访问控制列表是路由器提供的一种重要的安全策略，请问我们通常所指的

参考答案：B

正确答案：BD

正确答案：B
(22)B) 【解析】路由器的访问控制列表是路由器接口上的命令列表，用来告诉路由器哪些数据包可以接收，哪些数据包需要拒绝。ACL的主要功能是进行路由过滤，使用access．list命令配置模式： access-list access-list-number {permit|deny} protocol source wildcard-mask destination eildcard-mask [operator] [operand]。

参考答案：D

正确答案：主要用在以下几个方面： (1)控制一个端口的包传输； (2)控制虚拟终端访问数量； (3)限制路由更新的内容。
主要用在以下几个方面： (1)控制一个端口的包传输； (2)控制虚拟终端访问数量； (3)限制路由更新的内容。

正确答案：应在路由器R3上配置扩展访问控制列表(1分)其相应的配置过程示例如下： R3(config)#access-list 110 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 R3(config)#access-list 110 permit ip any any R3(config)#interface f0/0 R3(config-if)#ip access-group 110 in 或其他等价配置语句
应在路由器R3上配置扩展访问控制列表(1分)，其相应的配置过程示例如下： R3(config)#access-list 110 deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255 R3(config)#access-list 110 permit ip any any R3(config)#interface f0/0 R3(config-if)#ip access-group 110 in 或其他等价配置语句 解析：为了过滤不必要的通信流量，可以通过配置访问控制列表(ACL)来实现。IP访问控制列表是一种基于路由设备接口的控制列表，可根据事先制定的访问控制准则来控制接口对数据包的接收和拒绝。IP访问控制列表主要有标准访问控制列表和扩展访问控制列表两种类型。标准访问控制列表只能检查数据包的源地址，根据源网络、子网或主机的IP地址来决定对数据包的过滤，其表号范围是1～99、1300～1999。在全局配置模式下，使用命令access-listaccess-list-number{permit|deny}source wildcard-mask配置标准访问控制列表。访问控制列表通配符(Wildcard-Mask)的作用是，指出访问控制列表过滤的IP地址范围，即路由器在进行基于源IP地址、目的IP地址过滤时，通配符告诉路由器应检查哪些地址位，忽略哪些地址位。通配符为0，表示检查相应的地址位：通配符为1，表示忽略，即不检查相应的地址位。通配符与 IP地址总是成对出现的。通常，ACL通配符用32位二进制数表示，表示形式与IP地址、子网掩码相同。实际上，通配符就是子网掩码的反码。
扩展访问控制列表可以检查数据包的源IP地址、目的IP地址、指定的协议、端口号等来决定对数据包的过滤。其表号范围是100～199、2000～2699。在全局配置模式下，使用命令access-listaccess-list-number {permit|deny}protocol source wildcard-mask destination wildcard-mask[opemtor][operand]配置扩展访问控制列表。其中，operator(操作)有It(小于)、St(大于)、eq(等于)、neq(不等于)；operand(操作数)指的是端口号。本问题要求“阻止192.168.2.0/24网络中的主机访问192.168.4.0/24网络”中出现了源网段地址和目的网段地址，因此需要使用扩展访问控制列表才能完成这一配置需求。
配置ACL的具体步骤如下。
①定义一个标准(或扩展)的访问控制列表。
②为访问控制列表配置包过滤的准则。
③配置访问控制列表的应用接口。
ACL通过过滤数据包并且丢弃不希望抵达目的地的数据包来控制通信流量。然而能否有效地减少网络中不必要的通信流量，还要取决于网络管理员将ACL部署在哪个具体地方。其部署原则是：标准ACL要尽量靠近目的端，扩展ACL则要尽量靠近源端。因此，本问题应在路由器R3上配置扩展访问控制列表，其相应的配置过程示例如下：
R3(config)#access-list110denyip192.168.2.00.0.0.255192.168.4.00.0.0.255
R3(config)#access—list110permitipany any
R3(config)#interface f0/0
R3(config-if)#ip access-group110in
或者：
R3(config)#ip access-list extended denyLAN2
R3(config-ext-nac1)#deny ip 192.168.2.0 0.0.0.255 192.168.4.0 0.0.0.255
R3(config-ext-nac1)#permit ip any any
R3(config-ext-nac1)#exit
R3(config)#interface f0/0
R3(config-if)#ip access-group denyLAN2 in

正确答案：B

正确答案：D
解析：访问控制列表适用于所有网络层的协议，如IP、IPX、AppleTalk等协议，D)的说法不正确，故选D)。

正确答案：B

正确答案：B
当一个分组经过时，路由器按照一定的步骤找出与分组信息匹配的ACL语句对其进行处理。路由器自顶向下逐个处理ACL语句，首先把第一个语句与分组信息进行比较，如果匹配，则路由器将允许(Permit)或拒绝(Deny)分组通过：如果第一个语句不匹配，则照样处理第二个语句，直到找出一个匹配的。如果在整个列表中没有发现匹配的语句，则路由器丢弃该分组。于是，可以对ACL语句的处理规则总结出以下要点：①一旦发现匹配的语句，就不再处理列表中的其他语句。②语句的排列顺序很重要。③如果整个列表中没有匹配的语句，则分组被丢弃。需要特别强调ACL语句的排列顺序。如果有两条语句，一个拒绝来自某个主机的通信，另一个允许来自该主机的通信，则排在前面的语句将被执行，而排在后面的语句将被忽略。所以在安排ACL语句的顺序时要把最特殊的语句排在列表的最前面，而最一般的语句排在列表的最后面，这是ACL语句排列的基本原则。例如下面的两条语句组成一个标准ACL。access-list10permithost172.16.1.00.0.0.255access-list10denyhost172.16.1.1第一条语句表示允许来自子网172.16.1.0/24的所有分组通过，而第二条语句表示拒绝来自主机172.16.1.1的通信。如果路由器收到一个源地址为172.16.1.1的分组，则首先与第一条语句进行匹配，该分组被允许通过，第二条语句就被忽略了。要达到预想的结果——允许来自除主机172.16.1.1之外的、属于子网172.16.1.0/24的所有通信，则两条语句的顺序必须互换。access-list10denyhost172.16.1.1access-list10permithost172.16.1.00.0.0.255可见，列表顶上是特殊性语句，列表底部是一般性语句。