Sie sind auf Seite 1von 16

Assessment Results

Item Feedback Report

Routing and Switching Essentials


(Version 5.0) - RSE - Exame do captulo 9
Below is the feedback on items for which you did not receive full credit. Some
interactive items may not display your response.
Subscore:

Quais so as duas funes que descrevem o us


controle de acesso? (Escolha duas.)
Correta Sua
Resposta Resposta
As ACLs podem permitir ou n

baseado no endereo MAC origem


As ACLs ajudam o roteador a

melhor caminho at um destino.


As ACLs fornecem um nvel b

segurana para acesso rede


As ACLs padro podem restri

aplicaes e portas especficas.


As ACLs podem controlar as
pode acessar em uma rede.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

9.1.1 Finalidade das ACLs

Quais so os dois usos possveis das listas de controle de acesso em uma red
(Escolha duas.)
Correta Sua
Resposta Resposta
reduzir a carga de processamento nos roteadores
limitar as sadas de depurao

permitir que o trfego de Camada 2 seja filtrado por um rot


controlar o acesso do terminal virtual para roteadores
controlar o status fsico das interfaces do roteador

Esse item faz referncia ao contedo das seguintes reas:


Routing and Switching Essentials

9.1.1 Finalidade das ACLs


Quais duas caractersticas so compartilhadas por ambas
as ACLs - padro e estendida? (Escolha duas.)
Correta
Sua
Resposta Resposta
Ambas incluem um deny implcito como
um entrada final.
Os dois tipos de ACLs podem filtrar com
base no tipo de protocolo.
Ambas filtram pacotes para um endereo

IP destino especfico de host.


Ambas podem permitir ou negar servios
especficos por nmero de porta.
Ambas podem ser criadas com o uso de
um nome ou um nmero.
As ACLs padro filtram o trfego com base apenas em
um endereo IP origem especificado. As ACLs estendidas
podem filtrar por origem ou destino, protocolo ou porta.
As ACLs padro e estendidas contm um deny implcito
como entrada final. As ACLs padro e estendida podem
ser identificadas por nomes ou por nmeros.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

9.1.2 ACL padro x ACL estendida do IPv4


Qual afirmativa descreve uma caracterstica de ACLs
padro de IPv4?
Correta
Sua
Resposta Resposta

Podem ser configuradas para filtrar o


trfego com base nos endereos IP origem e
nas portas origem.
Filtram o trfego apenas com base nos
endereos IP origem.
So configuradas no modo configurao
de interface.
Podem ser criadas com um nmeros mas
no com nomes.
Uma ACL IPv4 padro pode filtrar o trfego com base
nos endereos IP origem apenas. Diferentemente de uma
ACL estendida, ela no poder filtrar o trfego com base
nas portas de Camada 4. No entanto, as ACLs padro e
estendidas podem ser identificadas com um nmero ou
um nome e ambas so configuradas no modo de
configurao global.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

9.1.2 ACL padro x ACL estendida do IPv4


Um administrador de redes precisa configurar uma ACL
padro de modo que somente a estao de trabalho do
administrador com o endereo IP 192.168.15.23 possa
acessar o terminal virtual de roteador principal. Quais so
os dois comandos de configurao que podem realizar a
tarefa? (Escolha duas.)
Correta
Sua
Resposta Resposta
Roteador1(config)# access-list 10
permit 192.168.15.23 0.0.0.255
Roteador1(config)# access-list 10
permit host 192.168.15.23
Roteador1(config)# access-list 10
permit 192.168.15.23 0.0.0.0
Roteador1(config)# access-list 10
permit 192.168.15.23 255.255.255.255
Roteador1(config)# access-list 10

permit 192.168.15.23 255.255.255.0


Para permitir ou negar um endereo IP especfico, a
mscara curinga 0.0.0.0 (usada depois do endereo IP) ou
a palavra-chave de mscara curinga host (usada antes do
endereo IP) podem ser usadas.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

9.1.3 Mscaras curinga nas ACLs

9.2.1 Configurar ACLs padro do IPv4


Qual intervalo de endereo IPv4 abrange todos os
endereos IP que combinam o filtro da ACL especificado
por 172.16.2.0 com a mscara curinga 0.0.1.255?
Correta
Sua
Resposta Resposta
172.16.2.0 - 172.16.2.255
172.16.2.0 - 172.16.3.255

