1
00:00:00,820 --> 00:00:07,870
Então vamos dar uma olhada em outro exemplo neste exemplo que queremos promover o host 10 1 1 1 2 7 10 1

2
00:00:07,870 --> 00:00:08,390
2 1.

3
00:00:08,620 --> 00:00:15,040
Portanto, esse host deve ser permitido para o servidor que queremos negar que todos estão enviando tráfego para

4
00:00:15,040 --> 00:00:15,900
esse servidor.

5
00:00:16,180 --> 00:00:19,750
Mas também queremos permitir o tráfego para todos os outros servidores.

6
00:00:19,780 --> 00:00:22,690
Portanto, qualquer pessoa deve poder se conectar a todos os servidores.

7
00:00:22,720 --> 00:00:27,690
Então, a primeira decisão é onde vamos ligar esta Lista de Controle de Acesso e em qual direção.

8
00:00:28,000 --> 00:00:28,890
Então nós poderíamos.

9
00:00:28,930 --> 00:00:36,310
Se sera sera in-bound ou podemos ligá-lo no 0 1 de saída, o problema de tentar vincular a lista

10
00:00:36,310 --> 00:00:43,380
de acesso a Zerah é que não podemos especificar endereços de destino com uma lista de acesso IP padrão.

11
00:00:43,450 --> 00:00:49,240
Você só pode especificar endereços de origem para que não seja possível implementar a declaração que

12
00:00:49,240 --> 00:00:56,260
diz negar a todos os outros para um servidor específico, mas permitir tráfego para todos os outros servidores, porque

13
00:00:56,260 --> 00:01:03,040
senão você negará qualquer e a próxima instrução será enviada ser permitido qualquer um que não funcione porque

14
00:01:03,100 --> 00:01:04,990
a permissão nunca será usada.

15
00:01:04,990 --> 00:01:08,140
Então, o que vamos fazer é ligá-lo a essa interface de saída.

16
00:01:08,250 --> 00:01:15,370
Se for o caso de Sirus Lesch, isso também segue as práticas recomendadas, que dizem que você deve vincular as listas de acesso

17
00:01:15,370 --> 00:01:18,360
IP com stents o mais próximo possível do destino.

18
00:01:18,370 --> 00:01:20,400
Eu explicarei mais sobre isso em um momento.

19
00:01:21,780 --> 00:01:26,100
Portanto, em nosso roteador, poderíamos configurar essas listas de controle de acesso entrando no modo de configuração

20
00:01:26,970 --> 00:01:28,830
global e preenchendo a lista de X-ists.

21
00:01:29,290 --> 00:01:37,340
Vamos escolher o número três Palmet 10, mas um que 1. 1

22
00:01:37,450 --> 00:01:47,210
E então poderíamos ir para a interface se 0 1 um tópico no grupo de acesso IP de três para fora.

23
00:01:47,220 --> 00:01:50,580
Então mais uma vez eu pude fazer o C'mon mostrar listas de

24
00:01:54,100 --> 00:01:57,210
acesso que apenas me mostram aquele acesso simples que acabei de criar.

25
00:01:57,240 --> 00:02:03,260
O problema aqui foi lembrar uma maneira de ligar a lista de acesso e lembrar que você não

26
00:02:03,350 --> 00:02:08,280
precisa negar nenhuma no final porque há uma negação implícita em uma instrução do Access.

27
00:02:08,530 --> 00:02:10,900
Quero dizer explicar o que esse número 10 significa em um momento.

28
00:02:12,400 --> 00:02:17,740
Neste exemplo, você deseja permitir a sub-rede 10 1 1 0 e, em seguida, negar todos os outros.

29
00:02:17,740 --> 00:02:21,210
Mais uma vez nós ligaríamos a entrada da lista de controle de acesso no fust.

30
00:02:21,220 --> 00:02:22,590
Ethan é sério.

