Close Menu
Subscribe

4.5.2 Module Questionnaire – Concepts ACL

Aucun commentaire CCNA v7 #3

4.5.2 Module Questionnaire – Concepts ACL réponses

1. Quelles sont les deux conditions qui amèneraient un routeur à déposer un paquet ? (Choisissez deux propositions.)

  • Aucune ACL entrante n’existe sur l’interface où le paquet entre dans le routeur.
  • L’ACL qui affecte le paquet ne contient pas au moins un ACE de refus.
  • L’adresse source du paquet ne correspond pas à la source comme autorisé dans une ACE entrante standard.
  • Aucune ACL sortante n’existe sur l’interface où le paquet quitte le routeur.
  • Aucune entrée de table de routage n’existe pour la destination des paquets, mais le paquet correspond à une adresse autorisée dans une liste ACL sortante.

Explication: Les routeurs abandonneront tous les paquets pour lesquels aucune destination de table de routage ne peut être trouvée. Les listes de contrôle d’accès ne sont pas nécessaires sur les interfaces, mais s’il en existe une et que l’adresse IP de la source dans le paquet ne correspond pas à celle qui est autorisée dans une liste de contrôle d’accès standard, le paquet sera abandonné. Les listes de contrôle d’accès peuvent contenir plusieurs entrées de contrôle d’accès d’autorisation et de refus, mais elles contiennent généralement au moins une entrée de contrôle d’accès d’autorisation, car les listes de contrôle d’accès comportent une entrée de contrôle d’accès de refus implicite à la fin.

2. Un administrateur réseau configure une liste ACL à l’aide de la commande R1(config)# access-list 1 permit 172.16.0.0 0.0.15.255. Quelles sont les deux adresses IP qui correspondent à cette instruction ACL ? (Choisissez deux propositions.)

  • 172.16.0.255
  • 172.16.15.36
  • 172.16.16.12
  • 172.16.31.24
  • 172.16.65.21

Explication: Le masque générique indique que toute adresse IP incluse dans la plage comprise entre 172.16.0.0 et 172.16.15.255 correspond.

3. Quelles sont les deux instructions générales appropriées pour la configuration et l’application des listes de contrôle d’accès ? (Choisissez deux réponses.)

  • Plusieurs ACL par protocole et par direction peuvent être appliquées à une interface.
  • Si une liste ACL ne contient aucune instruction d’autorisation, tout le trafic est refusé par défaut.
  • Les instructions ACL les plus spécifiques doivent être entrées en premier en raison de la nature séquentielle descendante des ACLs.
  • Les ACLs standard sont placées les plus proches de la source, tandis que les ACLs étendues sont placées les plus proches de la destination.
  • Si une liste ACL unique doit être appliquée à plusieurs interfaces, elle doit être configurée avec un numéro unique pour chaque interface.

Explication: Une interface ne peut avoir qu’une ACL par direction. Étant donné que les listes d’accès standard filtrent uniquement les adresses IP source, elles sont normalement placées plus près du réseau de destination. Les listes de contrôle d’accès étendues filtrent le trafic en fonction du protocole, de l’adresse source, de l’adresse de destination et des numéros de port. Ils sont généralement placés le plus près de la source pour réduire le trafic sur le réseau ou les réseaux. Une liste ACL unique peut être appliquée à plusieurs interfaces.

4. Quelle déclaration de liste d’accès unique correspond à l’ensemble des réseaux suivants ?
192.168.16.0
192.168.17.0
192.168.18.0
192.168.19.0

  • access-list 10 permit 192.168.16.0 0.0.3.255
  • access-list 10 permit 192.168.16.0 0.0.0.255
  • access-list 10 permit 192.168.16.0 0.0.15.255
  • access-list 10 permit 192.168.0.0 0.0.15.255

Explication: L’instruction ACL access-list 10 permit 192.168.16.0 0.0.3.255 correspondra aux quatre préfixes de réseau. Les quatre préfixes comportent les mêmes 22 bits de poids fort. Ces 22 bits de poids fort correspondent au préfixe du réseau et au masque de saisie de 192.168.16.0 0.0.3.255.

5. Quelles sont les trois affirmations qui décrivent le traitement par liste de contrôle d’accès (ACL) des paquets ? (Choisissez trois réponses.)

  • Un rejet implicite deny any rejette tout paquet qui ne correspond à aucun ACE.
  • Un paquet peut être refusé ou transmis, en fonction de l’ACE correspondant.
  • Un paquet refusé par un ACE peut être accepté par un ACE suivant.
  • Un paquet qui ne satisfait aux conditions d’aucun ACE est transmis par défaut.
  • Chaque instruction est vérifiée uniquement jusqu’à détection d’une correspondance ou jusqu’à la fin de la liste d’ACE.
  • Chaque paquet est comparé aux conditions de chaque ACE de la liste de contrôle d’accès avant toute prise de décision quant à la transmission.

