1 00:00:00,410 --> 00:00:04,020 Teraz zaimplementujmy przykłady rozszerzonych list dostępu do IP. 2 00:00:04,200 --> 00:00:11,060 W tym przykładzie mówimy o zezwoleniu na ruch HDP z 10 1 1 1 do 10 1 do 1. 3 00:00:11,070 --> 00:00:18,490 Innymi słowy, hostowi temu powinno się zezwolić na rozmowę z serwerem, ale tylko za pomocą owcy. 4 00:00:18,740 --> 00:00:27,340 Musimy odrzucić cały inny ruch z podsieci 10 1 1 0 Sless 24 przechodząc na serwer. 5 00:00:27,350 --> 00:00:33,270 Innymi słowy, każdy zapytał ich, czy należy odmówić podsieci dostępu do określonego serwera. 6 00:00:33,440 --> 00:00:38,560 Chcemy zezwolić na cały pozostały ruch z podsieci w innym miejscu. 7 00:00:38,570 --> 00:00:42,890 Innymi słowy, ten host na przykład powinien móc połączyć się z tym routerem, aby móc 8 00:00:42,890 --> 00:00:46,580 połączyć się z routerem, powinien mieć możliwość wysyłania ruchu do tego MacBooka. 9 00:00:46,580 --> 00:00:52,550 Teraz znowu bardzo ważne jest, aby spojrzeć na kierunek ruchu, więc przepływ ruchu jest 10 00:00:52,550 --> 00:00:59,900 teraz od lewej do prawej, zgodnie z praktykami podstawowymi, a rozszerzona lista dostępu IP powinna być umieszczona 11 00:00:59,900 --> 00:01:01,360 jak najbliżej źródła. 12 00:01:01,610 --> 00:01:04,650 I tak zamierzamy zastosować przychodzącą listę dostępu na. 13 00:01:04,660 --> 00:01:06,270 Ethan It's 0 0. 14 00:01:06,350 --> 00:01:11,720 Zaletą robienia tego również jest to, że Ratta nie musi niepotrzebnie przetwarzać pakietów, które 15 00:01:12,040 --> 00:01:14,720 zostaną upuszczone gdzie indziej w sieci. 16 00:01:14,840 --> 00:01:18,700 Więc zastosujemy listę dostępu tak blisko źródła, jak to tylko możliwe. 17 00:01:18,890 --> 00:01:22,410 A najbliższym interfejsem jest F-Series Flesh Zira. 18 00:01:22,550 --> 00:01:31,950 Tak więc pierwsze oświadczenie powinno zezwalać na ruch HD z 10 1 1 1 do 10 1 do 1 na Roddzie przechodzącym w 19 00:01:31,950 --> 00:01:33,300 tryb konfiguracji globalnej. 20 00:01:33,330 --> 00:01:38,880 Mogę z nim porozmawiać na tej liście i zauważyć po raz kolejny zakres liczb. 21 00:01:39,120 --> 00:01:44,910 Wybieramy jeden z tego zakresu od 100 do 199, ponieważ tworzymy rozszerzoną listę dostępu do IP. 22 00:01:44,910 --> 00:01:54,330 Wybierzmy 100, które zamierzały powiedzieć "pozwolenie" i "zawiadomienie", możemy zezwolić na wiele protokołów. 23 00:01:54,360 --> 00:02:00,200 Teraz ważne staje się poznanie protokołów niższego poziomu, protokołów Hialeah, takich 24 00:02:00,210 --> 00:02:01,320 jak HTP. 25 00:02:01,320 --> 00:02:10,430 Tak więc w tym przykładzie chcemy umożliwić HGP HGP poleganie na TCAP przynajmniej dla tego samego modelu. 26 00:02:10,560 --> 00:02:16,330 Więc określimy TZP i Boadicea, możemy podać źródło. 27 00:02:16,490 --> 00:02:19,150 Więc zrobię to w ten sposób. 28 00:02:20,750 --> 00:02:24,290 Zauważ, że mogę umieścić w mojej wieloznacznej Beths. 29 00:02:24,450 --> 00:02:25,720 Więc to było źródło. 