578.如下选项中的配置, 哪些属于二层 ACL?

**解析：** 在华为网络设备（如路由器、交换机）的 VRP 系统中，ACL（访问控制列表）根据匹配条件的不同，分为不同的类型。其中，**二层 ACL（Layer 2 ACL）**，也称为 MAC ACL，主要依据数据链路层的头部信息进行匹配，例如源 MAC 地址、目的 MAC 地址、以太网协议类型（EtherType）、VLAN ID 等。其 ACL 编号范围通常为 **4000-4999**。 我们逐一分析各个选项： * **A. `rule 10 permit 12-protacol arp`** * **分析**：`l2-protocol`（题目中误写为 `12-protacol`，应为 `l2-protocol`）用于匹配二层协议类型。ARP 是运行在数据链路层之上的协议，通过识别以太网帧中的协议类型字段来匹配 ARP 报文，这属于典型的二层匹配条件。 * **结论**：属于二层 ACL 配置。 * **B. `rule 25 permit source 192.168.1.1 0.0.0.0`** * **分析**：`source` 后跟 IP 地址和反掩码，这是基于网络层（三层）的源 IP 地址进行匹配。这属于基本 ACL（Basic ACL，编号 2000-2999）或高级 ACL（Advanced ACL，编号 3000-3999）的配置范畴，依赖于 IP 头部信息。 * **结论**：**不属于**二层 ACL，属于三层 ACL 配置。 * **C. `rule 20 permit source-mac 0203-0405-0607`** * **分析**：`source-mac` 明确指定了匹配源 MAC 地址。MAC 地址是数据链路层的核心标识，因此这是最典型的二层 ACL 匹配条件。 * **结论**：属于二层 ACL 配置。 * **D. `rule 15 permit vlan-id 100`** * **分析**：`vlan-id` 用于匹配 VLAN 标签。VLAN 标签插入在以太网帧头中，属于数据链路层的信息。因此，基于 VLAN ID 的过滤属于二层 ACL 的功能。 * **结论**：属于二层 ACL 配置。 综上所述，选项 A、C、D 均是基于数据链路层信息（协议类型、MAC 地址、VLAN ID）进行的配置，符合二层 ACL 的定义。 **正确答案：ACD**