一、题目
如图所示的网络,Router A的配置信息如下,下列说法错误的是?(单选)
acl number 2000
rule 5 deny source 200.0.12.0 0.0.0.7
rule 10 permit source 200.0.12.0 0.0.0.15
#
interface GigabitEthernet0/0/1
traffic-filter outbound acl 2000
A. 源IP地址为200.0.12.2的主机不能访问Internet
B. 源IP地址为200.0.12.6的主机不能访问Internet
C. 源IP地址为200.0.12.8的主机不能访问Internet
D. 源IP地址为200.0.12.4的主机不能访问Internet
二、答案
C
三、解析
ACL匹配rule5,策略是拒绝(deny),匹配的IP地址范围是200.0.12.0-200.0.12.7
ACL匹配rule10,策略是允许(permit),匹配的IP地址范围是200.0.12.0-200.0.12.15
按照匹配顺序rule5先匹配,然后是rule10,所以.2、.6、.4都是拒绝。.8的匹配是是rule10是允许的,所以答案是C
四、扩展 — ACL原理
ACL的工作原理主要基于包过滤技术,它允许或拒绝数据包通过路由器或交换机等网络设备。以下是ACL工作原理的详细解释:
- 读取数据包信息:
- 当数据包经过路由器或交换机时,ACL会读取该数据包的头部信息。这些信息通常包括源IP地址、目的IP地址、源端口号、目的端口号、协议类型(如TCP、UDP等)等。
- 匹配ACL规则:
- ACL中包含一系列预定义的规则,这些规则描述了允许或拒绝哪些类型的数据包通过。规则可以基于数据包的源地址、目的地址、端口号、协议类型等条件进行定义。
- ACL会逐个将数据包头部信息与规则中的条件进行匹配。如果数据包满足某条规则的条件,则根据该规则执行相应的操作(允许通过或丢弃)。
- 处理匹配结果:
- 如果数据包匹配到允许通过的规则,则路由器或交换机将允许该数据包继续传输到其目的地址。
- 如果数据包不匹配任何允许通过的规则,或者匹配到拒绝通过的规则,则路由器或交换机将丢弃该数据包,不会将其转发到目的地址。
- 顺序和优先级:
- ACL规则是按顺序进行匹配的,一旦匹配到某条规则,就会停止后续的匹配过程。因此,规则的顺序很重要,需要根据业务需求进行合理设置。
- 如果有多个ACL应用于同一个接口,则它们的优先级也需要考虑。通常,优先级较高的ACL会先被应用。
- 日志记录:
- 许多网络设备都支持ACL日志记录功能。当数据包被ACL丢弃时,可以将相关信息记录到日志中,以便管理员进行审计和故障排查。