ccna-E4-5

默认情况下，Cisco路由器如何过滤IP流量？

拦截进出所有接口的流量

拦截所有接口的入站流量，但允许所有接口的出站流量

允许进出所有接口的流量

拦截所有接口的出站流量，但允许所有接口的入站流量ACL可使用哪三种参数来过滤流量？（选择三项。）

数据包大小

协议簇

源地址

目的地址

源路由器接口

目的路由器接口

Cisco标准ACL是如何过滤流量的？

通过目的UDP端口

通过协议类型

通过源IP地址

通过源UDP端口

通过目的IP地址

下列关于扩展ACL的说法中哪两项正确？（选择两项。）

扩展ACL使用1-99的编号范围。

扩展ACL以隐含permit语句结尾。

扩展ACL会检查源地址和目的地址。

可通过添加对端口号的检查进一步定义ACL。

可将多个相同方向的ACL放置到同一个接口上。

标准访问控制列表应该放置在哪里？

靠近源地址

靠近目的地址

在以太网端口上

在串行端口上

下列关于ACL处理数据包的说法中哪三项正确？（选择三项。）

隐含的deny any会拒绝不符合任何ACL语句的所有数据包。

数据包可能被拒绝，也可能被转发，这取决于与该数据包相匹配的语句。

被一条语句拒绝的数据包可能被后续的语句允许。

默认情况下会转发不符合任何ACL语句的数据包。

会检查每条语句，直到检测到匹配的语句或到达ACL语句列表末尾为止。

会将每个数据包与ACL中每条语句的条件相比较，然后才决定是否转发。如果数据包未与ACL中的任何语句匹配，则会如何处理该数据包？

会将该数据包放置在缓冲区中，并在删除该ACL后转发该数据包。

会将该数据包连同一则错误通知消息发回给源地址。

列表末尾的隐含permit any语句会允许该数据包通过。

列表末尾的隐含deny any语句会导致该数据包被丢弃。

请参见图示。怎样才能在此ACL的开头添加一条注释以表明其用途？

使用remark命令在此ACL的开头添加一条备注。

使用description命令在此ACL的开头添加一条描述。

重新创建ACL并使用remark命令在该ACL的开头添加一条备注。

重新创建ACL并使用description命令在该ACL的开头添加一条描述。

有关下列扩展ACL的说法中哪两项正确？（选择两项。）

access-list101deny tcp172.16.3.00.0.0.255any eq20

access-list101deny tcp172.16.3.00.0.0.255any eq21

access-list101permit ip any any

拒绝从网络172.16.3.0/24始发的所有FTP流量。

会隐含拒绝所有流量。

会拒绝发往网络172.16.3.0/24的所有FTP流量。

会拒绝从网络172.16.3.0/24始发的所有Telnet流量。

会允许从网络172.16.3.0始发的Web流量。

接口s0/0/0的入站方向上已经应用了一个IP ACL。当管理员尝试再应用一个入站IP ACL时会发生什么情况？

第二个ACL会取代第一个应用到该接口上。

两个ACL都会应用到该接口上。

网络管理员会收到错误消息。

只有第一个ACL会保持应用到该接口上。

请参见图示。当创建扩展ACL以拒绝从网络192.168.30.0发往Web服务器209.165.201.30的流量时，应用ACL的最佳位置是哪里？

R3Fa0/0入站

R3S0/0/1出站

R2S0/0/1入站

ISP Fa0/0出站

下列关于命名ACL的说法，哪三项是正确的？（选择三项。）

名称可用于帮助标识ACL的功能。

命名ACL可提供比编号ACL更多的具体过滤选项。

修改命名ACL时无需重新输入整个ACL。

每个路由器接口的每个方向上可应用多个命名IP ACL。

某些复杂ACL（例如自反ACL）必须在命名ACL中定义。

只有命名ACL才允许注释。

必须配置下列哪三项，才能在路由器上运行动态ACL？（选择三项。）

扩展ACL

自反ACL

控制台日志

身份验证

Telnet连接

权限等级为15的用户帐户

请参见图示。此访问列表会如何处理源地址为10.1.1.1且目的地址为192.168.10.13的数据包？

允许该数据包，因为该ACL的第20行允许数据包发往主机192.168.10.13。

允许该数据包，因为该ACL的第10行允许数据包发往192.168.0.0/16。

允许该数据包，因为该数据包不符合该ACL中的任何项目。

它会被丢弃。

网络管理员需要允许从公司内部发起的会话的流量通过防火墙路由器，同时拦截从公司外部发起的会话的流量。最适合使用哪种ACL？

动态

自反

基于时间的

基于端口的

请参见图示。Router1会如何处理符合EVERYOTHERDAY的时间范围要求的流量？

会允许来自网络172.16.1.254/24并发往网络10.1.1.0/24的TCP流量进入fa0/0接口。

会允许来自网络10.1.1.254/24并发往网络172.16.1.0/24的TCP流量进入fa0/0接口。

会允许来自网络172.16.1.254/24并发往网络10.1.1.0/24的Telnet流量进入fa0/0接口。

会允许来自网络10.1.1.254/24并发往网络172.16.1.0/24的Telnet流量进入fa0/0接口。

请参见图示。ACL101中的"deny ip64.100.0.00.0.7.255any"语句发现了35个匹配项，最可能的解释是什么？

内部网络中的一名用户伪造了一台Internet主机并正在向该主机发送流量，该主机也正在响应。

Internet上的一名用户伪造了内部网络中的一个主机地址，并正在尝试向内部网络发送数据包。

一台Internet主机正在反复要求内部网络发送流量。

内部网络中的一台主机正在反复要求Internet发送流量。