Re: 問題ID17954
Re: 問題ID17954
msg# 1.2.1
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:やっとわかりました。
vlan access-mapの評価の仕方がわからない、ということなのですね。
基本的に条件とアクションで表現できるのは
・条件
- 該当する
- 該当しない
・アクション
- 破棄する
- 許可する
の組み合わせの4通りです。matchは条件をACLで書いた場合は
・ACLをpassしてきたものは破棄
・ACLをpassしてきたものは許可
の2パターンです。そしてACLのところでは
・ACLによって許可されたものが、以降の評価に使用される
となります。
結論としては、
・ACLでpermitされたものがvlan access-map ccnp 10の評価対象
です。そして、VACL 10は「drop」アクションが設定されているので「ACLでpermitされた(ACLによってフィルタされなかった)ものは破棄する」ということです。
暗黙のdenyにマッチするものは、VACLから見ると「事前にACLでフィルタしたので、drop対象外」として扱われているのです。
たとえ話をすれば
・砂利や小石が入った砂があります
・目の大きなザルで選り分けると、目より大きい石が残ります。それ以外は下に落ちます(大きい石だけがpermitで残った。ほかは暗黙のdenyによって石でも砂でも全部落ちる)
・ザルに残ったやつを「捨てる」、他のものは「使う」
のような感じです。
どうでしょうか?
permit ip host 192.168.2.2 192.168.2.0.0 0.0.0.255
とあるのですが、暗黙のdeny?で、PC‐Cからのは条件に入っていないので、拒否られると考えていました。
vlan access-mapの評価の仕方がわからない、ということなのですね。
基本的に条件とアクションで表現できるのは
・条件
- 該当する
- 該当しない
・アクション
- 破棄する
- 許可する
の組み合わせの4通りです。matchは条件をACLで書いた場合は
・ACLをpassしてきたものは破棄
・ACLをpassしてきたものは許可
の2パターンです。そしてACLのところでは
・ACLによって許可されたものが、以降の評価に使用される
となります。
結論としては、
・ACLでpermitされたものがvlan access-map ccnp 10の評価対象
です。そして、VACL 10は「drop」アクションが設定されているので「ACLでpermitされた(ACLによってフィルタされなかった)ものは破棄する」ということです。
暗黙のdenyにマッチするものは、VACLから見ると「事前にACLでフィルタしたので、drop対象外」として扱われているのです。
たとえ話をすれば
・砂利や小石が入った砂があります
・目の大きなザルで選り分けると、目より大きい石が残ります。それ以外は下に落ちます(大きい石だけがpermitで残った。ほかは暗黙のdenyによって石でも砂でも全部落ちる)
・ザルに残ったやつを「捨てる」、他のものは「使う」
のような感じです。
どうでしょうか?
投稿ツリー
-
問題ID17954
(syun040219, 2019-3-10 6:39)
-
Re: 問題ID17954
(arashi1977, 2019-3-11 8:59)
-
Re: 問題ID17954
(syun040219, 2019-3-12 20:15)
-
Re: 問題ID17954
(arashi1977, 2019-3-13 13:45)
-
-
-
Re: 問題ID17954
(syun040219, 2019-3-13 18:10)
-
Re: 問題ID17954
(arashi1977, 2019-3-14 8:38)
-
-
Re: 問題ID17954
(syun040219, 2019-3-15 17:45)
-
