1 00:00:00,750 --> 00:00:01,480 Bine ai revenit. 2 00:00:01,560 --> 00:00:05,580 Numele meu este David Bumble s. c. i unsprezece mii douăzeci și trei. 3 00:00:05,580 --> 00:00:07,980 Și în această secțiune vom examina listele X-urilor. 4 00:00:08,100 --> 00:00:12,540 Aș dori să vă arăt cum să implementați securitatea utilizând listele de control al accesului, 5 00:00:12,540 --> 00:00:17,100 care sunt una dintre cele mai elementare elemente de construcție pentru implementarea securității în rețeaua Cisco. 6 00:00:17,100 --> 00:00:22,440 Aceste zile există mai multe moduri de implementare a securității, dar listele de acces sunt una dintre cele mai fundamentale și 7 00:00:22,590 --> 00:00:25,020 o mulțime de tehnologii noi se bazează pe ele. 8 00:00:25,020 --> 00:00:30,060 Deci, este important să înțelegeți cum funcționează listele de acces și cum să le implementați. 9 00:00:31,520 --> 00:00:34,130 Așadar, ne putem uita la scopul listelor de control al accesului. 10 00:00:34,220 --> 00:00:37,090 Aș vrea să vă arăt cum sunt legați de interfețe. 11 00:00:37,170 --> 00:00:40,190 Ele sunt fie legat de intrare sau de ieșire. 12 00:00:40,190 --> 00:00:45,740 Aș dori să vă arăt diferite topuri de liste de acces, inclusiv liste numite X-uri, numite liste 13 00:00:46,070 --> 00:00:50,670 X-uri, precum și stații într-o listă de control extins de acces sau ACLC. 14 00:00:50,960 --> 00:00:57,710 Aș vrea să vă explic ceea ce face o moschee cu cărți sălbatice și cum puteți potrivi subnetwork-urile individuale 15 00:00:57,710 --> 00:01:00,680 ale tuturor gazdelor, schimbând moscheea cu machete. 16 00:01:00,680 --> 00:01:07,620 Aș dori, de asemenea, să vă explic ACLC reflexiv și dinamic bazat pe htan Acum, înainte de a intra într-o discuție despre listele 17 00:01:07,620 --> 00:01:09,700 de control al accesului sau ACLC. 18 00:01:09,900 --> 00:01:12,750 Să examinăm unele informații acoperite cu gheață în cursul D1. 19 00:01:13,200 --> 00:01:17,310 Nu veți putea implementa ACL fără o bună înțelegere a protocoalelor. 20 00:01:17,310 --> 00:01:23,130 Numerele porturilor și alte opțiuni sunt disponibile în stiva de protocoale TCAP Ah-Q și în alte protocoale. 21 00:01:23,130 --> 00:01:29,130 Dacă le rulați în rețeaua dvs. vedeți ca exemplu dacă avem un PC conectat la un 22 00:01:29,130 --> 00:01:36,630 server și PC-ul se conectează folosind HGP și că traficul este același pe întreaga rețea de router se va vedea un 23 00:01:36,630 --> 00:01:42,890 pachet cu o adresă sursă de 10 1 1 1 cu numărul portului sursă mai mare de 1023. 24 00:01:43,050 --> 00:01:45,870 Deci, în acest exemplu să spunem 1024. 25 00:01:45,870 --> 00:01:51,900 În acest caz, deoarece utilizați UDP, mergeți la numărul de port bine-cunoscut 80, astfel încât adresa IP de 26 00:01:51,900 --> 00:01:56,410 destinație este 10 1 la 1, iar numărul portului de destinație este 80. 27 00:01:56,490 --> 00:02:01,890 Acum, cu direcția listelor de acces este foarte importantă această interfață. 28 00:02:01,890 --> 00:02:08,780 Șobolanul recepționează pachetul de intrare, dar pe această interfață pachetul este transmis în exterior. 