1 00:00:00,820 --> 00:00:07,870 Schauen wir uns also ein anderes Beispiel an. Wir wollen den Host 10 1 1 1 2 7 10 1 2 1 2 00:00:07,870 --> 00:00:08,390 fördern. 3 00:00:08,620 --> 00:00:15,040 Dieser Host sollte also dem Server erlaubt sein, den wir nicht zulassen möchten, dass jeder Datenverkehr an diesen 4 00:00:15,040 --> 00:00:15,900 Server sendet. 5 00:00:16,180 --> 00:00:19,750 Wir möchten aber auch zulassen, dass der Verkehr auf alle anderen Server gelangt. 6 00:00:19,780 --> 00:00:22,690 Daher sollte sich jeder mit allen Servern verbinden können. 7 00:00:22,720 --> 00:00:27,690 Die erste Entscheidung ist also wieder, wo wir diese Zugriffssteuerungsliste binden und in welche Richtung. 8 00:00:28,000 --> 00:00:28,890 Also konnten wir es. 9 00:00:28,930 --> 00:00:36,310 Wenn sera sera in-bound oder wir können es an 0 1 outbound binden, besteht das Problem beim Versuch, 10 00:00:36,310 --> 00:00:43,380 die Zugriffsliste zu binden, wenn ernsthaft Zerah ist, dass wir keine Zieladressen mit einer Standard-IP-Zugriffsliste angeben können. 11 00:00:43,450 --> 00:00:49,240 Sie können nur Quelladressen angeben, sodass Sie die Anweisung nicht implementieren können, die besagt, dass 12 00:00:49,240 --> 00:00:56,260 alle anderen Server einem bestimmten Server verweigert werden sollen, der Datenverkehr jedoch zu allen anderen Servern zulässig ist, 13 00:00:56,260 --> 00:01:03,040 da Sie andernfalls die Option Alle ablehnen und die nächste Anweisung ist zulassen, was nicht funktioniert, weil die 14 00:01:03,100 --> 00:01:04,990 Genehmigung niemals verwendet wird. 15 00:01:04,990 --> 00:01:08,140 Was wir also tun werden, ist, dass wir das Outbound an diese Schnittstelle binden. 16 00:01:08,250 --> 00:01:15,370 Bei Sirus Lesch folgt dies auch Best Practices, die besagen, dass Sie IP-Zugriffslisten für Stents so nahe 17 00:01:15,370 --> 00:01:18,360 wie möglich am Ziel binden sollten. 18 00:01:18,370 --> 00:01:20,400 Ich werde gleich mehr darüber erklären. 19 00:01:21,780 --> 00:01:26,100 Auf unserem Router konnten wir diese Zugriffssteuerungslisten konfigurieren, indem Sie in den globalen Konfigurationsmodus 20 00:01:26,970 --> 00:01:28,830 wechseln und die X-ists-Liste anführen. 21 00:01:29,290 --> 00:01:37,340 Wir wählen Nummer drei Palmet 10, aber eine, die 1. 1. 22 00:01:37,450 --> 00:01:47,210 Und dann könnten wir in die Schnittstelle gehen, wenn ein Thema zu IP-Zugriffsgruppe drei ausfällt. 23 00:01:47,220 --> 00:01:50,580 So konnte ich wieder die C'mon Show-Zugriffslisten erstellen, die mir nur 24 00:01:54,100 --> 00:01:57,210 den einfachen Zugriff zeigen, den ich gerade erstellt habe. 25 00:01:57,240 --> 00:02:03,260 Der Haken dabei war, sich an eine Möglichkeit zu erinnern, die Zugriffsliste zu binden, und daran zu erinnern, dass 26 00:02:03,350 --> 00:02:08,280 Sie am Ende keine Ablehnung benötigen, da in einer Access-Anweisung eine implizite Ablehnung vorliegt. 27 00:02:08,530 --> 00:02:10,900 Ich meine, erklären Sie, was diese Zahl 10 gleich bedeutet. 