路由器MSR-1 的GE0/0 接口地址为192.168.100.1/24，该接口连接了一台三层交换机，而此三层交换机为客户办公网络的多个网段的默认网关所在。MSR-1 通过串口S1/0 连接到Internet。全网已经正常互通，办公网用户可以访问Internet。出于安全性考虑，需要禁止客户主机ping MSR-1 的GE0/0 接口，于是在该路由器上配置了如下ACL： acl number 3008 rule 0 deny icmp source 192.168.1.0 0.0.0.255 同时该AC

第1题：

客户的网络连接形如： HostA----GE0/0--MSR-1--S1/0-----WAN-----S1/0--MSR-2--GE0/0----HostB 已知MSR-2的接口GE0/0的IP地址为2.2.2.1/24，目前网络运行正常，两边的主机HostA和HostB可以互通。如今在MSR-2上配置如下的路由：ip route-static 2.2.2.1 24 NULL 0 那么（）

• A、HostA依然可以ping通2.2.2.1
• B、HostA不能ping通2.2.2.1
• C、在MSR-1上依然可以ping通2.2.2.1
• D、在MSR-1上不能ping通2.2.2.1

第2题：

客户的路由器MSR-1、MSR-2 通过各自的GigabitEthernet0/0互连，同时两台路由器之间运行了RIP。RIP已经正确完成了远端路由学习。在MSR-1上添加了如下配置： firewall enable acl number 3000 rule 0 deny udp destination-port eq 520 rule 5 permit ip 并将此ACL应用在MSR-1接口GigabitEthernet0/0的inbound方向上。那么（）

• A、MSR-1上仍然拥有到对端的RIP路由
• B、MSR-1上不能学习到对端的RIP路由
• C、MSR-2上仍然拥有到对端的RIP路由
• D、MSR-2上不能学习到对端的RIP路由

第3题：

客户的路由器MSR-1 的GE0/0 接口下连接了一台三层交换机，而此三层交换机是其所连接的客户办公网络的多个网段的默认网关所在。MSR-1 通过串口S1/0 连接到Internet。全网已经正常互通，办公网用户可以访问Internet。在该路由器上添加如下ACL 配置： firewall enable acl number 3004 rule 0 deny ip source 192.168.1.0 0.0.0.255 rule 5 permit tcp source 192.168.0.0 0.0.255.255 rule 10 permit icmp同时将ACL 3004应用在GE0/0的inbound方向，那么（）

• A、该路由器允许192.168.2.0/24网段的用户对Internet发出的FTP数据流通过
• B、该路由器允许所有用户的ICMP报文通过
• C、该路由器禁止192.168.1.0/24网段用户对Internet的所有IP流量通过
• D、该路由器允许192.168.1.0/24网段用户对Internet的WWW业务流量通过

第4题：

某网络连接如下所示： HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB 客户要求仅仅限制HostA 与HostB 之间的ICMP 报文，如下哪些做法是可行的？（）

• A、在MSR-1上配置ACL禁止源主机HostA到目的主机HostB的ICMP报文，并将此ACL应用在MSR-1的GE0/0的outbound方向
• B、在MSR-1上配置ACL禁止源主机HostA到目的主机HostB的ICMP报文，并将此ACL应用在MSR-1的S1/0的outbound方向
• C、在MSR-1上配置ACL禁止源主机HostB到目的主机HostA的ICMP报文，并将此ACL应用在MSR-1的S1/0的outbound方向
• D、在MSR-1上配置ACL禁止源主机HostB到目的主机HostA的ICMP报文，并将此ACL应用在MSR-1的GE0/0的outbound方向

第5题：

某网络连接形如： HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB 其中两台MSR 路由器MSR-1、MSR-2 通过各自的S1/0 接口背靠背互连，各自的GE0/0 接口分别连接客户端主机HostA 和HostB。通过配置IP 地址和路由，目前网络中HostA 可以和HostB 实现互通。HostA 的IP地址为192.168.0.2/24，默认网关为192.168.0.1。MSR-1 的GE0/0 接口地址为192.168.0.1/24。在MSR-1上增加了如下配置： firewall enable firewall default permit acl number 3003 rule 0 deny icmp source 192.168.0.2 0 icmp-type echo-reply interface GigabitEthernet0/0 firewall packet-filter 3003 inbound 那么（）

