下列选项中的哪条路由满足下面的ACL条件?()“Acl number 2001 Rule 0 permit source 10.1.0.0 0”A.10.1.1.1/32B.10.1.1.0/24C.10.1.0.0/16D.10.0.0.0/8

第1题：

第2题：

阅读以下说明，回答问题1至问题3，将解答填入答题纸对应的解答栏内。【说明】某公司网络拓扑结构如图 3-1 所示。网络规划如表3-1所示。


【问题1】（3分，每空1分）如图3-1所示，防火墙的接口GE0/0/0、GE0/0/1和GE0/0/2分属于（ 1 ）、（ 2 ）、（ 3 ）。（1）~（2）备选项：A.trust区域 B.untrust区域 C.DMZ区域 （1）（2）（3） 【问题2】（8分，每空2分）如图3-1所示，ISP1作为公司的默认互联网出口。该公司拥有2条出口链路，要保证内网机器能够访问互联网，需要在路由器上配置（ 4 ），用户希望服务器网段的流量都走ISP2出去，则需要在路由器上配置（ 5 ），因为服务器网段的IP地址是内网地址，服务器要对Internet提供服务，需要在路由器上配置（ 6 ），生产区和办公区访问互联网默认走ISP1出去，需要在路由器上配置（ 7 ）。（4）~（7）备选项：A.策略路由 B.缺省路由 C. 源NAT D.目的NAT （4）（5）（6）（7） 【问题3】（9分，每空1分）生产区和办公区的用户流量默认走ISP1出口，服务器区域流量走ISP2出口。请根据描述，将下面的配置代码补充完整。R1基本配置略……[R1]interface GigabitEthernet 0/0/1[R1-GigabitEthernet0/0/1]ip address 58.60.36.2 29[R1-GigabitEthernet0/0/1]quit[R1]interface GigabitEthernet 0/0/2[R1-GigabitEthernet0/0/2]ip address （ 8 ）[R1-GigabitEthernet0/0/2]quit[R1]interface GigabitEthernet 0/0/0[R1-GigabitEthernet0/0/0]ip address 192.168.200.1 24[R1-GigabitEthernet0/0/0]quit[R1]acl（ 9 ）[R1-acl-basic-2000]rule permit source 192.168.8.0 （10）[R1-acl-basic-2000]rule permit source 192.168.100.0 0.0.0.255[R1-acl-basic-2000]rule permit source 192.168.200.0 0.0.0.255[R1-acl-basic-2000]quit[R1]acl 2001[R1-acl-basic-2001]rule permit source 192.168.100.0 0.0.0.255[R1-acl-basic-2001]quit[R1]nat address-group 1 58.60.36.3 58.60.36.6[R1]interface GigabitEthernet 0/0/1[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1[R1-GigabitEthernet0/0/1]quit[R1]interface GigabitEthernet 0/0/2[R1-GigabitEthernet0/0/2]nat outbound 2000[R1-GigabitEthernet0/0/2]quit[R1]ip route-static 192.168.8.0 22 （ 11 ）[R1]ip route-static 192.168.100.0 24 （ 12 ）[R1]ip route-static 0.0.0.0 0 58.60.36.1[R1]ip route-static 0.0.0.0 0 113.250.13.1（ 13 ）//把ISP2这条链路作为浮动路由，作为应急触发的备份路径[R1]traffic classifier （14）[R1-classifier-c1]if-match acl 2001 [R1-classifier-c1]quit[R1]traffic behavior b1[R1-behavior-b1]redirect ip-nexthop 113.250.13.1[R1-behavior-b1]quit[R1]traffic policy p1[R1-trafficpolicy-p1]classifier c1 behavior b1[R1-trafficpolicy-p1]quit[R1]interface （ 15 ）[R1-GigabitEthernet0/0/0]traffic-policy p1(16) [R1-GigabitEthernet0/0/0]quit[R1]……（8）-（15） 备选答案A．113.250.13.2 30 B.192.168.200.2 C. GigabitEthernet0/0/0 D. preference 100 E. 192.168.200.3 F. 0.0.3.255 G. 2000 H. c1I. inbound （8）（9）（10）（11）（12）（13）（14）（15）（16）

