摘要：Option 4由于所有 ACL 末尾的隐式拒绝，必须包含 access-list 1 permit any 命令以确保仅阻止来自 172.16.4.0/24 的流量而允许其他所有流量。B.R1(config)# no access-list 访问列表编号> 命令会从运行配置中立即删除 ACL。

访问控制列表

1

在哪一配置中，出站 ACL 位置优于入站 ACL 位置？

A. 将 ACL 应用至出站接口以在数据包退出接口前筛选来自多入站接口的数据包时

B. 路由器具有一个以上 ACL 时

C. 出站 ACL 接近流量源时

D. 出站 ACL 筛选接口且连接至该接口的网络为在 ACL 内筛选的源网络时

答案

Option 1,在相同的 ACL 过滤规则将应用于来自多个入站接口的数据包时，应该利用出站 ACL，然后退出单个出站接口。出站 ACL 将应用于单个出站接口。

2

标准 ACL 命令语法中所需的地址是哪一个？

A. 源 MAC 地址

B. 目标 MAC 地址

C. 源 IP 地址

D. 目标 IP 地址

答案

Option 3 可以应用于标准 ACL 的唯一过滤器是源 IP 地址。扩展的 ACL 可以使用多个条件来过滤流量，例如源 IP 地址、目标 IP 地址、流量类型和消息类型。

3

下列哪项描述了入站 ACL 和出站 ACL 运作时存在的差异？

A. 与出站 ALC 相比，入站 ACL 可用于过滤具有多个标准的数据包

B. 入站 ACL 既可以在路由器中使用又可以在交换机中使用，但出站 ACL 只能在路由器中使用

C. 入站 ACL 要在路由数据包之前进行处理，而出站 ACL 在路由数据包完成之后处理

D. 在网络接口处，可以配置多个入站 ACL，但只可以配置一个出站 ACL

答案

Option 3 对于入站 ACL，传入数据包在路由之前进行处理。对于出站 ACL，数据包首先被路由到出站接口，然后进行处理。因此从路由器的角度来说，处理入站更加有效。对于这两种 ACL，结构、过滤方法和限制（一个接口只配置一个入站 ACL 和一个出站 ACL）都是相同的。

4

下列关于 ACL 处理数据包的说法中哪三项正确？（选择三项。）

A. 隐式 deny any 会拒绝与所有 ACE 都不匹配的任何数据包

B. 数据包根据与其相匹配的 ACE 的指示，可能被拒绝，也可能被转发

C. 被一个 ACE 拒绝的数据包可能被后续 ACE 允许

D.默认情况下会转发不符合任何 ACE 条件的数据包

E. 检查每条语句，直到检测到匹配的语句或到达 ACE 列表结尾为止

F. 将每个数据包与 ACL 中每条 ACE 的条件相比较，然后才决定是否转发

答案

Option 1, Option 2, and Option 5 数据包进入在接口上已配置 ACL 的路由器时，该路由器比较每个 ACE 的条件以确定是否已满足定义的条件。如果满足，路由器将执行 ACE 中定义的操作（允许数据包通过或者将其放弃）。如果未满足定义的条件，路由器将继续使用下一个 ACE。隐式 deny any 语句位于每个标准 ACL 的末尾。

5

匹配所有如下网络的单个访问列表语句是什么？

192.168.16.0

192.168.17.0

192.168.18.0

192.168.19.0

A. access-list 10 permit 192.168.16.0 0.0.3.255

B. access-list 10 permit 192.168.16.0 0.0.0.255

C. access-list 10 permit 192.168.16.0 0.0.15.255

D. access-list 10 permit 192.168.0.0 0.0.15.255

答案

Option 1 ACL 语句 access-list 10 permit 192.168.16.0 0.0.3.255 将匹配全部的四个网络前缀。所有的四个前缀都具有相同的 22 个高位。这 22 个高位与网络前缀和通配符掩码 (192.168.16.0 0.0.3.255) 相匹配。

6

网络管理员需要配置标准 ACL，使得只有 IP 地址为 192.168.15.23 的管理员工作站能够访问主要路由器的虚拟终端。哪两个配置命令可以完成该任务？（请选择两项。）

