ACL NAT 9

HCNE练习八

ACL配置

1. 访问控制列表配置中，操作符“gt portnumber”表示控制的是（ ） A.端口号小于此数字的服务 B.端口号大于此数字的服务 C.端口号等于此数字的服务 D.端口号不等于此数字的服务

2. 某台路由器上配置了如下一条访问列表 access-list 4 deny 202.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.1 0.0.0.255 表示：（ ） A.只禁止源地址为202.38.0.0网段的所有访问 B.只允许目的地址为202.38.0.0网段的所有访问

C.检查源IP地址，禁止202.38.0.0大网段的主机，但允许其中的202.38.160.0小网段上的主机

D.检查目的IP地址，禁止202.38.0.0大网段的主机，但允许其中的202.38.160.0小网段的主机

3. 对防火墙如下配置： firwell enable 端口配置如下 interface Serial0

ip address 202.10.10.1 255.255.255.0 link-protocol ppp nat enable interface Ethernet0

ip address 10.110.10.1 255.255.255.0

公司的内部网络接在Ethernet0，在Serial0通过地址转换访问Internet。如果想禁止公司内部所有主机访问202.38.160.1/16的网段，但是可以访问其它站点。如下的配置可以达到要求的是：（ad）

A.access-list 1 deny 202.38.160.1 0.0.255.255 在Serial0口：access-group 1 in B.access-list 1 deny 202.38.160.1 0.0.255.255 在Serial0口：access-group 1 out

C.access-list 101 deny ip any 202.38.160.1 0.0.255.255 在Ethernet0：access-group 101 in D.access-list 101 deny ip any 202.38.160.1 0.0.255.255 在Ethernet0：access-group 101 out

4. 小于（ ）的端口号已保留与现有服务一一对应，此数字以上的端口号可自由分配 A.100 B.199 C.1024 D.2048

5. 以下情况可以使用访问控制列表准确描述的是：（ ） A.禁止有CIH病毒的文件到我的主机 B.只允许系统管理员可以访问我的主机 C.禁止所有使用Telnet的用户访问我的主机 D.禁止使用UNIX系统的用户访问我的主机

1

HCNE练习八

6. 配置如下两条访问控制列表：

access-list 1 permit 10.110.10.1 0.0.255.255 access-list 2 permit 10.110.100.100 0.0.255.255 访问控制列表1和2，所控制的地址范围关系是：（ ） A.1和2的范围相同 B.1的范围在2的范围内 C.2的范围在1的范围内

D.1和2的范围没有包含关系

7. 如下访问控制列表的含义是：（ ）

access-list 100 deny icmp 10.1.10.10 0.0.255.255 any host-unreachable A.规则序列号是100，禁止到10.1.10.10主机的所有主机不可达报文 B.规则序列号是100，禁止到10.1.0.0/16网段的所有主机不可达报文 C.规则序列号是100，禁止从10.1.0.0/16网段来的所有主机不可达报文 D.规则序列号是100，禁止从10.1.10.10主机来的所有主机不可达报文

8. 如下访问控制列表的含义是：（ ）

access-list 102 deny udp 129.9.8.10 0.0.0.255 202.38.160.10 0.0.0.255 gt 128

A.规则序列号是102，禁止从202.38.160.0/24网段的主机到129.9.8.0/24网段的主机使用端口大于128的UDP协议进行连接

B.规则序列号是102，禁止从202.38.160.0/24网段的主机到129.9.8.0/24网段的主机使用端口小于128的UDP协议进行连接

C.规则序列号是102，禁止从129.9.8.0/24网段的主机到202.38.160.0/24网段的主机使用端口小于128的UDP协议进行连接

D.规则序列号是102，禁止从129.9.8.0/24网段的主机到202.38.160.0/24网段的主机使用端口大于128的UDP协议进行连接

9. 在访问控制列表中地址和掩码为168.18.64.0 0.0.3.255表示的IP地址范围是（ ） A.168.18.67.0~168.18.70.255 B.168.18.64.0~168.18.67.255 C.168.18.63.0~168.18.64.255 D.168.18.64.255~168.18.67.255

10. 标准访问控制列表的数字标识范围是（ ） A.1~50 B.1~99 C.1~100 D.1~199 E.由网管人员规定

11. 标准访问控制列表以（ ）作为判别条件 A.数据包的大小 B.数据包的源地址 C.数据包的端口号 D.数据包的目的地址

2

HCNE练习八

12. 配置访问控制列表必须做的配置是（ ） A.设定时间段 B.指定日志主机 C.定义访问控制列表

D.在接口上应用访问控制列表

13. Quidway路由器访问控制列表默认的过滤模式是（ ） A.拒绝 B.允许 C.必须配置

14. 访问控制列表access-list 100 deny ip 10.1.10.10 0.0.255.255 any eq 80的含义是：（ ） A.规则序列号是100，禁止到10.1.10.10主机的telnet访问 B.规则序列号是100，禁止到10.1.0.0/16网段的www访问 C.规则序列号是100，禁止从10.1.0.0/16网段来的www访问 D.规则序列号是100，禁止从10.1.10.10主机来的rlogin访问

15. 访问列表如下：

access-list 4 deny 202.38.0.0 0.0.255.255 access-list 4 permit 202.38.160.1 0.0.0.255 应用于该路由器端口的配置如下：

