思科—计算机网络课程设计—第七章访问控制列表概念测试

题目1

网络管理员正在编写一个标准 ACL，以拒绝来自网络 172.16.0.0/16 的任何流量但允许其它所有流量。应该使用哪两条命令？（选择两项。）

选择一项或多项：

• Router(config)# access-list 95 deny any
• Router(config)# access-list 95 deny 172.16.0.0 0.0.255.255
• Router(config)# access-list 95 deny 172.16.0.0 255.255.0.0
• Router(config)# access-list 95 permit any
• Router(config)# access-list 95 host 172.16.0.0
• Router(config)# access-list 95 172.16.0.0 255.255.255.255

反馈

Refer to curriculum topic: 7.2.1
要拒绝来自 172.16.0.0/16 网络的流量，请使用 access-list 95 deny 172.16.0.0 0.0.255.255 命令。要允许所有其他流量，请添加 access-list 95 permit any 语句。

正确答案是：Router(config)# access-list 95 deny 172.16.0.0 0.0.255.255, Router(config)# access-list 95 permit any

题目2

在将 ACL 应用到路由器接口的过程中，哪个流量将被指定为出站流量？

选择一项：

• 从源 IP 地址到路由器的流量
• 离开路由器、流向目的主机的流量
• 从目的 IP 地址到路由器的流量
• 路由器找不到路由表条目的流量

反馈

Refer to curriculum topic: 7.1.1
入站和出站从路由器的角度进行说明。当来自源的流量进入路由器接口时，入站 ACL 中指定的流量将被拒绝或允许。当从该接口传出到目标时，出站 ACL 中指定的流量将被拒绝或允许。

正确答案是：离开路由器、流向目的主机的流量

题目3

请参见图示。网络管理员希望创建标准 ACL，阻止网络 1 的流量传输到研发网络。该标准 ACL 应该在哪个路由器接口和哪个方向上应用？

选择一项：

• R1 Gi0/0 入站
• R1 Gi0/0 出站
• R1 S0/0/0 出站
• R2 S0/0/0 入站
• R2 Gi0/0 出站
• R2 Gi0/0 入站

反馈

Refer to curriculum topic: 7.1.4
标准 ACL 只能指定源地址，因此标准 ACL 将包含网络 1 地址和相应的通配符掩码。此外，由于标准 ACL 只能包含源地址，ACL 应尽量靠近目标位置。目标是研发 LAN。R2 Gi0/0 接口即该目标。通过跟踪数据包从网络 1 开始并传输到研发网络所用的路径，学生可以确定数据包是从 R2 Gi0/0 接口发出的。

正确答案是：R2 Gi0/0 出站

题目4

正确或错误？
标准 ACL 根据目标 MAC 地址过滤网络流量。

选择一项：

• 正确
• 错误

反馈

Refer to curriculum topic: 7.1.1

正确答案是：错误

题目5

哪两个命令将配置标准 ACL？（选择两项。）

选择一项或多项：

• Router(config)# access-list 20 permit host 192.168.5.5 any any
• Router(config)# access-list 90 permit 192.168.10.5 0.0.0.0
• Router(config)# access-list 45 permit 192.168.200.4 host
• Router(config)# access-list 10 permit 10.20.5.0 0.255.255.255 any
• Router(config)# access-list 35 permit host 172.31.22.7

反馈

Refer to curriculum topic: 7.2.1
标准访问列表具有 access-list 语法和 1~99 之间的一个编号，继而是 permit 或 deny 关键字和源 IP 地址（包括通配符掩码）。

正确答案是：Router(config)# access-list 90 permit 192.168.10.5 0.0.0.0, Router(config)# access-list 35 permit host 172.31.22.7

题目6

哪一命令产生以下输出？

R1#
10 permit 192.168.1.56 0.0.0.7
20 permit 192.168.1.64 0.0.0.63 (4 match(es))
30 deny any (8 match(es))

