【スキルの整理】PMPを取得して早2ヶ月

入社して6年も経てば、仕事の幅や責任、付き合う方々や後輩も増え、マネジメントを行うことも増えてきました。プロフェッショナルであるために何か資格を取ろうと思ったのがゴールデンウィークでした。プロフェッショナルとは何かも考えながら。

 

f:id:okatech:20160821162244j:image

 

 

そこでマネジメントのスキルを体系立てて整理するようPMPを取ろうと決めました。国際資格で共通プロトコルだしグローバルプロジェクトでも使えるし、名刺にも入れられるし。でも落ちると3カ月は受験できなくなり、一度落ちると勉強した事も忘却曲線に従い、遥か彼方へ。さよなら三角また来て失格!

と、なりかねないので、短期集中型で取り組みました。

 

  •  勉強量

5末月から勉強を開始して7月の上旬に受験し、無事1発で取得しました。大体勉強時間は100時間ちょいだった気がする。毎日2時間とか。

 

  • 勉強方法

隙間時間の有効活用。これに限ります。まず何よりPMBOKをひたすら読み、ITTO(Input, tools, method and output)をひたすら暗記。暗記しながら、実務ではどうだったかを頭の中で反芻しながら繰り返して長期記憶に持っていきます。通勤時間は勿論、隙間時間でもPMBOKを読み問題集を解き、実務でも要求事項マトリックスなどを用いて案件を進めたりしました。

 

  • PMPの辛いところ

とにかく範囲が広い。似たような表現や紛らわしいものが多い。ツールと技法は暗記しても、そこで知識エリアやプロセスがどう回るのか実務を通して理解しないと定着しない。

 

  • 辛いところに対する工夫

そこで私は得意分野を模試を通してまず整理。例えば自分の場合はスコープマネジメントやコスト、リソースマネジメントが得意みたいだったので、そこをひたすら深堀(スコアを稼ぐ軸を作る, 90%の正答率)

 

 逆に苦手だなと感じた分野は、リスク、調達、そして品質でした。上記の得意分野をサポートするくらいの力加減で勉強しました。

 

  • 工夫で得られる効果

得意分野と苦手分野を分類して取り組むと、かなりスコアの伸びを感じました。

得意分野では必ずスコアが取れる状態にする。そしてこの工夫は本番でも効果を得られます。

 

  • 本番直前

あとは、この表とPMBOKをひたすら読みこむ 

f:id:okatech:20160821155009g:image

 

PMBOKの隙間や細かい部分をペンで線を引きながら、問題をこなして、知識の隙間を埋めていく。

 

ちなみに計算問題は解き方さえ理解できれば点数取れるところです。

参考書は虎の巻なんかがオススメです。

極める方は色々と参考書を解くといいでしょう、でも大切なのはPMBOKへの理解とアメリカ人の考え方です笑

 

f:id:okatech:20160821155952j:image

 

模試を解いて、各分野が目標スコアに達したら、ウェブからスピーディに受験日を決めて会場に向かいます。忘却曲線との戦いです。

 

  • 会場

東京と大阪の2会場がありますが、早めに予約しましょう。枠は限られており、どんどん埋まっていきます。下手すると試験は1カ月後になり、忘れないために、さらに1カ月勉強する羽目になります。

 

  • 試験会場のセキュリテイチェック

会場では金属探知機を、使われるなど、かなり厳しいセキュリテイチェックをされるのでビビります。机にもカメラが設置されていたり。

 

  • 本番試験で大切な事

ITやプロフェッショナル資格系で散見される問題や設問のわかりづらい日本語は言うまでもなく。

 

模試や勉強と違い、どの知識エリアかどのプロセスか丁寧に問題は答えてくれません。例えば、勉強するときはスコープマネジメントの問題を解くと、最初からスコープマネジメントだと分かって解くので選択肢も理解しやすいけど、本番では教えてくれません(1問目から品質マネジメントからの出題があるという事)

 

なので、この設問や文章はどこのエリアを尋ねているのか、そしてそれは自身の得意分野かどうかをまず把握することです。

 

そこを強く意識すればバラバラの順序であっても、混乱もありません。混乱すると時間をロスします。

 

ここで事前にいかにどのエリアやプロセスが得意分野かどうかを整理しておくことが活かされます。

 

  • 合格した後は

ピンバッジや証書、名刺へのPMP記載を忘れずに。何よりPMPが大変なのは取得したあとの。つまりPDUを稼ぐことです。次は一気に40稼げるITIL INTERMEDIATEを受けてみよかな 。

 

 

【はちみつトースト】 CCNP TSHOOT v2.0 4日目

4日目に突入しました。朝テスト満点を逃す。

まずは朝テストの要点振り返り

 

  • EIGRPの隣接系のトラブル

ネットワーク全体でEIGRPを構築

しかし特定のルータ間のネットワークに対してR1から疎通が取れないというトラブル

#show ip routeでみると、確かに対象のNW Segmentがない。ルータ間のネイバーを見るとASが2つ。

#show runnningで、ネットワークコマンドを正しいAS配下に再配置して解決。

 <ワンポイト>

またEIGRPのルート集約は出力インターフェースで ip summary-addressでかけるが、GRE-IPSECなんかはTunnel同士でネイバーを作るため、Tunnel IFにかける。

OSPFの場合はABR/ASBRの場合でわかれるが、ABRなら、ABR上で元エリアをしながら下記のコマンド。

ABR(router-ospf#) area 1 range 10.1.0.0 255.255.0.0 

  • VPN系の出題傾向

ここは点を稼ぐところ。GRE over IPsecの利点

  • セキュアなトンネルでダイナミックルーティング
  • IP以外もサポートされる
  • 設定がシンプルになるcrypto map ACL

また出る問題で

ipv6IPsec Tunnelを張るさいにTunnel Interfaceのカプセル化方式が違う問題が出る十のこと (片方はTransport GRE/Transport ippv6)

 

またipv6のRIPをredistribute するときはinclude-connectedが必須となる

 

  • route-map配下に書かれるmatch tag 200

tagをつけることで、ループを防ぐ。


実際の試験では、

外部NWが内部NWへの再配送を失敗している問題が出る。

いつものように ipconfig->pingの流れになるが、R1にはPingが通らない。

R4のWAN IFに打ってもダメ。DSW1のルートテーブルを見ると外部を学習してきてないことがわかる→つまりR4に原因?→show ip protocolsでRoutingを調査し、寧バーチェック。show runで再配送回りを調べる。

 

明日はついに試験、まずは問題集の重要問題を解こう!

寝ずに、今日しかない!

f:id:okatech:20150423185019j:plain

 

 

 

 

【本質をとらえるのは難しい】 CCNP TSHOOT v2.0 3日目

今日も新宿駅のカフェではちみつトーストとコーヒーで目覚まし。

カフェに外国人だらけでビックリ。店員さんも一生懸命、英語を話そうとしてたけど、相手も中国人でyes / noくらいしか話せなくて。その場合は日本語のほうがいいんだろうな笑

 

朝テストのポイント振り返り。

  • OSPF隣接確立(ネイバー)

①シナリオ問題で問題被疑のあるルータ上でshow ip os neiで確立状況を確認

②はれていなければ、InterfaceとそのIF上でOSPFがnetworkコマンドで有効になっていることを確認してみる。あとはshow runで。ネイバー条件を再度おさらい。

 

OSPFの隣接条件

  • Areaが同じ
  • Hello/Deadが同じ
  • Stab flagが同じ ABR(エリアを跨るABRにもstubを書く)
  • 認証とクレデンシャル
  • サブネット

[ネイバーが張れていた場合]