29 00:02:08,790 --> 00:02:11,810 Este important să vă uitați la acest lucru din punctul de vedere cel mai rău. 30 00:02:11,940 --> 00:02:16,190 Pachetul sosește și este expediat. 31 00:02:16,200 --> 00:02:21,570 Deci, cu alte cuvinte, dacă configurați o listă de accesuri pe care se pare că o va face, nu ar avea 32 00:02:21,570 --> 00:02:24,020 niciun efect asupra traficului de la PC la server. 33 00:02:24,240 --> 00:02:29,230 Pentru că am ieșit din lista de acces doar verifică traficul din punct de vedere budist. 34 00:02:29,520 --> 00:02:34,950 Așadar, dacă ați configurat o listă de control de acces primită pe pachetele de pe partea stângă, ar trebui 35 00:02:34,950 --> 00:02:39,960 să treacă lista de control de ieșire înainte de a fi autorizată și din nou, dacă o configurați 36 00:02:39,960 --> 00:02:45,870 pe lista de control acces pe această interfață, samed ar trebui să treacă lista de acces va fi permisă de lista 37 00:02:45,870 --> 00:02:46,660 de acces. 38 00:02:46,680 --> 00:02:48,410 În caz contrar, traficul va fi abandonat. 39 00:02:49,460 --> 00:02:55,130 Când serviciul de trafic din replică, adresa sursă va avea acum zece la unu cu un 40 00:02:55,130 --> 00:03:03,240 port sursă de 80 și adresa IP de destinație va fi 10 1 1 1, iar numărul portului de destinație va fi 1024. 41 00:03:03,260 --> 00:03:09,500 În acest caz, o listă de acces de ieșire pe această interfață va intra în vigoare tot traficul de la 42 00:03:09,500 --> 00:03:13,630 server la PC, deoarece traficul va ieși din punctul de vedere al routerului. 43 00:03:13,880 --> 00:03:19,220 Deci, un excelent configurat de ieșire și această interfață ar fi fixat acest trafic și acest trafic ar 44 00:03:19,220 --> 00:03:25,490 trebui să treacă criteriile stabilite în lista de acces înainte de a fi permis de același token, o listă de acces 45 00:03:25,520 --> 00:03:30,410 pe această interfață ar afecta traficul și traficul ar fi să treacă criteriile stabilite în respectiva 46 00:03:30,410 --> 00:03:31,980 listă de control al accesului. 47 00:03:33,110 --> 00:03:34,640 Da un alt exemplu. 48 00:03:34,790 --> 00:03:39,320 Acest MacBook este telnetting pentru a schimba unul prin router. 49 00:03:39,560 --> 00:03:43,960 Deci, din motive de argument, să presupunem că MacBook alege portul 50000. 50 00:03:44,030 --> 00:03:49,460 Sursa de adrese toate ramele de la MacBook la comutator ar fi 10 unul pe unul cu 51 00:03:49,460 --> 00:03:51,100 portul sursă de 50000. 52 00:03:51,140 --> 00:03:56,260 Destinația ar fi 10 1 la 1 cu numărul portului de destinație 23. 53 00:03:56,540 --> 00:04:02,750 Deci, încă o dată, din punctul său de vedere, recepționează cadre pe această interfață cu un fel 54 00:04:02,750 --> 00:04:08,720 de îmbogățire pe o sursă de cincizeci de mii și transmite acele pachete din această interfață cu 55 00:04:08,720 --> 00:04:09,790 aceleași detalii. 56 00:04:10,530 --> 00:04:17,640 Pachetele trimise în răspuns de la comutarea unei adrese sursă de 10 1 la 1 port sursă de 23 și o adresă 57 00:04:17,670 --> 00:04:22,080 IP de destinație de 10 1 1 1 portul de destinație de 50000. 