Question

这个思科题目看不懂，求大神详解。

Refer to the exhibit. What will happen to HTTP traffic coming from the Internet that is destined for172.16.12.10 if the traffic is processed by this ACL?
router#show access-lists
extended Ip access list 110
10 deny tcp 172.16.0.0 0.0.255.255 eq telnet
20 deny tcp 172.16.0.0 0.0.255.255 eq smtp
30 deny tcp 172.16.0.0 0.0.255.255 eq HTTP
40 permit tcp 172.16.0.0 0.0.255.255 any

A. Traffic will be dropped per line 30 of the ACL.
B. Traffic will be accepted per line 40 of the ACL.
C. Traffic will be dropped, because of the implicit deny all at the end of the ACL.
D. Traffic will be accepted, because the source address is not covered by the ACL.
Answer: C
Explanation/Reference:
如果ACL对外部网络到到目的地址172.16.12.10的http流量起作用将会发生什么情况？
考点分析：图示的访问控制列表都是标准的访问控制列表，都是限制源地址的，并没有目的地址为
172.16.12.10的ACL，但是每个ACL中最后都含有一条默认的条目deny any，所以答案是C。
ACL匹配规则：
自上而下匹配，一旦匹配则终止，没有匹配到的丢弃。
题目给的172是目的地址，表中ACL中172是源地址.

匹配原则没懂，求大神详细说一下。最后一句：40 permit tcp 172.16.0.0 0.0.255.255 any是否少一个any.

Answer 1

访问控制列表默认的的匹配原则是按照从上向下依次匹配，如果第一条匹配了，就不再向下匹配，如果所有条目都不匹配，那么就按照列表中的最后的隐含语句处理，思科的默认语句是拒绝所有。
题中的所有语句都和要求不一致，那么来自于172的数据包就没有匹配条目，只能按照默认规则处理。所以是C，会被拒绝。
40 permit tcp 172.16.0.0 0.0.255.255 any这个语句根本就不完整。因为前面的协议是TCP，后面必须指明使用的端口。如果40 permit IP 172.16.0.0 0.0.255.255 any就没有语法问题了

Answer 2

应该是开启了ACL就会默认除了ACL以外的规则都是deny any，图示开了4个访问控制列表，都是对源地址172.16的限制，没有对目的地址的访问控制策略，因此对于任何目的地址来说，限制为deny any，所以是C，所有的信息都被拒绝。
不知道解释的你明白不。。

Answer 3

你题目肯定抄错了，前面的10，20，30语句明显少了一个地址，扩展acl可以根据源目地址来控制，你那里只有一个地址，肯定少了一个。