选择题 21.在一台Cisco路由器的g3／1接口，封禁ICMP协议，只允许转发168．105．129．0／24子网的ICMP数据包，正确的访问控制列表的配置是( )。

A、 Router(config)#interface g3／1 Router(config—if)#ip access—group 198 in Router(config—if)#ip access—group 198 out Router(config—if)#exit Router(config)#access—list 198 permit icmp 168．105．129．0 0．0．0．255 any Router(config)#access—list 198 deny icmp any any Router(config)#access—list 198 permit ip any any
B、 Router(config)#access．1ist 2000 permit iemp 168．105．129．0 0．0．0．255 any Router(config)#access—list 2000 deny icmp any any Router(config)#access—list 2000 permit ip any any Router(config)#interface g3／1 Router(eonfig—if)#ip access·group 2000 in Router(config—if)#ip access—group 2000 out Router(config—if)#exit
C、 Router(config)#access—list 198 deny icmp any any Router(corffig)#access-list 198 permit icmp 168．105．129．0 0．0．0．255 any Router(config)#access—list 198 permit ip any any Router(corrfig)#interface g3／1 Router(config．if)#ip access—group 198 out Router(config—if)#exit
D、 Router(config)#access-list 100 permit icmp 168．105．129．0 0．0．0．255 any Router(config)#access—list 100 permit ip any any Router(config)#access—list 100 deny icmp any any Router(config)#interface g3／1 Router(config—if)#ip access-group 100 in Router(eortfig—if)#exit

【正确答案】 B

【答案解析】全局配置模式命令格式为： Router(config)#access—list<access—list—nun> <deny I permit> <protocol> <ip—ad— dr><wildcard—mask>any 禁止其他ICMP：Router(config)#access—list 2000 deny icmp any any 允许IP包通过：Router(config)#access—list 2000 permit ip any any 配置应用接口：Router(config)#interface<接口名> Router(config-if)#ip access—group<access—list—nun><in ｜ out> 另外，禁封ICMP协议为扩展访问控制命令，IP扩展访问控制列表表号范围：100～199、2000～2699；wildcard—mask为通配符，也即子网掩码的反码。故选择B选项。