1
00:00:00,410 --> 00:00:04,020
Maintenant, implémentons quelques exemples de listes d’accès IP étendues.

2
00:00:04,200 --> 00:00:11,060
Dans cet exemple, nous disons autoriser le trafic HDP de 10 1 1 1 à 10 1 à 1.

3
00:00:11,070 --> 00:00:18,490
En d'autres termes, cet hôte devrait être autorisé à parler au serveur mais en utilisant uniquement un mouton.

4
00:00:18,740 --> 00:00:27,340
Nous devons refuser tout autre trafic du sous-réseau 10 1 1 0 S / 24 uniquement au serveur.

5
00:00:27,350 --> 00:00:33,270
En d'autres termes, toute personne leur a demandé de refuser l'accès au sous-réseau au serveur spécifique.

6
00:00:33,440 --> 00:00:38,560
Nous voulons autoriser tout autre trafic provenant du sous-réseau n'importe où ailleurs.

7
00:00:38,570 --> 00:00:42,890
En d'autres termes, cet hôte, par exemple, devrait pouvoir se connecter à ce routeur pour pouvoir

8
00:00:42,890 --> 00:00:46,580
se connecter au routeur, et devrait pouvoir envoyer du trafic vers ce MacBook.

9
00:00:46,580 --> 00:00:52,550
Maintenant, encore une fois, il est très important d’examiner la direction du trafic afin que le flux de

10
00:00:52,550 --> 00:00:59,900
trafic s’effectue de gauche à droite, conformément aux pratiques de base, et que la liste d’accès IP étendue soit placée au plus

11
00:00:59,900 --> 00:01:01,360
près de la source.

12
00:01:01,610 --> 00:01:04,650
Et nous allons donc appliquer la liste d’accès entrante le.

13
00:01:04,660 --> 00:01:06,270
Ethan C'est 0 0.

14
00:01:06,350 --> 00:01:11,720
L'avantage de cette opération est que Ratta n'a pas besoin de traiter des paquets inutilement, ce qui

15
00:01:12,040 --> 00:01:14,720
va simplement être abandonné ailleurs sur le réseau.

16
00:01:14,840 --> 00:01:18,700
Nous allons donc appliquer la liste d’accès aussi près que possible de la source.

17
00:01:18,890 --> 00:01:22,410
Et l'interface la plus proche est Zira chair F-Series.

18
00:01:22,550 --> 00:01:31,950
La première déclaration devrait donc autoriser le trafic HD de 10 1 1 1 à 10 1 à 1 sur la Rodda à passer en mode

19
00:01:31,950 --> 00:01:33,300
de configuration globale.

20
00:01:33,330 --> 00:01:38,880
Je peux lui parler sur cette liste et remarquer encore une fois une plage de chiffres.

21
00:01:39,120 --> 00:01:44,910
Nous allons en choisir un dans cette plage de 100 à 199 car nous créons une liste d'accès IP étendue.

22
00:01:44,910 --> 00:01:54,330
Prenons donc 100 qui allaient dire permis et remarquez ici que nous pouvons autoriser plusieurs protocoles.

23
00:01:54,360 --> 00:02:00,200
Maintenant, c’est là qu’il devient important de savoir quels protocoles de niveau inférieur les protocoles Hialeah tels

24
00:02:00,210 --> 00:02:01,320
que HTP utilisent.

25
00:02:01,320 --> 00:02:10,430
Ainsi, dans cet exemple, nous cherchons à autoriser HGP HGP s'appuie sur TCAP au moins pour le même modèle.

26
00:02:10,560 --> 00:02:16,330
Donc, nous allons spécifier TZP et Boadicea nous pouvons spécifier une source.

27
00:02:16,490 --> 00:02:19,150
Donc, je vais le faire de cette façon.

28
00:02:20,750 --> 00:02:24,290
Et remarquez que je peux mettre dans ma wildcard Beths.

