1 00:00:00,750 --> 00:00:01,480 Witamy spowrotem. 2 00:00:01,560 --> 00:00:05,580 Nazywam się David Bumble. do. ja jedenaście tysięcy dwadzieścia trzy. 3 00:00:05,580 --> 00:00:07,980 W tym dziale zajmiemy się listami X-ists. 4 00:00:08,100 --> 00:00:12,540 Chciałbym pokazać, jak zaimplementować zabezpieczenia za pomocą list kontroli dostępu, 5 00:00:12,540 --> 00:00:17,100 które są jednym z podstawowych elementów do implementacji zabezpieczeń w sieci Cisco. 6 00:00:17,100 --> 00:00:22,440 Obecnie istnieje wiele sposobów wdrażania zabezpieczeń, ale listy dostępu są jednym z najbardziej fundamentalnych i 7 00:00:22,590 --> 00:00:25,020 wiele nowych technologii bazuje na nich. 8 00:00:25,020 --> 00:00:30,060 Dlatego ważne jest, aby dobrze zrozumieć, jak działają listy dostępu i jak je wdrożyć. 9 00:00:31,520 --> 00:00:34,130 Możemy więc przyjrzeć się celom list kontroli dostępu. 10 00:00:34,220 --> 00:00:37,090 Chciałbym wam pokazać, jak są związani z interfejsami. 11 00:00:37,170 --> 00:00:40,190 Obowiązują albo przychodzące, albo wychodzące. 12 00:00:40,190 --> 00:00:45,740 Chciałbym pokazać różne wierzchołki list dostępu, w tym listy z numerami X-ists o nazwach 13 00:00:46,070 --> 00:00:50,670 X-ists, jak również stać na rozszerzonych listach kontroli dostępu lub ACLC. 14 00:00:50,960 --> 00:00:57,710 Chciałbym wyjaśnić, co robi mecz z dziką kartą i jak dopasować poszczególne hosty do 15 00:00:57,710 --> 00:01:00,680 wszystkich hostów przez zmianę meczetu wieloznacznego. 16 00:01:00,680 --> 00:01:07,620 Chciałbym również wyjaśnić odruchowy i dynamiczny ACLC oparty na htan, zanim przejdę do dyskusji na temat list 17 00:01:07,620 --> 00:01:09,700 kontroli dostępu lub ACLC. 18 00:01:09,900 --> 00:01:12,750 Przeanalizujmy niektóre informacje pokryte lodem na kursie D1. 19 00:01:13,200 --> 00:01:17,310 Nie będzie można wdrożyć listy ACL bez dobrego zrozumienia protokołów. 20 00:01:17,310 --> 00:01:23,130 Numery portów i inne opcje są dostępne w stosie protokołu TCAP Ah-Q i innych protokołach. 21 00:01:23,130 --> 00:01:29,130 Jeśli masz je uruchomione w swojej sieci, zobacz jako przykład, jeśli mamy komputer łączący 22 00:01:29,130 --> 00:01:36,630 się z serwerem, a komputer łączy się przy użyciu HGP, a ruch jest taki sam na routerze sieciowym, zobaczysz 23 00:01:36,630 --> 00:01:42,890 pakiet o adresie źródłowym 10 1 1 1 ze źródłowym numerem portu większym niż 1023. 24 00:01:43,050 --> 00:01:45,870 W tym przykładzie powiedzmy 1024. 25 00:01:45,870 --> 00:01:51,900 W tym przypadku, ponieważ korzystasz z protokołu UDP, będzie to dobrze znany numer portu 80, więc docelowy adres 26 00:01:51,900 --> 00:01:56,410 IP to 10 1 do 1, a docelowy numer portu to 80. 27 00:01:56,490 --> 00:02:01,890 Teraz z listą dostępu kierunek ma ogromne znaczenie dla tego interfejsu. 28 00:02:01,890 --> 00:02:08,780 Szczur odbiera pakiet przychodzący, ale na tym interfejsie pakiet jest wysyłany wychodzący. 29 00:02:08,790 --> 00:02:11,810 Ważne jest, aby spojrzeć na to z najdawniejszego punktu widzenia. 