Prueba del módulo 4 – Conceptos de ACL

02/11/2021 CCNA 3 v7 Respuestas Leave a comment

Última actualización: noviembre 2, 2021

1. ¿Cuáles dos condiciones causarían que un router dejara caer un paquete? (Escoja dos opciones).

  • No existe ACL entrante en la interfaz donde el paquete entra en el router.
  • La ACL que afecta al paquete no contiene al menos una ACE de denegación.
  • No existe ninguna entrada de tabla de enrutamiento para el destino del paquete, pero el paquete coincide con una dirección permitida en una ACL saliente.
  • La dirección de origen del paquete no coincide con el origen permitido en una ACE entrante estándar.
  • No existe ACL saliente en la interfaz donde el paquete sale del router.
Explique: Los routers descartan cualquier paquete para el que no se pueda encontrar un destino en la tabla de routing. No se requieren ACL en las interfaces, pero si existe una y la dirección IP de origen en el paquete no coincide con la dirección permitida en la ACL estándar, el paquete se descarta. Las ACL pueden contener varias ACE permit y deny, pero generalmente deben contener por lo menos una ACE permit, porque las ACL contienen una ACE deny implícita al final.

2. Un administrador de red configura una ACL con el comando R1(config)# access-list 1 permit 172.16.0.0 0.0.15.255. ¿Cuáles son las dos direcciones IP que coincidirán con esta instrucción de ACL? (Elija dos opciones).

  • 172.16.16.12
  • 172.16.31.24
  • 172.16.15.36
  • 172.16.0.255
  • 172.16.65.21
Explique: La máscara de comodín indica que coinciden las direcciones IP que están dentro del intervalo de 172.16.0.0 a 172.16.15.255.

3. ¿Cuáles dos instrucciones describen las directrices generales apropiadas para configurar y aplicar las ACL? (Escoja dos opciones).

  • Si una ACL no contiene instrucciones de permiso, todo el tráfico se deniega de forma predeterminada.
  • Las sentencias ACL más específicas deben introducirse primero debido a la naturaleza secuencial de arriba hacia abajo de las ACL.
  • Si se va a aplicar una única ACL a varias interfaces, debe configurarse con un número único para cada interfaz.
  • Las ACL estándar se colocan más cerca del origen, mientras que las ACL extendidas se colocan más cerca del destino.
  • Se pueden aplicar varias ACL por protocolo y por dirección a una interfaz.
Explique: Una interfaz sólo puede tener una ACL por dirección. Las ACL estándar solo se filtran en la dirección de origen, por lo que normalmente se ubican más cerca del destino. Filtro ACL extendido en direcciones de origen y destino y números de puerto. Normalmente se colocan más cerca de la fuente para reducir el tráfico a través de la red o redes. Se puede aplicar una única ACL a varias interfaces.

4. ¿Qué declaración de la lista de acceso único coincide con todas las redes siguientes?

192.168.16.0
192.168.17.0
192.168.18.0
192.168.19.0

  • access-list 10 permit 192.168.16.0 0.0.3.255
  • access-list 10 permit 192.168.16.0 0.0.15.255
  • access-list 10 permit 192.168.0.0 0.0.15.255
  • access-list 10 permit 192.168.16.0 0.0.0.255
Explique: La instrucción de ACL access-list 10 permit 192.168.16.0 0.0.3.255 coincidirá con los cuatro prefijos de red. Los cuatro prefijos tienen los mismos 22 bits de orden superior. Estos 22 bits de orden superior coinciden con el prefijo de red y la máscara comodín de 192.168.16.0 0.0.3.255.

5. ¿Cuáles de las siguientes son tres afirmaciones que describen el procesamiento de paquetes por parte de las ACL? (Elija tres opciones).

  • Cada paquete se compara con las condiciones de cada ACE en la ACL antes de tomar una decisión con respecto al reenvío.
  • Cada instrucción se verifica solo hasta que se detecta una coincidencia o hasta que se llega al final de la lista de ACE.
  • Los paquetes pueden rechazarse o reenviarse según lo indique la ACE con la que coincidan.
  • Los paquetes que no coincidan con las condiciones de ninguna ACE se reenvían de manera predeterminada.
  • Los paquetes denegados por una ACE pueden ser permitidos por una ACE posterior.
  • Un implícito deny any rechaza cualquier paquete que no coincida con ningún ACE.
Explique: Cuando un paquete entra en un router con una ACL configurada en la interfaz, el router compara el estado de cada ACE para determinar si se han cumplido los criterios definidos. Si se cumplieron, el router adopta la acción definida en la ACE (permite el paquete o lo descarta). Si no se cumplieron los criterios definidos, el router continúa con la siguiente ACE. Al final de cada ACL estándar, hay una instrucción deny any implícita.

6. Un administrador de redes configura una ACL para restringir el acceso a ciertos servidores en el centro de datos. El propósito es aplicar la ACL a la interfaz conectada a la LAN del centro de datos. ¿Qué sucede si la ACL se aplica incorrectamente a una interfaz en la dirección entrante en lugar de la dirección saliente?

  • Se permite todo el tráfico.
  • La ACL no funciona según lo diseñado.
  • Se deniega todo el tráfico.
  • La ACL analiza el tráfico después de que este se envía a la interfaz saliente.
Explique: Pruebe siempre la ACL para asegurarse de que funcione conforme a su diseño. Aplicar una ACL con el comando ip access-group in in en lugar del comando ip access-group out no funcionará conforme a lo planificado.

7. ¿Qué situación podría producir una configuración de ACL incorrecta y denegar todo el tráfico?

