网络技术
问答题标准IP访问控制列表的基本格式为access-list[1ist number][permit|deny][host/any][sourceaddress][wildcard-mask][log],请填写其参数描述。 a、list number……………………………………【11】 b、permit/deny…………………………………【12】 c、source address…………………………………【13】 d、host/any………………………………………【14】 e、windcad-m
题目
参考答案和解析
【12】允许或拒绝
【13】源地址
【14】主机匹配
【15】通配符屏蔽码
解析:此题考查了标准IP访问控制列表的配置命令
相似问题和答案
第1题:
定义一个用于封禁ICMP协议而只允许转发166.129.130.0/24子网的ICMP数据包的访问控制列表,Cisco路由器的正确配置是
A.access-list 198 permit icmp 166.129.130.0 255.255.255.0 any access-list 198 deny icmp any any access-list 198 permit ip any any
B.access-list 198 permit icmp 166.129.130.0 0.0.0.255 any access-list 198 deny icmp any any access-list 198 permit ip any any
C.access-list 99 permit icmp 166.129.130:0 0.0.0.255 any access-list 99 deny icnip any any access-list 99 permit ip any any
D.access-list 100 permit icmp 166.129.130.0 0.0.0.255 any access-list 100 permit ip any any access-list 100 deny icmp any any
第2题:
( 22 )只封禁一台地址为 193.62.40.230 主机的 access-list 的正确配置是
A ) access-list 110 permit ip any any
access-list 110 deny ip host 193.62.40.230 any
access-list 110 deny ip any host 193.62.40.230
B ) access-list 110 deny ip host 193.62.40.230 any
access-list 110 deny ip any host 193.62.40.230
access-list 110 permit ip any any
C ) access-list 110 deny ip host 193.62.40.230 any
access-list 110 deny ip any host 193.62.40.230
D ) access-list 110 deny ip host 193.62.40.230 any
access-list 110 permit ip any any
access-list 110 deny ip any host 193.62.40.230
第3题:
定义一个用于封禁ICMP协议而只允许转发166.129.130.0/24子网的ICMP数据包的访问控制列表,Cisco路由器的正确配置是( )。
A) access-list 198 permit icmp 166.129.130.0 255.255.255.0 any
access-list 198 deny icmp any any
access-list 198 permit ip any any
B) access-list 198 permit icmp 166.129.130.0 0.0.0 255 any
access-list 198 deny icmp any any
access-list 198 permit ip any any
C) access-list 99 permit icmp 166.129.130.0 0.0.0 255 any
access-list 99 deny icmp any any
access-list 99 permit ip any any
D) access-list 100 permit icmp 166.129.130.0 0.0.0 255 any
access-list 100 pernut ip any any
access-list 100 deny icmp any any
(22)B) 【解析】封禁ICMP协议属于配置扩展访问控制列表,所以表号范围为100—199或2000~2699,格式为:access-list access-list-number {permitldeny} protocol source wildcard-mask destination wildcard-mask [operator] [operand]。因为wildcard-mask为子网掩码的反码,所以根据以上描述,本题选项B)正确。
第4题:
标准IP访问控制列表的基本格式为access-list[list number] [permit | deny] [host/any] [sourceaddress] [wildcard-mask][log],请填写其参数描述。
a. list number .......................................... [11]
b. permit/deny ....................................... [12]
c. s
[11]表号范围 [12]允许或拒绝 [13]源地址 [14]主机匹配 [15]通配符屏蔽码 解析:此题考查了标准IP访问控制列表的配置命令。
第5题:
