下列哪项描述了入站 ACL 和出站 ACL 运作时存在的差异?
选择一项:
与出站 ALC 相比,入站 ACL 可用于过滤具有多个标准的数据包。
入站 ACL 既可以在路由器中使用又可以在交换机中使用,但出站 ACL 只能在路由器中使用。
入站 ACL 要在路由数据包之前进行处理,而出站 ACL 在路由数据包完成之后处理。
在网络接口处,可以配置多个入站 ACL,但只可以配置一个出站 ACL。
反馈
Refer to curriculum topic: 4.4.1
对于入站 ACL,传入数据包在路由之前进行处理。对于出站 ACL,数据包首先被路由到出站接口,然后进行处理。因此从路由器的角度来说,处理入站更加有效。对于这两种 ACL,结构、过滤方法和限制(一个接口只配置一个入站 ACL 和一个出站 ACL)都是相同的。
正确答案是:入站 ACL 要在路由数据包之前进行处理,而出站 ACL 在路由数据包完成之后处理。
哪两个关键字可用在访问控制列表中以替代通配符掩码或地址以及通配符掩码对?(选择两项。)
选择一项或多项:
most
host
all
any
some
gt
反馈
Refer to curriculum topic: 4.1.3
配置 ACL 时可以使用的两个关键字是 host 和 any。host 关键字与使用 0.0.0.0 通配符掩码的效果一样,而且 any 关键字可代替 255.255.255.255 通配符掩码使用。
正确答案是:host, any
哪一个 IPv4 地址范围包含由 172.16.2.0 指定的、与 ACL 过滤器匹配的、通配符掩码为 0.0.1.255 的所有 IP 地址?
选择一项:
172.16.2.0 到 172.16.2.255
172.16.2.1 到 172.16.3.254
172.16.2.0 到 172.16.3.255
172.16.2.1 到 172.16.255.255
反馈
Refer to curriculum topic: 4.1.1
通配符掩码 0.0.1.255 意味着前 23 位匹配,后 9 位被忽略。即对应的 IP 地址必须来自 172.16.2.0 和 172.16.3.255 之间(其中最后 9 位来自所有 0 列至所有 1 列以及之间的任意值)。
正确答案是:172.16.2.0 到 172.16.3.255
IPv6 唯一可用的 ACL 类型是什么?
选择一项:
已命名的标准
已命名的扩展
已编号的标准
已编号的扩展
反馈
Refer to curriculum topic: 4.3.1
不同于 IPv4,IPv6 只有一种访问列表,即命名扩展访问列表。
正确答案是:已命名的扩展
哪个 IP 地址范围由网络和通配符掩码 192.168.70.0 0.0.0.127 表示?
选择一项:
192.168.70.0 到 192.168.70.127
192.168.70.0 到 192.168.70.255
192.168.70.0 到 192.168.70.63
192.168.70.0 到 192.168.71.255
反馈
Refer to curriculum topic: 4.1.1
通配符掩码中的数字 1 代表子网掩码中的数字 0。
此网络的 IP 地址范围是 192.168.70.0 – 192.168.70.127,其中 192.168.70.127 是广播地址。
正确答案是:192.168.70.0 到 192.168.70.127
哪个 IP 地址范围由网络和通配符掩码 192.168.70.0 0.0.0.127 表示?
选择一项:
192.168.70.0 到 192.168.70.127
192.168.70.0 到 192.168.70.255
192.168.70.0 到 192.168.70.63
192.168.70.0 到 192.168.71.255
反馈
Refer to curriculum topic: 4.1.1
通配符掩码中的数字 1 代表子网掩码中的数字 0。
此网络的 IP 地址范围是 192.168.70.0 – 192.168.70.127,其中 192.168.70.127 是广播地址。
正确答案是:192.168.70.0 到 192.168.70.127
请参见图示。网络管理员在路由器上配置已命名 ACL。发出 show 命令时,为什么没有显示输出?
