ACL相关练习题
- "客户的网络结构如图所示。要实现如下需求:
1. Host C与Host B互访
2. Host B和Host A不能互访
3. Host A和Host C不能互访
那么______。" 多选
A、只在MSR-1的接口GE0/0上应用高级ACL可以实现该需求 正确
B、只在MSR-1的接口GE0/0上应用ACL无法实现该需求 错误
C、分别在两台路由器的接口GE0/0上应用高级ACL可以实现该需求 正确
D、分别在MSR-1的接口S1/0、GE0/0上应用高级ACL可以实现该需求 正确
![](https://img-blog.csdnimg.cn/fff9eac62c1948dabf994338120093e5.png)
- "在路由器MSR-1上看到如下提示信息:
[MSR-1]display firewall-statistics all
Firewall is enable, default filtering method is 'permit'.
Interface: GigabitEthernet0/0
In-bound Policy: acl 3000
Fragments matched normally
From 2008-11-08 2:25:13 to 2008-11-08 2:25:46
0 packets, 0 bytes, 0% permitted,
4 packets, 240 bytes, 37% denied,
7 packets, 847 bytes, 63% permitted default,
0 packets, 0 bytes, 0% denied default,
Totally 7 packets, 847 bytes, 63% permitted,
Totally 4 packets, 240 bytes, 37% denied.
据此可以推测______。" 多选
A、由“37% denied”可以看出已经有数据匹配ACL 3000中的规则 正确
B、有一部分数据包没有匹配ACL 3000中的规则,而是匹配了默认的permit规则 正确
C、ACL 3000被应用在GigabitEthernet0/0的inbound方向 正确
D、“0% denied default”意味着该ACL的默认匹配规则是deny 错误
- "客户路由器MSR-1的以太网口Ethernet1/0配置如下:
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
该接口连接了一台三层交换机,而此三层交换机为客户办公网络的网段192.168.7.0/24~192.168.83.0/24的默认网关所在。现在客户要求在MSR-1上配置ACL来禁止办公网络所有用户向MSR-1的地址192.168.0.1发起Telnet,那么下面哪项配置是正确的?" 单选
A、"acl number 3000
rule 0 deny 0.0.0.0 255.255.255.255 destination 192.168.0.1 0 destination-port eq telnet
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
packet-filter 3000 inbound " 正确
B、"acl number 3000
rule 0 deny 0.0.0.0 255.255.255.255 destination 192.168.0.1 0 destination-port eq telnet
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
packet-filter 3000 outbound" 错误
C、"acl number 3000
rule 0 deny 255.255.255.255 0 destination 192.168.0.1 0 destination-port eq telnet
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
packet-filter 3000 inbound " 错误
D、"acl number 3000
rule 0 deny 255.255.255.255 0 destination 192.168.0.1 0 destination-port eq telnet
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
packet-filter 3000 outbound" 错误
- "路由器MSR-1的以太网口Ethernet0/0配置如下:
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
在该接口下连接了一台三层交换机,而此三层交换机为客户办公网络的多个网段的默认网关所在,出于安全考虑,现在客户要求在MSR-1的接口Ethernet0/0上配置ACL(不限制应用的方向)来禁止办公网络所有用户ping通192.168.0.1,可以用如下哪种配置?" 多选
A、"acl number 3000
rule 0 deny icmp destination 192.168.0.1 0 icmp-type echo-reply" 错误
B、"acl number 3000
rule 0 deny icmp destination 192.168.0.1 0 icmp-type echo" 正确
C、"acl number 3000
rule 0 deny icmp destination 192.168.0.1 0 " 正确
D、" acl number 3000
rule 0 deny ip destination 192.168.0.1 0 eq icmp" 错误
- "某网络连接如下所示:
HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB
客户要求仅仅限制HostA与HostB之间的ICMP报文,如下哪些做法是可行的? " 多选
A、在MSR-1上配置ACL禁止源主机HostA到目的主机HostB的ICMP报文,并将此ACL应用在MSR-1的GE0/0的outbound方向 错误
