定义一个用于封禁ICMP协议而只允许转发166.129.130.0/24子网的ICMP数据包的访问控制列表,Cisco路由器的正确配置是( )。A) access-list 198 permit icmp 166.129.130.0 255.255.255.0 anyaccess-list 198 deny icmp any anyaccess-list 198 permit ip any anyB) access-list 198 permit icmp 166.129.130.0 0.0.0 255
题目
定义一个用于封禁ICMP协议而只允许转发166.129.130.0/24子网的ICMP数据包的访问控制列表,Cisco路由器的正确配置是( )。
A) access-list 198 permit icmp 166.129.130.0 255.255.255.0 any
access-list 198 deny icmp any any
access-list 198 permit ip any any
B) access-list 198 permit icmp 166.129.130.0 0.0.0 255 any
access-list 198 deny icmp any any
access-list 198 permit ip any any
C) access-list 99 permit icmp 166.129.130.0 0.0.0 255 any
access-list 99 deny icmp any any
access-list 99 permit ip any any
D) access-list 100 permit icmp 166.129.130.0 0.0.0 255 any
access-list 100 pernut ip any any
access-list 100 deny icmp any any
相似考题
更多“定义一个用于封禁ICMP协议而只允许转发166.129.130.0/24子网的ICMP数据包的访问控制列表,Cisco路由器的正确配置是( )。A) access-list 198 permit icmp 166.129.130.0 255.255.255.0 anyaccess-list 198 deny icmp any anyaccess-list 198 permit ip any anyB) access-list 198 permit icmp 166.129.130.0 0.0.0 255 ”相关问题
-
第1题:
在 Cisco 路由器匕用扩展访问控制列表封禁 1P 地址为 211.102.33.24 的主机,正确的配置语句是
A )
access-list 99 deny ip host 211.102.33.24 any
access-list 99 deny ip any host 211.102.33.24
access-list 99 permit ip any any
B )
access-list 100 permit ip any any
access-list 100 deny ip host 211.102.33.24 any
access-list 100 deny ip any host 211.102.33.24
C )
access-list 199 deny ip host 211.102.33.24 any
access-list 199 deny ip any host 211.102.33.24
access-list 199 permit ip any any
D )
access-list 166 deny ip host 211.102.33.24 any
access-list 166 permit ip any any
正确答案:C
-
第2题:
用扩展访问控制列表配置封禁ICMP协议,只允许l68.27.95.0/24子网的ICMP数据包通过路由器,正确的配置是(61) 。
A.access-list 90 deny icmp l68.27.95.0 255.255.255.0 any access-list 90 deny icmp any anyaccess—list 90 permit ip any any
B.access-list l00 permit icmp l68.27.95.0 0.0.0.255 any access-list l00 permit ip any any
C.access—list l l o permit icmp l68.27.95.0 255.255.255.0 any access—list l lo deny icmp any any
D.access-list l20 permit icmp l68.27.95.0 0.0.0.255 any access—list l20 deny icmp any any access—list l20 permit ip any any
正确答案:D
要点解析:路由器扩展ACL(访问控制列表)的表号范围是l00~199、2000~2699。而选项A的ACL号“90”属于标准ACL的表号范围,据此可先排除选项A。
在全局配置模式下,使用命令access.1ist access.1ist-number{permit l deny}protocol source wildcar
D.mask destination wildcar
D.mask『operator][operand]配置标准访问控制列表。依题意,允许168.27.95.0/24子网的ICMP数据包通过该路由器的某接口,相应的配置语句是:access.1ist ll0 permit icmp l68.27.95.0 0.0.0.255 any。