只封禁一台IP地址为203.168.47.59主机的access-list的正确配置是(41) 。
A.access-list 110permit ip any any access-list 110deny ip host 203.168.47.59 any access-list 110deny ip any host 203.168.47.59
B.access-list 110deny ip host 203.168.47.59any access-list 110deny ip any host 203.168.47.59 access-list 110permit ip any any
C.access-list 110deny ip host 203.168.47.59 any access-list 110deny ip any host 203.168.47.59
D.access-list 110deny ip host 203.168.47.59 any access-list 110permit ip any any access-list 110deny ip any host 203.168.47.59
解析:访问控制列表(ACL)用于过滤流入和流出路由器接口的数据包。它是一种基于接口的控制列表,可根据网络管理员制订的访问控制准则来控制接口对数据包的接收和拒绝,具有包过滤功能,能做到限制网络流量、限制用户和设备对网络的访问,减少网络欺骗和拒绝服务,以提高网络的安全性。
IP访问控制列表是一个连续的列表,至少由一个“permit(允许)”语句和一个或多个“deny(拒绝)”语句组成。ACL列表用名字(Name)或表号(Number)标识和引用。配置IP访问控制列表的首要任务就是使用命令“access-list”定义一个访问控制列表。在配置过滤规则时,需要注意的是ACL语句的顺序。因为路由器接口执行哪一条ACL是按照配置的访问控制列表中的条件语句(准则),从第1条开始顺序执行的。数据包只有在跟前一个判断条件不匹配时,才能被交给ACL中的下一个条件语句进行比较。可见, ACL语句的先后顺序非常重要。例如,只封禁一台地址为203.168.47.59主机的access-list的正确配置如下:
access-list 110 deny ip host
access-list 110 deny ip any host 203.168.47.59
access-list 110 permit ip any any
如果将“access-list 110 permit ip any any”放在ACL规则的最前面(见选项A),则其后两条deny语句将不起作用,即不能按照预期的应用需求正确地控制数据包的接收与拒绝。
选项C的ACL规则中,缺少“permit(允许)”语句,它将封禁全网所有的通信。
选项D的ACL规则,将封禁地址为203.168.47.59的主机对外的单向通信,允许其他主机或路由器访问203.168.47.59的主机。
第6题:
只封禁一台地址为193.62.40.230主机的access—list的正确配置是——。
A.access—list 110 permit ip any any access—list 110 deny ip host 193.62.40.230 any access—list 1 10 deny ip any host 193.62.40.230
B.access—list 110 denv ip host 193.62.40.230 any access—list 110 deny ip any host 193.62.40.230 access—-list 110 permit ip any any
C.access—list 110 deny ip host 193.62.40.230 any aCCeSS—list 110 deny ip any host 193.62.40.230
D.access—list 110 deny ip host 193.62.40.230 any access—list 110 permit ip any any access—list 110 deny ip any host 193.62.40.230
解析:考查配置访问控制列表ACL,需要特别注意的是ACI。语句顺序。因为路由器接口执行,哪条ACI.是按配置的访问控制列表中的条件语句,从第一条开始顺序执行的。数据包只有在跟第一个判断条件不匹配时,才能交给ACI.中的下一个条件语句进行比较。经判断知,答案选B)。
第7题:
在 Cisco 路由器匕用扩展访问控制列表封禁 1P 地址为 211.102.33.24 的主机,正确的配置语句是
A )
access-list 99 deny ip host 211.102.33.24 any
access-list 99 deny ip any host 211.102.33.24
access-list 99 permit ip any any
B )
access-list 100 permit ip any any
access-list 100 deny ip host 211.102.33.24 any
access-list 100 deny ip any host 211.102.33.24
C )
access-list 199 deny ip host 211.102.33.24 any
access-list 199 deny ip any host 211.102.33.24
access-list 199 permit ip any any
D )
access-list 166 deny ip host 211.102.33.24 any
access-list 166 permit ip any any
第8题:
在Cisco路由器上,用扩展访问控制列表封禁IP地址为211.102.33.24的主机,正确的配置语句是______。
