問題ID : 26248
- フォーラムは新サイトへ移行しました。
- このフォーラムではゲスト投稿が禁止されています
問題ID : 26248
msg# 1
jazmine10
投稿数: 5
解説がどうしても理解できません。よろしくお願いします。
access-list 20 deny 192.168.20.128 0.0.0.31
access-list 20 permit any
access-list 20 deny 192.168.20.160 0.0.0.31
結果、追加した設定の前に「access-list 20 permit any」 が処理されるため、ルータ2の動作は現状と変わりません。
とありますが、
「access-list 20 permit any」で、それ以外の全てからのア クセスを許可しています。
とあるので、
access-list 20 deny 192.168.20.160 0.0.0.31
を追加すれば人事部から人事部用のサーバにアクセスできなくなるのではないのですか?
access-list 20 deny 192.168.20.128 0.0.0.31
access-list 20 permit any
access-list 20 deny 192.168.20.160 0.0.0.31
結果、追加した設定の前に「access-list 20 permit any」 が処理されるため、ルータ2の動作は現状と変わりません。
とありますが、
「access-list 20 permit any」で、それ以外の全てからのア クセスを許可しています。
とあるので、
access-list 20 deny 192.168.20.160 0.0.0.31
を追加すれば人事部から人事部用のサーバにアクセスできなくなるのではないのですか?
Re: 問題ID : 26248
msg# 1.1
antares01
投稿数: 690
便宜上、番号を振ります。
設定追加前は以下です。
1) access-list 20 deny 192.168.20.128 0.0.0.31
2) access-list 20 permit any
アクセスリストの判定は2つのルールがあります。
・上から順番に一致するか否かを判定する
・permit/deny どちらであっても、一致したらそれ以降の判定は行わない
人事部(192.168.20.160/27)は 1) に一致しないので
次の2) と比較します。any は全てと言う意味なので、
人事部はpermit です。permit は通信可能となるので
E0からサーバに出ていくことができます。
経理部(192.168.20.128/27)は 1) に一致するのでdeny となります。
また、1) に一致したので、2) に一致するか否かの判定は行いません。
deny は通信不可(破棄)となり、E0から出ていくことができません。
次にaccess-list 20 deny 192.168.20.160 0.0.0.31を追加した場合です。
設定を追加すると最後の行に追加されますので、
1) access-list 20 deny 192.168.20.128 0.0.0.31
2) access-list 20 permit any
3) access-list 20 deny 192.168.20.160 0.0.0.31
となります。
設定追加前では1) と2) に一致していましたので、最終行に設定が
増えたところで、1) と2) が同じであれば、経理部も人事部も
1) と2) に一致して、E0 から出ていくことができる/できないと
言う動作には変化がありません。
人事部は2) に一致するので追加した3) との判定を行わず、
2) での判定が使用されます。
設定追加前は以下です。
1) access-list 20 deny 192.168.20.128 0.0.0.31
2) access-list 20 permit any
アクセスリストの判定は2つのルールがあります。
・上から順番に一致するか否かを判定する
・permit/deny どちらであっても、一致したらそれ以降の判定は行わない
人事部(192.168.20.160/27)は 1) に一致しないので
次の2) と比較します。any は全てと言う意味なので、
人事部はpermit です。permit は通信可能となるので
E0からサーバに出ていくことができます。
経理部(192.168.20.128/27)は 1) に一致するのでdeny となります。
また、1) に一致したので、2) に一致するか否かの判定は行いません。
deny は通信不可(破棄)となり、E0から出ていくことができません。
次にaccess-list 20 deny 192.168.20.160 0.0.0.31を追加した場合です。
設定を追加すると最後の行に追加されますので、
1) access-list 20 deny 192.168.20.128 0.0.0.31
2) access-list 20 permit any
3) access-list 20 deny 192.168.20.160 0.0.0.31
となります。
設定追加前では1) と2) に一致していましたので、最終行に設定が
増えたところで、1) と2) が同じであれば、経理部も人事部も
1) と2) に一致して、E0 から出ていくことができる/できないと
言う動作には変化がありません。
人事部は2) に一致するので追加した3) との判定を行わず、
2) での判定が使用されます。
Re: 問題ID : 26248
msg# 1.2
jazmine10
投稿数: 5
antares01さん、
人事部は既に2)でpermitされているので3)以降の判定は行わないという事ですね。
大事なところを見落としていました。
助けてくれて有難うございました。
人事部は既に2)でpermitされているので3)以降の判定は行わないという事ですね。
大事なところを見落としていました。
助けてくれて有難うございました。