第3题：

管理员要求能确保Vlan10和Vlan20能互通，并且Vlan20的用户访问外网时，使用10.1.30.1作为出口，二Vlan10的用户访问外网时，使用10.1.20.1作为出口，因此考虑使用策略路由。具体配置如下：
[Switch] acl 3000
[Switch-acl-adv-3000] rule permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[Switch-acl-adv-3000] rule permit ip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255
Switch-acl-adv-3000] quit
?
[Switch] acl 3001?//匹配内网192.168.1.0/24网段的数据流
[Switch-acl-adv-3001]?（1）
[Switch-acl-adv-3001] quit
[Switch] acl 3002?//匹配内网192.168.2.0/24网段的数据流
[Switch-acl-adv-3002] rule permit ip source 192.168.2.0 0.0.0.255
[Switch-acl-adv-3002] quit
?
[Switch] traffic classifier c0 operator or
[Switch-classifier-c0]?（2）
[Switch-classifier-c0] quit
[Switch]?（3）
[Switch-classifier-c1] if-match acl 3001
[Switch-classifier-c1] quit
[Switch] traffic classifier c2 operator or
[Switch-classifier-c2] if-match acl 3002
[Switch-classifier-c2] quit
[Switch] traffic behavior b0
[Switch-behavior-b0]?（4）
[Switch-behavior-b0] quit
[Switch] traffic behavior b1
[Switch-behavior-b1]?（5）
[Switch-behavior-b1] quit
[Switch] traffic behavior b2
[Switch-behavior-b2] redirect ip-nexthop 10.1.30.1
[Switch-behavior-b2] quit
?[Switch]（6）
[Switch-trafficpolicy-p1]?（7）
[Switch-trafficpolicy-p1] classifier c1 behavior b1
[Switch-trafficpolicy-p1] classifier c2 behavior b2
[Switch-trafficpolicy-p1] quit
[Switch] interface gigabitethernet 1/0/3
[Switch-GigabitEthernet1/0/3]?（8）
问题1：简要叙述ACL3000在此配置中的作用是什么？
问题2：请完成（1）-（8）空的命令填空

第4题：

在路由器MSR-1 上看到如下信息： [MSR-1]display acl 3000 Advanced ACL 3000， named -none-， 2 rules，ACL’s step is 5 rule 0 permit ip source 192.168.1.0 0.0.0.255 rule 10 deny ip （19 times matched） 该ACL 3000 已被应用在正确的接口以及方向上。据此可知（）

• A、这是一个基本ACL（高级的）
• B、有数据包流匹配了规则rule 10
• C、至查看该信息时，还没有来自192.168.1.0/24网段的数据包匹配该ACL
• D、匹配规则rule 10的数据包可能是去往目的网段192.168.1.0/24的

第5题：

下面的访问控制列表命令正确的是（）。

• A、acl1  rule deny source1.1.1.1
• B、acl1  rule permit any
• C、acl1  permit 1.1.1.102.2.2.20.0.0.255
• D、acl99  rule deny tcp source any destination2.2.2.20.0.0.255

第6题：

客户的路由器MSR-1、MSR-2 通过各自的GigabitEthernet0/0互连，同时两台路由器之间运行了RIP。RIP已经正确完成了远端路由学习。在MSR-1上添加了如下配置： firewall enable acl number 3000 rule 0 deny udp destination-port eq 520 rule 5 permit ip 并将此ACL应用在MSR-1接口GigabitEthernet0/0的inbound方向上。那么（）

• A、MSR-1上仍然拥有到对端的RIP路由
• B、MSR-1上不能学习到对端的RIP路由
• C、MSR-2上仍然拥有到对端的RIP路由
• D、MSR-2上不能学习到对端的RIP路由

第7题：

客户路由器的接口GigabitEthernet0/0 下连接了局域网主机HostA，其IP 地址为192.168.0.2/24；接口Serial6/0 接口连接远端，目前运行正常。现增加ACL 配置如下： firewall enable firewall default permit acl number 3003 rule 0 permit tcp rule 5 permit icmp acl number 2003 rule 0 deny source 192.168.0.0 0.0.0.255 interface GigabitEthernet0/0 firewall packet-filter 3003 inbound packet-filter 包过滤 firewall packet-filter 2003 outbound ip address 192.168.0.1 255.255.255.0 interface Serial6/0 link-protocol ppp ip address 6.6.6.2 255.255.255.0 假设其他相关配置都正确，那么（）

