Re: 問題ID : 26248

この質問の投稿一覧へ

なし Re: 問題ID : 26248

msg# 1.1
depth:
1
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2018-4-30 0:10
antares01  長老   投稿数: 690
便宜上、番号を振ります。

設定追加前は以下です。
1) access-list 20 deny 192.168.20.128 0.0.0.31
2) access-list 20 permit any

アクセスリストの判定は2つのルールがあります。
・上から順番に一致するか否かを判定する
・permit/deny どちらであっても、一致したらそれ以降の判定は行わない

人事部(192.168.20.160/27)は 1) に一致しないので
次の2) と比較します。any は全てと言う意味なので、
人事部はpermit です。permit は通信可能となるので
E0からサーバに出ていくことができます。

経理部(192.168.20.128/27)は 1) に一致するのでdeny となります。
また、1) に一致したので、2) に一致するか否かの判定は行いません。
deny は通信不可(破棄)となり、E0から出ていくことができません。

次にaccess-list 20 deny 192.168.20.160 0.0.0.31を追加した場合です。
設定を追加すると最後の行に追加されますので、

1) access-list 20 deny 192.168.20.128 0.0.0.31
2) access-list 20 permit any
3) access-list 20 deny 192.168.20.160 0.0.0.31
となります。

設定追加前では1) と2) に一致していましたので、最終行に設定が
増えたところで、1) と2) が同じであれば、経理部も人事部も
1) と2) に一致して、E0 から出ていくことができる/できないと
言う動作には変化がありません。

人事部は2) に一致するので追加した3) との判定を行わず、
2) での判定が使用されます。

投稿ツリー

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.