ICTSC2024 本戦 問題解説: [kjv] Layer2って難しい!
問題文
概要
3台のネットワーク機器を使ってVLANを分けてみました。
ところが、いくつかのVLANで通信ができないようです。
3台のネットワーク機器があり、それぞれは802.1q VLANでtrunk(tagged)で繋がっています。
- Cisco C841-1
- Cisco C841-2
- Cisco Nexus N9K
VLANは3つあり、それぞれのVLANでそれぞれの機器がIPアドレスを持っています。
IPアドレスは節約のために/26
のCIDRで切っていますが、これ自体に意図はなく問題と無関係です。
SSH接続も可能ですが、特にパスワードや公開鍵などは設定していないため自分で設定する必要があります。
なるべくSSHではなくシリアルコンソールケーブル経由の設定を推奨します。
VLAN情報
- VLAN 10: 192.168.29.0/26
- C841-1:
.1
- C841-2:
.2
- Nexus N9K:
.3
- C841-1:
- VLAN 20: 192.168.29.64/26
- C841-1:
.65
- C841-2:
.66
- Nexus N9K:
.67
- C841-1:
- VLAN 30: 192.168.29.128/26
- C841-1:
.129
- C841-2:
.130
- Nexus N9K:
.131
- C841-1:
前提条件
- 各機器に事前に設定されたIPアドレスを変更してはいけない
- 例えばC841-1に9個全てのIPアドレスを自分で設定して「解けた!」と言っても0点です。
初期状態
- C841-1からC841-2へ、VLAN20, 30で疎通ができない
- C841-1)
ping 192.168.29.2 source 192.168.29.1
→成功 - C841-1)
ping 192.168.29.66 source 192.168.29.65
→失敗 - C841-1)
ping 192.168.29.130 source 192.168.29.129
→失敗
- C841-1)
終了状態
- C841-1からC841-2へ、それぞれのVLANで疎通ができる
- C841-1)
ping 192.168.29.2 source 192.168.29.1
→成功 - C841-1)
ping 192.168.29.66 source 192.168.29.65
→成功 - C841-1)
ping 192.168.29.130 source 192.168.29.129
→成功
- C841-1)
接続情報
注: この問題は手元問題です。仮想マシンではなく、参加者の各手元にある物理的な機材を利用して頂きます。
ホスト名 | ユーザ | パスワード |
---|---|---|
N9K | user | ictsc2024 |
C841-1 | (不要) | (不要) |
C841-2 | (不要) | (不要) |
解説
3台のスイッチ(AとBとC)が接続されており、これはtrunkになっている。
- nativeVLANの間違い
nexusでnative-vlanが20になっており、vlan20を利用した疎通ができない - allowd vlanの間違い
C841の両台にallow vlanに30が入っておらず、vlan30で疎通ができない
- native vlan問題の想定解法
nexusで以下を実行
interface Ethernet 1/1
no switchport trunk native vlan
interface Ethernet 1/9
no switchport trunk native vlan
- allowed vlan問題の想定解法
C841の1と2の両台で以下を実行
interface GigabitEthernet 0/0
switchport trunk allowed vlan add 30
これでC841-1からC841-2へ、それぞれのVLANで疎通ができる
- C841-1)
ping 192.168.29.2 source 192.168.29.1
→成功 - C841-1)
ping 192.168.29.66 source 192.168.29.65
→成功 - C841-1)
ping 192.168.29.130 source 192.168.29.129
→成功
採点基準
それぞれ50点ずつ、合計100点。
講評
VLANの設定をする際に気をつけるべきポイントを踏まえた問題です。気づく人が気づけば一瞬ですが、案外疑うべきところを間違えていたチームが複数いました。
また、allowed vlanをnexusに追加する必要はなく、デフォルトで全て許可になっています。これについてallowed vlanを書いてくれたチームも居ました。(特に加点減点はしてません)