试题求解

hujunjie3001

请大家看下列两道试题：<br /><br />1. 关于高级访问控制列表中的 destination-port 参数，下面叙述中正确的是（ ）<br />A. destination-port 是可选参数<br />B. destination-port 用于指定 UDP 或 TCP 报文的源端口信息<br />C. 仅仅在规则指定的协议号是 TCP 或者 UDP 时有效<br />D. 如果不指定，表示 TCP/UDP 报文的任何目的端口信息都匹配<br />答案：ACD<br /><br /><br />2.一台MSR 路由器通过S1/0 接口连接Internet，GE0/0 接口连接局域网主机，局域网主机所在网段为<br />10.0.0.0/8，在Internet 上有一台IP 地址为202.102.2.1 的FTP 服务器。通过在路由器上配置IP 地址和路由，<br />目前局域网内的主机可以正常访问Internet(包括公网FTP 服务器)，如今在路由器上增加如下配置：<br />firewall enable<br />acl number 3000<br />rule 0 deny tcp source 10.1.1.1 0 source-port eq ftp destination 202.102.2.1 0<br />然后将此ACL 应用在GE0/0 接口的inbound 和outbound 方向，那么这条ACL 能实现下列哪些意图？<br />A. 禁止源地址为10.1.1.1 的主机向目的主机202.102.2.1 发起FTP 连接<br />B. 只禁止源地址为10.1.1.1 的主机到目的主机202.102.2.1 的端口为TCP 21 的FTP 控制连接<br />C. 只禁止源地址为10.1.1.1 的主机到目的主机202.102.2.1 的端口为TCP 20 的FTP 数据连接<br />D. 对从10.1.1.1 向202.102.2.1 发起的FTP 连接没有任何限制作用<br />Answer: D<br /><br />第一道试题来自H3CNE GB-183，第二道试题来自H3CNEGB-190。按照第一题的说法，没有出现destination-port 参数，表示 TCP/UDP 报文的任何目的端口信息都匹配。第二题的规则中没有出现destination-port 参数，那应该匹配任何端口包括FTP端口，应该禁止FTP连接，但是答案D的意思却是没有作用，请问怎么解释？