---

Det här är en fortsättning på frågebank 1 om Access Control Lists (ACLs). Precis som i den första delen får du här arbeta med frågor som testar din förståelse för hur ACL används för att styra och begränsa trafik i ett nätverk.
Frågorna är varierade och omfattar både standard- och utökade ACL:er, syntax, riktning, placering och praktisk tillämpning. Varje fråga har en förklaring på svenska som motiverar varför vissa alternativ är rätt och andra fel – med fokus på att fördjupa din praktiska förståelse för ACL i Cisco-miljöer.

33. An administrator first configured an extended ACL as shown by the output of the show access-lists command.

Router# show access-lists
Extended IP access list 101
  10 deny tcp any any
  20 permit udp any any
  30 permit icmp any any

The administrator then edited this access-list by issuing the commands below.

Router(config)# ip access-list extended 101 
Router(config-ext-nacl)# no 20
Router(config-ext-nacl)# 5 permit tcp any any eq 22
Router(config-ext-nacl)# 20 deny udp any any

Observa att efter redigiering blir ACL:n som följande:

Router# show access-lists
Extended IP access list 101
   5 permit tcp any any eq ssh
  10 deny tcp any any
  20 deny udp any any
  30 permit icmp any any

Which two conclusions can be drawn from this new configuration?​ (Choose two.)

1. TFTP packets will be permitted. – Fel. TFTP använder UDP port 69. Eftersom all UDP-trafik blockeras i rad 20 (deny udp any any), kommer TFTP att nekas.
2. Ping packets will be permitted. – Korrekt. Ping använder ICMP echo, vilket tillåts av rad 30 (permit icmp any any).
3. Telnet packets will be permitted. – Fel. Telnet använder TCP port 23. Det tillåts inte specifikt, och rad 10 nekar all annan TCP. Därför blockeras Telnet.
4. SSH packets will be permitted. – Korrekt. SSH använder TCP port 22, vilket tillåts uttryckligen i rad 5 (permit tcp any any eq 22).
5. All TCP and UDP packets will be denied. – Fel. Inte alla – SSH (TCP port 22) tillåts. All annan TCP och all UDP blockeras, men inte all TCP.

34. Which set of access control entries would allow all users on the 192.168.10.0/24 network to access a web server that is located at 172.17.80.1, but would not allow them to use Telnet?

1. access-list 103 deny tcp host 192.168.10.0 any eq 23 – Fel syntax: host 192.168.10.0, det är ett nätverk, inte en host.
2. access-list 103 permit tcp host 192.168.10.1 eq 80 – Fel. Tillåter endast en enskild host (192.168.10.1) som klient – inte hela 192.168.10.0/24.
3. access-list 103 permit tcp 192.168.10.0 0.0.0.255 any eq 80 – Fel. Tillåter HTTP till vilken destination som helst, inte enbart till webservern 172.17.80.1.
4. access-list 103 deny tcp 192.168.10.0 0.0.0.255 any eq 23 – Fel. Trots att den nekar Telnet korrekt, men det saknas fortfarande en korrekt permit för bara HTTP till just 172.17.80.1.
5. access-list 103 permit 192.168.10.0 0.0.0.255 host 172.17.80.1 – Fel. Protokoll saknas – bör vara permit tcp, och det saknas port specificering. Den tillåter all IP-trafik.
6. access-list 103 deny tcp 192.168.10.0 0.0.0.255 any eq telnet – Fel. Syntaxen är korrekt, men utan rätt permit för HTTP till specifik server räcker det inte.
7. access-list 103 permit tcp 192.168.10.0 0.0.0.255 host 172.17.80.1 eq 80 – Korrekt. Tillåter endast HTTP-trafik från hela nätet till endast den specifika webservern.
8. access-list 103 deny tcp 192.168.10.0 0.0.0.255 any eq 23 – Korrekt. Blockerar Telnet (TCP port 23) från alla klienter i nätet, oavsett destination – vilket uppfyller kravet.

36. Refer to the exhibit.

The network administrator has an IP address of 192.168.11.10 and needs access to manage R1. What is the best ACL type and placement to use in this situation?

1. extended ACL outbound on R2 WAN interface towards the internet – Fel. Detta påverkar endast trafik från R2 ut mot internet – inte relevant för att skydda eller styra åtkomst till R1. 
2. standard ACL inbound on R1 vty lines – Korrekt. Detta är bästa praxis för att begränsa åtkomst till routerns hanteringslinjer (vty). En standard ACL räcker, eftersom vi bara behöver filtrera på source-adress (administratörens IP, 192.168.11.10). ACL Placeras med kommandot access-class på vty-linjerna. 
3. extended ACLs inbound on R1 G0/0 and G0/1 – Fel. Extended ACLs är onödiga här – vi behöver bara filtrera vem som får ansluta till vty, inte specifika portar eller protokoll på interface-nivå. Extended ACL:er används för att tillåta eller blockera paket baserat på både source- och destinations adresser för IPv4, protokolltyp samt source- och destinations portar för TCP eller UDP, bland annat. Eftersom de ger en så detaljerad kontroll över trafiken bör utökade ACL:er placeras så nära trafik-källan som möjligt. På så sätt kan oönskad trafik stoppas direkt vid uppkomsten, utan att belasta resten av nätverket.
4. extended ACL outbound on R2 S0/0/1 – Fel. Detta påverkar trafik från R2 mot R3, alltså vidare ut mot servern – inte relevant för åtkomst till R1.

37. A technician is tasked with using ACLs to secure a router. When would the technician use the any configuration option or command?

1. to add a text entry for documentation purposes – Fel. any är inte ett verktyg för dokumentation. För dokumentation används kommentarer (t.ex. remark).
2. to generate and send an informational message whenever the ACE is matched – Fel. Detta uppnås med log-kommandot, inte any.
3. to identify any IP address – Korrekt. any är en genväg i ACL-syntax som betyder ”vilken som helst IP-adress”. Det används till exempel i regler som permit ip any any, vilket tillåter all trafik oavsett source- och destinations adress.
4. to identify one specific IP address – Fel. För att identifiera en specifik IP-adress används host-kommandot, t.ex. host 192.168.1.1.

42. Which two keywords can be used in an access control list to replace a wildcard mask or address and wildcard mask pair? (Choose two.)

1. host – Korrekt. host används för att matcha en specifik IP-adress. Exempel:
   permit ip host 192.168.1.1 any är samma som permit ip 192.168.1.1 0.0.0.0 any
2. most – Fel. Detta är inte ett giltigt nyckelord i ACL-syntax.
3. gt – Fel. gt (greater than) används i ACLs för att matcha portnummer, inte IP-adresser eller wildcardmasker.
4. some – Fel. Inte ett giltigt ACL-nyckelord.
5. any – Korrekt. any är en genväg för att matcha alla IP-adresser. Exempel: permit ip any any är samma som permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255.
6. all – Fel. all är inte ett ACL-nyckelord. Det blandas ibland ihop med any.

43. Which statement describes a difference between the operation of inbound and outbound ACLs?

1. Inbound ACLs are processed before the packets are routed while outbound ACLs are processed after the routing is completed. – Detta är korrekt. Inbound ACLs appliceras innan routern fattar beslut om vart paketet ska skickas. Outbound ACLs tillämpas efter routing-beslutet, precis innan paketet lämnar ett interface.
2. In contrast to outbound ALCs, inbound ACLs can be used to filter packets with multiple criteria. – Fel. Både inbound och outbound ACLs har exakt samma filtrerings möjligheter — det handlar om placering och riktning, inte om funktionalitet.
3. On a network interface, more than one inbound ACL can be configured but only one outbound ACL can be configured. – Fel. Endast en ACL per riktning (in eller out) kan konfigureras per interface – oavsett om det är in eller out.
4. Inbound ACLs can be used in both routers and switches but outbound ACLs can be used only on routers. – Fel. Både inbound och outbound ACLs kan användas på switchar (Layer 3-switchar) och routrar, så detta stämmer inte.

44. What effect would the Router1(config-ext-nacl)# permit tcp 172.16.4.0 0.0.0.255 any eq www command have when implemented inbound on the f0/0 interface?

1. All TCP traffic is permitted, and all other traffic is denied. – Fel. Endast TCP-trafik med destination port 80 tillåts. All annan trafik (inklusive annan TCP) blockeras om det inte finns fler permit-rader.
2. Traffic originating from 172.16.4.0/24 is permitted to all TCP port 80 destinations. – Korrekt. Detta är exakt vad kommandot gör: tillåter TCP-trafik från källor i 172.16.4.0/24 till alla destinationer, men endast till port 80.
3. All traffic from 172.16.4.0/24 is permitted anywhere on any port. – Fel. Endast TCP, och endast till port 80 tillåts.
4. The command is rejected by the router because it is incomplete. – Fel. Kommandot är fullständigt och korrekt enligt syntax för extended ACL.

45. Which ACE will permit a packet that originates from any network and is destined for a web server at 192.168.1.1?

1. access-list 101 permit tcp any host 192.168.1.1 eq 80 – Detta är exakt korrekt. source är any, destinationen är host 192.168.1.1, och det är TCP-trafik till port 80 (HTTP).
2. access-list 101 permit tcp host 192.168.1.1 eq 80 any – Fel syntax. Denna regel betyder att 192.168.1.1 är avsändaren, inte mottagaren. Fel riktning.
3. access-list 101 permit tcp host 192.168.1.1 any eq 80 – Fel syntax – portnumret är kopplat till destinationen, och här står det som om källan ska matcha port 80.
4. access-list 101 permit tcp any eq 80 host 192.168.1.1 – Fel syntax. Port 80 är placerad på fel sida – eq 80 gäller destinationens port, inte source-IP. Det här betyder att avsändaren använder port 80, vilket inte är fallet vid ett vanligt HTTP-anrop.

46. Refer to the exhibit.

Corp# show running-config

interface GigabitEthernet0/1
description Server Farm
ip address 172.16.1.1 255.255.255.0
ip access-group FileServerAccess out
!
. . . . 
!
ip access-list extended FileServerAccess
 deny tcp 172.18.200.0 0.0.0.255 host 172.16.1.15 eq ftp
 deny tcp 172.18.200.0 0.0.0.255 host 172.16.1.15 eq ftp-data
 deny tcp 172.18.200.0 0.0.0.255 host 172.16.1.15 eq telnet
!

A new network policy requires an ACL denying FTP and Telnet access to a Corp file server from all interns. The address of the file server is 172.16.1.15 and all interns are assigned addresses in the 172.18.200.0/24 network. After implementing the ACL, no one in the Corp network can access any of the servers. What is the problem?

1. Inbound ACLs must be routed before they are processed. – Fel. Detta gäller riktningen av ACL:er, men har inget med felet att göra här. Det finns ingen permit.
2. The ACL is implicitly denying access to all the servers. – Korrekt. Eftersom endast deny-rader finns och ingen permit, så blockeras all annan trafik på grund av den osynliga deny ip any any i slutet.
3. Named ACLs require the use of port numbers. – Fel. Det är inte ett krav – named ACLs kan användas med eller utan portnummer beroende på syftet.
4. The ACL is applied to the interface using the wrong direction. – Fel. out är rätt riktning här, eftersom trafiken går ut från routern mot serverfarmen.

47. A technician is tasked with using ACLs to secure a router. When would the technician use the access-class 20 in configuration option or command?

1. to secure administrative access to the router – Korrekt. access-class används på VTY-linjer för att kontrollera vem som får fjärransluta till routern, t.ex. via Telnet eller SSH. Kommandot access-class 20 in innebär att standard-ACL 20 tillämpas på inkommande anslutningar till routern, vilket är ett sätt att skydda administrativ åtkomst.
2. to remove an ACL from an interface – Fel. För att ta bort en ACL från ett interface används no ip access-group …, inte access-class.
3. to remove a configured ACL – Fel. För att radera själva ACL:n används no access-list 20 – inte access-class.
4. to apply a standard ACL to an interface – Fel. Standard-ACL appliceras på interface med kommandot ip access-group, inte access-class.

49. Refer to the exhibit.

Internet privileges for an employee have been revoked because of abuse but the employee still needs access to company resources. What is the best ACL type and placement to use in this situation?

1. standard ACL inbound on R2 WAN interface connecting to the internet – Fel. Standard ACLs filtrerar på source-adress. Vid denna punkt är source-adressen ofta redan översatt (t.ex. NAT), vilket gör det svårt att filtrera rätt trafik. Inte optimal plats.
2. standard ACL outbound on R2 WAN interface towards the internet – Korrekt. Detta är bästa valet. Här filtrerar du trafik som är på väg ut mot internet, och du kan använda en standard ACL för att blockera en specifik intern IP-adress. Trafiken till interna resurser påverkas inte.
3. standard ACL inbound on R1 G0/0 – Fel. Att blockera på G0/0 (från PC1) skulle påverka all trafik, inklusive åtkomst till interna resurser. Fel riktning.
4. standard ACL outbound on R1 G0/0 – Fel. Samma som ovan – riskerar att blockera trafik för bredare syften, inklusive interna system.

50. Refer to the exhibit.

The student on the H1 computer continues to launch an extended ping with expanded packets at the student on the H2 computer. The school network administrator wants to stop this behavior, but still allow both students access to web-based computer assignments. What would be the best plan for the network administrator?

1. Apply an inbound standard ACL on R1 Gi0/0. – Fel. Standard ACL kan inte filtrera på ICMP – den kan bara filtrera på source-IP. Man behöver extended ACL.
2. Apply an inbound extended ACL on R2 Gi0/1. – Fel. Detta stoppar trafiken först när den redan kommit fram till mottagaren (H2:s sida). Bättre att stoppa den vid avsändaren (source).
3. Apply an outbound extended ACL on R1 S0/0/1. – Fel. Denna länk går mot Internet – men problemet gäller lokal trafik mellan H1 och H2.
4. Apply an inbound extended ACL on R1 Gi0/0. – Korrekt. Detta är bästa valet. Du filtrerar ICMP-trafik från H1 så fort den når routern, och kan samtidigt tillåta HTTP/HTTPS. Du stoppar oönskad ping utan att påverka webben.
5. Apply an outbound standard ACL on R2 S0/0/1. – Fel riktning och fel ACL-typ. S0/0/1 leder ut mot internet, och standard ACL räcker inte för att blockera specifika protokoll.

51. A technician is tasked with using ACLs to secure a router. When would the technician use the ‘ip access-group 101 in’ configuration option or command?

1. to apply an extended ACL to an interface – Detta är korrekt. Kommandot ip access-group 101 in applicerar ACL 101 i inriktning på ett specifikt interface. Det används för både standard och extended ACLs, men eftersom 101 är ett nummer inom det utökade intervallet (100–199), är det troligen en extended ACL.
2. to secure management traffic into the router – Fel. För att filtrera hanteringstrafik (t.ex. SSH eller Telnet) till routern används oftast access-class på vty-linjer, inte ip access-group.
3. to secure administrative access to the router – Fel. Som ovan, access-class är rätt kommando för detta, inte ip access-group.
4. to display all restricted traffic – Fel. Detta görs inte med ip access-group. Man kan lägga till log i ACL-reglerna för att logga träffar, men det här kommandot visar inte trafik.

