一、题目

如图所示的网络，Router A的配置信息如下，下列说法错误的是？（单选）

acl number 2000

rule 5 deny source 200.0.12.0 0.0.0.7

rule 10 permit source 200.0.12.0 0.0.0.15

#

interface GigabitEthernet0/0/1

traffic-filter outbound acl 2000

#

A. 源IP地址为200.0.12.2的主机不能访问Internet

B. 源IP地址为200.0.12.6的主机不能访问Internet

C. 源IP地址为200.0.12.8的主机不能访问Internet

D. 源IP地址为200.0.12.4的主机不能访问Internet

二、答案

C

三、解析

ACL匹配rule5，策略是拒绝（deny），匹配的IP地址范围是200.0.12.0-200.0.12.7

ACL匹配rule10，策略是允许（permit），匹配的IP地址范围是200.0.12.0-200.0.12.15

按照匹配顺序rule5先匹配，然后是rule10，所以.2、.6、.4都是拒绝。

.8的匹配是是rule10是允许的，所以答案是C

四、延伸

1.

ACL使用通配符，通配符的规则是0代表唯一匹配，1代表任意匹配（二进制转换情况下）。

200.0.12.0 0.0.0.7

200.0.12.0

1100 1000.0000 0000.0000 1100.0000 0000

0000 0000.0000 0000.0000 0000.0000 0111

1100 1000.0000 0000.0000 1100.0000 0xxx

最小1100 1000.0000 0000.0000 1100.0000 0000 200.0.12.0

最大1100 1000.0000 0000.0000 1100.0000 0111 200.0.12.7

得到200.0.12.0~7范围

2.

那么如果需要匹配200.0.12.0/24网段中的奇数IP地址是怎么做的？

奇数200.0.12.1 0.0.0.254

偶数200.0.12.0 0.0.0.254