• A、在HostA上无法ping通MSR-1的接口GE0/0的IP地址
• B、在HostA上可以ping通MSR-1的接口GE0/0的IP地址
• C、在MSR-1上无法ping通HostA
• D、在MSR-1上可以ping通HostA

第6题：

客户的一台MSR路由通过广域网接口S1/0连接Internet，通过局域网接口GE0/0连接办公网络，目前办公网络用户可以正常访问Internet。在路由器上增加如下的ACL配置： firewall enable firewall default deny # acl number 3003 rule 0 deny icmp rule 5 permit tcp destination-port eq 20 # interface GigabitEthernet0/0 firewall packet-filter 3000 inbound firewall packet-filter 3000 outbound 那么（）

• A、办公网用户发起的到Internet 的ICMP 报文被该路由器禁止通过
• B、办公网用户发起的到达该路由器的FTP 流量可以正常通过
• C、办公网用户发起的到达该路由器GE0/0 的Telnet 报文可以正常通过
• D、办公网用户发起的到Internet 的FTP 流量被允许通过该路由器，其他所有报文都被禁止通过该路由器

第7题：

两台空配置的MSR路由器MSR-1和MSR-2通过各自的GE0/0接口直连，MSR-1和MSR-2的接口GE0/0上IP地址分别为10.1.1.1/24和10.1.1.2/24，两个GE0/0接口之间具有IP可达性。然后在两台路由器上分别添加了如下OSPF配置：MSR-1：[MSR-1-ospf-1]area0.0.0.255[MSR-1-ospf-1-area-0.0.0.255]network10.1.1.00.0.0.255MSR-2：[MSR-2-ospf-1]area255[MSR-2-ospf-1-area-0.0.0.255]network10.1.1.00.255.255.255那么关于上述配置描述正确的是（）。

• A、MSR-1上的命令network10.1.1.00.0.0.255表示在该路由器的GE0/0接口启动OSPF并加入相应区域
• B、MSR-2上的命令network10.1.1.00.255.255.255不能在该路由器的GE0/0接口启动OSPF
• C、两台路由器的OSPF接口都属于OSPF区域255
• D、两台路由器的OSPF接口不属于同一个OSPF区域，其中一台路由器的OSPFArea配置错误

第8题：

在一台路由器MSR-1上看到如下信息：[MSR-1]displayarpallType：S-StaticD-DynamicIPAddressMACAddressVLANIDInterfaceAgingType192.168.0.20123-4321-1234N/AGE0/020D经查该主机有大量病毒，现在客户要禁止该主机发出的报文通过MSR-1，那么（）。

• A、可以在路由器上配置基本ACL并应用在GE0/0的入方向来实现
• B、可以在路由器上配置基本ACL并应用在GE0/0的出方向来实现
• C、可以在路由器上配置高级ACL并应用在GE0/0的入方向来实现
• D、可以在路由器上配置高级ACL并应用在GE0/0的出方向来实现

第9题：

两台MSR路由器MSR-1、MSR-2通过各自的S1/0接口背靠背互连，各自的GigabitEthernet0/0接口分别连接客户端主机HostA和HostB：HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB通过配置IP地址和路由目前网络中HostA可以和HostB实现互通，如今在路由器MSR-1上增加如下ACL配置：firewallenableaclnumber3000rule0denyicmpicmp-typeechointerfaceGigabitEthernet0/0ipaddress192.168.0.1255.255.255.0firewallpacket-filter3000inbound那么如下说法哪些是正确的？（）

• A、在HostA上将ping不通自己的网关地址，即MSR-1上的GE0/0的接口地址
• B、在HostA上ping不通HostB
• C、在HostB上能ping通HostA
• D、在MSR-1上能ping通HostB

