原標題：CCNA第七章 訪問控制列表 練習

訪問控制列表

1

在哪一配置中，出站 ACL 位置優于入站 ACL 位置？

A. 將 ACL 應用至出站接口以在數據包退出接口前篩選來自多入站接口的數據包時

B. 路由器具有一個以上 ACL 時

C. 出站 ACL 接近流量源時

D.出站 ACL 篩選接口且連接至該接口的網絡為在 ACL 內篩選的源網絡時

答案

Option 1,在相同的 ACL 過濾規則將應用于來自多個入站接口的數據包時，應該利用出站 ACL，然后退出單個出站接口。出站 ACL 將應用于單個出站接口。

2

標準 ACL 命令語法中所需的地址是哪一個？

A. 源 MAC 地址

B. 目標 MAC 地址

C. 源 IP 地址

D. 目標 IP 地址

答案

Option 3 可以應用于標準 ACL 的唯一過濾器是源 IP 地址。擴展的 ACL 可以使用多個條件來過濾流量，例如源 IP 地址、目標 IP 地址、流量類型和消息類型。

3

下列哪項描述了入站 ACL 和出站 ACL 運作時存在的差異？

A. 與出站 ALC 相比，入站 ACL 可用于過濾具有多個標準的數據包

B. 入站 ACL 既可以在路由器中使用又可以在交換機中使用，但出站 ACL 只能在路由器中使用

C. 入站 ACL 要在路由數據包之前進行處理，而出站 ACL 在路由數據包完成之后處理

D.在網絡接口處，可以配置多個入站 ACL，但只可以配置一個出站 ACL

答案

Option 3 對于入站 ACL，傳入數據包在路由之前進行處理。對于出站 ACL，數據包首先被路由到出站接口，然后進行處理。因此從路由器的角度來說，處理入站更加有效。對于這兩種 ACL，結構、過濾方法和限制(一個接口只配置一個入站 ACL 和一個出站 ACL)都是相同的。

4

下列關于 ACL 處理數據包的說法中哪三項正確？(選擇三項。)

A. 隱式 deny any 會拒絕與所有 ACE 都不匹配的任何數據包

B. 數據包根據與其相匹配的 ACE 的指示，可能被拒絕，也可能被轉發

C. 被一個 ACE 拒絕的數據包可能被后續 ACE 允許

D.默認情況下會轉發不符合任何 ACE 條件的數據包

E. 檢查每條語句，直到檢測到匹配的語句或到達 ACE 列表結尾為止

F. 將每個數據包與 ACL 中每條 ACE 的條件相比較，然后才決定是否轉發

答案

Option 1, Option 2, and Option 5 數據包進入在接口上已配置 ACL 的路由器時，該路由器比較每個 ACE 的條件以確定是否已滿足定義的條件。如果滿足，路由器將執行 ACE 中定義的操作(允許數據包通過或者將其放棄)。如果未滿足定義的條件，路由器將繼續使用下一個 ACE。隱式 deny any 語句位于每個標準 ACL 的末尾。

5

匹配所有如下網絡的單個訪問列表語句是什么？

192.168.16.0

192.168.17.0

192.168.18.0

192.168.19.0

A. access-list 10 permit 192.168.16.0 0.0.3.255

B. access-list 10 permit 192.168.16.0 0.0.0.255

C. access-list 10 permit 192.168.16.0 0.0.15.255

D. access-list 10 permit 192.168.0.0 0.0.15.255

答案

Option 1 ACL 語句 access-list 10 permit 192.168.16.0 0.0.3.255 將匹配全部的四個網絡前綴。所有的四個前綴都具有相同的 22 個高位。這 22 個高位與網絡前綴和通配符掩碼 (192.168.16.0 0.0.3.255) 相匹配。

6

網絡管理員需要配置標準 ACL，使得只有 IP 地址為 192.168.15.23 的管理員工作站能夠訪問主要路由器的虛擬終端。哪兩個配置命令可以完成該任務？(請選擇兩項。)

A. Router1(config)#access-list 10 permit host 192.168.15.23

B. Router1(config)#access-list 10 permit 192.168.15.23 0.0.0.0

C. Router1(config)#access-list 10 permit 192.168.15.23 0.0.0.255

D. Router1(config)#access-list 10 permit 192.168.15.23 255.255.255.0

E. Router1(config)#access-list 10 permit 192.168.15.23 255.255.255.255

答案

Option 1 and Option 2 要允許或拒絕某個特定 IP 地址，可以使用通配符掩碼 0.0.0.0 (用在 IP 地址后面)或通配符掩碼關鍵字 host (用在 IP 地址前面)

