1、文檔H3C 全國大學生網絡技術大賽沖刺題21.客戶路由器的接口 GigabitEthernetO/O下連接了局域網主機 HostA，其 IP 地址為/24 ;接口 Serial6/0 接口連接遠端，目前運行正常。現增加 ACL 配置如下：firewall en ablefirewall default permitacl number 3003rule 0 permit tcprule 5 permit icmpacl number 2003rule 0 deny source 55in terface GigabitEther ne

2、t0/0firewall packet-filter 3003 in bou ndfirewall packet-filter 2003 outbou ndip address in terface Serial6/0lin k-protocol pppip address 假設其他相關配置都正確，那么 _。（選擇一項或多項）A. HostA 不能 ping 通該路由器上的兩個接口地址B. HostA 不能 ping 通 ，但是可以 pi ng 通 C. HostA

3、不能 ping 通 ，但是可以 pi ng 通 D. HostA 可以 Tel net 到該路由器上An swer: CD339.兩臺 MSR 路由器通過圖示方式連接。 目前在兩臺路由器之間運行了 OSPF。如今要在 RTA 上配置 ACL 來阻止 RTA 與 RTB 之間建立 OSPF 鄰居關系，那么在 RTA 的 GE0/0 接 口 outbound 方向應用如下哪些 ACL 是可行的？6E0PGEtMO102.168.11/30192.KK 12/30RTARTBA.acl number 3000rule 0 de ny ip dest in atio

4、n 0rule 5 permit ipB.acl number 3000rule 0 deny ip dest in ation 0 eq 89rule 5 permit ipC.文檔acl number 3000rule 0 deny udp dest in ati on-port eq 89rule 5 permit ipD.acl number 3000rule 0 deny ospf rule 5 permit ipAn swer: AD353. 一臺 MSR 路由器通過 S1/0 接口連接 In ternet , GE0/0 接口連接局域網主機

5、，局域網主機所在網段為 /8 ,在 In ternet 上有一臺 IP 地址為 202.10221 的 FTP 服務器。通 過在路由器上配置 IP 地址和路由，目前局域網的主機可以正常訪問Internet（包括公網 FTP服務器），如今在路由器上增加如下配置：firewall en ableacl number 3000rule 0 deny tcp source 0 source-port eq ftp destination 0然后將此 ACL 應用在 GE0/0 接口的 inbound 和 outbound 方向， 那么這條 AC

6、L 能實現下列 哪些意圖？A. 禁止源地址為 的主機向目的主機 發起 FTP 連接B. 只禁止源地址為 的主機到目的主機 的端口為 TCP 21 的 FTP 控制連接C. 只禁止源地址為 的主機到目的主機 的端口為 TCP 20 的 FTP 數據連接D. 對從 向 發起的 FTP 連接沒有任何限制作用An swer: D354. 在路由器 MSR-1 上看到如下信息：MSR-1display acl 3000Adva need AC

7、L 3000, named -non e-, 2 rules,ACLs step is 5rule 0 permit ip source 55rule 10 deny ip （19 times matched）該 ACL 3000 已被應用在正確的接口以及方向上。據此可知 _ 。（選擇一項或多項）A. 這是一個基本 ACLB. 有數據包流匹配了規則 rule 10C. 至查看該信息時，還沒有來自/24網段的數據包匹配該 ACLD. 匹配規則 rule 10 的數據包可能是去往目的網段/24 的An swer: B

8、CD355. 某網絡連接形如：HostAGE0/0-MSR-1-S1/0-S1/0-MSR-2-GE0/0HostB兩臺 MSR 路由器 MSR-1、MSR-2 通過各自的 S1/0 接口背靠背互連，各自的 GE0/0 接口 分別連接客戶端主機 HostA 和 HostB。其中 HostA 的 IP 地址為 /24 ，MSR-2 的S0/0 接口地址為 /30，通過配置其他相關的 IP 地址和路由目前網絡中 HostA 可以和 HostB 實文檔現互通。如今客戶要求不允許 HostA 通過地址 Tel net 登錄到 MSR-2。那 么如下哪

9、些配置可以滿足此需求？A.在 MSR-1 上配置如下 ACL 并將其應用在 MSR-1 的 GE0/0 的 inbound 方向：MSR-1firewall en ableMSR-1acl number 3000MSR-1-acl-adv-3000rule 0 deny tcp source 55 destination desti nati on-port eq telnetB. 在 MSR-1 上配置如下 ACL 并將其應用在 MSR-1 的 GE0/0 的 outbound 方向： MSR-1firewall enable

10、MSR-1acl number 3000MSR-1-acl-adv-3000rule 0 deny tcp source 0 dest in ation 0desti nati on-port eq telnetC. 在 MSR-1 上配置如下 ACL 并將其應用在 MSR-1 的 S1/0 的 inbound 方向：MSR-1firewall en ableMSR-1acl number 3000MSR-1-acl-adv-3000rule 0 de ny tcp source 55 desti nation 1.

11、1.1.2 0 desti nation-port eq telnetD. 在 MSR-1 上配置如下 ACL 并將其應用在 MSR-1 的 S1/0 的 outbound 方向：MSR-1firewall en ableMSR-1acl number 3000MSR-1-acl-adv-3000rule 0 de ny tcp source 0 dest in ation desti nation-port eq telnetAn swer: AD356. 某網絡連接形如：HostAGE0/0-MSR-1-S1/0- S1/0-MSR-

12、2-GE0/0-HostB兩臺 MSR 路由器 MSR1、MSR2 通過各自的 S1/0 接口背靠背互連，各自的GigabitEthernet0/0接口分別連接客戶端主機HostA 和 HostB。通過配置 IP 地址和路由目前網絡中 HostA 可以和 HostB 實現互通。如今在 MSR-2 上增加了如下配置：firewall en ableacl number 3000rule 0 deny tcp dest in ati on-port eq telnetin terface Serial1/0lin k-protocol pppip address 255.255.2

13、55.252firewall packet-filter 3000 in bou ndfirewall packet-filter 3000 outbou ndin terface GigabitEther net0/0ip address 那么如下哪些說法是正確的？A. 后配置的 firewall packet-filter 3000 outbound 會取代 firewall packet-filter 3000 inbound 命令文檔B. 在 HostB 上無法成功 Tel net 到 MSR-1 上C. 在 HostB 上可以成功 Tel

14、net 到 MSR-1 上D. 最后配置的 firewall packet-filter 3000 outbound不會取代 firewall packet-filter 3000inbound 命令An swer: BD357. 某網絡連接形如：HostAGE0/0-MSR-1-S1/0-S1/0-MSR-2-GE0/0HostB其中兩臺 MSR 路由器 MSR-1、MSR-2 通過各自的 S1/0 接口背靠背互連，各自的 GE0/0 接 口分別連接客戶端主機 HostA 和 HostB。通過配置 IP 地址和路由，目前網絡中 HostA 可以和 HostB 實現互通。 HostA 的 IP

15、 地址為 /24， 默認網關為 MSR-1 的 GE0/0 接口地址為 /24。在 MSR-1 上增加了如下配置：firewall en ablefirewall default permitacl number 3003rule 0 deny icmp source 0 icmp-type echo-replyin terface GigabitEther netO/Ofirewall packet-filter 3003 in bou nd那么_。A. 在 HostA 上無法 pi ng 通 MSR

16、-1 的接口 GE0/0 的 IP 地址B. 在 HostA 上可以 ping 通 MSR-1 的接口 GE0/0 的 IP 地址C. 在 MSR-1 上無法 pi ng 通 HostAD. 在 MSR-1 上可以 ping 通 HostAAn swer: BC358. 在一臺路由器上配置了如下的ACL :acl nu mber 2000 match-order autorule 0 denyrule 5 permit source 55假設該 ACL 應用在正確的接口以及正確的方向上，那么 _。（選擇一項或多項）A. 源網段為 /

17、24 發出的數據流被允許通過B. 源網段為 /21 發出的數據流被允許通過C. 源網段為 /21 發出的數據流被禁止通過D. 源網段為 /22 發出的數據流被禁止通過E. 任何源網段發出的數據流都被禁止通過An swer: AB359.客戶的一臺 MSR 路由通過廣域網接口 S1/0 連接 Internet，通過局域網接口 GE0/0 連 接辦公網絡，目前辦公網絡用戶可以正常訪問 In ternet。在路由器上增加如下的 ACL 配置：firewall en ablefirewall default deny文檔#acl num

18、ber 3003rule 0 deny icmprule 5 permit tcp desti nati on-port eq 20#in terface GigabitEther net0/0firewall packet-filter 3000 in bou ndfirewall packet-filter 3000 outbou nd那么_。（選擇一項或多項）A.辦公網用戶發起的到 In ternet 的 ICMP 報文被該路由器禁止通過文檔B. 辦公網用戶發起的到達該路由器的FTP 流量可以正常通過C. 辦公網用戶發起的到達該路由器GEO/O 的 Tel net 報文可以正常通過D.

19、辦公網用戶發起的到 In ternet 的 FTP 流量被允許通過該路由器，其他所有報文都被禁止 通過該路由器An swer: A360. 客戶的路由器 MSR-1 的 GE0/0 接口下連接了一臺三層交換機，而此三層交換機是其所連接的客戶辦公網絡的多個網段的默認網關所在。MSR-1 通過串口 S1/0 連接到In ternet。全網已經正常互通， 辦公網用戶可以訪問 In ternet。在該路由器上添加如下 ACL 配置：firewall en ableacl number 3004rule 0 deny ip source 55rule 5 permi

20、t tcp source 55rule 10 permit icmp同時將 ACL 3004 應用在 GE0/0 的 inbound 方向，那么 _ 。（選擇一項或多項）A. 該路由器允許 /24網段的用戶對 In ternet 發出的 FTP 數據流通過B. 該路由器允許所有用戶的 ICMP 報文通過C. 該路由器禁止 /24 網段用戶對 In ternet 的所有 IP 流量通過D. 該路由器允許 /24 網段用戶對 In ternet 的 WWW 業務流量通過An swer: AC

21、361. 客戶的路由器 MSR-1 的 GigabitEthernet0/0接口下連接了一臺三層交換機，而此三層交換機為客戶辦公網絡的多個網段的默認網關所在。同時該路由器的廣域網接口連接到In ternet，而 In ternet 上有 DNS 服務器為客戶局域網的主機提供服務，客戶的辦公網絡可以正常訪問 In ternet ，如今在 MSR-1 的GigabitEthernet0/0 的 inbound 方向應用了如下 ACL : firewall en able acl number 3006rule 0 deny tcp source 55D. 19

22、/24網段的客戶不能夠通過 Outlook 等客戶端收發外部An swer: BCD362. 客戶的網絡結構如圖所示。要實現如下需求：rule 5 permit ip那么_。（選擇一項或多項）A. /24B. /24C. /24網段的客戶可以通過網段的客戶不能通過網段的客戶可以通過Outlook 等客戶端正常收發外部WWW 方式打開外部網頁FTP 方式從 In ternet 上下載數據文檔1. Host C 與 Host B 互訪2. Host B 和 Host A 不能互訪3. Host A 和 Host C

23、 不能互訪那么_。A. 只在 MSR-1 的接口 GE0/0 上應用高級 ACL 可以實現該需求B. 只在 MSR-1 的接口 GE0/0 上應用 ACL 無法實現該需求C. 分別在兩臺路由器的接口 GE0/0 上應用高級 ACL 可以實現該需求D. 分別在 MSR-1 的接口 S1/0、GE0/0 上應用高級 ACL 可以實現該需求 An swer: ACD363. 在路由器 MSR-1 上看到如下提示信息：MSR-1display firewall-statistics allFirewall is enable, default filtering method is permit.In

24、 terface: GigabitEthernetO/OIn-bound Policy: acl 3000Fragme nts matched no rmallyFrom 2008-11-08 2:25:13 to 2008-11-08 2:25:460 packets, 0 bytes, 0% permitted,4 packets, 240 bytes, 37% deni ed,7 packets, 847 bytes, 63% permitted default,0 packets, 0 bytes, 0% denied default,Totally 7 packets, 847 by

25、tes, 63% permitted,Totally 4 packets, 240 bytes, 37% deni ed.據此可以推測_。A. 由上述信息中的 37% denied 可以看出已經有數據匹配 ACL 3000 中的規則B. 有一部分數據包沒有匹配ACL 3000 中的規則，而是匹配了默認的permit 規則C. ACL 3000 被應用在 GigabitEthernet0/0的 inbound 方向D. 上述信息中的 0% denied default意味著該 ACL 的默認匹配規則是 denyAn swer: ABC364. 客戶路由器 MSR-1 的以太網口 Ethernet

26、1/0 配置如下：in terface Ethernet0/0ip address 該接口連接了一臺三層交換機，而此三層交換機為客戶辦公網絡的網段/24/24 的默認網關所在。 現在客戶要求在 MSR-1 上配置 ACL 來禁止辦公網絡所有用戶向 MSR-1 的地址 發起 Telnet，那么下面哪項配置是正確的？MSR-1Host AHostCTyiSR-2文檔A.acl number 3000rule 0 deny 55 desti

27、 nation 0 desti natio n-port eq tel netin terface Ethernet0/0ip address firewall packet-filter 3000 in bou ndB.文檔acl number 3000rule 0 deny 55 desti nation 0 desti natio n-port eq tel net in terfaceEthernet。/。ip address 192.168.0.

28、1 firewall packet-filter 3000 outbou ndC.acl number 3000rule 0 deny 55 0 destination 0 destination-port eq telnetin terface Ethernet0/0ip address firewall packet-filter 3000 in bou ndD.acl number 3000 rule 0 deny 55 0 destin

29、ation 0 destination-port eq telnetin terface Ethernet0/0ip address firewall packet-filter 3000 outbou ndAn swer: A365. 路由器 MSR-1 的以太網口 Ethernet0/0 配置如下：in terface Ethernet0/0ip address 在該接口下連接了一臺三層交換機，而此三層交換機為客戶辦公網絡的多個網段的默認網關所在，出于安全考慮，現在客

30、戶要求在MSR-1 的接口 Ethernet0/0 上配置 ACL （不限制應用的方向）來禁止辦公網絡所有用戶ping 通 ，可以用如下哪種配置？A. acl number 3000rule 0 deny icmp destination 0 icmp-type echo-replyB. acl number 3000rule 0 deny icmp destination 0 icmp-type echoC. acl number 3000rule 0 deny icmp destination 0

31、D. acl number 3000 rule 0 deny ip desti nation 0 eq icmpAn swer: BC366. 某網絡連接如下所示:HostAGE0/0-MSR-1-S1/0-S1/0-MSR-2-GE0/0HostB客戶要求僅僅限制 HostA 與 HostB 之間的 ICMP 報文，如下哪些做法是可行的?文檔A. 在MSR-1上配置 ACL禁止源主機HostA 應用在 MSR-1 的 GE0/0 的 outbound 方向B. 在 MSR-1上配置 ACL禁止源主機 HostA 應用在 MSR-1 的 S1/0 的 outbound

32、方向C. 在MSR-1上配置ACL禁止源主機HostB 應用在 MSR-1 的 S1/0 的 outbound 方向D. 在MSR-1上配置ACL禁止源主機HostB 應用在 MSR-1 的 GE0/0 的 outbound 方向到目的主機 HostB到目的主機 HostB到目的主機 HostA到目的主機 HostA的 ICMP 報文，并將此 ACL的 ICMP 報文，并將此 ACL的 ICMP 報文，并將此 ACL的 ICMP 報文，并將此 ACL文檔An swer: BD367. 兩臺 MSR 路由器 MSR-1、MSR-2 通過各自的 S1/0 接口背靠背互連，各自的GigabitEth

33、ernetO/O 接口分別連接客戶端主機 HostA 和 HostB :HostAGE0/0-MSR-1-S1/0-S1/0-MSR-2-GE0/0 一 HostB通過配置 IP 地址和路由目前網絡中HostA 可以和 HostB 實現互通，如今在路由器 MSR-1上增加如下 ACL 配置：firewall en ableacl number 3000rule 0 deny icmp icmp-type echoin terface GigabitEther net0/0ip address firewall packet-filter 300

34、0 in bou nd那么如下說法哪些是正確的？A. 在 HostA 上將 ping 不通自己的網關地址，即 MSR-1 上的 GE0/0 的接口地址B. 在 HostA 上 ping 不通 HostBC. 在 HostB 上能 ping 通 HostAD. 在 MSR-1 上能 pi ng 通 HostBAn swer: ABCD368. 路由器 MSR-1 的 GE0/0 接口地址為 /24 ，該接口連接了一臺三層交換機，而此三層交換機為客戶辦公網絡的多個網段的默認網關所在。MSR-1 通過串口 S1/0 連接到 In ternet。全網已經正常互通，辦公網用戶可

35、以訪問In ternet。出于安全性考慮，需要禁止客戶主機 ping MSR-1 的 GE0/0 接口，于是在該路由器上配置了如下ACL :acl number 3008rule 0 deny icmp source 55同時該 ACL 被應用在 GE0/0 的 inbound 方向。發現局域網 /24 網段的用戶依然可以 ping 通 GE0/0 接口地址。根據如上信息可以推測 _。（選擇一項或多項）A. 該 ACL 沒有生效B. 該 ACL 應用的方向錯誤C. 防火墻默認規則是允許D. 對接口 GE0/0 執行 shutdown

36、和 undo shutdown 命令后，才會實現 /24 網 段 ping 不通 MSR-1以太網接口地址An swer: C369. 客戶的網絡連接形如:S1/0-MSR-2-GE0/0 一 HostBIP 地址和路由，目前網絡中 HostA 可以和 HostB 實現互通。出于某HostB 不能 ping 通 HostA，但同時 HostA 可以 ping 通 HostB，且HostA-GE0/0-MSR-1-S1/0該網絡已經正確配置了 種安全考慮，客戶要求文檔那么如下哪些說法是正確的？（選擇一項或多項）A. 僅在 MSR-1上配置 ACL無法實現此需求B. 僅在 M

37、SR-2上配置 ACL無法實現此需求C.僅在 MSR-1上配置 ACL就可以實現此需求D. 僅在 MSR-2上配置 ACL就可以實現此需求HostA 與 HostB 之間的其他報文傳遞不受限制,文檔E.使用 ping 命令時兩主機之間的 ICMP 報文是雙向的，這個單項互通的需求無法實現An swer: CD370. 在一臺路由器 MSR-1 上看到如下信息： MSR-1display arp allType: S-Static D-Dyn amicIP Address MAC Address VLAN ID In terface Agi ng Type 0123-4321-1234 N/A GE0/0 20D經查該主機有大量病毒， 現在客戶要禁止該主機發出的報文通過MSR-1 ,那么_ 。（選擇一項或多項）An swer: AC371. 客戶的網絡如下所示：HostAGE0/0-MSR-1-S1/0-S1/0-MSR-2-GE0/0-HostB在兩臺路由器上的廣域網接口分別作了如下配置：MSR-1 :firewall en ableacl number 3000rule 0 deny ip source 55rule 5 permit ipin terface Serial1/