在一台Cisco路由器的g0/1端口上,封禁所有端口号为1434的UDP数据包,正确的access-list的配置是( )。

admin2022-04-06  27

问题 在一台Cisco路由器的g0/1端口上,封禁所有端口号为1434的UDP数据包,正确的access-list的配置是(          )。

选项 A、Router(config)#access-list 10 deny udp any any eq 1434
Router(config)#access-list 10 permit ip any any
Router(config)#interface g0/1
Router(config-if)#ip access-group 10 in
Router(config-if)#ip access-group 10 out
Router(config-if)#
B、Router(config)#access-list 110 deny udp any any eq 1434
Router(config)#access-list 110 permit ip any any
Router(config)#interface g0/1
Router(config-if)#ip access-group 130 in
Router(config-if)#ip access-group 130 out
Router(config-if)#
C、Router(config)#access-list 130 deny udp any any eq 1434
Router(config)#access-list 130 permit ip any any
Router(config)#interface g0/1
Router(config-if)#ip access-group 130 in
Router(config-if)#ip access-group 130 out
Router(config-if)#
D、Router(config)#access-list 130 permit ip any any
Router(config)#access-list 130 deny udp any any eq 1434
Router(config)#interface g0/1
Router(config-if)#ip access-group 130 in
Router(config-if)#ip access-group 130 out
Router(config-if)#

答案C

解析 ①在路由器上使用访问控制列表(Access Control List,ACL)时需要注意ACL语句的顺序。路由器执行ACL语句是按照配置的ACL中的条件语句,从第一条开始顺序执行,数据包只有在跟第一个判断条件不匹配时,才能与ACL中的下一个语句进行比较。
②access-list语法格式是:access-list access-list-number permit|deny协议名源端地址源端反掩码目的端地址目的端反掩码。
③IP标准访问控制列表的表号范围是:1~99,1300~1999。标准访问控制列表只能检查数据包的源地址。
④IP扩展访问控制列表的表号范围是:100~199,2000~2699。扩展访问控制列表可以检查数据包的源地址和目的地址,还可以检查指定的协议,根据数据包头的协议类型进行过滤。
根据规则①,可以排除D选项。A选项中的表号是10,属于标准访问控制列表的表号。根据规则③,可以排除A选项。选项B中表号是110,但是在ip access-group语句中的表号却是130,二者不匹配,因此可以排除B选项。综上所述,C选项符合题意,故选择C选项。
转载请注明原文地址:https://kaotiyun.com/show/bEKZ777K
0

最新回复(0)