A. Router1(config)#access-list 10 permit host 192.168.15.23

B. Router1(config)#access-list 10 permit 192.168.15.23 0.0.0.0

C. Router1(config)#access-list 10 permit 192.168.15.23 0.0.0.255

D. Router1(config)#access-list 10 permit 192.168.15.23 255.255.255.0

E. Router1(config)#access-list 10 permit 192.168.15.23 255.255.255.255

答案

Option 1 and Option 2 要允许或拒绝某个特定 IP 地址，可以使用通配符掩码 0.0.0.0 （用在 IP 地址后面）或通配符掩码关键字 host （用在 IP 地址前面）

7

如果路由器有两个接口，并且路由 IPv4 和 IPv6 的流量，那么可以在其中创建并应用多少个 ACL？

A. 4

B. 6

C. 8

D. 12

答案

D. 要计算可以配置多少个 ACL，请使用“3P 原则”规则：每种协议一个 ACL，每个方向一个 ACL，每个接口一个 ACL。在这种情况下，2 个接口 x 2 种协议 x 2 个方向产生 8 个可能的 ACL。

8

通常认为下列哪三项是安置 ACL 的最佳做法？（请选择三项。）

A. 将标准 ACL 安置在靠近流量源 IP 地址的位置。

B. 将扩展 ACL 安置在靠近流量目的 IP 地址的位置

C. 在不需要的流量通过低带宽链路之前，将其过滤掉

D.将扩展 ACL 安置在靠近流量的源 IP 地址的位置

E. 将标准 ACL 安置在靠近流量的目的 IP 地址的位置

F. 对于每个安置在接口的入站 ACL，应该有一个与之匹配的出站 ACL

答案

Option 3, Option 4, and Option 5 应将扩展 ACL 安置在尽可能接近源 IP 地址的位置，从而使得需要过滤的流量不通过网络并且不使用网络资源。由于标准 ACL 不指定目的地址，因此应将他们安置在离目的地址尽可能近的位置。在源附近设置标准 ACL 可以过滤所有流量并限制到其他主机的服务。在进入低带宽链路前过滤不需要的流量可以保留带宽并支持网络运行。将 ACL 安置在出站还是入站取决于需要满足的条件。

9

请参见图示。在标准 ACL 中，哪一命令将用于仅允许连接至 R2 G0/0 接口的网络上设备访问连接至 R1 的网络？

A. access-list 1 permit 192.168.10.0 0.0.0.63

B. access-list 1 permit 192.168.10.96 0.0.0.31

C. access-list 1 permit 192.168.10.0 0.0.0.255

D. access-list 1 permit 192.168.10.128 0.0.0.63

答案

Option 2 标准访问列表仅过滤源 IP 地址。在设计中，数据包将来自 192.168.10.96/27 网络（R2 G0/0 网络）。正确的 ACL 是 access-list 1 permit 192.168.10.96 0.0.0.31。

10

请参见图示。如果网络管理员创建仅用于连接至 R2 G0/0 网络的设备访问 R1 G0/1 接口上的设备，则应如何应用 ACL？

A. R2 G0/0 接口入站

B. R1 G0/1 接口出站

C. R1 G0/1 接口入站

D. R2 S0/0/1 接口出站

答案

Option 2 因为标准访问列表仅过滤源 IP 地址，所以通常将其置于最接近目标网络的位置。在此示例中，源数据包来自 R2 G0/0 网络。目标是 R1 G0/1 网络。正确的 ACL 放置是在 R1 G0/1 接口上的出站位置。

11

请参阅下面的输出。 4 match(es) 语句的意义是什么？

R1# <省略部分输出>

10 permit 192.168.1.56 0.0.0.7

20 permit 192.168.1.64 0.0.0.63 (4 match(es))

30 deny any (8 match(es))

