思科第四学期-第五章测试题及答案

思科第四学期-第五章测试题及答案
默认情况下，Cisco 路由器如何过滤IP 流量？
拦截进出所有接口的流量
拦截所有接口的入站流量，但允许所有接口的出站流量
允许进出所有接口的流量
拦截所有接口的出站流量，但允许所有接口的入站流量ACL 可使用哪三种参数来过滤流量？（选择三项。

）
数据包大小
协议簇
源地址
目的地址
源路由器接口
目的路由器接口
Cisco 标准ACL 是如何过滤流量的？
通过目的UDP 端口
通过协议类型
通过源IP 地址
通过源UDP 端口
通过目的IP 地址
下列关于扩展ACL 的说法中哪两项正确？（选择两项。

）
扩展ACL 使用1-99 的编号范围。

扩展ACL 以隐含permit 语句结尾。

扩展ACL 会检查源地址和目的地址。

可通过添加对端口号的检查进一步定义ACL。

可将多个相同方向的ACL 放置到同一个接口上。

标准访问控制列表应该放置在哪里？
靠近源地址
靠近目的地址
在以太网端口上
在串行端口上
下列关于ACL 处理数据包的说法中哪三项正确？（选择三项。

）
隐含的deny any会拒绝不符合任何ACL 语句的所有数据包。

数据包可能被拒绝，也可能被转发，这取决于与该数据包相匹配的语句。

被一条语句拒绝的数据包可能被后续的语句允许。

默认情况下会转发不符合任何ACL 语句的数据包。

会检查每条语句，直到检测到匹配的语句或到达ACL 语句列表末尾为止。

会将每个数据包与ACL 中每条语句的条件相比较，然后才决定是否转发。

（选择两项。

）
会忽略给定IP 地址的前29 位。

会忽略给定IP 地址的后3 位。

会检查给定IP 地址的前32 位。

会检查给定IP 地址的前29 位。

会检查给定IP 地址的后3 位。

access-list 101 deny tcp 172.16.3.0 0.0.0.255 any eq 20
access-list 101 deny tcp 172.16.3.0 0.0.0.255 any eq 21
access-list 101 permit ip any any
拒绝从网络172.16.3.0/24 始发的所有FTP 流量。

会隐含拒绝所有流量。

会拒绝发往网络172.16.3.0/24 的所有FTP 流量。

会拒绝从网络172.16.3.0/24 始发的所有Telnet 流量。

会允许从网络172.16.3.0 始发的Web 流量。

接口s0/0/0 的入站方向上已经应用了一个IP ACL。

当管理员尝试再应用一个入站IP ACL 时会发生什么情况？
第二个ACL 会取代第一个应用到该接口上。

两个ACL 都会应用到该接口上。

网络管理员会收到错误消息。

只有第一个ACL 会保持应用到该接口上。

请参见图示。

当创建扩展ACL 以拒绝从网络192.168.30.0 发往Web 服务器209.165.201.30 的流量时，应用ACL 的最佳位置是哪里？
ISP Fa0/0 出站
R2 S0/0/1 入站
R3 Fa0/0 入站
R3 S0/0/1 出站
下列关于命名ACL 的说法，哪两项是正确的？（选择两项。

）
只有命名ACL 才允许注释。

名称可用于帮助标识ACL 的功能。

命名ACL 可提供比编号ACL 更多的具体过滤选项。

某些复杂ACL（例如自反ACL）必须在命名ACL 中定义。

每个路由器接口的每个方向上可应用多个命名IP ACL。

试试题：
必须配置下列哪三项，才能在路由器上运行动态ACL？（选择三项。

）
扩展ACL
自反ACL
控制台日志
身份验证
Telnet 连接
权限等级为15 的用户帐户
请参见图示。

此访问列表会如何处理源地址为10.1.1.1 且目的地址为192.168.10.13 的数据包？
允许该数据包，因为ACL 隐含"deny any" 语句。

丢弃该数据包，因为该数据包不符合该ACL 中的任何项目。

允许该数据包，因为该ACL 的第10 行允许数据包发往192.168.0.0/16。

允许该数据包，因为该ACL 的第20 行允许数据包发往主机192.168.10.13。

网络管理员需要允许从公司内部发起的会话流量通过防火墙路由器，同时拦截从公司外部发起的会适合使用哪种ACL？
动态
基于端口的
自反
基于时间的
请参见图示。

Router1 会如何处理符合EVERYOTHERDAY 的时间范围要求的流量？
会允许来自网络172.16.1.254/24 并发往网络10.1.1.0/24 的TCP 流量进入fa0/0 接口
会允许来自网络10.1.1.254/24 并发往网络172.16.1.0/24 的TCP 流量进入fa0/0 接口
会允许来自网络172.16.1.254/24 并发往网络10.1.1.0/24 的Telnet 流量进入fa0/0 接口
会允许来自网络10.1.1.254/24 并发往网络172.16.1.0/24 的Telnet 流量进入fa0/0 接口
Router(config)# access-list 2 deny 172.16.5.24
Router(config)# access-list 2 permit any
ACL 已正确应用至接口。

