1 00:00:00,410 --> 00:00:04,020 Agora vamos implementar alguns exemplos de listas de acesso IP estendidas. 2 00:00:04,200 --> 00:00:11,060 Neste exemplo, estamos dizendo permitir tráfego HDP de 10 1 1 1 a 10 1 a 1. 3 00:00:11,070 --> 00:00:18,490 Em outras palavras, este host deve ter permissão para falar com o servidor, mas usando apenas um sheepy. 4 00:00:18,740 --> 00:00:27,340 Precisamos negar todo o outro tráfego da sub-rede indo para o servidor. 5 00:00:27,350 --> 00:00:33,270 Em outras palavras, qualquer um perguntou a eles que a sub-rede deveria ter acesso negado ao servidor específico. 6 00:00:33,440 --> 00:00:38,560 Queremos permitir todo o outro tráfego da sub-rede em qualquer outro lugar. 7 00:00:38,570 --> 00:00:42,890 Em outras palavras, este host, por exemplo, deve ser capaz de se conectar a este roteador para 8 00:00:42,890 --> 00:00:46,580 poder se conectar ao roteador, e deve ser capaz de enviar tráfego para este MacBook. 9 00:00:46,580 --> 00:00:52,550 Agora, mais uma vez, é muito importante observar a direção do tráfego, de modo que o fluxo de 10 00:00:52,550 --> 00:00:59,900 tráfego seja da esquerda para a direita, conforme práticas básicas e a lista de acesso IP estendido deve ser colocada o mais 11 00:00:59,900 --> 00:01:01,360 próxima possível da fonte. 12 00:01:01,610 --> 00:01:04,650 E assim vamos aplicar a lista de acesso de entrada. 13 00:01:04,660 --> 00:01:06,270 Ethan É 0 0. 14 00:01:06,350 --> 00:01:11,720 A vantagem de se fazer isso também é que o Ratta não precisa processar os pacotes desnecessariamente, o 15 00:01:12,040 --> 00:01:14,720 que vai ser descartado em outro lugar na rede. 16 00:01:14,840 --> 00:01:18,700 Por isso, aplicaremos a lista de acesso o mais próximo possível da fonte. 17 00:01:18,890 --> 00:01:22,410 E a interface mais próxima é a carne da F-Series Zira. 18 00:01:22,550 --> 00:01:31,950 Portanto, a primeira instrução deve permitir o tráfego HD de 10 1 1 1 a 10 1 para 1 na Rodda que entra no 19 00:01:31,950 --> 00:01:33,300 modo de configuração global. 20 00:01:33,330 --> 00:01:38,880 Eu posso falar com ele nesta lista e notar mais uma vez é um intervalo de números. 21 00:01:39,120 --> 00:01:44,910 Vamos escolher um neste intervalo de 100 a 199, porque estamos criando uma lista de acesso IP estendida. 22 00:01:44,910 --> 00:01:54,330 Então, vamos escolher 100 que vão dizer permissão e observe aqui podemos permitir vários protocolos. 23 00:01:54,360 --> 00:02:00,200 Agora é aqui que se torna importante saber quais protocolos de nível mais baixo os protocolos Hialeah, como 24 00:02:00,210 --> 00:02:01,320 o HTP, usam. 25 00:02:01,320 --> 00:02:10,430 Portanto, neste exemplo, estamos tentando permitir que o HGP HGP dependa do TCAP pelo menos para o mesmo modelo. 26 00:02:10,560 --> 00:02:16,330 Então, vamos especificar TZP e Boadicea, podemos especificar uma fonte. 27 00:02:16,490 --> 00:02:19,150 Então eu vou fazer assim. 28 00:02:20,750 --> 00:02:24,290 E perceba que posso colocar meu curinga Beths. 29 00:02:24,450 --> 00:02:25,720 Então essa foi a fonte. 30 00:02:25,740 --> 00:02:28,400 E agora precisamos especificar um destino. 31 00:02:28,710 --> 00:02:33,940 Neste caso, o destino é 10 1 para 1, de outra forma. 32 00:02:33,940 --> 00:02:42,700 Eu vou especificar um host 10 1 2 para 1 e é se eu pressionar ponto de interrogação no final me dá muitas 33 00:02:42,700 --> 00:02:51,010 opções aqui, incluindo igual que me permite combinar em um número de porta específica para maior do que o que me permite 34 00:02:51,160 --> 00:02:55,040 olhar em números de porta maiores que um determinado número. 