Explication: Lorsqu’un paquet atteint un routeur qui comporte une liste ACL configurée sur l’interface, il compare la condition de chaque entrée ACE pour déterminer si les critères définis sont satisfaits. Le cas échéant, le routeur applique l’action définie dans l’entrée ACE (c.-à-d. autorise la transmission du paquet ou l’ignore). Si les critères définis ne sont pas satisfaits, le routeur passe à l’entrée ACE suivante. L’instruction deny any implicite se trouve à la fin de chaque liste de contrôle d’accès standard.

6. Un administrateur réseau configure une liste de contrôle d’accès pour limiter l’accès à certains serveurs du data center. L’objectif est d’appliquer la liste ACL à l’interface connectée au LAN du data center. Que se passe-t-il en cas d’une mauvaise application de la liste de contrôle d’accès à une interface dans une direction entrante au lieu de la direction sortante ?

  • Tous les trafics sont refusés.
  • Tous les trafics sont autorisés.
  • La liste de contrôle d’accès ne fonctionne pas comme prévu.
  • La liste de contrôle d’accès analyse le trafic après son acheminement vers l’interface sortante.

Explication: Testez toujours la liste ACL pour vérifier qu’elle fonctionne comme prévu. L’application d’une liste ACL mise en œuvre en utilisant la commande ip access-group in au lieu de la commande ip access-group out ne va pas fonctionner comme prévu.

7. Quel scénario entraînerait une mauvaise configuration de liste de contrôle d’accès et le refus de tout trafic ?

  • Appliquer une liste de contrôle d’accès standard dans la direction entrante.
  • Appliquer une liste de contrôle d’accès nommée à une ligne VTY.
  • Appliquez une ACL qui contient toutes deny les déclarations du ACE.
  • Appliquez une ACL standard en utilisant la commande ip access-group out.

Explication: Si toutes les entrées ACE sont définies sur l’état deny, tout trafic est refusé, car il existe une commande implicite deny any à la fin de chaque ACL standard.

8. Lors de l’application d’une ACL à une interface de routeur, quel trafic est désigné comme sortant ?

  • Trafic provenant de l’adresse IP source dans le routeur
  • Trafic qui quitte le routeur et va vers l’hôte de destination
  • Trafic qui va de l’adresse IP de destination vers le routeur
  • Trafic pour lequel le routeur ne peut trouver aucune entrée de table de routage

Explication: Les entrées et les sorties sont interprétées du point de vue du routeur. Le trafic indiqué dans une liste de contrôle d’accès d’entrée sera refusé ou autorisé lors de son passage d’une source vers cette interface de routeur. Le trafic indiqué dans une liste de contrôle d’accès de sortie sera refusé ou autorisé lors de son passage de cette interface vers la destination.

9. Lors de la création d’une liste ACL, quel mot clé doit être utilisé pour documenter et interpréter le but de l’instruction ACL sur un périphérique Cisco ?

  • eq
  • established
  • remark
  • description

Explication: Afin de documenter le but d’une ACL et d’identifier sa fonction plus facilement, le mot-clé remark est utilisé lors de la construction de la ACL. Le mot-clé established est utilisé pour autoriser les connexions qui ont été initialement sources à partir du périphérique actuel. L’opérateur eq est utilisé pour spécifier un numéro de port pour refuser ou autoriser le trafic. Le mot-clé description est utilisé lors de la configuration et de la documentation des interfaces.

10. Quel emplacement est recommandé pour les listes ACL étendues numérotées ou étendues nommées ?

  • Un emplacement aussi proche que possible de la destination du trafic
  • Un emplacement aussi proche que possible de la source de trafic
  • Un emplacement centré entre les destinations et les sources de trafic pour filtrer le plus de trafic possible
  • Si vous utilisez le mot-clé established, un emplacement proche de la destination pour s’assurer que le trafic de retour est autorisé

Explication: Les ACLs étendues sont normalement placées aussi près que possible de la source. Les ACLs standard sont placées aussi près que possible de la destination, car une ACL standard n’a que l’adresse IP source répertoriée dans l’ACE.

11. Quelle plage représente toutes les adresses IP qui sont affectées lorsque le réseau 10.120.160.0 avec un masque générique de 0.0.7.255 est utilisé dans un ACE ?

  • 10.120.160.0 à 10.127.255.255
  • 10.120.160.0 à 10.120.167.255
  • 10.120.160.0 à 10.120.168.0
  • 10.120.160.0 à 10.120.191.255

Explication: Un masque générique de 0.0.7.255 signifie que les cinq premiers bits du troisième octet doivent rester les mêmes, mais que les trois derniers bits peuvent prendre des valeurs comprises entre 000 et 111. Le dernier octet a une valeur de 255, ce qui signifie qu’il peut prendre toutes les valeurs comprises entre uniquement des zéros et uniquement des uns.

 

Articles liés

S’abonner
Notification pour
guest

0 Comments
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires