1 00:00:00,820 --> 00:00:07,870 Diamo un'occhiata a un altro esempio in questo esempio, vogliamo promuovere l'host 10 1 1 1 2 7 10 1 2 2 00:00:07,870 --> 00:00:08,390 1. 3 00:00:08,620 --> 00:00:15,040 Quindi questo host dovrebbe essere autorizzato al server che vogliamo negare a tutti di inviare traffico a 4 00:00:15,040 --> 00:00:15,900 quel server. 5 00:00:16,180 --> 00:00:19,750 Ma vogliamo anche consentire al traffico di andare a tutti gli altri server. 6 00:00:19,780 --> 00:00:22,690 Quindi chiunque dovrebbe essere in grado di connettersi a tutti i server. 7 00:00:22,720 --> 00:00:27,690 Quindi, la prima decisione è di nuovo dove stiamo andando a legare questo elenco di controllo di accesso e in quale direzione. 8 00:00:28,000 --> 00:00:28,890 Quindi potremmo farlo. 9 00:00:28,930 --> 00:00:36,310 Se sera sera è in-bound o possiamo vincolarlo su 0 1 in uscita il problema con il tentativo di associare la lista 10 00:00:36,310 --> 00:00:43,380 di accesso se seriamente Zerah è che non possiamo specificare gli indirizzi di destinazione con un elenco di accesso IP standard. 11 00:00:43,450 --> 00:00:49,240 Puoi solo specificare gli indirizzi di origine in modo da non essere in grado di implementare la 12 00:00:49,240 --> 00:00:56,260 dichiarazione che dice di negare a tutti gli altri server specifici, ma di consentire il traffico a tutti gli altri server, 13 00:00:56,260 --> 00:01:03,040 perché altrimenti stai per negare e la prossima affermazione sta andando essere permesso a tutti quelli che non funzioneranno perché il 14 00:01:03,100 --> 00:01:04,990 permesso non sarà mai usato. 15 00:01:04,990 --> 00:01:08,140 Quindi, quello che faremo sarà legarlo su questa interfaccia in uscita. 16 00:01:08,250 --> 00:01:15,370 Se si utilizza Sirus Lesch, segui anche le best practice che dicono che dovresti associare gli elenchi di accesso IP 17 00:01:15,370 --> 00:01:18,360 stent il più vicino possibile alla destinazione. 18 00:01:18,370 --> 00:01:20,400 Spiegherò di più su questo in un momento. 19 00:01:21,780 --> 00:01:26,100 Quindi sul nostro router potremmo configurare questi elenchi di controllo di accesso andando nella modalità di configurazione 20 00:01:26,970 --> 00:01:28,830 globale e completando l'elenco di X-ists. 21 00:01:29,290 --> 00:01:37,340 Scegliamo il numero tre Palmet 10 ma uno che 1. 1. 22 00:01:37,450 --> 00:01:47,210 E poi potremmo entrare nell'interfaccia se 0 1 un argomento sul gruppo di accesso IP tre fuori. 23 00:01:47,220 --> 00:01:50,580 Quindi, ancora una volta, potrei fare gli elenchi di accesso di C'mon 24 00:01:54,100 --> 00:01:57,210 show che mi mostrano semplicemente quell'accesso semplice che ho appena creato. 25 00:01:57,240 --> 00:02:03,260 Il problema qui era ricordare un modo per legare la lista di accesso e ricordare che non è 26 00:02:03,350 --> 00:02:08,280 necessario negare alcuno alla fine perché c'è un rifiuto implicito in un'istruzione di Access. 27 00:02:08,530 --> 00:02:10,900 Voglio dire spiegare cosa significa questo numero 10 in un attimo. 28 00:02:12,400 --> 00:02:17,740 In questo esempio si desidera autorizzare la sottorete 10 1 1 0 e quindi negare a tutti gli altri. 29 00:02:17,740 --> 00:02:21,210 Ancora una volta legheremo la lista di controllo degli accessi in entrata. 30 00:02:21,220 --> 00:02:22,590 Ethan sul serio. 