在一台Cisco路由器的g0/3端口上禁止源地址为内部地址的数据包进出路由器,正确的access-list配置是( )。

admin2019-01-16  25

问题 在一台Cisco路由器的g0/3端口上禁止源地址为内部地址的数据包进出路由器,正确的access-list配置是(    )。

选项 A、Router#configure terminal
    Router(config)#ip access-list standard jzhffdz
    Router(config-std-nacl)#deny 10.0.0.0 0.255.255.255 log
    Router(config-std-nacl)#deny 192.168.0.0 0.0.255.255
    Router(config-std-nacl)#deny 127.0.0.0 0.255.255.255
    Router(config-std-nacl)#deny 172.16.0.0 0.15.255.255
    Router(config-std-nael)#permit any
    Router(config-std-nacl)#exit
    Router(config)#interface g0/3
    Router(config-if)#ip access-group test in
    Router(config-if)#ip access-group test out
B、Router#configure terminal
    Router(config)#ip access-list standard jzhffdz
    Router(config-std-nacl)#deny 10.0.0.0 0.255.255.255 log
    Router(config-std-nacl)#deny 192.168.0.0 0.0.255.255
    Router(config-std-nacl)#deny 127.0.0.0 0.255.255.255
    Router(config-std-nacl)#deny 172.16.0.0 0.15.255.255
    Router(config-std-nacl)#permit any
    Router(config-std-nacl)#exit
    Router(config)#interface g0/3
    Router(eonfig-if)#ip access-group jzhffdz in
    Router(config-if)#ip access-group jzhffdz out
C、Router#configure terminal
    Router(config)#ip access-list standard jzhffdz
    Router(eonfig-std-nacl)#deny 10.0.0.0 255.0.0.0 log
    Router(config-std-nacl)#deny 192.168.0.0 255.255.0.0
    Router(config-std-nacl)#deny 127.0.0.0 255.0.0.0
    Router(eonfig-std-nacl)#deny 172.16.0.0 255.240.0.0
    Router(config-std-nacl)#permit any
    Router(config-std-nacl)#exit
    Router(config)#interface g0/3
    Router(config-if)#ip access-group jzhffdz in
    Router(config-if)#ip access-group jzhffdz out
D、Router#configure terminal
    Router(config)#interface g0/3
    Router(config-if)#ip access-group jzhffdz in
    Router(config-if)#ip access-group jzhffdz out
    Router(config)#ip access-list standard jzhffdz
    Router(config-std-nacl)#permit any
    Router(config-std-nacl)#deny 10.0.0.0 0.255.255.255 log
    Router(config-std-nacl)#deny 192.168.0.0 0.0.255.255
    Router(config-std-nacl)#deny 127.0.0.0 0.255.255.255
    Router(config-std-nacl)#deny 172.16.0.0 0.15.255.255
    Router(config-std-nacl)#exit

答案B

解析 ①专用IP地址范围为:A:10.0.0.0-10.255.255.255 B:172.16.0.0-172.3 1.255.255 C:192.168.0.0-192.168.255.255。
    ②IP访问控制列表有两种类型:一种是标准访问控制列表,只能检查数据包的源地址,表号范围是1-99,扩展的表号是1300-1999。第二种是扩展访问控制列表,除了可以检查数据包的源地址和目的地址,还可以检查指定的协议,根据数据包头中的协议类型进行过滤。扩展访问控制列表表号范围是100-199,扩展的表号是2000-2699。
    ③在路由器上使用访问控制列表(Access Contml List,AcL)时需要注意ACL语句的顺序,因为路由器执行那条ACL语句是按照配置的ACL中的条件语句,从第一条开始顺序执行。数据包只有在跟第一个判断条件不匹配时,才能交给ACL中下一个语句进行比较。
    ④access-list语法是:access-list ACL表号permit|deny源端地址源端反掩码
    ⑤除了可以使用表号配置外,还可以采用名字标识访问控制列表,其命令是:ip access—list standard表名。本体使用的是表名配置访问控制列表。A选项最后两句配置语句的端口号错误,C选项配置语句中反掩码书写错误,D选项配置语句顺序有误;故选择B选项。
转载请注明原文地址:https://kaotiyun.com/show/m1dZ777K
0

最新回复(0)