難しかったと皆（？）が言ってる
午後１の問３の模範解答を
皆で寄せ合って作成出来たらと思います。

まずは、私の答案になります。

■設問１
DHCPリレーエージェント
L3SW0, L3SW1, L3SW2

■設問２
（１）未登録PCかそうでないかが、IPアドレスから判断出来ない
（２）送信元IPアドレスを書き換えない  →※全く分からず適当なこと書きました。笑
（３）
a  エ
b  ア
c  エ
d  オ

■設問３
（１）
10台
（２）
LANポート1  L2SW11
LANポート2  L2SW21
LANポート3  L3SW1
LANポート4  空き

■設問４
（１）
・メンテナンスサーバ
・PC管理サーバ
（２）
・L3SW0
  →対処用セグメントから業務サーバへの通信を許可しない
・DHCPサーバ
  →対処用セグメントのPCにIPアドレスを割り当てる  ※→なお、設問４（１）の解答と矛盾します…


こんな感じです。
答案ブラッシュアップのため
皆様からの、辛辣なツッコミをお待ちしています。笑

■設問１
DHCPリレーエージェント
L3SW0, L3SW1, L3SW2

■設問２
（１）忘れましたw
（２）ポートの認証により遮断しない設定
（３）
a  エ
b  ア
c  エ
d  オ

■設問３
（１）
2台
（２）
LANポート1  L3SW1
LANポート2  L3SW1
LANポート3  空
LANポート4  空 <やばい、「き」忘れた

■設問４
（１）
・DHCPサーバ
・PC管理サーバ
（２）
・L3SW0
  →不正PCセグメントへの静的ルーティング設定
・DHCPサーバ
  →不正PCセグメントにIPを割り振る

正直自信ないです…ああ神様ああ神様

回答晒します。
公式回答出た時にここに残ってると便利なんですよね

問3
設問1
・ DHCPリレーエージェント
・  L3SW0 L3SW1  L3SW2

設問2
(1)固定IPアドレスのPCが通信できてしまう
(2)排除対象PCあてのパケットを許可しない
(3)
a エ
b ア
c エ
d オ

設問3
(1) 1
(2) 
LANポート1 L3SW0
LANポート2 L3SW1
LANポート3 L3SW2
LANポート4 空き

設問4
(1) メンテナンスサーバ、PC管理サーバ
(2)
L3SW0
L3SW1、L3SW2と繋ぐポートをタグVLANにする

DHCPサーバ
対処用セグメントに繋がれたPCにIPアドレスを付与する

皆さんありがとうございます！

とりあえず所感としては
設問２の（３）は皆答案同じなので
恐らく皆、大丈夫じゃないかと思います。

設問３の（１）（２）について答案が分かれているので
以下、私の所感になります。

まず前提として
１．LANポート数は4つ
２．LANポートの接続先は全て異なるセグメント
  →L2SW11とL2SW12を同じ通信制限装置に接続したりは無理
３．ARPパケットはブロードキャストドメイン内でしか動けない
    →通信制限装置は、L2スイッチに必ず繋ぐ
４．PCとサーバ室が通信する間に通信制限装置が入る必要がある
５．サーバ室での不正PCや未登録PCの接続は考慮しない

ここで、３と４から、通信制限装置は
L2スイッチとL3スイッチの間に繋ぐことが読み取れます。

また、加えて５から、L3SW0とL2SW01～L2SW02の間には
通信制限装置をつけなくてもいいことがわかります。

以上を踏まえ、上記のような答案となりました。

こんばんは

問3
設問1
・DHCPリレー機能
・L3SW1、L3SW2

設問2
(1)手動でIPアドレスを割当てたPCをL2SWに接続すると通信できてしまう
(2)DHCPスヌーピングの対象外ポートとする
(3) a:エ、b:ア、c:エ、d:オ

設問3
(1)2
(2)LAN1 L3SW1
   LAN2 L3SW1
   LAN3 空き
   LAN4 空き

設問4
(1) メンテナンスサーバ、PC管理サーバ
(2) 
・L3SW0  →  対処セグメントをあて先とするスタティックルート追加
・DHCPサーバ  →  対処セグメントに接続するPCへ払い出すIPアドレスプールの追加

にしました。

メモれなかったので記憶です。

設問1
DHCPセッションリレー（”リレー”しか思い出せず…）
L3SW0、L3SW1、L3SW2

設問2
(1) 手動でIPアドレスを設定したPCは全て通信可能となってしまう
(2) プロミスキャスモードに設定する（適当）
(3) a:エ、b:ア、c:エ、d:オ

設問3
(1) 2
(2)
LAN1 L3SW1
LAN2 L3SW1
LAN3 空き
LAN4 空き

設問4
(1) DHCPサーバ、PC管理サーバ
(2) 
L3SW0 ： 対処用セグメント向けのルーティング設定を追加
DHCPサーバ ： 対処セグメント向けにIPアドレスを払い出す設定

問3は出題の意図をつかめないものが多く難しかったです。

設問1
DHCPフォワーディング  -- うーんこの
L3SW0, L3SW1, L3SW2

設問2
(1)
正常PC以外のPCが通信できてしまう

(2)
忘れました

(3)
a: エ
b: ア
c: エ
d: オ

設問3
(1)
2台

(2)
LANポート1：L3SW0
LANポート2：L3SW1
LANポート3：L3SW2
LANポート4：空き

設問4
(1)
L3SW0, PC管理サーバ

(2)
L3SW0
対処用セグメントからDHCPサーバへの通信を許可する。

PC管理サーバ
対処用セグメントに属する未登録PCの情報を登録する。

設問1
DHCPトラバーサル  （午前Ⅱに出てたのに・・・）
L3SW0, L3SW1, L3SW2

設問2
(1)
有効なIPアドレスを固定で設定したPCが接続できてしまう

(2)
ポートベースVLANのIDを付加する

(3)
a: エ
b: ア
c: エ
d: オ

設問3
(1)
1台

(2)
LANポート1：L3SW0
LANポート2：L3SW1
LANポート3：L3SW2
LANポート4：空き

設問4
(1)
メンテナンスサーバ, PC管理サーバ

(2)
L3SW0
対処用セグメントからの通信はL2SW02側へのみ許可する。

PC管理サーバ
不正なPCの通信を許可する

選択した問1の出来が悪そうなので，こっちでできるだけ稼がないと厳しい．．．

設問3についてですが
(1)2
(2)LAN1 L3SW1
   LAN2 L3SW1
   LAN3 空き
   LAN4 空き

の答案の方、多いですね。
L3スイッチにだけつないで、
L3スイッチ→通信制限装置→L3スイッチ
…ってルーティングさせるってことですよね？？

ARPはL3スイッチ超えられないかと思ってましたが
L3スイッチに同一のIDのVLANポートを設定すれば
いけそうですよね…。

ただ、通信制限装置自体が
そういう入出力出来るのか
わからないため、確認したいと思います。

すいません。
ルーティングなんてする必要なくて
単に、ARPの送受信さえできればいいんですよね…苦笑

となると、
設問3
(1)2
(2)LAN1 L3SW1
   LAN2 L3SW1
   LAN3 空き
   LAN4 空き

が正解だと思えますね…。
設問３、これで私は０点ですよ…泣

この投稿は投稿者により削除されました。(2019.10.21 17:11)

設問1
DHCPリレーエージェント
L3SW1, L3SW2
  →PCからDHCPサーバへの通信はL3SW1,2でユニキャストに変換され、
    DHCPサーバからPCへの通信は元々ユニキャストだからL3SW0には設定不要?

設問2
(1)
手動でIPアドレスを設定した排除対象PCも通信できてしまう問題

(2)
DHCPサーバからのDHCPパケットを通過させる
  → DHCPサーバからのトラフィックを受信するポートを"trusted"に設定しないといけない

(3)
a: エ
b: ア
c: エ
d: オ

設問3
(1)
2台

(2)
LANポート1：L3SW1
LANポート2：L3SW1
LANポート3：空き
LANポート4：空き
→・通信制限装置を接続するスイッチは既設のL3スイッチ
  ・タグVLANは利用しない
  ・フロア間の配線は追加しない
  本文に書いてある↑の条件に合致させるとなると、フロアごとにスイッチを配置、
  L3SW1に2本接続して、ポートベースVLANでそれぞれのVLANに所属させる構成になると考えた

設問4
(1)
メンテナンスサーバ, PC管理サーバ

(2)
L3SW0
対処用セグメントへの静的経路を追加設定する
  →DHCPの戻りのパケットの宛先IPアドレスは対処用セグメントのIPになる

DHCPサーバ
対処用セグメントのPCにIPアドレスを割り当てる


相当細かいところ突っ込んで聞いてきてるように見受けられるので、結果が荒れそう。。。

なるほど…。DHCPはブロードキャストであり、リレーされるとユニキャストになる。それがわかっているかを問われた問題だったのですね。

わかってなかった私の回答は残念ながら点数低そうです（涙）