注意到题目“在该路由器接口上只封禁ICMP协议”中“只”字的要求,需要先使用命令 access.1ist llo deny icmp any any,再使用命令access.1ist llo permit ip any any才能完成这一要求。 选项8中缺少了封禁ICMP协议的命令access—list llo deny icmp any any。
选项c有两个错误之处:①配置语句中使用的是子网掩码255.255.255.0,而正确的配置语句应该使用的是访问控制列表通配符(Wildcard—Mask)形式,即0.0.0.255;②缺少命令access—list ll0 permit ip any any,它将封禁除l68.27.95.0/24子网的ICMP数据包通过之外的所有通信。
-
第3题:
若要求路由器的某接口上只封禁ICMP协议,但允许159.67.183.0/24子网的ICMP数据包通过,那么使用的access-list命令是______。
A.access-list 120 deny icmp 159.67.183.0 0.0.0.255 any access-list 120 permit ip any any
B.access-list 10 permit icmp 159.67.183.0 0.0.0.255 any access-list 10 deny icmp any any access-list 10 permit ip any any
C.access-list 99 permit icmp 159.67.183.0 0.0.0.255 any access-list 99 deny icmp any any
D.access-list 110 permit icmp 159.67.183.0 0.0.0.255 any access-list 110 deny icmp any any access-list 110 permit ip any any
正确答案:D
解析:依题意,允许159.67.183.0/24子网的ICMP数据包通过该路由器的某接口,相应的配置语句是:access-list 110 permit icmp 159.67.183.0 0.0.0.255 any。
注意到题目“在该路由器接口上只封禁ICMP协议”中“只”字的要求,需要先使用命令access-list 110 deny icmp any any,再使用命令access-list 110 permit ip any any才能完成这一要求。
选项A中的“access-list 120 deny icmp 159.67.183.0 0.0.0.255 any”表示,禁止159.67.183.0/24子网的ICMP数据包通过,因此选项A不符合题意要求。
选项B中的“10”和选项C中的“99”都是标准访问控制列表的表号,而标准访问控制列表的配置命令是access-list access-list-number {permit|deny} source-address wildcard-mask。而选项B和选项C的配置语句中包含了目的IP地址范围(any),不符合标准访问控制列表的语法格式,因此可排除选项B和选项C。
-
第4题:
ACL默认执行顺序是(5),在配置时要遵循(6)原则、最靠近受控对象原则、以及默认丢弃原则。
(5)、(6)备选项
(A)最大特权(B)最小特权(C)随机选取
(D)自左到右(E)自上而下(F)自下而上
=2.要禁止内网中IP地址为192.168.46.8的PC机访问外网,正确的ACL规则是(7).
(A)access-list 1 permit ip 192.168.46.00.0.0.255 any
access-list 1 deny ip host 192.168.46.8 any
(B)access-list 1 permit ip host 192.168.46.8 any
access-list 1 deny ip 192.168.46.00.0.0.255 any
(C)access-list 1 deny ip 192.168.46.00.0.0.255 any
access-list 1 permit ip host 192.168.46.8 any
(D)access-list 1 deny ip host 192.16.46.8 any
access-list 1 permit ip 192.168.46.00.0.0.255
正确答案:(5)(E)自上而下 (6)(B)最小特权 (7)(D)access-list 1 deny ip host 198.168.46.8 any access-list 1 permit ip 192.168.46.00.0.0.255 any
(5)(E)自上而下 (6)(B)最小特权 (7)(D)access-list 1 deny ip host 198.168.46.8 any access-list 1 permit ip 192.168.46.00.0.0.255 any 解析:本题考查的是。
1.ACL默认的执行次序是自上而下,另外ACL在执行时应注意以下原则:
(1)最小特权原则
只给受控对象完成任务所必须的最小的权限。也就是说被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的。
(2)最靠近受控对象原则
所有的网层访问权限控制。也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件了就立刻转发,而不继续检测下面的ACL语句。
(3)默认丢弃原则
在CISCO路由交换设备中默认最后一句为ACL中加入了DENY ANY ANY,也就是丢弃所有不符合条件的数据包。这一点要特别注意,虽然我们可以修改这个默认,但未改前一定要引起重视
2.ACL在执行时,默认的执行次序是自上而下。另外,在匹配规则时,数据包如果与前面的规则已匹配,就会按照此规则执行,而不再匹配下面与该数据包相关的规则。
要禁止内网中IP地址为192.168.46.8的PC机访问外网。需要先禁止192.168.46.8数据包,再放行192.168.46.0网段数据包,注意次序。 -