通过该组命令，可得出什么结论？
通配符掩码设为0.0.0.0。

访问列表语句配置错误。

网络172.16.0.0 上所有节点均无法访问其它网络。

不允许任何流量访问网络172.16.0.0 上的任何节点或服务。

请参见图示。

管理员希望阻止来自192.168.1.50 的web 流量进入
192.168.3.30 上web 服务的默认端口。

为达到这个目的，管理员将命名的访问控制列表应用于路由器R1 LAN 接口的入站流量。

但经对列表进行测试后，管理员注意到web 流量仍然可以到达目的地。

这是什么原因？
Web 流量未使用默认端口80。

该访问列表应用于不正确的方向。

访问列表应放置在离目的地更近的R3 处。

第10 行中指定的源地址范围未包括192.168.1.50 的主机地址。

请参见图示。

按图中所示的配置，会产生怎样的效果？
用户尝试访问网络192.168.30.0/24 的主机时会被要求telnet 至R3。

与网络191.68.30.0/24 上的资源连接的主机空闲超时为15 分钟。

任何人尝试telnet 至R3 时，绝对超时设置均为5 分钟。

仅在Serial 0/0/1 上允许Telnet 访问R3。

下列有关标准ACL 的说法中哪项正确？
标准ACL 只能编号，不能被命名。

它们的放置位置应尽可能接近目的地。

它们可以根据源地址与目的地址过滤，也可以根据源端口和目的端口过滤。

当应用于出站接口时，传入的数据包将在路由至出站接口前被处理。

扩展ACL 与标准ACL 相比有何优点？
扩展ACL 可命名，但标准ACL 不能命名。

扩展ACL 可应用于入站或出站方向，而标准ACL 不能。

扩展ACL 可根据负载内容过滤数据包，如包含在电子邮件或即时信息
内的信息。

扩展ACL 不但可以过滤源地址，也可对目的地址、目的端口以及源端
口进行过滤。

下列哪种功能要求使用命名ACL，而非编号ACL？
根据指定协议过滤流量
根据整个协议簇以及目的地址过滤流量
确定流量时指定要使用的源地址和目的地址
无需删除或重新创建列表，便可编辑ACL 和在列表中添加其它语句
一名技术员正在创建ACL，他需要仅指示子网172.16.16.0/21 的方法。

使用下列哪种网络地符掩码的组合可以完成这项任务？
172.16.0.0 0.0.255.255
127.16.16.0 0.0.0.255
172.16.16.0 0.0.7.255
172.16.16.0 0.0.15.255
172.16.16.0 0.0.255.255
请参见图示。

如果ACL 110 应用于R1 S0/0/0 入站方向，下列有关ACL 110 的说法哪一项正确？
如果TCP 流量来自网络172.22.10.0/24，它会拒绝流量进入Internet。

它不会允许来自Internet 的TCP 流量进入172.22.10.0/24 网络。

它会允许任何来自Internet 的TCP 流量进入172.22.10.0/24 网络。

它将允许任何自172.22.10.0/24 网络发起的TCP 流量从S0/0/0 接口入站。

请参见图示。

ACL 120 已应用于路由器R1 serial0/0/0 接口的入站流量，但网络172.11.10.0/24 上的主机可以telnet 至网络10.10.0.0/16。

根据已有配置，应采取什么措施才能修复此问题？
将ACL 应用于路由器R1 serial0/0/0 接口的出站流量。

将ACL 应用于路由器R1 FastEthernet0/0 接口的出站流量。

在ACL 第一行末尾加入关键字established。

在ACL 内添加一条语句，阻止自网络172.11.10.0/24 发出的UDP 流量。

请参见图示。

管理员已在R1 上配置两个访问列表。

串行接口的入站列表命名为Serial，LAN 接口的入站列表命名为LAN。

这些访问控制列表将产生什么效果？
PC1 将无法telnet 至R3 和PC3。

R3 将无法与PC1 以及PC3 通信。

PC3 无法telnet 至R3，也无法与PC1 通信。

PC1 将无法telnet 至R3，PC3 将无法与PC1 通信。