140.以下哪种类型的 ACL 不能匹配网络层信息?

好的，让我们来详细解析这道题目。 ### 题目背景 ACL（Access Control List，访问控制列表）是一种用于在网络设备上过滤数据包的技术。根据不同的需求，ACL可以分为多种类型，每种类型的ACL能够匹配的数据包信息也不同。 ### 选项解析 **A. 基本 ACL** - **定义**：基本ACL主要基于源IP地址进行过滤。 - **网络层信息**：基本ACL可以匹配网络层的源IP地址。 - **示例**：`access-list 1 permit 192.168.1.0 0.0.0.255` 这条规则允许所有来自192.168.1.0/24网段的流量。 **B. 二层 ACL** - **定义**：二层ACL主要基于MAC地址、VLAN ID等链路层信息进行过滤。 - **网络层信息**：二层ACL不涉及网络层信息，只能匹配链路层的信息。 - **示例**：`mac access-list extended mac-acl permit 0011.2233.4455 any` 这条规则允许MAC地址为0011.2233.4455的设备发送的所有流量。 **C. 用户 ACL** - **定义**：用户ACL通常是指基于用户身份或用户组进行过滤的ACL。 - **网络层信息**：用户ACL可能涉及网络层信息，具体取决于实现方式。 - **示例**：在某些网络设备中，用户ACL可以基于用户的IP地址或其他网络层属性进行过滤。 **D. 高级 ACL** - **定义**：高级ACL可以基于源IP地址、目的IP地址、协议类型、端口号等多种网络层信息进行过滤。 - **网络层信息**：高级ACL可以匹配网络层的多种信息。 - **示例**：`access-list 100 permit tcp 192.168.1.0 0.0.0.255 10.0.0.0 0.0.0.255 eq 80` 这条规则允许从192.168.1.0/24网段到10.0.0.0/24网段的HTTP（端口80）流量。 ### 为什么选择 B 作为答案 根据上述解析，只有二层ACL（选项B）不能匹配网络层信息，因为它主要基于链路层的信息（如MAC地址、VLAN ID）进行过滤。其他选项（基本ACL、用户ACL、高级ACL）都可以匹配网络层信息。 因此，正确答案是 **B. 二层 ACL**。