1
00:00:00,410 --> 00:00:04,020
Ora implementiamo alcuni esempi di elenchi di accesso IP estesi.

2
00:00:04,200 --> 00:00:11,060
In questo esempio stiamo dicendo di consentire il traffico HDP da 10 1 1 1 a 10 da 1 a 1.

3
00:00:11,070 --> 00:00:18,490
In altre parole a questo host dovrebbe essere consentito di parlare con il server ma usando solo un pazzo.

4
00:00:18,740 --> 00:00:27,340
Dobbiamo negare tutto il traffico dalla sottorete 10 1 1 0 Sless 24 che va al server.

5
00:00:27,350 --> 00:00:33,270
In altre parole, chiunque ha chiesto loro di negare l'accesso alla sottorete al server specifico.

6
00:00:33,440 --> 00:00:38,560
Vogliamo consentire tutto il resto del traffico dalla sottorete in qualsiasi altro luogo.

7
00:00:38,570 --> 00:00:42,890
In altre parole questo host per esempio dovrebbe essere in grado di connettersi a questo router per

8
00:00:42,890 --> 00:00:46,580
potersi connettere al router dovrebbe essere in grado di inviare traffico a questo MacBook.

9
00:00:46,580 --> 00:00:52,550
Ora, ancora una volta, è molto importante guardare la direzione del traffico in modo che il flusso del traffico

10
00:00:52,550 --> 00:00:59,900
sia da sinistra a destra ora, come per le pratiche di base e l'elenco di accesso IP esteso dovrebbe essere posizionato il più

11
00:00:59,900 --> 00:01:01,360
vicino possibile alla sorgente.

12
00:01:01,610 --> 00:01:04,650
E quindi applicheremo la lista di accesso in entrata su.

13
00:01:04,660 --> 00:01:06,270
Ethan è 0 0.

14
00:01:06,350 --> 00:01:11,720
Il vantaggio di fare ciò anche è che Ratta non ha bisogno di processare inutilmente pacchetti che

15
00:01:12,040 --> 00:01:14,720
verranno semplicemente eliminati da qualche parte nella rete.

16
00:01:14,840 --> 00:01:18,700
Quindi applicheremo la lista di accesso il più vicino possibile alla fonte.

17
00:01:18,890 --> 00:01:22,410
E l'interfaccia più vicina è la carne Zira della serie F.

18
00:01:22,550 --> 00:01:31,950
Quindi la prima affermazione dovrebbe consentire il traffico HD da 10 1 1 1 a 10 1 a 1 sul Rodda andando in modalità

19
00:01:31,950 --> 00:01:33,300
di configurazione globale.

20
00:01:33,330 --> 00:01:38,880
Posso parlargli in questa lista e notare ancora una volta una serie di numeri.

21
00:01:39,120 --> 00:01:44,910
Ne sceglieremo uno in questo intervallo da 100 a 199 perché stiamo creando un elenco di accesso IP esteso.

22
00:01:44,910 --> 00:01:54,330
Quindi selezioniamo 100 che dicevano permesso e notiamo che qui possiamo consentire più protocolli.

23
00:01:54,360 --> 00:02:00,200
Ora è qui che diventa importante sapere quali protocolli di livello inferiore protocolli Hialeah come

24
00:02:00,210 --> 00:02:01,320
HTP utilizzare.

25
00:02:01,320 --> 00:02:10,430
Quindi, in questo esempio, stiamo cercando di permettere che HGP HGP si basi su TCAP almeno per lo stesso modello.

26
00:02:10,560 --> 00:02:16,330
Quindi stiamo specificando TZP e Boadicea possiamo specificare una fonte.

27
00:02:16,490 --> 00:02:19,150
Quindi ho intenzione di farlo in questo modo.

28
00:02:20,750 --> 00:02:24,290
E notate che posso inserire la mia wildcard Beths.

29
00:02:24,450 --> 00:02:25,720
Quindi questa era la fonte.

30
00:02:25,740 --> 00:02:28,400
E ora dobbiamo specificare una destinazione.

31
00:02:28,710 --> 00:02:33,940
In questo caso la destinazione è 10 1 a 1, quindi fallo in un altro modo.

32
00:02:33,940 --> 00:02:42,700
Ho intenzione di specificare un host 10 1 2 a 1 e cioè se premo il punto interrogativo alla fine mi dà molte opzioni

33
00:02:42,700 --> 00:02:51,010
qui compreso uguale che mi permette di abbinare su un numero di porta specifico per maggiore di quello che mi permette di

34
00:02:51,160 --> 00:02:55,040
guardare a numeri di porta maggiori di un certo numero.

