在一台Cisco路由器的g0/1端口上,封禁所有端口号为1434的UDP数据包,正确的access-list的配置是( )。

admin2018-06-04  37

问题 在一台Cisco路由器的g0/1端口上,封禁所有端口号为1434的UDP数据包,正确的access-list的配置是(    )。

选项 A、Router(config)#access-list 10 deny udp any any eq 1434
Router(cortfig)#access-list 10 permit ip any any
Router(config)#interface g0/1
Router(config-if)#ip access-group 10 in
Router(config-if)#ip access-group 10 out
Router(config-if)#
B、Router(config)#access-list 110 deny udp any any eq 1434
Router(config)#access-list 110 permit ip any any
Router(config)#interface g0/1
Router(config-if)#ip access-group 130 in
Router(config-if)#ip access-group 130 out
Router(config-if)#
C、Router(config)#access-list 130 deny udp any any eq 1434
Router(config)#access-list 130 permit ip any any
Router(config)#interface g0/1
Router(config-if)#ip access-group 130 in
Router(config-if)#ip access-group 130 out
Router(config-if)#
D、Router(config)#access-list 130 permit ip any any
Router(config)#access-list 130 deny udp any any eq 1434
Router(config)#interface g0/1
Router(config-if)#ip access-group 130 in
Router(config-if)#ip access-group 130 out
Router(config-if)#

答案C

解析 ①在路由器上使用访问控制列表(Access Control List,ACL)时需要注意ACL语句的顺序。路由器执行ACL语句是按照配置的ACL中的条件语句,从第一条开始顺序执行,数据包只有在跟第一个判断条件不匹配时,才能与ACL中的下一个语句进行比较。
    ②access-list语法格式是:access-list access-list-number permit | deny协议名源端地址源端反掩码目的端地址目的端反掩码。
    ③IP标准访问控制列表的表号范围是:1~99,1300~1999。标准访问控制列表只能检查数据包的源地址。
    ④IP扩展访问控制列表的表号范围是:100~199,2000~2699。扩展访问控制列表可以检查数据包的源地址和目的地址,还可以检查指定的协议,根据数据包头的协议类型进行过滤。
    根据规则①,可以排除D选项。根据规则③可知,A选项中的表号是10,属于标准访问控制列表的表号,可以排除。选项B中表号是110,但是在ip access-group语句中的表号却是130,二者不匹配,因此也可以排除。综上所述,选择C选项。
转载请注明原文地址:https://kaotiyun.com/show/vapZ777K
0

最新回复(0)