541.如图所示的网络, 通过以下哪些配置可以实现主机 A 不能访间主机 B 的 HTTP 服务, 主机 B 不能访问主机 A 的下 FTP 服务?

　Acl number 3000Rule 5 deny tcp source 100.0.12.0 0.0.0.255 source-port eq www destination 100.0.13.0 0.0.0.255Acl number 3001Rule 5 deny tcp source 100.0.13.0 0.0.0.255 source-port eq ftpdestination 100.0.12.0 0.0.0.255Interface GigabitEthernet0/0/1Traffic-filter outbound acl 3000Interface GigabitEthernet0/0/2Traffic-filter outbound acl 3001

　.Acl number 3000Rule 5 deny tcp source 100.0.13.0 0.0.0.255 destination 100.0.12.00.0.255destination-port eq www Acl number 3001Rule 5 deny tcp source 100.0.12.0 0.0.0.255 destination 100.0.13.00.0.255 destination-port eq ftp Interface GigabitEthernet0/0/1Traffic-filter inbound acl3000Interface GigabitEthernet0/0/2Traffic -filter inbound acl 3001

　Acl number 3000Rule 5 deny tcp source 100.0.13.0 0.0.0.255 destination 100.0.12.00.0.255 destination-port eq wwwAcl number 3001Rule 5 deny tcp source 100.0.12.0 0.0.0.255 destination 100.0.13.00.0.255 destination-port eq ftpInterface GigabitEthernet0/0/1Traffic-filter outbound acl 3000Interface GigabitEthernet0/0/2Traffic -filter outbound acl 3001

　Acl number 3000Rule 5 deny tcp source 100.0.12.0 0.0.0.255 source-port eq www destination100.0.13.0 0.0.0.255 Acl number 3001Rule 5 deny tcp source 100.0.13.0 0.0.0.255 source-port eq ftpdestination 100.0.12.0 0.0.0.255Interface GigabitEthernet0/0/1Traffic-filter intbound acl 3000Interface GigabitEthernet0/0/2Traffic-filter inbound acl 3001