31
00:02:22,710 --> 00:02:28,690
De modo a tornar a lista de acesso tão eficiente quanto possível, mais uma vez não queremos que a

32
00:02:28,690 --> 00:02:34,390
Rodda tenha que processar pacotes internamente apenas para que eles sejam soltos em uma interface de saída externa.

33
00:02:34,510 --> 00:02:43,410
Então vamos ligar a Lista de Controle de Acesso de entrada, assim no Narada entrando no tópico do modo de

34
00:02:43,410 --> 00:02:51,490
configuração global Estou na lista de acesso e, nesse caso, escolhamos o número 4 e permitiremos neste caso

35
00:02:51,500 --> 00:02:54,000
uma sub-rede específica. 0

36
00:02:54,410 --> 00:02:59,080
E então precisamos colocar a mesquita curinga Jazeerah em correspondência de meios binários.

37
00:02:59,090 --> 00:03:06,050
Assim, o primeiro octeto 10 corresponde ao segundo Optik e deve coincidir com o octeto que um deve igualar no último octeto

38
00:03:06,050 --> 00:03:07,880
pode ser igual a qualquer coisa.

39
00:03:08,270 --> 00:03:09,520
Há uma negação implícita.

40
00:03:09,620 --> 00:03:12,060
Portanto, não precisamos especificar mais nada.

41
00:03:12,080 --> 00:03:16,560
No entanto, se você quiser registrar informações, poderá fazer o seguinte.

42
00:03:16,720 --> 00:03:21,370
Lista de denie e notei a opção.

43
00:03:21,520 --> 00:03:29,350
Qualquer aviso este log de opção que nos permita registrar informações para auxiliar o log do servidor de log localmente no

44
00:03:29,350 --> 00:03:32,660
roteador para que possamos ver quais pacotes foram negados.

45
00:03:32,890 --> 00:03:38,740
Quando se trata de registrar, é uma boa prática não registrar em log localmente no roteador, mas enviá-lo para um

46
00:03:38,740 --> 00:03:40,500
servidor como um servidor de log.

47
00:03:40,510 --> 00:03:46,390
A razão para isso é que o Rodda tem espaço limitado para armazenar mensagens de log, enquanto que, se você armazenar

48
00:03:46,390 --> 00:03:52,090
isso em um servidor de log, poderá armazenar grandes quantidades de dados por causa do tamanho dos discos rígidos atualmente.

49
00:03:52,120 --> 00:03:57,060
Portanto, faz sentido retornar as informações de log para um servidor externo.

50
00:03:57,430 --> 00:04:08,620
A última etapa neste exemplo é ir interface 0 zero e o tópico vem no grupo Ickey X-ists para um.

51
00:04:08,760 --> 00:04:10,980
Mais uma vez eu posso fazer o vir

52
00:04:14,480 --> 00:04:21,080
na lista de acesso se eu apenas quisesse ver aquela lista X-ists específica mas um número na lista de acesso para você pode ver

53
00:04:21,080 --> 00:04:26,340
a primeira linha dizendo permissão 10 1 1 0 com apostas wild card 0 0 0 2 4 5.

54
00:04:26,870 --> 00:04:34,060
E a segunda linha está dizendo negar qualquer e travar informações de apostas show p interface.

55
00:04:34,100 --> 00:04:35,400
Sério ceara.

56
00:04:37,440 --> 00:04:40,200
Você me mostrou que a lista de acesso de entrada é para.

57
00:04:40,440 --> 00:04:46,020
Então nós limitamos a lista de X-ists para entrada no Ethan.

58
00:04:46,100 --> 00:04:48,290
Agora, neste exemplo, a interface está desligada.

59
00:04:48,550 --> 00:04:52,780
Eu não estou muito preocupado porque estou apenas mostrando a sintaxe das listas de acesso, em vez

60
00:04:52,780 --> 00:04:54,280
de verificar o exemplo de trabalho.

61
00:04:55,040 --> 00:04:59,590
Tenha cuidado ao adicionar um denie explícito, como fiz neste exemplo.

