【计算机类职业资格】计算机思科认证-11及答案解析.doc

1、计算机思科认证-11 及答案解析(总分：100.00，做题时间：90 分钟)一、单项选择题(总题数：33，分数：82.50)1.下面哪种有关 VLAN 的说法是正确的?（分数：2.50）A.VLAN 极大地降低了网络的安全性B.VLAN 增加了冲突域，同时缩小了它们的规模C.VLAN 减少了广播域，同时缩小了它们的规模D.在网络中添加、移走和更换设备很容易，只需将端口加入合适的 VLAN 即可2.在下图中，要让属于同一个 VLAN 的主机能相互通信，线条两端的端口必须是什么端口?（分数：2.50）A.接入端口B.10 GB 端口C.中继端口D.生成树端口3.接入端口可以是两个 VLAN 的成员

2、，但第二个 VLAN 必须是下面哪种类型?（分数：2.50）A.从 VLANB.语音 VLANC.主 VLAND.中继 VLAN4.在下述创建 VLAN 接口的配置中，缺失了哪个命令? 2960#config t 2960(config)#int vlan 1 2960(config-if)#ip address 192.168.10.2 255.255.255.0 2960(config-if) #exit 2960(config)#ip default-gateway 192.168.10.1（分数：2.50）A.no shutdown(在 vlan 1 的接口配置模式下)B.encaps

3、ulation dot1q 1(在 vlan 1 的接口配置模式下)C.switchport access vlan 1D.passive-interface5.下面哪种有关 ISL 和 802.1q 的说法是正确的?（分数：2.50）A.802.1q 使用控制信息封装帧，而 ISL 插入一个包含标记控制信息的 ISL 字段B.802.1q 是思科专用的C.ISL 使用控制信息封装帧，而 802.1q 插入一个包含标记控制信息的 802.1q 字段D.ISL 是一种标准6.下图描绘的是哪种概念? （分数：2.50）A.多协议路由选择B.被动接口C.网关冗余D.单臂路由器7.在下图所示的网络中，

4、要在 VLAN 2 和 VLAN 3 之间启用 VLAN 间路由选择，图中所示的配置缺少了哪个命令? （分数：2.50）A.encapsulation dot1q 3(在接口 f0/0.2 的接口配置模式下)B.encapsulation dot1q 2(在接口 f0/0.2 的接口配置模式下)C.no shutdown(在接口 f0/0.2 的接口配置模式下)D.no shutdown(在接口 f0/0.3 的接口配置模式下)8.根据下述配置，哪种说法是正确的? S1(config)#-ip routing S1(config)#int vlan 10 S1(config-if)#ip ad

5、dress 192.168.10.1 255.255.255.0 S1(config-if)#int vlan 20 S1(config-if)#ip address 192.168.20.1 255.255.255.0（分数：2.50）A.这是一台多层交换机B.两个 VLAN 属于同一个子网C.必须配置封装D.VLAN 10 是管理 VLAN9.根据下述输出，哪种说法是正确的?（分数：2.50）A.接口 F0/15 是一个中继端口B.接口 F0/17 是一个接入端口C.接口 F0/21 是一个中继端口D.VLAN 1 的成员是手动指定的10.使用 802.1q 时，未标记的帧属于_VLAN。

6、（分数：2.50）A.辅助B.语音C.本机D.私有11.下面哪种有关虚拟局域网的说法是正确的?（分数：2.50）A.VLAN 依赖于设备的位置B.VLAN 不能跨越多台交换机C.VLAN 可能是主网络的子网D.VLAN 定义了冲突域12.在下图中，主机 B 的默认网关地址是哪个? （分数：2.50）A.192.168.10.1B.192.168.1.65C.192.168.1.129D.192.168.1.213.在虚拟局域网(VLAN)中，帧标记的作用是什么?（分数：2.50）A.VLAN 间路由选择B.加密网络分组C.对通过中继链路传输的帧进行标识D.对通过接入链路传输的帧进行标识14.下

7、面哪种有关帧标记方法 802.1q 的说法是正确的?（分数：2.50）A.802.1q 添加 26 字节的帧尾和 4 字节的帧头B.802.1q 使用本机 VLANC.802.1q 不修改原始以太网帧D.802.1q 只能用于思科交换机15.下面哪种有关将分组与访问控制列表进行比较的说法不对?（分数：2.50）A.总是按顺序将分组与访问控制列表的每一行进行比较B.在访问控制列表中，找到分组满足的条件后，对分组采取相应的措施，且不再进行比较C.每个访问控制列表末尾都有一条隐式的 deny 语句D.只要还有语句未分析，比较就不算完16.要禁止来自网络 192.168.160.0192.168.19

8、1.0 的数据流通过，使用下面哪个访问控制列表?（分数：2.50）A.access-list 10 deny 192.168.160.0 255.255.224.0B.access-list 10 deny 192.168.160.0 0.0.191.255C.access-list 10 deny 192.168.160.0 0.0.31.255D.access-list 10 deny 192.168.0.0 0.0.31.25517.你创建了一个名为 Blocksales 的命名访问控制列表，要将其应用于路由器接口 Fa0/0 的入站方向，可使用下面哪个命令?（分数：2.50）A.(co

9、nfig)#ip access-group 110 inB.(config-if)#ip access-group 110 inC.(config-if)#ip access-group Blocksales inD.(config-if)#Blocksales ip access-list in18.网络 192.168.144.0/24 包含 Web 服务器，下面哪条访问控制列表语句允许所有 HTTP 数据流前往该网络?（分数：2.50）A.access-list 110 permit tcp 192.168.144.0 0.0.0.255 any eq 80B.access-list 1

10、10 permit tcp any 192.168.144.0 0.0.0.255 eq 80C.access-list 110 permit tcp 192.168.144.0 0.0.0.255 192.168.144.0 0.0.0.255 any eq 80D.access-list 110 permit udp any 192.168.144.0 eq 8019.下面哪个访问控制列表只允许 HTTP 数据流进入网络 196.15.7.0?（分数：2.50）A.access-list 100 permit tcp any 196.15.7.0 0.0.0.255 eq wwwB.acc

11、ess-list 10 deny tcp any 196.15.7.0 eq wwwC.access-list 100 permit 196.15.7.0 0.0.0.255 eq wwwD.access-list 110 permit ip any 196.15.7.0 0.0.0.255E.access-list 110 permit www 196.15.7.0 0.0.0.25520.下面哪个路由器命令让你能够判断在特定接口上是否应用了 IP 访问控制列表?（分数：2.50）A.show ip portB.show access-listsC.show ip interfaceD.sh

12、ow access-lists interface21.如果只禁止所有到网络 192.168.10.0 的 Telnet 连接，可使用下面哪个命令?（分数：2.50）A.access-list 100 deny tcp 192.168.10.0 255.255.255.0 eq telnetB.access-list 100 deny tcp 192.168.10.0 0.255.255.255 eq telnetC.access-list 100 deny tcp any 192.168.10.0 0.0.0.255 eq 23D.access-list 100 deny 192.168.1

13、0.0 0.0.0.255 any eq 2322.如果要禁止从网络 200.200.10.0 以 FTP 方式访问网络 200.199.11.0，但允许其他所有数据流通过，可使用下面哪一项列出的命令?（分数：2.50）A.access-list 110 deny 200.200.10.0 to network 200.199.11.0 eq ftpaccess-list 111 permit ip any 0.0.0.0 255.255.255.255B.access-list l deny ftp 200.200.10.0 200.199.11.0 any anyC.access-list

14、 100 deny tcp 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftpD.access-list 198 deny tcp 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftpaccess-list 198 permit ip any 0.0.0.0 255.255.255.25523.要创建一个扩展访问控制列表，以禁止来自主机 172.16.50.172/20 所属子网的数据流通过，首先创建下面哪条语句?（分数：2.50）A.access-list 110 deny ip 172

15、.16.48.0 255.255.240.0 anyB.access-list 110 udp deny 172.16.0.0 0.0.255.255 ip anyC.access-list 110 deny tcp 172.16.64.0 0.0.31.255 any eq 80D.access-list 110 deny ip 172.16.48.0 0.0.15.255 any24.下面哪项是子网掩码/27 的通配符(反转)版本?（分数：2.50）A.0.0.0.7B.0.0.0.3 1C.0.0.0.27D.0.0.31.25525.要创建一个扩展访问控制列表，以禁止来自主机 172.

16、16.198.94/19 所属子网的数据流通过，首先创建下面哪条语句?（分数：2.50）A.access-list 110 deny ip 172.16.192.0 0.0.31.255 anyB.access-list 110 deny ip 172.16.0.0 0.0.255.255 anyC.access-l-ist 110 deny ip 172.16.172.0 0.0.31.255 anyD.access-list 110 deny ip 172.16.188.0 0.0.15.255 any26.假设在路由器的一个接口上应用了下述访问控制列表： access-list 101

17、deny tcp 199 .111.16 .32 0.0.0.31 host 199.168.5.60 请问这条语句将禁止来自下面哪些 IP 地址的数据流通过?（分数：2.50）A.199.111.16.67B.199.111.16.38C.199.111.16.65D.199.11.16.5427.要将访问控制列表 110 应用于接口 Ethernet0 的入站方向，可使用下面哪个命令?（分数：2.50）A.Router(config)#ip access-group 110 inB.Router(config)#ip access-list 110 inC.Router(config-if

18、)#ip access-group 110 inD.Router(conf-ig-if)#ip access-list 110 in28.下述只包含一条语句的访问控制列表有何作用? access-list 110 deny ip 172.16.10.0 0.0.0.255 host 1.1.1.1.（分数：2.50）A.只禁止来自 172.16.10.0 的数据流通过B.禁止所有数据流通过C.禁止来自子网 172.16.10.0/26 的数据流通过D.禁止来自子网 172.16.10.0/25 的数据流通过29.你配置了如下访问控制列表： access-list 110 deny tcp 10

19、.1.1.128 0.0.0.63 any eq smtp access-list 110 deny tcp any any eq 23 int ethernet 0 ip access-group 110 out 请问这将导致什么样的结果?（分数：2.50）A.允许 email 和 Telnet 数据流从接口 E0 出去B.允许 email 和 Telnet 数据流从接口 E0 进入C.允许除 email 和 Telnet 外的其他数据流从接口 E0 出去D.禁止任何 IP 数据流从接口 E0 出去30.下面列出的哪一项命令禁止以 Telnet 方式访问路由器?（分数：2.50）A.Lab_

20、A(config)#access-list 10 permit 172.16.1.1Lab_A(config)#line con 0Lab_A(config-line)#ip access-group 10 inB.Lab_A(config)#access-list 10 permit 172.16.1.1Lab_A(config)#line vty 0 4Lab_A(config-line)#access-class 10 outC.Lab_A(config)#access-list 10 permit 172.16.1.1Lab_A(config)#line vty 0 4Lab_A (c

21、onfig-line)#access-class 10 inD.Lab_A(config)#access-list 10 permit 172.16.1.1Lab_A(config)#line vty 0 4Lab_A(conf-ig-line)#ip access-group 10 in31.下面哪种有关应如何将访问控制列表应用于接口的说法是正确的?（分数：2.50）A.可根据需要将任意数量的访问控制列表应用于任何接口，直到内存耗尽B.在任何接口上都只能应用一个访问控制列表C.在每个接口的每个方向上，只能针对每种第 3 层协议应用一个访问控制列表D.在任何接口上都可应用两个访问控制列表32.

22、当前网络面临的最常见的攻击是什么?（分数：2.50）A.撬锁攻击(lock picking)B.NaggleC.DoSD.auto secure33.为实时防范 DoS 攻击，并将攻击网络的企图记录到日志，应如何做?（分数：2.50）A.添加路由器B.使用 auto secure 命令C.实现 IDS/IPSD.配置 Naggle二、论述题(总题数：7，分数：17.50)34.要让第 3 层交换机在下述命令创建的两个 VLAN 之间提供路由选择功能，还需配置哪个命令? S1(config)#int vlan 10 S1(config-if)#ip address 192.168.10.1 25

23、5.255.255.0 S1(config-if)#int vlan 20 S1(config-if)#ip address 192.168.20.1 255.255.255.0 （分数：2.50）_35.要将接口分配到 VLAN 2，可使用什么命令?只需指出命令，不必指出提示符。 （分数：2.50）_36.下面的输出是由什么命令生成的? （分数：2.50）_37.下述输出是由哪个命令生成的?只需指出命令，不必指出提示符。 Name: Fa0/15 Switchport: Enabled Administrative Mode: dynamic desirable Operational Mo

24、de: trunk Administrative Trunking Encapsulation: negotiate Operational Trunking Encapsulation: is 1 Negotiation of Trunking: On Access Mode VLAN: 1 (default) Trunking Native Mode VLAN: 1 (default) Administrative Native VLAN tagging: enabled Voice VLAN: none output cut （分数：2.50）_38.要在第 2 层交换机上创建 VLAN

25、 2，需要使用什么命令?只需指出命令，不必指出提示符。 （分数：2.50）_39.要禁止接口生成 DTP 帧，可使用哪个命令?只需指出命令，不必指出提示符。 （分数：2.50）_40.将下面的 show 命令与功能正确搭配起来。 show access-list 只显示访问控制列表 110 的参数，但不会指出该访问控制列表被应用于哪个接口 show access-list 110 只显示路由器上配置的 IP 访问控制列表 show ip access-list 显示应用于指定接口的访问控制列表 show ip interface 显示路由器中配置的所有访问控制列表及其参数，但不会指出访问控制列

26、表被应用于 哪个接口 （分数：2.50）_计算机思科认证-11 答案解析(总分：100.00，做题时间：90 分钟)一、单项选择题(总题数：33，分数：82.50)1.下面哪种有关 VLAN 的说法是正确的?（分数：2.50）A.VLAN 极大地降低了网络的安全性B.VLAN 增加了冲突域，同时缩小了它们的规模C.VLAN 减少了广播域，同时缩小了它们的规模D.在网络中添加、移走和更换设备很容易，只需将端口加入合适的 VLAN 即可 解析：解析 下面简要地说明了 VLAN 简化网络管理的方式。 在网络中添加、移走和更换设备很容易，只需将端口加入合适的 VLAN 即可。 对于安全要求极高的用户，

27、可将他们加入一个独立的 VLAN，这样，其他 VLAN 中的用户将不能与他们通信。作为用户逻辑编组，VLAN 可独立于用户的物理(地理)位置。 实现正确的情况下，VLAN 可极大地改善网络安全。 VLAN 增加了广播域的数量，从而缩小了广播域的规模。2.在下图中，要让属于同一个 VLAN 的主机能相互通信，线条两端的端口必须是什么端口?（分数：2.50）A.接入端口B.10 GB 端口C.中继端口 D.生成树端口解析：解析 使用中继链路能让 VLAN 横跨多台交换机。中继链路为多个 VLAN 传输数据流。3.接入端口可以是两个 VLAN 的成员，但第二个 VLAN 必须是下面哪种类型?（分数：

28、2.50）A.从 VLANB.语音 VLAN C.主 VLAND.中继 VLAN解析：解析 接入端口只能属于一个数据 VLAN，但大多数交换机都允许将接入端口分配给另一个 VLAN，以便传输语音数据流，这种 VLAN 被称为语音 VLAN。语音 VLAN 通常被称为辅助 VLAN，可以与数据 VLAN 重叠，从而让同一个端口可同时传输语音和数据。4.在下述创建 VLAN 接口的配置中，缺失了哪个命令? 2960#config t 2960(config)#int vlan 1 2960(config-if)#ip address 192.168.10.2 255.255.255.0 2960(