31 00:02:22,710 --> 00:02:28,690 Per rendere il più efficiente possibile l'elenco degli accessi, ancora una volta non vogliamo che Rodda 32 00:02:28,690 --> 00:02:34,390 debba elaborare internamente i pacchetti solo per farli cadere su un'interfaccia esterna in uscita. 33 00:02:34,510 --> 00:02:43,410 Quindi legheremo la lista di controllo di accesso in ingresso in modo che Narada vada in modalità di configurazione globale argomento Sono nella 34 00:02:43,410 --> 00:02:51,490 lista di accesso e in questo caso scelgo il numero 4 e consentiremo in questo caso una sottorete specifica così tenera 35 00:02:51,500 --> 00:02:54,000 e meravigliata 1. 0. 36 00:02:54,410 --> 00:02:59,080 E poi dobbiamo inserire la moschea jollyerah in una partita binaria. 37 00:02:59,090 --> 00:03:06,050 Quindi il primo ottetto 10 corrisponde al secondo Optik deve corrispondere a quello che un ottetto deve corrispondere all'ultimo ottetto può 38 00:03:06,050 --> 00:03:07,880 essere uguale a qualsiasi cosa. 39 00:03:08,270 --> 00:03:09,520 C'è un rifiuto implicito. 40 00:03:09,620 --> 00:03:12,060 Quindi non dobbiamo specificare altro. 41 00:03:12,080 --> 00:03:16,560 Tuttavia, se si desidera registrare le informazioni, è possibile eseguire quanto segue. 42 00:03:16,720 --> 00:03:21,370 Elenco per denie e notato l'opzione. 43 00:03:21,520 --> 00:03:29,350 Qualsiasi avviso questo registro di opzione che ci consentirebbe di registrare le informazioni per assistere il log del server di registro localmente sul router 44 00:03:29,350 --> 00:03:32,660 in modo che possiamo vedere quali pacchetti sono stati negati. 45 00:03:32,890 --> 00:03:38,740 Per quanto riguarda la registrazione, è consigliabile non effettuare il login locale sul router ma inviarlo a un server 46 00:03:38,740 --> 00:03:40,500 come un server di registro. 47 00:03:40,510 --> 00:03:46,390 Il motivo è che Rodda ha uno spazio limitato per l'archiviazione dei messaggi di registro, mentre se lo memorizzi su un 48 00:03:46,390 --> 00:03:52,090 server di log puoi memorizzare enormi quantità di dati a causa della dimensione dei dischi rigidi al giorno d'oggi. 49 00:03:52,120 --> 00:03:57,060 Quindi ha senso riportare le informazioni di registrazione su un server esterno. 50 00:03:57,430 --> 00:04:08,620 L'ultimo passaggio in questo esempio è passare all'interfaccia 0 zero e l'argomento entra in Ickey X-ists per un gruppo. 51 00:04:08,760 --> 00:04:10,980 Ancora una volta posso accedere alla lista 52 00:04:14,480 --> 00:04:21,080 di accesso se solo volessi vedere quella lista di X-list specifica ma un numero nella lista di accesso per cui puoi vedere la prima 53 00:04:21,080 --> 00:04:26,340 riga che dice il permesso 10 1 1 0 con le scommesse jolly 0 0 0 2 4 5. 54 00:04:26,870 --> 00:04:34,060 E la seconda riga sta dicendo di negare qualsiasi e bloccare le informazioni sulle scommesse mostrano l'interfaccia p. 55 00:04:34,100 --> 00:04:35,400 Seriamente ceara. 56 00:04:37,440 --> 00:04:40,200 Mi hai mostrato che l'elenco di accesso in entrata è per. 57 00:04:40,440 --> 00:04:46,020 Quindi abbiamo associato la lista X-ists per l'entrata su filo interdentale Ethan's slash 0. 58 00:04:46,100 --> 00:04:48,290 Ora questo esempio l'interfaccia è spenta. 59 00:04:48,550 --> 00:04:52,780 Non sono troppo preoccupato perché ti sto solo mostrando la sintassi degli elenchi di accesso piuttosto che 60 00:04:52,780 --> 00:04:54,280 controllando il tuo esempio di lavoro. 61 00:04:55,040 --> 00:04:59,590 Fai attenzione con l'aggiunta di un denie esplicito come ho fatto in questo esempio. 62 00:04:59,600 --> 00:05:05,270 Devi leggere tra le righe delle domande e assicurarti che ti venga chiesto esplicitamente di negare 63 00:05:05,270 --> 00:05:12,770 il traffico se non ti viene chiesto di non aggiungere la riga per negare alcunché, poiché potrebbero essere testati per assicurarti di 64 00:05:12,770 --> 00:05:14,390 conoscere la negazione implicita. 65 00:05:14,510 --> 00:05:17,530 Alla fine di ogni elenco di accesso. 66 00:05:17,620 --> 00:05:24,790 Un altro esempio in questo caso vogliamo consentire 10 1 1 1 2 telnet al router e quindi si vuole negare a tutti 67 00:05:24,790 --> 00:05:29,650 gli altri di dirlo al router e consentire il traffico da qualsiasi altra parte. 68 00:05:29,710 --> 00:05:32,420 Ora ancora una volta devi leggere attentamente le righe. 69 00:05:32,440 --> 00:05:36,310 In questo esempio stiamo impostando un elenco di controllo di accesso standard. 70 00:05:36,520 --> 00:05:43,300 Quindi l'unico modo per farlo è quello di associare la lista di controllo di accesso standard su Vietti Wilens, ricordare 71 00:05:43,340 --> 00:05:48,530 poi che IPX Questo elenco non può determinare il protocollo o gli indirizzi di destinazione. 72 00:05:48,580 --> 00:05:55,060 Quindi se l'esempio chiede un elenco di accesso IP standard da negare permetterà telnet 73 00:05:55,060 --> 00:06:03,460 allora sai che devi legare quell'elenco di accesso sulle linee Viti y come un esempio vado a dire ad Arata 74 00:06:03,460 --> 00:06:12,360 che in questo caso l'indirizzo è 10 0 0 2 FoxxHole ma nel mio username inserendo la mia password in cima 75 00:06:12,360 --> 00:06:19,890 alla riga di riepilogo dell'evento in esecuzione mi mostrerà cosa è configurato sulle linee di questo router. 76 00:06:21,460 --> 00:06:27,220 Come puoi vedere qui non ci sono elenchi di accesso sulle terre selvagge di Viti dello Shradha, quindi posso fare 77 00:06:27,220 --> 00:06:27,990 quanto segue. 78 00:06:28,830 --> 00:06:29,900 Lista di accesso 79 00:06:30,030 --> 00:06:38,630 Prendiamo solo un numero come 10 Palmet e notiamo che l'indirizzo IP è 10 1 1 1. 80 00:06:38,910 --> 00:06:43,860 Nessun altro è autorizzato a telnet per il Rodda, quindi commetti 10 1 1 1. 81 00:06:44,410 --> 00:06:52,510 E poi posso andare sulla linea tra Solangi 2 0 0 0 per Anani per usare l'accesso comune Clauss piuttosto che per il gruppo 82 00:06:52,510 --> 00:06:59,430 di Access notato che è possibile specificare sia la lista di accesso standard che gli elenchi di accesso IP 83 00:07:00,000 --> 00:07:01,520 esteso in Ioway anticipato. 84 00:07:01,560 --> 00:07:06,150 Puoi scegliere lo standard solo negli elenchi di accesso, ma in questi giorni puoi utilizzare entrambi. 85 00:07:06,360 --> 00:07:08,230 In un ACL esteso. 86 00:07:08,490 --> 00:07:10,740 Quindi ho intenzione di scegliere 10. 87 00:07:10,920 --> 00:07:16,010 E notare che posso passare alle connessioni telnet in entrata o alle connessioni telnet in uscita. 88 00:07:16,010 --> 00:07:17,270 Quindi ho intenzione di specificare 89 00:07:20,120 --> 00:07:22,070 in un tentativo di telnet di nuovo a Rodda. 90 00:07:22,100 --> 00:07:25,640 Quindi Telenet 10 0 0 2 5 4. 