第10题：

某网络连接形如：HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB两台MSR 路由器MSR-1、MSR-2 通过各自的S1/0 接口背靠背互连，各自的GE0/0 接口分别连接客户端主机HostA 和HostB。其中HostA 的IP 地址为192.168.0.2/24，MSR-2 的S0/0 接口地址为1.1.1.2/30，通过配置其他相关的IP 地址和路由目前网络中HostA 可以和HostB 实现互通。如今客户要求不允许HostA 通过地址1.1.1.2 Telnet 登录到MSR-2。那么如下哪些配置可以满足此需求？ （）

• A、在MSR-1上配置如下ACL并将其应用在MSR-1的GE0/0的inbound方向：；[MSR-1]firewallenable；[MSR-1]aclnumber3000；[MSR-1-acl-adv-3000]rule0denytcpsource192.168.0.10.0.0.255destination1.1.1.20.0.0.3destination-porteqtelnet
• B、在MSR-1上配置如下ACL并将其应用在MSR-1的GE0/0的outbound方向：；[MSR-1]firewallenable；[MSR-1]aclnumber3000；[MSR-1-acl-adv-3000]rule0denytcpsource192.168.0.20destination1.1.1.20destination-porteqtelnet
• C、在MSR-1上配置如下ACL并将其应用在MSR-1的S1/0的inbound方向：；[MSR-1]firewallenable；[MSR-1]aclnumber3000；[MSR-1-acl-adv-3000]rule0denytcpsource192.168.0.10.0.0.255destination1.1.1.20destination-porteqtelnet
• D、在MSR-1上配置如下ACL并将其应用在MSR-1的S1/0的outbound方向：；[MSR-1]firewallenable；[MSR-1]aclnumber3000；[MSR-1-acl-adv-3000]rule0denytcpsource192.168.0.20destination1.1.1.20.0.0.3destination-porteqtelnet

第11题：

路由器MSR-1的以太网口Ethernet0/0配置如下：interfaceEthernet0/0ipaddress192.168.0.1255.255.255.0在该接口下连接了一台三层交换机，而此三层交换机为客户办公网络的多个网段的默认网关所在，出于安全考虑，现在客户要求在MSR-1的接口Ethernet0/0上配置ACL（不限制应用的方向）来禁止办公网络所有用户ping通192.168.0.1，可以用如下哪种配置？（）

• A、aclnumber3000；rule0denyicmpdestination192.168.0.10icmp-typeecho-reply
• B、aclnumber3000；rule0denyicmpdestination192.168.0.10icmp-typeecho
• C、aclnumber3000；rule0denyicmpdestination192.168.0.10
• D、aclnumber3000；rule0denyipdestination192.168.0.10eqicmp

第12题：

两台路由器MSR-1、MSR-2通过GigabitEthernet0/0互连，同时两台路由器之间运行了RIPv2，现在在其中一台路由器MSR-1的GigabitEthernet0/0接口想要只发送RIP报文而不接收RIP协议报文，那么如下哪些实现方式是可行的？（）

• A、在MSR-1的GigabitEthernet0/0接口配置silent-interface GigabitEthernet 0/0
• B、在MSR-2的GigabitEthernet0/0接口配置silent-interface GigabitEthernet 0/0
• C、在MSR-1上配置ACL并应用在其GigabitEthernet0/0接口inbound方向
• D、在MSR-2上配置ACL并应用在其GigabitEthernet0/0接口inbound方向

第13题：

在一台路由器MSR-1 上看到如下信息： [MSR-1]display arp all Type： S-Static D-Dynamic IP Address MAC Address VLAN ID Interface Aging Type 192.168.0.2 0123-4321-1234 N/A GE0/0 20 D 经查该主机有大量病毒，现在客户要禁止该主机发出的报文通过MSR-1，那么（）

• A、可以在路由器上配置基本ACL并应用在GE0/0的入方向来实现
• B、可以在路由器上配置基本ACL并应用在GE0/0的出方向来实现
• C、可以在路由器上配置高级ACL并应用在GE0/0的入方向来实现
• D、可以在路由器上配置高级ACL并应用在GE0/0的出方向来实现

第14题：

两台MSR路由器MSR-1、MSR-2通过各自的S1/0接口背靠背互连，各自的GigabitEthernet0/0接口分别连接客户端主机HostA和HostB： HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB 通过配置IP地址和路由目前网络中HostA可以和HostB实现互通，如今在路由器MSR-1上增加如下ACL配置： firewall enable acl number 3000 rule 0 deny icmp icmp-type echo interface GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.0 firewall packet-filter 3000 inbound 那么如下说法哪些是正确的？（）

