1. Lors de l’application d’une ACL à une interface de routeur, quel trafic est désigné comme sortant?
- trafic qui va de l’adresse IP de destination vers le routeur
- trafic qui quitte le routeur et va vers l’hôte de destination
- trafic pour lequel le routeur ne peut trouver aucune entrée de table de routage
- trafic provenant de l’adresse IP source dans le routeur
Explication: Les communications entrantes et sortantes sont interprétées du point de vue du routeur. Le trafic désigné dans une liste de contrôle d’accès entrante est refusé ou autorisé lorsqu’il entre dans cette interface de routeur à partir d’une source. Le trafic qui est désigné dans une ACL sortante sera refusé ou autorisé lorsqu’il sortira de l’interface vers la destination.
2. Reportez-vous à l’illustration. Un administrateur réseau souhaite créer une liste de contrôle d’accès standard pour empêcher la transmission du trafic réseau 1 vers le réseau de recherche et développement. Sur quelle interface du routeur et dans quelle direction l’ACL standard doit-elle être appliquée?
- R1 S0/0/0 sortant
- R2 Gi0/0 sortant
- R2 S0/0/0 entrant
- R1 Gi0/0 sortant
- R2 Gi0/0 entrant
- R1 Gi0/0 entrant
Explication: Les listes de contrôle d’accès standard ne peuvent spécifier que des adresses source. La liste de contrôle d’accès standard contient donc l’adresse réseau 1 et le masque générique approprié. En outre, comme les listes de contrôle d’accès standard ne peuvent contenir que des adresses source, elles doivent être placées aussi près que possible de la destination. La destination est le LAN de recherche et de développement. L’interface R2 Gi0/0 est cette destination. En traçant le chemin emprunté par les paquets en commençant par le réseau 1 jusqu’au réseau de recherche et de développement, un étudiant peut déterminer que les paquets sortiront de l’interface R2 Gi0/0.
3. Quel opérateur est utilisé dans une instruction ACL pour faire correspondre les paquets d’une application spécifique?
- eq
- established
- lt
- gt
Explication: Voici un exemple d’une liste de contrôle d’accès (ACL) qui filtre le FTP:
access-list 105 permit tcp any host 10.0.54.5 eq 20
access-list 105 permit tcp any host 10.0.54.5 eq 21
L’opérateur (eq) vers la fin des lignes de la liste de contrôle d’accès est utilisé pour correspondre à un port/service spécifique qui est spécifié immédiatement après l’opérateur eq.
4. Quelles sont les deux instructions générales appropriées pour la configuration et l’application des listes de contrôle d’accès? (Choisissez deux réponses.)
- Les instructions ACL les plus spécifiques doivent être entrées en premier en raison de la nature séquentielle descendante des ACLs.
- Les ACLs standard sont placées les plus proches de la source, tandis que les ACLs étendues sont placées les plus proches de la destination.
- Plusieurs ACL par protocole et par direction peuvent être appliquées à une interface.
- Si une liste ACL ne contient aucune instruction d’autorisation, tout le trafic est refusé par défaut.
- Si une liste ACL unique doit être appliquée à plusieurs interfaces, elle doit être configurée avec un numéro unique pour chaque interface.
Explication: Une interface ne peut avoir qu’une ACL par direction. Étant donné que les listes d’accès standard filtrent uniquement les adresses IP source, elles sont normalement placées plus près du réseau de destination. Les listes de contrôle d’accès étendues filtrent le trafic en fonction du protocole, de l’adresse source, de l’adresse de destination et des numéros de port. Ils sont généralement placés le plus près de la source pour réduire le trafic sur le réseau ou les réseaux. Une liste ACL unique peut être appliquée à plusieurs interfaces.
5. Reportez-vous à l’illustration. Quelle affirmation décrit la fonction des ACEs?
- Ces entrées de contrôle d’accès doivent être ajoutées manuellement à la fin de chaque liste de contrôle d’accès IPv6 pour permettre le routage IPv6.
- Ces entrées facultatives peuvent être ajoutées à la fin d’une liste de contrôle d’accès IPv6 pour autoriser les messages ICMP définis dans des groupes d’objets nommés nd-na et nd-ns.
- Ces entrées de contrôle d’accès s’affichent automatiquement à la fin de chaque liste de contrôle d’accès IPv6 pour permettre le routage IPv6.
- Ces entrées de contrôle permettent de détecter le trafic des voisins IPv6.
Explication: Le protocole ICMP est utilisé pour la détection des voisins. Les deux instructions d’autorisation autorisent les messages d’annonce de voisin et de sollicitation de voisin entre les périphériques IPv6.
6. Quel masque générique correspondra aux réseaux 172.16.0.0 à 172.19.0.0?
- 0.0.3.255
- 0.0.255.255
- 0.3.255.255
- 0.252.255.255
Explication: Les sous-réseaux 172.16.0.0 à 172.19.0.0 partagent tous les mêmes 14 bits de haut niveau. Un masque générique en binaire qui correspond à 14 bits d’ordre supérieur est 00000000.00000011.111111111111111111. En décimal pointillé, ce masque générique est 0.3.255.255.
7. Quelle méthode permet d’appliquer une liste de contrôle d’accès IPv6 à une interface de routeur?
- l’utilisation de la commande ipv6 access-list
- l’utilisation de la commande ipv6 traffic-filter
- l’utilisation de la commande access-class
- l’utilisation de la commande ip access-group
Explication: Un administrateur réseau utilise la commande ipv6 traffic-filter en mode de configuration d’interface pour appliquer une liste de contrôle d’accès IPv6.