172.16.2.1 - 172.16.255.255
172.16.2.1 - 172.16.3.254
A mscara curinga 0.0.1.255 significa que os primeiros
23 bits corresponderam e os ltimos 9 bits so ignorados.
Ou seja, um endereo IP correspondente deve ser de
172.16.2.0 a 172.16.3.255 (em que os ltimos 9 bits vo
de todos 0s a todos 1s com qualquer valor entre eles).
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

9.1.3 Mscaras curinga nas ACLs


Se um roteador tem duas interfaces e est roteando o
trfego IPv4 e IPv6, quantas ACLs podem ser criadas e
aplicadas a ele?
Correta
Sua
Resposta Resposta
16
4
12

6
8
Ao calcular quantas ACLs podem ser configuradas, use a
regra dos trs Ps": uma ACL por protocolo, por direo e
por interface. Nesse caso, 2 interfaces x 2 protocolos x 2
direes produzem 8 possveis ACLs.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

9.1.4 Diretrizes para a criao de ACLs


Quais so as trs afirmativas geralmente consideradas
como prticas recomendadas no posicionamento das
ACLs? (Escolha trs.)
Correta
Sua
Resposta Resposta
Coloque as ACLs estendidas prximas ao
endereo IP destino do trfego.
Filtre o trfego indesejado antes que ele
trafegue em um link de baixa largura de
banda.
Coloque as ACLs padro prximas ao
endereo IP origem do trfego.
Coloque as ACLs padro prximas ao
endereo IP destino do trfego.
Para cada ACL de entrada colocada em
uma interface, deve haver uma ACL de sada
correspondente.
Coloque as ACLs estendidas prximas ao
endereo IP origem do trfego.
As ACLs estendidas devem ser posicionadas o mais
prximas possvel do endereo IP origem, de modo que o
trfego que precisa ser filtrado no atravesse a rede e use
recursos de rede. Como as ACLs padro no especificam
um endereo destino, elas devem ser posicionadas o mais
prximo possvel do destino. Colocar uma ACL padro
perto da origem pode ter o efeito de filtrar todo o trfego
e limitar os servios a outros hosts. Filtrar o trfego
indesejado antes que ele entre nos links de baixa largura
de banda preserva a largura de banda e suporta a

funcionalidade de rede. Decises sobre o posicionamento


da entrada ou sada das ACLs dependem dos requisitos a
serem satisfeitos.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

9.1.5 Diretrizes para o posicionamento da ACL

Consulte a figura. Um roteador tem uma ACL existente que


permite todo o trfego da rede 172.16.0.0. O administrador tenta
adicionar uma nova entrada ACL que nega pacotes do host
172.16.0.1 e recebe a mensagem de erro exibida na figura. Qual
ao o administrador pode tomar para bloquear os pacotes do
host 172.16.0.1 enquanto continua permitindo todo os outros
trfegos da rede 172.16.0.0?
Corre
ta
Sua
Respo Resposta
sta
Adicionar uma entrada deny any any na lista de
acesso 1.
Criar uma segunda lista de acesso que negue o host
e aplic-la na mesma interface.
Adicionar manualmente a nova entrada deny com
um nmero de sequncia igual a 15.
Adicionar manualmente a nova entrada deny com
um nmero de sequncia igual a 5.
Como a entrada deny um endereo de host da rede existente
172.16.0.0 que permitida, o roteador rejeita o comando e exibe
uma mensagem de erro. Para que a nova entrada deny entre em
vigor, ela deve ser configurada manualmente pelo administrador
com um nmero sequencial inferior a 10.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

9.2.2 Modificar ACLs do IPv4


Um administrador configurou uma lista de acesso em R1
para permitir o acesso administrativo SSH vindo do host
172.16.1.100. Qual comando aplica a ACL corretamente?
Correta
Sua
Resposta Resposta
R1(config-if)# ip access-group 1 in
R1(config-line)# access-class 1 out

10

R1(config-if)# ip access-group 1 out


R1(config-line)# access-class 1 in
Para o roteador, o acesso administrativo do SSH por
meio das linhas vty . Portanto, a ACL deve ser aplicada a
essas linhas na direo de entrada. Isso realizado
entrando-se no modo de configurao de linha e
utilizando o comando access-class .

