【求助】Q254答案是否有误

xiexiaotian

                               
登录/注册后可看大图

                               
登录/注册后可看大图

不是因为ACL包含一条隐式拒绝deny any any 所以把PC-2也拒绝了吗？
所以我觉得应该选A
B选项去掉ACL的话PC-1也Telnet路由器了。

xiexiaotian

我图呢。。。。

arnold5168

xiexiaotian 发表于 2021-1-13 21:49
我图呢。。。。

再補發一次看看

xiexiaotian

a7530081 发表于 2021-1-13 23:04
看起來是正常的啊，"套用規則"下第一條規則是拒絕，但沒允許通過，所以會被隱式 deny any any擋掉

所以B选项remove掉就没有ACL了也没有办法禁止PC-1了吧？所以正确选项是不是应该在ACL里面加一条permit any呢~

xiexiaotian

第一次发帖，原来图要用附件发

KrisSususu

我做了个实验，A是对的啊。
把pc1挡了然后pc2可以telnet

thamky

A

kingsleyfong

观望中。。。所以答案是？

wl52070

观望中，同样有这样的感觉

onebook

看一下

zed6344

观望

nbvnbv0022

access-list 10 deny host 10.150.1.1
vty 0 4
access-class 10 in
password xxxxxxxx

答案A:
access-list 10 deny host 10.150.1.1
access-list 10 permit any
vty 0 4
access-class 10 in
password xxxxxxxx
PC-1 telnet Fail; PC-2 telnet Pass 因為第一行access-list deny了PC1, 第二行access-list permit 了PC2(其實是除PC1外，所有可連IP都可telnet進入)

答案B:
access-list 10 deny host 10.150.1.1
vty 0 4
password xxxxxxxx
PC-1 telnet Pass; PC-2 telnet Pass (Access-list 沒發揮作用，所有可連IP都可telnet進入)

答案C:
interface gi0/0
ip access-group 10 out
access-list 10 deny host 10.150.1.1
vty 0 4
access-class 10 in
password xxxxxxxx
PC-1 telnet Fail; PC-2 telnet Fail (因為access-list其實等如deny any，所以沒有任何封包可以外傳，telnet當然也不可運作，application是雙向的)

答案D:
access-list 10 deny host 10.150.1.1
vty 0 4
access-class 10 in
PC-1 telnet Fail; PC-2 telnet Fail(根沒改是一樣的)

答案必定是A，B不合乎Block PC-1的原則。

itwong

这个是B，题目的前提是要block PC1但因为ACL有 implicit deny，所以连PC2也一起block了，如果ACL已经有10 deny host 10.150.1.1你是不能直接加 10 permit any（cli会报错所entry 10已经存在），所以只有答案B是正确的。

szzjm

所以到底是A还是B啊？？？