問題ID:20について
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
問題ID:20について
msg# 1
AQUARIUS
投稿数: 3
問題ID20について、解答ではE0のインターフェイスにインバウンドとして(問題文のACLを)設定するのが正解とありますが、どう考えても、S0のinに設定するのが正解だと思います。(選択肢にはありませんが。。)
いかがなものでしょうか?
解答どおりだとしたら、私には理解できませんので詳しく説明できるかたいらっしゃいましたら、なにとぞご教示願いたいと思います。
いかがなものでしょうか?
解答どおりだとしたら、私には理解できませんので詳しく説明できるかたいらっしゃいましたら、なにとぞご教示願いたいと思います。
Re: 問題ID:20について
msg# 1.1
bouya
投稿数: 5
E0のinで正しいですよ。逆にS0のinでは正しく動きません。
inとoutの概念は、以下の2つのURLを参照されると良いと思います。
ITpro CCNAへの道 アクセスリスト
http://itpro.nikkeibp.co.jp/article/COLUMN/20060515/238001/?ST=nettech
CCNAフリーク CCNAワンポイント アクセスリストのINとOUT
http://xfreak.com/ccna/point/
inとoutの概念は、以下の2つのURLを参照されると良いと思います。
ITpro CCNAへの道 アクセスリスト
http://itpro.nikkeibp.co.jp/article/COLUMN/20060515/238001/?ST=nettech
CCNAフリーク CCNAワンポイント アクセスリストのINとOUT
http://xfreak.com/ccna/point/
Re: 問題ID:20について
msg# 1.1.1
AQUARIUS
投稿数: 3
丁寧なご回答ありがとうございました。
inとoutの概念については理解しているつもりでいます。
言葉足らずだったので、伝わらなかったかもしれませんが、私の意図としては、「ルータBのe0インターフェイスにインバウンドで適用すべきである」という選択肢は正解としては選びづらいという事にあります。
なぜなら、このACLを正解のように適用してしまうと、このネットワークからのアクセスがサーバAのみに限定してしまうからです。(インターネットやサーバB等への通信はできない)
そもそも、出題文では要件定義がはっきりしていないので何とも言えませんが、この一行のACLをわざわざ作成したとなると「サーバAへのtelnetはこのネットワークだけ許可するのね。」と出題の意図を読み取るのが自然かと思います。
教科書等に書いてある「拡張IPアクセスリストは送信元近くのルータで設定・適用する」という原則に基づくのであれば正解なのでしょうが、業務要件的には「ルータAのe0:out」又は「ルータAのs1:in」と設定するのではないだろうかと思った次第です。
(※補足:上記の様に設定した場合、インターネットやサーバBネットワークからの通信ができなくなるが、それは考慮しなくて良いと考えられる。なぜなら、両ネットワークともサーバAへの通信を可能とするならば、図の環境で出題のACLをわざわざ作成する意味がないから。)
結局長々と何が言いたかったかと申しますと、ACLの設定の仕方は同じ要件でも1つとは限らないので、ある程度業務要件をはっきりさせた問題を出題していただきたいなと。同じような疑問を持った人はいないですか。解答について納得できないんですよねぇ(こういった出題が多いと、実際の理解に混乱を招きます)
私自身、頭がカタイとは思っていますので。あればガツンと納得させて頂けるような反論をお願いします
inとoutの概念については理解しているつもりでいます。
言葉足らずだったので、伝わらなかったかもしれませんが、私の意図としては、「ルータBのe0インターフェイスにインバウンドで適用すべきである」という選択肢は正解としては選びづらいという事にあります。
なぜなら、このACLを正解のように適用してしまうと、このネットワークからのアクセスがサーバAのみに限定してしまうからです。(インターネットやサーバB等への通信はできない)
そもそも、出題文では要件定義がはっきりしていないので何とも言えませんが、この一行のACLをわざわざ作成したとなると「サーバAへのtelnetはこのネットワークだけ許可するのね。」と出題の意図を読み取るのが自然かと思います。
