1 00:00:00,820 --> 00:00:07,870 Spójrzmy więc na inny przykład w tym przykładzie, który chcemy promować hosta 10 1 1 1 2 7 10 1 2 2 00:00:07,870 --> 00:00:08,390 1. 3 00:00:08,620 --> 00:00:15,040 Tak więc ten host powinien mieć dostęp do serwera, który chcemy zablokować wszystkim, którzy wysyłają ruch do 4 00:00:15,040 --> 00:00:15,900 tego serwera. 5 00:00:16,180 --> 00:00:19,750 Ale chcemy również zezwolić na ruch na wszystkie inne serwery. 6 00:00:19,780 --> 00:00:22,690 Więc każdy powinien mieć możliwość połączenia się ze wszystkimi serwerami. 7 00:00:22,720 --> 00:00:27,690 Tak więc pierwszą decyzją jest, gdzie mamy zamiar powiązać tę Listę Kontroli Dostępu i w jakim kierunku. 8 00:00:28,000 --> 00:00:28,890 Więc możemy to zrobić. 9 00:00:28,930 --> 00:00:36,310 Jeśli SERA SERA jest w związku lub możemy związać go na 0 1 wychodzimy z problemem, próbując powiązać listę 10 00:00:36,310 --> 00:00:43,380 dostępu, jeśli poważnie Zerah jest to, że nie możemy określić adresów docelowych ze standardową listą dostępu IP. 11 00:00:43,450 --> 00:00:49,240 Możesz podać tylko adresy źródłowe, więc nie będziesz w stanie zaimplementować oświadczenia, które mówi, że 12 00:00:49,240 --> 00:00:56,260 odmawiasz wszystkim innym określonego serwera, ale zezwalają na ruch na wszystkich innych serwerach, ponieważ w przeciwnym razie odmówisz, 13 00:00:56,260 --> 00:01:03,040 a następne oświadczenie zostanie wysłane zezwolić na jakiekolwiek, które nie będą działać, ponieważ pozwolenie któregokolwiek z nich 14 00:01:03,100 --> 00:01:04,990 nigdy nie będzie użyte. 15 00:01:04,990 --> 00:01:08,140 Więc zamierzamy to powiązać z tym interfejsem wychodzącym. 16 00:01:08,250 --> 00:01:15,370 Jeśli Sirus Lesch jeden jest to zgodne z najlepszymi praktykami, które mówią, że powinieneś związać stentowane listy dostępu IP 17 00:01:15,370 --> 00:01:18,360 jak najbliżej miejsca docelowego, jak to możliwe. 18 00:01:18,370 --> 00:01:20,400 Wyjaśnię więcej o tym za chwilę. 19 00:01:21,780 --> 00:01:26,100 Tak więc na naszym routerze możemy skonfigurować te listy kontroli dostępu, przechodząc do trybu konfiguracji 20 00:01:26,970 --> 00:01:28,830 globalnej i na szczycie listy X-ists. 21 00:01:29,290 --> 00:01:37,340 Wybierzmy trzy palmetę 10, ale jedną 1. 1. 22 00:01:37,450 --> 00:01:47,210 A potem moglibyśmy przejść do interfejsu, jeśli 0 1 jeden temat na grupie dostępu IP trzecią. 23 00:01:47,220 --> 00:01:50,580 Tak więc ponownie mogłem wykonać listy dostępu do programu Cmon, 24 00:01:54,100 --> 00:01:57,210 które pokazują mi prosty dostęp, który właśnie utworzyłem. 25 00:01:57,240 --> 00:02:03,260 Połów tutaj polegał na zapamiętaniu sposobu wiązania listy dostępu i pamiętania, że nie trzeba 26 00:02:03,350 --> 00:02:08,280 odrzucić żadnego na końcu, ponieważ istnieje niejawna odmowa w instrukcji Access. 27 00:02:08,530 --> 00:02:10,900 Mam na myśli wyjaśnienie, co oznacza ten numer 10 za chwilę. 28 00:02:12,400 --> 00:02:17,740 W tym przykładzie chcesz zezwolić na podsieć 10 1 1 0, a następnie odmówić wszystkim innym. 29 00:02:17,740 --> 00:02:21,210 Ponownie połączymy listę kontroli dostępu przychodzącą po awarii. 30 00:02:21,220 --> 00:02:22,590 Z poważaniem. 