セキュリティ編のまとめとして,実力を診断するための確認クイズを用意しました。

 下の問題全5問(100点満点)に答えると,すぐに採点結果と正解に関する解説が表示されます。わからなかったり間違えてしまった問題は,解答ページに掲載している参考記事を見ておさらいしておきましょう。

 10分ほどで一通り解けると思います。レッツ・チャレンジ!

【問題1】
次の構成図で,ルータAでアクセスリストを作成し,適用した。インタフェースs0から送信されないトラフィックはどれですか。
問1 図

(config)#access-list 1 deny host 192.168.1.1
(config)#access-list 1 deny 192.168.1.0 0.0.0.255
(config)#access-list 1 permit host 192.168.1.2
(config)#interface e0
(config-if)#ip access-group 1 in


192.168.1.1からのトラフィック
192.168.1.2からのトラフィック
192.168.2.1からのトラフィック
上記すべて

【問題2】
インタフェースにどのアクセスリストが適用されているか確認するコマンドはどれですか。(2つ選択)

# show access-lists
# show ip access-group
# show ip interfaces
# show interfaces
# show interfaces acl
# show running-config

【問題3】
次の構成図で,ルータAに条件に基づいてアクセスリストを作成した(ACL番号は101番とする)。アクセスリストを適用するインタフェースと設定コマンドの正しいものはどれですか。
問3 図

条件:
・10.0.0.1へのtelnetでのアクセスは基本的に拒否とする。ただし,192.168.1.1からのみ許可とする
・192.168.1.0/24からの10.0.0.0/24へのアクセスは許可される
・それ以外のアクセスは拒否される



(config)#interface e0
(config-if)#ip access-group 101 in
(config)#interface e0
(config-if)#ip access-group 101 out
(config)#interface e1
(config-if)#ip access-group 101 in
(config)#interface e1
(config-if)#ip access-group 101 out

【問題4】
次の構成図で,ルータAに条件に基づいてアクセスリストを作成し,e0のインバウンドに適用する。アクセスリストを設定するコマンドとして正しいものはどれですか。
問4 図

条件:
・10.0.0.1へのHTTPアクセスは基本的に拒否とする。ただし,192.168.1.1からのみ許可とする
・192.168.2.0/24からの10.0.0.0へのアクセスは拒否される
・それ以外のアクセスは許可される


access-list 102 permit tcp host 192.168.1.1 host 10.0.0.1 eq 80
access-list 102 deny tcp any host 10.0.0.1 eq 80
access-list 102 deny ip 192.168.2.0 255.255.255.0 10.0.0.0 255.255.255.0
access-list 102 permit tcp host 192.168.1.1 host 10.0.0.1 eq 80
access-list 102 deny tcp any host 10.0.0.1 eq 80
access-list 102 deny ip 192.168.2.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 102 permit tcp host 192.168.1.1 host 10.0.0.1 eq 80
access-list 102 deny tcp any host 10.0.0.1 eq 80
access-list 102 deny ip 192.168.2.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 102 permit ip any any
access-list 102 deny tcp any host 10.0.0.1 eq 80
access-list 102 permit tcp host 192.168.1.1 host 10.0.0.1 eq 80
access-list 102 deny ip 192.168.2.0 0.0.0.255 10.0.0.0 0.0.0.255
access-list 102 permit ip any any

【問題5】
ルータに対するtelnet(仮想端末接続)を172.16.1.0/24に所属するホストだけにするためのコマンドとして正しいものはどれですか。

(config)#access-list 2 permit 172.16.1.0 0.0.0.255
(config)#line vty 0 4
(config-line)#ip access-group 2 in
(config)#access-list 2 permit 172.16.1.0 0.0.0.255
(config)#line vty 0 4
(config-line)#access-class 2 in
(config)#access-list 2 permit 172.16.1.0 0.0.0.255
(config)#line vty 0 4
(config-line)#access-class 2 out
(config)#access-list 2 permit 172.16.1.0 0.0.0.255
(config)#line vty 0 4
(config-line)#ip 「access-group 2 out」