思科认证考试
网络管理员是Cisco路由器上配置访问控制列表,允许来自只的网络192.168.146.0,192.168.147.0,192.168.148.0和192.168.149.0主机。哪个结合是最好的完成任务,当两个ACL语句?()A、 access-list 10 permit ip 192.168.147.0 0.0.0.255.255B、 access-list 10 permit ip 192.168.149.0 0.0.0.255.255C、 access-list 10 permit ip 192
题目
网络管理员是Cisco路由器上配置访问控制列表,允许来自只的网络192.168.146.0,192.168.147.0,192.168.148.0和192.168.149.0主机。哪个结合是最好的完成任务,当两个ACL语句?()
- A、 access-list 10 permit ip 192.168.147.0 0.0.0.255.255
- B、 access-list 10 permit ip 192.168.149.0 0.0.0.255.255
- C、 access-list 10 permit ip 192.168.146.0 0.0.0.0.255
- D、 access-list 10 permit ip 192.168.146.0 0.0.0.1.255
- E、 access-list 10 permit ip 192.168.148.0 0.0.0.1.255
- F、 access-list 10 permit ip 192.168.146.0 255.255.255.0
相似问题和答案
第1题:
若LAN2中的计算机不需要访问LAN4中的计算机,为了进一步控制流量,网络管理员决定通过访问控制列表阻止192.168.2.0/24网络中的主机访问192.168.4.0/24网络。请问应将该访问控制列表设置在哪台路由器上?请写出相应的配置过程。
应在路由器R3上配置扩展访问控制列表(1分),其相应的配置过程示例如下: R3(config)#access-list 110 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 R3(config)#access-list 110 permit ip any any R3(config)#interface f0/0 R3(config-if)#ip access-group 110 in 或其他等价配置语句 解析:为了过滤不必要的通信流量,可以通过配置访问控制列表(ACL)来实现。IP访问控制列表是一种基于路由设备接口的控制列表,可根据事先制定的访问控制准则来控制接口对数据包的接收和拒绝。IP访问控制列表主要有标准访问控制列表和扩展访问控制列表两种类型。标准访问控制列表只能检查数据包的源地址,根据源网络、子网或主机的IP地址来决定对数据包的过滤,其表号范围是1~99、1300~1999。在全局配置模式下,使用命令access-listaccess-list-number{permit|deny}source wildcard-mask配置标准访问控制列表。访问控制列表通配符(Wildcard-Mask)的作用是,指出访问控制列表过滤的IP地址范围,即路由器在进行基于源IP地址、目的IP地址过滤时,通配符告诉路由器应检查哪些地址位,忽略哪些地址位。通配符为0,表示检查相应的地址位:通配符为1,表示忽略,即不检查相应的地址位。通配符与 IP地址总是成对出现的。通常,ACL通配符用32位二进制数表示,表示形式与IP地址、子网掩码相同。实际上,通配符就是子网掩码的反码。
扩展访问控制列表可以检查数据包的源IP地址、目的IP地址、指定的协议、端口号等来决定对数据包的过滤。其表号范围是100~199、2000~2699。在全局配置模式下,使用命令access-listaccess-list-number {permit|deny}protocol source wildcard-mask destination wildcard-mask[opemtor][operand]配置扩展访问控制列表。其中,operator(操作)有It(小于)、St(大于)、eq(等于)、neq(不等于);operand(操作数)指的是端口号。本问题要求“阻止192.168.2.0/24网络中的主机访问192.168.4.0/24网络”中出现了源网段地址和目的网段地址,因此需要使用扩展访问控制列表才能完成这一配置需求。
配置ACL的具体步骤如下。
①定义一个标准(或扩展)的访问控制列表。
②为访问控制列表配置包过滤的准则。
③配置访问控制列表的应用接口。
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而能否有效地减少网络中不必要的通信流量,还要取决于网络管理员将ACL部署在哪个具体地方。其部署原则是:标准ACL要尽量靠近目的端,扩展ACL则要尽量靠近源端。因此,本问题应在路由器R3上配置扩展访问控制列表,其相应的配置过程示例如下:
R3(config)#access-list110denyip192.168.2.00.0.0.255192.168.4.00.0.0.255
R3(config)#access—list110permitipany any
R3(config)#interface f0/0
R3(config-if)#ip access-group110in
或者:
R3(config)#ip access-list extended denyLAN2
R3(config-ext-nac1)#deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
R3(config-ext-nac1)#permit ip any any
R3(config-ext-nac1)#exit
R3(config)#interface f0/0
R3(config-if)#ip access-group denyLAN2 in
第2题:
请参见图示。网络管理员正在从控制台端口访问路由器R1。连接到路由器后,管理员应在R1>提示符后输入什么口令以进入特权执行模式
A.Cisco 001
B.Cisco 123
C.Cisco 789
D.Cisco 901
第3题:
为了控制局域网用户访问因特网时只能进行www浏览,网络管理员应该在路由器上采取什么措施?