31 00:02:22,710 --> 00:02:28,690 Aby uczynić listę dostępu tak wydajną, jak to tylko możliwe, po raz kolejny nie chcemy, aby 32 00:02:28,690 --> 00:02:34,390 Rodda musiał przetwarzać pakiety wewnętrznie, tylko po to, aby je upuścić na zewnętrznym interfejsie wychodzącym. 33 00:02:34,510 --> 00:02:43,410 Więc przywiążemy Listę Kontroli Dostępu przychodzącą, tak aby Narada wchodził w tryb konfiguracji globalnej Temat Jestem na liście dostępu iw 34 00:02:43,410 --> 00:02:51,490 tym przypadku wybierz numer 4, a my pozwolimy w tym przypadku na konkretną podsieć tak wrażliwą, zastanawiającą 35 00:02:51,500 --> 00:02:54,000 się 1. 0. 36 00:02:54,410 --> 00:02:59,080 A następnie musimy umieścić w dzikim Meczet Jazeerah w podwójnym dopasowaniu środków. 37 00:02:59,090 --> 00:03:06,050 Tak więc pierwszy oktet 10 pasujący do drugiego Optika musi pasować do tego oktetu, który trzeba dopasować w ostatnim oktecie, 38 00:03:06,050 --> 00:03:07,880 może być równy cokolwiek. 39 00:03:08,270 --> 00:03:09,520 Istnieje domniemana odmowa. 40 00:03:09,620 --> 00:03:12,060 Nie musimy więc określać niczego innego. 41 00:03:12,080 --> 00:03:16,560 Jednak jeśli chcesz zarejestrować informacje, możesz wykonać następujące czynności. 42 00:03:16,720 --> 00:03:21,370 Lista dla denie i zauważyłem opcję. 43 00:03:21,520 --> 00:03:29,350 Zauważ, że ten dziennik opcji pozwala nam rejestrować informacje, aby pomóc dziennika serwera dziennika lokalnie na routerze, 44 00:03:29,350 --> 00:03:32,660 abyśmy mogli zobaczyć, które pakiety zostały odrzucone. 45 00:03:32,890 --> 00:03:38,740 Jeśli chodzi o rejestrowanie, najlepiej jest nie logować się lokalnie na routerze, ale przesyłać go na serwer, 46 00:03:38,740 --> 00:03:40,500 jak na serwer dziennika. 47 00:03:40,510 --> 00:03:46,390 Powodem tego jest to, że Rodda ma ograniczoną przestrzeń do przechowywania komunikatów dziennika, podczas gdy jeśli przechowujesz to 48 00:03:46,390 --> 00:03:52,090 na serwerze dziennika, możesz przechowywać ogromne ilości danych ze względu na rozmiar dysków twardych w tych dniach. 49 00:03:52,120 --> 00:03:57,060 Dlatego warto wycofać informacje rejestrowania na zewnętrzny serwer. 50 00:03:57,430 --> 00:04:08,620 Ostatnim krokiem w tym przykładzie jest przejście do zera 0 i pojawienie się tematu w grupie Ickey X-ists dla an. 51 00:04:08,760 --> 00:04:10,980 Jeszcze raz mogę zrobić come na 52 00:04:14,480 --> 00:04:21,080 liście dostępu, gdybym tylko chciał zobaczyć tę konkretną listę X-istów, ale numer na liście dostępu, aby zobaczyć pierwszy wiersz, mówiąc: 53 00:04:21,080 --> 00:04:26,340 pozwolenie 10 1 1 0 z zakładami typu wild card 0 0 0 2 4 5. 54 00:04:26,870 --> 00:04:34,060 Druga linia mówi o odmawianiu i blokowaniu informacji o zakładach. 55 00:04:34,100 --> 00:04:35,400 Poważnie ceara. 56 00:04:37,440 --> 00:04:40,200 Pokazałeś mi, do czego służy lista dostępu przychodzącego. 57 00:04:40,440 --> 00:04:46,020 Więc mamy powiązaną listę X-es dla przychodzącego na flushie Ethana to slash 0. 58 00:04:46,100 --> 00:04:48,290 W tym przykładzie interfejs jest wyłączony. 59 00:04:48,550 --> 00:04:52,780 Nie przejmuję się tym, ponieważ pokazuję ci tylko składnię list dostępu, zamiast 60 00:04:52,780 --> 00:04:54,280 sprawdzać twój przykład pracy. 61 00:04:55,040 --> 00:04:59,590 Uważaj, dodając wyraźne denie, tak jak to zrobiłem w tym przykładzie. 