handson

0.実機演習の意義

なぜ試験対策なのに実機演習をやるのか。以下を目的としています。
・「百聞不如一見」の通りです。実機を操作することで、上っ面ではなく、本質の理解につながります。本質を理解すれば、記憶にしっかり残りますし、応用がききます。
・単なる講義に比べて、圧倒的に集中が増します。そして、実機を操作するのは楽しく、うまくいったときはアドレナリンが出ます。講義とは比べ物にならない濃密な学習ができます。
・設計して初めて気づくことがある。たとえば、VRRPの設計をやりますが、なにげにPCとルータの間にスイッチが入っています。試験の構成だと、スイッチの存在なんて当たり前で着目もしません。ですが、実際に実機で設定してテストをしようとすると、スイッチが無いとうまくいかないことに気が付きます。それから、ネットワークスペシャリスト試験のネットワーク構成図を見ただけでは、PCのデフォルトゲートウェイの設定はわかりません。ですが、いざ通信試験をする段階になると、何かの値を設定しなければいけません。そこで初めて気づくのです。デフォルトゲートウェイって何を設定しなければいけないのかと。(実際、試験でも問われました)
(・合格後、実務に活かせる)

1.Ciscoルータを使ったハンズオン

https://nw.seeeko.com/archives/handson
・1~6を確認

2.VLANの設定

VLANに関しては、VLANそのものに関する設問もありますが、ネットワーク構成図などでVLANが当たり前のように記載されていたりします。知っていて当然の知識と言えるでしょう。

(1)過去問

・H25PM1-3では、VLAN用の「タグ」という言葉、VIDは何ビットか設定できるかが問われた。
・ポートベースVLAN(アクセスポート)やタグVLAN(トランクポート)を使った問題。たとえば、H30PM1-2では、ポートやVLANが具体的に記載された問題あり
・ネイティブVLAN(H21PM1-1)
・H29PM2-2では、どのポートにどのVLANを割り当てるかの問題が問われた。
・R3年PM1-3では、タグVLANの中にあるCos値の内容が問われた。
・R3PM2-1でも、トランクポートなどの言葉とともに、VLAN設定がネットワーク構成図に記載されている。
・その他、VXLANやQinQ(IEEE 802.1ad)

(2)演習

・VLANを設定してみよう。
https://nw.seeeko.com/archives/handson#1%E3%83%9D%E3%83%BC%E3%83%88VLAN
・ポートVLANが割り当てられたポートとPCを接続し、パケットキャプチャをしてみよう。フレームにタグ情報はありますか?
・VLANがいくつ作成できるか確かめよう。以下のコマンドを打つと、エラーで教えてくれるはず。

Router#conf t
Router(config)#vlan 20000

以下はエラーコマンドで、作成できるVLANが1-4094の4094個であることがわかる。また、4096は2の12乗であるから、VLAN IDは12ビットであることもわかります。
% Invalid Command rejected: Bad VLAN list - character #6 (EOL) delimits a VLAN
number (20000) out of the range 1..4094.

3.ミラーポートの設定

ミラーポートを設定する意義は、過去問で問われたこと以外に、他のパケットを確認するためです。

(1)過去問

・H26NW午後Ⅱ問2設問3(1)にて、プロミスキャスモード(promiscuous mode)に関する出題あり
・H21年午後Ⅱ問2では、ミラーリングに関する出題があり、ミラーポートが穴埋めで問われた

(2)設定方法

以下のミラーポートの設定に記載している。
https://nw.seeeko.com/archives/handson#8MirrorPort
このあと、DHCPリレーエージェントの設定のときにミラーリングによってパケットを見てもらいます。

4.DHCPの設定

(1)過去問

・R1PM1-3ではDHCPリレーエージェント、DHCPスヌーピングに関して
・H25PM1-2では4つのフレームの中でDHCP DISCOVERが穴埋めで問われ、DHCPスヌーピングも詳しい説明があり、DHCPリレーの構成も出題
・H25PM2-2では、SDNの中で、DHCPの4つのフレームが登場(DHCPがメインの問題ではない)
・R3PM2-1では、DHCPリレーエージェント、DHCP DISCOVERの中のgiaddrフィールドの目的が問われた
・R4PM1-3では、DHCPサーバが払い出す情報についての知識(デフォルトゲートやDNSサーバなど)