28 00:02:12,400 --> 00:02:17,740 In diesem Beispiel möchten Sie das Subnetz 10 1 1 0 zulassen und dann alle anderen abweisen. 29 00:02:17,740 --> 00:02:21,210 Wieder einmal würden wir die Zugriffskontrollliste beim Fust eingehalten. 30 00:02:21,220 --> 00:02:22,590 Ethan es ernst. 31 00:02:22,710 --> 00:02:28,690 Um die Zugriffsliste so effizient wie möglich zu gestalten, möchten wir erneut, dass der Rodda 32 00:02:28,690 --> 00:02:34,390 keine Pakete intern verarbeiten muss, nur um sie auf einer externen ausgehenden Schnittstelle abzulegen. 33 00:02:34,510 --> 00:02:43,410 Wir binden also die Access Control List eingehend. Wenn Narada in den globalen Konfigurationsmodus wechselt, muss ich mich in der 34 00:02:43,410 --> 00:02:51,490 Access-Liste befinden. In diesem Fall wählen Sie Nummer 4, und wir werden in diesem Fall ein bestimmtes 35 00:02:51,500 --> 00:02:54,000 Subnetz zulassen. 0 36 00:02:54,410 --> 00:02:59,080 Und dann müssen wir in der Wildcard-Moschee Jazeerah in binäre Mittelwerte einfügen. 37 00:02:59,090 --> 00:03:06,050 Also muss das erste Oktett 10 passen, die zweite Optik muss mit dem Oktett übereinstimmen, das mit dem 38 00:03:06,050 --> 00:03:07,880 letzten Oktett übereinstimmen muss. 39 00:03:08,270 --> 00:03:09,520 Es gibt eine implizite Ablehnung. 40 00:03:09,620 --> 00:03:12,060 Wir müssen also nichts anderes angeben. 41 00:03:12,080 --> 00:03:16,560 Wenn Sie jedoch Informationen protokollieren möchten, können Sie Folgendes tun. 42 00:03:16,720 --> 00:03:21,370 List für denie und bemerkte die Option. 43 00:03:21,520 --> 00:03:29,350 Jeder Hinweis dieses Optionsprotokolls, das es uns ermöglicht, Informationen zu protokollieren, um die Protokollserverprotokollierung lokal auf dem Router zu unterstützen, 44 00:03:29,350 --> 00:03:32,660 damit wir sehen können, welche Pakete abgelehnt wurden. 45 00:03:32,890 --> 00:03:38,740 Bei der Protokollierung empfiehlt es sich, nicht lokal am Router zu protokollieren, sondern an einen Server wie 46 00:03:38,740 --> 00:03:40,500 einen Protokollserver zu übertragen. 47 00:03:40,510 --> 00:03:46,390 Der Grund dafür ist, dass der Rodda nur begrenzten Speicherplatz für Protokollnachrichten hat. Wenn Sie diese 48 00:03:46,390 --> 00:03:52,090 auf einem Protokollserver speichern, können Sie aufgrund der Größe der Festplatten heutzutage große Datenmengen speichern. 49 00:03:52,120 --> 00:03:57,060 Daher ist es sinnvoll, die Protokollierungsdaten auf einem externen Server zu sichern. 50 00:03:57,430 --> 00:04:08,620 Der letzte Schritt in diesem Beispiel besteht darin, das Interface 0 auf Null zu setzen und das Thema in der Ickey X-ists-Gruppe für eine. 51 00:04:08,760 --> 00:04:10,980 Ich kann das noch einmal auf 52 00:04:14,480 --> 00:04:21,080 die Zugriffsliste setzen, wenn ich nur die bestimmte X-ists-Liste sehen wollte, aber eine Nummer in der Zugriffsliste für Sie sehen kann, dass 53 00:04:21,080 --> 00:04:26,340 die erste Zeile Erlaubnis 10 1 1 0 mit Platzhalter 0 0 0 bedeutet 2 4 5. 