[CCNA 200-125] [ CCNA Access List Sim ] ACL 시뮬레이션 문제
CCNA Access List Sim
% CCNA 시험에서 ACL(Access Control List) 시뮬레이션의 문제는 시나리오부분과 제어요구조건, 기본환경조건으로
구분할 수 있으며 제어요구조건(5가지)를 분석하여 ACL 을 작성하고 적용하는 문제가 나오고 있습니다.
Question
1. CCNA ACL Sim 문제에서 가장 먼저 파악 되어야할 부분은 제어요구조건 부분입니다.
위 제어요구조건을 보면 아래와 같습니다.
"The task is to create and apply an access-list with no more than three statements
- 작업은 3개 이하의 명령문을 사용하여 Access-list 을 작성하고 적용합니다.
that will allow ONLY Host C web access to the Finance Web Server.
- Finance Web Server 에 Host C 만 web 접근을 허용 합니다.
No other Hosts will have access to the Finance Web Server.
- 다른 Host는 Finance Web Server 에 web 접근을 할 수 없습니다.
All other traffic is permitted"
- 그외 모든 트래픽은 허용 합니다.
2. 1번 항목의 제어요구조건을 이해하였다면 콘솔을 통해서 ACL 작성하고 적용하면 됩니다.(기본환경조건 포함)
Password : cisco (장비 접속에 필요한 Password 입력)
Corp1>enable (특권 모드로 접근 )
*특권 모드(Prvilege Mode) : 관리자가 장비를 관리하기 위한 모드
Corp1#show running-config (Corp 라우터의 어떤 Port 에 어떤 장비가 연결 되어있는지 확인합니다.)
Corp1#configure terminal (글로벌 모드로 접근)
*글로벌 모드(Global Mode) : 장비 구성(설정,변경,삭제)이 가능한 모드
제어요구조건 적용 (중요!!!) - 총 5가지 모드 출제 Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80 - Finance Web Server 에 Host C 만 Web 접근을 허용 합니다. (Web defult Port Number : 80) Corp1(config)#access-list 100 deny tcp any host 172.22.242.23 eq 80 - 다른 Host는 Finance Web Server 에 web 접근을 할 수 없습니다. Corp1(config)#access-list 100 permit ip any any - 그외 모든 트래픽은 허용 합니다. |
Corp1(config)#interface fa0/1 (서버들과 연결된 포트(fa0/1)에 접근, *fa0/1 = FastEthernet0/1)
Corp1(config-if)#ip access-group 100 out (해당 라우터에서 서버장비로 트래픽이 나가기 때문에 out 적용)
Corp1(config-if)#end (설정 모드를 종료)
Corp1#copy running-config startup-config (변경된 설정을 저장)
3. 검증
3-1 해당 제어요구조건에 따라 Host C 의 PC를 접근, 웹 창을 열어 URL에 Finance Web Server 의 IP를 입력하여
웹 접속이 성공하였는지 확인합니다.
3-2 Host C 를 제외한 다른 PC 에서는 웹 접속 시도시 실패되는지 확인합니다.
--------------------------------------------------------------------------------------------------------------------------------
CCNA ACL 시뮬레이션 문제는 총 5가지 모드로 출제되며, 그 구분은 제어요구조건에 따라 ACL 작성을 달리합니다.
그외 기본환경조건은 모드 별 동일하게 출제 되고 있습니다.
* 제어요구조건(빨간색 명령), 기본환경조건(보라색 명령)
제어요구조건 1 (Mod 1):
that will allow ONLY Host C web access to the Finance Web Server. | access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80 |
| No other Hosts will have access to the Finance Web Server. | access-list 100 deny tcp any host 172.22.242.23 eq 80 |
| All other traffic is permitted | access-list 100 permit ip any any |
제어요구조건 2 (Mod 2):
| permit host B from accessing finance server | access-list 100 permit ip host 192.168.33.2 host 172.22.242.23 |
| deny host B from accessing other servers (not the whole network) | access-list 100 deny ip host 192.168.33.2 172.22.242.16 0.0.0.15 |
| permit everything else | access-list 100 permit ip any any |
제어요구조건 3 (Mod 3):
| Only allow Host C to to access the financial server | access-list 100 permit ip host 192.168.33.3 host 172.22.242.23 |
| Not allow anyone else in any way communicate with the financial server | access-list 100 deny ip any host 172.22.242.23 |
| Allow all other traffic | access-list 100 permit ip any any |
제어요구조건 4 (Mod 4):
| – Host C should be able to use a web browser(HTTP)to access the Finance Web Server | access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80 |
| – Other types of access from host C to the Finance Web Server should be blocked – All access from hosts in the Core or local LAN to the Finance Web Server should be blocked | access-list 100 deny ip any host 172.22.242.23 (because the requirement says we can not use more than 3 statements so we have to use “any” here for the hosts in the Core and hosts in local LAN) |
| – All hosts in the Core and local LAN should be able to access the Public Web Server * | access-list 100 permit ip any host 172.22.242.17 |
제어요구조건 5 (Mod 5):
| Host C should be able to use a web browser to access the financial web server | access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80 |
| Other types of access from host C to the finance web server should be blocked | access-list 100 deny ip host 192.168.33.3 host 172.22.242.23 |
| All hosts in the core and on the local LAN should be able to access the Public web server * | access-list 100 permit ip any host 172.22.242.17 |
출처 : http://www.9tut.com/78-ccna-access-list-sim-2#more-41