91 00:07:25,970 --> 00:07:33,820 E notate che la connessione telnet non si apre perché stiamo negando telnet al Rodda solo per dimostrarlo, 92 00:07:33,820 --> 00:07:43,000 se rimuovo questo accesso a Clauss e poi lo rimetto di nuovo in guardia, sono in grado di telnet e posso 93 00:07:43,000 --> 00:07:49,720 accedere con successo è solo connetti ma quella lista di accesso torna di nuovo. 94 00:07:51,130 --> 00:07:55,010 Tron telnet e notato che il telnet è negato. 95 00:07:55,350 --> 00:08:02,820 Quindi, per favore, non dimenticare gli elenchi di accesso che possono essere trovati su linee Viti per consentire o negare 96 00:08:02,850 --> 00:08:05,600 l'accesso telnet o S-sh a un router. 97 00:08:05,630 --> 00:08:17,480 Ancora una volta mostra la sezione pipe run una linea mi mostra che ho la voce di accesso 10 giù sulla linea Viti y quindi non sono in 98 00:08:17,480 --> 00:08:23,730 grado di telnet dal mio PC di dare un'occhiata all'indirizzo IP del mio PC. 99 00:08:24,980 --> 00:08:36,510 Come vedrete qui l'indirizzo IP è 10 0 0 0 1 quindi sul percorso verso il mio argomento non sono in elenco di accesso. 100 00:08:36,740 --> 00:08:37,750 10. 101 00:08:37,820 --> 00:08:38,660 Stai attento con questo. 102 00:08:38,660 --> 00:08:39,260 Andiamo, forza. 103 00:08:39,320 --> 00:08:45,460 Non rimuove solo una riga nell'elenco di accesso, ma elimina l'intero elenco di accessi, ma 104 00:08:45,500 --> 00:08:52,040 interrompendo il comando do show l'elenco di accessi 10 stabilirà che tale elenco di accessi non esiste. 105 00:08:52,070 --> 00:08:58,780 Quindi ho appena cancellato completamente la lista degli accessi ma potrei parlare con loro sulla lista di accesso 10 per consentire 10 106 00:08:58,910 --> 00:09:02,030 0 0 1 e poi andare sulla mia linea. 107 00:09:02,030 --> 00:09:02,880 Perché? 108 00:09:02,960 --> 00:09:04,690 Assicurati che sia stato trovato. 109 00:09:04,960 --> 00:09:16,850 Quindi, l'accesso a Clauss 10 in Knopf sta provando che Telnet ha notato che Telnet ha avuto successo. 110 00:09:17,080 --> 00:09:18,640 Quindi sono in grado 111 00:09:24,020 --> 00:09:30,550 di dirlo al Rodda ora è Vianney il comando mostra Access listin puoi vedere che ci sono 112 00:09:30,550 --> 00:09:35,590 due partite nella lista dei sessisti ma dimmi di nuovo mostra show c'mon. 113 00:09:35,600 --> 00:09:38,570 Si noti che le partite stanno aumentando. 114 00:09:38,580 --> 00:09:43,290 Posso ancora dirlo a destra se elimino questo elenco di accesso, quindi dovrò venire sulla lista 115 00:09:43,290 --> 00:09:43,920 di accesso. 116 00:09:45,440 --> 00:09:48,550 10 Fai il comando show. 117 00:09:48,730 --> 00:09:51,090 E come puoi vedere l'elenco degli accessi è stato rimosso. 118 00:09:52,540 --> 00:09:56,000 Scollegherò dicendo che è un problema e fammi vedere se posso dirlo di nuovo. 119 00:09:56,380 --> 00:10:06,980 E come puoi vedere, posso andare in eccesso per mostrare la linea di sezione del tipo di esecuzione, mi mostra che la lista di 120 00:10:10,090 --> 00:10:14,900 accesso è ancora vincolata e questo è un grande trucco. 121 00:10:14,900 --> 00:10:17,880 Questo vale anche per accedere a Lisburn legato su interfacce. 122 00:10:18,020 --> 00:10:22,130 È possibile associare un elenco di accesso inesistente a un'interfaccia. 123 00:10:22,130 --> 00:10:28,310 È molto pericoloso perché se qualcuno in seguito accredita tale elenco di accessi e diciamo che 124 00:10:28,310 --> 00:10:33,980 lo ha inavvertitamente configurato per qualcos'altro, l'elenco di accesso diventerebbe immediatamente attivo e il 125 00:10:33,980 --> 00:10:39,280 traffico sarebbe negato o consentito inaspettatamente secondo il nuovo elenco di accesso. 