30 00:02:11,940 --> 00:02:16,190 Pakiet przychodzi przychodzący i wysyłany jest wychodzący. 31 00:02:16,200 --> 00:02:21,570 Innymi słowy, jeśli skonfigurujesz wychodzącą listę dostępu na pozornym, nie wpłynie to na 32 00:02:21,570 --> 00:02:24,020 ruch z komputera na serwer. 33 00:02:24,240 --> 00:02:29,230 Ponieważ jestem na liście dostępu tylko sprawdza ruch wychodzący z buddyjskiego punktu widzenia. 34 00:02:29,520 --> 00:02:34,950 Więc jeśli skonfigurowałeś Listę Kontroli Dostępu Wejściowego po lewej stronie, pakiety musiałyby przejść tę listę 35 00:02:34,950 --> 00:02:39,960 kontrolną wyjścia, zanim będzie ona dozwolona, i jeszcze raz, jeśli skonfigurujesz ją na 36 00:02:39,960 --> 00:02:45,870 liście Kontroli Dostępu na tym interfejsie, samed musiałby przejść przez listę dostępu będzie dozwolone przez listę 37 00:02:45,870 --> 00:02:46,660 dostępu. 38 00:02:46,680 --> 00:02:48,410 W przeciwnym razie ruch zostanie przerwany. 39 00:02:49,460 --> 00:02:55,130 Gdy usługa, ponieważ ruch w odpowiedzi adres źródłowy będzie teraz dziesięć jeden do 40 00:02:55,130 --> 00:03:03,240 jednego z portem źródłowym 80, docelowy adres IP będzie 10 1 1 1 i docelowy numer portu będzie 1024. 41 00:03:03,260 --> 00:03:09,500 W tym przypadku lista dostępu wychodzącego na tym interfejsie zacznie obowiązywać cały ruch z serwera 42 00:03:09,500 --> 00:03:13,630 na komputer, ponieważ ruch wychodzący z punktu widzenia routera. 43 00:03:13,880 --> 00:03:19,220 Tak więc doskonały skonfigurowany ruch wychodzący i ten interfejs naprawiłby ten ruch, a ten ruch 44 00:03:19,220 --> 00:03:25,490 musiałby przejść kryteria ustawione na liście dostępu, zanim zezwolono na to samo tokenowi, że lista dostępu przychodzącego w 45 00:03:25,520 --> 00:03:30,410 tym interfejsie wpłynęłaby na ruch i ruch miałby do spełnienia kryteriów określonych na 46 00:03:30,410 --> 00:03:31,980 tej liście kontroli dostępu. 47 00:03:33,110 --> 00:03:34,640 Tak, kolejny przykład. 48 00:03:34,790 --> 00:03:39,320 Ten MacBook łączy się, aby przełączyć się przez router. 49 00:03:39,560 --> 00:03:43,960 W związku z tym załóżmy, że MacBook wybrał port 50000. 50 00:03:44,030 --> 00:03:49,460 Adres źródłowy wszystkich klatek z MacBooka do przełącznika będzie wynosił 10 jeden na jeden 51 00:03:49,460 --> 00:03:51,100 z portem źródłowym 50000. 52 00:03:51,140 --> 00:03:56,260 Miejsce docelowe będzie wynosić 10 1 do 1 z portem docelowym nr 23. 53 00:03:56,540 --> 00:04:02,750 Tak więc po raz kolejny z jego punktu widzenia odbiera ramki na tym interfejsie z pewnego rodzaju 54 00:04:02,750 --> 00:04:08,720 oswajaniem jednego na jednym źródłu za pięćdziesiąt tysięcy i transmituje te pakiety z tego interfejsu z tymi 55 00:04:08,720 --> 00:04:09,790 samymi szczegółami. 56 00:04:10,530 --> 00:04:17,640 Pakiety wysłane w odpowiedzi z powodu zmiany adresu źródłowego portu źródłowego od 10 1 do 1 na 23 i 57 00:04:17,670 --> 00:04:22,080 docelowego adresu IP 10 1 1 1 portu docelowego na 50000. 