• A、HostA不能ping通该路由器上的两个接口地址
• B、HostA不能ping通6.6.6.2，但是可以ping通192.168.0.1
• C、HostA不能ping通192.168.0.1，但是可以ping通6.6.6.2
• D、HostA可以Telnet到该路由器上

第8题：

在配置ISDN DCC的时候，客户在自己的MSR路由器上配置了如下的dialer-rule： [MSR] dialer-rule 1 acl 3000 那么关于此配置如下哪些说法正确？（）

• A、只有匹配ACL 3000的数据包能触发拨号
• B、只有匹配ACL 3000的数据包会被路由器通过拨号链路发送
• C、没有定义permit或者deny，配置错误
• D、正确的配置应为：[MSR] dialer-rule 1 acl 3000 permit

第9题：

在配置ISDNDCC的时候，客户在自己的MSR路由器上配置了如下的dialer-rule：[MSR]dialer-rule1acl3000那么关于此配置如下哪些说法正确？（）

• A、只有匹配ACL3000的数据包能触发拨号
• B、只有匹配ACL3000的数据包会被路由器通过拨号链路发送
• C、没有定义permit或者deny，配置错误
• D、正确的配置应为：[MSR]dialer-rule1acl3000permit

第10题：

防火墙路由模式下，防火墙的接口地址为192.168.99.101，主机地址为192.168.99.102。以下配置中，能保证主机ping通防火墙接口地址的是（）。

• A、# acl number 2005 rule 0 permit source192.168.99.1020 rule 1 deny source192.168.99.00.0.0.255#
• B、#acl number 2005 rule 0 deny source192.168.99.00.0.0.255 rule 1 permit source192.168.99.1020#
• C、#ac lnumber 2005 rule 0 deny source192.168.99.1020 rule 1 permit source192.168.99.00.0.0.255#
• D、#ac lnumber 2005 rule 0 permit source192.168.99.00.0.0.255 rule 1 deny source192.168.99.1020#

第11题：

第12题：

第13题：

阅读以下说明，回答问题 1至问题 3. 将解答填入答题纸对应的解答栏内。【说明 】某局域网的拓扑结构如图 3-1 所示。其中switchA ge
0/0/2与路由器相连。

网络的主要配置如下，请解释配置命令。//（1）[SwitchB] vlan batch 10 20[SwitchB] interface GigabitEthernet 0/0/1[SwitchB-GigabitEthernet0/0/1] port link-type access[SwitchB-GigabitEthernet0/0/1] port default vlan 10[SwitchB] interface GigabitEthernet 0/0/2[SwitchB-GigabitEthernet0/0/2] port link-type access[SwitchB-GigabitEthernet0/0/2] port default vlan 20[SwitchB] interface GigabitEthernet 0/0/23[SwitchB-GigabitEthernet0/0/23] port link-type trunk[SwitchB-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 20//（2）[SwitchA] vlan batch 10 20 30 100[SwitchA] interface GigabitEthernet 0/0/23[SwitchA-GigabitEthernet0/0/23] port link-type trunk[SwitchA-GigabitEthernet0/0/23] port trunk allow-pass vlan 10 20//（3）[SwitchA] interface GigabitEthernet 0/0/24[SwitchA-GigabitEthernet0/0/24] port link-type access[SwitchA-GigabitEthernet0/0/24] port default vlan 30//配置连接路由器的接口模式，该接口属于VLAN100[SwitchA] interface GigabitEthernet 0/0/2[SwitchA-GigabitEthernet0/0/2] port link-type access[SwitchA-GigabitEthernet0/0/2] port default vlan 100//配置内网网关和连接路由器的地址[SwitchA] interface Vlanif 10[SwitchA-Vlanif10] ip address 192.168.10.1 24[SwitchA] interface Vlanif 20[SwitchA-Vlanif20] ip address 192.168.20.1 24[SwitchA] interface Vlanif 30[SwitchA-Vlanif30] ip address 192.168.30.1 24[SwitchA] interface Vlanif 100[SwitchA-Vlanif100] ip address 172.16.1.1 24//（4）[SwitchA] ip route-static 0.0.0.0 0.0.0.0 172.16.1.2//（5）[AR2200] interface GigabitEthernet 0/0/0[AR2200-GigabitEthernet 0/0/0] ip address 59.74.130.2 30[AR2200] interface GigabitEthernet 0/0/1[AR2200-GigabitEthernet 0/0/1] ip address 172.16.1.2 24//（6）[AR2200] acl 2000[AR2200-acl-basic-2000] rule permit source 192.168.10.0 0.0.0.255[AR2200-acl-basic-2000] rule permit source 192.168.20.0 0.0.0.255[AR2200-acl-basic-2000] rule permit source 192.168.30.0 0.0.0.255[AR2200-acl-basic-2000] rule permit source 172.16.1.0 0.0.0.255//（7）[AR2200] interface GigabitEthernet 0/0/0[AR2200-GigabitEthernet 0/0/0] nat outbound 2000//（8）[AR2200] ip route-static 192.168.10.255.255.255.0 172.16.1.1[AR2200] ip route-static 192.168.20.255.255.255.0 172.16.1.1[AR2200] ip route-static 192.168.30.255.255.255.0 172.16.1.1[AR2200] ip route-static 0.0.0.0 0.0.0.0 59.74.130.1（1）~（8）备选答案：A．在SwitchC上配置接口模式，该接口属于VLAN 30B．配置指向路由器的静态路由C．在SwitchA上创建VLAN，配置接口模式并放行VLAN 10 和VLAN 20D．配置到内网的静态路由和到外网的静态路由E．配置路由器内部和外部接口的IP地址F．配置ACL策略G．外网接口配置NAT转换H．在SwitchB上创建VLAN，并配置接口模式【问题2 】(6 分)图3-2是PC4的网络属性配置界面，根据以上配置填空。IP地址：（9）子网掩码：（10）默认网关：（11）

【问题3】（6分）//为了限制VLAN 10中的用户的访问，在网络中增加了如下配置。[SwitchA] time-range t 8:00 to 18:00 daily[SwitchA] acl number 3002[SwitchA-acl-adv-3002] rule 5 deny ip source 192.168.10.0 0.0.0.255Destination 192.168.30.0 0time-range t[SwitchA] traffic classifier tc 1[SwitchA-classifier-tc 1] if-match acl 3002[SwitchA]traffic behavior tb 1[SwitchA-behavior-tb 1] deny[SwitchA] traffic policy tp 1[SwitchA-trafficpolicy-tp 1]classifier tcl behavior tb 1[SwitchA] interface GigabitEthernet0/0/23[SwitchA-GigabitEthernet0/0/23] traffic-policy tp 1 inbound1．以上配置实现了VLAN 10的用户在（12）时间段可以访问VLAN（13）中的主机。2．ACL 3002中的编号表示该ACL的类型是（14）。

答案：

解析：

【问题1】(1)H(2)C （3）A (4) B (5)E （6）F （7）G （8）D【问题2】（9）192.168.30.2-192.168.30.254中的任意一个 （10） 255.255.255.0 （11）192.168.30.1 【问题3】（12）每日的18:00到第二天的8:00 （13） vlan30 （14）高级访问控制列表
【解析】
【问题1】（1）根据下面的配置代码可以看到，是在switchb上进行配置，这部分是设置两个vlan接口，对应相应的接口，因此应该选 H。（2）设置了的链路trunk接口用于vlan10 和vlan 20通行。因此应该选C。(3)为switchC上的vlan30数据设置access接口，允许数据转发到SwitchA上来。（4）ip route-static 0.0.0.0 0.0.0.0 172.16.1.2 这个命令式设置默认静态路由的基本命令。（5）从"ip address 59.74.130.2 30" 可知，这是为接口配置IP地址。（6）从 acl 2000 可以知道，是配置访问控制列表。（7）nat outbound 是在出接口配置nat （8）配置各种静态路由,包括之前的指向内网的三条和指向外网的一条默认静态路由。【问题2】PC4从拓扑图上可以看到对应的位置switchc 的g0/0/2上。对应上联的交换机是SwitchA的g0/0/24接口。从配置来看是，该接口是access 默认vlan 是vlan30.从[SwitchA-Vlanif30] ip address 192.168.30.1 24 可以得到，vlan的IP网段是192.168.30.0/24，因此pc4只能是该网段的IP地址。只要是本网段中不和网关地址192.168.30.1冲突的主机地址都可以。子网掩码就是255.255.255.0.【问题3】（12）根据time-range t 8:00 to 18:00 daily 可知，每天的8:00-18:00这个时间范围是有效时间范围。而rule 5 deny ip source 192.168.10.0 0.0.0.255 Destination 192.168.30.0 0 time-range t 则表明这个时间范围内，不允许192.168.10.0 所在的vlan 10 访问192.168.30.0 对应的vlan 30.因此允许vlan10 访问vlan30的时间范围就是每日的18:00到第二天的8:00。(14)概念题。如下表所示。