第5题:
在一台Cisco路由器的g3/1端口封禁端口号为139的TCP和端口号为1434的UDP连接,并封禁ICMP协议,只允许212.15.41.0/26子网的ICMP数据包通过路由器,正确的access-list配置是( )。
正确答案:D
①在路由器上使用访问控制列表(AccessControlList,ACL)时需要注意ACL语句的顺序,因为路由器执行哪条ACL语句是按照配置的ACL中的条件语句,从第一条开始顺序执行。数据包只有在跟第一个判断条件不匹配时,才能交给ACL中的下一个语句进行比较。②ipaccess-list语法格式:ipaccess-listextended|standardACL表号或者表名。③extanded多用于协议端口配置,而standard多用于IP地址配置。④permit|deny协议名源端地址源端反掩码目的端地址目的端反掩码。⑤配置完访问控制列表之后,还应该在端口上配置数据包的进和出。其语法格式是:ipaccess-groupACL表号或表名(该表号或名称应该与第2步中的表号一致)in/out(in代表数据进入,out代表数据的输出)。选项A中第二行错误,没有使用子网掩码的反码,选项B中第二行错误,子网掩码反码计算错误,应该是O.0.0.63。由于是对协议端口配置,应该使用extanded关键字,C选项错误。故选D选项。 -
第6题:
定义一个用于封禁ICMP协议而只允许转发l66.129.130.0/24子网的ICMP数据包的访问控制列表,Cisco路由器的正确配置是( )。
A.
B.
C.
D.
A.A
B.B
C.C
D.D
正确答案:B
B【解析】标准访问控制列表标号为1~99,1300~1999。100~199,2000~2699为扩展控制列表。标准访问控制列表只能检查数据包的源地址,因此其功能有很大的局限性,扩展访问控制列表可以检查数据包的源地址和目的地址,还可以对数据包头中的协议进行过滤,如IP协议,ICMP协议和TCP协议等,因此排除C。访问控制列表的通配符是子网掩码的反码,所以A项错误。而D项先执行“access-list100permitipanyany”,那么所有的IP地址都不禁封,而后面命令的将不执行,D项错。所以选择B选项。 -
第7题:
用标准访问控制列表禁止非法地址192.168.0.0/16的数据包进出路由器的正确配置是______。
A.access-list 110 deny 192.168.0.0 0.0.255.255 access-list 110 permit any
B.access-list 10 deny 192.168.0.0 255.255.0.0 access-list 10 permit any
C.access-list 50 permit any access-list 50 deny 192.168.0.0 0.0.255.255
D.access-list 99 deny 192.168.0.0 0.0.255.255 access-list 99 permit any
正确答案:D
解析:访问控制列表(ACL)的表号(Name)和名字(Number)都是用来标识或引用访问控制列表的。名字用字符串标识,表号用数字表示。标准ACL的表号范围是1~99、1300~1999;扩展ACL的表号范围是100~199、2000~2699。因此,选项A中ACL表号(110)不能满足题意要求。
在路由器全局配置模式下,使用命令access-list access-1ist-number {permit | deny) source wildcard-mask配置标准ACL。其中,访问控制列表通配符(Wildcard-Mask)是子网掩码的反码。本试题中,地址块“192.168.0.0/16”的“/16”是子网掩码255.255.0.0的简化表达形式,其对应的ACL通配符为0.0.255.255。因此选项B的配置语句不符合该命令的语法格式。
ACL默认执行顺序是自上而下的。在配置ACL列表时,要遵循最小特权原则、最靠近受控对象原则,以及默认丢弃原则。其中,最小特权原则是指只给受控对象完成任务所必需的最小的权限,即被控制的总规则是各个规则的交集,只满足部分条件的是不容许通过规则的;最靠近受控对象原则是对所有的网络层访问权限进行控制,也就是说在检查规则时是采用自上而下在ACL中一条条检测的,只要发现符合条件就立刻转发,而不继续检测下面的ACL语句;默认丢弃原则是指在路由交换设备中,默认最后一条ACL语句为deny any any,即丢弃所有不符合条件的数据包。
对于选项C,将“access-list 50 permit any”置于ACL规则的最前面,表示允许所有的数据包进出路由器,则其后的deny语句将不起作用,即不能按照预期的应用需求正确地控制数据包的接收与拒绝。
因此,在Cisco路由器上,用标准访问控制列表禁止非法地址192.168.0.0/16的数据包进出路由器,可能的一种配置语句,如下所示:
Router (conflg)# access-list 99 deny 192.168.0.0 0.0.255.255
Router (conflg)# access-list 99 permit any -
第8题:
下面ACL语句中,表达“禁止外网和内网之间互相ping”的是( )。A.access-list 101 permit any any
B.access-list 101 permit icmp any any
C.access-list 101 deny any any
D.access-list 101 deny icmp any any答案:D解析:访问控制列表(Access Control Lists,ACL)是目前使用最多的访问控制实现技术。访问控制列表是路由器接口的指令列表,用来控制端口进出的数据包。ACL适用于所有的被路由协议,如IP、IPX、AppleTalk等。访问控制列表可以分为标准访问控制列表和扩展访问控制列表。ACL的默认执行顺序是自上而下,在配置时要遵循最小特权原则、最靠近受控对象原则及默认丢弃原则。