58 00:04:22,080 --> 00:04:28,170 Încă o dată, este important să înțelegeți protocoalele și numerele de porturi, deoarece fără această 59 00:04:28,590 --> 00:04:35,130 înțelegere nu veți putea configura ACLC întotdeauna să priviți direcția traficului pentru a determina dacă un 60 00:04:35,130 --> 00:04:40,990 exces ar trebui să fie interzis la intrarea sau ieșirea pe interfețe specifice. 61 00:04:41,050 --> 00:04:45,470 Sunteți câteva exemple de câteva protocoale cunoscute TZP cu numerele de porturi relevante. 62 00:04:45,710 --> 00:04:55,760 Dacă DP utilizează portul 21 pentru control și 24 de date telnet folosește portul 23, shell-ul bolnav utilizează portul 22. 63 00:04:56,210 --> 00:04:56,930 E gol. 64 00:04:56,930 --> 00:05:00,710 Utilizați portul 25 al portului HVD Pease 80. 65 00:05:00,930 --> 00:05:03,020 POP 3 utilizează portul 1 1 0. 66 00:05:03,160 --> 00:05:05,910 Portul SS Elissa 443. 67 00:05:06,050 --> 00:05:12,190 Deci, acestea sunt exemple ale unor numere binecunoscute ale porturilor TZP pe care ar trebui să le rețineți pentru lumea reală. 68 00:05:12,230 --> 00:05:19,520 Doar Google meu de pe numerele de port pentru a vedea o listă de Internet atribui numere de 30 de numere de port. 69 00:05:19,520 --> 00:05:24,540 Cei de la mine sunt responsabili de numerele porturilor și determină alocarea. 70 00:05:24,650 --> 00:05:27,520 Ca exemplu, doar tastați pe numerele de port 71 00:05:30,280 --> 00:05:35,730 și prima dvs. lovitură va fi o listă cu numerele de instanță și le explică destul de frumos. 72 00:05:36,630 --> 00:05:44,890 Despre numerele de port bine-cunoscute au înregistrat numere de porturi și numere de porturi dinamice și private. 73 00:05:45,130 --> 00:05:52,060 De exemplu, dacă faceți doar o căutare sau telnet, veți vedea ce număr de port utilizează telnet. 74 00:05:52,170 --> 00:05:57,180 El are o listă drăguță dacă nu sunteți sigur ce numere de port sunt folosite de protocoalele specifice. 75 00:05:58,130 --> 00:06:02,080 Iată un exemplu de protocoale care utilizează UDP și se bazează pe numerele porturilor. 76 00:06:02,110 --> 00:06:12,570 De exemplu, DHP folosește portul 67 și portul 69 TFT Pease 69 și ca MP utilizează portul 161. 77 00:06:12,860 --> 00:06:19,440 Încă o dată pe aceeași listă de pe Ayana ați putea face o căutare pentru protocoale specifice și 78 00:06:19,440 --> 00:06:23,490 există un exemplu de TFT DNS este un caz special. 79 00:06:23,640 --> 00:06:28,600 Numai piesa numărul 53 utilizează atât TCAP, cât și UDP. 80 00:06:28,710 --> 00:06:30,980 Deci atât pentru scopuri de studiu, cât și pentru lumea reală. 81 00:06:31,020 --> 00:06:36,370 Amintiți-vă că protocoalele precum telnet utilizează portul 23 și spuneți utilizatorilor TZP. 82 00:06:36,630 --> 00:06:43,190 DFT, de exemplu, utilizează portul 69 utilizând UDP. 83 00:06:43,200 --> 00:06:48,240 Acum, de ce ați folosi ACLC până în acest moment în cursul în care am permis accesul 84 00:06:48,240 --> 00:06:54,210 între diferite părți ale rețelei fără interfețe de închidere care clasifică în rutare Bil'in configurarea protocoalelor de rutare cum ar 85 00:06:54,210 --> 00:06:58,710 fi serviciul pe care îl cunoașteți SPF va permite accesul în întreaga rețea . 