29
00:02:24,450 --> 00:02:25,720
C'était donc la source.

30
00:02:25,740 --> 00:02:28,400
Et maintenant, nous devons spécifier une destination.

31
00:02:28,710 --> 00:02:33,940
Dans ce cas, la destination est 10 1 à 1, donc procédez différemment.

32
00:02:33,940 --> 00:02:42,700
Je vais spécifier un hôte 10 1 2 à 1 et c’est-à-dire que si j’appuie sur un point d’interrogation à la fin, cela me donne

33
00:02:42,700 --> 00:02:51,010
beaucoup d’options, y compris égal, ce qui me permet d’apparaître sur un numéro de port spécifique supérieur à ce qui me permet de

34
00:02:51,160 --> 00:02:55,040
regarder. aux numéros de port supérieurs à un certain nombre.

35
00:02:55,450 --> 00:03:00,810
Ce qui me permet de regarder les numéros de port inférieurs à un nombre spécifique.

36
00:03:01,030 --> 00:03:05,140
Toutes les plages, ce qui me permet d’observer les numéros de port dans une plage spécifique.

37
00:03:05,380 --> 00:03:07,370
Mais dans ce cas, nous recherchons le HTP.

38
00:03:07,420 --> 00:03:09,650
Je vais donc les soumettre à égalité.

39
00:03:09,970 --> 00:03:17,680
Chris question point et remarque que je peux entrer un numéro de port spécifique si je connais le numéro ou je

40
00:03:17,680 --> 00:03:21,640
peux utiliser le mot et remarquer les nombreux mots ici.

41
00:03:21,860 --> 00:03:26,790
Mais remarquez à titre d’exemple que HGP utilise le mot GWW.

42
00:03:26,990 --> 00:03:31,570
Donc, je pourrais soit en mettre 80 ou je pourrais mettre en WW.

43
00:03:31,910 --> 00:03:38,600
Encore une fois, remarquez que le symbole du dollar me dit simplement qu’il ya plus à gauche.

44
00:03:38,600 --> 00:03:44,930
Donc, si je mets le contrôle de commande a. Ils me mèneront au début de

45
00:03:44,930 --> 00:03:50,090
la ligne ou au contrôle, il me mènera à la fin

46
00:03:50,090 --> 00:03:51,650
de la ligne.

47
00:03:51,680 --> 00:03:54,970
Donc, juste caché une partie du texte pour le rendre plus facile à lire.

48
00:03:55,310 --> 00:04:00,890
Je peux donc appuyer sur Entrée pour compléter la première partie de la liste d'accès.

49
00:04:00,890 --> 00:04:05,980
Nous devons maintenant refuser tout le trafic de ce sous-réseau spécifique au serveur.

50
00:04:06,890 --> 00:04:15,700
Je pourrais donc venir sur cette liste 100 et dans ce cas précis nier.

51
00:04:15,760 --> 00:04:19,930
Nous devons maintenant spécifier un protocole pour pouvoir tout nier.

52
00:04:19,930 --> 00:04:30,140
En d'autres termes, refuser toute adresse IP lorsque la source est attribuée 1. 1. 0 mis dans le wildcard mos.

53
00:04:30,290 --> 00:04:36,930
La destination est un hôte non spécifique qui est 10. 0 1. 2 à 12:58 il entre.

54
00:04:37,340 --> 00:04:40,420
Donc, cette ligne refuse tout autre trafic.

55
00:04:40,430 --> 00:04:52,120
En d'autres termes, tout le trafic IP est refusé depuis le sous-réseau 10 1 1 0 10 1 1 0 avec la mosquée concernée sur

56
00:04:52,120 --> 00:04:57,620
l'hôte 10 1 à 1, ce que nous avons configuré ici.

