只封禁一台IP地址为203.168.47.59主机的access-list的正确配置

问题单项选择题

只封禁一台IP地址为203.168.47.59主机的access-list的正确配置是______。

A．access-list 110 permit ip any any
access-list 110 deny ip host 203.168.47.59 any
access-list 110 denyip any host 203.168.47.59
B．access-list 110 deny ip host 203.168.47.59 any
access-list 110 deny ip any host 203.168.47.59
access-list 110 permit ip any any
C．access-list 110 denyiphost 203.168.47.59 any
access-list 110 deny ip any host 203.168.47.59
D．access-list 110 deny ip host 203.168.47.59 any
access-list 110 permit ip any any
access-list 110 deny ip any host 203.168.47.59

答案

参考答案：B

解析：在配置过滤规则时，需要特别注意的是ACL语句的顺序。因为路由器接口执行哪一条ACL是按照配置的访问控制列表中的条件语句(准则)从第一条开始顺序执行的。数据包只有在与第一个判断条件不匹配时，才能被交给ACL中的下一个条件语句进行比较。因此，ACL语句的先后顺序非常重要。本题要求只封禁一台IP地址为203.168.47.59主机，即允许除203.168.47.59以外的所有源地址都能通过路由器，这时需要先配置“deny 203.168.47.59”再配置“permit any any”。如果把顺序倒过来，把“permit any any”语句放在前面，那么“deny 203.168.47.59”就不起作用了，这样就不能按照预期的应用需求正确地控制数据包的接收与拒绝。所以本题的正确答案为B。