7

如果路由器有兩個接口，并且路由 IPv4 和 IPv6 的流量，那么可以在其中創建并應用多少個 ACL？

A. 4

B. 6

C. 8

D. 12

答案

D. 要計算可以配置多少個 ACL，請使用“3P 原則”規則：每種協議一個 ACL，每個方向一個 ACL，每個接口一個 ACL。在這種情況下，2 個接口 x 2 種協議 x 2 個方向產生 8 個可能的 ACL。

8

通常認為下列哪三項是安置 ACL 的最佳做法？(請選擇三項。)

A. 將標準 ACL 安置在靠近流量源 IP 地址的位置。

B. 將擴展 ACL 安置在靠近流量目的 IP 地址的位置

C. 在不需要的流量通過低帶寬鏈路之前，將其過濾掉

D.將擴展 ACL 安置在靠近流量的源 IP 地址的位置

E. 將標準 ACL 安置在靠近流量的目的 IP 地址的位置

F. 對于每個安置在接口的入站 ACL，應該有一個與之匹配的出站 ACL

答案

Option 3, Option 4, and Option 5 應將擴展 ACL 安置在盡可能接近源 IP 地址的位置，從而使得需要過濾的流量不通過網絡并且不使用網絡資源。由于標準 ACL 不指定目的地址，因此應將他們安置在離目的地址盡可能近的位置。在源附近設置標準 ACL 可以過濾所有流量并限制到其他主機的服務。在進入低帶寬鏈路前過濾不需要的流量可以保留帶寬并支持網絡運行。將 ACL 安置在出站還是入站取決于需要滿足的條件。

9

請參見圖示。在標準 ACL 中，哪一命令將用于僅允許連接至 R2 G0/0 接口的網絡上設備訪問連接至 R1 的網絡？

A. access-list 1 permit 192.168.10.0 0.0.0.63

B. access-list 1 permit 192.168.10.96 0.0.0.31

C. access-list 1 permit 192.168.10.0 0.0.0.255

D. access-list 1 permit 192.168.10.128 0.0.0.63

答案

Option 2 標準訪問列表僅過濾源 IP 地址。在設計中，數據包將來自 192.168.10.96/27 網絡(R2 G0/0 網絡)。正確的 ACL 是 access-list 1 permit 192.168.10.96 0.0.0.31。

10

請參見圖示。如果網絡管理員創建僅用于連接至 R2 G0/0 網絡的設備訪問 R1 G0/1 接口上的設備，則應如何應用 ACL？

A. R2 G0/0 接口入站

B. R1 G0/1 接口出站

C. R1 G0/1 接口入站

D. R2 S0/0/1 接口出站

答案

Option 2 因為標準訪問列表僅過濾源 IP 地址，所以通常將其置于最接近目標網絡的位置。在此示例中，源數據包來自 R2 G0/0 網絡。目標是 R1 G0/1 網絡。正確的 ACL 放置是在 R1 G0/1 接口上的出站位置。

11

請參閱下面的輸出。 4 match(es) 語句的意義是什么？

R1#

10 permit 192.168.1.56 0.0.0.7

20 permit 192.168.1.64 0.0.0.63 (4 match(es))

30 deny any (8 match(es))