58 00:04:22,080 --> 00:04:28,170 Ponownie ważne jest, abyś zrozumiał swoje protokoły i numery portów, ponieważ bez tego zrozumienia 59 00:04:28,590 --> 00:04:35,130 nie będziesz w stanie skonfigurować ACLC, zawsze spoglądaj w kierunku ruchu, aby ustalić, czy nadmiar 60 00:04:35,130 --> 00:04:40,990 nie powinien być blokowany w ruchu przychodzącym czy wychodzącym na określonych interfejsach. 61 00:04:41,050 --> 00:04:45,470 Oto kilka przykładów dobrze znanych protokołów TZP z odpowiednimi numerami portów. 62 00:04:45,710 --> 00:04:55,760 Jeśli DP używa portu 21 do kontroli, a 24 dane telnet używa portu 23, to znaczy, że używa portu 22. 63 00:04:56,210 --> 00:04:56,930 To jest puste. 64 00:04:56,930 --> 00:05:00,710 Użyj portu 25 HVD Pease'a portu 80. 65 00:05:00,930 --> 00:05:03,020 POP 3 używa portu 1 1 0. 66 00:05:03,160 --> 00:05:05,910 Port SS Elissa 443. 67 00:05:06,050 --> 00:05:12,190 Oto przykłady dobrze znanych numerów portów TZP, które należy zapamiętać w prawdziwym świecie. 68 00:05:12,230 --> 00:05:19,520 Po prostu wyśledź moje numery portów, aby wyświetlić listę numerów internetowych przypisanych do 30 numerów portów. 69 00:05:19,520 --> 00:05:24,540 Kod I odpowiada za numery portów i określa przydział. 70 00:05:24,650 --> 00:05:27,520 Jako przykład wystarczy wpisać numery portów, 71 00:05:30,280 --> 00:05:35,730 a twoje pierwsze trafienie będzie listą numerów sądowych i wyjaśnią całkiem ładnie. 72 00:05:36,630 --> 00:05:44,890 O znanych numerach portów zarejestrowano numery portów oraz numery portów dynamicznych i prywatnych. 73 00:05:45,130 --> 00:05:52,060 Na przykład, jeśli wykonasz wyszukiwanie lub telnet, zobaczysz, który numer portu używa telnet. 74 00:05:52,170 --> 00:05:57,180 Ma niezłą listę, jeśli nie masz pewności, które numery portów są używane przez określone protokoły. 75 00:05:58,130 --> 00:06:02,080 Oto przykład protokołów wykorzystujących protokół UDP i bazujących na numerach portów. 76 00:06:02,110 --> 00:06:12,570 Na przykład, DHP używa portu numer 67 i 68 portu TFT Pease'a 69, a MP używa portu 161. 77 00:06:12,860 --> 00:06:19,440 Po raz kolejny na tej samej liście w Ayanie można wyszukiwać określone protokoły 78 00:06:19,440 --> 00:06:23,490 i jest przykład TFT DNS jest szczególnym przypadkiem. 79 00:06:23,640 --> 00:06:28,600 Jest to tylko numer części 53, który używa zarówno TCAP, jak i UDP. 80 00:06:28,710 --> 00:06:30,980 Tak więc zarówno dla celów studyjnych, jak i dla świata rzeczywistego. 81 00:06:31,020 --> 00:06:36,370 Pamiętaj, że protokoły takie jak telnet użyj portu 23 i powiedz użytkownikom TZP. 82 00:06:36,630 --> 00:06:43,190 Podczas gdy na przykład DFT używa portu 69 przy użyciu UDP. 83 00:06:43,200 --> 00:06:48,240 Dlaczego do tej pory używałeś ACLC w ramach kursu, w którym umożliwiamy dostęp 84 00:06:48,240 --> 00:06:54,210 pomiędzy różnymi częściami sieci, bez blokowania interfejsów przechodzących w routing Bil'in, ustawiając protokoły routingu, takie jak 85 00:06:54,210 --> 00:06:58,710 praca, którą znasz SPF umożliwi dostęp w całej sieci . 86 00:06:58,710 --> 00:07:04,010 Jednak możesz nie chcieć, aby wszyscy mieli dostęp do każdej części sieci. 