Question

h3c一道分析题

路由器MSR-1 的GE0/0 接口地址为192.168.100.1/24，该接口连接了一台三层交换机，而此三层交换机为客户办公网络的多个网段的默认网关所在。MSR-1 通过串口S1/0 连接到Internet。全网已经正常互通，办公网用户可以访问Internet。出于安全性考虑，需要禁止客户主机ping MSR-1 的GE0/0 接口，于是在该路由器上配置了如下ACL：
acl number 3008
rule 0 deny icmp source 192.168.1.0 0.0.0.255
同时该ACL 被应用在GE0/0 的inbound 方向。发现局域网内192.168.0.0/24 网段的用户依然可以ping 通GE0/0 接口地址。根据如上信息可以推测_______。（选择一项或多项）
A. 该ACL 没有生效
B. 该ACL 应用的方向错误
C. 防火墙默认规则是允许
D. 对接口GE0/0 执行shutdown 和undo shutdown 命令后，才会实现192.168.0.0/24 网段ping 不通MSR-1
以太网接口地址

针对答案求详细的解析。

Answer 1

你好：
　A. 该ACL 没有生效——这项是错误的，原因是acl 3008定义的网段是192.168.1.0/24，实际是 通过192.168.0.0/24测试ping的效果

B. 该ACL 应用的方向错误——这项也是错误的，原因限制的网段不对，跟方向无关

C. 防火墙默认规则是允许——这项是正确的

D. 对接口GE0/0 执行shutdown 和undo shutdown 命令后，才会实现192.168.0.0/24 网段ping 不 通MSR-1以太网接口地址——这项也是错误的，原因限制的网段不对，跟重启接口没有关系
正确答案：C
希望能够帮助到你！

Answer 2

C
1、应用没有其它配置了，理论上是生效的（考试题，不管硬件情况，只管配置）。
2、接口地址禁ping应用都是IN的方向，来到接口就丢弃，out方向是禁ping内网以外的地址，接收了，出去的时候丢弃。所以应用out方向，无伦acl怎么做，内网都能ping通。
3、H3C防火墙默认规则确实是允许，选C
4、H3C都是应用就生效的。

Answer 3

答案是C，防火墙默认规则是允许，上面所配置的ACL并没有禁止192.168.0.0这个网段，只禁止了 192.168.1.0这个网段！