30 00:02:25,740 --> 00:02:28,400 A teraz musimy określić miejsce docelowe. 31 00:02:28,710 --> 00:02:33,940 W tym przypadku miejsce docelowe wynosi 10 1 do 1, więc robi to w inny sposób. 32 00:02:33,940 --> 00:02:42,700 Zamierzam określić hosta 10 1 2 do 1 i to jest, jeśli naciśniesz znak zapytania na końcu daje mi wiele 33 00:02:42,700 --> 00:02:51,010 opcji tutaj, w tym równe, co pozwala mi dopasować na konkretny numer portu na więcej niż który pozwala mi 34 00:02:51,160 --> 00:02:55,040 wyglądać przy numerach portów większych niż pewna liczba. 35 00:02:55,450 --> 00:03:00,810 Wszystkie mniej, co pozwala mi spojrzeć na numery portów mniejsze od określonej liczby. 36 00:03:01,030 --> 00:03:05,140 Cały zakres, który pozwala mi spojrzeć na numery portów w określonym zakresie. 37 00:03:05,380 --> 00:03:07,370 Ale w tym przypadku szukamy HTP. 38 00:03:07,420 --> 00:03:09,650 Więc zamierzam potraktować ich na równi. 39 00:03:09,970 --> 00:03:17,680 Chris znak zapytania i zawiadomienie Mogę wpisać konkretny numer portu, jeśli znam numer lub mogę go 40 00:03:17,680 --> 00:03:21,640 użyć i zwrócić uwagę na wiele słów. 41 00:03:21,860 --> 00:03:26,790 Ale zwróć uwagę na przykład użycia HGP słowa GWW. 42 00:03:26,990 --> 00:03:31,570 Mogłem więc umieścić w 80 lub włożyć w WW. 43 00:03:31,910 --> 00:03:38,600 Po raz kolejny zauważysz, że znak dolara po prostu mówi mi, że jest więcej w lewo. 44 00:03:38,600 --> 00:03:44,930 Więc jeśli wprowadzę kontrolę poleceń a oni zabiorą mnie na początek linii lub kontroli, on doprowadzi mnie do 45 00:03:44,930 --> 00:03:50,090 końca linii, że dolary właśnie mówią mi, że jest więcej kleszczy niż to, co może 46 00:03:50,090 --> 00:03:51,650 pasować do konkretnego wyjścia. 47 00:03:51,680 --> 00:03:54,970 Po prostu ukrył część tekstu, aby ułatwić czytanie. 48 00:03:55,310 --> 00:04:00,890 Mogę więc nacisnąć enter, aby uzupełnić pierwszą część listy dostępu. 49 00:04:00,890 --> 00:04:05,980 Teraz musimy odrzucić cały ruch z tej konkretnej podsieci na serwer. 50 00:04:06,890 --> 00:04:15,700 Tak więc mogłem wejść na tę listę 100 iw tym przypadku określić odmówić. 51 00:04:15,760 --> 00:04:19,930 Teraz musimy określić protokół, abyśmy mogli po prostu zaprzeczyć wszystkim. 52 00:04:19,930 --> 00:04:30,140 Innymi słowy, odmówić wszystkim IP źródła jest przedmiotem przetargu 1. 1. 0 włożono w kartę wieloznaczną mos. 53 00:04:30,290 --> 00:04:36,930 Miejsce docelowe jest specyficznym hostem, który ma 10. 0 1. 2 do 12:58 wchodzi. 54 00:04:37,340 --> 00:04:40,420 Linia ta odrzuca cały inny ruch. 55 00:04:40,430 --> 00:04:52,120 Innymi słowy, cały ruch IP jest odrzucany z podsieci 10 1 1 0 10 1 1 0 z odpowiednim meczetem do 56 00:04:52,120 --> 00:04:57,620 hosta 10 1 do 1, który jest tutaj skonfigurowany. 