87 00:07:04,020 --> 00:07:06,670 Jest to szczególnie ważne, gdy łączysz się z Internetem. 88 00:07:06,930 --> 00:07:11,370 Niekoniecznie wszyscy użytkownicy Internetu muszą mieć dostęp do serwerów firmowych lub sieci 89 00:07:11,370 --> 00:07:12,100 korporacyjnej. 90 00:07:12,240 --> 00:07:17,640 Listy dostępu są więc jedną z pierwszych linii obrony, która zatrzymuje lub blokuje ruch z jednej części sieci 91 00:07:17,640 --> 00:07:22,270 do drugiej, aby można było ich używać do zezwolenia lub odmowy ruchu w ruterze. 92 00:07:22,520 --> 00:07:28,810 Jako przykład możemy pozwolić temu MacBookowi na uzyskanie dostępu do Internetu, ponieważ możemy odmówić ruchu 93 00:07:28,810 --> 00:07:31,810 z Internetu do naszego środowiska korporacyjnego. 94 00:07:31,930 --> 00:07:37,780 Więc pozwolilibyśmy lub odmawiali ruchu na podstawie interfejsu i tym samym odmawiali ruchu przechodzącego 95 00:07:37,780 --> 00:07:39,040 przez router. 96 00:07:39,180 --> 00:07:44,240 Możesz umieścić hasło na linii przewodowej Viti na routerze, aby wymusić poziom bezpieczeństwa. 97 00:07:44,260 --> 00:07:49,350 Można jednak powiedzieć, że tylko podsieci administracyjne Wayne, ponieważ ten komputer w podsieci administracyjnej 98 00:07:49,350 --> 00:07:55,470 może uzyskać dostęp do Viti podczas linii, podczas gdy ta maszyna nie ma dostępu do linii 99 00:07:55,470 --> 00:07:56,510 przewodowych BT. 100 00:07:56,610 --> 00:08:02,900 W takim przypadku lista dostępu nie zezwoli nawet na ruch telnet lub S-sz na liniach Viti Why 101 00:08:02,910 --> 00:08:03,750 na routerze. 102 00:08:04,110 --> 00:08:10,590 Więc zamiast mieć tylko jedną linię obrony hasło, implementujesz dwie linie obrony, zezwalając tylko na pewne 103 00:08:10,590 --> 00:08:16,860 podsieci na linie Etowah, a także umieszczając hasło na liniach BT, jeśli chodzi o 104 00:08:16,860 --> 00:08:17,490 bezpieczeństwo. 105 00:08:17,490 --> 00:08:23,080 Musisz myśleć o ryzyku zależnym od ryzyka, w które wprowadzisz więcej zabezpieczeń. 106 00:08:23,160 --> 00:08:28,170 W takim przypadku można uznać, że użytkownicy mają zbyt wysoki dostęp do sprzętu sieciowego. 107 00:08:28,440 --> 00:08:36,490 Dzięki temu możesz tylko zezwalać niektórym podsieciom na łączenie się z liniami BT y lub routerem lub przełącznikiem. 108 00:08:36,530 --> 00:08:41,380 Tak więc po raz kolejny z naszą listą ACL wszystkie pakiety mogą być przesyłane do wszystkich części sieci. 109 00:08:41,600 --> 00:08:43,610 A to może nie być pożądane. 110 00:08:43,670 --> 00:08:48,670 Więc możesz chcieć odmówić niektórym częściom sieci dostępu do innych części sieci. 111 00:08:48,680 --> 00:08:54,020 Cała idea polega na tym, że zaczynasz wdrażać zabezpieczenia blokujące części 112 00:08:54,350 --> 00:09:00,380 sieci, aby nie były dostępne dla wszystkich osób wewnątrz i na zewnątrz organizacji. 113 00:09:01,270 --> 00:09:07,520 ACLC Jak nie tylko wykorzystałem do zezwolenia lub odmowy ruchu, mogą być również używane do klasyfikacji 114 00:09:08,210 --> 00:09:13,060 podczas konfigurowania podstawowej sieci VPN lub wirtualnej sieci prywatnej między dwiema witrynami. 