#8 CCNP合格者が解説！ 【CCNP ENARSI】対策問題集

お世話になっております。InfraNaviです。

この記事では、CCNP ENARSIの本番試験の出題に近い問題を出題・解説しております。

CCNP ENARSIの合格を目指す方は是非ご覧ください。

▼動画で見たい方は以下をご視聴下さいませ

Question36

設問

Q36.あるネットワーク管理者が、ルータ R1 への SSH アクセスを制限するためのアクセス制御リスト（ACL）とポリシーベースの制御（CoPP） を設定しました。しかし、現在の設定では SSH の制限が十分に適用されていません。この問題を解決するために 2つの適切な対策 を選択してください。

•A. access-list 210 に deny tcp any host R1 eq 22 を追加する

•B. access-list 110 を permit tcp 192.168.1.0 0.0.0.255 any eq 22 に変更する

•C. line vty セクションの transport input を transport input ssh に変更する

•D. class-map RESTRICTED-ACCESS で match access-group 110 に変更する

正解

✅ A. access-list 210 に deny tcp any host R1 eq 22 を追加する

✅ C. line vty セクションの transport input を transport input ssh に変更する

正解の解説

•現在の ACL 設定では、SSH アクセス制限が不完全であり、特定のユーザーが R1 にアクセスできてしまう可能性がある。

•明確に deny tcp any host R1 eq 22 を ACL に追加することで、SSH の試行がブロックされる。

•現在の設定では、Telnet も許可されており、SSH の制限が完全ではない。

•transport input ssh にすることで、Telnet を無効にし、SSH のみを厳格に制御できる。

その他の選択肢の解説

B. access-list 110 を permit tcp 192.168.1.0 0.0.0.255 any eq 22 に変更する ❌（誤り）
ACL 110 は許可リストであり、特定のサブネットのみを許可するように変更すると、一部の正当なユーザーもブロックされる可能性がある。SSH アクセス制限の適用方法としては適切ではない。

D. class-map RESTRICTED-ACCESS で match access-group 110 に変更する ❌（誤り）
CoPP（Control Plane Policing）は、管理プレーンのトラフィックをフィルタリングするために使用されるが、アクセス制御リスト（ACL）による明示的な制限と比べると効果が限定的である。ACL による直接的なブロックの方が確実な方法であるため、この選択肢は適切ではない。

Question37

設問

Q37. MPLS ネットワークにおいて、ラベルの割り当てと管理を行うプロトコル が使用されています。このプロトコルの主な機能として正しいものを 2つ 選んでください。

•A. MPLS ネットワーク内でラベル情報を交換し、パケット転送を効率化する

•B. MPLS のトラフィックを暗号化し、セキュリティを向上させる

•C. ルータ間でラベル付きパスを確立し、データ転送の最適化を行う

•D. ルータの IP アドレスを自動的に割り当てる

正解

✅ A. MPLS ネットワーク内でラベル情報を交換し、パケット転送を効率化する
✅ C. ルータ間でラベル付きパスを確立し、データ転送の最適化を行う

正解の解説

•LDP（Label Distribution Protocol）は、MPLS ネットワーク内でラベル情報を交換するためのプロトコル。

•ラベルを動的に生成・割り当てることで、MPLS ネットワーク全体のパケット転送を最適化する。

•LDP は、MPLS のラベルスイッチングパス（LSP）を確立し、データが最適な経路を通過できるようにする。

•LSP を使用すると、ルータは IP ルーティングテーブルを参照せずに、ラベルに基づいてパケットを転送できる。

その他の選択肢の解説

B. MPLS のトラフィックを暗号化し、セキュリティを向上させる ❌（誤り）
LDP はラベルの交換を行うプロトコルであり、セキュリティ機能（暗号化など）は提供しない。
MPLS トラフィックのセキュリティ強化には、IPsec や MACsec などの別のプロトコルが必要。

D. ルータの IP アドレスを自動的に割り当てる ❌（誤り）
LDP はルータの IP アドレス管理には関与しない。
IP アドレスの自動割り当てには、DHCP などの別のプロトコルが使用される。

Question38

設問

Q38.ある企業のネットワークで、OSPF の隣接関係が確立されない問題 が発生しています。管理者は、2 台のルータ間の OSPF 隣接関係が “ExStart” 状態で停止している ことを確認しました。この問題を解決するために、どの対応を行うべきでしょうか？

•A. OSPF インターフェースの MTU 設定を一致させる

•B. OSPF ルータ ID を両ルータで統一する

•C. OSPF の Hello タイマーと Dead タイマーを調整する

•D. ルーティングプロトコルの認証を再設定する

正解

✅ A. OSPF インターフェースの MTU 設定を一致させる

正解の解説

•”ExStart” 状態で OSPF の隣接関係が進まない主な原因は、MTU ミスマッチによるデータベース交換の失敗。

•両方のルータで show ip interface <interface> コマンドを実行し、MTU の値を確認する。

•MTU が異なる場合は、インターフェースの MTU を統一することで、OSPF 隣接関係が正常に確立される。

その他の選択肢の解説

B. OSPF ルータ ID を両ルータで統一する ❌（誤り）
OSPF ルータ ID は各ルータで一意である必要があり、統一すると逆に問題が発生する。
ルータ ID の不一致は OSPF の隣接関係確立には影響しないため、不適切。

C. OSPF の Hello タイマーと Dead タイマーを調整する ❌（誤り）
Hello タイマーと Dead タイマーの不一致は “ExStart” ではなく “Init” や “2-Way” での停滞を引き起こす。この問題の解決策にはならない。

