144.如图所示的网络, 管理员希望所有主机都不能访问 Web 服务(端口号为 80)其它服务正常访问,则在 G0/0/1 的接口配置中 traffic-filter outbound 需要绑定哪个 ACL 规则?

**解析：** 1. **分析需求：** * **目标**：禁止所有主机访问 Web 服务。 * **Web 服务特征**：通常基于 **TCP** 协议，默认端口号为 **80**（在 ACL 配置中常表示为 `www`或 `http`）。 * **其他要求**：除了 Web 服务外，其他服务需正常访问。这意味着需要显式拒绝 TCP 80 端口流量，并允许其余所有 IP 流量通过。 * **应用位置与方向**：接口 G0/0/1 的 `outbound`（出方向）。ACL 将过滤从路由器该接口发出的数据包。 2. **分析 ACL 规则匹配逻辑：** * ACL（访问控制列表）是按顺序逐条匹配的。一旦匹配到某条规则，就会执行相应的动作（permit 或 deny），并且不再继续检查后续规则。 * 如果要实现“禁止特定流量，允许其他所有流量”，正确的逻辑顺序应该是： 1. 先定义**拒绝**特定流量的规则（Deny specific）。 2. 最后定义**允许**所有其他流量的规则（Permit any/rest）。 * 如果顺序反了（先 Permit ip，再 Deny ...），那么所有流量都会在第一条规则被允许通过，第二条拒绝规则永远不会生效。 3. **逐项分析选项：** * **A. Acl number 3001** * `Rule 5 deny udp destination-port eq www`：Web 服务使用的是 **TCP** 协议，而不是 UDP 协议。因此这条规则无法匹配 Web 流量，无法达到禁止访问 Web 服务的目的。 * **结论**：错误。 * **B. Acl number 3003** * `Rule 5 permit ip`：这条规则允许所有 IP 流量通过。 * `Rule 10 deny udp destination-port eq www`：由于第一条规则已经允许了所有流量，这条规则永远不会被匹配到。即使匹配到了，它也是针对 UDP 的，同样无法阻止 TCP 的 Web 服务。 * **结论**：错误。 * **C. Acl number 3000** * `Rule 5 deny tcp destination-port eq www`：正确识别了 Web 服务使用 **TCP** 协议，并拒绝目的地端口为 www (80) 的流量。 * `Rule 10 permit ip`：允许其余所有的 IP 流量通过。 * **逻辑顺序**：先拒绝特定 Web 流量，再允许其他流量。符合需求。 * **结论**：正确。 * **D. Acl number 3002** * `Rule 5 permit ip`：允许所有 IP 流量。 * `Rule 10 deny tcp destination-port eq www`：这条规则在第一条之后，因此永远不会生效。所有流量（包括 Web 流量）都会被第一条规则允许通过。 * **结论**：错误。 4. **总结：** 要禁止 TCP 80 端口的 Web 服务并允许其他通信，必须使用针对 TCP 协议的 deny 规则，且该规则必须位于 permit ip 规则之前。选项 C 符合这一要求。 **正确答案：C**