115 00:09:13,250 --> 00:09:17,090 Musisz poinformować router, który ruch należy zaszyfrować. 116 00:09:17,210 --> 00:09:23,000 Możesz nie chcieć, aby cały ruch był szyfrowany z lokalnej sieci LAN, ponieważ możesz 117 00:09:23,000 --> 00:09:31,400 chcieć, aby ruch z lokalnej sieci LAN na serwer internetowy był wysyłany w sposób niezaszyfrowany, ale ruch z lokalnej sieci LAN 118 00:09:31,400 --> 00:09:37,880 do lądu po drugiej stronie tunelu VPN musi być zaszyfrowany, aby tworzysz listę dostępu określającą, jaki 119 00:09:37,880 --> 00:09:39,330 ruch jest interesujący. 120 00:09:39,380 --> 00:09:41,340 Innymi słowy należy zaszyfrować. 121 00:09:41,630 --> 00:09:48,660 Jaki ruch nie jest interesujący, innymi słowy, nie musi być szyfrowany ACL może być również 122 00:09:48,660 --> 00:09:55,470 użyty w redystrybucji, w której przechodzisz trasy z jednego protokołu routingu i redystrybuujesz je lub 123 00:09:55,470 --> 00:09:58,250 pompujesz do innego protokołu routingu. 124 00:09:58,260 --> 00:10:04,680 Więc możesz nie chcieć, aby protokół OSPF dowiadywał się o wszystkich twoich trasach GOP i dlatego możesz 125 00:10:04,680 --> 00:10:11,890 używać list kontroli dostępu do ograniczania lub zezwalania tylko na przekierowywanie określonych tras Listy dostępu są również używane z 126 00:10:11,950 --> 00:10:17,770 translacją adresów sieciowych lub sieciowych lista dostępu określi, które pakiety potrzebują do przetłumaczenia i które 127 00:10:17,770 --> 00:10:20,080 pakiety nie muszą być tłumaczone. 128 00:10:20,350 --> 00:10:24,670 Tak więc utworzysz nadmiarową listę zezwalającą tylko na określone podsieci, które 129 00:10:24,670 --> 00:10:31,180 pozwolą na translację tych pakietów, a pakiety odrzucone przez listę dostępu nie zostaną odmówione dostępu lub zostaną 130 00:10:31,210 --> 00:10:39,070 odrzucone, ale nie zostaną przetłumaczone przy użyciu translatora adresów sieciowych lub sieci, gdy używasz ACLC do zezwolenia lub odmowy pakiety przechodzące 131 00:10:39,070 --> 00:10:40,050 przez router. 132 00:10:40,270 --> 00:10:42,020 Są dwa główne kroki. 133 00:10:42,490 --> 00:10:49,240 Tak więc, po pierwsze, w trybie konfiguracji globalnej tworzysz listę dostępu za pomocą wspólnej listy dostępu, a 134 00:10:49,240 --> 00:10:51,320 następnie wypełniając różne opcje. 135 00:10:51,370 --> 00:10:58,120 Komenda dostępu służy do utworzenia listy dostępu, a następnie do zastosowania listy dostępu przychodzącej 136 00:10:58,150 --> 00:11:02,110 i wychodzącej w interfejsie za pomocą grupy dostępu. 137 00:11:02,120 --> 00:11:02,890 No chodź. 138 00:11:03,220 --> 00:11:06,980 Tak więc uzyskaj dostęp do tego polecenia, tworząc nadmiarową listę Access Group. 139 00:11:06,990 --> 00:11:09,350 C'mon wiąże listę dostępu. 140 00:11:09,490 --> 00:11:13,330 A kiedy go powiążesz, określ przychodzące lub wychodzące. 141 00:11:13,330 --> 00:11:17,240 Innymi słowy określając kierunek, w którym powiązana jest lista dostępu. 142 00:11:17,380 --> 00:11:22,370 Należy pamiętać, że lista ACL nie działa, dopóki nie zostanie zastosowana gdzieś. 