1 如果将关键字established 附加到扩展ACL 的某一行，则下列那一项将决定是否在该行指定的源地址和目的地址之间发送数据包？是否启用CHAP 身份验证MD5 加密算法是否生效是否成功完成TCP 三次握手ACL 中是否特别地允许HTML 数据包2 若要尽量缓解外界的ICMP DoS 攻击，同时又不影响从内部发往外部的连通性测试，管理员最好采取什么措施？创建一个访问列表，以仅允许来自外部的应答和“目的地不可达”数据包。

创建一个访问列表，以拒绝来自外部的所有TCP 流量。

仅允许来自已知外部源的TCP 流量。

创建一个行尾带有established 关键字的访问列表。

3请参见图示。

公司针对图中网络的策略有下列指导原则：1) 网络192.168.3.0/24 中的所有主机（除主机192.168.3.77 外）应能访问网络192.168.2.0/24。

2) 网络192.168.3.0/24 中的所有主机应能访问网络192.168.1.0/24。

3) 从网络192.168.3.0 发出的其它所有流量应被拒绝。

哪组ACL 语句在应用到路由器R2 的Fa0/0 接口的入站方向后可符合此要求？access-list 101 deny ip any anyaccess-list 101 deny ip 192.168.3.77 0.0.0.0 192.168.2.0 0.0.0.255 access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 101 deny ip 192.168.3.77 0.0.0.0 192.168.2.0 0.0.0.255 access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255access-list 101 deny ip 192.168.3.77 0.0.0.0 192.168.2.0 0.0.0.255 access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255 access-list 101 deny ip 192.168.3.77 0.0.0.0 192.168.2.0 0.0.0.255 access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 access-list 101 permit ip any anyaccess-list 101 deny ip 192.168.3.77 0.0.0.0 192.168.2.0 0.0.0.255 access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.255.2554 网络管理员在路由器RTB 上输入以下命令。

RTB(config)# access-list 4 deny 192.168.20.16 0.0.0.15RTB(config)# access-list 4 permit anyRTB(config)# interface serial 0/0/0RTB(config-if)# ip access-group 4 in哪些地址被禁止进入RTB？192.168.20.17 到192.168.20.31192.168.20.16 到192.168.20.31192.168.20.16 到192.168.20.32192.168.20.17 到192.168.20.325请参见图示。

网络管理员需要将命令deny ip 10.0.0.0 0.255.255.255 any log 添加到R3 中。

添加完该命令后，管理员使用show access-list 命令检验变化情况。

新条目的序列号是多少？10，而且其它所有条目都转换成下一个序列号50606请参见图示。

网络管理员需要配置一个访问列表，以仅允许IP 地址为192.168.10.25/24 的管理主机以远程方式访问和配置路由器RTA。

所有vty 口令和使能口令均已在路由器上配置。

使用哪组命令可完成此任务？Router(config)# access-list 101 permit tcp any 192.168.10.25 0.0.0.0 eq telnetRouter(config)# access-list 101 deny ip any anyRouter(config)# int s0/0Router(config-if)# ip access-group 101 inRouter(config-if)# int fa0/0Router(config-if)#ip access-group 101 inRouter(config)# access-list 10 permit 192.168.10.25 eq telnetRouter(config)# access-list 10 deny anyRouter(config)# line vty 0 4Router(config-line)#access-group 10 inRouter(config)# access-list 86 permit host 192.168.10.25Router(config)# line vty 0 4Router(config-line)# access-class 86 inRouter(config)# access-list 125 permit tcp 192.168.10.25 any eq telnet Router(config)# access-list 125 deny ip any anyRouter(config)# int s0/0Router(config-if)# ip access-group 125 in7 ACL 主要用于过滤流量。

ACL 有哪两项额外用途？（选择两项。

）指定身份验证的源地址指定NAT 的内部主机确定QoS 通信重新组织进入VLAN 的流量过滤VTP 数据包8 ACL 日志会生成什么类型的syslog 消息？网络不稳定警告信息性严重问题9 访问控制列表在企业网络中的可能用途是下列哪两项？（选择两项。

）控制调试输出降低路由器上的处理负载允许通过路由器过滤第2 层流量控制虚拟终端对路由器的访问控制路由器接口的物理状态10请参见图示。

管理员注意到从ISP 处进入网络的流量大幅增加。

管理员清除了计数器。

几分钟之后，管理员又检查access-list 表。

从图中的输出可得出什么结论？少量HTTP 流量表明web 服务器未正确配置。

较高的POP3 流量（与SMTP 流量相比）表明企业中POP3 电子邮件客户端的数量比SMTP 客户端数量多。

大量ICMP 流量在接口处被拒绝，这是受到DoS 攻击的迹象。

较高的电子邮件流量（与web 流量相比）表明攻击目标主要是电子邮件服务器。

11请参见图示。

公司网络管理员希望将路由器RTA 配置为允许业务合作伙伴（合作伙伴A）访问内部网络的web 服务器。

该web 服务器分配有一个私有IP 地址，且路由器上为公共IP 地址配置了静态NA T。

最后，管理员添加了ACL。

然而，合作伙伴A 访问该web 服务器时被拒绝。

此问题的原因是什么？ACL 中应指定端口80。

必须将服务器的公共IP 地址209.165.201.5 指定为目的地。

应该将ACL 应用于s0/0 出站接口。

必须在ACL 中将源地址指定为198.133.219.0 255.255.255.0。

12 安全管理员希望保障企业中所有路由器vty 线路上所进行的口令交换的安全。

可采用什么选项来确保口令在通过公共网络时不以明文方式传输？使用Telnet 和身份验证服务器确保有效的身份验证。

在路由器接口上应用访问列表，以仅允许获得授权的计算机访问。

在vty 线路上应用访问列表，以仅允许获得授权的计算机访问。

在vty 线路上仅使用安全外壳(SSH)。

13 哪个ACL 可允许主机10.220.158.10 访问web 服务器192.168.3.244？access-list 101 permit tcp host 10.220.158.10 eq 80 host 192.168.3.224access-list 101 permit tcp 10.220.158.10 0.0.0.0 host 192.168.3.224 0.0.0.0 eq 80access-list 101 permit host 10.220.158.10 0.0.0.0 host 192.168.3.224 0.0.0.0 eq 80access-list 101 permit tcp 10.220.158.10 0.0.0.0 host 192.168.3.224 eq 8014请参见图示。

公司的新安全策略允许来自工程部LAN 的所有IP 流量访问Internet，但对于来自营销部LAN 的流量，则只允许其中的web 流量访问Internet。

为实施新的安全策略，可在营销部路由器的Serial 0/1 接口的出站方向上应用哪一ACL？access-list 197 permit ip 192.0.2.0 0.0.0.255 anyaccess-list 197 permit ip 198.18.112.0 0.0.0.255 any eq wwwaccess-list 165 permit ip 192.0.2.0 0.0.0.255 anyaccess-list 165 permit tcp 198.18.112.0 0.0.0.255 any eq wwwaccess-list 165 permit ip any anyaccess-list 137 permit ip 192.0.2.0 0.0.0.255 anyaccess-list 137 permit tcp 198.18.112.0 0.0.0.255 any eq wwwaccess-list 89 permit 192.0.2.0 0.0.0.255 anyaccess-list 89 permit tcp 198.18.112.0 0.0.0.255 any eq www15 什么通配符掩码可与子网192.16.5.32 /27 的主机范围相匹配？0.0.0.320.0.0.630.0.63.2550.0.0.3116请参见图示。