CCNA 第二学期 第九章答案.

1 哪两项功能描述了访问控制列表的用途？（请选择两项。）

正确

响应

您的

响应

ACL 可以根据路由器上的始发 MAC 地址来允许或拒绝流量。

ACL 可以控制主机能够访问网络中的哪些区域。

ACL 可以帮助路由器确定到目的地的最佳路径。

标准 ACL 可限制对特定应用程序和端口的访问。

ACL 提供基本的网络安全性。

2 访问控制列表在企业网络中的可能用途是下列哪两项？（选择两项。）正确

响应

您的

响应

控制路由器接口的物理状态

控制调试输出

允许通过路由器过滤第 2 层流量

降低路由器上的处理负载

控制虚拟终端对路由器的访问

3 哪两个特征是标准 ACL 和扩展 ACL 共有的特征？（请选择两项。）正确

响应

您的

响应

两者都可以通过使用描述性名称或号码创建。

两类ACL 都可以根据协议类型进行过滤。

两者都包含隐式 deny 作为最终 ACE。

两者都可以通过端口号允许或拒绝特定服务。

两者都可为特定目的主机 IP 地址过滤数据包。

4

下列哪项描述了标准 IPv4 ACL 的特点？

正确

响应

您的

响应

创建它们时可以使用数字，但不可以使用名称。

它们是在接口配置模式下配置的。

可以根据源 IP 地址和源端口对过滤流量进行配置。

它们仅根据源 IP 地址过滤流量。

5

网络管理员需要配置标准 ACL，使得只有 IP 地址为 192.168.15.23 的管理员工作站能够访问主要路由器

的虚拟终端。哪两个配置命令可以完成该任务？（请选择两项。）

正确

响应

您的

响应

Router1(config)# access-list 10 permit 192.168.15.23 255.255.255.255

Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.0

Router1(config)# access-list 10 permit 192.168.15.23 255.255.255.0

Router1(config)# access-list 10 permit host 192.168.15.23

Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.255

6

哪一个 IPv4 地址范围包含由 172.16.2.0 指定的、与 ACL 过滤器匹配的、通配符掩码为 0.0.1.255 的所有 IP 地址？

正确

响应

您的

响应

172.16.2.1 到 172.16.3.254

172.16.2.1 到

172.16.255.255

172.16.2.0 到 172.16.3.255

172.16.2.0 到 172.16.2.255

7

如果路由器有两个接口，并且路由 IPv4 和 IPv6 的流量，那么可以在其中创建并应用多少个 ACL？

正确

响应

您的

响应

12

6

16

4

8

8 通常认为下列哪三项是安置 ACL 的最佳做法？（请选择三项。）

正确

响应

您的

响应

将扩展 ACL 安置在靠近流量的源 IP 地址的位置。

将标准 ACL 安置在靠近流量源 IP 地址的位置。

将扩展 ACL 安置在靠近流量目的 IP 地址的位置。

在不需要的流量通过低带宽链路之前，将其过滤掉。

将标准 ACL 安置在靠近流量的目的 IP 地址的位置。

对于每个安置在接口的入站 ACL，应该有一个与之匹配的出站 ACL。

9

请参见图示。路由器拥有现有 ACL，允许来自 172.16.0.0 网络的所有流量。管理员尝试向 ACL 添加新 ACE，该 ACL 拒绝主机172.16.0.1 的数据包并接收图中所示的错误消息。管理员可以采取哪项措施来阻止主机 172.16.0.1 的数据包，同时仍允许 172.16.0.0 网络中其他所有流量？

正确响应您的响应

手动添加序列号为 5 的新 deny ACE。

创建拒绝主机的第二个访问列表并将其应用到同一个接口。手动添加序列号为 15 的新 deny ACE。

向 access-list 1 添加 deny any any ACE。

10 管理员已在 R1 上配置一个访问列表，允许从主机 172.16.1.100 进行 SSH 管理访问。下列哪条命令可以正确地应用 ACL？

正确

响应

您的

响应

R1(config-line)# access-class 1 out

R1(config-if)# ip access-group 1 out

R1(config-if)# ip access-group 1 in

R1(config-line)# access-class 1 in

11

请参见图示。IP 地址为 10.0.70.23/25 的网络

管理员需要有访问公司 FTP 服务器 (10.0.54.5/28) 的权限。FTP 服务器也是一个允许 10.x.x.x 地址内各网络上所有内部员工访问的 Web 服务器。不允许其他任何流量进入此服务器。应使用哪个扩展 ACL 过滤此流量？如何应用此 ACL？（请选择两项。）

正确响应您的响应

R1(config)# interface gi0/0

R1(config-if)# ip access-group 105 out

access-list 105 permit ip host 10.0.70.23 host 10.0.54.5

access-list 105 permit tcp any host 10.0.54.5 eq www

access-list 105 permit ip any any

access-list 105 permit tcp host 10.0.54.5 any eq www

access-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 20 access-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 21

R2(config)# interface gi0/0

R2(config-if)# ip access-group 105 in

R1(config)# interface s0/0/0

R1(config-if)# ip access-group 105 out