请解释这些 ACL 问题/答案背后的原因?

网络工程 思科 acl
2022-02-18 18:21:18

只有我认为这些问题/答案一定有问题吗?

1)为什么这是最好的答案?正确答案如何达到目的?ACL 说:

拒绝 IP 地址属于 192.168.1.0 0.0.0.255(匹配前 24 位,从左到右)的任何 TCP 流量,源端口 80 到单个 IP 地址 10.1.1.101

然后允许上面不匹配的所有其他流量

如果我这样做 ^^^ 串行 0/0/0 出站(示例配置),那么在将流量发送出去/到达目的地之前分析流量确实更有意义。

将配置更改为“ip access-group 170 i”不会阻止来自 172.16.0.0/16 和 192.168.1.0/24 的数据包到达 Branch。

如果是我,我会写

deny ip 172.16.0.0 0.0.255.255 10.1.1.0 0.0.0.255
deny ip 192.168.1.0 0.0.0.255 10.1.1.0 0.0.0.255
permit ip any any

在此处输入图像描述

2)这个问题使用相同的配置,但目标不同。此配置/示例如何实现预期目标?端口应该在目标地址上。

在此处输入图像描述

谢谢大家的时间。

1个回答

1)

简短的回答

FWIW我也看不出用绿色标记的答案是正确的答案。事实上,我看不出这些答案中的任何一个是正确的答案。

长答案

如果我想保护 Branch,我会在 Branch 网络上设置传入规则。

但是,如果只有 City_HQ 在我的控制之下,我可以删除从 Branch 传入的内容,或者删除从 Branch 传出的内容。

我更喜欢使用传入规则。当我开始使用规则时,我更喜欢在此之前使用“拒绝任何任何”作为最后的手段,并明确允许。但这是从防火墙的角度来看的。我们在这里谈论路由器...... YMMV

2)

AFAICS 配置几乎是正确的,但应该说

deny tcp 192.168.1.0 0.0.0.255 host 10.1.1.101 eq 80

(应在目的端指定端口)

同样,我看不出任何红色或绿色答案(或其他)是正确的。

其它你可能感兴趣的问题
上一篇列出 Cisco IOS 15.5 上的当前对象组 local_lan_subnets 下一篇如何配置 DNS 和 Web 服务器并允许它们为两个不同的子网提供服务