126 00:10:39,290 --> 00:10:46,350 Quindi diciamo che abbiamo permesso a Tenet uno o due argomenti su uno come adesso, improvvisamente, riferendoci 127 00:10:46,350 --> 00:10:51,020 al messaggio di Rodda che la sessione telnet è stata negata. 128 00:10:51,020 --> 00:10:56,540 Fai molta attenzione con i tuoi elenchi di accesso, quindi creali e vincolali. 129 00:10:56,540 --> 00:10:59,920 Se li elimini rimuovili dai binding. 130 00:10:59,930 --> 00:11:04,190 In altre parole rimuoverli dalle linee bianche Viti o dalle interfacce. 131 00:11:04,430 --> 00:11:11,540 Non consentire che gli elenchi di accesso inesistenti siano associati alle interfacce e non consentire comunque agli elenchi 132 00:11:11,540 --> 00:11:15,440 di accesso di esistere in una configurazione non associata. 133 00:11:17,200 --> 00:11:23,050 Solo un promemoria sulle osservazioni delle osservazioni ci consente di aggiungere descrizioni agli elenchi di controllo di accesso in 134 00:11:23,050 --> 00:11:28,610 modo che siano più facili da capire con accesso meno accessibile in quanto possono essere abbastanza complicati. 135 00:11:28,610 --> 00:11:34,330 Se si dispone di un ACL a 10 righe o 20 linee, l'ultima cosa che si vuole fare è decifrare ciò che l'elenco di 136 00:11:34,330 --> 00:11:35,640 accesso è destinato a fare. 137 00:11:35,860 --> 00:11:39,750 Quindi aggiungere commenti può renderlo molto più facile da seguire e capire. 138 00:11:40,030 --> 00:11:48,300 In cima alla lista di accessi in mostra su Misurata mi mostra gli elenchi di accesso configurati al momento. 139 00:11:48,420 --> 00:11:55,080 Puoi vedere che ci sono elenchi di accesso con varie linee ma che in sé non significano altro che 140 00:11:55,080 --> 00:11:55,750 farlo. 141 00:11:55,770 --> 00:12:03,890 Creiamo un elenco di accessi è la lista di accesso 5 impegnarsi per esempio 10 1 2 a 1. 142 00:12:04,300 --> 00:12:12,970 Ma ora quello che puoi fare è che puoi dire è la lista 5 di Ramshaw e ora puoi inserire un commento di massimo 100 caratteri, quindi qualcosa 143 00:12:13,440 --> 00:12:14,140 di simile. 144 00:12:14,150 --> 00:12:28,890 Impegnati a incontrare l'accesso del capo al server di scambio o qualsiasi cosa tu decida, ora che tocchi quella lista di mostri 145 00:12:28,910 --> 00:12:35,650 X-ists non mostri quell'osservazione ma non come se fossi io. 146 00:12:35,660 --> 00:12:37,240 Dai, spettacolo. 147 00:12:37,270 --> 00:12:42,060 Lista di accesso di Inkley. 148 00:12:42,080 --> 00:12:49,070 Notare che l'osservazione è visualizzata nella lista di accesso che rende molto più facile vedere cosa sta succedendo. 149 00:12:49,100 --> 00:12:53,840 Potrei creare un'altra linea in quella struttura di accesso per accedere a 5 remet e quindi 150 00:12:57,570 --> 00:12:59,050 potrei crearne un'altra simile a 151 00:13:08,100 --> 00:13:09,140 qualcosa del genere. 152 00:13:10,030 --> 00:13:13,250 E non essere lo stesso venire di nuovo show run piping CLEET 153 00:13:17,420 --> 00:13:21,560 access list mi permette di vedere ogni riga nella lista degli accessi e le sue osservazioni rilevanti. 154 00:13:21,740 --> 00:13:28,960 In questo modo è molto più facile capire cosa sta succedendo su alcune linee guida relative agli elenchi di accesso. 155 00:13:28,970 --> 00:13:33,170 In primo luogo, la parte superiore dell'elenco di accesso indica ciò che può essere infettato. 