×
多选题
540.如下图所示的网络,从安全角府考虑,路由器 A 拒接从 G0/0/1 接口收到的OSPF 报文、 GRE 报文 、ICMP 报文, 以下哪些命令可 以实现这个需求?
540.如下图所示的网络,从安全角府考虑,路由器 A 拒接从 G0/0/1 接口收到的OSPF 报文、 GRE 报文 、ICMP 报文, 以下哪些命令可 以实现这个需求?
A
Acl number 3000Rule 5 deny greRule 10 deny ospf rule 15 deny icmpInterfaceGigabitEthernet0/0/1Traffic-filter inboundacl 3000
B
Acl number 3000Rule 5 deny greRule 10 deny 89Rule 15 deny icmpInterfaceGigabitEthernet0/0/1Traffic-filter inbound acl 3000
C
Acl number 2000Rule 5 deny 47Rule 10 deny 89Rule 15 deny 1Interface GigabitEthernet0/0/1Traffic- filter inbound acl 2000
D
Acl number 3000Rule 5 deny 47Rule 10 deny 89Rule 15 deny 1Interface GigabitEthernet0/0/1Traffic- filter inbound acl 3000
答案解析
正确答案:ABD
解析:
这是一道关于华为网络设备配置 ACL(访问控制列表)以实现安全策略的题目。我们需要分析如何通过 ACL 拒绝特定的协议报文,并确定正确的 ACL 类型和配置命令。
### 1. 核心知识点分析
* **ACL 类型选择**:
* **基本 ACL (2000-2999)**:仅能基于源 IP 地址进行过滤。
* **高级 ACL (3000-3999)**:可以基于源/目的 IP 地址、源/目的端口号、**协议类型**等进行过滤。
* 题目要求根据**协议类型**(GRE, OSPF, ICMP)进行过滤,因此必须使用**高级 ACL (3000-3999)**。
* **结论**:选项 C 使用了 `acl number 2000`,这是基本 ACL,无法识别协议类型,因此 **C 错误**。
* **协议对应的数值或关键字**:
在华为 VRP 系统中,高级 ACL 可以通过协议名称或协议号来指定协议:
* **GRE (Generic Routing Encapsulation)**:
* 协议号:**47**
* 关键字:`gre`
* **OSPF (Open Shortest Path First)**:
* 协议号:**89**
* 关键字:`ospf`
* **ICMP (Internet Control Message Protocol)**:
* 协议号:**1**
* 关键字:`icmp`
* **应用方向**:
* 题目要求拒绝从 `G0/0/1` 接口**收到**的报文。
* 在接口视图下,`traffic-filter inbound` 表示对进入该接口的流量进行过滤。所有选项均使用了 `inbound`,方向正确。
### 2. 选项逐一解析
**选项 A:**
```text
Acl number 3000
Rule 5 deny gre
Rule 10 deny ospf
Rule 15 deny icmp
Interface GigabitEthernet0/0/1
Traffic-filter inbound acl 3000
```
* **ACL 类型**:3000(高级 ACL),正确。
* **规则匹配**:直接使用协议关键字 `gre`、`ospf`、`icmp`。华为设备支持这种配置方式。
* **应用**: inbound 方向应用 ACL 3000。
* **结果**:**正确**。
**选项 B:**
```text
Acl number 3000
Rule 5 deny gre
Rule 10 deny 89
Rule 15 deny icmp
Interface GigabitEthernet0/0/1
Traffic-filter inbound acl 3000
```
* **ACL 类型**:3000(高级 ACL),正确。
* **规则匹配**:
* `deny gre`:使用关键字,正确。
* `deny 89`:使用 OSPF 的协议号 89,正确。
* `deny icmp`:使用关键字,正确。
* **应用**: inbound 方向应用 ACL 3000。
* **结果**:**正确**。
**选项 C:**
```text
Acl number 2000
...
```
* **ACL 类型**:2000(基本 ACL)。
* **错误原因**:基本 ACL 只能匹配源 IP 地址,不能在 rule 中直接指定协议号(如 47, 89, 1)或协议名称。配置语法上也是错误的(基本 ACL 的 rule 格式通常为 `rule [permit/deny] source ...`)。
* **结果**:**错误**。
**选项 D:**
```text
Acl number 3000
Rule 5 deny 47
Rule 10 deny 89
Rule 15 deny 1
Interface GigabitEthernet0/0/1
Traffic-filter inbound acl 3000
```
* **ACL 类型**:3000(高级 ACL),正确。
* **规则匹配**:全部使用协议号。
* `deny 47`:对应 GRE,正确。
* `deny 89`:对应 OSPF,正确。
* `deny 1`:对应 ICMP,正确。
* **应用**: inbound 方向应用 ACL 3000。
* **结果**:**正确**。
### 3. 最终结论
能够实现“从 G0/0/1 接口收到的 OSPF、GRE、ICMP 报文”被拒绝的配置是 A、B、D。
* **A** 使用全关键字。
* **B** 混合使用关键字和协议号。
* **D** 使用全协议号。
* **C** 错误地使用了基本 ACL。
**正确答案:ABD**
相关知识点:
路由器拒绝特定报文用ACL
题目纠错
华为数通工程师HCIA题库
相关题目
单选题
261.如图所示, 四台交换机都运行 STP,各参数都采用默认值 。在根交换机某端口发生阻塞并无法通 过该端口发送配置即心时, 网络中塞端 口在多久之后会进入到转发状态?
单选题
260.如下图所示的网络,交换机使用 VLANIF 接口和路由器的子接口对接,则以下哪个配置可以实现 这种需求?
单选题
259. Router C 的输出信息如下, 则 Router C 通告多少个全球单播地址前缀?
单选题
258.如下图所示的网络, 主机 A 没有配置网关, 主机 B 存在网关的 ARP 缓存,在主机 A 使用命令 ping11.0.12.1,下列说法正确的有?
单选题
257.如下图所示网络,SWA 的 MAC 地址表如下, 交换机始终学习不到 HOSTA 的 MAC 地址,不可能是以下哪种原因?
单选题
256.路由器 1 路由表输出信息如下, 下列说法正确的是?
单选题
255.某台路由器输出信息如下, 则此接口采用的隧道协议是?
单选题
254.如下图所示, IPSec 采用隧道模式,则 ESP 加密的范围是?
单选题
253.如下图所示的网络,所有链路均是以太网链路, 并且所有路由器运行 OSPF 协议,则整个网络中选举几个DR?
单选题
252.如图所示, RTA 的 G0/0/0 和 G0/0/1 接口分别连接到两个不同的网段, RTA 为这两个网络的网关。 主机 A 在发送数据给主机 C 之前,会先发送 ARP Request 来获取( )的 MAC 地址。