54 00:04:26,870 --> 00:04:34,060 Und die zweite Zeile besagt, dass alle verweigert werden und die Informationen für gesperrte Wetten zeigen, dass die Schnittstelle p angezeigt wird. 55 00:04:34,100 --> 00:04:35,400 Ernsthaft Ceara. 56 00:04:37,440 --> 00:04:40,200 Sie haben mir gezeigt, dass die eingehende Zugriffsliste für. 57 00:04:40,440 --> 00:04:46,020 Wir haben also eine X-Ist-Liste für Inbound auf Ethan mit Flanken gebunden, es ist der Schrägstrich 0. 58 00:04:46,100 --> 00:04:48,290 Jetzt ist die Schnittstelle heruntergefahren. 59 00:04:48,550 --> 00:04:52,780 Ich bin nicht allzu besorgt, weil ich Ihnen nur die Syntax der Zugriffslisten zeige, anstatt 60 00:04:52,780 --> 00:04:54,280 Ihr Arbeitsbeispiel zu überprüfen. 61 00:04:55,040 --> 00:04:59,590 Seien Sie vorsichtig, wenn Sie eine explizite Ablehnung hinzufügen, wie ich es in diesem Beispiel getan habe. 62 00:04:59,600 --> 00:05:05,270 Sie müssen zwischen den Zeilen in den Fragen lesen und 63 00:05:05,270 --> 00:05:12,770 sicherstellen, dass Sie ausdrücklich aufgefordert werden, den Verkehr zu sperren, wenn Sie nicht 64 00:05:12,770 --> 00:05:14,390 gefragt werden. 65 00:05:14,510 --> 00:05:17,530 Am Ende jeder Zugriffsliste. 66 00:05:17,620 --> 00:05:24,790 Ein anderes Beispiel in diesem Fall möchten wir 10 1 1 1 2 Telnet für den Router zulassen, und dann möchten Sie allen 67 00:05:24,790 --> 00:05:29,650 anderen verweigern, die dies dem Router mitteilen, und den Datenverkehr an anderer Stelle zulassen. 68 00:05:29,710 --> 00:05:32,420 Jetzt müssen Sie noch einmal sorgfältig zwischen den Zeilen lesen. 69 00:05:32,440 --> 00:05:36,310 In diesem Beispiel richten wir eine Standardzugriffssteuerungsliste ein. 70 00:05:36,520 --> 00:05:43,300 Die einzige Möglichkeit, dies zu tun, besteht darin, die standardmäßige Zugriffskontrollliste an den Vietti Wilens zu binden und 71 00:05:43,340 --> 00:05:48,530 dann an IPX zu erinnern. Diese Listen können keine Protokoll- oder Zieladressen ermitteln. 72 00:05:48,580 --> 00:05:55,060 Wenn das Beispiel also nach einer Standard-IP-Zugriffsliste fragt, die die Ablehnung zulässt, wird Telnet 73 00:05:55,060 --> 00:06:03,460 zugelassen, dann wissen Sie, dass Sie diese Zugriffsliste in die Viti-Leitungen einbinden müssen. Als Beispiel werde ich Arata mitteilen, 74 00:06:03,460 --> 00:06:12,360 dass die Adresse hier ist 10 0 0 2 FoxxHole, aber in meinem Benutzernamen, wenn mein Passwort oben in der Zeile 75 00:06:12,360 --> 00:06:19,890 für die Anzeige der laufenden Laufzeit steht, wird angezeigt, was in den Zeilen dieses Routers konfiguriert ist. 76 00:06:21,460 --> 00:06:27,220 Wie Sie hier sehen können, gibt es keine Zugriffslisten auf die Viti Wildlands des Shradha. Also kann ich 77 00:06:27,220 --> 00:06:27,990 folgendes tun. 78 00:06:28,830 --> 00:06:29,900 Zugangsliste. 79 00:06:30,030 --> 00:06:38,630 Lassen Sie uns einfach eine Zahl wie 10 Palmet auswählen und beachten Sie, dass die IP-Adresse 10 1 1 1 ist. 80 00:06:38,910 --> 00:06:43,860 Niemand darf an den Rodda telnet, also 10 1 1 1 begehen. 81 00:06:44,410 --> 00:06:52,510 Und dann kann ich auf die Linie zwischen Solangi 2 0 0 0 gehen, damit Anani den allgemeinen 82 00:06:52,510 --> 00:06:59,430 Zugriff Clauss verwendet, anstatt der Access-Gruppe. Sie können entweder die Zugriffsliste oder erweiterte IP-Zugriffslisten im 83 00:07:00,000 --> 00:07:01,520 frühen Ioway angeben. 84 00:07:01,560 --> 00:07:06,150 Sie können nur Standard in den Zugriffslisten auswählen, aber heutzutage können Sie beide verwenden. 85 00:07:06,360 --> 00:07:08,230 In einer erweiterten ACL. 86 00:07:08,490 --> 00:07:10,740 Also werde ich 10 wählen. 87 00:07:10,920 --> 00:07:16,010 Und ich kann beachten, dass ich eingehende Telnet-Verbindungen oder ausgehende Telnet-Verbindungen falten kann. 88 00:07:16,010 --> 00:07:17,270 Also werde ich in einem 89 00:07:20,120 --> 00:07:22,070 spezifizieren, ich werde versuchen, erneut mit dem Rodda zu telnet. 90 00:07:22,100 --> 00:07:25,640 Also Telenet 10 0 0 2 5 4. 91 00:07:25,970 --> 00:07:33,820 Und beachten Sie, dass die Telnet-Verbindung nicht geöffnet wird, weil wir dem Rodda Telnet verweigern, nur 92 00:07:33,820 --> 00:07:43,000 um Ihnen das zu beweisen, wenn ich diesen Zugriff auf Clauss entferne und dann wieder aufsetze. Ich kann Telnet 93 00:07:43,000 --> 00:07:49,720 und ich kann mich erfolgreich einloggen Verbinden Sie aber diese Zugriffsliste wieder. 94 00:07:51,130 --> 00:07:55,010 Tron Telnet und bemerkte, dass Telnet abgelehnt wird. 95 00:07:55,350 --> 00:08:02,820 Vergessen Sie also nicht die Zugriffslisten, die auf Viti Wide Lines zu finden sind, um Telnet- oder S-SH-Zugriff auf einen 96 00:08:02,850 --> 00:08:05,600 Router zu erlauben oder zu verweigern. 97 00:08:05,630 --> 00:08:17,480 Wieder einmal zeigen Sie den Abschnitt "Pipe Pipe". Eine Zeile zeigt mir an, dass ich die Zugriffsklausel 10 in der Viti y-Leitung nach unten habe. Ich kann 98 00:08:17,480 --> 00:08:23,730 also nicht von meinem PC aus telnet, um die IP-Adresse meines PCs einzusehen. 99 00:08:24,980 --> 00:08:36,510 Wie Sie hier sehen, ist die IP-Adresse 10 0 0 0 1, so dass ich auf der Route zu meinem Thema keine Zugriffsliste habe. 100 00:08:36,740 --> 00:08:37,750 101 00:08:37,820 --> 00:08:38,660 Sei vorsichtig damit. 102 00:08:38,660 --> 00:08:39,260 Komm schon. 103 00:08:39,320 --> 00:08:45,460 Es entfernt nicht nur eine Zeile in der Zugriffsliste, sondern es löscht die gesamte Zugriffsliste. 104 00:08:45,500 --> 00:08:52,040 Stoppen des Befehls do show access list 10 zeigt an, dass diese Zugriffsliste nicht vorhanden ist. 105 00:08:52,070 --> 00:08:58,780 Ich habe also gerade die Zugriffsliste komplett gelöscht, aber ich könnte mit ihnen auf Zugriffsliste 10 sprechen, 10 0 0 106 00:08:58,910 --> 00:09:02,030 1 zulassen und dann zu meiner Leitung gehen. 107 00:09:02,030 --> 00:09:02,880 Warum auch? 108 00:09:02,960 --> 00:09:04,690 Stellen Sie einfach sicher, dass es gefunden wird. 109 00:09:04,960 --> 00:09:16,850 Also Zugriff auf Clauss 10 in Knopf versucht Telnet, dass Telnet erfolgreich ist. 110 00:09:17,080 --> 00:09:18,640 Ich kann also sagen, 111 00:09:24,020 --> 00:09:30,550 dass der Rodda nun Vianney ist, der Befehl show list zeigen. Sie können sehen, dass es zwei Übereinstimmungen 112 00:09:30,550 --> 00:09:35,590 auf der sexistischen Liste gibt, aber sagen Sie mir bitte noch einmal show c'mon. 113 00:09:35,600 --> 00:09:38,570 Beachten Sie, dass die Übereinstimmungen zunehmen. 114 00:09:38,580 --> 00:09:43,290 Kann ich es trotzdem rechts sagen, wenn ich diese Zugriffsliste lösche, muss ich auf die 115 00:09:43,290 --> 00:09:43,920 Zugriffsliste kommen. 116 00:09:45,440 --> 00:09:48,550 10 Führen Sie den Befehl show aus. 117 00:09:48,730 --> 00:09:51,090 Und wie Sie sehen, wurde die Zugriffsliste entfernt. 118 00:09:52,540 --> 00:09:56,000 Ich werde mein Problem unterbrechen und mich sehen lassen, ob ich es noch einmal sagen kann. 119 00:09:56,380 --> 00:10:06,980 Und wie Sie sehen können, kann ich überflüssig vorgehen, um die Laufart zu zeigen. Die Zeile zeigt an, dass die Zugriffsliste immer 120 00:10:10,090 --> 00:10:14,900 noch gebunden ist und dies eine große Gotcha ist. 121 00:10:14,900 --> 00:10:17,880 Dies gilt auch für den an Schnittstellen gebundenen Lisburn. 122 00:10:18,020 --> 00:10:22,130 Sie können eine nicht vorhandene Zugriffsliste an eine Schnittstelle binden. 123 00:10:22,130 --> 00:10:28,310 Es ist sehr gefährlich, denn wenn jemand diese Zugriffsliste später gutgeschrieben hat und 124 00:10:28,310 --> 00:10:33,980 versehentlich für etwas anderes konfiguriert hat, wird die Zugriffsliste sofort aktiv und 125 00:10:33,980 --> 00:10:39,280 der Verkehr wird gemäß der neuen Zugriffsliste unerwartet verweigert oder zugelassen. 126 00:10:39,290 --> 00:10:46,350 Nehmen wir also an, wir hätten Tenet ein oder zwei zu eins Argumenten wie jetzt plötzlich erlaubt, 127 00:10:46,350 --> 00:10:51,020 indem wir es der Rodda-Nachricht zurückgaben, dass Telnet-Sitzung abgelehnt wird. 128 00:10:51,020 --> 00:10:56,540 Seien Sie sehr vorsichtig bei der Erstellung Ihrer Zugriffslisten und binden Sie sie. 129 00:10:56,540 --> 00:10:59,920 Wenn Sie sie löschen, entfernen Sie sie aus den Bindungen. 130 00:10:59,930 --> 00:11:04,190 Mit anderen Worten, entfernen Sie sie von den weißen Linien von Viti oder von den Schnittstellen. 131 00:11:04,430 --> 00:11:11,540 Lassen Sie nicht zu, dass nicht vorhandene Zugriffslisten an Schnittstellen gebunden sind, und lassen Sie nicht zu, dass Zugriffslisten nur 132 00:11:11,540 --> 00:11:15,440 in einer Konfiguration vorhanden sind, die ohnehin nicht gebunden ist. 133 00:11:17,200 --> 00:11:23,050 Nur noch eine Erinnerung an Bemerkungen Mit Anmerkungen können wir Beschreibungen zu Zugriffssteuerungslisten hinzufügen, um 134 00:11:23,050 --> 00:11:28,610 sie mit weniger Zugriff besser zu verstehen, da sie recht kompliziert werden können. 