A.access-list 99 deny ip host 211.102.33.24 any access-list 99 deny ip any host 211.102.33.24 access-list 99 permit ip any any
B.access-list 100 permit ip any any access-list 100 deny ip host 211.102.33.24 any access-list 100 deny ip any host 211.102.33.24
C.access-list 199 deny ip host 211.102-33.24 any access-list 199 deny ip any host 211.102.33.24 access-list 199 permit ip any any
D.access-list 166 deny ip host 211.102.33.24 any access-list 166 permit ip any any
第9题:
要禁止内网中IP地址为198.168.46.8的PC访问外网,正确的ACL规则是(11)。
A.access-list 1 permit ip 192.168.46.00.0.0.255 any access-list 1 deny ip host 198.168.46.8 any
B.access-list 1 permit ip host 198.168.46.8 any access-list 1 deny ip 192.168.46.00.0.0.255 any
C.access-list 1 deny ip 192.168.46.00.0.0.255 any access-list 1 permit ip host 198.168.46.8 any
D.access-list 1 deny ip host 198.168.46.8 any access-list 1 permitip 192.168.46.00.0.0.255 any
D 解析:这是一道要求掌握标准访问控制列表的具体应用的理解题。本题的解答思路如下。
最简单的访问控制列表就是标准访问控制列表。它是通过使用IP包中的源IP地址进行过滤,使用访问控制列表号1~99宋创建相应的ACL。其具体的语法格式如下:
例如,access-list 1 deny ip host 198.168.46.8 any配置语句可将所有来自198.168.46.8地址的数据包丢弃。对于标准访问控制列表而言,可以省略默认的关键词host。换言之,语句access-list 1 deny ip host 198.168.46.8 any与语句access-list 1deny中198.168.46.8 any是等价的。
当然也可以用网段来表示ip地址>,以实现对某个网段的数据包的过滤。例如,access-list 1 permit ip 192.168.46.00.0.0.255 any配置语句,允许所有来自198.168.46.0/24网段内所有计算机的数据包通过防火墙。其中,0.0.0.255是子网掩码255.255.255.0的反向掩码。
第10题:
只封禁一台地址为192.168.1.230主机的access-list正确配置是 (5) 。 A.access-list 110 permit中anyany access-list 110 deny中host 192.168.1.230 any access-list 110 deny ip anyhost 192.168.1.230
B.access-list 110 deny中host 192.168.1.230 any access-list 110 deny中any host 192.168.1.230 access-list 110 permit ip anyany
C.access-list 110 deny ip host 192.168.1.230 any access-list 110 deny ip any host 192.168.1.230
D.access-list 110 deny ip host 192.168.1.230 any access-list 110 permit ip anyany access-list 110 deny ip any host 192.168.1.230
(5) B 解析:访问控制列表(ACL)用于过滤流入和流出路由器接口的数据包。它是一种基于接口的控制列表,可根据网络管理员制定的访问控制准则来控制接口对数据包的接收和拒绝,从而提高网络的安全性。
IP访问控制列表是一个连续的列表,至少由一个“permit(允许)”语句和一个或多个“deny(拒绝)”语句组成。ACL列表用名字(name)或表号(number)标识和引用。配置IP访问控制列表的首要任务就是使用命令“access-list”定义一个访问控制列表。在配置过滤规则时,需要注意的是ACL语句的顺序。因为路由器接口执行哪一条ACL是按照配置的访问控制列表中的条件语句(准则),从第1条开始按顺序执行的。数据包只有在跟前一个判断条件不匹配时,才能跟交给ACL的下一个条件语句进行比较。可见,ACL语句的先后顺序非常重要。例如,只封禁一台地址为192.168.1.230的主机的access-list正确配置示例如下:
access-list 110 deny ip host 192.168.1.230 any
access-list 110 deny ip any host192.168.1.230
access-list 110 permit ip any any
如果将“access-list 110 permit ip any any”放在ACL规则的最前面(见选项A),则其后两条deny语句将不起作用,即不能按照预期的应用需求正确地控制数据包的接收与拒绝。
选项C的ACL规则中,缺少“permit(允许)”语句,它将封禁全网所有的通信。
选项D的ACL规则将封禁地址为192.168.1.230的主机对外的单向通信,允许其他主机或路由器访问 192.168.1.230的主机。