第14题：

阅读以下说明，回答问题1至问题4，将解答填入答题纸对应的解答栏内。【说明】某公司网络拓扑结构如图 3-1 所示。网络规划如表3-1所示。



【问题1】（5分，每空1分）有下表所示设备，请将设备代码填入拓扑图中对应的空框内。



【问题2】（5分，选择每空1分）如图3-1所示，防火墙的三个接口由内而外的默认名字分别是（ 6 ）、（ 7 ）、（ 8 ）。从本题的拓扑图来看，防火墙工作在（ ）模式。（6）~（8）备选项：A.trust区域 B.untrust区域 C.DMZ区域【问题3】（8分，每空2分）如图3-1所示，ISP1作为公司的默认互联网出口。该公司拥有2条出口链路，要保证内网机器能够访问互联网，需要在路由器上配置（ 10 ），管理员希望服务器网段的流量都走ISP2出去，则需要在路由器上配置（ 11 ），因为服务器网段的IP地址是内网地址，服务器要对Internet提供服务，需要在路由器上配置（ 12 ），生产区和办公区访问互联网默认走ISP1出去，需要在路由器上配置（ 13 ）。（10）~（13）备选项：A.策略路由 B.缺省路由 C. 源NAT D.目的NAT【问题4】（4分，每空1分）生产区和办公区的用户流量默认走ISP1出口，服务器区域流量走ISP2出口。请根据描述，将下面的配置代码补充完整。R1基本配置略……[R1]acl 2000[R1-acl-basic-2000]rule permit source 192.168.8.0 （ 14 ）[R1-acl-basic-2000]rule permit source 192.168.100.0 0.0.0.255[R1-acl-basic-2000]rule permit source 192.168.200.0 0.0.0.255[R1-acl-basic-2000]quit[R1]acl 2001[R1-acl-basic-2001]rule permit source 192.168.100.0 0.0.0.255 [R1-acl-basic-2001]quit[R1]nat address-group 1 58.60.36.3 58.60.36.6[R1]interface GigabitEthernet 0/0/1[R1-GigabitEthernet0/0/1]nat outbound 2000 address-group 1[R1-GigabitEthernet0/0/1]quit[R1]interface GigabitEthernet 0/0/2[R1-GigabitEthernet0/0/2]nat outbound 2000[R1-GigabitEthernet0/0/2]quit[R1]ip route-static 192.168.8.0 22 （ 15 ）[R1]ip route-static 192.168.100.0 24 192.168.200.3[R1]ip route-static 0.0.0.0 0 58.60.36.1[R1]ip route-static 0.0.0.0 0 113.250.13.1 preference 100 [R1]traffic classifier c1[R1-classifier-c1]if-match acl 2001 [R1-classifier-c1]quit[R1]traffic behavior b1[R1-behavior-b1]redirect ip-nexthop （ 16 ）[R1-behavior-b1]quit[R1]traffic policy p1[R1-trafficpolicy-p1]classifier c1 behavior b1[R1-trafficpolicy-p1]quit[R1]interface GigabitEthernet0/0/0 [R1-GigabitEthernet0/0/0]traffic-policy p1 (17) [R1-GigabitEthernet0/0/0]quit[R1]

第15题：

路由器MSR-1 的GE0/0 接口地址为192.168.100.1/24，该接口连接了一台三层交换机，而此三层交换机为客户办公网络的多个网段的默认网关所在。MSR-1 通过串口S1/0 连接到Internet。全网已经正常互通，办公网用户可以访问Internet。出于安全性考虑，需要禁止客户主机ping MSR-1 的GE0/0 接口，于是在该路由器上配置了如下ACL： acl number 3008 rule 0 deny icmp source 192.168.1.0 0.0.0.255 同时该ACL 被应用在GE0/0的inbound方向。发现局域网内192.168.0.0/24网段的用户依然可以ping通GE0/0接口地址。根据如上信息可以推测（）

• A、该ACL没有生效
• B、该ACL应用的方向错误
• C、防火墙默认规则是允许
• D、对接口GE0/0执行shutdown和undo shutdown命令后，才会实现192.168.0.0/24网段ping不通MSR-1以太网接口地址

