[CCNA]トラブル時が学び時[シュミレーター学習] part 4


[CCNA]トラブル時が学び時[シュミレーター学習] part 4

シュミレーターを操作していて筆者が実際に遭遇した(またはしやすい)トラブルを紹介し、原因と解決策を解説していきます。CCNAのシュミレーション問題では設定された条件下で発生したトラブルの原因をshowコマンドで探り、解決策を答える問題が出題されます。そのシナリオ問題の対策の一助となればとの思いで全4回に渡って執筆していきます。
第4回、最終回の今回はDHCPとACLについてのトラブルです。


[トラブル]

DHCPクライアントからDHCPサーバーへ疎通確認を行なったあと、DHCPサーバーにDHCPクライアントからのping は許可するが、telnetを拒否する拡張ACLを作成し、適用した。しかしDHCPクライアントからtelnetだけでなく、ping も届かなくなってしまった。その原因として考えられるものを選びなさい。

[ping,telnetの結果]
pingとtelnetの結果表示

[選択肢]

  1. 拡張ACLの記述で送信元IPアドレスをDHCPクライアントとは別のネットワークに指定し許可をしてしまった。
  2. DHCPサーバーで設定したリース時間を超えたためIPアドレスが剥奪された。
  3. DHCPクライアントのインターフェイスがshutdownになっている。
  4. 拡張ACLでDHCPの通信を許可していないため、DHCPサーバーへ要求が届かなくなった。

DHCPserver#show access-lists
Extended IP access list 100
10 permit icmp 192.168.1.0 0.0.0.255 host 192.168.1.1 echo ( 5 matches)
20 deny tcp 192.168.1.0 0.0.0.255 host 192.168.1.1 eq telnet ( 1 match)


DHCPserver#show running-config
Building configuration…
(中略)
!
ip cef
no ip domain lookup
no ip dhcp use vrf connected
ip dhcp excluded-address 192.168.1.1
!
ip dhcp pool DHCP
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1
dns-server 192.168.1.100
domain-name DHCPTEST
!
(以下略)

DHCPclient#show ip interface brief
Interface      IP-Address    OK?   Method    Status Protocol
FastEthernet0/0   unassigned    YES   DHCP    up   up



どの選択肢もトラブルの原因として考えられそうです。

1は「show access-lists」で確認できます。
「show running-config」との表示結果と合わせて確認をすると、DHCPのプールと拡張ACLのワイルドカードマスクを見るとネットワーク全体に対してpermitを与えていることがわかるので誤りです
2は「show running-config」で設定したDHCPの状態が確認できます。
DHCPのリース期間の設定記述がありません。変更がなければデフォルトで1日リースされますし、リース期間が終わっても再取得をするため、トラブルの原因としては誤りです。
3は「show ip interface brief」で確認ができます。
DHCPのやり取りが一度正常に行われているため、インターフェイスがshutdownになっていることは考えにくいですね。コマンドで確認してもup/upになっているため誤った選択肢です。
4は1と同様、「show access-lists」で確認ができます。
拡張ACLの記述を見るとpermitしているのがpingのicmpだけであることが確認できます。
つまりDHCPの通信をpermitしていないため、最終行暗黙の「deny ip any any」により、DHCPのやり取りが行えない状況になっていることがわかるので正解です。

それでは拡張ACLでDHCPの通信を許可しましょう。

DHCPserver(config)#access-list 100 permit udp any any eq  67

または

DHCPserver(config)#access-list 100 permit ip any any でも可です。

 

名前付きACLで作成した場合、行の追加が可能です。

DHCPserver(config-ext-nal)#30 permit udp any any eq 67

または

DHCPserver(config-ext-nal)#30 permit ip any any
*IP 全てを許可する場合はシーケンス番号を一番大きくしないとtelnetも許可してしまうので注意が必要です。

67,68はDHCPのポート番号です。

67がDHCPserverが開けるポート、68はDHCPクライアントが開けるポートです。今回はDHCPserver へ通信を届ける必要があったのでDHCPserverの67番ポートを指定しています。

よくわからなければ67,68両方指定しても大丈夫です。

 


まとめ
拡張ACLを設定する場合は思わなぬ通信を許可・拒否してしまう可能性があるので注意!

  • このエントリーをはてなブックマークに追加

PAGE TOP