Zenn
😸

JANOG50 NETCON 問題解説 (Level3-2)

2022/07/17に公開
network
Cisco
#
janog
tech

問題解説概要
この問題は"FW(asav)" のnat 設定漏れによって"SODA(vpcs)" と "ORANGE(vpcs)" から "PECHE(linux)" への通信ができない問題でした。

問題文と初期状態Configは以下になります。

問題文
ネットワークの構築業務を担当している貴方は、システム構築チームから
「新設したサーバに対して疎通が取れない。以前からネットワーク構築を依頼しており、今日から使用する予定だった。」
と連絡を受けました。
当時構築依頼を受けていた同僚は本日不在につき、トポロジー図の格納場所も分からないため、独力で解決するしかないようです。
幸い関連するNW機器のログイン情報は手に入ったので、システム構築チームの要件を満たし、どこに問題があったのかを報告してください。
なお、既存設備の通信は利用中のため、通信断が起こらないよう設定変更作業を遂行してください。

・補足事項
ホスト名「FW」機器にて一定間隔で"Warning"が表示されますが、本問題にて発生させているトラブルに関連するものではございませんので、ご放念ください。

・ゴール
システム構築チームの以下要件を満たすこと
「192.168.210.100」「192.168.220.100」から「192.168.30.1」へのPing疎通が成功すること。

・解答事項
1.設定を修正した機器名と投入したconfig
2.「192.168.210.100」「192.168.220.100」から「192.168.30.1」へのPing疎通ができているログ
3.通信ができなかった理由

■SODA(vpcs)

ip 192.168.210.100 255.255.255.0 192.168.210.1
set pcname SODA

■ORANGE(vpcs)

ip 192.168.220.100 255.255.255.0 192.168.220.1
set pcname ORANGE

■SW_MIXER(viosl2)

hostname SW_MIXER
clock timezone JST 9
interface Vlan 210
description ## For SODA ##
no shutdown
interface Vlan 220
description ## For ORANGE ##
no shutdown

interface GigabitEthernet 1/1
description ## To SODA ##
switchport mode access
switchport access vlan 210

interface GigabitEthernet 1/2
description ## To ORANG ##
switchport mode access
switchport access vlan 220

interface GigabitEthernet 0/0
description ## To RT_MIXER Gi0/0 ##
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 210,220

■RT_MIXER(vios)

hostname RT_MIXER
clock timezone JST 9

interface GigabitEthernet 0/0
description ## To SW_MIXER Gi0/0 ##
no shutdown
interface GigabitEthernet 0/0.210
description ## For SODA ##
encapsulation dot1Q 210
ip address 192.168.210.1 255.255.255.0
interface GigabitEthernet 0/0.220
description ## For ORANGE ##
encapsulation dot1Q 220
ip address 192.168.220.1 255.255.255.0
interface GigabitEthernet 0/1
description ## To FW Gi0/1 ##
no shutdown
ip address 172.16.0.2 255.255.0.0

ip route 192.168.27.0 255.255.255.0 GigabitEthernet 0/1
ip route 192.168.28.0 255.255.255.0 GigabitEthernet 0/1
ip route 192.168.29.0 255.255.255.0 GigabitEthernet 0/1
ip route 192.168.30.0 255.255.255.0 GigabitEthernet 0/1

■FW(asav)

hostname FW
clock Timezone JST 9

interface GigabitEthernet 0/1
description ## To RT_MIXER Gi0/1 ##
nameif AREA_MIXER
no shutdown
security-level 50
ip address 172.16.0.1 255.255.0.0


interface GigabitEthernet 0/0
description ## To RT_BASE Gi0/0/0/0 ##
nameif AREA_BASE
no shutdown
security-level 50
ip address 10.0.0.1 255.0.0.0

same-security-traffic permit inter-interface
same-security-traffic permit intra-interface

access-list AREA_MIXER_ACL extended permit ip any any
access-list AREA_BASE_ACL extended permit ip any any

access-group AREA_MIXER_ACL in interface AREA_MIXER
access-group AREA_BASE_ACL in interface AREA_BASE

object network SODA
host 192.168.210.100
object network ORANGE
host 192.168.220.100
object network CASSIS
host 172.27.0.254
object network MALIBU
host 172.28.0.254
object network CAMPARI
host 172.29.0.254
object network PECHE
host 172.30.0.254
object network SODA_BASE
host 172.21.0.254
object network ORANGE_BASE
host 172.22.0.254
object network CASSIS_MIXER
host 192.168.27.1
object network MALIBU_MIXER
host 192.168.28.1
object network CAMPARI_MIXER
host 192.168.29.1
object network PECHE_MIXER
host 192.168.30.1

nat (AREA_MIXER,AREA_BASE) source static SODA SODA_BASE destination static CASSIS_MIXER CASSIS description CASSIS-SODA
nat (AREA_MIXER,AREA_BASE) source static ORANGE ORANGE_BASE destination static CASSIS_MIXER CASSIS description CASSIS-ORANGE
nat (AREA_MIXER,AREA_BASE) source static SODA SODA_BASE destination static MALIBU_MIXER MALIBU description MALIBU-SODA
nat (AREA_MIXER,AREA_BASE) source static ORANGE ORANGE_BASE destination static MALIBU_MIXER MALIBU description MALIBU-ORANGE
nat (AREA_MIXER,AREA_BASE) source static SODA SODA_BASE destination static CAMPARI_MIXER CAMPARI description CAMPARI-SODA
nat (AREA_MIXER,AREA_BASE) source static ORANGE ORANGE_BASE destination static CAMPARI_MIXER CAMPARI description CAMPARI-ORANGE

route AREA_MIXER 192.168.210.0 255.255.255.0 172.16.0.2
route AREA_MIXER 192.168.220.0 255.255.255.0 172.16.0.2

route AREA_BASE 172.27.0.0 255.255.0.0 10.0.0.2
route AREA_BASE 172.28.0.0 255.255.0.0 10.0.0.2
route AREA_BASE 172.29.0.0 255.255.0.0 10.0.0.2
route AREA_BASE 172.30.0.0 255.255.0.0 10.0.0.2

