レス
元トピ次レス
タイトル
Re: 問題ID:17954
フォーラム
最強WEB問題集CCNP SWITCH
投稿ユーザ(投稿日)
(2016/11/25)
本文

-----引用(始)-----

問題ID:17954について、お問い合わせになります。

CatA(config-ext-nacl)#permit ip host 192.168.2.2 192.168.2.0 0.0.0.255

上記の構文について、permit文ですが、許可しないアドレスの範囲になるのでしょうか。
許可をしないアドレスであったとしましても、何故denyではなく、permitなのでしょうか。

-----引用(終)-----

設問を見ましたが、VLANアクセスマップですね。
ルートマップやVLANアクセスマップでは、対象となるトラフィックに、特定の動作をするよう指定します。ご質問のアクセスリストは上記の「対象となるトラフィック」を特定するためのものです。

ここで、条件指定の仕方について考えると
・一部のものを対象(それ以外は対象外)とする
・一部を例外とし、それ以外を対象とする
というパターンが思い浮かびます。

アクセスリストで表現すると、前者は
[code]
access-list 1 permit 一部のもの
[/code]
となります。それ以外の対象外のものは暗黙のdenyによってアクセスリストにマッチしなくなりますので。
後者は
[code]
access-list 2 deny 一部のもの
access-list 2 permit any
[/code]
となります。一部のものをdenyによって「このアクセスリストの対象外」とし、それ以外(全て)をpermitでマッチする対象としています。

そう考えると、CCNAレベルで時々ある誤解に行き着くかと思います。それは
「アクセスリストはセキュリティのためのものであり、denyされたものは通信できない」
と言うものです。

しかし、少し上でも触れましたが「アクセスリストは対象となるトラフィックを特定する」ものです。その特定したトラフィックに対して何をするかで挙動がかわるだけです。
インターフェースに適用する ip access-group コマンドは「マッチしたトラフィックだけを通す」コマンドですし、コンソール接続を制御するaccess-classもそうです。また、VLANアクセスマップやルートマップなど、「マッチしたものに、何かを施す」のときに使うことを考えると、対象とするアクセスリストの中でのpermit/denyは「アクセスリストにマッチするトラフィックの指定」方法でしかありません。

結局は、「マッチしたトラフィックをdropするかどうか決めるのはアクセスリストではなくその適用先」なんですね :-)

レス一覧

元トピ次レス

Ping-tモバイルTOP

Copyright (c) 2010
Ping-t All rights reserved.