1 00:00:00,750 --> 00:00:01,480 Willkommen zurück. 2 00:00:01,560 --> 00:00:05,580 Ich heiße David Bumble s. c. ich elf tausend dreiundzwanzig. 3 00:00:05,580 --> 00:00:07,980 In diesem Abschnitt werden wir uns die X-ists-Listen ansehen. 4 00:00:08,100 --> 00:00:12,540 Ich möchte Ihnen zeigen, wie Sie die Sicherheit mithilfe von Access Control-Listen 5 00:00:12,540 --> 00:00:17,100 implementieren, die einer der grundlegendsten Bausteine für die Implementierung der Sicherheit im Cisco-Netzwerk sind. 6 00:00:17,100 --> 00:00:22,440 Heutzutage gibt es mehrere Möglichkeiten, Sicherheit zu implementieren, aber Zugriffslisten sind eine der grundlegendsten und 7 00:00:22,590 --> 00:00:25,020 viele der neuen Technologien basieren darauf. 8 00:00:25,020 --> 00:00:30,060 Daher ist es wichtig, dass Sie ein gutes Verständnis für die Funktionsweise von Zugriffslisten und deren Implementierung haben. 9 00:00:31,520 --> 00:00:34,130 Wir können uns also den Zweck von Zugriffskontrolllisten anschauen. 10 00:00:34,220 --> 00:00:37,090 Ich möchte Ihnen zeigen, wie sie an Schnittstellen gebunden sind. 11 00:00:37,170 --> 00:00:40,190 Sie sind entweder nach innen oder nach außen gebunden. 12 00:00:40,190 --> 00:00:45,740 Ich möchte Ihnen verschiedene Spitzen von Zugriffslisten zeigen, einschließlich nummerierter X-ists-Listen mit 13 00:00:46,070 --> 00:00:50,670 Namen X-ists-Listen sowie in einer erweiterten Zugriffssteuerungsliste oder ACLC. 14 00:00:50,960 --> 00:00:57,710 Ich möchte erklären, was eine Wildcard-Moschee macht und wie Sie die einzelnen Host-Subnetze aller Hosts anpassen 15 00:00:57,710 --> 00:01:00,680 können, indem Sie die Wildcard-Moschee ändern. 16 00:01:00,680 --> 00:01:07,620 Ich möchte auch htan-basierte, reflexive und dynamische ACLC Now erläutern, bevor ich mich mit 17 00:01:07,620 --> 00:01:09,700 Zugriffssteuerungslisten oder ACLC beschäftige. 18 00:01:09,900 --> 00:01:12,750 Sehen wir uns einige der Informationen an, die im D1-Kurs mit Eis bedeckt sind. 19 00:01:13,200 --> 00:01:17,310 Sie können keine ACL ohne ein gutes Verständnis der Protokolle implementieren. 20 00:01:17,310 --> 00:01:23,130 Portnummern und andere Optionen sind im Ah-Q-Protokollstapel von TCAP und anderen Protokollen verfügbar. 21 00:01:23,130 --> 00:01:29,130 Wenn Sie sie in Ihrem Netzwerk ausführen, sehen Sie als Beispiel, wenn ein PC mit 22 00:01:29,130 --> 00:01:36,630 einem Server verbunden ist und der PC über HGP verbunden ist und der Datenverkehr über den Netzwerkrouter gleich ist, wird 23 00:01:36,630 --> 00:01:42,890 ein Paket mit der Quelladresse 10 1 1 1 angezeigt mit der Quellportnummer größer als 1023. 24 00:01:43,050 --> 00:01:45,870 In diesem Beispiel sagen wir 1024. 25 00:01:45,870 --> 00:01:51,900 Da Sie UDP verwenden, wird in diesem Fall die bekannte Portnummer 80 verwendet. Daher ist 26 00:01:51,900 --> 00:01:56,410 die Ziel-IP-Adresse 10 1 zu 1 und die Zielportnummer 80. 27 00:01:56,490 --> 00:02:01,890 Nun ist die Richtung mit Zugriffslisten auf dieser Schnittstelle von großer Bedeutung. 28 00:02:01,890 --> 00:02:08,780 Die Ratte empfängt das eingehende Paket, aber auf dieser Schnittstelle wird das Paket nach außen gesendet. 29 00:02:08,790 --> 00:02:11,810 Es ist wichtig, dass Sie dies aus der gerissensten Sicht betrachten. 