问题
填空题
某单位网络的拓扑结构示意图如图5-1所示。该网络采用RIP协议,要求在R2上使用访问控制列表禁止网络192.168.20.0/24上的主机访问网络192.168.10.0/24,在R3上使用访问控制列表禁止网络192.168.20.0/24上的主机访问10.10.10.0/24上的Web服务,但允许其访问其他服务器。
上述两条语句次序是否可以调整简单说明理由。
答案
参考答案:不可以调整次序,acl执行顺序是自上而下,一旦次序调整后,原第一条规则失效。
解析:
上述两条语句次序不可以调整。因为路由器对ACL语句的处理规则如下:
·一旦发现匹配的语句,就不再处理列表中的其他语句,所以语句的排列顺序非常重要;
·如果整个列表中没有匹配的语句,则分组被丢弃。
在本例中,如果次序调整,则语句access-list 110 permit ip any any将放行所有数据,包括网络192.168.20.0/24上的主机访问10.10.10.0/24上的Web服务,这样语句access-list 110 deny tcp 192.168.20.0 0.0.0.255 10.10.10.0 0.0.0.255 eq www将失去作用。