选择题 9. 在Cisco路由器上封禁IP地址为211.78.25.23的主机，下列access-list配置，正确的是______。

A、 access-list 112 permit any any ip
access-list 112 deny ip host 211.78.25.23 any
access-list 112 deny ip any host 211.78.25.23
B、 access-list 112 deny ip host 211.78.25.23 any
access-list 112 deny ip any host 211.78.25.23
access-list 112 permit any any ip
C、 access-list 112 deny ip host 211.78.25.23 any
access-list 112 deny ip any host 211.78.25.23
access-list 112 permit ip any any
D、 access-list 112 deny ip host 211.78.25.23 any
access-list 112 deny ip host any 211.78.25.23
access-list 112 permit ip any any

【正确答案】 C

【答案解析】 ①在路由器上使用访问控制列表(Access Control List, ACL)时需要注意ACL语句的顺序，因为路由器执行哪条ACL语句是按照配置的ACL中的条件语句，从第一条开始顺序执行。数据包只有在跟第一个判断条件不匹配时，才能交给ACL中下一个语句进行比较。
②access-list语法为：access-list access-list-numher permit|deny protocol source wildcard-mask destination wildcard-mask[operator][operand]。
A选项中，允许和拒绝的语句顺序不对，应该先执行拒绝语句然后再执行允许语句。
B选项中access-list 112 permit any any ip, ip协议放置的位置不对，ip协议应该放在permit后面。故B选项错误。
D选项中access-list 112 deny ip host any 211.78.25.23中“host any”中语句错误，应该是any host，意为任何主机。
综上所述，可知C选项正确。