57 00:04:57,670 --> 00:05:03,430 Tak więc udało nam się stworzyć drugą część listy dostępu, 58 00:05:03,460 --> 00:05:17,940 która pozwala innym stronom zezwolić na cały ruch z podsieci w innym miejscu, więc dosłownie mogę powiedzieć listę dostępu 100 Myrt IP, a my zamierzamy określić, 59 00:05:17,940 --> 00:05:24,920 że konkretna podsieć Tendo zmarnowała 1. 0 z meczetem. 60 00:05:25,030 --> 00:05:26,780 I w tym przypadku mogę powiedzieć w dowolny sposób. 61 00:05:27,070 --> 00:05:36,300 Zatem ostatnim krokiem jest powiązanie listy dostępu w interfejsie, aby grupa dostępu IP 100 w. 62 00:05:36,450 --> 00:05:45,520 Teraz, aby pokazać, że mamy skonfigurowaną listę dostępu do programów, pokazuję, że mam w tym przypadku rozszerzoną listę 63 00:05:45,520 --> 00:05:47,110 dostępu do IP. 64 00:05:47,110 --> 00:05:53,600 Pierwsza linia to spotkanie TCAP z tego hosta 10 1 1 1 do hosta 10 1 do 1. 65 00:05:53,710 --> 00:06:00,850 Zauważyłem, że rodniki automatycznie zmieniły numer portu na opis nazwy w WW. 66 00:06:01,420 --> 00:06:08,140 Druga linia odrzuca ruch z tej podsieci do hosta 10 1 do 1, a trzecia linia zezwala 67 00:06:08,530 --> 00:06:10,540 na ruch z tej podsieci. 68 00:06:11,450 --> 00:06:21,520 Pokaż interfejs IP 0 0 pokazuje mi przykład, że ta lista dostępu jest przywracana na Fosset. 69 00:06:21,520 --> 00:06:24,100 Ethan It's Eros cial sirra. 70 00:06:24,260 --> 00:06:29,790 Dokonaliśmy więc tego, co postanowiliśmy zrobić w oparciu o te kryteria. 71 00:06:29,880 --> 00:06:39,960 W tym przykładzie chcemy zezwolić na ruch HGP i TFT z podsieci 10 1 1 0 slice 24 do 72 00:06:39,960 --> 00:06:40,840 serwera. 73 00:06:41,130 --> 00:06:49,490 Innymi słowy, urządzenia w podsieci powinny mieć możliwość otwierania sesji HTP i sesji DFT na serwerze. 74 00:06:49,740 --> 00:06:54,420 Następnie chcemy odrzucić cały ruch z podsieci na serwer. 75 00:06:54,420 --> 00:07:01,360 Innymi słowy, chcemy tylko pozwolić na ruch HTP i TFT na serwerze i żaden inny ruch. 76 00:07:01,500 --> 00:07:06,490 Ale chcemy również zezwolić na cały ruch z podsieci w innym miejscu. 77 00:07:06,600 --> 00:07:13,200 Innymi słowy, te urządzenia i podsieć powinny mieć dostęp do tego serwera do HTP i TFT, ponieważ nie powinny mieć możliwości korzystania 78 00:07:13,200 --> 00:07:16,610 z żadnych innych protokołów w celu uzyskania dostępu do serwera. 79 00:07:16,740 --> 00:07:21,930 Ale powinni oni być w stanie połączyć się na przykład z tym MacBookiem przy użyciu dowolnego protokołu. 80 00:07:21,950 --> 00:07:26,570 Pierwszą rzeczą, na którą musimy spojrzeć, jest kierunek i po raz kolejny ruch 81 00:07:26,570 --> 00:07:29,290 płynie z lewej strony na prawą stronę. 82 00:07:29,480 --> 00:07:34,720 Ponownie zgodnie z naszymi podstawowymi praktykami zastosujemy listę dostępu przychodzących na FASA. 83 00:07:34,730 --> 00:07:40,910 Ethan To 0 0 na naszej, ponieważ jest to interfejs najbliższy źródłu ruchu. 84 00:07:42,010 --> 00:07:50,360 Tak więc, aby to zrobić na naszej drodze, aby przejść do globalnego konfiguratora konfiguracji, lista najwyższych gangów wybierz liczbę. 