Re: 問題ID : 26248
Re: 問題ID : 26248
msg# 1.1
antares01
投稿数: 690
投稿数: 690
便宜上、番号を振ります。
設定追加前は以下です。
1) access-list 20 deny 192.168.20.128 0.0.0.31
2) access-list 20 permit any
アクセスリストの判定は2つのルールがあります。
・上から順番に一致するか否かを判定する
・permit/deny どちらであっても、一致したらそれ以降の判定は行わない
人事部(192.168.20.160/27)は 1) に一致しないので
次の2) と比較します。any は全てと言う意味なので、
人事部はpermit です。permit は通信可能となるので
E0からサーバに出ていくことができます。
経理部(192.168.20.128/27)は 1) に一致するのでdeny となります。
また、1) に一致したので、2) に一致するか否かの判定は行いません。
deny は通信不可(破棄)となり、E0から出ていくことができません。
次にaccess-list 20 deny 192.168.20.160 0.0.0.31を追加した場合です。
設定を追加すると最後の行に追加されますので、
1) access-list 20 deny 192.168.20.128 0.0.0.31
2) access-list 20 permit any
3) access-list 20 deny 192.168.20.160 0.0.0.31
となります。
設定追加前では1) と2) に一致していましたので、最終行に設定が
増えたところで、1) と2) が同じであれば、経理部も人事部も
1) と2) に一致して、E0 から出ていくことができる/できないと
言う動作には変化がありません。
人事部は2) に一致するので追加した3) との判定を行わず、
2) での判定が使用されます。
設定追加前は以下です。
1) access-list 20 deny 192.168.20.128 0.0.0.31
2) access-list 20 permit any
アクセスリストの判定は2つのルールがあります。
・上から順番に一致するか否かを判定する
・permit/deny どちらであっても、一致したらそれ以降の判定は行わない
人事部(192.168.20.160/27)は 1) に一致しないので
次の2) と比較します。any は全てと言う意味なので、
人事部はpermit です。permit は通信可能となるので
E0からサーバに出ていくことができます。
経理部(192.168.20.128/27)は 1) に一致するのでdeny となります。
また、1) に一致したので、2) に一致するか否かの判定は行いません。
deny は通信不可(破棄)となり、E0から出ていくことができません。
次にaccess-list 20 deny 192.168.20.160 0.0.0.31を追加した場合です。
設定を追加すると最後の行に追加されますので、
1) access-list 20 deny 192.168.20.128 0.0.0.31
2) access-list 20 permit any
3) access-list 20 deny 192.168.20.160 0.0.0.31
となります。
設定追加前では1) と2) に一致していましたので、最終行に設定が
増えたところで、1) と2) が同じであれば、経理部も人事部も
1) と2) に一致して、E0 から出ていくことができる/できないと
言う動作には変化がありません。
人事部は2) に一致するので追加した3) との判定を行わず、
2) での判定が使用されます。
投稿ツリー
-
問題ID : 26248
(jazmine10, 2018-4-29 19:21)
-
Re: 問題ID : 26248
(antares01, 2018-4-30 0:10)
-
Re: 問題ID : 26248
(jazmine10, 2018-4-30 0:22)
-
