GB0-190-CN Question #351: Real Exam Question with Answer & Explanation

Question

Options

• Aacl number 2000
• Bacl number 2000
• Cacl number 2000
• Dacl number 2000
• E192.80.28.11

Explanation

1. 在路由器MSR-1 上看到如下提示信息： [MSR-1]display firewall-statistics all Firewall is enable, default filtering method is 'permit'. Interface: GigabitEthernet0/0 In-bound Policy: acl 3000 Fragments matched normally From 2008-11-08 2:25:13 to 2008-11-08 2:25:46 0 packets, 0 bytes, 0% permitted, 4 packets, 240 bytes, 37% denied, 7 packets, 847 bytes, 63% permitted default, 0 packets, 0 bytes, 0% denied default, Totally 7 packets, 847 bytes, 63% permitted, Totally 4 packets, 240 bytes, 37% denied. 364. 客户路由器MSR-1 的以太网口Ethernet1/0 配置如下： interface Ethernet0/0 ip address 192.168.0.1 255.255.255.0 该接口连接了一台三层交换机，而此三层交换机为客户办公网络的网段192.168.7.0/24～ 192.168.83.0/24 的 默认网关所在。现在客户要求在MSR-1 上配置ACL 来禁止办公网络所有用户向MSR-1 的地 址192.168.0.1发起Telnet，那么下面哪项配置是正确的？ rule 0 deny 0.0.0.0 255.255.255.255 destination 192.168.0.1 0 destination-port eq telnet interface Ethernet0/0 ip address 192.168.0.1 255.255.255.0 firewall packet-filter 3000 inbound rule 0 deny 0.0.0.0 255.255.255.255 destination 192.168.0.1 0 destination-port eq telnet interface Ethernet0/0 ip address 192.168.0.1 255.255.255.0 firewall packet-filter 3000 outbound rule 0 deny 255.255.255.255 0 destination 192.168.0.1 0 destination-port eq telnet interface Ethernet0/0 ip address 192.168.0.1 255.255.255.0 firewall packet-filter 3000 inbound rule 0 deny 255.255.255.255 0 destination 192.168.0.1 0 destination-port eq telnet interface Ethernet0/0 ip address 192.168.0.1 255.255.255.0 firewall packet-filter 3000 outbound 365. 路由器MSR-1 的以太网口Ethernet0/0 配置如下： interface Ethernet0/0 ip address 192.168.0.1 255.255.255.0 在该接口下连接了一台三层交换机，而此三层交换机为客户办公网络的多个网段的默认网关所 在，出于安全考虑，现在客户要求在MSR-1 的接口Ethernet0/0 上配置ACL（不限制应用的 方向）来禁止办公网络所有用户ping 通192.168.0.1，可以用如下哪种配置？ rule 0 deny icmp destination 192.168.0.1 0 icmp-type echo-reply rule 0 deny icmp destination 192.168.0.1 0 icmp-type echo rule 0 deny icmp destination 192.168.0.1 0 rule 0 deny ip destination 192.168.0.1 0 eq icmp HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB 客户要求仅仅限制HostA 与HostB 之间的ICMP 报文，如下哪些做法是可行的？ 应用在MSR-1的GE0/0 的outbound 方向 应用在MSR-1的S1/0 的outbound 方向 应用在MSR-1的S1/0 的outbound 方向 应用在MSR-1的GE0/0 的outbound 方向 367. 两台MSR 路由器MSR-1、MSR-2 通过各自的S1/0 接口背靠背互连，各自的 GigabitEthernet0/0 接口分别连接客户端主机HostA 和HostB： HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB 通过配置IP 地址和路由目前网络中HostA 可以和HostB 实现互通，如今在路由器MSR-1 上 rule 0 deny icmp icmp-type echo interface GigabitEthernet0/0 ip address 192.168.0.1 255.255.255.0 firewall packet-filter 3000 inbound 368. 路由器MSR-1 的GE0/0 接口地址为192.168.100.1/24，该接口连接了一台三层交换 机，而此三层交换机为客户办公网络的多个网段的默认网关所在。MSR-1 通过串口S1/0 连 接到Internet。全网已经正常互通，办公网用户可以访问Internet。