CCNA 第二学期第九章答案

《CCNA 第二学期第九章答案》由会员分享，可在线阅读，更多相关《CCNA 第二学期第九章答案（15页珍藏版）》请在装配图网上搜索。

1、【精品文档】如有侵权，请联系网站删除，仅供学习与交流CCNA 第二学期 第九章答案窗体顶端哪两项功能描述了访问控制列表的用途？（请选择两项。）正确响应您的响应ACL 可以根据路由器上的始发 MAC 地址来允许或拒绝流量。ACL 可以控制主机能够访问网络中的哪些区域。ACL 可以帮助路由器确定到目的地的最佳路径。标准 ACL 可限制对特定应用程序和端口的访问。ACL 提供基本的网络安全性。窗体底端2窗体顶端访问控制列表在企业网络中的可能用途是下列哪两项？（选择两项。）正确响应您的响应控制路由器接口的物理状态控制调试输出允许通过路由器过滤第 2 层流量降低路由器上的处理负载控制虚拟终端对路由器的访

2、问窗体底端3窗体顶端哪两个特征是标准 ACL 和扩展 ACL 共有的特征？（请选择两项。）正确响应您的响应两者都可以通过使用描述性名称或号码创建。两类ACL都可以根据协议类型进行过滤。两者都包含隐式 deny 作为最终 ACE。两者都可以通过端口号允许或拒绝特定服务。两者都可为特定目的主机 IP 地址过滤数据包。窗体底端4窗体顶端下列哪项描述了标准 IPv4 ACL 的特点？正确响应您的响应创建它们时可以使用数字，但不可以使用名称。它们是在接口配置模式下配置的。可以根据源 IP 地址和源端口对过滤流量进行配置。它们仅根据源 IP 地址过滤流量。窗体底端5窗体顶端网络管理员需要配置标准 ACL，

3、使得只有 IP 地址为 192.168.15.23 的管理员工作站能够访问主要路由器的虚拟终端。哪两个配置命令可以完成该任务？（请选择两项。）正确响应您的响应Router1(config)# access-list 10 permit 192.168.15.23 255.255.255.255 Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.0 Router1(config)# access-list 10 permit 192.168.15.23 255.255.255.0 Router1(config)# access-

4、list 10 permit host 192.168.15.23 Router1(config)# access-list 10 permit 192.168.15.23 0.0.0.255 窗体底端6窗体顶端哪一个 IPv4 地址范围包含由 172.16.2.0 指定的、与 ACL 过滤器匹配的、通配符掩码为 0.0.1.255 的所有 IP 地址？正确响应您的响应172.16.2.1 到 172.16.3.254172.16.2.1 到 172.16.255.255172.16.2.0 到 172.16.3.255172.16.2.0 到 172.16.2.255窗体底端7窗体顶端如果路

5、由器有两个接口，并且路由 IPv4 和 IPv6 的流量，那么可以在其中创建并应用多少个 ACL？正确响应您的响应1261648窗体底端8窗体顶端通常认为下列哪三项是安置 ACL 的最佳做法？（请选择三项。）正确响应您的响应将扩展 ACL 安置在靠近流量的源 IP 地址的位置。将标准 ACL 安置在靠近流量源 IP 地址的位置。将扩展 ACL 安置在靠近流量目的 IP 地址的位置。在不需要的流量通过低带宽链路之前，将其过滤掉。将标准 ACL 安置在靠近流量的目的 IP 地址的位置。对于每个安置在接口的入站 ACL，应该有一个与之匹配的出站 ACL。窗体底端9窗体顶端请 参见图示。路由器拥有现有

6、 ACL，允许来自 172.16.0.0 网络的所有流量。管理员尝试向 ACL 添加新 ACE，该 ACL 拒绝主机 172.16.0.1 的数据包并接收图中所示的错误消息。管理员可以采取哪项措施来阻止主机 172.16.0.1 的数据包，同时仍允许 172.16.0.0 网络中其他所有流量？正确响应您的响应手动添加序列号为 5 的新 deny ACE。创建拒绝主机的第二个访问列表并将其应用到同一个接口。手动添加序列号为 15 的新 deny ACE。向 access-list 1 添加 deny any any ACE。窗体底端10窗体顶端管理员已在 R1 上配置一个访问列表，允许从主机 1

