2017年上半年网工下午卷第二题问题3acl

Posted 2020-09-19

关于本题有人认为有2种答案

而我认为只有一种答案正确，就是第2种方案

（当然先不要考虑行政和生产二个部门对财务服务器的访问问题）

有人认为的第1种方案，我认为实现不了。内容如下：

序号     源                  源端口    目的   目的端口      行为

 3    192.168.9.0/24    any      any    any           deny

 4       any                  any      any    any          permit

此答案不能实现(2)的前半句，即不能实现“禁止外网用户访问财务服务器”。

要实现禁止外网用户访问财务服务器，必须包含如下acl

序号     源   源端口       目的                  目的端口       行为

  n     any    nay    192.168.100.1/32      any         deny

或者

序号     源   源端口       目的                  目的端口       行为

  n     any    any           any                    any         deny

所以此种方案不能实现问题需求，答案错误，而不是有人认为的不准确。

还在第3问中说实现了，请问如何能？

-----------------------------------------------------------------------------

关于第2种方案，我认为可以实现。如下：

序号     源                    源端口    目的   目的端口      行为

 3    192.168.10.0/23    any      any    any          permit

 4       any                    any      any    any          deny

因此聚合是惟一的正确答案，而不是最精准的方案，因为只有一个正确方案，不存在精准与否。

本文出自 “Lee's Blog” 博客，请务必保留此出处http://starshomes.blog.51cto.com/3202512/1928720