一、题目
在华为设备上部署ACL时,下面描述正确的是()。
A. ACL定义规则时,只能按照10,20,30这样的顺序递进
B. 同一个ACL可以调用在多个接口下
C. 在接口下调用ACL时只能应用于出方向
D. ACL不可以用于过滤OSPF流量,因为OSPF流量不使用UDP协议封装
E. ACL可以匹配报文的TCP/UDP的端口号,且可以指定端口号的范围
二、答案
BE
三、解析
A:ACL定义规则时,只能按照10,20,30这样的顺序递进
错误。在华为设备上,ACL规则的编号需要符合规则编号的范围即可。
B:同一个ACL可以调用在多个接口下
正确。在华为设备上,同一个ACL可以被应用到多个接口上。可以在不同的物理接口或逻辑接口上应用同一个ACL来实现统一的访问控制策略。
C:在接口下调用ACL时只能应用于出方向
错误。在华为设备上,ACL可以应用于接口的入方向(inbound)和出方向(outbound)。
D:ACL不可以用于过滤OSPF流量,因为OSPF流量不使用UDP协议封装
错误。ACL可以用于过滤OSPF流量。OSPF使用IP协议号89进行封装,而不是UDP协议。
E:ACL可以匹配报文的TCP/UDP的端口号,且可以指定端口号的范围
正确。在华为设备上,高级ACL可以匹配报文的TCP/UDP的端口号,并且可以指定端口号的范围。可以创建一条规则来允许或拒绝特定源端口和目的端口范围内的流量。
四、扩展——ACL的类型
华为设备支持多种类型的ACL,每种类型适用于不同的场景:
- 基本ACL:编号范围2000-2999,可使用IPv4报文的源IP地址、分片标记和时间段信息来定义规则。
- 高级ACL:编号范围3000-3999,既可使用IPv4报文的源IP地址,也可使用目的地址、IP优先级、IP协议类型、ICMP类型、TCP源端口/目的端口、UDP(User Datagram Protocol)源端口/目的端口号等来定义规则。
- 二层ACL:编号范围4000-4999,可根据报文的以太网帧头信息来定义规则,如根据源MAC(Media Access Control)地址、目的MAC地址、以太帧协议类型等。
- 用户自定义ACL:编号范围5000-5999,用户可以自定义规则,匹配特定的报文特征。
- 基于ARP的ACL:编号范围23000-23999,根据ARP报文的源/目的IP地址、源/目的MAC地址定义规则,实现对ARP报文的匹配过滤。
- 基本ACL6:编号范围2000-2999,可使用IPv6报文的源IP地址、分片标记和时间段信息来定义规则。
- 高级ACL6:编号范围3000-3999,可以使用IPv6报文的源地址、目的地址、IP承载的协议类型、针对协议的特性(例如TCP的源端口、目的端口、ICMPv6协议的类型、ICMPv6 Code)等内容定义规则。