第9章考试练习题

19.

permit tcp any host 2001:DB8:10:10::100 eq 25 permit tcp host 2001:DB8:10:10::100 any eq 23 permit tcp host 2001:DB8:10:10::100 any eq 25 permit tcp any host 2001:DB8:10:10::100 eq 23

请参见图示。IP 地址为 10.0.70.23/25 的网络管理员需要有访问公司 FTP 服务器 (10.0.54.5/28) 的权限。FTP 服务器也是一个允许 10.x.x.x 地址内各网络上所有内部员工访问的 Web 服务器。不允许其他任何流量进入此服务器。应使用哪个扩展 ACL 过滤此流量？如何应用此 ACL？（请选择两项。） R2(config)# interface gi0/0

R2(config-if)# ip access-group 105 in access-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 20 access-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 21

access-list 105 permit tcp 10.0.0.0 0.255.255.255 host 10.0.54.5 eq www access-list 105 deny ip any host 10.0.54.5 access-list 105 permit ip any any access-list 105 permit tcp host 10.0.54.5 any eq www access-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 20 access-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 21 R1(config)# interface gi0/0

R1(config-if)# ip access-group 105 out R1(config)# interface s0/0/0

R1(config-if)# ip access-group 105 out access-list 105 permit ip host 10.0.70.23 host 10.0.54.5 access-list 105 permit tcp any host 10.0.54.5 eq www access-list 105 permit ip any any

20.通常认为下列哪三项是安置 ACL 的最佳做法？（请选择三项。） 在不需要的流量通过低带宽链路之前，将其过滤掉。

将扩展 ACL 安置在靠近流量目的 IP 地址的位置。 对于每个安置在接口的入站 ACL，应该有一个与之匹配的出站 ACL。 将标准 ACL 安置在靠近流量源 IP 地址的位置。 将扩展 ACL 安置在靠近流量的源 IP 地址的位置。 将标准 ACL 安置在靠近流量的目的 IP 地址的位置。

21.管理员已在 R1 上配置一个访问列表，允许从主机 172.16.1.100 进行 SSH 管理访问。下列哪条命令可以正确地应用 ACL？ R1(config-if)# ip access-group 1 out R1(config-if)# ip access-group 1 in R1(config-line)# access-class 1 out R1(config-line)# access-class 1 in