1. Host C与Host B互访
2. Host B和Host A不能互访
3. Host A和Host C不能互访
那么______。" 多选
A、只在MSR-1的接口GE0/0上应用高级ACL可以实现该需求 正确
B、只在MSR-1的接口GE0/0上应用ACL无法实现该需求 错误
C、分别在两台路由器的接口GE0/0上应用高级ACL可以实现该需求 正确
D、分别在MSR-1的接口S1/0、GE0/0上应用高级ACL可以实现该需求 正确
[MSR-1]display firewall-statistics all
Firewall is enable, default filtering method is 'permit'.
Interface: GigabitEthernet0/0
In-bound Policy: acl 3000
Fragments matched normally
From 2008-11-08 2:25:13 to 2008-11-08 2:25:46
0 packets, 0 bytes, 0% permitted,
4 packets, 240 bytes, 37% denied,
7 packets, 847 bytes, 63% permitted default,
0 packets, 0 bytes, 0% denied default,
Totally 7 packets, 847 bytes, 63% permitted,
Totally 4 packets, 240 bytes, 37% denied.
据此可以推测______。" 多选
A、由“37% denied”可以看出已经有数据匹配ACL 3000中的规则 正确
B、有一部分数据包没有匹配ACL 3000中的规则,而是匹配了默认的permit规则 正确
C、ACL 3000被应用在GigabitEthernet0/0的inbound方向 正确
D、“0% denied default”意味着该ACL的默认匹配规则是deny 错误
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
该接口连接了一台三层交换机,而此三层交换机为客户办公网络的网段192.168.7.0/24~192.168.83.0/24的默认网关所在。现在客户要求在MSR-1上配置ACL来禁止办公网络所有用户向MSR-1的地址192.168.0.1发起Telnet,那么下面哪项配置是正确的?" 单选
A、"acl number 3000
rule 0 deny 0.0.0.0 255.255.255.255 destination 192.168.0.1 0 destination-port eq telnet
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
packet-filter 3000 inbound " 正确
B、"acl number 3000
rule 0 deny 0.0.0.0 255.255.255.255 destination 192.168.0.1 0 destination-port eq telnet
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
packet-filter 3000 outbound" 错误
C、"acl number 3000
rule 0 deny 255.255.255.255 0 destination 192.168.0.1 0 destination-port eq telnet
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
packet-filter 3000 inbound " 错误
D、"acl number 3000
rule 0 deny 255.255.255.255 0 destination 192.168.0.1 0 destination-port eq telnet
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
packet-filter 3000 outbound" 错误
interface Ethernet0/0
ip address 192.168.0.1 255.255.255.0
在该接口下连接了一台三层交换机,而此三层交换机为客户办公网络的多个网段的默认网关所在,出于安全考虑,现在客户要求在MSR-1的接口Ethernet0/0上配置ACL(不限制应用的方向)来禁止办公网络所有用户ping通192.168.0.1,可以用如下哪种配置?" 多选
A、"acl number 3000
rule 0 deny icmp destination 192.168.0.1 0 icmp-type echo-reply" 错误
B、"acl number 3000
rule 0 deny icmp destination 192.168.0.1 0 icmp-type echo" 正确
C、"acl number 3000
rule 0 deny icmp destination 192.168.0.1 0 " 正确
D、" acl number 3000
rule 0 deny ip destination 192.168.0.1 0 eq icmp" 错误
HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB
客户要求仅仅限制HostA与HostB之间的ICMP报文,如下哪些做法是可行的? " 多选
A、在MSR-1上配置ACL禁止源主机HostA到目的主机HostB的ICMP报文,并将此ACL应用在MSR-1的GE0/0的outbound方向 错误
B、在MSR-1上配置ACL禁止源主机HostA到目的主机HostB的ICMP报文,并将此ACL应用在MSR-1的S1/0的outbound方向 正确
C、在MSR-1上配置ACL禁止源主机HostB到目的主机HostA的ICMP报文,并将此ACL应用在MSR-1的S1/0的outbound方向 错误
D、在MSR-1上配置ACL禁止源主机HostB到目的主机HostA的ICMP报文,并将此ACL应用在MSR-1的GE0/0的outbound方向 正确
