問題ID : 26248

  • フォーラムは新サイトへ移行しました。
  • このフォーラムではゲスト投稿が禁止されています
前の投稿 - 次の投稿 | 親投稿 - 子投稿.1 .2 | 投稿日時 2018-4-29 19:21
jazmine10  新米   投稿数: 5
解説がどうしても理解できません。よろしくお願いします。

   access-list 20 deny 192.168.20.128 0.0.0.31
   access-list 20 permit any
   access-list 20 deny 192.168.20.160 0.0.0.31

   結果、追加した設定の前に「access-list 20 permit any」   が処理されるため、ルータ2の動作は現状と変わりません。

とありますが、

  「access-list 20 permit any」で、それ以外の全てからのア   クセスを許可しています。

とあるので、

   access-list 20 deny 192.168.20.160 0.0.0.31

を追加すれば人事部から人事部用のサーバにアクセスできなくなるのではないのですか?
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2018-4-30 0:10
antares01  長老   投稿数: 690
便宜上、番号を振ります。

設定追加前は以下です。
1) access-list 20 deny 192.168.20.128 0.0.0.31
2) access-list 20 permit any

アクセスリストの判定は2つのルールがあります。
・上から順番に一致するか否かを判定する
・permit/deny どちらであっても、一致したらそれ以降の判定は行わない

人事部(192.168.20.160/27)は 1) に一致しないので
次の2) と比較します。any は全てと言う意味なので、
人事部はpermit です。permit は通信可能となるので
E0からサーバに出ていくことができます。

経理部(192.168.20.128/27)は 1) に一致するのでdeny となります。
また、1) に一致したので、2) に一致するか否かの判定は行いません。
deny は通信不可(破棄)となり、E0から出ていくことができません。

次にaccess-list 20 deny 192.168.20.160 0.0.0.31を追加した場合です。
設定を追加すると最後の行に追加されますので、

1) access-list 20 deny 192.168.20.128 0.0.0.31
2) access-list 20 permit any
3) access-list 20 deny 192.168.20.160 0.0.0.31
となります。

設定追加前では1) と2) に一致していましたので、最終行に設定が
増えたところで、1) と2) が同じであれば、経理部も人事部も
1) と2) に一致して、E0 から出ていくことができる/できないと
言う動作には変化がありません。

人事部は2) に一致するので追加した3) との判定を行わず、
2) での判定が使用されます。
前の投稿 - 次の投稿 | 親投稿 - 子投稿なし | 投稿日時 2018-4-30 0:22
jazmine10  新米   投稿数: 5
antares01さん、

人事部は既に2)でpermitされているので3)以降の判定は行わないという事ですね。

大事なところを見落としていました。

助けてくれて有難うございました。

  >フォーラム検索へ


Copyright (c) 2020 Ping-t All rights reserved.