Quidway(config)# firewall default permit

Quidway(config-if-Serial0)# ip access-group 4 in

该路由器E0口接本地局域网192.168.1.0，S0口接到INTERNET，以下说法正确的有：（ c） A.内部主机不可以访问202.38.0.0/16网段的主机 B.内部主机可以任意访问外部任何地址的主机

C.连在该路由器其他端口的主机可任意访问内部网资源 D.所有外部数据包都可以通过S0口，自由出入本地局域网

16. 对于这样一条访问列表配置

[Quidway]access-list 1 permit 153.19.0.128 0.0.0.127 下列说法正确的是

A.允许源地址小于153.19.0.128的数据包通过 B.允许目的地址小于153.19.0.128的数据包通过

C.允许源地址大于153.19.0.128，小于153.19.0.255的数据包通过 D.允许目的地址大于153.19.0.128的数据包通过 E.配置命令是非法的

17. IP扩展访问列表的数字标示范围是多少?( c ) A.0-99 B.1-99 C.100-199 D.101-200

18. 在Quidway 路由器上配置命令:

Access-list 100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect

3

HCNE练习八

Access-list 100 deny tcp any 10.2.1.2. 0.0.0.0 eq 23 Access-list 100 permit ip any any 并将此规则应用在接口上，下列说法正确的是 ( )

A.禁止从10.1.0.0网段发来的ICMP的主机重定向报文通过 B.禁止所有用户远程登录到10.2.1.2主机 C.允许所有的数据包通过 D.以上说法均不正确

19. 以下对华为Quidway系列路由器的访问列表设置规则描述不正确的是 A.一条访问列表可以有多条规则组成 B.一个接口只可以应用一条访问列表 C.对冲突规则判断的依据是：深度优先

D.如果您定义一个访问列表而没有应用到接口上，华为路由器默认允许所有数据包通过

20. 应使用哪一条命令来查看路由器上的防火墙状态信息? A.Display firewall B.Display interface C.Display access-list all D.Display running-config

21、使配置的访问列表应用到接口上的命令是什么? firewall packet-filter acl-number [inbound | outbound]

21. 扩展访问列表可以使用哪些字段来定义数据包过滤规则? A.源IP地址 B.目的IP地址 C.端口号 D.协议类型 E.日志功能

22. 扩展访问列表的日志功能允许特定的主机记录防火墙的操作 T.True F.False

23. 访问控制列表access-list 100 permit ip 129.38.1.1 0.0.255.255 202.38.5.2 0的含义是( ) A.允许主机129.38.1.1访问主机202.38.5.2

B.允许129.38.0.0的网络访问202.38.0.0的网络 C.允许主机202.38.5.2访问网络129.38.0.0 D.允许129.38.0.0的网络访问主机202.38.5.2

24. 下面哪个可以使访问控制列表真正生效：( ) A.将访问控制列表应用到接口上 B.定义扩展访问控制列表

C.定义多条访问控制列表的组合

D.用access-list命令配置访问控制列表

4

HCNE练习八

25. 访问控制列表适用于：( ) A.IP网络 B.仅IPX网络 C.所有网络，如IP、IPX D.以上答案都不对

26. 下面哪些是ACL可以做到的( )

A.允许125.36.0.0/16网段的主机使用FTP协议访问主机129.1.1.1 B.不让任何主机使用Telnet登录 C.拒绝一切数据包通过 D.以上说法都不正确

27. “访问控制列表可以过滤进入和流出路由器接口的数据包流量”，这句话是否正确： T.True F.False

28. 下面能够表示“禁止从129.9.0.0网段中的主机建立与202.38.16.0网段内的主机的WWW

端口的连接”的访问控制列表是：( )

A.access-list 101 deny tcp 129.9.0.0 0.0.255.255 202.38.16.0 0.0.0.255 eq www B.access-list 100 deny tcp 129.9.0.0 0.0.255.255 202.38.16.0 0.0.0.255 eq 80 C.access-list 100 deny ucp 129.9.0.0 0.0.255.255 202.38.16.0 0.0.0.255 eq www D.access-list 99 deny ucp 129.9.0.0 0.0.255.255 202.38.16.0 0.0.0.255 eq 80

29. 使用访问控制列表可带来的好处是 ( )

A.保证合法主机进行访问，拒绝某些不希望的访问

B.通过配置访问控制列表，可限制网络流量，进行通信流量过滤 C.实现企业私有网的用户都可访问Internet

D.管理员可根据网络时间情况实现有差别的服务

30. 访问控制列表可实现下列哪些要求 ( )

A.允许202.38.0.0/16网段的主机可以使用协议HTTP访问129.10.10.1 B.不让任何机器使用Telnet登录 C.使某个用户能从外部远程登录

D.让某公司的每台机器都可经由SMTP发送邮件 E.允许在晚上8:00到晚上12:00访问网络

F.有选择地只发送某些邮件而不发送另一些文件

31. 下列哪一个通配符掩码与子网172.16.64.0/27的所有主机匹配( ) A.255.255.255.0 B.255.255.224.0 C.0.0.0.255 D.0.0.31.255

32. 在配置访问控制列表的规则时，关键字“any”代表的通配符掩码是什么 ( ) A.0.0.0.0 B.所使用的子网掩码的反码 C.255.255.255.255 D.无此命令关键字

33. IP扩展访问表缺省的协议类型是( ) A.IP B.TCP C.ICMP D.无缺省协议类型，管理员必须配置具体的协议类型

34. 使访问控制列表生效，必须的步骤包括：( )

5

本文来源：https://www.bwwdw.com/article/1txd.html