55. Refer to the exhibit.

Network 192.168.30.0/24 contains all of the company servers. Policy dictates that traffic from the servers to both networks 192.168.10.0 and 192.168.11.0 be limited to replies for original requests. What is the best ACL type and placement to use in this situation?

1. extended ACL inbound on R3 G0/0 – Korrekt. Detta är bästa platsen. Genom att placera en extended ACL på R3:s G0/0 inbound, kan du kontrollera utgående servertrafik (alltså vad servrarna skickar ut). Du kan använda permit tcp any any established för att tillåta bara svarstrafik.
2. extended ACL inbound on R1 G0/0 – Fel. Detta filtrerar trafik från klienter (192.168.10.0/24) till R1, inte från servrarna. Fel plats.
3. standard ACL inbound on R1 G0/1 – Fel. Standard ACL räcker inte, eftersom du behöver filtrera på protokoll och status (t.ex. TCP established).
4. standard ACL inbound on R1 vty lines – Fel. Detta begränsar åtkomst till routerns hanteringslinjer, inte till servertrafik. Irrelevant i sammanhanget.

56. What does the CLI prompt change to after entering the command ip access-list standard aaa from global configuration mode?

1. Router(config-line)# – Fel. Används när du är i konfiguration för t.ex. VTY- eller konsollinjer – inte ACL.
2. Router(config-std-nacl)# – Detta är den korrekta prompten när du konfigurerar en namngiven standard ACL. Här kan du sedan lägga till ACE:er, t.ex. permit 192.168.1.0 0.0.0.255.
3. Router(config)# – El. Detta är globalt konfigurationsläge – där du befinner dig innan du skriver ip access-list ….
4. Router(config-router)# – Fel. Detta gäller routing-protokoll (t.ex. OSPF, RIP), inte ACL.
5. Router(config-if)# – Fel. Används när du konfigurerar ett specifikt interface – inte för ACL.

57. Refer to the exhibit.

Many employees are wasting company time accessing social media on their work computers. The company wants to stop this access. What is the best ACL type and placement to use in this situation?

1. extended ACL outbound on R2 WAN interface towards the internet – Korrekt. Detta är det bästa valet. Extended ACL krävs för att filtrera trafik baserat på destinationens port (t.ex. HTTP – port 80, HTTPS – port 443), och placering outbound på R2:s WAN-interface gör att du kan stoppa oönskad trafik precis innan den går ut till internet. Till exempel:

   ip access-list extended Block_SocialMedia
    deny   tcp any host 157.240.22.35 eq 80      ! (exempel: facebook.com IP-adress)
    deny   tcp any host 157.240.22.35 eq 443
    deny   tcp any host 31.13.71.36 eq 80        ! (exempel: instagram.com IP-adress)
    deny   tcp any host 31.13.71.36 eq 443
    permit ip any any

2. standard ACL outbound on R2 WAN interface towards the internet – Fel. Standard ACL filtrerar bara på source-IP, inte destination eller port. Det räcker inte för att blockera specifika webbtjänster.
3. standard ACL outbound on R2 S0/0/0 – Fel. Samma problem, standard ACL kan inte filtrera på portnummer eller destinationens IP.
4. extended ACLs inbound on R1 G0/0 and G0/1 – Fel. Det skulle kunna fungera, men kräver två ACLs (en per nät), och det kan bli mer komplicerat. Att blockera på R2:s utgång mot internet är enklare och centralt.

58. A technician is tasked with using ACLs to secure a router. When would the technician use the 40 deny host 192.168.23.8 configuration option or command?

