Packet Tracer bug?
Kaptunk egy feladatot, egy 200.0.0.0 /24 -es hálózattal. A felosztás, DHCP illetve SPI tűzfal remekül működik, viszont volt egy olyan része, hogy a 200.0.0.64 /26 -os hálózat nem mehet ki a netre. Én szintén ACL segítségével a határponti routeren ezt adtam meg:
deny ip 200.0.0.64 0.0.0.63 any
és a s0/0/1-es portra out irányba.
Ez szép és jó, de a többi alhálózat de lát ki a netre. Annyit ír szimulációs módban, hogy a csomagban szereplő ip-cím nem felel meg egyik ACL kritériumnak se.
Ötlet?
válasza:Minden ACL végén ott van az úgynevezett implicit tiltás. Ez azt jelenti, hogy akármit írsz az ACL-be, a legvégére oda fog fűzni egy "deny ip any any" sort.
Az ACL sorról sorra értékeli ki a parancsokat.
Ebben az esetben ez úgy néz ki, hogy megérkezik bármilyen forgalom az routeredre, ha a 200.0.0.64/26-os hálóról jött, akkor azért tiltja, ha bárhonnan máshonnan, akkor meg azért.
Szóval, ha ehhez az ACL-hez hozzáadod, hogy engedélyezzen minden forgalmat a 200.0.0.0/24-es hálóról, akkor jó lesz.
Így ha a forgalom a 200.0.0.64/26-ról jön, tiltja. Ha nem, bárhonnan máshonnan, de még a 200.0.0.0/24-ről, akkor átengedi. Minden mást tilt.
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!