30 00:02:11,940 --> 00:02:16,190 Das Paket kommt an und wird nach außen gesendet. 31 00:02:16,200 --> 00:02:21,570 Mit anderen Worten, wenn Sie eine ausgehende Liste für den Zugriff auf das Netzwerk konfigurieren, hat dies keine 32 00:02:21,570 --> 00:02:24,020 Auswirkungen auf den Datenverkehr vom PC zum Server. 33 00:02:24,240 --> 00:02:29,230 Weil ich mich in der Zugriffsliste befinde, wird nur der aus dem buddhistischen Standpunkt ausgehende Verkehr geprüft. 34 00:02:29,520 --> 00:02:34,950 Wenn Sie also eine eingehende Zugriffssteuerungsliste auf der linken Seite konfigurieren, müssen Pakete diese 35 00:02:34,950 --> 00:02:39,960 Exit-Steuerungsliste passieren lassen, bevor sie zugelassen werden. Wenn Sie sie erneut konfigurieren, müsste 36 00:02:39,960 --> 00:02:45,870 eine auf der Zugriffssteuerungsliste auf dieser Schnittstelle erfasste Daten die Zugriffsliste passieren wird von der Zugriffsliste 37 00:02:45,870 --> 00:02:46,660 zugelassen. 38 00:02:46,680 --> 00:02:48,410 Andernfalls wird der Verkehr gesperrt. 39 00:02:49,460 --> 00:02:55,130 Wenn der Dienst seit dem Verkehr in Antwort ist, wird die Quelladresse jetzt zehn 40 00:02:55,130 --> 00:03:03,240 zu eins mit einem Quellport von 80 sein und die Ziel-IP-Adresse wird 10 1 1 1 sein, und die Zielportnummer ist 1024. 41 00:03:03,260 --> 00:03:09,500 In diesem Fall würde eine ausgehende Zugriffsliste auf dieser Schnittstelle den gesamten Verkehr vom Server zum 42 00:03:09,500 --> 00:03:13,630 PC ausführen, da der Verkehr aus Sicht des Routers ausgeht. 43 00:03:13,880 --> 00:03:19,220 Ein ausgezeichnet konfigurierter Ausgang und diese Schnittstelle hätte diesen Verkehr behoben, und dieser Verkehr müsste 44 00:03:19,220 --> 00:03:25,490 die in der Zugriffsliste festgelegten Kriterien bestehen, bevor er mit demselben Token zugelassen wird, das eine eingehende Zugriffsliste 45 00:03:25,520 --> 00:03:30,410 auf dieser Schnittstelle den Verkehr beeinflussen würde und den Verkehr hätte die in dieser 46 00:03:30,410 --> 00:03:31,980 Zugriffssteuerungsliste festgelegten Kriterien übergeben. 47 00:03:33,110 --> 00:03:34,640 Ja, noch ein Beispiel. 48 00:03:34,790 --> 00:03:39,320 Dieses MacBook wechselt über den Router. 49 00:03:39,560 --> 00:03:43,960 Nehmen wir einmal an, das MacBook wählt den Port 50000. 50 00:03:44,030 --> 00:03:49,460 Die Quelladresse aller Frames vom MacBook zum Switch wäre 10 Eins zu Eins mit 51 00:03:49,460 --> 00:03:51,100 dem Quellport 50000. 52 00:03:51,140 --> 00:03:56,260 Das Ziel wäre 10 1 zu 1 mit der Zielportnummer 23. 53 00:03:56,540 --> 00:04:02,750 Aus seiner Sicht empfängt er also erneut Frames auf dieser Schnittstelle mit einer Art zahmem 54 00:04:02,750 --> 00:04:08,720 auf einer Quelle für fünfzigtausend und überträgt diese Pakete mit denselben Details aus 55 00:04:08,720 --> 00:04:09,790 dieser Schnittstelle. 56 00:04:10,530 --> 00:04:17,640 Pakete, die als Antwort von der Vermittlung einer Quelladresse von 10 1 zu 1 Quellport 23 und einer 57 00:04:17,670 --> 00:04:22,080 Ziel-IP-Adresse 10 1 1 1 des Zielports 50000 gesendet wurden. 