CCIE R&S ver5 対策問題集からの抜粋 #5 [Layer3 Technologies - EIGRP]

海外の提携校がCCIE RS ver5 当時に提供していた、試験対策問題集からの抜粋の続編です。
弊社サービス・教材のご紹介、及び皆様の自習目的としております。
現在は、現行のEnterprise Infrastructureを提供しております。

※実際の試験では、問題文は全て英語です。

トポロジー例

[Layer 3 Technologies - EIGRP in AS45678]

次の要件に従って、シドニーオフィス(BGP AS45678)でIPv4のEIGRPを設定してください :

・EIGRP自律システム番号は45678
・各デバイスのインターフェイスLo0は、他のすべてのルータからは内部EIGRPプレフィックスとみなされる必要がある
・EIGRPが別のASに面しているインターフェイスで実行されないようにすること。この要件を達成するには、任意の方法でよい
・キー名"ccie"(引用符なし)を使用して、利用可能な最も強力なメソッドを用いて、全てのEIGRPネイバーシップを認証すること。この認証方法により、スプーフィングされた送信元IPアドレスによるパケットリプレイ攻撃から自動的に保護する必要があります
・AS45678の物理リンクのデフォルトの帯域幅または遅延は変更しないこと

【模範解答のコンフィグ設定例】

[R15/R16/R17]
router eigrp AS45678
address-family ipv4 autonomous-system 45678
af-interface Ethernet0/1
authentication mode hmac-sha-256 ccie
af-interface Ethernet0/2
authentication mode hmac-sha-256 ccie
topology base
network 123.0.0.0

[SW5]
interface range E0/0-1
switchport mode access
switchport access vlan 55

router eigrp AS45678
address-family ipv4 autonomous-system 45678
af-interface vlan 55
authentication mode hmac-sha-256 ccie
topology base
network 123.0.0.0

[SW6]
interface range E0/0-1
switchport mode access
switchport access vlan 66

router eigrp AS45678
address-family ipv4 autonomous-system 45678
af-interface vlan 66
authentication mode hmac-sha-256 ccie
topology base
network 123.0.0.0

【解説】

[R15/R16/R17]
#router eigrp AS45678
#address-family ipv4 autonomous-system 45678
<対応要件>
・EIGRP自律システム番号は45678

#af-interface Ethernet0/1
#authentication mode hmac-sha-256 ccie
#af-interface Ethernet0/2
#authentication mode hmac-sha-256 ccie
#topology base
#network 123.0.0.0
<対応要件>
・各デバイスのインターフェイスLo0は、他のすべてのルータからは内部EIGRPプレフィックスとみなされる必要がある
・EIGRPが別のASに面しているインターフェイスで実行されないようにすること。この要件を達成するには、任意の方法でよい
・キー名"ccie"(引用符なし)を使用して、利用可能な最も強力なメソッドを用いて、全てのEIGRPネイバーシップを認証すること。この認証方法により、スプーフィングされた送信元IPアドレスによるパケットリプレイ攻撃から自動的に保護する必要があります
<メモ>
"スプーフィングされた送信元IPアドレスによるパケットリプレイ攻撃から保護":
If HMAC-SHA-256 authentication is configured in an EIGRP network, EIGRP packets will be authenticated using HMAC-SHA-256 message authentication codes. The HMAC algorithm takes as input the data to be authenticated (that is,the EIGRP packet) and a shared secret key that is known to both the sender and the receiver; the algorithm gives a 256-bit hash output that is used for authentication.
If the hash value provided by the sender matches the hash value calculated by the receiver, the packet is accepted by the receiver; otherwise, the packet is discarded.
Typically, the shared secret key is configured to be identical between the sender and the receiver.To protect against packet replay attacks because of a spoofed source address, the shared secret key for a packet is defined as the concatenation of the user-configured shared secret (identical across all devices participating in the authenticated domain) with the IPv4 or IPv6 address (which is unique for each device) from which the packet is sent.
[EIGRP/SAF HMAC-SHA-256 Authentication]:
https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/iproute_eigrp/configuration/15-s/ire-15-s-book/ire-sha-256.pdf

※以下、同様の要件部分は省略

[show command verification example]

R15#show ip eigrp neighbors

【コンタクト】
メッセージの表題に「仮メンバー登録希望」や「ENCORテキスト希望」などコピペして頂くと助かります。
[代表メールアドレス]
onemind.it@gmail.com
[代表 Linkedin プロフィール]
https://www.linkedin.com/in/tsuchida-shunta-446aa9239/