A. 已拒絕源自任何 IP 地址的四個數據包

B. 已拒絕前往 192.168.1.64 網絡的四個數據包

C. 已允許通過來自 192.168.1.64 網絡中 PC 的路由器的四個軟件包

D. 已允許通過路由器達到目標網絡 192.168.1.64/26 的四個軟件包

答案

Option 3. show access-lists 命令顯示多少個數據包已在具體"匹配項"數量方面滿足每個 ACE 的條件

12

在哪臺路由器上應執行 show access-lists 命令？

A. 在將 ACL 中引用的數據包路由至最終目標網絡的路由器上

B. 在從源網絡路由 ACL 中所引用之數據包的路由器上

C. 在 ACL 中所引用之數據包遍歷其中的任何路由器上

D. 在已配置 ACL 的路由器上

答案

Option 4 show access-lists 命令僅與通過已配置 ACL 的路由器的流量相關。

13

從指定 ACL 中刪除單個 ACE 的最快方法是什么

A. 使用 no 關鍵字和待刪除 ACE 序號

B. 使用 no access-list 命令刪除整個 ACL，然后重新創建無 ACE 的 ACL

C. 在 ACL 復制到文本編輯器中，刪除 ACE，然后將 ACL 再復制回路由器中

D.創建編號不同的新 ACL，并將該新的 ACL 應用至路由器接口

答案

Option 1可使用后接序號的 no 命令來移除指定的 ACL ACE。

14

管理員已在 R1 上配置一個訪問列表，允許從主機 172.16.1.100 進行 SSH 管理訪問。下列哪條命令可以正確地應用 ACL？

A. R1(config-if)#ip access-group 1 in

B. R1(config-if)#ip access-group 1 out

C. R1(config-line)#access-class 1 in

D. R1(config-line)#access-class 1 out

答案

Option 3 通過 SSH 管理訪問路由器是通過 vty 線路進行的。因此，必須將 ACL 應用到入站方向的這些行。這是通過進入線路配置模式并發出 access-class 命令來完成的。

15

access-class 命令可確保哪種路由器連接的安全？

A. vty

B. 控制臺

C. 串行

D. 以太網

答案

Option 1使用 ACL 來過濾對 vty 線路的訪問，并使用 access-class in 命令進行應用。

16

考慮通過 access-class in 命令應用至路由器的 ACL 的如下輸出。網絡管理員從所顯示的輸出能夠得出什么結論？

R1#

Standard IP access list 2

10 permit 192.168.10.0, wildcard bits 0.0.0.255 (2 matches)

20 deny any (1 match)

A. 連接至路由器的兩臺設備具有 192.168.10 IP 地址

B. 不允許一臺設備的流量進入路由器端口，并被出站路由至不同路由器端口

C. 兩臺設備均可能使用 SSH 或 Telnet 獲取路由器訪問權限

D.允許來自兩臺設備的流量進入某路由器端口，并被出站路由至不同路由器端口

答案

C. 僅在 VTY 端口上使用 access-class 命令。VTY 端口支持 Telnet 和/或 SSH 流量。此匹配允許 ACE 是指允許使用 VTY 端口進行多少次嘗試。匹配拒絕 ACE 顯示不允許 192.168.10.0 之外的網絡中的設備通過 VTY 端口訪問路由器。

17

請參見圖示。路由器擁有現有 ACL，允許來自 172.16.0.0 網絡的所有流量。管理員嘗試向 ACL 添加新 ACE，該 ACL 拒絕主機 172.16.0.1 的數據包并接收圖中所示的錯誤消息。管理員可以采取哪項措施來阻止主機 172.16.0.1 的數據包，同時仍允許 172.16.0.0 網絡中其他所有流量？

A. 手動添加序號為 5 的新拒絕 ACE

B. 手動添加序號為 15 的新拒絕 ACE

C. 創建拒絕主機的第二個訪問列表并將其應用到同一個接口

D. 向 access-list 1 添加 deny any any ACE

答案

Option 1因為新拒絕 ACE 是屬于允許的現有 172.16.0.0 網絡的主機地址，所以路由器拒絕該命令并顯示一條錯誤消息。為了讓新拒絕 ACE 生效，管理員必須使用小于 10 的序號對其進行手動配置。

18

請參見圖示。在 R1 上配置 ACL，拒絕流量從子網 172.16.4.0/24 進入子網 172.16.3.0/24。應允許所有其他流量進入子網 172.16.3.0/24。然后，將該標準 ACL 應用至接口 Fa0/0 出站。從該配置可以得出哪一結論？

A. 僅阻止來自子網 172.16.4.0/24 的流量，允許所有其他流量

B.在該情況下必須使用擴展 ACL

C.為符合要求，應將 ACL 應用中 R1 FastEthernet 0/0 接口入站

D.應阻止所有流量，而不僅僅是來自 172.16.4.0/24 子網的流量

答案

Option 4由于所有 ACL 末尾的隱式拒絕，必須包含 access-list 1 permit any 命令以確保僅阻止來自 172.16.4.0/24 的流量而允許其他所有流量。

