1 00:00:00,820 --> 00:00:07,870 Así que echemos un vistazo a otro ejemplo en este ejemplo que queremos promover host 10 1 1 1 2 7 10 1 2 00:00:07,870 --> 00:00:08,390 2 1. 3 00:00:08,620 --> 00:00:15,040 Por lo tanto, este host debe permitirse al servidor que queremos negar que todos estén enviando tráfico a 4 00:00:15,040 --> 00:00:15,900 ese servidor. 5 00:00:16,180 --> 00:00:19,750 Pero también queremos permitir que el tráfico vaya a todos los demás servidores. 6 00:00:19,780 --> 00:00:22,690 Entonces, cualquiera debería poder conectarse a todos los servidores. 7 00:00:22,720 --> 00:00:27,690 Entonces, la primera decisión nuevamente es dónde vamos a vincular esta Lista de control de acceso y en qué dirección. 8 00:00:28,000 --> 00:00:28,890 Entonces podríamos hacerlo. 9 00:00:28,930 --> 00:00:36,310 Si sera sera in-bound o podemos vincularlo en 0 1 saliente, el problema al tratar de vincular la lista de acceso 10 00:00:36,310 --> 00:00:43,380 si Zerah es muy serio es que no podemos especificar las direcciones de destino con una lista de acceso IP estándar. 11 00:00:43,450 --> 00:00:49,240 Solo puede especificar las direcciones de origen, por lo que no podrá implementar la declaración que dice 12 00:00:49,240 --> 00:00:56,260 denegar a todos los demás a un servidor específico, pero permitir el tráfico a todos los demás servidores porque de lo 13 00:00:56,260 --> 00:01:03,040 contrario va a decir denegar cualquiera y la siguiente afirmación va a continuar. ser permiso cualquiera que no funcionará porque 14 00:01:03,100 --> 00:01:04,990 el permiso nunca se usará. 15 00:01:04,990 --> 00:01:08,140 Entonces, lo que vamos a hacer es vincularlo en esta interfaz de salida. 16 00:01:08,250 --> 00:01:15,370 Si Sirus Lesch uno, esto también sigue las mejores prácticas que dicen que debe unir listas de acceso IP basadas 17 00:01:15,370 --> 00:01:18,360 en stent tan cerca del destino como sea posible. 18 00:01:18,370 --> 00:01:20,400 Explicaré más sobre eso en un momento. 19 00:01:21,780 --> 00:01:26,100 Por lo tanto, en nuestro enrutador podríamos configurar estas listas de control de acceso yendo al modo de 20 00:01:26,970 --> 00:01:28,830 configuración global y encabezando la lista de X-ists. 21 00:01:29,290 --> 00:01:37,340 Vamos a elegir el número tres Palmet 10 pero uno que 1. 1. 22 00:01:37,450 --> 00:01:47,210 Y luego podríamos entrar en la interfaz si 0 1 un tema en el grupo de acceso IP tres fuera. 23 00:01:47,220 --> 00:01:50,580 Así que una vez más pude hacer las listas de acceso al 24 00:01:54,100 --> 00:01:57,210 show C'mon que me muestran el acceso simple que acabo de crear. 25 00:01:57,240 --> 00:02:03,260 El truco aquí era recordar una forma de vincular la lista de acceso y recordar que no es 26 00:02:03,350 --> 00:02:08,280 necesario negar ninguna al final porque hay una denegación implícita en una declaración de Access. 27 00:02:08,530 --> 00:02:10,900 Me refiero a explicar qué significa este número 10 en un momento. 28 00:02:12,400 --> 00:02:17,740 En este ejemplo, desea permitir la subred 10 1 1 0 y luego negar a todos los demás. 29 00:02:17,740 --> 00:02:21,210 Una vez más, uniríamos la Lista de control de acceso entrante en fust. 30 00:02:21,220 --> 00:02:22,590 Ethan en serio. 