135 00:11:28,610 --> 00:11:34,330 Wenn Sie über eine 10-Zeilen- oder 20-Zeilen-ACL verfügen, müssen Sie als letztes das entschlüsseln, was die 136 00:11:34,330 --> 00:11:35,640 Zugriffsliste tun soll. 137 00:11:35,860 --> 00:11:39,750 Durch das Hinzufügen von Anmerkungen kann das Verfolgen und Verstehen erheblich vereinfacht werden. 138 00:11:40,030 --> 00:11:48,300 Wenn Sie die Zugriffsliste "Kommt sofort" auf Misrata ankreuzen, werden mir die momentan konfigurierten Zugriffslisten angezeigt. 139 00:11:48,420 --> 00:11:55,080 Man kann sehen, dass es Zugriffslisten mit verschiedenen Zeilen gibt, die aber an sich nicht viel 140 00:11:55,080 --> 00:11:55,750 bedeuten. 141 00:11:55,770 --> 00:12:03,890 Erstellen wir eine Zugriffsliste, die in der Zugriffsliste 5 festgelegt ist, sagen Sie zum Beispiel 10 1 2 bis 1. 142 00:12:04,300 --> 00:12:12,970 Aber jetzt können Sie sagen, dass Sie Liste 5 Ramshaw und jetzt können Sie eine Bemerkung mit bis zu 100 Zeichen 143 00:12:13,440 --> 00:12:14,140 eingeben. 144 00:12:14,150 --> 00:12:28,890 Versichern Sie sich, dass der Boss Zugriff auf den Exchange-Server hat, oder was auch immer Sie jetzt entscheiden. Die X-ists-Liste von 145 00:12:28,910 --> 00:12:35,650 C'mon zeigt an, dass diese Bemerkung nicht angezeigt wird. 146 00:12:35,660 --> 00:12:37,240 Komm schon! 147 00:12:37,270 --> 00:12:42,060 Inkley-Zugriffsliste. 148 00:12:42,080 --> 00:12:49,070 Beachten Sie, dass die Bemerkung in der Zugriffsliste angezeigt wird. Dies macht es viel einfacher zu sehen, was los ist. 149 00:12:49,100 --> 00:12:53,840 Ich könnte eine andere Leitung in dieser Zugangseinrichtung erstellen, um auf 5 remet zuzugreifen, und dann könnte 150 00:12:57,570 --> 00:12:59,050 ich eine weitere Vorlage in 151 00:13:08,100 --> 00:13:09,140 etwa so erstellen. 152 00:13:10,030 --> 00:13:13,250 Und da ich nicht gleich bin, wird die CLEET-Zugriffsliste 153 00:13:17,420 --> 00:13:21,560 erneut angezeigt. Jede Zeile in der Zugriffsliste und ihre entsprechende Anmerkung werden angezeigt. 154 00:13:21,740 --> 00:13:28,960 Dadurch ist es viel einfacher zu verstehen, was in einigen Richtlinien für Zugriffslisten beschrieben wird. 155 00:13:28,970 --> 00:13:33,170 Zunächst zeigt der obere Teil der Zugriffsliste an, was fehlerhaft sein kann. 156 00:13:33,220 --> 00:13:40,950 Mit anderen Worten, eine Standardzugriffsliste kann nur auf Quell-IP-Adressen oder -Netzen und erweiterte IP-Zugriffslisten auf Quell- 157 00:13:40,950 --> 00:13:46,990 und Zieladressen, Quell- und Zielportnummern sowie verschiedene andere Optionen in Bezug 158 00:13:46,990 --> 00:13:53,070 auf IP-Protokolle angewendet werden, sodass erweiterte Zugriffslisten tendenziell viel mehr sind mächtig 159 00:13:53,110 --> 00:13:56,290 Die Reihenfolge der Verarbeitung ist ebenfalls von großer Bedeutung. 160 00:13:56,290 --> 00:13:59,710 Sie sollten zuerst genauere Aussagen machen. 161 00:13:59,710 --> 00:14:07,320 Wenn Ihre erste Aussage erlaubt war und Ihre zweite Aussage Host 10 abgelehnt hatte, so wäre diese 162 00:14:07,320 --> 00:14:12,190 zweite Aussage nicht relevant, weil Ihre erste Aussage zulassen würde. 