(2)確認事項

・DHCPの4つのフレームを確認する
・DHCPサーバで払い出せる情報を理解する
・DHCPリレーエージェントの目的や仕組みを理解する
・DHCPリレーエージェントにおける異なるセグメントへのIPアドレスの払い出しにおいて、どうやってセグメントを判断するかを理解する。→可能であれば、giaddrフィールドを確認

(3)演習

①CiscoルータにDHCPサーバを設定する
https://nw.seeeko.com/archives/handson#9DHCP%E3%82%B5%E3%83%BC%E3%83%90%E3%81%AE%E8%A8%AD%E5%AE%9A
②WiresharkでDHCPのパケットをキャプチャする
PCのLANのポートをつないだ状態でWiresharkを起動してキャプチャを実施。その後、LANポートを抜き差しして、DHCPサーバからのIPアドレスを取得する。dhcpでフィルタすると、Discoverから始まる4つのパケットが確認できます。

また、DHCP Offerの中身を見ると、払い出されるデフォルトゲートやDNSサーバのIPアドレスも確認できます。

③FortiGateにてDHCPサーバを設定する
④Ciscoルータにて、DHCPリレーの設定をする。
PCをつなぐセグメントは、FE8のセグメントとする。なので、fe8のインターフェースでhelper-addressを設定する。DHCPサーバとして、実際には動作していないが、192.168.1.99を指定してください。

Router(config)#int fe8
Router(config-if)#ip helper-address 192.168.1.99

⑤流れるフレームを確認する。CiscoルータとFortiGate(DHCP機能有効)の間をパケットキャプチャをして、送信元のインターフェースの情報が送られていることを確認する。
構成は以下

NW機器(今回はCiscoルータ)の仕様によるかもしれないが、送信元インターフェースの情報は、giaddrではなくRelay agent IPに記載されていた。
以下は、チーム2の場合のFE8のインターフェースである10.1.1.102の情報が記載されています。

ミラーポートの設定は以下になるでしょう。

monitor session 1 source interface fastethernet1
monitor session 1 destination interface fastethernet2

5.STPの設定

(1)過去問

・R3PM2-1でRapid STPが詳しく問われた。
・H30PM1-2では、STPに関して、BPDUを受信しなくなったポートが問われた。
・H25PM2-1では、STPに関して、ブロッキングポートになる理由やブロッキングポートを答える問題などがあった。

(2)演習

・STPはデフォルトで有効になっている。Ciscoの場合はVLAN単位のSTPということで、pvst+が動作している。
・Cisco892のスイッチポート8つのどれかを直結させてループを作りましょう。たとえば、FE0とFE1を1本のケーブルで接続する。すると、ループになるので、STPの計算が行われる。
・show spanning-tree brief コマンドで、以下を確認する
 1) prorityという項目があること→ルートブリッジの決定に使われます。
 2) インターフェースの状態を確認する。FWDやLRN、BLKなどがある。また、ポートの状態(ルートポートや指定ポート)があることもなんとなく見ておきましょう。
 3) FWDになるまでに、どれくらい時間がかかるのか、上記のコマンドを何度か繰り返す。おそらく、50秒くらいかかるはず。
・Cisco892では、Rapid STPの設定ができないので、Catalyst2960を使います。
 1)デフォルトの状態(つまりSTP)で、2つのポートを直結し、ポートの状態がどれくらいで緑になるか、また、状態遷移をConsoleから確認
 2)Rapid STPの設定を入れ、上と同じことを実施する。素早く状態遷移しましたか?

(config)# spanning-tree mode rapid-pvst

・ルートブリッジを理解する上では、複数のスイッチを接続してループ構成を作り、状態を確認することもお勧めです。スイッチをケーブルで接続するだけなので、講師のスイッチまたは他のチームのスイッチ(ルータのスイッチポート)に接続してみましょう。
参考
https://nw.seeeko.com/archives/stp

6.NATの設定

(1)過去問

・R5PM2-2では、LBに絡めてソースNATの有り無しでのパケットの違いが問われた
R4PM2-1では、SSL-VPNトンネルに絡めて、宛先NATの内容が含まれた

(2)演習

・FortiGateのLAN側(Internalの1~7番ポート)にLANケーブルを接続し、ブラウザを開いてインターネットへ接続しましょう。
・FortiGateにログインします。(DHCPでIPアドアドレスを取得した場合のデフォルトゲートウェイがFortiGateのIPアドレスです。)
たとえば、https://192.168.1.99/ ユーザ名:admin パスワード:admin
・右上の >_ のボタンがCLIコンソールの起動ボタンです。以下のコマンドで、NAT(NAPT)テーブルを見てみましょう。