acl number 3008
rule 0 deny icmp source 192.168.1.0 0.0.0.255
同时该ACL被应用在GE0/0的inbound方向。发现局域网内192.168.0.0/24网段的用户依然可以ping通GE0/0接口地址。根据如上信息可以推测_______。" 单选
A、该ACL没有生效 错误
B、该ACL应用的方向错误 错误
C、防火墙默认规则是允许 正确
D、对接口GE0/0执行shutdown和undo shutdown命令后,才会实现192.168.0.0/24网段ping不通MSR-1以太网接口地址 错误
HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB
在两台路由器上的广域网接口分别作了如下配置:
MSR-1:
acl number 3000
rule 0 deny ip source 192.168.0.0 0.0.0.255
rule 5 permit ip
interface Serial1/0
link-protocol ppp
packet-filter 3000 outbound
ip address 6.6.6.2 255.255.255.0
MSR-2:
interface Serial1/0
link-protocol ppp
ip address 6.6.6.1 255.255.255.0
假设HostA的IP地址为192.168.0.2/24,路由以及其他相关接口配置都正确,那么_______。" 单选
A、HostA可以ping通6.6.6.2,但是不能ping通6.6.6.1 正确
B、HostA不能ping通6.6.6.2,同时也不能ping通6.6.6.1 错误
C、HostA能ping通6.6.6.2,同时也能ping通6.6.6.1 错误
D、在MSR-2上能ping通HostA 错误
acl number 3000
rule 0 deny tcp source 10.1.1.1 0 source-port eq ftp destination 202.102.2.1 0
然后将此ACL应用在GE接口的inbound和outbound方向,那么这条ACL能实现下列哪些意图?" 单选
A、禁止源地址为10.1.1.1的主机向目的主机202.102.2.1发起FTP连接 错误
B、只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP 21的FTP控制连接 错误
C、只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP 20的FTP数据连接 错误
D、对从10.1.1.1向202.102.2.1发起的FTP连接没有任何限制作用 正确
[MSR-1]display acl 3000
Advanced ACL 3000, named -none-, 2 rules,
ACL's step is 5
rule 0 permit ip source 192.168.1.0 0.0.0.255
rule 10 deny ip (19 times matched)
该ACL 3000已被应用在正确的接口以及方向上。据此可知_______。" 多选
A、这是一个基本ACL 错误
B、有数据包流匹配了规则rule 10 正确
C、至查看该信息时,还没有来自192.168.1.0/24网段的数据包匹配该ACL 正确
D、匹配规则rule 10的数据包可能是去往目的网段192.168.1.0/24的 正确
HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB
两台MSR路由器MSR-1、MSR-2通过各自的S1/0接口背靠背互连,各自的GE0/0接口分别连接客户端主机HostA和HostB。其中HostA的IP地址为192.168.0.2/24,MSR-2的S1/0接口地址为1.1.1.2/30,通过配置其他相关的IP地址和路由,目前网络中HostA可以和HostB实现互通。如今客户要求不允许HostA通过地址1.1.1.2 Telnet登录到MSR-2。那么如下哪些配置可以满足此需求?" 多选
A、"在MSR-1上配置如下ACL并将其应用在MSR-1的GE0/0的inbound方向:
[MSR-1]acl number 3000
[MSR-1-acl-adv-3000]rule 0 deny tcp source 192.168.0.1 0.0.0.255 destination 1.1.1.2 0.0.0.3 destination-port eq telnet " 正确
B、"在MSR-1上配置如下ACL并将其应用在MSR-1的GE0/0的outbound方向:
[MSR-1]acl number 3000
[MSR-1-acl-adv-3000]rule 0 deny tcp source 192.168.0.2 0 destination 1.1.1.2 0 destination-port eq telnet" 错误
C、"在MSR-1上配置如下ACL并将其应用在MSR-1的S1/0的inbound方向:
[MSR-1]acl number 3000
[MSR-1-acl-adv-3000]rule 0 deny tcp source 192.168.0.1 0.0.0.255 destination 1.1.1.2 0 destination-port eq telnet" 错误
D、"在MSR-1上配置如下ACL并将其应用在MSR-1的S1/0的outbound方向:
[MSR-1]acl number 3000
[MSR-1-acl-adv-3000]rule 0 deny tcp source 192.168.0.2 0 destination 1.1.1.2 0.0.0.3 destination-port eq telnet" 正确
HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB
两台MSR路由器MSR1、MSR2通过各自的S1/0接口背靠背互连,各自的GigabitEthernet0/0接口分别连接客户端主机HostA和HostB。通过配置IP地址和路由,目前网络中HostA可以和HostB实现互通。
如今在MSR-2上增加了如下配置:
acl number 3000
rule 0 deny tcp destination-port eq telnet
interface Serial1/0
link-protocol ppp
ip address 1.1.1.2 255.255.255.252
packet-filter 3000 inbound
packet-filter 3000 outbound
interface GigabitEthernet0/0
ip address 10.1.1.1 255.255.255.0
那么如下哪些说法是正确的?" 多选
A、后配置的packet-filter 3000 outbound会取代packet-filter 3000 inbound命令 错误
B、在HostB上无法成功telnet 到MSR-1上 正确
C、在HostB上可以成功telnet 到MSR-1上 错误
D、后配置的packet-filter 3000 outbound不会取代packet-filter 3000 inbound命令 正确
HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB
其中两台MSR路由器MSR-1、MSR-2通过各自的S1/0接口背靠背互连,各自的GE0/0接口分别连接客户端主机HostA和HostB。通过配置IP地址和路由,目前网络中HostA可以和HostB实现互通。HostA的IP地址为192.168.0.2/24,默认网关为192.168.0.1。MSR-1的GE0/0接口地址为192.168.0.1/24。在MSR-1上增加了如下配置:
acl number 3003
rule 0 deny icmp source 192.168.0.2 0 icmp-type echo-reply
interface GigabitEthernet0/0
packet-filter 3003 inbound
那么______。" 多选
A、在HostA上无法ping通MSR-1的接口GE0/0的IP地址 错误
B、在HostA上可以ping通MSR-1的接口GE0/0的IP地址 正确
C、在MSR-1上无法ping通HostA 正确
D、在MSR-1上可以ping通HostA 错误
acl number 2000 match-order auto
rule 0 deny
rule 5 permit source 192.168.9.0 0.0.7.255
假设该ACL应用在正确的接口以及正确的方向上,那么______。 " 多选
A、源网段为192.168.15.0/24发出的数据流被允许通过 正确
B、源网段为192.168.9.0/21发出的数据流被允许通过 正确
C、源网段为192.168.9.0/21发出的数据流被禁止通过 错误
D、源网段为192.168.9.0/22发出的数据流被禁止通过 错误
E、任何源网段发出的数据流都被禁止通过 错误
acl number 3003
rule 0 deny icmp
rule 5 permit tcp destination-port eq 20
#
interface GigabitEthernet0/0
packet-filter 3000 inbound
packet-filter 3000 outbound
那么______。" 单选
A、办公网用户发起的到Internet的ICMP报文被该路由器禁止通过 正确
B、办公网用户发起的到达该路由器的FTP流量可以正常通过 错误
C、办公网用户发起的到达该路由器GE0/0的Telnet报文可以正常通过 错误
D、办公网用户发起的到Internet的FTP流量被允许通过该路由器,其他所有报文都被禁止通过该路由器 错误
acl number 3004
rule 0 deny ip source 192.168.1.0 0.0.0.255
rule 5 permit tcp source 192.168.0.0 0.0.255.255
rule 10 permit icmp
同时将ACL 3004应用在GE0/0的inbound方向,那么______。" 多选
A、该路由器允许192.168.2.0/24网段的用户对Internet发出的FTP数据流通过 正确
B、该路由器允许所有用户的ICMP报文通过 错误
C、该路由器禁止192.168.1.0/24网段的用户对Internet发出的所有IP流量通过 正确
D、该路由器允许192.168.1.0/24网段的用户对Internet发出的WWW业务流量通过 错误
acl number 3006
rule 0 deny tcp source 192.168.1.0 0.0.0.255
rule 5 permit ip
那么______。" 多选
A、192.168.1.0/24网段的客户可以通过Outlook等邮件客户端正常收发外部邮件 错误
B、192.168.1.0/24网段的客户不能通过WWW方式打开外部网页 正确
C、192.168.0.0/24网段的客户可以通过FTP方式从Internet上下载数据 正确
D、192.168.1.0/24网段的客户不能够通过Outlook等邮件客户端收发外部邮件 正确
acl number 3003
rule 0 permit tcp
rule 5 permit icmp
acl number 2003
rule 0 deny source 192.168.0.0 0.0.0.255
interface GigabitEthernet0/0
packet-filter 3003 inbound
packet-filter 2003 outbound
ip address 192.168.0.1 255.255.255.0
interface Serial6/0
link-protocol ppp
ip address 6.6.6.2 255.255.255.0
假设其他相关配置都正确,那么______。" 多选
A、HostA不能ping通该路由器上的两个接口地址 错误
B、HostA不能ping通6.6.6.2,但是可以ping通192.168.0.1 错误