58 00:04:22,080 --> 00:04:28,170 Wieder ist es wichtig, dass Sie Ihre Protokolle und Portnummern verstehen, denn ohne dieses 59 00:04:28,590 --> 00:04:35,130 Verständnis können Sie ACLC nicht immer konfigurieren, um die Richtung des Datenverkehrs zu überprüfen, um 60 00:04:35,130 --> 00:04:40,990 zu bestimmen, ob ein Überschuss für bestimmte Schnittstellen ein- oder ausgehängt werden soll. 61 00:04:41,050 --> 00:04:45,470 Sie sind einige Beispiele einiger bekannter TZP-Protokolle mit den entsprechenden Portnummern. 62 00:04:45,710 --> 00:04:55,760 Wenn DP Port 21 für die Steuerung und 24 Daten verwendet, verwendet Telnet Port 23. 63 00:04:56,210 --> 00:04:56,930 Es ist leer. 64 00:04:56,930 --> 00:05:00,710 Verwenden Sie den Port 80 von HVD Pease. 65 00:05:00,930 --> 00:05:03,020 POP 3 verwendet Port 1 1 0. 66 00:05:03,160 --> 00:05:05,910 SS Elissas Hafen 443. 67 00:05:06,050 --> 00:05:12,190 Dies sind Beispiele einiger bekannter TZP-Portnummern, an die Sie sich für die reale Welt erinnern sollten. 68 00:05:12,230 --> 00:05:19,520 Durchsuchen Sie einfach meine Portnummern, um eine Liste der Internet-Zuweisungsnummern von 30 Portnummern anzuzeigen. 69 00:05:19,520 --> 00:05:24,540 Das I on ist für die Portnummern zuständig und legt die Belegung fest. 70 00:05:24,650 --> 00:05:27,520 Als Beispiel geben Sie einfach die Portnummern 71 00:05:30,280 --> 00:05:35,730 ein und der allererste Treffer wird eine Liste von Gerichtsnummern sein, die recht gut erklärt werden. 72 00:05:36,630 --> 00:05:44,890 Über die bekannten Portnummern registrierte Portnummern sowie dynamische und private Portnummern. 73 00:05:45,130 --> 00:05:52,060 Wenn Sie beispielsweise nur eine Suche oder ein Telnet durchführen, sehen Sie, welche Portnummer Telnet verwendet. 74 00:05:52,170 --> 00:05:57,180 Er hat eine nette Liste, wenn Sie nicht sicher sind, welche Portnummern von bestimmten Protokollen verwendet werden. 75 00:05:58,130 --> 00:06:02,080 Hier ist ein Beispiel für Protokolle, die UDP verwenden, und sie sind auf Portnummern angewiesen. 76 00:06:02,110 --> 00:06:12,570 DHP verwendet als Beispiel die Portnummer 67 und 68 des TFT Pease-Port 69 und als MP den Port 161. 77 00:06:12,860 --> 00:06:19,440 Wieder einmal auf der gleichen Liste im Ayana können Sie nach bestimmten Protokollen 78 00:06:19,440 --> 00:06:23,490 suchen. Ein Beispiel für TFT-DNS ist ein Sonderfall. 79 00:06:23,640 --> 00:06:28,600 Es ist nur die Teilenummer 53, die sowohl TCAP als auch UDP verwendet. 80 00:06:28,710 --> 00:06:30,980 Also sowohl für Studienzwecke als auch für die reale Welt. 81 00:06:31,020 --> 00:06:36,370 Denken Sie daran, dass Protokolle wie Telnet den Port 23 verwenden und den Benutzern TZP mitteilen. 82 00:06:36,630 --> 00:06:43,190 Während DFT beispielsweise den Port 69 mit UDP verwendet. 83 00:06:43,200 --> 00:06:48,240 Warum sollten Sie ACLC bis zu diesem Zeitpunkt in diesem Kurs verwenden? Wir haben den Zugriff zwischen 84 00:06:48,240 --> 00:06:54,210 verschiedenen Teilen des Netzwerks ermöglicht, ohne Schnittstellen zu schließen, die sich auf das Bil'in-Routing stützen, indem Sie Routing-Protokolle einrichten, wie Sie 85 00:06:54,210 --> 00:06:58,710 es von Ihrer Arbeit wissen, mit der SPF den Zugriff über das Netzwerk ermöglicht . 86 00:06:58,710 --> 00:07:04,010 Möglicherweise möchten Sie jedoch nicht, dass jeder auf jeden Teil des Netzwerks zugreifen kann. 87 00:07:04,020 --> 00:07:06,670 Dies gilt insbesondere, wenn Sie sich mit dem Internet verbinden. 