1 00:00:00,750 --> 00:00:01,480 Ben tornato. 2 00:00:01,560 --> 00:00:05,580 Mi chiamo David Bumble. c. Io undicimilanovantatre. 3 00:00:05,580 --> 00:00:07,980 E in questa sezione esamineremo le liste di X-ists. 4 00:00:08,100 --> 00:00:12,540 Mi piacerebbe mostrarti come implementare la sicurezza utilizzando gli elenchi di controllo di 5 00:00:12,540 --> 00:00:17,100 accesso, che sono uno dei blocchi di base per l'implementazione della sicurezza nella rete Cisco. 6 00:00:17,100 --> 00:00:22,440 In questi giorni ci sono diversi modi per implementare la sicurezza, ma gli elenchi di accesso sono una delle più fondamentali e 7 00:00:22,590 --> 00:00:25,020 molte delle nuove tecnologie si basano su di essi. 8 00:00:25,020 --> 00:00:30,060 Quindi è importante avere una buona comprensione di come funzionano le liste di accesso e come implementarle. 9 00:00:31,520 --> 00:00:34,130 Quindi possiamo esaminare lo scopo delle liste di controllo degli accessi. 10 00:00:34,220 --> 00:00:37,090 Mi piacerebbe mostrarti come sono legati alle interfacce. 11 00:00:37,170 --> 00:00:40,190 Sono legati sia in entrata che in uscita. 12 00:00:40,190 --> 00:00:45,740 Mi piacerebbe mostrarti varie cime degli elenchi di accesso inclusi elenchi di X-numerati numerati denominati elenchi 13 00:00:46,070 --> 00:00:50,670 X-ists e stare in un elenco di controllo di accesso esteso o ACLC. 14 00:00:50,960 --> 00:00:57,710 Mi piacerebbe spiegare cosa fa una moschea jolly e come abbinare i singoli host a tutti 15 00:00:57,710 --> 00:01:00,680 gli host modificando la moschea jolly. 16 00:01:00,680 --> 00:01:07,620 Mi piacerebbe anche spiegare l'ACLC riflessivo e dinamico basato su htan ora prima di entrare in una discussione sugli elenchi di 17 00:01:07,620 --> 00:01:09,700 controllo di accesso o ACLC. 18 00:01:09,900 --> 00:01:12,750 Esaminiamo alcune delle informazioni trattate nel ghiaccio nel corso D1. 19 00:01:13,200 --> 00:01:17,310 Non sarai in grado di implementare ACL senza una buona conoscenza dei protocolli. 20 00:01:17,310 --> 00:01:23,130 I numeri di porta e altre opzioni sono disponibili nello stack del protocollo Ah-Q TCAP e in altri protocolli. 21 00:01:23,130 --> 00:01:29,130 Se li hai in esecuzione sulla tua rete vedi un esempio se abbiamo un PC che si connette a 22 00:01:29,130 --> 00:01:36,630 un server e il PC si connette usando HGP e che il traffico è lo stesso attraverso il router di rete si vedrà un pacchetto 23 00:01:36,630 --> 00:01:42,890 con un indirizzo di origine di 10 1 1 1 con il numero di porta di origine maggiore di 1023. 24 00:01:43,050 --> 00:01:45,870 Quindi in questo esempio diciamo 1024. 25 00:01:45,870 --> 00:01:51,900 In questo caso, poiché si utilizza UDP, il numero di porta noto 80 sarà quindi l'indirizzo IP di destinazione 26 00:01:51,900 --> 00:01:56,410 da 10 1 a 1 e il numero di porta di destinazione è 80. 27 00:01:56,490 --> 00:02:01,890 Ora con la direzione delle liste di accesso è di grande importanza su questa interfaccia. 28 00:02:01,890 --> 00:02:08,780 Il ratto sta ricevendo il pacchetto in ingresso ma su questa interfaccia il pacchetto viene trasmesso in uscita. 29 00:02:08,790 --> 00:02:11,810 È importante guardarlo dal punto di vista più ombreggiato. 30 00:02:11,940 --> 00:02:16,190 Il pacchetto arriva in entrata e viene inviato in uscita. 31 00:02:16,200 --> 00:02:21,570 Quindi, in altre parole, se si configura un elenco di accessi in uscita sul lato apparente non avrebbe 32 00:02:21,570 --> 00:02:24,020 alcun effetto sul traffico dal PC al server. 33 00:02:24,240 --> 00:02:29,230 Perché sono in lista di accesso controlla solo il traffico in uscita dal punto di vista buddista. 