Prueba del módulo 5 – Configuración de ACL para IPv4

02/11/2021 CCNA 3 v7 Respuestas Leave a comment

Última actualización: noviembre 2, 2021

1. Los equipos utilizados por los administradores de red para una escuela se encuentran en la red 10.7.0.0/27. ¿Qué dos comandos se necesitan como mínimo para aplicar una ACL que garantice que sólo los dispositivos utilizados por los administradores de red tendrán acceso Telnet a los routers? (Escoja dos opciones).

access-list 5 permit 10.7.0.0 0.0.0.31
access-list standard VTY
permit 10.7.0.0 0.0.0.127
access-list 5 deny any
access-class 5 in
ip access-group 5 in
ip access-group 5 out

Explique: Las listas de acceso numeradas y con nombre se pueden utilizar en las líneas vty para controlar el acceso remoto. El primer comando de ACL, access-list 5 permit 10.7.0.0 0.0.0.31, admite el tráfico que se origina desde cualquier dispositivo en la red 10.7.0.0/27. El segundo comando de ACL, access-class 5 in, aplica la lista de acceso a una línea vty.

2. Considere la lista de acceso configurada.

R1# show access-lists
extended IP access list 100
deny tcp host 10.1.1.2 host 10.1.1.1 eq telnet
deny tcp host 10.1.2.2 host 10.1.2.1 eq telnet
permit ip any any (15 matches)

¿Cuáles son las dos características de esta lista de acceso? (Escoja dos opciones).

La lista de acceso se ha aplicado a una interfaz.
Un administrador de red no podría saber si la lista de acceso se ha aplicado a una interfaz o no.
Sólo el dispositivo 10.1.1.2 puede hacer telnet al router que tiene asignada la dirección IP 10.1.1.1.
El dispositivo 10.1.2.1 no puede hacer telnet al dispositivo 10.1.2.2.
Cualquier dispositivo en la red 10.1.1.0/24 (excepto el dispositivo 10.1.1.2) puede telnet al router que tiene asignada la dirección IP 10.1.1.1.
Cualquier dispositivo puede hacer telnet al dispositivo 10.1.2.1.

Explique: La lista de acceso detiene el tráfico Telnet desde el dispositivo 10.1.1.2 al dispositivo 10.1.1.1.También detiene el tráfico Telnet desde el dispositivo 10.1.2.2 a 10.1.2.1.Todas las demás transmisiones basadas en TCP/IP están permitidas. La lista de acceso funciona porque ha habido 15 coincidencias en la última ACE.

3. ¿Qué comando verificará el número de paquetes permitidos o denegados por una ACL que restringe el acceso SSH?

show running-config
show access-lists
show ip interface brief
show ip ssh

Explique: El comando show-access lists mostrará cada línea de una lista de acceso y el número de coincidencias con cada sentencia. El comando show running-config mostrará las sentencias tal como se configuraron, pero no proporciona información sobre las coincidencias. El comando show ip ssh proporciona información general sobre la configuración SSH.

4. ¿Qué instrucción de lista de acceso permite el tráfico HTTP procedente del host 10.1.129.100 puerto 4300 y destinado al host 192.168.30.10?

access-list 101 permit tcp host 192.168.30.10 eq 80 10.1.0.0 0.0.255.255 eq 4300
access-list 101 permit tcp 10.1.129.0 0.0.0.255 eq www 192.168.30.10 0.0.0.0 eq www
access-list 101 permit tcp 10.1.128.0 0.0.1.255 eq 4300 192.168.30.0 0.0.0.15 eq www
access-list 101 permit tcp any eq 4300
access-list 101 permit tcp 192.168.30.10 0.0.0.0 eq 80 10.1.0.0 0.0.255.255

Explique: El protocolo HTTP utiliza el puerto 80 y se designa en una ACL mediante el parámetro eq 80 o mediante eq www . La primera dirección IP que aparece en una ACL es la dirección de origen junto con la máscara comodín apropiada. Con una dirección IP de origen 10.1.128.0 y una máscara comodín de 0.0.1.255, se permiten las direcciones IP de 10.1.128.0 a 10.1.129.255.

5. Al configurar la seguridad del router, ¿qué instrucción describe la forma más efectiva de usar ACL para controlar el tráfico Telnet destinado al router mismo?

La ACL se debe aplicar a cada línea vty individualmente.
La ACL se aplica al puerto Telnet con el comando ip access-group.
La ACL debe aplicarse a todas las líneas vty en la dirección in para evitar que un usuario no deseado se conecte a un puerto no seguro.
Aplique la ACL a las líneas vty sin la opción in o out requerida al aplicar las ACL a las interfaces.

Explique: Debido a que alguien de fuera del router está tratando de usar un protocolo como Telnet o SSH para obtener acceso al router, la dirección de la ACL tiene que estar hacia adentro en el router a través de las líneas vty .

