1 00:00:00,410 --> 00:00:04,020 Ahora implementemos algunos ejemplos de listas de acceso IP ampliadas. 2 00:00:04,200 --> 00:00:11,060 En este ejemplo, estamos diciendo que permite el tráfico HDP de 10 1 1 1 a 10 1 a 1. 3 00:00:11,070 --> 00:00:18,490 En otras palabras, a este host se le debe permitir hablar con el servidor, pero solo con un ovejero. 4 00:00:18,740 --> 00:00:27,340 Necesitamos denegar todo el resto del tráfico de la subred 10 1 1 0 Sless 24 yendo al servidor. 5 00:00:27,350 --> 00:00:33,270 En otras palabras, alguien les preguntó a la subred si se les denegaría el acceso al servidor específico. 6 00:00:33,440 --> 00:00:38,560 Queremos permitir el resto del tráfico de la subred en cualquier otro lugar. 7 00:00:38,570 --> 00:00:42,890 En otras palabras, este host, por ejemplo, debería poder conectarse a este enrutador 8 00:00:42,890 --> 00:00:46,580 para poder conectarse al enrutador y poder enviar tráfico a este MacBook. 9 00:00:46,580 --> 00:00:52,550 Ahora, una vez más, es muy importante mirar la dirección del tráfico para que el flujo de tráfico 10 00:00:52,550 --> 00:00:59,900 sea de izquierda a derecha según las prácticas básicas y la lista de acceso de IP extendida se ubique lo más cerca 11 00:00:59,900 --> 00:01:01,360 posible de la fuente. 12 00:01:01,610 --> 00:01:04,650 Y así vamos a aplicar la lista de acceso entrante. 13 00:01:04,660 --> 00:01:06,270 Ethan es 0 0. 14 00:01:06,350 --> 00:01:11,720 La ventaja de hacer esto también es que Ratta no necesita procesar paquetes innecesariamente, lo que simplemente 15 00:01:12,040 --> 00:01:14,720 se eliminará en otra parte de la red. 16 00:01:14,840 --> 00:01:18,700 Por lo tanto, aplicaremos la lista de acceso lo más cerca posible de la fuente. 17 00:01:18,890 --> 00:01:22,410 Y la interfaz más cercana es F-Series carne Zira. 18 00:01:22,550 --> 00:01:31,950 Por lo tanto, la primera declaración debería permitir el tráfico HD desde 10 1 1 1 a 10 1 a 1 en el Rodda al entrar en el 19 00:01:31,950 --> 00:01:33,300 modo de configuración global. 20 00:01:33,330 --> 00:01:38,880 Puedo hablar con él en esta lista y observar una vez más es un rango de números. 21 00:01:39,120 --> 00:01:44,910 Vamos a elegir uno en este rango de 100 a 199 porque estamos creando una lista de acceso de IP extendida. 22 00:01:44,910 --> 00:01:54,330 Así que vamos a elegir 100 que iban a decir permiso y notar que aquí podemos permitir múltiples protocolos. 23 00:01:54,360 --> 00:02:00,200 Ahora aquí es donde se vuelve importante saber qué protocolos de nivel inferior usan los protocolos 24 00:02:00,210 --> 00:02:01,320 Hialeah como HTP. 25 00:02:01,320 --> 00:02:10,430 Entonces, en este ejemplo, estamos buscando permitir que HGP HGP confíe en TCAP al menos para el mismo modelo. 26 00:02:10,560 --> 00:02:16,330 Entonces, vamos a especificar TZP y Boadicea, podemos especificar una fuente. 27 00:02:16,490 --> 00:02:19,150 Así que voy a hacerlo de esta manera. 28 00:02:20,750 --> 00:02:24,290 Y note que puedo poner mi comodín Beths. 29 00:02:24,450 --> 00:02:25,720 Entonces esa era la fuente. 30 00:02:25,740 --> 00:02:28,400 Y ahora tenemos que especificar un destino. 31 00:02:28,710 --> 00:02:33,940 En este caso, el destino es 10 1 a 1, por lo que lo hace de otra manera. 32 00:02:33,940 --> 00:02:42,700 Voy a especificar un host 10 1 2 a 1 y eso es si presiono signo de interrogación al final, me da 33 00:02:42,700 --> 00:02:51,010 muchas opciones aquí, incluyendo igual que me permite hacer coincidir en un número de puerto específico para mayor que me permite 34 00:02:51,160 --> 00:02:55,040 mirar en números de puerto mayores que un cierto número. 