出于安全性考虑，需要禁止 客户主机ping MSR-1 的GE0/0 接口，于是在该路由器上配置了如下ACL： rule 0 deny icmp source 192.168.1.0 0.0.0.255 同时该ACL 被应用在GE0/0 的inbound 方向。发现局域网内192.168.0.0/24 网段的用户依然 可以ping 通GE0/0 接口地址。根据如上信息可以推测_______。（选择一项或多项） ping 不通MSR-1以太网接口地址 369. 客户的网络连接形如：HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0---- 该网络已经正确配置了IP 地址和路由，目前网络中HostA 可以和HostB 实现互通。出于某种 安全考虑，客户要求HostB 不能ping 通HostA，但同时HostA 可以ping 通HostB，且HostA 与HostB 之间的其他报文传递不受限制，那么如下哪些说法是正确的？ （选择一项或多项） 370. 在一台路由器MSR-1 上看到如下信息： [MSR-1]display arp all Type: S-Static D-Dynamic IP Address MAC Address VLAN ID Interface Aging Type 192.168.0.2 0123-4321-1234 N/A GE0/0 20 D 经查该主机有大量病毒，现在客户要禁止该主机发出的报文通过MSR-1，那么_______。（选 HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB 在两台路由器上的广域网接口分别作了如下配置： rule 0 deny ip source 192.168.0.0 0.0.0.255 rule 5 permit ip interface Serial1/0 link-protocol ppp firewall packet-filter 3000 outbound ip address 6.6.6.2 255.255.255.0 interface Serial1/0 link-protocol ppp ip address 6.6.6.1 255.255.255.0 假设HostA 的IP 地址为192.168.0.2/24，路由以及其他相关接口配置都正确，那么 。（选择一项或多项） 372. 在MSR 路由器上配置了如下ACL： rule permit tcp source 10.10.10.1 255.255.255.255 destination 20.20.20.1 0.0.0.0 time-range 那么对于该ACL 的理解正确的是。（选择一项或多项） 373. 在MSR 路由器上，可以使用______命令清除NAT 会话表项。 374. 要查看NAT 数据包的debug 信息，应使用______命令打开debug 信息并输出到显示器 terminal debugging debugging nat packet terminal debugging 375. 私网设备A 的IP 地址是192.168.1.1/24，其对应的公网IP 是2.2.2.1；公网设备B 的IP 地址是2.2.2.5。现需要设备A 对公网提供Telnet 服务，可以在NAT 设备上使用下列哪项配 rule 0 permit source 192.168.1.1 0.0.0.255 nat address-group 1 2.2.2.1 interface Ethernet 0/1 nat outbound 2000 address-group 1 rule 0 permit source 192.168.1.1 0.0.0.255 nat address-group 1 2.2.2.1 interface Ethernet 0/1 nat outbound 2000 address-group 1 no-pat 376. 使用______命令查看NAT 表项。 377. 网络环境如图所示。在路由器RTA 上做如下NAT 配置： [RTA]acl number 2000 [RTA-acl-basic-2000]rule 0 permit source 100.0.0.0 0.0.0.255 [RTA]nat address-group 1 200.76.28.11 200.76.28.20 [RTA]interface Ethernet0/1 [RTA-Ethernet0/1]nat outbound 2000 address-group 1 no-pat 配置后，Client_A 和Client_B 同时访问Server，则此时RTA 的NAT 表内容可能为______。 Protocol GlobalAddr Port InsideAddr Port DestAddr Port - 200.76.28.11 --- 100.0.0.2 --- --- --- VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:04:00 - 200.76.28.12 --- 100.0.0.1 --- --- --- VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:03:59 1 200.76.28.12 1024 100.0.0.1 1024 200.76.29.4 1024 VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:00:59 1 200.76.28.11 512 100.0.0.2 512 200.76.29.4 512 VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:01:00 Protocol GlobalAddr Port InsideAddr Port DestAddr Port - 200.76.28.11 --- 100.0.0.2 --- --- --- VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:04:00 - 200.76.28.12 --- 100.0.0.1 --- --- --- VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:03:59 