29、config-if) #exit 2960(config)#ip default-gateway 192.168.10.1（分数：2.50）A.no shutdown(在 vlan 1 的接口配置模式下) B.encapsulation dot1q 1(在 vlan 1 的接口配置模式下)C.switchport access vlan 1D.passive-interface解析：解析 必须给 VLAN 接口配置命令 no shutdown。5.下面哪种有关 ISL 和 802.1q 的说法是正确的?（分数：2.50）A.802.1q 使用控制信息封装帧，而 ISL 插入一个包含标记控制信息

30、的 ISL 字段B.802.1q 是思科专用的C.ISL 使用控制信息封装帧，而 802.1q 插入一个包含标记控制信息的 802.1q 字段 D.ISL 是一种标准解析：解析 不像 ISL 那样使用控制信息来封装帧，802.1q 插入一个包含标记控制信息的 802.1q 字段。6.下图描绘的是哪种概念? （分数：2.50）A.多协议路由选择B.被动接口C.网关冗余D.单臂路由器 解析：解析 可不给每个 VLAN 提供一个路由器接口，而只使用一个快速以太网接口，并在该接口上运行中继协议 ISL 或 802.1q。这让所有 VLAN 都通过一个接口进行通信，思科称之为“单臂路由器”。7.在下图所

31、示的网络中，要在 VLAN 2 和 VLAN 3 之间启用 VLAN 间路由选择，图中所示的配置缺少了哪个命令? （分数：2.50）A.encapsulation dot1q 3(在接口 f0/0.2 的接口配置模式下)B.encapsulation dot1q 2(在接口 f0/0.2 的接口配置模式下) C.no shutdown(在接口 f0/0.2 的接口配置模式下)D.no shutdown(在接口 f0/0.3 的接口配置模式下)解析：解析 配置每个子接口时，都必须使用命令 encapsulation 指定接口所属的 VLAN。8.根据下述配置，哪种说法是正确的? S1(confi

32、g)#-ip routing S1(config)#int vlan 10 S1(config-if)#ip address 192.168.10.1 255.255.255.0 S1(config-if)#int vlan 20 S1(config-if)#ip address 192.168.20.1 255.255.255.0（分数：2.50）A.这是一台多层交换机 B.两个 VLAN 属于同一个子网C.必须配置封装D.VLAN 10 是管理 VLAN解析：解析 在多层交换机上，启用 IP 路由选择，并使用命令 interface vlan number 为每个 VLAN 创建一个逻辑接

33、口后，就会在交换机背板上执行 VLAN 间路由选择。9.根据下述输出，哪种说法是正确的?（分数：2.50）A.接口 F0/15 是一个中继端口 B.接口 F0/17 是一个接入端口C.接口 F0/21 是一个中继端口D.VLAN 1 的成员是手动指定的解析：解析 端口 Fa0/15Fa0/18 未包含在任何 VLAN 中，它们是中继端口。10.使用 802.1q 时，未标记的帧属于_VLAN。（分数：2.50）A.辅助B.语音C.本机 D.私有解析：解析 未标记的帧属于本机 VLAN默认为 VLAN 1。11.下面哪种有关虚拟局域网的说法是正确的?（分数：2.50）A.VLAN 依赖于设备的位

34、置B.VLAN 不能跨越多台交换机C.VLAN 可能是主网络的子网 D.VLAN 定义了冲突域解析：解析 VLAN 不依赖设备的位置，通过使用中继链路可横跨多台交换机，还可以是主网络的子网。12.在下图中，主机 B 的默认网关地址是哪个? （分数：2.50）A.192.168.10.1B.192.168.1.65 C.192.168.1.129D.192.168.1.2解析：解析 应将主机的默认网关设置为与主机所属 VLAN(这里是 VLAN 2)相关联的子接口的 IP 地址。13.在虚拟局域网(VLAN)中，帧标记的作用是什么?（分数：2.50）A.VLAN 间路由选择B.加密网络分组C.对