85 00:07:50,360 --> 00:07:54,240 W tym przypadku wybierz 101, ponieważ jest to rozszerzona lista dostępu IP. 86 00:07:54,240 --> 00:08:02,480 Chodzi mi o to, że jest to następny dostępny wybór commed i ten przypadek, który jest naszym 87 00:08:02,480 --> 00:08:08,270 protokołem, pozwolimy zarówno HTP i TFT P z podsieci na serwer. 88 00:08:08,300 --> 00:08:20,430 Pamiętaj, że HTP używa TZP Atlay dla tego TFT P używa UDP Atlay dla wystarczającego TCAP, a 89 00:08:20,430 --> 00:08:28,500 sieć źródłowa ma 10 1 1 0 wieloznacznego meczetu 000 2:55. 90 00:08:28,610 --> 00:08:29,940 To jest nasze źródło. 91 00:08:30,040 --> 00:08:32,560 A teraz musimy określić miejsce docelowe. 92 00:08:32,560 --> 00:08:34,290 Miejsce przeznaczenia jest niesamowite. 93 00:08:34,600 --> 00:08:38,500 10. 0 1. 2 do jednego. 94 00:08:38,640 --> 00:08:43,660 A teraz możemy wybrać albo równy, albo większy niż mniejszy lub niższy zakres i tak dalej. 95 00:08:43,740 --> 00:08:46,500 W tym przypadku powiemy, że jest równy portowi 80. 96 00:08:46,500 --> 00:08:56,010 Innymi słowy HTP następna linia będzie 40 50 p, zanim to zrobimy, umieśćmy uwagę, 97 00:08:56,010 --> 00:08:58,060 aby ułatwić zrozumienie. 98 00:08:58,440 --> 00:09:08,150 Więc powiedziałbym, że na przykład witryna Remarque SMRT London na serwerze w Nowym Jorku, a oni 99 00:09:10,950 --> 00:09:13,780 powiedzą, że to 101. 100 00:09:13,880 --> 00:09:15,850 Spotkał. 101 00:09:16,020 --> 00:09:20,610 W tym przypadku musisz określić UDP, ponieważ TFT używa UDP. 102 00:09:20,760 --> 00:09:21,570 Podsieć 103 00:09:24,860 --> 00:09:28,120 źródłowa dociera do miejsca docelowego. 104 00:09:28,400 --> 00:09:32,270 W tym przypadku po prostu go zmienię, żeby pokazać, że obie opcje będą działać. 105 00:09:33,380 --> 00:09:41,360 Mogę określić serwer z meczetem i ten przypadek mam ustawiony równy i zauważ teraz proszę, że 106 00:09:41,360 --> 00:09:50,030 protokoły są różne, ponieważ używamy UDP jako przykładu nie zobaczysz HGP na tej liście, ale zobaczysz TFT, 107 00:09:50,700 --> 00:09:58,210 że pręt jest sprytny wystarczy wiedzieć, który z protokołów korzysta z UDP lub TZP. 108 00:09:58,430 --> 00:10:01,460 W tym przykładzie określiliśmy UDP. 109 00:10:01,460 --> 00:10:03,170 Powiem tylko 69. 110 00:10:03,560 --> 00:10:06,890 Jest to również uwaga, aby 111 00:10:10,010 --> 00:10:19,880 uczynić tę bardziej deskryptorową uwagę Exorcist 101 z napisem TFT z Londynu na przykład do Nowego Jorku. 112 00:10:20,130 --> 00:10:26,240 Ta uwaga jest oczywiście dla nas, jako ludzi, aby wiedzieć, co się dzieje i nie ma wpływu na router. 113 00:10:27,240 --> 00:10:33,840 Tak więc zezwoliliśmy na ruch owiec i TFT z tej podsieci na serwer, a teraz powiedziano nam, 114 00:10:33,870 --> 00:10:37,500 aby odmówić wszystkim pozostałym ruchem z podsieci do serwera. 115 00:10:38,010 --> 00:10:48,040 Tak więc lista dostępu 101 odmawia, a ponieważ jest to dostęp oparty na IP, zacznijmy odmawiać IP 10. 