通用扩展访问控制列表配置:
Router> enable
Router # config terminal 准备进入全局配置模式
Router(config)# access-list access-list_num {permit|deny} IP_protocol source_ip source_wildcard_mask destionation_ip destionation_wildcard_mask
access-list_num取值为100~199,permit表示允许,deny表示拒绝
IP_protocol包括IP、ICMP、TCP、GRE、UDP、IGRP、EIGRP、IGMP、NOS、OSPF
source_ip source_wildcard_mask表示源地址及其反掩码
destionation_ip destionation _wildcard_mask表示目的地址及其反掩码
由于题目拒绝外网和内网之间互相ping,ping用的是ICMP的协议,所以access-list 101 deny icmp any any -
第9题:
要创建一个扩展命名访问控制列表cisco,仅允许HTTP流量进入网络196.15.7.0/24,下面命令是错误的有()。
- A、ip access-list extended cisco permit tcp any 196.15.7.0 0.0.0.255 eq www
- B、ip access-list extended cisco deny tcp any 196.15.7.0 eq www
- C、ip access-list extended cisco permit 196.15.7.0 0.0.0.255 eq www
- D、ip access-list extended cisco permit ip any 196.15.7.0 0.0.0.255
- E、ip access-list extended cisco permit www 196.15.7.0 0.0.0.255
正确答案:B,C,D,E -
第10题:
下面ACL语句中,表达“禁止外网和内网之间互相ping”的是 () 。
- A、access-list 101 permit any any
- B、access-list 101 permit icmp any any
- C、access-list 101 deny any any
- D、access-list 101 deny icmp any any
正确答案:D -
第11题:
单选题在Cisco路由器上,用扩展访问控制列表封禁IP地址为211.102.33.24的主机,正确的配置语句是( )。Aaccess-list 99 deny ip host 211.102.33.24 any
access-list 99 deny ip any host 211.102.33.24
access-list 99 permit ip any anyBaccess-list 100 permit ip any any
access-list 100 deny ip host 211.102.33.24 any
access-list 100 deny ip any host 211.102.33.24Caccess-list 199 deny ip host 211.102.33.24 any
access-list 199 deny ip any host 211.102.33.24
access-list 199 permit ip any anyDaccess-list l66 deny ip host 211.102.33.24 any
access-list 166 permit ip any any正确答案: B解析:
根据全局配置模式下封禁IP地址语句,C项正确。 -
第12题:
多选题要创建一个扩展命名访问控制列表cisco,仅允许HTTP流量进入网络196.15.7.0/24,下面命令是错误的有()。Aip access-list extended cisco permit tcp any 196.15.7.0 0.0.0.255 eq www
Bip access-list extended cisco deny tcp any 196.15.7.0 eq www
Cip access-list extended cisco permit 196.15.7.0 0.0.0.255 eq www
Dip access-list extended cisco permit ip any 196.15.7.0 0.0.0.255
Eip access-list extended cisco permit www 196.15.7.0 0.0.0.255
正确答案: E,D解析: 暂无解析 -
第13题:
( 22 )用 标准 访问控制列表禁止非法地址 192.168.0.0/16 的数据包进出路由器的正确配置是
A ) access-list 110 deny 192.168.0.0 0.0.255.255
access-list 110 permit any
B ) access-list 10 deny 192.168.0.0 255.255.0.0
access-list 10 permit any
C ) access-list 50 permit any
access-list 50 deny 192.168.0.0 0.0.255.255
D ) access-list 99 deny 192.168.0.0 0.0.255.255
access-list 99 permit an
正确答案:B
-
第14题:
要禁止内网中IP地址为198.168.46.8的PC访问外网,正确的ACL规则是(11)。