57
00:04:57,670 --> 00:05:03,430
Nous avons donc créé avec succès la deuxième partie de la liste

58
00:05:03,460 --> 00:05:17,940
d’accès, les tiers déclarant autoriser tout autre trafic depuis un sous-réseau, afin que je puisse littéralement dire accès à la liste d’accès 100 Myrt IP et nous allons spécifier le

59
00:05:17,940 --> 00:05:24,920
sous-réseau spécifique que Tendo a gaspillé 1. 0 avec une mosquée.

60
00:05:25,030 --> 00:05:26,780
Et dans ce cas, je peux dire n'importe comment.

61
00:05:27,070 --> 00:05:36,300
La dernière étape consiste donc à lier la liste d’accès sur l’interface afin que le groupe d’accès IP 100 se trouve dans.

62
00:05:36,450 --> 00:05:45,520
Maintenant, juste pour vous montrer ce que nous avons configuré, show list me montre dans ce cas que j'ai une liste

63
00:05:45,520 --> 00:05:47,110
d'accès IP étendue.

64
00:05:47,110 --> 00:05:53,600
La première ligne est la réunion TCAP de l’hôte 10 1 1 1 à l’hôte 10 1 à 1.

65
00:05:53,710 --> 00:06:00,850
J'ai remarqué que les rodders ont automatiquement changé le numéro de port dans la description du nom w WW.

66
00:06:01,420 --> 00:06:08,140
La deuxième ligne refuse le trafic de ce sous-réseau vers l'hôte 10 1 à 1 et la troisième ligne autorise

67
00:06:08,530 --> 00:06:10,540
le trafic depuis ce sous-réseau.

68
00:06:11,450 --> 00:06:21,520
Show IP interface 0 0 me montre un exemple montrant que cette liste d'accès est liée entrante sur Fosset.

69
00:06:21,520 --> 00:06:24,100
Ethan C'est Eros chair Sirra.

70
00:06:24,260 --> 00:06:29,790
Nous avons donc accompli ce que nous avions décidé de faire en fonction de ces critères.

71
00:06:29,880 --> 00:06:39,960
Dans cet exemple, nous souhaitons autoriser les trafics HGP et TFT du sous-réseau 10 1 1 0 vers le

72
00:06:39,960 --> 00:06:40,840
serveur.

73
00:06:41,130 --> 00:06:49,490
En d'autres termes, les périphériques du sous-réseau doivent pouvoir ouvrir des sessions HTP et des sessions DFT sur le serveur.

74
00:06:49,740 --> 00:06:54,420
Nous voulons ensuite refuser tout le trafic du sous-réseau au serveur.

75
00:06:54,420 --> 00:07:01,360
En d'autres termes, nous souhaitons uniquement autoriser le trafic HTP et TFT sur le serveur et aucun autre trafic.

76
00:07:01,500 --> 00:07:06,490
Mais nous souhaitons également autoriser tout autre trafic provenant du sous-réseau ailleurs.

77
00:07:06,600 --> 00:07:13,200
En d’autres termes, ces périphériques et le sous-réseau devraient pouvoir accéder à ce serveur avec HTP et TFT, s’ils ne

78
00:07:13,200 --> 00:07:16,610
devraient pas pouvoir utiliser d’autres protocoles pour accéder au serveur.

79
00:07:16,740 --> 00:07:21,930
Mais ils devraient pouvoir se connecter par exemple à ce MacBook en utilisant n'importe quel protocole.

80
00:07:21,950 --> 00:07:26,570
La première chose à considérer est donc la direction. Une fois de plus,

81
00:07:26,570 --> 00:07:29,290
la circulation s’écoule de gauche à droite.

82
00:07:29,480 --> 00:07:34,720
Une fois encore, conformément à nos pratiques de base, nous appliquerons la liste d’accès entrante à FASA.

83
00:07:34,730 --> 00:07:40,910
Ethan C'est 0 0 chez nous car c'est l'interface la plus proche de la source du trafic.

