Question

帮我进来看道H3C acl的题。。。。。。

353. 一台MSR路由器通过S1/0接口连接Internet，GE0/0接口连接局域网主机，局域网主机所在网段为10.0.0.0/8，在Internet上有一台IP地址为202.102.2.1的FTP服务器。通过在路由器上配置IP地址和路由，目前局域网内的主机可以正常访问Internet(包括公网FTP服务器)，如今在路由器上增加如下配置：firewallenable
aclnumber3000
rule0denytcpsource10.1.1.10source-porteqftpdestination202.102.2.10
然后将此ACL应用在GE0/0接口的inbound和outbound方向，那么这条ACL能实现下列哪些意图？
A. 禁止源地址为10.1.1.1的主机向目的主机202.102.2.1发起FTP连接
B. 只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP21的FTP控制连接
C. 只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP20的FTP数据连接
D. 对从10.1.1.1向202.102.2.1发起的FTP连接没有任何限制作用

答案是D，请解释为什么，谢谢。。

Answer 1

因为他禁止的IP是202.102.2.10
而不是202.102.2.1
所以对202.102.2.1一点限制作用都没有
你可以观察一下IP就知道结果了
这个是H3CNE的题库里的题，我考过很多次，很熟悉的

Answer 2

给“满意回答”这位，你怀疑H3CNE怎么考过的，背的题库吧！

porteqftpdestination202.102.2.10，楼主写错了，应该是
porteqftpdestination202.102.2.1 0，后面这个0是反掩码。

rule 0 deny tcp source 10.1.1.1 0 source-port eq ftp destination 202.102.2.1 0
这条ACL意思是：拒绝源IP地址为10.1.1.1，源端口号为21（控制）/20（数据）的客户端访问目的IP地址为202.102.2.1 0的服务器。

TCP连接，无论主动还是被动方式，客户端都是用1024~5000之间的临时端口号，与服务器的端口号建立控制或数据连接。

因此，这条ACL放在inbound方向，由于客户端的端口号不符合这条规则，故，ACL失效。
这条ACL放在outbound方向，由于服务器地址是源IP地址，也不符合这条规则，故，ACL再次失效。

Answer 3

那个0是反掩码好不好，代表这个主机；客户端访问FTP服务器时是任意端口，acl应是deny目的而非源