35 00:02:55,450 --> 00:03:00,810 Tudo menos, o que me permite ver números de porta menores que um número específico. 36 00:03:01,030 --> 00:03:05,140 Todo o intervalo que me permite olhar para números de porta em um intervalo específico. 37 00:03:05,380 --> 00:03:07,370 Mas neste caso estamos procurando por HTP. 38 00:03:07,420 --> 00:03:09,650 Então vou abordá-los em igualdade. 39 00:03:09,970 --> 00:03:17,680 Chris ponto de interrogação e aviso Eu posso digitar um número de porta específico, se eu sei o número ou 40 00:03:17,680 --> 00:03:21,640 eu posso usar a palavra e observe as muitas palavras aqui. 41 00:03:21,860 --> 00:03:26,790 Mas observe como exemplo o uso de HGP da palavra GWW. 42 00:03:26,990 --> 00:03:31,570 Então, eu poderia colocar em 80 ou eu poderia colocar em w WW. 43 00:03:31,910 --> 00:03:38,600 Mais uma vez, observe que o cifrão está apenas me dizendo que há mais à esquerda. 44 00:03:38,600 --> 00:03:44,930 Então, se eu colocar no controle de comando a Eles vão me levar para o início da linha ou o controle, ele me 45 00:03:44,930 --> 00:03:50,090 leva ao final da linha que os dólares apenas me dizendo que há mais pontos do que o que 46 00:03:50,090 --> 00:03:51,650 pode caber na saída específica. 47 00:03:51,680 --> 00:03:54,970 Então, apenas escondi alguns textos para facilitar a leitura. 48 00:03:55,310 --> 00:04:00,890 Então eu posso apertar enter para que complete a primeira parte da lista de acesso. 49 00:04:00,890 --> 00:04:05,980 Agora temos que negar todo o tráfego dessa sub-rede específica para o servidor. 50 00:04:06,890 --> 00:04:15,700 Então eu pude entrar nesta lista 100 e neste caso especifico negar. 51 00:04:15,760 --> 00:04:19,930 Agora temos que especificar o protocolo para que possamos negar tudo. 52 00:04:19,930 --> 00:04:30,140 Em outras palavras negar todo o IP a fonte é oferecida 1. 1 0 colocar no mos curinga. 53 00:04:30,290 --> 00:04:36,930 O destino é um host específico que é 10. 0 1. 2 a 12:58 entra. 54 00:04:37,340 --> 00:04:40,420 Então essa linha nega todo o tráfego restante. 55 00:04:40,430 --> 00:04:52,120 Então, em outras palavras, todo o tráfego IP é negado da sub-rede 10 1 1 0 10 1 1 0 com a mesquita relevante indo para o 56 00:04:52,120 --> 00:04:57,620 host 10 1 para 1, que é o que nós configuramos aqui. 57 00:04:57,670 --> 00:05:03,430 Então, nós criamos com sucesso a segunda parte da lista de acesso 58 00:05:03,460 --> 00:05:17,940 que os terceiros dizem permitir todo o outro tráfego da sub-rede em qualquer outro lugar para que eu possa literalmente dizer lista de acesso 100 Myrt IP e vamos 59 00:05:17,940 --> 00:05:24,920 especificar essa sub-rede específica Tendo squandered 1. 0 com uma mesquita. 60 00:05:25,030 --> 00:05:26,780 E neste caso eu posso dizer qualquer maneira. 61 00:05:27,070 --> 00:05:36,300 Portanto, qualquer último passo é ligar a lista de acesso na interface para o grupo de acesso IP 100 in. 62 00:05:36,450 --> 00:05:45,520 Agora, apenas para mostrar a você o que configuramos, mostre a lista de acesso e mostre-me neste caso que tenho uma lista 63 00:05:45,520 --> 00:05:47,110 de acesso IP estendida. 64 00:05:47,110 --> 00:05:53,600 A primeira linha é a reunião TCAP daquele host 10 1 1 1 para hospedar 10 1 a 1. 65 00:05:53,710 --> 00:06:00,850 Notei que os rodders alteraram automaticamente o número da porta para a descrição do nome w WW. 66 00:06:01,420 --> 00:06:08,140 A segunda linha está negando o tráfego dessa sub-rede para o host 10 1 para 1 e a terceira linha está permitindo 67 00:06:08,530 --> 00:06:10,540 o tráfego dessa sub-rede de qualquer maneira. 