助け合いフォーラム
CCNP ENCOR(350-401)
問題ID : 36925
問題を開く
次のアクセスリストおよびVACLが設定済みである。
PC1はPC2へTelnet(23番ポート宛)およびHTTP(80番ポート宛)のトラフィックを送信する。
PC1からPC2へのトラフィックに対するスイッチの動作として、適切なものはどれか。
この問題はプレミアムコンテンツです。
denyエントリの存在意義
投稿日 2024/04/20
>>Telnetトラフィックの場合、初めにアクセスリスト100のdenyエントリに一致します。
denyエントリと一致しているのでアクションは実行されません。
トラフィックが一致しているとアクションが実行されないのであれば、denyエントリは何のために存在するのでしょう?
2024/04/23 08:25
トラフィックが一致しているとアクションが実行されないのであれば、denyエントリは何のために存在するのでしょう?
シーケンス10では「アクセスリスト100にマッチしたら破棄」となっているので、「アクセスリストにマッチしないものは破棄しない」ということです。なので、明示的に「シーケンス10の処理対象としない(破棄させたくない)トラフィック」をdenyしておくことで、処理対象から外す、というのが存在する理由ですかね。
別の仕組みの名前を使うと「ホワイトリスト」「ブラックリスト」をどう実装しているか、です。
ACL100は拒否する対象を定義している「ブラックリスト」のように見えますが、VLANアクセスマップの中では「ACL100にマッチしたら破棄」となっており挙動としては「permitされたものが破棄される」ので、その逆の「denyエントリにマッチするものは破棄対象とならない」ことが確実になることから「ホワイトリスト」を定義していると理解されると良いのではないかと
コメント
この投稿に対して返信しませんか?
n nakanaka0104
2024/05/05 14:37
遅くなってすいません。ホワイトリスト/ブラックリストという概念もあるのですね。。勉強になりました、ありがとうございます!