ルートテーブルの問題に発展するので、下記に着目してみる

  • redistribute route map wiith ACL
  • distribute-list in/out with ACL (ルートフィルタ)

ここで下記のようにACLが書かれていたとする

 ip access-list 46 deny 6.0.0.0 0.255.255.255 ....(1)

 ip access-list 46 permit 6.6.0.0 0.0.255.255  ....(2)

(1)が(2)より先に評価されるため、6.0.0.0/8はすべて拒否される(広報されない)

 

もう1つ、大切なHSRP系の問題。

まずは、#show standby (brief)ですべて解決できる。

trackの問題が好みみたいで、trackがかけられていると設定値のPriorityが書きかわる。わかりづらいのは対象のInterfaceをしっかり見る。

HSRPグループが組めていない理由はACLでHSRPv2マルチキャスト224.0.0.102が拒否されているとかがある。

 とにかく trackとpriority値の比較をかける。

 

1つ良問。

Interface ACLとNATとBGP distribute-listが絡む問題。

被疑機器はすぐに特定できた。対象uplink/downのIF設定を見るとACLが見える。

そこを見るとbgpを張るためのpermit分があったり、icmpを通す分が見える。

NATも見えるので、クライアントからpingを打ってNATはできている模様。

しかしweb serverに到達できない。ルートテーブルを見るとルートは学習できている模様。

 

んー・・・なんだこれ!

すべてうまくいっているように見えるのに、End to EndのPingはだめ。

BGPコンフィグを見直すと…、distribute-listにこっそりdeny分で広報を止めてた。こんな簡単なことをスルーなんて。

 

 

仕事がらBGPのadvertising-routeを確認するなんて基本動作なのに本質を理解できていない証拠でした。ここをスマートに考えることができたら、研修も仕事もプライベートも体系立てて整理できるのに。

 

f:id:okatech:20150422134300j:plain

 

 

午後はeigrp系のトラブル演習

eigrpのネイバーが張れておらず、さらにegrp stub connected summaryがいる問題でした。

 

 

 

  • EIGRPのstub

Hub-spokeの構成で活躍。本社NWがHubになって、たくさん小さなBranchがぶら下がるようなイメージ。stubはどん詰まりの意味で、Branch側で設定する。すると Connectedと集約ルートのみを広報する。

 

  • EIGRPのネイバー系トラブル

AS番号、K値(帯域幅、遅延、帯域、信頼性など)、認証、

K値は デフォルトは帯域幅と遅延のみ。show ip protocolsでK値のbitを見る。

 

  •  BGP系の広報アドレストラブル

#show ip route 10.1.1.1 255.255.255.255のExactマッチをかけることを忘れずに、かつ広報アドレスを調べる

 

さてIPSECが出てきました。

データの暗号化、完全性(改ざんされていない)、送信元の認証

  1.  PHASE 1 :デバイス認証
    Crypt isakmp keyで相手のアドレスと鍵を生成
  2.  PHASE 2 :データ暗号
    暗号化する対象をACLで識別してIPsecっを適用
    Crypto mapを作って、ルータの出力にそれをあてる。

さてIPsecマルチキャストが使えないので、static routingしかできない。

そこでCiscoが開発→標準化した GRE を使う。

Tunnel Interfaceを作り Tunnel用のIPヘッダとGREヘッダを追加することでいろんなものをカプセル化できるもの。つまりGRE Tunnel上だとOSPFなんかもまわすことができる。GRE自身にセキュリティ機能はない。なのでIPsecと併用する。

 

これが世にいう「GRE over IPsec」の爆誕

 

GREでTunnel Interface同士で通信して、OSPFの224.0.0.5なんかのマルチキャスト情報をカプセル化してあげて、次にIPSecで暗号化をする。

そのときにトランスポートモードでIPsecを動かすとヘッダを削減できる。

(通常だとIPSECグローバルIPの2回ペイロードに貼っちゃうから)

 

