Routing and Switching Essentials (版本 5.0) - RSE 第 9 章考试.docx

Routing and Switching Essentials (版本 5.0) - RSE 第 9 章考试以下是针对您未获得满分的试题给出的反馈。 某些交互式试题可能不显示您的答案。分项分数： 1窗体顶端哪两项功能描述了访问控制列表的用途？（请选择两项。）正确响应您的响应ACL 可以控制主机能够访问网络中的哪些区域。ACL 可以帮助路由器确定到目的地的最佳路径。ACL 可以根据路由器上的始发 MAC 地址来允许或拒绝流量。ACL 提供基本的网络安全性。标准 ACL 可限制对特定应用程序和端口的访问。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.1.1 ACL 的用途2窗体顶端访问控制列表在企业网络中的可能用途是下列哪两项？（选择两项。）正确响应您的响应控制虚拟终端对路由器的访问允许通过路由器过滤第 2 层流量降低路由器上的处理负载控制路由器接口的物理状态控制调试输出窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.1.1 ACL 的用途3窗体顶端哪两个特征是标准 ACL 和扩展 ACL 共有的特征？（请选择两项。）正确响应您的响应两者都包含隐式 deny 作为最终 ACE。两者都可为特定目的主机 IP 地址过滤数据包。两者都可以通过使用描述性名称或号码创建。两者都可以通过端口号允许或拒绝特定服务。两类ACL都可以根据协议类型进行过滤。标准 ACL 仅根据特定源 IP 地址过滤流量。扩展 ACL 可以根据源或目的地、协议或端口进行过滤。标准 ACL 和扩展 ACL 都包含一个隐式 deny 作为最后的 ACE。标准 ACL 和扩展 ACL 可根据名称或号码识别。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.1.2 标准和扩展 IPv4 ACL4窗体顶端下列哪项描述了标准 IPv4 ACL 的特点？正确响应您的响应可以根据源 IP 地址和源端口对过滤流量进行配置。它们仅根据源 IP 地址过滤流量。它们是在接口配置模式下配置的。创建它们时可以使用数字，但不可以使用名称。标准 IPv4 ACL 可以仅根据源 IP 地址过滤流量。不同于扩展 ACL，它无法根据第 4 层端口过滤流量。但是，标准 ACL 和扩展 ACL 可以用编号或名称标识，并且都在全局配置模式下配置。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.1.2 标准和扩展 IPv4 ACL5窗体顶端网络管理员需要配置标准 ACL，使得只有 IP 地址为 3 的管理员工作站能够访问主要路由器的虚拟终端。哪两个配置命令可以完成该任务？（请选择两项。）正确响应您的响应Router1(config)#access-list 10 permit 3 55Router1(config)#access-list 10 permit 3 Router1(config)#access-list 10 permit host 3Router1(config)#access-list 10 permit 3 Router1(config)#access-list 10 permit 3 55要允许或拒绝某个特定 IP 地址，可以使用通配符掩码（用在 IP 地址后面）或通配符掩码关键字host（用在 IP 地址前面）。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.1.3 ACL 中的通配符掩码 9.2.1 配置标准 IPv4 ACL6窗体顶端哪一个 IPv4 地址范围包含由 指定的、与 ACL 过滤器匹配的、通配符掩码为 55 的所有 IP 地址？正确响应您的响应 到 55 到 55 到 54 到 55通配符掩码 55 意味着前 23 位匹配，后 9 位被忽略。即对应的 IP 地址必须来自 和 55 之间（其中最后 9 位来自所有 0 列至所有 1 列以及之间的任意值）。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.1.3 ACL 中的通配符掩码7窗体顶端如果路由器有两个接口，并且路由 IPv4 和 IPv6 的流量，那么可以在其中创建并应用多少个 ACL？正确响应您的响应6816412要计算可以配置多少个 ACL，请使用“3P 原则”规则：每种协议一个 ACL，每个方向一个 ACL，每个接口一个 ACL。在这种情况下，2 个接口 x 2 种协议 x 2 个方向产生 8 个可能的 ACL。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.1.4 ACL 的创建原则8窗体顶端通常认为下列哪三项是安置 ACL 的最佳做法？（请选择三项。）正确响应您的响应将扩展 ACL 安置在靠近流量的源 IP 地址的位置。对于每个安置在接口的入站 ACL，应该有一个与之匹配的出站 ACL。将标准 ACL 安置在靠近流量源 IP 地址的位置。将标准 ACL 安置在靠近流量的目的 IP 地址的位置。在不需要的流量通过低带宽链路之前，将其过滤掉。将扩展 ACL 安置在靠近流量目的 IP 地址的位置。应将扩展 ACL 安置在尽可能接近源 IP 地址的位置，从而使得需要过滤的流量不通过网络并且不使用网络资源。由于标准 ACL 不指定目的地址，因此应将他们安置在离目的地址尽可能近的位置。在源附近设置标准 ACL 可以过滤所有流量并限制到其他主机的服务。在进入低带宽链路前过滤不需要的流量可以保留带宽并支持网络运行。将 ACL 安置在出站还是入站取决于需要满足的条件。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.1.5 ACL 的放置原则9窗体顶端请参见图示。