A.access-list 1 permit ip 192.168.46.00.0.0.255 any access-list 1 deny ip host 198.168.46.8 any
B.access-list 1 permit ip host 198.168.46.8 any access-list 1 deny ip 192.168.46.00.0.0.255 any
C.access-list 1 deny ip 192.168.46.00.0.0.255 any access-list 1 permit ip host 198.168.46.8 any
D.access-list 1 deny ip host 198.168.46.8 any access-list 1 permitip 192.168.46.00.0.0.255 any
正确答案:D
D 解析:这是一道要求掌握标准访问控制列表的具体应用的理解题。本题的解答思路如下。
最简单的访问控制列表就是标准访问控制列表。它是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1~99宋创建相应的ACL。其具体的语法格式如下:
例如,access-list 1 deny ip host 198.168.46.8 any配置语句可将所有来自198.168.46.8地址的数据包丢弃。对于标准访问控制列表而言,可以省略默认的关键词host。换言之,语句access-list 1 deny ip host 198.168.46.8 any与语句access-list 1deny中198.168.46.8 any是等价的。
当然也可以用网段来表示ip地址>,以实现对某个网段的数据包的过滤。例如,access-list 1 permit ip 192.168.46.00.0.0.255 any配置语句,允许所有来自198.168.46.0/24网段内所有计算机的数据包通过防火墙。其中,0.0.0.255是子网掩码255.255.255.0的反向掩码。 -
第15题:
封禁ICMP协议,只转发212.78.170.166/27所在子网的所有站点的ICMP数据包,正确的access-list配置是______。
A) Router(config)#access-list 110 permit icmp 212.78.170.166 0.0.0.0 any
Router(config)#access-list 110 deny icmp any any
Router(config)#access-list 110 permit ip any any
B) Router(config)#access-list 110 permit icmp 212.78.170.0 255.255.255.224 any
Router(config)#access-list 110 permit ip any any
Router(config)#access-list 110 deny icmp any any
C) Router(config)#access-list 110 perimt iemp 212.78.170.0 0.0.0.255 any
Router(config)#access-list 110 deny icmp any any
Router(config)#access-list 110 permit ip any any
D) Router(config)#access-list 110 permit icmp 212.78.170.160 0.0.0.31 any
Router(config)#access-list 110 deny icmp any any
Router(config)#access-list 110 permit ip any any
A.
B.
C.
D.
正确答案:D
-
第16题:
定义一个用于封禁ICMP协议而只允许转发l66.129.130.0/24子网的ICMP数据包的访问控制列表,Cisc0路由器的正确配置是( )。
A.access-list 198 permit icmp 166.129.130.0 255.255.255.0 anyaccess-list 198 deny iemp any anyaccess-list 198 permit ip any any
B.access-list 198 permit icmp 166.129.130.0 0.0.0.255 anyaccess-list 198 deny iemp any anyaccess-list 198 permit ip any any
C.access-list 99 permit icmp 166.129.130.0 0.0.0.255 anyaccess-list 99 deny iemp any anyaccess-list 99 permit ip any any
D.access-list 100 permit icmp 166.129.130.0 0.0.0.255 anyaccess-list 100 permit ip any anyaccess-list 100 deny icmp any any
正确答案:B
标准访问控制列表标号为1~99,1300~1999。100~199,2000~2699为扩展控制列表。标准访问控制列表只能检查数据包的源地址,因此其功能有很大的局限性,扩展访问控制列表可以检查数据包的源地址和目的地址,还可以对数据包头中的协议进行过滤,如IP协议,ICMP协议和TCP协议等,因此排除C。访问控制列表的通配符是子网掩码的反码。所以A项错误。而D项先执行"access-list100per-mitipanyany",那么所有的IP地址都不禁封,而后面命令的将不执行,D项错。所以选B。 -
第17题:
在一台Cisco路由器的g3/1接口,封禁ICMP协议,只允许转发168.105.129.0/24子网的ICMP数据包,正确的访问控制列表的配置是( )。
A.
