niusouti.com
单选题配置ACL规则时,如果我们想把192.168.0.0/24网段设置为ACL规则的匹配对象,匹配操作为拒绝,则以下配置正确的是()。A rule 0 deny source 192.168.0.0255.255.255.0B rule 2 deny source 192.168.0.00.0.0.255C rule 3 deny source 192.168.0.024D rule 4 deny source 192.168.0.00.0.255.255
题目
rule 0 deny source 192.168.0.0255.255.255.0
rule 2 deny source 192.168.0.00.0.0.255
rule 3 deny source 192.168.0.024
rule 4 deny source 192.168.0.00.0.255.255
相似考题
更多“单选题配置ACL规则时,如果我们想把192.168.0.0/24网段设置为ACL规则的匹配对象,匹配操作为拒绝,则以下配置正确的是()。A rule 0 deny source 192.168.0.0255.255.255.0B rule 2 deny source 192.168.0.00.0.0.255C rule 3 deny source 192.168.0.024D rule 4 deny source 192.168.0.00.0.255.255”相关问题
-
第1题:
【说明】某公司网络拓扑结构如图 3-1 所示。
【问题1】(3分,每空1分)如图3-1所示,防火墙的接口①~③分别是(1)、(2)、(3)。【问题2】(8分,每空2分)常用的IP访问控制列表有基本访问控制列表和高级访问控制列表。基本访问控制列表的编号是(4);高级访问控制列表的编号为(5)。基本访问控制列表是依据IP报文的(6)、分片信息和生效时间段来定义规则;高级访问控制列表是依据IP报文的源IP地址、(7)、协议、TCP/UDP源/目的端口和生效时间段来定义规则。(4)~(5)备选项: (3)A.1~999 B.1000~1999 C.2000~2999 D.3000~3999【问题3】(9分,每空1分)为了便于管理,公司有生产部、销售部和财务部等部门,VLAN划分及IP地址规划如图3-1所示。为了安全起见,公司要求生产部不能够访问销售部的主机和财务服务器,销售部可以对公司网络自由访问。根据以上要求,网络管理员对SwitchA做了如下配置,请根据描述,将下面的配置代码补充完整。设备基本配置及VLAN配置略......[SwitchA] acl 3001[SwitchA-acl-adv-3001] rule permeit ip source 192.168.30.0 0.0.0.255 destination 192.168.10.0 0.0.0.255[SwitchA-acl-adv-3001] rule permeit ip source 192.168.30.0 0.0.0.255 destination 192.168.20.0 0.0.0.255[SwitchA-acl-adv-3001] rule permeit ip source 192.168.30.0 0.0.0.255 destination(8)0[SwitchA] acl 3002[SwitchA-acl-adv-3002] rule deny ip source 192.168.10.0 0.0.0.255 destination 192.168.30.0 0.0.0.255[SwitchA-acl-adv-3002] rule deny ip source 192.168.10.0 0.0.0.255 destination 172.16.1.2 0[SwitchA] acl 3003[SwitchA-acl-adv-3003] rule deny ip source 192.168.20.0 0.0.0.255 destination 192.168.30.0 0.0.0.255[SwitchA-acl-adv-3003] rule deny ip source 192.168.20.0 0.0.0.255 destination 172.16.1.2 0[SwitchA-acl-adv-3003] quit[SwitchA] traffic classifier tc1 // (9)[SwitchA-classifier-tc1] if-match acl (10) //将ACL与流分类关联[SwitchA] traffic classifier tc2[SwitchA-classifier-tc1] if-match acl 3002[SwitchA-classifier-tc1] if-match acl 3003[SwitchA-classifier-tc1] quit[SwitchA] traffic behavior tb1 // (11)[SwitchA-behavior-tb1] permit //配置流行为动作为允许报文通过[SwitchA] traffic behavior tb2[SwitchA-behavior-tb1] deny //配置流行为动作为拒绝报文通过[SwitchA-behavior-tb1] quit[SwitchA] traffic policy