163 00:14:12,460 --> 00:14:15,610 Denken Sie daran, dass Zugriffssteuerungslisten einen Prozess von oben nach unten zeigen. 164 00:14:15,610 --> 00:14:19,360 Wenn eine Zeile übereinstimmt, werden alle nachfolgenden Zeilen ignoriert. 165 00:14:19,360 --> 00:14:26,050 Ich erlaube also, dass alle übereinstimmen würden, und der gesamte Datenverkehr einschließlich des Datenverkehrs von Host 10:01 wäre 166 00:14:26,050 --> 00:14:31,270 zulässig, und die zweite Zeile, die Host 10 eins zu eins abweist, würde ignoriert. 167 00:14:31,270 --> 00:14:37,300 Vergessen Sie nicht, dass am Ende jeder Zugriffssteuerungsliste implizit alles verweigert wird, sofern Sie 168 00:14:37,300 --> 00:14:40,540 nicht ausdrücklich etwas zulassen, was abgelehnt wird. 169 00:14:40,540 --> 00:14:46,920 Pro Protokoll und Protokoll kann nur eine Zugriffsliste an ihre Schnittstelle gebunden werden. 170 00:14:46,930 --> 00:14:54,790 Mit anderen Worten, eine IP-Version 4-ACL kann pro Schnittstelle entweder in oder außerhalb gebunden werden. 171 00:14:54,790 --> 00:15:01,120 Sie können Activision nicht für Zugriffslisten einleiten, die auf derselben Oberfläche eingehen, die Sie ein- 172 00:15:01,120 --> 00:15:02,570 und ausblenden können. 173 00:15:02,590 --> 00:15:08,890 Wie ich bereits gezeigt habe, wenn Sie versuchen, zwei eingehende IP-Zugriffslisten auf derselben Schnittstelle zu binden, ersetzt 174 00:15:08,890 --> 00:15:10,810 die zweite nur die erste. 175 00:15:12,320 --> 00:15:14,530 Wo sollten Sie Ihre Zugriffslisten ablegen? 176 00:15:14,570 --> 00:15:21,140 Die beste Vorgehensweise von Cisco ist es nun, die Platzierung von ACLs mit Stents so nahe wie möglich am Zielort vorzunehmen. Der 177 00:15:21,380 --> 00:15:24,820 Grund dafür ist, dass Sie bestimmte Protokolle nicht abgleichen können. 178 00:15:24,950 --> 00:15:31,430 In der Realität verwenden die meisten ACL-Implementierungen jetzt erweiterte IP-Zugriffslisten, da 179 00:15:31,430 --> 00:15:37,460 Sie nach Quell- und Ziel-IP-Adressen sowie Quell- und Zielports usw. 180 00:15:37,460 --> 00:15:38,730 filtern können. 181 00:15:39,110 --> 00:15:44,850 Bei IP-gesteuerten Zugriffssteuerungslisten können Sie nur anhand der Quelladresse suchen. 182 00:15:44,900 --> 00:15:52,910 Wenn Sie also in diesem Beispiel nicht möchten, dass 10 1 on 1 eine Verbindung zu diesem Server herstellen soll, können 183 00:15:52,910 --> 00:16:00,890 Sie eine Standard-IP-Zugriffsliste entweder eingehend und / oder ein- oder ausgehend und oder ein- oder ausgehend und zwei oder ausgehend 184 00:16:00,890 --> 00:16:02,600 als Arty verknüpfen . 185 00:16:02,720 --> 00:16:11,030 Wenn Sie sich dafür entschieden haben, eine Zugriffsliste zu binden, die diesen Host als eingehend ablehnt, oder Sie würden den Zugriff auf den Server 186 00:16:11,030 --> 00:16:18,200 nicht nur verweigern, sondern auch den Zugriff auf den Host für alle anderen Teile des Netzwerks verweigern, da er kein Ziel 187 00:16:18,680 --> 00:16:25,580 angeben kann nur eine Quelle, wenn Sie eine Zugriffsliste in Bonan oder eine andere Person, die den Host ablehnt, 188 00:16:25,670 --> 00:16:28,090 gebunden hat 10 1 1 1. 