×
单选题
94.如图所示的网络,RouterA的配置信息如下,下列说法错误的是?Acl number 2000 Rule 5 deny source 200.0.12.0 0.0.0.7 Rule 10 permit source 200.0.12.0 0.0.0.15 Interface Gigabit Ethernet 0/0/1 Traffic-filter outbound acl 2000
94.如图所示的网络,RouterA的配置信息如下,下列说法错误的是?Acl number 2000 Rule 5 deny source 200.0.12.0 0.0.0.7 Rule 10 permit source 200.0.12.0 0.0.0.15 Interface Gigabit Ethernet 0/0/1 Traffic-filter outbound acl 2000
A
源IP地址为200.0.12.2的主机不能访问Internet
B
源IP地址为200.0.12.6的主机不能访问Internet
C
源IP地址为200.0.12.8的主机不能访问Internet
D
源IP地址为200.0.12.4的主机不能访问Internet
答案解析
正确答案:C
解析:
### 题目解析
本题考查的是 ACL(访问控制列表)中通配符掩码(Wildcard Mask)的计算以及 ACL 规则的匹配顺序。
#### 1. 分析 ACL 规则
配置如下:
```text
Acl number 2000
Rule 5 deny source 200.0.12.0 0.0.0.7
Rule 10 permit source 200.0.12.0 0.0.0.15
Interface GigabitEthernet 0/0/1
Traffic-filter outbound acl 2000
```
**关键点:**
* **ACL 类型**:基本 ACL(2000-2999),只根据源 IP 地址进行过滤。
* **匹配顺序**:ACL 规则默认按照规则 ID 从小到大依次匹配。一旦匹配成功,立即执行相应动作(permit 或 deny),不再继续检查后续规则。
* **通配符掩码计算**:
* `0` 表示必须匹配对应位。
* `1` 表示忽略对应位(可以是 0 或 1)。
#### 2. 逐条分析规则覆盖的范围
**Rule 5: `deny source 200.0.12.0 0.0.0.7`**
* **通配符掩码**:`0.0.0.7`
* 前三个字节 `0.0.0` 表示前 24 位必须严格匹配 `200.0.12`。
* 最后一个字节 `7` 的二进制是 `0000 0111`。
* 这意味着最后 3 位(bit 0, 1, 2)可以变化,前 5 位(bit 3-7)必须为 0。
* **匹配范围计算**:
* 起始地址:`200.0.12.0`
* 结束地址:`200.0.12.0` + `7` = `200.0.12.7`
* **结论**:Rule 5 拒绝(Deny)源 IP 在 **200.0.12.0 ~ 200.0.12.7** 范围内的流量。
**Rule 10: `permit source 200.0.12.0 0.0.0.15`**
* **通配符掩码**:`0.0.0.15`
* 最后一个字节 `15` 的二进制是 `0000 1111`。
* 这意味着最后 4 位(bit 0-3)可以变化,前 4 位(bit 4-7)必须为 0。
* **匹配范围计算**:
* 起始地址:`200.0.12.0`
* 结束地址:`200.0.12.0` + `15` = `200.0.12.15`
* **结论**:Rule 10 允许(Permit)源 IP 在 **200.0.12.0 ~ 200.0.12.15** 范围内的流量。
#### 3. 综合匹配逻辑
由于 ACL 是按顺序匹配的:
1. 如果源 IP 在 `200.0.12.0 ~ 200.0.12.7` 之间,匹配 **Rule 5**,动作为 **Deny**(不能访问 Internet)。
2. 如果源 IP 在 `200.0.12.8 ~ 200.0.12.15` 之间,**不匹配** Rule 5,继续向下匹配,命中 **Rule 10**,动作为 **Permit**(可以访问 Internet)。
3. 如果源 IP 超出 `200.0.12.0 ~ 200.0.12.15` 范围,两条规则都不匹配。默认情况下,ACL 末尾隐含一条 `deny any`,所以也不能访问。但本题选项中的 IP 都在该范围内或附近,主要考察前两条规则的区分。
#### 4. 逐项验证选项
* **A. 源 IP 200.0.12.2**
* $2 \in [0, 7]$,匹配 Rule 5 (Deny)。
* 结果:不能访问。
* 说法正确。
* **B. 源 IP 200.0.12.6**
* $6 \in [0, 7]$,匹配 Rule 5 (Deny)。
* 结果:不能访问。
* 说法正确。
* **C. 源 IP 200.0.12.8**
* $8 \notin [0, 7]$,不匹配 Rule 5。
* $8 \in [0, 15]$,匹配 Rule 10 (Permit)。
* 结果:**可以访问**。
* 说法**错误**(题目说“不能访问”)。
* **D. 源 IP 200.0.12.4**
* $4 \in [0, 7]$,匹配 Rule 5 (Deny)。
* 结果:不能访问。
* 说法正确。
### 结论
题目要求选出**说法错误**的一项。
选项 C 中的主机 IP 为 200.0.12.8,它会被 Rule 10 允许通过,因此它是**可以**访问 Internet 的,而选项声称它“不能访问”,故该说法错误。
**正确答案:C**
相关知识点:
RouterA配置分析,200.0.12.8能访Internet
题目纠错
华为数通工程师HCIA题库
相关题目
单选题
707.ACL 不会过滤设备自身产生的访问其它设备的流量;只过滤转发的流量,转发的流量中包括其它设 备访问该设备的流量。
单选题
706.交换机的端口在收到不携带 VLAN TAG 数据帧时, 一定添加 PVID。
单选题
705.路由器所有的接口属于同一个广播域。
单选题
704.动态路由协议能够自动适应网络拓扑的变化。
单选题
703.如果一个以太网数据帧的 Type/Length 字段的值为 0x0800,则此数据帧所承载的上层报文首部长 度范围为 20- 60B。
单选题
702.MPLS 域中的 LER 全称为 Label Egress Router 。
单选题
701.华为交换机上创建 VLAN 的规则是不能创建 VLAN4095,且不可以删除 VLAN1。
单选题
700.当两台 OSPF 路由器形成 2-way 邻居关系时, LSDB 已完成同步,但是 SPF 算法尚未运行
单选题
699.OSPF 的 Router ID 必须和路由器的某个接口 IP 地址相同。
单选题
698.UDP 不能保证数据传输的可靠性,不提供报文排序和流量控制等功能, 适合传输可靠性要求不高, 但是对传输速度和延迟要求较高的流量。