tp1 // (12)[SwitchA-trafficpolicy-tp1] classifier (13) behavior tb1[SwitchA] traffic policy tp2 //创建流策略[SwitchA-trafficpolicy-tp1] classifier (14) behavior tb2[SwitchA-trafficpolicy-tp1] quit[SwitchA] interface (15)[SwitchA-GigabitEthernet1/0/1] traffic-policy tp1 inbound //流策略应用在接口入方向[SwitchA-GigabitEthernet1/0/1] quit[SwitchA] interface (16)[SwitchA-GigabitEthernet1/0/2] traffic-policy tp2inbound //流策略应用在接口入方向[SwitchA-GigabitEthernet1/0/2] quit(8)~(16)备选项A.172.16.1.2 B.3001 C.创建流策略D.tc2 E.gigabitethernet 0/0/23 F.gigabitethernet 0/0/22 G. tc1H.创建流行为 I.创建流分类答案:解析:【问题1】
(1)内网接口 (2) 外网接口 (3)DMZ【问题2】
(4)C (5)D (6)源IP地址 (7)目标IP地址
【问题3】
(8)A (9)I(10)B(11) H (12)C (13)G (14)D(15)F (16)E
【解析】
【问题1】
基础概念,防火墙的三个接口分别接内网,外网和非军事化区,在华为设备中,这三个区域分别叫做trust区域,untrust区域 和DMZ区域。【问题2】
(华为设备的ACL基础概念。访问控制列表可以分为基本访问控制列表和高级访问控制列表和二层访问控制列表
【问题3】
华为设备的基本配置填空,需要掌握aaa,端口连接,vlan,trunk,ACL等基本配置,本题是一个考查基本ACL应用的类型,考试中主要是能根据上下文找到关键词或者根据命令中的空,掌握参数。也可以根据备选项中的参数,逐个试验,找到正确的答案为止。 -
第2题:
利用高级ACL禁止用户通过telnet访问子网202.112.111.0/24的命令是( )。A.access-list 3000
rule10 deny telnet any 202.112.111.0 0.0.0.255 ep 23
B.access-list 3000
rule 10 deny udp any 202.112.111.0 ep telnet
C.access-list 3000
rule 10 deny tcp any 202.112.111.0 0.0.0.255 ep 23
D.access-list 3000
rule 10 deny tcp any 202.112.111.0 255.255.255.0 ep 23答案:C解析:扩展 ACL(访问控制列表) 是一种路由器配置脚本,根据源地址、目的地址,以及协议或端口来控制路由器应该允许还是应该拒绝数据包。高级 ACL 比基本 ACL 更加灵活而且精度更高。 -
第3题:
客户路由器MSR-1的以太网口Ethernet1/0配置如下:interfaceEthernet0/0ipaddress192.168.0.1255.255.255.0该接口连接了一台三层交换机,而此三层交换机为客户办公网络的网段192.168.7.0/24~192.168.83.0/24的默认网关所在。现在客户要求在MSR-1上配置ACL来禁止办公网络所有用户向MSR-1的地址192.168.0.1发起Telnet,那么下面哪项配置是正确的?()
- A、aclnumber3000;rule0deny0.0.0.0255.255.255.255destination192.168.0.10destination-porteqtelnet;interfaceEthernet0/0;ipaddress192.168.0.1255.255.255.0;firewallpacket-filter3000inbound
- B、aclnumber3000;rule0deny0.0.0.0255.255.255.255destination192.168.0.10destination-porteqtelnet;interfaceEthernet0/0;ipaddress192.168.0.1255.255.255.0;firewallpacket-filter3000outbound
- C、aclnumber3000;rule0deny255.255.255.2550destination192.168.0.10destination-porteqtelnet;interfaceEthernet0/0;ipaddress192.168.0.1255.255.255.0;firewallpacket-filter3000inbound
- D、aclnumber3000;rule0deny255.255.255.2550destination192.168.0.10destination-porteqtelnet;interfaceEthernet0/0;ipaddress192.168.0.1255.255.255.0;firewallpacket-filter3000outbound