在路由器上进行策略限制,仅仅让TCP的80端口能够进行数据包传输 解析:路由器具有防火墙功能。路由器通常有多种隔离信息包的方法,从而进一步加强网络的安全保密性,防止网络系统和系统内部数据遭到攻击和破坏。www浏览使用的是TCP的80端口,可以在路由器上进行策略限制,仅仅让TCP的80端口能够进行数据包传输。
第4题:
在一台Cisco路由器的g3/1接口,封禁ICMP协议,只允许转发168.105.129.0/24子网的ICMP数据包,正确的访问控制列表的配置是( )。
A.
B.
C.
D.
A.A
B.B
C.C
D.D
B【解析】全局配置模式命令格式为:另外,禁封ICMP协议为扩展访问控制命令,IP扩展访问控制列表表号范围:100~199、2000~2699;wildcard-mask为通配符,也即子网掩码的反码。故选择B选项。
第5题:
在一台Cisco路由器的90/1端口上,用标准访问控制列表禁止源地址为10.0.0.0-10.255.255.255和172.16.0.0.172.31.255.255的数据包进出路由器。下列access-list配置,正确的是( )。
A.
B.
C.
D.
A.A
B.B
C.C
D.D
全局配置模式:
第6题:
访问控制列表在企业网络中的可能用途是下列哪两项()
A.控制调试输出
B.降低路由器上的处理负载
C.允许通过路由器过滤第2层流量
D.控制虚拟终端对路由器的访问
第7题:
●网络用户只能接收但不能发送Email,不可能的原因是(35)。
A.邮件服务器配置错误
B.路由器端口的访问控制列表设置为denypop3
C.路由器端口的访问控制列表设置为denysmtp
D.客户端代理设置错误
第8题:
以下关于访问控制列表的描述中,哪项是错误的?——
A.访问控制列表是应用到路由器接口的命令列表
B.访问控制列表的核心就是根据特定规则进行数据包过滤,对网络进行安全控制
C.访问控制列表还可以用来限制网络流量,进行流量控制
D.访问控制列表只适用于IP协议
解析:访问控制列表适用于所有网络层的协议,如IP、IPX、AppleTalk等协议,D)的说法不正确,故选D)。
第9题:
在一台cisco路由器上执行shoWaccess-lists命令显示如下一组限制远程登录的访问控制列表信息
根据上述信息,正确的access.1ist的配置是( )。
A.
B.
C.
D.
A.A
B.B
C.C
D.D
根据配置标准访问控制列表的命令格式“access-listaccess.1ist-number{permit|deny}sourcewildeard-mask”可知,B、C明显错误,D选项“access.1ist40denyany”后面不用加log。
第10题:
使用名字标识访问控制列表的配置方法,在Cisco路由器的g0/3接口封禁端口号为1434的UDP数据包和端口号为4444的TCP数据包,正确的访问控制列表的配置是( )。
A.
B.
C.
D.
A.A
B.B
C.C
D.D
D【解析】用名字标识访问控制列表的配置方法: