないと考えられます』
→
「PC-AとRouterAの間にスイッチを接続する」も正解のように思います。
その選択肢はどこにもありません、選択肢にないものを何故持ち出してくるのでしょうか?
申し訳ありませんがお話が理解できません。
→
何を根拠に「具体的なアドレスは不明だが対象として明記」していたので「仮の値を記述した」?
何を根拠に「VLAN12,13に対してのフィルタリング要件の記載がない(不明)」ため、「コンフィグに記述できない」?
仮の値を記述できるものとできないものの分け方の根拠が全く不明です。
サーバーファームのIPアドレスもVLAN11のIPアドレスも変動するものではなく特定の数値となります。
そのためどちらも仮の値で記述することに問題はない。
というのが私の意見となります。
『「問題文にはVLAN12,13に対して許可せよと書いていないのに許可フィルタを設定している」のであり、「問題文から客観的に読み取れる情報に基づいた設定」ではないと認識しています。ですがこのpermit行を入れない限り、172.18.1.0/24以外の送信元からはサーバファームへのアクセスが不可能となってしまい、「問題文にはVLAN12,13からの通信を拒否せよと書いてないのに拒否フィルタを設定している」ことになります。(=「VLAN11以外についても(許可・拒否)フィルタリングしてしまうため誤り」に相当)』
→
これはVACLについても同様ですよ。
前述しているようにVACLの方が許可フィルタをしているフローが多数あり、
vlan access-map VACL_VLAN11 30
action forward
この設定を入れないと問題文に記載のない通信を破棄しますよ。
前回も記載させていただいたのですがVACLの優位性を示すために偏った見方をされると議論できませんし、するに値しません。
『umaiumaiさんの考え方を当てはめると、「PC-AとRouterAの間にスイッチを接続する」も正解のように思います。
なぜなら、ルータ直結では不可能ですが、スイッチを入れることでPC-Bに192.168.1.0/24のセグメントのアドレスを付与し、PC-Aと同一セグメントに収容することで直接接続することが可能になるからです。こうすればルーティング処理といったルータへの負荷軽減、既存設定への変更も不要なことから工数は非常に少なく(設定の検証をする必要もない)、またPC間通信の遅延の発生という観点からも有利と考えられます。問題のトポロジもWAN回線を使っているとは明確に記載されておらず、UTPケーブル長を100m以内に収められないと判断する根拠はありません。
なにより、問題文には「接続変更は不可、アドレス変更は不可」といった記載はないため、この手法を選択することに問題はないと考えられます』
→
「PC-AとRouterAの間にスイッチを接続する」も正解のように思います。
その選択肢はどこにもありません、選択肢にないものを何故持ち出してくるのでしょうか?
申し訳ありませんがお話が理解できません。