7、72.16.1.100 进行 SSH 管理访问。下列哪条命令可以正确地应用 ACL？正确响应您的响应R1(config-line)# access-class 1 out R1(config-if)# ip access-group 1 out R1(config-if)# ip access-group 1 in R1(config-line)# access-class 1 in 窗体底端11窗体顶端请 参见图示。IP 地址为 10.0.70.23/25 的网络管理员需要有访问公司 FTP 服务器 (10.0.54.5/28) 的权限。FTP 服务器也是一个允许 10.x.x.x 地址内各

8、网络上所有内部员工访问的 Web 服务器。不允许其他任何流量进入此服务器。应使用哪个扩展 ACL 过滤此流量？如何应用此 ACL？（请选择两项。）正确响应您的响应R1(config)# interface gi0/0 R1(config-if)# ip access-group 105 out access-list 105 permit ip host 10.0.70.23 host 10.0.54.5access-list 105 permit tcp any host 10.0.54.5 eq wwwaccess-list 105 permit ip any any access-lis

9、t 105 permit tcp host 10.0.54.5 any eq wwwaccess-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 20access-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 21 R2(config)# interface gi0/0 R2(config-if)# ip access-group 105 in R1(config)# interface s0/0/0 R1(config-if)# ip access-group 105 o

10、ut access-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 20access-list 105 permit tcp host 10.0.70.23 host 10.0.54.5 eq 21access-list 105 permit tcp 10.0.0.0 0.255.255.255 host 10.0.54.5 eq wwwaccess-list 105 deny ip any host 10.0.54.5 access-list 105 permit ip any any 窗体底端12窗体顶端假设以下访问控制列表，允许

11、将来自特定主机的 IP 电话配置文件传输到 TFTP 服务器：R1(config)# access-list 105 permit udp host 10.0.70.23 host 10.0.54.5 range 1024 5000 R1(config)# access-list 105 deny ip any any R1(config)# interface gi0/0 R1(config-if)# ip access-group 105 out 哪种方法可以允许网络管理员修改 ACL 并包含来自任意源 IP 地址的 FTP 传输？正确响应您的响应R1(config)# interface

12、 gi0/0 R1(config-if)# no ip access-group 105 out R1(config)# no access-list 105 R1(config)# access-list 105 permit udp host 10.0.70.23 host 10.0.54.5 range 1024 5000 R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 20 R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 21 R1(con

13、fig)# access-list 105 deny ip any any R1(config)# interface gi0/0 R1(config-if)# ip access-group 105 out R1(config)# access-list 105 permit udp host 10.0.70.23 host 10.0.54.5 range 1024 5000 R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 20 R1(config)# access-list 105 permit tcp any ho

14、st 10.0.54.5 eq 21 R1(config)# access-list 105 deny ip any any R1(config)# interface gi0/0 R1(config-if)# no ip access-group 105 out R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 20 R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 21 R1(config)# interface gi0/0 R1(config-i

15、f)# ip access-group 105 out R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 20 R1(config)# access-list 105 permit tcp any host 10.0.54.5 eq 21 窗体底端13窗体顶端下列哪项描述了入站 ACL 和出站 ACL 运作时存在的差异？正确响应您的响应在网络接口处，可以配置多个入站 ACL，但只可以配置一个出站 ACL。入站 ACL 既可以在路由器中使用又可以在交换机中使用，但出站 ACL 只能在路由器中使用。与出站 ALC 相比，入站