1 200.76.28.12 1024 100.0.0.1 1024 200.76.29.4 1024 VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:00:59 1 200.76.28.11 511 100.0.0.2 512 200.76.29.4 512 VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:01:00 Protocol GlobalAddr Port InsideAddr Port DestAddr Port - 200.76.28.11 --- 100.0.0.2 --- --- --- VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:04:00 - 200.76.28.12 --- 100.0.0.1 --- --- --- VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:03:59 1 200.76.28.21 1024 100.0.0.1 1024 200.76.29.4 1024 VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:00:59 1 200.76.28.11 512 100.0.0.2 512 200.76.29.4 512 VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:01:00 Protocol GlobalAddr Port InsideAddr Port DestAddr Port - 200.76.28.11 --- 100.0.0.2 --- --- --- VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:04:00 - 200.76.28.12 --- 100.0.0.1 --- --- --- VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:03:59 1 200.76.28.12 1023 100.0.0.1 1024 200.76.29.4 1024 VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:00:59 1 200.76.28.11 511 100.0.0.2 511 200.76.29.4 512 VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:01:00 378. 在MSR 路由器上，使用______命令查看路由器的NAT 老化时间。 379. 在MSR 路由器上，使用______命令配置NAT 地址池。 380. 使用display nat session 命令查看NAT 信息，显示如下： There are currently 4 NAT sessions Protocol GlobalAddr Port InsideAddr Port DestAddr Port - 198.80.28.11 --- 10.0.0.2 --- --- --- VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:04:00 - 198.80.28.12 --- 10.0.0.1 --- --- --- VPN: 0, status: NOPAT, TTL: 00:04:00, Left: 00:03:59 1 198.80.28.12 1024 10.0.0.1 1024 198.80.29.4 1024 VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:00:59 1 198.80.28.11 512 10.0.0.2 512 198.80.29.4 512 VPN: 0, status: NOPAT, TTL: 00:01:00, Left: 00:01:00 由此信息可知私网地址是______。 381. 在MSR 路由器上，如果想查看NAT 转换的报文数量，应该使用______命令。 382. 某私网设备A 的IP 地址是192.168.1.1/24，其对应的公网IP 地址是2.2.2.1；公网设备B 的IP 地址是2.2.2.5。若希望B 能ping 通A，可以在NAT 设备上使用下列哪项配置？ rule 0 permit source 192.168.1.1 0.0.0.255 nat address-group 1 2.2.2.1 interface Ethernet 0/1 nat outbound 2000 address-group 1 rule 0 permit source 192.168.1.1 0.0.0.255 nat address-group 1 2.2.2.1 interface Ethernet 0/1 nat outbound 2000 address-group 1 no-pat 383. 网络环境如图所示，______是正确的NAPT 配置。 rule 0 permit source 192.168.0.2 0.0.0.255 nat address-group 1 1.1.1.1 interface Ethernet 0/1 nat outbound 2000 address-group 1 rule 0 permit source 192.168.0.2 0.0.0.255 nat address-group 1 1.1.1.1 interface Ethernet 0/1 nat outbound 2000 address-group 1 no-pat rule 0 permit source 192.168.0.2 0.0.0.255 interface Ethernet 0/1 nat outbound 2000 address-group 1 no-pat rule 0 permit source 192.168.0.2 0.0.0.255 interface Ethernet 0/1 nat outbound 2000

No community discussion yet for this question.