143 00:11:22,390 --> 00:11:27,700 Więc jeśli masz listę dostępu w uruchomionej konfiguracji routera i nie zostały one zastosowane, nie 144 00:11:27,700 --> 00:11:29,160 mają one żadnego efektu. 145 00:11:29,170 --> 00:11:35,530 Istnieją dwa kroki, aby utworzyć listę dostępu, a następnie zastosować ją w pewien sposób, na przykład w ruchu przychodzącym na serwerze 146 00:11:35,530 --> 00:11:35,870 Fosset. 147 00:11:35,880 --> 00:11:38,830 Czy to nie jest poważnie Zera. 148 00:11:38,890 --> 00:11:46,180 Więc po raz kolejny Imraan ACLC są stosowane przychodzące na interfejsie ICL zostaną przetworzone przed 149 00:11:46,180 --> 00:11:47,490 ruchem drogowym. 150 00:11:47,500 --> 00:11:54,610 Innymi słowy, jeśli ICL odrzuca ruch, a ruch jest odrzucany, router nie będzie musiał 151 00:11:54,610 --> 00:12:00,450 przetwarzać pakietów, sprawdzając w swojej tablicy pisania i określając interfejs wychodzący. 152 00:12:00,490 --> 00:12:06,120 Pakiet zostanie odrzucony lub upuszczony, zanim gnijący silnik będzie musiał je przetworzyć. 153 00:12:06,250 --> 00:12:11,650 Jeśli są one dozwolone, zostaną przetworzone do zapisu, a router określi 154 00:12:11,650 --> 00:12:12,950 interfejs wychodzący. 155 00:12:13,150 --> 00:12:18,250 Jeśli zostanie odrzucony, nie ma dodatkowego obciążenia na routerze, ponieważ router nie 156 00:12:18,250 --> 00:12:24,160 musi wykonywać przeszukiwania tablicy pisarskiej, aby określić wdzięczny interfejs wychodzący, jeśli dozwolony jest 157 00:12:24,160 --> 00:12:31,380 ruch, proces zapisu będzie następnie wykonywał wyszukiwanie tablicy pisanej w celu określenia interfejsu wychodzącego bez że 158 00:12:31,410 --> 00:12:32,270 ACLC. 159 00:12:32,530 --> 00:12:38,920 Gnicie jest wykonywane najpierw, a następnie pakiet jest kierowany do interfejsu wychodzącego, a następnie na podstawie 160 00:12:38,920 --> 00:12:41,210 listy ACL pakiety będą dozwolone. 161 00:12:41,350 --> 00:12:48,490 Innymi słowy, przesyłanie lub odmawianie jest skuteczniejsze w wiązaniu listy wejściowej listy dostępu w 162 00:12:48,490 --> 00:12:53,820 interfejsie, ponieważ pakiety odrzucane lub odrzucane nie muszą być przetwarzane. 163 00:12:53,850 --> 00:12:56,040 Podczas pisania na routerze. 164 00:12:56,350 --> 00:13:03,220 Jeśli ACL jest stosowana wychodząca, Rada nadal musi przetworzyć wszystkie pakiety, które mogą następnie zostać odrzucone 165 00:13:03,280 --> 00:13:05,700 lub odrzucone na interfejsie wychodzącym. 166 00:13:05,800 --> 00:13:11,540 Jeśli to możliwe, powiąż przychodzące ACLC na interfejsach zamiast wychodzących. 167 00:13:11,740 --> 00:13:18,860 Lub bardziej wydajne przetwarzanie listy dostępu jest sekwencyjną listą instrukcji, w której pakiety są oceniane 168 00:13:19,250 --> 00:13:21,560 od pierwszej do ostatniej. 169 00:13:21,560 --> 00:13:24,510 Innymi słowy, istnieje przetwarzanie z góry. 170 00:13:24,710 --> 00:13:30,680 Jeśli pakiet jest dopasowany przez indywidualną instrukcję na liście dostępu, to pakiet będzie dozwolony lub zabroniony w 171 00:13:30,890 --> 00:13:36,730 zależności od tego, czy słowo kluczowe zezwolenie lub odmowa zostało użyte w tym konkretnym oświadczeniu. 