156 00:13:33,220 --> 00:13:40,950 In altre parole, un elenco di accesso standard può essere utilizzato solo su indirizzi IP di origine o reti e controllo elenco di accesso IP 157 00:13:40,950 --> 00:13:46,990 esteso sia per gli indirizzi di origine e destinazione che per i numeri di porta di destinazione e 158 00:13:46,990 --> 00:13:53,070 varie altre opzioni relative ai protocolli IP, pertanto gli elenchi di accesso estesi tendono ad essere molto più potente. 159 00:13:53,110 --> 00:13:56,290 Anche l'ordine di elaborazione è di grande importanza. 160 00:13:56,290 --> 00:13:59,710 Dovresti inserire per prima cosa dichiarazioni più specifiche. 161 00:13:59,710 --> 00:14:07,320 Se la tua prima affermazione è stata autorizzata e la tua seconda affermazione è stata negata all'host 10:01, quella seconda affermazione di 162 00:14:07,320 --> 00:14:12,190 negazione sarebbe irrilevante a causa della tua prima affermazione che ne autorizza l'autorizzazione. 163 00:14:12,460 --> 00:14:15,610 Ricorda che il controllo degli accessi elenca un processo dall'alto verso il basso. 164 00:14:15,610 --> 00:14:19,360 Se c'è una corrispondenza su una riga, tutte le righe successive vengono ignorate. 165 00:14:19,360 --> 00:14:26,050 Quindi permetto ad alcuno di essere abbinato e tutto il traffico compreso il traffico dall'host 10:01 uno sarà 166 00:14:26,050 --> 00:14:31,270 permesso e la seconda riga che nega l'host 10 uno su uno verrebbe ignorata. 167 00:14:31,270 --> 00:14:37,300 Non dimenticare che esiste un rifiuto implicito alla fine di ogni elenco di controllo di accesso, a meno che 168 00:14:37,300 --> 00:14:40,540 tu non autorizzi esplicitamente qualcosa a cui verrà negato. 169 00:14:40,540 --> 00:14:46,920 Solo una lista di accesso può essere associata alla sua interfaccia per direzione per protocollo. 170 00:14:46,930 --> 00:14:54,790 In altre parole, un ACL di versione 4 IP può essere collegato in ingresso o in uscita per interfaccia. 171 00:14:54,790 --> 00:15:01,120 Non è possibile avere Activision per gli elenchi di accesso in entrata sulla stessa interfaccia che è possibile avere uno 172 00:15:01,120 --> 00:15:02,570 dentro e uno fuori. 173 00:15:02,590 --> 00:15:08,890 Come ho già dimostrato se si tenta di associare due elenchi di accesso IP in entrata sulla stessa interfaccia, 174 00:15:08,890 --> 00:15:10,810 il secondo sostituirà il primo. 175 00:15:12,320 --> 00:15:14,530 Quindi dove dovresti posizionare i tuoi elenchi di accesso. 176 00:15:14,570 --> 00:15:21,140 Ora la migliore pratica di Cisco consiste nel posizionare l'ACL stent il più vicino possibile alla destinazione e il 177 00:15:21,380 --> 00:15:24,820 motivo è che non è possibile abbinare protocolli specifici. 178 00:15:24,950 --> 00:15:31,430 Ora nel mondo reale la maggior parte delle implementazioni ACL utilizzerà elenchi di accesso IP estesi perché è possibile filtrare 179 00:15:31,430 --> 00:15:37,460 in base sia all'indirizzo IP di origine e di destinazione che alle porte di origine e di destinazione 180 00:15:37,460 --> 00:15:38,730 e così via. 181 00:15:39,110 --> 00:15:44,850 Considerando che con gli elenchi di controllo di accesso con stent IP è possibile basarsi solo sull'indirizzo di origine. 