×
多选题
439.如下图所示的网络,从安全角度考虑,路由器A拒绝从G0/0/1接口收到的OSPF报文、GRE报文、ICMP报文、以下哪些命令可以实现这个需求?
439.如下图所示的网络,从安全角度考虑,路由器A拒绝从G0/0/1接口收到的OSPF报文、GRE报文、ICMP报文、以下哪些命令可以实现这个需求?
A
Aclnumber3000Rule5denygreRule10deny89Rule15denyicmpInterfaceGigabitEthernet0/0/1Traffic-filterinboundacl3000
B
Aclnumber2000Rule5deny47Rule10deny89Rule15deny1InterfaceGigabitEthernet0/0/1Traffic-filterinboundacl2000
C
Aclnumber3000Rule5deny47Rule10deny89Rule15deny1InterfaceGigabitEthernet0/0/1Traffic-filterinboundacl3000
D
Aclnumber3000Rule5denygreRule10denyospfRule15denyicmpInterfaceGigabitEthernet0/0/1Traffic-filterinboundacl3000
答案解析
正确答案:ACD
解析:
这是一道关于华为网络设备配置的题目,主要考察 **ACL(访问控制列表)** 的类型、协议号/关键字的对应关系以及 **Traffic-filter(流量过滤)** 的应用方向。
### 核心知识点分析
1. **协议与标识符对应关系**:
* **GRE 报文**:IP 协议号为 **47**。在高级 ACL(3000-3999)中可以使用关键字 `gre` 或协议号 `47`。
* **OSPF 报文**:IP 协议号为 **89**。在高级 ACL 中可以使用关键字 `ospf` 或协议号 `89`。
* **ICMP 报文**:IP 协议号为 **1**。在高级 ACL 中可以使用关键字 `icmp` 或协议号 `1`。
2. **ACL 类型选择**:
* **基本 ACL (2000-2999)**:仅能基于源 IP 地址进行匹配,**无法**基于协议类型(如 GRE、OSPF、ICMP)进行过滤。因此,任何使用 `acl number 2000` 来尝试拒绝特定协议报文的选项都是错误的。
* **高级 ACL (3000-3999)**:可以基于源/目的 IP、协议类型、端口号等进行精细匹配。本题需要过滤特定协议,必须使用高级 ACL。
3. **应用方向**:
* 题目要求“拒绝从 G0/0/1 接口**收到**的”报文,即入方向流量。
* 命令应为 `traffic-filter inbound acl `。所有选项均使用了 `inbound`,方向正确。
---
### 选项逐一解析
**A. `Acl number 3000` ... `Rule 5 deny gre` ... `Rule 10 deny 89` ... `Rule 15 deny icmp` ... `Traffic-filter inbound acl 3000`**
* **ACL 类型**:3000(高级 ACL),支持协议匹配。✅
* **规则匹配**:
* `deny gre`:正确匹配 GRE 协议。✅
* `deny 89`:在高级 ACL 规则中,直接写数字通常指代协议号(或者在某些VRP版本语境下,若未指定tcp/udp端口,89被识别为OSPF协议号)。即使有些严谨的配置建议写 `deny ip protocol 89`,但在华为考题语境中,`deny 89` 常被接受为匹配协议号89(OSPF)。✅
* `deny icmp`:正确匹配 ICMP 协议。✅
* **结论**:该配置可以实现需求。**(正确)**
**B. `Acl number 2000` ... `Rule 5 deny 47` ... `Rule 10 deny 89` ... `Rule 15 deny 1` ... `Traffic-filter inbound acl 2000`**
* **ACL 类型**:2000(基本 ACL)。❌
* **错误原因**:基本 ACL **不支持** 基于协议号(47, 89, 1)进行过滤。在基本 ACL 中,`rule 5 deny 47` 这种语法通常是非法的,或者即便语法通过,它也无法识别这些数字为协议号,基本ACL只能匹配源IP。因此无法实现基于协议类型的过滤。
* **结论**:无法实现需求。**(错误)**
**C. `Acl number 3000` ... `Rule 5 deny 47` ... `Rule 10 deny 89` ... `Rule 15 deny 1` ... `Traffic-filter inbound acl 3000`**
* **ACL 类型**:3000(高级 ACL)。✅
* **规则匹配**:
* `deny 47`:匹配协议号 47 (GRE)。✅
* `deny 89`:匹配协议号 89 (OSPF)。✅
* `deny 1`:匹配协议号 1 (ICMP)。✅
* *注:在华为 VRP 系统中,高级 ACL 规则 `rule [id] deny [protocol-number]` 是合法的写法,用于匹配特定的 IP 协议号。*
* **结论**:该配置可以实现需求。**(正确)**
**D. `Acl number 3000` ... `Rule 5 deny gre` ... `Rule 10 deny ospf` ... `Rule 15 deny icmp` ... `Traffic-filter inbound acl 3000`**
* **ACL 类型**:3000(高级 ACL)。✅
* **规则匹配**:
* `deny gre`:使用关键字匹配 GRE。✅
* `deny ospf`:使用关键字匹配 OSPF。✅
* `deny icmp`:使用关键字匹配 ICMP。✅
* *注:这是最标准、可读性最好的配置方式,直接使用协议名称关键字。*
* **结论**:该配置可以实现需求。**(正确)**
---
### 最终结论
* **选项 B** 错误,因为基本 ACL (2000) 不能过滤协议类型。
* **选项 A、C、D** 均使用了高级 ACL (3000),并且分别通过“关键字+混合”、“纯协议号”、“纯关键字”的方式正确匹配了 GRE、OSPF 和 ICMP 协议,且应用在入方向。
因此,正确答案是 **A、C、D**。
相关知识点:
路由器接口报文过滤考点
题目纠错
华为数通工程师HCIA题库
相关题目
单选题
362.IPv6 地址总长度为多少 bit?
单选题
361.以下哪种类型的 ACL 可以匹配传输层端口号?
单选题
360.为了查看路由器上串口 S0/0/1 是 DTE 接口还是 DCE 接口,应该使用下面哪个命令?
单选题
359.某交换机收到一个带有 VLAN 标签的数据帧,但发现在其 MAC 地址表中查询不到该数据帧的目 的 MAC 地址, 则交换机对该数据帧的处理行为是( )。
单选题
358.下面关于二层以太网交换机的描述,说法不正确的是( )。
单选题
357.管理员通过 Telnet 成功登录路由器后,发现无法配置路由器的接口 IP 地址 。那么可能的原因有 ( )。
单选题
356.下面关于生成树指定端口的描述正确的是( )。
单选题
355.VRP 操作平台对于输入命令不完整使用下列哪条信息提示?
单选题
354.VRP 系统登录方式不包括下列哪一项?
单选题
353.下面关于 IP 报文头部中 TTL 字段的说法正确的是( )。
