×
单选题
63.如图所示的网络,管理员希望所有主机每天在8:00-17:00不能访问Internet,则在G0/0/1的接口配置中traffic-filteroutbound需要绑定哪个ACL规则?
63.如图所示的网络,管理员希望所有主机每天在8:00-17:00不能访问Internet,则在G0/0/1的接口配置中traffic-filteroutbound需要绑定哪个ACL规则?
A
time-rangeam9topm508:00to17:00working-day\\aclnumber2003rule5denytime-rangeam9topm5\\
B
time-rangeam9topm508:00to17:00daily\\aclnumber2002rule5permittime-rangeam9topm5\\
C
time-rangeamgtopm508:00to17:00daily\\aclnumber2001rule5denytime-rangeam9topm5\\
D
time-rangeam9topm508:00to17:00off-day\\aclnumber2004rule5permittime-rangeam9topm5\\
答案解析
正确答案:C
解析:
这是一道关于华为网络设备 ACL(访问控制列表)和 Time-range(时间范围)配置的题目。我们需要分析题目需求,并逐一排查选项中的配置语法和逻辑。
### 1. 题目需求分析
* **目标**:所有主机在每天 **8:00-17:00** 不能访问 Internet。
* **动作**:在该时间段内 **拒绝 (deny)** 流量。
* **应用位置**:接口 G0/0/1 的 **outbound**(出方向)。
* **关键要素**:
1. **时间范围定义**:必须是每天(daily),时间段为 08:00 到 17:00。
2. **ACL 规则动作**:必须是 `deny`(拒绝),因为题目要求“不能访问”。
3. **ACL 类型**:通常使用基本 ACL(2000-2999)或高级 ACL。选项中均为基本 ACL(2000段)。
### 2. 选项逐一解析
**A. `time-range am9topm5 08:00 to 17:00 working-day` ... `rule 5 deny time-range am9topm5`**
* **时间范围类型错误**:`working-day` 表示工作日(周一至周五)。题目要求是“每天”,应该使用 `daily`。如果配置为 `working-day`,则周六日主机可以访问 Internet,不符合“所有主机每天”的隐含语境(通常指每一天,除非特指工作日)。即便假设题目隐含工作日,我们看其他选项是否有更准确的。
* **动作正确**:使用了 `deny`。
* **结论**:时间周期定义不够准确(相比 daily)。
**B. `time-range am9topm5 08:00 to 17:00 daily` ... `rule 5 permit time-range am9topm5`**
* **时间范围类型正确**:`daily` 符合“每天”的要求。
* **动作错误**:使用了 `permit`(允许)。题目要求是“不能访问”,即需要阻断流量。如果在 outbound 方向 permit,则是允许该时间段访问,与题意相反。此外,ACL 默认隐含拒绝所有,如果只配一条 permit,非该时间段会被默认拒绝,这会导致只有 8:00-17:00 能上网,其他时间不能上网,逻辑完全反了。
* **结论**:动作逻辑错误。
**C. `time-range amgtopm5 08:00 to 17:00 daily` ... `rule 5 deny time-range am9topm5`**
* **注意**:这里选项文本中存在明显的印刷错误或OCR识别错误。
* 时间范围名称定义时写的是 `amgtopm5`(可能是 `am9topm5` 的笔误,g和9在某些字体或OCR下易混,或者单纯打字错误)。
* ACL 规则引用时写的是 `am9topm5`。
* **但在考试或做题语境下,我们主要关注逻辑核心**:
1. **时间周期**:`daily`(每天),符合题意。
2. **时间段**:`08:00 to 17:00`,符合题意。
3. **动作**:`deny`(拒绝),符合题意“不能访问”。
* **逻辑判断**:这是唯一一个既使用了 `daily`(每天)又使用了 `deny`(拒绝)的选项。尽管名称可能有拼写瑕疵(amg vs am9),但其配置意图和逻辑是唯一正确的。在实际设备配置中,定义的名字和引用的名字必须一致,若视为同一名称(忽略拼写错误),此选项逻辑正确。
**D. `time-range am9topm5 08:00 to 17:00 off-day` ... `rule 5 permit time-range am9topm5`**
* **时间范围类型错误**:`off-day` 表示休息日(周六、周日)。题目要求是每天。
* **动作错误**:使用了 `permit`(允许)。同样,动作与“不能访问”的需求相反。
* **结论**:时间周期和动作均错误。
### 3. 综合对比与结论
* **核心逻辑**:要在特定时间禁止访问,ACL 规则必须是 `deny`,且时间范围必须覆盖该时间段。
* **排除法**:
* B 和 D 使用了 `permit`,直接排除,因为它们的作用是“允许访问”,与题目“不能访问”背道而驰。
* 剩下 A 和 C。
* A 使用 `working-day`(工作日)。
* C 使用 `daily`(每天)。
* 题目明确说“**每天**在 8:00-17:00”,因此 `daily` 比 `working-day` 更准确。
虽然选项 C 中存在 `amgtopm5` 和 `am9topm5` 的名称不一致问题(这在实际配置中会报错),但在单选题的逻辑考察中,C 选项代表了正确的**配置思路**:`daily` + `deny`。而 A 选项的 `working-day` 限制了天数,不符合“每天”的描述。因此,C 是最佳答案。
**正确答案:C**
相关知识点:
接口ACL时间绑定考点
题目纠错
华为数通工程师HCIA题库
相关题目
单选题
738.如图所示的广播网络中, OSPF 运行在四台路由器上, 且在同一 区域, 同一 网段 。OSPF 会自动选 举一个 DR. 多个 BDR,从而达到更好的备份效果。
单选题
737.参考以下拓扑及配置,路由器 R1 与 R2 通过 Serial 低速线缆连接,且数据链路层封装使用 PPP。 当 R1 和 R2 的 Holdtime 不一致时, PPP 协商失败, 无法通信 。
单选题
736.如图所示,如果主机 A 有主机 B 的 ARP 缓存,则主机 A 可以 Ping 通主机 B。
单选题
735.参考下图单臂路由的配置, 可以 判断即使在 R1 的子接口上不开启 ARP 代理,行政部门与财务部门之间也能够互访。
单选题
734.Telnetlib 是 Python 自带的实现 Telnet 协议的模块。
单选题
733.FIT AP 上线的过程中一定会从 AC 下载软件版本。
单选题
732.华为 ARG3 系列路由器默认存在 SNMP 的所有版本( SNMPv1 、SNMPv2c 和 SNMPv3)
单选题
731.AC 上可以手动指定创建 CAPWAP 隧道的源地址或者源接口。
单选题
730.在 IPv4 网络中, AP 支持静态和 DHCP 两种方式获取 IP 地址。
单选题
729.国家码的配置会影响实际传输使用的频率以及最大传输功率。