Esse item faz referncia ao contedo das seguintes reas:


Routing and Switching Essentials

9.2.3 Proteo de portas VTY com uma ACL padro IPv4

11

Consulte a figura. O administrador de redes que tem o


endereo IP 10.0.70.23/25 precisa ter acesso ao servidor
FTP corporativo (10.0.54.5/28). O servidor FTP
tambm um servidor web que acessvel a todos os
funcionrios internos em redes no endereo 10.x.x.x.
Nenhum outro trfego deve ser permitido para esse
servidor. Qual ACL estendida seria usada para filtrar
este trfego e como essa ACL seria aplicada? (Escolha
duas.)

Correta
Respost
a

Sua
Resposta
access-list 105 permit tcp host
10.0.70.23 host 10.0.54.5 eq 20
access-list 105 permit tcp host 10.0.70.23
host 10.0.54.5 eq 21
access-list 105 permit tcp 10.0.0.0
0.255.255.255 host 10.0.54.5 eq www
access-list 105 deny ip any host 10.0.54.5
access-list 105 permit ip any any
R1(config)# interface s0/0/0
R1(config-if)# ip access-group 105 out
access-list 105 permit tcp host
10.0.54.5 any eq www
access-list 105 permit tcp host 10.0.70.23
host 10.0.54.5 eq 20
access-list 105 permit tcp host 10.0.70.23
host 10.0.54.5 eq 21
R2(config)# interface gi0/0
R2(config-if)# ip access-group 105 in
access-list 105 permit ip host
10.0.70.23 host 10.0.54.5
access-list 105 permit tcp any host
10.0.54.5 eq www
access-list 105 permit ip any any
R1(config)# interface gi0/0

R1(config-if)# ip access-group 105 out


As duas primeiras linhas da ACL permitem o acesso
FTP do host 10.0.70.23 ao servidor que tem o endereo
IP 10.0.54.5. A prxima linha da ACL permite o acesso
HTTP ao servidor de qualquer host que tenha um
endereo IP que comece com o nmero 10. A quarta
linha da ACL nega qualquer outro tipo de trfego para o
servidor a partir de qualquer endereo IP origem. A
ltima linha da ACL permite todo o resto, caso haja
outros servidores ou dispositivos adicionados rede
10.0.54.0/28. Como o trfego est sendo filtrado de
todos os outros locais e para o dispositivo 10.0.70.23, o
melhor local para colocar essa ACL perto do servidor.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials


12

9.3.2 Configurar ACL estendida de IPv4


Considerando a seguinte lista de acesso que permite
transferncias do arquivo de configurao do telefone IP
de um host especfico para um servidor TFTP:
R1(config)# access-list 105 permit udp host 10.0.70.23
host 10.0.54.5 range 1024 5000
R1(config)# access-list 105 deny ip any any
R1(config)# interface gi0/0
R1(config-if)# ip access-group 105 out
qual o mtodo permitiria que o administrador de redes
alterasse a ACL e inclusse as transferncias FTP de
qualquer endereo IP origem?
Correta
Sua
Resposta Resposta
R1(config)# access-list 105 permit tcp
any host 10.0.54.5 eq 20
R1(config)# access-list 105 permit tcp any
host 10.0.54.5 eq 21
R1(config)# interface gi0/0
R1(config-if)# no ip access-group 105 out
R1(config)# access-list 105 permit tcp any
host 10.0.54.5 eq 20
R1(config)# access-list 105 permit tcp any
host 10.0.54.5 eq 21
R1(config)# interface gi0/0
R1(config-if)# ip access-group 105 out
R1(config)# interface gi0/0
R1(config-if)# no ip access-group 105 out
R1(config)# no access-list 105
R1(config)# access-list 105 permit udp host
10.0.70.23 host 10.0.54.5 range 1024 5000
R1(config)# access-list 105 permit tcp any
host 10.0.54.5 eq 20
R1(config)# access-list 105 permit tcp any
host 10.0.54.5 eq 21
R1(config)# access-list 105 deny ip any any
R1(config)# interface gi0/0
R1(config-if)# ip access-group 105 out