B.
C.
D.
A.A
B.B
C.C
D.D
正确答案:B
B【解析】全局配置模式命令格式为:另外,禁封ICMP协议为扩展访问控制命令,IP扩展访问控制列表表号范围:100~199、2000~2699;wildcard-mask为通配符,也即子网掩码的反码。故选择B选项。 -
第18题:
只封禁一台地址为193.62.40.230主机的access-list的正确配置是
A.access-list 110 permit ip any any access-list 110 deny ip host 193.62.40.230 any access-list 110 deny ip any host 193.62.40.230
B.access-list 110 deny ip host 193.62.40.230any access-list 110 deny ip any host 193.62.40.230 access-list 110 permit ip any any
C.access-list 110 deny ip host 193.62.40.230 any access-list 110 deny ip any host 193.62.40.230
D.access-list 110 deny ip host 193.62.40.230 any access-list 110 permit ip any any access-list 110 deny ip any host 193.62.40.230
正确答案:B
-
第19题:
用标准访问控制列表封禁非法地址192.168.0.0/16的数据包进出路由器的正确配置是
A.access-list 110 deny 192.168.0.0 0.0.255.255 access-list 110 permit any
B.access-list 10 deny 192.168.0.0 255.255.0.0 access-list 10 permit any
C.access-list 50 permit any access-list 50 deny 192.168.0.0 0.0.255.255
D.access-list 99 deny 192.168.0.0 0.0.255.255 access-list 99 permit any
正确答案:D
P194 -
第20题:
计费服务器的ip地址在192.168.1.0/24子网内,为了保证计费服务器的安全,不允许任何用户telnet到该服务器,则需要配置的访问列表条目为:()
- A、access-list 11 deny tcp 192.168.1.0 0.0.0.255 eq telnet/access-list 111 permit ip any any
- B、access-list 111 deny tcp any 192.168.1.0 eq telnet/access-list 111 permit ip any any
- C、access-list 111 deny udp 192.168.1.0 0.0.0.255 eq telnet/access-list 111 permit ip any any
- D、access-list 111 deny tcp any 192.168.1.0 0.0.0.255 eq telnet/access-list 111 permit ip any any
正确答案:D -
第21题:
仅仅允许到主机1.1.1.1的SMTP邮件服务的命名访问控制列表语句是()。
- A、ip access-list standard cisco permit smtp host 1.1.1.1
- B、ip access-list extended cisco permit ip smtp host 1.1.1.1
- C、ip access-list standard cisco permit tcp any host 1.1.1.1 eq smtp
- D、ip access-list extended cisco permit tcp any host 1.1.1.1 eq smtp
正确答案:D -
第22题:
单选题计费服务器的ip地址在192.168.1.0/24子网内,为了保证计费服务器的安全,不允许任何用户telnet到该服务器,则需要配置的访问列表条目为:()Aaccess-list 11 deny tcp 192.168.1.0 0.0.0.255 eq telnet/access-list 111 permit ip any any
Baccess-list 111 deny tcp any 192.168.1.0 eq telnet/access-list 111 permit ip any any
Caccess-list 111 deny udp 192.168.1.0 0.0.0.255 eq telnet/access-list 111 permit ip any any
Daccess-list 111 deny tcp any 192.168.1.0 0.0.0.255 eq telnet/access-list 111 permit ip any any
正确答案: D解析: 暂无解析 -
第23题:
单选题下面ACL语句中,表达“禁止外网和内网之间互相ping”的是 () 。Aaccess-list 101 permit any any
Baccess-list 101 permit icmp any any
Caccess-list 101 deny any any
Daccess-list 101 deny icmp any any
正确答案: B解析: 暂无解析