FGT # get system session list

これは、どういうNATをしていますか?
・参考解説
https://www.viva-fortigate.com/archives/basic#5NAT

7.ルーティングの設定

(1)過去問

・基本的なスタティックルートがよく出ます。たとえば、R5PM1-1
・OSPFは、非常によく出ます。
・BGPもよく出ます
・経路再配信や経路のループも出ます。
・R3PM2-2では、BGPに関して、AS_PATHだけではなく、MEDの優先度についても問われた。
・R5PM2-1では、BGPに関して、iBGPとeBGP、BGPで交換されるメッセージ、next-hop-selfなどが問われた。
・R3PM1-2では、LSA、コスト、OSPFによる経路集約、デフォルトルートをOSPF経路に導入することなどが問われた。
・R4PM2-1では、OSPFのECMPやコスト計算が問われた
・H30PM1-3では、DRやBDR、プライオリティを0してDRにならないようにするなどが問われた。

(2)スタティックルートの演習

※徐々にヒントが少なくなります。
・どういう構成にするか、図に書いてみましょう。
・他の設定が残っているとややこしい可能性があるので、その場合、ルータを初期化することをお勧めします。
・別のチームと共同で、お互いのルータのGE0を接続します。3チームでやる場合、間にスイッチングハブを入れてもいいでしょう。
※設計することや、自分でIPアドレスを割り当てること、トラブルシュートでなぜうまくいかないかを考えることも、とても勉強になります。

(3)OSPFの設定

以下をもとに設定を進めてください。
https://nw.seeeko.com/archives/handson#11OSPF

余裕があれば、コストやECMPの確認だけでなく、DRとBDR、LSAについて確認したり、過去問で問われた「OSPFへデフォルトルートを導入する」ことを実施してみましょう。

(4)syslog設定

デフォルトルート(192.168.1.99)を追加したところで、syslogの設定をしましょう。
以下に記載していますが、設定としては、logging hostでsyslogサーバを指定するだけです。講師が準備したAWSを指定してもらいます。LANケーブルを抜き差しするなどすれば、自動でsyslogが送信されます。
https://nw.seeeko.com/archives/handson#15syslog

(5)BGPの設定

以下を参考に実施してみてください。
https://nw.seeeko.com/archives/handson#12BGP

8.VRRPの設定

(1)過去問

・R5PM2-1ではVRRPが設計に含まれる
R4PM2-2では、VRRPの設計が詳細に書かれ、トラッキングも出題
R4PM2-2では、VRRPの識別子、仮想ルータの最大数が問われる
R3PM2-1ではVRRPが設計に含まれる

(2)演習

(・参考ですが、CiscoではHSRPを使うことが一般的です。内容は基本的に同じですが、HSRPの特徴的な違いは、仮想IPアドレスを実IPアドレスを同じにできないことです。)
・まず、ルータを初期化しましょう(不要な設定を消してもいいのですが、初期化した方がすっきりします)
・ルータ2台で、VRRPの構成を組みます。ペアとなるチームと、どういう構成で、どういう設計(IPアドレスなど)にするか、図に書いてみましょう。※IPアドレスは任意のものを割り当ててください。
・VRRPの設計や設定方法は以下です。
https://nw.seeeko.com/archives/handson#14VRRP
・上記の図のL2スイッチの代わりに、ルータのFE LANの8つのポートをスイッチとして利用してください。
・VRRPの状態や、スイッチのMACアドレステーブルを確認しましょう。
・通信用のPCのネットワークの設定をしましょう。デフォルトゲートウェイは何を設定しますか?
・通信相手にPingを打ち続け、マスターとなるLANのケーブルを抜きましょう。どれくらいで通信が切り替わりますか?
・切り替わったときのVRRPの状態や、スイッチのMACアドレステーブルを確認しましょう。
・余裕があれば、トラッキングをやってみましょう。

9.NW管理

・内容としては、SNMPとしてTrapやMIB、Syslog、ping(ICMP)による監視などです。

(1)過去問

大問でガッツリではないが、小問程度の問題が何度か問われている。(他にもたくさん)
・R4PM1-1ではsyslogという言葉が穴埋めで問われた
・R4PM2-2では、障害検知に関して、ping監視、TCP接続監視、URL接続監視などの内容について問われた
・R3PM2-2では、監視に関して、MIBの細かい情報(ifInOctetsなど)が問題文に記載されている。

(2)演習

・設定としては、以下を参考にしてください。
https://nw.seeeko.com/archives/snmp#3SNMPの演習