ICTSC2024 本戦 問題解説: [kjv] Layer2って難しい!

問題文

概要

3台のネットワーク機器を使ってVLANを分けてみました。
ところが、いくつかのVLANで通信ができないようです。

3台のネットワーク機器があり、それぞれは802.1q VLANでtrunk(tagged)で繋がっています。

  • Cisco C841-1
  • Cisco C841-2
  • Cisco Nexus N9K

VLANは3つあり、それぞれのVLANでそれぞれの機器がIPアドレスを持っています。
IPアドレスは節約のために/26のCIDRで切っていますが、これ自体に意図はなく問題と無関係です。

SSH接続も可能ですが、特にパスワードや公開鍵などは設定していないため自分で設定する必要があります。
なるべくSSHではなくシリアルコンソールケーブル経由の設定を推奨します。

VLAN情報

  • VLAN 10: 192.168.29.0/26
    • C841-1: .1
    • C841-2: .2
    • Nexus N9K: .3
  • VLAN 20: 192.168.29.64/26
    • C841-1: .65
    • C841-2: .66
    • Nexus N9K: .67
  • VLAN 30: 192.168.29.128/26
    • C841-1: .129
    • C841-2: .130
    • Nexus N9K: .131

前提条件

  • 各機器に事前に設定されたIPアドレスを変更してはいけない
    • 例えばC841-1に9個全てのIPアドレスを自分で設定して「解けた!」と言っても0点です。

初期状態

  • C841-1からC841-2へ、VLAN20, 30で疎通ができない
    • C841-1) ping 192.168.29.2 source 192.168.29.1 →成功
    • C841-1) ping 192.168.29.66 source 192.168.29.65 →失敗
    • C841-1) ping 192.168.29.130 source 192.168.29.129 →失敗

終了状態

  • C841-1からC841-2へ、それぞれのVLANで疎通ができる
    • C841-1) ping 192.168.29.2 source 192.168.29.1 →成功
    • C841-1) ping 192.168.29.66 source 192.168.29.65 →成功
    • C841-1) ping 192.168.29.130 source 192.168.29.129 →成功

接続情報

注: この問題は手元問題です。仮想マシンではなく、参加者の各手元にある物理的な機材を利用して頂きます。

ホスト名 ユーザ パスワード
N9K user ictsc2024
C841-1 (不要) (不要)
C841-2 (不要) (不要)

解説

3台のスイッチ(AとBとC)が接続されており、これはtrunkになっている。

  • nativeVLANの間違い
    nexusでnative-vlanが20になっており、vlan20を利用した疎通ができない
  • allowd vlanの間違い
    C841の両台にallow vlanに30が入っておらず、vlan30で疎通ができない
  1. native vlan問題の想定解法

nexusで以下を実行

interface Ethernet 1/1
no switchport trunk native vlan
interface Ethernet 1/9
no switchport trunk native vlan
  1. allowed vlan問題の想定解法

C841の1と2の両台で以下を実行

interface GigabitEthernet 0/0
switchport trunk allowed vlan add 30

これでC841-1からC841-2へ、それぞれのVLANで疎通ができる

  • C841-1) ping 192.168.29.2 source 192.168.29.1 →成功
  • C841-1) ping 192.168.29.66 source 192.168.29.65 →成功
  • C841-1) ping 192.168.29.130 source 192.168.29.129 →成功

採点基準

それぞれ50点ずつ、合計100点。

講評

VLANの設定をする際に気をつけるべきポイントを踏まえた問題です。気づく人が気づけば一瞬ですが、案外疑うべきところを間違えていたチームが複数いました。
また、allowed vlanをnexusに追加する必要はなく、デフォルトで全て許可になっています。これについてallowed vlanを書いてくれたチームも居ました。(特に加点減点はしてません)