62 00:04:59,600 --> 00:05:05,270 Musisz przeczytać między liniami w pytaniach i upewnić się, że jesteś wyraźnie poproszony o 63 00:05:05,270 --> 00:05:12,770 odrzucenie ruchu, jeśli nie zostaniesz poproszony, nie dodawaj linii odrzucającej, ponieważ może to być testowanie, aby upewnić się, że 64 00:05:12,770 --> 00:05:14,390 wiesz o domniemanym odmowie. 65 00:05:14,510 --> 00:05:17,530 Na końcu każdej listy dostępu. 66 00:05:17,620 --> 00:05:24,790 Inny przykład w tym przypadku chcemy zezwolić na 10 1 1 1 2 telnet na router, a następnie chcemy odmówić 67 00:05:24,790 --> 00:05:29,650 każdemu, kto powiadomi go o routerze i zezwolić na ruch w dowolnym miejscu. 68 00:05:29,710 --> 00:05:32,420 Teraz jeszcze raz musisz uważnie przeczytać między wierszami. 69 00:05:32,440 --> 00:05:36,310 W tym przykładzie konfigurujemy standardową listę kontroli dostępu. 70 00:05:36,520 --> 00:05:43,300 Tak więc jedynym sposobem, aby to zrobić, jest powiązanie standardowej listy kontroli dostępu w Vietti Wilens, pamiętaj, 71 00:05:43,340 --> 00:05:48,530 że to IPX Ta lista nie może określić adresu protokołu lub miejsca docelowego. 72 00:05:48,580 --> 00:05:55,060 Jeśli więc przykładowa prośba o podanie standardowej listy dostępu IP do odmowy 73 00:05:55,060 --> 00:06:03,460 zezwala na telnet, to wiesz, że musisz powiązać tę listę dostępu z liniami Viti y, patrz jako przykład, 74 00:06:03,460 --> 00:06:12,360 który powiem Aracie, w tym przypadku adres jest 10 0 0 2 FoxxHole, ale w mojej nazwie użytkownika umieszczając 75 00:06:12,360 --> 00:06:19,890 moje hasło na szczycie linii produkcyjnej przychodzącej pokaż mi, co jest skonfigurowane na liniach tego routera. 76 00:06:21,460 --> 00:06:27,220 Jak widzisz, nie ma list dostępowych na dzikich terenach Viti w Shradha, więc mogę zrobić 77 00:06:27,220 --> 00:06:27,990 co następuje. 78 00:06:28,830 --> 00:06:29,900 Lista dostępu. 79 00:06:30,030 --> 00:06:38,630 Po prostu wybierz numer 10 Palmet i zauważ, że adres IP to 10 1 1 1. 80 00:06:38,910 --> 00:06:43,860 Nikomu innemu nie wolno telnetować się do Roddy, więc zatwierdź 10 1 1 1. 81 00:06:44,410 --> 00:06:52,510 A następnie mogę przejść do linii między Solangi 2 0 0 0 dla Anani, aby korzystać z powszechnego dostępu Clauss, 82 00:06:52,510 --> 00:06:59,430 zamiast grupy dostępu zauważyć, że możesz określić standardową listę dostępu lub rozszerzone listy dostępu IP na 83 00:07:00,000 --> 00:07:01,520 początku Ioway mówi. 84 00:07:01,560 --> 00:07:06,150 Możesz wybrać standard tylko na listach dostępu, ale w tych dniach możesz używać obu. 85 00:07:06,360 --> 00:07:08,230 W rozszerzonej liście ACL. 86 00:07:08,490 --> 00:07:10,740 Więc wybieram 10. 87 00:07:10,920 --> 00:07:16,010 Zauważ, że mogę spasować do przychodzących połączeń telnetowych lub wychodzących połączeń telnetowych. 88 00:07:16,010 --> 00:07:17,270 Więc powiem, że 89 00:07:20,120 --> 00:07:22,070 spróbuję ponownie telnetować się do Roddy. 90 00:07:22,100 --> 00:07:25,640 Telenet 10 0 0 2 5 4. 