RoutingandSwitchingEssentials-RSE第9章考试+解析

RoutingandSwitchingEssentials(版本5.0)-RSE第9章考试专业知识-加权分数1哪两项功能描述了访问控制列表的用途？（请选择两项。）正确响应您的响应ACL可以帮助路由器确定到目的地的最佳路径。ACL可以根据路由器上的始发MAC地址来允许或拒绝流量。标准ACL可限制对特定应用程序和端口的访问。ACL提供基本的网络安全性。ACL可以控制主机能够访问网络中的哪些区域。2访问控制列表在企业网络中的可能用途是下列哪两项？（选择两项。）正确响应您的响应控制路由器接口的物理状态控制调试输出允许通过路由器过滤第2层流量控制虚拟终端对路由器的访问降低路由器上的处理负载3哪两个特征是标准ACL和扩展ACL共有的特征？（请选择两项。）正确响应您的响应两者都可以通过使用描述性名称或号码创建。两类ACL都可以根据协议类型进行过滤。两者都可为特定目的主机IP地址过滤数据包。两者都包含隐式deny作为最终ACE。两者都可以通过端口号允许或拒绝特定服务。标准ACL仅根据特定源IP地址过滤流量。扩展ACL可以根据源或目的地、协议或端口进行过滤。标准ACL和扩展ACL都包含一个隐式deny作为最后的ACE。标准ACL和扩展ACL可根据名称或号码识别。4下列哪项描述了标准IPv4ACL的特点？正确响应您的响应可以根据源IP地址和源端口对过滤流量进行配置。它们仅根据源IP地址过滤流量。它们是在接口配置模式下配置的。创建它们时可以使用数字，但不可以使用名称。标准IPv4ACL可以仅根据源IP地址过滤流量。不同于扩展ACL，它无法根据第4层端口过滤流量。但是，标准ACL和扩展ACL可以用编号或名称标识，并且都在全局配置模式下配置。5网络管理员需要配置标准ACL，使得只有IP地址为192.168.15.23的管理员工作站能够访问主要路由器的虚拟终端。哪两个配置命令可以完成该任务？（请选择两项。）正确您的响应响应Router1(config)#access-list10permit192.168.15.23255.255.255.255Router1(config)#access-list10permit192.168.15.230.0.0.0Router1(config)#access-list10permit192.168.15.230.0.0.255Router1(config)#access-list10permithost192.168.15.23Router1(config)#access-list10permit192.168.15.23255.255.255.0要允许或拒绝某个特定IP地址，可以使用通配符掩码0.0.0.0（用在IP地址后面）或通配符掩码关键字host（用在IP地址前面）。6哪一个IPv4地址范围包含由172.16.2.0指定的、与ACL过滤器匹配的、通配符掩码为0.0.1.255的所有IP地址？正确响应您的响应172.16.2.1到172.16.255.255172.16.2.0到172.16.3.255172.16.2.1到172.16.3.254172.16.2.0到172.16.2.255通配符掩码0.0.1.255意味着前23位匹配，后9位被忽略。即对应的IP地址必须来自172.16.2.0和172.16.3.255之间（其中最后9位来自所有0列至所有1列以及之间的任意值）。7如果路由器有两个接口，并且路由IPv4和IPv6的流量，那么可以在其中创建并应用多少个ACL？正确响应您的响应1641268要计算可以配置多少个ACL，请使用“3P原则”规则：每种协议一个ACL，每个方向一个ACL，每个接口一个ACL。在这种情况下，2个接口x2种协议x2个方向产生8个可能的ACL。8通常认为下列哪三项是安置ACL的最佳做法？（请选择三项。）正确响应您的响应将标准ACL安置在靠近流量的目的IP地址的位置。将标准ACL安置在靠近流量源IP地址的位置。将扩展ACL安置在靠近流量目的IP地址的位置。将扩展ACL安置在靠近流量的源IP地址的位置。在不需要的流量通过低带宽链路之前，将其过滤掉。对于每个安置在接口的入站ACL，应该有一个与之匹配的出站ACL。应将扩展ACL安置在尽可能接近源IP地址的位置，从而使得需要过滤的流量不通过网络并且不使用网络资源。由于标准ACL不指定目的地址，因此应将他们安置在离目的地址尽可能近的位置。在源附近设置标准ACL可以过滤所有流量并限制到其他主机的服务。在进入低带宽链路前过滤不需要的流量可以保留带宽并支持网络运行。将ACL安置在出站还是入站取决于需要满足的条件。9请参见图示。路由器拥有现有ACL，允许来自172.16.0.0网络的所有流量。管理员尝试向ACL添加新ACE，该ACL拒绝主机172.16.0.1的数据包并接收图中所示的错误消息。管理员可以采取哪项措施来阻止主机172.16.0.1的数据包，同时仍允许172.16.0.0网络中其他所有流量？正确响应您的响应向access-list1添加denyanyanyACE。手动添加序列号为15的新denyACE。创建拒绝主机的第二个访问列表并将其应用到同一个接口。手动添加序列号为5的新denyACE。因为新的denyACE是一个属于已被允许的现有网络172.16.0.0的主机地址，所以路由器将拒绝该命令并显示错误消息。为了使新的denyACE生效，管理员就必须使用小于10的序列号对其进行手动配置。10管理员已在R1上配置一个访问列表，允许从主机172.16.1.100进行SSH管理访问。下列哪条命令可以正确地应用ACL？