B、在MSR-1上配置ACL禁止源主机HostA到目的主机HostB的ICMP报文,并将此ACL应用在MSR-1的S1/0的outbound方向 正确
C、在MSR-1上配置ACL禁止源主机HostB到目的主机HostA的ICMP报文,并将此ACL应用在MSR-1的S1/0的outbound方向 错误
D、在MSR-1上配置ACL禁止源主机HostB到目的主机HostA的ICMP报文,并将此ACL应用在MSR-1的GE0/0的outbound方向 正确
- "路由器MSR-1的GE0/0接口地址为192.168.100.1/24,该接口连接了一台三层交换机,而此三层交换机为客户办公网络的多个网段的默认网关所在。MSR-1通过串口S1/0连接到Internet。全网已经正常互通,办公网用户可以访问Internet。出于安全性考虑,需要禁止客户主机ping MSR-1的GE0/0接口,于是在该路由器上配置了如下ACL:
acl number 3008
rule 0 deny icmp source 192.168.1.0 0.0.0.255
同时该ACL被应用在GE0/0的inbound方向。发现局域网内192.168.0.0/24网段的用户依然可以ping通GE0/0接口地址。根据如上信息可以推测_______。" 单选
A、该ACL没有生效 错误
B、该ACL应用的方向错误 错误
C、防火墙默认规则是允许 正确
D、对接口GE0/0执行shutdown和undo shutdown命令后,才会实现192.168.0.0/24网段ping不通MSR-1以太网接口地址 错误
- "客户的网络如下所示:
HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB
在两台路由器上的广域网接口分别作了如下配置:
MSR-1:
acl number 3000
rule 0 deny ip source 192.168.0.0 0.0.0.255
rule 5 permit ip
interface Serial1/0
link-protocol ppp
packet-filter 3000 outbound
ip address 6.6.6.2 255.255.255.0
MSR-2:
interface Serial1/0
link-protocol ppp
ip address 6.6.6.1 255.255.255.0
假设HostA的IP地址为192.168.0.2/24,路由以及其他相关接口配置都正确,那么_______。" 单选
A、HostA可以ping通6.6.6.2,但是不能ping通6.6.6.1 正确
B、HostA不能ping通6.6.6.2,同时也不能ping通6.6.6.1 错误
C、HostA能ping通6.6.6.2,同时也能ping通6.6.6.1 错误
D、在MSR-2上能ping通HostA 错误
- "一台MSR路由器通过S1/0接口连接Internet,GE0/0接口连接局域网主机,局域网主机所在网段为10.0.0.0/8,在Internet上有一台IP地址为202.102.2.1的FTP服务器。通过在路由器上配置IP地址和路由,目前局域网内的主机可以正常访问Internet(包括公网FTP服务器),如今在路由器上增加如下配置:
acl number 3000
rule 0 deny tcp source 10.1.1.1 0 source-port eq ftp destination 202.102.2.1 0
然后将此ACL应用在GE接口的inbound和outbound方向,那么这条ACL能实现下列哪些意图?" 单选
A、禁止源地址为10.1.1.1的主机向目的主机202.102.2.1发起FTP连接 错误
B、只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP 21的FTP控制连接 错误
C、只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP 20的FTP数据连接 错误
D、对从10.1.1.1向202.102.2.1发起的FTP连接没有任何限制作用 正确
- "在路由器MSR-1上看到如下信息:
[MSR-1]display acl 3000
Advanced ACL 3000, named -none-, 2 rules,
ACL's step is 5
rule 0 permit ip source 192.168.1.0 0.0.0.255
rule 10 deny ip (19 times matched)
该ACL 3000已被应用在正确的接口以及方向上。据此可知_______。" 多选
A、这是一个基本ACL 错误
B、有数据包流匹配了规则rule 10 正确
C、至查看该信息时,还没有来自192.168.1.0/24网段的数据包匹配该ACL 正确
D、匹配规则rule 10的数据包可能是去往目的网段192.168.1.0/24的 正确
- "某网络连接形如:
HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB
两台MSR路由器MSR-1、MSR-2通过各自的S1/0接口背靠背互连,各自的GE0/0接口分别连接客户端主机HostA和HostB。其中HostA的IP地址为192.168.0.2/24,MSR-2的S1/0接口地址为1.1.1.2/30,通过配置其他相关的IP地址和路由,目前网络中HostA可以和HostB实现互通。如今客户要求不允许HostA通过地址1.1.1.2 Telnet登录到MSR-2。那么如下哪些配置可以满足此需求?" 多选
A、"在MSR-1上配置如下ACL并将其应用在MSR-1的GE0/0的inbound方向:
[MSR-1]acl number 3000
[MSR-1-acl-adv-3000]rule 0 deny tcp source 192.168.0.1 0.0.0.255 destination 1.1.1.2 0.0.0.3 destination-port eq telnet " 正确