31 00:02:22,710 --> 00:02:28,690 Para que la lista de acceso sea lo más eficiente posible, una vez más no queremos que el 32 00:02:28,690 --> 00:02:34,390 Rodda tenga que procesar los paquetes internamente solo para que se eliminen en una interfaz de salida externa. 33 00:02:34,510 --> 00:02:43,410 Entonces vincularemos la Lista de Control de Acceso entrante así que en Narada entrando en el modo de configuración global tema Estoy en la 34 00:02:43,410 --> 00:02:51,490 lista de acceso y en este caso elijo el número 4 y permitiremos en este caso una subred específica tan tierna que 35 00:02:51,500 --> 00:02:54,000 se pregunta 1. 0. 36 00:02:54,410 --> 00:02:59,080 Y luego tenemos que poner en la mezquita comodín Jazeerah en el partido de los medios binarios. 37 00:02:59,090 --> 00:03:06,050 De modo que el primer octeto 10 coincida con el segundo Optik uno debe coincidir con ese octeto que debe coincidir en el último octeto 38 00:03:06,050 --> 00:03:07,880 y puede ser igual a cualquier cosa. 39 00:03:08,270 --> 00:03:09,520 Hay una negación implícita. 40 00:03:09,620 --> 00:03:12,060 Entonces no tenemos que especificar nada más. 41 00:03:12,080 --> 00:03:16,560 Sin embargo, si desea registrar información, puede hacer lo siguiente. 42 00:03:16,720 --> 00:03:21,370 Lista de Denie y notó la opción. 43 00:03:21,520 --> 00:03:29,350 Todos notan este registro de opciones que nos permitiría registrar información para asistir el registro del servidor de registro localmente en el 44 00:03:29,350 --> 00:03:32,660 enrutador para que podamos ver qué paquetes fueron denegados. 45 00:03:32,890 --> 00:03:38,740 Cuando se trata de iniciar sesión, lo mejor es no iniciar sesión localmente en el enrutador, sino enviarlo a un 46 00:03:38,740 --> 00:03:40,500 servidor como un servidor de registro. 47 00:03:40,510 --> 00:03:46,390 El motivo es que el Rodda tiene un espacio limitado para almacenar los mensajes de registro, mientras que si lo almacena 48 00:03:46,390 --> 00:03:52,090 en un servidor de registro, puede almacenar grandes cantidades de datos debido al tamaño de los discos duros en estos días. 49 00:03:52,120 --> 00:03:57,060 Por lo tanto, tiene sentido hacer una copia de seguridad de la información de registro en un servidor externo. 50 00:03:57,430 --> 00:04:08,620 El último paso en este ejemplo es ir a la interfaz 0 cero y el tema viene en el grupo de Ickey X-ists para un. 51 00:04:08,760 --> 00:04:10,980 Una vez más, puedo acceder a la lista 52 00:04:14,480 --> 00:04:21,080 de acceso si solo quería ver esa lista específica de X-ists, pero un número en la lista de acceso puede ver que la 53 00:04:21,080 --> 00:04:26,340 primera línea dice permiso 10 1 1 0 con wild card bets 0 0 0 2 4 5. 54 00:04:26,870 --> 00:04:34,060 Y la segunda línea dice negar cualquier y bloquear la información de las apuestas show p interface. 55 00:04:34,100 --> 00:04:35,400 En serio ceara. 56 00:04:37,440 --> 00:04:40,200 Me mostró que la lista de acceso entrante es para. 57 00:04:40,440 --> 00:04:46,020 Así que hemos atado la lista de X-ists para el entrante en Ethan con hilo dental, es una barra 0. 58 00:04:46,100 --> 00:04:48,290 Ahora este ejemplo la interfaz está cerrada. 59 00:04:48,550 --> 00:04:52,780 No estoy demasiado preocupado porque solo te estoy mostrando la sintaxis de las listas de acceso en lugar 60 00:04:52,780 --> 00:04:54,280 de verificar tu ejemplo de trabajo. 61 00:04:55,040 --> 00:04:59,590 Tenga cuidado al agregar un denie explícito como lo hice en este ejemplo. 