86 00:06:58,710 --> 00:07:04,010 Cu toate acestea, este posibil să nu doriți ca toată lumea să poată accesa fiecare parte a rețelei. 87 00:07:04,020 --> 00:07:06,670 Acest lucru este valabil mai ales atunci când vă conectați la Internet. 88 00:07:06,930 --> 00:07:11,370 Nu doriți neapărat ca toți cei de pe Internet să poată accesa serverele corporative sau 89 00:07:11,370 --> 00:07:12,100 rețeaua companiei. 90 00:07:12,240 --> 00:07:17,640 Deci, listele de acces reprezintă una din primele linii de apărare pentru a opri sau a nega traficul de la o parte a rețelei la 91 00:07:17,640 --> 00:07:22,270 alta, astfel încât acestea să poată fi utilizate pentru a permite sau a refuza traficul care se deplasează printr-un router. 92 00:07:22,520 --> 00:07:28,810 De exemplu, am putea permite ca acest MacBook să aibă acces la Internet, încât să putem nega 93 00:07:28,810 --> 00:07:31,810 traficul de pe internet în mediul nostru corporativ. 94 00:07:31,930 --> 00:07:37,780 Așadar, permitem sau respingem traficul pe o bază de interfață și astfel neagă traficul care se 95 00:07:37,780 --> 00:07:39,040 deplasează prin router. 96 00:07:39,180 --> 00:07:44,240 Ai putea pune o parolă pe o linie de fir Viti pe un router pentru a forța un nivel de securitate. 97 00:07:44,260 --> 00:07:49,350 Cu toate acestea, s-ar putea spune că numai subneturile administrative Wayne, deoarece această mașină pe o subrețea administrativă 98 00:07:49,350 --> 00:07:55,470 are permisiunea de a accesa Viti în timp ce linii, în timp ce această mașină nu are permisiunea de a accesa liniile 99 00:07:55,470 --> 00:07:56,510 de sârmă BT. 100 00:07:56,610 --> 00:08:02,900 În acest caz, lista de acces nu va permite nici traficul telnet sau S-sh la liniile Viti Why de 101 00:08:02,910 --> 00:08:03,750 pe router. 102 00:08:04,110 --> 00:08:10,590 Deci, mai degrabă decât să aveți o singură linie de apărare o parolă, implementați două linii de apărare, permițând anumite 103 00:08:10,590 --> 00:08:16,860 subrețele la liniile Etowah, precum și punând o parolă pe liniile BT y ori de câte ori vine vorba de 104 00:08:16,860 --> 00:08:17,490 securitate. 105 00:08:17,490 --> 00:08:23,080 Trebuie să vă gândiți la riscul care depinde de riscul pe care îl veți implementa mai multă siguranță. 106 00:08:23,160 --> 00:08:28,170 În acest caz, puteți considera că riscul accesului utilizatorilor la echipamentele de rețea este ridicat. 107 00:08:28,440 --> 00:08:36,490 Deci, permiteți anumitor subrețele să se conecteze la liniile BT y sau la router sau comutator. 108 00:08:36,530 --> 00:08:41,380 Deci, încă o dată cu ACL-ul nostru, toate pachetele ar putea fi transmise tuturor părților rețelei. 109 00:08:41,600 --> 00:08:43,610 Și asta nu ar fi de dorit. 110 00:08:43,670 --> 00:08:48,670 Așadar, puteți dori să refuzați anumite părți ale rețelei să acceseze alte părți ale rețelei. 111 00:08:48,680 --> 00:08:54,020 Întreaga idee aici este că începeți să implementați blocarea de securitate în anumite părți ale 112 00:08:54,350 --> 00:09:00,380 rețelei, astfel încât acestea să nu poată fi accesate de toți indivizii din interiorul și din afara organizației dvs. 113 00:09:01,270 --> 00:09:07,520 ACLC Cum nu am folosit doar pentru a permite sau a nega traficul pot fi, de asemenea, folosite pentru clasificare atunci 114 00:09:08,210 --> 00:09:13,060 când configurați o rețea VPN de bază sau o rețea virtuală privată între două site-uri. 115 00:09:13,250 --> 00:09:17,090 Trebuie să spuneți ruterului că traficul trebuie criptat. 