■RT_BASE(xrv)

hostname RT_BASE
clock timezone JST 9

interface GigabitEthernet 0/0/0/0
description ## To FW Gi0/0 ##
no shutdown
ipv4 address 10.0.0.2/8
interface GigabitEthernet 0/0/0/1
description ## To SW_BASE Gi1/0 ##
no shutdown
interface GigabitEthernet 0/0/0/1.27
description ## For CASSIS ##
encapsulation dot1q 27
ip address 172.27.0.1/16
interface GigabitEthernet 0/0/0/1.28
description ## For MALIBU ##
encapsulation dot1q 28
ip address 172.28.0.1/16
interface GigabitEthernet 0/0/0/1.29
description ## For CAMPARI ##
encapsulation dot1q 29
ip address 172.29.0.1/16
interface GigabitEthernet 0/0/0/1.30
description ## For PECHE ##
encapsulation dot1q 30
ip address 172.30.0.1/16

router static address-family ipv4 unicast 172.21.0.0/16 GigabitEthernet 0/0/0/0
router static address-family ipv4 unicast 172.22.0.0/16 GigabitEthernet 0/0/0/0

■SW_BASE(viosl2)

hostname SW_BASE
clock timezone JST 9

interface Vlan 27
description ## For CASSIS ##
no shutdown
interface Vlan 28
description ## For MALIBU ##
no shutdown
interface Vlan 29
description ## For CAMPARI ##
no shutdown
interface Vlan 30
description ## For PECHE ##
no shutdown

interface GigabitEthernet 0/0
description ## To CASSIS ##
switchport mode access
switchport access vlan 27
interface GigabitEthernet 0/1
description ## To MALIBU ##
switchport mode access
switchport access vlan 28
interface GigabitEthernet 0/2
description ## To CAMPARI ##
switchport mode access
switchport access vlan 29
interface GigabitEthernet 0/3
description ## To PECHE ##
switchport mode access
switchport access vlan 30

interface GigabitEthernet 1/0
description ## To RT_BASE Gi0/0/0/1 ##
switchport trunk encapsulation dot1q
switchport mode trunk
switchport trunk allowed vlan 27,28,29,30

■CASSIS(linux)

hostnamectl hostname CASSIS
sudo /etc/netplan/00-installer-config.yaml
*****
(/etc/netplan/00-installer-config.yaml)
# This is the network config written by 'subiquity'
network:
ethernets:
ens3:
addresses: [172.27.0.254/16]
gateway4: 172.27.0.1
dhcp4: true
version: 2
*****

■MALIBU(linux)

hostnamectl hostname MALIBU
*****
(/etc/netplan/00-installer-config.yaml)
# This is the network config written by 'subiquity'
network:
ethernets:
ens3:
addresses: [172.28.0.254/16]
gateway4: 172.28.0.1
dhcp4: true
version: 2
*****

■CAMPARI(linux)

hostnamectl hostname CAMPARI
*****
(/etc/netplan/00-installer-config.yaml)
# This is the network config written by 'subiquity'
network:
ethernets:
ens3:
addresses: [172.29.0.254/16]
gateway4: 172.29.0.1
dhcp4: true
version: 2
*****

■PECHE(linux)

hostnamectl hostname PECHE
*****
(/etc/netplan/00-installer-config.yaml)
# This is the network config written by 'subiquity'
network:
ethernets:
ens3:
addresses: [172.30.0.254/16]
gateway4: 172.30.0.1
dhcp4: true
version: 2
*****

システム構築チームの通信要件の送信先アドレスは、"FW" でアドレス変換された後のアドレスが記載されていたため、全貌を理解するにはconfigを隅々まで確認する必要があります。

構成はdescription を紐解くことで下図の状態であることがわかるようになっていました。

問題解答例
採点基準は、「解答事項」の

"2."を満たせていれば50%

"1."と"3."を満たせていれば50%

でした。

1.設定を修正した機器名と投入したconfig
ホスト名:「FW」

投入したconfig:

nat (AREA_MIXER,AREA_BASE) source static SODA SODA_BASE destination static PECHE_MIXER PECHE description PEACH-FIZZ
nat (AREA_MIXER,AREA_BASE) source static ORANGE ORANGE_BASE destination static PECHE_MIXER PECHE description FUZZY-NAVEL

※description は問題作成者の好みなので、あってもなくても何書いてても良い

2.「192.168.210.100」「192.168.220.100」から「192.168.30.1」へのPing疎通ができているログ
「SODA」「ORANGE」から「192.168.30.1」 へのping が成功しているログを提示できればOK

3.通信ができなかった理由
問題解説概要に記述されたことをかいつまんで説明できればOK

最後に
今回の被疑箇所であった"FW" のconfig は、普段Cisco ASA に触れることない方からすれば不慣れなconfig 体系だったかと思います。

ただ、既存のconfig を確認し整理することで解決の糸口をつかむことが出来たのではないかと思います。

余談ですが、nat の組み合わせがカクテルになっていることを一言添えていただいた解答者が散見され、作問者として大変うれしく思います。遊び心に気付いていただきありがとうございました。

Discussion