B、"在MSR-1上配置如下ACL并将其应用在MSR-1的GE0/0的outbound方向:
[MSR-1]acl number 3000
[MSR-1-acl-adv-3000]rule 0 deny tcp source 192.168.0.2 0 destination 1.1.1.2 0 destination-port eq telnet" 错误
C、"在MSR-1上配置如下ACL并将其应用在MSR-1的S1/0的inbound方向:
[MSR-1]acl number 3000
[MSR-1-acl-adv-3000]rule 0 deny tcp source 192.168.0.1 0.0.0.255 destination 1.1.1.2 0 destination-port eq telnet" 错误
D、"在MSR-1上配置如下ACL并将其应用在MSR-1的S1/0的outbound方向:
[MSR-1]acl number 3000
[MSR-1-acl-adv-3000]rule 0 deny tcp source 192.168.0.2 0 destination 1.1.1.2 0.0.0.3 destination-port eq telnet" 正确
- "某网络连接形如:
HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB
两台MSR路由器MSR1、MSR2通过各自的S1/0接口背靠背互连,各自的GigabitEthernet0/0接口分别连接客户端主机HostA和HostB。通过配置IP地址和路由,目前网络中HostA可以和HostB实现互通。
如今在MSR-2上增加了如下配置:
acl number 3000
rule 0 deny tcp destination-port eq telnet
interface Serial1/0
link-protocol ppp
ip address 1.1.1.2 255.255.255.252
packet-filter 3000 inbound
packet-filter 3000 outbound
interface GigabitEthernet0/0
ip address 10.1.1.1 255.255.255.0
那么如下哪些说法是正确的?" 多选
A、后配置的packet-filter 3000 outbound会取代packet-filter 3000 inbound命令 错误
B、在HostB上无法成功telnet 到MSR-1上 正确
C、在HostB上可以成功telnet 到MSR-1上 错误
D、后配置的packet-filter 3000 outbound不会取代packet-filter 3000 inbound命令 正确
- "某网络连接形如:
HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB
其中两台MSR路由器MSR-1、MSR-2通过各自的S1/0接口背靠背互连,各自的GE0/0接口分别连接客户端主机HostA和HostB。通过配置IP地址和路由,目前网络中HostA可以和HostB实现互通。HostA的IP地址为192.168.0.2/24,默认网关为192.168.0.1。MSR-1的GE0/0接口地址为192.168.0.1/24。在MSR-1上增加了如下配置:
acl number 3003
rule 0 deny icmp source 192.168.0.2 0 icmp-type echo-reply
interface GigabitEthernet0/0
packet-filter 3003 inbound
那么______。" 多选
A、在HostA上无法ping通MSR-1的接口GE0/0的IP地址 错误
B、在HostA上可以ping通MSR-1的接口GE0/0的IP地址 正确
C、在MSR-1上无法ping通HostA 正确
D、在MSR-1上可以ping通HostA 错误
- "在一台路由器上配置了如下的ACL:
acl number 2000 match-order auto
rule 0 deny
rule 5 permit source 192.168.9.0 0.0.7.255
假设该ACL应用在正确的接口以及正确的方向上,那么______。 " 多选
A、源网段为192.168.15.0/24发出的数据流被允许通过 正确
B、源网段为192.168.9.0/21发出的数据流被允许通过 正确
C、源网段为192.168.9.0/21发出的数据流被禁止通过 错误
D、源网段为192.168.9.0/22发出的数据流被禁止通过 错误
E、任何源网段发出的数据流都被禁止通过 错误
- "客户的一台MSR路由器通过广域网接口S1/0连接Internet,通过局域网接口GE0/0连接办公网络,目前办公网络用户可以正常访问Internet。在路由器上增加如下的ACL配置:
acl number 3003
rule 0 deny icmp
rule 5 permit tcp destination-port eq 20
#
interface GigabitEthernet0/0
packet-filter 3000 inbound
packet-filter 3000 outbound
那么______。" 单选
A、办公网用户发起的到Internet的ICMP报文被该路由器禁止通过 正确
B、办公网用户发起的到达该路由器的FTP流量可以正常通过 错误
C、办公网用户发起的到达该路由器GE0/0的Telnet报文可以正常通过 错误
D、办公网用户发起的到Internet的FTP流量被允许通过该路由器,其他所有报文都被禁止通过该路由器 错误
- "客户的路由器MSR-1的GE0/0接口下连接了一台三层交换机,而此三层交换机是其所连接的客户办公网络的多个网段的默认网关所在。MSR-1通过串口S1/0连接到Internet。全网已经正常互通,办公网用户可以访问Internet。在该路由器上添加如下ACL配置:
acl number 3004
rule 0 deny ip source 192.168.1.0 0.0.0.255
