选择题 25. 在一台Cisco路由器的g3/1接口，封禁ICMP协议，只允许转发168.105.129.0/24子网的ICMP数据包，正确的访问控制列表的配置是______。

A、 Router(config)#interface g3/1
Router(config-if)#ip access-group 198 in
Router(config-if)#ip access-group 198 out
Router(config-if)#exit
Router(config)#access-list 198 permit icmp 168.105.129.0 0.0.0.255 any
Router(config)#access-list 198 deny icmp any any
Router(config)#access-list 198 permit ip any any
B、 Router(config)#access-list 2000 permit icmp 168.105.129.0 0.0.0.255 any
Router(config)#access-list 2000 deny icmp any any
Router(config)#access-list 2000 permit ip any any
Router(config)#interface g3/1
Router(config-if)#ip access-group 2000 in
Router(config-if)#ip access-group 2000 out
Router(config-if)#exit
C、 Router(config)#access-list 198 deny iemp any any
Router(config)#access-list 198 permit icmp 168.105.129.0 0.0.0.255 any
Router(config)#access-list 198 permit ip any any
Router(config)#interface g3/1
Router(config-if)#ip access-group 198 out
Router(config-if)#exit
D、 Router(config)#access-list 100 permit icmp 168.105.129.0 0.0.0.255 any
Router(config)#access-list 100 permit ip any any
Router(config)#access-list 100 deny icmp any any
Router(config)#interface g3/1
Router(config-if)#ip access-group 100 in
Router(config-if)#exit

【正确答案】 B

【答案解析】 全局配置模式命令格式为：
Router(config)#cess-list＜access-list_num＞＜denyIpermit＞＜protocol＞＜ip_addr＞＜wildeard_mask＞any。
禁止其他ICMP：
Router(config)#access-list 2000 deny icmp any any。
允许IP包通过：
Router(config)#access-list 2000 permit ip any any。
配置应用接口：
Router(eonfig)#interface＜接口名＞Router(config-if)#ip access-group＜access-list_num＞＜inlout＞。
另外，禁封ICMP协议为扩展访问控制命令，IP扩展访问控制列表表号范围：100～199、2000～2699。wildcard_mask为通配符，也即子网掩码的反码。故选择B选项。