1. to remove all ACLs from the router – Fel. Detta kommando skapar en ACE (Access Control Entry) – det tar inte bort några ACLs. För att radera ACLs används no access-list.
2. to create an entry in a numbered ACL – Detta är korrekt. Siffran 40 är ett sekvensnummer som används i namngivna ACLs, men kan också förekomma i visst kommandoformat i IOS. I vissa fall kan access-list 1 deny host … skrivas med en sekvens. Formatet används för att lägga till eller ordna regler i en ACL.
3. to apply an ACL to all router interfaces – Fel. ACLs appliceras med ip access-group på specifika interface – aldrig globalt på ”alla”.
4. to secure administrative access to the router – Fel. För detta används normalt access-class på VTY-linjer, inte ett deny-kommando på en vanlig ACL-rad.

60. What wild card mask will match networks 172.16.0.0 through 172.19.0.0?

1. 0.0.3.255 – Fel. Detta wildcard varierar i tredje oktetten, inte i andra – fel intervall.
2. 0.252.255.255 – Fel. Detta wildcard hoppar i steg om 4 i andra oktetten (på grund av binärt 252 = 11111100), men det matchar bara vissa steg (t.ex. 172.16.0.0, 172.20.0.0…), inte 16–19.
3. 0.3.255.255 – Korrekt. Detta wildcard tillåter variation från 172.16.0.0 till 172.19.255.255, vilket exakt matchar önskat spann. Det vill säga 172.16.0.0, 172.17.0.0, 172.18.0.0, och 172.16.19.0
   Varje nätverksadress inleder med 10101100 (172) och i den andra oktetten:
   00010000 (16), 00010001 (17), 00010010 (18), och 00010011 (19).
   Detta visar att alla nämnda adresser har gemensamt 10101100.000100xx.
   Nätverks ID markeras: 11111111.11111100.00000000.00000000 (255.252.0.0)
   Wildcard-masken: 00000000.00000011.11111111.11111111, alltså 0.3.255.255
4. 0.0.255.255 – Fel. Detta tillåter variation i tredje och fjärde oktetten, men inte andra, så det matchar endast 172.16.0.0–172.16.255.255.

62. A technician is tasked with using ACLs to secure a router. When would the technician use the no ip access-list 101 configuration option or command?

1. to apply an ACL to all router interfaces – Fel. Detta kommando (no ip access-list 101) används inte för att applicera ACLs, utan för att ta bort dem. Dessutom kan ACLs bara tillämpas på ett interface åt gången.
2. to secure administrative access to the router – Fel. För att begränsa t.ex. Telnet/SSH används access-class på vty-linjer, inte detta kommando.
3. to remove all ACLs from the router – Fel. Detta kommando (no ip access-list 101) tar bort just ACL 101, inte alla ACLs.
4. to remove a configured ACL – Detta är rätt. no ip access-list 101 tar bort hela den konfigurerade ACL 101 från routerns konfiguration.

65. A technician is tasked with using ACLs to secure a router. When would the technician use the ip access-group 101 in configuration option or command?

1. to secure administrative access to the router – Fel. För att begränsa administrativ åtkomst (t.ex. SSH eller Telnet) används vanligtvis access-class på vty-linjer, inte ip access-group.
2. to apply an extended ACL to an interface – Detta är korrekt. ip access-group 101 in används för att applicera ACL 101 (vilket i detta fall är en extended ACL) i inriktning på ett specifikt interface. Extended ACLs kan filtrera på protokoll, portar, IP-adresser med mera.
3. to display all restricted traffic – Fel. Detta kommando visar inget. För att logga blockerad trafik används log i ACL-regler, men detta kommando är bara för att aktivera ACL:n på ett interface.
4. to secure management traffic into the router – Fel. Även här används access-class på vty-linjer, inte ip access-group.

66. A technician is tasked with using ACLs to secure a router. When would the technician use the remark configuration option or command?