C、HostA不能ping通192.168.0.1,但是可以ping通6.6.6.2 正确
D、HostA可以Telnet到该路由器上 正确
[MSR-1]display arp all
Type: S-Static D-Dynamic
IP Address MAC Address VLAN ID Interface Aging Type
192.168.0.2 0123-4321-1234 N/A GE0/0 20 D
经查该主机有大量病毒,现在客户要禁止该主机发出的报文通过MSR-1,那么_______。
(选择一项或多项)"
A、可以在路由器上配置基本ACL并应用在GE0/0的入方向来实现 正确
B、可以在路由器上配置基本ACL并应用在GE0/0的出方向来实现 错误
C、可以在路由器上配置高级ACL并应用在GE0/0的入方向来实现 正确
D、可以在路由器上配置高级ACL并应用在GE0/0的出方向来实现 错误
[MSR-1]display acl 3000
Advanced ACL 3000, named -none-, 2 rules,
ACL's step is 5
rule 0 permit ip source 192.168.1.0 0.0.0.255
rule 10 deny ip (19 times matched)
该ACL 3000已被应用在正确的接口以及方向上。据此可知_______。
(选择一项或多项)"
A、这是一个基本ACL 错误
B、有数据包流匹配了规则rule 10 正确
C、至查看该信息时,还没有来自192.168.1.0/24网段的数据包匹配该ACL 正确
D、匹配规则rule 10的数据包可能是去往目的网段192.168.1.0/24的 正确
MSR-1通过串口S1/0连接到Internet。全网已经正常互通,办公网用户可以访问Internet。在该路由器上添加如下ACL配置:
firewall enable
acl number 3004
rule 0 deny ip source 192.168.1.0 0.0.0.255
rule 5 permit tcp source 192.168.0.0 0.0.255.255
rule 10 permit icmp
同时将ACL 3004应用在GE0/0的inbound方向,那么______。(选择一项或多项)"
A、该路由器允许192.168.2.0/24网段的用户对Internet发出的FTP数据流通过 正确
B、该路由器允许所有用户的ICMP报文通过 错误
C、该路由器禁止192.168.1.0/24网段用户对Internet的所有IP流量通过 正确
D、该路由器允许192.168.1.0/24网段用户对Internet的WWW业务流量通过 错误
[MSR-1]display firewall-statistics all
Firewall is enable, default filtering method is 'permit'.
Interface: GigabitEthernet0/0
In-bound Policy: acl 3000
Fragments matched normally
From 2008-11-08 2:25:13 to 2008-11-08 2:25:46
0 packets, 0 bytes, 0% permitted,
4 packets, 240 bytes, 37% denied,
7 packets, 847 bytes, 63% permitted default,
0 packets, 0 bytes, 0% denied default,
Totally 7 packets, 847 bytes, 63% permitted,
Totally 4 packets, 240 bytes, 37% denied.
据此可以推测______。"
A、由“37% denied”可以看出已经有数据匹配ACL 3000中的规则 正确
B、有一部分数据包没有匹配ACL 3000中的规则,而是匹配了默认的permit规则 正确
C、ACL 3000被应用在GigabitEthernet0/0的inbound方向 正确
D、“0% denied default”意味着该ACL的默认匹配规则是deny 错误
现在在其中一台路由器MSR-1的GigabitEthernet0/0接口想要只发送RIP报文而不接受RIP协议报文,那么如下哪些实现方式是可行的?"
A、在MSR-1的GigabitEthernet0/0接口配置silent-interface GigabitEthernet 0/0 错误
B、在MSR-2的GigabitEthernet0/0接口配置silent-interface GigabitEthernet 0/0 正确
C、在MSR-1上配置ACL并应用在其GigabitEthernet0/0接口inbound方向 正确
D、在MSR-2上配置ACL并应用在其GigabitEthernet0/0接口inbound方向 错误
那么在RTA的GE0/0接口outbound方向应用如下哪些ACL是可行的?"
A、acl number 3000 ↓ rule 0 deny ip destination 224.0.0.5 0 ↓ rule 5 permit ip 正确
B、acl number 3000 ↓ rule 0 deny ip destination 224.0.0.5 0 eq 89 ↓ rule 5 permit ip 错误
C、acl number 3000 ↓ rule 0 deny udp destination-port eq 89 ↓ rule 5 permit ip 错误
D、acl number 3000 ↓ rule 0 deny ospf ↓ rule 5 permit ip 正确
1. Host C与Host B互访
2. Host B和Host A不能互访
3. Host A和Host C不能互访
那么______。"
A、只在MSR-1的接口GE0/0上应用高级ACL可以实现该需求 正确
B、只在MSR-1的接口GE0/0上应用ACL无法实现该需求 错误
C、分别在两台路由器的接口GE0/0上应用高级ACL可以实现该需求 正确
D、分别在MSR-1的接口S1/0、GE0/0上应用高级ACL可以实现该需求 正确
