选择题

在一台 Cisco 路由器的 g0/10 端口上禁止端口号为 1434 的 TCP 协议数据包进出路由器，正确的 access-list 配置是

A、
Router#configure terminal
Router(config) #access- list 120 deny tep any any eq 1434
Router(config) #access- list 120 permit ip any any
Router(config) #interface g0/10
Router( config- if) #ip access- group 120 in
Router( config - if)#ip access - group 120 out
B、
Router#configure terminal
Router(cortfig) #access- list 120 deny tcp any any eq 1434
Router( config)#access -list 120 permit tcp any any
Router(config) #interface g0/10
Router( config - if) #ip access - group 120 in
Router( config- if)#ip access- group 120 out
C、
Router#configure terminal
Router( config)#access- list 90 deny tcp any any eq 1434
Router(config) #access - list 90 permit ip any any
Router(config) #interface g0/10
Router( config - if)#ip access - group 90 in
Router( config - if)#ip access - group 90 out
D、
Router#configure terminal
Router(config) #access -list 120 permit ip any any
Router( config)#access- list 120 deny tcp any any eq 1434
Router(config) #interface g0/10
Router( config - if) #ip access - group 120 in
Router( config - if)#ip access - group 120 out

【正确答案】 A

【答案解析】

①IP 访问控制列表有两种类型：第一种是标准访问控制列表，只能检查数据包的源地址，表号范围是 1～99，扩展的表号是 1300～1999；第二种是扩展访问控制列表，除了可以检查数据包的源地址和目的地址，还可以检查指定的协议，根据数据包头中的协议类型进行过滤，扩展访问控制列表表号范围是 100～199，扩展的表号是 2000～2699。
②配置 IP 访问控制列表的首要任务就是使用“access-list” 或“ip access-list” 命令，定义一个访问控制列表。“access-list” 命令要求只能使用表号标识列表；而“ip access-list” 命令，既可以使用表号，也可以使用名字标识一个访问控制列表。
③在路由器上使用访问控制列表(Access Control List， ACL)时需要注意 ACL 语句的顺序，因为路由器执行 ACL 语句是按照配置的 ACL 中的条件语句，从第一条开始顺序执行。数据包只有在跟第一个判断条件不匹配时，才能交给 ACL 中下一个语句进行比较。
④先在全局配置模式下配置禁止和允许访问的协议及端口号(先禁止后运行)，然后在配置应用接口。需要注意的是，无论是在全局配置模式下还是应用接口模式下，二者的表号要一致。
⑤access-list 语法是： access-list ACL 表号 permit|deny 源端地址源端反掩码目的地址目的端反掩码操作数。其中操作有：“lt(小于)”“gt(大于)”“eq(等于)”“neq(不等于)”，操作数指的是端口数。
⑥配置应用接口的语法： ip access-group 表号 in|out
B 选线中第二句配置语句 permit 后面应该是 IP， C 选项中表号错误， D 选项中前二句配置语句顺序错误。故选择 A 选项。