6. ¿Qué paquetes coincidirían con la instrucción de lista de control de acceso que se muestra a continuación?

access-list 110 permit tcp 172.16.0.0 0.0.0.255 any eq 22

cualquier tráfico TCP desde cualquier host a la red 172.16.0.0
Tráfico SSH desde cualquier red de origen a la red 172.16.0.0
cualquier tráfico TCP desde la red 172.16.0.0 a cualquier red de destino
Tráfico SSH desde la red 172.16.0.0 a cualquier red de destino

Explique: La instrucción, access-list 110 permit tcp 172.16.0.0 0.0.0.255 any eq 22, coincidirá con el tráfico en el puerto 22, que es SSH, que se origina desde la red 172.16.0.0/24 con cualquier destino.

7. Considere el comando access list aplicado outbound en una interfaz serial del router.

access-list 100 deny icmp 192.168.10.0 0.0.0.255 any echo reply

¿Cuál es el efecto de aplicar este comando de lista de acceso?

Los usuarios de la red 192.168.10.0/24 no pueden transmitir tráfico a ningún otro destino.
El único tráfico denegado es el tráfico basado en ICMP. Todo el resto del tráfico está permitido.
El único tráfico denegado son respuestas de eco procedentes de la red 192.168.10.0/24. Todo el resto del tráfico está permitido.
No se permitirá el tráfico saliente en la interfaz serial.

Explique: Al final de cada lista de acceso extendido es una implícita deny ip cualquier declaración de modo que no se permitirá el envío de tráfico por la interfaz serial.

8. Considere el siguiente resultado para una ACL que se ha aplicado a un router mediante el comando access-class in. ¿Qué puede determinar un administrador de red a partir del resultado que se muestra?

R1# <output omitted>
Standard IP access list 2
10 permit 192.168.10.0, wildcard bits 0.0.0.255 (2 matches)
20 deny any (1 match)

No se permitió que el tráfico de un dispositivo acceda a un puerto de router y se enrute en dirección saliente a un puerto de router diferente.
Dos dispositivos conectados al router tienen direcciones IP 192.168.10.x.
Dos dispositivos pudieron utilizar SSH o Telnet para obtener acceso al router.
Se permitió que el tráfico de dos dispositivos acceda a un puerto de router y se enrute en dirección saliente a un puerto de router diferente.

Explique: El comando access-class se utiliza solo en los puertos VTY. Los puertos VTY admiten el tráfico de Telnet o SSH. La coincidencia de permiso de la ACE es la cantidad de intentos permitidos mediante los puertos VTY. La coincidencia de denegación de la ACE muestra que no se permitió el acceso de un dispositivo de una red que no es 192.168.10.0 al router a través de los puertos VTY.

9. ¿Qué dos comandos configuran una ACL estándar? (Escoja dos opciones).

Router(config)# access-list 10 permit 10.20.5.0 0.255.255.255 any
Router(config)# access-list 20 permit host 192.168.5.5 any any
Router(config)# access-list 45 permit 192.168.200.4 host
Router(config)# access-list 90 permit 192.168.10.5 0.0.0.0
Router(config)# access-list 35 permit host 172.31.22.7

Explique: Las listas de acceso estándar tienen la sintaxis de access-list y un número entre 1 y 99 seguido de la palabra clave permit o deny y la dirección IP de origen (que incluye una máscara comodín).

10. Para facilitar el proceso de solución de problemas, ¿qué mensaje ICMP entrante se debe permitir en una interfaz externa?

router advertisement
echo request
echo reply
time-stamp reply
time-stamp request

Explique: Al permitir que el mensaje de respuesta de eco ICMP llegue a la organización, los usuarios internos pueden hacer ping a direcciones externas (y el mensaje de respuesta puede regresar).

11. ¿Qué dos ACE se pueden utilizar para denegar el tráfico IP de un host 10.1.1.1 de una única fuente a la red 192.168.0.0/16? (Escoja dos opciones).

access-list 100 deny ip 10.1.1.1 255.255.255.255 192.168.0.0 0.0.255.255
access-list 100 deny ip 192.168.0.0 0.0.255.255 host 10.1.1.1
access-list 100 deny ip host 10.1.1.1 192.168.0.0 0.0.255.255
access-list 100 deny ip 192.168.0.0 0.0.255.255 10.1.1.1 0.0.0.0
access-list 100 deny ip 10.1.1.1 0.0.0.0 192.168.0.0 0.0.255.255
access-list 100 deny ip 192.168.0.0 0.0.255.255 10.1.1.1 255.255.255.255

Explique: Existen dos maneras de identificar un solo host en una entrada de lista de acceso. Una es utilizar la palabra clave host con la dirección IP del host, la otra es utilizar una máscara de comodín 0.0.0.0 con la dirección IP del host. El origen del tráfico que se examinará a través de las listas de acceso primero se encarga de la sintaxis y por último del destino.

12. Un administrador ha configurado una lista de acceso en R1 para permitir el acceso administrativo SSH desde el host 172.16.1.100. ¿Qué comando aplica correctamente la ACL?

R1(config-line)# access-class 1 in
R1(config-if)# ip access-group 1 out
R1(config-if)# ip access-group 1 in
R1(config-line)# access-class 1 out

Explique: El acceso administrativo a través de SSH al router es a través de las líneas vty. Por lo tanto, la ACL debe aplicarse a esas líneas en la dirección de entrada. Esto se logra ingresando en el modo de configuración de línea y emitiendo el comando access-class.