选择一项：

• no access-list 1
• show access-lists
• show running-config | section access-list
• clear access-list counters

反馈

Refer to curriculum topic: 7.2.2
show access-lists 用于列出在路由器上配置的各访问列表。此外，还显示匹配各 ACE 的数据包数量。

正确答案是：show access-lists

题目7

正确或错误？
指定的标准 ACL 名称区分大小写。

选择一项：

• 正确
• 错误

反馈

Refer to curriculum topic: 7.2.1

正确答案是：正确

题目8

哪个范围代表在 ACE 中使用拥有通配符掩码 0.0.7.255 的网络 10.120.160.0 时受影响的所有 IP 地址？

选择一项：

• 10.120.160.0 到 10.127.255.255
• 10.120.160.0 到 10.120.167.255
• 10.120.160.0 到 10.120.168.0
• 10.120.160.0 到 10.120.191.255

反馈

Refer to curriculum topic: 7.1.2
通配符掩码 0.0.7.255 意味着第 3 组二进制八位数的前 5 位都必须保持不变，但最后 3 位可以是从 000 到 111 的值。最后一组二进制八位数的值为 255，表示最后一组二进制八位数可以是全 0 和全 1 的值。

正确答案是：10.120.160.0 到 10.120.167.255

题目9

哪种情况会导致 ACL 配置错误和拒绝所有流量？

选择一项：

• 将标准 ACL 应用于入站方向。
• 将指定的 ACL 应用于 VTY 线路。
• 应用具有所有拒绝 ACE 语句的 ACL。
• 使用 ip access-group out 命令应用标准 ACL。

反馈

Refer to curriculum topic: 7.3.1
含 deny 语句的各 ACE 拒绝所有流量，因为在每个标准 ACE 的终端均存在 deny any 命令。

正确答案是：应用具有所有拒绝 ACE 语句的 ACL。

题目10

访问控制列表的两大用途是什么？（选择两项。）

选择一项或多项：

• ACL 可以帮助路由器确定到目的地的最佳路径。
• 标准 ACL 可限制对特定应用程序和端口的访问。
• ACL 提供基本的网络安全性
• ACL 可以根据路由器上的始发 MAC 地址来允许或拒绝流量。
• ACL 可以控制主机能够访问网络中的哪些区域。

反馈

Refer to curriculum topic: 7.1.1
ACL 可用于以下各项：

• 限制网络流量以便提供足够的网络性能
• 限制路由更新的提供
• 提供基本安全水平
• 根据发送的流量类型过滤流量
• 根据 IP 编址过滤流量

正确答案是：ACL 提供基本的网络安全性, ACL 可以控制主机能够访问网络中的哪些区域。

题目11

在生产路由器上最易修改的是哪种类型的标准 ACL？

选择一项：

• 应用于入站方向的编号 ACL
• 尚未应用的编号 ACL
• 已利用 access-class 命令加以应用的指定 ACL
• 尚未应用的指定 ACL

反馈

Refer to curriculum topic: 7.2.2
具有指定 ACL 的两大常见原因是其功能更易确定，且 ACL 更易修改。

正确答案是：尚未应用的指定 ACL

题目12

请参见图示。网络管理员正在配置标准 IPv4 ACL。输入 no access-list 10 命令后，会有什么效果？

选择一项：

• ACL 10 将在 Fa0/1 上禁用。
• ACL 10 将从运行配置中移除。
• R1 重新启动后，ACL 10 将被禁用和删除。
• ACL 10 将从运行配置和接口 Fa0/1 中移除。

反馈

Refer to curriculum topic: 7.2.2
R1(config)# no access-list 访问列表编号> 命令会从运行配置中立即删除 ACL。但是要禁用接口的 ACL，应输入 R1(config-if)# no ip access-group 命令。

正确答案是：ACL 10 将从运行配置中移除。

题目13

填空题
回答

access list

根据特定定义标准允许或拒绝通过路由器的流量。