CCNA 第四学期第5单元单元测试及其答案.doc

五、ACL(2010-12-26 09:06)分类：第5章:ACL说明：该章详细介绍ACL，网络的互通很容易，但最重要的是如何保保证网络的安全？这一章就详细讲述了如何通过标准ACL和扩展ACL来保护网络。在此，仅给大家提供一个学习交流的平台！并希望大家多给意见！1窗体顶端一名技术员正在创建 ACL，他需要仅指示子网 /21 的方法。使用下列哪种网络地址和通配符掩码的组合可以完成这项任务？ 55 55 55 55 55窗体底端2窗体顶端在路由器上输入了下列命令：Router(config)#access-list 2 deny 4Router(config)#access-list 2 permit anyACL 已正确应用至接口。通过该组命令，可得出什么结论？通配符掩码设为 。访问列表语句配置错误。网络 上所有节点均无法访问其它网络。不允许任何流量访问网络 上的任何节点或服务。窗体底端3窗体顶端必须配置下列哪三项，才能在路由器上运行动态 ACL？ （选择三项。）扩展 ACL自反 ACL控制台日志身份验证Telnet 连接权限等级为 15 的用户帐户窗体底端4窗体顶端下列关于访问控制列表通配符掩码 的意义的说法中哪两项正确？ （选择两项。）会忽略给定 IP 地址的前 29 位。会忽略给定 IP 地址的后 3 位。会检查给定 IP 地址的前 32 位。会检查给定 IP 地址的前 29 位。会检查给定 IP 地址的后 3 位。窗体底端5窗体顶端标准访问控制列表应该放置在哪里？靠近源地址靠近目的地址在以太网端口上在串行端口上窗体底端6窗体顶端网络管理员需要允许从公司内部发起的会话流量通过防火墙路由器，同时拦截从公司外部发起的会话流量。最适合使用哪种 ACL？动态基于端口的自反基于时间的窗体底端7窗体顶端请参见图示。如果 ACL 110 应用于 R1 S0/0/0 入站方向，下列有关 ACL 110 的说法哪一项正确？如果 TCP 流量来自网络 /24，它会拒绝流量进入 Internet。它不会允许来自 Internet 的 TCP 流量进入 /24 网络。它会允许任何来自 Internet 的 TCP 流量进入 /24 网络。它将允许任何自 /24 网络发起的 TCP 流量从 S0/0/0 接口入站。窗体底端8窗体顶端下列有关标准 ACL 的说法中哪项正确？标准 ACL 只能编号，不能被命名。它们的放置位置应尽可能接近目的地。它们可以根据源地址与目的地址过滤，也可以根据源端口和目的端口过滤。当应用于出站接口时，传入的数据包将在路由至出站接口前被处理。窗体底端9窗体顶端接口 s0/0/0 的入站方向上已经应用了一个 IP ACL。 当管理员尝试再应用一个入站 IP ACL 时会发生什么情况？第二个 ACL 会取代第一个应用到该接口上。两个 ACL 都会应用到该接口上。网络管理员会收到错误消息。只有第一个 ACL 会保持应用到该接口上。窗体底端10窗体顶端请参见图示。ACL 120 已应用于路由器 R1 serial0/0/0 接口的入站流量，但网络 /24 上的主机可以 telnet 至网络 /16。根据已有配置，应采取什么措施才能修复此问题？将 ACL 应用于路由器 R1 serial0/0/0 接口的出站流量。将 ACL 应用于路由器 R1 FastEthernet0/0 接口的出站流量。在 ACL 第一行末尾加入关键字established。在 ACL 内添加一条语句，阻止自网络 /24 发出的 UDP 流量。窗体底端11窗体顶端请参见图示。按图中所示的配置，会产生怎样的效果？用户尝试访问网络 /24 的主机时会被要求 telnet 至 R3。与网络 /24 上的资源连接的主机空闲超时为 15 分钟。任何人尝试 telnet 至 R3 时，绝对超时设置均为 5 分钟。仅在 Serial 0/0/1 上允许 Telnet 访问 R3。窗体底端12窗体顶端请参见图示。此访问列表会如何处理源地址为 且目的地址为 3 的数据包？允许该数据包，因为 ACL 隐含 deny any 语句。丢弃该数据包，因为该数据包不符合该 ACL 中的任何项目。允许该数据包，因为该 ACL 的第 10 行允许数据包发往 /16。允许该数据包，因为该 ACL 的第 20 行允许数据包发往主机 3。