HCIA-Datacom题库（自己整理）—

1.基于ACL规则,ACL可以划分为以下哪些类?

基本ACL

二层ACL

用户ACL

高级ACL

2.ACL分类有哪些?

基本ACL

高级ACL

二层ACL

用户自定义ACL

3.路由器A的G0/0/1接口配置信息如图,下列说法正确的有?

本接口不会转发收到的FTP报文

本接口可以和其它路由器建立OSPF的邻居关系

本接口不会转发ICMP报文

本接口不会转发收到的SNMP报文

解析：17是UDP，6是TCP，89是OSPF，FTP属于TCP，SNMP属于UDP，这两项会被拒绝，并且无法建立OSPF的邻居关系，ICMP没有被拒绝可以正常访问。

4.华为设备上的高级ACL可以用于过滤下面哪些内容?

基于特定端口号的网络流量

基于特定源地址的网络流量

基于特定目的地址的网络流量

基于特定源MAC地址的流量

基于特定用户名的网络流量

如下图所示的网络，从安全角度考虑，路由器A拒接从G0/0/1按口收到的OSPF报文、GE报文、ICMP报文、以下哪些命令可以实现这个需求？

Acl number 3000 rule 5 deny ospf rule 10 deny icmp #interface GigabitEthernet0/0/1 traffic-

filter inbound acl3000#

Acl number 3000 rule 5 deny 89 rule 10 deny 1 # interface GigabitEthernet0/0/1 traffic-filter

inbound acl 3000#

Acl number 3000 rule 5 deny 89 rule 10 deny icmp # interface GigabitEthernet0/0/1 traffic-filter

inbound acl3000

Acl number 2000 rule 5 deny ospf rule 10 deny icmp # interface GigabitEthernet0/0/1 traffic-

fiter inbound acl2000#

某个ACL规则如下，则下列哪些IP地址可以被permit规则匹配？rule 5 permit ip source 10.0.2.0 0.0.254.255

10.0.5.6

10.0.6.7

10.0.4.5

10.0.2.1

以下关于ACL的匹配机制法正确的有

如果ACL不存在，则返回ACL匹配结果为:不匹配

如果一直查到最后一条规则，报文仍未匹配上，则返回ACL匹配结果为:不匹配

缺省情况下，从ACL中编号最小的规则开始查找，一旦匹配规则，停止查询后续规则

无论报文匹配ACL的结果是不匹”，“允许"还是‘拒绝，该报文最终是被允许通过还是拒绝通过，实际是

由应用ACL的各个业务模块来快定

如图所示的网络，通过以下哪些配置可以实现主机B不能相互通信？

Acl number 2000 rule 5 deny source 100.0.12.0 0.0.0.255#Interface GigabitEthernet0/0/1 traffic-

filterinbound acl2000

Acl number 2000 rule 5 deny source 100.0.12.0 0.0.0.255#Interface GigabitEthernet0/0/3 traffic-

filterinbound acl2000

Acl number 2000 rule 5 deny source 100.0.12.0 0.0.0.255#Interface GigabitEthernet0/0/1 traffic-

filteroutbound acl 2000

Acl number 2000 rule 5 deny source 100.0.12.0 0.0.0.255#lInterface GigabitEthernet 0/0/2

traffic-filterinbound acl 2000

以下哪些配置可以实现主机A和主机B不能相互通信？

Adl number2000 rule 5 deny source 100.0.12.0 0.0.0.255 # interface GigabitEthernet0/0/1 traffic-

flteroutbound acl 2000#

Acl nuber2000 rule 5 deny source 100.0.12.0 0.0.0.255# interface GigabitEthernet0/0/1 traffic-

filter inboundacl 2000 #

Acl number2000 rule 5 deny source 100.0.12.0 0.0.0.255# interface GigabitEthernet0/0/3 traffic-

filter inboundacl 2000 #

Acl number 2000 rule 5 deny source 100.0.12.0 0.0.0.255 # interface GigabitEthernet0/0/2

traffic-filterinbound ac 2000

在路由器RTA上使用如图所示ACL匹配路由条目则下面哪些条目将会匹配上？

172.16.1.0/24

172.16.1.1/32

172.18.0.0/16

192.17.0.0/24

某个ACL规则如下:rule 5 permit ip source 10.0.1.0 0.0.254.255，则下列哪些IP地址可以被permit规则匹配？

10.0.4.5

10.0.3.4

10.0.1.2

10.0.2.3

在华为设备上部署ACL时，下面描述正确的是？

ACL可以匹配报文的TCP/UDP的端口号，且可以指定端口号的范围

同一个ACL可以调用在多个接口下

ACL定义规则时，只能按照10，20，30这样的顺序递进

ACL不可以用于过滤OSPF流量，因为OSPF流量不使用UDP协议封装

在接口下调用ACL时只能应用于出方向

如图所示的网络，通过以下哪些配置可以实现主机A不能访问主机B的HTTP服务，主机B不能访问主机A的FTP服务？

ac1 number 3000 rule 5 deny tcp source 100.0.12.0.0.0.0.255 source-port eq www

destination100.0.13.0.0.0.0.255 acl number 3001 rule 5 deny tcp source 100.0.13.0.0.0.0.255

source-port eq ftpdestination 100.0.12.0.0.0.0.255Interface GigabitEthernet/0/1 traffic-filter

inbound ac1 3000 InterfaceGigabitEthernet0/0/2 traffic-filter inbound ac1 3001

ac1 number 3000 rule 5 deny tcp source 100.0.13.0.0.0.0.255 destination 100.0.12.0.0.0.0.255

destinationeq www ac1 number 3001 rule 5 deny tcp source 100.0.12.0.0.0.0.255 destination