62 00:04:59,600 --> 00:05:05,270 Debe leer entre líneas en las preguntas y asegurarse de que se le pide explícitamente que denegue 63 00:05:05,270 --> 00:05:12,770 el tráfico si no se le solicita, no agregue la línea denegar ninguna, ya que pueden estar probando para asegurarse de que sabe 64 00:05:12,770 --> 00:05:14,390 acerca de la denegación implícita. 65 00:05:14,510 --> 00:05:17,530 Al final de cada lista de acceso. 66 00:05:17,620 --> 00:05:24,790 Otro ejemplo en este caso es que queremos permitir 10 1 1 1 2 telnet al enrutador y luego queremos negar a todos 67 00:05:24,790 --> 00:05:29,650 los demás que se lo digan al enrutador y permitir el tráfico en cualquier otro lugar. 68 00:05:29,710 --> 00:05:32,420 Ahora, una vez más, debe leer cuidadosamente entre líneas. 69 00:05:32,440 --> 00:05:36,310 En este ejemplo, estamos configurando una lista de control de acceso estándar. 70 00:05:36,520 --> 00:05:43,300 Entonces, la única forma de hacerlo es vincular la Lista de control de acceso estándar en Vietti Wilens. Acuérdese 71 00:05:43,340 --> 00:05:48,530 de IPX. Estas listas no pueden determinar el protocolo ni las direcciones de destino. 72 00:05:48,580 --> 00:05:55,060 Entonces, si el ejemplo es pedir una lista de acceso IP estándar para denegar permitirá Telnet, entonces 73 00:05:55,060 --> 00:06:03,460 usted sabe que tiene que vincular esa lista de acceso en las líneas de Viti y ver como ejemplo voy a decirle 74 00:06:03,460 --> 00:06:12,360 a Arata que este caso es la dirección 10 0 0 2 FoxxHole pero en mi nombre de usuario poner mi contraseña encabezando 75 00:06:12,360 --> 00:06:19,890 la línea de tiempo de ejecución del show run me mostrará qué está configurado en las líneas de este enrutador. 76 00:06:21,460 --> 00:06:27,220 Como pueden ver aquí, no hay listas de acceso en las tierras vírgenes de Shradha. Entonces puedo hacer 77 00:06:27,220 --> 00:06:27,990 lo siguiente. 78 00:06:28,830 --> 00:06:29,900 Lista de acceso. 79 00:06:30,030 --> 00:06:38,630 Escojamos un número como 10 Palmet y observemos que la dirección IP es 10 1 1 1. 80 00:06:38,910 --> 00:06:43,860 Nadie más tiene permitido hacer telnet al Rodda, así que comprométase 10 1 1 1. 81 00:06:44,410 --> 00:06:52,510 Y luego puedo ir a la línea entre Solangi 2 0 0 0 para que Anani use el acceso común. Clauss en lugar del 82 00:06:52,510 --> 00:06:59,430 grupo de acceso indicó que puede especificar la lista de acceso estándar o las listas de acceso de IP ampliado en 83 00:07:00,000 --> 00:07:01,520 las primeras páginas de Ioway. 84 00:07:01,560 --> 00:07:06,150 Solo puede elegir el estándar en las listas de acceso pero en estos días puede usar ambos. 85 00:07:06,360 --> 00:07:08,230 En una ACL extendida. 86 00:07:08,490 --> 00:07:10,740 Así que voy a elegir 10. 87 00:07:10,920 --> 00:07:16,010 Y note que puedo doblar a las conexiones de telnet entrantes o a las conexiones de telnet salientes. 88 00:07:16,010 --> 00:07:17,270 Así que voy a especificar en 89 00:07:20,120 --> 00:07:22,070 un Voy a intentar y telnet al Rodda nuevamente. 90 00:07:22,100 --> 00:07:25,640 Entonces Telenet 10 0 0 2 5 4. 