98.路由器某个ACL中存在如下规则:Rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-porteq 21下列说法正确的是?

这道题考查的是对访问控制列表（ACL）规则语法的理解，特别是源/目的IP地址的通配符掩码以及协议和端口的匹配条件。 **1. 解析 ACL 规则字段：** 规则语句：`Rule deny tcp source 192.168.1.0 0.0.0.255 destination 172.16.10.1 0.0.0.0 destination-port eq 21` * **动作 (Action)**: `deny` —— 拒绝匹配的流量。 * **协议 (Protocol)**: `tcp` —— 仅匹配 TCP 协议的报文。 * **源地址 (Source)**: `192.168.1.0 0.0.0.255` * IP 地址：`192.168.1.0` * 通配符掩码（Wildcard Mask）：`0.0.0.255` * 含义：前24位必须精确匹配 `192.168.1`，最后8位可以是任意值（0-255）。因此，该规则匹配的源 IP 范围是 `192.168.1.0` 到 `192.168.1.255`。 * **目的地址 (Destination)**: `172.16.10.1 0.0.0.0` * IP 地址：`172.16.10.1` * 通配符掩码：`0.0.0.0` * 含义：所有32位都必须精确匹配。因此，该规则仅匹配目的 IP 为 `172.16.10.1` 的报文。 * **目的端口 (Destination Port)**: `eq 21` * 含义：匹配目的端口号等于 21 的报文（通常对应 FTP 控制连接）。 **2. 逐项分析选项：** * **A. 源IP为192.168.1.1, 目的IP为172.16.10.1, 并且目的端口号为21的所有TCP报文匹配这条规则** * 源 IP `192.168.1.1` 在 `192.168.1.0/24` 范围内 -> **匹配**。 * 目的 IP `172.16.10.1` 与规则指定的 `172.16.10.1` 完全一致 -> **匹配**。 * 目的端口 `21` 与规则指定的 `eq 21` 一致 -> **匹配**。 * 协议为 TCP -> **匹配**。 * **结论：正确。** * **B. 源IP为192.168.1.1, 目的IP为172.16.10.2, 并且目的端口号为21的所有TCP报文匹配这条规则** * 目的 IP `172.16.10.2` 不等于规则指定的 `172.16.10.1` -> **不匹配**。 * **结论：错误。** * **C. 源IP为192.168.1.1, 目的IP为172.16.10.3, 并且目的端口号为21的所有TCP报文匹配这条规则** * 目的 IP `172.16.10.3` 不等于规则指定的 `172.16.10.1` -> **不匹配**。 * **结论：错误。** * **D. ACL的类型为基本的ACL** * **基本 ACL (Basic ACL)**：编号范围通常是 2000-2999，只能根据**源 IP 地址**进行过滤。 * **高级 ACL (Advanced ACL)**：编号范围通常是 3000-3999，可以根据**源 IP、目的 IP、协议类型、源端口、目的端口**等进行过滤。 * 本题中的规则包含了目的 IP、协议类型（TCP）和目的端口，这显然是**高级 ACL** 的特征。 * **结论：错误。** **最终结论：** 只有选项 A 描述的数据包完全符合 ACL 规则中定义的所有匹配条件。 **正确答案：A**