100.0.13.0.0.0.0.255Destination eq ftp Interface GigabitEthernet0/0/1traffic-filter inbound ac1

3000 InterfaceGigabitEthernet0/0/2 traffic-filter inbound ac13001

ac1 number 3000 rule 5 deny tcp source 100.0.12.0.0.0.0.255 source-port eq www

destination100.0.13.0.0.0.0.255 acl number 3001 rule 5 deny tcp source 100.0.13.0.0.0.0.255

source-port eq ftpdestination 100.0.12.0.0.0.0.255Interface GigabitEthernet0/0/1 traffic-filter

inbound ac1 3000 InterfaceGigabitEtherneto/0/2 traffic-filter inbound ac1 3001

ac1 number 3000 rule 5 deny tcp source 100.0.13.0.0.0.0.255 destination

100.0.12.0.0.0.0.255destinationeqwww ac1 number 3001 rule 5 deny tcp source

100.0.12.0.0.0.0.255destination 100.0.13.0.0.0.0.255Destination eq ftp Interface

GigabitEthernet0/0/1traffic-filter inbound ac1 3000 InterfaceGigabitEthernet0/0/2 traffic-filter

inbound ac1 3001

714 以下关于ACL的匹配机制说法正确的有？

无论报文匹配ACL的结果是“不匹配”、“允许”还是“拒绝”，该报文最终是被允许通过还是拒绝通过;

实际是由应用ACL的各个业务模块来决定

缺省情况下，从ACL中编号最小的规则开始查找，一旦匹配规则停止查询后续规则

如果ACL不存在，则返回ACL匹配结果为:不匹配

如果一直查到最后一条规则，报文仍未匹配上，则返回ACL匹配结果为不匹配

如下选项中的配置，哪些属于二层ACL？

rule 15 permit vlan-id100

rule 20 permit source-mac0203-0405-0607B

rule 10 permit 12-protocol arp

rule 25 permit source 192.168.1.1 0.0.0.0

在路由器RTA上使用如图所示ACL匹配路由条目则下面哪些条目将会匹配上？

172.16.1.0/24

172.16.1.1/32

172.18.0.0/16

192.17.0.0/24

如下图所示的网络，从安全角度考虑，路由器A拒接从G0/0/1按口收到的OSPF报文、GE报文、ICMP

报文、以下哪些命令可以实现这个需求？

Acl number 3000 rule 5 deny ospf rule 10 deny icmp #

interface GigabitEthernet0/0/1 traffic-filter inbound acl3000#

Acl number 3000 rule 5 deny 89 rule 10 deny 1 #

interface GigabitEthernet0/0/1 traffic-filterinbound acl 3000#

Acl number 3000 rule 5 deny 89 rule 10 deny icmp #

interface GigabitEthernet0/0/1 traffic-filterinbound acl3000

Acl number 2000 rule 5 deny ospf rule 10 deny icmp #

interface GigabitEthernet0/0/1 traffic-fiterinbound acl2000#

如图所示的网络通过以下哪些配置可以实现主机A可以方间Internet，而主机B不可以访问？

acl number 2000 rule 5 deny source 100.0.12.0.0.0.0.255 rule 10 permit interface

GigabitEthernet0/0/3traffic- filter outbound acl 2000

acl number 2000 rule 5 permit source 100.0.13.0.0.0.0.255 rule 10 deny

source100.0.12.0.0.0.0.255interface GigabitEtherneto/o/3 traffic- filter outbound acl 2000

acl number 2000 rule 5 permit source 100.0.13.0.0.0.0.255 rule 10 deny interface

GigabitEthernet0/0/3traffic- filter outbound acl 2000

acl number 2000 rule 5 deny source 100.0.12.0.0.0.0.255 rule 10 permit

source100.0.13.0.0.0.0.255interface GigabitEthernet0/0/3 traffic- filter outbound acl 2000

以下关于ACL的匹配机制说法正确的有?
无论报文匹配ACL的结果是"不匹配”“允许”还是“拒绝”,该报文最终是被允许通过还是拒绝通过;实际是由应用ACL的各个业务模块来决定
8缺省情况下,从ACL中编号最小的规则开始查找,一旦匹配规则停止查询后续规则
如果ACL不存在,则返回ACL匹配结果为:不匹配
如果一直查到最后一条规则,报文仍未匹配上,则返回ACL匹配结果为不配