在一台Cisco路由器的g3/1端口封禁端口号为139的TCP和端口号为1434的UDP连接,并封禁ICMP协议,只允许212.15.41.0/26子网的ICMP数据包通过路由器,正确的access-list配置是

admin2020-01-14  27

问题 在一台Cisco路由器的g3/1端口封禁端口号为139的TCP和端口号为1434的UDP连接,并封禁ICMP协议,只允许212.15.41.0/26子网的ICMP数据包通过路由器,正确的access-list配置是

选项 A、Router(config)#ip access-list extended filter
    Router(config-ext-nacl)#permit icmp 212.15.41.0 255.255.255.192 any
    Router(config-ext-nacl)#deny icmp any any
    Router(config-ext-nacl)#deny udp any any eq 1 434
    Router(config-ext-nacl)#deny top any any eq 139
    Router(config-ext-nacl)#permit ip any any
    Router(config-ext-nacl)#exit
    Router(config)#interface g3/1
    Router(config-if)#ip access-group filter in
    Router(config-if)#ip access-group filter out
B、Router(config)#ip access-list extended filter
    Router(config-ext-nacl)#permit icmp 212.15.41.00.0.0.192 any
    Router(config-ext-nacl)#deny icmp any any
    Router(config-ext-nacl)#deny udp any any eq 1434
    Router(config-ext-nacl)#deny top any any eq 139
    Router(config-ext-nacl)#permit ip any anv
    Router(config-ext-nacl)#exit
    Router(config)#interface g3/1
    Router(config-if)#ip access-group filter in
    Router(config-if)#ip access-group filter out
C、Router(config)#ip access-list standard filter
    Router(config-std-nacl)#permit icmp 212.15.41.00.0.0.63 any
    Router(config-std-nacl)#deny icmp any any
    Router(config-std-nacl)#deny udp any any eq 1434
    Router(config-std-nacl)#deny tcp any any eq 139
    Router(config-std-nacl)#permit ip any any
    Router(config-std-nacl)#exit
    Router(config)#interface g3/1
    Router(config-if)#ip access-group filter in
    Router(config-if)#ip access-group filter out
D、Router(config)#ip access-list extended filter
    Router(config-ext-nacl)#permit icmp 212.15.41.00.0.0.63 any
    Router(config-ext-nacl)#deny icmp any any
    Router(config-ext-nacl)#deny Udp any any eq 1434
    Router(config-ext-nacl)#deny tcp any any eq 139
    Router(config-ext-nacl)#permit ip any any
    Router(config-ext-nacl)#exit
    Router(config)#interface g3/1
    Router(config-if)#ip access-group filter in
    Router(config-if)#ip access-group filter out

答案D

解析 在这个题目使用命名的IP访问控制列表的方法定义ACL。即以列表名代替列表编号来定义IP访问控制列表,同样包括标准和扩展两种列表,定义过滤的语句与编号方式中相似。在选项A中,规则permit icmp 212.15.41.0 255.255.255.192 any中使用子网络掩码,所以是错误的。在选项B中,规则permit icmp212.15.41.0 0.0.0.192 any中的反掩码不对,应该是permit icmp 212.15.41.0 0.0.0.63 any,所以是错误的。题目要求在路由器的g3/1端口封禁端口号为139的TCP和端口号为1434的UDP连接,并封禁ICMP协议,只允许212.15.41.0/26子网的ICMP数据包通过,所以应该使用扩展ACL。而在选项C中,应应用的标准ACL,所以选项C错误,而选项D正确。
转载请注明原文地址:https://kaotiyun.com/show/wgdZ777K
0

最新回复(0)