问答题
.阅读以下说明,回答问题1至问题3。
【说明】
某学校的网络拓扑结构如图所示。
【说明】
某学校的网络拓扑结构如图所示。
问答题
1. 【问题1】
常用的IP访问控制列表有两种,它们是编号为______和1300~1399的标准访问控制列表及编号为______和2000~2699的扩展访问控制列表。其中,标准访问控制列表是根据IP报文的______对IP报文进行过滤,扩展访问控制列表是根据IP报文的______、______、上层协议和时间等来对IP报文进行过滤。一般地,标准访问控制列表放置在靠近______的位置,扩展访问控制列表放置在靠近______的位置。
常用的IP访问控制列表有两种,它们是编号为______和1300~1399的标准访问控制列表及编号为______和2000~2699的扩展访问控制列表。其中,标准访问控制列表是根据IP报文的______对IP报文进行过滤,扩展访问控制列表是根据IP报文的______、______、上层协议和时间等来对IP报文进行过滤。一般地,标准访问控制列表放置在靠近______的位置,扩展访问控制列表放置在靠近______的位置。
【正确答案】1~99 100~199 源地址 源地址
目标地址 目标地址 源地址
目标地址 目标地址 源地址
【答案解析】 本题是之前考过的原题,属于基本概念题。相对比较简单。
问答题
2. 【问题2】
为保障安全,使用ACL对网络中的访问进行控制。访问控制的要求如下:
(1)家属区不能访问财务服务器,但可以访问互联网;
(2)学生宿舍区不能访问财务服务器,且在每天晚上18:00~24:00禁止访问互联网;
(3)办公区可以访问财务服务器和互联网;
(4)教学区禁止访问财务服务器,且每天8:00~18:00禁止访问互联网。
(1)使用ACL对财务服务器进行访问控制,请将下面配置补充完整。
R1(config)#access-list 1 ______ ______ 0.0.0.255
R1(config)#access-list 1 deny 172.16.10.0 0.0.0.255
R1(config)#access-list 1 deny 172.16.20.0 0.0.0.255
R1(config)#access-list 1 deny ______ 0.0.0.255
R1(config)#interface ______
R1(config-if)#ip access-group 1 ______
(2)使用ACL对Internet进行访问控制,请将下面配置补充完整。
Route-Switch(config)#time-range jxq∥定义教学区时间范围
Route-Switch(config-time-range)#periodic daily ______
Route-Switch(config)#time-range xsssq//定义学生宿舍区时间范围
Route-Switch(config-time-range)#periodic ______ 18:00 to 24:00
Route-Switch(config-time-range)#exit
Route-Switch(config)#access-list 100 permit ip 172.16.t0.0 0.0.0.255 any
Route-Switch(config)#access-list 100 permit ip 172.16.40.0 0.0.0.255 any
Route-Switch(config)#access-list 100 deny ip ______ 0.0.0.255 time-range jxq
Route-Switch(config)#access-list 100 deny ip ______ 0.0.0.255 time-range xsssq
Route-Switch(config)#interface ______
Route-Switch(config--if)#ip access-group 100 out
为保障安全,使用ACL对网络中的访问进行控制。访问控制的要求如下:
(1)家属区不能访问财务服务器,但可以访问互联网;
(2)学生宿舍区不能访问财务服务器,且在每天晚上18:00~24:00禁止访问互联网;
(3)办公区可以访问财务服务器和互联网;
(4)教学区禁止访问财务服务器,且每天8:00~18:00禁止访问互联网。
(1)使用ACL对财务服务器进行访问控制,请将下面配置补充完整。
R1(config)#access-list 1 ______ ______ 0.0.0.255
R1(config)#access-list 1 deny 172.16.10.0 0.0.0.255
R1(config)#access-list 1 deny 172.16.20.0 0.0.0.255
R1(config)#access-list 1 deny ______ 0.0.0.255
R1(config)#interface ______
R1(config-if)#ip access-group 1 ______
(2)使用ACL对Internet进行访问控制,请将下面配置补充完整。
Route-Switch(config)#time-range jxq∥定义教学区时间范围
Route-Switch(config-time-range)#periodic daily ______
Route-Switch(config)#time-range xsssq//定义学生宿舍区时间范围
Route-Switch(config-time-range)#periodic ______ 18:00 to 24:00
Route-Switch(config-time-range)#exit
Route-Switch(config)#access-list 100 permit ip 172.16.t0.0 0.0.0.255 any
Route-Switch(config)#access-list 100 permit ip 172.16.40.0 0.0.0.255 any
Route-Switch(config)#access-list 100 deny ip ______ 0.0.0.255 time-range jxq
Route-Switch(config)#access-list 100 deny ip ______ 0.0.0.255 time-range xsssq
Route-Switch(config)#interface ______
Route-Switch(config--if)#ip access-group 100 out
【正确答案】permit 172.16.40.0 172.16.30.0 fO/1 out
8:00 to 18:00 daily 172.16.30.0 172.16.20.0
F0/5
8:00 to 18:00 daily 172.16.30.0 172.16.20.0
F0/5
【答案解析】 基于时间的ACL题,也是原来考过的原题,因此可以只注意时间ACL的几个基本命令。
问答题
3. 【问题3】
网络在运行过程中发现,家属区网络经常受到学生宿舍区网络的DDoS攻击,现对家属区网络和学生宿舍区网络之间的流量进行过滤,要求家属区网络可访问学生宿舍区网络,但学生宿舍区网络禁止访问家属区网络。
采用自反访问列表实现访问控制,请解释配置代码。
Route-Switch(config)#ip access-list extended infilter
Route-Switch(config-ext-nacl)#permit ip any 172.16.20.0 0.0.0.255 reflect jsq ______
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#ip access-list extended outfilter
Route-Switch(config-ext-nacl)#evaluatejsq ______
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#interface fastethemet 0/1
Route-Switch(config-if)#ip access-group infilter in
Route-Switch(config-if)#ip access-group outfilter out //______
网络在运行过程中发现,家属区网络经常受到学生宿舍区网络的DDoS攻击,现对家属区网络和学生宿舍区网络之间的流量进行过滤,要求家属区网络可访问学生宿舍区网络,但学生宿舍区网络禁止访问家属区网络。
采用自反访问列表实现访问控制,请解释配置代码。
Route-Switch(config)#ip access-list extended infilter
Route-Switch(config-ext-nacl)#permit ip any 172.16.20.0 0.0.0.255 reflect jsq ______
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#ip access-list extended outfilter
Route-Switch(config-ext-nacl)#evaluatejsq ______
Route-Switch(config-ext-nacl)#exit
Route-Switch(config)#interface fastethemet 0/1
Route-Switch(config-if)#ip access-group infilter in
Route-Switch(config-if)#ip access-group outfilter out //______
【正确答案】设定该条语句执行自反,自反列表的名字为JSQ
计算生成自反列表
接口的出方向应用自反访问列表
计算生成自反列表
接口的出方向应用自反访问列表
【答案解析】 这几个小问是自反访问控制列表相关的,虽然以前也考过,但相对来说比较难。鉴于自反访问控制列表在实际工程中的应用比较广,因此有必要掌握。对于这个知识点,关键是掌握自反访问控制列表的基本概念和配置。