16、ACL 可用于过滤具有多个标准的数据包。入站 ACL 要在路由数据包之前进行处理，而出站 ACL 在路由数据包完成之后处理。窗体底端14窗体顶端与 IPv4 ACL 相比，哪项功能是 IPv6 ACL 独有的？正确响应您的响应使用通配符掩码使用命名 ACL 条目隐式允许邻居发现数据包隐式 deny any any ACEIPv6 和 IPv4 ACL 之间的一个主要区别就是所有 IPv6 ACL 末尾都有两个隐式 permit ACE。这两个 permit ACE 允许在路由器接口上执行邻居发现操作。窗体底端15窗体顶端下列关于 ACL 处理数据包的说法中哪三项正确？（请选择三项。）正确响应您

17、的响应检查每条语句，直到检测到匹配的语句或到达 ACE 列表结尾为止。数据包根据与其相匹配的 ACE 的指示，可能被拒绝，也可能被转发。隐式 deny any 会拒绝与所有 ACE 都不匹配的任何数据包。默认情况下会转发不符合任何 ACE 条件的数据包。将每个数据包与 ACL 中每条 ACE 的条件相比较，然后才决定是否转发。被一个 ACE 拒绝的数据包可能被后续 ACE 允许。窗体底端16窗体顶端哪三个隐式访问控制条目自动添加到 IPv6 ACL 的末尾？（请选择三项。）正确响应您的响应deny icmp any anydeny ipv6 any anypermit ipv6 any any

18、permit icmp any any nd-nspermit icmp any any nd-nadeny ip any any窗体底端17窗体顶端IPv6 唯一可用的 ACL 类型是什么？正确响应您的响应已命名的扩展已命名的标准已编号的标准已编号的扩展窗体底端18窗体顶端哪个 IPv6 ACL 命令条目将允许来自任何主机的流量传输到 2001:DB8:10:10:/64 网络上的 SMTP 服务器？正确响应您的响应permit tcp host 2001:DB8:10:10:100 any eq 25 permit tcp any host 2001:DB8:10:10:100 eq 25

19、 permit tcp host 2001:DB8:10:10:100 any eq 23 permit tcp any host 2001:DB8:10:10:100 eq 23 窗体底端19窗体顶端请参见图示。在入站方向中，IPv6 访问列表 LIMITED_ACCESS 在 R1 的 S0/0/0 接口上应用。哪个来自 ISP 的 IPv6 数据包会被 R1 上的 ACL 丢弃？正确响应您的响应发往端口 80 上的 PC1 的数据包发往 PC1 的 ICMPv6 数据包从 ISP 路由器接收到的邻居通告发往 PC1 的 HTTPS 数据包窗体底端20窗体顶端所提问题：将通配符掩码 0.0

20、.3.255 转换为二进制，并从 255.255.255.255 中减去它，将会生成子网掩码 255.255.252.0。要在通配符掩码中使用 host 参数，所有位必须与给定的地址相匹配。192.168.15.65 是子网中从子网地址 192.168.15.64 开始的第一个有效的主机地址。子网掩码包含 4 个主机位，产生的子网有 16 个地址。192.168.15.144 是相似子网中的一个有效子网地址。将通配符掩码 0.0.0.15 转换为二进制，并从 255.255.255.255 中减去它，产生的子网掩码是 255.255.255.240。192.168.3.64 是拥有 8 个网址

21、的子网中的一个子网地址。将 0.0.0.7 转换为二进制，并从 255.255.255.255 中减去它，产生的子网掩码是 255.255.255.248。掩码包含 3 个主机位，可以生成 8 个地址。答案:按以下顺序排列选项： 子网中的第一个有效主机地址 具有 14 个有效主机地址的子网地址 所有 IP 地址位必须精确匹配 子网掩码为 255.255.252.0 的子网中的主机 子网掩码为 255.255.255.248 的地址 - 不计分 - 窗体底端21窗体顶端打开 PT 练习。执行练习说明中的任务，然后回答问题。为什么 ACL 无法运行？正确响应您的响应在这种情况下，不需要 ACL。在错误方向上应用 ACL。一项或多项 access-list 105 命令不正确。ACL 缺少 deny ip any any ACE。ACL 应用到错误接口。窗体底端.精品文档.1