关于访问控制列表，下面的论述中错误的是( )。

admin2021-01-12 56

问题关于访问控制列表，下面的论述中错误的是( )。

选项 A、访问控制列表要在路由器全局模式下配置
B、具有严格限制条件的语句应放在访问控制列表的最后
C、每一个有效的访问控制列表至少应包含一条允许语句
D、访问控制列表不能过滤由路由器自己产生的数据

答案B

解析当一个分组经过时，路由器按照一定的步骤找出与分组信息匹配的ACL语句对其进行处理。路由器自顶向下逐个处理ACL语句，首先把第一个语句与分组信息进行比较，如果匹配，则路由器将允许(Permit)或拒绝(Deny)分组通过；如果第一个语句不匹配，则照样处理第二个语句，直到找出一个匹配的。如果在整个列表中没有发现匹配的语句，则路由器丢弃该分组。于是，可以对ACL语句的处理规则总结出以下要点：
①一旦发现匹配的语句，就不再处理列表中的其他语句。
②语句的排列顺序很重要。
③如果整个列表中没有匹配的语句，则分组被丢弃。
需要特别强调ACL语句的排列顺序。如果有两条语句，一个拒绝来自某个主机的通信，另一个允许来自该主机的通信，则排在前面的语句将被执行，而排在后面的语句将被忽略。所以在安排ACL语句的顺序时要把最特殊的语句排在列表的最前面，而最一般的语句排在列表的最后面，这是ACL语句排列的基本原则。例如下面的两条语句组成一个标准ACL。
access-list 10 permit host 172．16．1．0.0．0．0．255
access-list 10 deny host 172．16．1．1
第一条语句表示允许来自子网172．16．1．0／24的所有分组通过，而第二条语句表示拒绝来自主机172．16．1．1的通信。如果路由器收到一个源地址为172．16．1．1的分组，则首先与第一条语句进行匹配，该分组被允许通过，第二条语句就被忽略了。要达到预想的结果——允许来自除主机172．16．1．1之外的、属于子网172．16．1．0／24的所有通信，则两条语句的顺序必须互换。
access-list 10 deny host 172．16．1．1
access-list 10 permit host 172．16．1．0.0．0．0．255
可见，列表顶上是特殊性语句，列表底部是一般性语句。

转载请注明原文地址:https://kaotiyun.com/show/QxDZ777K

本试题收录于：网络工程师上午基础知识考试题库软考中级分类

网络工程师上午基础知识考试

软考中级

相关试题推荐

随机试题

最新回复(0)

关于访问控制列表，下面的论述中错误的是( )。

网络工程师上午基础知识考试

软考中级

下面关于网络系统设计原则的论述中，正确的是(67)。

下列有关复合视频信号的说法中，正确的是_________。

关于在I/O设备与主机间交换数据的叙述，“(4)”是错误的。

在HSI彩色空间中使用亮度、色调和饱和度三个参数描述颜色特性，其中_________是某种波长的彩色光纯度的反映。

Internet使用TCP/IP协议实现了全球范围的计算机网络的互联，连接在Internet上的每一台主机都有一个IP地址。下面不能作为主机IP地址的是(53)。

阅读以下说明，回答问题1至问题4。【说明】在开发与运行阶段一般需要完成单元测试、集成测试、确认测试、系统测试和验收测试，这些测试对软件质量的保证起着非常关键的作用。

MVC模式(模型．视图一控制器)是软件工程中的一种软件架构模式，把软件系统分为模型、视图和控制器三个部分。________________不属于MVC模式的优点。

Somepeoplearguethatself-plagiarism(自我剽窃)isimpossiblebydefinitionbecauseplagiarismistheftandpeoplecannotstealfro

基金投资互动交流作为客户服务的流程之一，其主要内容不包括()。

依据营业税的有关规定，下列表述正确的是()。

关于分析程序在风险评估程序中的具体运用，下列说法中．正确的有()。

利息率的变化范围是()。

A、 B、 C、 D、 A

有如下说明：inta[10]={1,2,3,4,5,6,7,8,9,10},*p=a;则数值为9的表达式是______。

下面不属于对象主要特征的是()。

Whatkindsofpeopleoftengivedrugstotheirchildren?Whereintheworlddopeopletakedrugbeforegoingtowork?Theanswer