84
00:07:42,010 --> 00:07:50,360
Donc, pour le faire, nous allons choisir un numéro dans la liste d’accès en haut du groupe de configurateurs globaux de configuration.

85
00:07:50,360 --> 00:07:54,240
Dans ce cas, choisissez 101 car il s'agit d'une liste d'accès IP étendue.

86
00:07:54,240 --> 00:08:02,480
Je veux dire, c’est le prochain choix disponible, et dans ce cas, qui est notre protocole, nous allons

87
00:08:02,480 --> 00:08:08,270
autoriser à la fois HTP et TFT P du sous-réseau au serveur.

88
00:08:08,300 --> 00:08:20,430
Rappelez-vous que HTP utilise TZP Atlay pour que TFT P utilise UDP Atlay pour suffisamment de TCAP, le réseau

89
00:08:20,430 --> 00:08:28,500
source a 10 1 1 0 la mosquée générique 000 2:55.

90
00:08:28,610 --> 00:08:29,940
C'est donc notre source.

91
00:08:30,040 --> 00:08:32,560
Et maintenant, nous devons spécifier la destination.

92
00:08:32,560 --> 00:08:34,290
La destination est géniale.

93
00:08:34,600 --> 00:08:38,500
dix. 0 1. 2 contre un.

94
00:08:38,640 --> 00:08:43,660
Et maintenant, nous pouvons choisir un nombre égal ou supérieur à inférieur à ou compris dans la plage, etc.

95
00:08:43,740 --> 00:08:46,500
Dans ce cas, nous allons dire égal au port 80.

96
00:08:46,500 --> 00:08:56,010
En d’autres termes, HTP, la ligne suivante correspondrait à 40 50 p. Avant cela, insérons une remarque pour

97
00:08:56,010 --> 00:08:58,060
faciliter la compréhension.

98
00:08:58,440 --> 00:09:08,150
Donc, je dirais Remarque site SMRT London sur un serveur de New York, par exemple, et ils diront

99
00:09:10,950 --> 00:09:13,780
qu’il s’agit du 101.

100
00:09:13,880 --> 00:09:15,850
Rencontré.

101
00:09:16,020 --> 00:09:20,610
Dans ce cas, vous devez spécifier UDP car TFT utilise UDP.

102
00:09:20,760 --> 00:09:21,570
Le

103
00:09:24,860 --> 00:09:28,120
sous-réseau source allant à la destination.

104
00:09:28,400 --> 00:09:32,270
Dans ce cas, je vais simplement le changer pour vous montrer que les deux options fonctionneront.

105
00:09:33,380 --> 00:09:41,360
Je peux spécifier le serveur avec une mosquée et dans ce cas, je suis sur un pied d'égalité et

106
00:09:41,360 --> 00:09:50,030
remarquez maintenant que les protocoles sont différents car nous utilisons UDP comme exemple, vous ne verrez pas HGP dans cette liste

107
00:09:50,700 --> 00:09:58,210
mais vous verrez que TFT est malin assez pour savoir quel protocole utilise UDP ou TZP.

108
00:09:58,430 --> 00:10:01,460
Et dans cet exemple, nous avons spécifié UDP.

109
00:10:01,460 --> 00:10:03,170
Donc, je vais juste dire 69.

110
00:10:03,560 --> 00:10:06,890
C'est aussi une remarque pour faire

111
00:10:10,010 --> 00:10:19,880
cette description plus détaillée. L'Exorciste 101 a rencontré TFT du site de Londres à New York, par exemple.

112
00:10:20,130 --> 00:10:26,240
Cette remarque est évidemment juste pour que nous, humains, sachions ce qui se passe et n’a aucun effet sur le routeur.

113
00:10:27,240 --> 00:10:33,840
Nous avons donc autorisé le trafic brebis et TFT de ce sous-réseau vers le serveur et maintenant on nous

114
00:10:33,870 --> 00:10:37,500
dit de refuser tout autre trafic du sous-réseau au serveur.