91 00:07:25,970 --> 00:07:33,820 Y observe que la conexión telnet no se abre porque negamos telnet al Rodda solo para demostrarle 92 00:07:33,820 --> 00:07:43,000 que si elimino este acceso a Clauss y luego lo vuelvo a instalar, me doy cuenta de que puedo hacer 93 00:07:43,000 --> 00:07:49,720 telnet y puedo iniciar sesión correctamente. conecta pero esa lista de acceso vuelve otra vez. 94 00:07:51,130 --> 00:07:55,010 Tron telnet y notó que telnet es denegado. 95 00:07:55,350 --> 00:08:02,820 Por lo tanto, no se olvide de las listas de acceso que se pueden encontrar en las líneas anchas de Viti para permitir o denegar 96 00:08:02,850 --> 00:08:05,600 el acceso de telnet o S-sh a un enrutador. 97 00:08:05,630 --> 00:08:17,480 Una vez más, mostrar la sección de ejecución de la tubería, una línea me muestra que tengo acceso a la Cláusula 10 en la línea de Viti y no puedo 98 00:08:17,480 --> 00:08:23,730 hacer telnet desde mi PC para echar un vistazo a la dirección IP de mi PC. 99 00:08:24,980 --> 00:08:36,510 Como verá aquí, la dirección IP es 10 0 0 0 1, por lo que en la ruta a mi tema, no estoy en la lista de acceso. 100 00:08:36,740 --> 00:08:37,750 10. 101 00:08:37,820 --> 00:08:38,660 Ten cuidado con eso 102 00:08:38,660 --> 00:08:39,260 Vamos. 103 00:08:39,320 --> 00:08:45,460 No solo elimina una línea en la lista de acceso, sino que elimina toda la lista de 104 00:08:45,500 --> 00:08:52,040 acceso, deteniendo el comando, muestra que la lista de acceso 10 esquematizará que esa lista de acceso no existe. 105 00:08:52,070 --> 00:08:58,780 Así que acabo de eliminar la lista de acceso por completo, pero podría hablar con ellos en la lista de acceso 10, permiso 106 00:08:58,910 --> 00:09:02,030 10 0 0 1 y luego ir a mi línea. 107 00:09:02,030 --> 00:09:02,880 Pero por qué. 108 00:09:02,960 --> 00:09:04,690 Solo asegúrate de que se encuentre. 109 00:09:04,960 --> 00:09:16,850 Entonces, acceda a Clauss 10 en Knopf y trate de que telnet notara que telnet es exitoso. 110 00:09:17,080 --> 00:09:18,640 Así que puedo decirle 111 00:09:24,020 --> 00:09:30,550 eso al Rodda ahora es Vianney, el comando muestra la lista de Acceso, puedes ver que 112 00:09:30,550 --> 00:09:35,590 hay dos coincidencias en la lista sexista, pero dime nuevamente, muestra c'mon. 113 00:09:35,600 --> 00:09:38,570 Observe que las coincidencias están aumentando. 114 00:09:38,580 --> 00:09:43,290 ¿Todavía puedo decirlo a la derecha si elimino esta lista de acceso entonces voy a tener que entrar en la 115 00:09:43,290 --> 00:09:43,920 lista de acceso. 116 00:09:45,440 --> 00:09:48,550 10 Haga el comando show. 117 00:09:48,730 --> 00:09:51,090 Y como puede ver, la lista de acceso se ha eliminado. 118 00:09:52,540 --> 00:09:56,000 Desconectaré mi explicación de su problema y me dejaré ver si puedo volver a contarlo. 119 00:09:56,380 --> 00:10:06,980 Y como pueden ver, puedo ir en exceso para mostrar que la línea de sección de tipo de ejecución me muestra que la lista 120 00:10:10,090 --> 00:10:14,900 de acceso todavía está encuadernada y esta es una gran cuestión. 121 00:10:14,900 --> 00:10:17,880 Esto también se aplica al acceso a Lisburn en las interfaces. 122 00:10:18,020 --> 00:10:22,130 Puede enlazar una lista de acceso inexistente en una interfaz. 123 00:10:22,130 --> 00:10:28,310 Es muy peligroso porque si alguien más tarde acreditó esa lista de acceso y digamos 124 00:10:28,310 --> 00:10:33,980 que la configuró inadvertidamente para otra cosa, esa lista de acceso se activaría inmediatamente 125 00:10:33,980 --> 00:10:39,280 y el tráfico sería denegado o permitido inesperadamente según la nueva lista de acceso. 