R1(config)# access-list 105 permit udp


host 10.0.70.23 host 10.0.54.5 range 1024
5000
R1(config)# access-list 105 permit tcp any
host 10.0.54.5 eq 20
R1(config)# access-list 105 permit tcp any
host 10.0.54.5 eq 21
R1(config)# access-list 105 deny ip any any
Para modificar uma ACL numerada estendida remova a
ACL da interface. Copie a ACL em um documento de
texto. Exclua a ACL do roteador. Modifique a ACL no
documento de texto, reinsira a ACL no roteador e
aplique-a interface.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

13

9.3.2 Configurar ACL estendida de IPv4


Qual afirmativa descreve uma diferena entre a operao
das ACLs de entrada e de sada?
Correta
Sua
Resposta Resposta
As ACLs de entrada so processadas
antes que os pacotes sejam roteados, j as
ACLs de sada so processadas depois que o
roteamento concludo.
As ACLs de entrada podem ser usadas
tanto em roteadores como em switches, j as
ACLs de sada podem ser usadas somente em
roteadores.
Em uma interface de rede, mais de uma
ACL de entrada pode ser configurada mas
somente uma ACL de sada pode ser
configurada.
Ao contrrio das ALCs de sada, as ACLs
de entrada podem ser usadas para filtrar
pacotes com vrios critrios.
Com uma ACL de entrada, os pacotes de entrada so
processados antes que sejam roteados. Com uma ACL de
sada, os pacotes so roteados primeiro na interface de
sada e depois processados. Assim, o processamento de

entrada mais eficiente da perspectiva do roteador. A


estrutura, os mtodos de filtragem e as limitaes (em
uma interface, somente uma ACL de entrada e uma de
sada podem ser configuradas) so os mesmos para os
dois tipos de ACLs.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

9.5.1 Criao de ACLs IPv6


Qual recurso exclusivo das ACLs IPv6 quando
comparado quele da ACL IPv4?
Correta
Sua
Resposta Resposta
uma entrada deny any any implcita
um permit implcito dos pacotes de
descoberta de vizinhos
o uso de entradas de ACL nomeadas

14

o uso de mscaras curinga


Uma das principais diferenas entre ACLs IPv6 e IPv4
so duas entradas com permit implcito no final de
qualquer ACL IPv6. Essas duas entradas permit permitem
que as operaes de descoberta de vizinhos funcionem na
interface do roteador.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

15

9.6.1 Resumo
Quais so trs afirmativas que descrevem o
processamento de uma ACL em pacotes ? (Escolha trs.)
Correta
Sua
Resposta Resposta
Cada instruo examinada somente at
que seja detectada uma correspondncia ou
at chegar ao final da lista de entradas.
Um pacote que foi rejeitado por uma
entrada pode ser permitido por uma entrada
subsequente.

Um deny any implcito rejeita qualquer


pacote que no atenda a qualquer entrada.
Um pacote pode ser rejeitado ou
encaminhado conforme exigido pela entrada
com a qual coincide.
Um pacote que no atende s condies
de qualquer entrada ser encaminhado por
padro.
Cada pacote comparado s condies
de cada entrada na ACL antes de ser tomada
uma deciso de encaminhamento.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

9.5.1 Criao de ACLs IPv6


Quais trs entradas implcitas de controle de acesso so
adicionadas automaticamente ao final da ACL de IPv6?
(Escolha trs.)
Correta
Sua
Resposta Resposta
permit icmp any any nd-ns
permit ipv6 any any
deny ipv6 any any
permit icmp any any nd-na

16
deny icmp any any
deny ip any any
Todas as ACLs IPv6 incluem automaticamente duas
instrues permit implcitas: permit icmp any any nd-ns e
permit icmp any any nd-na. Essas instrues permitem
que a interface do roteador execute operaes de
descoberta de vizinhos. H tambm uma deny ipv6 any
any automaticamente implcita, inclusa bem no final de
qualquer ACL IPv6 , que bloqueia todos os pacotes IPv6
no permitidos.
Esse item faz referncia ao contedo das seguintes reas:

Routing and Switching Essentials

9.6.1 Resumo
Qual o nico tipo de ACL disponvel para IPv6?
Correta
Sua
Resposta Resposta
nomeada padro
nomeada estendida

17
numerada estendida
numerada padro
Ao contrrio do IPv4, o IPv6 tem apenas um tipo de lista
de acesso e essa a lista de acesso nomeada estendida.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

18

9.6.1 Resumo
Qual entrada do comando da ACL IPv6 permitir o
trfego de qualquer host para um servidor SMTP na rede
2001:DB8:10:10::/64?
Correta
Sua
Resposta Resposta
permit tcp any host
2001:DB8:10:10::100 eq 25
permit tcp host 2001:DB8:10:10::100
any eq 25
permit tcp host 2001:DB8:10:10::100
any eq 23
permit tcp any host
2001:DB8:10:10::100 eq 23
A instruo de lista de acesso IPv6, permit tcp any host
2001:DB8:10:10::100 eq 25, permitir pacotes IPv6 de
qualquer host para o servidor SMTP em
2001:DB8:10:10::100. A origem do pacote listada
primeiro na ACL, que no caso qualquer origem, e o
destino listado em segundo lugar, nesse caso, o
endereo IPv6 do servidor SMTP. O nmero da porta vem
por ltimo na instruo, a porta 25, que a porta bem

conhecida do SMTP.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

19

9.5.2 Configurao de ACLs IPv6

Consulte a figura. A lista de acesso IPv6 LIMITED_ACCESS


aplicada na interface S0/0/0 de R1 na direo de entrada. Quais
pacotes IPv6 do ISP sero descartados pela ACL no R1?
Corre
ta
Sua
Respo Resposta
sta
pacotes de ICMPv6 destinados ao PC1
anncios de vizinhos recebidos no roteador do ISP
pacotes HTTPS para o PC1
pacotes destinados ao PC1 na porta 80
A lista de acesso LIMITED_ACCESS bloquear os pacotes
ICMPv6 do ISP. A porta 80, o trfego HTTP, a porta 443 e o
trfego HTTPS so permitidos explicitamente pela ACL. Os
anncios de vizinhos do roteador do ISP so permitidos
implicitamente pela instruo implicit permit icmp any any nd-na
no final de todas as ACLs IPv6.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

9.5.2 Configurao de ACLs IPv6

Pergunta como apresentada:

Converter a mscara curinga 0.0.3.255 em binrio e subtrai-la de


255.255.255.255 produz uma mscara de sub-rede de 255.255.252.
Usar o parmetro de host em uma mscara curinga exige que todos
correspondam ao endereo fornecido.
192.168.15.65 o primeiro endereo de host vlido em uma sub20
rede comeando com o endereo de sub-rede 192.168.15.64. A ms
sub-rede contm 4 bits de host, produzindo sub-redes com 16 ender
192.168.15.144 um endereo de sub-rede vlido em uma sub-rede
semelhante. Altere a mscara curinga 0.0.0.15 para binrio e a subt
255.255.255.255, a mscara de sub-rede resultante ser 255.255.25
192.168.3.64 um endereo de sub-rede em uma sub-rede com 8
endereos. Converta 0.0.0.7 em binrio e o subtraia de 255.255.255
mscara de sub-rede resultante ser 255.255.255.248. Essa mscara
3 bits de host e produz 8 endereos.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

9.1.3 Mscaras curinga nas ACLs

Sua resposta:
21

Abra a atividade do PT. Realize as tarefas


nas instrues da atividade e, em seguida,
responda pergunta.
Por que a ACL no est funcionando?
Correta Sua
Resposta Resposta
A ACL no tem uma
entrada deny any any.
Nenhuma ACL necessria
para este cenrio.
A ACL est aplicada na
interface errada.
A ACL est aplicada na
direo errada.

O comando ou os
comandos access-list 105 esto
incorretos.
A ACL aplicada atualmente na interface
Fa0/0 que no utilizada. O servidor
conectado mesma rede que a interface
Fa0/1 de R1 est conectada. A ACL deve ser
aplicada a esta interface para proteger o
servidor.
Esse item faz referncia ao contedo das seguintes reas:
Routing and Switching Essentials

9.3.2 Configurar ACL estendida de IPv4