1. to generate and send an informational message whenever the ACE is matched – Fel. Detta görs med log-kommandot, inte remark.
2. to add a text entry for documentation purposes – Korrekt. remark används för att lägga till en kommentar i en ACL. Det påverkar inte trafiken, utan används för att dokumentera syftet med reglerna, t.ex. remark Block access from interns.
3. to identify one specific IP address – Fel. För detta används host-kommandot, t.ex. host 192.168.1.1.
4. to restrict specific traffic access through an interface – Fel. För att filtrera trafik används kommandon som permit eller deny – inte remark.

67. Refer to the exhibit.

The company CEO demands that one ACL be created to permit email traffic to the internet and deny FTP access. What is the best ACL type and placement to use in this situation?
Observera att ACL ska:
Tillåta e-post (t.ex. SMTP – port 25, POP3 – port 110, IMAP – port 143, eller liknande). Blockera FTP (port 20/21), ochfFiltrera på protokoll och portar vilket indikerar att använda Extended ACL.

1. extended ACL outbound on R2 WAN interface towards the internet – Korrekt. Detta är det bästa alternativet. En extended ACL tillåter filtrering av trafik från interna nätverk mot internet baserat på protokoll och portnummer, och placering på R2:s WAN-interface (ut mot internet) innebär att en enda ACL räcker för att kontrollera all utgående trafik.
2. standard ACL outbound on R2 S0/0/0 – Fel. Standard ACLs kan inte filtrera på portnummer (t.ex. FTP vs e-post), vilket är nödvändigt i detta fall.
3. extended ACL inbound on R2 S0/0/0 – Fel. Detta skulle kräva mer noggrann kontroll av inkommande trafik från flera interna nät – mer komplext än att filtrera allt på väg ut.
4. standard ACL inbound on R2 WAN interface connecting to the internet – Fel. Standard ACL kan inte särskilja protokoll som FTP och e-post. Dessutom är inbound på WAN ett dåligt val eftersom NAT eller andra översättningar kan göra filtrering svårare.

68. A technician is tasked with using ACLs to secure a router. When would the technician use the established configuration option or command?

1. to add a text entry for documentation purposes – Fel. För detta används remark, inte established.
2. to display all restricted traffic – Fel. Detta görs med log-kommandot i ACL-regler – inte med established.
3. to allow specified traffic through an interface – Fel. Detta görs med permit- och deny-regler – established är en modifierare som används tillsammans med permit tcp.
4. to allow returning reply traffic to enter the internal network – Detta är korrekt. established används i extended ACLs tillsammans med permit tcp för att tillåta svarstrafik (t.ex. svar från webbservrar) utan att tillåta att externa enheter initierar nya sessioner. Det fungerar genom att kontrollera TCP-flaggor som ACK eller RST.

69. A technician is tasked with using ACLs to secure a router. When would the technician use the deny configuration option or command?

1. to identify one specific IP address – Fel. För att matcha en enskild IP-adress används host, t.ex. host 192.168.1.1.
2. to display all restricted traffic – Fel. För att logga eller visa träffar används log i en ACL-rad, inte deny i sig.
3. to restrict specific traffic access through an interface – Korrekt. Detta är precis vad deny gör i en ACL – det används för att blockera eller förbjuda viss trafik, t.ex. trafik från en viss source, till en viss destination, på ett visst protokoll eller portnummer.
4. to generate and send an informational message whenever the ACE is matched – Fel. Som tidigare nämnts, detta görs med log-tillägget, inte deny.

70. Refer to the exhibit.

Only authorized remote users are allowed remote access to the company server 192.168.30.10. What is the best ACL type and placement to use in this situation?

Observera att ”remote users” motsvarar trafik från internet.