116 00:09:17,210 --> 00:09:23,000 S-ar putea să nu doriți ca traficul să fie criptat din rețeaua LAN locală, deoarece este 117 00:09:23,000 --> 00:09:31,400 posibil ca traficul de la rețeaua locală la un server Internet să fie trimis necriptat, dar traficul de la rețeaua LAN locală la 118 00:09:31,400 --> 00:09:37,880 terenul din cealaltă parte a tunelului VPN trebuie criptat creați o listă de acces pentru a determina ce 119 00:09:37,880 --> 00:09:39,330 este interesant traficul. 120 00:09:39,380 --> 00:09:41,340 Cu alte cuvinte, trebuie criptat. 121 00:09:41,630 --> 00:09:48,660 Ce trafic nu este interesant cu alte cuvinte nu trebuie să fie criptat ACL poate fi, de asemenea, 122 00:09:48,660 --> 00:09:55,470 utilizat în redistribuire în cazul în care luați rute de la un protocol de rutare și redistribuiți-le sau 123 00:09:55,470 --> 00:09:58,250 pompându-le în alt protocol de rutare. 124 00:09:58,260 --> 00:10:04,680 Așadar, este posibil să nu doriți ca OSPF să învețe despre toate rutele dvs. GOP și, prin urmare, puteți utiliza listele de 125 00:10:04,680 --> 00:10:11,890 control al accesului pentru a limita sau permite doar că anumite rute care urmează să fie liste de acces redistribuite sunt, de asemenea, utilizate 126 00:10:11,950 --> 00:10:17,770 cu traducerea netă sau a adresei de rețea, lista de acces va determina care pachete au nevoie să fie 127 00:10:17,770 --> 00:10:20,080 traduse și care pachete nu trebuie traduse. 128 00:10:20,350 --> 00:10:24,670 Așadar, veți crea o listă în exces, permițând numai anumite subrețele care să 129 00:10:24,670 --> 00:10:31,180 permită ca aceste pachete să fie traduse pachete respinse de lista de acces nu sunt refuzate accesului sau abandonate, dar 130 00:10:31,210 --> 00:10:39,070 nu sunt traduse folosind traducerea adreselor de rețea sau net atunci când folosesc ACLC pentru a permite sau a nega pachete care se deplasează 131 00:10:39,070 --> 00:10:40,050 printr-un router. 132 00:10:40,270 --> 00:10:42,020 Există doi pași principali. 133 00:10:42,490 --> 00:10:49,240 Deci, mai întâi, în modul de configurare globală, creați lista de acces utilizând lista de acces comun 134 00:10:49,240 --> 00:10:51,320 și apoi completarea diferitelor opțiuni. 135 00:10:51,370 --> 00:10:58,120 Deci, comanda de acces este utilizată pentru a crea lista de acces și apoi, în al doilea rând, aplicați lista de acces fie 136 00:10:58,150 --> 00:11:02,110 la intrare, fie la ieșire pe o interfață, utilizând Grupul de Acces. 137 00:11:02,120 --> 00:11:02,890 Hai. 138 00:11:03,220 --> 00:11:06,980 Deci, accesați această comandă creează Grupul de Acces în Exces. 139 00:11:06,990 --> 00:11:09,350 C'mon leagă lista de acces. 140 00:11:09,490 --> 00:11:13,330 Și atunci când o obligați, fie specificați intrarea sau ieșirea. 141 00:11:13,330 --> 00:11:17,240 Cu alte cuvinte, determinarea direcției în care este legată lista de acces. 