35、通过中继链路传输的帧进行标识 D.对通过接入链路传输的帧进行标识解析：解析 VLAN 数据流通过中继链路传输时，将使用帧标记。中继链路为多个 VLAN 传输数据，因此帧标记用于标识来自不同 VLAN 的帧。14.下面哪种有关帧标记方法 802.1q 的说法是正确的?（分数：2.50）A.802.1q 添加 26 字节的帧尾和 4 字节的帧头B.802.1q 使用本机 VLAN C.802.1q 不修改原始以太网帧D.802.1q 只能用于思科交换机解析：解析 802.1q 使用本机 VLAN。15.下面哪种有关将分组与访问控制列表进行比较的说法不对?（分数：2.50）A.总是按顺序将分组与访问

36、控制列表的每一行进行比较B.在访问控制列表中，找到分组满足的条件后，对分组采取相应的措施，且不再进行比较C.每个访问控制列表末尾都有一条隐式的 deny 语句D.只要还有语句未分析，比较就不算完 解析：解析 按顺序将分组与访问控制列表的语句进行比较，找到分组满足的条件后，对分组采取相应的措施，且不再进行比较。16.要禁止来自网络 192.168.160.0192.168.191.0 的数据流通过，使用下面哪个访问控制列表?（分数：2.50）A.access-list 10 deny 192.168.160.0 255.255.224.0B.access-list 10 deny 192.168

37、.160.0 0.0.191.255C.access-list 10 deny 192.168.160.0 0.0.31.255 D.access-list 10 deny 192.168.0.0 0.0.31.255解析：解析 范围 192.168.160.0192.168.191.0 对应的块大小为 32。网络地址为 192.168.160.0，子网掩码为 255.255.224.0，在访问控制列表中，必须使用对应的通配符掩码 0.0.31.255。其中的 31 对应于块大小 32，通配符掩码总是比块大小小 1。17.你创建了一个名为 Blocksales 的命名访问控制列表，要将其应用于

38、路由器接口 Fa0/0 的入站方向，可使用下面哪个命令?（分数：2.50）A.(config)#ip access-group 110 inB.(config-if)#ip access-group 110 inC.(config-if)#ip access-group Blocksales in D.(config-if)#Blocksales ip access-list in解析：解析 将命名访问控制列表应用于路由器接口时，只需将编号替换为名称即可，因此正确的答案是 ip access-group Blocksales in。18.网络 192.168.144.0/24 包含 Web 服

39、务器，下面哪条访问控制列表语句允许所有 HTTP 数据流前往该网络?（分数：2.50）A.access-list 110 permit tcp 192.168.144.0 0.0.0.255 any eq 80B.access-list 110 permit tcp any 192.168.144.0 0.0.0.255 eq 80 C.access-list 110 permit tcp 192.168.144.0 0.0.0.255 192.168.144.0 0.0.0.255 any eq 80D.access-list 110 permit udp any 192.168.144.0

40、 eq 80解析：解析 必须将传输层协议指定为 TCP，使用正确的通配符掩码(这里为 0.0.0.255)并指定目标端口(80)。另外，必须指定所有主机都可访问。19.下面哪个访问控制列表只允许 HTTP 数据流进入网络 196.15.7.0?（分数：2.50）A.access-list 100 permit tcp any 196.15.7.0 0.0.0.255 eq www B.access-list 10 deny tcp any 196.15.7.0 eq wwwC.access-list 100 permit 196.15.7.0 0.0.0.255 eq wwwD.access-