189 00:16:28,130 --> 00:16:34,400 Sie würden dem Host den Zugriff auf alle Teile des Netzwerks verweigern, so dass dies keine gute Möglichkeit ist, diese 190 00:16:34,550 --> 00:16:35,690 Zugriffsliste zu binden. 191 00:16:36,620 --> 00:16:44,000 Wenn Sie die Access-Liste nach außen bombardieren und / oder eine Ansage "Denie-Host 10" eins zu eins ausführen, wird dem Host der 192 00:16:44,000 --> 00:16:45,810 Zugriff auf diesen Host gewährt. 193 00:16:45,870 --> 00:16:51,050 Wieder einmal um 10:01 Uhr würde einem der Zugriff auf dieses Netzwerk verweigert. 194 00:16:51,050 --> 00:16:57,350 Dieses Netzwerk wie auch dieses Netzwerk können Sie wieder nur auf der Quelladresse 195 00:16:57,350 --> 00:17:02,840 mit einer Standard-IP-Zugangsliste verweigern, die nicht auf der Ziel-Port-Nummer liegt. 196 00:17:02,840 --> 00:17:08,750 Wenn Sie sich entschieden haben, die Zugriffsliste eingehend und an den Host 10: 01 zu binden, hat man Zugriff 197 00:17:08,750 --> 00:17:14,870 auf dieses Netzwerk sowie auf dieses Netzwerk, aber es hat keinen Zugriff auf dieses Netzwerk oder auf dieses Netzwerk, sodass es 198 00:17:14,870 --> 00:17:16,250 auch nicht funktioniert . 199 00:17:17,090 --> 00:17:23,600 Und wenn Sie sich dazu entschieden haben, die Zugriffsliste auf rt zu binden, ist dies der optimale Ort, um 200 00:17:23,600 --> 00:17:30,830 die X-ists-Liste zu veröffentlichen, da Sie dem Host 10 1 1 1 Zugriff auf den Server verweigern würden, der diesen Hostzugriff 201 00:17:30,830 --> 00:17:36,110 nicht verweigert zu einem anderen Teil des Netzwerks und dass Sie erreichen würden, was Sie 202 00:17:36,110 --> 00:17:37,600 sich vorgenommen haben. 203 00:17:38,090 --> 00:17:44,300 Bei den erweiterten IP-Zugriffslisten wird jedoch empfohlen, die Zugriffsliste so nahe wie möglich an der 204 00:17:44,300 --> 00:17:45,920 Quelle zu platzieren. 205 00:17:45,920 --> 00:17:51,450 Der Grund dafür ist, dass Sie bestimmte Protokolle und Zieladressen abgleichen können. 206 00:17:51,500 --> 00:17:59,840 Wenn Sie also eine Zugriffsliste brennen, können Sie diesem Host 10 1 1 1 den Zugriff auf diesen Host 10 207 00:17:59,840 --> 00:18:01,960 1 bis 1 verweigern. 208 00:18:02,330 --> 00:18:09,050 Erlauben Sie diesem Host jedoch den Zugriff auf einen anderen Teil des Netzwerks, und Sie würden damit das erreichen, was Sie 209 00:18:09,050 --> 00:18:10,250 sich vorgenommen haben. 210 00:18:10,400 --> 00:18:15,590 Und dieses Beispiel wäre viel effizienter als das vorige Beispiel, da Sie an 211 00:18:15,620 --> 00:18:22,150 diesem Punkt den Datenverkehr ablehnen würden, anstatt ihn ganz über das Netzwerk zu leiten oder einfach zu verwerfen. 212 00:18:22,370 --> 00:18:28,640 So sind Sie mit erweiterten IP-Zugriffslisten wesentlich flexibler und effizienter und werden daher in 213 00:18:28,640 --> 00:18:30,530 der Praxis häufiger eingesetzt.