본문 바로가기

IT Study/Network 자격증

[CCNA 200-125] [ CCNA Access List Sim ] ACL 시뮬레이션 문제

반응형

CCNA Access List Sim


% CCNA 시험에서 ACL(Access Control List) 시뮬레이션의 문제는 시나리오부분과 제어요구조건, 기본환경조건으로 

   구분할 수 있으며 제어요구조건(5가지)를 분석하여 ACL 을 작성하고 적용하는 문제가 나오고 있습니다.


Question


1. CCNA ACL Sim 문제에서 가장 먼저 파악 되어야할 부분은 제어요구조건 부분입니다.

위 제어요구조건을 보면 아래와 같습니다.


"The task is to create and apply an access-list with no more than three statements

 - 작업은 3개 이하의 명령문을 사용하여 Access-list 을 작성하고 적용합니다.


that will allow ONLY Host C web access to the Finance Web Server. 

 - Finance Web Server 에 Host C 만 web 접근을 허용 합니다.


No other Hosts will have access to the Finance Web Server.

 - 다른 Host는 Finance Web Server 에 web 접근을 할 수 없습니다.


All other traffic is permitted"

 - 그외 모든 트래픽은 허용 합니다.


2. 1번 항목의 제어요구조건을 이해하였다면 콘솔을 통해서 ACL 작성하고 적용하면 됩니다.(기본환경조건 포함)


Password : cisco (장비 접속에 필요한 Password 입력) 


Corp1>enable (특권 모드로 접근 )

*특권 모드(Prvilege Mode) : 관리자가 장비를 관리하기 위한 모드 


Corp1#show running-config (Corp 라우터의 어떤 Port 에 어떤 장비가 연결 되어있는지 확인합니다.)


 access_list_sim_show_running.jpg


Corp1#configure terminal (글로벌 모드로 접근)

 *글로벌 모드(Global Mode) : 장비 구성(설정,변경,삭제)이 가능한 모드



 제어요구조건 적용 (중요!!!) - 총 5가지 모드 출제


Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80

 - Finance Web Server 에 Host C 만 Web 접근을 허용 합니다. (Web defult Port Number : 80)


Corp1(config)#access-list 100 deny tcp any host 172.22.242.23 eq 80

 - 다른 Host는 Finance Web Server 에 web 접근을 할 수 없습니다.


Corp1(config)#access-list 100 permit ip any any

 - 그외 모든 트래픽은 허용 합니다.



Corp1(config)#interface fa0/1  (서버들과 연결된 포트(fa0/1)에 접근, *fa0/1 = FastEthernet0/1)

 

Corp1(config-if)#ip access-group 100 out (해당 라우터에서 서버장비로 트래픽이 나가기 때문에 out 적용)

Corp1(config-if)#end (설정 모드를 종료)


Corp1#copy running-config startup-config (변경된 설정을 저장)


3. 검증


3-1 해당 제어요구조건에 따라 Host C 의 PC를 접근, 웹 창을 열어 URL에 Finance Web Server 의 IP를 입력하여

웹 접속이 성공하였는지 확인합니다.


3-2 Host C 를 제외한 다른 PC 에서는 웹 접속 시도시 실패되는지 확인합니다.


--------------------------------------------------------------------------------------------------------------------------------


CCNA ACL 시뮬레이션 문제는 총 5가지 모드로 출제되며, 그 구분은 제어요구조건에 따라 ACL 작성을 달리합니다.

그외 기본환경조건은 모드 별 동일하게 출제 되고 있습니다.


* 제어요구조건(빨간색 명령), 기본환경조건(보라색 명령)


제어요구조건 1 (Mod 1):

that will allow ONLY Host C web access to the Finance Web Server. 

access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
No other Hosts will have access to the Finance Web Server.access-list 100 deny tcp any host 172.22.242.23
eq 80
All other traffic is permittedaccess-list 100 permit ip any any



제어요구조건 2 (Mod 2):

permit host B from accessing finance serveraccess-list 100 permit ip host 192.168.33.2 host 172.22.242.23
deny host B from accessing other servers (not the whole network)access-list 100 deny ip host 192.168.33.2 172.22.242.16 0.0.0.15
permit everything elseaccess-list 100 permit ip any any


제어요구조건 3 (Mod 3):

Only allow Host C to to access the financial serveraccess-list 100 permit ip host 192.168.33.3 host 172.22.242.23
Not allow anyone else in any way communicate with the financial serveraccess-list 100 deny ip any host 172.22.242.23
Allow all other trafficaccess-list 100 permit ip any any


제어요구조건 4 (Mod 4):

– Host C should be able to use a web browser(HTTP)to access the Finance Web Serveraccess-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
– Other types of access from host C to the Finance Web Server should be blocked
– All access from hosts in the Core or local LAN to the Finance Web Server should be blocked
access-list 100 deny ip any host 172.22.242.23
(because the requirement says we can not use more than 3 statements so we have to use “any” here for the hosts in the Core and hosts in local LAN)
– All hosts in the Core and local LAN should be able to access the Public Web Server *

access-list 100 permit ip any host 172.22.242.17


제어요구조건 5 (Mod 5):

Host C should be able to use a web browser to access the financial web serveraccess-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
Other types of access from host C to the finance web server should be blockedaccess-list 100 deny ip host 192.168.33.3 host 172.22.242.23
All hosts in the core and on the local LAN should be able to access the Public web server *

access-list 100 permit ip any host 172.22.242.17


출처 : http://www.9tut.com/78-ccna-access-list-sim-2#more-41














반응형