126 00:10:39,290 --> 00:10:46,350 Entonces, digamos que le permitimos a Tenet uno o dos a uno argumentos como ahora de repente 127 00:10:46,350 --> 00:10:51,020 contándole al aviso de Rodda que la sesión de telnet es denegada. 128 00:10:51,020 --> 00:10:56,540 Tenga mucho cuidado con sus listas de acceso crearlos y luego vincularlos. 129 00:10:56,540 --> 00:10:59,920 Si los elimina, elimínelos de los enlaces. 130 00:10:59,930 --> 00:11:04,190 En otras palabras, eliminarlos de las líneas blancas de Viti o de las interfaces. 131 00:11:04,430 --> 00:11:11,540 No permita que las listas de acceso no existentes se vinculen a las interfaces y no permita que las listas de 132 00:11:11,540 --> 00:11:15,440 acceso existan en una configuración que no se vincule de todos modos. 133 00:11:17,200 --> 00:11:23,050 Solo un recordatorio de los comentarios comentados nos permite agregar descripciones para acceder a las listas de control 134 00:11:23,050 --> 00:11:28,610 para que sean más fáciles de entender, con un acceso menos complicado, ya que pueden complicarse bastante. 135 00:11:28,610 --> 00:11:34,330 Si tiene una ACL de 10 líneas o 20 líneas, lo último que desea hacer es descifrar qué se pretende que 136 00:11:34,330 --> 00:11:35,640 haga la lista de acceso. 137 00:11:35,860 --> 00:11:39,750 Por lo tanto, agregar comentarios puede hacer que sea mucho más fácil de seguir y comprender. 138 00:11:40,030 --> 00:11:48,300 Al encabezar la lista de acceso del show de come en Misrata, se muestran las listas de acceso configuradas en este momento. 139 00:11:48,420 --> 00:11:55,080 Puede ver que hay listas de acceso con varias líneas, pero en sí mismas no significan mucho más que 140 00:11:55,080 --> 00:11:55,750 hacer eso. 141 00:11:55,770 --> 00:12:03,890 Vamos a crear una lista de acceso, es la lista de acceso 5 cometerlo decir, por ejemplo, 10 1 2 a 1. 142 00:12:04,300 --> 00:12:12,970 Pero ahora lo que puedes hacer es decir, es list 5 Ramshaw y ahora puedes poner un comentario de hasta 100 caracteres, algo 143 00:12:13,440 --> 00:12:14,140 así como. 144 00:12:14,150 --> 00:12:14,690 Comprométete 145 00:12:17,760 --> 00:12:28,890 a conocer el acceso del jefe al servidor de intercambio o lo que sea que decidas ahora, superando la lista de X-ists de C'mon show que no muestra esa 146 00:12:28,910 --> 00:12:29,360 observación, 147 00:12:33,220 --> 00:12:35,650 pero no como si yo lo hiciera. 148 00:12:35,660 --> 00:12:37,240 Vamos show run. 149 00:12:37,270 --> 00:12:42,060 Lista de acceso de Inkley. 150 00:12:42,080 --> 00:12:49,070 Observe que la observación se muestra en la lista de acceso, lo que hace que sea mucho más fácil ver lo que está sucediendo. 151 00:12:49,100 --> 00:12:53,840 Podría crear otra línea en ese acceso para acceder a 5 remet y luego 152 00:12:57,570 --> 00:12:59,050 podría crear otro simulacro 153 00:13:08,100 --> 00:13:09,140 de algo así. 154 00:13:10,030 --> 00:13:13,250 Y al no ser el mismo, vuelva a encender la tubería de ejecución de ejecución. 155 00:13:17,420 --> 00:13:21,560 La lista de acceso CLEET me permite ver cada línea en la lista de acceso y su observación relevante. 156 00:13:21,740 --> 00:13:28,960 Por lo tanto, es mucho más fácil entender qué sucede con algunas pautas sobre listas de acceso. 