115
00:10:38,010 --> 00:10:48,040
Donc, la liste d’accès 101 est refusée et comme il s’agit d’un accès IP, commençons par refuser l’IP 10. 0 se demandait

116
00:10:48,060 --> 00:10:58,960
1. 0 0. 0 a ajouté 0 à 255 et on nous dit de ne refuser que le trafic provenant de cette soumission vers le serveur.

117
00:10:59,050 --> 00:11:03,120
La destination sera donc proposée un ou deux par un.

118
00:11:03,190 --> 00:11:05,570
Nous avons donc rempli le deuxième critère.

119
00:11:05,740 --> 00:11:11,270
La dernière étape consiste à autoriser tout autre trafic provenant du sous-réseau ailleurs.

120
00:11:12,250 --> 00:11:25,240
Nous dirions donc que la liste d’accès 101 valide 10 points 1 point 1. 0 avec une mosquée n'importe où, la dernière étape consiste à la

121
00:11:25,240 --> 00:11:27,180
lier à l'interface.

122
00:11:27,190 --> 00:11:35,300
Sérieusement, Sarah, conformément à nos meilleures pratiques, commence à le lier à l’intérieur et à cette interface

123
00:11:35,300 --> 00:11:40,380
afin que le groupe IP X-ists 101 entre et c’est.

124
00:11:41,450 --> 00:11:50,540
Dans cet exemple, nous voulons que ProMED HGP et TFT soient en provenance du réseau 10 1 sur 1, mais nous

125
00:11:50,540 --> 00:11:53,900
allons refuser tout autre trafic au serveur.

126
00:11:53,900 --> 00:11:56,010
Alors maintenant, les choses sont un peu différentes.

127
00:11:56,060 --> 00:12:00,610
Nous n'autorisons que les formats UDP et TFT de n'importe où sur le serveur.

128
00:12:00,970 --> 00:12:09,830
Le trafic de cet hôte et de ces hôtes doit donc avoir accès au serveur, mais uniquement au

129
00:12:09,840 --> 00:12:12,090
trafic HTP et TFG.

130
00:12:12,180 --> 00:12:18,330
Si on nous demandait de n'appliquer qu'une seule liste d'accès, nous aurions besoin de l'appliquer en sortie, si

131
00:12:18,330 --> 00:12:19,490
Sarah est laissée.

132
00:12:19,890 --> 00:12:25,500
Cependant, on nous a donné la possibilité d’appliquer plusieurs listes de contrôle d’accès. Nous l’appliquerions par

133
00:12:25,500 --> 00:12:34,020
exemple sur 0 1 sur notre t ainsi que sur 0 0 ou 1, ce qui aurait pour effet que le trafic qui sera supprimé

134
00:12:34,020 --> 00:12:39,960
sera supprimé plus tôt et plus rapide que de traverser le lien lorsque, puis d'être abandonné comme

135
00:12:39,960 --> 00:12:42,520
lors de l'utilisation de cette configuration.

136
00:12:42,610 --> 00:12:48,870
Il est facile de lire entre les lignes et de déterminer ce que l’on vous demande de faire et les

137
00:12:48,870 --> 00:12:51,720
restrictions qui ont été imposées à vos solutions.

138
00:12:51,750 --> 00:12:57,180
Donc, avant d’aller plus loin, voyons quelles listes d’accès ont été configurées pour que je

139
00:12:57,180 --> 00:13:03,810
puisse faire la liste d’accès C'mon show run include qui ne fera que montrer la partie liste de

140
00:13:03,810 --> 00:13:06,100
la configuration de ce routeur.

141
00:13:07,140 --> 00:13:13,680
Comme vous pouvez le voir ici, nous avons créé X-ists trois derniers ACL pour

142
00:13:17,300 --> 00:13:21,890
ACL Five ACL 100 étendue et ACL 101 étendue.

