ネットワークデバイスのセキュリティ
問題集の図や読み上げで把握が難しい部分などを補足します。
対象ページ:411から448
CSR 1000vを利用したログイン設定例を紹介しています。
今回の章の前後で実際に体験されると理解が深まると思います。
なお、この章の後半のポートセキュリティはCSR 1000vでは検証できませんでした。
問題4
対象ページ:414
問題にネットワーク構成図と出力メッセージがあります。
ネットワーク構成図
対象行は「SW1 RT1」から「Fa0/1」までです。
図を説明します。
図には3つのアイコンがあり、PC、スイッチ、ルータが1つずつあります。PCは管理者A、スイッチはSW1、ルータはRT1と名付けられています。それらは次のように数珠繋ぎに接続されています。
管理者Aと記載されたPCは、SW1のみと接続されています。
SW1はPCとRT1に接続され、SW1のPC側はCon0と記載されています。また、SW1のRT1側はFa0/1と記載されています。
RT1はSW1のみと接続しています。RT1にはFa0と172.16.1.254/24が記載されています。
出力メッセージ
出力メッセージは「SW1#telnet 172.16.1.254」から「SW1#」までの5行です。
問題14
対象ページ:437
解答に説明図があります。
対象行はページ先頭の「【ACLによるVTYアクセス制御】」から「TelnetおよびSSH」までです。
アクセスリストでTELNETやSSHを制御する際のアクセスリスト適用方法を比較した説明図です。
1つの方法はインターフェースにアクセスリストを設定する方法です。この場合、全てのインターフェースにアクセスリストを設定する必要があります。
もう1つの方法はVTYに対してアクセスリストを適用する方法です。VTYに適用する場合、それのみでTELNETやSSHを制御できることを説明しています。
問題15
対象ページ:438
解答に説明図があります。
対象行はページ先頭の「Fa0/0」から「ACL1」までです。
以下のアクセスリストを適用することで、192.168.2.0/24のセグメントのみからTELNETを許可する様子が表現されています。
(config)#access-list 1 permit 192.168.2.0 0.0.0.255 (config)#line vty 0 4 (config-line)#access-class 1 in
問題18
対象ページ:440
解答に「バナーメッセージの設定および検証例」について説明があります。
対象は440ページの全体です。
PDFからテキストへの変換でEnterや矢印が誤変換しています。
同様のバナー設定検証は、CSR 1000Vでも確認できます。
ここでは、こちらのバナー設定を代替の補足とします。
問題21
対象ページ:442
解答に説明図があります。
対象行は「【ポートセキュリティ】」から「フレームなので破棄」までです。
許可された送信元MACアドレスのフレームは通過し、許可していない送信元MACアドレスのフレームは破棄される様子が表現されています。
問題23
対象ページ:443
解答に説明の表があります。
表は「【違反モードの種類と対処法】」から「shutdown ありありありあり」までの行です。
PDFからテキストへの変換で把握しにくくなるため、以下に表を記載します。
| 違反モード | 違反フレームの破棄 | SNMPトラップ/ Syslogメッセージの送信 |
違反カウンタの増加 | ポートのシャットダウン |
|---|---|---|---|---|
| protect | あり | なし | なし | なし |
| restrict | あり | あり | あり | なし |
| shutdown | あり | あり | あり | あり |
問題24
対象ページ:444
解答に説明図があります。
対象行は「【ポートセキュリティの設定手順】」から「登録する」までです。
ポートセキュリティの大まかな設定順番とMACアドレステーブルの表示が例示されています。
設定順番は、「登録する」の次の行からの①から⑤で説明されています。
MACアドレステーブルの表示例は、次の2行です。
vlan Mac address type ports 1 1234.5678.9000 Static Fa0/4
罫線のない表のような出力で、1行目の「vlan」「Mac address」「type」「ports」の4つが項目です。
2行目はその4項目に対応します。1234.5678.9000は、登録したMACです。Staticはtypeに対応し、静的にMAC登録したことを示します。
問題25
対象ページ:445
解答に設定例とその説明があります。
PDFからテキストへの変換で記号が誤変換する箇所があります。
Enter記号は「v」、左矢印記号は「b」、上矢印記号は「c」に誤変換しています。よって、設定例と説明は以下のとおりです。
(config)#interface fastethernet 0/5 「Enter」 ← Fa0/5のインターフェイス設定モードへ移行
(config-if)#switchport mode access 「Enter」 ← 静的なアクセスポートの設定
(config-if)#switchport port-security 「Enter」 ← ポートセキュリティを有効化
(config-if)#switchport port-security mac-address sticky 「Enter」 ← スティッキーラーニングの有効化
問題27
対象ページ:446から447
解答のポートセキュリティのコマンド出力例を説明します。
show port-security
対象行は「【show port-securityコマンドの出力例】」から446ページ末尾の「SW1#」までです。
「show port-security」コマンドでセキュアポートの状態を確認できます。
show port-securityの出力は縦の罫線がない表のように出力されています。
出力の項目は次の5項目です。「show port-security」コマンド実行後の2行が対象です。
- Secure Port
- MaxSecureAddr(Count)
- CurrentAddr(Count)
- SecurityViolation(Count)
- Security Action
連続ハイフンの罫線の後のFa0/3で始まる行がその結果です。
上の5項目にFa0/3、1、1、0、Shutdownの順番で対応しています。
「① ② ③ ④ ⑤」の行は上の5項目に対応し、次のページにその説明があります。
show port-security interface
対象行は「【show port-security interfaceコマンドの出力例】」から最初の「SW1#」までです。
「show port-security interface fastethernet 0/3」コマンドで詳細情報を確認できます。
各行の末尾の丸数字の前のbは、PDFからテキスト変換した際の左矢印の誤変換です。
「SW1#」行の次から①から⑧の説明があります。
show port-security address
対象行は「【show port-security addressコマンドの出力例】」から447ページ末尾の「SW1#」までです。
「show port-security address」コマンドでセキュアMACアドレスを確認できます。
show port-security addressの出力は縦の罫線がない表のように出力されています。
出力の項目は次の5項目です。最初の連続ハイフンの罫線の後の2行が対象です。
- Vlan
- Mac Address
- Type
- Ports
- Remaining Age(mins)
次の連続ハイフンの罫線の後の1で始まる行がその結果です。
上の5項目に1、「021.9b1b.549d0」、SecureSticky、Fa0/3、「-(ハイフン・該当なし)」の順番で対応しています。