单选题
定义一个用于封禁ICMP而只允许转发166.129.130.0/24子网的ICMP数据包的访问控制列表,Cisco路由器的正确配置是______。
A、
access-list 198 permit icmp 166.129.130.0 255.255.255.0 anyaccess-list 198 deny icmp any anyaccess-list 198 permit ip any any
B、
access-list 198 permit icmp 166.129.130.0 0.0.0.255 anyaccess-list 198 deny icmp any anyaccess-list 198 permit ip any any
C、
access-list 99 permit icmp 166.129.130.0 0.0.0.255 anyaccess-list 99 deny icmp any anyaccess-list 99 permit ip any any
D、
access-list 100 permit icmp 166.129.130.0 0.0.0.255 anyaccess-list 100 permit ip any anyaccess-list 100 deny icmp any any
【正确答案】
B
【答案解析】
[解析] 标准访问控制列表标号为1~100,100以上为扩展控制列表,标准访问控制列表只能检查数据包的源地址。标准访问控制列表的功能有很大的局限性,扩展访问控制列表可以检查数据包的源地址和目的地址,还可以对数据包头中的协议进行过滤,如IP、ICMP、TCP等,排除因此排除了C,标准控制列表的通配符是子网掩码的反码,所以A项错误。而D先执行access-list 100 permit ip any any,那么所有的IP地址都不禁封,后面的将不执行,D项错。所有选B。
提交答案
关闭