答案解析

正确答案：BD

解析：

这是一道关于华为网络设备 ACL（访问控制列表）配置及流量过滤方向的经典题目。我们需要分析题目需求，并结合 ACL 的匹配规则（源/目的 IP、源/目的端口）以及接口上的应用方向（inbound/outbound）来判断选项的正确性。 ### 1. 题目需求分析 * **拓扑推断**： * 通常此类题目中，主机 A 和主机 B 分别连接在路由器的不同接口上。 * 根据选项中的 IP 地址段： * `100.0.12.0/24` 网段通常对应连接主机 A 的接口（假设为 G0/0/1）。 * `100.0.13.0/24` 网段通常对应连接主机 B 的接口（假设为 G0/0/2）。 * **注意**：具体的接口对应关系需要通过选项的逻辑反推或结合常见拓扑习惯。通常 G0/0/1 连左侧（A），G0/0/2 连右侧（B）。 * **安全策略目标**： 1. **主机 A 不能访问主机 B 的 HTTP 服务**： * 流量方向：A -> B * 协议：TCP * 源 IP：A 的网段 (`100.0.12.0/24`) * 目的 IP：B 的网段 (`100.0.13.0/24`) * **关键特征**：目的端口为 HTTP (80/www)。 * ACL 匹配要素：`source 100.0.12.0 ... destination 100.0.13.0 ... destination-port eq www` 2. **主机 B 不能访问主机 A 的 FTP 服务**： * 流量方向：B -> A * 协议：TCP * 源 IP：B 的网段 (`100.0.13.0/24`) * 目的 IP：A 的网段 (`100.0.12.0/24`) * **关键特征**：目的端口为 FTP (21/ftp)。 * ACL 匹配要素：`source 100.0.13.0 ... destination 100.0.12.0 ... destination-port eq ftp` ### 2. 核心知识点回顾 * **ACL 匹配规则**： * 标准 ACL 或扩展 ACL 中，限制特定服务访问时，必须匹配**目的端口** (`destination-port`)。 * 如果匹配的是**源端口** (`source-port`)，通常用于限制发起连接的客户端端口，这在大多数防火墙策略中是不正确的做法，因为客户端源端口是随机的 ephemeral ports。除非题目特指某种特殊场景，否则限制服务访问应看目的端口。 * **Traffic-filter 方向**： * **Inbound (入方向)**：数据包进入接口的方向。 * 在 G0/0/1 (连 A) 的 inbound 方向，看到的是 **A 发出** 的流量 (Src: A, Dst: B)。 * 在 G0/0/2 (连 B) 的 inbound 方向，看到的是 **B 发出** 的流量 (Src: B, Dst: A)。 * **Outbound (出方向)**：数据包离开接口的方向。 * 在 G0/0/1 (连 A) 的 outbound 方向，看到的是 **发给 A** 的流量 (Src: B, Dst: A)。 * 在 G0/0/2 (连 B) 的 outbound 方向，看到的是 **发给 B** 的流量 (Src: A, Dst: B)。 ### 3. 选项逐一解析 #### **选项 A 分析** * **ACL 3000**: `deny tcp source 100.0.12.0 ... source-port eq www destination 100.0.13.0 ...` * 错误点：使用了 `source-port eq www`。HTTP 请求中，客户端（A）的源端口是随机高位端口，服务器（B）的目的端口才是 80。此规则无法正确匹配 A 访问 B HTTP 的请求流量。 * **ACL 3001**: `deny tcp source 100.0.13.0 ... source-port eq ftp destination 100.0.12.0 ...` * 错误点：使用了 `source-port eq ftp`。同理，FTP 控制连接中，客户端（B）的源端口是随机的，服务器（A）的目的端口才是 21。 * **结论**：ACL 规则定义错误。**排除 A**。 #### **选项 B 分析** * **ACL 3000**: `deny tcp source 100.0.13.0 ... destination 100.0.12.0 ... destination-port eq www` * 这条规则意在禁止 **源为 B (13网段)，目的为 A (12网段)，且目的端口为 WWW** 的流量。 * 等等，题目要求是“主机 A 不能访问主机 B 的 HTTP”。 * 让我们看应用位置：`Interface GigabitEthernet0/0/1 Traffic-filter inbound acl 3000`。 * G0/0/1 连接的是 A (12网段)。 * **Inbound on G0/0/1** 捕获的是 **从 A 发出的流量** (Src: 12网段, Dst: 13网段)。 * 但是 ACL 3000 写的是 `source 100.0.13.0 ... destination 100.0.12.0`。 * **这里存在矛盾？** 让我们重新审视题目的常见陷阱或选项排版。 * **修正思路**：通常这类题目中，如果选项 B 是正确答案，那么它的 ACL 定义和应用方向必须逻辑自洽。 * 让我们仔细看选项 B 的文本： `Acl number 3000 Rule 5 deny tcp source 100.0.13.0 ... destination 100.0.12.0 ... destination-port eq www` `Interface GigabitEthernet0/0/1 Traffic-filter inbound acl 3000` 如果在 G0/0/1 (连A) 的入方向应用这个 ACL，它只会匹配 Src=13, Dst=12 的包。但从 A 进来的包 Src=12, Dst=13。**根本匹配不上**。 * **再次仔细检查选项 B 的文本是否可能有误读，或者我对接口连接的假设需要调整？** 如果 G0/0/1 连的是 B，G0/0/2 连的是 A 呢？如果 G0/0/1 连 B (13网段)： Inbound on G0/0/1 捕获 Src=13, Dst=12 的流量。 ACL 3000: Deny Src=13, Dst=12, Dst-port=www。这表示禁止 B 访问 A 的 Web 服务。但这与题目“禁止 A 访问 B 的 HTTP”不符。 * **让我们换个角度：看选项 D，因为答案说是 BD。** #### **选项 D 分析** * **ACL 3000**: `deny tcp source 100.0.12.0 ... source-port eq www destination 100.0.13.0 ...` * 同样使用了 `source-port eq www`。这在常规理解下是错误的。 * **但是**，我们看应用方向：`Interface GigabitEthernet0/0/1 Traffic-filter inbound acl 3000` (原文写的是 `intbound` 应为 `inbound` 的笔误)。 * 如果答案是 D，说明出题人可能认为 `source-port` 在这里有特殊含义，或者**更有可能的是：题目选项的文本录入存在严重的格式混乱或错误，我们需要寻找“相对最合理”或“符合特定语境”的解释。** --- **重新深入分析标准解题逻辑（基于华为认证题库常见逻辑）：** 通常，正确的配置应该是： 1. **禁止 A (12) 访问 B (13) 的 HTTP (80)**: * ACL: `deny tcp source 100.0.12.0 0.0.0.255 destination 100.0.13.0 0.0.0.255 destination-port eq 80` * 应用：在 G0/0/1 (连A) 的 **inbound**，或者 G0/0/2 (连B) 的 **outbound**。 2. **禁止 B (13) 访问 A (12) 的 FTP (21)**: * ACL: `deny tcp source 100.0.13.0 0.0.0.255 destination 100.0.12.0 0.0.0.255 destination-port eq 21` * 应用：在 G0/0/2 (连B) 的 **inbound**，或者 G0/0/1 (连A) 的 **outbound**。让我们重新审视 **选项 B** 和 **选项 D** 的文本，看看是否有“反转”或者“笔误”导致它们成为正确答案。 **观察选项 B:** * ACL 3000: `source 100.0.13.0 ... destination 100.0.12.0 ... destination-port eq www` * 这定义的是：禁止 **别人** 访问 **12网段** 的 WWW。即禁止访问 A 的 Web。 * 应用：G0/0/1 Inbound。 * ACL 3001: `source 100.0.12.0 ... destination 100.0.13.0 ... destination-port eq ftp` * 这定义的是：禁止 **别人** 访问 **13网段** 的 FTP。即禁止访问 B 的 FTP。 * 应用：G0/0/2 Inbound。 * **如果题目问的是：** “主机 B 不能访问主机 A 的 HTTP，主机 A 不能访问主机 B 的 FTP”，那么 B 就是对的。 * **但题目问的是：** “A 不能访问 B 的 HTTP，B 不能访问 A 的 FTP”。 * **这说明选项 B 的 ACL 内容写反了 IP 段，或者接口方向需要配合 Outbound？** * 如果 G0/0/1 是 Outbound：流出到 A 的流量是 Src=13, Dst=12。ACL 3000 (Src=13, Dst=12, D…(已截断)