143
00:13:22,270 --> 00:13:27,440
Notez qu'il est plus facile de voir ce qui se passe lorsque les remarques ou les descriptions ont été ajoutées

144
00:13:27,440 --> 00:13:30,790
à la liste d'accès pour passer en mode de configuration de niveau.

145
00:13:30,890 --> 00:13:37,600
Je peux aller en haut de la liste d’accès à un ou deux TZP par murd.

146
00:13:37,760 --> 00:13:43,120
Tout hôte 10 à 1 ou 2 à 1 ou Ra

147
00:13:45,670 --> 00:13:47,770
égal à 80.

148
00:13:47,830 --> 00:13:50,790
Encore une fois, faites très attention à ce que je viens de faire ici.

149
00:13:51,100 --> 00:13:56,030
Cette déclaration pas de liste d'accès un ou deux aurait supprimé la liste d'accès entière.

150
00:13:56,110 --> 00:14:02,490
Je vais vous montrer dans quelques instants comment modifier des lignes individuelles sur une liste d'accès et une

151
00:14:02,500 --> 00:14:05,830
liste d'accès 100 pour autoriser le protocole UDP.

152
00:14:06,100 --> 00:14:16,000
Tout hôte 10 ou 1 ou 2 ou 1 égal à 69 correspond à ce que nous avons décidé de faire avec cette première

153
00:14:16,450 --> 00:14:28,150
déclaration, puis nous devons refuser tout autre trafic sur ce serveur pour accéder à la liste 1, pour nier tout IP et ne pas vous oublier dois mettre

154
00:14:28,150 --> 00:14:33,420
la source et la destination que je peux maintenant c'est une erreur.

155
00:14:33,420 --> 00:14:40,230
Maintenant, si je le peux, Monge peut afficher une liste d’accès sur deux.

156
00:14:40,620 --> 00:14:49,500
Vous remarquerez ces numéros de ligne 10 20 30 dans les versions ultérieures de Iowas le droit de mettre automatiquement des numéros de ligne sur

157
00:14:49,630 --> 00:14:56,410
chaque ligne créée, ce qui est formidable car il nous permet de modifier des lignes individuelles si

158
00:14:56,520 --> 00:15:04,160
je tape la commande Aucune liste de X ne voulait refuser à IP tout pour essayer de supprimer cette dernière ligne.

159
00:15:04,210 --> 00:15:06,410
Cela supprimera toute la liste d'accès.

160
00:15:06,690 --> 00:15:13,980
Donc, plutôt que de le faire, je peux créer la liste d’accès IP commune étendue car il s’agit d’une liste d’accès

161
00:15:13,980 --> 00:15:16,590
IP étendue, puis je mets le numéro.

162
00:15:17,130 --> 00:15:27,730
Et puis je peux taper n ° 13 à supprimer comme 30 en arrêtant la commande afficher la liste d'accès

163
00:15:27,760 --> 00:15:37,610
un ou deux vous montrera que la dernière ligne a été supprimée et je pourrais rajouter la ligne en disant 30 refuser à tous les

164
00:15:37,680 --> 00:15:40,790
hôtes 10 1 à 2 à 1.

165
00:15:41,000 --> 00:15:48,930
Ou plutôt la nuit IP tout hôte 10 1 à 1 et ne pas faire un spectacle est venu.

166
00:15:50,760 --> 00:15:57,040
Cela me montre que cette ligne a été ajoutée correctement, ce qui rend la vie beaucoup plus facile.

167
00:15:57,040 --> 00:16:02,590
Plutôt que de devoir supprimer la liste d'accès, puis de la recréer à partir de zéro ou d'éditer un

168
00:16:03,160 --> 00:16:08,710
bloc-notes, vous pouvez l'éditer directement sur la tige à la dernière étape, ce serait plutôt de la lier

169
00:16:09,080 --> 00:16:11,470
sur l'interface si elle était sérieusement nulle.