第16题：

下面能够表示"禁止从129.9.0.0网段中的主机建立与202.38.16.0网段内的主机的WWW端口的连接"的访问控制列表是（）。

• A、acl101 rule deny tcp source129.9.0.00.0.255.255 destination 202.38.16.00.0.0.255 destination-port equal www
• B、acl101 rule deny tcp source129.9.0.00.0.255.255 destination 202.38.16.00.0.0.255 destination-port equal 80
• C、acl100 rule deny udp source129.9.0.00.0.255.255 destination 202.38.16.00.0.0.255 destination-port equal www
• D、acl99 rule deny udp source129.9.0.00.0.255.255 destination 202.38.16.00.0.0.255 destination-port equal www

第17题：

在一台路由器上配置了如下的ACL： acl number 2000 match-order auto rule 0 deny rule 5 permit source 192.168.9.0 0.0.7.255（反掩码=21） 假设该ACL 应用在正确的接口以及正确的方向上，那么（）

• A、源网段为192.168.15.0/24发出的数据流被允许通过
• B、源网段为192.168.9.0/21发出的数据流被允许通过
• C、源网段为192.168.9.0/21发出的数据流被禁止通过
• D、源网段为192.168.9.0/22发出的数据流被禁止通过
• E、任何源网段发出的数据流都被禁止通过

第18题：

客户的路由器MSR-1 的GE0/0 接口下连接了一台三层交换机，而此三层交换机是其所连接的客户办公网络的多个网段的默认网关所在。MSR-1 通过串口S1/0 连接到Internet。全网已经正常互通，办公网用户可以访问Internet。在该路由器上添加如下ACL 配置： firewall enable acl number 3004 rule 0 deny ip source 192.168.1.0 0.0.0.255 rule 5 permit tcp source 192.168.0.0 0.0.255.255 rule 10 permit icmp同时将ACL 3004应用在GE0/0的inbound方向，那么（）

• A、该路由器允许192.168.2.0/24网段的用户对Internet发出的FTP数据流通过
• B、该路由器允许所有用户的ICMP报文通过
• C、该路由器禁止192.168.1.0/24网段用户对Internet的所有IP流量通过
• D、该路由器允许192.168.1.0/24网段用户对Internet的WWW业务流量通过

第19题：

在MSR路由器上配置了如下ACL： acl number 3999 rule permit tcp source 10.10.10.1 255.255.255.255 destination 20.20.20.1 0.0.0.0 time-range lucky 那么对于该ACL的理解正确的是（）

• A、该rule只在lucky时间段内生效
• B、该rule只匹配来源于10.10.10.1的数据包
• C、该rule只匹配去往20.20.20.1的数据包
• D、该rule可以匹配来自于任意源网段的TCP数据包
• E、该rule可以匹配去往任意目的网段的TCP数据包

第20题：

客户的一台MSR路由通过广域网接口S1/0连接Internet，通过局域网接口GE0/0连接办公网络，目前办公网络用户可以正常访问Internet。在路由器上增加如下的ACL配置： firewall enable firewall default deny # acl number 3003 rule 0 deny icmp rule 5 permit tcp destination-port eq 20 # interface GigabitEthernet0/0 firewall packet-filter 3000 inbound firewall packet-filter 3000 outbound 那么（）

• A、办公网用户发起的到Internet 的ICMP 报文被该路由器禁止通过
• B、办公网用户发起的到达该路由器的FTP 流量可以正常通过
• C、办公网用户发起的到达该路由器GE0/0 的Telnet 报文可以正常通过
• D、办公网用户发起的到Internet 的FTP 流量被允许通过该路由器，其他所有报文都被禁止通过该路由器

第21题：

下列高级ACL规则配置正确的有（）。

• A、rule permit ip icmp-type echo
• B、rule permit ip source-port eq 1024
• C、rule permit ip tos normal dscp ef
• D、rule permit udp time-range udp

第22题：

配置ACL规则时，如果我们想把192.168.0.0/24网段设置为ACL规则的匹配对象，匹配操作为拒绝，则以下配置正确的是（）。

• A、rule 0 deny source 192.168.0.0255.255.255.0
• B、rule 2 deny source 192.168.0.00.0.0.255
• C、rule 3 deny source 192.168.0.024
• D、rule 4 deny source 192.168.0.00.0.255.255

第23题：