35
00:02:55,450 --> 00:03:00,810
Tutto meno che mi consente di guardare i numeri di porta meno di un numero specifico.

36
00:03:01,030 --> 00:03:05,140
Tutta la gamma che mi consente di guardare i numeri di porta in un intervallo specifico.

37
00:03:05,380 --> 00:03:07,370
Ma in questo caso stiamo cercando HTP.

38
00:03:07,420 --> 00:03:09,650
Quindi ho intenzione di metterli in discussione allo stesso modo.

39
00:03:09,970 --> 00:03:17,680
Chris punto di domanda e avviso Posso inserire un numero di porta specifico se conosco il numero o posso

40
00:03:17,680 --> 00:03:21,640
usare la parola e notare le molte parole qui.

41
00:03:21,860 --> 00:03:26,790
Notate come esempio l'uso di HGP della parola GWW.

42
00:03:26,990 --> 00:03:31,570
Così ho potuto mettere in 80 o ho potuto mettere in w WW.

43
00:03:31,910 --> 00:03:38,600
Ancora una volta notate che il simbolo del dollaro mi sta solo dicendo che c'è di più a sinistra.

44
00:03:38,600 --> 00:03:44,930
Quindi, se inserisco il controllo di comando a Mi porteranno all'inizio della linea o controllo che mi porta alla fine

45
00:03:44,930 --> 00:03:50,090
della linea che mi dice solo dollari che ci sono più tick rispetto a quello che

46
00:03:50,090 --> 00:03:51,650
può adattarsi all'output specifico.

47
00:03:51,680 --> 00:03:54,970
Quindi, appena nascosto parte del testo per renderlo più facile da leggere.

48
00:03:55,310 --> 00:04:00,890
Quindi posso premere invio in modo da completare la prima parte della lista di accesso.

49
00:04:00,890 --> 00:04:05,980
Ora dobbiamo negare tutto il traffico da quella specifica sottorete al server.

50
00:04:06,890 --> 00:04:15,700
Quindi potrei venire su questa lista 100 e in questo caso specificare negare.

51
00:04:15,760 --> 00:04:19,930
Ora dobbiamo specificare il protocollo in modo che possiamo semplicemente negare tutto.

52
00:04:19,930 --> 00:04:30,140
In altre parole, nega a tutti gli IP la fonte viene offerta 1. 1. 0 inserire il carattere jolly.

53
00:04:30,290 --> 00:04:36,930
La destinazione è host aspecifico che è 10. 0 1. 2 a 12:58 entra.

54
00:04:37,340 --> 00:04:40,420
Quindi quella linea nega tutto il resto del traffico.

55
00:04:40,430 --> 00:04:52,120
Quindi in altre parole tutto il traffico IP viene negato dalla sottorete 10 1 1 0 10 1 1 0 con la moschea rilevante che va ad

56
00:04:52,120 --> 00:04:57,620
ospitare 10 1 a 1, che è ciò che abbiamo configurato qui.

57
00:04:57,670 --> 00:05:03,430
Quindi abbiamo creato con successo la seconda parte della lista di accesso

58
00:05:03,460 --> 00:05:17,940
le terze parti che dicono di permettere tutto il traffico dalla sottorete in qualsiasi altro modo quindi potrei letteralmente dire semplicemente lista di accesso 100 Myrt IP e specificheremo che

59
00:05:17,940 --> 00:05:24,920
la sottorete Tendo ha sperperato 1. 0 con una moschea.

60
00:05:25,030 --> 00:05:26,780
E in questo caso posso dire in qualsiasi modo.

61
00:05:27,070 --> 00:05:36,300
Quindi, l'ultimo passo è quello di associare l'elenco di accesso sull'interfaccia in modo tale che il gruppo di accesso IP sia 100 in.

62
00:05:36,450 --> 00:05:45,520
Ora, solo per mostrarti cosa abbiamo configurato mostra l'elenco di accesso mi mostra in questo caso che ho un elenco di

63
00:05:45,520 --> 00:05:47,110
accesso IP esteso.

64
00:05:47,110 --> 00:05:53,600
La prima linea è la riunione TCAP da quell'host 10 1 1 1 per ospitare 10 1 a 1.

65
00:05:53,710 --> 00:06:00,850
Ho notato che i rodders hanno cambiato automaticamente il numero di porta nella descrizione del nome w WW.

66
00:06:01,420 --> 00:06:08,140
La seconda riga sta negando il traffico da quella sottorete all'host 10 1 a 1 e la terza riga comunque consente

67
00:06:08,530 --> 00:06:10,540
il traffico da quella sottorete.

68
00:06:11,450 --> 00:06:21,520
Mostra l'interfaccia IP 0 0 mi mostra un esempio che quella lista di accesso è vincolata in entrata su Fosset.

69
00:06:21,520 --> 00:06:24,100
Ethan È il sirena della carne di Eros.

70
00:06:24,260 --> 00:06:29,790
Quindi abbiamo realizzato ciò che abbiamo deciso di fare sulla base di questi criteri.

71
00:06:29,880 --> 00:06:39,960
In questo esempio vogliamo consentire sia il traffico HGP che TFT dalla subnet 10 1 1 0 slice 24 al

72
00:06:39,960 --> 00:06:40,840
server.

73
00:06:41,130 --> 00:06:49,490
In altre parole, i dispositivi nella subnet dovrebbero essere in grado di aprire sessioni HTP e DFT al server.

74
00:06:49,740 --> 00:06:54,420
Vogliamo quindi negare tutto il traffico dalla subnet al server.

75
00:06:54,420 --> 00:07:01,360
In altre parole, vogliamo consentire solo il traffico HTP e TFT al server e nessun altro traffico.

76
00:07:01,500 --> 00:07:06,490
Ma vogliamo anche permettere tutto il traffico dalla subnet in qualsiasi altro posto.

77
00:07:06,600 --> 00:07:13,200
In altre parole, questi dispositivi e la sottorete dovrebbero poter accedere a questo server a HTP e TFT, in quanto non dovrebbero

78
00:07:13,200 --> 00:07:16,610
essere in grado di utilizzare altri protocolli per accedere al server.

79
00:07:16,740 --> 00:07:21,930
Ma dovrebbero essere in grado di connettersi ad esempio a questo MacBook usando qualsiasi protocollo.

80
00:07:21,950 --> 00:07:26,570
Quindi la prima cosa che dobbiamo guardare è la direzione e ancora una volta il

81
00:07:26,570 --> 00:07:29,290
traffico scorre dal lato sinistro al lato destro.

82
00:07:29,480 --> 00:07:34,720
Ancora una volta secondo le nostre pratiche di base applicheremo la lista di accesso in entrata su FASA.

83
00:07:34,730 --> 00:07:40,910
Ethan È 0 0 sul nostro perché questa è l'interfaccia più vicina all'origine del traffico.

84
00:07:42,010 --> 00:07:50,360
Quindi, per farlo sulla nostra strada per andare nella lista di accesso superiore della banda di configurazione globale dei configuratori, scegli un numero.

85
00:07:50,360 --> 00:07:54,240
In questo caso, scegli 101 perché è un elenco di accesso IP esteso.

86
00:07:54,240 --> 00:08:02,480
Voglio dire, è il prossimo disponibile, e questo è il nostro protocollo che consentirà sia

87
00:08:02,480 --> 00:08:08,270
l'HTP che il TFT P dalla subnet al server.

88
00:08:08,300 --> 00:08:20,430
Ricorda che HTP usa TZP Atlay per il fatto che TFT P utilizza UDP Atlay per un sufficiente TCAP, la

89
00:08:20,430 --> 00:08:28,500
rete di origine ha 10 1 1 0 la wildcard mosque 000 2:55.

90
00:08:28,610 --> 00:08:29,940
Quindi questa è la nostra fonte.

91
00:08:30,040 --> 00:08:32,560
E ora dobbiamo specificare la destinazione.

92
00:08:32,560 --> 00:08:34,290
La destinazione è fantastica.

93
00:08:34,600 --> 00:08:38,500
10. 0 1. 2 a uno.

94
00:08:38,640 --> 00:08:43,660
E ora possiamo scegliere o uguale o maggiore di minore o minore e così via.

95
00:08:43,740 --> 00:08:46,500
In questo caso diremo uguale alla porta 80.

96
00:08:46,500 --> 00:08:56,010
In altre parole HTP la riga successiva sarebbe 40 50 p che prima di fare ciò, mettiamo un commento solo per renderlo

97
00:08:56,010 --> 00:08:58,060
più facile da capire.

98
00:08:58,440 --> 00:09:08,150
Quindi direi che il sito Remarque SMRT di Londra per il server di New York, ad esempio, diranno

99
00:09:10,950 --> 00:09:13,780
che è questo 101.

100
00:09:13,880 --> 00:09:15,850
Incontrato.

101
00:09:16,020 --> 00:09:20,610
In questo caso è necessario specificare UDP perché TFT utilizza UDP.

102
00:09:20,760 --> 00:09:21,570
La

103
00:09:24,860 --> 00:09:28,120
subnet di origine che va alla destinazione.

104
00:09:28,400 --> 00:09:32,270
In questo caso, lo cambierò solo per mostrarti che entrambe le opzioni funzioneranno.

105
00:09:33,380 --> 00:09:41,360
Posso specificare il server con una moschea e in questo caso sono impostato uguale e notare ora

106
00:09:41,360 --> 00:09:50,030
per favore i protocolli sono diversi perché usiamo UDP come esempio non vedrai HGP in questa lista ma

107
00:09:50,700 --> 00:09:58,210
vedrai TFT che l'asta è intelligente basta sapere quale dei protocolli usa UDP o TZP.

108
00:09:58,430 --> 00:10:01,460
E in questo esempio abbiamo specificato UDP.

109
00:10:01,460 --> 00:10:03,170
Quindi dirò solo 69.

110
00:10:03,560 --> 00:10:06,890
È anche un'osservazione per rendere questo

111
00:10:10,010 --> 00:10:19,880
più descrittori l'osservazione di Exorcist 101 incontrato per esempio TFT dal sito di Londra a New York City.

112
00:10:20,130 --> 00:10:26,240
Questa osservazione è ovviamente solo per noi come umani per sapere cosa sta succedendo e non ha alcun effetto sul router.

113
00:10:27,240 --> 00:10:33,840
Quindi abbiamo permesso il traffico di pecore e TFT da quella sottorete al server e ora ci viene detto

114
00:10:33,870 --> 00:10:37,500
di negare tutto il traffico dalla sottorete al server.

115
00:10:38,010 --> 00:10:48,040
Quindi l'elenco di accesso 101 nega e poiché si tratta di un accesso basato su IP, iniziamo a negare l'IP 10. 0 si chiedeva

116
00:10:48,060 --> 00:10:58,960
1. 0 0. 0 aggiunto da 0 a 255 e ci viene detto di negare solo il traffico da tale invio al server.

117
00:10:59,050 --> 00:11:03,120
Quindi la destinazione sarà ospite uno o due a uno.

118
00:11:03,190 --> 00:11:05,570
Quindi abbiamo incontrato il secondo criterio.

119
00:11:05,740 --> 00:11:11,270
L'ultimo passo è quello di consentire a tutto il resto del traffico dalla sottorete in qualsiasi altro luogo.

120
00:11:12,250 --> 00:11:25,240
Quindi diremmo che la lista di accesso 101 commette 10 punti punto 1. 0 con una moschea ovunque l'ultimo passo è quello di collegarlo

121
00:11:25,240 --> 00:11:27,180
all'interfaccia dell'interfaccia.

122
00:11:27,190 --> 00:11:35,300
Scherzi a parte Sarah, come da nostre best practice, inizieremo a legarlo in-bound e questa interfaccia in modo

123
00:11:35,300 --> 00:11:40,380
tale che IP X-ists raggruppa 101 in e questo è.

124
00:11:41,450 --> 00:11:50,540
In questo esempio vogliamo ProMED HGP e TFT essere traffico da qualsiasi modo al server 10 1 a 1,

125
00:11:50,540 --> 00:11:53,900
ma negheremo tutto il traffico al server.

126
00:11:53,900 --> 00:11:56,010
Quindi ora le cose sono un po 'diverse.

127
00:11:56,060 --> 00:12:00,610
Stiamo consentendo UDP e TFT solo da qualsiasi luogo al server.

128
00:12:00,970 --> 00:12:09,830
Quindi il traffico da questo host e da questi host deve avere accesso al server, ma solo il

129
00:12:09,840 --> 00:12:12,090
traffico HTP e TFG.

130
00:12:12,180 --> 00:12:18,330
Se ci venisse chiesto di applicare una sola lista di accesso, dovremmo applicarla in uscita, se

131
00:12:18,330 --> 00:12:19,490
Sarah viene lasciata.

132
00:12:19,890 --> 00:12:25,500
Tuttavia, ci è stata data l'opzione di applicare più elenchi di controllo di accesso che, ad esempio,

133
00:12:25,500 --> 00:12:34,020
applicheremmo su 0 1 sul nostro t così come sul serio 0 0 o 1 che avrebbe l'effetto che il traffico che sta per essere rilasciato

134
00:12:34,020 --> 00:12:39,960
verrà eliminato prima e più veloce invece di attraversare il link quando è in corso e quindi essere

135
00:12:39,960 --> 00:12:42,520
rilasciato come quando si utilizza questa configurazione.

136
00:12:42,610 --> 00:12:48,870
È facile da leggere tra le righe e determinare cosa ti viene chiesto di fare e quali

137
00:12:48,870 --> 00:12:51,720
restrizioni sono state imposte alle tue soluzioni.

