2. 计算机
  3. 关于访问控制列表,下面的论述中错误的是( )。

关于访问控制列表,下面的论述中错误的是( )。

admin2021-01-12  24
问题 关于访问控制列表,下面的论述中错误的是(   )。
选项 A、访问控制列表要在路由器全局模式下配置
B、具有严格限制条件的语句应放在访问控制列表的最后
C、每一个有效的访问控制列表至少应包含一条允许语句
D、访问控制列表不能过滤由路由器自己产生的数据
答案B
解析 当一个分组经过时,路由器按照一定的步骤找出与分组信息匹配的ACL语句对其进行处理。路由器自顶向下逐个处理ACL语句,首先把第一个语句与分组信息进行比较,如果匹配,则路由器将允许(Permit)或拒绝(Deny)分组通过;如果第一个语句不匹配,则照样处理第二个语句,直到找出一个匹配的。如果在整个列表中没有发现匹配的语句,则路由器丢弃该分组。于是,可以对ACL语句的处理规则总结出以下要点:
    ①一旦发现匹配的语句,就不再处理列表中的其他语句。
    ②语句的排列顺序很重要。
    ③如果整个列表中没有匹配的语句,则分组被丢弃。
    需要特别强调ACL语句的排列顺序。如果有两条语句,一个拒绝来自某个主机的通信,另一个允许来自该主机的通信,则排在前面的语句将被执行,而排在后面的语句将被忽略。所以在安排ACL语句的顺序时要把最特殊的语句排在列表的最前面,而最一般的语句排在列表的最后面,这是ACL语句排列的基本原则。例如下面的两条语句组成一个标准ACL。
    access-list 10 permit host 172.16.1.0.0.0.0.255
access-list 10 deny host 172.16.1.1
    第一条语句表示允许来自子网172.16.1.0/24的所有分组通过,而第二条语句表示拒绝来自主机172.16.1.1的通信。如果路由器收到一个源地址为172.16.1.1的分组,则首先与第一条语句进行匹配,该分组被允许通过,第二条语句就被忽略了。要达到预想的结果——允许来自除主机172.16.1.1之外的、属于子网172.16.1.0/24的所有通信,则两条语句的顺序必须互换。
    access-list 10 deny host 172.16.1.1
    access-list 10 permit host 172.16.1.0.0.0.0.255
    可见,列表顶上是特殊性语句,列表底部是一般性语句。
转载请注明原文地址:https://kaotiyun.com/show/QxDZ777K
本试题收录于: 网络工程师上午基础知识考试题库软考中级分类
0

网络工程师上午基础知识考试

软考中级

相关试题推荐
随机试题
最新回复(0)