34 00:02:29,520 --> 00:02:34,950 Quindi, se si configurava un elenco di controllo di accesso in ingresso sul lato sinistro, i pacchetti dovevano passare 35 00:02:34,950 --> 00:02:39,960 tale elenco di controllo di uscita prima di essere autorizzato e ancora una volta se lo si configura 36 00:02:39,960 --> 00:02:45,870 in un elenco di controllo di accesso su questa interfaccia il traffico dovrebbe passare l'elenco di accesso sarà consentito dalla lista 37 00:02:45,870 --> 00:02:46,660 di accesso. 38 00:02:46,680 --> 00:02:48,410 Altrimenti il traffico verrà eliminato. 39 00:02:49,460 --> 00:02:55,130 Quando il servizio dal traffico in risposta l'indirizzo di origine sarà ora dieci uno a uno con 40 00:02:55,130 --> 00:03:03,240 una porta di origine di 80 e l'indirizzo IP di destinazione sarà 10 1 1 1 e il numero di porta di destinazione sarà 1024. 41 00:03:03,260 --> 00:03:09,500 In questo caso, un elenco di accesso in uscita su questa interfaccia entrerebbe in vigore tutto il traffico dal server 42 00:03:09,500 --> 00:03:13,630 al PC perché il traffico sta uscendo dal punto di vista del router. 43 00:03:13,880 --> 00:03:19,220 Quindi un eccellente outbound configurato e questa interfaccia avrebbero risolto questo traffico e questo traffico avrebbe dovuto passare i 44 00:03:19,220 --> 00:03:25,490 criteri impostati nella lista di accesso prima di essere autorizzato dallo stesso token che un elenco di accesso in ingresso su questa 45 00:03:25,520 --> 00:03:30,410 interfaccia avrebbe influenzato il traffico e il traffico avrebbe avuto per passare i criteri impostati in tale 46 00:03:30,410 --> 00:03:31,980 elenco di controllo di accesso. 47 00:03:33,110 --> 00:03:34,640 Sì, un altro esempio. 48 00:03:34,790 --> 00:03:39,320 Questo MacBook sta trasmettendo telnet per uno tramite il router. 49 00:03:39,560 --> 00:03:43,960 Quindi, per motivi di discussione, supponiamo che il MacBook scelga la porta 50000. 50 00:03:44,030 --> 00:03:49,460 L'indirizzo di origine di tutti i frame dal MacBook allo switch sarebbe 10 uno su uno con la 51 00:03:49,460 --> 00:03:51,100 porta di origine di 50000. 52 00:03:51,140 --> 00:03:56,260 La destinazione sarà 10 1 a 1 con il numero di porta di destinazione 23. 53 00:03:56,540 --> 00:04:02,750 Quindi, ancora una volta dal suo punto di vista riceve frame su questa interfaccia con una sorta 54 00:04:02,750 --> 00:04:08,720 di addomesticamento su una fonte per cinquantamila e sta trasmettendo quei pacchetti da questa interfaccia con gli 55 00:04:08,720 --> 00:04:09,790 stessi dettagli. 56 00:04:10,530 --> 00:04:17,640 Pacchetti inviati in risposta dallo switch di un indirizzo sorgente di 10 1 a 1 porta sorgente di 23 e un indirizzo IP 57 00:04:17,670 --> 00:04:22,080 di destinazione di 10 1 1 1 la porta di destinazione di 50000. 58 00:04:22,080 --> 00:04:28,170 Ancora una volta è importante comprendere i protocolli e i numeri di porta, perché senza 59 00:04:28,590 --> 00:04:35,130 quella comprensione non sarà possibile configurare ACLC sempre guardando la direzione del traffico per determinare se 60 00:04:35,130 --> 00:04:40,990 un eccesso deve essere vietato in entrata o in uscita su interfacce specifiche. 61 00:04:41,050 --> 00:04:45,470 Sei alcuni esempi di alcuni ben noti protocolli TZP con i numeri di porta rilevanti. 62 00:04:45,710 --> 00:04:55,760 Se DP utilizza la porta 21 per il controllo e 24 dati telnet utilizza la porta 23, la shell malata utilizza la porta 22. 63 00:04:56,210 --> 00:04:56,930 È vuoto. 64 00:04:56,930 --> 00:05:00,710 Usa porta 25 HVD Porta Pease 80. 65 00:05:00,930 --> 00:05:03,020 POP 3 utilizza la porta 1 1 0. 66 00:05:03,160 --> 00:05:05,910 Porto di SS Elissa 443. 67 00:05:06,050 --> 00:05:12,190 Quindi questi sono esempi di alcuni numeri di porta TZP noti che dovresti ricordare per il mondo reale. 