选择一项:
ACL 未激活。
ACL 名称区分大小写。
ACL 尚未应用到接口。
尚无数据包与 ACL 语句匹配。
反馈
Refer to curriculum topic: 4.1.3
命名 ACL 中的名称是字母数字字符,区分大小写并且是唯一的。因此路由器将 access_network 和 ACCESS_NETWORK 视为两个不同的 ACL。
正确答案是:ACL 名称区分大小写。
下列关于 ACL 处理数据包的说法中哪三项正确?(选择三项。)
选择一项或多项:
隐含的 deny any 会拒绝不符合任何 ACL 语句的所有数据包。
数据包可能被拒绝,也可能被转发,这取决于与该数据包相匹配的语句。
被一条语句拒绝的数据包可能被后续的语句允许。
默认情况下会转发不符合任何 ACL 语句的数据包。
会检查每条语句,直到检测到匹配的语句或到达 ACL 语句列表末尾为止。
会将每个数据包与 ACL 中每条语句的条件相比较,然后才决定是否转发。
反馈
Refer to curriculum topic: 4.1.1
以从上向下的方式处理 ACL。检测 ACL 时,如果数据包报头中的信息与 ACL 语句匹配,则不会检查剩余的语句,并且数据包会如 ACL 所指定的一样被拒绝或允许通过。如果数据包报头与 ACL 语句不匹配,那么将使用列表中的下一条语句测试数据包。此匹配过程会一直继续,直到抵达列表末尾。每个 ACL 的列表末尾有一个隐式的 deny 语句。这条隐式的 deny 语句适用于不满足之前条件的所有数据包。
正确答案是:
隐含的 deny any 会拒绝不符合任何 ACL 语句的所有数据包。,
数据包可能被拒绝,也可能被转发,这取决于与该数据包相匹配的语句。,
会检查每条语句,直到检测到匹配的语句或到达 ACL 语句列表末尾为止。
网络管理员使用 R1(config)# access-list 1 permit 172.16.0.0 0.0.15.255 命令来配置 ACL。哪两个 IP 地址将会与此 ACL 语句匹配?(选择两项。)
选择一项或多项:
172.16.0.255
172.16.15.36
172.16.16.12
172.16.31.24
172.16.65.21
反馈
Refer to curriculum topic: 4.1.1
通配符掩码表示 172.16.0.0 到 172.16.15.255 范围内的任何 IP 地址均匹配。
正确答案是:172.16.0.255, 172.16.15.36
管理员已在 R1 上配置一个访问列表,允许从主机 172.16.1.100 进行 SSH 管理访问。下列哪条命令可以正确地应用 ACL?
选择一项:
R1(config-if)# ip access-group 1 in
R1(config-if)# ip access-group 1 out
R1(config-line)# access-class 1 in
R1(config-line)# access-class 1 out
反馈
Refer to curriculum topic: 4.3.2
通过 SSH 管理访问路由器是通过 vty 线路进行的。因此,必须将 ACL 应用到入站方向的这些行。这是通过进入线路配置模式并发出 access-class 命令来完成的。
正确答案是:R1(config-line)# access-class 1 in
哪三个隐式访问控制条目自动添加到 IPv6 ACL 的末尾?(请选择三项。)
选择一项或多项:
deny ip any any
deny ipv6 any any
permit ipv6 any any
deny icmp any any
permit icmp any any nd-ns
permit icmp any any nd-na
反馈
Refer to curriculum topic: 4.3.1
所有 IPv6 ACL 自动包含两个隐式 permit 语句:permit icmp any any nd-ns 和 permit icmp any any nd-na。这些语句允许路由器接口执行邻居发现操作。另外在 any IPv6 ACL 的结尾处还自动包含了一个隐式 deny ipv6 any any 语句,用于阻止所有 IPv6 数据包以其他方式获得允许。
正确答案是:deny ipv6 any any, permit icmp any any nd-ns, permit icmp any any nd-na
填空题。使用点分十进制格式。
与 192.168.12.96/27 相关联的通配符掩码为 0.0.0.31 。
将每个语句与它所描述的示例子网及通配符进行匹配。(并非全部选项都要用到)。
子网中的第一个有效主机地址 答案 1
具有 14 个有效主机地址的子网地址 答案 2
所有 IP 地址位必须精确匹配 答案 3
子网掩码为 255.255.252.0 的子网中的主机 答案 4
子网掩码为 255.255.255.248 的地址 答案 5
反馈
正确答案是:子网中的第一个有效主机地址 → 192.168.15.65 255.255.255.240, 具有 14 个有效主机地址的子网地址 → 192.168.15.144 0.0.0.15, 所有 IP 地址位必须精确匹配 → host 192.168.15.12, 子网掩码为 255.255.252.0 的子网中的主机 → 192.168.5.0 0.0.3.255, 子网掩码为 255.255.255.248 的地址 → 192.168.3.64 0.0.0.7
网络管理员需要配置标准 ACL,使得只有 IP 地址为 192.168.15.23 的管理员工作站能够访问主要路由器的虚拟终端。哪两个配置命令可以完成该任务?(请选择两项。)
选择一项或多项:
Router1(config)# access-list 10 permit host 192.168.15.23
Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.0
Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.255
Router1(config)# access-list 10 permit 192.168.15.23 255.255.255.0
Router1(config)# access-list 10 permit 192.168.15.23 255.255.255.255
反馈
Refer to curriculum topic: 4.1.2
要允许或拒绝某个特定 IP 地址,可以使用通配符掩码 0.0.0.0 (用在 IP 地址后面)或通配符掩码关键字 host (用在 IP 地址前面)。
正确答案是:Router1(config)# access-list 10 permit host 192.168.15.23 , Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.0