35 00:02:55,450 --> 00:03:00,810 Todo menos de lo que me permite mirar números de puerto inferiores a un número específico. 36 00:03:01,030 --> 00:03:05,140 Todo el rango que me permite ver los números de puerto en un rango específico. 37 00:03:05,380 --> 00:03:07,370 Pero en este caso estamos buscando HTP. 38 00:03:07,420 --> 00:03:09,650 Así que voy a tema sobre igual. 39 00:03:09,970 --> 00:03:17,680 Signo de interrogación y aviso de Chris Puedo ingresar un número de puerto específico si sé el número o 40 00:03:17,680 --> 00:03:21,640 puedo usar la palabra y notar las muchas palabras aquí. 41 00:03:21,860 --> 00:03:26,790 Pero observe como ejemplo el uso de HGP de la palabra GWW. 42 00:03:26,990 --> 00:03:31,570 Así que podría poner 80 o podría poner w w. 43 00:03:31,910 --> 00:03:38,600 Una vez más note que el signo de dólar me está diciendo que hay más a la izquierda. 44 00:03:38,600 --> 00:03:44,930 Entonces si pongo el control de comando a Me llevarán al principio de la línea o al control, me llevará 45 00:03:44,930 --> 00:03:50,090 al final de la línea que los dólares me dicen que hay más tics de los que 46 00:03:50,090 --> 00:03:51,650 caben en la salida específica. 47 00:03:51,680 --> 00:03:54,970 Así que simplemente escondí algo del texto para que sea más fácil de leer. 48 00:03:55,310 --> 00:04:00,890 Entonces puedo presionar enter para completar la primera parte de la lista de acceso. 49 00:04:00,890 --> 00:04:05,980 Ahora tenemos que denegar todo el tráfico de esa subred específica al servidor. 50 00:04:06,890 --> 00:04:15,700 Así que podría entrar en esta lista 100 y en este caso especificar denegar. 51 00:04:15,760 --> 00:04:19,930 Ahora tenemos que especificar el protocolo para que podamos negar todo. 52 00:04:19,930 --> 00:04:30,140 En otras palabras, denegar toda la dirección IP a la fuente 1. 1. 0 poner en el comodín mos. 53 00:04:30,290 --> 00:04:36,930 El destino es un host específico que es 10. 0 1. 2 a 12:58 entra. 54 00:04:37,340 --> 00:04:40,420 Entonces esa línea niega todo el resto del tráfico. 55 00:04:40,430 --> 00:04:52,120 En otras palabras, todo el tráfico IP es denegado desde la subred 10 1 1 0 10 1 1 0 y la mezquita correspondiente va al 56 00:04:52,120 --> 00:04:57,620 host 10 1 a 1, que es lo que hemos configurado aquí. 57 00:04:57,670 --> 00:05:03,430 Así que hemos creado con éxito la segunda parte de la lista 58 00:05:03,460 --> 00:05:17,940 de acceso que los terceros dicen que permite el resto del tráfico desde la subred en cualquier otro lado, así que literalmente puedo decir 100 Myrt IP y vamos a especificar 59 00:05:17,940 --> 00:05:24,920 esa subred específica que Tendo desperdició 1. 0 con una mezquita. 60 00:05:25,030 --> 00:05:26,780 Y en este caso puedo decir de cualquier manera. 61 00:05:27,070 --> 00:05:36,300 Entonces, cualquier último paso es vincular la lista de acceso en la interfaz para que el grupo de acceso IP 100 en. 62 00:05:36,450 --> 00:05:45,520 Ahora solo para mostrarle lo que hemos configurado, la lista de acceso a espectáculos me muestra en este caso que tengo una lista de 63 00:05:45,520 --> 00:05:47,110 acceso de IP extendida. 64 00:05:47,110 --> 00:05:53,600 La primera línea es la reunión TCAP desde ese host 10 1 1 1 hasta el host 10 1 a 1. 65 00:05:53,710 --> 00:06:00,850 Noté que los rodders cambiaban automáticamente el número de puerto en la descripción del nombre w WW. 66 00:06:01,420 --> 00:06:08,140 La segunda línea niega el tráfico de esa subred al host 10 1 a 1 y la tercera línea permite el tráfico 67 00:06:08,530 --> 00:06:10,540 desde esa subred de todos modos. 68 00:06:11,450 --> 00:06:21,520 Mostrar la interfaz IP 0 0 me muestra un ejemplo de que esa lista de acceso está vinculada en Fosset. 69 00:06:21,520 --> 00:06:24,100 Ethan es Eros carne sirra. 70 00:06:24,260 --> 00:06:29,790 Así que hemos logrado lo que nos propusimos basándonos en esos criterios. 71 00:06:29,880 --> 00:06:39,960 En este ejemplo, queremos permitir tanto el tráfico HGP como el TFT desde la subred 10 1 1 0 segmento 24 72 00:06:39,960 --> 00:06:40,840 al servidor. 73 00:06:41,130 --> 00:06:49,490 En otras palabras, los dispositivos en la subred deberían poder abrir sesiones HTP y sesiones DFT en el servidor. 74 00:06:49,740 --> 00:06:54,420 Entonces queremos negar todo el tráfico de la subred al servidor. 75 00:06:54,420 --> 00:07:01,360 En otras palabras, solo queremos permitir el tráfico HTP y TFT al servidor y ningún otro tráfico. 76 00:07:01,500 --> 00:07:06,490 Pero también queremos permitir todo el resto del tráfico desde la subred en cualquier otro lugar. 77 00:07:06,600 --> 00:07:13,200 En otras palabras, estos dispositivos y la subred deberían poder acceder a este servidor para HTP y TFT, ya que 78 00:07:13,200 --> 00:07:16,610 no deberían poder utilizar ningún otro protocolo para acceder al servidor. 79 00:07:16,740 --> 00:07:21,930 Pero deberían poder conectarse, por ejemplo, a esta MacBook usando cualquier protocolo. 80 00:07:21,950 --> 00:07:26,570 Entonces, lo primero que tenemos que mirar es la dirección y una vez más, 81 00:07:26,570 --> 00:07:29,290 el tráfico fluye del lado izquierdo al lado derecho. 82 00:07:29,480 --> 00:07:34,720 Una vez más, según nuestras prácticas básicas, aplicaremos la lista de acceso entrante en FASA. 83 00:07:34,730 --> 00:07:40,910 Ethan Es 0 0 en nuestro caso porque esta es la interfaz más cercana a la fuente del tráfico. 84 00:07:42,010 --> 00:07:50,360 Entonces, para hacer eso en nuestro camino para entrar en la lista de acceso de la cuadrilla del configurador de configuración global, elija un número. 85 00:07:50,360 --> 00:07:54,240 En este caso, elija 101 porque es una lista de acceso de IP extendida. 86 00:07:54,240 --> 00:08:02,480 Me refiero a que es el próximo disponible elegir commed y este caso, que es nuestro protocolo, vamos 87 00:08:02,480 --> 00:08:08,270 a permitir tanto HTP como TFT P desde la subred al servidor. 88 00:08:08,300 --> 00:08:20,430 Recuerde que HTP usa TZP Atlay para que TFT P use UDP Atlay para un TCAP lo suficientemente grande. 89 00:08:20,430 --> 00:08:28,500 La red fuente tiene 10 1 1 0 la mezquita comodín 000 2:55. 90 00:08:28,610 --> 00:08:29,940 Esa es nuestra fuente 91 00:08:30,040 --> 00:08:32,560 Y ahora tenemos que especificar el destino. 92 00:08:32,560 --> 00:08:34,290 El destino es asombroso 93 00:08:34,600 --> 00:08:38,500 10. 0 1. 2 a uno. 94 00:08:38,640 --> 00:08:43,660 Y ahora podemos elegir igual o mayor que menor que o rango, y así sucesivamente. 95 00:08:43,740 --> 00:08:46,500 En este caso, vamos a decir que es igual al puerto 80. 96 00:08:46,500 --> 00:08:56,010 En otras palabras HTP la siguiente línea sería 40 50 p que antes de hacer eso vamos a poner una observación para que 97 00:08:56,010 --> 00:08:58,060 sea más fácil de entender. 98 00:08:58,440 --> 00:09:08,150 Así que diría que el sitio Remarque SMRT London al servidor de Nueva York, por ejemplo, y 99 00:09:10,950 --> 00:09:13,780 dirán que es este 101. 100 00:09:13,880 --> 00:09:15,850 Reunió. 101 00:09:16,020 --> 00:09:20,610 En este caso, debe especificar UDP porque TFT usa UDP. 102 00:09:20,760 --> 00:09:21,570 La 103 00:09:24,860 --> 00:09:28,120 subred fuente va al destino. 