0 zastanawiałem się 116 00:10:48,060 --> 00:10:58,960 1. 0 0. 0 dodało od 0 do 255, a my mówimy, że chcemy zablokować tylko ruch z tego przesyłania na serwer. 117 00:10:59,050 --> 00:11:03,120 Tak więc celem będzie gospodarz przetargu jeden lub dwa do jednego. 118 00:11:03,190 --> 00:11:05,570 Więc spełniliśmy drugie kryteria. 119 00:11:05,740 --> 00:11:11,270 Ostatnim krokiem jest zezwolenie na wszelki inny ruch z podsieci w innym miejscu. 120 00:11:12,250 --> 00:11:25,240 Powiedzielibyśmy zatem, że lista dostępu 101 zawiera 10 kropek punkt 1. 0 z meczetem gdziekolwiek ostatnim krokiem jest powiązanie go z 121 00:11:25,240 --> 00:11:27,180 interfejsem interfejsu. 122 00:11:27,190 --> 00:11:35,300 Serio, Sarah, zgodnie z naszymi najlepszymi praktykami, zaczęła wiązać go z połączeniem i tym 123 00:11:35,300 --> 00:11:40,380 interfejsem, więc IPX-ists grupa 101 i to jest. 124 00:11:41,450 --> 00:11:50,540 W tym przykładzie chcemy, aby ProMED HGP i TFT były ruchami z dowolnego miejsca na serwerze 10 1 do 125 00:11:50,540 --> 00:11:53,900 1, ale odrzucimy cały ruch na serwerze. 126 00:11:53,900 --> 00:11:56,010 Teraz rzeczy są trochę inne. 127 00:11:56,060 --> 00:12:00,610 Dopuszczamy tylko UDP i TFT z dowolnego miejsca na serwer. 128 00:12:00,970 --> 00:12:09,830 Dlatego ruch z tego hosta, a także tych hostów, musi mieć dostęp do serwera, ale tylko do 129 00:12:09,840 --> 00:12:12,090 ruchu HTP i TFG. 130 00:12:12,180 --> 00:12:18,330 Gdybyśmy poproszono o zastosowanie tylko jednej listy dostępu, musielibyśmy zastosować ją wychodzącą, a następnie, jeśli 131 00:12:18,330 --> 00:12:19,490 Sarah zostanie. 132 00:12:19,890 --> 00:12:25,500 Dano nam jednak możliwość zastosowania wielu list kontroli dostępu, które na przykład stosowalibyśmy 133 00:12:25,500 --> 00:12:34,020 na 0 1 na naszym t, jak również na poważnych 0 0 lub 1, co spowodowałoby, że ruch, który zostanie 134 00:12:34,020 --> 00:12:39,960 zrzucony, zostanie usunięty wcześniej i szybsze niż przechodzenie przez link, a następnie upuszczenie, jak 135 00:12:39,960 --> 00:12:42,520 podczas korzystania z tej konfiguracji. 136 00:12:42,610 --> 00:12:48,870 Łatwo jest odczytać między wierszami i określić, o co Cię proszono i jakie ograniczenia 137 00:12:48,870 --> 00:12:51,720 zostały nałożone na twoje rozwiązania. 138 00:12:51,750 --> 00:12:57,180 Tak więc na trasie, zanim przejdziemy dalej, zobaczmy, jakie listy dostępu zostały skonfigurowane, 139 00:12:57,180 --> 00:13:03,810 więc mogę zrobić, że uruchamianie programu C'mon show zawiera listę dostępu, która pokaże mi tylko część 140 00:13:03,810 --> 00:13:06,100 listy konfiguracji na tym routerze. 141 00:13:07,140 --> 00:13:13,680 Jak widać tutaj, stworzyliśmy X-ists ostatnie trzy listy ACL dla ACL pięć 142 00:13:17,300 --> 00:13:21,890 rozszerzonych ACL 100 i rozszerzonych 101 ACL. 143 00:13:22,270 --> 00:13:27,440 Zauważ, że łatwiej zobaczyć, co się dzieje, gdy uwagi lub opisy zostały dodane do 144 00:13:27,440 --> 00:13:30,790 listy dostępu, aby przejść do trybu konfiguracji poziomu. 