D．access-list 99 deny tcp any 2.2.2.2 0.0.0.255

信管网参考答案：B

信管网参考答案：本题中C、D选项定义的是扩展访问控制列表，而根据访问控制列表的编号规则，1～99的编号为标准访问控制列表，100～199为扩展访问控制列表，因此均是不正确的命令。标准ACL格式如下：
access-list 1 deny 192.168.1.1 0.0.0.0
该命令将所有来自192.168.1.1地址的数据包丢弃。当然，我们也可以用网段来表示，对某个网段进行过滤。要注意后面的掩码反码，反向掩码为0.0.0.255代表其子网掩码为 255.255.255.0。要完全拒绝来自任何网络的数据，可以使用命令：
access-list 1 deny any
显然，A选项中缺少了掩码反码，命令并不完整。