172 00:13:37,550 --> 00:13:41,890 Wszystkie pozostałe wiersze listy dostępu są ignorowane dla tego konkretnego pakietu. 173 00:13:42,140 --> 00:13:48,350 Innymi słowy, gdy tylko linia zostanie dopasowana, wszystkie pozostałe linie są ignorowane, jeśli 174 00:13:48,350 --> 00:13:55,320 ruch nie pasuje do konkretnej linii lub instrukcji, wtedy następna linia w liście ACL jest sprawdzana. 175 00:13:55,430 --> 00:14:00,920 Tak więc lista Nexxus jest sekwencyjną listą zdań, a Rada sprawdzi od pierwszej do ostatniej 176 00:14:00,920 --> 00:14:03,030 linii, dopóki nie zostanie dopasowana. 177 00:14:03,350 --> 00:14:04,710 Jak tylko pojawi się mecz. 178 00:14:04,910 --> 00:14:06,720 Wszystkie kolejne wiersze są ignorowane. 179 00:14:06,980 --> 00:14:12,260 Jeśli nie pasuje do żadnej instrukcji w liście ACL, pakiet jest usuwany z powodu czegoś, 180 00:14:12,260 --> 00:14:16,030 co nazywa się niejawnym denie na końcu każdej listy dostępu. 181 00:14:16,050 --> 00:14:22,610 Istnieje domniemana odmowa, która oznacza, że jeśli nie jesteś wyraźnie dozwolona przez listę dostępu, niejawnie 182 00:14:22,610 --> 00:14:30,470 odmawiasz dostępu do wszystkich ruchu, a nie jest to dozwolone gdzieś na tej liście dostępu przy użyciu oświadczenia o 183 00:14:30,620 --> 00:14:32,150 zezwoleniu zostanie usunięte. 184 00:14:32,150 --> 00:14:37,300 Oznacza to, że musisz mieć co najmniej jedno zezwolenie w jakiś sposób na liście praktyk. 185 00:14:37,370 --> 00:14:39,730 W przeciwnym razie możesz równie dobrze odłączyć kabel. 186 00:14:39,740 --> 00:14:44,180 Teraz są dwa główne wierzchołki list dostępu, na których koncentrujemy się w tym kursie. 187 00:14:44,180 --> 00:14:51,500 Pierwsza to standardowa lista ACL, a druga to rozszerzona kontrola ACLJ tylko na źródłowych adresach 188 00:14:51,500 --> 00:14:52,450 IP. 189 00:14:52,580 --> 00:14:59,360 Nie sprawdzają indywidualnych numerów portów ani pojedynczych protokołów, które zezwalają lub odmawiają całego 190 00:14:59,360 --> 00:15:04,640 zestawu protokołów na podstawie źródłowego adresu IP lub sieci źródłowej. 191 00:15:04,640 --> 00:15:11,180 Nic innego w źródłowym adresie IP lub sieci źródłowej nie może być określone rozszerzone ACLC 192 00:15:11,180 --> 00:15:17,890 sprawdzanie zarówno adres źródłowy i docelowy i pozwala na zezwalanie lub odmawianie określonych protokołów i aplikacji. 193 00:15:17,900 --> 00:15:25,460 Innymi słowy, możesz zezwolić lub odmówić na podstawie protokołu IP TZP UDP ICMP i wielu innych protokołów, a także możesz zezwalać lub 194 00:15:25,460 --> 00:15:31,700 odmawiać na podstawie numerów portów źródłowych i numerów portów docelowych Rozszerzone listy dostępu są dla nich o wiele 195 00:15:31,700 --> 00:15:35,540 bardziej szczegółowe i mają tendencję do używania w realny świat. 196 00:15:35,780 --> 00:15:40,540 Jednak aby uzyskać kompletność, musimy uwzględnić zarówno standardowe, jak i rozszerzone listy dostępu w tym kursie.