142 00:11:17,380 --> 00:11:22,370 Este important să rețineți că un ACL nu are efect până când nu este aplicat undeva. 143 00:11:22,390 --> 00:11:27,700 Deci, dacă aveți liste de acces în configurația de rulare a unui router și nu au fost aplicate, 144 00:11:27,700 --> 00:11:29,160 nu au niciun efect. 145 00:11:29,170 --> 00:11:35,530 Există doi pași pe care îi creați lista de acces și apoi o aplicați într-un fel, de exemplu, în cazul în care accesați 146 00:11:35,530 --> 00:11:35,870 Fosset. 147 00:11:35,880 --> 00:11:38,830 Nu e serios Zera. 148 00:11:38,890 --> 00:11:46,180 Astfel, Imraan ACLC se aplică din nou pe o interfață ICL va fi procesată înainte ca traficul 149 00:11:46,180 --> 00:11:47,490 să fie rutat. 150 00:11:47,500 --> 00:11:54,610 Cu alte cuvinte, în cazul în care ICL neagă traficul și traficul este eliminat, routerul nu va trebui 151 00:11:54,610 --> 00:12:00,450 să proceseze pachetele prin căutarea în tabela de scriere și determinarea interfeței de ieșire. 152 00:12:00,490 --> 00:12:06,120 Pachetul va fi aruncat sau aruncat înainte ca motorul putregai să le prelucreze. 153 00:12:06,250 --> 00:12:11,650 Dacă acestea sunt permise, acestea vor fi procesate pentru scriere, iar routerul va determina 154 00:12:11,650 --> 00:12:12,950 interfața de ieșire. 155 00:12:13,150 --> 00:12:18,250 În cazul în care nu este disponibilă nicio aerieră suplimentară pe router, deoarece routerul nu 156 00:12:18,250 --> 00:12:24,160 trebuie să facă o căutare de tabelă de scriere pentru a determina o interfață grațioasă de ieșire 157 00:12:24,160 --> 00:12:31,380 dacă traficul este permis, procesul de scriere va efectua apoi căutarea tabelului de scriere pentru a determina interfața de ieșire fără 158 00:12:31,410 --> 00:12:32,270 că ACLC. 159 00:12:32,530 --> 00:12:38,920 Rotarea este efectuată mai întâi și apoi pachetul este direcționat către o interfață de ieșire și apoi bazat 160 00:12:38,920 --> 00:12:41,210 pe ACL vor fi permise pachetele. 161 00:12:41,350 --> 00:12:48,490 Cu alte cuvinte, transmise sau refuzate, este mai eficient să se lege o listă de acces care intră pe 162 00:12:48,490 --> 00:12:53,820 o interfață deoarece pachetele care sunt abandonate sau respinse nu vor fi procesate. 163 00:12:53,850 --> 00:12:56,040 În timp ce procesul de scriere pe router. 164 00:12:56,350 --> 00:13:03,220 Dacă un ACL este aplicat la ieșire, Rada încă trebuie să proceseze toate pachetele care pot fi apoi respinse 165 00:13:03,280 --> 00:13:05,700 sau abandonate pe interfața de ieșire. 166 00:13:05,800 --> 00:13:11,540 Deci, acolo unde este posibil, legați ACLC la interfețe mai degrabă decât la ieșiri. 167 00:13:11,740 --> 00:13:18,860 Sau prelucrarea mai eficientă a unei liste de acces este o listă secvențială a instrucțiunilor unde pachetele sunt evaluate 168 00:13:19,250 --> 00:13:21,560 de la prima instrucțiune la ultima. 169 00:13:21,560 --> 00:13:24,510 Cu alte cuvinte, există prelucrare de sus în jos. 170 00:13:24,710 --> 00:13:30,680 Dacă un pachet este asociat unei instrucțiuni individuale din lista de acces, pachetul va fi fie permis, fie 171 00:13:30,890 --> 00:13:36,730 refuzat, în funcție de faptul dacă cuvântul cheie permis sau respins este utilizat în acea instrucțiune specifică. 