91 00:07:25,970 --> 00:07:33,820 Zauważ, że połączenie telnetu nie otwiera się, ponieważ odmawiamy telnetu do urządzenia Rodda tylko po to, aby 92 00:07:33,820 --> 00:07:43,000 udowodnić ci to, jeśli usunę ten dostęp do Claussa, a następnie ponownie go zainstaluję. Zawiadomienie o tym, że jestem w stanie 93 00:07:43,000 --> 00:07:49,720 telnetować, i mogę z powodzeniem zalogować się. połączyć, ale ta lista dostępu z powrotem. 94 00:07:51,130 --> 00:07:55,010 Tron telnet i zauważyłem, że telnet jest odmowy. 95 00:07:55,350 --> 00:08:02,820 Więc nie zapomnij o listach dostępu, które można znaleźć na szerokich liniach Viti, aby zezwolić lub odmówić dostępu 96 00:08:02,850 --> 00:08:05,600 do routera przez telnet lub S-sh. 97 00:08:05,630 --> 00:08:17,480 Po raz kolejny pokazuję sekcję run pipe, a linia pokazuje mi, że mam klauzulę Access 10 w linii Viti y, więc nie mogę telnetować 98 00:08:17,480 --> 00:08:23,730 się z mojego komputera, aby rzucić okiem na adres IP mojego komputera. 99 00:08:24,980 --> 00:08:36,510 Jak zobaczysz tutaj, adres IP to 10 0 0 0 1, więc na trasie do mojego tematu nie mam dostępu. 100 00:08:36,740 --> 00:08:37,750 10. 101 00:08:37,820 --> 00:08:38,660 Ostrożnie z tym. 102 00:08:38,660 --> 00:08:39,260 No chodź. 103 00:08:39,320 --> 00:08:45,460 To nie tylko usuwa linię z listy dostępu, usuwa całą listę dostępu, 104 00:08:45,500 --> 00:08:52,040 zatrzymując polecenie, czy lista dostępu 10 wykryje, że ta lista dostępu nie istnieje. 105 00:08:52,070 --> 00:08:58,780 Więc właśnie usunąłem całkowicie listę dostępu, ale mogłem z nimi porozmawiać na liście dostępu 10, pozwalając 10 0 106 00:08:58,910 --> 00:09:02,030 0 1, a następnie przejść do mojej linii. 107 00:09:02,030 --> 00:09:02,880 Bt dlaczego. 108 00:09:02,960 --> 00:09:04,690 Tylko upewnij się, że został znaleziony. 109 00:09:04,960 --> 00:09:16,850 Tak więc dostęp do Clauss 10 w Knopf próbuje Telnet zauważył, że telnet się powiódł. 110 00:09:17,080 --> 00:09:18,640 Mogę powiedzieć to 111 00:09:24,020 --> 00:09:30,550 Roddzie, że teraz jest Vianney, komenda pokazuje listę Access. Zobaczysz, że są dwa 112 00:09:30,550 --> 00:09:35,590 mecze na seksistowskiej liście, ale powiedz mi, że znowu pokazuję. 113 00:09:35,600 --> 00:09:38,570 Zauważ, że mecze się zwiększają. 114 00:09:38,580 --> 00:09:43,290 Czy nadal mogę powiedzieć to po prawej stronie, jeśli usunę tę listę dostępu, więc będę musiał wejść na 115 00:09:43,290 --> 00:09:43,920 listę dostępu. 116 00:09:45,440 --> 00:09:48,550 10 Wykonaj polecenie pokaż. 117 00:09:48,730 --> 00:09:51,090 I jak widać lista dostępu została usunięta. 118 00:09:52,540 --> 00:09:56,000 Odłączę informację o tym problemie i pokażę, czy mogę to powtórzyć. 119 00:09:56,380 --> 00:10:06,980 I jak widzisz mogę przejść w nadmiarze, aby pokazać linię odcinka typu uruchomionego, pokazuje mi, że lista dostępu 120 00:10:10,090 --> 00:10:14,900 jest nadal związana i jest to duże zmartwienie. 121 00:10:14,900 --> 00:10:17,880 Dotyczy to również dostępu Lisburn do interfejsów. 122 00:10:18,020 --> 00:10:22,130 Możesz powiązać nieistniejącą listę dostępu w interfejsie. 123 00:10:22,130 --> 00:10:28,310 Jest to bardzo niebezpieczne, ponieważ jeśli ktoś później uzna, że lista dostępu i niechcący 124 00:10:28,310 --> 00:10:33,980 skonfiguruje ją do czegoś innego, lista dostępu natychmiast stałaby się aktywna, a 125 00:10:33,980 --> 00:10:39,280 ruch zostałby odrzucony lub nieoczekiwanie dozwolony, jak na nowej liście dostępu. 