路由器拥有现有 ACL，允许来自 网络的所有流量。管理员尝试向 ACL 添加新 ACE，该 ACL 拒绝主机 的数据包并接收图中所示的错误消息。管理员可以采取哪项措施来阻止主机 的数据包，同时仍允许 网络中其他所有流量？正确响应您的响应向 access-list 1 添加 deny any any ACE。手动添加序列号为 5 的新 deny ACE。创建拒绝主机的第二个访问列表并将其应用到同一个接口。手动添加序列号为 15 的新 deny ACE。因为新的 deny ACE 是一个属于已被允许的现有网络 的主机地址，所以路由器将拒绝该命令并显示错误消息。为了使新的 deny ACE 生效，管理员就必须使用小于 10 的序列号对其进行手动配置。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.2.2 修改 IPv4 ACL10窗体顶端管理员已在 R1 上配置一个访问列表，允许从主机 00 进行 SSH 管理访问。下列哪条命令可以正确地应用 ACL？正确响应您的响应R1(config-if)#ip access-group 1 outR1(config-line)#access-class 1 outR1(config-line)#access-class 1 inR1(config-if)#ip access-group 1 in通过 SSH 管理访问路由器是通过 vty 线路进行的。因此，必须将 ACL 应用到入站方向的这些行。这是通过进入线路配置模式并发出access-class命令来完成的。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.2.3 使用标准 IPv4 ACL 保护 VTY 端口11窗体顶端请参见图示。IP 地址为 3/25 的网络管理员需要有访问公司 FTP 服务器 (/28) 的权限。FTP 服务器也是一个允许 10.x.x.x 地址内各网络上所有内部员工访问的 Web 服务器。不允许其他任何流量进入此服务器。应使用哪个扩展 ACL 过滤此流量？如何应用此 ACL？（请选择两项。）正确响应您的响应R2(config)#interface gi0/0R2(config-if)#ip access-group 105 inaccess-list 105 permit tcp host 3 host eq 20access-list 105 permit tcp host 3 host eq 21access-list 105 permit tcp 55 host eq wwwaccess-list 105 deny ip any host access-list 105 permit ip any anyaccess-list 105 permit tcp host any eq wwwaccess-list 105 permit tcp host 3 host eq 20access-list 105 permit tcp host 3 host eq 21R1(config)#interface gi0/0R1(config-if)#ip access-group 105 outR1(config)#interface s0/0/0R1(config-if)#ip access-group 105 outaccess-list 105 permit ip host 3 host access-list 105 permit tcp any host eq wwwaccess-list 105 permit ip any anyACL 的前两行允许主机 3 对 IP 地址为 的服务器进行 FTP 访问。ACL 的第三行允许从 IP 地址以数字 10 开头的任意主机对服务器进行 HTTP 访问。ACL 的第四行拒绝任何其他类型的流量从任何源 IP 地址传输到服务器。如果有其他服务器或设备添加到 /28 网络，ACL 的最后一行允许其他任何流量。由于来自其他位置的流量都会被过滤，对于 3 主机设备，此 ACL 的最佳位置即最接近服务器的位置。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.3.2 配置扩展 IPv4 ACL12窗体顶端假设以下访问控制列表，允许将来自特定主机的 IP 电话配置文件传输到 TFTP 服务器：R1(config)#access-list 105 permit udp host 3 host range 1024 5000R1(config)#access-list 105 deny ip any anyR1(config)#interface gi0/0R1(config-if)#ip access-group 105 out哪种方法可以允许网络管理员修改 ACL 并包含来自任意源 IP 地址的 FTP 传输？正确响应您的响应R1(config)#access-list 105 permit tcp any host eq 20R1(config)#access-list 105 permit tcp any host eq 21R1(config)#interface gi0/0R1(config-if)#no ip access-group 105 outR1(config)#no access-list 105R1(config)#access-list 105 permit udp host 3 host range 1024 5000R1(config)#access-list 105 permit tcp any host eq 20R1(config)#access-list 105 permit tcp any host eq 21R1(config)#access-list 105 