题库里的一个问题没搞懂，大手来帮帮忙

outnet

QUESTION 200
- b0 p( g5 K' W1 A3 d6 N0 z6 c你希望只有 telnet 的流量能够访问服务器（地址为 10.1.1.100）。
5 H' {3 I6 d9 e3 g8 X9 r然后，你又在路由器上添加了如下 ACL：
& X3 |7 }0 p- xrule 5 permit tcp source any destination 10.1.1.100 0.0.0.0 destination-port eq 23
rule 10 deny ip source any destination any
. X1 J" _  ~) T) l$ m然后你将该 ACL 应用到该路由器的 serial 接口的入口方向。
下面哪种类型的报文会被允许穿过该路由器?（多选）
( o+ `9 g2 G) h1 ]7 NA. 一个非分片的、使用端口 21 的、访问服务器的报文
0 }, x$ z9 L3 ^& I- m' n: q: SB. 非首片分片的、使用端口 23 的来访问服务器的报文
C. 非首片分片的来访问其他主机的报文
D. 非首片分片的、使用端口 21 的来访问服务器的报文
$ n0 Z& R( q( s9 i2 H' fE. 首片分片或者非分片的、使用端口 23 的来访问服务器的报文

" K6 [0 d/ q* `Correct Answer: BDE

=============================
为啥D也是正确答案呢，端口21不是FTP的报文吗，ACL只放通了23端口啊

. G: o: E: O+ W6 @2 ^7 m% Z+ g- Y7 I

88luckydog

同问？

88luckydog

88luckydog

熊小萌

答案错的，答案是BE

cm6183167

题库不能让你全做对，满分会查。。我个人认为

Mr_藤野

题库是对的，因为华为的ACL不拦截分片报文，如果分片只关心目的地址

fbd12

fhqyqiw

Mr_藤野 发表于 2019-1-21 14:27
题库是对的，因为华为的ACL不拦截分片报文，如果分片只关心目的地址

603844125

搭个环境测试即可，D选项数据包过不去

戒色和尚

" m% Q; c  T% d) \7 s, H! J3 v
% f) g) j( X9 p$ r& g6 K+ ~fragment    指定该规则是否对所有分片报文有效。当包含此参数时表示该规则对所有分片报文有效。
none-first-fragment  指定该规则是否仅对非首片分片报文有效。当包含此参数时表示该规则仅对非首片分片报文有效。
0 p# X4 x& v3 C* q# J( a, }说明：
# O! G* o1 u- o3 I0 u规则中不包含参数fragment或none-first-fragment，表示该规则对所有的报文有效。


ACL对分片报文的支持
3 N9 J5 v% l% ]2 |3 u- F  }. `传统的包过滤并不处理所有IP报文分片，而是只对第一个分片报文进行匹配处理，后续分片一律放行，这样，网络攻击者可能构造后续的分片报文进行流量攻击，带来安全隐患；
9 V' h. A) G- T& \' C4 O) g设备的包过滤提供了对分片报文过滤的功能，包括对所有分片报文进行三层匹配过滤；
' r* i  U0 w8 Q$ s9 v$ K在ACL规则中，可以配置该ACL规则对所有分片报文有效，可以配置该规则仅对非首片分片报文有效，也可以配置规则对所有报文均有效；

lzh638

IP报文分片后，只有首片报文含有4层首部信息。如果配置了匹配4层信息的规则，只有非分片报文和首分片报文包含4层信息，其它非首分片报文中没有4层信息

lzh638

IP报文分片后，只有首片报文含有4层首部信息。如果配置了匹配4层信息的规则，只有非分片报文和首分片报文包含4层信息，其它非首分片报文中没有4层信息