19

請參見圖示。若在實施任何命令前重啟路由器，則訪問列表 10 ACE 會發生什么情況？

A. 訪問列表 10 ACE 將被刪除

B.訪問列表 10 ACE 不受影響

C.訪問列表 10 ACE 將被重新編號

D.訪問列表 10 ACE 通配符掩碼將被轉換為子網掩碼

答案

C. 重新啟動后，訪問列表條目將被重新編號，以讓主機聲明能夠列于首位，從而為思科 IOS 更有效地處理。

20

僅使用拒絕流量的 ACE 配置 ACL 有何影響？

A.ACL 將允許未明確拒絕的任何流量

B.ACL 將阻止所有流量

C.ACL 必須僅應用于入站方向

D.ACL 必須僅應用于出站方向

答案

Option 2.因為在每個標準 ACL 末尾有一個 deny any ACE，所以具有所有拒絕語句的效果是無論應用 ACL 的方向如何，都將拒絕所有流量。

21

思科 IOS 通常將哪種類型的 ACL 語句重新排序為第一 ACE？

A. 主機

B. 范圍

C. permit any

D. 最低序號

答案

Option 1. ACE 通常從網絡管理員輸入的方式開始進行重新排序。將具有主機條件(例如在 permit host 192.168.10.5 語句中)的 ACE 重新排序為第一語句，因為它們是最具體的(具有必須匹配的大多數的位)。

22

網絡管理員配置 ACL 限制對數據中心中某些服務器的訪問。目的是將 ACL 應用至與數據中心局域網連接的接口。若 ACL 未被正確應用至入站方向而不是出站方向的接口，則會發生什么？

A. 會拒絕所有流量

B. 會允許所有流量

C. 未按設計執行 ACL

D. 將 ACL 路由至出站接口后，ACL 將分析流量

答案

Option 3始終測試 ACL 以確保其按設計執行。應用使用 ip access-group in 命令(而不是使用 ip access-group out 命令)來應用的 ACL 不會按設計運行。

23

網絡管理員何時會使用 clear access-list counters 命令？

A. 獲取基準時

B. 沖內存不足時

C. 從 ACL 刪除 ACE 時

D. 對 ACL 進行故障排除并需知悉匹配的數據包量時

答案

D. clear access-list counters 命令用于重置關于 ACE 匹配條件的所有編號(已在特定 ACE 內進行這些編號)。在對最近部署的 ACL 進行故障排除時，該命令很有用。

24

將每個語句與它所描述的示例子網及通配符進行匹配。(并非全部選項都要用到)。

答案

將通配符掩碼 0.0.3.255 轉換為二進制，并從 255.255.255.255 中減去它，將會生成子網掩碼 255.255.252.0。
要在通配符掩碼中使用 host 參數，所有位必須與給定的地址相匹配。
192.168.15.65 是子網中從子網地址 192.168.15.64 開始的第一個有效的主機地址。子網掩碼包含 4 個主機位，產生的子網有 16 個地址。
192.168.15.144 是相似子網中的一個有效子網地址。將通配符掩碼 0.0.0.15 轉換為二進制，并從 255.255.255.255 中減去它，產生的子網掩碼是 255.255.255.240。
192.168.3.64 是擁有 8 個網址的子網中的一個子網地址。將 0.0.0.7 轉換為二進制，并從 255.255.255.255 中減去它，產生的子網掩碼是 255.255.255.248。掩碼包含 3 個主機位，可以生成 8 個地址。

25

在將 ACL 應用到路由器接口的過程中，哪個流量將被指定為出站流量？

A. 從源 IP 地址到路由器的流量

B.離開路由器、流向目的主機的流量

C.從目的 IP 地址到路由器的流量

D. 路由器找不到路由表條目的流量

答案

B. 入站和出站從路由器的角度進行說明。當來自源的流量進入路由器接口時，入站 ACL 中指定的流量將被拒絕或允許。當從該接口傳出到目標時，出站 ACL 中指定的流量將被拒絕或允許。

26

根據特定定義標準允許或拒絕通過路由器的流量。

答案

ACL

27

哪一命令產生以下輸出？

R1#

10 permit 192.168.1.56 0.0.0.7

20 permit 192.168.1.64 0.0.0.63 (4 match(es))

30 deny any (8 match(es))

A. no access-list 1

B.show access-lists

C.show running-config | section access-list

D.clear access-list counters

答案

B. show access-lists 用于列出在路由器上配置的各訪問列表。此外，還顯示匹配各 ACE 的數據包數量。

28

網絡管理員正在配置標準 IPv4 ACL。輸入 no access-list 10 命令后，會有什么效果？

A. ACL 10 將在 Fa0/1 上禁用

B. ACL 10 將從運行配置中移除

C. R1 重新啟動后，ACL 10 將被禁用和刪除

D. ACL 10 將從運行配置和接口 Fa0/1 中移除

答案

B.R1(config)# no access-list 訪問列表編號> 命令會從運行配置中立即刪除 ACL。但是要禁用接口的 ACL，應輸入 R1(config-if)# no ip access-group 命令。

