Chapitre 4 - Liste de contrôle d'accès Flashcards
Renseignez les champs vides. Utilisez la notation décimale à point.
Le masque générique associé à 192.168.12.96/27 est _________
0.0.0.31
Explication : Pour obtenir le masque générique, vous pouvez soustraire le masque de sous-réseau de 255.255.255.255.
Un administrateur réseau doit configurer une liste de contrôle d’accès standard de manière à ce que seule la station de travail de l’administrateur avec l’adresse IP 192.168.15.23 puisse accéder au terminal virtuel du routeur principal. Quelles commandes de configuration permettent d’exécuter cette tâche ? (Choisissez deux réponses.)
Router1(config)# access-list 10 permit host 192.168.15.23
Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.0
Explication : Le masque générique 0.0.0.0 (utilisé après l’adresse IP) ou le mot clé du masque générique host (utilisé avant l’adresse IP) peuvent être employés pour autoriser ou refuser une adresse IP spécifique.
Quel énoncé décrit précisément une caractéristique des listes de contrôle d’accès IPv4 standard ?
- Elles filtrent le trafic en fonction des adresses IP source uniquement.
Explication : Une liste de contrôle d’accès IPv4 standard peut filtrer le trafic en fonction des adresses IP source uniquement. Contrairement à une liste de contrôle d’accès étendue, elle ne peut pas filtrer le trafic en fonction des ports de couche 4. Cependant, les listes de contrôle d’accès standard et étendues peuvent toutes deux être identifiées par un numéro ou un nom, et toutes deux sont configurées en mode de configuration globale.
Un administrateur a configuré une liste de contrôle d’accès sur R1 pour permettre l’accès administratif SSH à l’hôte 172.16.1.100. Quelle commande applique correctement la liste de contrôle d’accès ?
- R1(config-line)# access-class 1 in
Explication : L’accès administratif au routeur par SSH s’effectue via les lignes vty. Par conséquent, la liste de contrôle d’accès doit être appliquée à ces lignes dans la direction entrante. Pour ce faire, il suffit de passer en mode de configuration de ligne et d’exécuter la commande access-class .
Quel énoncé décrit précisément la différence entre le fonctionnement d’une liste de contrôle d’accès entrante et le fonctionnement d’une liste de contrôle d’accès sortante ?
- Les listes de contrôle d’accès entrantes sont traitées avant que les paquets soient acheminés, alors que les listes de contrôle d’accès sortantes sont traitées une fois le routage terminé.
Explication : Avec une liste de contrôle d’accès d’entrée, les paquets entrants sont traités avant d’être acheminés. Avec une liste de contrôle d’accès sortante, les paquets sont d’abord acheminés vers l’interface de sortie avant d’être traités. De ce fait, le traitement des éléments entrants est plus efficace du point de vue du routeur. La structure, les méthodes de filtrage et les limites (sur une interface, une seule liste de contrôle d’accès entrante et une seule liste de contrôle d’accès sortante peuvent être configurées) sont identiques pour les deux types de liste.
Un administrateur réseau configure une liste de contrôle d’accès nommée sur le routeur. Pourquoi la commande show ne renvoie-t-elle aucun résultat après son exécution ?
Le nom de la liste de contrôle d’accès est sensible à la casse.
Explication : Le nom d’une liste de contrôle d’accès nommée est alphanumérique, sensible à la casse et unique. Ainsi, le routeur considère « access_network » et « ACCESS_NETWORK » comme deux listes de contrôle d’accès distinctes.
Quel est le seul type de liste de contrôle d’accès disponible pour IPv6 ?
Étendue nommée
Explication : Contrairement à IPv4, IPv6 dispose d’un seul type de liste d’accès et il s’agit de la liste d’accès étendue nommée.
Quelle plage d’adresses IP est représentée par le réseau et le masque générique 192.168.70.0 0.0.0.127 ?
- 192.168.70.0 à 192.168.70.127
Explication : Le nombre de bits dans le masque générique représente le nombre de zéros dans le masque de sous-réseau.
La plage d’adresses IP de ce réseau serait 192.168.70.0 – 192.168.70.127, 192.168.70.127 étant l’adresse de diffusion.
Quels sont les mots clés que vous pouvez utiliser dans une liste de contrôle d’accès pour remplacer un masque générique, ou un couple d’adresse et de masque générique ? (Choisissez deux propositions.)
- host
- any
Explication : Les deux mots-clés qui peuvent être utilisés lors de la configuration des listes de contrôle d’accès sont host et any. Le mot-clé host équivaut à utiliser le masque générique 0.0.0.0 et le mot clé any peut être utilisé à la place du masque générique 255.255.255.255.