正确答案:A -
第4题:
下面的访问控制列表命令正确的是()。
- A、acl1 rule deny source1.1.1.1
- B、acl1 rule permit any
- C、acl1 permit 1.1.1.102.2.2.20.0.0.255
- D、acl99 rule deny tcp source any destination2.2.2.20.0.0.255
正确答案:A -
第5题:
客户的路由器MSR-1 的GE0/0 接口下连接了一台三层交换机,而此三层交换机是其所连接的客户办公网络的多个网段的默认网关所在。MSR-1 通过串口S1/0 连接到Internet。全网已经正常互通,办公网用户可以访问Internet。在该路由器上添加如下ACL 配置: firewall enable acl number 3004 rule 0 deny ip source 192.168.1.0 0.0.0.255 rule 5 permit tcp source 192.168.0.0 0.0.255.255 rule 10 permit icmp同时将ACL 3004应用在GE0/0的inbound方向,那么()
- A、该路由器允许192.168.2.0/24网段的用户对Internet发出的FTP数据流通过
- B、该路由器允许所有用户的ICMP报文通过
- C、该路由器禁止192.168.1.0/24网段用户对Internet的所有IP流量通过
- D、该路由器允许192.168.1.0/24网段用户对Internet的WWW业务流量通过
正确答案:A,C -
第6题:
在MSR路由器上配置了如下ACL: acl number 3999 rule permit tcp source 10.10.10.1 255.255.255.255 destination 20.20.20.1 0.0.0.0 time-range lucky 那么对于该ACL的理解正确的是()
- A、该rule只在lucky时间段内生效
- B、该rule只匹配来源于10.10.10.1的数据包
- C、该rule只匹配去往20.20.20.1的数据包
- D、该rule可以匹配来自于任意源网段的TCP数据包
- E、该rule可以匹配去往任意目的网段的TCP数据包
正确答案:A,C,D -
第7题:
在配置ISDNDCC的时候,客户在自己的MSR路由器上配置了如下的dialer-rule:[MSR]dialer-rule1acl3000那么关于此配置如下哪些说法正确?()
- A、只有匹配ACL3000的数据包能触发拨号
- B、只有匹配ACL3000的数据包会被路由器通过拨号链路发送
- C、没有定义permit或者deny,配置错误
- D、正确的配置应为:[MSR]dialer-rule1acl3000permit
正确答案:A -
第8题:
下列高级ACL规则配置正确的有()。
- A、rule permit ip icmp-type echo
- B、rule permit ip source-port eq 1024
- C、rule permit ip tos normal dscp ef
- D、rule permit udp time-range udp
正确答案:D -
第9题:
防火墙路由模式下,防火墙的接口地址为192.168.99.101,主机地址为192.168.99.102。以下配置中,能保证主机ping通防火墙接口地址的是()。
- A、# acl number 2005 rule 0 permit source192.168.99.1020 rule 1 deny source192.168.99.00.0.0.255#
- B、#acl number 2005 rule 0 deny source192.168.99.00.0.0.255 rule 1 permit source192.168.99.1020#
- C、#ac lnumber 2005 rule 0 deny source192.168.99.1020 rule 1 permit source192.168.99.00.0.0.255#
- D、#ac lnumber 2005 rule 0 permit source192.168.99.00.0.0.255 rule 1 deny source192.168.99.1020#
正确答案:A,C,D -
第10题:
单选题配置ACL规则时,如果我们想把192.168.0.0/24网段设置为ACL规则的匹配对象,匹配操作为拒绝,则以下配置正确的是()。Arule 0 deny source 192.168.0.0255.255.255.0
Brule 2 deny source 192.168.0.00.0.0.255
Crule 3 deny source 192.168.0.024
Drule 4 deny source 192.168.0.00.0.255.255
正确答案: C解析: 暂无解析 -
第11题:
单选题Which type of source NAT is configured in the exhibit?() [edit security nat source] user@host# show rule-set 1 { from interface ge-0/0/2.0; to zone untrust; rule 1A {match { destination-address 1.1.70.0/24; } then { source-nat interface; } } }Ainterface-based source NAT
Bstatic source NAT
Cpool-based source NAT with PAT
Dpool-based source NAT without PAT
正确答案: B解析: 暂无解析 -
第12题:
单选题如果防火墙收到一个报文,源地址是192.168.101.200,想通过高级ACL进行deny操作,通过命令rule deny ip source()可以实现。A192.168.100.0255.255.255.0
B192.168.100.0255.255.252.0
C192.168.100.00.0.0.255
D192.168.100.00.0.3.25
正确答案: A解析: 暂无解析 -
第13题:
某交换机有如下配置,acl number 2001rule 1 deny source 192.168.1.0 0.0.0.255rule 2 permit source 192.168.3.0 0.0.0.255则正确的说法是()A.允许地址192.168.1.0网段的数据通过
B.拒绝地址192.168.3.0网段的数据通过 l
C.拒绝地址192.168.1.0网段的数据通过
D. 拒绝所有的数据通过答案:C解析:acl是基本配置,用于安全,注意rule中的permit和deny就是允许或者拒绝的作用。 -
第14题:
在路由器MSR-1 上看到如下信息: [MSR-1]display acl 3000 Advanced ACL 3000, named -none-, 2 rules,ACL’s step is 5 rule 0 permit ip source 192.168.1.0 0.0.0.255 rule 10 deny ip (19 times matched) 该ACL 3000 已被应用在正确的接口以及方向上。据此可知()
- A、这是一个基本ACL(高级的)
- B、有数据包流匹配了规则rule 10
- C、至查看该信息时,还没有来自192.168.1.0/24网段的数据包匹配该ACL
- D、匹配规则rule 10的数据包可能是去往目的网段192.168.1.0/24的
正确答案:B,C,D -
第15题:
下面能够表示"禁止从129.9.0.0网段中的主机建立与202.38.16.0网段内的主机的WWW端口的连接"的访问控制列表是()。
- A、acl101 rule deny tcp source129.9.0.00.0.255.255 destination 202.38.16.00.0.0.255 destination-port equal www
- B、acl101 rule deny tcp source129.9.0.00.0.255.255 destination 202.38.16.00.0.0.255 destination-port equal 80
- C、acl100 rule deny udp source129.9.0.00.0.255.255 destination 202.38.16.00.0.0.255 destination-port equal www
- D、acl99 rule deny udp source129.9.0.00.0.255.255 destination 202.38.16.00.0.0.255 destination-port equal www
正确答案:A,B -
第16题:
在一台路由器上配置了如下的ACL: acl number 2000 match-order auto rule 0 deny rule 5 permit source 192.168.9.0 0.0.7.255(反掩码=21) 假设该ACL 应用在正确的接口以及正确的方向上,那么()
- A、源网段为192.168.15.0/24发出的数据流被允许通过
- B、源网段为192.168.9.0/21发出的数据流被允许通过
- C、源网段为192.168.9.0/21发出的数据流被禁止通过
- D、源网段为192.168.9.0/22发出的数据流被禁止通过
- E、任何源网段发出的数据流都被禁止通过
正确答案:A,B -
第17题:
客户路由器的接口GigabitEthernet0/0 下连接了局域网主机HostA,其IP 地址为192.168.0.2/24;接口Serial6/0 接口连接远端,目前运行正常。现增加ACL 配置如下: firewall enable firewall default permit acl number 3003 rule 0 permit tcp rule 5 permit icmp acl number 2003 rule 0 deny source 192.168.0.0 0.0.0.255 interface GigabitEthernet0/0 firewall packet-filter 3003 inbound packet-filter 包过滤 firewall packet-filter 2003 outbound ip address 192.168.0.1 255.255.255.0 interface Serial6/0 link-protocol ppp ip address 6.6.6.2 255.255.255.0 假设其他相关配置都正确,那么()