  • Aplicar una ACL con nombre a una línea VTY.
  • Aplique una ACL que tenga todas las declaraciones ACE deny.
  • Aplique una ACL estándar con el comando ip access-group out.
  • Aplicar una ACL estándar en la dirección entrante.
Explique: Si se tienen todas ACE con instrucciones deny, se deniega todo el tráfico porque hay un comando deny anyimplícito al final de cada ACL estándar.

8. Al aplicar una ACL a una interfaz de enrutador, ¿qué tráfico se designa como saliente?

  • tráfico que sale del router y se dirige hacia el host de destino
  • tráfico que proviene de la dirección IP de origen en el router
  • tráfico para el que el router no puede encontrar ninguna entrada de tabla de enrutamiento
  • tráfico que va desde la dirección IP de destino al router
Explique: Los términos entrante y saliente se interpretan desde el punto de vista del router. El tráfico que se designa en una ACL entrante será denegado o permitido cuando ingrese a esa interfaz del router proveniente de un origen. El tráfico que se designa en una ACL saliente será denegado o permitido cuando salga de la interfaz hacia un destino.

9. Al crear una ACL, ¿qué palabra clave se debe utilizar para documentar e interpretar el propósito de la instrucción ACL en un dispositivo Cisco?

  • eq
  • description
  • established
  • remark
Explique: Con el fin de documentar el propósito de una ACL e identificar su función más fácilmente, la palabra clave de remark se utiliza al construir la ACL. La palabra clave established se utiliza para permitir conexiones que se originaron inicialmente desde el dispositivo actual. El operador eq se utiliza para especificar un número de puerto para denegar o permitir el tráfico. La palabra clave description se utiliza al configurar y documentar interfaces.

10. ¿Qué ubicación se recomienda para las ACL extendidas numeradas o extendidas con nombre?

  • una ubicación lo más cercana posible al destino del tráfico
  • si utiliza la palabra clave established, una ubicación cercana al destino para garantizar que se permite el tráfico de retorno
  • una ubicación centrada entre destinos y fuentes de tráfico para filtrar tanto tráfico como sea posible
  • una ubicación lo más cercana posible al origen del tráfico
Explique: Las ACL extendidas normalmente se colocan lo más cerca posible del origen. Las ACL estándar se colocan lo más cerca posible del destino porque una ACL estándar sólo tiene la dirección IP de origen incluida como parte de la ACE.

11. ¿Qué rango representa todas las direcciones IP que se ven afectadas cuando la red 10.120.160.0 con una máscara comodín de 0.0.7.255 se utiliza en un ACE?

  • 10.120.160.0 para 10.127.255.255
  • 10.120.160.0 a 10.120.168.0
  • 10.120.160.0 a 10.120.167.255
  • 10.120.160.0 a 10.120.191.255
Explique: Una máscara wildcard de 0.0.7.255 quiere decir que los primeros 5 bits del tercer octeto deben permanecer igual, pero los últimos 3 bits pueden tener valores de 000 a 111. El último octeto tiene un valor de 255, que significa que el último octeto puede contener valores desde todos ceros a todos unos.

12. Un estudiante universitario está estudiando para obtener la certificación CCent de Cisco y está visualizando listas de acceso extendido. ¿Qué tres palabras clave podrían seguir inmediatamente las palabras clave permit o deny como parte de una lista de acceso extendido? (Escoja tres opciones).

  • ftp
  • www
  • tcp
  • udp
  • icmp
  • telnet
Explique: Las cuatro palabras clave de uso frecuente que podrían seguir a las palabras clave permit o deny en una lista de acceso extendida IPv4 son ip, tcp, udp e icmp. Si se utiliza la palabra clave ip, toda la suite TCP/IP se ve afectada (todos los protocolos TCP/IP).

13. Si las ACE proporcionadas están en la misma ACL, ¿qué ACE debe enumerarse primero en la ACL de acuerdo con las mejores prácticas?

  • permit udp 172.16.0.0 0.0.255.255 host 172.16.1.5 eq snmptrap
  • deny udp any host 172.16.1.5 eq snmptrap
  • deny tcp any any eq telnet
  • permit udp any any range 10000 20000
  • permit tcp 172.16.0.0 0.0.3.255 any established
  • permit ip any any
Explique: Una práctica recomendada para configurar una ACL extendida es asegurarse de que la ACE más específica se coloca más arriba en la ACL. Considere las dos declaraciones UDP de permiso. Si ambos estaban en una ACL, la ACE SNMP es más específica que la instrucción UDP que permite un rango de 10.001 números de puerto UDP. El ACE SNMP se introduciría antes que el otro ACE UDP. Los ACE de los más específicos a los menos específicos son los siguientes:
  • permit udp 172.16.0.0 0.0.255.255 host 172.16.1.5 eq snmptrap
  • deny udp any host 172.16.1.5 eq snmptrap
  • permit tcp 172.16.0.0 0.0.3.255 any established
  • deny tcp any any eq telnet
  • permit udp any any range 10000 20000
  • permit ip any any

14. ¿Qué operador se utiliza en una instrucción ACL para hacer coincidir los paquetes de una aplicación específica?

  • eq
  • gt
  • established
  • lt
Explique: Un ejemplo de una ACL que filtra para FTP es el siguiente:
access-list 105 permit tcp any host 10.0.54.5 eq 20
access-list 105 permit tcp any host 10.0.54.5 eq 21
El operador (eq) hacia el final de las líneas de ACL se utiliza para hacer coincidir un puerto/servicio específico que se especifica inmediatamente después del operador eq.
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
© Copyright 2024, All Rights Reserved
0
¿Tienes otra pregunta? Por favor comentax