157 00:13:28,970 --> 00:13:33,170 En primer lugar, la parte superior de la lista de acceso indica qué puede fallar. 158 00:13:33,220 --> 00:13:40,950 En otras palabras, una lista de acceso estándar solo puede en direcciones IP o redes de origen y control de lista de acceso 159 00:13:40,950 --> 00:13:46,990 IP extendido a direcciones de origen y destino, números de puerto de origen y destino y varias otras 160 00:13:46,990 --> 00:13:53,070 opciones relacionadas con protocolos IP, por lo que las listas de acceso extendidas tienden a ser mucho más poderoso. 161 00:13:53,110 --> 00:13:56,290 El orden de procesamiento también es de gran importancia. 162 00:13:56,290 --> 00:13:59,710 Primero debe colocarle declaraciones más específicas. 163 00:13:59,710 --> 00:14:07,320 Si su primera declaración fue permitida y su segunda declaración fue denegar host 10:01, una segunda declaración de 164 00:14:07,320 --> 00:14:12,190 denegación sería irrelevante debido a su primera declaración diciendo que permitía cualquiera. 165 00:14:12,460 --> 00:14:15,610 Recuerde el control de acceso enumera un proceso de arriba hacia abajo. 166 00:14:15,610 --> 00:14:19,360 Si hay una coincidencia en una línea, todas las líneas subsiguientes son ignoradas. 167 00:14:19,360 --> 00:14:26,050 Así que permito que cualquier coincida y se permita todo el tráfico, incluido el tráfico del host 10:01 uno, 168 00:14:26,050 --> 00:14:31,270 y se ignore la segunda línea que niega el host 10 uno por uno. 169 00:14:31,270 --> 00:14:37,300 No olvide que hay una denegación implícita al final de cada lista de Control de acceso a 170 00:14:37,300 --> 00:14:40,540 menos que permita explícitamente algo que se le negará. 171 00:14:40,540 --> 00:14:46,920 Solo una lista de acceso puede vincularse a su interfaz por dirección y por protocolo. 172 00:14:46,930 --> 00:14:54,790 En otras palabras, una ACL de la versión 4 de la IP puede vincularse o no por interfaz. 173 00:14:54,790 --> 00:15:01,120 No puede tener que recurrir a Activision para las listas de acceso entrantes en la misma interfaz que puede tener 174 00:15:01,120 --> 00:15:02,570 una entrada y una salida. 175 00:15:02,590 --> 00:15:08,890 Como ya he demostrado, si intenta vincular dos listas de acceso IP entrantes en la misma interfaz, la 176 00:15:08,890 --> 00:15:10,810 segunda solo reemplazará la primera. 177 00:15:12,320 --> 00:15:14,530 Entonces, ¿dónde debería colocar sus listas de acceso? 178 00:15:14,570 --> 00:15:21,140 Ahora, la mejor práctica de Cisco es colocar ACL con stent lo más cerca posible del destino y la razón 179 00:15:21,380 --> 00:15:24,820 de esto es que no puede coincidir con protocolos específicos. 180 00:15:24,950 --> 00:15:31,430 Ahora, en el mundo real, la mayoría de las implementaciones de ACL utilizarán listas de acceso IP ampliadas debido al hecho de que puede 181 00:15:31,430 --> 00:15:37,460 filtrar en función tanto de la dirección IP de origen como de destino, así como de los puertos de origen y de 182 00:15:37,460 --> 00:15:38,730 destino, y así sucesivamente. 183 00:15:39,110 --> 00:15:44,850 Mientras que con las listas de control de acceso basadas en IP, solo puede utilizar la dirección de origen. 