• A、在HostA上将ping不通自己的网关地址，即MSR-1上的GE0/0的接口地址
• B、在HostA上ping不通HostB
• C、在HostB上能ping通HostA
• D、在MSR-1上能ping通HostB

第15题：

客户路由器的接口GigabitEthernet0/0 下连接了局域网主机HostA，其IP 地址为192.168.0.2/24；接口Serial6/0 接口连接远端，目前运行正常。现增加ACL 配置如下： firewall enable firewall default permit acl number 3003 rule 0 permit tcp rule 5 permit icmp acl number 2003 rule 0 deny source 192.168.0.0 0.0.0.255 interface GigabitEthernet0/0 firewall packet-filter 3003 inbound packet-filter 包过滤 firewall packet-filter 2003 outbound ip address 192.168.0.1 255.255.255.0 interface Serial6/0 link-protocol ppp ip address 6.6.6.2 255.255.255.0 假设其他相关配置都正确，那么（）

• A、HostA不能ping通该路由器上的两个接口地址
• B、HostA不能ping通6.6.6.2，但是可以ping通192.168.0.1
• C、HostA不能ping通192.168.0.1，但是可以ping通6.6.6.2
• D、HostA可以Telnet到该路由器上

第16题：

客户的路由器MSR-1 的GigabitEthernet0/0 接口下连接了一台三层交换机，而此三层交换机为客户办公网络的多个网段的默认网关所在。同时该路由器的广域网接口连接到Internet，而Internet 上有DNS 服务器为客户局域网内的主机提供服务， 客户的办公网络可以正常访问Internet ， 如今在MSR-1 的GigabitEthernet0/0 的inbound 方向应用了如下ACL： firewall enable acl number 3006 rule 0 deny tcp source 192.168.1.0 0.0.0.255 rule 5 permit ip 那么（）

• A、192.168.1.0/24网段的客户可以通过Outlook等邮件客户端正常收发外部邮件
• B、192.168.1.0/24网段的客户不能通过WWW方式打开外部网页
• C、192.168.0.0/24网段的客户可以通过FTP方式从Internet上下载数据
• D、192.168.1.0/24网段的客户不能够通过Outlook等邮件客户端收发外部邮件

第17题：

客户的网络连接形如： HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB 该网络已经正确配置了IP地址和路由，目前网络中HostA可以和HostB实现互通。出于某种安全考虑，客户要求HostB不能ping通HostA，但同时HostA可以ping通HostB，且HostA与HostB之间的其他报文传递不受限制，那么如下哪些说法是正确的？（）

• A、仅在MSR-1上配置ACL无法实现此需求
• B、仅在MSR-2上配置ACL无法实现此需求
• C、仅在MSR-1上配置ACL就可以实现此需求
• D、仅在MSR-2上配置ACL就可以实现此需求
• E、使用ping命令时两主机之间的ICMP报文是双向的，这个单项互通的需求无法实现

第18题：

客户的路由器MSR-1的GigabitEthernet0/0接口下连接了一台三层交换机，而此三层交换机为客户办公网络的多个网段的默认网关所在。同时该路由器的广域网接口连接到Internet，而Internet上有DNS服务器为客户局域网内的主机提供服务，客户的办公网络可以正常访问Internet，如今在MSR-1的GigabitEthernet0/0的inbound方向应用了如下ACL：firewallenableaclnumber3006rule0denytcpsource192.168.1.00.0.0.255rule5permitip那么（）。

• A、192.168.1.0/24网段的客户可以通过Outlook等邮件客户端正常收发外部邮件
• B、192.168.1.0/24网段的客户不能通过WWW方式打开外部网页
• C、192.168.0.0/24网段的客户可以通过FTP方式从Internet上下载数据
• D、192.168.1.0/24网段的客户不能够通过Outlook等邮件客户端收发外部邮件

