用扩展访问控制列表配置封禁ICMP协议,只允许168.27.95.0/24子网的ICMP数据包通过路由器,正确的配置是______。
A.access-list 90 deny icmp 168.27.95.0 255.255.255.0 any access-list 90 deny icmp any any access-list 90 permit ip any any
B.access-list 100 permit icmp 168.27.95.0 0.0.0.255 any access-list 100 permit ip any any
C.access-list 110 permit icmp 168.27.95.0 255.255.255.0 any access-list 110 deny icmp any any
D.access-list 120 permit icmp 168.27.95.0 0.0.0.255 any access-list 120 deny icmp any any access-list 120 permit ip any any
参考答案:C
解析: 路由器扩展ACL(访问控制列表)的表号范围是100~199、2000~2699。而选项A的ACL号“90”属于标准ACL的表号范围,据此可先排除选项A。
在全局配置模式下,使用命令access-list access-list-number {permit | deny} protocol sourcewildcard-mask destination wildcard-mask [operator][operand]配置标准访问控制列表。依题意,允许168.27.95.0/24子网的ICMP数据包通过该路由器的某接口,相应的配置语句是:access-list 110permit icmp 168.27.95.0 0.0.0.255 any。
注意到题目“在该路由器接口上只封禁ICMP协议”中“只”字的要求,需要先使用命令access-list 110 deny icmp any any,再使用命令access-list 110 permit ip any any才能完成这一要求。
选项B中缺少了封禁ICMP协议的命令access-list 110 deny icmp any any。
选项C有两个错误之处:①配置语句中使用的是子网掩码255.255.255.0,而正确的配置语句应该使用的是访问控制列表通配符(Wildcard-Mask)形式,即0.0.0.255;②缺少命令access-list 110permit ip any any,它将封禁除168.27.95.0/24子网的ICMP数据包通过之外的所有通信。