- A、HostA不能ping通该路由器上的两个接口地址
- B、HostA不能ping通6.6.6.2,但是可以ping通192.168.0.1
- C、HostA不能ping通192.168.0.1,但是可以ping通6.6.6.2
- D、HostA可以Telnet到该路由器上
正确答案:C,D -
第18题:
在配置ISDN DCC的时候,客户在自己的MSR路由器上配置了如下的dialer-rule: [MSR] dialer-rule 1 acl 3000 那么关于此配置如下哪些说法正确?()
- A、只有匹配ACL 3000的数据包能触发拨号
- B、只有匹配ACL 3000的数据包会被路由器通过拨号链路发送
- C、没有定义permit或者deny,配置错误
- D、正确的配置应为:[MSR] dialer-rule 1 acl 3000 permit
正确答案:A -
第19题:
在MSR路由器上配置了如下ACL:aclnumber3999rulepermittcpsource10.10.10.1255.255.255.255destination20.20.20.10.0.0.0time-rangelucky那么对于该ACL的理解正确的是()。
- A、该rule只在lucky时间段内生效
- B、该rule只匹配来源于10.10.10.1的数据包
- C、该rule只匹配去往20.20.20.1的数据包
- D、该rule可以匹配来自于任意源网段的TCP数据包
- E、该rule可以匹配去往任意目的网段的TCP数据包
正确答案:A,C,D -
第20题:
如果防火墙收到一个报文,源地址是192.168.101.200,想通过高级ACL进行deny操作,通过命令rule deny ip source()可以实现。
- A、192.168.100.0255.255.255.0
- B、192.168.100.0255.255.252.0
- C、192.168.100.00.0.0.255
- D、192.168.100.00.0.3.25
正确答案:D -
第21题:
配置ACL规则时,如果我们想把192.168.0.0/24网段设置为ACL规则的匹配对象,匹配操作为拒绝,则以下配置正确的是()。
- A、rule 0 deny source 192.168.0.0255.255.255.0
- B、rule 2 deny source 192.168.0.00.0.0.255
- C、rule 3 deny source 192.168.0.024
- D、rule 4 deny source 192.168.0.00.0.255.255
正确答案:B -
第22题:
单选题下面的访问控制列表命令正确的是()。Aacl1 rule deny source1.1.1.1
Bacl1 rule permit any
Cacl1 permit 1.1.1.102.2.2.20.0.0.255
Dacl99 rule deny tcp source any destination2.2.2.20.0.0.255
正确答案: A解析: 暂无解析 -
第23题:
多选题下面能够表示"禁止从129.9.0.0网段中的主机建立与202.38.16.0网段内的主机的WWW端口的连接"的访问控制列表是()。Aacl101 rule deny tcp source129.9.0.00.0.255.255 destination 202.38.16.00.0.0.255 destination-port equal www
Bacl101 rule deny tcp source129.9.0.00.0.255.255 destination 202.38.16.00.0.0.255 destination-port equal 80
Cacl100 rule deny udp source129.9.0.00.0.255.255 destination 202.38.16.00.0.0.255 destination-port equal www
Dacl99 rule deny udp source129.9.0.00.0.255.255 destination 202.38.16.00.0.0.255 destination-port equal www
正确答案: D,A解析: 暂无解析 -
第24题:
单选题如下访问控制列表的含义是()。 [Quidway]acl100 [Quidway-acl-100]rule deny icmp source 10.1.10.100.0.255.255 destination any icmp-type host-unreachableA规则序列号是100,禁止到10.1.10.10主机的所有主机不可达报文
B规则序列号是100,禁止到10.1.0.0/16网段的所有主机不可达报文
C规则序列号是100,禁止从10.1.0.0/16网段来的所有主机不可达报文
D规则序列号是100,禁止从10.1.10.10主机来的所有主机不可达报文
正确答案: A解析: 暂无解析