第19题：

一台MSR路由器通过S1/0接口连接Internet，GE0/0接口连接局域网主机，局域网主机所在网段为10.0.0.0/8，在Internet上有一台IP地址为202.102.2.1的FTP服务器。通过在路由器上配置IP地址和路由，目前局域网内的主机可以正常访问Internet（包括公网FTP服务器），如今在路由器上增加如下配置：firewallenableaclnumber3000rule0denytcpsource10.1.1.10source-porteqftpdestination202.102.2.10然后将此ACL应用在GE0/0接口的inbound和outbound方向，那么这条ACL能实现下列哪些意图？（）

• A、禁止源地址为10.1.1.1的主机向目的主机202.102.2.1发起FTP连接
• B、只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP21的FTP控制连接
• C、只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP20的FTP数据连接
• D、对从10.1.1.1向202.102.2.1发起的FTP连接没有任何限制作用

第20题：

路由器MSR-1的GE0/0接口地址为192.168.100.1/24，该接口连接了一台三层交换机，而此三层交换机为客户办公网络的多个网段的默认网关所在。MSR-1通过串口S1/0连接到Internet。全网已经正常互通，办公网用户可以访问Internet。出于安全性考虑，需要禁止客户主机pingMSR-1的GE0/0接口，于是在该路由器上配置了如下ACL：aclnumber3008rule0denyicmpsource192.168.1.00.0.0.255同时该ACL被应用在GE0/0的inbound方向。发现局域网内192.168.0.0/24网段的用户依然可以ping通GE0/0接口地址。根据如上信息可以推测（）。

• A、该ACL没有生效
• B、该ACL应用的方向错误
• C、防火墙默认规则是允许
• D、对接口GE0/0执行shutdown和undoshutdown命令后，才会实现192.168.0.0/24网段ping不通MSR-1以太网接口地址

第21题：

某网络连接形如：HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB其中两台MSR路由器MSR-1、MSR-2通过各自的S1/0接口背靠背互连，各自的GE0/0接口分别连接客户端主机HostA和HostB。通过配置IP地址和路由，目前网络中HostA可以和HostB实现互通。HostA的IP地址为192.168.0.2/24，默认网关为192.168.0.1。MSR-1的GE0/0接口地址为192.168.0.1/24。在MSR-1上增加了如下配置：firewallenablefirewalldefaultpermitaclnumber3003rule0denyicmpsource192.168.0.20icmp-typeecho-replyinterfaceGigabitEthernet0/0firewallpacket-filter3003inbound那么（）。

• A、在HostA上无法ping通MSR-1的接口GE0/0的IP地址
• B、在HostA上可以ping通MSR-1的接口GE0/0的IP地址
• C、在MSR-1上无法ping通HostA
• D、在MSR-1上可以ping通HostA

第22题：

客户的一台MSR路由通过广域网接口S1/0连接Internet，通过局域网接口GE0/0连接办公网络，目前办公网络用户可以正常访问Internet。在路由器上增加如下的ACL配置：firewallenablefirewalldefaultdeny#aclnumber3003rule0denyicmprule5permittcpdestination-porteq20#interfaceGigabitEthernet0/0firewallpacket-filter3003inboundfirewallpacket-filter3003outbound那么（）。

• A、办公网用户发起的到Internet的ICMP报文被该路由器禁止通过
• B、办公网用户发起的到达该路由器的FTP流量可以正常通过
• C、办公网用户发起的到达该路由器GE0/0的Telnet报文可以正常通过
• D、办公网用户发起的到Internet的FTP流量被允许通过该路由器，其他所有报文都被禁止通过该路由器

第23题：

防火墙路由模式下，防火墙的接口地址为192.168.99.101，主机地址为192.168.99.102。以下配置中，能保证主机ping通防火墙接口地址的是（）。

• A、# acl number 2005 rule 0 permit source192.168.99.1020 rule 1 deny source192.168.99.00.0.0.255#
• B、#acl number 2005 rule 0 deny source192.168.99.00.0.0.255 rule 1 permit source192.168.99.1020#
• C、#ac lnumber 2005 rule 0 deny source192.168.99.1020 rule 1 permit source192.168.99.00.0.0.255#
• D、#ac lnumber 2005 rule 0 permit source192.168.99.00.0.0.255 rule 1 deny source192.168.99.1020#