Re: 問題ID:17954
Re: 問題ID:17954
msg# 1.1
arashi1977
居住地: 広島
投稿数: 1715
居住地: 広島
投稿数: 1715
引用:設問を見ましたが、VLANアクセスマップですね。
ルートマップやVLANアクセスマップでは、対象となるトラフィックに、特定の動作をするよう指定します。ご質問のアクセスリストは上記の「対象となるトラフィック」を特定するためのものです。
ここで、条件指定の仕方について考えると
・一部のものを対象(それ以外は対象外)とする
・一部を例外とし、それ以外を対象とする
というパターンが思い浮かびます。
アクセスリストで表現すると、前者は
となります。それ以外の対象外のものは暗黙のdenyによってアクセスリストにマッチしなくなりますので。
後者は
となります。一部のものをdenyによって「このアクセスリストの対象外」とし、それ以外(全て)をpermitでマッチする対象としています。
そう考えると、CCNAレベルで時々ある誤解に行き着くかと思います。それは
「アクセスリストはセキュリティのためのものであり、denyされたものは通信できない」
と言うものです。
しかし、少し上でも触れましたが「アクセスリストは対象となるトラフィックを特定する」ものです。その特定したトラフィックに対して何をするかで挙動がかわるだけです。
インターフェースに適用する ip access-group コマンドは「マッチしたトラフィックだけを通す」コマンドですし、コンソール接続を制御するaccess-classもそうです。また、VLANアクセスマップやルートマップなど、「マッチしたものに、何かを施す」のときに使うことを考えると、対象とするアクセスリストの中でのpermit/denyは「アクセスリストにマッチするトラフィックの指定」方法でしかありません。
結局は、「マッチしたトラフィックをdropするかどうか決めるのはアクセスリストではなくその適用先」なんですね
問題ID:17954について、お問い合わせになります。
CatA(config-ext-nacl)#permit ip host 192.168.2.2 192.168.2.0 0.0.0.255
上記の構文について、permit文ですが、許可しないアドレスの範囲になるのでしょうか。
許可をしないアドレスであったとしましても、何故denyではなく、permitなのでしょうか。
ルートマップやVLANアクセスマップでは、対象となるトラフィックに、特定の動作をするよう指定します。ご質問のアクセスリストは上記の「対象となるトラフィック」を特定するためのものです。
ここで、条件指定の仕方について考えると
・一部のものを対象(それ以外は対象外)とする
・一部を例外とし、それ以外を対象とする
というパターンが思い浮かびます。
アクセスリストで表現すると、前者は
access-list 1 permit 一部のもの
後者は
access-list 2 deny 一部のもの
access-list 2 permit any
そう考えると、CCNAレベルで時々ある誤解に行き着くかと思います。それは
「アクセスリストはセキュリティのためのものであり、denyされたものは通信できない」
と言うものです。
しかし、少し上でも触れましたが「アクセスリストは対象となるトラフィックを特定する」ものです。その特定したトラフィックに対して何をするかで挙動がかわるだけです。
インターフェースに適用する ip access-group コマンドは「マッチしたトラフィックだけを通す」コマンドですし、コンソール接続を制御するaccess-classもそうです。また、VLANアクセスマップやルートマップなど、「マッチしたものに、何かを施す」のときに使うことを考えると、対象とするアクセスリストの中でのpermit/denyは「アクセスリストにマッチするトラフィックの指定」方法でしかありません。
結局は、「マッチしたトラフィックをdropするかどうか決めるのはアクセスリストではなくその適用先」なんですね
投稿ツリー
-
問題ID:17954
(LandG, 2016-11-25 6:10)
-
Re: 問題ID:17954
(arashi1977, 2016-11-25 9:19)
-
Re: 問題ID:17954
(LandG, 2016-11-27 20:57)
-
Re: 問題ID:17954
(antares01, 2016-11-28 18:03)
-
-
-
Re: 問題ID:17954
(LandG, 2016-11-29 6:31)
-
