一木稻草 发表于 2012-12-9 11:36:55

关于CCNA的ACL实验疑惑

下个星期就要考试了,但是在ACL实验上面有个疑惑,望高手指点啊:
ACL控制要求
>Host C should be able to use a web browser(HTTP)to access the Finance Web Server.
>Other types of access from host C to the Finance Web Server should be blocked.
>All access from hosts in the Core or local LAN to the Finance Web Server should be blocked.
>All hosts in the Core and on local LAN should be to access the Public Web Server.



按照题库上面的要求,我的理解是:
access-list 100 permit tcp host 198.18.196.65 host 192.168.33.3 eq 80
这句话对应的就是第一个。

access-list 100 deny ip any host 172.22.242.23
这句话又是对应了第二个和第三个,综合下来写的。

access-list 100 permit ip any any
这个对应的是第四句。

那么问题来了,理论上,看似是可行的,即使any host能够穿越端口进入the Finance Web Server,但是因为前面有两个规则,所以走不到permit ip any any就会被屏蔽掉,从而达到了允许any host访问the Public Web Server。但这样写有点不符合常规,既然要求是针对the Public Web Server,那么最后就应该写成对应the Public Web Server的规则,即access-list 100 permit ip any host 172.22.242.24. 那么这样写会不会更符合题目要求,毕竟之前在帖子里面看到过有人在这里丢分。

嗨丶小米椒 发表于 2012-12-9 12:11:10

{:6_267:}{:6_267:}{:6_267:}{:6_267:}{:6_267:}

夜之子、 发表于 2012-12-9 12:43:58

看帖看完了至少要顶一下,还可以加入到淘帖哦!

独侠 发表于 2012-12-9 12:47:31

{:6_267:}

漂流智者 发表于 2012-12-9 13:33:02

针对这题目,原来的答案不会扣分的,你的这种写法也可以,但习惯写法通常都是用permit ip any any 来改变默认的最后那个规则

王小初 发表于 2012-12-9 13:35:26

{:6_267:}
页: [1]
查看完整版本: 关于CCNA的ACL实验疑惑