Questão CCNA - Access-List
Postado por: Fabio A de Amorim em Questões CCNA -
Imprima este post
Pessoal,
Segue duas questões sobre Access-Lists, também assunto muito cobrado na prova de Certificação CCNA. Mais uma vez, peço que tentem responder como se estivessem fazendo a Certificação: sem consultar nenhuma fonte (livro, internet) e em cerca de 30 segundos, cada questão. Só assim testarão seus conhecimentos e seu preparo.
- Questão 1:
Supondo que a ACL no gráfico esteja corretamente aplicada a uma interface, que efeito terá a ACL sobre o tráfego da rede?
a) Ao host 192.168.15.4 será negado o acesso de ftp a qualquer destino, mas qualquer outro acesso lhe será permitido.
b)Nenhum tráfego será negado porque não não existe uma instrução “permit” nessa ACL.
c)Todo o tráfego daquela interface será negado.
d)Todo o tráfego do host 192.168.15.4 será negado, mas dos demais hosts será permitido.
e)Todo o tráfego ftp ao host 192.168.15.4 será negado.
- Questão 2:
A seguinte ACL foi criada para negar ao host 204.204.7.89 acesso ao servidor ftp localizado em 196.6.13.254:
access-list 111 deny tcp 204.204.7.89 0.0.0.0 host 196.6.13.254 eq 21
access-list 111 permit tcp any any
Qual dos seguintes grupos de comandos colocará esta ACL no local apropriado?
a)Router2(config)# interface s0/0
Router2(config-if)# ip access-group 111 in
b)Router2(config)# interface fa0/0
Router2(config-if)# ip access-group 111 out
c)Router2(config)# interface fa0/0
Router2(config-if)# ip access-group 111 in
d)Router3(config)# interface fa0/0
Router3(config-if)# ip access-group 111 in
e)Router3(config)# interface s0/1
Router3(config-if)# ip access-group 111 out
f)Router3(config)# interface fa0/0
Router3(config-if)# ip access-group 111 out
Abraços!
Fábio A. de Amorim
Popularity: 7% [?]
Leia também:
- Questão CCNA - Frame-Relay
- Questão CCNA - Trunk
- Questão CCNA - EIGRP
- Questão CCNA - Sumarização
- Questões CCNA - VLSM
- Questão CCNA - OSPF
- Questão CCNA para vocês tentarem resolver
- Tutorial básico - ACLs para o exame CCNA
- Questão ICMP
- Questão 27 - Simulado Geral - 640-801
- Tradução do Currículo CCNA 4.0 Exploration - Prova CCNA 640-802
- Dúvida do leitor - Questão do TK
- Para questões mais elaboradas…
- Ritual de preparação para o exame CCNA
- Tutorial sobre o exame CCNA, apresentado pela própria Cisco
4 de January de 2008 às 3:50 pm
bom…ainda estou estudando para o CCNA e como foi proposto…respondi sem realizar consulta alguma…
se entendi direito as questões eu responderia letra B e letra F respectivamente…
acertei?
abraço a todos
4 de January de 2008 às 5:36 pm
- Questão 1: c)Todo o tráfego daquela interface será negado.
Justificativa: mesmo a lista sendo referente a um host (192.168.15.4) todo o tráfego será negado pois as listas de acesso tem implício uma linha no final que bloqueia todo o restante do trafego (deny any any), para usar essa lista para bloquear a porta tcp n°21 teria que ser acrescentado : access-list 120 permit tcp any any.
- Questão 2: f)Router3(config)# interface fa0/0
Router3(config-if)# ip access-group 111 out
Justificativa: esse tipo de lista de acesso deve ser colocado mais perto do local de destino (Router 3).
Fábio estou começando a estudar cisco gostaria de um comentário seu a respeito das minhas respostas.
4 de January de 2008 às 6:40 pm
Olá Marcelo,
Comentarei suas respostas em breve. Não comento agora para que os demais leitores possam responder também, ok?
Continue acessando o blog que daqui alguns dias digo e comento as respostas!
Abraços e Bons Estudos!
Fábio A. de Amorim
4 de January de 2008 às 7:00 pm
questão 1
A
Questão 2
C
4 de January de 2008 às 7:16 pm
Questão 1 -
c)Todo o tráfego daquela interface será negado.
Desde que exista uma instrunção permitindo os demais acessos o tráfega será descartado. Pois quando a informação não coincide com a linha da ACL ela é descartada, por conta do deny any implicito no final da ACL, por padrão.
Questão 2 -
c)Router2(config)# interface fa0/0
Router2(config-if)# ip access-group 111 in
As listas de acesso estendidas são colocadas o mais próximo possível da origem.
4 de January de 2008 às 7:38 pm
Acredito que as respostas sejam A e F respectivamente
4 de January de 2008 às 9:41 pm
1 - C . Pois oculto existe comando deny any, se não for especificado permit any todo tráfico será negado.
2 - C. Pois acl estendida as instruções devem ficar próximas da origem e nas acl padrão instruções ficam próximas do destino.
5 de January de 2008 às 5:39 am
1 - Resposta: C
Imlicitamente no final de uma acl existe um instrução deny any any, se não for especificado permit any any todo o trafico que passar na interface que foi aplicada a acl será negado.
2 - Resposta: C
Seguindo a Hierarquia de posicionamento de uma acl, diz que : uma acl estendida deve ficar o mais proximo da origem, quando puder é lógico!!! Já uma acl padrão deve ficar o mais próximo destino.
abraços.
5 de January de 2008 às 8:41 am
Também acredito que ambas as respostas sejam a letra C.
5 de January de 2008 às 12:33 pm
A 1ª questão me parece um tanto confusa…
pois se levarmos em consideração que essa é toda a configurção da ACL, então todo o trafego nessa interface será bloqueado pelo Deny que está implícito no fim, sendo assim letra C.
Mas se pensarmos que é apenas parte da configuração, tendo um …permit any any numa outra linha, eu diria que a resposta A estaria correta.
Mas como é para levar em conta o que está exemplificado, letra C.
Na segunda questão, letra C, pois como se trata de uma ACL estendida, é interessante aplicá-la o mais próximo da origem, salvo exceções.
5 de January de 2008 às 12:44 pm
Pessoal e simples a questao n.º basta apenas seguir o que o CCNA pede com relaçao a ACL Estendida, pois o numero da ACL eh 111 e ACL´s estendidas tem que ficar o mais proximo possivel do destino no caso:
f)Router3(config)# interface fa0/0
Espero ter colaborado … pois estou ainda estudando pra certificação CCNA que pretendo prestar e março …
5 de January de 2008 às 1:04 pm
Pessoal e simples a questao n.º basta apenas seguir o que o CCNA pede com relaçao a ACL Estendida, pois o numero da ACL eh 111 e ACL´s estendidas tem que ficar o mais proximo possivel do destino no caso:
d)Router3(config)# interface fa0/0
Router3(config-if)# ip access-group 111 in
5 de January de 2008 às 1:06 pm
Com relaçao a questao 1 eu vou de opçao “A” pois:
Estou negando o acesso ao FTP e permitindo os demais ..
Espero ter colaborado …
5 de January de 2008 às 6:41 pm
Acredito que as repostas certas seriam :
1-) C
2-) C
5 de January de 2008 às 11:14 pm
Resposta: C
Imlicitamente no final de uma acl existe um instrução deny any any, se não for especificado permit any any todo o trafico que passar na interface que foi aplicada a acl será negado.
Resposta:F
Router3(config)# interface fa0/0
Router3(config-if)# ip access-group 111 out
proximo do destino
6 de January de 2008 às 11:50 am
Amigos…bom dia
Na 1ª questão, se formos levar exolicitamente o que está postado, e levar em conta que toda a configuração da ACL é esta única linha, então lhes digo que a resposta correta é a letra C, pois sem um permit any any, todo o tráfego na interface será bloqueado. Mas se tivéssemos um permit any any, no fim da ACL, então eu diria que a letra A seria a correta.
Como o que vale é o que está explicito, questão 1 - Letra C.
Na 2ª questão, como se trata de uma ACL estendida, é interessante aplicá-la o mais próximo possível da origem, isso porque ao contrário da ACL padrão, ela detalha mais o que será bloqueado e permitido, através do protocolo, da porta, da especificação da origem e do destino do pacote, etc…, evitando assim um tráfego desnecessário na rede, o que não acontece na padrão, onde só podemos bloquerar ou permitir baseados no destino.
Sendo assim, Letra C, também.
Abçs!
6 de January de 2008 às 7:04 pm
Ola, Galera!
Aproveitando e ja embalando o assunto abordado neste desafio de ACL, gostaria que vcs me ajudassem em uma questão que esta me deixando inquieto!