126 00:10:39,290 --> 00:10:46,350 Powiedzmy, że zezwoliliśmy Tenetowi na jedno lub dwa na jeden argument, tak jak teraz, nagle, informując 127 00:10:46,350 --> 00:10:51,020 go o zawiadomieniu Roddy, że sesja telnetu jest zabroniona. 128 00:10:51,020 --> 00:10:56,540 Zachowaj ostrożność, tworząc listy dostępu, a następnie je powiąż. 129 00:10:56,540 --> 00:10:59,920 Jeśli je usuniesz, usuń je z powiązań. 130 00:10:59,930 --> 00:11:04,190 Innymi słowy usuń je z białych linii Viti lub z interfejsów. 131 00:11:04,430 --> 00:11:11,540 Nie zezwalaj na dołączanie nieistniejących list dostępu do interfejsów i nie zezwalaj na to, aby listy dostępu 132 00:11:11,540 --> 00:11:15,440 istniały w konfiguracji, która i tak nie jest związana. 133 00:11:17,200 --> 00:11:23,050 Przypominamy o uwagach, które pozwalają nam dodawać opisy do list kontroli dostępu, dzięki 134 00:11:23,050 --> 00:11:28,610 czemu łatwiej zrozumieć proem z dostępem, ponieważ mogą się dość skomplikować. 135 00:11:28,610 --> 00:11:34,330 Jeśli masz listę ACL z 10 lub 20 liniami, ostatnią rzeczą, którą chcesz zrobić, jest rozszyfrowanie, co ma 136 00:11:34,330 --> 00:11:35,640 robić lista dostępu. 137 00:11:35,860 --> 00:11:39,750 Dodanie uwag może sprawić, że łatwiej będzie je zrozumieć i zrozumieć. 138 00:11:40,030 --> 00:11:48,300 Przekroczenie listy dostępu do programu na Misrata pokazuje mi listy dostępu skonfigurowane w tej chwili. 139 00:11:48,420 --> 00:11:55,080 Widać, że istnieją listy dostępu z różnymi liniami, ale same w sobie nie mają większego znaczenia niż robienie 140 00:11:55,080 --> 00:11:55,750 tego. 141 00:11:55,770 --> 00:12:03,890 Stwórzmy listę dostępu, to jest lista 5 zatwierdzenia, na przykład 10 1 2 do 1. 142 00:12:04,300 --> 00:12:12,970 Ale teraz możesz powiedzieć, że jest to lista 5 Ramshaw, a teraz możesz umieścić w uwadze do 100 znaków, więc coś w 143 00:12:13,440 --> 00:12:14,140 stylu. 144 00:12:14,150 --> 00:12:28,890 Zaakceptuj dostęp szefowi do serwera wymiany lub cokolwiek zdecydujesz teraz, gdy lista C -mon show X-ists nie wyświetla 145 00:12:28,910 --> 00:12:35,650 tej uwagi, ale nie tak, jak ja. 146 00:12:35,660 --> 00:12:37,240 Daj poprowadzić pokaz. 147 00:12:37,270 --> 00:12:42,060 Lista dostępu do programu Inkley. 148 00:12:42,080 --> 00:12:49,070 Zauważ, że uwaga jest wyświetlana na liście dostępu, co znacznie ułatwia obserwowanie tego, co się dzieje. 149 00:12:49,100 --> 00:12:53,840 Mógłbym stworzyć kolejną linię w tym obiekcie dostępowym, aby uzyskać dostęp do 5 powtórzeń, a następnie 150 00:12:57,570 --> 00:12:59,050 mógłbym stworzyć kolejną próbkę podobną 151 00:13:08,100 --> 00:13:09,140 do tej. 152 00:13:10,030 --> 00:13:13,250 I nie będąc tym samym włączaj się ponownie pokaż listę 153 00:13:17,420 --> 00:13:21,560 instalacji Lista dostępu CLEET pozwala mi zobaczyć każdą linię na liście dostępu i odpowiednią uwagę. 154 00:13:21,740 --> 00:13:28,960 Dzięki temu łatwiej zrozumieć, co dzieje się z niektórymi wytycznymi dotyczącymi list dostępu. 155 00:13:28,970 --> 00:13:33,170 Po pierwsze, górna część listy dostępu wskazuje, co można zarzucić. 