29

哪個范圍代表在 ACE 中使用擁有通配符掩碼 0.0.7.255 的網絡 10.120.160.0 時受影響的所有 IP 地址？

A. 10.120.160.0 到 10.127.255.255

B. 10.120.160.0 到 10.120.167.255

C. 10.120.160.0 到 10.120.168.0

D. 10.120.160.0 到 10.120.191.255

答案

B.通配符掩碼 0.0.7.255 意味著第 3 組二進制八位數的前 5 位都必須保持不變，但最后 3 位可以是從 000 到 111 的值。最后一組二進制八位數的值為 255，表示最后一組二進制八位數可以是全 0 和全 1 的值。

30

請參見圖示。網絡管理員希望創建標準 ACL，阻止網絡 1 的流量傳輸到研發網絡。該標準 ACL 應該在哪個路由器接口和哪個方向上應用？

A. R1 Gi0/0 入站

B. R1 Gi0/0 出站

C. R2 Gi0/0 出站

D. R2 Gi0/0 入站

答案

C.標準 ACL 只能指定源地址，因此標準 ACL 將包含網絡 1 地址和相應的通配符掩碼。此外，由于標準 ACL 只能包含源地址，ACL 應盡量靠近目標位置。目標是研發 LAN。R2 Gi0/0 接口即該目標。通過跟蹤數據包從網絡 1 開始并傳輸到研發網絡所用的路徑，學生可以確定數據包是從 R2 Gi0/0 接口發出的。

31

在生產路由器上最易修改的是哪種類型的標準 ACL？

A. 應用于入站方向的編號 ACL

B. 尚未應用的編號 ACL

C. 已利用 access-class 命令加以應用的指定 ACL

D. 尚未應用的指定 ACL

答案

D. 具有指定 ACL 的兩大常見原因是其功能更易確定，且 ACL 更易修改

32

訪問控制列表的兩大用途是什么？(選擇兩項。)

A. ACL 可以幫助路由器確定到目的地的最佳路徑

B. 標準 ACL 可限制對特定應用程序和端口的訪問

C. ACL 提供基本的網絡安全性

D. ACL 可以根據路由器上的始發 MAC 地址來允許或拒絕流量

E. ACL 可以控制主機能夠訪問網絡中的哪些區域

答案

C,E.

ACL 可用于以下各項：

限制網絡流量以便提供足夠的網絡性能

限制路由更新的提供

提供基本安全水平

根據發送的流量類型過濾流量

根據 IP 編址過濾流量

33

哪種情況會導致 ACL 配置錯誤和拒絕所有流量？

A. 將標準 ACL 應用于入站方向

B. 將指定的 ACL 應用于 VTY 線路

C. 應用具有所有拒絕 ACE 語句的 ACL

D. 使用 ip access-group out 命令應用標準 ACL

答案

C.含 deny 語句的各 ACE 拒絕所有流量，因為在每個標準 ACE 的終端均存在 deny any 命令

34

哪兩個命令將配置標準 ACL？(選擇兩項。)

A. Router(config)# access-list 20 permit host 192.168.5.5 any any

B. Router(config)# access-list 90 permit 192.168.10.5 0.0.0.0

C. Router(config)# access-list 45 permit 192.168.200.4 host

D. Router(config)# access-list 10 permit 10.20.5.0 0.255.255.255 any

E. Router(config)# access-list 35 permit host 172.31.22.7

答案

B、E. 標準訪問列表具有 access-list 語法和 1~99 之間的一個編號，繼而是 permit 或 deny 關鍵字和源 IP 地址(包括通配符掩碼)。

35

網絡管理員正在編寫一個標準 ACL，以拒絕來自網絡 172.16.0.0/16 的任何流量但允許其它所有流量。應該使用哪兩條命令？(選擇兩項。)

A. Router(config)# access-list 95 deny any

B. Router(config)# access-list 95 deny 172.16.0.0 0.0.255.255

C. Router(config)# access-list 95 deny 172.16.0.0 255.255.0.0

D.Router(config)# access-list 95 permit any

E. Router(config)# access-list 95 172.16.0.0 255.255.255.255

答案

B,D.要拒絕來自 172.16.0.0/16 網絡的流量，請使用 access-list 95 deny 172.16.0.0 0.0.255.255 命令。要允許所有其他流量，請添加 access-list 95 permit any 語句。返回搜狐，查看更多

責任編輯：

總結

以上是生活随笔為你收集整理的思科计算机第七章答案,CCNA第七章 访问控制列表 练习的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。