正确响应您的响应R1(config-line)#access-class1outR1(config-if)#ipaccess-group1outR1(config-line)#access-class1inR1(config-if)#ipaccess-group1in通过SSH管理访问路由器是通过vty线路进行的。因此，必须将ACL应用到入站方向的这些行。这是通过进入线路配置模式并发出access-class命令来完成的。11请参见图示。IP地址为10.0.70.23/25的网络管理员需要有访问公司FTP服务器(10.0.54.5/28)的权限。FTP服务器也是一个允许10.x.x.x地址内各网络上所有内部员工访问的Web服务器。不允许其他任何流量进入此服务器。应使用哪个扩展ACL过滤此流量？如何应用此ACL？（请选择两项。）正确响应您的响应R1(config)#interfaces0/0/0R1(config-if)#ipaccess-group105outaccess-list105permitiphost10.0.70.23host10.0.54.5access-list105permittcpanyhost10.0.54.5eq(config)#interfacegi0/0R2(config-if)#ipaccess-group105inaccess-list105permittcphost10.0.70.23host10.0.54.5eq20access-list105permittcphost10.0.70.23host10.0.54.5eq21access-list105permittcp10.0.0.00.255.255.255host10.0.54.5eq(config)#interfacegi0/0R1(config-if)#ipaccess-group105outACL的前两行允许主机10.0.70.23对IP地址为10.0.54.5的服务器进行FTP访问。ACL的第三行允许从IP地址以数字10开头的任意主机对服务器进行HTTP访问。ACL的第四行拒绝任何其他类型的流量从任何源IP地址传输到服务器。如果有其他服务器或设备添加到10.0.54.0/28网络，ACL的最后一行允许其他任何流量。由于来自其他位置的流量都会被过滤，对于10.0.70.23主机设备，此ACL的最佳位置即最接近服务器的位置。12假设以下访问控制列表，允许将来自特定主机的IP电话配置文件传输到TFTP服务器：R1(config)#access-list105permitudphost10.0.70.23host10.0.54.5range10245000R1(config)#access-list105denyipanyanyR1(config)#interfacegi0/0R1(config-if)#ipaccess-group105out哪种方法可以允许网络管理员修改ACL并包含来自任意源IP地址的FTP传输？正确响应您的响应R1(config)#interfacegi0/0R1(config-if)#noipaccess-group105outR1(config)#noaccess-list105R1(config)#access-list105permitudphost10.0.70.23host10.0.54.5range10245000R1(config)#access-list105permittcpanyhost10.0.54.5eq20R1(config)#access-list105permittcpanyhost10.0.54.5eq21R1(config)#access-list105denyipanyanyR1(config)#interfacegi0/0R1(config-if)#ipaccess-group105outR1(config)#access-list105permittcpanyhost10.0.54.5eq20R1(config)#access-list105permittcpanyhost10.0.54.5eq21R1(config)#access-list105permitudphost10.0.70.23host10.0.54.5range10245000R1(config)#access-list105permittcpanyhost10.0.54.5eq20R1(config)#access-list105permittcpanyhost10.0.54.5eq21R1(config)#access-list105denyipanyanyR1(config)#interfacegi0/0R1(config-if)#noipaccess-group105outR1(config)#access-list105permittcpanyhost10.0.54.5eq20R1(config)#access-list105permittcpanyhost10.0.54.5eq21R1(config)#interfacegi0/0R1(config-if)#ipaccess-group105out要修改扩展编号ACL，则从接口删除该ACL。将该ACL复制到文本文档中。从路由器中删除该ACL。在文本文档中修改ACL，然后将ACL重新输入路由器并将其应用到接口上。13下列哪项描述了入站ACL和出站ACL运作时存在的差异？正确响应您的响应在网络接口处，可以配置多个入站ACL，但只可以配置一个出站ACL。入站ACL要在路由数据包之前进行处理，而出站ACL在路由数据包完成之后处理。与出站AL