156 00:13:33,220 --> 00:13:40,950 Innymi słowy, standardowa lista dostępu może być dostępna tylko w źródłowych adresach IP lub sieciach oraz rozszerzona kontrola listy dostępu 157 00:13:40,950 --> 00:13:46,990 IP do adresów źródłowych i docelowych adresów źródłowych i docelowych portów oraz różnych innych 158 00:13:46,990 --> 00:13:53,070 opcji związanych z protokołami IP, więc rozszerzone listy dostępu są zwykle o wiele bardziej potężny. 159 00:13:53,110 --> 00:13:56,290 Kolejność przetwarzania ma również wielkie znaczenie. 160 00:13:56,290 --> 00:13:59,710 Najpierw powinieneś umieścić bardziej szczegółowe stwierdzenia. 161 00:13:59,710 --> 00:14:07,320 Jeśli twoje pierwsze zeznanie były dozwolone, a twoje drugie oświadczenie zostało odrzucone przez gospodarza 10:01, jedno drugie stwierdzenie odmowy 162 00:14:07,320 --> 00:14:12,190 byłoby nieistotne z powodu twojego pierwszego stwierdzenia mówiącego, że pozwolisz na jakiekolwiek. 163 00:14:12,460 --> 00:14:15,610 Pamiętaj, że kontrola dostępu wymienia proces od góry do dołu. 164 00:14:15,610 --> 00:14:19,360 Jeśli w linii występuje dopasowanie, wszystkie kolejne linie są ignorowane. 165 00:14:19,360 --> 00:14:26,050 Dlatego pozwolę, aby każdy był dopasowany, a cały ruch, w tym ruch z hosta 10:01, byłby 166 00:14:26,050 --> 00:14:31,270 dozwolony, a drugi wiersz odmawiający hosta 10 jeden na jeden byłby ignorowany. 167 00:14:31,270 --> 00:14:37,300 Nie zapominaj, że istnieje domniemana odmowa wszystkich na końcu każdej listy Kontroli Dostępu, chyba 168 00:14:37,300 --> 00:14:40,540 że wyraźnie zezwolisz na coś, czego odmówi. 169 00:14:40,540 --> 00:14:46,920 Tylko jedna lista dostępu może być powiązana z jej interfejsem według kierunku na protokół. 170 00:14:46,930 --> 00:14:54,790 Innymi słowy, ACL w wersji IP 4 może być powiązana z lub na podstawie interfejsu. 171 00:14:54,790 --> 00:15:01,120 Nie możesz mieć do Activision dostępu do list przychodzących przychodzących na tym samym interfejsie, który możesz mieć 172 00:15:01,120 --> 00:15:02,570 jeden i drugi. 173 00:15:02,590 --> 00:15:08,890 Jak już wykazałem, jeśli spróbujesz połączyć dwie listy dostępu IP przychodzące w tym samym interfejsie, drugi 174 00:15:08,890 --> 00:15:10,810 po prostu zastąpi pierwszy. 175 00:15:12,320 --> 00:15:14,530 Więc gdzie powinieneś umieścić swoje listy dostępu. 176 00:15:14,570 --> 00:15:21,140 Teraz najlepszą praktyką z Cisco jest umieszczenie stentu ACL tak blisko miejsca docelowego, jak to tylko możliwe, a 177 00:15:21,380 --> 00:15:24,820 to dlatego, że nie można dopasować konkretnych protokołów. 178 00:15:24,950 --> 00:15:31,430 Teraz w rzeczywistym świecie większość implementacji ACL będzie korzystać z rozszerzonych list dostępu IP, ponieważ można filtrować 179 00:15:31,430 --> 00:15:37,460 na podstawie zarówno źródłowego, jak i docelowego adresu IP, a także portów źródłowego i docelowego 180 00:15:37,460 --> 00:15:38,730 i tak dalej. 181 00:15:39,110 --> 00:15:44,850 Natomiast w przypadku list kontroli dostępu stentów IP można polegać tylko na adresie źródłowym. 182 00:15:44,900 --> 00:15:52,910 Tak więc w tym przykładzie, jeśli nie chcesz, aby 10 1 na 1 łączyło się z tym serwerem 10 1 do 1, 183 00:15:52,910 --> 00:16:00,890 możesz powiązać standardową listę dostępu IP przychodzącą i / lub jedną lub wychodzącą i / lub jedną lub przychodzącą i / lub 184 00:16:00,890 --> 00:16:02,600 dwiema lub wychodzącymi. . 