68 00:05:12,230 --> 00:05:19,520 Basta google my sui numeri di porta per vedere un elenco di Internet che assegna numeri di 30 numeri di porta. 69 00:05:19,520 --> 00:05:24,540 L'on è responsabile dei numeri di porta e determina l'assegnazione. 70 00:05:24,650 --> 00:05:27,520 Ad esempio, digita i numeri di porta 71 00:05:30,280 --> 00:05:35,730 e il tuo primo colpo sarà un elenco di numeri di tribunale e spiegheranno molto bene. 72 00:05:36,630 --> 00:05:44,890 Informazioni sui noti numeri di porta registrati numeri di porta e numeri di porte dinamici e privati. 73 00:05:45,130 --> 00:05:52,060 Quindi, ad esempio, se esegui una ricerca o un telnet, vedrai quale numero di porta utilizza telnet. 74 00:05:52,170 --> 00:05:57,180 Ha una bella lista se non sei sicuro di quali numeri di porta sono usati da protocolli specifici. 75 00:05:58,130 --> 00:06:02,080 Ecco un esempio di protocolli che utilizzano UDP e si basano sui numeri di porta. 76 00:06:02,110 --> 00:06:12,570 Quindi, ad esempio, DHP usa la porta numero 67 e 68 della porta PFT di TFT 69 e come MP usa la porta 161. 77 00:06:12,860 --> 00:06:19,440 Ancora una volta su quella stessa lista sull'Ayana si potrebbe fare una ricerca di protocolli specifici e 78 00:06:19,440 --> 00:06:23,490 c'è un esempio di TFT DNS è un caso speciale. 79 00:06:23,640 --> 00:06:28,600 È solo il numero di parte 53 che utilizza sia TCAP che UDP. 80 00:06:28,710 --> 00:06:30,980 Quindi sia per scopi di studio che per il mondo reale. 81 00:06:31,020 --> 00:06:36,370 Ricorda che i protocolli come telnet usano la porta 23 e dicono agli utenti TZP. 82 00:06:36,630 --> 00:06:43,190 Mentre per esempio DFT usa la porta 69 usando UDP. 83 00:06:43,200 --> 00:06:48,240 Ora perché dovresti usare ACLC fino a questo punto nel corso che stiamo abilitando l'accesso 84 00:06:48,240 --> 00:06:54,210 tra le diverse parti della rete senza chiudere le interfacce nel routing Bil'in impostando i protocolli di routing 85 00:06:54,210 --> 00:06:58,710 come il tuo lavoro che sai SPF abiliterà l'accesso attraverso la rete . 86 00:06:58,710 --> 00:07:04,010 Tuttavia potresti non voler che tutti siano in grado di accedere ad ogni parte della rete. 87 00:07:04,020 --> 00:07:06,670 Questo è particolarmente vero quando ti connetti a Internet. 88 00:07:06,930 --> 00:07:11,370 Non è necessario che tutti in Internet siano in grado di accedere ai server aziendali o alla 89 00:07:11,370 --> 00:07:12,100 rete aziendale. 90 00:07:12,240 --> 00:07:17,640 Quindi gli elenchi di accesso sono una delle prime linee di difesa per arrestare o negare il traffico da una parte della rete a 91 00:07:17,640 --> 00:07:22,270 un'altra in modo che possano essere utilizzate per consentire o negare il traffico che si muove attraverso un router. 92 00:07:22,520 --> 00:07:28,810 Quindi, ad esempio, potremmo consentire a questo MacBook di accedere a Internet per negare il 93 00:07:28,810 --> 00:07:31,810 traffico da Internet al nostro ambiente aziendale. 94 00:07:31,930 --> 00:07:37,780 Quindi permetteremo o negheremo il traffico su base per interfaccia e quindi negheremo il traffico che si muove 95 00:07:37,780 --> 00:07:39,040 attraverso il router. 96 00:07:39,180 --> 00:07:44,240 È possibile inserire una password su un router Witi su un router per forzare un livello di sicurezza. 97 00:07:44,260 --> 00:07:49,350 Tuttavia si potrebbe dire che solo le sottoreti amministrative Wayne dal momento che questa macchina 98 00:07:49,350 --> 00:07:55,470 su una sottorete amministrativa è autorizzata ad accedere a Viti mentre le linee non consentono l'accesso alle 99 00:07:55,470 --> 00:07:56,510 linee BT. 100 00:07:56,610 --> 00:08:02,900 In questo caso, la lista di accesso non consente nemmeno il traffico telnet o S-sh verso le linee Viti Why 101 00:08:02,910 --> 00:08:03,750 sul router. 