62
00:04:59,600 --> 00:05:05,270
Você precisa ler nas entrelinhas das perguntas e certificar-se de que seja explicitamente solicitado a negar

63
00:05:05,270 --> 00:05:12,770
tráfego, caso não seja solicitado, não adicione a linha negar, pois elas podem estar testando você para ter certeza de que você

64
00:05:12,770 --> 00:05:14,390
sabe sobre a negação implícita.

65
00:05:14,510 --> 00:05:17,530
No final de cada lista de acessos.

66
00:05:17,620 --> 00:05:24,790
Outro exemplo, neste caso, queremos permitir 10 1 1 1 2 telnet para o roteador e, em seguida, você quer negar

67
00:05:24,790 --> 00:05:29,650
todos os outros dizendo para o roteador e permitir o tráfego em qualquer outro lugar.

68
00:05:29,710 --> 00:05:32,420
Agora, mais uma vez, você precisa ler cuidadosamente as linhas.

69
00:05:32,440 --> 00:05:36,310
Neste exemplo, estamos configurando uma lista padrão de controle de acesso.

70
00:05:36,520 --> 00:05:43,300
Então, a única maneira de fazer isso é ligar a lista de controle de acesso padrão no Vietti Wilens,

71
00:05:43,340 --> 00:05:48,530
então lembre-se do IPX. Essa lista não pode determinar endereços de protocolo ou de destino.

72
00:05:48,580 --> 00:05:55,060
Então, se o exemplo está pedindo uma lista de acesso IP padrão para negar vai permitir telnet, então

73
00:05:55,060 --> 00:06:03,460
você sabe que você tem que ligar essa lista de acesso nas linhas Viti e ver como um exemplo que eu vou dizer

74
00:06:03,460 --> 00:06:12,360
para Arata neste caso, o endereço é 10 0 0 2 FoxxHole mas no meu nome de usuário colocando minha senha no topo da

75
00:06:12,360 --> 00:06:19,890
linha de seção de tempo de execução show show vai me mostrar o que está configurado nas linhas deste roteador.

76
00:06:21,460 --> 00:06:27,220
Como você pode ver aqui não há listas de acesso nas terras selvagens de Viti do Shradha Então eu posso

77
00:06:27,220 --> 00:06:27,990
fazer o seguinte.

78
00:06:28,830 --> 00:06:29,900
Lista de acesso.

79
00:06:30,030 --> 00:06:38,630
Vamos apenas escolher um número como 10 Palmet e observe que o endereço IP é 10 1 1 1.

80
00:06:38,910 --> 00:06:43,860
Ninguém mais tem permissão para fazer telnet para o Rodda, então cometer 10 1 1 1.

81
00:06:44,410 --> 00:06:52,510
E então eu posso ir para a linha entre Solangi 2 0 0 0 para Anani para usar o acesso comum Clauss em vez

82
00:06:52,510 --> 00:06:59,430
de grupo de acesso observou que você pode especificar o padrão da lista de acesso ou listas de acesso IP estendidas

83
00:07:00,000 --> 00:07:01,520
no início Ioway diz.

84
00:07:01,560 --> 00:07:06,150
Você só pode escolher o padrão nas listas de acesso, mas atualmente você pode usar os dois.

85
00:07:06,360 --> 00:07:08,230
Em um ACL estendido.

86
00:07:08,490 --> 00:07:10,740
Então eu vou escolher 10.

87
00:07:10,920 --> 00:07:16,010
E note que posso dobrar para conexões telnet de entrada ou conexões de telnet de saída.

88
00:07:16,010 --> 00:07:17,270
Então eu vou especificar em um

89
00:07:20,120 --> 00:07:22,070
eu vou tentar e telnet para o Rodda novamente.

90
00:07:22,100 --> 00:07:25,640
Então Telenet 10 0 0 2 5 4.

91
00:07:25,970 --> 00:07:33,820
E observe que a conexão telnet não abre porque estamos negando telnet para a Rodda apenas para provar

92
00:07:33,820 --> 00:07:43,000
que para você se eu remover este acesso Clauss e, em seguida, colocá-lo novamente aviso prévio eu sou capaz de telnet

93
00:07:43,000 --> 00:07:49,720
e posso efetuar o login é apenas conectar, mas essa lista de acesso de volta.

94
00:07:51,130 --> 00:07:55,010
Tron telnet e notei que o telnet é negado.

95
00:07:55,350 --> 00:08:02,820
Então, por favor, não se esqueça de listas de acesso que podem ser encontradas em linhas largas Viti para permitir ou

96
00:08:02,850 --> 00:08:05,600
negar telnet ou acesso S-sh a um roteador.

97
00:08:05,630 --> 00:08:17,480
Mais uma vez, mostre a seção de tubo de corrida e uma linha mostra que eu tenho a cláusula de acesso 10 na linha Viti, então não

98
00:08:17,480 --> 00:08:23,730
consigo fazer telnet do meu PC para ver o endereço IP do meu PC.

99
00:08:24,980 --> 00:08:36,510
Como você verá aqui, o endereço IP é 10 0 0 0 1, portanto, na rota para o meu tópico, eu não estou na lista de acesso.

100
00:08:36,740 --> 00:08:37,750

101
00:08:37,820 --> 00:08:38,660
Tenha cuidado com isso.

102
00:08:38,660 --> 00:08:39,260
Vamos lá.

103
00:08:39,320 --> 00:08:45,460
Ele não apenas remove uma linha na lista de acesso, mas elimina toda a lista de acesso,

104
00:08:45,500 --> 00:08:52,040
parando o comando show show access list 10, que irá esquematizar que essa lista de acesso não existe.

105
00:08:52,070 --> 00:08:58,780
Então eu acabei de deletar a lista de acesso por completo, mas eu poderia falar com eles na lista de acesso 10 permitir

106
00:08:58,910 --> 00:09:02,030
10 0 0 1 e depois ir para a minha linha.

107
00:09:02,030 --> 00:09:02,880
Por quê?

108
00:09:02,960 --> 00:09:04,690
Apenas certifique-se de que é encontrado.

109
00:09:04,960 --> 00:09:16,850
Então, o acesso Clauss 10 no Knopf está tentando telnet notou que o telnet é bem sucedido.

110
00:09:17,080 --> 00:09:18,640
Então, eu sou capaz

111
00:09:24,020 --> 00:09:30,550
de dizer isso para o Rodda agora é Vianney o comando mostra lista de acesso, você pode

112
00:09:30,550 --> 00:09:35,590
ver que há duas partidas na lista sexista, mas diga-me novamente mostrar vamos lá.

113
00:09:35,600 --> 00:09:38,570
Observe as correspondências estão aumentando.

114
00:09:38,580 --> 00:09:43,290
Ainda posso dizer à direita se eu excluir essa lista de acesso, por isso vou ter que entrar na

115
00:09:43,290 --> 00:09:43,920
lista de acesso.

116
00:09:45,440 --> 00:09:48,550
10 Faça o comando show.

117
00:09:48,730 --> 00:09:51,090
E como você pode ver a lista de acesso foi removida.

118
00:09:52,540 --> 00:09:56,000
Vou desconectar o fato de dizer o problema e deixar ver se posso dizer novamente.

119
00:09:56,380 --> 00:10:06,980
E como você pode ver, eu posso ir em excesso para mostrar a linha de seção do tipo de execução que me mostra que a

120
00:10:10,090 --> 00:10:14,900
lista de acesso ainda está vinculada e essa é uma grande pegadinha.

121
00:10:14,900 --> 00:10:17,880
Isso também se aplica ao acesso de Lisburn nas interfaces.

122
00:10:18,020 --> 00:10:22,130
Você pode ligar uma lista de acesso inexistente em uma interface.

123
00:10:22,130 --> 00:10:28,310
É muito perigoso porque se alguém mais tarde creditar a lista de acesso e digamos

124
00:10:28,310 --> 00:10:33,980
inadvertidamente configurá-la para outra coisa, essa lista de acesso ficará imediatamente ativa e o

125
00:10:33,980 --> 00:10:39,280
tráfego será negado ou permitido inesperadamente, conforme a nova lista de acesso.

126
00:10:39,290 --> 00:10:46,350
Então, digamos que permitimos a Tenet um ou dois para um argumento, como agora, de repente,

127
00:10:46,350 --> 00:10:51,020
informando ao Rodda que a sessão do telnet é negada.

128
00:10:51,020 --> 00:10:56,540
Tenha muito cuidado com suas listas de acesso, crie-as e vincule-as.

129
00:10:56,540 --> 00:10:59,920
Se você os excluir, remova-os das ligações.

130
00:10:59,930 --> 00:11:04,190
Em outras palavras, remova-as das linhas brancas de Viti ou das interfaces.

131
00:11:04,430 --> 00:11:11,540
Não permita que listas de acesso inexistentes sejam vinculadas a interfaces e não permita que listas de acesso existam

132
00:11:11,540 --> 00:11:15,440
em uma configuração que não seja ligada de qualquer maneira.

133
00:11:17,200 --> 00:11:23,050
Apenas um lembrete novamente sobre os comentários nos permite adicionar descrições para acessar as listas de controle,

134
00:11:23,050 --> 00:11:28,610
para que elas sejam mais fáceis de entender, com menos acesso, pois elas podem ser bastante complicadas.

135
00:11:28,610 --> 00:11:34,330
Se você tem uma ACL de 10 ou 20 linhas, a última coisa que você quer fazer é decifrar o que a

136
00:11:34,330 --> 00:11:35,640
lista de acesso deve fazer.

137
00:11:35,860 --> 00:11:39,750
Portanto, adicionar comentários pode facilitar muito a compreensão e o acompanhamento.

138
00:11:40,030 --> 00:11:48,300
No topo da lista de acessos show on Misrata, mostro-me as listas de acesso configuradas no momento.

139
00:11:48,420 --> 00:11:55,080
Você pode ver que há listas de acesso com várias linhas, mas elas não significam muito além de

140
00:11:55,080 --> 00:11:55,750
fazer isso.

141
00:11:55,770 --> 00:12:03,890
Vamos criar uma lista de acessos que é a lista de acessos 5 commit por exemplo 10 1 2 a 1.

142
00:12:04,300 --> 00:12:12,970
Mas agora o que você pode fazer é dizer que é a lista 5 Ramshaw e agora você pode colocar um comentário de até 100 caracteres para

143
00:12:13,440 --> 00:12:14,140
algo assim.

144
00:12:14,150 --> 00:12:14,690
Comprometa-se

145
00:12:17,760 --> 00:12:28,890
a encontrar o chefe de acesso ao servidor de câmbio ou o que você decidir agora no topo da lista C'mon show X-ists não mostra essa observação,

146
00:12:28,910 --> 00:12:29,360
mas

147
00:12:33,220 --> 00:12:35,650
não como se eu o fizesse.

148
00:12:35,660 --> 00:12:37,240
Vamos show, corra.

149
00:12:37,270 --> 00:12:42,060
Lista de acessos do Inkley.

150
00:12:42,080 --> 00:12:49,070
Observe que a observação é exibida na lista de acesso, o que torna muito mais fácil ver o que está acontecendo.

151
00:12:49,100 --> 00:12:53,840
Eu poderia criar outra linha nesse recurso de acesso para acessar 5 remet e, em seguida,

152
00:12:57,570 --> 00:12:59,050
eu poderia criar um outro

153
00:13:08,100 --> 00:13:09,140
simulado algo como isto.

154
00:13:10,030 --> 00:13:13,250
E não sendo a mesma coisa, volte a mostrar o canal de execução

155
00:13:17,420 --> 00:13:21,560
CLEET lista de acesso permite-me ver cada linha na lista de acesso e sua observação relevante.

156
00:13:21,740 --> 00:13:28,960
Assim, é muito mais fácil entender o que está acontecendo em algumas diretrizes relacionadas a listas de acesso.

157
00:13:28,970 --> 00:13:33,170
Em primeiro lugar, o topo da lista de acesso indica o que pode ser defeituoso.

158
00:13:33,220 --> 00:13:40,950
Em outras palavras, uma lista de acesso padrão pode apenas em Endereços IP ou redes de origem e controle de lista de acesso

159
00:13:40,950 --> 00:13:46,990
IP estendido aos números de porta de origem e de destino dos endereços de origem e destino e

160
00:13:46,990 --> 00:13:53,070
várias outras opções relacionadas aos protocolos IP, portanto, as listas de acesso estendidas tendem a ser muito mais poderoso.

161
00:13:53,110 --> 00:13:56,290
A ordem de processamento também é de grande importância.

162
00:13:56,290 --> 00:13:59,710
Você deve colocar suas declarações mais específicas primeiro.

163
00:13:59,710 --> 00:14:07,320
Se sua primeira declaração fosse permitida, e sua segunda declaração fosse negar host 10:01, uma segunda declaração de

164
00:14:07,320 --> 00:14:12,190
negação seria irrelevante por causa de sua primeira declaração dizendo permitir qualquer.

165
00:14:12,460 --> 00:14:15,610
Lembre-se de que o controle de acesso lista um processo de cima para baixo.

166
00:14:15,610 --> 00:14:19,360
Se houver uma correspondência em uma linha, todas as linhas subseqüentes serão ignoradas.

167
00:14:19,360 --> 00:14:26,050
Então, eu permito que qualquer um seja correspondido e todo o tráfego incluindo o tráfego do host 10:01 um deles

168
00:14:26,050 --> 00:14:31,270
seja permitido e a segunda linha negando o host 10 um a um seria ignorada.

169
00:14:31,270 --> 00:14:37,300
Não se esqueça de que há uma negação implícita no final de todas as listas de controle de acesso,

170
00:14:37,300 --> 00:14:40,540
a menos que você permita explicitamente algo que será negado.

171
00:14:40,540 --> 00:14:46,920
Apenas uma lista de acesso pode ser vinculada a sua interface por direção por protocolo.

172
00:14:46,930 --> 00:14:54,790
Em outras palavras, uma ACL da versão 4 do IP pode ser ligada ou desligada por interface.

173
00:14:54,790 --> 00:15:01,120
Você não pode ter que Activision para entrada de listas de acesso na mesma interface que você pode ter

174
00:15:01,120 --> 00:15:02,570
uma entrada e saída.

175
00:15:02,590 --> 00:15:08,890
Como já demonstrei, se você tentar vincular duas listas de acesso IP à entrada na mesma interface,

176
00:15:08,890 --> 00:15:10,810
a segunda substituirá a primeira.

177
00:15:12,320 --> 00:15:14,530
Então, onde você deve colocar suas listas de acesso.

178
00:15:14,570 --> 00:15:21,140
Agora, a melhor prática da Cisco é colocar o ACL com stents o mais próximo possível do destino e a razão

179
00:15:21,380 --> 00:15:24,820
para isso é que você não pode corresponder a protocolos específicos.

180
00:15:24,950 --> 00:15:31,430
Agora, no mundo real, a maioria das implementações de ACL usará listas de acesso IP estendidas, pois você pode filtrar

181
00:15:31,430 --> 00:15:37,460
com base no endereço IP de origem e de destino, bem como nas portas de origem e de destino

182
00:15:37,460 --> 00:15:38,730
e assim por diante.

183
00:15:39,110 --> 00:15:44,850
Considerando que, com listas de controle de acesso stented IP, você só pode cair com base no endereço de origem.

184
00:15:44,900 --> 00:15:52,910
Portanto, neste exemplo, se você não quisesse 10 1 em 1 para se conectar a este servidor 10 1 para 1, você poderia vincular uma

185
00:15:52,910 --> 00:16:00,890
lista de acesso IP padrão de entrada e / ou uma ou de saída e ou uma ou de entrada e ou duas ou de

186
00:16:00,890 --> 00:16:02,600
saída de uma arte .

187
00:16:02,720 --> 00:16:11,030
Se você decidiu ligar uma lista de acesso negando a entrada deste host e ou um que negaria apenas 10 1 1 1

188
00:16:11,030 --> 00:16:18,200
acesso ao servidor, mas também negaria o acesso do host a todas as outras partes da rede, pois ela não

189
00:16:18,680 --> 00:16:25,580
pode especificar um destino, mas somente uma fonte se você vinculou uma lista de acesso no Bonan ou um

190
00:16:25,670 --> 00:16:28,090
host de negação 10 1 1 1.

191
00:16:28,130 --> 00:16:34,400
Você negaria o acesso do host a todas as partes da rede, portanto, esse não seria um bom lugar para ligar

192
00:16:34,550 --> 00:16:35,690
essa lista de acesso.

193
00:16:36,620 --> 00:16:44,000
Se você bombardear a saída da lista de acesso e / ou um host denie dizendo que um em um, o host

194
00:16:44,000 --> 00:16:45,810
terá permissão para acessar este host.

195
00:16:45,870 --> 00:16:51,050
Mais uma vez, às 10:01, ninguém teria acesso a esta rede.

196
00:16:51,050 --> 00:16:57,350
Esta rede, bem como esta rede, porque mais uma vez você só pode negar no endereço de

197
00:16:57,350 --> 00:17:02,840
origem com uma lista de acesso IP padrão não no destino números de porta.

198
00:17:02,840 --> 00:17:08,750
Se você decidisse ligar a lista de acesso de entrada e / ou para o host 10:01, um deles teria

199
00:17:08,750 --> 00:17:14,870
acesso a esta rede assim como a esta rede, mas não teria acesso a esta rede ou a esta rede para

200
00:17:14,870 --> 00:17:16,250
que não funcionasse também .

201
00:17:17,090 --> 00:17:23,600
E, finalmente, se você decidiu ligar a lista de acesso de saída em rt que seria o melhor lugar para

202
00:17:23,600 --> 00:17:30,830
postar a lista de X-ists, porque você estaria negando acesso 10 1 1 1 host para o servidor que você não estaria negando

203
00:17:30,830 --> 00:17:36,110
que o acesso ao host para qualquer outra parte da rede e que você realizaria o

204
00:17:36,110 --> 00:17:37,600
que se propôs a fazer.

205
00:17:38,090 --> 00:17:44,300
No entanto, com as listas de acesso IP estendidas, a recomendação é colocar a lista de acesso o

206
00:17:44,300 --> 00:17:45,920
mais próximo possível da fonte.

207
00:17:45,920 --> 00:17:51,450
A razão para isso é que você pode combinar protocolos específicos e endereços de destino específicos.

208
00:17:51,500 --> 00:17:59,840
Então, se você queimar uma lista de acesso de entrada e ou um que você poderia dizer negar este host 10 1 1 1 acesso a

209
00:17:59,840 --> 00:18:01,960
este host 10 1 a 1.

210
00:18:02,330 --> 00:18:09,050
Mas permita que este host acesse qualquer outra parte da rede e, assim, você realizará o que se

211
00:18:09,050 --> 00:18:10,250
propõe a fazer.

212
00:18:10,400 --> 00:18:15,590
E este exemplo seria muito mais eficiente do que o exemplo anterior, porque você estaria negando

213
00:18:15,620 --> 00:18:22,150
o tráfego neste momento, em vez de rotear todo o caminho através da rede para ou apenas para ser descartado.

214
00:18:22,370 --> 00:18:28,640
Assim, as listas de acesso IP estendidas são muito mais flexíveis e muito mais eficientes e, portanto, tendem a

215
00:18:28,640 --> 00:18:30,530
ser usadas mais no mundo real.