68 00:06:11,450 --> 00:06:21,520 Mostrar interface IP 0 0 mostra-me um exemplo de que essa lista de acesso está vinculada a entrada no Fosset. 69 00:06:21,520 --> 00:06:24,100 Ethan É Eros carne sirra. 70 00:06:24,260 --> 00:06:29,790 Então, realizamos o que nos propusemos a fazer com base nesses critérios. 71 00:06:29,880 --> 00:06:39,960 Neste exemplo, queremos permitir o tráfego HGP e TFT da sub-rede 10 1 1 0 slice 24 para 72 00:06:39,960 --> 00:06:40,840 o servidor. 73 00:06:41,130 --> 00:06:49,490 Em outras palavras, os dispositivos na sub-rede devem poder abrir sessões HTP e sessões DFT no servidor. 74 00:06:49,740 --> 00:06:54,420 Em seguida, queremos negar todo o tráfego da sub-rede para o servidor. 75 00:06:54,420 --> 00:07:01,360 Em outras palavras, queremos apenas permitir tráfego HTP e TFT para o servidor e nenhum outro tráfego. 76 00:07:01,500 --> 00:07:06,490 Mas também queremos permitir todos os outros tráfegos da sub-rede em qualquer outro lugar. 77 00:07:06,600 --> 00:07:13,200 Em outras palavras, esses dispositivos e a sub-rede devem poder acessar esse servidor para HTP e TFT, pois não 78 00:07:13,200 --> 00:07:16,610 devem poder usar nenhum outro protocolo para acessar o servidor. 79 00:07:16,740 --> 00:07:21,930 Mas eles devem ser capazes de se conectar por exemplo a este MacBook usando qualquer protocolo. 80 00:07:21,950 --> 00:07:26,570 Então, a primeira coisa que precisamos olhar é a direção e mais uma vez o tráfego 81 00:07:26,570 --> 00:07:29,290 está fluindo do lado esquerdo para o lado direito. 82 00:07:29,480 --> 00:07:34,720 Mais uma vez, de acordo com nossas práticas de base, aplicaremos a lista de acesso de entrada no FASA. 83 00:07:34,730 --> 00:07:40,910 Ethan É 0 0 no nosso, porque esta é a interface mais próxima da fonte de tráfego. 84 00:07:42,010 --> 00:07:50,360 Então, para fazer isso em nosso caminho para entrar na lista de acesso de topo de gangue configurador global de configuração, escolha um número. 85 00:07:50,360 --> 00:07:54,240 Nesse caso, escolha 101 porque é uma lista de acesso IP estendida. 86 00:07:54,240 --> 00:08:02,480 Quero dizer, é o próximo disponível e comente neste caso, que é o nosso protocolo, 87 00:08:02,480 --> 00:08:08,270 vamos permitir HTP e TFT P da sub-rede para o servidor. 88 00:08:08,300 --> 00:08:20,430 Lembre-se HTP usa TZP Atlay para que TFT P usa UDP Atlay para suficientemente TCAP a rede 89 00:08:20,430 --> 00:08:28,500 de origem tem 10 1 1 0 a mesquita wildcard 000 2:55. 90 00:08:28,610 --> 00:08:29,940 Então essa é a nossa fonte. 91 00:08:30,040 --> 00:08:32,560 E agora temos que especificar o destino. 92 00:08:32,560 --> 00:08:34,290 O destino é incrível. 93 00:08:34,600 --> 00:08:38,500 10 0 1. 2 para um. 94 00:08:38,640 --> 00:08:43,660 E agora podemos escolher igual ou maior que menor que ou intervalo e assim por diante. 95 00:08:43,740 --> 00:08:46,500 Neste caso, vamos dizer igual à porta 80. 96 00:08:46,500 --> 00:08:56,010 Em outras palavras HTP a próxima linha seria 40 50 p que antes de fazermos isso vamos colocar uma observação apenas 97 00:08:56,010 --> 00:08:58,060 para facilitar a compreensão. 98 00:08:58,440 --> 00:09:08,150 Então, eu diria que o site Remarque SMRT London para o servidor de Nova York, por exemplo, e 99 00:09:10,950 --> 00:09:13,780 eles dirão é este 101. 100 00:09:13,880 --> 00:09:15,850 Conheceu. 101 00:09:16,020 --> 00:09:20,610 Neste caso você tem que especificar o UDP porque o TFT usa o UDP. 102 00:09:20,760 --> 00:09:21,570 A sub-rede 103 00:09:24,860 --> 00:09:28,120 de origem indo para o destino. 