501.某个 ACL 规则如下:则下列哪些 IP 地址可以被 permit 规则匹配?rule 5 permit ip source 10.1.1.0 255.0.254.255

　7.1.2.1

　6.1.3.1

　8.2.2.1

　9.1.1.1

答案解析

正确答案：BD

解析：

这道题考察的是对 ACL（访问控制列表）规则中**通配符掩码（Wildcard Mask）**或**反掩码**的理解，以及如何进行 IP 地址匹配计算。 ### 1. 核心概念解析在华为、H3C 等网络设备的 ACL 配置中，`rule permit ip source ` 这里的第二个参数通常指的是**通配符掩码（Wildcard Mask）**，而不是子网掩码。 * **通配符掩码规则**： * `0` 表示**必须匹配**（对应位必须相同）。 * `1` 表示**忽略/不关心**（对应位可以是 0 或 1）。题目中的规则是： `rule 5 permit ip source 10.1.1.0 255.0.254.255` 我们需要将源 IP `10.1.1.0` 和通配符掩码 `255.0.254.255` 进行二进制分析，确定哪些位是固定的，哪些位是随意的。 ### 2. 逐步计算匹配范围我们将 IP 地址和掩码转换为二进制进行逐字节分析： **源 IP:** `10.1.1.0` **通配符掩码:** `255.0.254.255` #### 第 1 个字节（Octet 1）： * 源 IP: `10` * 掩码: `255` (二进制 `11111111`) * **含义**：全为 1，表示**完全忽略**。 * **结论**：第 1 个字节可以是 **0-255** 之间的任意值。 #### 第 2 个字节（Octet 2）： * 源 IP: `1` * 掩码: `0` (二进制 `00000000`) * **含义**：全为 0，表示**必须严格匹配**。 * **结论**：第 2 个字节必须是 **1**。 #### 第 3 个字节（Octet 3）： * 源 IP: `1` (二进制 `00000001`) * 掩码: `254` (二进制 `11111110`) * **含义**： * 掩码最后一位是 `0`，表示 IP 的最后一位必须与源 IP 的最后一位匹配。 * 掩码前七位是 `1`，表示 IP 的前七位忽略。 * 源 IP `1` 的二进制是 `...00000001`。 * 因为只关心最后 1 位（bit 0），且该位为 `1`，所以目标 IP 的第 3 个字节的最后一位必须是 `1`。 * 也就是说，第 3 个字节必须是**奇数**（二进制末位为 1 的数都是奇数）。 * **结论**：第 3 个字节必须是 **奇数** (1, 3, 5, ..., 255)。 #### 第 4 个字节（Octet 4）： * 源 IP: `0` * 掩码: `255` (二进制 `11111111`) * **含义**：全为 1，表示**完全忽略**。 * **结论**：第 4 个字节可以是 **0-255** 之间的任意值。 ### 3. 总结匹配条件一个 IP 地址要被该规则 permit，必须同时满足以下条件： 1. **第 1 字节**：任意 (0-255) 2. **第 2 字节**：必须等于 **1** 3. **第 3 字节**：必须是 **奇数** 4. **第 4 字节**：任意 (0-255) 即格式为：`X.1.奇数.X` ### 4. 选项验证 * **A. 7.1.2.1** * 第 2 字节：1 (符合) * 第 3 字节：2 (**偶数**，不符合，要求奇数) * 结果：**不匹配** * **B. 6.1.3.1** * 第 2 字节：1 (符合) * 第 3 字节：3 (**奇数**，符合) * 结果：**匹配** * **C. 8.2.2.1** * 第 2 字节：2 (**不等于 1**，不符合) * 结果：**不匹配** * **D. 9.1.1.1** * 第 2 字节：1 (符合) * 第 3 字节：1 (**奇数**，符合) * 结果：**匹配** ### 5. 最终结论符合条件的 IP 地址是 **B** 和 **D**。 **答案：BD**