145 00:13:30,890 --> 00:13:37,600 Mogę uporać się z listą dostępu C'mon po jednym lub dwóch na morderstwo TZP. 146 00:13:37,760 --> 00:13:43,120 Dowolny host 10 do 1 lub 2 do 1 lub 147 00:13:45,670 --> 00:13:47,770 Ra równego 80. 148 00:13:47,830 --> 00:13:50,790 Jeszcze raz bardzo uważaj, co właśnie tam zrobiłem. 149 00:13:51,100 --> 00:13:56,030 To stwierdzenie, że żadna lista dostępu, jedna lub dwie, nie usunęłaby całej listy dostępu. 150 00:13:56,110 --> 00:14:02,490 Zaraz pokażę ci, jak możesz edytować poszczególne linie na liście dostępu i liście 151 00:14:02,500 --> 00:14:05,830 dostępu 100, aby zezwolić na UDP. 152 00:14:06,100 --> 00:14:16,000 Dowolny host 10 lub 1 lub 2 do 1 równy 69, który wykona to, co postanowiliśmy zrobić z tym pierwszym stwierdzeniem, 153 00:14:16,450 --> 00:14:28,150 a następnie musimy odrzucić cały pozostały ruch na tym serwerze, aby uzyskać dostęp do listy 1, aby odrzucić IP i nie zapomnieć o Tobie. muszę 154 00:14:28,150 --> 00:14:33,420 umieścić źródło i miejsce docelowe, które mogę teraz, to pomyłka. 155 00:14:33,420 --> 00:14:40,230 Teraz, jeśli zrobię to, czy Monge może wyświetlać listę dostępu na dwóch. 156 00:14:40,620 --> 00:14:49,500 Zauważysz, że te numery linii 10 20 30 późniejsze wersje Iowas to prawo do automatycznego umieszczania numerów linii na 157 00:14:49,630 --> 00:14:56,410 każdym utworzonym wierszu, co jest wspaniałe, ponieważ pozwala nam edytować poszczególne wiersze, jeśli 158 00:14:56,520 --> 00:15:04,160 dotknę polecenia, żadna lista X nie odmówi IP żadnego dowolne, aby spróbować usunąć tę ostatnią linię. 159 00:15:04,210 --> 00:15:06,410 Usunie całą listę dostępu. 160 00:15:06,690 --> 00:15:13,980 Więc zamiast robić to, mogę zrobić zwykłą listę dostępu do IP rozszerzoną, ponieważ jest to rozszerzona lista dostępu 161 00:15:13,980 --> 00:15:16,590 IP, a następnie umieszczam numer w. 162 00:15:17,130 --> 00:15:27,730 A potem mogę wpisać nr. 13 Aby usunąć, jak 30 zatrzymanie polecenia, pokaż listę dostępu jeden 163 00:15:27,760 --> 00:15:37,610 lub dwa pokażą, że ta ostatnia linia została usunięta i mógłbym dodać linię wstecz, mówiąc 30 odmówić hostom od 10 164 00:15:37,680 --> 00:15:40,790 1 do 2 do 1. 165 00:15:41,000 --> 00:15:48,930 A raczej nocny adres IP dowolnego hosta od 10 1 do 1 i brak programu. 166 00:15:50,760 --> 00:15:57,040 Pokazuje mi, że linia została dodana poprawnie, dzięki czemu życie staje się o wiele łatwiejsze. 167 00:15:57,040 --> 00:16:02,590 Zamiast konieczności usuwania listy dostępu, a następnie odtworzenia jej od początku lub edytowania notatnika, 168 00:16:03,160 --> 00:16:08,710 możesz edytować ją bezpośrednio na pręcie w ostatnim kroku, aby ponownie powiązać ją z 169 00:16:09,080 --> 00:16:11,470 interfejsem, jeśli poważnie przekroczy zero.