104 00:09:28,400 --> 00:09:32,270 En este caso, solo lo cambiaré para mostrarle que ambas opciones funcionarán. 105 00:09:33,380 --> 00:09:41,360 Puedo especificar el servidor con una mezquita y en este caso estoy igual y fíjate, por favor, 106 00:09:41,360 --> 00:09:50,030 los protocolos son diferentes porque estamos usando UDP como ejemplo, no verás HGP en esta lista, pero verás 107 00:09:50,700 --> 00:09:58,210 que TFT es inteligente. lo suficiente como para saber qué protocolos usan UDP o TZP. 108 00:09:58,430 --> 00:10:01,460 Y en este ejemplo, especificamos UDP. 109 00:10:01,460 --> 00:10:03,170 Así que solo voy a decir 69. 110 00:10:03,560 --> 00:10:06,890 También es un comentario para hacer que 111 00:10:10,010 --> 00:10:19,880 esta descripción más Exorcista 101 comentario se reunió TFT desde el sitio de Londres a la ciudad de Nueva York, por ejemplo. 112 00:10:20,130 --> 00:10:26,240 Esa observación es obviamente solo para nosotros como humanos para saber qué está pasando y no tiene ningún efecto en el enrutador. 113 00:10:27,240 --> 00:10:33,840 Así que hemos permitido el tráfico lento y TFT desde esa subred al servidor y ahora se nos dice 114 00:10:33,870 --> 00:10:37,500 que deneguemos todo el tráfico de la subred al servidor. 115 00:10:38,010 --> 00:10:48,040 Entonces la lista de acceso 101 denega y porque este es un acceso basado en IP comencemos a denegar IP 10. 0 se 116 00:10:48,060 --> 00:10:58,960 preguntó 1. 0 0. 0 agregó 0 a 255 y se nos dice que solo deneguemos el tráfico de ese envío al servidor. 117 00:10:59,050 --> 00:11:03,120 Por lo tanto, el destino será presentado por el anfitrión uno o dos a uno. 118 00:11:03,190 --> 00:11:05,570 Así que cumplimos el segundo criterio. 119 00:11:05,740 --> 00:11:11,270 El último paso es permitir el resto del tráfico desde la subred en cualquier otro lugar. 120 00:11:12,250 --> 00:11:25,240 Entonces diríamos que la lista de acceso 101 confirma 10 punto punto 1. 0 con una mezquita en cualquier lugar, el último paso es vincularlo a la 121 00:11:25,240 --> 00:11:27,180 interfaz de la interfaz. 122 00:11:27,190 --> 00:11:35,300 En serio, Sarah, de acuerdo con nuestras mejores prácticas, comienza a encuadernarlo y a esta 123 00:11:35,300 --> 00:11:40,380 interfaz para que IP X-ists group 101 y así sucesivamente. 124 00:11:41,450 --> 00:11:50,540 En este ejemplo, queremos que ProMED HGP y TFT sean tráfico de cualquier forma al servidor 10 1 a 1, pero vamos a 125 00:11:50,540 --> 00:11:53,900 denegar todo el resto del tráfico al servidor. 126 00:11:53,900 --> 00:11:56,010 Entonces, las cosas son un poco diferentes. 127 00:11:56,060 --> 00:12:00,610 Solo estamos permitiendo UDP y TFT desde cualquier lugar al servidor. 128 00:12:00,970 --> 00:12:09,830 Por lo tanto, el tráfico de este host y de estos hosts debe tener acceso al servidor, pero solo 129 00:12:09,840 --> 00:12:12,090 al tráfico HTP y TFG. 130 00:12:12,180 --> 00:12:18,330 Si se nos pidiera que solo solicitáramos una sola lista de acceso, necesitaríamos aplicarla saliente, luego, 131 00:12:18,330 --> 00:12:19,490 si queda Sarah. 132 00:12:19,890 --> 00:12:25,500 Sin embargo, se nos dio la opción de aplicar múltiples listas de control de acceso, por 133 00:12:25,500 --> 00:12:34,020 ejemplo, aplicarlo en 0 1 en nuestra t así como en serio 0 0 o 1, lo que tendría el efecto de que el tráfico 134 00:12:34,020 --> 00:12:39,960 que se eliminará se eliminará antes y más rápido en lugar de atravesar el enlace cuando y 135 00:12:39,960 --> 00:12:42,520 luego se descarta como al utilizar esta configuración. 136 00:12:42,610 --> 00:12:48,870 Es fácil leer entre líneas y determinar qué se le pide que haga y qué 137 00:12:48,870 --> 00:12:51,720 restricciones se han aplicado a sus soluciones. 138 00:12:51,750 --> 00:12:57,180 Entonces, en la ruta de antes vamos más allá, veamos qué listas de acceso se han configurado 139 00:12:57,180 --> 00:13:03,810 para poder hacer el programa C'mon, ejecutar bastante la lista de acceso que me mostrará la parte de la lista de 140 00:13:03,810 --> 00:13:06,100 acceso de la configuración en este enrutador. 141 00:13:07,140 --> 00:13:13,680 Como puede ver aquí, creamos los X-ists últimos tres ACL para ACL 142 00:13:17,300 --> 00:13:21,890 cinco ACL 100 extendidos y ACL 101 extendidos. 143 00:13:22,270 --> 00:13:27,440 Observe que es más fácil ver qué sucede cuando los comentarios o las descripciones se han agregado a 144 00:13:27,440 --> 00:13:30,790 la lista de acceso para pasar al modo de configuración de nivel. 145 00:13:30,890 --> 00:13:37,600 Puedo encabezar la lista de acceso C'mon uno o dos por TZP murdo. 146 00:13:37,760 --> 00:13:43,120 Cualquier host 10 a 1 o 2 a 1 o 147 00:13:45,670 --> 00:13:47,770 Ra del mismo 80. 148 00:13:47,830 --> 00:13:50,790 Una vez más, ten mucho cuidado con lo que acabo de hacer allí. 149 00:13:51,100 --> 00:13:56,030 Esa declaración sin una o dos listas de acceso habría eliminado toda la lista de acceso. 150 00:13:56,110 --> 00:14:02,490 Le mostraré en un momento cómo puede editar líneas individuales en una lista de acceso y 151 00:14:02,500 --> 00:14:05,830 una lista de acceso 100 para permitir UDP. 152 00:14:06,100 --> 00:14:16,000 Cualquier host 10 o 1 o 2 a 1 igual 69 que logrará lo que nos proponemos hacer con esta primera declaración 153 00:14:16,450 --> 00:14:28,150 y luego tenemos que negar todo el tráfico en ese servidor para acceder a la lista 1 para denegar IP y no te olvides tengo que poner 154 00:14:28,150 --> 00:14:33,420 la fuente y el destino que puedo ahora que es un error. 155 00:14:33,420 --> 00:14:40,230 Ahora si hago la lata, Monge do show access list en dos. 156 00:14:40,620 --> 00:14:49,500 Notarás que estos números de línea 10 20 30 versiones posteriores de Iowas tienen el derecho de poner automáticamente números de 157 00:14:49,630 --> 00:14:56,410 línea en cada línea creada, lo que es genial porque nos permite editar líneas individuales si 158 00:14:56,520 --> 00:15:04,160 toco el comando ninguna lista de X quería negar IP alguna cualquiera para tratar de eliminar esta última línea. 159 00:15:04,210 --> 00:15:06,410 Eliminará toda la lista de acceso. 160 00:15:06,690 --> 00:15:13,980 Entonces, en lugar de hacer eso, puedo ampliar la lista común de acceso a IP porque esta es una lista de acceso 161 00:15:13,980 --> 00:15:16,590 de IP extendida y luego coloco el número. 162 00:15:17,130 --> 00:15:27,730 Y luego puedo escribir No. 13 para eliminar como 30 detener el comando mostrar la lista de 163 00:15:27,760 --> 00:15:37,610 acceso uno o dos le mostrará que esa última línea se ha eliminado y podría agregar la línea diciendo 30 denegar cualquier 164 00:15:37,680 --> 00:15:40,790 host 10 1 a 2 a 1. 165 00:15:41,000 --> 00:15:48,930 O mejor dicho, la noche de IP, cualquier host 10 1 a 1 y no haciendo un show se encendió. 166 00:15:50,760 --> 00:15:57,040 Me muestra que esa línea se ha agregado correctamente, por lo que la vida es mucho más fácil. 167 00:15:57,040 --> 00:16:02,590 En lugar de tener que eliminar la lista de acceso y luego volver a crearla desde cero o editar 168 00:16:03,160 --> 00:16:08,710 un bloc de notas, podría editarla directamente en la barra en el último paso, una vez más sería vincularla 169 00:16:09,080 --> 00:16:11,470 en la interfaz si se saltara en serio cero.