九乡新闻网静海县医院电话:新ACL我个人的见解
来源:百度文库 编辑:九乡新闻网 时间:2024/04/28 20:51:09
最近ACL题目要求出现变动:
1允许host c通过浏览器访问Finance web server
2不允许host c的其他类型访问Finance web server
3不许其他主机访问Finance web server (没有说明访问类型)
4允许所有主机访问public web server(没有说明访问类型)
可进行以下配置:
Corp1#configure terminal
Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
Corp1(config)#access-list 100 deny ip any host 172.22.242.23
Corp1(config)#access-list 100 permit ip any host 172.11.242.xx(此处为public web server的IP)
Corp1(config)#interface fa0/1
Corp1(config-if)#ip access-group 100 out
Corp1(config-if)#end
Corp1#copy running-config startup-config
如上是题库给出的最新ACL实验的答案,不过很多同学反映这么做只得到%75,所以本人稍微做了一下分析。
如下是本人自己想的配置命令,如果有错误请各位包含,本人学思科也就三个月。
Corp1#configure terminal
Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
Corp1(config)#access-list 100 permit ip any host 172.11.242.xx(此处为public web server的IP)
Corp1(config)#interface fa0/1
Corp1(config-if)#ip access-group 100 out
Corp1(config-if)#end
Corp1#copy running-config startup-config
以上是本人思考的配置,考试要求The task is to create and apply an access-list with no more than three,意思是不超过三条ACL命令,所以只有两条命令完全符合要求,下面开始分析
第一条:access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
允许ip地址为192.168.33.3的主机使用WWW访问ip为172.22.242.23的财务服务器,符合要求1:允许host c通过浏览器访问Finance web server
第二条:Corp1(config)#access-list 100 permit ip any host 172.11.242.xx(此处为public web server的IP)
允许所有地址访问公共WEB服务器172.11.242.xx,符合要求4:允许所有主机访问public web server
然后再看要求2和要求3,都是拒绝
大家知道ACL的最后都一条隐含的deny any any拒绝所有,我现在就整合一起分析
1:access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
2:access-list 100 permit ip any host 172.11.242.xx(此处为public web server的IP)
3:deny any any
分析要求2:不允许host c的其他类型访问Finance web server
我们尝试host C使用telnet来访问财务服务器,ACL开始至上而下判断是否匹配
判断第一条:允许WWW访问财务服务器,要求的是telnet财务服务器,不匹配,接下来判断第二条
判断第二条:允许所以主机可以访问公共web服务器,要求的是hostctelnet财务服务器,不匹配
所以只能被隐含的第三条deny any拒绝,同理当放出其他类型的访问时同样也是前2条不匹配被第三条隐含的拒绝,总上所述:
符合要求2
再来分析要求3:不许其他主机访问Finance web server (没有说明访问类型)
我们先假设其他主机去访问财务服务器
判断第一条:不匹配
判断第二条:不匹配
所以又被隐含的第三条给拒绝,结果还是符合要求3
总上:个人认为access-list 100 deny ip any host 172.22.242.23是多余的,所以才会扣掉那么点分数吧,这是我的个人分析,请各位一起探讨一下,有不正确的地方可以提出
1允许host c通过浏览器访问Finance web server
2不允许host c的其他类型访问Finance web server
3不许其他主机访问Finance web server (没有说明访问类型)
4允许所有主机访问public web server(没有说明访问类型)
可进行以下配置:
Corp1#configure terminal
Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
Corp1(config)#access-list 100 deny ip any host 172.22.242.23
Corp1(config)#access-list 100 permit ip any host 172.11.242.xx(此处为public web server的IP)
Corp1(config)#interface fa0/1
Corp1(config-if)#ip access-group 100 out
Corp1(config-if)#end
Corp1#copy running-config startup-config
如上是题库给出的最新ACL实验的答案,不过很多同学反映这么做只得到%75,所以本人稍微做了一下分析。
如下是本人自己想的配置命令,如果有错误请各位包含,本人学思科也就三个月。
Corp1#configure terminal
Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
Corp1(config)#access-list 100 permit ip any host 172.11.242.xx(此处为public web server的IP)
Corp1(config)#interface fa0/1
Corp1(config-if)#ip access-group 100 out
Corp1(config-if)#end
Corp1#copy running-config startup-config
以上是本人思考的配置,考试要求The task is to create and apply an access-list with no more than three,意思是不超过三条ACL命令,所以只有两条命令完全符合要求,下面开始分析
第一条:access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
允许ip地址为192.168.33.3的主机使用WWW访问ip为172.22.242.23的财务服务器,符合要求1:允许host c通过浏览器访问Finance web server
第二条:Corp1(config)#access-list 100 permit ip any host 172.11.242.xx(此处为public web server的IP)
允许所有地址访问公共WEB服务器172.11.242.xx,符合要求4:允许所有主机访问public web server
然后再看要求2和要求3,都是拒绝
大家知道ACL的最后都一条隐含的deny any any拒绝所有,我现在就整合一起分析
1:access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
2:access-list 100 permit ip any host 172.11.242.xx(此处为public web server的IP)
3:deny any any
分析要求2:不允许host c的其他类型访问Finance web server
我们尝试host C使用telnet来访问财务服务器,ACL开始至上而下判断是否匹配
判断第一条:允许WWW访问财务服务器,要求的是telnet财务服务器,不匹配,接下来判断第二条
判断第二条:允许所以主机可以访问公共web服务器,要求的是hostctelnet财务服务器,不匹配
所以只能被隐含的第三条deny any拒绝,同理当放出其他类型的访问时同样也是前2条不匹配被第三条隐含的拒绝,总上所述:
符合要求2
再来分析要求3:不许其他主机访问Finance web server (没有说明访问类型)
我们先假设其他主机去访问财务服务器
判断第一条:不匹配
判断第二条:不匹配
所以又被隐含的第三条给拒绝,结果还是符合要求3
总上:个人认为access-list 100 deny ip any host 172.22.242.23是多余的,所以才会扣掉那么点分数吧,这是我的个人分析,请各位一起探讨一下,有不正确的地方可以提出