41、list 110 permit ip any 196.15.7.0 0.0.0.255E.access-list 110 permit www 196.15.7.0 0.0.0.255解析：解析 对于这样的问题，首先需要检查的是访问控制列表编号。据此可知答案 B 不正确，因为它使用的是标准 IP 访问控制列表的编号。接下来需要检查的是协议。如果要根据上层协议进行过滤，则必须指定 UDP 或 TCP，据此可排除答案 D。另外，答案 C 和 D 的语法也不对。20.下面哪个路由器命令让你能够判断在特定接口上是否应用了 IP 访问控制列表?（分数：2.50）A.show ip portB.show

42、access-listsC.show ip interface D.show access-lists interface解析：解析 在所有的答案中，只有命令 show ip interface 能够告诉你对哪些接口应用了访问控制列表。命令 show access-list 不会指出对哪些接口应用了访问控制列表。21.如果只禁止所有到网络 192.168.10.0 的 Telnet 连接，可使用下面哪个命令?（分数：2.50）A.access-list 100 deny tcp 192.168.10.0 255.255.255.0 eq telnetB.access-list 100 deny

43、 tcp 192.168.10.0 0.255.255.255 eq telnetC.access-list 100 deny tcp any 192.168.10.0 0.0.0.255 eq 23 D.access-list 100 deny 192.168.10.0 0.0.0.255 any eq 23解析：解析 扩展访问控制列表的编号范围为 100199 和 20002699，因此访问控制列表编号 100 是合法的。Telnet 使用 TCP，因此协议 TCP 也是合法的。现在，只需查看源地址和目标地址。只要答案 C 的参数排列顺序是正确的。答案 B 也许可行，但这里要求只禁止到网络

44、 192.168.10.0 的 Telnet 连接，而答案 B 的通配符掩码指定的范围太大了。22.如果要禁止从网络 200.200.10.0 以 FTP 方式访问网络 200.199.11.0，但允许其他所有数据流通过，可使用下面哪一项列出的命令?（分数：2.50）A.access-list 110 deny 200.200.10.0 to network 200.199.11.0 eq ftpaccess-list 111 permit ip any 0.0.0.0 255.255.255.255B.access-list l deny ftp 200.200.10.0 200.199.1

45、1.0 any anyC.access-list 100 deny tcp 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftpD.access-list 198 deny tcp 200.200.10.0 0.0.0.255 200.199.11.0 0.0.0.255 eq ftpaccess-list 198 permit ip any 0.0.0.0 255.255.255.255 解析：解析 扩展 IP 访问控制列表的编号范围为 100199 和 20002699，并根据源 IP 地址、目标 IP地址、协议号和端口号进行过滤。答案

46、D 是正确的，因为它的第二条语句指定了 permit ip any any(实际上是 0.0.0.0 255.255.255.255，但这与 any 等效)。答案 C 没有这条语句，因此将禁止所有访问。23.要创建一个扩展访问控制列表，以禁止来自主机 172.16.50.172/20 所属子网的数据流通过，首先创建下面哪条语句?（分数：2.50）A.access-list 110 deny ip 172.16.48.0 255.255.240.0 anyB.access-list 110 udp deny 172.16.0.0 0.0.255.255 ip anyC.access-list 1

47、10 deny tcp 172.16.64.0 0.0.31.255 any eq 80D.access-list 110 deny ip 172.16.48.0 0.0.15.255 any 解析：解析 首先，你必须知道/20 对应的子网掩码为 255.255.240.0，其第三个字节对应的块大小为16。通过计算 16 的整数倍，可确定子网号的第三个字节为 48，而通配符掩码的第三个字节为 15，因为通配符掩码总是比块大小小 1。24.下面哪项是子网掩码/27 的通配符(反转)版本?（分数：2.50）A.0.0.0.7B.0.0.0.3 1 C.0.0.0.27D.0.0.31.255解析：解析 要确定子网掩码的通配符(反转)版本，只需将 0 改为 1，并将 1 改为 0： 11111111.11111111.11111111.11100000( 27 位为 1，即/27) 00000000.00000000.00000000.00011111(通配符/反转掩码)25.要创建一个扩展访问控制列表，以禁止来自主机 172.16.198.94/19 所属