Den här frågebanken innehåller en samling frågor om ACL – både flervalsfrågor med ett och flera rätta svar.
Varje fråga åtföljs av en förklaring som hjälper dig att förstå varför vissa alternativ är rätt och andra fel.
Målet är att du inte bara ska hitta rätt svar, utan också fördjupa din förståelse för hur ACL fungerar och hur de används för att styra och säkra trafik i ett nätverk.

1. Refer to the exhibit.

Which two ACLs would permit only the two LAN networks attached to R1 to access the network that connects to R2 G0/1 interface? (Choose three.)

Observera att R1 har två LAN:

• H1: 192.168.10.9/26 ⇒ nät: 192.168.10.0/26
• H2: 192.168.10.69/26 ⇒ nät: 192.168.10.64/26

Dessa är de två nät som ska tillåtas.

1. access-list 1 permit 192.168.10.0 0.0.0.127 – Korrekt. Detta täcker adresserna från 192.168.10.0 till 192.168.10.127, vilket inkluderar båda LAN-näten på R1 (192.168.10.0/26 och 192.168.10.64/26). Hur? 0.0.0.127 betecknas binärt 00000000.00000000.00000000.01111111 och detta indikerar att de sista bitar som är ettor ger antal nätverk: 2⁷ = 128. Från 192.168.10.0 till 192.168.10.127
2. access-list 2 permit host 192.168.10.9 – Fel. Tillåter bara en enda värd (H1), inte hela LAN-nätverket.
3. access-list 2 permit host 192.168.10.69 – Fel. Tillåter bara en enda värd (H2), inte hela LAN-nätverket.
4. access-list 5 permit 192.168.10.0 0.0.0.63 – Korrekt. Tillåter nätet 192.168.10.0/26 (H1:s nät). Samma som alternativ a. 0.0.0.63 betecknas binärt (enbart sisat oktett för enkelhets skull) 00111111 vilket ger antal nätverksadresser 2⁶ = 64. Från 192.168.10.0 till 192.168.10.63
5. access-list 5 permit 192.168.10.64 0.0.0.63 – Korrekt. Tillåter nätet 192.168.10.64/26 (H2:s nät). Här anges specifikt startadressen 192.168.10.64, och wildcard-masken 0.0.0.63 innebär även 64 nätverksadresser: Från 192.168.10.64 till 192.168.10.127
6. access-list 3 permit 192.168.10.128 0.0.0.63 – Fel. Tillåter nätet 192.168.10.128/26, vilket ligger på R2:s sida (till exempel H3).
7. access-list 4 permit 192.168.10.0 0.0.0.255 – Fel. Tillåter hela 192.168.10.0/24, alltså även nät på R2:s sida. För brett för vad som efterfrågas.

2. Which two packet filters could a network administrator use on an IPv4 extended ACL? (Choose two.)

1. destination UDP port number – Korrekt. En extended ACL tillåter filtrering baserat på transportlagerinformation, inklusive UDP-portar. Detta används till exempel för att blockera eller tillåta specifika applikationer (som DNS eller DHCP).
2. computer type – Fel. Det finns inget fält i ett IP-paket som anger ”datorns typ”. Detta är inte ett filterkriterium för ACL.
3. destination MAC address – Fel. MAC-adresser används på datalänklagret (Layer 2), medan ACLs på routrar filtrerar på Layer 3 och uppåt. Extended ACLs kan inte filtrera på MAC-adress.
4. ICMP message type – Korrekt. Extended ACLs kan filtrera ICMP-trafik baserat på ICMP-typ, till exempel ”echo request” (ping) eller ”destination unreachable”. Detta möjliggör finjusterad kontroll över ICMP.
5. source TCP hello address – Fel. Det finns inget som heter ”TCP hello address”. Korrekt terminologi vore till exempel ”source IP address” eller ”source TCP port”. Detta alternativ är tekniskt ogiltigt.

3. What type of ACL offers greater flexibility and control over network access?

1. numbered standard – Fel. Standard-ACL (numrerad eller namngiven) filtrerar endast på avsändarens IP-adress, vilket ger begränsad kontroll.
2. named standard – Fel. Att ACL:n är namngiven förändrar inte funktionaliteten – den är fortfarande en standard-ACL med begränsade filter-möjligheter.
3. extended – Korrekt. Extended ACLs erbjuder betydligt större flexibilitet eftersom de kan filtrera på flera kriterier: avsändarens och mottagarens IP-adress, protokolltyp (t.ex. TCP, UDP, ICMP), och portar. Det gör det möjligt att exempelvis bara tillåta HTTP-trafik till en viss server eller blockera ICMP mellan specifika nät.
4. flexible – Fel. ”Flexible” är inte en faktisk ACL-typ i IOS-konfiguration. Detta är inget giltigt alternativ.

4. What is the quickest way to remove a single ACE from a named ACL?

1. Use the no keyword and the sequence number of the ACE to be removed. – Korrekt. Detta är det snabbaste och mest direkta sättet. I en namngiven ACL kan varje rad (ACE) ha ett sekvensnummer. Med kommandot no kan du ta bort en specifik regel utan att påverka resten av ACL:n. Exempel:

   ip access-list extended BLOCK_TRAFFIC  
   no 20

2. Copy the ACL into a text editor, remove the ACE, then copy the ACL back into the router. – Fel. Detta fungerar, men är mycket mer tidskrävande och inte den snabbaste metoden.
3. Create a new ACL with a different number and apply the new ACL to the router interface. – Fel. Det här är en omständlig lösning som kräver omkonfigurering av gränssnitt och är inte nödvändigt.
4. Use the no access-list command to remove the entire ACL, then recreate it without the ACE. – Fel. Det tar bort hela ACL:n och kräver att du skriver om den från början – inte snabbt eller effektivt för en liten ändring.

5. Refer to the exhibit.

R1# configure terminal
R1(config)# access-list 10 permit host 192.168.25.16
R1(config)# access-list 10 deny 192.168.25.0 0.0.0.255
R1(config)# interface fa0/1
R1(config-if)# ip access-group 10 in
R1(config-if)# end
R1#
R1# configure terminal
R1(config)# no access-list 10
R1(config)# end
R1#

A network administrator is configuring a standard IPv4 ACL. What is the effect after the command no access-list 10 is entered?

1. ACL 10 is removed from both the running configuration and the interface Fa0/1. – Fel. Kommandot no access-list 10 tar bort själva ACL 10 från konfigurationen, men det avlägsnar inte automatiskt referensen från interfacet. Referensen till ACL:n på interface Fa0/1 ligger kvar tills den tas bort manuellt.
2. ACL 10 is removed from the running configuration. – Detta är korrekt. Kommandot no access-list 10 tar bort ACL:n från den aktiva konfigurationen (running-config). Men om ACL 10 fortfarande är applicerad på ett interface (som Fa0/1) kommer referensen finnas kvar även om själva listan inte längre existerar.
3. ACL 10 is disabled on Fa0/1. – Fel. ACL tas inte automatiskt bort eller ”inaktiveras” från ett interface bara för att den raderas. Interfacet refererar fortfarande till en ACL som inte längre finns.
4. ACL 10 will be disabled and removed after R1 restarts. – Fel. ACL 10 tas bort omedelbart från running-config – det krävs ingen omstart för att ta bort den.

6. Refer to the exhibit.

CiscoVille# configure terminal
CiscoVille(config)# access-list 9 permit 172.29.0.0 0.0.0.255
CiscoVille(config)# access-list 9 permit 172.30.0.0 0.0.0.255
CiscoVille(config)# access-list 9 deny 172.31.0.0 0.0.255.255
CiscoVille(config)# access-list 9 permit 172.31.1.0 0.0.0.255
CiscoVille(config)# access-list 9 deny 192.168.1.0 0.0.0.255
CiscoVille(config)# access-list 9 permit any
CiscoVille(config)# interface fa0/1
CiscoVille(config-if)# ip access-group 9 in
CiscoVille(config-if)# end

A network administrator has configured ACL 9 as shown. Users on the 172.31.1.0 /24 network cannot forward traffic through router CiscoVille. What is the most likely cause of the traffic failure?

1. The established keyword is not specified. – Fel. established används i extended ACLs för att tillåta svarstrafik i TCP-sessioner – inte i standard ACLs som ACL 9 är. Det är inte relevant här.
2. The sequence of the ACEs is incorrect. – Detta är det korrekta svaret. Regeln deny 172.31.0.0 0.0.255.255 kommer före permit 172.31.1.0 0.0.0.255. Eftersom 172.31.1.0/24 ingår i det större spannet 172.31.0.0/16, blockeras trafiken redan av deny-regeln innan den tillåtande regeln matchas. I ACL behandlas regler i ordning uppifrån och ned, så ordningen är avgörande.
3. The port number for the traffic has not been identified with the eq keyword. – Fel. Standard ACLs filtrerar endast på avsändarens IP-adress, inte på portar. eq används i extended ACLs.
4. The permit statement specifies an incorrect wildcard mask. – Fel. Wildcard-masken 0.0.0.255 för nätet 172.31.1.0 är korrekt. Problemet ligger inte i masken utan i ordningen för ACE-reglerna.

7. A network administrator needs to configure a standard ACL so that only the workstation of the administrator with the IP address 192.168.15.23 can access the virtual terminal of the main router. Which two configuration commands can achieve the task? (Choose two.)

1. Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.0 – Korrekt. Wildcard-masken 0.0.0.0 betyder att exakt endast IP-adressen 192.168.15.23 matchas. Det är ett korrekt sätt att skriva en ACL-regel som tillåter endast denna enskilda värd.
2. Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.255 – Fel. Wildcard-masken 0.0.0.255 innebär att hela delnätet 192.168.15.0/24 tillåts. Detta inkluderar fler än bara 192.168.15.23.
3. Router1(config)# access-list 10 permit 192.168.15.23 255.255.255.255 – Fel. Detta är en nätmask, inte en wildcardmask. I ACL-sammanhang används wildcard-masker, och 255.255.255.255 är inte giltigt här.
4. Router1(config)# access-list 10 permit host 192.168.15.23 – Korrekt. Detta är en alternativ och lika korrekt syntax som innebär samma sak som alternativ 1. host betyder att endast just den angivna IP-adressen tillåts.
5. Router1(config)# access-list 10 permit 192.168.15.23 255.255.255.0 – Fel. Återigen anges en nätmask i stället för wildcard-mask. Detta är inte giltig syntax i ACL-kontext.

8. Refer to the exhibit.

Which command would be used in a standard ACL to allow only devices on the network attached to R2 G0/0 interface to access the networks attached to R1?

1. access-list 1 permit 192.168.10.128 0.0.0.63 – Fel. Detta gäller nätet 192.168.10.128/26 eftersom wildcard-masken 0.0.0.63 (binärt 00000000.00000000.00000000.00111111) innebär att de sex sista bitarna får variera 2 ⁶ = 64 adresser. Från 192.168.10.128 – 192.168.10.191. Men H4 sitter i nätet 192.168.10.128/28, som endast omfattar adresserna 192.168.10.128 – 192.168.10.143. Denna ACL är alltså för bred och skulle även tillåta trafik från andra delnät som inte är kopplade till G0/0.
2. access-list 1 permit 192.168.10.0 0.0.0.255 – Fel. Detta tillåter hela 192.168.10.0/24, alltså alla fyra subnät – både de som är anslutna till R1 och R2. För brett.
3. access-list 1 permit 192.168.10.96 0.0.0.31 – Korrekt. Detta tillåter endast nätet 192.168.10.96/27, där H3 finns, vilket är anslutet till R2:s G0/0. Wildcard-masken 0.0.0.31 motsvarar nätmask /27. Detta är rätt nät för att selektivt tillåta endast trafik från det nätet på R2:s sida. 0.0.0.31 betecknat binärt 00000000.00000000.00000000.00011111 inverteras för att få prefixet 11111111.11111111.11111111.11100000 som betecknas decimalt: 255.255.255.224 och prefix /27
4. access-list 1 permit 192.168.10.0 0.0.0.63 – Fel. Detta gäller nätet 192.168.10.0/26 och täcker alltså H1:s nät, som är anslutet till R1 – inte R2.

9. A network administrator is writing a standard ACL that will deny any traffic from the 172.16.0.0/16 network, but permit all other traffic. Which two commands should be used? (Choose two.)

1. Router(config)# access-list 95 deny 172.16.0.0 255.255.0.0 – Fel. Detta använder nätmask format (subnet mask), men ACL kräver wildcard-mask. Det här är därför ogiltigt syntax.
2. Router(config)# access-list 95 permit any – Korrekt. Detta tillåter all övrig trafik som inte matchar en tidigare deny. I en standard ACL är det viktigt att uttryckligen tillåta allt annat om man först har en deny, annars blockeras all trafik av implicit deny any.
3. Router(config)# access-list 95 host 172.16.0.0 – Fel. Detta skulle matcha exakt en IP-adress: 172.16.0.0, inte hela nätet. Ger inte önskat resultat.
4. Router(config)# access-list 95 deny 172.16.0.0 0.0.255.255 – Detta är korrekt syntax för att neka hela 172.16.0.0/16-nätet. Wildcardmasken 0.0.255.255 motsvarar nätmasken 255.255.0.0.
5. Router(config)# access-list 95 172.16.0.0 255.255.255.255 – Fel. Ogiltig syntax – det saknas ett permit eller deny i början. Dessutom används fel masktyp.
6. Router(config)# access-list 95 deny any – Fel. Detta skulle blockera all trafik, vilket motsäger syftet att tillåta trafik från alla andra nät än 172.16.0.0/16.

10. Refer to the exhibit.

An ACL was configured on R1 with the intention of denying traffic from subnet 172.16.4.0/24 into subnet 172.16.3.0/24. All other traffic into subnet 172.16.3.0/24 should be permitted. This standard ACL was then applied outbound on interface Fa0/0. Which conclusion can be drawn from this configuration?​

1. The ACL should be applied outbound on all interfaces of R1. – Fel. Det är inte lösningen på problemet. Att applicera ACL:n på alla interface innebär det att ACL:n blockar för mycket.
2. The ACL should be applied to the FastEthernet 0/0 interface of R1 inbound to accomplish the requirements. – Fel. Även om detta hade varit ett alternativ vid korrekt placering, är det inte det som är problemet här. Problemet är att standard-ACL filtrerar baserat på source-adress, och i detta fall kommer inte annan trafik att tillåtas eftersom det saknas en permit.
3. All traffic will be blocked, not just traffic from the 172.16.4.0/24 subnet. – Detta är rätt svar. Eftersom ACL 1 endast innehåller en deny och ingen efterföljande permit, så blockeras all trafik på grund av den implicita deny any i slutet. Standard-ACLs tillåter inte något om det inte uttryckligen anges.
4. Only traffic from the 172.16.4.0/24 subnet is blocked, and all other traffic is allowed. – Fel. Det vore sant om det fanns en permit any efter deny, men det gör det inte.
5. An extended ACL must be used in this situation. – Fel. Standard-ACL kan fungera här eftersom målet är att blockera trafik från ett visst källsubnät. Problemet är inte ACL-typen utan att det saknas ett tillåtande uttalande.​

11. Refer to the exhibit.

standard IP access list TRAFFIC-CONTROL  
  10 permit 172.23.0.0, wildcard bits 0.0.255.255  
  20 deny any

A network administrator needs to add an ACE to the TRAFFIC-CONTROL ACL that will deny IP traffic from the subnet 172.23.16.0/20. Which ACE will meet this requirement?

1. 30 deny 172.23.16.0 0.0.15.255 – Fel. Även om syntaxen och adressen är korrekt, kommer detta uttalande att placeras efter deny any (rad 20) – vilket gör det verkningslöst.
2. 15 deny 172.23.16.0 0.0.15.255 – Fel. Placeringen är bättre (före rad 20), men denna ACE skulle fortfarande behandlas efter den generella permit 172.23.0.0 0.0.255.255 på rad 10 – som redan tillåter hela 172.23.0.0/16, inklusive 172.23.16.0/20.
3. 5 deny 172.23.16.0 0.0.15.255 – Detta är rätt alternativ. ACE:n placeras före den breda tillåtelsen (rad 10), vilket säkerställer att 172.23.16.0/20 blockeras innan det tillåts av permit 172.23.0.0. Wildcardmasken 0.0.15.255 motsvarar nätmask /20.
4. 5 deny 172.23.16.0 0.0.255.255 – Fel. Wildcard-masken är för bred, den omfattar hela 172.23.16.0 till 172.23.271.255, vilket inte motsvarar bara /20-nätet. Detta skulle riskera att blockera för mycket.

12. Refer to the exhibit.

Router# configure terminal
Router(config)# access-list 120 permit tcp host 192.168.25.18 host 172.16.45.16 eq 22
Router(config)# line vty 0 4
Router(config-line)# password admin-in
Router(config-line)# login local
Router(config-line)# access-class 120 in
Router(config-line)# end
Router#

A network administrator configures an ACL on the router. Which statement describes the result of the configuration?

1. An SSH connection is allowed from a workstation with IP 172.16.45.16 to a device with IP 192.168.25.18. – Fel riktning. ACL-regeln tillåter endast trafik från 192.168.25.18 till 172.16.45.16, inte tvärtom.
2. An SSH connection is allowed from a workstation with IP 192.168.25.18 to a device with IP 172.16.45.16. – Detta är korrekt. ACL 120 tillåter TCP-trafik från 192.168.25.18 till 172.16.45.16, och port 22 motsvarar SSH. Eftersom access-class 120 in tillämpas på VTY-linjer, styr detta vem som får ansluta via fjärråtkomst – alltså att 192.168.25.18 får etablera en SSH-anslutning till routerns VTY-interface (som identifieras med IP 172.16.45.16).
3. A Telnet connection is allowed from a workstation with IP 192.168.25.18 to a device with IP 172.16.45.16. – Fel. Port 22 används för SSH, inte Telnet. Telnet använder port 23, vilket inte är tillåtet i denna regel.
4. A Telnet connection is allowed from a workstation with IP 172.16.45.16 to a device with IP 192.168.25.18. – Fel. Både fel protokoll (Telnet) och fel riktning.

13. Refer to the exhibit.

R1# show access-list MyACL
Extended IP access list NyACL
  10 permit tcp host 10.35.80.22 host 10.23.77.101 eq telnet
  20 permit tcp host 10.35.80.25 host 10.23.77.101 eq 16100 (149407 matches)
  30 permit tcp host 10.35.80.25 host 10.23.77.101 eq 17600 (80592 matches)
  40 permit tcp host 10.35.80.27 host 10.23.77.101 eq 10701 (26008 matches)

What can be determined from this output?

1. The ACL is missing the deny ip any any ACE. – Fel. Det är sant att en ACL inte visar en deny ip any any om den inte är explicit konfigurerad, men det behövs inte i detta fall – eftersom det finns en implicit deny any sist i alla ACLs.
2. The ACL is only monitoring traffic destined for 10.23.77.101 from three specific hosts. – Fel. ACL:n tillåter TCP-trafik från tre specifika källor till 10.23.77.101, men ”monitoring” är missvisande här. ACL:n agerar på trafiken, inte bara övervakar.
3. Because there are no matches for line 10, the ACL is not working. – Fel. Att en rad inte har några träffar betyder inte att ACL:n inte fungerar – det betyder bara att ingen relevant Telnet-trafik från 10.35.80.22 till 10.23.77.101 har passerat ännu.
4. The router has not had any Telnet packets from 10.35.80.22 that are destined for 10.23.77.101. – Detta är korrekt. Rad 10 tillåter Telnet (port 23) från 10.35.80.22 till 10.23.77.101, men det finns inga träffar (matches) för den raden. Det betyder att sådan trafik inte har hänt.

14. Refer to the exhibit.

A network administrator wants to permit only host 192.168.1.1 /24 to be able to access the server 192.168.2.1 /24. Which three commands will achieve this using best ACL placement practices? (Choose three.)

1. R2(config)# interface fastethernet 0/1 – Fel. Fa0/1 är interfacet ut mot servern. Det är bättre att placera ACL:n så nära källan som möjligt, vilket i detta fall är Fa0/0 (mot 192.168.1.1).
2. R2(config-if)# ip access-group 101 out – Fel. Att använda out på Fa0/1 är inte bästa praxis här. ACL:n bör filtrera inåt på interfacet nära avsändaren.
3. R2(config)# access-list 101 permit ip 192.168.1.0 255.255.255.0 192.168.2.0 255.255.255.0 – Fel. Den här syntaxen är ogiltig i ACL-sammanhang eftersom den försöker använda nätmask (255.255.255.0), men ACL-regler kräver wildcard-mask. Wildcardmasken för 192.168.1.0/24 borde vara 0.0.0.255, inte 255.255.255.0
4. R2(config-if)# ip access-group 101 in – Korrekt. Detta tillämpar ACL:n i ingående riktning på rätt gränssnitt (mot avsändaren), vilket följer bästa praxis för ACL-placering.
5. R2(config)# access-list 101 permit ip any any – Fel. Detta tillåter all trafik. Det motverkar syftet med att begränsa åtkomsten till bara en viss värd.
6. R2(config)# interface fastethernet 0/0 – Korrekt. Fa0/0 är rätt plats att tillämpa ACL:n – det är interfacet där trafik från 192.168.1.1 kommer in.
7. R2(config)# access-list 101 permit ip host 192.168.1.1 host 192.168.2.1 – Korrekt. Detta är exakt den regel som behövs: tillåter endast just 192.168.1.1 att kommunicera med just 192.168.2.1.

15. Consider the following access list.

access-list 100 permit ip host 192.168.10.1 any
access-list 100 deny icmp 192.168.10.0 0.0.0.255 any echo
access-list 100 permit ip any any

Which two actions are taken if the access list is placed inbound on a router Gigabit Ethernet port that has the IP address 192.168.10.254 assigned? (Choose two.)

1. Only Layer 3 connections are allowed to be made from the router to any other network device. – Fel. Denna ACL är inbound, vilket innebär att den filtrerar trafik in till routern – inte trafik som routern skickar ut. Därför påverkar den inte Layer 3-trafik som skickas från routern till andra enheter.
2. Devices on the 192.168.10.0/24 network are not allowed to reply to any ping requests. – Fel. ACL:n blockerar bara ICMP echo (dvs. ping-förfrågningar), inte echo-reply. Dessutom styr ACL:n bara trafiken in till routern, inte mellan andra enheter i nätet. Svar på ping påverkas inte.
3. Devices on the 192.168.10.0/24 network can successfully ping devices on the 192.168.11.0 network. – Fel. ACL:n blockerar ICMP echo från 192.168.10.0/24 – alltså ping-förfrågningar. Om trafiken går genom detta interface på väg till 192.168.11.0, blockeras den. Påståendet är därför missvisande.
4. A Telnet or SSH session is allowed from any device on the 192.168.10.0 into the router with this access list assigned. – Korrekt. ACL:n tillåter all IP-trafik (rad 3) förutom ICMP echo (rad 2). Telnet och SSH är TCP-baserade tjänster och påverkas inte – dessa sessioner till routern tillåts.
5. Devices on the 192.168.10.0/24 network are allowed to reply to any ping requests. – Korrekt. ACL:n blockerar endast ICMP echo (ping-request) som skickas från 192.168.10.0/24. Den påverkar inte ICMP echo-replay, eftersom dessa har en ann ICMP-typ (typ 0). Dessutom är ACL:n applicerad inbound, vilket innebär att den endast filtrerar trafik som kommer in i routern, inte utgående (till exempel svar till echo-requests). Alltså, enheter på 192.168.10.0/24 får gärna ta enomt och svara på ping, men de får inte själva initiera ping-request via routern.
6. Only the network device assigned the IP address 192.168.10.1 is allowed to access the router. – Fel. Även om första raden tillåter just 192.168.10.1, tillåter sista raden permit ip any any all övrig IP-trafik. Det är alltså inte bara 192.168.10.1 som får åtkomst – alla andra IP-paket tillåts (förutom ICMP echo från /24).

16. Refer to the exhibit.

Router(config)# ip access-list extended Managers
Router(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 any eq telnet
Router(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 any eq www
Router(config-ext-nacl)# deny tcp 192.168.1.0 0.0.0.255 any eq ftp

The named ACL “Managers” already exists on the router. What will happen when the network administrator issues the commands that are shown in the exhibit?

1. The commands are added at the end of the existing Managers ACL. – Korrekt. När du anger en redan existerande namngiven ACL (i detta fall ”Managers”) utan sekvensnummer, läggs nya rader automatiskt i slutet av den befintliga listan. Detta är standard beteende för named ACLs.
2. The commands overwrite the existing Managers ACL. – Fel. En named ACL skrivs inte över när du återgår till konfigurationsläget. Befintliga rader bevaras såvida du inte raderar eller redigerar dem direkt.
3. The commands are added at the beginning of the existing Managers ACL. – Fel. Utan att ange sekvensnummer kommer nya poster alltid läggas sist, inte först.
4. The network administrator receives an error that states that the ACL already exists. – Fel. Att öppna en befintlig named ACL i konfiguration är tillåtet och genererar inte något felmeddelande.

17. Refer to the exhibit.

An administrator has configured a standard ACL on R1 and applied it to interface serial 0/0/0 in the outbound direction. What happens to traffic leaving interface serial 0/0/0 that does not match the configured ACL statements?

1. The traffic is dropped. – Korrekt. Alla ACLs har ett osynligt sista villkor: deny any. Det innebär att om ett paket inte matchar något av ACL:s uttryckliga regler, så blockeras det automatiskt. I detta fall, eftersom ACL:n är tillämpad utgående på s0/0/0, kommer trafik som inte matchas att släppas (droppas).
2. The source IP address is checked and, if a match is not found, traffic is routed out interface serial 0/0/1. – Fel. Om en paketkälla inte matchas i ACL:n, blockeras den – den skickas inte vidare till någon annan interface. Detta är inte ett fallback-beteende.
3. The resulting action is determined by the destination IP address. – Fel. Standard ACLs filtrerar endast på avsändarens IP-adress, inte på destination.
4. The resulting action is determined by the destination IP address and port number. – Fel. Detta gäller endast för extended ACLs. Standard ACLs matchar endast källadress, inte portnummer eller destinationsadress.

18. Refer to the exhibit.

The Gigabit interfaces on both routers have been configured with subinterface numbers that match the VLAN numbers connected to them. PCs on VLAN 10 should be able to print to the P1 printer on VLAN 12. PCs on VLAN 20 should print to the printers on VLAN 22.

What interface and in what direction should you place a standard ACL that allows printing to P1 from data VLAN 10, but stops the PCs on VLAN 20 from using the P1 printer? (Choose two.)