138
00:12:51,750 --> 00:12:57,180
Quindi sul percorso di prima di andare avanti vediamo quali sono gli elenchi di accesso configurati in modo che

139
00:12:57,180 --> 00:13:03,810
io possa fare la lista di accessi di C'mon abbastanza includere la lista di accessi che mi mostrerà solo la parte della lista

140
00:13:03,810 --> 00:13:06,100
di accesso della configurazione su questo router.

141
00:13:07,140 --> 00:13:13,680
Come potete vedere qui abbiamo creato X-ists ultimi tre ACL per ACL

142
00:13:17,300 --> 00:13:21,890
cinque estesi ACL 100 e esteso ACL 101.

143
00:13:22,270 --> 00:13:27,440
Si noti che è più facile vedere cosa sta succedendo quando le osservazioni o le descrizioni sono state aggiunte

144
00:13:27,440 --> 00:13:30,790
all'elenco di accesso per entrare nella modalità di configurazione di livello.

145
00:13:30,890 --> 00:13:37,600
Posso superare l'elenco di accesso C'mon uno o due per TDP.

146
00:13:37,760 --> 00:13:43,120
Qualsiasi host da 10 a 1 o da 2 a 1 o

147
00:13:45,670 --> 00:13:47,770
Ra uguale a 80.

148
00:13:47,830 --> 00:13:50,790
Ancora una volta stai molto attento a quello che ho appena fatto lì.

149
00:13:51,100 --> 00:13:56,030
Quella dichiarazione nessuna lista di accesso uno o due avrebbe rimosso l'intera lista di accesso.

150
00:13:56,110 --> 00:14:02,490
Ti mostrerò tra poco come puoi modificare singole righe su un elenco di accesso e un

151
00:14:02,500 --> 00:14:05,830
elenco di accesso 100 per consentire UDP.

152
00:14:06,100 --> 00:14:16,000
Qualsiasi host 10 o 1 o 2 a 1 uguale 69 che compirà ciò che abbiamo intenzione di fare con questa prima

153
00:14:16,450 --> 00:14:28,150
affermazione e quindi dobbiamo negare tutto il traffico su quel server per accedere alla lista 1 per negare IP e non dimenticarti di te devo mettere

154
00:14:28,150 --> 00:14:33,420
la fonte e la destinazione che posso ora è un errore.

155
00:14:33,420 --> 00:14:40,230
Ora se lo faccio, Monge può mostrare l'elenco di accesso su due.

156
00:14:40,620 --> 00:14:49,500
Noterai che questi numeri di riga 10 20 30 versioni successive della Iowa hanno il diritto di posizionare automaticamente i numeri di

157
00:14:49,630 --> 00:14:56,410
linea su ogni linea creata che è grande perché ci permette di modificare singole righe se

158
00:14:56,520 --> 00:15:04,160
tocchi il comando nessuna lista di X ha voluto negare IP qualsiasi qualsiasi tentativo di rimuovere questa ultima riga.

159
00:15:04,210 --> 00:15:06,410
Rimuoverà l'intera lista di accesso.

160
00:15:06,690 --> 00:15:13,980
Quindi, piuttosto che farlo, posso estendere l'elenco di accesso IP comune perché si tratta di un elenco di accesso IP

161
00:15:13,980 --> 00:15:16,590
esteso e quindi inserisco il numero.

162
00:15:17,130 --> 00:15:27,730
E poi posso digitare No. 13 per rimuovere come 30 l'interruzione del comando do show l'elenco di

163
00:15:27,760 --> 00:15:37,610
accessi uno o due ti mostrerà che quell'ultima riga è stata rimossa e potrei aggiungere la riga indietro dicendo 30 nega qualsiasi host

164
00:15:37,680 --> 00:15:40,790
da 10 1 a 2 a 1.

165
00:15:41,000 --> 00:15:48,930
O meglio, l'IP notturno qualsiasi host 10 1 a 1 e non si fa uno spettacolo.

166
00:15:50,760 --> 00:15:57,040
Mi mostra che quella linea è stata aggiunta correttamente in modo da rendere la vita molto più facile.

167
00:15:57,040 --> 00:16:02,590
Piuttosto che dover cancellare l'elenco degli accessi e quindi ricrearlo da zero o modificare un blocco

168
00:16:03,160 --> 00:16:08,710
note, è possibile modificarlo direttamente sull'asta all'ultimo passaggio, una volta di più sarebbe quello di

169
00:16:09,080 --> 00:16:11,470
collegarlo all'interfaccia se seriamente in uscita.