88 00:07:06,930 --> 00:07:11,370 Sie möchten nicht unbedingt, dass jeder im Internet auf Ihre Unternehmensserver oder Ihr Unternehmensnetzwerk 89 00:07:11,370 --> 00:07:12,100 zugreifen kann. 90 00:07:12,240 --> 00:07:17,640 Daher sind Zugriffslisten eine der ersten Verteidigungslinien, um den Verkehr von einem Teil des Netzwerks zu einem anderen zu stoppen oder 91 00:07:17,640 --> 00:07:22,270 zu verweigern, sodass sie verwendet werden können, um den Datenverkehr durch einen Router zuzulassen oder zu verweigern. 92 00:07:22,520 --> 00:07:28,810 So können wir beispielsweise diesem MacBook den Zugriff auf das Internet ermöglichen, um den Datenverkehr 93 00:07:28,810 --> 00:07:31,810 aus dem Internet in unsere Unternehmensumgebung abzulehnen. 94 00:07:31,930 --> 00:07:37,780 Wir würden also den Datenverkehr pro Schnittstelle zulassen oder ablehnen und somit den Datenverkehr durch 95 00:07:37,780 --> 00:07:39,040 den Router verhindern. 96 00:07:39,180 --> 00:07:44,240 Sie können ein Kennwort auf einer Viti-Drahtleitung auf einem Router eingeben, um eine Sicherheitsstufe zu erzwingen. 97 00:07:44,260 --> 00:07:49,350 Sie können jedoch sagen, dass nur die administrativen Subnetze von Wayne aus erlaubt sind, da 98 00:07:49,350 --> 00:07:55,470 dieser Computer in einem administrativen Subnetz auf die Viti zugreifen darf, während der Computer auf die BT-Drahtleitungen 99 00:07:55,470 --> 00:07:56,510 zugreifen darf. 100 00:07:56,610 --> 00:08:02,900 In diesem Fall lässt die Zugriffsliste nicht einmal Telnet- oder S-sh-Verkehr zu den Viti Why-Leitungen des 101 00:08:02,910 --> 00:08:03,750 Routers zu. 102 00:08:04,110 --> 00:08:10,590 Anstatt nur eine Verteidigungslinie für ein Kennwort zu haben, implementieren Sie zwei Verteidigungslinien, die nur bestimmte 103 00:08:10,590 --> 00:08:16,860 Subnetze für die Etowah-Leitungen zulassen und bei den Sicherheitsanweisungen ein Kennwort für die BT y-Leitungen 104 00:08:16,860 --> 00:08:17,490 angeben. 105 00:08:17,490 --> 00:08:23,080 Sie müssen an das Risiko denken, abhängig von dem Risiko, dass Sie mehr Sicherheit implementieren. 106 00:08:23,160 --> 00:08:28,170 In diesem Fall könnte das Risiko des Zugriffs von Benutzern auf Netzwerkgeräte hoch sein. 107 00:08:28,440 --> 00:08:36,490 Sie erlauben also nur bestimmte Subnetze, sich mit den BT y-Leitungen oder dem Router oder Switch zu verbinden. 108 00:08:36,530 --> 00:08:41,380 Mit unserer ACL können also wieder alle Pakete an alle Teile des Netzwerks übertragen werden. 109 00:08:41,600 --> 00:08:43,610 Und das ist vielleicht nicht wünschenswert. 110 00:08:43,670 --> 00:08:48,670 Daher möchten Sie möglicherweise bestimmten Teilen des Netzwerks den Zugriff auf andere Teile des Netzwerks verweigern. 111 00:08:48,680 --> 00:08:54,020 Der Grundgedanke dabei ist, dass Sie mit der Implementierung von Sicherheitsfunktionen beginnen, die 112 00:08:54,350 --> 00:09:00,380 Teile des Netzwerks blockieren, sodass nicht alle Personen innerhalb und außerhalb Ihres Unternehmens darauf zugreifen können. 113 00:09:01,270 --> 00:09:07,520 ACLC Wie ich nicht nur zum Zulassen oder Abweisen von Datenverkehr verwendet wurde, kann ich sie auch für die Klassifizierung 114 00:09:08,210 --> 00:09:13,060 verwenden, wenn Sie ein einfaches VPN oder ein virtuelles privates Netzwerk zwischen zwei Standorten einrichten. 115 00:09:13,250 --> 00:09:17,090 Sie müssen dem Router mitteilen, welcher Datenverkehr verschlüsselt werden muss. 116 00:09:17,210 --> 00:09:23,000 Möglicherweise möchten Sie nicht, dass der gesamte Datenverkehr aus Ihrem lokalen LAN verschlüsselt wird, da 117 00:09:23,000 --> 00:09:31,400 der Datenverkehr von Ihrem lokalen LAN zu einem Internet-Server unverschlüsselt gesendet werden soll. Der Datenverkehr von Ihrem lokalen LAN in das Land 118 00:09:31,400 --> 00:09:37,880 auf der anderen Seite des VPN-Tunnels muss also verschlüsselt werden Sie erstellen eine Zugriffsliste, die bestimmt, welcher 119 00:09:37,880 --> 00:09:39,330 Verkehr interessant ist. 120 00:09:39,380 --> 00:09:41,340 Mit anderen Worten muss verschlüsselt werden. 121 00:09:41,630 --> 00:09:48,660 Was für den Verkehr nicht interessant ist, muss also nicht verschlüsselt werden. ACL kann auch bei 122 00:09:48,660 --> 00:09:55,470 der Neuverteilung verwendet werden, wenn Sie Routen von einem Routingprotokoll verwenden und sie umverteilen oder 123 00:09:55,470 --> 00:09:58,250 in ein anderes Routingprotokoll einpumpen. 124 00:09:58,260 --> 00:10:04,680 Daher möchten Sie möglicherweise nicht, dass OSPF alle Ihre GOP-Routen kennenlernt. Daher können 125 00:10:04,680 --> 00:10:11,890 Sie Access Control-Listen verwenden, um die Weitergabe bestimmter Routen einzuschränken oder zuzulassen. Zugriffslisten werden auch 126 00:10:11,950 --> 00:10:17,770 bei der Netz- oder Netzwerkadressenübersetzung verwendet übersetzt werden und welche Pakete 127 00:10:17,770 --> 00:10:20,080 nicht übersetzt werden müssen. 128 00:10:20,350 --> 00:10:24,670 Sie würden also eine Überschussliste erstellen, die nur bestimmte Subnetze zulässt, die zulassen, 129 00:10:24,670 --> 00:10:31,180 dass die Pakete, die von der Zugriffsliste abgelehnt werden, nicht übersetzt werden. Der Zugriff wird jedoch nicht verweigert oder gelöscht, 130 00:10:31,210 --> 00:10:39,070 aber sie werden nicht mithilfe der Netzwerkadressenübersetzung oder des Netzwerks übersetzt, wenn ACLC zum Zulassen oder Ablehnen verwendet wird Pakete, die sich durch einen 131 00:10:39,070 --> 00:10:40,050 Router bewegen. 132 00:10:40,270 --> 00:10:42,020 Es gibt zwei Hauptschritte. 133 00:10:42,490 --> 00:10:49,240 Zuerst erstellen Sie im globalen Konfigurationsmodus die Zugriffsliste mithilfe der allgemeinen Zugriffsliste und geben 134 00:10:49,240 --> 00:10:51,320 dann verschiedene Optionen ein. 135 00:10:51,370 --> 00:10:58,120 Der Zugriffsbefehl wird also zum Erstellen der Zugriffsliste verwendet. Anschließend wenden Sie die Zugriffsliste entweder eingehend 136 00:10:58,150 --> 00:11:02,110 oder ausgehend auf eine Schnittstelle mithilfe der Zugriffsgruppe an. 137 00:11:02,120 --> 00:11:02,890 Komm schon. 138 00:11:03,220 --> 00:11:06,980 Wenn Sie auf diesen Befehl zugreifen, wird die Access Group für die Liste der übergeordneten Listen erstellt. 139 00:11:06,990 --> 00:11:09,350 C'mon bindet die Zugriffsliste. 140 00:11:09,490 --> 00:11:13,330 Und wenn Sie es binden, geben Sie entweder ein- oder ausgehend an. 141 00:11:13,330 --> 00:11:17,240 Mit anderen Worten, Bestimmen der Richtung, in die die Zugriffsliste gebunden ist. 142 00:11:17,380 --> 00:11:22,370 Beachten Sie, dass eine ACL erst wirksam wird, wenn sie irgendwo angewendet wird. 143 00:11:22,390 --> 00:11:27,700 Wenn Sie in der laufenden Konfiguration eines Routers Zugriffslisten haben und diese noch nicht angewendet wurden, 144 00:11:27,700 --> 00:11:29,160 haben diese keine Auswirkungen. 145 00:11:29,170 --> 00:11:35,530 Es gibt zwei Schritte, in denen Sie die Zugriffsliste erstellen und dann auf verschiedene Weise anwenden, beispielsweise für eingehende Anfragen bei 146 00:11:35,530 --> 00:11:35,870 Fosset. 147 00:11:35,880 --> 00:11:38,830 Ist das nicht ernsthaft Zera? 148 00:11:38,890 --> 00:11:46,180 Imraan ACLC wird also erneut auf eine Schnittstelle angewendet, und die ICL wird verarbeitet, bevor der Datenverkehr 149 00:11:46,180 --> 00:11:47,490 weitergeleitet wird. 150 00:11:47,500 --> 00:11:54,610 Mit anderen Worten, wenn die ICL den Datenverkehr ablehnt und der Datenverkehr verworfen wird, muss der Router die 151 00:11:54,610 --> 00:12:00,450 Pakete nicht verarbeiten, indem er in seiner Schreibtabelle nachschaut und die Outbound-Schnittstelle bestimmt. 152 00:12:00,490 --> 00:12:06,120 Das Paket wird verworfen oder fallen gelassen, bevor die Verrottungsmaschine sie verarbeiten muss. 153 00:12:06,250 --> 00:12:11,650 Wenn sie zulässig sind, werden sie zum Schreiben verarbeitet und der Router bestimmt 154 00:12:11,650 --> 00:12:12,950 die ausgehende Schnittstelle. 155 00:12:13,150 --> 00:12:18,250 Wenn er verworfen wird, gibt es keinen zusätzlichen Overhead auf dem Router, 156 00:12:18,250 --> 00:12:24,160 da der Router keine Schreibtabellensuche durchführen muss, um die ordnungsgemäße ausgehende Schnittstelle zu bestimmen, wenn 157 00:12:24,160 --> 00:12:31,380 der Datenverkehr zulässig ist. Der Schreibvorgang führt dann die Schreibtabellensuche aus, um die ausgehende Schnittstelle ohne zu ermitteln 158 00:12:31,410 --> 00:12:32,270 dass ACLC. 159 00:12:32,530 --> 00:12:38,920 Zuerst wird das Rotting ausgeführt, dann wird das Paket zu einer ausgehenden Schnittstelle geleitet, und dann werden die 160 00:12:38,920 --> 00:12:41,210 Pakete basierend auf der ACL zugelassen. 161 00:12:41,350 --> 00:12:48,490 Mit anderen Worten übertragen oder abgelehnt ist es daher effizienter, eine auf einer Schnittstelle eingehende Zugriffsliste zu 162 00:12:48,490 --> 00:12:53,820 binden, da Pakete, die verworfen oder abgelehnt werden, nicht verarbeitet werden müssen. 163 00:12:53,850 --> 00:12:56,040 Während des Schreibvorgangs am Router. 164 00:12:56,350 --> 00:13:03,220 Wenn eine ACL ausgehend angewendet wird, muss der Rada noch alle Pakete verarbeiten, die an der Ausgangsschnittstelle 165 00:13:03,280 --> 00:13:05,700 abgelehnt oder verworfen werden können. 166 00:13:05,800 --> 00:13:11,540 Binden Sie nach Möglichkeit ACLC-Inbound-Interfaces anstatt Outbound. 167 00:13:11,740 --> 00:13:18,860 Oder eine effizientere Verarbeitung einer Zugriffsliste ist eine sequentielle Liste von Anweisungen, bei denen Pakete von der ersten bis 168 00:13:19,250 --> 00:13:21,560 zur letzten Anweisung ausgewertet werden. 169 00:13:21,560 --> 00:13:24,510 Mit anderen Worten gibt es eine Verarbeitung von oben nach unten. 170 00:13:24,710 --> 00:13:30,680 Wenn ein Paket von einer einzelnen Anweisung in der Zugriffsliste abgeglichen wird, wird dieses Paket entweder zugelassen 171 00:13:30,890 --> 00:13:36,730 oder abgelehnt, abhängig davon, ob das Schlüsselwort "allow" oder "deny" in dieser bestimmten Anweisung verwendet wird. 172 00:13:37,550 --> 00:13:41,890 Alle verbleibenden Zeilen der Zugriffsliste werden für dieses bestimmte Paket ignoriert. 173 00:13:42,140 --> 00:13:48,350 Wenn also in einer Zeile eine Übereinstimmung gefunden wird, werden alle übrigen Zeilen ignoriert, wenn der 174 00:13:48,350 --> 00:13:55,320 Datenverkehr nicht mit dieser bestimmten Zeile oder Anweisung übereinstimmt. Dann wird die nächste Zeile in der ACL geprüft. 175 00:13:55,430 --> 00:14:00,920 Die Nexxus-Liste ist also eine sequentielle Liste von Anweisungen, und der Rada prüft von der ersten bis zur letzten 176 00:14:00,920 --> 00:14:03,030 Zeile, bis er eine Übereinstimmung findet. 177 00:14:03,350 --> 00:14:04,710 Sobald es ein Spiel gibt. 178 00:14:04,910 --> 00:14:06,720 Alle nachfolgenden Zeilen werden ignoriert. 179 00:14:06,980 --> 00:14:12,260 Wenn für eine Anweisung in der ACL keine Übereinstimmung besteht, wird das Paket aufgrund 180 00:14:12,260 --> 00:14:16,030 der sogenannten impliziten Denie am Ende jeder Zugriffsliste verworfen. 181 00:14:16,050 --> 00:14:22,610 Es gibt eine implizite Ablehnung, dh wenn Sie nicht ausdrücklich von einer Zugriffsliste zugelassen werden, wird 182 00:14:22,610 --> 00:14:30,470 implizit der gesamte Datenverkehr abgelehnt, der an einer beliebigen Stelle in dieser Zugriffsliste nicht zulässig ist. Die Verwendung einer 183 00:14:30,620 --> 00:14:32,150 Genehmigungsanweisung wird gelöscht. 184 00:14:32,150 --> 00:14:37,300 Das bedeutet also, dass Sie mindestens eine Erlaubniserklärung in der Praxisliste haben müssen. 185 00:14:37,370 --> 00:14:39,730 Andernfalls können Sie das Kabel auch entfernen. 186 00:14:39,740 --> 00:14:44,180 Jetzt gibt es zwei Hauptgruppen der Zugriffslisten, auf die wir uns in diesem Kurs konzentrieren. 187 00:14:44,180 --> 00:14:51,500 Die erste ist eine Standard-ACL und die zweite ist eine erweiterte ACL-Standard-ACLJ-Prüfung, die nur auf Quell-IP-Adressen 188 00:14:51,500 --> 00:14:52,450 geprüft wird. 189 00:14:52,580 --> 00:14:59,360 Sie überprüfen nicht einzelne Portnummern oder einzelne Protokolle, die das gesamte Protokollpaket basierend 190 00:14:59,360 --> 00:15:04,640 auf der Quell-IP-Adresse oder dem Quellnetzwerk entweder zulassen oder verbieten. 191 00:15:04,640 --> 00:15:11,180 Nichts anderes in der Quell-IP-Adresse oder im Quellnetzwerk kann angegeben werden, um die ACLC-Prüfung sowohl für die 192 00:15:11,180 --> 00:15:17,890 Quell- als auch für die Zieladresse zu überprüfen. Damit können Sie bestimmte Protokolle und Anwendungen zulassen oder abweisen. 193 00:15:17,900 --> 00:15:25,460 Mit anderen Worten, Sie könnten basierend auf IP TZP UDP ICMP und vielen anderen Protokollen 194 00:15:25,460 --> 00:15:31,700 zulassen oder ablehnen. Sie können auch erweiterte Zugriffslisten zulassen oder ablehnen, die auf 195 00:15:31,700 --> 00:15:35,540 Quellportnummern und Zielportnummern basieren die wahre Welt. 196 00:15:35,780 --> 00:15:40,540 Der Vollständigkeit halber müssen wir jedoch sowohl Standard- als auch erweiterte Zugriffslisten in diesem Kurs abdecken.