104 00:09:28,400 --> 00:09:32,270 Neste caso, vou apenas alterá-lo apenas para mostrar que as duas opções funcionarão. 105 00:09:33,380 --> 00:09:41,360 Eu posso especificar o servidor com uma mesquita e neste caso eu estou definido igual e aviso agora 106 00:09:41,360 --> 00:09:50,030 por favor os protocolos são diferentes porque estamos usando UDP como um exemplo você não verá HGP nesta lista mas 107 00:09:50,700 --> 00:09:58,210 você verá TFT a haste é inteligente o suficiente para saber qual dos protocolos usar UDP ou TZP. 108 00:09:58,430 --> 00:10:01,460 E neste exemplo nós especificamos o UDP. 109 00:10:01,460 --> 00:10:03,170 Então eu vou dizer 69. 110 00:10:03,560 --> 00:10:06,890 É também uma observação fazer com 111 00:10:10,010 --> 00:10:19,880 que mais uma observação do exorcista 101 tenha sido recebida pelo TFT, de Londres, a Nova York, por exemplo. 112 00:10:20,130 --> 00:10:26,240 Essa observação é obviamente apenas para nós, como humanos, saber o que está acontecendo e não tem efeito sobre o roteador. 113 00:10:27,240 --> 00:10:33,840 Portanto, permitimos o tráfego sheepy e TFT dessa sub-rede para o servidor e agora nos é dito 114 00:10:33,870 --> 00:10:37,500 para negar todo o tráfego da sub-rede ao servidor. 115 00:10:38,010 --> 00:10:48,040 Assim, a lista de acesso 101 nega e porque este é um acesso baseado em IP, vamos começar a negar IP 10. 0 perguntou 116 00:10:48,060 --> 00:10:58,960 1. 0 0 0 adicionou 0 a 255 e nos disseram para negar o tráfego daquele envio para o servidor. 117 00:10:59,050 --> 00:11:03,120 Assim, o destino será oferecido por um ou dois para um. 118 00:11:03,190 --> 00:11:05,570 Então, nós encontramos o segundo critério. 119 00:11:05,740 --> 00:11:11,270 O último passo é permitir todo o outro tráfego da sub-rede em qualquer outro lugar. 120 00:11:12,250 --> 00:11:25,240 Então, nós diríamos que a lista de acesso 101 confirma 10 dot dot 1. 0 com uma mesquita em qualquer lugar o último passo é ligá-lo 121 00:11:25,240 --> 00:11:27,180 à interface da interface. 122 00:11:27,190 --> 00:11:35,300 Sério Sarah como por nossas melhores práticas começam a vinculá-lo in-bound e essa interface para 123 00:11:35,300 --> 00:11:40,380 que o IP X-ists grupo 101 em e é isso. 124 00:11:41,450 --> 00:11:50,540 Neste exemplo, queremos que o ProMED HGP e o TFT sejam tráfego de qualquer maneira para o servidor 10 1 para 1, mas 125 00:11:50,540 --> 00:11:53,900 negaremos todo o tráfego restante para o servidor. 126 00:11:53,900 --> 00:11:56,010 Então agora as coisas são um pouco diferentes. 127 00:11:56,060 --> 00:12:00,610 Estamos permitindo apenas o UDP e o TFT de qualquer lugar para o servidor. 128 00:12:00,970 --> 00:12:09,830 Portanto, o tráfego desse host, bem como esses hosts, precisa ter acesso ao servidor, mas apenas ao 129 00:12:09,840 --> 00:12:12,090 tráfego HTP e TFG. 130 00:12:12,180 --> 00:12:18,330 Se nos pedissem para aplicar somente uma única lista de acesso, precisaríamos aplicá-la de saída e, em seguida, se 131 00:12:18,330 --> 00:12:19,490 Sarah for deixada. 132 00:12:19,890 --> 00:12:25,500 No entanto, nos foi dada a opção de aplicar várias listas de controle de acesso. 133 00:12:25,500 --> 00:12:34,020 Por exemplo, aplicá-lo-emos 0 1 em nosso t, bem como em 0 0 ou 1, o que teria o efeito de que o 134 00:12:34,020 --> 00:12:39,960 tráfego será descartado mais cedo e mais rápido, em vez de percorrer o link quando e, 135 00:12:39,960 --> 00:12:42,520 em seguida, ser descartado ao usar essa configuração. 136 00:12:42,610 --> 00:12:48,870 É fácil ler nas entrelinhas e determinar o que você está sendo solicitado a fazer e 137 00:12:48,870 --> 00:12:51,720 quais restrições foram colocadas em suas soluções. 