185 00:16:02,720 --> 00:16:11,030 Jeśli zdecydujesz się powiązać listę dostępu odmawiając temu przychodzeniu hosta i / lub odmówisz dostępu nie tylko do serwera 10 186 00:16:11,030 --> 00:16:18,200 1 1 1, ale odmówisz dostępu hosta do wszystkich innych części sieci, ponieważ nie będzie ona mogła 187 00:16:18,680 --> 00:16:25,580 określić miejsca docelowego, ale tylko źródło, jeśli powiązałeś listę dostępu w Bonanie lub jeden blokujący 188 00:16:25,670 --> 00:16:28,090 host 10 1 1 1. 189 00:16:28,130 --> 00:16:34,400 Odmówiłbyś dostępu hosta do wszystkich części sieci, więc nie byłoby to dobre miejsce na wiązanie tej 190 00:16:34,550 --> 00:16:35,690 listy dostępu. 191 00:16:36,620 --> 00:16:44,000 Jeśli zbombardujesz listę dostępu wychodzącą i / lub jednego hosta z napisem denie 10 jeden na jeden, host będzie miał 192 00:16:44,000 --> 00:16:45,810 dostęp do tego hosta. 193 00:16:45,870 --> 00:16:51,050 Po raz kolejny 10:01 jeden miałby odmówić dostępu do tej sieci. 194 00:16:51,050 --> 00:16:57,350 Ta sieć, jak również ta sieć, ponieważ po raz kolejny można tylko odmówić na adres źródłowy ze 195 00:16:57,350 --> 00:17:02,840 standardową listą dostępu IP, nie znajdującą się w miejscu docelowym, będą numery portów. 196 00:17:02,840 --> 00:17:08,750 Jeśli zdecydujesz się powiązać listę dostępu przychodzących i lub do hosta 10:01, jeden będzie miał dostęp do tej 197 00:17:08,750 --> 00:17:14,870 sieci, jak również do tej sieci, ale nie będzie miał dostępu do tej sieci lub tej sieci, więc nie 198 00:17:14,870 --> 00:17:16,250 będzie działał albo . 199 00:17:17,090 --> 00:17:23,600 I na koniec, jeśli zdecydujesz się powiązać wychodzące listy dostępu w rt, co byłoby optymalnym miejscem 200 00:17:23,600 --> 00:17:30,830 do opublikowania listy X-ists, ponieważ odmówiłbyś dostępu do serwera hostowi 10 1 1 1, którego nie odmawiałbyś dostępu 201 00:17:30,830 --> 00:17:36,110 do hosta do jakiejkolwiek innej części sieci i że wykonasz to, co 202 00:17:36,110 --> 00:17:37,600 masz zamiar zrobić. 203 00:17:38,090 --> 00:17:44,300 Jednak w przypadku rozszerzonych list dostępu do IP zaleceniem jest umieszczenie listy dostępu tak blisko źródła, 204 00:17:44,300 --> 00:17:45,920 jak to możliwe. 205 00:17:45,920 --> 00:17:51,450 Powodem tego jest to, że możesz dopasować określone protokoły i konkretne adresy docelowe. 206 00:17:51,500 --> 00:17:59,840 Jeśli więc wypalisz listę dostępu przychodzącą i / lub możesz odmówić temu gospodarzowi 10 1 1 1 dostęp do tego hosta 207 00:17:59,840 --> 00:18:01,960 od 10 1 do 1. 208 00:18:02,330 --> 00:18:09,050 Ale pozwól temu hostowi uzyskać dostęp do jakiejkolwiek innej części sieci, a zatem wykonasz to, co masz 209 00:18:09,050 --> 00:18:10,250 zamiar zrobić. 210 00:18:10,400 --> 00:18:15,590 I ten przykład byłby o wiele bardziej wydajny niż poprzedni przykład, ponieważ w 211 00:18:15,620 --> 00:18:22,150 tym momencie odmawiałbyś ruchu, zamiast routować go przez całą sieć do lub po prostu, aby zostać usuniętym. 212 00:18:22,370 --> 00:18:28,640 Rozszerzone listy dostępu IP są o wiele bardziej elastyczne i wydajniejsze, dzięki czemu są bardziej 213 00:18:28,640 --> 00:18:30,530 wykorzystywane w świecie rzeczywistym.