A. 已拒绝源自任何 IP 地址的四个数据包

B. 已拒绝前往 192.168.1.64 网络的四个数据包

C. 已允许通过来自 192.168.1.64 网络中 PC 的路由器的四个软件包

D. 已允许通过路由器达到目标网络 192.168.1.64/26 的四个软件包

答案

Option 3. show access-lists 命令显示多少个数据包已在具体"匹配项"数量方面满足每个 ACE 的条件

12

在哪台路由器上应执行 show access-lists 命令？

A. 在将 ACL 中引用的数据包路由至最终目标网络的路由器上

B. 在从源网络路由 ACL 中所引用之数据包的路由器上

C. 在 ACL 中所引用之数据包遍历其中的任何路由器上

D. 在已配置 ACL 的路由器上

答案

Option 4 show access-lists 命令仅与通过已配置 ACL 的路由器的流量相关。

13

从指定 ACL 中删除单个 ACE 的最快方法是什么

A. 使用 no 关键字和待删除 ACE 序号

B. 使用 no access-list 命令删除整个 ACL，然后重新创建无 ACE 的 ACL

C. 在 ACL 复制到文本编辑器中，删除 ACE，然后将 ACL 再复制回路由器中

D.创建编号不同的新 ACL，并将该新的 ACL 应用至路由器接口

答案

Option 1可使用后接序号的 no 命令来移除指定的 ACL ACE。

14

管理员已在 R1 上配置一个访问列表，允许从主机 172.16.1.100 进行 SSH 管理访问。下列哪条命令可以正确地应用 ACL？

A. R1(config-if)#ip access-group 1 in

B. R1(config-if)#ip access-group 1 out

C. R1(config-line)#access-class 1 in

D. R1(config-line)#access-class 1 out

答案

Option 3 通过 SSH 管理访问路由器是通过 vty 线路进行的。因此，必须将 ACL 应用到入站方向的这些行。这是通过进入线路配置模式并发出 access-class 命令来完成的。

15

access-class 命令可确保哪种路由器连接的安全？

A. vty

B. 控制台

C. 串行

D. 以太网

答案

Option 1使用 ACL 来过滤对 vty 线路的访问，并使用 access-class in 命令进行应用。

16

考虑通过 access-class in 命令应用至路由器的 ACL 的如下输出。网络管理员从所显示的输出能够得出什么结论？

R1#<省略部分输出>

Standard IP access list 2

10 permit 192.168.10.0, wildcard bits 0.0.0.255 (2 matches)

20 deny any (1 match)

A. 连接至路由器的两台设备具有 192.168.10 IP 地址

B. 不允许一台设备的流量进入路由器端口，并被出站路由至不同路由器端口

C. 两台设备均可能使用 SSH 或 Telnet 获取路由器访问权限

D.允许来自两台设备的流量进入某路由器端口，并被出站路由至不同路由器端口

答案

C. 仅在 VTY 端口上使用 access-class 命令。VTY 端口支持 Telnet 和/或 SSH 流量。此匹配允许 ACE 是指允许使用 VTY 端口进行多少次尝试。匹配拒绝 ACE 显示不允许 192.168.10.0 之外的网络中的设备通过 VTY 端口访问路由器。

17

请参见图示。路由器拥有现有 ACL，允许来自 172.16.0.0 网络的所有流量。管理员尝试向 ACL 添加新 ACE，该 ACL 拒绝主机 172.16.0.1 的数据包并接收图中所示的错误消息。管理员可以采取哪项措施来阻止主机 172.16.0.1 的数据包，同时仍允许 172.16.0.0 网络中其他所有流量？

A. 手动添加序号为 5 的新拒绝 ACE

B. 手动添加序号为 15 的新拒绝 ACE

C. 创建拒绝主机的第二个访问列表并将其应用到同一个接口

D. 向 access-list 1 添加 deny any any ACE

答案

Option 1因为新拒绝 ACE 是属于允许的现有 172.16.0.0 网络的主机地址，所以路由器拒绝该命令并显示一条错误消息。为了让新拒绝 ACE 生效，管理员必须使用小于 10 的序号对其进行手动配置。

18

请参见图示。在 R1 上配置 ACL，拒绝流量从子网 172.16.4.0/24 进入子网 172.16.3.0/24。应允许所有其他流量进入子网 172.16.3.0/24。然后，将该标准 ACL 应用至接口 Fa0/0 出站。从该配置可以得出哪一结论？

A. 仅阻止来自子网 172.16.4.0/24 的流量，允许所有其他流量

B. 在该情况下必须使用扩展 ACL

C. 为符合要求，应将 ACL 应用中 R1 FastEthernet 0/0 接口入站

D. 应阻止所有流量，而不仅仅是来自 172.16.4.0/24 子网的流量

答案

Option 4由于所有 ACL 末尾的隐式拒绝，必须包含 access-list 1 permit any 命令以确保仅阻止来自 172.16.4.0/24 的流量而允许其他所有流量。