deny ip any anyR1(config)#interface gi0/0R1(config-if)#ip access-group 105 outR1(config)#access-list 105 permit udp host 3 host range 1024 5000R1(config)#access-list 105 permit tcp any host eq 20R1(config)#access-list 105 permit tcp any host eq 21R1(config)#access-list 105 deny ip any anyR1(config)#interface gi0/0R1(config-if)#no ip access-group 105 outR1(config)#access-list 105 permit tcp any host eq 20R1(config)#access-list 105 permit tcp any host eq 21R1(config)#interface gi0/0R1(config-if)#ip access-group 105 out要修改扩展编号 ACL，则从接口删除该 ACL。将该 ACL 复制到文本文档中。从路由器中删除该 ACL。在文本文档中修改 ACL，然后将 ACL 重新输入路由器并将其应用到接口上。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.3.2 配置扩展 IPv4 ACL14窗体顶端与 IPv4 ACL 相比，哪项功能是 IPv6 ACL 独有的？正确响应您的响应使用命名 ACL 条目隐式 deny any any ACE隐式允许邻居发现数据包使用通配符掩码IPv6 和 IPv4 ACL 之间的一个主要区别就是所有 IPv6 ACL 末尾都有两个隐式 permit ACE。这两个 permit ACE 允许在路由器接口上执行邻居发现操作。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.6.1 总结15窗体顶端下列关于 ACL 处理数据包的说法中哪三项正确？（请选择三项。）正确响应您的响应将每个数据包与 ACL 中每条 ACE 的条件相比较，然后才决定是否转发。被一个 ACE 拒绝的数据包可能被后续 ACE 允许。默认情况下会转发不符合任何 ACE 条件的数据包。数据包根据与其相匹配的 ACE 的指示，可能被拒绝，也可能被转发。隐式deny any会拒绝与所有 ACE 都不匹配的任何数据包。检查每条语句，直到检测到匹配的语句或到达 ACE 列表结尾为止。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.5.1 IPv6 ACL 创建过程16窗体顶端哪三个隐式访问控制条目自动添加到 IPv6 ACL 的末尾？（请选择三项。）正确响应您的响应deny ip any anydeny icmp any anypermit icmp any any nd-nspermit ipv6 any anypermit icmp any any nd-nadeny ipv6 any any所有 IPv6 ACL 自动包含两个隐式 permit 语句：permit icmp any any nd-ns 和 permit icmp any any nd-na。这些语句允许路由器接口执行邻居发现操作。另外在 any IPv6 ACL 的结尾处还自动包含了一个隐式 deny ipv6 any any 语句，用于阻止所有 IPv6 数据包以其他方式获得允许。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.6.1 总结17窗体顶端IPv6 唯一可用的 ACL 类型是什么？正确响应您的响应已命名的扩展已命名的标准已编号的扩展已编号的标准不同于 IPv4，IPv6 只有一种访问列表，即命名扩展访问列表。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.6.1 总结18窗体顶端哪个 IPv6 ACL 命令条目将允许来自任何主机的流量传输到 2001:DB8:10:10:/64 网络上的 SMTP 服务器？正确响应您的响应permit tcp host 2001:DB8:10:10:100 any eq 23permit tcp any host 2001:DB8:10:10:100 eq 25permit tcp any host 2001:DB8:10:10:100 eq 23permit tcp host 2001:DB8:10:10:100 any eq 25IPv6 access list 语句 permit tcp any host 2001:DB8:10:10:100 eq 25 允许来自任意主机的 IPv6 数据包传输到 2001:DB8:10:10:100 处的 SMTP 服务器。在 ACL 中，数据包的源列在第一位（此例中为任何来源），目标列在第二位（此例中为 SMTP 服务器的 IPv6 地址）。端口号在语句中列于最后（端口 25），即 SMTP 的公认端口。窗体底端此试题参考以下领域的内容：Routing and Switching Essentials 9.5.2 配置 IPv6 ACL19窗体顶端请参见图示。在入站方向中，IPv6 访问列表 LIMITED_ACCESS 在 R1 的 S0/0/0 接口上应用。哪个来自 ISP 的 IPv6 数据包会被 R1 上的 ACL 丢弃？正确响应您的响应从 ISP 路由器接收到的邻居通告发往端口 80 上的 PC1 的数据包发往 PC1 的 ICMPv6 数据包发往 PC1 的 HTTPS 数据包访问列表 LIMITED_ACCESS 将拦截来自 I