184 00:15:44,900 --> 00:15:52,910 Entonces, en este ejemplo, si no desea que 10 1 en 1 se conecte a este servidor 10 1 a 1, puede vincular una 185 00:15:52,910 --> 00:16:00,890 lista de acceso IP estándar de entrada y / o de uno o de salida y / o uno o de entrada y 186 00:16:00,890 --> 00:16:02,600 / o de salida. . 187 00:16:02,720 --> 00:16:11,030 Si decidió vincular una lista de acceso que deniega este host entrante y / o uno, no solo denegaría el acceso 10 1 188 00:16:11,030 --> 00:16:18,200 1 1 al servidor, sino que también negaría el acceso del host a todas las demás partes de la red 189 00:16:18,680 --> 00:16:25,580 porque no puede especificar un destino, pero solo una fuente si enlazó una lista de acceso en Bonan o 190 00:16:25,670 --> 00:16:28,090 un host de denegación 10 1 1 1. 191 00:16:28,130 --> 00:16:34,400 Usted negaría que el host tenga acceso a todas las partes de la red, por lo que este no sería un buen lugar para vincular 192 00:16:34,550 --> 00:16:35,690 esa lista de acceso. 193 00:16:36,620 --> 00:16:44,000 Si bombardea la lista de acceso saliente y / o uno que dice denie host 10 uno a uno, el host podría 194 00:16:44,000 --> 00:16:45,810 tener acceso a este host. 195 00:16:45,870 --> 00:16:51,050 Una vez más, a las 10:01 uno se le negaría el acceso a esta red. 196 00:16:51,050 --> 00:16:57,350 Esta red, así como esta red, porque una vez más, solo se puede denegar en la dirección de 197 00:16:57,350 --> 00:17:02,840 origen con una lista de acceso IP estándar, no en el destino los números de puerto. 198 00:17:02,840 --> 00:17:08,750 Si decidió vincular la lista de acceso entrante y / o al host 10:01, uno tendría acceso a esta 199 00:17:08,750 --> 00:17:14,870 red, así como a esta red, pero no tendría acceso a esta red o a esta red, por lo 200 00:17:14,870 --> 00:17:16,250 que tampoco funcionaría. . 201 00:17:17,090 --> 00:17:23,600 Y, por último, si decidiera vincular la lista de acceso saliente en rt, sería el lugar óptimo para publicar la 202 00:17:23,600 --> 00:17:30,830 lista de X-ists porque se le estaría negando al host 10 1 1 1 acceso al servidor que no se le estaría 203 00:17:30,830 --> 00:17:36,110 negando el acceso al host a cualquier otra parte de la red y que lograría lo 204 00:17:36,110 --> 00:17:37,600 que se propuso hacer. 205 00:17:38,090 --> 00:17:44,300 Sin embargo, con las listas ampliadas de acceso IP, la recomendación es colocar la lista de acceso lo más 206 00:17:44,300 --> 00:17:45,920 cerca posible de la fuente. 207 00:17:45,920 --> 00:17:51,450 La razón de esto es que puede hacer coincidir protocolos específicos y direcciones de destino específicas. 208 00:17:51,500 --> 00:17:59,840 Por lo tanto, si quema una lista de acceso entrante y / o una podría negarle a este host 10 1 1 1 acceso a 209 00:17:59,840 --> 00:18:01,960 este host 10 1 a 1. 210 00:18:02,330 --> 00:18:09,050 Pero permita que este host acceda a cualquier otra parte de la red y así podrá lograr lo 211 00:18:09,050 --> 00:18:10,250 que se propone. 212 00:18:10,400 --> 00:18:15,590 Y este ejemplo sería mucho más eficiente que el ejemplo anterior porque en este punto 213 00:18:15,620 --> 00:18:22,150 se estaría denegando el tráfico en lugar de enrutarlo a lo largo de la red hasta o simplemente para descartarlo. 214 00:18:22,370 --> 00:18:28,640 Por lo tanto, las listas de acceso a IP ampliadas son mucho más flexibles y mucho más eficientes, por lo que tienden 215 00:18:28,640 --> 00:18:30,530 a utilizarse más en el mundo real.