19

请参见图示。若在实施任何命令前重启路由器，则访问列表 10 ACE 会发生什么情况？

A. 访问列表 10 ACE 将被删除

B. 访问列表 10 ACE 不受影响

C. 访问列表 10 ACE 将被重新编号

D. 访问列表 10 ACE 通配符掩码将被转换为子网掩码

答案

C. 重新启动后，访问列表条目将被重新编号，以让主机声明能够列于首位，从而为思科 IOS 更有效地处理。

20

仅使用拒绝流量的 ACE 配置 ACL 有何影响？

A. ACL 将允许未明确拒绝的任何流量

B.ACL 将阻止所有流量

C. ACL 必须仅应用于入站方向

D. ACL 必须仅应用于出站方向

答案

Option 2.因为在每个标准 ACL 末尾有一个 deny any ACE，所以具有所有拒绝语句的效果是无论应用 ACL 的方向如何，都将拒绝所有流量。

21

思科 IOS 通常将哪种类型的 ACL 语句重新排序为第一 ACE？

A. 主机

B. 范围

C. permit any

D. 最低序号

答案

Option 1. ACE 通常从网络管理员输入的方式开始进行重新排序。将具有主机条件（例如在 permit host 192.168.10.5 语句中）的 ACE 重新排序为第一语句，因为它们是最具体的（具有必须匹配的大多数的位）。

22

网络管理员配置 ACL 限制对数据中心中某些服务器的访问。目的是将 ACL 应用至与数据中心局域网连接的接口。若 ACL 未被正确应用至入站方向而不是出站方向的接口，则会发生什么？

A. 会拒绝所有流量

B. 会允许所有流量

C. 未按设计执行 ACL

D. 将 ACL 路由至出站接口后，ACL 将分析流量

答案

Option 3始终测试 ACL 以确保其按设计执行。应用使用 ip access-group in 命令（而不是使用 ip access-group out 命令）来应用的 ACL 不会按设计运行。

23

网络管理员何时会使用 clear access-list counters 命令？

A. 获取基准时

B. 冲内存不足时

C. 从 ACL 删除 ACE 时

D. 对 ACL 进行故障排除并需知悉匹配的数据包量时

答案

D. clear access-list counters 命令用于重置关于 ACE 匹配条件的所有编号（已在特定 ACE 内进行这些编号）。在对最近部署的 ACL 进行故障排除时，该命令很有用。

24

将每个语句与它所描述的示例子网及通配符进行匹配。（并非全部选项都要用到）。

答案

将通配符掩码 0.0.3.255 转换为二进制，并从 255.255.255.255 中减去它，将会生成子网掩码 255.255.252.0。<br />要在通配符掩码中使用 <b>host </b>参数，所有位必须与给定的地址相匹配。<br />192.168.15.65 是子网中从子网地址 192.168.15.64 开始的第一个有效的主机地址。子网掩码包含 4 个主机位，产生的子网有 16 个地址。<br />192.168.15.144 是相似子网中的一个有效子网地址。将通配符掩码 0.0.0.15 转换为二进制，并从 255.255.255.255 中减去它，产生的子网掩码是 255.255.255.240。<br />192.168.3.64 是拥有 8 个网址的子网中的一个子网地址。将 0.0.0.7 转换为二进制，并从 255.255.255.255 中减去它，产生的子网掩码是 255.255.255.248。掩码包含 3 个主机位，可以生成 8 个地址。

25

在将 ACL 应用到路由器接口的过程中，哪个流量将被指定为出站流量？

A. 从源 IP 地址到路由器的流量

B. 离开路由器、流向目的主机的流量

C. 从目的 IP 地址到路由器的流量

D. 路由器找不到路由表条目的流量

答案

B. 入站和出站从路由器的角度进行说明。当来自源的流量进入路由器接口时，入站 ACL 中指定的流量将被拒绝或允许。当从该接口传出到目标时，出站 ACL 中指定的流量将被拒绝或允许。

26

根据特定定义标准允许或拒绝通过路由器的流量。

答案

ACL

27

哪一命令产生以下输出？

R1#

10 permit 192.168.1.56 0.0.0.7

20 permit 192.168.1.64 0.0.0.63 (4 match(es))

30 deny any (8 match(es))

A. no access-list 1

B. show access-lists

C. show running-config | section access-list

D. clear access-list counters

答案

B. show access-lists 用于列出在路由器上配置的各访问列表。此外，还显示匹配各 ACE 的数据包数量。

28

网络管理员正在配置标准 IPv4 ACL。输入 no access-list 10 命令后，会有什么效果？

A. ACL 10 将在 Fa0/1 上禁用

B. ACL 10 将从运行配置中移除

C. R1 重新启动后，ACL 10 将被禁用和删除

D. ACL 10 将从运行配置和接口 Fa0/1 中移除

答案

B.R1(config)# no access-list 访问列表编号> 命令会从运行配置中立即删除 ACL。但是要禁用接口的 ACL，应输入 R1(config-if)# no ip access-group 命令。