Quelle plage d’adresses IPv4 couvre toutes les adresses IP correspondant au filtre de liste de contrôle d’accès spécifié par 172.16.2.0 avec le masque générique 0.0.1.255 ?
- de 172.16.2.0 à 172.16.3.255
Explication : Le masque générique 0.0.1.255 signifie que les 23 premiers bits sont associés et que les 9 derniers bits sont ignorés. Autrement dit, l’adresse IP correspondante doit être comprise entre 172.16.2.0 et 172.16.3.255 (les 9 derniers bits correspondent à n’importe quelle combinaison de 0 et de 1).
Quelles sont les trois affirmations qui décrivent le traitement par liste de contrôle d’accès (ACL) des paquets ? (Choisissez trois réponses.)
- Une instruction deny any implicite refuse tout paquet qui ne correspond à aucune instruction de la liste de contrôle d’accès.
- Un paquet peut être refusé ou acheminé selon l’instruction mise en correspondance.
- Chaque instruction ACL est vérifiée jusqu’à détection d’une correspondance ou jusqu’à la fin de la liste.
Explication : Les listes de contrôle d’accès (ACL) sont traitées de haut en bas. Lorsqu’une ACL est inspectée, en cas de correspondance entre l’une de ses instructions et l’en-tête d’un paquet, les instructions restantes ne sont pas examinées et le paquet est soit refusé, soit autorisé selon ce qui est spécifié dans l’ACL. En cas de non-concordance entre un en-tête de paquet et une instruction ACL, le paquet est validé par rapport à l’instruction suivante de la liste. Ce processus de correspondance se poursuit jusqu’à la fin de la liste. Chaque ACL comporte un refus implicite en fin de liste. Cette instruction implicite s’applique à tous les paquets qui n’ont pas répondu aux conditions.
Un administrateur réseau configure une liste de contrôle d’accès (ACL) avec la commande R1(config)# access-list 1 permit 172.16.0.0 0.0.15.255. Quelles sont les deux adresses IP qui correspondent à cette instruction ACL ? (Choisissez deux propositions.)
- 172.16.0.255
- 172.16.15.36
Explication : Le masque générique indique que toute adresse IP incluse dans la plage comprise entre 172.16.0.0 et 172.16.15.255 correspond.
Quelles sont les entrées de contrôle d’accès implicites automatiquement ajoutées à la fin d’une liste de contrôle d’accès IPv6 ? (Choisissez trois réponses.)
- deny ipv6 any any
- permit icmp any any nd-ns
- permit icmp any any nd-na
Explication ; Toutes les listes de contrôle d’accès IPv6 incluent automatiquement deux instructions permit implicites : permit icmp any any nd-ns et permit icmp any any nd-na. Ces instructions permettent à l’interface du routeur d’effectuer des opérations de découverte de voisins. Une instruction implicite deny ipv6 any any est automatiquement incluse à la fin de chaque liste de contrôle d’accès IPv6 qui bloque tous les paquets IPv6 qui ne sont normalement pas autorisés.
Liste des directives de configuration des ACL (6 directives )
- Les ACL sont créées globalement, puis appliquée aux interfaces
- Les ACL filtrent le trafic passant par le routeur ou le trafic vers et à partir du routeur, selon la façon dont elle est appliquée
- Une seule ACL par interface, par protocole, par direction
- Utilisée pour filtrer les paquets
- Processus top-down : les états les plus spécifiques sont en haut de la liste
- Elles ont tous un deny any implicite à la fin - > doit être composée d’au moins une autorisation pour permettre n trafic de passer
Router(config)# access-list {1-99} {permit|deny} source-addr [source-mask]
- la 1ere valeur indique le numéro de l’ACL
- la 2e valeur précise s’il s’agit d’une permission ou restriction
- La 3e valeur indique le type de protocole
- L’adresse IP src et le masque détermine l’origine du trafic. L’adresse IP de destination et le masque précise la destination du trafic
La commande pour appliquer l’ACL standard ou étendue est :
Router(config-if)# ip access-group number {in | out }
Où placer une ACL standard?
- L’ACL standard doit être placée aussi près que possible de la destination, car si elle est placée trop près de la source, elle peut filtrer du trafic valide
Où placer une ACL étendue?
- L’ACL étendue doit être placée sur les routeurs les plus proches que possible de la source à filtrer, car si elle est placée trop loin, il y a une utilisation inefficace des ressources du réseau.