rule 5 permit tcp source 192.168.0.0 0.0.255.255
rule 10 permit icmp
同时将ACL 3004应用在GE0/0的inbound方向,那么______。" 多选
A、该路由器允许192.168.2.0/24网段的用户对Internet发出的FTP数据流通过 正确
B、该路由器允许所有用户的ICMP报文通过 错误
C、该路由器禁止192.168.1.0/24网段的用户对Internet发出的所有IP流量通过 正确
D、该路由器允许192.168.1.0/24网段的用户对Internet发出的WWW业务流量通过 错误
- "客户的路由器MSR-1的GigabitEthernet0/0接口下连接了一台三层交换机,而此三层交换机为客户办公网络的多个网段的默认网关所在。同时该路由器的广域网接口连接到Internet,而Internet上有DNS服务器为客户局域网内的主机提供服务,客户的办公网络可以正常访问Internet,如今在MSR-1的GigabitEthernet0/0的inbound方向应用了如下ACL:
acl number 3006
rule 0 deny tcp source 192.168.1.0 0.0.0.255
rule 5 permit ip
那么______。" 多选
A、192.168.1.0/24网段的客户可以通过Outlook等邮件客户端正常收发外部邮件 错误
B、192.168.1.0/24网段的客户不能通过WWW方式打开外部网页 正确
C、192.168.0.0/24网段的客户可以通过FTP方式从Internet上下载数据 正确
D、192.168.1.0/24网段的客户不能够通过Outlook等邮件客户端收发外部邮件 正确
- "客户路由器的接口GigabitEthernet0/0下连接了局域网主机HostA,其IP地址为192.168.0.2/24;接口Serial6/0接口连接远端,目前运行正常。现增加ACL配置如下:
acl number 3003
rule 0 permit tcp
rule 5 permit icmp
acl number 2003
rule 0 deny source 192.168.0.0 0.0.0.255
interface GigabitEthernet0/0
packet-filter 3003 inbound
packet-filter 2003 outbound
ip address 192.168.0.1 255.255.255.0
interface Serial6/0
link-protocol ppp
ip address 6.6.6.2 255.255.255.0
假设其他相关配置都正确,那么______。" 多选
A、HostA不能ping通该路由器上的两个接口地址 错误
B、HostA不能ping通6.6.6.2,但是可以ping通192.168.0.1 错误
C、HostA不能ping通192.168.0.1,但是可以ping通6.6.6.2 正确
D、HostA可以Telnet到该路由器上 正确
- "在一台路由器MSR-1上看到如下信息:
[MSR-1]display arp all
Type: S-Static D-Dynamic
IP Address MAC Address VLAN ID Interface Aging Type
192.168.0.2 0123-4321-1234 N/A GE0/0 20 D
经查该主机有大量病毒,现在客户要禁止该主机发出的报文通过MSR-1,那么_______。
(选择一项或多项)"
A、可以在路由器上配置基本ACL并应用在GE0/0的入方向来实现 正确
B、可以在路由器上配置基本ACL并应用在GE0/0的出方向来实现 错误
C、可以在路由器上配置高级ACL并应用在GE0/0的入方向来实现 正确
D、可以在路由器上配置高级ACL并应用在GE0/0的出方向来实现 错误
- "在路由器MSR-1上看到如下信息:
[MSR-1]display acl 3000
Advanced ACL 3000, named -none-, 2 rules,
ACL's step is 5
rule 0 permit ip source 192.168.1.0 0.0.0.255
rule 10 deny ip (19 times matched)
该ACL 3000已被应用在正确的接口以及方向上。据此可知_______。
(选择一项或多项)"
A、这是一个基本ACL 错误
B、有数据包流匹配了规则rule 10 正确
C、至查看该信息时,还没有来自192.168.1.0/24网段的数据包匹配该ACL 正确
D、匹配规则rule 10的数据包可能是去往目的网段192.168.1.0/24的 正确
- "客户的路由器MSR-1的GE0/0接口下连接了一台三层交换机,而此三层交换机是其所连接的客户办公网络的多个网段的默认网关所在。
MSR-1通过串口S1/0连接到Internet。全网已经正常互通,办公网用户可以访问Internet。在该路由器上添加如下ACL配置:
firewall enable
acl number 3004
rule 0 deny ip source 192.168.1.0 0.0.0.255
rule 5 permit tcp source 192.168.0.0 0.0.255.255
rule 10 permit icmp
同时将ACL 3004应用在GE0/0的inbound方向,那么______。(选择一项或多项)"
A、该路由器允许192.168.2.0/24网段的用户对Internet发出的FTP数据流通过 正确
B、该路由器允许所有用户的ICMP报文通过 错误
C、该路由器禁止192.168.1.0/24网段用户对Internet的所有IP流量通过 正确
D、该路由器允许192.168.1.0/24网段用户对Internet的WWW业务流量通过 错误
- "在路由器MSR-1上看到如下提示信息:
[MSR-1]display firewall-statistics all
Firewall is enable, default filtering method is 'permit'.