29

哪个范围代表在 ACE 中使用拥有通配符掩码 0.0.7.255 的网络 10.120.160.0 时受影响的所有 IP 地址？

A. 10.120.160.0 到 10.127.255.255

B. 10.120.160.0 到 10.120.167.255

C. 10.120.160.0 到 10.120.168.0

D. 10.120.160.0 到 10.120.191.255

答案

B.通配符掩码 0.0.7.255 意味着第 3 组二进制八位数的前 5 位都必须保持不变，但最后 3 位可以是从 000 到 111 的值。最后一组二进制八位数的值为 255，表示最后一组二进制八位数可以是全 0 和全 1 的值。

30

请参见图示。网络管理员希望创建标准 ACL，阻止网络 1 的流量传输到研发网络。该标准 ACL 应该在哪个路由器接口和哪个方向上应用？

A. R1 Gi0/0 入站

B. R1 Gi0/0 出站

C. R2 Gi0/0 出站

D. R2 Gi0/0 入站

答案

C.标准 ACL 只能指定源地址，因此标准 ACL 将包含网络 1 地址和相应的通配符掩码。此外，由于标准 ACL 只能包含源地址，ACL 应尽量靠近目标位置。目标是研发 LAN。R2 Gi0/0 接口即该目标。通过跟踪数据包从网络 1 开始并传输到研发网络所用的路径，学生可以确定数据包是从 R2 Gi0/0 接口发出的。

31

在生产路由器上最易修改的是哪种类型的标准 ACL？

A. 应用于入站方向的编号 ACL

B. 尚未应用的编号 ACL

C. 已利用 access-class 命令加以应用的指定 ACL

D. 尚未应用的指定 ACL

答案

D. 具有指定 ACL 的两大常见原因是其功能更易确定，且 ACL 更易修改

32

访问控制列表的两大用途是什么？（选择两项。）

A. ACL 可以帮助路由器确定到目的地的最佳路径

B. 标准 ACL 可限制对特定应用程序和端口的访问

C. ACL 提供基本的网络安全性

D. ACL 可以根据路由器上的始发 MAC 地址来允许或拒绝流量

E. ACL 可以控制主机能够访问网络中的哪些区域

答案

C,E.

ACL 可用于以下各项：

限制网络流量以便提供足够的网络性能

限制路由更新的提供

提供基本安全水平

根据发送的流量类型过滤流量

根据 IP 编址过滤流量

33

哪种情况会导致 ACL 配置错误和拒绝所有流量？

A. 将标准 ACL 应用于入站方向

B. 将指定的 ACL 应用于 VTY 线路

C. 应用具有所有拒绝 ACE 语句的 ACL

D. 使用 ip access-group out 命令应用标准 ACL

答案

C.含 deny 语句的各 ACE 拒绝所有流量，因为在每个标准 ACE 的终端均存在 deny any 命令

34

哪两个命令将配置标准 ACL？（选择两项。）

A. Router(config)# access-list 20 permit host 192.168.5.5 any any

B. Router(config)# access-list 90 permit 192.168.10.5 0.0.0.0

C. Router(config)# access-list 45 permit 192.168.200.4 host

D. Router(config)# access-list 10 permit 10.20.5.0 0.255.255.255 any

E. Router(config)# access-list 35 permit host 172.31.22.7

答案

B、E. 标准访问列表具有 access-list 语法和 1~99 之间的一个编号，继而是 permit 或 deny 关键字和源 IP 地址（包括通配符掩码）。

35

网络管理员正在编写一个标准 ACL，以拒绝来自网络 172.16.0.0/16 的任何流量但允许其它所有流量。应该使用哪两条命令？（选择两项。）

A. Router(config)# access-list 95 deny any

B. Router(config)# access-list 95 deny 172.16.0.0 0.0.255.255

C. Router(config)# access-list 95 deny 172.16.0.0 255.255.0.0

D. Router(config)# access-list 95 permit any

E. Router(config)# access-list 95 172.16.0.0 255.255.255.255

答案

B,D.要拒绝来自 172.16.0.0/16 网络的流量，请使用 access-list 95 deny 172.16.0.0 0.0.255.255 命令。要允许所有其他流量，请添加 access-list 95 permit any 语句。