- 积分
- 663
- 鸿鹄币
- 个
- 好评度
- 点
- 精华
- 注册时间
- 2012-10-22
- 最后登录
- 1970-1-1
- 阅读权限
- 40
- 听众
- 收听
中级工程师
|
下个星期就要考试了,但是在ACL实验上面有个疑惑,望高手指点啊:
ACL控制要求
>Host C should be able to use a web browser(HTTP)to access the Finance Web Server.
>Other types of access from host C to the Finance Web Server should be blocked.
>All access from hosts in the Core or local LAN to the Finance Web Server should be blocked.
>All hosts in the Core and on local LAN should be to access the Public Web Server.
按照题库上面的要求,我的理解是:
access-list 100 permit tcp host 198.18.196.65 host 192.168.33.3 eq 80
这句话对应的就是第一个。
access-list 100 deny ip any host 172.22.242.23
这句话又是对应了第二个和第三个,综合下来写的。
access-list 100 permit ip any any
这个对应的是第四句。
那么问题来了,理论上,看似是可行的,即使any host能够穿越端口进入the Finance Web Server,但是因为前面有两个规则,所以走不到permit ip any any就会被屏蔽掉,从而达到了允许any host访问the Public Web Server。但这样写有点不符合常规,既然要求是针对the Public Web Server,那么最后就应该写成对应the Public Web Server的规则,即access-list 100 permit ip any host 172.22.242.24. 那么这样写会不会更符合题目要求,毕竟之前在帖子里面看到过有人在这里丢分。
|
|