1. extended ACLs inbound on R1 G0/0 and G0/1 – Fel. Dessa interface är på interna nätverk (192.168.10.0/24 och 192.168.11.0/24) – inte relevanta för att filtrera extern fjärrtrafik från internet.
2. extended ACL outbound on R2 WAN interface towards the internet – Fel. Utgående trafik till internet är inte problemet. Målet är att kontrollera vem som får komma in från internet till servern.
3. extended ACL inbound on R2 S0/0/0 – Fel. S0/0/0 är den seriella länken mellan R1 och R2 – det hanterar intern trafik, inte fjärråtkomst från internet.
4. extended ACL inbound on R2 WAN interface connected to the internet – Korrekt. Detta är den korrekta placeringen. Genom att applicera en extended ACL inbound på R2:s WAN-interfacet, kan du filtrera fjärranslutningar från specifika IP-adresser och portar riktade mot servern 192.168.30.10. Det är bästa praxis att filtrera oönskad trafik så tidigt som möjligt.

71. Refer to the exhibit.

Employees on 192.168.11.0/24 work on critically sensitive information and are not allowed access off their network. What is the best ACL type and placement to use in this situation?

1. standard ACL inbound on R1 vty lines – Fel. Detta begränsar fjärr administrativ åtkomst (t.ex. SSH eller Telnet), inte generell nätverkstrafik.
2. extended ACL inbound on R1 G0/0 – Fel. Detta interface hanterar 192.168.10.0/24, alltså fel nätverk.
3. standard ACL inbound on R1 G0/1 – Detta är rätt val. G0/1 är interfacet som är kopplat till 192.168.11.0/24. En standard ACL kan placeras inbound där för att blockera trafik från det nätverket innan den går vidare till andra delar av nätverket eller internet.
4. extended ACL inbound on R3 S0/0/1 – Fel. R3:s gränssnitt hanterar trafik mot servern. Det påverkar inte direkt utgående trafik från 192.168.11.0/24.

72. A technician is tasked with using ACLs to secure a router. When would the technician use the host configuration option or command?

1. to add a text entry for documentation purposes – Fel. För detta används kommandot remark, inte host.
2. to generate and send an informational message whenever the ACE is matched – Fel. För att logga träffar används tillägget log i slutet av en ACL-rad.
3. to identify any IP address – Fel. För att matcha alla IP-adresser används any, inte host.
4. to identify one specific IP address – Detta är korrekt. host används för att ange en enda specifik IP-adress utan att behöva skriva ut en wildcard-mask.

Exempel:

access-list 10 permit host 192.168.1.10
Detta är samma sak som:
access-list 10 permit 192.168.1.10 0.0.0.0

74. Refer to the exhibit.

The company has provided IP phones to employees on the 192.168.10.0/24 network and the voice traffic will need priority over data traffic. What is the best ACL type and placement to use in this situation?

Observera att Syftet är inte att blockera trafik, utan att identifiera och särskilja rösttrafik (t.ex. VoIP). VoIP använder typiskt:
– SIP (signalerings protokoll): UDP port 5060
– RTP (faktisk röstdata): UDP portar 16384–3276
För att kunna matcha t.ex. UDP-trafik på specifika portar (som 5060 för SIP eller 16384–32767 för RTP) behövs en extended ACL. Denna trafik kommer från 192.168.10.0/24, så vi vill identifiera trafiken när den kommer in på routern, dvs på R1 G0/0.

1. extended ACL inbound on R1 G0/0 – Korrekt. Detta är den bästa placeringen. Vi kan matcha rösttrafik från 192.168.10.0/24 när den anländer till routern via G0/0 och därefter prioritera den i t.ex. QoS-konfiguration. En extended ACL krävs för att särskilja portar och protokoll.
2. extended ACL outbound on R2 WAN interface towards the internet – Fel. För sent i flödet – vi vill särskilja trafiken tidigt för att kunna prioritera rätt.
3. extended ACL outbound on R2 S0/0/1 – Fel. Gäller inte trafiken från det lokala nätverket, och det är inte rätt plats att märka eller identifiera VoIP.
4. extended ACLs inbound on R1 G0/0 and G0/1 – Fel. Det räcker att applicera ACL på G0/0 där IP-telefonerna finns (192.168.10.0/24). G0/1 är irrelevant för VoIP i detta scenario.

---