4.5、《ACL》

1 有关下列扩展 ACL 的说法中哪两项正确？ （选择两项。） access-list 101 deny tcp 172.16.3.0 0.0.0.255 any eq 20 access-list 101 deny tcp 172.16.3.0 0.0.0.255 any eq 21 access-list 101 permit ip any any 拒绝从网络 172.16.3.0/24 始发的所有 FT

1

有关下列扩展 ACL 的说法中哪两项正确？ （选择两项。） access-list 101 deny tcp 172.16.3.0 0.0.0.255 any eq 20 access-list 101 deny tcp 172.16.3.0 0.0.0.255 any eq 21 access-list 101 permit ip any any
	拒绝从网络 172.16.3.0/24 始发的所有 FTP 流量。
	会隐含拒绝所有流量。
	会拒绝发往网络 172.16.3.0/24 的所有 FTP 流量。
	会拒绝从网络 172.16.3.0/24 始发的所有 Telnet 流量。
	会允许从网络 172.16.3.0 始发的 Web 流量。

2

如果数据包未与 ACL 中的任何语句匹配，则会如何处理该数据包？
	会将该数据包放置在缓冲区中，并在删除该 ACL 后转发该数据包。
	会将该数据包连同一则错误通知消息发回给源地址。
	列表末尾的隐含 permit any 语句会允许该数据包通过。
	列表末尾的隐含 deny any 语句会导致该数据包被丢弃。

3

请参见图示。 ACL 101 中的 "deny ip 64.100.0.0 0.0.7.255 any" 语句发现了 35 个匹配项，最可能的解释是什么？
	内部网络中的一名用户伪造了一台 Internet 主机并正在向该主机发送流量，该主机也正在响应。
	Internet 上的一名用户伪造了内部网络中的一个主机地址，并正在尝试向内部网络发送数据包。
	一台 Internet 主机正在反复要求内部网络发送流量。
	内部网络中的一台主机正在反复要求 Internet 发送流量。

4

标准访问控制列表应该放置在哪里？
	靠近源地址
	靠近目的地址
	在以太网端口上
	在串行端口上

5

Cisco 标准 ACL 是如何过滤流量的？
	通过目的 UDP 端口
	通过协议类型
	通过源 IP 地址
	通过源 UDP 端口
	通过目的 IP 地址

6

ACL 可使用哪三种参数来过滤流量？ （选择三项。）
	数据包大小
	协议簇
	源地址
	目的地址
	源路由器接口
	目的路由器接口

7

请参见图示。 当创建扩展 ACL 以拒绝从网络 192.168.30.0 发往 Web 服务器 209.165.201.30 的流量时，应用 ACL 的最佳位置是哪里？
	R3 Fa0/0 入站
	R3 S0/0/1 出站
	R2 S0/0/1 入站
	ISP Fa0/0 出站

8

下列关于 ACL 处理数据包的说法中哪三项正确？ （选择三项。）
	隐含的 deny any 会拒绝不符合任何 ACL 语句的所有数据包。
	数据包可能被拒绝，也可能被转发，这取决于与该数据包相匹配的语句。
	被一条语句拒绝的数据包可能被后续的语句允许。
	默认情况下会转发不符合任何 ACL 语句的数据包。
	会检查每条语句，直到检测到匹配的语句或到达 ACL 语句列表末尾为止。
	会将每个数据包与 ACL 中每条语句的条件相比较，然后才决定是否转发。

9

接口 s0/0/0 的入站方向上已经应用了一个 IP ACL。 当管理员尝试再应用一个入站 IP ACL 时会发生什么情况？
	第二个 ACL 会取代第一个应用到该接口上。
	两个 ACL 都会应用到该接口上。
	网络管理员会收到错误消息。
	只有第一个 ACL 会保持应用到该接口上。

10

下列关于命名 ACL 的说法，哪三项是正确的？ （选择三项。）
	名称可用于帮助标识 ACL 的功能。
	命名 ACL 可提供比编号 ACL 更多的具体过滤选项。
	修改命名 ACL 时无需重新输入整个 ACL。
	每个路由器接口的每个方向上可应用多个命名 IP ACL。
	某些复杂 ACL（例如自反 ACL）必须在命名 ACL 中定义。
	只有命名 ACL 才允许注释。

11

必须配置下列哪三项，才能在路由器上运行动态 ACL？ （选择三项。）
	扩展 ACL
	自反 ACL
	控制台日志
	身份验证
	Telnet 连接
	权限等级为 15 的用户帐户

12

请参见图示。 此访问列表会如何处理源地址为 10.1.1.1 且目的地址为 192.168.10.13 的数据包？
	允许该数据包，因为该 ACL 的第 20 行允许数据包发往主机 192.168.10.13。
	允许该数据包，因为该 ACL 的第 10 行允许数据包发往 192.168.0.0/16。
	允许该数据包，因为该数据包不符合该 ACL 中的任何项目。
	它会被丢弃。

13

请参见图示。 怎样才能在此 ACL 的开头添加一条注释以表明其用途？
	使用 remark 命令在此 ACL 的开头添加一条备注。
	使用 description 命令在此 ACL 的开头添加一条描述。
	重新创建 ACL 并使用 remark 命令在该 ACL 的开头添加一条备注。
	重新创建 ACL 并使用 description 命令在该 ACL 的开头添加一条描述。

14

请参见图示。 Router1 会如何处理符合 EVERYOTHERDAY 的时间范围要求的流量？
	会允许来自网络 172.16.1.254/24 并发往网络 10.1.1.0/24 的 TCP 流量进入 fa0/0 接口。
	会允许来自网络 10.1.1.254/24 并发往网络 172.16.1.0/24 的 TCP 流量进入 fa0/0 接口。
	会允许来自网络 172.16.1.254/24 并发往网络 10.1.1.0/24 的 Telnet 流量进入 fa0/0 接口。
	会允许来自网络 10.1.1.254/24 并发往网络 172.16.1.0/24 的 Telnet 流量进入 fa0/0 接口。

15

下列关于扩展 ACL 的说法中哪两项正确？ （选择两项。）
	扩展 ACL 使用 1-99 的编号范围。
	扩展 ACL 以隐含 permit 语句结尾。
	扩展 ACL 会检查源地址和目的地址。
	可通过添加对端口号的检查进一步定义 ACL。
	可将多个相同方向的 ACL 放置到同一个接口上。

16

网络管理员需要允许从公司内部发起的会话的流量通过防火墙路由器，同时拦截从公司外部发起的会话的流量。 最适合使用哪种 ACL？
	动态
	自反
	基于时间的
	基于端口的

17

默认情况下，Cisco 路由器如何过滤 IP 流量？
	拦截进出所有接口的流量
	拦截所有接口的入站流量，但允许所有接口的出站流量
	允许进出所有接口的流量
	拦截所有接口的出站流量，但允许所有接口的入站流量

参考答案：1、AE 2、D 3、B 4、B 5、C 6、BCD 7、A 8、ABE 9、A 10、ACE 11、ADE 12、D 13、C 14、D 15、CD 16、B 17、C