1
00:00:00,410 --> 00:00:04,020
Lassen Sie uns nun einige Beispiele für erweiterte IP-Zugriffslisten implementieren.

2
00:00:04,200 --> 00:00:11,060
In diesem Beispiel sagen wir, HDP-Verkehr von 10 1 1 1 bis 10 1 bis 1 zulassen.

3
00:00:11,070 --> 00:00:18,490
Mit anderen Worten sollte es diesem Host erlaubt sein, mit dem Server zu kommunizieren, jedoch nur mit einem Schurken.

4
00:00:18,740 --> 00:00:27,340
Wir müssen den übrigen Datenverkehr vom Subnetz 10 1 1 0 Sless 24 zum Server verweigern.

5
00:00:27,350 --> 00:00:33,270
Mit anderen Worten: Jeder hat sie gefragt, dem Subnetz sollte der Zugriff auf den bestimmten Server verweigert werden.

6
00:00:33,440 --> 00:00:38,560
Wir möchten den übrigen Datenverkehr aus dem Subnetz an einem anderen Ort zulassen.

7
00:00:38,570 --> 00:00:42,890
Mit anderen Worten, dieser Host sollte in der Lage sein, eine Verbindung zu diesem Router herzustellen, um eine Verbindung

8
00:00:42,890 --> 00:00:46,580
mit dem Router herstellen zu können, und er sollte Datenverkehr an dieses MacBook senden können.

9
00:00:46,580 --> 00:00:52,550
Nun ist es wieder sehr wichtig, die Richtung des Datenverkehrs zu betrachten, sodass der Verkehrsfluss

10
00:00:52,550 --> 00:00:59,900
gemäß den Basispraktiken von links nach rechts verläuft. Die erweiterte IP-Zugriffsliste sollte so nahe wie möglich an der

11
00:00:59,900 --> 00:01:01,360
Quelle platziert werden.

12
00:01:01,610 --> 00:01:04,650
Und so wenden wir die Zugangsliste eingehend an.

13
00:01:04,660 --> 00:01:06,270
Ethan Es ist 0 0.

14
00:01:06,350 --> 00:01:11,720
Dies hat auch den Vorteil, dass der Ratta keine unnötigen Pakete verarbeiten muss, die nur

15
00:01:12,040 --> 00:01:14,720
an anderer Stelle im Netzwerk abgelegt werden.

16
00:01:14,840 --> 00:01:18,700
Daher werden wir die Zugriffsliste so nahe wie möglich an der Quelle anwenden.

17
00:01:18,890 --> 00:01:22,410
Die nächste Schnittstelle ist das Fleisch der Zira der F-Serie.

18
00:01:22,550 --> 00:01:31,950
Die erste Anweisung sollte also den HD-Verkehr von 10 1 1 1 bis 10 1 auf 1 ermöglichen, wenn der Rodda in den

19
00:01:31,950 --> 00:01:33,300
globalen Konfigurationsmodus wechselt.

20
00:01:33,330 --> 00:01:38,880
Ich kann mit ihm auf dieser Liste sprechen und bemerke wieder eine Reihe von Zahlen.

21
00:01:39,120 --> 00:01:44,910
Wir werden eine in diesem Bereich von 100 bis 199 auswählen, da wir eine erweiterte IP-Zugriffsliste erstellen.

22
00:01:44,910 --> 00:01:54,330
Lassen Sie uns also 100 auswählen, die erlauben würden, zuzulassen, und beachten Sie, dass wir mehrere Protokolle zulassen können.

23
00:01:54,360 --> 00:02:00,200
Jetzt wird es wichtig zu wissen, welche Protokolle der unteren Ebene Hialeah-Protokolle wie

24
00:02:00,210 --> 00:02:01,320
HTP verwenden.

25
00:02:01,320 --> 00:02:10,430
In diesem Beispiel wollen wir also zulassen, dass HGP HGP zumindest für dasselbe Modell auf TCAP angewiesen ist.

26
00:02:10,560 --> 00:02:16,330
Wir werden also TZP und Boadicea angeben. Wir können eine Quelle angeben.

27
00:02:16,490 --> 00:02:19,150
Also werde ich es so machen.

28
00:02:20,750 --> 00:02:24,290
Und beachte, dass ich meine Wildcard Beths einfügen kann.

29
00:02:24,450 --> 00:02:25,720
Das war also die Quelle.

30
00:02:25,740 --> 00:02:28,400
Und jetzt müssen wir ein Ziel angeben.

31
00:02:28,710 --> 00:02:33,940
In diesem Fall ist das Ziel 10 1 zu 1, also auf andere Weise.

32
00:02:33,940 --> 00:02:42,700
Ich werde einen Host 10 1 2 zu 1 angeben, und wenn ich am Ende das Fragezeichen drücke, gibt es mir hier viele

33
00:02:42,700 --> 00:02:51,010
Optionen, darunter auch gleich, was es mir ermöglicht, auf eine bestimmte Portnummer zu stimmen, die größer ist als die, die es mir

34
00:02:51,160 --> 00:02:55,040
ermöglicht, nachzuschauen bei Portnummern größer als eine bestimmte Anzahl.

35
00:02:55,450 --> 00:03:00,810
Alles weniger als das, was mir erlaubt, Portnummern zu betrachten, die kleiner als eine bestimmte Nummer sind.

36
00:03:01,030 --> 00:03:05,140
Alle Bereiche, die es mir ermöglichen, Portnummern in einem bestimmten Bereich zu betrachten.

37
00:03:05,380 --> 00:03:07,370
In diesem Fall suchen wir jedoch nach HTP.

38
00:03:07,420 --> 00:03:09,650
Also werde ich sie gleich behandeln.

39
00:03:09,970 --> 00:03:17,680
Chris Fragezeichen und Hinweis Ich kann eine bestimmte Portnummer eingeben, wenn ich die Nummer kenne oder das Wort

40
00:03:17,680 --> 00:03:21,640
verwenden und die vielen Wörter hier beachten kann.

41
00:03:21,860 --> 00:03:26,790
Beachten Sie aber als Beispiel, wie HGP das Wort GWW verwendet.

42
00:03:26,990 --> 00:03:31,570
Also konnte ich entweder 80 oder WW einsetzen.

43
00:03:31,910 --> 00:03:38,600
Beachten Sie noch einmal, dass das Dollarzeichen mir nur sagt, dass links mehr ist.

44
00:03:38,600 --> 00:03:44,930
Wenn ich also die Befehlssteuerung einsetze: a Sie werden mich an den Anfang der Zeile oder an die Kontrolle bringen, bringt er mich

45
00:03:44,930 --> 00:03:50,090
an das Ende der Zeile, und der Dollar sagt mir nur, dass es mehr Ticks gibt, als auf

46
00:03:50,090 --> 00:03:51,650
die spezifische Ausgabe passen können.

47
00:03:51,680 --> 00:03:54,970
Also einfach etwas Text ausblenden, um das Lesen zu erleichtern.

48
00:03:55,310 --> 00:04:00,890
So kann ich die Eingabetaste drücken, damit der erste Teil der Zugriffsliste abgeschlossen ist.

49
00:04:00,890 --> 00:04:05,980
Jetzt müssen wir den gesamten Verkehr von diesem bestimmten Subnetz zum Server verweigern.

50
00:04:06,890 --> 00:04:15,700
Ich könnte also auf diese Liste 100 kommen und in diesem Fall deny verweigern.

51
00:04:15,760 --> 00:04:19,930
Jetzt müssen wir das Protokoll angeben, damit wir einfach alles abstreiten können.

52
00:04:19,930 --> 00:04:30,140
Mit anderen Worten: Alle IPs ablehnen, deren Quelle 1 angeboten wird. 1. 0 in die Wildcard Mos.

53
00:04:30,290 --> 00:04:36,930
Das Ziel ist ein spezieller Host, der 10 ist. 0 1. 2 bis 12:58 es geht hinein.

54
00:04:37,340 --> 00:04:40,420
Diese Linie bestreitet also den anderen Verkehr.

55
00:04:40,430 --> 00:04:52,120
Mit anderen Worten, der gesamte IP-Verkehr wird vom Subnetz 10 1 1 0 10 1 1 0 abgelehnt, wobei die betreffende Moschee

56
00:04:52,120 --> 00:04:57,620
10 1 bis 1 hostet, was wir hier konfiguriert haben.

57
00:04:57,670 --> 00:05:03,430
Wir haben also erfolgreich den zweiten Teil der Zugriffsliste

58
00:05:03,460 --> 00:05:17,940
erstellt, von dem Dritte behaupten, dass der gesamte andere Datenverkehr vom Subnetz an einem anderen Ort zugelassen wird. Ich könnte also buchstäblich nur die

59
00:05:17,940 --> 00:05:24,920
Zugriffsliste 100 Myrt IP sagen. 0 mit einer Moschee.

60
00:05:25,030 --> 00:05:26,780
Und in diesem Fall kann ich jedenfalls sagen.

61
00:05:27,070 --> 00:05:36,300
Der letzte Schritt besteht also darin, die Zugriffsliste auf die Schnittstelle IP-Zugriffsgruppe 100 einzubinden.

62
00:05:36,450 --> 00:05:45,520
Um Ihnen nun zu zeigen, was wir konfiguriert haben, zeigt die Zugriffsliste an, dass ich eine erweiterte

63
00:05:45,520 --> 00:05:47,110
IP-Zugriffsliste habe.

64
00:05:47,110 --> 00:05:53,600
Die erste Zeile ist die Meeting-TCAP von diesem Host 10 1 1 1 zum Host 10 1 bis 1.

65
00:05:53,710 --> 00:06:00,850
Mir ist aufgefallen, dass rodders die Portnummer automatisch in die Namensbeschreibung w WW geändert hat.

66
00:06:01,420 --> 00:06:08,140
Die zweite Leitung verweigert den Verkehr von diesem Teilnetz zum Host 10 1 nach 1, und die dritte Leitung lässt den

67
00:06:08,530 --> 00:06:10,540
Verkehr aus diesem Teilnetz trotzdem zu.

68
00:06:11,450 --> 00:06:21,520
Show IP interface 0 0 zeigt ein Beispiel, dass diese Zugriffsliste an Fosset gebunden ist.

69
00:06:21,520 --> 00:06:24,100
Ethan Es ist Eros Fleischsirra.

70
00:06:24,260 --> 00:06:29,790
Auf dieser Grundlage haben wir erreicht, was wir uns vorgenommen haben.

71
00:06:29,880 --> 00:06:39,960
In diesem Beispiel möchten wir sowohl den HGP- als auch den TFT-Verkehr vom Subnetz 10 1 1 0 Slice 24 zum Server

72
00:06:39,960 --> 00:06:40,840
zulassen.

73
00:06:41,130 --> 00:06:49,490
Mit anderen Worten, Geräte im Subnetz sollten in der Lage sein, HTP-Sitzungen und DFT-Sitzungen für den Server zu öffnen.

74
00:06:49,740 --> 00:06:54,420
Wir möchten dann den gesamten Datenverkehr vom Subnetz zum Server verweigern.

75
00:06:54,420 --> 00:07:01,360
Mit anderen Worten, wir möchten nur HTP- und TFT-Verkehr zum Server und keinen anderen Verkehr zulassen.

76
00:07:01,500 --> 00:07:06,490
Wir möchten aber auch den übrigen Datenverkehr aus dem Subnetz an einem anderen Ort zulassen.

77
00:07:06,600 --> 00:07:13,200
Mit anderen Worten, diese Geräte und das Subnetz sollten in der Lage sein, auf diesen Server auf HTP und TFT zuzugreifen, da sie

78
00:07:13,200 --> 00:07:16,610
keine anderen Protokolle für den Zugriff auf den Server verwenden können.

79
00:07:16,740 --> 00:07:21,930
Sie sollten jedoch in der Lage sein, sich unter Verwendung eines beliebigen Protokolls beispielsweise mit diesem MacBook zu verbinden.

80
00:07:21,950 --> 00:07:26,570
Als erstes müssen wir die Richtung betrachten und wieder fließt der

81
00:07:26,570 --> 00:07:29,290
Verkehr von links nach rechts.

82
00:07:29,480 --> 00:07:34,720
Nach unseren Basispraktiken wenden wir die auf FASA eingehende Zugriffsliste erneut an.

83
00:07:34,730 --> 00:07:40,910
Ethan Es ist 0 0 bei unserem, weil dies die Schnittstelle ist, die der Verkehrsquelle am nächsten liegt.

84
00:07:42,010 --> 00:07:50,360
Um dies zu erreichen, wählen Sie eine Nummer aus.

85
00:07:50,360 --> 00:07:54,240
In diesem Fall wählen Sie 101, da es sich um eine erweiterte IP-Zugriffsliste handelt.

86
00:07:54,240 --> 00:08:02,480
Ich meine, es ist das nächste verfügbare Kommando, und wir werden sowohl HTP als

87
00:08:02,480 --> 00:08:08,270
auch TFT P vom Subnetz bis zum Server zulassen.

88
00:08:08,300 --> 00:08:20,430
Denken Sie daran, dass HTP TZP Atlay verwendet, für das TFT

89
00:08:20,430 --> 00:08:28,500
P UDP Atlay für ausreichend TCAP verwendet.

90
00:08:28,610 --> 00:08:29,940
Das ist also unsere Quelle.

91
00:08:30,040 --> 00:08:32,560
Und jetzt müssen wir das Ziel angeben.

92
00:08:32,560 --> 00:08:34,290
Das Ziel ist fantastisch.

93
00:08:34,600 --> 00:08:38,500
10 0 1. 2 zu eins.

94
00:08:38,640 --> 00:08:43,660
Und jetzt können wir entweder gleich oder größer als oder als Bereich und so weiter wählen.

95
00:08:43,740 --> 00:08:46,500
In diesem Fall sagen wir Port 80 gleich.

96
00:08:46,500 --> 00:08:56,010
Mit anderen Worten, HTP wäre die nächste Zeile 40 bis 50 p. Bevor wir das tun, lassen Sie uns eine Bemerkung hinzufügen, um

97
00:08:56,010 --> 00:08:58,060
es verständlicher zu machen.

98
00:08:58,440 --> 00:09:08,150
Ich würde also sagen, dass der Remarque SMRT-Standort in London zum Beispiel einen New Yorker Server hat, und sie

99
00:09:10,950 --> 00:09:13,780
werden sagen, diese 101 ist.

100
00:09:13,880 --> 00:09:15,850
Getroffen.

101
00:09:16,020 --> 00:09:20,610
In diesem Fall müssen Sie UDP angeben, da TFT UDP verwendet.

102
00:09:20,760 --> 00:09:21,570
Das

103
00:09:24,860 --> 00:09:28,120
Quellsubnetz, das zum Ziel führt.

104
00:09:28,400 --> 00:09:32,270
In diesem Fall werde ich es einfach ändern, um Ihnen zu zeigen, dass beide Optionen funktionieren.

105
00:09:33,380 --> 00:09:41,360
Ich kann den Server mit einer Moschee spezifizieren und in diesem Fall bin ich gleich eingestellt und beachte, dass

106
00:09:41,360 --> 00:09:50,030
die Protokolle unterschiedlich sind, da wir UDP als Beispiel verwenden. Sie sehen HGP nicht in dieser Liste, aber Sie werden sehen,

107
00:09:50,700 --> 00:09:58,210
dass TFT die Rute clever ist genug, um zu wissen, welche High-of-Protokolle UDP oder TZP verwenden.

108
00:09:58,430 --> 00:10:01,460
In diesem Beispiel haben wir UDP angegeben.

109
00:10:01,460 --> 00:10:03,170
Also werde ich nur 69 sagen.

110
00:10:03,560 --> 00:10:06,890
Es ist auch eine Bemerkung,

111
00:10:10,010 --> 00:10:19,880
diese Beschreibungen zu machen. Die Exorzist 101-Bemerkung traf beispielsweise TFT vom Londoner Standort nach New York City.

112
00:10:20,130 --> 00:10:26,240
Diese Bemerkung ist offensichtlich nur für uns als Menschen zu wissen, was los ist und hat keine Auswirkungen auf den Router.

113
00:10:27,240 --> 00:10:33,840
Daher haben wir Shey- und TFT-Verkehr von diesem Subnetz zum Server zugelassen, und nun wird uns gesagt, dass der

114
00:10:33,870 --> 00:10:37,500
gesamte andere Verkehr vom Subnetz zum Server abgelehnt wird.

115
00:10:38,010 --> 00:10:48,040
Also verweigern Sie die Zugriffsliste 101, und da es sich um einen IP-basierten Zugriff handelt, verweigern wir IP 10. 0 wunderte sich

116
00:10:48,060 --> 00:10:58,960
1. 0 0. 0 fügte 0 bis 255 hinzu, und es wird uns gesagt, dass nur der Datenverkehr von diesem Submit an den Server gesperrt werden soll.

117
00:10:59,050 --> 00:11:03,120
Das Ziel wird also eins oder zwei zu eins angeboten.

118
00:11:03,190 --> 00:11:05,570
Wir haben also das zweite Kriterium erfüllt.

119
00:11:05,740 --> 00:11:11,270
Der letzte Schritt besteht darin, den übrigen Datenverkehr aus dem Subnetz an einem anderen Ort zuzulassen.

120
00:11:12,250 --> 00:11:25,240
Wir würden also sagen, dass die Zugriffsliste 101 10 Punkt 1 festschreibt. Bei einer Moschee an einer beliebigen Stelle ist der letzte Schritt das Binden

121
00:11:25,240 --> 00:11:27,180
an die Schnittstelle.

122
00:11:27,190 --> 00:11:35,300
Ernsthaft, Sarah, gemäß unseren Best Practices fangen an, es gebunden zu binden und diese Schnittstelle,

123
00:11:35,300 --> 00:11:40,380
so dass IP X-ists 101 in und das ist.

124
00:11:41,450 --> 00:11:50,540
In diesem Beispiel möchten wir, dass ProMED HGP und TFT von jedem beliebigen Weg zum Server 10 1 zu 1 übertragen werden, wir

125
00:11:50,540 --> 00:11:53,900
werden jedoch den anderen Verkehr zum Server ablehnen.

126
00:11:53,900 --> 00:11:56,010
Jetzt sind die Dinge ein bisschen anders.

127
00:11:56,060 --> 00:12:00,610
Wir erlauben nur UDP und TFT von überall zum Server.

128
00:12:00,970 --> 00:12:09,830
Der Verkehr von diesem Host sowie von diesen Hosts muss Zugriff auf den Server haben, aber

129
00:12:09,840 --> 00:12:12,090
nur HTP- und TFG-Verkehr.

130
00:12:12,180 --> 00:12:18,330
Wenn wir gebeten werden, nur eine einzige Zugriffsliste anzuwenden, müssen wir sie ausgehend anwenden, wenn Sarah

131
00:12:18,330 --> 00:12:19,490
verlassen wird.

132
00:12:19,890 --> 00:12:25,500
Wir hatten jedoch die Möglichkeit, mehrere Zugriffskontrolllisten anzuwenden, die wir zum Beispiel auf 0

133
00:12:25,500 --> 00:12:34,020
1 auf unser t anwenden würden, sowie auf 0 0 oder 1, was dazu führen würde, dass der Verkehr, der fallen

134
00:12:34,020 --> 00:12:39,960
wird, früher eingestellt wird Schneller als den When-Link zu durchlaufen und dann wie bei

135
00:12:39,960 --> 00:12:42,520
diesem Setup verworfen zu werden.

136
00:12:42,610 --> 00:12:48,870
Es ist leicht, zwischen den Zeilen zu lesen und zu bestimmen, was Sie tun sollen und

137
00:12:48,870 --> 00:12:51,720
welche Einschränkungen für Ihre Lösungen gelten.

138
00:12:51,750 --> 00:12:57,180
Auf der Route von, bevor wir weitergehen, schauen wir uns an, welche Zugriffslisten konfiguriert

139
00:12:57,180 --> 00:13:03,810
wurden, so dass ich die C'mon-Show ausführen kann, um die Zugriffsliste einzublenden, die mir nur die Zugriffsliste der

140
00:13:03,810 --> 00:13:06,100
Konfiguration auf diesem Router anzeigt.

141
00:13:07,140 --> 00:13:13,680
Wie Sie hier sehen können, haben wir die letzten drei ACLs für ACL

142
00:13:17,300 --> 00:13:21,890
fünf erweiterte ACL 100 und erweiterte ACL 101 erstellt.

143
00:13:22,270 --> 00:13:27,440
Beachten Sie, dass es einfacher ist zu sehen, was passiert, wenn der Zugriffsliste Anmerkungen oder

144
00:13:27,440 --> 00:13:30,790
Beschreibungen hinzugefügt wurden, um in den Level-Konfigurationsmodus zu gelangen.

145
00:13:30,890 --> 00:13:37,600
Ich kann die C'mon-Zugriffsliste ein oder zwei pro Murd-TZP anführen.

146
00:13:37,760 --> 00:13:43,120
Jeder Host 10 zu 1 oder 2 zu 1 oder

147
00:13:45,670 --> 00:13:47,770
Ra gleich 80.

148
00:13:47,830 --> 00:13:50,790
Seien Sie wieder sehr vorsichtig, was ich gerade dort gemacht habe.

149
00:13:51,100 --> 00:13:56,030
Diese Anweisung, keine Zugriffsliste eins oder zwei, hätte die gesamte Zugriffsliste entfernt.

150
00:13:56,110 --> 00:14:02,490
Ich zeige Ihnen gleich, wie Sie einzelne Zeilen einer Zugriffsliste und einer Zugriffsliste

151
00:14:02,500 --> 00:14:05,830
100 bearbeiten können, um UDP zuzulassen.

152
00:14:06,100 --> 00:14:16,000
Jeder Host 10 oder 1 oder 2 zu 1 ist gleich 69, um das zu erreichen, was wir mit dieser ersten Anweisung gemacht

153
00:14:16,450 --> 00:14:28,150
haben, und dann müssen wir den gesamten anderen Verkehr auf diesem Server für den Zugriff auf die Liste 1 ablehnen, um die IP zu verweigern, und Sie nicht

154
00:14:28,150 --> 00:14:33,420
vergessen Quelle und Ziel muss ich jetzt setzen, das ist ein Fehler.

155
00:14:33,420 --> 00:14:40,230
Nun, wenn ich das kann, kann Monge auf zwei Listen zugreifen.

156
00:14:40,620 --> 00:14:49,500
Sie werden feststellen, dass diese Zeilennummern 10 20 30 spätere Versionen des Iowas das Recht haben, automatisch Zeilennummern in jede erstellte

157
00:14:49,630 --> 00:14:56,410
Zeile einzufügen, was großartig ist, da wir damit einzelne Zeilen bearbeiten können, wenn ich auf

158
00:14:56,520 --> 00:15:04,160
den Befehl tippe, den keine X-Liste IP abweisen wollte Jeder, um zu versuchen und diese letzte Zeile zu entfernen.

159
00:15:04,210 --> 00:15:06,410
Es wird die gesamte Zugriffsliste entfernt.

160
00:15:06,690 --> 00:15:13,980
Anstatt das zu tun, kann ich die allgemeine IP-Zugriffsliste erweitern, da dies eine erweiterte IP-Zugriffsliste ist und

161
00:15:13,980 --> 00:15:16,590
ich dann die Nummer eingebe.

162
00:15:17,130 --> 00:15:27,730
Und dann kann ich Nein eingeben. Wenn Sie wie 30 den Befehl beenden, wird der Befehl angehalten. Zeigen Sie die

163
00:15:27,760 --> 00:15:37,610
Zugriffsliste ein oder zwei an, und zeigen Sie an, dass die letzte Zeile entfernt wurde. Ich könnte die Zeile wieder hinzufügen, indem Sie sagen, dass 30 die

164
00:15:37,680 --> 00:15:40,790
Hosts 10 1 bis 2 bis 1 ablehnen.

165
00:15:41,000 --> 00:15:48,930
Oder eher die Nacht IP jeder Host 10 1 zu 1 und keine Show zu machen kam auf.

166
00:15:50,760 --> 00:15:57,040
Zeigt mir, dass diese Zeile korrekt hinzugefügt wurde, damit das Leben wesentlich einfacher wird.

167
00:15:57,040 --> 00:16:02,590
Anstatt die Zugriffsliste zu löschen und sie von Grund auf neu zu erstellen

168
00:16:03,160 --> 00:16:08,710
oder einen Notizblock zu bearbeiten, können Sie sie im letzten Schritt noch einmal

169
00:16:09,080 --> 00:16:11,470
direkt auf der Stange bearbeiten.