教科書等に書いてある「拡張IPアクセスリストは送信元近くのルータで設定・適用する」という原則に基づくのであれば正解なのでしょうが、業務要件的には「ルータAのe0:out」又は「ルータAのs1:in」と設定するのではないだろうかと思った次第です。
(※補足:上記の様に設定した場合、インターネットやサーバBネットワークからの通信ができなくなるが、それは考慮しなくて良いと考えられる。なぜなら、両ネットワークともサーバAへの通信を可能とするならば、図の環境で出題のACLをわざわざ作成する意味がないから。)
結局長々と何が言いたかったかと申しますと、ACLの設定の仕方は同じ要件でも1つとは限らないので、ある程度業務要件をはっきりさせた問題を出題していただきたいなと。同じような疑問を持った人はいないですか。解答について納得できないんですよねぇ(こういった出題が多いと、実際の理解に混乱を招きます)
私自身、頭がカタイとは思っていますので。あればガツンと納得させて頂けるような反論をお願いします
Re: 問題ID:20について
msg# 1.1.1.1
Chihayan
投稿数: 1
最近やっとヒマになったので、CCNAを取ろうかな
と思い始めたヘタレです。
実務では設定はベンダーに全部やらせてたましたが…
さすがにデータセンタ内にサーバノードだけで1000あったら…
やり切れませんので
ご自分でもおっしゃっていますが
≫教科書等に書いてある「拡張IPアクセスリストは送信元近くのルータで設定・適用する」という原則に基づくのであれば正解
これを学ばせるのが目的ですので、E0でいいと思います。
正直実務レベルであれば、送受信を考えたACLを設定すべきですし
IPフィルタするにしてもクラスタSVやそのサーバのリプレース時を
考えたIPアドレスの払い出しが必要になると思います。
が!!そういうこと言い始めたら誰も資格取れなくなるから
"CCNAでは教科書レベルを理解していること"として
問題作成されているのではないでしょうか?
ということでいかがでしょう?
業務要件を考慮してどうこうというのであれば
CCNPとかCCIEを取りなさいと言われる気がします…
と思い始めたヘタレです。
実務では設定はベンダーに全部やらせてたましたが…
さすがにデータセンタ内にサーバノードだけで1000あったら…
やり切れませんので
ご自分でもおっしゃっていますが
≫教科書等に書いてある「拡張IPアクセスリストは送信元近くのルータで設定・適用する」という原則に基づくのであれば正解
これを学ばせるのが目的ですので、E0でいいと思います。
正直実務レベルであれば、送受信を考えたACLを設定すべきですし
IPフィルタするにしてもクラスタSVやそのサーバのリプレース時を
考えたIPアドレスの払い出しが必要になると思います。
が!!そういうこと言い始めたら誰も資格取れなくなるから
"CCNAでは教科書レベルを理解していること"として
問題作成されているのではないでしょうか?
ということでいかがでしょう?
業務要件を考慮してどうこうというのであれば
CCNPとかCCIEを取りなさいと言われる気がします…
Re: 問題ID:20について
msg# 1.1.1.1.1
AQUARIUS
投稿数: 3
ご回答ありがとうございます。
前回書き込んだ後に気がついたのですが、問題ID:20に限らず、出題に対して深読みしていくと、同じように(私だけが…?)答えが出なくなるような問題がたくさんある事に気がつきました。
原因を考えてみると、801試験までは日本語の言い回しによる引っ掛け問題が多数出題されていて、それによって問題に対して疑心暗鬼になっていたという事かなぁと思います。
試験は試験です。現場で起きているのではありません
出題の本質に迫っていこうとすると、答えが出なくなってしまいます。(よく脳内でスイッチングループが発生します)
どこかでブロッキングして問題を素直に受け止め、素直に答える事が「試験での正解を得る」ということでしょうね。
逆に言えば、教科書レベルの質問なんだから、答えも教科書レベルで解答しましょう!という事でしょうか(まぁちょっと乱暴な言い方かもしれませんが…)
いずれにしても、今回の802試験では引っ掛け問題がほとんどなかったので、(英語からの翻訳による意味不明な日本語は相変わらずですが。。)「分っているんだけど、点数が取れない」って方は少しだけ考えを変えるといいかも知れません。
出題⇒何を言っているのか素直に受け止める⇒素直に答える⇒点数が入る。そんな様に感じました。
だいぶ話が脱線してしまいましたが、以上をまとめとして締めさせて頂きたいと思います。
ありがとうございました。
前回書き込んだ後に気がついたのですが、問題ID:20に限らず、出題に対して深読みしていくと、同じように(私だけが…?)答えが出なくなるような問題がたくさんある事に気がつきました。