Interface: GigabitEthernet0/0
In-bound Policy: acl 3000
Fragments matched normally
From 2008-11-08 2:25:13 to 2008-11-08 2:25:46
0 packets, 0 bytes, 0% permitted,
4 packets, 240 bytes, 37% denied,
7 packets, 847 bytes, 63% permitted default,
0 packets, 0 bytes, 0% denied default,
Totally 7 packets, 847 bytes, 63% permitted,
Totally 4 packets, 240 bytes, 37% denied.
据此可以推测______。"
A、由“37% denied”可以看出已经有数据匹配ACL 3000中的规则 正确
B、有一部分数据包没有匹配ACL 3000中的规则,而是匹配了默认的permit规则 正确
C、ACL 3000被应用在GigabitEthernet0/0的inbound方向 正确
D、“0% denied default”意味着该ACL的默认匹配规则是deny 错误
- "两台路由器MSR-1、MSR-2通过GigabitEthernet0/0互连,同时两台路由器之间运行了RIPv2,
现在在其中一台路由器MSR-1的GigabitEthernet0/0接口想要只发送RIP报文而不接受RIP协议报文,那么如下哪些实现方式是可行的?"
A、在MSR-1的GigabitEthernet0/0接口配置silent-interface GigabitEthernet 0/0 错误
B、在MSR-2的GigabitEthernet0/0接口配置silent-interface GigabitEthernet 0/0 正确
C、在MSR-1上配置ACL并应用在其GigabitEthernet0/0接口inbound方向 正确
D、在MSR-2上配置ACL并应用在其GigabitEthernet0/0接口inbound方向 错误
- "两台MSR路由器通过图示方式连接。目前在两台路由器之间运行了OSPF。如今要在RTA上配置ACL来阻止RTA与RTB之间建立OSPF邻居关系,
那么在RTA的GE0/0接口outbound方向应用如下哪些ACL是可行的?"
A、acl number 3000 ↓ rule 0 deny ip destination 224.0.0.5 0 ↓ rule 5 permit ip 正确
B、acl number 3000 ↓ rule 0 deny ip destination 224.0.0.5 0 eq 89 ↓ rule 5 permit ip 错误
C、acl number 3000 ↓ rule 0 deny udp destination-port eq 89 ↓ rule 5 permit ip 错误
D、acl number 3000 ↓ rule 0 deny ospf ↓ rule 5 permit ip 正确
![](https://img-blog.csdnimg.cn/24eff316001d44caaeeaea2a242eaccd.png)
- "客户的网络结构如图所示。要实现如下需求:
1. Host C与Host B互访
2. Host B和Host A不能互访
3. Host A和Host C不能互访
那么______。"
A、只在MSR-1的接口GE0/0上应用高级ACL可以实现该需求 正确
B、只在MSR-1的接口GE0/0上应用ACL无法实现该需求 错误
C、分别在两台路由器的接口GE0/0上应用高级ACL可以实现该需求 正确
D、分别在MSR-1的接口S1/0、GE0/0上应用高级ACL可以实现该需求 正确
![](https://img-blog.csdnimg.cn/e400c7098cd44856bda658a24ba39044.png)