138 00:12:51,750 --> 00:12:57,180 Então, na rota de antes de irmos adiante, vamos ver quais listas de acesso foram configuradas para 139 00:12:57,180 --> 00:13:03,810 que eu possa fazer o show C'mon executar bastante lista de acesso que só vai me mostrar a parte da 140 00:13:03,810 --> 00:13:06,100 lista de acesso da configuração neste roteador. 141 00:13:07,140 --> 00:13:13,680 Como você pode ver aqui nós criamos X-ists três últimos ACL para 142 00:13:17,300 --> 00:13:21,890 ACL cinco estendidos ACL 100 e estendido ACL 101. 143 00:13:22,270 --> 00:13:27,440 Observe que é mais fácil ver o que está acontecendo quando as observações ou descrições foram adicionadas à 144 00:13:27,440 --> 00:13:30,790 lista de acesso para entrar no modo de configuração de nível. 145 00:13:30,890 --> 00:13:37,600 Eu posso subir a lista de acessos C'mon um ou dois por TZP murd. 146 00:13:37,760 --> 00:13:43,120 Qualquer host 10 a 1 ou 2 a 1 ou Ra 147 00:13:45,670 --> 00:13:47,770 do igual a 80. 148 00:13:47,830 --> 00:13:50,790 Mais uma vez, tenha muito cuidado com o que acabei de fazer lá. 149 00:13:51,100 --> 00:13:56,030 Essa declaração sem lista de acesso um ou dois teria removido toda a lista de acesso. 150 00:13:56,110 --> 00:14:02,490 Mostrarei em breve como você pode editar linhas individuais em uma lista de acesso e uma 151 00:14:02,500 --> 00:14:05,830 lista de acesso 100 para permitir o UDP. 152 00:14:06,100 --> 00:14:16,000 Qualquer host 10 ou 1 ou 2 para 1 é igual a 69 que cumprirá o que nos propusemos fazer com essa primeira declaração 153 00:14:16,450 --> 00:14:28,150 e, em seguida, precisaremos negar a todos os outros tráfegos desse servidor para acessar a lista 1 para negar IP e não se esquecer de você tem que colocar 154 00:14:28,150 --> 00:14:33,420 a fonte e o destino que eu posso agora que é um erro. 155 00:14:33,420 --> 00:14:40,230 Agora, se eu fizer o Monge pode mostrar lista de acesso em um dois. 156 00:14:40,620 --> 00:14:49,500 Você notará que esses números de linha 10 20 30 versões posteriores do Iowas o direito de automaticamente colocar números de 157 00:14:49,630 --> 00:14:56,410 linha em cada linha criada, o que é ótimo porque nos permite editar linhas individuais se 158 00:14:56,520 --> 00:15:04,160 eu tocar no comando nenhuma lista de X queria negar IP qualquer qualquer para tentar remover esta última linha. 159 00:15:04,210 --> 00:15:06,410 Isso removerá toda a lista de acesso. 160 00:15:06,690 --> 00:15:13,980 Então, ao invés de fazer isso, eu posso fazer a lista de acesso IP comum estendida porque esta é uma lista de acesso IP 161 00:15:13,980 --> 00:15:16,590 estendida e, em seguida, eu coloco o número. 162 00:15:17,130 --> 00:15:27,730 E então eu posso digitar não. 13 para remover como 30 parando o comando mostrar lista de acesso 163 00:15:27,760 --> 00:15:37,610 um ou dois irá mostrar-lhe que a última linha foi removida e eu poderia adicionar a linha de volta, dizendo 30 negar quaisquer 164 00:15:37,680 --> 00:15:40,790 hosts 10 1 a 2 para 1. 165 00:15:41,000 --> 00:15:48,930 Ou melhor, a noite IP qualquer host 10 1 para 1 e não fazendo um show veio. 166 00:15:50,760 --> 00:15:57,040 Mostra-me que essa linha foi adicionada corretamente para facilitar muito a vida. 167 00:15:57,040 --> 00:16:02,590 Em vez de ter que excluir a lista de acesso e depois recriá-la do zero ou 168 00:16:03,160 --> 00:16:08,710 editar um bloco de notas, você poderia editá-la diretamente na haste na última etapa, mais uma 169 00:16:09,080 --> 00:16:11,470 vez seria ligá-la à interface, se seriamente zerada.