Esta questão estive analizando no Pass4sure 2.83, segundo o teste a resposta e xxxx mas não concordo que esta resposta por este motivo gostaria de sabe a opnião de todos sobre este cenario.
Segue Link onde vc poderar visualizar o cenario antes de postarem a resposta.
http://www.divshare.com/image/3372844-8c3
Obrigado!
Espero estar ajudando ao mesmo tempo tirando minha dúvida, já que o intuito e desapertar nosso raciocínio para o exame CCNA.
7 de January de 2008 às 8:21 am
1- C ( pois não tem um permit any no final da acl )
2- C ( acl extendida - mais próximo da origem )
7 de January de 2008 às 5:27 pm
Srs,
Creio que as respostas sejam :
1- C , pois todo tráfego na interface será negado (falta permit any)
2- C , pois acl extendida deve ficar proxima á origem
7 de January de 2008 às 8:05 pm
1 - C
2 - F
8 de January de 2008 às 5:54 pm
Questão 1 - A
Questão 2 - F
9 de January de 2008 às 10:13 am
Ola Marco tudo bem ? Estou estudando pra ccna pelo seu livro e to com uma duvida sobre subnet da pagina 131 pergunta n.º 14 o que segue…
Qual o endereço de broadcast da sub-rede que o endereço 172.16.99.99 255.255.192.0 pertence?
Sei que no final do capitulo tem a resposta . . . mas mesmo assim ainda nao consegui entender teria como vc explanar esse exercicio se possivel ?
Obrigado …
abçs Cesar
9 de January de 2008 às 11:31 am
1)C (há um deny any any no final de cada ACL)
2)C (ACLs estendidas devem ser aplicados proximo da origem!)
10 de January de 2008 às 10:58 pm
1-C
2-C
12 de January de 2008 às 12:06 pm
Questão 1 = A
Questão 2 = C
12 de January de 2008 às 9:22 pm
A minha resposta:
1: C
Comentário: Todo o trafego será negado. Existe uma instrução no final de toda ACL deny any implicita
2:C
A resposta para a seunda questão segundo o material oficial da Cisco toda ACL extendida deve ser aplicada o mais proximo possivel da origem do tráfego. Já que a ACL extendida têm como campo endereço de origem, endereço de destino, protocolo e porta.
Dúvida: Agora não entendo porque ACL padrão é aplicado no destino do tráfego, não entendo.
14 de January de 2008 às 4:15 pm
Olá Pessoal,
Vamos as repostas e comentários sobre as questões de ACLs propostas:
- Questão 1 : A resposta correta é a C! No IOS (Sistema Operacional dos equipamentos da Cisco), para toda Lista de Controle de Acesso (ACL) criada, independente do tipo desta ACL e da quantidade de instruções presentes nela, há IMPLICITAMENTE uma instrução no final de toda ACL que NEGARÀ todo o tráfego. Ou seja, se, por exemplo, a ACL tiver 3 instruções, a quarta instrução que você NÂO vê mas está lá!
, negará todo o tráfego que, claro, não foi selecionado por nenhuma instrução anterior. Isto porque toda ACL é sequencial e lógica: se o trafégo testado pela ACL corresponde com a segunda das quatro instruções que a ACL possui, a terceira e a quarta não serão aplicadas a este tráfego… ele já encontrou sua correspondência na segunda instrução! Enfim, a ACL Estendida apresentada possui uma única instrução que tem como ação DENY (Negar) e, como já dito, a segunda será a implícita, que é negar tudo!!! Logo, todo tráfego será negado!!!! Gosto dessa questão porque ele trata uma premissa que é fundamental ao utilizar ACLS. Imaginem o estrago que uma ACL mal confeccionada e/ou aplicada pode causar em uma rede????
Só como curiosidade, nos equipamentos 3COM que tive contato, as ACLs são “ao contrário”: no final de cada ACL, há uma instrução de “permitir tudo”!! Estranho né? Na MINHA opinião, me parece mais eficiente e seguro que em uma ACL eu selecione o que eu quero que “passe” e o resto que seja bloqueado. Os engenheiros da 3COM devem ter um argumento inteligente para terem feito ao contrário disto.
