在Cisco路由器上,用扩展访问控制列表封禁IP地址为211.102.33.24的主机,正确的配置语句是()。
A.access-list 99 deny ip host 211.102.33.24 any
access-list 99 deny ip any host 211.102.33.24
access-list 99 permit ip any any
B.access-list 100 permit ip any any
access-list 100 deny ip host 211.102.33.24 any
access-list 100 deny ip any host 211.102.33.24
C.access-list 199 deny ip host 211.102-33.24 any
access-list 199 deny ip any host 211.102.33.24
access-list 199 permit ip any any
D.access-list 166 deny ip host 211.102.33.24 any
access-list 166 permit ip any any
参考答案:C
解析:
标准访问控制列表的表号范围是1~99、1300~1999。扩展访问控制列表的表号范围是100~199、2000~2699。因此可先排除选项A。
在Cisco路由器上,用扩展访问控制列表封禁IP地址为211.102.33.24的主机,可能的一种配置语句如下:
如果将“access-list 199 permit ip any any”放在ACL规则的最前面(见选项B),则其后两条deny语句将不起作用,即不能按照预期的应用需求正确地控制数据包的接收与拒绝。因此可排除选项B。
在选项D的ACL规则中,只封禁了IP地址为211.102.33.24的主机对外的单向通信,但允许其他主机或路由器访问211.102.33.24的主机,显然不符合题意的要求,因此可排除选项D。