问答题 .阅读以下说明，回答问题1至问题5。
【说明】
某公司网络结构如下图所示，通过在路由器上配置访问控制列表ACL来提高内部网络和Web服务器的安全。

问答题 1. 【问题1】
访问控制列表(ACL)对流入/流出路由器各端口的数据包进行过滤。ACL按照其功能分为两类，______只能根据数据包的源地址进行过滤，______可以根据源地址、目的地址及端口号进行过滤。

【正确答案】标准ACL
扩展ACL

【答案解析】 标准访问列表控制表基于IP地址，列表取值1～99，分析数据包的源地址决定允许还是拒绝数据报通过。
扩展访问列表可以根据源地址、目的地址以及端口号进行过滤。

问答题 2. 【问题2】
根据上图的配置，补充完成下面路由器的配置命令：
Router(config)#interface ______
Router(config-if)#ip address 10.10.1.1 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#exit
Router(eonfig)#interface ______
Router(config-if)# ip address 192.168.1.1 255.255.255.0
Router(config)#interface ______
Router(config-if)# ip address 10.10.2.1 255.255.255.0

【正确答案】Ethernet 0/0(E0/0)
Ethernet 0/1(E0/1)
Serial 0/0(S0/0)

【答案解析】 通过配置语句Router(config-if)#ip address 10.10.1.1 255.255.255.0可知，该接口和服务器处于同一网段。推断Router(config)#interface______是配置ethernet 0/0口。
通过配置语句Router(config-if)#ip address 192.168.1.1 255.255.255.0可知，该接口和交换机连接pc处于同一网段。推断Router(config)# interface ______是配置ethernet 0/1口。
通过配置语句ip address 10.10.2.1 255.255.255.0可知，该接口就是serial 0/0口。推断Router(config)#interface ______是配置serial 0/0口。

问答题 3. 【问题3】
补充完成下面的ACL语句，禁止内网用户192.168.1.254访问公司Web服务器和外网。
Router(config)#access-list 1 deny ______
Router(config)#access-list 1 permit any
Router(config)#interface ethernet 0/1
Router(config-if)#ip access-group 1 ______

【正确答案】192.168.1.254
in

【答案解析】 题目规定“禁止内网用户192.168.1.254访问公司Web服务器和外网”即禁止192.168.1.254访问局域网外任何地址。ACL应配置为Router(config)#access-list 1 deny 192.168.1.254。
部署ACL如图所示，可知该流量对路由器EO/1来说是流入的，所以用in。

问答题 4. 【问题4】
请说明下面这组ACL语句的功能。
Router(config)#access-list 101 permit tcp any host 10.10.1.10 eq www
Router(config)#interface ethemet 0/0
Router(config-if)#ip access-group 101 out

【正确答案】表示允许所有主机访问Web服务器上的WWW服务。

【答案解析】 表示允许所有主机访问Web服务器上的WWW服务。

问答题 5. 【问题5】
请在【问题4】的ACL前面添加一条语句，使得内网主机192.168.1.2可以使用Telnet对Web服务器进行维护。
Router(config)#access-list 101 ______

【正确答案】permit tcp host 192.168.1.2 host 10.10.1.10 eq telnet
(host x.x.x.x可以写成x.x.x.x 0.0.0.0，telnet可以写成23)

【答案解析】 针对TCP和UDP的扩展访问控制列表配置：

access-list access-list_num{permit|deny} IP_protocol source_ip source_wildcard_mask[operator
source_port] destionation_ip destionation_wildcard_mask [operator destination_ort] [established]

access-list num取值100～199；permit表示允许，deny表示拒绝。
IP_protocol包括：IP、ICMP、TCP、GRE、UDP、IGRP、EIGRP、IGMP、NOS、0SPF。
source ip_source_wildcard_mask表示源地址及其反掩码。
destionation_ip destionation_wildcard_mask表示目的地址，及其反掩吗。
[operator source_port]和[operator destination_port]是操作符+端口号方式，操作符可以是It(小于)、
gt(大于)、neq(不等于)、eq(等于)、range(端口号范围)。
关键词established仅仅用于TCP连接，此关键词可以允许(拒绝)任何TCP数据段报头中RST
或ACK位设置为1的TCP流量。

题目要求“内网主机192.168.1.2可以使用Telnet对Web服务器进行维护”。因此使用permit；由于telnet属于tcp，因此IP Protocol填写tcp；soume_ip source_wildcard_mask填写host 192.168.1.2；destionation_ip sowve_wildcard_mask填写host 10.10.1.10；[operator destination_port填写eq telnet或者eq 23。
完整ACL配置如下：
Router(conng)#access-list 101 permit tcp host 192.168.1.2 host 10.10.1.10 eq telnet