- Questão 2: A resposta correta também é a C! Como podem observar, o Roteador mais próximo da origem do tráfego é o Router 2 e, mais próxima ainda, sua interface FastEthernet 0/0. Como alguns bem comentaram em suas respostas, é aconselhável que as ACLs Estendidas sejam colocadas o mais próximo possível da origem do tráfego. Isto porque elas podem especificar exatamente o tipo de tráfego, sua origem e seu destino. Com isso, evita-se que o tráfego não permitido tenha que atravessar a rede, ocupando processamento dos equipamentos e largura de banda, para ao chegar perto do seu destino, “descobrir” que será descartado.
Adalberto, as ACLs Padrão só conseguem selecionar o tráfego baseado no endereço de origem. Imagine, na mesma topologia da questão 2, que ao invés de usarmos uma ACL estendida, usariamos uma ACL Padrão…ela ficaria assim:
access-list 1 deny 204.204.7.89 0.0.0.0
access-list 1 permit any
Se aplicarmos essa ACL Padrão mais próxima a origem com sua direção correta, bloquearia o acesso desse host 204.204.7.89 não só ao servidor FTP, como também a qualquer outro Destino!!!! Logo, se fossemos utilizá-la, seria melhor aplicá-la na F0/0 do Router 3, como “out” (e, ainda assim, bloquearíamos o acesso deste host a outros possíveis hosts conectados a mesma interface Fo/0 do Router 3, o que, para o exercício, não é o desejado!).
Dúvidas? Postem aqui! Mas antes, vale muito dar uma olhada no tutorial sobre ACLs já postado pelo Marco: http://blog.ccna.com.br/?p=126
Abraços!
Fábio A. de Amorim
15 de January de 2008 às 12:44 am
O assunto eh Sub Net
Ae pessoal como comentei com Marco tenho alguns exercicios tirados do Test King que consegui em portugues pra estudo… porem a maioria eu consegui resolver e outros nao .. aqueles que nao consegui estou postando aqui pra servir como estudo e ver a explanaçao dos amigos do blog.
1) Qual do seguinte e um exemplo de um unicast vaálido de um host de endereço IP?
a) 172.31.128.255/18
b) 255.255.255.255
c) 192.168.24.59/30
d) FFFF.FFFF.FFFF
e) 224.1.5.2
f) Todas Anteriores
2) Qual e a subnet para o endereço IP 172.16.210.0/22?
a) 172.16.42.0
b) 172.16.107.0
c) 172.16.208.0
d) 172.16.252.0
e) 172.16.254.0
f) Nenhuma das Anteriores
3) Sua rede usa endereço classe B 172.12.0.0. Voce necessita suportar 459 hosts por subnet, enquanto acomodando o numero maximo de subnets. Que mascara voce usaria?
a) 255.255.0.0
b) 255.255.128.0
c) 255.255.224.0
d) 255.255.254.0
Muito grato ao pessoal que me ajudarem a resolver os mesmos e assim que tiver respostas postarei mais alguns …
Valeu e obrigado ..
23 de January de 2008 às 2:05 pm
1º A primeira questão, eu errei no Pass4sure, ainda não sei o ‘Porque’ da resposta correta.
2º letra A, pois o endereço 172.16.210.0 255.255.252.0 faz parte da subrede 172.16.208.0
Subrede: 00-03
Subrede: 04-07
Subrede: 08-11 -> é aqui que esse IP se encontra.
3º letra D : 172.12.0.0 é um endereço de classe B, então sua máscara padrão é: 255.255.0.0, a questão fala de 459 hosts, com isso, temos que achar a mascara para essa condição:
|256 128 64 32 16 8 4 2 1 - nº de hosts
11111111.11111111.1111111| 0. 0 0 0 0 0 0 0 0 - mascara binária
255 . 255 . 254 —————————— - total 512 hosts, satisfaz a condição
Somando a porção da classe B (07 bits) = 254
22 de February de 2008 às 1:58 pm
Tarde mas nunca:
1) A - 172.31.128.255/18 = 255.255.192.0, variando de 64 em 64: 172.31.128.0/18 = subnet e 172.31.191.255/18 broadcast. O que está entre isso é válido.
2) C - 172.16.210.0/22 = 255.255.252.0, variando de 4 em 4: fazendo 210/4=52 resto 2, ou seja 210-2 é a subnet.
3) D - para atender 459 hosts temos que usar 512=2E9, ou seja, 9 bits da direita para hosts, então mascara 255.255.254.0= 1111 1111.1111 1111.1111 1110.0000 0000.
Sds,
10 de May de 2008 às 9:42 am
1- Letra A
2- Letra C
6 de June de 2008 às 12:30 am
Valeu fábio, me ajudou muito a sua resposta sobre ACL, principalemente aonde coloca-las.