1. inbound – Fel. Standard ACLs bör placeras nära destinationen, vilket i de flesta fall innebär utgående (outbound) riktning på destinations interfacet.
2. R2 S0/0/1 – Fel. Detta är fel plats – detta interface ligger långt från destinationsenheten (P1) och används inte för VLAN 10 eller 12-trafik.
3. R1 Gi0/1.12 – Korrekt. Detta är subinterfacet på R1 som är kopplat till VLAN 12 – alltså där skrivaren P1 finns. Genom att placera ACL här kan vi styra vem som får nå skrivaren. Det är en bra plats att filtrera trafik nära destinationen. Eftersom ACL:n placeras på VLAN 12:s interface (Gi0/1.12) och vi vill kontrollera vem som får skicka trafik till skrivaren, behöver vi filtrera utgående trafik från R1 till skrivaren.
   
4. outbound – Korrekt. Eftersom vi filtrerar nära destinationen (på VLAN 12:s interface), ska ACL:n appliceras i utgående riktning. Det innebär att vi tillåter eller blockerar trafik innan den når skrivaren. Outbound betyder: ACL:n tillämpas när routern skickar paketet ut på subinterfacet Gi0/1.12, alltså mot skrivaren. Det gör att vi hindrar otillåten trafik från att nå P1, även om den redan har routats av R1. Till exempel:

   R1(config)# access-list 10 permit 192.168.10.0 0.0.0.255
   R1(config)# access-list 10 deny any
   R1(config)# interface gigabitethernet 0/1.12
   R1(config-if)# ip access-group 1 out

5. R1 S0/0/0 – Fel. Denna seriella länk ligger mellan R1 och R2 – inte optimalt för en standard ACL, som bör placeras nära destinationen.
6. R2 Gi0/1.20 – Fel. Detta är ingången för VLAN 20, men eftersom standard ACL inte kan filtrera på destination eller applikation (t.ex. skrivare), blir det fel att placera den här. Då skulle man oavsiktligt blockera all trafik från VLAN 20, inte bara till skrivaren.

19. Which statement describes a characteristic of standard IPv4 ACLs?

1. They are configured in the interface configuration mode. – Fel. Själva ACL-reglerna konfigureras globalt (config-läge), inte direkt under ett interface. Dock appliceras ACL:n på ett interface i interfacets konfigurationsläge med kommandot ip access-group.
2. They can be configured to filter traffic based on both source IP addresses and source ports. – Fel. Detta gäller endast extended ACLs. Standard ACLs kan inte filtrera på portar, endast source-IP.
3. They can be created with a number but not with a name. – Fel. Standard ACLs kan skapas både med nummer (1–99, 1300–1999) och med namn genom ip access-list standard .
4. They filter traffic based on source IP addresses only. – Detta är korrekt. Standard IPv4 ACLs kan endast filtrera på avsändarens (source) IP-adress – inga destinations adresser eller portar.

20. What is considered a best practice when configuring ACLs on vty lines?

1. Place identical restrictions on all vty lines. – Korrekt. Detta är best practice. Om man tillämpar olika ACL:er på olika vty-linjer (t.ex. 0 till 4), kan obehöriga användare fortfarande försöka nå systemet via andra vty-linjer. För att säkerställa konsekvent säkerhet bör alla linjer ha samma begränsningar.
2. Remove the vty password since the ACL restricts access to trusted users. – Fel. Att enbart använda ACL räcker inte som säkerhetsåtgärd. Lösenord (eller autentisering via t.ex. login local) är fortfarande nödvändigt. ACL är ett komplement, inte en ersättning.
3. Apply the ip access-group command inbound. – Fel. På vty-linjer används inte ip access-group, utan istället access-class, och riktningen är alltid in (eftersom det är för inkommande anslutningar via t.ex. Telnet/SSH). Detta alternativ blandar ihop begreppen.
4. Use only extended access lists. – Fel. På vty-linjer används oftast standard ACLs eftersom det är source-IP-adressen man filtrerar. Extended ACLs är inte nödvändiga i detta sammanhang.