窗体底端13窗体顶端下列关于 ACL 处理数据包的说法中哪三项正确？ （选择三项。）隐含的deny any会拒绝不符合任何 ACL 语句的所有数据包。数据包可能被拒绝，也可能被转发，这取决于与该数据包相匹配的语句。被一条语句拒绝的数据包可能被后续的语句允许。默认情况下会转发不符合任何 ACL 语句的数据包。会检查每条语句，直到检测到匹配的语句或到达 ACL 语句列表末尾为止。会将每个数据包与 ACL 中每条语句的条件相比较，然后才决定是否转发。窗体底端14窗体顶端扩展 ACL 与标准 ACL 相比有何优点？扩展 ACL 可命名，但标准 ACL 不能命名。扩展 ACL 可应用于入站或出站方向，而标准 ACL 不能。扩展 ACL 可根据负载内容过滤数据包，如包含在电子邮件或即时信息内的信息。扩展 ACL 不但可以过滤源地址，也可对目的地址、目的端口以及源端口进行过滤。窗体底端15窗体顶端请参见图示。当创建扩展 ACL 以拒绝从网络 发往 Web 服务器 0 的流量时，应用 ACL 的最佳位置是哪里？ISP Fa0/0 出站R2 S0/0/1 入站R3 Fa0/0 入站R3 S0/0/1 出站窗体底端16窗体顶端请参见图示。 Router1 会如何处理符合 EVERYOTHERDAY 的时间范围要求的流量？会允许来自网络 54/24 并发往网络 /24 的 TCP 流量进入 fa0/0 接口。会允许来自网络 54/24 并发往网络 /24 的 TCP 流量进入 fa0/0 接口。会允许来自网络 54/24 并发往网络 /24 的 Telnet 流量进入 fa0/0 接口。会允许来自网络 54/24 并发往网络 /24 的 Telnet 流量进入 fa0/0 接口。窗体底端17窗体顶端下列关于扩展 ACL 的说法中哪两项正确？ （选择两项。）扩展 ACL 使用 1-99 的编号范围。扩展 ACL 以隐含 permit 语句结尾。扩展 ACL 会检查源地址和目的地址。可通过添加对端口号的检查进一步定义 ACL。可将多个相同方向的 ACL 放置到同一个接口上。窗体底端18窗体顶端有关下列扩展 ACL 的说法中哪两项正确？ （选择两项。）access-list 101 deny tcp 55 any eq 20access-list 101 deny tcp 55 any eq 21access-list 101 permit ip any any拒绝从网络 /24 始发的所有 FTP 流量。会隐含拒绝所有流量。会拒绝发往网络 /24 的所有 FTP 流量。会拒绝从网络 /24 始发的所有 Telnet 流量。会允许从网络 始发的 Web 流量。窗体底端19窗体顶端请参见图示。管理员希望阻止来自 0 的 web 流量进入 0 上 web 服务的默认端口。为达到这个目的，管理员将命名的访问控制列表应用于路由器 R1 LAN 接口的入站流量。但经对列表进行测试后，管理员注意到 web 流量仍然可以到达目的地。这是什么原因？Web 流量未使用默认端口 80。该访问列表应用于不正确的方向。访问列表应放置在离目的地更近的 R3 处。第 10 行中指定的源地址范围未包括 0 的主机地址。窗体底端20窗体顶端请参见图示。管理员已在 R1 上配置两个访问列表。 串行接口的入站列表命名为Serial，LAN 接口的入站列表命名为LAN。这些访问控制列表将产生什么效果？PC1 将无法 telnet 至 R3 和 PC3。R3 将无法与 PC1 以及 PC3 通信。PC3 无法 telnet 至 R3，也无法与 PC1 通信。PC1 将无法 telnet 至 R3，PC3 将无法与 PC1 通信。窗体底端21窗体顶端下列关于命名 ACL 的说法，哪两项是正确的？（选择两项。）只有命名 ACL 才允许注释。名称可用于帮助标识 ACL 的功能。命名 ACL 可提供比编号 ACL 更多的具体过滤选项。某些复杂 ACL（例如自反 ACL）必须在命名 ACL 中定义。每个路由器接口的每个方向上可应用多个命名 IP ACL。窗体底端22窗体顶端ACL 可使用哪三种参数来过滤流量？ （选择三项。）数据包大小协议簇源地址目的地址源路由器接口目的路由器接口窗体底端23窗体顶端下列哪种功能要求使用命名 ACL，而非编号 ACL？根据指定协议过滤流量根据整个协议簇以及目的地址过滤流量确定流量时指定要使用的源地址和目的地址