Question

H3C acl问题。。。。

355. 某网络连接形如：
HostA----GE0/0--MSR-1--S1/0---------S1/0--MSR-2--GE0/0----HostB
两台MSR路由器MSR-1、MSR-2通过各自的S1/0接口背靠背互连，各自的GE0/0接口分别连接客户端主机HostA和HostB。其中HostA的IP地址为192.168.0.2/24，MSR-2的S0/0接口地址为1.1.1.2/30，通过配置其他相关的IP地址和路由目前网络中HostA可以和HostB实现互通。如今客户要求不允许HostA通过地址1.1.1.2Telnet登录到MSR-2。那么如下哪些配置可以满足此需求？
A. 在MSR-1上配置如下ACL并将其应用在MSR-1的GE0/0的inbound方向：
[MSR-1]firewallenable
[MSR-1]aclnumber3000
[MSR-1-acl-adv-3000]rule 0 deny tcp source 192.168.0.1 0.0.0.255 destination 1.1.1.2 0.0.0.3destination-porteqtelnet
B. 在MSR-1上配置如下ACL并将其应用在MSR-1的GE0/0的outbound方向：
[MSR-1]firewallenable
[MSR-1]aclnumber3000
[MSR-1-acl-adv-3000]rule0denytcpsource192.168.0.20destination1.1.1.20destination-porteqtelnet
C. 在MSR-1上配置如下ACL并将其应用在MSR-1的S1/0的inbound方向：
[MSR-1]firewallenable
[MSR-1]aclnumber3000
[MSR-1-acl-adv-3000]rule0denytcpsource192.168.0.10.0.0.255destination1.1.1.20destination-porteq
telnet
D. 在MSR-1上配置如下ACL并将其应用在MSR-1的S1/0的outbound方向：
[MSR-1]firewallenable
[MSR-1]aclnumber3000
[MSR-1-acl-adv-3000]rule0denytcpsource192.168.0.20destination1.1.1.20.0.0.3destination-porteqtelnet

答案是AD，为什么呢？想不通啊

Answer 1

这个你要看清楚应用的接口和in out方向
b选项是g0、0的出方向，源地址不能匹配到主机0.2 不对
c选项是 s口的进方向，源地址也匹配不到 而且 黑客网站上有

Answer 2

这个你要看清楚应用的接口和in out方向
b选项是g0、0的出方向，源地址不能匹配到主机0.2 不对
c选项是 s口的进方向，源地址也匹配不到