102 00:08:04,110 --> 00:08:10,590 Quindi, piuttosto che avere una sola linea di difesa, una password implementa due linee di difesa che consentono solo alcune 103 00:08:10,590 --> 00:08:16,860 sottoreti alle linee Etowah, oltre a mettere una password sulle linee BT y ogni volta che si tratta di 104 00:08:16,860 --> 00:08:17,490 sicurezza. 105 00:08:17,490 --> 00:08:23,080 Devi pensare al rischio che dipende dal rischio che applichi più sicurezza. 106 00:08:23,160 --> 00:08:28,170 In questo caso, si potrebbe ritenere che gli utenti che accedono alle apparecchiature di rete siano ad alto rischio. 107 00:08:28,440 --> 00:08:36,490 Pertanto, si consente solo a determinate subnet di connettersi alle linee BT y o al router o allo switch. 108 00:08:36,530 --> 00:08:41,380 Quindi, ancora una volta con il nostro ACL, tutti i pacchetti potrebbero essere trasmessi a tutte le parti della rete. 109 00:08:41,600 --> 00:08:43,610 E questo potrebbe non essere desiderabile. 110 00:08:43,670 --> 00:08:48,670 Quindi potresti voler negare alcune parti della rete dall'accesso ad altre parti della rete. 111 00:08:48,680 --> 00:08:54,020 L'idea qui è che stai iniziando a implementare la sicurezza bloccando le parti della rete 112 00:08:54,350 --> 00:09:00,380 in modo che non possano essere accessibili da tutti gli individui all'interno e all'esterno della tua organizzazione. 113 00:09:01,270 --> 00:09:07,520 ACLC Come non ho appena usato per consentire o negare il traffico possono essere utilizzati anche per la classificazione quando 114 00:09:08,210 --> 00:09:13,060 si imposta una VPN di base o una rete privata virtuale tra due siti. 115 00:09:13,250 --> 00:09:17,090 Devi dire al router quale traffico deve essere crittografato. 116 00:09:17,210 --> 00:09:23,000 Potresti non volere tutto il traffico crittografato dalla tua LAN locale perché potresti voler 117 00:09:23,000 --> 00:09:31,400 inviare il traffico dalla tua LAN locale a un server Internet non crittografato, ma il traffico dalla tua LAN locale alla 118 00:09:31,400 --> 00:09:37,880 terra sull'altro lato del tunnel VPN deve essere crittografato crei un elenco di accesso che determina quale 119 00:09:37,880 --> 00:09:39,330 traffico è interessante. 120 00:09:39,380 --> 00:09:41,340 In altre parole, deve essere crittografato. 121 00:09:41,630 --> 00:09:48,660 Che traffico non è interessante in altre parole non ha bisogno di essere criptato ACL può anche 122 00:09:48,660 --> 00:09:55,470 essere usato in ridistribuzione dove stai prendendo percorsi da un protocollo di routing e ridistribuendoli o pompandoli 123 00:09:55,470 --> 00:09:58,250 in un altro protocollo di routing. 124 00:09:58,260 --> 00:10:04,680 Quindi potresti non volere che OSPF impari a conoscere tutti i tuoi percorsi GOP e quindi puoi usare gli elenchi 125 00:10:04,680 --> 00:10:11,890 di controllo di accesso per limitare o solo permettere che alcune rotte vengano ridistribuite. Gli elenchi di accesso sono anche usati con la 126 00:10:11,950 --> 00:10:17,770 traduzione degli indirizzi di rete o di rete la lista degli accessi determinerà quali pacchetti necessitano da tradurre 127 00:10:17,770 --> 00:10:20,080 e quali pacchetti non devono essere tradotti. 128 00:10:20,350 --> 00:10:24,670 Quindi dovresti creare una lista in eccesso che permetta solo certe sottoreti che consentirebbero 129 00:10:24,670 --> 00:10:31,180 la traduzione dei pacchetti negati dall'accesso alla lista di accesso a cui non viene negato l'accesso o che non vengono trasferiti 130 00:10:31,210 --> 00:10:39,070 ma non vengono tradotti usando la conversione degli indirizzi di rete o rete quando si usa ACLC per consentire o negare pacchetti che si muovono attraverso 131 00:10:39,070 --> 00:10:40,050 un router. 132 00:10:40,270 --> 00:10:42,020 Ci sono due passaggi principali. 133 00:10:42,490 --> 00:10:49,240 Quindi, in primo luogo nella modalità di configurazione globale, si crea l'elenco di accesso utilizzando l'elenco di accesso comune e 134 00:10:49,240 --> 00:10:51,320 quindi si riempiono varie opzioni. 135 00:10:51,370 --> 00:10:58,120 Pertanto, il comando di accesso viene utilizzato per creare l'elenco di accesso e successivamente si applica l'elenco di accesso in 136 00:10:58,150 --> 00:11:02,110 ingresso e in uscita su un'interfaccia utilizzando il gruppo di accesso. 137 00:11:02,120 --> 00:11:02,890 Andiamo, forza. 138 00:11:03,220 --> 00:11:06,980 Quindi accedere a questo comando crea l'elenco in eccesso Gruppo di accesso. 139 00:11:06,990 --> 00:11:09,350 Dai si lega la lista di accesso. 140 00:11:09,490 --> 00:11:13,330 E quando lo si lega, specificare in entrata o in uscita. 141 00:11:13,330 --> 00:11:17,240 In altre parole, determina la direzione in cui la lista di accesso è vincolata. 142 00:11:17,380 --> 00:11:22,370 È importante notare che un ACL non ha effetto fino a quando non viene applicato da qualche parte. 143 00:11:22,390 --> 00:11:27,700 Pertanto, se si dispone di elenchi di accesso nella configurazione di esecuzione di un router e non sono stati 144 00:11:27,700 --> 00:11:29,160 applicati, non vi sono effetti. 145 00:11:29,170 --> 00:11:35,530 Esistono due passaggi per creare l'elenco di accesso e quindi applicarlo in qualche modo, ad esempio in entrata su 146 00:11:35,530 --> 00:11:35,870 Fosset. 147 00:11:35,880 --> 00:11:38,830 Non è seriamente Zera. 148 00:11:38,890 --> 00:11:46,180 Quindi, ancora una volta, ACR di Imraan viene applicato in ingresso su un'interfaccia che verrà elaborata dall'ICL prima che il 149 00:11:46,180 --> 00:11:47,490 traffico venga instradato. 150 00:11:47,500 --> 00:11:54,610 In altre parole, se ICL nega il traffico e il traffico viene scartato, il router non dovrà elaborare 151 00:11:54,610 --> 00:12:00,450 i pacchetti osservando nella sua tabella di scrittura e determinando l'interfaccia in uscita. 152 00:12:00,490 --> 00:12:06,120 Il pacchetto verrà scartato o eliminato prima che il motore di decomposizione debba elaborarli. 153 00:12:06,250 --> 00:12:11,650 Se sono consentiti, verranno elaborati per la scrittura e il router determinerà l'interfaccia 154 00:12:11,650 --> 00:12:12,950 in uscita. 155 00:12:13,150 --> 00:12:18,250 Se scartato non vi è alcun overhead aggiuntivo sul router perché il router non ha 156 00:12:18,250 --> 00:12:24,160 bisogno di fare una ricerca nella tabella di scrittura per determinare l'interfaccia in uscita elegante se il 157 00:12:24,160 --> 00:12:31,380 traffico è consentito il processo di scrittura farà quindi la ricerca della tabella di scrittura per determinare l'interfaccia in uscita senza 158 00:12:31,410 --> 00:12:32,270 questo ACLC. 159 00:12:32,530 --> 00:12:38,920 La decomposizione viene eseguita per prima, quindi il pacchetto viene indirizzato a un'interfaccia in uscita e, in 160 00:12:38,920 --> 00:12:41,210 base all'ACL, i pacchetti saranno consentiti. 161 00:12:41,350 --> 00:12:48,490 In altre parole, trasmesso o negato, è quindi più efficiente associare un elenco di accesso in ingresso 162 00:12:48,490 --> 00:12:53,820 su un'interfaccia, poiché non è necessario elaborare pacchetti rifiutati o rifiutati. 163 00:12:53,850 --> 00:12:56,040 Mentre il processo di scrittura sul router. 164 00:12:56,350 --> 00:13:03,220 Se viene applicato un ACL in uscita, Rada deve ancora elaborare tutti i pacchetti che possono essere negati 165 00:13:03,280 --> 00:13:05,700 o rilasciati sull'interfaccia in uscita. 166 00:13:05,800 --> 00:13:11,540 Quindi, se possibile, collegare ACLC in ingresso su interfacce anziché in uscita. 167 00:13:11,740 --> 00:13:18,860 O più efficiente l'elaborazione di un elenco di accesso è un elenco sequenziale di istruzioni in cui i pacchetti 168 00:13:19,250 --> 00:13:21,560 vengono valutati dalla prima dichiarazione all'ultimo. 169 00:13:21,560 --> 00:13:24,510 In altre parole, l'elaborazione dall'alto verso il basso. 170 00:13:24,710 --> 00:13:30,680 Se un pacchetto è abbinato da una singola dichiarazione nella lista di accesso, quel pacchetto sarà permesso o negato 171 00:13:30,890 --> 00:13:36,730 a seconda che la parola chiave di autorizzazione o di rifiuto sia usata in quella specifica istruzione. 172 00:13:37,550 --> 00:13:41,890 Tutte le restanti linee della lista di accesso vengono ignorate per quel pacchetto specifico. 173 00:13:42,140 --> 00:13:48,350 Quindi, in altre parole, non appena c'è una corrispondenza su una riga, tutte le righe rimanenti 174 00:13:48,350 --> 00:13:55,320 vengono ignorate se il traffico non corrisponde a quella riga o istruzione specifica, quindi viene controllata la riga successiva nell'ACL. 175 00:13:55,430 --> 00:14:00,920 Quindi la lista Nexxus è una lista sequenziale di affermazioni e la Rada controllerà dalla prima alla fine fino 176 00:14:00,920 --> 00:14:03,030 a quando non avrà una corrispondenza. 177 00:14:03,350 --> 00:14:04,710 Non appena c'è una partita. 178 00:14:04,910 --> 00:14:06,720 Tutte le righe successive sono ignorate. 179 00:14:06,980 --> 00:14:12,260 Se non vi è alcuna corrispondenza per alcuna istruzione nell'ACL, il pacchetto viene eliminato a causa di ciò che 180 00:14:12,260 --> 00:14:16,030 viene chiamato il denit. Implicito alla fine di ogni elenco di accesso. 181 00:14:16,050 --> 00:14:22,610 Esiste un diniego implicito che significa che se non sei esplicitamente autorizzato da un elenco di accessi a 182 00:14:22,610 --> 00:14:30,470 cui viene implicitamente negato tutto il traffico non consentito da qualche parte in tale elenco di accesso con l'uso di una dichiarazione 183 00:14:30,620 --> 00:14:32,150 di permesso verrà eliminato. 184 00:14:32,150 --> 00:14:37,300 Ciò significa quindi che devi avere almeno una dichiarazione di permesso in qualche modo nella lista di pratica. 185 00:14:37,370 --> 00:14:39,730 Altrimenti potresti anche scollegare il cavo. 186 00:14:39,740 --> 00:14:44,180 Ora ci sono due principali piani di accesso a cui ci concentriamo in questo corso. 187 00:14:44,180 --> 00:14:51,500 Il primo è un ACL standard e il secondo è un ACLJ standard ACL esteso che verifica solo gli indirizzi IP 188 00:14:51,500 --> 00:14:52,450 di origine. 189 00:14:52,580 --> 00:14:59,360 Non controllano i singoli numeri di porta o singoli protocolli che consentono o negano l'intera suite 190 00:14:59,360 --> 00:15:04,640 di protocolli basata sull'indirizzo IP di origine o sulla rete di origine. 191 00:15:04,640 --> 00:15:11,180 Nient'altro nell'indirizzo IP sorgente o nella rete sorgente può essere specificato un controllo ACLC esteso 192 00:15:11,180 --> 00:15:17,890 sia sull'indirizzo di origine che di destinazione e consente di consentire o negare protocolli e applicazioni specifici. 193 00:15:17,900 --> 00:15:25,460 In altre parole, è possibile consentire o negare in base a IP TZP UDP ICMP e molti altri protocolli e si può anche consentire o negare 194 00:15:25,460 --> 00:15:31,700 in base ai numeri di porta di origine e ai numeri di porta di destinazione gli elenchi di accesso estesi sono 195 00:15:31,700 --> 00:15:35,540 molto più granulari e tendono ad essere utilizzati in Il mondo reale. 196 00:15:35,780 --> 00:15:40,540 Ma per completezza abbiamo bisogno di coprire sia gli elenchi di accesso standard che quelli estesi in questo corso.