原因を考えてみると、801試験までは日本語の言い回しによる引っ掛け問題が多数出題されていて、それによって問題に対して疑心暗鬼になっていたという事かなぁと思います。
試験は試験です。現場で起きているのではありません
出題の本質に迫っていこうとすると、答えが出なくなってしまいます。(よく脳内でスイッチングループが発生します)
どこかでブロッキングして問題を素直に受け止め、素直に答える事が「試験での正解を得る」ということでしょうね。
逆に言えば、教科書レベルの質問なんだから、答えも教科書レベルで解答しましょう!という事でしょうか(まぁちょっと乱暴な言い方かもしれませんが…)
いずれにしても、今回の802試験では引っ掛け問題がほとんどなかったので、(英語からの翻訳による意味不明な日本語は相変わらずですが。。)「分っているんだけど、点数が取れない」って方は少しだけ考えを変えるといいかも知れません。
出題⇒何を言っているのか素直に受け止める⇒素直に答える⇒点数が入る。そんな様に感じました。
だいぶ話が脱線してしまいましたが、以上をまとめとして締めさせて頂きたいと思います。
ありがとうございました。
Re: 問題ID:20について
msg# 1.2
onishit
投稿数: 24
古い質問を掘り起こしますが、私もこの設問には問題ありだと思いました。
(1)アクセスリストは「目的」に応じてフィルタ内容と設定箇所を決定するものであって、
「目的」なしで「すべき」などという判断は不可能
(2)AQUARIUSさんも書かれている通り、このリストを掛かれている通りに適用した場合
ルータB配下LANのホストからは暗黙の拒否でサーバAへのtelnet接続以外全て遮断されてしまい、
その反面ルータC配下からは素通し、と現実的には考えにくい(というか意味が分からない)設定
(3)「このアクセスリストは特定のホストから特定のホストへのトラフィックを許可している」
という選択肢は文意が特定できない
(3)について書くと、英語の a certain host/certain hosts のように単数/複数が明確に
分かるならばともかく、日本語では名詞に単数・複数の区別がありません。
また「特定」という言葉は「ある限定した条件の」という意味であって対象は必ずしも単数とは
限りません。(「鞭と蝋燭は特定の人に好まれる玩具である」…この「人」はある特別な趣味を
持った不特定多数を指します)
従って、この選択肢は「ルータB配下LAN内のホストからサーバAへのトラフィックを」という解釈
も可能であり、正解となりえます。
# ま、(3)に関しては本番の試験も英文直訳調のよく分からない日本語がしばしば混ざるようですが
これが本番の試験でこの通りの問題が出てきたのなら「仕方ない」で済ませるところですが、
これはあくまでも模擬試験です。
学習のためにはきちんと一意の解答が生まれるような問題を用意しておいて欲しいと有料ユーザと
しては要求してもおかしくはないかと思いますが。
そこのところどうなんでしょう? > 運営の方
(1)アクセスリストは「目的」に応じてフィルタ内容と設定箇所を決定するものであって、
「目的」なしで「すべき」などという判断は不可能
(2)AQUARIUSさんも書かれている通り、このリストを掛かれている通りに適用した場合
ルータB配下LANのホストからは暗黙の拒否でサーバAへのtelnet接続以外全て遮断されてしまい、
その反面ルータC配下からは素通し、と現実的には考えにくい(というか意味が分からない)設定
(3)「このアクセスリストは特定のホストから特定のホストへのトラフィックを許可している」
という選択肢は文意が特定できない
(3)について書くと、英語の a certain host/certain hosts のように単数/複数が明確に
分かるならばともかく、日本語では名詞に単数・複数の区別がありません。
また「特定」という言葉は「ある限定した条件の」という意味であって対象は必ずしも単数とは
限りません。(「鞭と蝋燭は特定の人に好まれる玩具である」…この「人」はある特別な趣味を
持った不特定多数を指します)
従って、この選択肢は「ルータB配下LAN内のホストからサーバAへのトラフィックを」という解釈
も可能であり、正解となりえます。
# ま、(3)に関しては本番の試験も英文直訳調のよく分からない日本語がしばしば混ざるようですが
これが本番の試験でこの通りの問題が出てきたのなら「仕方ない」で済ませるところですが、
これはあくまでも模擬試験です。
学習のためにはきちんと一意の解答が生まれるような問題を用意しておいて欲しいと有料ユーザと
しては要求してもおかしくはないかと思いますが。
そこのところどうなんでしょう? > 運営の方