D. ルーティングプロトコルの認証を再設定する ❌（誤り）
認証の問題がある場合、OSPF のステータスは “Init” で停止する可能性があるが、”ExStart” で止まる原因にはならない。
OSPF 認証の設定ミスではなく、MTU の不一致が原因の可能性が高いため、不適切。

Question39

設問

Q39.ネットワークスイッチにおいて、不正なデバイスの通信を防ぐために、信頼できるデバイスのリストと照合し、登録されていないアドレスからのパケットを破棄する機能 があります。この機能はどれでしょうか？

•A. ポートセキュリティ（Port Security）

•B. IP ソースガード（IP Source Guard）

•C. DHCP スヌーピング（DHCP Snooping）

•D. ダイナミック ARP インスペクション（Dynamic ARP Inspection）

正解

✅ B. IP ソースガード（IP Source Guard）

正解の解説

•IP ソースガードは、スイッチ上で DHCP スヌーピングテーブル（バインディングテーブル）と照合し、未登録の IP アドレスからのパケットを破棄する機能。

•これにより、なりすまし攻撃（IP スプーフィング）を防ぐことができる。

•次の設定により、登録されていない IP アドレスからのトラフィックがブロックされる。

その他の選択肢の解説

A. ポートセキュリティ（Port Security） ❌（誤り）
ポートセキュリティは、特定の MAC アドレスのみを許可する機能であり、IP アドレスのスプーフィング対策ではない。登録されていない IP ではなく、許可されていない MAC アドレスを持つデバイスをブロックする。

C. DHCP スヌーピング（DHCP Snooping） ❌（誤り）
DHCP スヌーピングは、DHCP メッセージを監視し、正当な DHCP サーバーとの通信のみを許可する機能。スプーフィングを防ぐが、DHCP スヌーピング自体は直接 IP アドレスを検証しない。

D. ダイナミック ARP インスペクション（Dynamic ARP Inspection） ❌（誤り）
DAI は、ARP パケットの整合性をチェックし、不正な ARP リクエストやレスポンスをブロックする機能。IP アドレスのなりすまし攻撃には影響するが、未登録の IP アドレスからのパケットを直接ブロックするわけではない。

Question40

設問

Q40.ネットワークエンジニアが、ログメッセージの量を減らすためにフィルタリング設定 を行いました。しかし、必要なメッセージもフィルタされる という問題が発生しています。この問題を解決するためには、どの対応を行うべきでしょうか？

•A. ログの重要度を調整するために logging trap notifications を使用する

•B. logging buffered 10000 informational を設定し、ログの保存容量を増やす

•C. logging console debugging を適用し、より詳細なメッセージを出力する

•D. 特定のログメッセージをフィルタリングするために logging filter を設定する

正解

✅ A. ログの重要度を調整するために logging trap notifications を使用する

正解の解説

•Cisco IOS では、ログの重要度（severity level）を設定することで、必要なメッセージのみを記録することが可能 です。

•logging trap notifications を使用すると、重要な通知レベル（severity level 5 以上）のメッセージのみを外部ログサーバーに送信できます。

•これにより、不要なメッセージの量を抑えつつ、必要な情報は確実に取得可能。

その他の選択肢の解説

B. logging buffered 10000 informational を設定し、ログの保存容量を増やす ❌（誤り）
logging buffered は ルータ内部のログバッファのサイズを増やす 設定であり、フィルタリングとは関係がない。単に保存できるメッセージが増えるだけであり、不必要なメッセージの削減にはならない。

C. logging console debugging を適用し、より詳細なメッセージを出力する ❌（誤り）
logging console debugging は すべての詳細メッセージ（レベル 7）を出力するため、むしろログの量が増加する。必要なメッセージだけを取得するのではなく、不要なメッセージまで出力されるため、問題の解決にならない。

D. logging filter を使用して特定のログメッセージをフィルタリングする ❌（誤り）
logging filter は 標準的な Cisco IOS では使用できないコマンド であり、実際の機器では適用できない可能性が高い。Cisco IOS で特定のメッセージをフィルタする場合は、適切なログレベル設定を行う方が推奨される。

教育訓練給付金で受講料が最大80%OFF！最大264,000円割引でお得に学べる！

InfraNaviでは、CCNP Enterprise試験合格に向けたe-learning研修をご用意しております。

ENCOR、ENARSIの動画講座、より本番試験に近い問題集、シミュレーション問題用のシミュレータのご用意や仮想環境の構築方法もお伝えしております。

更に、厚生労働省から専門実践教育訓練給付金対象講座として認定されている講座ですので、受講料が最大80%OFFになる可能性がございます。

この制度は日本では該当者の中の2～3%しか使用していない制度で、皆さんが支払われている雇用保険料から受講料が補填されている形となります。

利用しないと損な制度なので、是非ご利用ください。

もしご興味がありましたら、以下LINE、もしくはメールアドレスよりお問い合わせくださいませ！

お問い合わせ特典として、e-learningのサンプルアカウントをプレゼントさせて頂きます！

お問い合わせメールアドレス：customer@theit.co.jp

本日もお読み頂き、ありがとうございました！