MSR 路由器 ACL 配置：禁止特定主机 FTP 连接

一台MSR 路由器通过S1/0 接口连接Internet，GE0/0 接口连接局域网主机，局域网主机所在网段为10.0.0.0/8，在Internet 上有一台IP 地址为202.102.2.1的FTP服务器。通过在路由器上配置IP地址和路由，目前局域网内的主机可以正常访问Internet(包括公网FTP 服务器)，如今在路由器上增加如下配置：\nfirewall enable\nacl number 3000\nrule 0 deny tcp source 10.1.1.1 0 source-port eq ftp destination 202.102.2.10\n然后将此ACL 应用在GE0/0 接口的inbound 和outbound 方向，那么这条ACL 能实现下列哪些意图？\nA. 禁止源地址为10.1.1.1的主机向目的主机202.102.2.1 发起FTP连接\nB. 只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP 21的FTP 控制连接\nC. 只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP20的FTP 数据连接\nD. 对从10.1.1.1向202.102.2.1 发起的FTP 连接没有任何限制作用\n\n答案是B. 只禁止源地址为10.1.1.1的主机到目的主机202.102.2.1的端口为TCP 21的FTP 控制连接。\n\n根据ACL的规则，这条ACL规则只会对源地址为10.1.1.1，源端口为FTP的流量进行限制，目的地址为202.102.2.1，目的端口为TCP 21的FTP控制连接进行拒绝。其他类型的FTP连接以及其他源地址的流量都不会受到影响。所以选项B是正确的。