  • 再配送系の問題

ospf を再配送させるときはシードメトリックが必須になります。

再配送の先にいるインターフェース状態を見て、メトリックを入れる。

Router (config-router)# redistribute ospf 1 metric 10000 100 255 1 1500

 

  • IPv6のおさらい

2001: DB8:C0A8: 340 (ここまでで64bit) :0000:0000:0000:0001

→(後半の64bitを省略式で) ::1 

上記の頭にくるゼロは省略ができる。128bitで前後64ずつ分けて、前の部分をPrefix、後半をIF ID(ホスト部)として使うのが一般的。

  • 先頭の数字が「2000 - 3FFF」がグローバルユニキャスト(まぁグローバルIP
  • 「FE80」から始まるのがリンクローカル(ルーティングしないのでnext hopと話すよう)

f:id:okatech:20150422170638j:plain

 CCNP問題としての出方は

Loopback同士の不通が問題となり、OSPFv3のルートテーブルや再配送、GRE Tunnelを調べていく。

 

  • #ipv6 unicast-routngで有効化

interface eth 0/0

 ipv6 address 2001:db8:1:1:1::1/64

 ipv6 address fe80::1 link-local

interface eth 0/1

 ipv6 address autoconfig 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

【毎回ここで手を抜く】 CCNP TSHOOT v2.0 2日目

朝テストから開始。満点だったけど、答え覚えちゃった節もある。

 

<DHCP系のトラブル>

  •  DHCP Relay agentの設定

DHCPサーバアドレスや、helperの設定漏れや対象IF(たまにVLAN上に)を確認

試験に出そうなやつは…、ip dhcp excluded-addressの問題。10.1.1.100 10.1.1.200

と記述すると.100から.200まで排他せよ、なのです。排他されすぎて、配布アドレスが枯渇していないかをさっとみてあげましょう。

 

余談:iip dhcp snooping の設定で、uplink側のIFにtrust書くなんてのもあった。

DHCPはよく一番近い(DHCP Discoveryに答え、Offerを早く出せたやつ)ものが選択されるので、スヌーピングされやすいんですね。

 

 

 

<VLAN系のトラブル>

  • VTP Mode SeverによるVLAN未作成

1点ひっかったのはVTP ModeがSeverになっていて、

Vlanが自動配布になり、対象Vlanがshow vlan briefでアサインされていなかった。

 

<Port Security系のトラブル>

show poort-security int x/xでLast source addressで最後に学習したmacを確認

errdisable portとなっている場合はsh/no shで復旧が必要

 

<BGP系のトラブル>

こんなの現場じゃありえないけど、BGP neighborのアドレスとAS番号を確認

 

<HSRP系のトラブル>

HSRPのGroup IDをshow standby briefで確認。vipはルータ間に仮想ルータができるイメージを持つと duplicate IP addressなんかのエラーもイメージが簡単。

 

<OSPF系のトラブル>

Link StateのOSPFはインターフェース状態を確認しながら隣接関係を作る。

Interface上で show ip ospf int e X/Xを指定すると、Network Typeを確認できる。

Network Typeが違うとHello 間隔も違うため OspfのPeerがはれない。

show ip os neiでState欄を確認してFULL/DR or 2WayとなっていればOK。

 

忘れかけちゃうOSPFの隣接条件

  • Areaが同じ
  • Hello/Deadが同じ
  • Stab flagが同じ ABR(エリアを跨るABRにもstubを書く)
  • 認証とクレデンシャル
  • サブネット

 実際の試験でのルータ上ではFlame-relayが設定されていて、コンフィグが複雑にみえてしまう。Serial Interface上でSub-intを使用する場合はsubintのあとに Point-to-pointが設定されているため、これをOSPFも認識する。つまりOSPFもP2PだがOPSF上でip ospf network xxxと書くと変更ができてしまうため、hello/dead不整合によりpeerが張れないトラブルになる。