172 00:13:37,550 --> 00:13:41,890 Toate liniile rămase din lista de acces sunt ignorate pentru pachetul respectiv. 173 00:13:42,140 --> 00:13:48,350 Deci, cu alte cuvinte, de îndată ce există o potrivire pe o linie, toate liniile rămase 174 00:13:48,350 --> 00:13:55,320 sunt ignorate dacă traficul nu se potrivește acelei linii sau instrucțiuni specifice, atunci linia următoare din ACL este verificată. 175 00:13:55,430 --> 00:14:00,920 Deci, lista Nexxus este o listă secvențială de declarații, iar Rada va verifica de la prima linie până la ultima 176 00:14:00,920 --> 00:14:03,030 până când se va obține un meci. 177 00:14:03,350 --> 00:14:04,710 De îndată ce există un meci. 178 00:14:04,910 --> 00:14:06,720 Toate liniile ulterioare sunt ignorate. 179 00:14:06,980 --> 00:14:12,260 Dacă nu există nici o potrivire pentru nicio instrucțiune în ACL, pachetul este abandonat din cauza a 180 00:14:12,260 --> 00:14:16,030 ceea ce se numește denie implicită la sfârșitul fiecărei liste de acces. 181 00:14:16,050 --> 00:14:22,610 Există o refuzare implicită, ceea ce înseamnă că, dacă nu sunteți explicit permis de o listă de acces, 182 00:14:22,610 --> 00:14:30,470 vi se interzice implicit tot traficul care nu este permis pentru unii undeva în acea listă de acces, iar utilizarea unei instrucțiuni de 183 00:14:30,620 --> 00:14:32,150 autorizare va fi abandonată. 184 00:14:32,150 --> 00:14:37,300 Aceasta înseamnă, prin urmare, că trebuie să aveți cel puțin o declarație de autorizare într-un fel în lista de practici. 185 00:14:37,370 --> 00:14:39,730 În caz contrar, puteți deconecta cablul. 186 00:14:39,740 --> 00:14:44,180 Acum există două topuri de liste de acces la care ne concentrăm în acest curs. 187 00:14:44,180 --> 00:14:51,500 Primul este un standard ACL, iar cel de-al doilea este un ACLJ standard extins ACL care verifică doar adresele IP 188 00:14:51,500 --> 00:14:52,450 de sursă. 189 00:14:52,580 --> 00:14:59,360 Ei nu verifică numerele individuale ale porturilor sau protocoalele individuale care fie permit sau resping întreaga 190 00:14:59,360 --> 00:15:04,640 suită de protocol bazată pe adresa IP sursă sau pe rețeaua sursă. 191 00:15:04,640 --> 00:15:11,180 Nimic altceva în adresa IP sursă sau în rețeaua sursă nu poate fi specificat ACLC extins verificați 192 00:15:11,180 --> 00:15:17,890 atât adresa sursă cât și destinația și vă permite să permiteți sau să respingeți protocoale și aplicații specifice. 193 00:15:17,900 --> 00:15:25,460 Cu alte cuvinte, ați putea permite sau refuza pe baza IP TZP UDP ICMP și multe alte protocoale și puteți, de asemenea, să permiteți 194 00:15:25,460 --> 00:15:31,700 sau să refuzați pe baza numerelor porturilor sursă și a numerelor porturilor de destinație a listelor de acces extins, acestea 195 00:15:31,700 --> 00:15:35,540 sunt mult mai granulare și tind să fie utilizate în lumea reală. 196 00:15:35,780 --> 00:15:40,540 Dar pentru completitudine trebuie să acoperim atât liste de acces standard, cât și liste de acces extins în acest curs.