新ACL我个人的见解

幻空

最近ACL题目要求出现变动:
1允许host c通过浏览器访问Finance web server
2不允许host c的其他类型访问Finance web server
3不许其他主机访问Finance web server （没有说明访问类型）
4允许所有主机访问public web server（没有说明访问类型）
可进行以下配置：
Corp1#configure terminal
Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
Corp1(config)#access-list 100 deny ip any host 172.22.242.23
Corp1(config)#access-list 100 permit ip any host 172.11.242.xx（此处为public web server的IP）
Corp1(config)#interface fa0/1
Corp1(config-if)#ip access-group 100 out
Corp1(config-if)#end
Corp1#copy running-config startup-config
如上是题库给出的最新ACL实验的答案，不过很多同学反映这么做只得到%75，所以本人稍微做了一下分析。
如下是本人自己想的配置命令，如果有错误请各位包含，本人学思科也就三个月。
Corp1#configure terminal
Corp1(config)#access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
Corp1(config)#access-list 100 permit ip any host 172.11.242.xx（此处为public web server的IP）
Corp1(config)#interface fa0/1
Corp1(config-if)#ip access-group 100 out
Corp1(config-if)#end
Corp1#copy running-config startup-config
以上是本人思考的配置，考试要求The task is to create and apply an access-list with no more than three，意思是不超过三条ACL命令，所以只有两条命令完全符合要求，下面开始分析
第一条：access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
允许ip地址为192.168.33.3的主机使用WWW访问ip为172.22.242.23的财务服务器，符合要求1：允许host c通过浏览器访问Finance web server
第二条：Corp1(config)#access-list 100 permit ip any host 172.11.242.xx（此处为public web server的IP）
允许所有地址访问公共WEB服务器172.11.242.xx，符合要求4：允许所有主机访问public web server
然后再看要求2和要求3，都是拒绝
大家知道ACL的最后都一条隐含的deny any any拒绝所有，我现在就整合一起分析
1：access-list 100 permit tcp host 192.168.33.3 host 172.22.242.23 eq 80
2：access-list 100 permit ip any host 172.11.242.xx（此处为public web server的IP）
3：deny any any
分析要求2：不允许host c的其他类型访问Finance web server
我们尝试host C使用telnet来访问财务服务器，ACL开始至上而下判断是否匹配
判断第一条：允许WWW访问财务服务器，要求的是telnet财务服务器，不匹配，接下来判断第二条
判断第二条：允许所以主机可以访问公共web服务器，要求的是hostctelnet财务服务器，不匹配
所以只能被隐含的第三条deny any拒绝，同理当放出其他类型的访问时同样也是前2条不匹配被第三条隐含的拒绝，总上所述：
符合要求2
再来分析要求3：不许其他主机访问Finance web server （没有说明访问类型）
我们先假设其他主机去访问财务服务器
判断第一条：不匹配
判断第二条：不匹配
所以又被隐含的第三条给拒绝，结果还是符合要求3
总上：个人认为access-list 100 deny ip any host 172.22.242.23是多余的，所以才会扣掉那么点分数吧，这是我的个人分析，请各位一起探讨一下，有不正确的地方可以提出

刘小娜

   得有高人先去验证下吧  

szhao01

完全正确，关键就在
Corp1(config)#access-list 100 deny ip any host 172.22.242.23 不设置的话
ACL 底部会有一条默认的
implicit deny 去完成
所以是多余的 = =
ps个人见解
我明天也上考场，紧张啊 顺便问下北美考场 是不是题库也适用的？

lihong_24123

写的不错，帮顶~~

yrb

满足要求，但总感到不严谨．今天我去看看题目。

dinocrisis3

小弟前几天去考时
前面两条都跟题库下的一样
但最后是下permit ip any any
成绩出来时
ACL部份是拿100%
小弟的同学昨天也去考NA
在ACL的部份
最后也是下permit ip any any
成绩出来时
ACL部份也是拿100%
所以到底是下两条还是三条
第三条到底是下any any
还是 any host x.x.x.x
成绩会说话

szhao01

额 = = 我明天就考了，谁能给个明确的答案...
如果 permit ip any any 的话 不允许 Host C 其他类型访问Finance web server 这条也不符合了 当然第四条也不符合
如果楼上兄弟对的话 那绝对就是 作者题目看错了。。。
反正明天我考的时候 仔细读读 题目

linan1208

下午就考试的飘过。。到底咋配置捏

szhao01

高人捏！高人捏！！
之前有个人 写两条的 只拿了 50%！
抓狂~

不死草

昨天有人证实了2条只拿50%，所以我觉得6楼的朋友的说法可能是正确的，可能题目要求变了但是出题的人没有注意还是用以前的答案在处理。所以可能还是per ip any any是能拿全分的

lxd421

我19号考的，就写的两条，MD只给50%的分啊

szhao01

但问题是 如果是按照以前的处理的话，第二条 应该扣分吧？
还有谁 试过 permit ip any any的吗？

mianhuatang0713

回复 dinocrisis3 的帖子

顶你，感觉你的很有道理，周日去考了，就用这个了！

czzzc2914

学习了。。。

angch

我是覺得應該是像其他高手所說的把第三條改成permit ip any any
大家好像把DNS SERVER給忘記了,雖然題目對DNS SERVER沒什麼要求,但按理講DNS SERVER
應該如同PUBLIC WEB SERVER開放出來的,如果照題庫解法就會把DNS SERVER也給封鎖掉,應該沒有哪家公司會把DNS SERVER架起來當裝飾品用吧!以上是小弟的一點看法,如有錯誤還望各位先進指正.