8. Quel type de message ICMP doit être bloqué en amont?
- Extinction de source
- Écho
- Réponse par écho
- Unreachable (inaccessible)
Explication: Le paquet ICMP par écho ne doit pas être autorisé en amont sur une interface. La réponse d’écho doit être autorisée pour que lorsqu’un appareil interne envoie un signal à un appareil externe, le retour de la réponse soit autorisé.
9. Quel type d’ACL offre une grande flexibilité et un meilleur contrôle sur l’accès au réseau?
- étendu
- flexible
- Numérotée standard
- Standard nommée
Explication: Les deux types de listes de contrôle d’accès sont standards et étendues. Les deux types peuvent être nommés ou numérotés, mais les ACL étendues offrent une grande flexibilité.
10. Examinez l’illustration. Un administrateur réseau configure une liste de contrôle d’accès IPv6 pour permettre aux hôtes sur le réseau 2001:DB8:CAFÉ:10::/64 d’accéder aux serveurs Web distants, sauf le PC1. Cependant, un utilisateur sur le PC1 réussit à accéder au PC2 du serveur Web. Comment est-ce possible?
- La liste de contrôle d’accès IPv6 Deny_WEB est mal orthographiée lorsqu’elle est appliquée à l’interface.
- La liste de contrôle d’accès IPv6 Deny_WEB autorise tout le trafic Web avant que l’hôte spécifié ne soit bloqué.
- La liste de contrôle d’accès IPv6 Deny_WEB est appliquée dans la mauvaise direction sur le routeur R1.
- La liste de contrôle d’accès IPv6 Deny_WEB est appliquée à la mauvaise interface du routeur R1.
Explication: La liste de contrôle d’accès IPv6 Deny_WEB autorise tout le trafic web chiffré et non chiffré avant que l’hôte du réseau spécifique ne soit bloqué suite à la séquence de commandes saisies par l’administrateur. Pour corriger ce problème, la liste de contrôle d’accès IPv6 Deny_WEB doit être réorganisée et les refus plus spécifiques doivent arriver avant les autorisations.
11. Quel scénario entraînerait une mauvaise configuration de liste de contrôle d’accès et le refus de tout trafic?
- Appliquer une liste de contrôle d’accès standard en utilisant la commande ip access-group out .
- Appliquer une liste de contrôle d’accès standard dans la direction entrante.
- Appliquer une liste de contrôle d’accès nommée à une ligne VTY.
- Appliquer une ACL qui a toutes les déclarations ACE de refus.
Explication: Le fait d’avoir toutes les ACE avec des déclarations de refus refuse tout le trafic car il y a une commande implicite de refus de tout à la fin de chaque ACL standard.
12. Quelle est la méthode la plus rapide pour supprimer une entrée ACE unique d’une liste de contrôle d’accès nommée?
- Utilisez la commande no access-list pour supprimer l’ACL entière, puis recréez-la sans l’ACE.
- Créer une nouvelle liste de contrôle d’accès avec un numéro différent et appliquer la nouvelle liste de contrôle d’accès à l’interface du routeur.
- Utiliser le mot clé no et le numéro de séquence de l’entrée ACE à supprimer.
- Copier la liste de contrôle d’accès dans un éditeur de texte, supprimer l’entrée ACE, puis copier à nouveau la liste de contrôle d’accès sur le routeur.
Explication: Les ACL ACE nommées peuvent être supprimées en utilisant la commande no suivie du numéro de séquence.
13. Quels sont les mots clés que vous pouvez utiliser dans une liste de contrôle d’accès pour remplacer un masque générique, ou un couple d’adresse et de masque générique? (Choisissez deux réponses.)
- any
- gt
- all
- most
- some
- host
Explication: Les deux mots-clés qui peuvent être utilisés lors de la configuration des ACL sont host et any. Le mot clé host équivaut à l’utilisation du masque générique 0.0.0.0 et le mot clé any peut être utilisé à la place du masque générique 255.255.255.255.
14. Considérez la liste d’accès suivante
access-list 100 permit ip host 192.168.10.1 any
access-list 100 deny icmp 192.168.10.0 0.0.255 any echo
access-list 100 permit ip any any
Quelles sont les deux actions entreprises si la liste d’accès est placée en entrée sur un port Gigabit Ethernet du routeur auquel est attribuée l’adresse IP 192.168.10.254? (Choisissez deux réponses.)
- Les périphériques du réseau 192.168.10.0/24 peuvent effectuer un ping sur les périphériques du réseau 192.168.11.0.
- Les appareils du réseau 192.168.10.0/24 sont autorisés à répondre à toutes les requêtes ping.
- Seules les connexions de couche 3 peuvent être effectuées à partir du routeur vers n’importe quel autre périphérique réseau.
- Une session Telnet ou SSH est autorisée à partir de n’importe quel périphérique sur le 192.168.10.0 dans le routeur avec cette liste d’accès attribuée.
- Seul le périphérique réseau attribué à l’adresse IP 192.168.10.1 est autorisé à accéder au routeur.
Explication: Le premier ACE permet au périphérique 192.168.10.1 d’effectuer des transactions TCP/IP avec n’importe quelle autre destination. Le second ACE empêche les périphériques du réseau 192.168.10.0/24 d’exécuter des commandes ping vers n’importe quel autre emplacement. Tout le reste est autorisé par le troisième ACE. Par conséquent, une session Telnet/SSH ou une réponse ping est autorisée à partir d’un périphérique sur le réseau 192.168.10.0/24.