第七章 访问控制列表练习题参考答案

2023年12月2日发(作者：)

江西工业职业技术学院电子与信息工程分院《网络互联技术》课程

《网络互联技术》练习题

第七章：访问控制列表

参考答案

一、填空题

1、_访问控制列表_是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制。

2、访问控制列表主要分为_标准访问控制列表_和扩展访问控制列表。

3、访问控制列表最基本的功能是_数据包过滤_。

4、标准访问控制列表的列表号范围是_1-99_。

5、将 66 号列表应用到fastethernet 0/0接口的in方向上去，其命令是_ip

access-group 66 in 。

5、定义 77 号列表，只禁止192.168.5.0网络的访问，其命令是_access-list 77

deny 192.168.5.0 0.0.0.255;access-list 77 permit any_。

6、基于时间的访问控制列表，定义时间范围的关键字主要有两个，它们是_absolute_和_periodic_。

二、选择题

1、标准访问控制列表应被放置的最佳位置是在（ B ）。

A、越靠近数据包的源越好

B、越靠近数据包的目的地越好

C、无论放在什么位置都行

D、入接口方向的任何位置

2、标准访问控制列表的数字标识范围是（ B ）。

A、1-50 B、1-99 C、1-100 D、1-199

3、标准访问控制列表以（ B ）作为判别条件。

A、数据包的大小 B、数据包的源地址

C、数据包的端口号 D、数据包的目的地址

4、IP扩展访问列表的数字标示范围是多少? （ C ）。

A、0-99 B、1-99 C、100-199 D、101-200

5、下面哪个操作可以使访问控制列表真正生效：（ A ）。

A、将访问控制列表应用到接口上

B、定义扩展访问控制列表

C、定义多条访问控制列表的组合

D、用access-list命令配置访问控制列表

6、以下对思科系列路由器的访问列表设置规则描述不正确的是（ B ）。

A、一条访问列表可以有多条规则组成

B、一个接口只可以应用一条访问列表

版权所有 ● 江西工业职业技术学院电子与信息工程分院赵怀明教师 江西工业职业技术学院电子与信息工程分院《网络互联技术》课程

C、对冲突规则判断的依据是：深度优先

D、如果您定义一个访问列表而没有应用到指定接口上，思科路由器默认允许所有数据包通过该接口中。

7、下列对访问控制列表的描述不正确的是（ C ）。

A、访问控制列表能决定数据是否可以到达某处

B、访问控制列表可以用来定义某些过滤器

C、一旦定义了访问控制列表，则其所规范的某些数据包就会严格被允许或拒绝

D、访问控制列表可以应用于路由更新的过程当中

8、以下情况可以使用访问控制列表准确描述的是（ C ）。

A、禁止有CIH病毒的文件到我的主机

B、只允许系统管理员可以访问我的主机

C、禁止所有使用Telnet的用户访问我的主机

D、禁止使用UNIX系统的用户访问我的主机

9、访问控制列表（ACL）分为标准和扩展两种。下面关于ACL的描述中，错误的是( C ) 。

A、标准ACL可以根据分组中的IP源地址进行过滤

B、扩展ACL可以根据分组中的IP目标地址进行过滤

C、标准ACL可以根据分组中的IP目标地址进行过滤

D、扩展ACL可以根据不同的上层协议信息进行过滤

10、使配置的访问列表应用到接口上的命令是什么?（ D ）。

A、access-group B、access-list

C、ip access-list D、ip access-group

11、在配置访问控制列表的规则时，关键字“any”代表的通配符掩码是什么（ C ）。

A、0.0.0.0 B、所使用的子网掩码的反码

C、255.255.255.255 D、无此命令关键字

12、“ip access-group”命令在接口上缺省的应用方向是什么"（ B ）。

A、in B、out

C、具体取决于接口应用哪个访问控制列表 D、无缺省值

13、通配符掩码和子网掩码之间的关系是（ B ）。

A、两者没有什么区别

B、通配符掩码和子网掩码恰好相反

C、一个是十进制的，另一个是十六进制的

D、两者都是自动生成的

14、下列哪一个通配符掩码与子网172.16.64.0/27的所有主机匹配（ D ）。

A、255.255.255.0 B、255.255.224.0

C、0.0.0.255 D、0.0.31.255

15、在访问控制列表中地址和掩码为168.18.64.0 0.0.3.255表示的IP地址范围是（ B ）。

A、168.18.67.0~168.18.70.255

B、168.18.64.0~168.18.67.255

C、168.18.63.0~168.18.64.255

D、168.18.64.255~168.18.67.255

版权所有 ● 江西工业职业技术学院电子与信息工程分院赵怀明教师 江西工业职业技术学院电子与信息工程分院《网络互联技术》课程

16、下面关于访问控制列表的配置命令，正确的是（ B ）。

A、access-list 100 deny 1.1.1.1

B、access-list 1 permit any

C、access-list 1 permit 1.1.1.1 0 2.2.2.2 0.0.0.255

D、access-list 99 deny tcp any 2.2.2.2 0.0.0.255

17、配置如下两条访问控制列表，则访问控制列表1和2所控制的地址范围关系是：（ A ）

access-list 1 permit 10.110.10.1 0.0.255.255

access-list 2 permit 10.110.100.100 0.0.255.255

A、1和2的范围相同 B、1的范围在2的范围内

C、2的范围在1的范围内 D、1和2的范围没有包含关系

18、如果在一个接口上使用了“ip access-group”命令，但没有创建相应的access

list，在此接口上下面描述正确的是（ D ）。

A、拒绝所有的数据包in B、拒绝所有的数据包out

C、拒绝所有的数据包in、out D、允许所有的数据包in、out

19、访问控制列表配置中，操作符“gt portnumber”表示控制的是（ B ）。

A、端口号小于此数字的服务 B、端口号大于此数字的服务

C、端口号等于此数字的服务 D、端口号不等于此数字的服务

20、某台路由器上配置了如下一条访问控制列表，则下面表述正确的是（ C ）。

access-list 4 permit 202.38.160.0 0.0.0.255

access-list 4 deny 202.38.0.0 0.0.255.255

A、只禁止源地址为202.38.0.0网段的所有访问

B、只允许目的地址为202.38.0.0网段的所有访问

C、检查源IP地址，禁止202.38.0.0大网段的主机，但允许其中的202.38.160.0小网段上的主机

D、检查目的IP地址，禁止202.38.0.0大网段的主机，但允许其中的202.38.160.0小网段的主机

21、对于下面这条访问控制列表配置，下列说法正确的是（ C ）。

Router(config)#access-list 1 permit 153.19.0.128 0.0.0.127

A、允许源地址小于153.19.0.128的数据包通过

B、允许目的地址小于153.19.0.128的数据包通过

C、允许源地址大于153.19.0.128，小于153.19.0.255的数据包通过

D、允许目的地址大于153.19.0.128的数据包通过

22、访问控制列表access-list 100 permit ip 129.38.1.1 0.0.255.255

202.38.5.2 0.0.0.0的含义是（ D ）。

A、允许主机129.38.1.1访问主机202.38.5.2

B、允许129.38.0.0的网络访问202.38.0.0的网络

C、允许主机202.38.5.2访问网络129.38.0.0

D、允许129.38.0.0的网络访问主机202.38.5.2

23、如下访问控制列表的含义是（ C ）。

access-list 100 deny icmp 10.1.10.10 0.0.255.255 any host-unreachable

A、规则序列号是100，禁止到10.1.10.10主机的所有主机不可达报文

B、规则序列号是100，禁止到10.1.0.0/16网段的所有主机不可达报文

C、规则序列号是100，禁止从10.1.0.0/16网段来的所有主机不可达报文

版权所有 ● 江西工业职业技术学院电子与信息工程分院赵怀明教师 江西工业职业技术学院电子与信息工程分院《网络互联技术》课程

D、规则序列号是100，禁止从10.1.10.10主机来的所有主机不可达报文

24、访问控制列表 access-list 100 deny ip 10.1.10.10 0.0.255.255 any eq

80的含义是（ C ）。

A、规则序列号是100，禁止到10.1.10.10主机的telnet访问

B、规则序列号是100，禁止到10.1.0.0/16网段的www访问

C、规则序列号是100，禁止从10.1.0.0/16网段来的www访问

D、规则序列号是100，禁止从10.1.10.10主机来的rlogin访问

25、如下访问控制列表的含义是（ D ）。

access-list 102 deny udp 129.9.8.10 0.0.0.255 202.38.160.10 0.0.0.255 gt

128

A、规则序列号是102，禁止从202.38.160.0/24网段的主机到129.9.8.0/24网段的主机使用端口大于128的UDP协议进行连接

B、规则序列号是102，禁止从202.38.160.0/24网段的主机到129.9.8.0/24网段的主机使用端口小于128的UDP协议进行连接

C、规则序列号是102，禁止从129.9.8.0/24网段的主机到202.38.160.0/24网段的主机使用端口小于128的UDP协议进行连接

D、规则序列号是102，禁止从129.9.8.0/24网段的主机到202.38.160.0/24网段的主机使用端口大于128的UDP协议进行连接

26、下列所述的配置中，哪一个是允许来自网段172.16.0.0的数据包进入路由器的串口0? （ C ）。

A、Router(config)#access-list 10 permit 172.16.0.0 0.0.255.255

Router (config)#interface s0

Router (config-int-s0)#ip access-group 10 out

B、Router (config)#access-group 10 permit 172.16.0.0 255.255.0.0

Router (config)#interface s0

Router (config-int-s0)#ip access-list 10 out

C、Router (config)#access-list 10 permit 172.16.0.0 0.0.255.255

Router (config)#interface s0

Router (config-int-s0)#ip access-group 10 in

D、Router (config)#access-list 10 permit 172.16.0.0 .255.255.0.0’

Router (config)#interface s0

Router (config-int-s0)#ip access-group 10 in

27、以下ACL语句中，含义为“允许172.168.0.0/24 网段所有PC访问10.1.0.10中的FTP服务”的是( B ) 。

A、access-list 101 deny tcp 172.168.0.0 0.0.0.255 host 10.1.0.10 eq

ftp

B、access-list 101 permit tcp 172.168.0.0 0.0.0.255 host 10.1.0.10

eq ftp

C、access-list 101 deny tcp host 10.1.0.10 172.168.0.0 0.0.0.255 eq

ftp

D、access-list 101 permit tcp host 10.1.0.10 172.168.0.0 0.0.0.255

eq ftp

版权所有 ● 江西工业职业技术学院电子与信息工程分院赵怀明教师 江西工业职业技术学院电子与信息工程分院《网络互联技术》课程

28、在路由器上已经配置了一个访问控制列表1，并且使用了防火墙。现在需要对所有通过 Serial 0 接口进入的数据包使用规则1进行过滤。如下可以达到要求的是（ C ）。

A、在Serial0的接口模式配置：access-group 1 in

B、在Serial0的接口模式配置：access-group 1 out

C、在Serial0的接口模式配置：ip access-group 1 in

D、在Serial0的接口模式配置：ip access-group 1 out

三、多项选择题

1、配置访问控制列表必须做的配置是（ CD ）

A、设定时间段 B、指定日志主机

C、定义访问控制列表 D、在接口上应用访问控制列表

2、扩展访问列表可以使用哪些字段来定义数据包过滤规则? （ ABCD ）。

A、源IP地址 B、目的IP地址

C、端口号 D、协议类型

E、日志功能

3、使用访问控制列表可带来的好处是（ ABD ）。

A、保证合法主机进行访问，拒绝某些不希望的访问

B、通过配置访问控制列表，可限制网络流量，进行通信流量过滤

C、实现企业私有网的用户都可访问Internet

D、管理员可根据网络时间情况实现有差别的服务

4、访问控制列表可实现下列哪些要求（ ABDE ）。

A、允许202.38.0.0/16网段的主机可以使用协议HTTP访问129.10.10.1

B、不让任何机器使用Telnet登录

C、使某个用户能从外部远程登录

D、让某公司的每台机器都可经由SMTP发送邮件

E、允许在晚上8:00到晚上12:00访问网络

F、 有选择地只发送某些邮件而不发送另一些文件

5、下面哪些是ACL可以做到的（ ABC ）。

A、允许125.36.0.0/16网段的主机使用FTP协议访问主机129.1.1.1

B、不让任何主机使用Telnet登录

C、拒绝一切数据包通过

D、以上说法都不正确

6、下列关于访问列表以及访问列表配置命令的说法中，正确的是哪些?（ ABCD ）。

A、访问列表有两类：IP标准列表，IP扩展列表

B、标准访问列表根据数据包的源地址来判断是允许或者拒绝数据包

C、normal/special字段表示该规则是在普通时间段中有效还是在特殊时间段有效，缺省是在普通时间段内有效

D、扩展访问列表使用包含源地址以外的更多的信息描述数据包匹配规则

7、下面能够表示“禁止从129.9.0.0网段中的主机建立与202.38.16.0网段内的主机的WWW端口的连接”的访问控制列表是（ AB ）。

A、access-list 101 deny tcp 129.9.0.0 0.0.255.255 202.38.16.0

0.0.0.255 eq www

版权所有 ● 江西工业职业技术学院电子与信息工程分院赵怀明教师 江西工业职业技术学院电子与信息工程分院《网络互联技术》课程

B、access-list 100 deny tcp 129.9.0.0 0.0.255.255 202.38.16.0

0.0.0.255 eq 80

C、access-list 100 deny ucp 129.9.0.0 0.0.255.255 202.38.16.0

0.0.0.255 eq www

D、access-list 99 deny ucp 129.9.0.0 0.0.255.255 202.38.16.0 0.0.0.255

eq 80

8、在路由器上配置如下命令，并将此规则应用在接口上，下列说法正确的是

（ AB ）。

Access-list 100 deny icmp 10.1.0.0 0.0.255.255 any host-redirect

Access-list 100 deny tcp any 10.2.1.2. 0.0.0.0 eq 23

Access-list 100 permit ip any any

A、禁止从10.1.0.0网段发来的ICMP的主机重定向报文通过

B、禁止所有用户远程登录到10.2.1.2主机

C、允许所有的数据包通过

D、以上说法均不正确

9、对防火墙如下配置：

firwell enable

端口配置如下

interface Serial0

ip address 202.10.10.1 255.255.255.0

encapsulation ppp

nat enable

interface Ethernet0

ip address 10.110.10.1 255.255.255.0

公司的内部网络接在Ethernet0，在Serial0通过地址转换访问Internet。如果想禁止公司内部所有主机访问202.38.160.1/16的网段，但是可以访问其它站点。如下的配置可以达到要求的是（ AD ）。

A、access-list 1 deny 202.38.160.1 0.0.255.255 在Serial0口：access-group 1 in

B、access-list 1 deny 202.38.160.1 0.0.255.255 在Serial0口：access-group 1 out

C、access-list 101 deny ip any 202.38.160.1 0.0.255.255 在Ethernet0：access-group 101 in

D、access-list 101 deny ip any 202.38.160.1 0.0.255.255 在Ethernet0：access-group 101 out

10、单位路由器防火墙作了如下配置：

firewall enable

access-list normal 101 permit ip 202.38.0.0 0.0.0.255 10.10.10.10

0.0.0.255

access-list normal 101 deny tcp 202.38.0.0 0.0.0.255 10.10.10.10

0.0.0.255 gt 1024

access-list normal 101 deny ip any any

端口配置如下

interface Serial 0

版权所有 ● 江西工业职业技术学院电子与信息工程分院赵怀明教师 江西工业职业技术学院电子与信息工程分院《网络互联技术》课程

Ip address 202.38.111.25 255.255.255.0

encapsulation ppp ip

access-group 101 in

interface Ethernet0

ip address 10.10.10.1 255.255.255.0

内部局域网主机均为10.10.10.0 255.255.255.0网段。以下说法正确的是（ AE ）（本题假设其他网络均没有使用access list）：

A、外部主机202.38.0.50可以ping通任何内部主机

B、内部主机10.10.10.5，可以任意访问外部网络资源

C、内部任意主机都可以与外部任意主机建立tcp连接

D、外部202.38.5.0/24网段主机可以与此内部网主机建立tcp连接

E、外部202.38.0.0/24网段主机不可以与此内部网主机建立端口号大于1024的tcp连接

四、简答题

1、请简述什么是访问控制列表。

答案：

访问控制列表（Access Control List，ACL）是用于控制和过滤通过路由器的不同接口去往不同方向的信息流的一种机制，这种机制允许用户使用访问控制列表来管理信息流，以制作公司内部网络的相关策略。

2、访问控制列表的功能是什么。

答案：

（1）、数据包过滤

（2）、限制网络流量

（3）、提高网络性能

（4）、提高网络安全

由于ACL访问控制列表是使用包过滤技术来实现的，过滤的依据又仅仅只是第三层和第四层包头中的部分信息，这种技术具有一些固有的局限性，如无法识别到具体的人，无法识别到应用内部的权限级别等。因此，要达到端到端的权限控制目的，需要和系统级及应用级的访问权限控制结合使用。

3、请简述访问控制列表的实现机制。

答案：

（1）首先根据用户需求定义一组用于控制和过滤数据包的访问控制列表。

（2）然后再将其应用在路由器的不同接口的不同方向上。

（3）如果指定接口（该接口已应用指定的访问控制列表）指定方向（该方向上已应用指定的访问控制列表）上有数据包通过时，路由器将根据设定的访问控制列表的规则（逐条进行匹配，如果规则中上一条语句匹配，则下面所有的语句将被忽略）对数据包进行过滤，从而确定哪些数据包可以接收，哪些数据包需要拒绝。

4、访问控制列表主要有哪两种类型，各有什么区别？

版权所有 ● 江西工业职业技术学院电子与信息工程分院赵怀明教师 江西工业职业技术学院电子与信息工程分院《网络互联技术》课程

答案：

主要分为标准访问控制列表和扩展访问控制列表。

5、请简述命名访问控制列表，它具有什么优势？

答案：

命名ACL允许在标准ACL和扩展ACL中使用一个字母数字组合的字符串来替代前面所使用的数字来表示ACL表号。

在使用列表号表示的“标准IP访问控制列表”和“扩展IP访问控制列表”中，如果输入的语句出现错误，用户不能方便地进行修改，而必须先将整个ACL列表删除后，再重新创建。而在使用名字表示的“标准IP访问控制列表”和“扩展IP访问控制列表”中，用户可以方便地对ACL语句进行修改。

五、综合操作题

1、某公司总部和分支机构的网络配置如下图所示。在路由器R1和R2上配置安全策略，实现分支机构和总部的安全通信。

【问题】

完成以下ACL配置，实现总部主机10.0.1.3和分支机构主机10.0.2.3的通信。

R1(config)#access-list 110 permit ip host ______ host ________

R2(config)#access-list 110 permit ip host ________ host 10.0.1.3

参考答案：

l 10.0.1.3

l 10.0.2.3

版权所有 ● 江西工业职业技术学院电子与信息工程分院赵怀明教师 江西工业职业技术学院电子与信息工程分院《网络互联技术》课程

l 10.0.2.3

2、某公司采用100M宽带接入Internet，公司内部有15台PC机，要求都能够上网。另外有2台服务器对外分别提供Web和E-mail服务，采用防火墙接入公网，拓扑结构如下图所示。

【问题1】

1．ACL默认执行顺序是 ____ ，在配置时要遵循 ____ 原则、最靠近受控对象原则、以及默认丢弃原则。

（A）最大特权 （B）最小特权 （C）随机选取

（D）自左到右 （E）自上而下 （F）自下而上

2．要禁止内网中IP地址为198.168.46.8的PC机访问外网，正确的ACL规则是_______。

（A）access-list 1 permit ip 192.168.46.0 0.0.0.255 any

access-list 1 deny ip host 198.168.46.8 any

（B）access-list 1 permit ip host 198.168.46.8 any

access-list 1 deny ip 192.168.46.0 0.0.0.255 any

（C）access-list 1 deny ip 192.168.46.0 0.0.0.255 any

access-list 1 permit ip host 198.168.46.8 any

（D）access-list 1 deny ip host 198.168.46.8 any

access-list 1 permit ip 192.168.46.0 0.0.0.255 any

答案：

l E

l B

l D

【问题2】

下面是在防火墙中的部分配置命令，请解释其含义：

permit tcp host 202.134.135.99 eq www any _____

access-list 10 permit ip any any ____

l 允许任意外网主机访问202.134.135.99提供的WWW服务

l 允许任意IP数据包进出

版权所有 ● 江西工业职业技术学院电子与信息工程分院赵怀明教师 江西工业职业技术学院电子与信息工程分院《网络互联技术》课程

3、根据如下图示使用扩展访问控制列表实现：只允许外部网络的SMTP通信流量通过e1。

答案：

l Router(config)# access-list 101 permit tcp any 172.16.4.0

0.0.0.255 eq 25

l Router(config)# interface ethernet 1

l Router(config-if)# ip access-group 101 out

4、根据如下图示使用扩展访问控制列表实现：拒绝网络172.16.4.0 的FTP通信流量通过e0。

答案：

l Router(config)# access-list 101 deny tcp 172.16.4.0 0.0.0.255

172.16.3.0 0.0.0.255 eq 21

l Router(config)# access-list 101 permit ip any any

l Router(config)# interface ethernet 0

l Router(config-if)# ip access-group 101 out

版权所有 ● 江西工业职业技术学院电子与信息工程分院赵怀明教师