 余談:OSPF の Peer StateはDown/INIT/Exstart/Exchangeがある。

Downネイバーなしの検証を実施する。ネイバー間の接続を確認したり、マルチキャストIPがACLで許可されているかを確認したりする。Exstart/Exchangeこれは僕もトラブルで巻き込まれたがIPSecなんかのVPN上でOSPFを使ったりするとぶちあたる。mtu ignoreなんかで解決したり、sweep pingで調査する。その時はIOS Bugといいうなんともまぁな、落ちもあった。

 

<Ether Channel系のトラブル>

SW間の冗長やTraffic増加による増強でチャネルを組むというケースは多々ある。

なんといっても、まずはチャネルを組むInterfaceの設定内容が一致していることを確かめる。まずは確認コマンドを発行。

# show etherchannel summaryで下記の状態になっているか確認。

Po1が(SU)で、組んだPortsがそれぞれ(P)になっていること。(D)とか(s)が見えたらダウト。

 Etherchannelの設定は、rangeコマンドを活用しながら、channel-group X mode on

で動作させる。このとき Interrface port-channel XのXが一致する。

 

ざわ....ざわ....

f:id:okatech:20150421161052j:plain

 「LACP(らっくぴぃ)とPAgP(ぱぐぴー)のこと忘れちゃいけねぇよ。」

EtherChannelのめんどくさいところが対抗のSW間でネゴるためのIEEE 802.ads標準規格とCisco標準がある。active(desiable)は、積極的にネゴる性質なので、相手がPassive(auto)であれば交渉OK。Act/Actでも問題なし。statiicで設定する際は on でOKだけど、対抗同士でonにしないと、だめなのでCCNPをとるときは大人の事情によりPAgP(ぱぐぴー)で様子を見るといいね。つまり desirableしとけばOK!

 

今日のまとめ

DHCP、BGP設定とネイバー、ポートセキュリティ、OSPFのネイバー、EtherChannel。

【一つ上の男】 CCNP TSHOOT v2.0 初日

4月20日。曇天。ネットワーク系のスキル開発に終止符をうつため、田舎者に西の迷宮"新宿駅"を抜け研修センターにやってきました。

 
CCNP TSHOOT V2.0の内容は以下になる模様。
  • TSHOOT 13問 (R&Sと違い conf t ができず選択式になっている)
  • シナリオ問題 2問 
  • 選択問題 6問
L2/3の問題に限られる。物理トラブルは発生しない。全てconfigが間違えているという前提になる。
 
Today's show Command for TSHOOT
伝家の宝刀 show runniingはもとい…、
  • show ip int bri
  • show ip int trunk
  • show ip nat statics
  • show ip nat trranslatioins
  • show ip route
1) まずクライアント系のトラブルはアドレスがDHCPでもらえてるかを確認して、もらえていれば Pingをdefault-GW, Other NWに対して発行して範囲を狭める。
2) routing系のトラブルであればshow ip routeで確認
3) そのあとにRouter上のInterfaceに対するNAT or ACLに被疑をかける
4) NATはinsideとoutsideが逆になってないかなどを気を付ける (#sh ip nat trans)
5) ACLACLがかかる場所(NAT内やIF上)をチェックし、ID間違いなどを確認
 
<Trunk 系のトラブル>
Trunkのカプセルタイプの不一致
Trunk modeの不一致
Native VLANの不一致
TrunkからのVLAN除外
 
<NAT系のトラブル>
inside/outside間違い
NAT Statementより参照されるACLが違う
 
#実際の試験
まずクライアントのアドレス取得を確認しDefault GWにPingを打つ
→NGなら....下記に分類
(Pattern A) VLAN Trunk系のトラブル->#show vlan, int trunk, int X switchport
(Pattern B) L2SW Port Securityのトラブル -> #show security-port
Bの場合は設定削除すること。そして変更後はshut/no shutを忘れずに!!
 
明日までに50問、問題集を解きます…。