182 00:15:44,900 --> 00:15:52,910 Quindi, in questo esempio, se non si desidera che 10 1 su 1 si connetta a questo server 10 1 a 1, è 183 00:15:52,910 --> 00:16:00,890 possibile associare un elenco di accesso IP standard in ingresso eo uno o in uscita eo uno o in entrata eo in due 184 00:16:00,890 --> 00:16:02,600 o in uscita . 185 00:16:02,720 --> 00:16:11,030 Se hai deciso di associare un elenco di accesso negando questo host in entrata eo uno non solo negherebbe l'accesso 10 1 1 186 00:16:11,030 --> 00:16:18,200 1 al server ma negheresti anche l'accesso dell'host a tutte le altre parti della rete perché non può specificare 187 00:16:18,680 --> 00:16:25,580 una destinazione ma solo una fonte se si vincola una lista di accesso in Bonan o in una 188 00:16:25,670 --> 00:16:28,090 negazione dell'host 10 1 1 1. 189 00:16:28,130 --> 00:16:34,400 Negherebbe l'accesso dell'host a tutte le parti della rete, quindi questo non sarebbe un buon posto per legare tale 190 00:16:34,550 --> 00:16:35,690 elenco di accesso. 191 00:16:36,620 --> 00:16:44,000 Se bombardi l'elenco di accesso in uscita e uno dei due denunci l'host 10 uno contro uno, l'host potrebbe 192 00:16:44,000 --> 00:16:45,810 accedere a questo host. 193 00:16:45,870 --> 00:16:51,050 Ancora una volta 10:01 a uno sarebbe negato l'accesso a questa rete. 194 00:16:51,050 --> 00:16:57,350 Questa rete e questa rete perché ancora una volta si può solo negare l'indirizzo di origine 195 00:16:57,350 --> 00:17:02,840 con un elenco di accesso IP standard non sulla destinazione porteranno i numeri. 196 00:17:02,840 --> 00:17:08,750 Se decidessi di associare l'elenco di accesso in entrata e / o all'host 10:01, uno di questi avrebbe accesso 197 00:17:08,750 --> 00:17:14,870 a questa rete e anche a questa rete, ma non avrebbe accesso a questa rete oa questa rete in modo 198 00:17:14,870 --> 00:17:16,250 che non funzionasse . 199 00:17:17,090 --> 00:17:23,600 Infine, se decidessi di associare l'elenco di accesso in uscita su rt, sarebbe il posto migliore 200 00:17:23,600 --> 00:17:30,830 per pubblicare l'elenco X-ists perché negherebbe l'accesso all'host 10 1 1 1 al server che non negherebbe l'accesso 201 00:17:30,830 --> 00:17:36,110 all'host a qualsiasi altra parte della rete e che realizzeresti ciò che avevi 202 00:17:36,110 --> 00:17:37,600 deciso di fare. 203 00:17:38,090 --> 00:17:44,300 Tuttavia, con gli elenchi di accesso IP esteso, la raccomandazione è di posizionare l'elenco di accesso il 204 00:17:44,300 --> 00:17:45,920 più vicino possibile all'origine. 205 00:17:45,920 --> 00:17:51,450 Il motivo è che puoi abbinare protocolli specifici e specifici indirizzi di destinazione. 206 00:17:51,500 --> 00:17:59,840 Quindi se masterizzi una lista di accesso in entrata eo potresti dire di negare a questo host 10 1 1 1 l'accesso a questo 207 00:17:59,840 --> 00:18:01,960 host 10 1 a 1. 208 00:18:02,330 --> 00:18:09,050 Ma permettete a questo host di accedere a qualsiasi altra parte della rete e quindi otterrete ciò che avete 209 00:18:09,050 --> 00:18:10,250 deciso di fare. 210 00:18:10,400 --> 00:18:15,590 E questo esempio sarebbe molto più efficiente rispetto all'esempio precedente perché in questo 211 00:18:15,620 --> 00:18:22,150 punto si negherebbe il traffico piuttosto che l'instradamento lungo tutta la rete o solo per essere rilasciato. 212 00:18:22,370 --> 00:18:28,640 Così hai esteso gli elenchi di accesso IP sono molto più flessibili e molto più efficienti e quindi tendono ad essere 213 00:18:28,640 --> 00:18:30,530 utilizzati di più nel mondo reale.