6 de June de 2008 às 12:12 pm
Valeu Toguko. Fico feliz que tenha te ajudado.
Pessoal, quem não viu ainda, minha resposta está no comentário de número 27.
Abraços,
Fábio A. de Amorim
30 de August de 2008 às 8:21 pm
Tenho uma dúvida:
Entendi quase tudo ! rs
Sei que em caso de ACL extendido a aplicação deve ser mais proximo possivel da origem.
(tinha duvida em qual interface aplicar, porem como o fabio mesmo disse acima :
mais próxima ainda, sua interface FastEthernet 0/0.) Voçê esclareceu essa minha dúvida. Valew !
Agora, como eu saberei que a interface Fast nesse caso seria aplicada com “in” ou “out” ?
Por acaso, seria “in” pelo fato de ser mais proximo da origem ?
1 de September de 2008 às 11:22 am
kwilliams,
Não NECESSARIAMENTE ela é aplicada como “IN” pelo fato de estar mais próxima a origem.
Para determinar se ela será aplicada como IN ou OUT, vc. deve olhar a direção do tráfego (onde ele começa e onde ele termina) e escolher o lugar que melhor atenda as suas necessidades.
Isso pode mudar muito de acordo com a topologia e com as instruções de sua ACL.
Leia novamente minha resposta no comentário 27. Falo disso.
Abraços!
Fábio A. de Amorim
15 de March de 2009 às 4:32 pm
Pessoal,
Aproveitando a explicação do Fábio acima, eu estou estudando CCNA e o instrutor do curso nos deu um exemplo muito bom de como avaliar a direção de aplicação de uma ACL.
Devemos sempre avaliar a direção como se estivéssemos dentro do roteador ou sentado nele, pois dessa forma fica mais claro entender o porque de uma ACL ser considerada “IN’ ou “OUT”.
Imagine a situação onde a ACL é aplicada na F0/0 “IN” para o bloqueio de um HOST A cujo destino seria o HOST B.
Se olharmos com a visão interna do ROUTER, a ACL deve ser “IN” porque o tráfego originário do HOST A apesar de estar saindo dele, para a visão de dentro do ROUTER o tráfego está “ENTRANDO” nele e além disso essa aplicação evita a utilização desnecessária do link após o Router.
Para uma aplicação “OUT” poderíamos ter como exemplo, o HOST A que poderia alcançar o HOST B via S0/0, mas que deveria ter o acesso proibido ao HOST C conectado a S0/1 em outra rede.
Nesse caso não poderíamos barrar a entrada na F0/0, pois ele teria todo o tráfego negado e aplicando a ACL como OUT na S0/1 ele não poderia acessar o HOST C pela S0/1, mas em contrapartida acessaria o HOST B pela S0/0.
Bom, não sei se consegui passar o que aprendi nesses dois módulos do curso, mas espero ter contribuído.
Por favor, caso esteja errado, por favor me corrijam.
Abs,
Marcos.
24 de July de 2009 às 3:42 am
Olha na questão de IN ou OUT Só olhar de dentro do roteador não foi muito explicativo para mim. Eu olho como se estivesse dentro da interface! no Exemplo acima o host que desejo bloquear o acesso está conectado na int fa0/0. Se estou aplicando a acl na fa0/0 uso IN pois o bloqueio vem da rede INterna… poderia aplicar a lista na s0/0… só que seria OUT pois veio de outra interface a rede bloqueada, porém para não ter tráficos desnecessários na rede aplico no local de origem a acl estendida. ATENÇÃO, isto não é um método correto porém é o metodo que uso e sempre funciona. Na verdade vai da interpretação de cada.
Abs,
Daniel
22 de August de 2010 às 5:49 pm
Boa tarde, ainda estou estudando para o CCNA.
A minha reposta seria a letra D e D.
27 de June de 2011 às 6:00 pm
Questão 1 - C
Questão 2 - C
2 de December de 2011 às 9:57 am
Questão 1
Resposta: E
Questão 2
Resposta: D
2 de December de 2011 às 11:57 am
Resposta correta é a B:
Pois faltou comentários abaixo:
access list 120 permit ip any any
ip access-group 120 out
Questão da 2
Resposta certa :E
access-list 111 deny tcp host 204.204.7.89 host 196.6.13.254 eq ftp
access-list 111 permit tcp any any
ip access-group 111 out